《中国人民银行业务领域网络安全事件报告管理办法》解读

《中国人民银行业务领域网络安全事件报告管理办法》(中国人民银行令〔2025〕第4号)(以下简称《办法》)将于2025年8月1日起施行。本文结合央行有关部门负责人答记者问的内容,对《办法》的核心内容进行梳理和解读,并围绕金融安全相关议题展开思考与展望。

一、《办法》出台的背景

《办法》出台的背景可以追溯至2002年中国人民银行颁布的《银行计算机安全事件报告管理制度》(银发〔2002〕280号文)(以下简称《制度》)印发。彼时正值我国互联网从早期向成熟阶段过渡,互联网治理框架初步建立,《制度》的出台首次确立了金融网络信息安全的治理和监管体系,具有里程碑意义。

近年来,5G、人工智能、区块链等新兴技术推动金融业数字化转型加速,移动支付普及率达98%,数字人民币等创新应用不断涌现。面对更加复杂的金融业务形态和不断演化的网络安全威胁,我国亟需一套更加系统、精细、契合当下实际的网络安全事件报告制度,以更有效保障金融体系的稳健运行与数据安全。

在此背景下,《办法》的出台,一方面体现了近年来颁布的《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规在金融领域的制度化落实;另一方面,是对2002年出台的《制度》的有机衔接和全面升级,旨在构建更契合当下金融科技发展实际的网络安全管理体系。

二、《办法》的主要变化和特点:

对比《银行计算机安全事件报告管理制度

1明确适用范围

第二条规定:“金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件时,应当按照本办法规定向中国人民银行或者住所地中国人民银行分支机构报告”。

第三条对相关概念作出界定,“中国人民银行业务领域”指“依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督和管理职责的业务领域”;“网络安全事件”则包括“由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对中国人民银行建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件”。

第三十一条进一步解释,“金融从业机构”包括金融机构以及经中国人民银行批准设立或者认定的其他机构。

2网络安全事件分级

阈值体系优化升级:《办法》基于网络安全事件的影响范围和危害程度,建立了多重阈值评估体系,将网络安全事件划分为特别重大、重大、较大和一般四个等级。相比原有标准,《办法》对各等级事件判定的阈值标准与大小也进行了与时俱进的调整。

判定标准多维度扩展:《办法》引入了更加多元的评估维度,涵盖用户规模、核心数据、个人信息等关键要素。同时,《办法》充分体现多部门协同处置的现实需求,将网信部门、公安机关已明确应当分级的事件,及中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构应当分级的事件,一并纳入分级适用范围,增强了制度设计的联动性与可操作性。

差异化制定分级且动态调整:《办法》要求金融从业机构在制定自身分级标准时,需遵从差异化综合考虑和动态灵活调整的原则。第六条明确要求,金融从业机构应当 “每年组织评估并视情更新分级标准”,并应 “综合考虑网络安全事件对业务、用户等的影响程度”,同时“差异化考虑业务高峰时段和非业务高峰时段”。

3网络安全事件报告机制

报告的路径精准明晰:《办法》对网络安全事件的报告路径作出精细划分,强化了报告路径的制度化与可操作性。对于国开行、政策性银行、国有商业银行等关键主体,明确要求直接向中国人民银行报告。对于中国人民银行所属单位及其管理的金融基础设施运营机构,也统一向总行报告。此外,《办法》还明确了中国人民银行内部的分级上报路径:计划单列市和地市分行接报辖区较大等级及以上事件时,应及时上报省级分行;省级分行及深圳市分行接报辖区重大等级及以上事件时,则需及时上报人民银行总行。本文对《办法》所制定的网络安全事件报告路径进行归纳整理,具体如下图所示。

图片

报告的流程健全完善:对于较大等级以上的网络安全事件,《办法》明确要求金融从业机构在事发阶段先行及时简报,随后提交详细的事发报告。值得关注的是,即便事件尚未达到较大等级,但若引发舆情热点,也应按较大等级及以上标准进行报告和处置。此外,《办法》还要求金融从业机构按阶段递交事中报告和事后报告,强调事中阶段应及时调整事件等级,并报告阶段性进展及新增问题;事后阶段则应积极复盘、总结经验教训。

报告的内容分阶段细化明确:《办法》对简要事发报告、事发报告、事中报告和事后报告的内容均作出明确规定。简要事发报告聚焦事件基本信息;事发报告补充处置措施及分析研判情况;事中报告动态更新事件进展及后续应对措施;事后报告则全面复盘事件经过,评估影响与原因,提出整改措施,推动形成闭环管理机制。

