前言
2025年9月11日��,國家互聯網信息辦公室發布《國家網絡安全事件報告管理辦法》(以下稱“《辦法》”)����,將於2025年11月1日正式實施。目前�����,在數據合規領域三部基礎法律《中華人民共和國網絡安全法》(以下稱“《網絡安全法》”)��、《中華人民共和國數據安全法》(以下稱“《數據安全法》”)和《中華人民共和國個人信息保護法》(以下稱“《個人信息保護法》”)中均規定了責任主體在發生安全事件時向相關部門報告的義務。根據國家互聯網信息辦公室召開的答記者問���,本次發布的《辦法》作為明確網絡安全事件報告流程要求的規定��,其實施目的主要在於明確《網絡安全法》中規定的發生危害網絡安全的事件時網絡運營者的報告義務。
在《辦法》chutaizhiqian�����,youyuquefajutimingquedebaogaozhiyin�,suiranfalvyijingguidinglewangluoanquanshijiandebaogaoxiangguanyiwu����,danshijianguanbumenduiweilvxingbaogaoyiwudezhijiechufajiaoweihanjian。danzaibufenchufaanlizhong�,zuoweichufaduixiangdeyibufen�����,bufenjianguanbumenhuitongshitijiwangluoyunyingzheweilvxingbaogaoyiwudeqingkuang���,liru:
1.新疆某互聯網科技有限公司網頁篡改案[1]
網信部門工作發現�����,某企業門戶網站及開發運維的8個ge網wang站zhan子zi頁ye麵mian被bei篡cuan改gai為wei涉she賭du違wei法fa信xin息xi。經jing查zha�����,該gai企qi業ye上shang述shu網wang站zhan存cun在zai安an全quan缺que陷xian和he漏lou洞dong�����,網wang頁ye源yuan代dai碼ma被bei惡e意yi篡cuan改gai�����,出chu現xian涉she賭du違wei法fa信xin息xi。事shi件jian發fa生sheng時shi���,網wang站zhan管guan理li員yuan休xiu假jia不bu在zai崗gang�����,網wang站zhan無wu人ren管guan理li。該gai企qi業ye未wei及ji時shi發fa現xian其qi開kai發fa的de網wang站zhan存cun在zai安an全quan缺que陷xian和he漏lou洞dong��,未wei立li即ji采cai取qu補bu救jiu措cuo施shi�,未wei按an照zhao規gui定ding及ji時shi告gao知zhi用yong戶hu並bing向xiang主zhu管guan部bu門men報bao告gao����,違wei反fan《網絡安全法》相關規定�,屬地網信辦已依法責令其改正���,並予以警告處罰。
2.江西某職業學院不履行網絡安全保護義務案[2]
2023年11月yue����,江jiang西xi省sheng九jiu江jiang市shi公gong安an局ju八ba裏li湖hu分fen局ju工gong作zuo發fa現xian�,九jiu江jiang市shi某mou職zhi業ye學xue院yuan官guan網wang被bei不bu法fa分fen子zi網wang絡luo攻gong擊ji入ru侵qin�����,並bing植zhi入ru非fei法fa鏈lian接jie。經jing查zha��,該gai學xue院yuan未wei履lv行xing網wang絡luo安an全quan保bao護hu義yi務wu��,未wei落luo實shi網wang絡luo安an全quan保bao護hu責ze任ren�����,接jie到dao公gong安an機ji關guan情qing況kuang通tong報bao後hou�����,未wei啟qi動dong應ying急ji預yu案an�����,采cai取qu相xiang應ying的de補bu救jiu措cuo施shi���,未wei按an照zhao規gui定ding向xiang有you關guan主zhu管guan部bu門men報bao告gao。江jiang西xi省sheng九jiu江jiang市shi公gong安an局ju八ba裏li湖hu分fen局ju已yi按an照zhao相xiang關guan法fa律lv要yao求qiu責ze令ling該gai職zhi業ye學xue院yuan限xian期qi整zheng改gai�,並bing給gei予yu警jing告gao。
