為進(jìn)一步規(guī)范涉及貨幣信貸、宏觀審慎 、跨境人民幣、銀行間市場
、金融業(yè)綜合統(tǒng)計(jì)、支付清算 、人民幣發(fā)行流通
、經(jīng)理國庫、征信和信用評級 、反洗錢等中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理 ，指導(dǎo)督促金融從業(yè)機(jī)構(gòu)依法依規(guī)報(bào)告中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件（以下簡稱網(wǎng)絡(luò)安全事件），近日
，中國人民銀行發(fā)布《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》（中國人民銀行令〔2025〕第4號，以下簡稱《辦法》） ，自2025年8月1日起施行 。

　　《辦法》共五章三十三條：第一章明確《辦法》制定依據(jù)
、適用范圍、向其他部門報(bào)告通報(bào)協(xié)作機(jī)制和社會監(jiān)督機(jī)制；第二章對網(wǎng)絡(luò)安全事件分級管理作出規(guī)定
，明確特別重大 、重大
、較大、一般等級網(wǎng)絡(luò)安全事件的分級標(biāo)準(zhǔn)底線規(guī)則；第三章對網(wǎng)絡(luò)安全事件報(bào)告流程 、內(nèi)容
、時效、途徑等作出規(guī)定；第四章對中國人民銀行或其分支機(jī)構(gòu)監(jiān)督和管理責(zé)任落實(shí)，以及金融從業(yè)機(jī)構(gòu)違反規(guī)定行為的處罰作出規(guī)定；第五章對術(shù)語定義 、解釋權(quán)和施行日期作出規(guī)定。

　　下一步 ，中國人民銀行將組織實(shí)施好《辦法》
，指導(dǎo)金融從業(yè)機(jī)構(gòu)及時、準(zhǔn)確報(bào)告網(wǎng)絡(luò)安全事件，降低網(wǎng)絡(luò)安全事件造成的損失和危害 ，筑牢金融網(wǎng)絡(luò)安全防線
。

　　中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法

　　第一章 總則

　　第一條 為規(guī)范中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理
，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《中華人民共和國中國人民銀行法》等法律
、行政法規(guī)，制定本辦法。

　　第二條 金融從業(yè)機(jī)構(gòu)在中華人民共和國境內(nèi)發(fā)生中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件時 ，應(yīng)當(dāng)按照本辦法規(guī)定向中國人民銀行或者住所地中國人民銀行分支機(jī)構(gòu)報(bào)告 。非中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件無須按照本辦法規(guī)定報(bào)告
。涉及國家秘密的
，按照有關(guān)規(guī)定執(zhí)行。

　　第三條 本辦法所稱中國人民銀行業(yè)務(wù)領(lǐng)域，指依據(jù)法律、行政法規(guī) ，黨中央 、國務(wù)院決定，由中國人民銀行承擔(dān)監(jiān)督和管理職責(zé)的業(yè)務(wù)領(lǐng)域 。

　　本辦法所稱中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件（以下簡稱網(wǎng)絡(luò)安全事件）
，指由于人為原因
、遭受網(wǎng)絡(luò)攻擊、存在漏洞隱患 、軟硬件缺陷或故障
、不可抗力等因素，對本機(jī)構(gòu)建設(shè)、運(yùn)營 、維護(hù)
、管理的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者處理的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)造成危害的事件
。

　　第四條 國家有關(guān)部門和其他金融管理部門等對網(wǎng)絡(luò)安全事件報(bào)告有規(guī)定的 ，金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)從其規(guī)定報(bào)告。涉及危害計(jì)算機(jī)信息系統(tǒng)等違法犯罪的網(wǎng)絡(luò)安全事件
，金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)及時向公安機(jī)關(guān)報(bào)案 。

　　中國人民銀行加強(qiáng)與國家有關(guān)部門和其他金融管理部門間的網(wǎng)絡(luò)安全事件報(bào)告內(nèi)容共享，按照國家有關(guān)部門規(guī)定向其通報(bào)網(wǎng)絡(luò)安全事件 ，并根據(jù)其他金融管理部門需要向其通報(bào)網(wǎng)絡(luò)安全事件
。

　　第五條 任何個人和組織有權(quán)向中國人民銀行或其分支機(jī)構(gòu)舉報(bào)金融從業(yè)機(jī)構(gòu)未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件的行為。中國人民銀行或其分支機(jī)構(gòu)對舉報(bào)人的相關(guān)信息予以保密 。

　　第二章 網(wǎng)絡(luò)安全事件分級

　　第六條 金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)在本機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度或者操作規(guī)程中明確網(wǎng)絡(luò)安全事件分級標(biāo)準(zhǔn)（以下簡稱分級標(biāo)準(zhǔn)）
，將網(wǎng)絡(luò)安全事件分為特別重大、重大 、較大和一般四個等級
。金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)每年組織評估并視情更新分級標(biāo)準(zhǔn)。分級標(biāo)準(zhǔn)如有更新，應(yīng)當(dāng)報(bào)本機(jī)構(gòu)主管網(wǎng)絡(luò)安全的領(lǐng)導(dǎo)班子成員批準(zhǔn) 。

