2025年9月11日,国家互联网信息办公室发布《国家网络安全事件报告管理办法》(下称“《办法》”),自2025年11月1日起施行。该《办法》为境内网络运营者确立了明确的网络安全事件报告义务,标志着我国网络安全监管体系的进一步完善。
背景
尽管现行法律(包括《网络安全法》《数据安全法》《个人信息保护法》)已分别对网络安全事件、数据安全事件、个人信息泄露事件规定了报告义务,但此前法律在统一报告流程、标准化分级标准和集中报告渠道方面仍缺乏明确规定,这种明确程序指导的缺失为企业合规带来了不确定性。
本《办法》以2023年国家标准《信息安全技术 网络安全事件分类分级指南》(GB/T 20986—2023)为技术基础,后者为事件分类分级提供了技术规范。在2023年草案公开征求意见后,本《办法》正式定稿确立全面报告要求,并在统筹既有法律义务的同时,为各行业领域落地网络安全事件管理与报告建立了可操作的实施机制。
关键条款与洞察建议
1. 适用范围与监管体系
《办法》适用于中国境内的网络运营者,并沿用《网络安全法》关于“网络运营者”的定义,包括网络的所有者、管理者和网络服务提供者。
《办法》监管体系实行分级管理:
- 国家网信部门负责统筹协调全国网络安全事件报告管理工作
- 省级网信部门负责统筹协调本行政区域内网络安全事件报告管理工作
2. 事件分级
《办法》建立了四级网络安全事件分级体系,并设置了明确的量化阈值。
各级同时涵盖核心数据、重要数据泄露等对国家安全和社会稳定造成相应程度威胁的情形。下表为关键阈值概览(具体分级标准以《办法》为准):
3. 报告程序与报告时限
对较大及以上事件,《办法》规定如下报告程序与时限(以下时限自网络运营者发现或者获知网络安全事件之时起算):
补充要求:
- 涉及行业领域另有专门报告规定的,同时遵守行业报告要求
- 涉嫌违法犯罪的应当及时向公安机关报案
4. 报告内容要求
网络安全事件报告应当包括以下核心信息:
a) 涉事单位名称及涉事系统或设施基本情况
b) 网络安全事件发现或发生的时间、地点、类型、级别,以及已造成的影响和危害,已采取的措施及效 果;对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等
c) 事态发展趋势及可能造成的进一步影响和危害
d) 网络安全事件原因初步分析意见
e) 溯源调查工作线索
f) 拟进一步采取的应对措施以及请求支援事项
g) 网络安全事件现场保护情况
h) 其他应当报告的情况
在规定时限内无法确定全部信息的,网络运营者可以先行报告上述a)与b)项内容,并对其他信息及时续报。网络安全事件处置结束后30日内,应当通过原报告渠道上报事后总结报告,内容包括:(i)事件发生原因;(ii)应急处置措施;(iii)造成的危害和损失;(iv)责任追究;(v)完善整改情况;(vi)事件教训等。
5. 法律责任
《办法》明确了违法情形的法律后果:
- 未按照规定报告网络安全事件的,有关主管部门进行处罚
- 迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,从重处罚
- 同时规定了从轻或不予追究的情形:采取了合理必要的防护措施,按照应急预案进行处置,并及时报告的,可依法予以从轻或不予追究
6. 合规建议
建议在中国的网络运营者建立事件发现与分级能力,能够依据四级标准识别网络安全事件,实施7×24小时监测系统,并指定具有明确报告权限的负责人员。组织应当制定内部报告流程,以满足严格的时限要求,确保依据事件等级和主体类型在1-4小时内完成首次报告,并确保报告涵盖《办法》规定的八项核心内容。
《办法》还要求网络运营者建立合同义务,要求其网络安全服务提供者和系统维护供应商及时报告发现的事件,并协助按照《管理办法》报告此类事件。
7. 报告渠道与机制
为便于遵循《办法》,网信办建立了六类统一报告渠道。网络运营者、社会组织和个人可通过以下任一渠道报告网络安全事件:
a) 热线电话:拨打12387网络安全事件举报热线,按语音提示进行报告;
b) 网站:登录12387网络安全事件举报平台(https://12387.cert.org.cn)
c) 微信小程序:搜索“小程序12387”,进入首页点击“事件举报”;
d) 微信公众号:关注“国家互联网应急中心CNCERT”,点击“事件举报”;
e) 电子邮箱:发送至[email protected]
f) 传真:发送至010-82992387
我们的建议
《办法》的实施将进一步规范网络安全事件报告管理,推动完善国家网络安全事件应急处置体系。各类组织应当高度重视,尽快调整内部制度与流程,确保合规运行。提前筹备并系统落实所需的报告机制与配套能力,对于在我国持续演进的网络安全监管格局下保持合规至关重要。
