引言
网络安全事件的应对是企业合规治理面临的重点问题,能否妥善处理网络安全事件对于企业影响重大。2025年9月11日,国家互联网信息办公室发布了《国家网络安全事件报告管理办法》(简称“《办法》”),明确了网络安全事件报告需要遵循的具体规则,为企业提供了清晰的指引。我们将在本文对《办法》的核心内容进行解读,供广大企业参考。
核心问题
谁需要去报告网络安全事件?
《办法》第二条延续了《网络安全法》第二条确立的属地管辖原则,明确在中国境内建设、运营网络或者通过网络提供服务的网络运营者,在发生网络安全事件时,应当按照《办法》的规定进行报告。
实操中,网络运营者可能会委托有关第三方为其提供网络安全、系统运维等服务(简称“第三方”),那么第三方是否也需要独立履行有关的事件报告义务?答案是否定的。按照《办法》第五条的规定,网络运营者应当以合同等形式对第三方进行约束,明确规定第三方应当及时向网络运营者报告监测发现的网络安全事件,并协助网络运营者按照《办法》规定报告网络安全事件,即第三方的义务主要是按照规定协助网络运营者完成报告,而非独立进行事件报告。针对委托处理数据等场景,企业一般会与第三方签署数据处理协议/附录,并在该等协议/附录中明确第三方针对网络安全事件的配合义务,但是实操中第三方可能会在一定程度上对于该等配合义务进行拒绝或者修改。《办法》第五条的规定给企业在该点的谈判上增加了底气,企业可以直接以《办法》第五条明确要求为基础去和第三方进行谈判,增加达成该等条款的实操可能性。
哪些情况需要报告?
根据《办法》第四条的规定,对于“较大”以上网络安全事件才需要根据《办法》确立的法定程序进行报告。因此,实务中,确定网络安全事件的报告范围时,需要明确以下两个核心问题:什么是网络安全事件?“较大”及以上如何认定?此外,对于外资企业而言,其一般会涉及到跨境数据传输的问题,那么针对发生在境外的网络安全事件其是否也需要报告,在实操中同样值得关注。
什么是网络安全事件?
这一问题在“12387网络安全事件报告平台(https://12387.cert.org.cn/index.html)”(简称“平台”)的“报告指南”及“常见问题”项下有明确说明,即,网络安全事件是指,由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。具体包括恶意程序事件、网络攻击事件、数据安全事件、设备设施故障事件、违规操作事件、安全隐患事件、异常行为事件、不可抗力事件即其他事件[1]。根据平台“报告指南”项下说明,涉及个人或家庭计算机异常、互联网访问异常、个人数据安全问题等涉个人网络安全问题的咨询求助类报告,以及遭网络诈骗、网络色情赌博等非网络安全事件的违法犯罪案件类,不属于“网络安全事件”的报告范围。
需要注意的是前述定义与网络安全实践中的安全事件有一定区别。一般而言网络安全事件是指损害了数据的保密性、完整性或可用性(俗称CIA – Confidentiality, integrity and availability)的安全事件,其关注的是对网络运营者本身是否造成损失或对其业务持续能力产生影响。而《办法》对于网络安全事件的认定门槛则高于实践中一般性的认定标准,要求需要达到损害国家安全或公共利益的程度,即对国家、社会、经济造成负面影响,具体体现在“较大”、“重大”、“特别重大”事件概念的约束条件中。
“较大”及以上如何认定?
根据《办法》附件《网络安全事件分级指南》,网络安全事件从下往上分为“一般网络安全事件”、“较大网络安全事件”、“重大网络安全事件”、“特别重大网络安全事件”,并相应明确了针对关键信息基础设施运营者、党政机关、其他网络运营者等不同主体对应的网络安全事件级别。从实操层面,对于广大企业而言,需要核心关注的是以下认定标准,特别是从网络安全事件泄露公民个人信息的量级的角度考虑,即是否满足≥100万、1000万、1亿公民个人信息,该等判断因素相对直观,便于企业在实操中应用。
发生在境外的网络安全事件是否需要报告?
