核心閱讀
下一步���,中國(guó)人民銀行將組織實(shí)施好《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》����,指導(dǎo)金融從業(yè)機(jī)構(gòu)及時(shí)����、準(zhǔn)確報(bào)告網(wǎng)絡(luò)安全事件,降低網(wǎng)絡(luò)安全事件造成的損失和危害�����,筑牢金融網(wǎng)絡(luò)安全防線。
□ 新政解讀
□ 本報(bào)記者 李立娟
近日����,中國(guó)人民銀行發(fā)布《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》(以下簡(jiǎn)稱《辦法》)��,自2025年8月1日起施行��。
《辦法》旨在指導(dǎo)督促金融從業(yè)機(jī)構(gòu)依法依規(guī)報(bào)告中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件(以下簡(jiǎn)稱網(wǎng)絡(luò)安全事件)�。
中國(guó)人民銀行有關(guān)部門負(fù)責(zé)人表示,下一步���,中國(guó)人民銀行將組織實(shí)施好《辦法》����,指導(dǎo)金融從業(yè)機(jī)構(gòu)及時(shí)�、準(zhǔn)確報(bào)告網(wǎng)絡(luò)安全事件,降低網(wǎng)絡(luò)安全事件造成的損失和危害��,筑牢金融網(wǎng)絡(luò)安全防線�。
差異化明確報(bào)告流程
據(jù)了解,2002年中國(guó)人民銀行制定印發(fā)《銀行計(jì)算機(jī)安全事件報(bào)告管理制度》�,明確了銀行機(jī)構(gòu)向中國(guó)人民銀行報(bào)告計(jì)算機(jī)安全事件的管理要求。近年來�����,網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法���、個(gè)人信息保護(hù)法以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等相繼發(fā)布實(shí)施���,按規(guī)定向有關(guān)主管部門報(bào)告網(wǎng)絡(luò)安全事件,已成為網(wǎng)絡(luò)運(yùn)營(yíng)者的基本法定義務(wù)��。
“為全面落實(shí)����、有機(jī)銜接國(guó)家法律法規(guī)要求,需重新編寫制度�����,在中國(guó)人民銀行職責(zé)范圍內(nèi)進(jìn)一步明確相關(guān)金融從業(yè)機(jī)構(gòu)報(bào)告網(wǎng)絡(luò)安全事件的具體要求�。”中國(guó)人民銀行有關(guān)部門負(fù)責(zé)人表示�。
上述負(fù)責(zé)人表示,《辦法》編制基于有效銜接����、細(xì)化上位法原則性規(guī)定的思路�����,明確了網(wǎng)絡(luò)安全事件的分級(jí)標(biāo)準(zhǔn)底線規(guī)則��。在此基礎(chǔ)上����,《辦法》細(xì)化事件報(bào)告流程���,基于金融從業(yè)機(jī)構(gòu)的機(jī)構(gòu)類型、機(jī)構(gòu)層級(jí)����、業(yè)務(wù)規(guī)模等,差異化明確網(wǎng)絡(luò)安全事件報(bào)告的流程���,著力提升網(wǎng)絡(luò)安全事件報(bào)告可操作性�����。此外����,《辦法》明確不同等級(jí)網(wǎng)絡(luò)安全事件報(bào)告的時(shí)效要求,著力提升網(wǎng)絡(luò)安全事件報(bào)告及時(shí)性��。
從適用范圍上看�����,《辦法》明確由于人為原因����、遭受網(wǎng)絡(luò)攻擊、存在漏洞隱患���、軟硬件缺陷或故障�����、不可抗力等因素�����,對(duì)金融從業(yè)機(jī)構(gòu)建設(shè)��、運(yùn)營(yíng)���、維護(hù)��、管理的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者處理的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)造成危害的事件���,應(yīng)當(dāng)按照《辦法》規(guī)定向中國(guó)人民銀行或者住所地中國(guó)人民銀行分支機(jī)構(gòu)報(bào)告。
