标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
前言
在《中华人民共和国网络安全法》(下称“《网络安全法》”)正式施行8周年之际,2025年1月24日,中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法(征求意见稿)》(下称“《管理办法》”),并拟废止早在2002年发布的《银行计算机安全事件报告管理制度》(下称“《现行制度》”),进一步与《网络安全法》等网络安全事件报告管理机制相衔接,以期在中国人民银行业务开展数字化转型的关键时期,更好地规范中国人民银行业务领域网络安全事件报告管理,从而更好地应对与海量银行保险业数据相伴而生的信息安全风险,护航金融服务,保障金融安全。
本文尝试回顾中国人民银行业务领域网络安全事件报告相关规范,梳理《管理办法》的基本监管脉络,并对重点合规要求进行解读,以期协助中国人民银行业务领域的金融从业机构(或称“金融机构”)理顺网络安全事件报告相关义务群,为中国人民银行业务领域未来的网络安全事件响应体系建设优化作出思考与展望。
一、《管理办法》的出台背景与立法亮点
(一) 网络安全事件报告机制的重要行业立法
信息技术的迅猛发展在促进多领域业务数字化转型的同时,也在一定程度上提升了网络安全风险,对于中国人民银行业务领域的金融从业机构而言,一旦发生网络安全事件,将给金融系统的稳定运行带来严峻挑战。
过去数年,我国在网络、信息安全领域相继出台《网络安全法》《数据安全法》《个人信息保护法》以及《网络数据安全管理条例》为主的法律法规,对网络安全事件的定义、网络安全事件应急预案、报告义务等进行了规定,逐步构建了网络安全事件应急响应体系。上述法律法规尚停留在全行业普适的制度体系制定层面,而此次公开征求意见的《管理办法》是在网络安全保护规范体系下针对网络安全事件报告机制的行业立法,填补了中国人民银行业务领域网络安全事件相关专门性规定的空缺,将为金融机构网络安全事件报告提供了更为细化的法律依据。《管理办法》对网络安全事件的报告流程、时限、内容和分级标准作出了详细规定,进一步明确了银行业金融机构在网络安全事件报告中的责任与义务,全面落实并有机衔接了《网络安全法》等现有法律规范,为银行业网络安全事件的及时处置和风险防控提供了有力的法律保障。
具体而言,2017年发布的《国家网络安全事件应急预案》与2023年发布的《网络安全事件报告管理办法(征求意见稿)》共同构成了国家层面网络安全事件应急响应的重要指引。一方面,《国家网络安全事件应急预案》提出了网络安全事件实施分级管理要求,而《管理办法》在此基础上,结合网络系统与数据处理特征确立了中国人民银行业务领域网络安全事件四级网络安全事件分级标准。另一方面,《管理办法》进一步细化了《网络安全事件报告管理办法(征求意见稿)》中的“按照行业主管监管部门要求报告”规定,以期从行业监管进路有效防范金融风险和保障金融安全。
(二) 与《现行制度》的衔接关系
2002年9月,中国人民银行向全国范围内银行领域主体印发了《现行制度》。一直以来,《现行制度》是银行业在网络安全事件报告方面的基础性文件,起到了加强银行计算机安全管理、防范信息系统技术风险以及保障银行信息系统安全运行的重要意义。然而,随着网络空间治理“三驾马车”(即《网络安全法》《数据安全法》《个人信息保护法》)的落地实施,《现行制度》与《网络安全法》等法律规范之间的衔接性有待进一步完善,方能更好地规范金融机构网络安全事件的应急响应机制,并有效应对金融服务数字化、智能化变革所伴生的新型风险。
根据《管理办法》起草说明,中国人民银行拟废止《现行制度》,而《管理办法》则将在《现行制度》基础上衔接《网络安全法》等相关立法中的网络安全事件报告机制。相比《现行制度》,《管理办法》主要在适用范围、网络安全事件分级标准、网络安全事件报告流程与时限、责任主体与追责机制等方面作出了重要修订,体现了中国人民银行对于其业务领域网络安全风险防范的决心和重视。
