第一章 總 則
第一條 為規範中國人民銀行業務領域網絡安全事件報告管理����,根據���《中華人民共和國網絡安全法》����、��《中華人民共和國數據安全法》��、���《中華人民共和國個人信息保護法》���、��《中華人民共和國中國人民銀行法》等法律���、行政法規���,制定本辦法。
第二條 金融從業组织在中華人民共和國境內發生中國人民銀行業務領域網絡安全事件時��,應當按照本辦法規定向中國人民銀行或者住所地中國人民銀行分支组织報告。非中國人民銀行業務領域網絡安全事件無須按照本辦法規定報告。涉及國家秘密的����,按照有關規定執行。
第三條 本辦法所稱中國人民銀行業務領域����,指依據法律��、行政法規����,黨中央����、國務院決定���,由中國人民銀行承擔監督和管理職責的業務領域。
本辦法所稱中國人民銀行業務領域網絡安全事件���(以下簡稱網絡安全事件)����,指由於人為原因��、遭受網絡攻擊��、存在漏洞隱患����、軟硬件缺陷或故障���、不可抗力等因素��,對本组织建設��、運營����、維護��、管理的中國人民銀行業務領域網絡或者處理的中國人民銀行業務領域數據造成危害的事件。
第四條 國家有關部門和其他金融管理部門等對網絡安全事件報告有規定的���,金融從業组织還應當從其規定報告。涉及危害計算機信息系統等違法犯罪的網絡安全事件����,金融從業组织還應當及時向公安機關報案。
中國人民銀行加強與國家有關部門和其他金融管理部門間的網絡安全事件報告內容共享��,按照國家有關部門規定向其通報網絡安全事件����,並根據其他金融管理部門需要向其通報網絡安全事件。
第五條 任何個人和組織有權向中國人民銀行或其分支组织舉報金融從業组织未按照本辦法規定報告網絡安全事件的行為。中國人民銀行或其分支组织對舉報人的相關信息予以保密。
第二章 網絡安全事件分級
第六條 金融從業组织應當在本组织網絡安全管理制度或者操作規程中明確網絡安全事件分級標準����(以下簡稱分級標準)����,將網絡安全事件分為特別重大���、重大���、較大和一般四個等級。金融從業组织應當每年組織評估並視情更新分級標準。分級標準如有更新���,應當報本组织主管網絡安全的領導班子成員批准。
金融從業组织制定分級標準時���,應當綜合考慮網絡安全事件對業務����、用戶等的影響程度。金融從業组织針對與貨幣存取款��、支付交易����、稅款繳庫����、銀行間市場交易密切相關的中國人民銀行業務領域網絡制定分級標準時��,應當差異化考慮業務高峰時段和非業務高峰時段網絡安全事件對業務處理的影響程度。
金融從業组织還應當結合中國人民銀行業務領域數據安全管理相關規定��,制定與中國人民銀行業務領域數據遭到篡改��、破壞���、泄露相關的分級標準。
金融從業组织可以針對網絡安全等級保護三級以上的中國人民銀行業務領域網絡���,逐一細化制定專門適用的分級標準。
第七條 符合下列情形之一的���,應當分級為特別重大網絡安全事件����:
���(一)屬於金融基礎設施��、直接服務5000萬個以上自然人或者與貨幣存取款���、支付交易��、稅款繳庫����、銀行間市場交易密切相關的中國人民銀行業務領域網絡����,主要功能在業務高峰時段出現兩個以上省級行政區範圍整體中斷運行3小時以上或者單個省級行政區範圍整體中斷運行6小時以上的;
����(二)给予金融服務的中國人民銀行業務領域網絡����,主要功能出現中斷����、超時報錯等情形���,導致業務無法正常召开����,經合理測算或者估算���,已實際影響1000萬個以上自然人或者100萬個以上法人和其他組織的;
��(三)中國人民銀行業務領域核心數據遭到篡改��、破壞��、泄露的;
���(四)致使泄露1000萬條以上敏感個人信息或者1億條以上個人信息的;
��(五)網信部門����、公安機關已明確應當分級為特別重大網絡安全事件的;
����(六)中國人民銀行或其上海總部��、省級分行��、計劃單列市分行研判並書面告知金融從業组织���,應當分級為特別重大網絡安全事件的。
第八條 符合下列情形之一的��,應當至少分級為重大網絡安全事件���:
��(一)屬於金融基礎設施���、直接服務5000萬個以上自然人或者與貨幣存取款���、支付交易����、稅款繳庫��、銀行間市場交易密切相關的中國人民銀行業務領域網絡���,主要功能在業務高峰時段出現兩個以上省級行政區範圍整體中斷運行1.5小時以上或者單個省級行政區範圍整體中斷運行3小時以上的;