　　金融從業(yè)機(jī)構(gòu)制定分級標(biāo)準(zhǔn)時 ，應(yīng)當(dāng)綜合考慮網(wǎng)絡(luò)安全事件對業(yè)務(wù)
、用戶等的影響程度。金融從業(yè)機(jī)構(gòu)針對與貨幣存取款、支付交易 、稅款繳庫、銀行間市場交易密切相關(guān)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)制定分級標(biāo)準(zhǔn)時
，應(yīng)當(dāng)差異化考慮業(yè)務(wù)高峰時段和非業(yè)務(wù)高峰時段網(wǎng)絡(luò)安全事件對業(yè)務(wù)處理的影響程度
。

　　金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)結(jié)合中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理相關(guān)規(guī)定，制定與中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)遭到篡改
、破壞、泄露相關(guān)的分級標(biāo)準(zhǔn)。

　　金融從業(yè)機(jī)構(gòu)可以針對網(wǎng)絡(luò)安全等級保護(hù)三級以上的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò) ，逐一細(xì)化制定專門適用的分級標(biāo)準(zhǔn) 。

　　第七條 符合下列情形之一的
，應(yīng)當(dāng)分級為特別重大網(wǎng)絡(luò)安全事件：

　?。ㄒ唬儆诮鹑诨A(chǔ)設(shè)施 、直接服務(wù)5000萬個以上自然人或者與貨幣存取款
、支付交易、稅款繳庫 、銀行間市場交易密切相關(guān)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)，主要功能在業(yè)務(wù)高峰時段出現(xiàn)兩個以上省級行政區(qū)范圍整體中斷運(yùn)行3小時以上或者單個省級行政區(qū)范圍整體中斷運(yùn)行6小時以上的；

　?。ǘ┨峁┙鹑诜?wù)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò) ，主要功能出現(xiàn)中斷
、超時報(bào)錯等情形，導(dǎo)致業(yè)務(wù)無法正常開展
，經(jīng)合理測算或者估算，已實(shí)際影響1000萬個以上自然人或者100萬個以上法人和其他組織的；

　?。ㄈ┲袊嗣胥y行業(yè)務(wù)領(lǐng)域核心數(shù)據(jù)遭到篡改、破壞 、泄露的；

　?。ㄋ模┲率剐孤?000萬條以上敏感個人信息或者1億條以上個人信息的；

　?。ㄎ澹┚W(wǎng)信部門
、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級為特別重大網(wǎng)絡(luò)安全事件的；

　　（六）中國人民銀行或其上?？偛?、省級分行 、計(jì)劃單列市分行研判并書面告知金融從業(yè)機(jī)構(gòu) ，應(yīng)當(dāng)分級為特別重大網(wǎng)絡(luò)安全事件的
。

　　第八條 符合下列情形之一的
，應(yīng)當(dāng)至少分級為重大網(wǎng)絡(luò)安全事件：

　?。ㄒ唬儆诮鹑诨A(chǔ)設(shè)施
、直接服務(wù)5000萬個以上自然人或者與貨幣存取款、支付交易 、稅款繳庫、銀行間市場交易密切相關(guān)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)，主要功能在業(yè)務(wù)高峰時段出現(xiàn)兩個以上省級行政區(qū)范圍整體中斷運(yùn)行1.5小時以上或者單個省級行政區(qū)范圍整體中斷運(yùn)行3小時以上的；

　?。ǘ┨峁┙鹑诜?wù)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò) ，主要功能出現(xiàn)中斷
、超時報(bào)錯等情形
，導(dǎo)致業(yè)務(wù)無法正常開展，經(jīng)合理測算或者估算 ，已實(shí)際影響100萬個以上自然人或者10萬個以上法人和其他組織的；

　?。ㄈ┲袊嗣胥y行業(yè)務(wù)領(lǐng)域重要數(shù)據(jù)遭到篡改、破壞 、泄露的；

　?。ㄋ模┲率剐孤?00萬條以上敏感個人信息或者1000萬條以上個人信息的；

　　（五）網(wǎng)信部門
、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級為重大網(wǎng)絡(luò)安全事件的；

　?。┲袊嗣胥y行或其上?？偛?、省級分行 、計(jì)劃單列市分行研判并書面告知金融從業(yè)機(jī)構(gòu)
，應(yīng)當(dāng)分級為重大網(wǎng)絡(luò)安全事件的。