tongguoshangshuanlikeyikanchu��,shiwuzhong�,zhenduiyibanqishiyedanwei��,dangfashengmenhuwangzhandengduiwaiwangzhanbeicuangaiweiweifaxinxidengjiaoweiyanzhongdewangluoanquanshijianshi��,chuyingdanglijicaiqubujiucuoshidengyaoqiuzhiwai�,jianguanbumentongshihuiyaoqiuqijishixiangyouguanbumenjinxingbaogao。
本次《辦法》出台後�,各企業應結合《辦法》中zhong規gui定ding的de網wang絡luo安an全quan事shi件jian判pan斷duan標biao準zhun����,留liu意yi經jing營ying過guo程cheng中zhong出chu現xian的de網wang絡luo異yi常chang情qing況kuang並bing及ji時shi報bao告gao��,避bi免mian在zai遭zao受shou經jing濟ji損sun失shi的de同tong時shi承cheng擔dan未wei履lv行xing報bao告gao義yi務wu相xiang關guan的de行xing政zheng責ze任ren。本ben文wen中zhong���,我wo們men將jiang針zhen對dui通tong過guo此ci次ci《辦法》明確的網絡安全事件報告流程的適用範圍�����、報告方式�、報告內容等具體要求進行梳理���,為網絡運營者適用相關要求提供幫助。
一���、適用範圍
根據《辦法》第一條與第二條�,《辦法》中規定的事件報告製度是針對於網絡運營者發生的網絡安全事件。所謂網絡運營者�,《辦法》第十二條進行了定義����,指“網絡的所有者����、管理者和網絡服務提供者”。同時��,根據《辦法》第五條和第六條�����,為網絡運營者提供網絡安全�����、xitongyunweidengfuwudezuzhihuogerenyeshuyuxiezhuwangluoyunyingzhejinxingshijianbaogaodeduixiang。dangaixiezhuyiwubingfeifading�,ershiyaoqiuwangluoyunyingzhetongguohetongsheding。ji��,wangluoyunyingzheyoufadingyiwujiangqianshutigongfuwudezuzhihuogerenhuafenjinxiezhuzishenbaogaowangluoshijiandefanweinei。lingwai����,《辦法》也鼓勵社會組織和個人報告所獲悉的較大以上網絡安全事件。
同時���,《辦法》第十二條還對“網絡安全事件”也進行了定義��,即指“由於人為原因���、網絡遭受攻擊��、網絡存在漏洞隱患�����、軟硬件缺陷或故障���、不可抗力等因素��,對網絡和信息係統或其中的數據和業務應用造成危害�����,對國家�、社會����、經濟造成負麵影響的事件”。前述定義中��,對網絡安全事件的具體表現形式明確了包括網絡“遭受攻擊”“存在漏洞隱患”等各種情形。結合《辦法》中根據不同層級事件設置了不同報告要求的邏輯����,《辦法》及附件中列舉了更多可參考的網絡事件實際情況。我們將在之後的內容中進行說明。
二��、觸發報告的情形
根據《辦法》規定��,網絡安全事件分為四個層級�,嚴重程度從高到低為“特別重大網絡安全事件”“重大網絡安全事件”“較大網絡安全事件”和“一般網絡安全事件”。《辦法》fujianzhong���,congtongchangpanduanbiaozhunhejutishililiangfangmianduisileiwangluoanquanshijiandepanduanbiaozhunjinxinglelieming�����,fuhetongchangpanduanbiaozhunhejutishilizhongrenyizhongqingxing���,yingdangshiweishuyugaileiwangluoanquanshijian�����,erbeirendingwei“較大網絡安全事件”及以上的�����,需要進行報告。我們如下表總結了四類網絡安全事件的通常情形和具體示例���,供網絡運營者參考判定。