具体而言,在适用范围上,《管理办法》进一步将《现行制度》主体规制路径调整为行为规制路径,只要涉及金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件的均适用《管理办法》的规制,一方面与中国人民银行监管权限作出了衔接,同时也符合当下的金融机构业务实践情形,充分考量了可能引发中国人民银行业务领域网络安全事件的主体范围。在网络安全事件的分级标准上,《现行制度》并未明确分级标准,而仅规定了涉及触发报告义务的四类计算机安全事件情形,而《管理办法》则在原先的“银行计算机安全事件”基础上拓展并定义了“中国人民银行业务领域网络安全事件”,将网络安全事件分为特别重大、重大、较大和一般四个等级,将分级的考虑因素从业务中断时间、经济损失额度、业务中断影响范围和影响程度拓宽至数据敏感程度、影响人数,同时还对于网络安全事件危害程度结合不同业务时段做了区分,整体网络安全事件分级标准趋于精细化,同时充分考量了金融从业机构信息系统影响范围广、数据敏感程度高、业务时段影响程度差异等金融行业特色。在网络安全事件报告流程与时限上,《管理办法》也在《现行制度》规定的事发报告时限基础上提出了30分钟简要报告以及2小时内报送事发报告的要求,一方面对金融机构响应网络安全事件的时限提出了更高的要求,另一方面也进一步增加了事中报告与事后调查总结报告的合规要求。上述修订不仅契合了网络安全事件发展的动态性,也体现了我国对于中国人民银行业务领域网络安全事件应对完备性与全面性的高度重视。在法律责任层面,较之于《现行制度》强调对于网络安全事件的实际应对,《管理办法》强调“事前预防-事中响应-事后复盘”全流程管理,体现“穿透式监管”思路,并在此基础上与《网络安全法》《数据安全法》与《个人信息保护法》等的法律责任进行了衔接,进一步将责任主体拓宽至对直接负责的主管人员和其他直接责任人员。
(三) 与《中国人民银行业务领域数据安全管理办法(征求意见稿)》的衔接关系
2023年7月,中国人民银行发布了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称“《数据安全管理办法》”)并公开征求意见。《数据安全管理办法》作为业务领域数据安全的统筹立法,针对数据安全事件,就其定级判定、响应处置制度进行了初步规定,但尚未形成具体的实施细则。
《管理办法》在此基础上,进一步细化了网络安全事件的定级标准和报告义务,就网络安全事件的报告流程、报告途径、报告内容以及一些特殊情形下的报告要求均作出了专门规定。例如,当网络安全事件涉及个人信息时,事后调查报告应额外说明依法通知相关个人以及告知个人可以采取减轻危害措施的情况等。对此,我们理解,后续《管理办法》与《数据安全管理办法》需在报告流程机制的具体规定上保持有机衔接,从而协助金融机构全面应对可能的网络安全与数据泄露风险。
二、《管理办法》的重点内容解读
(一) 报告主体
作为确保报告机制有效运行的基础,《管理办法》通过条文明确了网络安全事件的报告主体及其适用范围。与此前征求意见的《数据安全管理办法》一致,《管理办法》的适用范围为“金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件”。
就“中国人民银行业务领域”的定义而言,《管理办法》第3条指出,办法所称的中国人民银行业务领域,是指“依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督管理职责的业务领域。”参考《中华人民共和国中国人民银行法》规定,中国人民银行在国务院领导下,制定和执行货币政策,防范和化解金融风险,维护金融稳定,其具体职责广泛包含制定执行货币政策、管理银行间市场、实施外汇管理等一系列内容。《数据安全管理办法》起草说明也进一步明确了,中国人民银行业务领域主要包括货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域。就“金融从业机构”而言,《管理办法》在第30条给出了金融从业机构的定义,即“金融机构以及经中国人民银行批准设立或者认定的其他机构”,上述主体均应该充分履行《管理办法》下事件分级报告的相应义务。对此,我们理解,《管理办法》的适用范围与中国人民银行的监管职责一脉相承,而企业在自行评估判断自身是否适用《管理办法》时应当参考上述规范,并相应提前部署完善相关合规准备。