　　第九條 符合下列情形之一的，應(yīng)當(dāng)至少分級為較大網(wǎng)絡(luò)安全事件：

　?。ㄒ唬儆诮鹑诨A(chǔ)設(shè)施
、直接服務(wù)5000萬個以上自然人或者與貨幣存取款、支付交易 、稅款繳庫
、銀行間市場交易密切相關(guān)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò) ，主要功能在業(yè)務(wù)高峰時段出現(xiàn)兩個以上省級行政區(qū)范圍整體中斷運(yùn)行15分鐘以上或者單個省級行政區(qū)范圍整體中斷運(yùn)行30分鐘以上的；

　?。ǘ┨峁┙鹑诜?wù)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)
，主要功能出現(xiàn)中斷、超時報(bào)錯等情形，導(dǎo)致業(yè)務(wù)無法正常開展 ，經(jīng)合理測算或者估算，已實(shí)際影響10萬個以上自然人或者5000個以上法人和其他組織的；

　?。ㄈ┲率剐孤?00條以上征信信息 、財(cái)產(chǎn)信息
，或者致使泄露5萬條以上個人信息的；

　?。ㄋ模┰馐芾账鲪阂獬绦蚬?，已對中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)造成危害后果的；

　　（五）網(wǎng)信部門
、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級為較大網(wǎng)絡(luò)安全事件的 。

　　第十條 符合下列情形之一的 ，應(yīng)當(dāng)至少分級為一般網(wǎng)絡(luò)安全事件：

　　（一）提供金融服務(wù)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)
，主要功能出現(xiàn)單個省級行政區(qū)范圍整體中斷運(yùn)行30分鐘以上的；

　　（二）提供金融服務(wù)的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)，主要功能出現(xiàn)中斷、超時報(bào)錯等情形 ，導(dǎo)致業(yè)務(wù)無法正常開展
，經(jīng)合理測算或者估算，已實(shí)際影響1萬個以上自然人或者1000個以上法人和其他組織的；

　?。ㄈ┲袊嗣胥y行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)主要功能出現(xiàn)中斷 、超時報(bào)錯等情形 ，導(dǎo)致業(yè)務(wù)無法正常開展
，已持續(xù)1小時以上的；

　?。ㄋ模┲袊嗣胥y行業(yè)務(wù)領(lǐng)域數(shù)據(jù)遭到篡改、破壞
、泄露，導(dǎo)致社會危害的；

　?。ㄎ澹┌l(fā)生或者可能發(fā)生個人信息泄露、篡改 、丟失的；

　?。┚W(wǎng)信部門
、公安機(jī)關(guān)已明確應(yīng)當(dāng)分級為一般網(wǎng)絡(luò)安全事件的
。

　　第十一條 金融從業(yè)機(jī)構(gòu)制定與中國人民銀行管理的金融基礎(chǔ)設(shè)施業(yè)務(wù)交互功能異常相關(guān)的分級標(biāo)準(zhǔn)時 ，應(yīng)當(dāng)征求金融基礎(chǔ)設(shè)施運(yùn)營機(jī)構(gòu)意見并協(xié)商一致。

　　第十二條 金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時
，應(yīng)當(dāng)對照分級標(biāo)準(zhǔn)，綜合確定網(wǎng)絡(luò)安全事件等級 。同時符合多個分級標(biāo)準(zhǔn)的 ，應(yīng)當(dāng)按照最高級別確定網(wǎng)絡(luò)安全事件等級
。對照分級標(biāo)準(zhǔn)無法準(zhǔn)確確定網(wǎng)絡(luò)安全事件等級的，應(yīng)當(dāng)至少分級為較大網(wǎng)絡(luò)安全事件。

　　因?yàn)?zāi)害或者信息基礎(chǔ)設(shè)施故障
，導(dǎo)致金融從業(yè)機(jī)構(gòu)多個中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)同時發(fā)生網(wǎng)絡(luò)安全事件時，應(yīng)當(dāng)先分別確定網(wǎng)絡(luò)安全事件等級 ，再按照各網(wǎng)絡(luò)安全事件等級中的最高級別
，確定整體的網(wǎng)絡(luò)安全事件等級 。

　　網(wǎng)絡(luò)安全事件事態(tài)發(fā)展情況已達(dá)到更高級別分級標(biāo)準(zhǔn)時，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)立即調(diào)整網(wǎng)絡(luò)安全事件等級
。

　　第三章 網(wǎng)絡(luò)安全事件報(bào)告

　　第十三條 金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)明確應(yīng)急處置與報(bào)告的職責(zé)分工 ，確保網(wǎng)絡(luò)安全事件報(bào)告及時、準(zhǔn)確 、完整
，不得遲報(bào)
、漏報(bào)或者瞞報(bào)。

　　金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)健全網(wǎng)絡(luò)安全風(fēng)險監(jiān)測預(yù)警體系，提升第一時間發(fā)現(xiàn)和報(bào)告網(wǎng)絡(luò)安全事件的技術(shù)能力 。

　　金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時 ，應(yīng)當(dāng)立即啟動應(yīng)急預(yù)案
，采取相應(yīng)的補(bǔ)救措施。按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件時，不應(yīng)遲滯業(yè)務(wù)恢復(fù)、存證溯源 、用戶解釋
、輿情應(yīng)對等處置工作
。