《办法》第二条规定,义务主体为在中国境内的网络运营者。如果网络安全事件发生在境外,则涉事主体原则而言应该是中国境外的网络运营者,与《办法》的义务主体无关。但是,因为其他法律规定,特别是《个人信息保护法》和数据跨境传输的规定,导致该类事件也需要报告。举例而言,如果网络运营者将在境内收集和产生的数据跨境传输至境外进行处理,且该等数据因发生在境外的网络安全事件而遭受泄露,网络运营者可能无法因为数据传输至境外进而豁免于网络安全事件的报告义务。相反,根据《个人信息保护法》等适用法律法规要求,针对跨境传输的个人信息,境内的个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准,比如与境外接收方签署跨境数据传输合同、对境外接收方进行定期审计等。而一旦发生网络安全事件进而导致个人信息泄露,其需要履行有关的报告等义务。如果跨国公司全球信息系统发生网络安全事件导致来源于中国的客户数据发生大规模泄露,也易引发监管关注。当然,如果网络安全事件发生在境外,虽然涉及来源于境内的客户数据,但是该等数据并非来源于境内的网络运营者的跨境传输,而是境外主体直接从数据主体处收集,则该等情况不一定会受制于《办法》的有关要求,需要在个案中具体分析。
事件报告:流程、内容、时限要求和对象
《办法》下的网络安全事件报告义务是双重的。首先,网络运营者需要在发现或获知网络安全事件后在规定的时间内完成报告。此外,在网络安全事件处置工作结束后的30日内,网络运营者还需要完成总结报告。
针对第一重报告,网络运营者在发现或获知涉及本单位的网络安全事件时,应当对网络安全事件按照《网络安全事件分级指南》进行研判。不同类型网络运营者的不同级别的网络安全事件需要遵守不同的报告要求。对于不涉及CII的一般企业而言,应当就较大以上网络安全事件,在发现或获知4小时内向属地省级网信部门报告。需要注意,《办法》并没有规定何为“发现”,我们有理由相信如果一个事件被有关SIEM系统[2]发现,但是属于false positive[3],该等情况并不符合《办法》下的报告条件。因此我们建议企业在网络事件应急计划等有关文件中规定明确事件排查和复核流程,结合自身实际情况界定满足何种条件方可构成“发现”。
针对向属地省级网信部门提交的报告,其内容需要至少包括以下信息:1)基本信息:涉事单位名称及负责人、负责人联系方式;2) 网络安全事件初判情况:涉事系统或设施基本情况、网络安全事件发现或发生的时间、地点、类型、级别,以及已造成的影响和危害,已采取的措施及效果(对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等);3)网络安全事件进一步研判情况:包括事态发展趋势及可能造成的进一步影响和危害、网络安全事件原因初步分析意见、溯源调查工作线索、拟进一步采取的应对措施以及请求支援事项、网络安全事件现场保护情况等。
针对与“基本信息”和“网络安全事件初步判断情况”有关的信息,网络运营者需要在首次报告中涵盖。而针对与“网络安全事件进一步研判情况”有关的信息,《办法》进行了一定程度的宽限,允许网络运营者在首次报告后72小时内补报[4]。报告后网络安全事件出现新的重要情况或调查工作取得阶段性进展的,需要进一步报告。
针对第二重报告,根据《办法》规定,网络安全事件处置工作结束后,网络运营者还需要在30日内形成事件处置总结报告按照原渠道上报。该等事件处置总结报告内容应包括:1) 相关事件发生原因; 2) 应急处置措施; 3) 造成的危害; 4) 责任追究; 5) 完善整改情况; 6) 教训。
需要注意的是,根据《办法》向网信部门进行报告,并不免除网络运营者在其他适用法律法规下的报告义务。具体而言,如网络安全事件涉嫌违法犯罪的,网络运营者还应当及时向公安机关报案;如网络运营者所属的行业领域有专门规定的,网络运营者亦需要按照行业主管监管部门要求报告。
对于向公安报告的情形,根据《计算机信息系统安全保护条例》等法律法规的要求,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地公安机关报告。此前实践中在网络安全事件发生后通常会涉及向当地公安机关报案,前述报案的情形不限于涉及违法犯罪的情形。《办法》出台后,特别明确在涉嫌违法犯罪时,网络运营者还应当及时向公安机关报案,是否属于对主管职责范围的澄清,有待进一步观察。
对于向行业主管部门报告的情形,需要关注银行、保险、航空、电信、证券及其他领域的特殊规定。以银行业为例,如果一银行发生较大等级以上网络安全事件,除按照《办法》向网信部门报告以外,其还需要按照《中国人民银行业务领域网络安全事件报告管理办法》向中国人民银行在1小时内报告网络安全事件事发简要报告,并在24小时内报告网络安全事件事发报告。
结合以上分析不难看出,涉及100万以下公民的“一般事件”虽然不符合《办法》的报告条件而无需向网信部门汇报,但仍可能符合公安网安部门或其他行业主管部门的报告条件而需要向其他政府部门报告。实践中,该类事件如可能造成公共舆情,纵使无需按《办法》报告,但如已经报告其他政府部门或受到其关注的,我们也建议企业知会网信部门,做好信息同步。
未按要求报告网络安全事件的法律责任
根据《办法》第十条的规定,网络运营者未按照本办法规定报告网络安全事件的,有关主管部门按照有关法律、行政法规的规定进行处罚。同时,《办法》规定了迟报、漏报、谎报或者瞒报会从重处罚,而采取有效措施来降低事件的影响和危害并及时报则会从轻或者免于处罚。这就要求企业在实操中落实有关的技术措施和管理措施等来保护网络和数据安全,防止发生网络安全事件。同时,企业需要制定有关的网络事件应急计划,定期进行演练,这样一旦发生网络安全事件能够有条不紊地进行处理,并有效地履行有关报告等义务。该等措施落实有助于企业满足《办法》第十一条规定的从轻处罚或者免于处罚的条件。
结语
网络安全事件的应对一直以来同时企业合规的难点,《办法》的发布为企业应对网络安全事件提供了切实的指引。相关规定在发布后将于2025年11月1日生效,广大企业应密切关注《办法》相关的核心问题,及时落实相关法律要求,以更好应对潜在的安全事件,防范未然。
- 各类事件的定义可以参考《信息安全技术网络安全事件分类分级指南(GB/T20986-2023)》。 ↑
- 即Security Information and Event Management System, 安全信息和事件管理系统。 ↑
- 即测试工具或者测试过程报告了一个问题或者错误,但这个问题实际上并不存在。 ↑
- 《办法》本身并未明确该等补报的时间要求,但是“12387网络安全事件报告平台(https://12387.cert.org.cn/index.html)” 网络安全事件报告表单中明确规定了72小时的补报期限。 ↑