(二) 监管部门
《管理办法》由中国人民银行制定、解释并施行,原则上,中国人民银行及其分支机构是银行业网络安全事件报告的主要监管部门。金融从业机构在发生网络安全事件后,应当第一时间按照规定的报告流程及形式向中国人民银行或其分支机构报告;而中国人民银行或其分支机构则有权对金融从业机构实施现场检查,并对违反《管理办法》的机构予以处罚等。
此外,《管理办法》也对于特殊情形下向中国人民银行以外的其他机构进行报告的要求进行了规定,主要包括:
1. 国家外汇领域网络安全事件报告由国家外汇管理局负责,其具体制度可另行制定;
2. 国家有关部门和其他金融管理部门等对网络安全事件报告另有规定的,金融从业机构还应当从其规定报告,同时也规定了中国人民银行需加强与国家有关部门和其他金融管理部门间报告共享与通报,例如《银行保险机构数据安全管理办法》以及《网络安全事件报告管理办法(征求意见稿)》也分别规定了向国家金融监督管理总局或者其派出机构和网信部门报告的合规要求,建议相关企业关注并评估自身是否涉及其他法律规范的报告义务的适用;
3. 涉及危害计算机信息系统等违法犯罪的网络安全事件(如黑客攻击、数据窃取等),金融从业机构还应当及时向公安机关报案,这一规定衔接《刑法》,旨在确保违法犯罪行为能够得到及时查处,维护金融秩序和社会稳定。金融机构在报案时,应当提供事件的相关证据和线索,配合公安机关开展调查工作。
(三) 金融从业机构的网络安全事件分级管理
1. 网络安全事件分级管理框架
为应对网络安全新形势,落实衔接法律法规要求,与《网络安全事件报告管理办法(征求意见稿)》四级管理机制相类似,《管理办法》要求金融机构建立网络安全事件分级管理制度,即金融从业机构需在本机构网络安全管理制度中明确网络安全事件分级标准,将网络安全事件分为特别重大、重大、较大和一般四个等级。具体而言,分级标准需综合考虑事件对业务、资金、客户、舆情等方面的影响程度,并同时考虑其他特殊因素,例如:
1) 特殊业务领域网络相关:与货币存取款、支付交易等密切相关的业务领域网络,需差异化考虑业务高峰时段和非高峰时段的影响。
2) 中国人民银行业务领域数据相关:涉及中国人民银行业务领域数据泄露、篡改、破坏的,应结合中国人民银行业务领域数据安全管理相关规定,制定分级标准。
3) 网络安全等级保护第三级以上的网络相关:针对网络安全等级保护第三级以上的中国人民银行业务领域网络,需逐一细化制定专门适用的分级标准。
上述网络安全事件分级管理机制要求金融机构网络安全事件分级管理、应急处置与及时报告相结合,旨在提升金融从业机构的网络安全事件应对能力,保障金融系统的安全稳定运行,防范和化解网络安全风险。
2. 四类网络安全事件分级标准
根据《管理办法》第七条,金融从业机构的网络安全事件可以分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。
在区分金融从业机构网络安全事件从重到轻四种级别的情形上,主要考量的因素集中于两个方面,一是网络和信息系统是否处于正常运行的状态,以及安全事件造成系统或者业务的瘫痪程度或受影响范围;二是核心数据、重要数据、敏感个人信息、个人信息是否完整、保密、可用,同时还规定了兜底情形,即其他中国人民银行、网信部门、公安机关已明确的应当分级以及具有一定社会影响的网络安全事件。
四类网络安全事件分级标准具体规定如下:
