金融“網(wǎng)安”事件報告管理迎新規(guī)
央行將指導(dǎo)金融從業(yè)機構(gòu)及時準確報告網(wǎng)絡(luò)安全事件
核心閱讀
下一步,中國人民銀行將組織實施好《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報告管理辦法》����,指導(dǎo)金融從業(yè)機構(gòu)及時、準確報告網(wǎng)絡(luò)安全事件,降低網(wǎng)絡(luò)安全事件造成的損失和危害�,筑牢金融網(wǎng)絡(luò)安全防線。
□ 本報記者 李立娟
近日����,中國人民銀行發(fā)布《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報告管理辦法》(以下簡稱《辦法》),自2025年8月1日起施行��。
《辦法》旨在指導(dǎo)督促金融從業(yè)機構(gòu)依法依規(guī)報告中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件(以下簡稱網(wǎng)絡(luò)安全事件)���。
中國人民銀行有關(guān)部門負責(zé)人表示�����,下一步�����,中國人民銀行將組織實施好《辦法》���,指導(dǎo)金融從業(yè)機構(gòu)及時、準確報告網(wǎng)絡(luò)安全事件�����,降低網(wǎng)絡(luò)安全事件造成的損失和危害,筑牢金融網(wǎng)絡(luò)安全防線��。
差異化明確報告流程
據(jù)了解���,2002年中國人民銀行制定印發(fā)《銀行計算機安全事件報告管理制度》����,明確了銀行機構(gòu)向中國人民銀行報告計算機安全事件的管理要求�����。近年來�����,網(wǎng)絡(luò)安全法��、數(shù)據(jù)安全法�����、個人信息保護法以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例等相繼發(fā)布實施�,按規(guī)定向有關(guān)主管部門報告網(wǎng)絡(luò)安全事件,已成為網(wǎng)絡(luò)運營者的基本法定義務(wù)�����。
“為全面落實���、有機銜接國家法律法規(guī)要求�,需重新編寫制度���,在中國人民銀行職責(zé)范圍內(nèi)進一步明確相關(guān)金融從業(yè)機構(gòu)報告網(wǎng)絡(luò)安全事件的具體要求�����?!敝袊嗣胥y行有關(guān)部門負責(zé)人表示���。
上述負責(zé)人表示����,《辦法》編制基于有效銜接�����、細化上位法原則性規(guī)定的思路��,明確了網(wǎng)絡(luò)安全事件的分級標準底線規(guī)則。在此基礎(chǔ)上�����,《辦法》細化事件報告流程����,基于金融從業(yè)機構(gòu)的機構(gòu)類型、機構(gòu)層級�����、業(yè)務(wù)規(guī)模等��,差異化明確網(wǎng)絡(luò)安全事件報告的流程�,著力提升網(wǎng)絡(luò)安全事件報告可操作性。此外�����,《辦法》明確不同等級網(wǎng)絡(luò)安全事件報告的時效要求�,著力提升網(wǎng)絡(luò)安全事件報告及時性。
從適用范圍上看�����,《辦法》明確由于人為原因、遭受網(wǎng)絡(luò)攻擊�����、存在漏洞隱患�����、軟硬件缺陷或故障�����、不可抗力等因素�����,對金融從業(yè)機構(gòu)建設(shè)�����、運營����、維護��、管理的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者處理的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)造成危害的事件,應(yīng)當按照《辦法》規(guī)定向中國人民銀行或者住所地中國人民銀行分支機構(gòu)報告�。
其中,中國人民銀行業(yè)務(wù)領(lǐng)域是指由中國人民銀行承擔(dān)監(jiān)督和管理職責(zé)的貨幣信貸�、宏觀審慎、跨境人民幣����、銀行間市場、金融業(yè)綜合統(tǒng)計���、支付清算���、人民幣發(fā)行流通、經(jīng)理國庫�、征信和信用評級、反洗錢等業(yè)務(wù)領(lǐng)域����。
非中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件無須按照《辦法》規(guī)定報告。涉及國家秘密的��,按照有關(guān)規(guī)定執(zhí)行�����。
為機構(gòu)提供操作指南
據(jù)中國人民銀行有關(guān)部門負責(zé)人介紹,與現(xiàn)行的《銀行計算機安全事件報告管理制度》相比��,《辦法》在適用范圍�、分級標準、報告要求�、責(zé)任認定時報告內(nèi)容要求以及法律責(zé)任五個方面均有變化。
具體來說:《辦法》明確金融從業(yè)機構(gòu)在中華人民共和國境內(nèi)發(fā)生網(wǎng)絡(luò)安全事件時���,應(yīng)當按照《辦法》規(guī)定報告;
《辦法》將網(wǎng)絡(luò)安全事件分為特別重大����、重大、較大和一般四個等級�,并提出各等級分級標準的底線規(guī)則;
《辦法》細化網(wǎng)絡(luò)安全事件事發(fā)��、事中��、事后報告具體要求����,便于中國人民銀行全面掌握、督促處置���、協(xié)調(diào)化解網(wǎng)絡(luò)安全事件���;
