引言
9月11日,国家互联网信息办公室正式出台《国家网络安全事件报告管理办法》(下称《管理办法》),对网络安全事件报告适用范围、监管职责、报告主体、报告流程、报告时限、报告内容等提出规范要求,将于11月1日起施行。此前2023年12月8日,国家互联网信息办公室向社会公开征求对《网络安全事件报告管理办法(征求意见稿)》(下称《征求意见稿》)的意见(参考前期文章:一笼烽火报平安——《网络安全事件报告管理办法(征求意见稿)》解读和实践挑战)。时隔近两年,网络安全、数据安全和个人信息保护的重要性不断提升,近期某知名品牌企业因数据泄露被媒体曝光后,随即被公安部门予以处罚,充分反映了国家对网络安全事件的严肃态度。《管理办法》也相应提高了报告制度的合规要求,将最短的报告时限从征求意见稿的1小时压缩至30分钟,极大彰显了监管侧对网络安全事件报告的重视程度。
但是,《管理办法》不是对网络运营者施加的额外义务,而本来就是《网络安全法》《数据安全法》《个人信息保护法》等所规定的法定义务。《管理办法》对报告的程序性义务进行清晰规定,可以通过强化网络安全事件报告机制,保证在意外情况下能够政企联动,有效应对网络安全事件,消除负面影响,同时也可以提示利益相关方采取措施,减少或者避免网络安全事件带来的损害。
01
严格落实报告义务
《管理办法》第九条明确,网信部门建设12387网络安全事件报告热线电话和网站、邮箱、传真等方式,统一接收网络安全事件报告。根据官方披露情况,《管理办法》并非仅仅是纸面规定,网信部门已开通12387网络安全事件报告热线、官网、微信公众号、微信小程序、邮件、传真等六类网络安全事件报告渠道,网络运营者、社会组织和个人可通过上述渠道向网信部门报告网络安全事件(请见下图微信小程序界面)。这六类渠道极大地方便了网络运营者的报告路径,同时也意味着发生网络安全事件后,不仅企业本身具有报告义务,社会组织和个人等其他主体亦可以向网信部门报告,比如《管理办法》第六条亦规定,鼓励社会组织和个人报告所获悉的较大以上网络安全事件。网络安全事件将不仅仅是舆情事件,必须经由法治手段进行应对。从企业的角度来说,需要建立完善的网络安全、数据安全等合规制度,完善内部应急响应流程,防范网络安全事件的发生,也要确保能够在发生网络安全事件时,依法履行报告义务。
网络安全事件报告制度是网络安全、数据安全保护的重要制度之一,监管侧在网络安全、数据安全治理方面整体不断加大治理力度。今年3月28日,中央网信办、工信部、公安部、市场监管总局时隔六年后,再次联合发布了《关于开展2025年个人信息保护系列专项行动的公告》,密集开展执法行动。截至目前,中央网信办通报了2批违法违规应用程序,共计109款,下架4款;工信部通报了4批违法违规应用程序,共计181款(此外还有季度通报合计450款,整改2359款,下架77款);公安系统累计通报了15批违法违规应用程序,共计675款,下架176款,其中国家计算机病毒应急处理中心通报了11批,共计524款,下架155款,公安部计算机信息系统安全产品质量监督检验中心通报了4批,共计151款,下架21款。
虽然治理力度不断加大,但是网络安全事件的发生和危害仍不容忽视。近期国家网信办首次发布网络安全、数据安全、个人信息保护相关执法典型案例,10个典型案例中有7个均涉及网络安全事件,包括网页篡改、数据泄露、数据被窃取等。
监管侧的执法活动表明,网络安全与数据合规的重要性持续加大,在企业内部合规体系中的地位应该更高,内容应该更丰富。实行网络安全事件报告制度,可以有效敦促网络运营者完善内部合规,提升网络安全与数据合规水平,防范网络安全事件的发生。同时,还有利于政企信息对称,在发生网络安全事件时,政府部门可以及时了解、介入,调动更为充分的资源应对网络安全事件。
02
《管理办法》的法律责任
《管理办法》中规定的报告义务和程序与《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规中相关规定呼应。比如,《网络安全法》第二十五条规定了网络运营者在发生危害网络安全的事件时,需要按照规定向有关主管部门报告;《数据安全法》第二十九条规定,发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告;《个人信息保护法》第五十七条规定了数据泄露通知制度;《关键信息基础设施安全保护条例》规定关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,网络运营者应当向保护工作部门、公安机关报告。
因此,《管理办法》没有直接规定处罚措施,而是规定按照相关法律、行政法规处罚(第十条第一款)。《管理办法》的上位法依据包括《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》。也就是说,违反《管理办法》的,将根据这些上位法进行处罚。众所周知,《个人信息保护法》设置了最高五千万元人民币或者上一年度营业额百分之五的罚款。《数据安全法》第四十五条对违反报告制度(第二十九条)的罚款最高为二百万元(涉及核心数据的为一千万元)。《网络安全法》尚未对第五十五条的报告制度规定法律责任,但是《网络安全法(修正草案)》正在修正过程中,且本次修正是对法律责任部分进行重点修正,不排除未来对报告制度规定法律责任的可能性。《关键信息基础设施安全保护条例》设置了最高一百万元的罚款(第四十条)。