　　第十四條 國家開發(fā)銀行、政策性銀行 、國有商業(yè)銀行
、中國郵政儲蓄銀行、股份制商業(yè)銀行 、屬于系統(tǒng)重要性金融機(jī)構(gòu)的城市商業(yè)銀行、系統(tǒng)重要性非銀行支付機(jī)構(gòu)
、經(jīng)營個人征信業(yè)務(wù)的征信機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時 ，應(yīng)當(dāng)向中國人民銀行報(bào)告；其分支機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時
，應(yīng)當(dāng)向住所地中國人民銀行分支機(jī)構(gòu)報(bào)告。中國人民銀行所屬單位及其管理的金融基礎(chǔ)設(shè)施運(yùn)營機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時，應(yīng)當(dāng)向中國人民銀行報(bào)告 。其他金融從業(yè)機(jī)構(gòu)或其分支機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時 ，應(yīng)當(dāng)向住所地中國人民銀行分支機(jī)構(gòu)報(bào)告；在保障報(bào)告時效性前提下，證券、期貨 、基金機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件時
，經(jīng)中國證監(jiān)會派出機(jī)構(gòu)轉(zhuǎn)通報(bào)同級中國人民銀行分支機(jī)構(gòu)
。

　　中國人民銀行計(jì)劃單列市分行（不含深圳市分行）
、地市分行接報(bào)轄區(qū)發(fā)生較大等級以上網(wǎng)絡(luò)安全事件時，應(yīng)當(dāng)及時上報(bào)至中國人民銀行省級分行。中國人民銀行省級分行、深圳市分行接報(bào)轄區(qū)發(fā)生重大等級以上網(wǎng)絡(luò)安全事件時 ，應(yīng)當(dāng)及時上報(bào)至中國人民銀行 。

　　第十五條 金融從業(yè)機(jī)構(gòu)發(fā)生較大等級以上網(wǎng)絡(luò)安全事件后
，應(yīng)當(dāng)于1小時內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡要報(bào)告，并在24小時內(nèi)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)報(bào)告
。

　　金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件 ，尚未達(dá)到較大等級
，但出現(xiàn)相關(guān)輿情信息進(jìn)入社交媒體 、搜索引擎或者新聞網(wǎng)站熱點(diǎn)榜等情形，引發(fā)較大輿情的 ，應(yīng)當(dāng)按照前款規(guī)定報(bào)告。

　　第十六條 對于重大等級以上網(wǎng)絡(luò)安全事件
，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)至少每隔2小時進(jìn)行事中進(jìn)展報(bào)告，直至處置結(jié)束 。處置過程中如出現(xiàn)調(diào)高網(wǎng)絡(luò)安全事件等級
、處置取得階段性進(jìn)展、發(fā)現(xiàn)新的問題等重要情況時 ，應(yīng)當(dāng)立即報(bào)告
。

　　第十七條 網(wǎng)絡(luò)安全事件處置結(jié)束后
，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)于10個工作日內(nèi)報(bào)送事后調(diào)查總結(jié)報(bào)告。無法按時報(bào)送事后調(diào)查總結(jié)報(bào)告的，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)先按時報(bào)送初步報(bào)告 ，說明承諾報(bào)送事后調(diào)查總結(jié)報(bào)告的日期并按時報(bào)送 。承諾日期原則上應(yīng)當(dāng)在處置結(jié)束之日起40個工作日內(nèi)
。

　　第十八條 金融從業(yè)機(jī)構(gòu)可以通過電話 、即時通信工具
、電子郵件、傳真或者中國人民銀行指定的信息系統(tǒng)報(bào)送網(wǎng)絡(luò)安全事件事發(fā)簡要報(bào)告 、事發(fā)報(bào)告和事中進(jìn)展報(bào)告；采用電子郵件
、傳真方式報(bào)告的，應(yīng)當(dāng)通過電話或者即時通信工具確認(rèn)中國人民銀行或其分支機(jī)構(gòu)已收悉。涉及工作秘密的
，不得通過互聯(lián)網(wǎng)渠道報(bào)告 。

　　金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)書面報(bào)送網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告，并加蓋本機(jī)構(gòu)或者承擔(dān)報(bào)告職責(zé)內(nèi)設(shè)部門公章。中國人民銀行對網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告另有電子化報(bào)送規(guī)定的 ，金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)按照規(guī)定電子化報(bào)送
。