图片

4法律责任

《办法》进一步明确了金融从业机构及中国人民银行系统内部在网络安全事件方面的法律责任。金融从业机构如未按要求报告、配合检查或及时采取措施,依照《网络安全法》《数据安全法》《个人信息保护法》分别追责;主动供述未发现问题的,可从轻处理。人民银行分支机构若失职失责、造成严重后果,也将对相关人员依规依纪依法严肃问责,形成制度内外并重的责任闭环。

三、对金融安全议题的思考

1与时俱进,积极回应技术发展

《办法》的出台,体现了中国人民银行对现代金融业务与网络科技深度融合现实的积极回应,以及制度层面的与时俱进。随着互联网、移动终端、云计算等新兴技术的广泛应用,金融网络安全事件的传播速度和影响范围显著扩大,在事发阶段危害等级较低的事件也可能在短时间内演变为等级较高的大规模事件,传统的静态报告机制已难以有效应对。以银行为例,若在遭受网络攻击时未能及时履行报告义务并启动应急响应,异常交易可能迅速扩散,诱发客户恐慌、业务中断等连锁反应,最终演变为系统性金融风险。为此,《办法》明确建立了覆盖事发、事中、事后各阶段的全周期报告机制,以提升事件响应的及时性与有效性。此外,在社交媒体平台的放大效应下,网络安全事件往往可能迅速发酵并演变为公共舆情事件。《办法》对此高度关注,特别强调金融从业机构对可能引发舆情热点的事件同样按较大等级以上网络安全事件的标准进行报告处理。

2协同合作,筑牢金融网络安全防线

《办法》明确,特别重大和重大网络安全事件应在规定时间内报告中国人民银行。对于国家有关部门及其他金融监管部门规定需报告的事件,金融从业机构也应按要求报送。涉及危害计算机信息系统等违法犯罪的事件,还应及时向公安机关报案。中国人民银行加强与相关部门的信息共享,按照国家规定向其通报事件,并根据需求向其他金融监管部门通报。网信部门、公安机关已明确分级的事件,以及中国人民银行及其下属机构书面通知需分级的事件,均纳入分级管理范围。此跨部门联动机制表明,金融网络安全已从行业内部事务提升为关系国家安全和社会稳定的综合治理议题。在数字化背景下,金融安全深度融入国家整体安全体系,《办法》通过制度设计推动了金融安全治理与国家网络安全协同发展。

作者:徐褆泽

中国人民银行业务领域网络安全事件分级简表

图片

网络安全事件分级判定详情及触发逻辑

图片

定级触发逻辑流程图

图片

中国人民银行业务领域网络安全事件报告管理办法  

第一章  总  则

第一条 为规范中国人民银行业务领域网络安全事件报告管理,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国中国人民银行法》等法律、行政法规,制定本办法。

第二条 金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件时,应当按照本办法规定向中国人民银行或者住所地中国人民银行分支机构报告。非中国人民银行业务领域网络安全事件无须按照本办法规定报告。涉及国家秘密的,按照有关规定执行。

第三条 本办法所称中国人民银行业务领域,指依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督和管理职责的业务领域。

本办法所称中国人民银行业务领域网络安全事件(以下简称网络安全事件),指由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对本机构建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件。

第四条 国家有关部门和其他金融管理部门等对网络安全事件报告有规定的,金融从业机构还应当从其规定报告。涉及危害计算机信息系统等违法犯罪的网络安全事件,金融从业机构还应当及时向公安机关报案。

中国人民银行加强与国家有关部门和其他金融管理部门间的网络安全事件报告内容共享,按照国家有关部门规定向其通报网络安全事件,并根据其他金融管理部门需要向其通报网络安全事件。

第五条 任何个人和组织有权向中国人民银行或其分支机构举报金融从业机构未按照本办法规定报告网络安全事件的行为。中国人民银行或其分支机构对举报人的相关信息予以保密。

第二章  网络安全事件分级

第六条 金融从业机构应当在本机构网络安全管理制度或者操作规程中明确网络安全事件分级标准(以下简称分级标准),将网络安全事件分为特别重大、重大、较大和一般四个等级。金融从业机构应当每年组织评估并视情更新分级标准。分级标准如有更新,应当报本机构主管网络安全的领导班子成员批准。

金融从业机构制定分级标准时,应当综合考虑网络安全事件对业务、用户等的影响程度。金融从业机构针对与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络制定分级标准时,应当差异化考虑业务高峰时段和非业务高峰时段网络安全事件对业务处理的影响程度。