此外,《管理办法》还要求与中国人民银行管理的金融基础设施业务交互功能异常相关的网络安全事件对应的分级标准,金融从业机构应当先征求金融基础设施运营机构意见并协商一致。
3. 网络安全事件分级的内部流程机制
值得企业重点关注的是,《管理办法》提出了动态更新分级标准和实时调整事件等级的机制,强化了金融从业机构对网络安全事件的管理能力。一方面要求金融从业机构在日常工作中定期评估和更新分级标准,另一方面要求在网络安全事件发生和演变过程中,根据实际情况灵活调整事件等级,确保分级管理的科学性和有效性。
1) 分级标准动态更新
根据《管理办法》,金融从业机构应当每年组织评估并视情况更新分级标准。一旦分级标准更新,需报本机构网络安全直接责任人批准。该机制适应了网络安全形势的变化和业务发展需求,确保分级标准的时效性和适应性,以有效应对不断变化的网络安全威胁。
2) 事发事中分级
同时,《管理办法》对网络安全事件事发事中的分级认定提出动态管理要求,强调金融从业机构在网络安全事件发展过程中持续关注其影响范围和危害程度,以提高对网络安全事件动态发展的实时监测和响应能力。如果网络安全事件发展达到更高级别的分级标准,金融从业机构需立即调高网络安全事件等级,确保在事件演变过程中能够及时采取更高级别的应对措施,降低潜在风险。
(四) 报告流程机制
根据《管理办法》,网络安全事件报告机制要求金融从业机构在事件发生后,依据明确的分级标准快速判断事件等级,并按照规定的时间和内容要求向监管部门报告,具体报告流程机制如下图所示:
(五) 报告内容
根据《管理办法》,网络安全事件的报告内容需根据不同报告阶段和具体情形提供详细信息。
1. 事发简要报告:事发简要报告应包括初次确定的事件等级、事发时间、事件分类、受影响的网络及保护等级、涉及的数据中心、报告机构和时间、报告人及联系方式等基本信息。事发报告需在此基础上增补影响范围和程度、已采取的措施及效果,网络攻击事件还需增补分析研判情况。
2. 事中报告:事中报告应进一步说明最新确定的事件等级、影响变化、处置进展及下一步措施,如有需协调支持的事项也应一并说明。
3. 事后调查总结报告:事后调查总结报告则需涵盖最终确定的事件等级、处置历程、影响和损失评估、根源分析、经验教训、改进措施、报告机构和时间、报告人及签发人等全面内容。
除上述一般报告内容要求外,对于涉及个人信息、责任认定、减免责任处理特殊情形的,《管理办法》还提出了进一步信息补充说明的要求,企业需要根据实际情况判断并调整报告内容,以确保报告内容的完备性。
(六) 法律责任
企业若违反《管理办法》的规定,中国人民银行及其分支机构会按照《网络安全法》《数据安全法》《个人信息保护法》等上位法进行处罚。考虑到上述法律法规的法律责任上限均较高,同时也在部分情形下规定了“双罚制”,如违反《管理办法》可能会对企业及直接负责的主管人员和其他直接责任人员造成较为严重的影响。
需要企业重点关注的是,《管理办法》也明确了“从轻或减轻情节”,金融从业机构在接受中国人民银行或其分支机构检查时,主动供述检查人员尚未掌握的未按《管理办法》规定报告网络安全事件行为的,可以从轻或减轻处罚。
三、《管理办法》的延伸思考与立法展望
(一) 与其他中国人民银行业务领域主体适用的网络安全事件管理要求之间的衔接及网络安全事件报告共享机制
根据既有法律规范网络安全事件报告义务的适用范围的相关规定,不难发现,如落入《管理办法》适用范围的相关主体(如商业银行等),也将可能同步受到《银行保险机构数据安全管理办法》等相关法律规范的交叉监管。以商业银行发生涉及数据泄露的较大等级以上网络安全事件为例,其将可能同时需要向国家金融监督管理总局或者其派出机构,中国人民银行或其分支机构,网信部门,保护工作部门与公安机关(如涉及关键信息基础设施)进行报告,同时,《银行保险机构数据安全管理办法》与《管理办法》在事发报告和事后调查总结报告的报告时间不完全一致,二者在事中报告义务的适用情形以及安全事件分级标准也不完全一致,此外,较之《管理办法》,《银行保险机构数据安全管理办法》未明确具体报告内容。