　　第十九條 網(wǎng)絡(luò)安全事件事發(fā)簡要報(bào)告內(nèi)容包括初次確定的網(wǎng)絡(luò)安全事件等級、事發(fā)時間 、依據(jù)網(wǎng)絡(luò)安全事件分類分級相關(guān)國家標(biāo)準(zhǔn)確定的網(wǎng)絡(luò)安全事件分類、影響的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)及其對應(yīng)的網(wǎng)絡(luò)安全保護(hù)等級
、涉及的數(shù)據(jù)中心、報(bào)告機(jī)構(gòu)和報(bào)告時間 、報(bào)告人和聯(lián)系方式。網(wǎng)絡(luò)安全事件事發(fā)報(bào)告應(yīng)當(dāng)在事發(fā)簡要報(bào)告內(nèi)容基礎(chǔ)上
，增補(bǔ)影響范圍和程度
、已采取的措施和效果，網(wǎng)絡(luò)攻擊事件還應(yīng)當(dāng)增補(bǔ)分析研判情況 。

　　網(wǎng)絡(luò)安全事件事中進(jìn)展報(bào)告應(yīng)當(dāng)在事發(fā)簡要報(bào)告基礎(chǔ)上 ，增補(bǔ)說明最新確定的網(wǎng)絡(luò)安全事件等級、影響的變化 、處置進(jìn)展和下一步擬采取的措施
。如存在需中國人民銀行或其分支機(jī)構(gòu)協(xié)調(diào)支持處置的事項(xiàng)
，應(yīng)當(dāng)一并說明。

　　網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告內(nèi)容應(yīng)當(dāng)包括最終確定的網(wǎng)絡(luò)安全事件等級
、處置歷程回顧、影響損失評估 、技術(shù)或者管理問題根源分析
、處置經(jīng)驗(yàn)教訓(xùn)、后續(xù)改進(jìn)措施 、報(bào)告機(jī)構(gòu)和報(bào)告時間
、報(bào)告人和聯(lián)系方式、簽發(fā)人 。

　　第二十條 金融從業(yè)機(jī)構(gòu)發(fā)生網(wǎng)絡(luò)安全事件涉及個人信息泄露 、篡改、丟失的，事后調(diào)查總結(jié)報(bào)告還應(yīng)當(dāng)說明本機(jī)構(gòu)為有效避免網(wǎng)絡(luò)安全事件危害所采取的補(bǔ)救措施
、依法通知個人的情況和告知個人可以采取減輕危害措施的情況
。

　　對于重大等級以上網(wǎng)絡(luò)安全事件 ，前款所列內(nèi)容應(yīng)當(dāng)在事中進(jìn)展報(bào)告中提前予以說明。

　　第二十一條 較大等級以上網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告內(nèi)容
，還應(yīng)當(dāng)包括直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員的責(zé)任認(rèn)定和對應(yīng)責(zé)任處理情況 。

　　金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)綜合考慮動機(jī)態(tài)度、客觀條件 、程序方法
、后果影響、挽回?fù)p失等因素，在本機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度中明確責(zé)任處理的差異化適用情形
。事后調(diào)查總結(jié)報(bào)告中對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員的處理措施 ，應(yīng)當(dāng)符合本機(jī)構(gòu)網(wǎng)絡(luò)安全管理制度規(guī)定。

　　第二十二條 滿足下列條件之一并且能提供相關(guān)證明材料的
，金融從業(yè)機(jī)構(gòu)可以根據(jù)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員具體承擔(dān)職責(zé)，視情針對性減輕或者免除責(zé)任處理 ，但應(yīng)當(dāng)在網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告中予以說明：

　?。ㄒ唬┮寻幢巨k法規(guī)定主動報(bào)告，同時按照本機(jī)構(gòu)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案有關(guān)程序立即進(jìn)行處置
，盡最大努力降低影響的；

　　（二）網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用過程中因缺乏經(jīng)驗(yàn) 、先行先試造成網(wǎng)絡(luò)安全事件，且沒有主觀過錯的；

　?。ㄈ┮亚袑?shí)落實(shí)中國人民銀行和本機(jī)構(gòu)網(wǎng)絡(luò)安全
、數(shù)據(jù)安全相關(guān)管理制度要求 ，并嚴(yán)格執(zhí)行本機(jī)構(gòu)相關(guān)操作規(guī)程的 。

　　第二十三條 中國人民銀行或其分支機(jī)構(gòu)認(rèn)為金融從業(yè)機(jī)構(gòu)網(wǎng)絡(luò)安全事件事后調(diào)查總結(jié)報(bào)告存在內(nèi)容缺失、原因分析不清 、影響損失評估失實(shí)
、責(zé)任認(rèn)定或者處理不當(dāng)?shù)惹樾?
，退回事后調(diào)查總結(jié)報(bào)告并正式反饋修改意見的，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)在收到反饋之日起10個工作日內(nèi)完善事后調(diào)查總結(jié)報(bào)告并重新報(bào)送
。