1.四類事件的通常判斷標準
點擊圖片查看信息
從上述標準中可以看出���,通常判斷標準雖區分了涉及係統�����、數據�、guojiaanquandengguangfanyingxiangsanfangmiandeqingkuang���,danqineirongzaishijishiyongshikenengbugoujuti。weishiguangdawangluoyunyingzhegengjiaqingchupanbiesileishijian�,congerzaishijianfashengshimingquezishenshifouchanshenglebaogaoyiwu�,《辦法》中在每類事件項下提供了具體判別示例�����,我們對此在後文內容中進行了總結。
2.四類事件判斷標準的具體示例
點擊圖片查看信息
在上表中�����,關於“機關門戶網站���、新聞網站因攻擊�、故障導致不能訪問”這一具體判斷標準�,其中存在針對“地市級以上黨政機關����、企事業單位門戶網站”等包含企事業單位主體在內的判斷情形。就此���,雖然根據我們的確認�����,企業並沒有統一的行政級別劃定方式或標準���,在《中華人民共和國市場主體登記管理條例實施細則》中也僅明確“省級以上人民政府或者其授權的國有資產監督管理機構履行出資人職責的公司�,以及該公司投資設立並持有50%以上股權或者股份的公司��、股份有限公司”這兩類企業的登記機關級別[3]。因此�,如何理解《辦法》中提及的具體判斷標準中的行政級別與企業主體之間的關係�,存在一定疑問。根據我們的實務經驗���,由於《辦法》的適用主體是網絡運營者�����,符合網絡運營者定義的主體均應適用《辦法》�����,因此凡有提供���、運營網絡或網絡服務的企業���,無論其資本性質��、規模大小�����、登記機關級別��,我們傾向於認為均應適用《辦法》要求。但考慮到不同主體發生較大以上網絡安全事件的影響確有區別���,因此當《辦法》實施後���,有必要進一步觀察監管部門實際適用《辦法》的尺度和考量���,從而更加明確履行報告義務的方式和要求。
三��、報告的內容和方式
對於報告方式和內容�����,《辦法》通過區分主體�����、階段的方式規定了不同的報告要求。以下我們按照報告方式和報告內容兩部分分別進行了梳理。
1.報告方式
根據《辦法》第四條�����,事件涉及主體不同�����,則報告方式也有所不同�,具體如下:
點擊圖片查看信息
2.報告內容
由於網絡安全事件實際發生時可能較為突然�,網絡運營者無法第一時間完整研判情況並報告的可能性實際存在����,因此���,《辦法》中對報告內容分階段進行了區分。具體如下。
點擊圖片查看信息
《辦法》規定����,網信部門建設12387網絡安全事件報告熱線電話和網站�、郵箱�、傳真等方式�����,統一接收網絡安全事件報告。根據國家互聯網信息辦公室答記者問時提供的信息�,以下渠道均可報告網絡安全事件:(1)12387網絡安全事件報告熱線���;(2)網絡安全事件報告官網12387.cert.org.cn�����;(3)“12387”小程序�;(4)“國家互聯網應急中心CNCERT”微信公眾號���;(5)郵箱12387@cert.org.cn�;(6)傳真010-82992387。另外���,根據《辦法》規定�,涉及國家秘密的網絡安全事件報告�,需另按照有關部門規定執行報告程序。
四�����、法律責任
《辦法》規定����,網絡運營者未按照本辦法規定報告網絡安全事件的�����,有關主管部門按照有關法律����、行政法規的規定進行處罰。因網絡運營者遲報����、漏報���、謊(huang)報(bao)或(huo)者(zhe)瞞(man)報(bao)網(wang)絡(luo)安(an)全(quan)事(shi)件(jian)���,造(zao)成(cheng)重(zhong)大(da)危(wei)害(hai)後(hou)果(guo)的(de)�,對(dui)網(wang)絡(luo)運(yun)營(ying)者(zhe)及(ji)有(you)關(guan)責(ze)任(ren)人(ren)依(yi)法(fa)從(cong)重(zhong)處(chu)罰(fa)。