其中���,中國(guó)人民銀行業(yè)務(wù)領(lǐng)域是指由中國(guó)人民銀行承擔(dān)監(jiān)督和管理職責(zé)的貨幣信貸�����、宏觀審慎、跨境人民幣��、銀行間市場(chǎng)��、金融業(yè)綜合統(tǒng)計(jì)��、支付清算�、人民幣發(fā)行流通、經(jīng)理國(guó)庫��、征信和信用評(píng)級(jí)�、反洗錢等業(yè)務(wù)領(lǐng)域。
非中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件無須按照《辦法》規(guī)定報(bào)告��。涉及國(guó)家秘密的,按照有關(guān)規(guī)定執(zhí)行�。
為機(jī)構(gòu)提供操作指南
據(jù)中國(guó)人民銀行有關(guān)部門負(fù)責(zé)人介紹,與現(xiàn)行的《銀行計(jì)算機(jī)安全事件報(bào)告管理制度》相比���,《辦法》在適用范圍���、分級(jí)標(biāo)準(zhǔn)、報(bào)告要求��、責(zé)任認(rèn)定時(shí)報(bào)告內(nèi)容要求以及法律責(zé)任五個(gè)方面均有變化�。
具體來說:《辦法》明確金融從業(yè)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)發(fā)生網(wǎng)絡(luò)安全事件時(shí),應(yīng)當(dāng)按照《辦法》規(guī)定報(bào)告��;
《辦法》將網(wǎng)絡(luò)安全事件分為特別重大�、重大、較大和一般四個(gè)等級(jí)��,并提出各等級(jí)分級(jí)標(biāo)準(zhǔn)的底線規(guī)則�����;
《辦法》細(xì)化網(wǎng)絡(luò)安全事件事發(fā)�、事中、事后報(bào)告具體要求,便于中國(guó)人民銀行全面掌握����、督促處置、協(xié)調(diào)化解網(wǎng)絡(luò)安全事件��;
《辦法》提出了責(zé)任認(rèn)定和處理情況的報(bào)告要求���,明確了減輕或者免除責(zé)任處理的適用情形��,督促相關(guān)崗位人員履職盡責(zé)��;
《辦法》明確金融從業(yè)機(jī)構(gòu)配合中國(guó)人民銀行或其分支機(jī)構(gòu)實(shí)施檢查的要求���、金融從業(yè)機(jī)構(gòu)違規(guī)行為適用的處罰條款,以及對(duì)中國(guó)人民銀行相關(guān)工作人員失職失責(zé)行為追責(zé)問責(zé)的情形�。
在北京市盈科律師事務(wù)所高級(jí)合伙人�����、盈科全球知識(shí)產(chǎn)權(quán)法律服務(wù)中心主任王俊林看來�,《辦法》為金融從業(yè)機(jī)構(gòu)提供了清晰的操作指南,推動(dòng)其從被動(dòng)合規(guī)轉(zhuǎn)向主動(dòng)防控�����,有助于提升金融從業(yè)機(jī)構(gòu)自身的網(wǎng)絡(luò)安全管理水平,還能促進(jìn)行業(yè)的規(guī)范化發(fā)展����。此外,《辦法》提出了責(zé)任認(rèn)定和相關(guān)情況的處理適用情形�����,這不僅督促相關(guān)崗位人員履職盡責(zé)����,還通過明確責(zé)任邊界避免了責(zé)任推諉。
將督促機(jī)構(gòu)堅(jiān)守底線
《辦法》共五章三十三條���。從具體內(nèi)容來看����,《辦法》明確網(wǎng)絡(luò)安全事件的分級(jí)標(biāo)準(zhǔn)底線規(guī)則�����。例如����,《辦法》明確符合下列情形之一的����,應(yīng)當(dāng)分級(jí)為特別重大網(wǎng)絡(luò)安全事件:屬于金融基礎(chǔ)設(shè)施����、直接服務(wù)5000萬個(gè)以上自然人或者與貨幣存取款、支付交易����、稅款繳庫、銀行間市場(chǎng)交易密切相關(guān)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)����,主要功能在業(yè)務(wù)高峰時(shí)段出現(xiàn)兩個(gè)以上省級(jí)行政區(qū)范圍整體中斷運(yùn)行3小時(shí)以上或者單個(gè)省級(jí)行政區(qū)范圍整體中斷運(yùn)行6小時(shí)以上的;提供金融服務(wù)的中國(guó)人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)�,主要功能出現(xiàn)中斷、超時(shí)報(bào)錯(cuò)等情形�����,導(dǎo)致業(yè)務(wù)無法正常開展���,經(jīng)合理測(cè)算或者估算,已實(shí)際影響1000萬個(gè)以上自然人或者100萬個(gè)以上法人和其他組織的;等等�。
