《中國人民銀行業務領域網絡安全事件報告管理辦法(征求意見稿)》(以下簡稱《辦法》)于2025年1月24日至2025年2月24日向社會公開征求意見,在意見征集期內共收到有效反饋意見65條,多數意見已予采納。意見主要集中在以下方面:
一、建議將泄露個人信息且造成一定影響才納入一般網絡安全事件分級標準底線規則。
采納情況:已予采納。致使個人信息泄露、篡改、丟失的網絡安全事件,會對個人造成一定影響。銜接《中華人民共和國個人信息保護法》第五十七條要求,將《辦法》第十條相關表述修改為“發生或者可能發生個人信息泄露、篡改、丟失的”。
二、建議不將網絡安全事件引發輿情納入較大網絡安全事件分級標準底線規則。
采納情況:已予采納。刪除《辦法》第九條相關表述,不再將引發較大輿情的網絡安全事件一律分級為較大網絡安全事件。相應在第十五條增加事發報告要求:“金融從業機構發生網絡安全事件,尚未達到較大等級,但出現相關輿情信息進入社交媒體、搜索引擎或者新聞網站熱點榜等情形,引發較大輿情的,應當按照前款規定報告。”。
三、建議適當放寬一般網絡安全事件分級標準底線規則,刪除“兩個以上省級行政區范圍服務整體中斷運行15分鐘以上”表述。
采納情況:已予采納。《辦法》第十條刪除相關表述。
四、建議明確網絡安全事件分級標準底線規則中“客戶”是指對公客戶還是個人客戶,且明確事件對“客戶”造成影響才算網絡安全事件。
采納情況:已予采納。調整《辦法》第七、八、九、十條相關表述,將“客戶”區分為“自然人”、“法人和其他組織”,并增加“已實際影響”表述。
五、建議適當降低網絡安全事件事發簡要報告的時效性要求。
采納情況:已予采納。《辦法》第十五條將網絡安全事件事發簡要報告的時效性要求從30分鐘內報送調整為1小時內報送。
六、建議刪除減免責任處理有關推廣安全可信產品過程中無明顯主觀過錯的條款。
采納情況:已予采納。《辦法》第二十二條原有表述修改為“網絡技術創新和應用過程中因缺乏經驗、先行先試造成網絡安全事件,且沒有主觀過錯的”。
七、建議適度延后《辦法》生效日期。
采納情況:已予采納。《辦法》自2025年8月1日起施行。
八、建議遭受勒索惡意程序攻擊造成危害時,才納入較大網絡安全事件分級標準底線規則。
采納情況:已予采納。《辦法》第九條相關表述修改為“遭受勒索惡意程序攻擊,已對中國人民銀行業務領域網絡或者中國人民銀行業務領域數據造成危害后果的”。
九、建議明確金融基礎設施以及敏感個人信息的定義。
采納情況:解釋說明。已公開征求意見的《金融基礎設施監督管理辦法》對金融基礎設施有明確定義;《中華人民共和國個人信息保護法》對敏感個人信息有明確定義,《辦法》均不再重復定義。
十、建議明確中國人民銀行業務領域核心數據、重要數據的范圍。
采納情況:解釋說明。中國人民銀行業務領域重要數據識別工作已另行組織,未被中國人民銀行告知或者公開發布確認為重要數據的,不涉及重要數據。
十一、建議將分級標準底線規則涉及個人信息的計量單位由“條”改為“人”。
采納情況:解釋說明。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號)、《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(法釋〔2019〕15號)等,判定情節嚴重程度時均以“條”為計量單位。《辦法》區分網絡安全事件等級時,參考上述司法解釋,亦以“條”為計量單位。
十二、建議對網絡安全事件分級標準底線規則中有關影響客戶數量、個人信息條數進行調整。
采納情況:部分采納。《辦法》第七、八、九、十條網絡安全事件分級標準底線規則明確的數量指標,前期已廣泛征求行業意見和相關主管部門意見,并按各方意見進行了適當調整。參考《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(法釋〔2019〕15號)第四條關于“造成嚴重后果”的認定標準,對較大等級網絡安全事件分級標準底線規則有關個人信息的表述作了適當調整。
十三、適當降低網絡安全事件事中進展報告的時效性要求。
采納情況:未予采納。《辦法》僅要求重大等級以上網絡安全事件進行事中進展報告,以便及時掌握事態發展情況,必要時協調國家有關部門等協同開展應急處置。對較大、一般等級網絡安全事件,《辦法》未要求事中進展報告。
感謝社會各界對中國人民銀行工作的關注支持!
術語表
網站地圖
無障礙瀏覽
English Version
京公網安備 11010202000016號