承(cheng)擔(dan)網(wang)絡(luo)安(an)全(quan)事(shi)件(jian)報(bao)告(gao)的(de)部(bu)門(men)未(wei)按(an)照(zhao)本(ben)辦(ban)法(fa)規(gui)定(ding)報(bao)告(gao)網(wang)絡(luo)安(an)全(quan)事(shi)件(jian)的(de)����,依(yi)據(ju)有(you)關(guan)法(fa)律(lv)����、行(xing)政(zheng)法(fa)規(gui)和(he)網(wang)絡(luo)安(an)全(quan)工(gong)作(zuo)責(ze)任(ren)製(zhi)追(zhui)究(jiu)相(xiang)關(guan)單(dan)位(wei)和(he)人(ren)員(yuan)責(ze)任(ren)。根(gen)據(ju)前(qian)述(shu)規(gui)定(ding)�,可(ke)以(yi)看(kan)出(chu)未(wei)履(lv)行(xing)報(bao)告(gao)網(wang)絡(luo)安(an)全(quan)事(shi)件(jian)義(yi)務(wu)的(de)法(fa)律(lv)責(ze)任(ren)同(tong)時(shi)適(shi)用(yong)於(yu)單(dan)位(wei)和(he)個(ge)人(ren)�����,具(ju)體(ti)的(de)法(fa)律(lv)責(ze)任(ren)則(ze)將(jiang)根(gen)據(ju)相(xiang)關(guan)法(fa)律(lv)法(fa)規(gui)追(zhui)究(jiu)。
根據《辦法》出台後的答記者問�����,《辦法》主要是作為《網絡安全法》等相關法律的下位法補充明確網絡安全事件報告相關義務。同時��,如前所述����,《網絡安全法》[5]�����、《個人信息保護法》[6]和《數據安全法》[7]中均規定了相關主體的報告義務�,且《網絡安全法》和《數據安全法》中還規定了未履行報告義務時的法律後果。具體如下:
點擊圖片查看信息
需要注意的是���,本次《辦法》中規定了法律責任的減輕情形。根據《辦法》dishiyitiao���,wangluoyunyingzhezaiwangluoanquanshijianfashengshiyicaiquhelibiyaodefanghucuoshibinganzhaoyingjiyuanjinxingchuzhi�����,youxiaojiangdiwangluoanquanshijianyingxiangheweihaiqiejishibaogaode����,keshiqingcongqinghuobuyuzhuijiuxiangguandanweiherenyuanzeren。keyikanchu��,wangluoyunyingzhezaiwangluoanquanbaohufangmianshifoutourulezugoudezhuyi�、防護措施是否到位等���,都會影響最終承擔的法律責任嚴重程度。
五�����、對策建議
根據前文中對《辦法》內容的梳理����,以及《網絡安全法》《數據安全法》《個人信息保護法》zhongyouguanbaogaoyiwudeguidinghefalvzeren���,tongshijieheshiwuzhongduifashengwangluoanquanshijianweibaogaoqingxingdechufaanli��,womenzongjieleyixiazhenduiwangluoanquanshijianbaogaoyiwudeshiwujianyi。
1.明確自身主體屬性
網絡運營者需先明確自身主體屬性�,對照《網絡安全法》和《辦法》���,判(pan)斷(duan)是(shi)否(fou)屬(shu)於(yu)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)運(yun)營(ying)者(zhe)等(deng)易(yi)觸(chu)發(fa)報(bao)告(gao)義(yi)務(wu)的(de)主(zhu)體(ti)���,此(ci)類(lei)主(zhu)體(ti)因(yin)涉(she)及(ji)核(he)心(xin)數(shu)據(ju)與(yu)公(gong)共(gong)利(li)益(yi)�����,需(xu)以(yi)更(geng)高(gao)標(biao)準(zhun)落(luo)實(shi)報(bao)告(gao)責(ze)任(ren)��,避(bi)免(mian)因(yin)主(zhu)體(ti)定(ding)位(wei)不(bu)清(qing)遺(yi)漏(lou)報(bao)告(gao)義(yi)務(wu)。