《辦法》提出了責(zé)任認定和處理情況的報告要求�����,明確了減輕或者免除責(zé)任處理的適用情形�,督促相關(guān)崗位人員履職盡責(zé)�����;
《辦法》明確金融從業(yè)機構(gòu)配合中國人民銀行或其分支機構(gòu)實施檢查的要求���、金融從業(yè)機構(gòu)違規(guī)行為適用的處罰條款�����,以及對中國人民銀行相關(guān)工作人員失職失責(zé)行為追責(zé)問責(zé)的情形�����。
在北京市盈科律師事務(wù)所高級合伙人����、盈科全球知識產(chǎn)權(quán)法律服務(wù)中心主任王俊林看來,《辦法》為金融從業(yè)機構(gòu)提供了清晰的操作指南�,推動其從被動合規(guī)轉(zhuǎn)向主動防控,有助于提升金融從業(yè)機構(gòu)自身的網(wǎng)絡(luò)安全管理水平����,還能促進行業(yè)的規(guī)范化發(fā)展。此外�,《辦法》提出了責(zé)任認定和相關(guān)情況的處理適用情形,這不僅督促相關(guān)崗位人員履職盡責(zé)���,還通過明確責(zé)任邊界避免了責(zé)任推諉���。
將督促機構(gòu)堅守底線
《辦法》共五章三十三條����。從具體內(nèi)容來看,《辦法》明確網(wǎng)絡(luò)安全事件的分級標準底線規(guī)則���。例如��,《辦法》明確符合下列情形之一的�����,應(yīng)當分級為特別重大網(wǎng)絡(luò)安全事件:屬于金融基礎(chǔ)設(shè)施�����、直接服務(wù)5000萬個以上自然人或者與貨幣存取款����、支付交易、稅款繳庫�、銀行間市場交易密切相關(guān)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能在業(yè)務(wù)高峰時段出現(xiàn)兩個以上省級行政區(qū)范圍整體中斷運行3小時以上或者單個省級行政區(qū)范圍整體中斷運行6小時以上的�;提供金融服務(wù)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò),主要功能出現(xiàn)中斷��、超時報錯等情形�����,導(dǎo)致業(yè)務(wù)無法正常開展���,經(jīng)合理測算或者估算��,已實際影響1000萬個以上自然人或者100萬個以上法人和其他組織的����;等等。
同時��,《辦法》對網(wǎng)絡(luò)安全事件報告流程�、內(nèi)容、時效����、途徑等作出規(guī)定?����!掇k法》明確金融從業(yè)機構(gòu)發(fā)生較大等級以上網(wǎng)絡(luò)安全事件后���,應(yīng)當于1小時內(nèi)報送網(wǎng)絡(luò)安全事件事發(fā)簡要報告�,并在24小時內(nèi)報送網(wǎng)絡(luò)安全事件事發(fā)報告���。金融從業(yè)機構(gòu)發(fā)生網(wǎng)絡(luò)安全事件,尚未達到較大等級�����,但出現(xiàn)相關(guān)輿情信息進入社交媒體、搜索引擎或者新聞網(wǎng)站熱點榜等情形��,引發(fā)較大輿情的�,應(yīng)當按照前款規(guī)定報告。
對于重大等級以上網(wǎng)絡(luò)安全事件�����,金融從業(yè)機構(gòu)應(yīng)當至少每隔2小時進行事中進展報告����,直至處置結(jié)束。處置過程中如出現(xiàn)調(diào)高網(wǎng)絡(luò)安全事件等級��、處置取得階段性進展�、發(fā)現(xiàn)新的問題等重要情況時,應(yīng)當立即報告���。
網(wǎng)絡(luò)安全事件處置結(jié)束后��,金融從業(yè)機構(gòu)應(yīng)當于10個工作日內(nèi)報送事后調(diào)查總結(jié)報告��。無法按時報送事后調(diào)查總結(jié)報告的����,金融從業(yè)機構(gòu)應(yīng)當先按時報送初步報告,說明承諾報送事后調(diào)查總結(jié)報告的日期并按時報送��。承諾日期原則上應(yīng)當在處置結(jié)束之日起40個工作日內(nèi)�。
此外,《辦法》還對中國人民銀行或其分支機構(gòu)監(jiān)督和管理責(zé)任落實�,以及金融從業(yè)機構(gòu)違反規(guī)定行為的處罰作出了具體規(guī)定。例如����,中國人民銀行或其分支機構(gòu)根據(jù)金融從業(yè)機構(gòu)報告處置網(wǎng)絡(luò)安全事件的情況,可以按照中國人民銀行執(zhí)法檢查有關(guān)規(guī)定明確的程序��,對金融從業(yè)機構(gòu)依法實施檢查�����,金融從業(yè)機構(gòu)應(yīng)當予以配合�����。金融從業(yè)機構(gòu)拒絕�����、阻礙中國人民銀行或其分支機構(gòu)實施檢查的�,中國人民銀行或其分支機構(gòu)依照網(wǎng)絡(luò)安全法第六十九條予以處罰。
據(jù)悉��,中國人民銀行后續(xù)將加強政策宣傳�,指導(dǎo)金融從業(yè)機構(gòu)更準確地理解把握《辦法》條款內(nèi)容積極推進落實,引導(dǎo)金融從業(yè)機構(gòu)結(jié)合自身實際完善網(wǎng)絡(luò)安全事件分級標準�、明確網(wǎng)絡(luò)安全事件報告內(nèi)部職責(zé)分工規(guī)范行政執(zhí)法,督促金融從業(yè)機構(gòu)堅守網(wǎng)絡(luò)安全事件報告合規(guī)底線��。
法治號