金融从业机构还应当结合中国人民银行业务领域数据安全管理相关规定,制定与中国人民银行业务领域数据遭到篡改、破坏、泄露相关的分级标准。

金融从业机构可以针对网络安全等级保护三级以上的中国人民银行业务领域网络,逐一细化制定专门适用的分级标准。

第七条 符合下列情形之一的,应当分级为特别重大网络安全事件:

(一)属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行3小时以上或者单个省级行政区范围整体中断运行6小时以上的;

(二)提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响1000万个以上自然人或者100万个以上法人和其他组织的;

(三)中国人民银行业务领域核心数据遭到篡改、破坏、泄露的;

(四)致使泄露1000万条以上敏感个人信息或者1亿条以上个人信息的;

(五)网信部门、公安机关已明确应当分级为特别重大网络安全事件的;

(六)中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构,应当分级为特别重大网络安全事件的。

第八条 符合下列情形之一的,应当至少分级为重大网络安全事件:

(一)属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行1.5小时以上或者单个省级行政区范围整体中断运行3小时以上的;

(二)提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响100万个以上自然人或者10万个以上法人和其他组织的;

(三)中国人民银行业务领域重要数据遭到篡改、破坏、泄露的;

(四)致使泄露100万条以上敏感个人信息或者1000万条以上个人信息的;

(五)网信部门、公安机关已明确应当分级为重大网络安全事件的;

(六)中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构,应当分级为重大网络安全事件的。

第九条 符合下列情形之一的,应当至少分级为较大网络安全事件:

(一)属于金融基础设施、直接服务5000万个以上自然人或者与货币存取款、支付交易、税款缴库、银行间市场交易密切相关的中国人民银行业务领域网络,主要功能在业务高峰时段出现两个以上省级行政区范围整体中断运行15分钟以上或者单个省级行政区范围整体中断运行30分钟以上的;

(二)提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响10万个以上自然人或者5000个以上法人和其他组织的;

(三)致使泄露500条以上征信信息、财产信息,或者致使泄露5万条以上个人信息的;

(四)遭受勒索恶意程序攻击,已对中国人民银行业务领域网络或者中国人民银行业务领域数据造成危害后果的;

(五)网信部门、公安机关已明确应当分级为较大网络安全事件的。

第十条 符合下列情形之一的,应当至少分级为一般网络安全事件:

(一)提供金融服务的中国人民银行业务领域网络,主要功能出现单个省级行政区范围整体中断运行30分钟以上的;

(二)提供金融服务的中国人民银行业务领域网络,主要功能出现中断、超时报错等情形,导致业务无法正常开展,经合理测算或者估算,已实际影响1万个以上自然人或者1000个以上法人和其他组织的;

(三)中国人民银行业务领域网络主要功能出现中断、超时报错等情形,导致业务无法正常开展,已持续1小时以上的;

(四)中国人民银行业务领域数据遭到篡改、破坏、泄露,导致社会危害的;

(五)发生或者可能发生个人信息泄露、篡改、丢失的;

(六)网信部门、公安机关已明确应当分级为一般网络安全事件的。

第十一条 金融从业机构制定与中国人民银行管理的金融基础设施业务交互功能异常相关的分级标准时,应当征求金融基础设施运营机构意见并协商一致。

第十二条 金融从业机构发生网络安全事件时,应当对照分级标准,综合确定网络安全事件等级。同时符合多个分级标准的,应当按照最高级别确定网络安全事件等级。对照分级标准无法准确确定网络安全事件等级的,应当至少分级为较大网络安全事件。

因灾害或者信息基础设施故障,导致金融从业机构多个中国人民银行业务领域网络同时发生网络安全事件时,应当先分别确定网络安全事件等级,再按照各网络安全事件等级中的最高级别,确定整体的网络安全事件等级。

网络安全事件事态发展情况已达到更高级别分级标准时,金融从业机构应当立即调整网络安全事件等级。第三章  网络安全事件报告

第十三条 金融从业机构应当明确应急处置与报告的职责分工,确保网络安全事件报告及时、准确、完整,不得迟报、漏报或者瞒报。

金融从业机构应当健全网络安全风险监测预警体系,提升第一时间发现和报告网络安全事件的技术能力。

金融从业机构发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施。按照本办法规定报告网络安全事件时,不应迟滞业务恢复、存证溯源、用户解释、舆情应对等处置工作。

