核心閱讀
下一步����,中國人民銀行將組織實施好《中國人民銀行業(yè)務領域網絡安全事件報告管理辦法》,指導金融從業(yè)機構及時��、準確報告網絡安全事件����,降低網絡安全事件造成的損失和危害,筑牢金融網絡安全防線���。
□ 新政解讀
□ 本報記者 李立娟
近日���,中國人民銀行發(fā)布《中國人民銀行業(yè)務領域網絡安全事件報告管理辦法》(以下簡稱《辦法》),自2025年8月1日起施行����。
《辦法》旨在指導督促金融從業(yè)機構依法依規(guī)報告中國人民銀行業(yè)務領域網絡安全事件(以下簡稱網絡安全事件)。
中國人民銀行有關部門負責人表示���,下一步�����,中國人民銀行將組織實施好《辦法》�,指導金融從業(yè)機構及時����、準確報告網絡安全事件,降低網絡安全事件造成的損失和危害�����,筑牢金融網絡安全防線����。
差異化明確報告流程
據了解����,2002年中國人民銀行制定印發(fā)《銀行計算機安全事件報告管理制度》���,明確了銀行機構向中國人民銀行報告計算機安全事件的管理要求���。近年來,網絡安全法��、數據安全法�、個人信息保護法以及關鍵信息基礎設施安全保護條例等相繼發(fā)布實施,按規(guī)定向有關主管部門報告網絡安全事件�����,已成為網絡運營者的基本法定義務�。
“為全面落實、有機銜接國家法律法規(guī)要求����,需重新編寫制度,在中國人民銀行職責范圍內進一步明確相關金融從業(yè)機構報告網絡安全事件的具體要求���?���!敝袊嗣胥y行有關部門負責人表示。
上述負責人表示����,《辦法》編制基于有效銜接�����、細化上位法原則性規(guī)定的思路���,明確了網絡安全事件的分級標準底線規(guī)則�����。在此基礎上�����,《辦法》細化事件報告流程��,基于金融從業(yè)機構的機構類型����、機構層級、業(yè)務規(guī)模等���,差異化明確網絡安全事件報告的流程����,著力提升網絡安全事件報告可操作性����。此外,《辦法》明確不同等級網絡安全事件報告的時效要求����,著力提升網絡安全事件報告及時性。
從適用范圍上看��,《辦法》明確由于人為原因����、遭受網絡攻擊、存在漏洞隱患�、軟硬件缺陷或故障、不可抗力等因素���,對金融從業(yè)機構建設����、運營、維護����、管理的中國人民銀行業(yè)務領域網絡或者處理的中國人民銀行業(yè)務領域數據造成危害的事件,應當按照《辦法》規(guī)定向中國人民銀行或者住所地中國人民銀行分支機構報告�����。
其中����,中國人民銀行業(yè)務領域是指由中國人民銀行承擔監(jiān)督和管理職責的貨幣信貸��、宏觀審慎����、跨境人民幣、銀行間市場�、金融業(yè)綜合統(tǒng)計、支付清算�����、人民幣發(fā)行流通、經理國庫����、征信和信用評級、反洗錢等業(yè)務領域�。
非中國人民銀行業(yè)務領域網絡安全事件無須按照《辦法》規(guī)定報告。涉及國家秘密的�,按照有關規(guī)定執(zhí)行。
為機構提供操作指南
據中國人民銀行有關部門負責人介紹����,與現(xiàn)行的《銀行計算機安全事件報告管理制度》相比,《辦法》在適用范圍����、分級標準、報告要求����、責任認定時報告內容要求以及法律責任五個方面均有變化。
具體來說:《辦法》明確金融從業(yè)機構在中華人民共和國境內發(fā)生網絡安全事件時�����,應當按照《辦法》規(guī)定報告;
《辦法》將網絡安全事件分為特別重大����、重大、較大和一般四個等級��,并提出各等級分級標準的底線規(guī)則����;
《辦法》細化網絡安全事件事發(fā)、事中���、事后報告具體要求�����,便于中國人民銀行全面掌握、督促處置���、協(xié)調化解網絡安全事件�����;
《辦法》提出了責任認定和處理情況的報告要求�,明確了減輕或者免除責任處理的適用情形,督促相關崗位人員履職盡責����;
