近日,中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》(以下简称《办法》),自2025年8月1日起施行。
《办法》旨在指导督促金融从业机构依法依规报告中国人民银行业务领域网络安全事件(以下简称网络安全事件)。
中国人民银行有关部门负责人表示,下一步,中国人民银行将组织实施好《办法》,指导金融从业机构及时、准确报告网络安全事件,降低网络安全事件造成的损失和危害,筑牢金融网络安全防线。
漫画:李晓军
差异化明确报告流程
据了解,2002年中国人民银行制定印发《银行计算机安全事件报告管理制度》,明确了银行机构向中国人民银行报告计算机安全事件的管理要求。近年来,网络安全法、数据安全法、个人信息保护法以及关键信息基础设施安全保护条例等相继发布实施,按规定向有关主管部门报告网络安全事件,已成为网络运营者的基本法定义务。
“为全面落实、有机衔接国家法律法规要求,需重新编写制度,在中国人民银行职责范围内进一步明确相关金融从业机构报告网络安全事件的具体要求。”中国人民银行有关部门负责人表示。
上述负责人表示,《办法》编制基于有效衔接、细化上位法原则性规定的思路,明确了网络安全事件的分级标准底线规则。在此基础上,《办法》细化事件报告流程,基于金融从业机构的机构类型、机构层级、业务规模等,差异化明确网络安全事件报告的流程,着力提升网络安全事件报告可操作性。此外,《办法》明确不同等级网络安全事件报告的时效要求,着力提升网络安全事件报告及时性。
从适用范围上看,《办法》明确由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对金融从业机构建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件,应当按照《办法》规定向中国人民银行或者住所地中国人民银行分支机构报告。
其中,中国人民银行业务领域是指由中国人民银行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域。
非中国人民银行业务领域网络安全事件无须按照《办法》规定报告。涉及国家秘密的,按照有关规定执行。
为机构提供操作指南
据中国人民银行有关部门负责人介绍,与现行的《银行计算机安全事件报告管理制度》相比,《办法》在适用范围、分级标准、报告要求、责任认定时报告内容要求以及法律责任五个方面均有变化。
具体来说:《办法》明确金融从业机构在中华人民共和国境内发生网络安全事件时,应当按照《办法》规定报告;
《办法》将网络安全事件分为特别重大、重大、较大和一般四个等级,并提出各等级分级标准的底线规则;
《办法》细化网络安全事件事发、事中、事后报告具体要求,便于中国人民银行全面掌握、督促处置、协调化解网络安全事件;
《办法》提出了责任认定和处理情况的报告要求,明确了减轻或者免除责任处理的适用情形,督促相关岗位人员履职尽责;
《办法》明确金融从业机构配合中国人民银行或其分支机构实施检查的要求、金融从业机构违规行为适用的处罚条款,以及对中国人民银行相关工作人员失职失责行为追责问责的情形。
在北京市盈科律师事务所高级合伙人、盈科全球知识产权法律服务中心主任王俊林看来,《办法》为金融从业机构提供了清晰的操作指南,推动其从被动合规转向主动防控,有助于提升金融从业机构自身的网络安全管理水平,还能促进行业的规范化发展。此外,《办法》提出了责任认定和相关情况的处理适用情形,这不仅督促相关岗位人员履职尽责,还通过明确责任边界避免了责任推诿。
将督促机构坚守底线
《办法》共五章三十三条。从具体内容来看,《办法》明确网络安全事件的分级标准底线规则。例如,《办法》明确符合下列情形之一的,应当分级为特别重大网络安全事件:属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行3小时以上或者单个省级行政区范围整体中断运行6小时以上的;提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响1000万个以上自然人或者100万个以上法人和其他组织的;等等。
同时,《办法》对网络安全事件报告流程、内容、时效、途径等作出规定。《办法》明确金融从业机构发生较大等级以上网络安全事件后,应当于1小时内报送网络安全事件事发简要报告,并在24小时内报送网络安全事件事发报告。金融从业机构发生网络安全事件,尚未达到较大等级,但出现相关舆情信息进入社交媒体、搜索引擎或者新闻网站热点榜等情形,引发较大舆情的,应当按照前款规定报告。
对于重大等级以上网络安全事件,金融从业机构应当至少每隔2小时进行事中进展报告,直至处置结束。处置过程中如出现调高网络安全事件等级、处置取得阶段性进展、发现新的问题等重要情况时,应当立即报告。
网络安全事件处置结束后,金融从业机构应当于10个工作日内报送事后调查总结报告。无法按时报送事后调查总结报告的,金融从业机构应当先按时报送初步报告,说明承诺报送事后调查总结报告的日期并按时报送。承诺日期原则上应当在处置结束之日起40个工作日内。
此外,《办法》还对中国人民银行或其分支机构监督和管理责任落实,以及金融从业机构违反规定行为的处罚作出了具体规定。例如,中国人民银行或其分支机构根据金融从业机构报告处置网络安全事件的情况,可以按照中国人民银行执法检查有关规定明确的程序,对金融从业机构依法实施检查,金融从业机构应当予以配合。金融从业机构拒绝、阻碍中国人民银行或其分支机构实施检查的,中国人民银行或其分支机构依照网络安全法第六十九条予以处罚。
据悉,中国人民银行后续将加强政策宣传,指导金融从业机构更准确地理解把握《办法》条款内容积极推进落实,引导金融从业机构结合自身实际完善网络安全事件分级标准、明确网络安全事件报告内部职责分工规范行政执法,督促金融从业机构坚守网络安全事件报告合规底线。