第十四条 国家开发银行、政策性银行、国有商业银行、中国邮政储蓄银行、股份制商业银行、属于系统重要性金融机构的城市商业银行、系统重要性非银行支付机构、经营个人征信业务的征信机构发生网络安全事件时,应当向中国人民银行报告;其分支机构发生网络安全事件时,应当向住所地中国人民银行分支机构报告。中国人民银行所属单位及其管理的金融基础设施运营机构发生网络安全事件时,应当向中国人民银行报告。其他金融从业机构或其分支机构发生网络安全事件时,应当向住所地中国人民银行分支机构报告;在保障报告时效性前提下,证券、期货、基金机构发生网络安全事件时,经中国证监会派出机构转通报同级中国人民银行分支机构。

中国人民银行计划单列市分行(不含深圳市分行)、地市分行接报辖区发生较大等级以上网络安全事件时,应当及时上报至中国人民银行省级分行。中国人民银行省级分行、深圳市分行接报辖区发生重大等级以上网络安全事件时,应当及时上报至中国人民银行。

第十五条 金融从业机构发生较大等级以上网络安全事件后,应当于1小时内报送网络安全事件事发简要报告,并在24小时内报送网络安全事件事发报告

金融从业机构发生网络安全事件,尚未达到较大等级,但出现相关舆情信息进入社交媒体、搜索引擎或者新闻网站热点榜等情形,引发较大舆情的,应当按照前款规定报告。

第十六条 对于重大等级以上网络安全事件,金融从业机构应当至少每隔2小时进行事中进展报告直至处置结束。处置过程中如出现调高网络安全事件等级、处置取得阶段性进展、发现新的问题等重要情况时,应当立即报告。

第十七条 网络安全事件处置结束后,金融从业机构应当于10个工作日内报送事后调查总结报告。无法按时报送事后调查总结报告的,金融从业机构应当先按时报送初步报告,说明承诺报送事后调查总结报告的日期并按时报送。承诺日期原则上应当在处置结束之日起40个工作日内。

第十八条 金融从业机构可以通过电话、即时通信工具、电子邮件、传真或者中国人民银行指定的信息系统报送网络安全事件事发简要报告、事发报告和事中进展报告;采用电子邮件、传真方式报告的,应当通过电话或者即时通信工具确认中国人民银行或其分支机构已收悉。涉及工作秘密的,不得通过互联网渠道报告。

金融从业机构应当书面报送网络安全事件事后调查总结报告,并加盖本机构或者承担报告职责内设部门公章。中国人民银行对网络安全事件事后调查总结报告另有电子化报送规定的,金融从业机构还应当按照规定电子化报送。

第十九条 网络安全事件事发简要报告内容包括初次确定的网络安全事件等级、事发时间、依据网络安全事件分类分级相关国家标准确定的网络安全事件分类、影响的中国人民银行业务领域网络及其对应的网络安全保护等级、涉及的数据中心、报告机构和报告时间、报告人和联系方式。网络安全事件事发报告应当在事发简要报告内容基础上,增补影响范围和程度、已采取的措施和效果,网络攻击事件还应当增补分析研判情况。

网络安全事件事中进展报告应当在事发简要报告基础上,增补说明最新确定的网络安全事件等级、影响的变化、处置进展和下一步拟采取的措施。如存在需中国人民银行或其分支机构协调支持处置的事项,应当一并说明。

网络安全事件事后调查总结报告内容应当包括最终确定的网络安全事件等级、处置历程回顾、影响损失评估、技术或者管理问题根源分析、处置经验教训、后续改进措施、报告机构和报告时间、报告人和联系方式、签发人。

第二十条 金融从业机构发生网络安全事件涉及个人信息泄露、篡改、丢失的,事后调查总结报告还应当说明本机构为有效避免网络安全事件危害所采取的补救措施、依法通知个人的情况和告知个人可以采取减轻危害措施的情况。

对于重大等级以上网络安全事件,前款所列内容应当在事中进展报告中提前予以说明。

第二十一条 较大等级以上网络安全事件事后调查总结报告内容,还应当包括直接负责的主管人员和其他直接责任人员的责任认定和对应责任处理情况。

金融从业机构应当综合考虑动机态度、客观条件、程序方法、后果影响、挽回损失等因素,在本机构网络安全管理制度中明确责任处理的差异化适用情形。事后调查总结报告中对直接负责的主管人员和其他直接责任人员的处理措施,应当符合本机构网络安全管理制度规定。

第二十二条 满足下列条件之一并且能提供相关证明材料的,金融从业机构可以根据直接负责的主管人员和其他直接责任人员具体承担职责,视情针对性减轻或者免除责任处理,但应当在网络安全事件事后调查总结报告中予以说明:

