近日,中國人民銀行發佈《中國人民銀行業務領域網絡安全事件報告管理辦法》(以下簡稱《辦法》),自2025年8月1日起施行。
《辦法》旨在指導督促金融從業機構依法依規報告中國人民銀行業務領域網絡安全事件(以下簡稱網絡安全事件)。
中國人民銀行有關部門負責人表示,下一步,中國人民銀行將組織實施好《辦法》,指導金融從業機構及時、準確報告網絡安全事件,降低網絡安全事件造成的損失和危害,築牢金融網絡安全防線。
漫畫:李曉軍
差異化明確報告流程
據了解,2002年中國人民銀行制定印發《銀行計算機安全事件報告管理制度》,明確了銀行機構向中國人民銀行報告計算機安全事件的管理要求。近年來,網絡安全法、數據安全法、個人信息保護法以及關鍵信息基礎設施安全保護條例等相繼發佈實施,按規定向有關主管部門報告網絡安全事件,已成為網絡運營者的基本法定義務。
「為全面落實、有機銜接國家法律法規要求,需重新編寫制度,在中國人民銀行職責範圍內進一步明確相關金融從業機構報告網絡安全事件的具體要求。」中國人民銀行有關部門負責人表示。
上述負責人表示,《辦法》編製基於有效銜接、細化上位法原則性規定的思路,明確了網絡安全事件的分級標準底線規則。在此基礎上,《辦法》細化事件報告流程,基於金融從業機構的機構類型、機構層級、業務規模等,差異化明確網絡安全事件報告的流程,着力提升網絡安全事件報告可操作性。此外,《辦法》明確不同等級網絡安全事件報告的時效要求,着力提升網絡安全事件報告及時性。
從適用範圍上看,《辦法》明確由於人為原因、遭受網絡攻擊、存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素,對金融從業機構建設、運營、維護、管理的中國人民銀行業務領域網絡或者處理的中國人民銀行業務領域數據造成危害的事件,應當按照《辦法》規定向中國人民銀行或者住所地中國人民銀行分支機構報告。
其中,中國人民銀行業務領域是指由中國人民銀行承擔監督和管理職責的貨幣信貸、宏觀審慎、跨境人民幣、銀行間市場、金融業綜合統計、支付清算、人民幣發行流通、經理國庫、徵信和信用評級、反洗錢等業務領域。
非中國人民銀行業務領域網絡安全事件無須按照《辦法》規定報告。涉及國家秘密的,按照有關規定執行。
為機構提供操作指南
據中國人民銀行有關部門負責人介紹,與現行的《銀行計算機安全事件報告管理制度》相比,《辦法》在適用範圍、分級標準、報告要求、責任認定時報告內容要求以及法律責任五個方面均有變化。
具體來說:《辦法》明確金融從業機構在中華人民共和國境內發生網絡安全事件時,應當按照《辦法》規定報告;
《辦法》將網絡安全事件分為特別重大、重大、較大和一般四個等級,並提出各等級分級標準的底線規則;
《辦法》細化網絡安全事件事發、事中、事後報告具體要求,便於中國人民銀行全面掌握、督促處置、協調化解網絡安全事件;
《辦法》提出了責任認定和處理情況的報告要求,明確了減輕或者免除責任處理的適用情形,督促相關崗位人員履職盡責;
《辦法》明確金融從業機構配合中國人民銀行或其分支機構實施檢查的要求、金融從業機構違規行為適用的處罰條款,以及對中國人民銀行相關工作人員失職失責行為追責問責的情形。
在北京市盈科律師事務所高級合伙人、盈科全球知識產權法律服務中心主任王俊林看來,《辦法》為金融從業機構提供了清晰的操作指南,推動其從被動合規轉向主動防控,有助於提升金融從業機構自身的網絡安全管理水平,還能促進行業的規範化發展。此外,《辦法》提出了責任認定和相關情況的處理適用情形,這不僅督促相關崗位人員履職盡責,還通過明確責任邊界避免了責任推諉。
將督促機構堅守底線
《辦法》共五章三十三條。從具體內容來看,《辦法》明確網絡安全事件的分級標準底線規則。例如,《辦法》明確符合下列情形之一的,應當分級為特別重大網絡安全事件:屬於金融基礎設施、直接服務5000萬個以上自然人或者與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業務領域網絡,主要功能在業務高峰時段出現兩個以上省級行政區範圍整體中斷運行3小時以上或者單個省級行政區範圍整體中斷運行6小時以上的;提供金融服務的中國人民銀行業務領域網絡,主要功能出現中斷、超時報錯等情形,導致業務無法正常開展,經合理測算或者估算,已實際影響1000萬個以上自然人或者100萬個以上法人和其他組織的;等等。
同時,《辦法》對網絡安全事件報告流程、內容、時效、途徑等作出規定。《辦法》明確金融從業機構發生較大等級以上網絡安全事件後,應當於1小時內報送網絡安全事件事發簡要報告,並在24小時內報送網絡安全事件事發報告。金融從業機構發生網絡安全事件,尚未達到較大等級,但出現相關輿情信息進入社交媒體、搜索引擎或者新聞網站熱點榜等情形,引發較大輿情的,應當按照前款規定報告。
對於重大等級以上網絡安全事件,金融從業機構應當至少每隔2小時進行事中進展報告,直至處置結束。處置過程中如出現調高網絡安全事件等級、處置取得階段性進展、發現新的問題等重要情況時,應當立即報告。
網絡安全事件處置結束後,金融從業機構應當於10個工作日內報送事後調查總結報告。無法按時報送事後調查總結報告的,金融從業機構應當先按時報送初步報告,說明承諾報送事後調查總結報告的日期並按時報送。承諾日期原則上應當在處置結束之日起40個工作日內。
此外,《辦法》還對中國人民銀行或其分支機構監督和管理責任落實,以及金融從業機構違反規定行為的處罰作出了具體規定。例如,中國人民銀行或其分支機構根據金融從業機構報告處置網絡安全事件的情況,可以按照中國人民銀行執法檢查有關規定明確的程序,對金融從業機構依法實施檢查,金融從業機構應當予以配合。金融從業機構拒絕、阻礙中國人民銀行或其分支機構實施檢查的,中國人民銀行或其分支機構依照網絡安全法第六十九條予以處罰。
據悉,中國人民銀行後續將加強政策宣傳,指導金融從業機構更準確地理解把握《辦法》條款內容積極推進落實,引導金融從業機構結合自身實際完善網絡安全事件分級標準、明確網絡安全事件報告內部職責分工規範行政執法,督促金融從業機構堅守網絡安全事件報告合規底線。