����(二)给予金融服務的中國人民銀行業務領域網絡���,主要功能出現中斷����、超時報錯等情形��,導致業務無法正常召开���,經合理測算或者估算��,已實際影響100萬個以上自然人或者10萬個以上法人和其他組織的;
���(三)中國人民銀行業務領域重要數據遭到篡改���、破壞��、泄露的;
���(四)致使泄露100萬條以上敏感個人信息或者1000萬條以上個人信息的;
���(五)網信部門��、公安機關已明確應當分級為重大網絡安全事件的;
����(六)中國人民銀行或其上海總部���、省級分行��、計劃單列市分行研判並書面告知金融從業组织���,應當分級為重大網絡安全事件的。
第九條 符合下列情形之一的����,應當至少分級為較大網絡安全事件���:
��(一)屬於金融基礎設施��、直接服務5000萬個以上自然人或者與貨幣存取款���、支付交易���、稅款繳庫��、銀行間市場交易密切相關的中國人民銀行業務領域網絡��,主要功能在業務高峰時段出現兩個以上省級行政區範圍整體中斷運行15分鐘以上或者單個省級行政區範圍整體中斷運行30分鐘以上的;
���(二)给予金融服務的中國人民銀行業務領域網絡���,主要功能出現中斷��、超時報錯等情形��,導致業務無法正常召开��,經合理測算或者估算���,已實際影響10萬個以上自然人或者5000個以上法人和其他組織的;
��(三)致使泄露500條以上徵信信息����、財產信息��,或者致使泄露5萬條以上個人信息的;
��(四)遭受勒索惡意程序攻擊��,已對中國人民銀行業務領域網絡或者中國人民銀行業務領域數據造成危害後果的;
��(五)網信部門��、公安機關已明確應當分級為較大網絡安全事件的。
第十條 符合下列情形之一的���,應當至少分級為一般網絡安全事件��:
��(一)给予金融服務的中國人民銀行業務領域網絡��,主要功能出現單個省級行政區範圍整體中斷運行30分鐘以上的;
����(二)给予金融服務的中國人民銀行業務領域網絡���,主要功能出現中斷���、超時報錯等情形����,導致業務無法正常召开���,經合理測算或者估算����,已實際影響1萬個以上自然人或者1000個以上法人和其他組織的;
����(三)中國人民銀行業務領域網絡主要功能出現中斷���、超時報錯等情形���,導致業務無法正常召开����,已持續1小時以上的;
����(四)中國人民銀行業務領域數據遭到篡改���、破壞���、泄露����,導致社會危害的;
��(五)發生或者可能發生個人信息泄露��、篡改��、丟失的;
��(六)網信部門��、公安機關已明確應當分級為一般網絡安全事件的。
第十一條 金融從業组织制定與中國人民銀行管理的金融基礎設施業務交互功能異常相關的分級標準時����,應當徵求金融基礎設施運營组织意見並協商一致。
第十二條 金融從業组织發生網絡安全事件時����,應當對照分級標準���,綜合確定網絡安全事件等級。同時符合多個分級標準的���,應當按照最高級別確定網絡安全事件等級。對照分級標準無法準確確定網絡安全事件等級的��,應當至少分級為較大網絡安全事件。
因災害或者信息基礎設施故障���,導致金融從業组织多個中國人民銀行業務領域網絡同時發生網絡安全事件時��,應當先分別確定網絡安全事件等級��,再按照各網絡安全事件等級中的最高級別��,確定整體的網絡安全事件等級。
網絡安全事件事態开展情況已達到更高級別分級標準時��,金融從業组织應當立即調整網絡安全事件等級。
第三章 網絡安全事件報告
第十三條 金融從業组织應當明確應急處置與報告的職責分工���,確保網絡安全事件報告及時����、準確����、完整���,不得遲報��、漏報或者瞞報。
金融從業组织應當健全網絡安全風險監測預警體系����,提升第一時間發現和報告網絡安全事件的技術能力。
金融從業组织發生網絡安全事件時��,應當立即啟動應急預案��,採取相應的補救措施。按照本辦法規定報告網絡安全事件時���,不應遲滯業務恢復��、存證溯源���、用戶解釋����、輿情應對等處置工作。
第十四條 國家開發銀行��、政策性銀行��、國有商業銀行����、中國郵政儲蓄銀行���、股份制商業銀行��、屬於系統重要性金融组织的城市商業銀行��、系統重要性非銀行支付组织���、經營個人徵信業務的徵信组织發生網絡安全事件時���,應當向中國人民銀行報告;其分支组织發生網絡安全事件時���,應當向住所地中國人民銀行分支组织報告。中國人民銀行所屬單位及其管理的金融基礎設施運營组织發生網絡安全事件時���,應當向中國人民銀行報告。其他金融從業组织或其分支组织發生網絡安全事件時���,應當向住所地中國人民銀行分支组织報告;在保障報告時效性前提下���,證券��、期貨���、基金组织發生網絡安全事件時���,經中國證監會派出组织轉通報同級中國人民銀行分支组织。