　　第二十四條 金融從業(yè)機(jī)構(gòu)收到中國人民銀行或其分支機(jī)構(gòu)通報(bào)的其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在運(yùn)行異常 、疑似數(shù)據(jù)泄露
、安全缺陷、漏洞等風(fēng)險提示時 ，應(yīng)當(dāng)立即組織核查
，采取必要補(bǔ)救措施。經(jīng)核查風(fēng)險屬實(shí)并構(gòu)成網(wǎng)絡(luò)安全事件的，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)按照本辦法規(guī)定進(jìn)行報(bào)告；風(fēng)險不屬實(shí)或者尚不構(gòu)成網(wǎng)絡(luò)安全事件的 ，應(yīng)當(dāng)根據(jù)通報(bào)要求按時反饋風(fēng)險核查處置情況 。

　　第二十五條 金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)安全事件臺賬
，完整準(zhǔn)確記錄網(wǎng)絡(luò)安全事件事發(fā)時間 、事發(fā)報(bào)告時間、中國人民銀行或其分支機(jī)構(gòu)接報(bào)聯(lián)系人和對應(yīng)的網(wǎng)絡(luò)安全事件報(bào)告內(nèi)容。中國人民銀行分支機(jī)構(gòu)應(yīng)當(dāng)相應(yīng)建立轄區(qū)網(wǎng)絡(luò)安全事件臺賬
。臺賬應(yīng)當(dāng)至少留存三年。

　　第四章 法律責(zé)任

　　第二十六條 中國人民銀行或其分支機(jī)構(gòu)根據(jù)金融從業(yè)機(jī)構(gòu)報(bào)告處置網(wǎng)絡(luò)安全事件的情況，可以按照中國人民銀行執(zhí)法檢查有關(guān)規(guī)定明確的程序 ，對金融從業(yè)機(jī)構(gòu)依法實(shí)施檢查
，金融從業(yè)機(jī)構(gòu)應(yīng)當(dāng)予以配合 。

　　金融從業(yè)機(jī)構(gòu)拒絕
、阻礙中國人民銀行或其分支機(jī)構(gòu)實(shí)施檢查的，中國人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十九條予以處罰
。

　　第二十七條 金融從業(yè)機(jī)構(gòu)未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件的 ，中國人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條予以處罰。

　　前款行為涉及中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)遭到篡改、破壞 、泄露或者非法獲取
、非法利用的，中國人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國數(shù)據(jù)安全法》第四十五條予以處罰；前款行為涉及個人信息泄露、篡改 、丟失的
，中國人民銀行或其分支機(jī)構(gòu)可以依照《中華人民共和國個人信息保護(hù)法》第六十六條予以處罰 。

　　第二十八條 金融從業(yè)機(jī)構(gòu)收到中國人民銀行或其分支機(jī)構(gòu)通報(bào)的風(fēng)險，如果風(fēng)險屬實(shí) ，但未立即采取補(bǔ)救措施或者未按照本辦法規(guī)定按時反饋核查處置情況的
，中國人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國網(wǎng)絡(luò)安全法》第六十條予以處罰
。

　　有前款行為并且通報(bào)的風(fēng)險為數(shù)據(jù)安全缺陷
、漏洞的，中國人民銀行或其分支機(jī)構(gòu)依照《中華人民共和國數(shù)據(jù)安全法》第四十五條予以處罰。

　　第二十九條 金融從業(yè)機(jī)構(gòu)在接受中國人民銀行或其分支機(jī)構(gòu)檢查時 ，主動供述檢查人員尚未掌握的未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件行為的
，應(yīng)當(dāng)從輕或者減輕處罰 。

　　第三十條 中國人民銀行分支機(jī)構(gòu)未按照本辦法規(guī)定報(bào)告網(wǎng)絡(luò)安全事件，存在失職失責(zé)行為 ，造成重大損失、嚴(yán)重后果或者惡劣影響的
，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依規(guī)依紀(jì)依法予以嚴(yán)肅追責(zé)問責(zé)
。

　　第五章 附則

　　第三十一條 本辦法下列用語的含義：

　?。ㄒ唬┙鹑趶臉I(yè)機(jī)構(gòu)，是指金融機(jī)構(gòu)以及經(jīng)中國人民銀行批準(zhǔn)設(shè)立或者認(rèn)定的其他機(jī)構(gòu)。

　?。ǘ┚W(wǎng)絡(luò) ，是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集 、存儲
、傳輸、交換 、處理的系統(tǒng) 。

　?。ㄈI(yè)務(wù)高峰時段
，是指按年度統(tǒng)計(jì)的分時平均業(yè)務(wù)量超過日平均業(yè)務(wù)量百分之三的時段，或者依據(jù)本機(jī)構(gòu)制度列明的其他合理計(jì)算方式確定的時段
。

　?。ㄋ模┱w中斷運(yùn)行 ，是指因網(wǎng)絡(luò)安全事件，某一時段內(nèi)未處理和處理失敗業(yè)務(wù)量與正常情況全部業(yè)務(wù)量的比例
，經(jīng)合理測算或者估算，已經(jīng)超過百分之七十。

