前言
2025年9月11日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(以下称“《办法》”),将于2025年11月1日正式实施。目前,在数据合规领域三部基础法律《中华人民共和国网络安全法》(以下称“《网络安全法》”)、《中华人民共和国数据安全法》(以下称“《数据安全法》”)和《中华人民共和国个人信息保护法》(以下称“《个人信息保护法》”)中均规定了责任主体在发生安全事件时向相关部门报告的义务。根据国家互联网信息办公室召开的答记者问,本次发布的《办法》作为明确网络安全事件报告流程要求的规定,其实施目的主要在于明确《网络安全法》中规定的发生危害网络安全的事件时网络运营者的报告义务。
在《办法》出台之前,由于缺乏具体明确的报告指引,虽然法律已经规定了网络安全事件的报告相关义务,但是监管部门对未履行报告义务的直接处罚较为罕见。但在部分处罚案例中,作为处罚对象的一部分,部分监管部门会同时提及网络运营者未履行报告义务的情况,例如:
1.新疆某互联网科技有限公司网页篡改案[1]
网信部门工作发现,某企业门户网站及开发运维的8个网站子页面被篡改为涉赌违法信息。经查,该企业上述网站存在安全缺陷和漏洞,网页源代码被恶意篡改,出现涉赌违法信息。事件发生时,网站管理员休假不在岗,网站无人管理。该企业未及时发现其开发的网站存在安全缺陷和漏洞,未立即采取补救措施,未按照规定及时告知用户并向主管部门报告,违反《网络安全法》相关规定,属地网信办已依法责令其改正,并予以警告处罚。
2.江西某职业学院不履行网络安全保护义务案[2]
2023年11月,江西省九江市公安局八里湖分局工作发现,九江市某职业学院官网被不法分子网络攻击入侵,并植入非法链接。经查,该学院未履行网络安全保护义务,未落实网络安全保护责任,接到公安机关情况通报后,未启动应急预案,采取相应的补救措施,未按照规定向有关主管部门报告。江西省九江市公安局八里湖分局已按照相关法律要求责令该职业学院限期整改,并给予警告。
通过上述案例可以看出,实务中,针对一般企事业单位,当发生门户网站等对外网站被篡改为违法信息等较为严重的网络安全事件时,除应当立即采取补救措施等要求之外,监管部门同时会要求其及时向有关部门进行报告。
本次《办法》出台后,各企业应结合《办法》中规定的网络安全事件判断标准,留意经营过程中出现的网络异常情况并及时报告,避免在遭受经济损失的同时承担未履行报告义务相关的行政责任。本文中,我们将针对通过此次《办法》明确的网络安全事件报告流程的适用范围、报告方式、报告内容等具体要求进行梳理,为网络运营者适用相关要求提供帮助。
一、适用范围
根据《办法》第一条与第二条,《办法》中规定的事件报告制度是针对于网络运营者发生的网络安全事件。所谓网络运营者,《办法》第十二条进行了定义,指“网络的所有者、管理者和网络服务提供者”。同时,根据《办法》第五条和第六条,为网络运营者提供网络安全、系统运维等服务的组织或个人也属于协助网络运营者进行事件报告的对象。但该协助义务并非法定,而是要求网络运营者通过合同设定。即,网络运营者有法定义务将前述提供服务的组织或个人划分进协助自身报告网络事件的范围内。另外,《办法》也鼓励社会组织和个人报告所获悉的较大以上网络安全事件。
同时,《办法》第十二条还对“网络安全事件”也进行了定义,即指“由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件”。前述定义中,对网络安全事件的具体表现形式明确了包括网络“遭受攻击”“存在漏洞隐患”等各种情形。结合《办法》中根据不同层级事件设置了不同报告要求的逻辑,《办法》及附件中列举了更多可参考的网络事件实际情况。我们将在之后的内容中进行说明。
二、触发报告的情形
根据《办法》规定,网络安全事件分为四个层级,严重程度从高到低为“特别重大网络安全事件”“重大网络安全事件”“较大网络安全事件”和“一般网络安全事件”。《办法》附件中,从通常判断标准和具体示例两方面对四类网络安全事件的判断标准进行了列明,符合通常判断标准和具体示例中任一种情形,应当视为属于该类网络安全事件,而被认定为“较大网络安全事件”及以上的,需要进行报告。我们如下表总结了四类网络安全事件的通常情形和具体示例,供网络运营者参考判定。