2.完善和更新安全事件應急預案
企業應當根據《辦法》的規定��,結合自身主體屬性�����、業務係統情況和數據處理情況等���,完善和更新安全事件應急預案��,在預案中應當結合《辦法》中規定的網絡安全事件分類標準����,包括事件等級���、影響範圍�、危害程度等判定依據���,對企業自身的發生網絡安全事件級別的識別����、內部組織結構和應急措施��、內外部報告流程等進行規定����,並依法定期進行演練。
3.完善和更新與網絡安全��、係統運維等服務供應商的合同
如前所述為網絡運營者提供網絡安全�����、係xi統tong運yun維wei等deng服fu務wu的de組zu織zhi或huo個ge人ren也ye屬shu於yu協xie助zhu網wang絡luo運yun營ying者zhe進jin行xing事shi件jian報bao告gao的de對dui象xiang。但dan該gai協xie助zhu義yi務wu並bing非fei法fa定ding����,而er是shi要yao求qiu網wang絡luo運yun營ying者zhe通tong過guo合he同tong設she定ding。企qi業ye應ying當dang更geng具ju與yu相xiang關guan服fu務wu供gong應ying商shang的de服fu務wu內nei容rong�,基ji於yu應ying急ji預yu案an中zhong確que定ding的de安an全quan事shi件jian級ji別bie��、應急和補救措施���、報告流程等�����,在與相關供應商的合同中��,對於供應商在網絡安全事件發生時的協助義務範圍�、內容���、責任等進行明確約定。
4.日常監控自身網絡安全狀態
網絡運營者日常需持續監測網絡安全狀態����,重點關注門戶網站主頁等公開場景���,部署 24 小時監控與警報係統�,配套製定應急響應機製����,一旦發現異常(如頁麵篡改��、數據泄露跡象)�����,可及時啟動處置與報告流程���,減少危害擴大。
5.嚴格履行網絡安全相關義務
網(wang)絡(luo)運(yun)營(ying)者(zhe)需(xu)嚴(yan)格(ge)履(lv)行(xing)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)等(deng)網(wang)絡(luo)安(an)全(quan)相(xiang)關(guan)義(yi)務(wu)��,定(ding)期(qi)開(kai)展(zhan)評(ping)估(gu)���,及(ji)時(shi)發(fa)現(xian)並(bing)修(xiu)複(fu)網(wang)絡(luo)漏(lou)洞(dong)。對(dui)已(yi)發(fa)現(xian)的(de)漏(lou)洞(dong)�����,需(xu)記(ji)錄(lu)處(chu)置(zhi)過(guo)程(cheng)����,若(ruo)漏(lou)洞(dong)引(yin)發(fa)安(an)全(quan)事(shi)件(jian)���,可(ke)據(ju)此(ci)快(kuai)速(su)梳(shu)理(li)事(shi)件(jian)原(yuan)因(yin)等(deng)����,為(wei)後(hou)續(xu)報(bao)告(gao)與(yu)整(zheng)改(gai)提(ti)供(gong)依(yi)據(ju)����,避(bi)免(mian)因(yin)漏(lou)洞(dong)處(chu)置(zhi)不(bu)當(dang)加(jia)重(zhong)法(fa)律(lv)責(ze)任(ren)。
結語