　?。ㄎ澹┲饕δ?，是指與用戶身份認(rèn)證或者業(yè)務(wù)交互相關(guān)的功能 。

　　（六）本辦法所稱“以上 ”均含本數(shù)。

　　第三十二條 本辦法由中國人民銀行負(fù)責(zé)解釋
。

　　中國人民銀行分支機(jī)構(gòu)自身發(fā)生的網(wǎng)絡(luò)安全事件應(yīng)當(dāng)向其上級行報(bào)告
，報(bào)告時效
、途徑和內(nèi)容等要求按照本辦法對金融從業(yè)機(jī)構(gòu)的規(guī)定執(zhí)行。

　　第三十三條 本辦法自2025年8月1日起施行 ?！躲y行計(jì)算機(jī)安全事件報(bào)告管理制度》（銀發(fā)〔2002〕280號文印發(fā)）、《中國人民銀行計(jì)算機(jī)系統(tǒng)信息安全報(bào)告制度》（銀發(fā)〔2010〕366號文印發(fā)）同時廢止
。

　　中國人民銀行有關(guān)部門負(fù)責(zé)人就《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》答記者問

　　為貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》，近日 ，中國人民銀行發(fā)布了《中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件報(bào)告管理辦法》（中國人民銀行令〔2025〕第4號
，以下簡稱《辦法》）。中國人民銀行有關(guān)部門負(fù)責(zé)人就《辦法》回答了記者提問 。

　　一 、《辦法》出臺的背景是什么？

　　2002年，中國人民銀行制定印發(fā)《銀行計(jì)算機(jī)安全事件報(bào)告管理制度》（銀發(fā)〔2002〕280號文印發(fā)） ，明確了銀行機(jī)構(gòu)向中國人民銀行報(bào)告計(jì)算機(jī)安全事件的管理要求
。近年來
，《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相繼發(fā)布實(shí)施，按規(guī)定向有關(guān)主管部門報(bào)告網(wǎng)絡(luò)安全事件 ，已成為網(wǎng)絡(luò)運(yùn)營者的基本法定義務(wù)。為全面落實(shí)、有機(jī)銜接國家法律法規(guī)要求
，需重新編寫制度，在中國人民銀行職責(zé)范圍內(nèi)進(jìn)一步明確相關(guān)金融從業(yè)機(jī)構(gòu)報(bào)告中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件（以下簡稱網(wǎng)絡(luò)安全事件）的具體要求 。

　　二
、《辦法》的適用范圍是什么？

　　《辦法》明確 ，由于人為原因、遭受網(wǎng)絡(luò)攻擊 、存在漏洞隱患
、軟硬件缺陷或故障、不可抗力等因素，對金融從業(yè)機(jī)構(gòu)建設(shè) 、運(yùn)營
、維護(hù)、管理的中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)或者處理的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)造成危害的事件
，應(yīng)當(dāng)按照《辦法》規(guī)定向中國人民銀行或者住所地中國人民銀行分支機(jī)構(gòu)報(bào)告
。非中國人民銀行業(yè)務(wù)領(lǐng)域網(wǎng)絡(luò)安全事件無須按照《辦法》規(guī)定報(bào)告。涉及國家秘密的，按照有關(guān)規(guī)定執(zhí)行 。其中 ，中國人民銀行業(yè)務(wù)領(lǐng)域是指由中國人民銀行承擔(dān)監(jiān)督和管理職責(zé)的貨幣信貸 、宏觀審慎
、跨境人民幣、銀行間市場 、金融業(yè)綜合統(tǒng)計(jì)
、支付清算、人民幣發(fā)行流通 、經(jīng)理國庫、征信和信用評級
、反洗錢等業(yè)務(wù)領(lǐng)域
。

　　三、制定《辦法》的主要思路是什么？

　　《辦法》編制基于有效銜接 、細(xì)化上位法原則性規(guī)定的思路
，明確了網(wǎng)絡(luò)安全事件的分級標(biāo)準(zhǔn)底線規(guī)則。在此基礎(chǔ)上，《辦法》一是細(xì)化事件報(bào)告流程 ，基于金融從業(yè)機(jī)構(gòu)的機(jī)構(gòu)類型
、機(jī)構(gòu)層級、業(yè)務(wù)規(guī)模等
，差異化明確網(wǎng)絡(luò)安全事件報(bào)告的流程，著力提升網(wǎng)絡(luò)安全事件報(bào)告可操作性 。二是明確不同等級網(wǎng)絡(luò)安全事件事發(fā) 、事中
、事后報(bào)告的時效要求 ，著力提升網(wǎng)絡(luò)安全事件報(bào)告及時性。