1.四类事件的通常判断标准
点击图片查看信息
从上述标准中可以看出,通常判断标准虽区分了涉及系统、数据、国家安全等广泛影响三方面的情况,但其内容在实际适用时可能不够具体。为使广大网络运营者更加清楚判别四类事件,从而在事件发生时明确自身是否产生了报告义务,《办法》中在每类事件项下提供了具体判别示例,我们对此在后文内容中进行了总结。
2.四类事件判断标准的具体示例
点击图片查看信息
在上表中,关于“机关门户网站、新闻网站因攻击、故障导致不能访问”这一具体判断标准,其中存在针对“地市级以上党政机关、企事业单位门户网站”等包含企事业单位主体在内的判断情形。就此,虽然根据我们的确认,企业并没有统一的行政级别划定方式或标准,在《中华人民共和国市场主体登记管理条例实施细则》中也仅明确“省级以上人民政府或者其授权的国有资产监督管理机构履行出资人职责的公司,以及该公司投资设立并持有50%以上股权或者股份的公司、股份有限公司”这两类企业的登记机关级别[3]。因此,如何理解《办法》中提及的具体判断标准中的行政级别与企业主体之间的关系,存在一定疑问。根据我们的实务经验,由于《办法》的适用主体是网络运营者,符合网络运营者定义的主体均应适用《办法》,因此凡有提供、运营网络或网络服务的企业,无论其资本性质、规模大小、登记机关级别,我们倾向于认为均应适用《办法》要求。但考虑到不同主体发生较大以上网络安全事件的影响确有区别,因此当《办法》实施后,有必要进一步观察监管部门实际适用《办法》的尺度和考量,从而更加明确履行报告义务的方式和要求。
三、报告的内容和方式
对于报告方式和内容,《办法》通过区分主体、阶段的方式规定了不同的报告要求。以下我们按照报告方式和报告内容两部分分别进行了梳理。
1.报告方式
根据《办法》第四条,事件涉及主体不同,则报告方式也有所不同,具体如下:
点击图片查看信息
2.报告内容
由于网络安全事件实际发生时可能较为突然,网络运营者无法第一时间完整研判情况并报告的可能性实际存在,因此,《办法》中对报告内容分阶段进行了区分。具体如下。
点击图片查看信息
《办法》规定,网信部门建设12387网络安全事件报告热线电话和网站、邮箱、传真等方式,统一接收网络安全事件报告。根据国家互联网信息办公室答记者问时提供的信息,以下渠道均可报告网络安全事件:(1)12387网络安全事件报告热线;(2)网络安全事件报告官网12387.cert.org.cn;(3)“12387”小程序;(4)“国家互联网应急中心CNCERT”微信公众号;(5)邮箱12387@cert.org.cn;(6)传真010-82992387。另外,根据《办法》规定,涉及国家秘密的网络安全事件报告,需另按照有关部门规定执行报告程序。
四、法律责任
《办法》规定,网络运营者未按照本办法规定报告网络安全事件的,有关主管部门按照有关法律、行政法规的规定进行处罚。因网络运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对网络运营者及有关责任人依法从重处罚。承担网络安全事件报告的部门未按照本办法规定报告网络安全事件的,依据有关法律、行政法规和网络安全工作责任制追究相关单位和人员责任。根据前述规定,可以看出未履行报告网络安全事件义务的法律责任同时适用于单位和个人,具体的法律责任则将根据相关法律法规追究。
根据《办法》出台后的答记者问,《办法》主要是作为《网络安全法》等相关法律的下位法补充明确网络安全事件报告相关义务。同时,如前所述,《网络安全法》[5]、《个人信息保护法》[6]和《数据安全法》[7]中均规定了相关主体的报告义务,且《网络安全法》和《数据安全法》中还规定了未履行报告义务时的法律后果。具体如下:
点击图片查看信息
需要注意的是,本次《办法》中规定了法律责任的减轻情形。根据《办法》第十一条,网络运营者在网络安全事件发生时已采取合理必要的防护措施并按照应急预案进行处置,有效降低网络安全事件影响和危害且及时报告的,可视情从轻或不予追究相关单位和人员责任。可以看出,网络运营者在网络安全保护方面是否投入了足够的注意、防护措施是否到位等,都会影响最终承担的法律责任严重程度。
五、对策建议