《辦法》出台後����,《網絡安全法》zhongdebaogaoyiwuyoulemingquedeshishizhiyin���,keyuqijianguanbumenweilaiduiyuwangluoanquanshijiandebaogaoyiwujianguanxingweikenengyehuigengjiapinfanbingyange。muqian�,qiyesuoyoubingzixingyunyingguanwang�、係xi統tong的de情qing況kuang非fei常chang普pu遍bian��,因yin此ci絕jue大da多duo數shu企qi業ye都dou存cun在zai被bei認ren定ding為wei網wang絡luo運yun營ying者zhe�����,需xu要yao承cheng擔dan相xiang應ying的de義yi務wu的de可ke能neng性xing。隨sui著zhe網wang絡luo應ying用yong和he技ji術shu的de發fa展zhan�����,發fa生sheng網wang絡luo安an全quan事shi件jian的de概gai率lv也ye有you一yi定ding程cheng度du的de提ti高gao����,建jian議yi企qi業ye未wei雨yu綢chou繆mou做zuo好hao相xiang應ying準zhun備bei�����,並bing持chi續xu留liu意yi相xiang關guan法fa規gui的de出chu台tai����,保bao持chi對dui自zi身shen的de數shu據ju合he規gui工gong作zuo的de關guan注zhu。
注釋
[1] https://mp.weixin.qq.com/s/OMAle6iXl0llDCh8xMon0g
[2] https://mp.weixin.qq.com/s/NzGc-TwUhrntgUv_OfQEcA
[3] 《中華人民共和國市場主體登記管理條例實施細則》第四條:省級以上人民政府或者其授權的國有資產監督管理機構履行出資人職責的公司�,以及該公司投資設立並持有50%以上股權或者股份的公司的登記管理由省級登記機關負責�;股份有限公司的登記管理由地市級以上地方登記機關負責。
除前款規定的情形外�,省級市場監督管理部門依法對本轄區登記管轄作出統一規定���;shangjidengjijiguanzaitedingqingxingxia����,keyiyifajiangbufenshichangzhutidengjiguanligongzuojiaoyouxiajidengjijiguanchengdan���,huozhechengdanxiajidengjijiguandebufendengjiguanligongzuo。
外商投資企業登記管理由國家市場監督管理總局或者其授權的地方市場監督管理部門負責。
[4] 根據《關鍵信息基礎設施安全保護條例》第八條�,關鍵信息基礎設施所在的重要行業和領域的主管部門�、監jian督du管guan理li部bu門men是shi負fu責ze關guan鍵jian信xin息xi基ji礎chu設she施shi安an全quan保bao護hu工gong作zuo的de部bu門men���,簡jian稱cheng保bao護hu工gong作zuo部bu門men。因yin此ci此ci處chu的de保bao護hu工gong作zuo部bu門men即ji指zhi關guan鍵jian信xin息xi基ji礎chu設she施shi所suo在zai行xing業ye的de主zhu管guan����、監管部門。
[5] 《網絡安全法》第二十五條:網絡運營者應當製定網絡安全事件應急預案�,及時處置係統漏洞�����、計算機病毒�、網絡攻擊����、網絡侵入等安全風險��;在發生危害網絡安全的事件時�,立即啟動應急預案���,采取相應的補救措施����,並按照規定向有關主管部門報告。
[6] 《個人信息保護法》第五十七條:發生或者可能發生個人信息泄露����、篡改��、丟失的���,個人信息處理者應當立即采取補救措施���,並通知履行個人信息保護職責的部門和個人。通知應當包括下列事項:
(一)發生或者可能發生個人信息泄露��、篡改�、丟失的信息種類����、原因和可能造成的危害��;
(二)個人信息處理者采取的補救措施和個人可以采取的減輕危害的措施�;
(三)個人信息處理者的聯係方式。
個人信息處理者采取措施能夠有效避免信息泄露�����、篡改�����、丟失造成危害的����,個人信息處理者可以不通知個人�����;履行個人信息保護職責的部門認為可能造成危害的�����,有權要求個人信息處理者通知個人。
[7] 《數據安全法》第二十九條:開展數據處理活動應當加強風險監測����,發現數據安全缺陷�����、漏洞等風險時�����,應當立即采取補救措施��;發生數據安全事件時���,應當立即采取處置措施����,按照規定及時告知用戶並向有關主管部門報告。
