美国康涅狄格州发布《网络安全标准法》：推动企业采用网络安全控制

康涅狄格州州长内德·拉蒙特 (Ned Lamont) 周二签署了一项立法，使该州成为第三个为企业提供数据安全安全港的州，前提是他们实施了几套网络安全控制措施之一。

《网络安全标准法》规定，如果在康涅狄格州经营的公司遭受泄露居民个人身份信息（包括姓名、地址、社会安全号码、医疗记录和财务信息）的违规行为，则不会从州法院获得“惩罚性赔偿”拥有遵循公认网络安全框架的书面网络安全政策。

该法案列出了公共和私营部门遵循的几个熟悉的标准，包括美国国家标准与技术研究所框架、互联网安全中心的 18 项控制措施、联邦风险和授权管理计划（也称为 FedRAMP）以及支付卡行业数据安全标准。

新法律适用于“在本州境内外的一个或多个系统、网络或服务中或通过一个或多个系统、网络或服务访问、维护、交流或处理个人信息或受限信息”的任何公司。但是，遵循其中一个已批准框架的企业将拥有“肯定性辩护”，以应对有关违规是“未能实施合理的网络安全控制措施”的结果的说法。

该法律还扩大了康涅狄格州对受保护信息的定义，包括生物识别数据——例如指纹、视网膜扫描和录音——以及美国国税局颁发的凭证。

随着拉蒙特签署法律，康涅狄格州加入了俄亥俄州和犹他州，为企业提供法律保护，以换取采用既定的网络安全框架。但是康涅狄格州的新法律并没有否定该州在发生违约事件时要求赔偿的能力。它指出，如果数据泄露是由于“未能实施合理的网络安全控制是由于严重疏忽或故意或肆意行为造成的”，则公司不受安全港保护。

新法律将于 10 月 1 日生效。