同時(shí),《辦法》對(duì)網(wǎng)絡(luò)安全事件報(bào)告流程����、內(nèi)容、時(shí)效�、途徑等作出規(guī)定?���!掇k法》明確金融從業(yè)機(jī)構(gòu)發(fā)生較大等級(jí)以上網(wǎng)絡(luò)安全事件后,應(yīng)當(dāng)于1小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡(jiǎn)要報(bào)告���,并在24小時(shí)內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)報(bào)告��。金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件�����,尚未達(dá)到較大等級(jí)��,但出現(xiàn)相關(guān)輿情信息進(jìn)入社交媒體��、搜索引擎或者新聞網(wǎng)站熱點(diǎn)榜等情形�,引發(fā)較大輿情的,應(yīng)當(dāng)按照前款規(guī)定報(bào)告����。
對(duì)于重大等級(jí)以上網(wǎng)絡(luò)安全事件,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)至少每隔2小時(shí)進(jìn)行事中進(jìn)展報(bào)告�����,直至處置結(jié)束����。處置過程中如出現(xiàn)調(diào)高網(wǎng)絡(luò)安全事件等級(jí)、處置取得階段性進(jìn)展�、發(fā)現(xiàn)新的問題等重要情況時(shí),應(yīng)當(dāng)立即報(bào)告����。
網(wǎng)絡(luò)安全事件處置結(jié)束后,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)于10個(gè)工作日內(nèi)報(bào)送事后調(diào)查總結(jié)報(bào)告�����。無法按時(shí)報(bào)送事后調(diào)查總結(jié)報(bào)告的��,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)先按時(shí)報(bào)送初步報(bào)告���,說明承諾報(bào)送事后調(diào)查總結(jié)報(bào)告的日期并按時(shí)報(bào)送����。承諾日期原則上應(yīng)當(dāng)在處置結(jié)束之日起40個(gè)工作日內(nèi)����。
此外,《辦法》還對(duì)中國(guó)人民銀行或其分支機(jī)構(gòu)監(jiān)督和管理責(zé)任落實(shí)���,以及金融從業(yè)機(jī)構(gòu)違反規(guī)定行為的處罰作出了具體規(guī)定��。例如�,中國(guó)人民銀行或其分支機(jī)構(gòu)根據(jù)金融從業(yè)機(jī)構(gòu)報(bào)告處置網(wǎng)絡(luò)安全事件的情況�,可以按照中國(guó)人民銀行執(zhí)法檢查有關(guān)規(guī)定明確的程序,對(duì)金融從業(yè)機(jī)構(gòu)依法實(shí)施檢查�����,金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)予以配合���。金融從業(yè)機(jī)構(gòu)拒絕���、阻礙中國(guó)人民銀行或其分支機(jī)構(gòu)實(shí)施檢查的�����,中國(guó)人民銀行或其分支機(jī)構(gòu)依照網(wǎng)絡(luò)安全法第六十九條予以處罰�����。
據(jù)悉��,中國(guó)人民銀行后續(xù)將加強(qiáng)政策宣傳��,指導(dǎo)金融從業(yè)機(jī)構(gòu)更準(zhǔn)確地理解把握《辦法》條款內(nèi)容積極推進(jìn)落實(shí)�����,引導(dǎo)金融從業(yè)機(jī)構(gòu)結(jié)合自身實(shí)際完善網(wǎng)絡(luò)安全事件分級(jí)標(biāo)準(zhǔn)�、明確網(wǎng)絡(luò)安全事件報(bào)告內(nèi)部職責(zé)分工規(guī)范行政執(zhí)法����,督促金融從業(yè)機(jī)構(gòu)堅(jiān)守網(wǎng)絡(luò)安全事件報(bào)告合規(guī)底線。
法治號(hào)