根据前文中对《办法》内容的梳理,以及《网络安全法》《数据安全法》《个人信息保护法》中有关报告义务的规定和法律责任,同时结合实务中对发生网络安全事件未报告情形的处罚案例,我们总结了以下针对网络安全事件报告义务的实务建议。
1.明确自身主体属性
网络运营者需先明确自身主体属性,对照《网络安全法》和《办法》,判断是否属于关键信息基础设施运营者等易触发报告义务的主体,此类主体因涉及核心数据与公共利益,需以更高标准落实报告责任,避免因主体定位不清遗漏报告义务。
2.完善和更新安全事件应急预案
企业应当根据《办法》的规定,结合自身主体属性、业务系统情况和数据处理情况等,完善和更新安全事件应急预案,在预案中应当结合《办法》中规定的网络安全事件分类标准,包括事件等级、影响范围、危害程度等判定依据,对企业自身的发生网络安全事件级别的识别、内部组织结构和应急措施、内外部报告流程等进行规定,并依法定期进行演练。
3.完善和更新与网络安全、系统运维等服务供应商的合同
如前所述为网络运营者提供网络安全、系统运维等服务的组织或个人也属于协助网络运营者进行事件报告的对象。但该协助义务并非法定,而是要求网络运营者通过合同设定。企业应当更具与相关服务供应商的服务内容,基于应急预案中确定的安全事件级别、应急和补救措施、报告流程等,在与相关供应商的合同中,对于供应商在网络安全事件发生时的协助义务范围、内容、责任等进行明确约定。
4.日常监控自身网络安全状态
网络运营者日常需持续监测网络安全状态,重点关注门户网站主页等公开场景,部署 24 小时监控与警报系统,配套制定应急响应机制,一旦发现异常(如页面篡改、数据泄露迹象),可及时启动处置与报告流程,减少危害扩大。
5.严格履行网络安全相关义务
网络运营者需严格履行网络安全等级保护等网络安全相关义务,定期开展评估,及时发现并修复网络漏洞。对已发现的漏洞,需记录处置过程,若漏洞引发安全事件,可据此快速梳理事件原因等,为后续报告与整改提供依据,避免因漏洞处置不当加重法律责任。
结语
《办法》出台后,《网络安全法》中的报告义务有了明确的实施指引,可预期监管部门未来对于网络安全事件的报告义务监管行为可能也会更加频繁并严格。目前,企业所有并自行运营官网、系统的情况非常普遍,因此绝大多数企业都存在被认定为网络运营者,需要承担相应的义务的可能性。随着网络应用和技术的发展,发生网络安全事件的概率也有一定程度的提高,建议企业未雨绸缪做好相应准备,并持续留意相关法规的出台,保持对自身的数据合规工作的关注。
注释
[1] https://mp.weixin.qq.com/s/OMAle6iXl0llDCh8xMon0g
[2] https://mp.weixin.qq.com/s/NzGc-TwUhrntgUv_OfQEcA
[3] 《中华人民共和国市场主体登记管理条例实施细则》第四条:省级以上人民政府或者其授权的国有资产监督管理机构履行出资人职责的公司,以及该公司投资设立并持有50%以上股权或者股份的公司的登记管理由省级登记机关负责;股份有限公司的登记管理由地市级以上地方登记机关负责。
除前款规定的情形外,省级市场监督管理部门依法对本辖区登记管辖作出统一规定;上级登记机关在特定情形下,可以依法将部分市场主体登记管理工作交由下级登记机关承担,或者承担下级登记机关的部分登记管理工作。
外商投资企业登记管理由国家市场监督管理总局或者其授权的地方市场监督管理部门负责。
[4] 根据《关键信息基础设施安全保护条例》第八条,关键信息基础设施所在的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门,简称保护工作部门。因此此处的保护工作部门即指关键信息基础设施所在行业的主管、监管部门。
[5] 《网络安全法》第二十五条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
[6] 《个人信息保护法》第五十七条:发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
[7] 《数据安全法》第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