中國人民銀行計劃單列市分行���(不含深圳市分行)��、地市分行接報轄區發生較大等級以上網絡安全事件時���,應當及時上報至中國人民銀行省級分行。中國人民銀行省級分行���、深圳市分行接報轄區發生重大等級以上網絡安全事件時��,應當及時上報至中國人民銀行。
第十五條 金融從業组织發生較大等級以上網絡安全事件後��,應當於1小時內報送網絡安全事件事發簡要報告���,並在24小時內報送網絡安全事件事發報告。
金融從業组织發生網絡安全事件��,尚未達到較大等級��,但出現相關輿情信息進入社交媒體����、搜尋引擎或者新聞網站熱點榜等情形��,引發較大輿情的���,應當按照前款規定報告。
第十六條 對於重大等級以上網絡安全事件����,金融從業组织應當至少每隔2小時進行事中進展報告����,直至處置結束。處置過程中如出現調高網絡安全事件等級����、處置取得階段性進展��、發現新的問題等重要情況時���,應當立即報告。
第十七條 網絡安全事件處置結束後����,金融從業组织應當於10個工作日內報送事後調查總結報告。無法按時報送事後調查總結報告的���,金融從業组织應當先按時報送初步報告���,說明承諾報送事後調查總結報告的日期並按時報送。承諾日期原則上應當在處置結束之日起40個工作日內。
第十八條 金融從業组织可以顺利获得電話����、即時通信工具����、電子郵件���、傳真或者中國人民銀行指定的信息系統報送網絡安全事件事發簡要報告���、事發報告和事中進展報告;採用電子郵件����、傳真方式報告的���,應當顺利获得電話或者即時通信工具確認中國人民銀行或其分支组织已收悉。涉及工作秘密的��,不得顺利获得互聯網渠道報告。
金融從業组织應當書面報送網絡安全事件事後調查總結報告��,並加蓋本组织或者承擔報告職責內設部門公章。中國人民銀行對網絡安全事件事後調查總結報告另有電子化報送規定的����,金融從業组织還應當按照規定電子化報送。
第十九條 網絡安全事件事發簡要報告內容包括初次確定的網絡安全事件等級���、事發時間����、依據網絡安全事件分類分級相關國家標準確定的網絡安全事件分類����、影響的中國人民銀行業務領域網絡及其對應的網絡安全保護等級��、涉及的數據中心���、報告组织和報告時間��、報告人和聯繫方式。網絡安全事件事發報告應當在事發簡要報告內容基礎上��,增補影響範圍和程度����、已採取的措施和效果��,網絡攻擊事件還應當增補分析研判情況。
網絡安全事件事中進展報告應當在事發簡要報告基礎上���,增補說明最新確定的網絡安全事件等級����、影響的變化����、處置進展和下一步擬採取的措施。如存在需中國人民銀行或其分支组织協調支持處置的事項��,應當一併說明。
網絡安全事件事後調查總結報告內容應當包括最終確定的網絡安全事件等級��、處置歷程回顧��、影響損失評估��、技術或者管理問題根源分析��、處置經驗教訓���、後續改進措施���、報告组织和報告時間���、報告人和聯繫方式��、簽發人。
第二十條 金融從業组织發生網絡安全事件涉及個人信息泄露���、篡改��、丟失的����,事後調查總結報告還應當說明本组织為有效避免網絡安全事件危害所採取的補救措施����、依法通知個人的情況和告知個人可以採取減輕危害措施的情況。
對於重大等級以上網絡安全事件���,前款所列內容應當在事中進展報告中提前予以說明。
第二十一條 較大等級以上網絡安全事件事後調查總結報告內容����,還應當包括直接負責的主管人員和其他直接責任人員的責任認定和對應責任處理情況。
金融從業组织應當綜合考慮動機態度���、客觀條件���、程序方法��、後果影響����、挽回損失等因素���,在本组织網絡安全管理制度中明確責任處理的差異化適用情形。事後調查總結報告中對直接負責的主管人員和其他直接責任人員的處理措施����,應當符合本组织網絡安全管理制度規定。
第二十二條 滿足下列條件之一併且能给予相關證明材料的��,金融從業组织可以根據直接負責的主管人員和其他直接責任人員具體承擔職責���,視情針對性減輕或者免除責任處理���,但應當在網絡安全事件事後調查總結報告中予以說明����:
��(一)已按本辦法規定主動報告��,同時按照本组织網絡安全事件應急預案有關程序立即進行處置����,盡最大努力降低影響的;
��(二)網絡技術創新和應用過程中因缺乏經驗���、先行先試造成網絡安全事件���,且沒有主觀過錯的;