(一)已按本办法规定主动报告,同时按照本机构网络安全事件应急预案有关程序立即进行处置,尽最大努力降低影响的;

(二)网络技术创新和应用过程中因缺乏经验、先行先试造成网络安全事件,且没有主观过错的;

(三)已切实落实中国人民银行和本机构网络安全、数据安全相关管理制度要求,并严格执行本机构相关操作规程的。

第二十三条 中国人民银行或其分支机构认为金融从业机构网络安全事件事后调查总结报告存在内容缺失、原因分析不清、影响损失评估失实、责任认定或者处理不当等情形,退回事后调查总结报告并正式反馈修改意见的,金融从业机构应当在收到反馈之日起10个工作日内完善事后调查总结报告并重新报送。

第二十四条 金融从业机构收到中国人民银行或其分支机构通报的其网络产品、服务存在运行异常、疑似数据泄露、安全缺陷、漏洞等风险提示时,应当立即组织核查,采取必要补救措施。经核查风险属实并构成网络安全事件的,金融从业机构应当按照本办法规定进行报告;风险不属实或者尚不构成网络安全事件的,应当根据通报要求按时反馈风险核查处置情况。

第二十五条 金融从业机构应当建立网络安全事件台账,完整准确记录网络安全事件事发时间、事发报告时间、中国人民银行或其分支机构接报联系人和对应的网络安全事件报告内容。中国人民银行分支机构应当相应建立辖区网络安全事件台账。台账应当至少留存三年。

第四章  法律责任

第二十六条 中国人民银行或其分支机构根据金融从业机构报告处置网络安全事件的情况,可以按照中国人民银行执法检查有关规定明确的程序,对金融从业机构依法实施检查,金融从业机构应当予以配合。

金融从业机构拒绝、阻碍中国人民银行或其分支机构实施检查的,中国人民银行或其分支机构依照《中华人民共和国网络安全法》第六十九条予以处罚。

第二十七条 金融从业机构未按照本办法规定报告网络安全事件的,中国人民银行或其分支机构依照《中华人民共和国网络安全法》第五十九条予以处罚。

前款行为涉及中国人民银行业务领域数据遭到篡改、破坏、泄露或者非法获取、非法利用的,中国人民银行或其分支机构依照《中华人民共和国数据安全法》第四十五条予以处罚;前款行为涉及个人信息泄露、篡改、丢失的,中国人民银行或其分支机构可以依照《中华人民共和国个人信息保护法》第六十六条予以处罚。

第二十八条 金融从业机构收到中国人民银行或其分支机构通报的风险,如果风险属实,但未立即采取补救措施或者未按照本办法规定按时反馈核查处置情况的,中国人民银行或其分支机构依照《中华人民共和国网络安全法》第六十条予以处罚。

有前款行为并且通报的风险为数据安全缺陷、漏洞的,中国人民银行或其分支机构依照《中华人民共和国数据安全法》第四十五条予以处罚。

第二十九条 金融从业机构在接受中国人民银行或其分支机构检查时,主动供述检查人员尚未掌握的未按照本办法规定报告网络安全事件行为的,应当从轻或者减轻处罚。

第三十条 中国人民银行分支机构未按照本办法规定报告网络安全事件,存在失职失责行为,造成重大损失、严重后果或者恶劣影响的,对直接负责的主管人员和其他直接责任人员依规依纪依法予以严肃追责问责。

第五章  附  则

第三十一条 本办法下列用语的含义:

(一)金融从业机构,是指金融机构以及经中国人民银行批准设立或者认定的其他机构。

(二)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

(三)业务高峰时段,是指按年度统计的分时平均业务量超过日平均业务量百分之三的时段,或者依据本机构制度列明的其他合理计算方式确定的时段。

(四)整体中断运行,是指因网络安全事件,某一时段内未处理和处理失败业务量与正常情况全部业务量的比例,经合理测算或者估算,已经超过百分之七十。

(五)主要功能,是指与用户身份认证或者业务交互相关的功能。

(六)本办法所称“以上”均含本数。

第三十二条 本办法由中国人民银行负责解释。

中国人民银行分支机构自身发生的网络安全事件应当向其上级行报告,报告时效、途径和内容等要求按照本办法对金融从业机构的规定执行。

第三十三条 本办法自2025年8月1日起施行。《银行计算机安全事件报告管理制度》(银发〔2002〕280号文印发)、《中国人民银行计算机系统信息安全报告制度》(银发〔2010〕366号文印发)同时废止。