同时,不仅企业要承担法律责任,相关负责人员也要承担法律责任。《网络安全法》确立了“双罚制”,即在对企业处罚的基础上,还要对直接负责的主管人员和其他责任人员进行处罚。《个人信息保护法》在对企业处罚的基础上,还将对直接负责的主管人员和其他责任人员罚款(最高一百万元),并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人(第六十六条)。《管理办法》中规定,网络运营者未按照本办法规定报告网络安全事件的,有关主管部门按照有关法律、行政法规的规定进行处罚(第十条第一款)。不仅如此,《管理办法》还强调,因网络运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对网络运营者及有关责任人依法从重处罚(第十条第二款)。《关键信息基础设施安全保护条例》规定对直接负责的主管人员处最高十万元罚款(第四十条)。
小结而言,违反《管理办法》的规定,可能触发《个人信息保护法》第六十六条、《数据安全法》第四十五条和《关键信息基础设施安全保护条例》第四十条的法律责任,企业最高可能被罚款五千万元人民币或者上一年度营业额的百分之五,还可能被责令改正、警告、没收违法所得、暂停业务或者停业整顿、吊销业务许可或者营业执照;个人最高可能被罚款一百万元人民币,还可能被禁止在一定期限内从事相关职业。
03
报告主体——广泛覆盖网络安全责任主体
根据《管理办法》第二条的规定,负有报告义务的主体为“网络运营者”。《管理办法》将《征求意见稿》中的定义(“在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者”),修改为“网络的所有者、管理者和网络服务提供者”(第十二条第二款),与《网络安全法》保持一致。因此,《管理办法》的报告主体也应比照《网络安全法》作宽泛理解,大多数“涉网”“有网”的企业都可能属于《管理办法》所规定的网络运营者。
04
监管部门——沿用统分协作的工作机制
《管理办法》第三条明确,国家网信部门负责统筹协调全国网络安全事件报告管理工作。省级网信部门负责统筹协调本行政区域内网络安全事件报告管理工作。综合《管理办法》相关条款规定可以进一步明确,网络安全事件报告工作监管部门包括网信部门,中央和国家机关各部门的网信工作机构,保护工作部门(即《关键信息基础设施安全保护条例》第八条规定的“重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门”),公安机关和行业主管监管部门。
《管理办法》第四条规定了网络安全事件报告的分工机制。总体上,由网信部门负责统筹协调网络安全事件报告工作和相关监督管理工作,包括国家和地方层面。具体还要分为以下情形:
第一,中央层面。网络和系统归属中央和国家机关各部门及其管理的企事业单位的,网络运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后还需要向国家网信部门、国务院公安部门报告。
第二,关键信息基础设施网络运营者。涉及关键信息基础设施的,网络运营者应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后还需要向国家网信部门、国务院公安部门报告。
第三,地方层面。其他网络和系统网络运营者应当向属地省级网信部门报告。属于重大、特别重大网络安全事件的,省级网信部门在收到报告后还需要第一时间向国家网信部门报告,并同时向同级有关部门通报。
第四,竞合情形。本行业领域有专门规定的,网络运营者还应当按照行业主管监管部门要求报告;涉嫌违法犯罪的,网络运营者应当及时向公安机关报告。值得注意的是,如果网络和系统既属于中央和国家机关各部门及其管理的企事业单位,又属于关键信息基础设施的,可能会产生因身份属性重叠而发生义务竞合问题。按照目前的规定来看,倾向于认为同时向本部门网信工作机构和保护工作部门、公安机关报告可能并不矛盾。一方面,《管理办法》第四条第二款所规定的向本部门网信工作机构报告的程序,属于对中央和国家机关各部门及其管理的企事业单位作出的内部报告规范要求,具有内部管理属性。而如果同时是关键信息基础设施的网络运营者,其按照《管理办法》第四条第三款要求向保护工作部门、公安机关报告时,属于关键信息基础设施网络安全特殊义务的一部分。另一方面,考虑到《管理办法》并未针对不同的报告义务主体规定不同的信息报告表模板,因此初步来看同时报告不会在实质上增加不合理的报告成本。
05
触发机制——网络安全事件的分类分级