《辦法》明確金融從業(yè)機構配合中國人民銀行或其分支機構實施檢查的要求、金融從業(yè)機構違規(guī)行為適用的處罰條款�,以及對中國人民銀行相關工作人員失職失責行為追責問責的情形。
在北京市盈科律師事務所高級合伙人�����、盈科全球知識產權法律服務中心主任王俊林看來��,《辦法》為金融從業(yè)機構提供了清晰的操作指南�,推動其從被動合規(guī)轉向主動防控,有助于提升金融從業(yè)機構自身的網絡安全管理水平�,還能促進行業(yè)的規(guī)范化發(fā)展。此外�,《辦法》提出了責任認定和相關情況的處理適用情形,這不僅督促相關崗位人員履職盡責��,還通過明確責任邊界避免了責任推諉����。
將督促機構堅守底線
《辦法》共五章三十三條。從具體內容來看����,《辦法》明確網絡安全事件的分級標準底線規(guī)則�����。例如�,《辦法》明確符合下列情形之一的����,應當分級為特別重大網絡安全事件:屬于金融基礎設施、直接服務5000萬個以上自然人或者與貨幣存取款��、支付交易����、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業(yè)務領域網絡�����,主要功能在業(yè)務高峰時段出現(xiàn)兩個以上省級行政區(qū)范圍整體中斷運行3小時以上或者單個省級行政區(qū)范圍整體中斷運行6小時以上的��;提供金融服務的中國人民銀行業(yè)務領域網絡�,主要功能出現(xiàn)中斷�����、超時報錯等情形,導致業(yè)務無法正常開展�����,經合理測算或者估算�,已實際影響1000萬個以上自然人或者100萬個以上法人和其他組織的;等等��。
同時�,《辦法》對網絡安全事件報告流程、內容�����、時效�����、途徑等作出規(guī)定��?�!掇k法》明確金融從業(yè)機構發(fā)生較大等級以上網絡安全事件后���,應當于1小時內報送網絡安全事件事發(fā)簡要報告���,并在24小時內報送網絡安全事件事發(fā)報告�。金融從業(yè)機構發(fā)生網絡安全事件��,尚未達到較大等級�,但出現(xiàn)相關輿情信息進入社交媒體、搜索引擎或者新聞網站熱點榜等情形����,引發(fā)較大輿情的,應當按照前款規(guī)定報告���。
對于重大等級以上網絡安全事件�,金融從業(yè)機構應當至少每隔2小時進行事中進展報告�����,直至處置結束��。處置過程中如出現(xiàn)調高網絡安全事件等級�����、處置取得階段性進展�����、發(fā)現(xiàn)新的問題等重要情況時�����,應當立即報告����。
網絡安全事件處置結束后,金融從業(yè)機構應當于10個工作日內報送事后調查總結報告�����。無法按時報送事后調查總結報告的��,金融從業(yè)機構應當先按時報送初步報告���,說明承諾報送事后調查總結報告的日期并按時報送�。承諾日期原則上應當在處置結束之日起40個工作日內���。
此外��,《辦法》還對中國人民銀行或其分支機構監(jiān)督和管理責任落實���,以及金融從業(yè)機構違反規(guī)定行為的處罰作出了具體規(guī)定��。例如���,中國人民銀行或其分支機構根據金融從業(yè)機構報告處置網絡安全事件的情況,可以按照中國人民銀行執(zhí)法檢查有關規(guī)定明確的程序��,對金融從業(yè)機構依法實施檢查����,金融從業(yè)機構應當予以配合。金融從業(yè)機構拒絕�����、阻礙中國人民銀行或其分支機構實施檢查的�����,中國人民銀行或其分支機構依照網絡安全法第六十九條予以處罰�����。
據悉,中國人民銀行后續(xù)將加強政策宣傳����,指導金融從業(yè)機構更準確地理解把握《辦法》條款內容積極推進落實�,引導金融從業(yè)機構結合自身實際完善網絡安全事件分級標準、明確網絡安全事件報告內部職責分工規(guī)范行政執(zhí)法�����,督促金融從業(yè)機構堅守網絡安全事件報告合規(guī)底線��。
法治號