　　四、《辦法》的主要內(nèi)容包括哪些？

　　《辦法》共五章三十三條：第一章明確《辦法》制定依據(jù) 、適用范圍
、向其他部門報(bào)告通報(bào)協(xié)作機(jī)制和社會監(jiān)督機(jī)制；第二章對網(wǎng)絡(luò)安全事件分級管理作出規(guī)定
，明確特別重大、重大 、較大
、一般等級網(wǎng)絡(luò)安全事件的分級標(biāo)準(zhǔn)底線規(guī)則；第三章對網(wǎng)絡(luò)安全事件報(bào)告流程、內(nèi)容 、時效、途徑等作出規(guī)定；第四章對中國人民銀行或其分支機(jī)構(gòu)監(jiān)督和管理責(zé)任落實(shí)，以及金融從業(yè)機(jī)構(gòu)違反規(guī)定行為的處罰作出規(guī)定；第五章對術(shù)語定義
、解釋權(quán)和施行日期作出規(guī)定
。

　　五、與現(xiàn)行的《銀行計(jì)算機(jī)安全事件報(bào)告管理制度》相比 ，《辦法》主要的變化有哪些？

　　與現(xiàn)行的管理制度相比
，《辦法》主要有五方面變化。一是明確適用范圍 ?！掇k法》明確金融從業(yè)機(jī)構(gòu)在中華人民共和國境內(nèi)發(fā)生網(wǎng)絡(luò)安全事件時，應(yīng)當(dāng)按照《辦法》規(guī)定向中國人民銀行或者住所地中國人民銀行分支機(jī)構(gòu)報(bào)告
。二是明確分級標(biāo)準(zhǔn)?！掇k法》遵循《信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南》（GB/T 20986-2023）國家標(biāo)準(zhǔn)定義 ，將網(wǎng)絡(luò)安全事件分為特別重大 、重大
、較大和一般四個等級，并提出各等級分級標(biāo)準(zhǔn)的底線規(guī)則 。三是細(xì)化報(bào)告要求
。《辦法》細(xì)化網(wǎng)絡(luò)安全事件事發(fā)、事中 、事后報(bào)告具體要求
，便于中國人民銀行全面掌握
、督促處置、協(xié)調(diào)化解網(wǎng)絡(luò)安全事件。四是明確涉及責(zé)任認(rèn)定時的報(bào)告內(nèi)容要求 。《辦法》提出了責(zé)任認(rèn)定和處理情況的報(bào)告要求，明確了減輕或者免除責(zé)任處理的適用情形 ，督促相關(guān)崗位人員履職盡責(zé)
。五是明確法律責(zé)任?！掇k法》明確金融從業(yè)機(jī)構(gòu)配合中國人民銀行或其分支機(jī)構(gòu)實(shí)施檢查的要求 、金融從業(yè)機(jī)構(gòu)違規(guī)行為適用的處罰條款
，以及對中國人民銀行相關(guān)工作人員失職失責(zé)行為追責(zé)問責(zé)的情形 。

　　六
、《辦法》如何實(shí)現(xiàn)與其他主管部門間監(jiān)管協(xié)同？

　　貫徹落實(shí)黨中央、國務(wù)院印發(fā)的《國家突發(fā)事件總體應(yīng)急預(yù)案》“各地各有關(guān)部門應(yīng)當(dāng)完善監(jiān)測網(wǎng)絡(luò)……加強(qiáng)對……金融異動 、網(wǎng)絡(luò)數(shù)據(jù)安全
、人工智能安全等綜合監(jiān)測”“多種途徑收集獲取并共享信息
”有關(guān)要求，《辦法》明確網(wǎng)絡(luò)安全事件信息共享和協(xié)同處置有關(guān)內(nèi)容：國家有關(guān)部門和其他金融管理部門等對網(wǎng)絡(luò)安全事件報(bào)告有規(guī)定的 ，金融從業(yè)機(jī)構(gòu)還應(yīng)當(dāng)從其規(guī)定報(bào)告；中國人民銀行加強(qiáng)與國家有關(guān)部門和其他金融管理部門間的網(wǎng)絡(luò)安全事件報(bào)告內(nèi)容共享
，按照國家有關(guān)部門規(guī)定向其通報(bào)網(wǎng)絡(luò)安全事件，并根據(jù)其他金融管理部門需要向其通報(bào)網(wǎng)絡(luò)安全事件
。

　　七、《辦法》出臺后 ，中國人民銀行后續(xù)工作考慮有哪些？

　　一是加強(qiáng)政策宣傳
，指導(dǎo)金融從業(yè)機(jī)構(gòu)更準(zhǔn)確地理解把握《辦法》條款內(nèi)容。二是積極推進(jìn)落實(shí)，引導(dǎo)金融從業(yè)機(jī)構(gòu)結(jié)合自身實(shí)際完善網(wǎng)絡(luò)安全事件分級標(biāo)準(zhǔn) 、明確網(wǎng)絡(luò)安全事件報(bào)告內(nèi)部職責(zé)分工 。三是規(guī)范行政執(zhí)法 ，督促金融從業(yè)機(jī)構(gòu)堅(jiān)守網(wǎng)絡(luò)安全事件報(bào)告合規(guī)底線。