针对金融从业机构在网络安全事件处置中可能面临《网络安全法》《数据安全法》《个人信息保护法》《银行保险机构数据安全管理办法》以及《管理办法》等多部法律规范下报告义务交叉竞合问题,我们建议在《管理办法》后续修订中,需重点关注“义务群”的体系化衔接问题,如建立“触发事件类型-报告主体类型/层级-报送内容颗粒度”映射机制。具体而言,在制度设计层面明确以下协调机制:其一,针对同一网络安全事件同时触发多项报告义务的情形,可借鉴欧盟《通用数据保护条例》(GDPR)的“单一窗口”机制,允许金融机构通过统一格式的标准化报告模板,向中国人民银行、国家网信办等监管部门同步开展报告,避免因多头报送导致文本重复,增加非必要的合规成本;其二,针对不同法律对事件定级标准的差异性表述,建议在后续行业规范性文件或行业标准建立与落地中探索建立“网络安全事件要素对照索引”,将金融数据泄露量级、系统中断时长等量化指标与既有法律规范中的分级条款建立对应关系,为金融机构提供“一键式”合规工具;其三,或可探索建立“主报告+补充附件”的模块化报送机制,要求企业通过结构化数据表单完成基础信息报送后,再根据具体适用的法律要求选择性附加专项分析模块,从而在满足监管要求的前提下最大限度实现报告文本的跨场景和不同监管部门间的复用。此类制度创新既能缓解金融机构因法条竞合产生的合规负担,亦可通过标准化数据接口提升监管部门间的信息协同效率,最终实现“企业减负”与“监管增效”的双重政策目标。
(二) 对企业的合规启发
尽管《管理办法》仍处于征求意见阶段,但作为中国人民银行业务领域网络安全监管体系的重要补充性文件,其对于《网络安全法》等相关上位法律中针对网络安全事件分级管理和响应报告机制的规范要求细化,为中国人民银行业务领域的金融从业机构构建标准化、规范化的网络安全应急管理体系提供了极具实务价值的政策指引。
基于当前立法进程研判,建议相关金融机构建立"动态跟踪+前瞻部署"的双轨合规机制。在政策跟踪层面,建议企业持续关注中国人民银行后续发布的《管理办法》中关于网络安全事件定级标准、报告时限等核心条款的起草动向。在制度建设层面,企业应当重点对照《管理办法》的相关要求,着手内部研判重构健全企业内部网络安全事件应急预案的方式路径,明确信息技术部门,业务部门、合规管理部门在事件发现、定级评估、报告审批等环节的权责划分,同步建立覆盖公司内部各业务部门各层级的垂直报告体系。在网络安全应急能力建设维度,企业定期组织跨部门的“红蓝对抗”应急演练,通过模拟勒索病毒攻击、客户数据泄露等典型场景,检验公司内部网络安全事件分级响应机制的有效性,构建“制度+技术+人员”三位一体的合规生态,从而在《管理办法》正式落地时实现平稳过渡,同时提高网络安全事件应急处置效率,并系统性完善网络安全风险应对能力。
四、结语
回看《网络安全法》等上位法实施以来的配套法律规范立法历程与执法实践,《管理办法》不仅仅是对既有法律框架的纵深延伸,而且也充分彰显了中国人民银行强化网络安全事件分级管理、规范网络安全事件报告要求、压实金融从业机构主体责任、保障金融服务与金融安全的高度重视与坚定决心。后续《管理办法》的完善、落地,无疑也将顺应中国人民银行业务数字化转型趋势,在中国人民银行业务领域延续《网络安全法》的生命力,为保障网络安全,护航金融服务有序开展筑起一道更为坚实的防护墙,从而实现安全与发展的“双轮驱动、两翼齐飞”。
对此,我们理解,《管理办法》给依法依规经营的金融从业机构带来的应是信心而非阻力,尽管必不可免地将带来一定的合规建设成本,但其也会在市场竞争中转化为合规优势,使得金融从业机构将安全和合规融入业务经营,在确保网络安全与数据合规的基础上盘活金融机构数据资源和业务活力,从而更为精准、有力地在智能化新变局从容“亮剑”。
扫码订阅“金杜律师事务所”,了解更多业务资讯
