《中国人民银行业务领域网络安全事件报告管理办法》发布，金融网络安全合规体系进一步健全

近期中国人民银行发布。《办法》共五章三十三条：第一章明确了《办法》制定依据、适用范围、向其他部门报告通报协作机制和社会监督机制；第二章对网络安全事件分级管理作出规定，明确特别重大、重大、较大、一般等级网络安全事件的分级标准底线规则；第三章对网络安全事件报告流程、内容、时效、途径等作出规定；第四章对中国人民银行或其分支机构监督和管理责任落实，以及金融从业机构违反规定行为的处罚作出规定；第五章对术语定义、解释权和施行日期作出规定。《办法》自2025年8月1日起施行。

该《办法》最初于2025年2月公开征求了社会意见，本次为正式发布。

比较来看，主体内容基本不变的同时，也有几处重要修改。

一是进一步完善了事件分级的具体指标。在自然人数量指标的基础上，增加了受影响的法人数量指标，如“实际影响 100 万个以上法人和其他组织的”业务中断等情形，可判定为特别重大网络安全事件。

二是进一步扩大了事件报告的对象范围。将“属于系统重要性金融机构的城市商业银行、系统重要性非银行支付机构、经营个人征信业务的征信机构”也统一纳入事件报告体系中。

三是将舆情指标调整为事件报告的实践指标之一。不再将其作为在“较大”网络安全事件的认定标准，而是作为等同于较大网络安全事件需要进行事件报告的实践标准予以明确（第十五条）。

四是进一步提升相关规定的科学化和规范化。如将事件报告过程涉及“敏感信息”的情形，修改为“工作秘密”；不再对“分级标准明显不合理”等情形进行法律追责；将“安全可信的网络产品和服务”改为“网络技术创新和应用”等。

一是明确了事件的定级模式。采取“授权定级+底线规则”的模式，即：规定了网络安全事件的四级分级框架，将具体定级标准的制定授权给相关金融从业机构；同时，又明确了各级标准的最低线要求。

二是明确了事件报告的流程。按照事发、事中、事后三个阶段，规定了较大级事件的事发简要报告（1 小时内）、事发报告（24 小时内）、事中进展报告（每隔 2 小时）、事后调查总结报告（10 工作日内）等重要节点。

三是确立了“合规减免责”的责任机制。《办法》第二十二条明确了减免责的情形，涉及预案处置、产品技术应用、落实制度和规程三类，只要证明满足其中一项，即可视为满足责任减免的条件。

一方面，推进金融领域网络和数据安全法规制度健全。此前，央行、国家金融管理局等部门已先后发布了《银行保险机构数据安全管理办法》、《中国人民银行业务领域数据安全管理办法》、《关于加强银行业保险业移动互联网应用程序管理的通知》等法规制度，此次《中国人民银行业务领域网络安全事件报告》的发布，为金融领域网络和数据安全增加了一项重要的合规依据。

另一方面，将有助于促进行业市场机会。网络安全事件报告制度的出台，提出了事件定级、事件报告等多方面的要求。这些要求的落实，则离不开专业化的网络安全事件咨询和培训服务、网络安全事件监测预警、网络安全事件应急处置等。这些无疑都会成为金融行业网络安全潜在的市场机会。