���(三)已切實落實中國人民銀行和本组织網絡安全����、數據安全相關管理制度要求���,並嚴格執行本组织相關操作規程的。
第二十三條 中國人民銀行或其分支组织認為金融從業组织網絡安全事件事後調查總結報告存在內容缺失��、原因分析不清����、影響損失評估失實���、責任認定或者處理不當等情形��,退回事後調查總結報告並正式反饋修改意見的��,金融從業组织應當在收到反饋之日起10個工作日內完善事後調查總結報告並重新報送。
第二十四條 金融從業组织收到中國人民銀行或其分支组织通報的其網絡產品��、服務存在運行異常���、疑似數據泄露���、安全缺陷����、漏洞等風險提示時���,應當立即組織核查���,採取必要補救措施。經核查風險屬實並構成網絡安全事件的��,金融從業组织應當按照本辦法規定進行報告;風險不屬實或者尚不構成網絡安全事件的���,應當根據通報要求按時反饋風險核查處置情況。
第二十五條 金融從業组织應當建立網絡安全事件台賬��,完整準確記錄網絡安全事件事發時間���、事發報告時間����、中國人民銀行或其分支组织接報聯繫人和對應的網絡安全事件報告內容。中國人民銀行分支组织應當相應建立轄區網絡安全事件台賬。台賬應當至少留存三年。
第四章 法律責任
第二十六條 中國人民銀行或其分支组织根據金融從業组织報告處置網絡安全事件的情況���,可以按照中國人民銀行執法檢查有關規定明確的程序����,對金融從業组织依法實施檢查���,金融從業组织應當予以配合。
金融從業组织拒絕����、阻礙中國人民銀行或其分支组织實施檢查的����,中國人民銀行或其分支组织依照����《中華人民共和國網絡安全法》第六十九條予以處罰。
第二十七條 金融從業组织未按照本辦法規定報告網絡安全事件的��,中國人民銀行或其分支组织依照��《中華人民共和國網絡安全法》第五十九條予以處罰。
前款行為涉及中國人民銀行業務領域數據遭到篡改����、破壞���、泄露或者非法獲取����、非法利用的����,中國人民銀行或其分支组织依照����《中華人民共和國數據安全法》第四十五條予以處罰;前款行為涉及個人信息泄露���、篡改���、丟失的���,中國人民銀行或其分支组织可以依照����《中華人民共和國個人信息保護法》第六十六條予以處罰。
第二十八條 金融從業组织收到中國人民銀行或其分支组织通報的風險����,如果風險屬實���,但未立即採取補救措施或者未按照本辦法規定按時反饋核查處置情況的���,中國人民銀行或其分支组织依照����《中華人民共和國網絡安全法》第六十條予以處罰。
有前款行為並且通報的風險為數據安全缺陷���、漏洞的����,中國人民銀行或其分支组织依照��《中華人民共和國數據安全法》第四十五條予以處罰。
第二十九條 金融從業组织在接受中國人民銀行或其分支组织檢查時���,主動供述檢查人員尚未掌握的未按照本辦法規定報告網絡安全事件行為的����,應當從輕或者減輕處罰。
第三十條 中國人民銀行分支组织未按照本辦法規定報告網絡安全事件��,存在失職失責行為��,造成重大損失����、嚴重後果或者惡劣影響的���,對直接負責的主管人員和其他直接責任人員依規依紀依法予以嚴肅追責問責。
第五章 附 則
第三十一條 本辦法下列用語的含義��:
����(一)金融從業组织���,是指金融组织以及經中國人民銀行批准設立或者認定的其他组织。
����(二)網絡����,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集����、存儲����、傳輸���、交換����、處理的系統。
���(三)業務高峰時段����,是指按年度統計的分時平均業務量超過日平均業務量百分之三的時段����,或者依據本组织制度列明的其他合理計算方式確定的時段。
��(四)整體中斷運行��,是指因網絡安全事件����,某一時段內未處理和處理失敗業務量與正常情況全部業務量的比例����,經合理測算或者估算��,已經超過百分之七十。
���(五)主要功能��,是指與用戶身份認證或者業務交互相關的功能。
����(六)本辦法所稱“以上”均含本數。
第三十二條 本辦法由中國人民銀行負責解釋。
中國人民銀行分支组织自身發生的網絡安全事件應當向其上級行報告����,報告時效��、途徑和內容等要求按照本辦法對金融從業组织的規定執行。
第三十三條 本辦法自2025年8月1日起施行。��《銀行計算機安全事件報告管理制度》����(銀髮〔2002〕280號文印發)���、����《中國人民銀行計算機系統信息安全報告制度》����(銀髮〔2010〕366號文印發)同時廢止。