根据《管理办法》第二条规定,网络运营者在发生网络安全事件时,应当按照相关规定进行报告。第十二条一款规定了网络安全事件的定义,是指由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件。该定义相较于《征求意见稿》增加了“网络遭受攻击”“网络存在漏洞隐患”的因素,将“自然灾害”修改为“不可抗力”。《征求意见稿》的定义与2017年中央网信办印发的《国家网络安全事件应急预案》(中网办发文〔2017〕4号)一致,但《管理办法》充分考虑了各方面因素,最终选择与《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023)对网络安全事件的界定保持一致。同时,《管理办法》的定义也增加了“业务应用”作为事件客体,增加了“国家”“经济”作为影响对象,总体上更为全面,内涵和外延更为周延。
《管理办法》在科学定义“网络安全事件”的基础上,在附件2《网络安全事件信息报告表》中进一步列举了事件类型,具体包括有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件、其他事件和尚无法判定的事件。前述《国家网络安全事件应急预案》明确网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。相较《管理办法》,《国家网络安全事件应急预案》将“信息内容安全事件”作为单独的类型列出,但实际上附件2中的“信息破坏事件”能够包括“信息内容安全事件”,实质层面并无差异。
对于网络运营者来说,依法依规落实网络安全事件报告义务,还需要准确理解和识别网络安全事件等级。《管理办法》在其附件《网络安全事件分级指南》(以下简称“《分级指南》”)中明确了确定事件级别的判断标准。《分级指南》与《征求意见稿》一致,网络安全事件可以分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。为了帮助网络运营者更为准确地进行判断,对于这四个不同级别的网络安全事件,《分级指南》进一步给出了细致的指引。
在区分网络安全事件从轻到重四种级别的情形上,主要考量的因素集中于两个方面,一是网络和信息系统是否处于正常运行的状态,以及安全事件造成系统或者业务的瘫痪程度或受影响范围;二是核心数据、重要数据、海量公民个人信息是否完整、保密、可用。同时还规定了兜底情形,即其他对国家安全、社会秩序、经济建设和公众利益造成一定威胁、造成一定影响的事件。
在网络安全事件级别的认定上,《分级指南》给出了对特别重大、重大和较大网络安全事件的可量化识别条件,主要考虑对党政机关门户网站、重点新闻网站、关键信息基础设施运行,正常工作和生活秩序,核心数据、重要数据、个人信息等影响的程度,有害信息传播的范围,经济损失规模等方面,同时也设置了用于参照衡量和判断的兜底情形。
06
报告内容
《管理办法》删除了此前《征求意见稿》中的附件《网络安全事件信息报告表》,这是因为报告的方式包括电话、网站等方式,因此不再以固定表格的方式作形式性要求。同时,《管理办法》在第七条中规定了报告网络安全事件的主要内容,具体包括:
(1)
涉事单位名称及涉事系统或设施基本情况;
(2)
网络安全事件发现或发生的时间、地点、类型、级别,以及已造成的影响和危害,已采取的措施及效果;对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
(3)
事态发展趋势及可能造成的进一步影响和危害;
(4)
网络安全事件原因初步分析意见;
(5)
溯源调查工作线索,包括但不限于可能的攻击者信息、攻击路径、存在的漏洞等;
(6)
拟进一步采取的应对措施以及请求支援事项;
(7)
网络安全事件现场保护情况;
(8)
其他应当报告的情况。
07
报告时限——极限情况下的1小时
从履行报告义务的实践角度来看,《管理办法》中关于向相关主管部门报告的时限要求也备受关注。《管理办法》将《征求意见稿》中极限情况下的“1小时”报告时限进一步压缩至30分钟,但仅适用于保护工作部门,对于网络运营者而言,极限情况下的最短报告时限仍然是1小时。《管理办法》区分了不同情形下的具体时间限制,包括30分钟、1小时、2小时、4小时、24小时、30日,整体上大幅压缩了报告的时限。根据《管理办法》第四条第二款规定,发生涉及关键信息基础设施的网络安全事件,网络运营者应在1小时内向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当第一时间向国家网信部门、国务院公安部门报告,最迟不得超过半小时。
《管理办法》也考虑了特殊情形,根据第七条第二款规定,如果网络运营者不能在规定时间内完整报告情况的,可以先在规定内报告网络安全事件的基本信息:(1)涉事单位名称及涉事系统或设施基本情况;网络安全事件发现或发生的时间、地点、类型、级别,以及已造成的影响和危害,已采取的措施及效果;对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等。(即《管理办法》第七条第一款第一项、第二项中规定的内容),其他情况及时补报。
此外,事件处置结束后,网络运营者还应当在30日以内全面分析总结,形成报告按照原渠道上报,分析总结的内容包括事件原因、应急处置措施、造成的危害、责任追究、完善整改情况、教训等。
在实践中,企业基于自身信息安全管理要求,也普遍根据网络和信息系统遭受威胁或危害的不同类型和程度,设置了对应的内部报告和事件追溯、倒查、验证和复现等具体流程规范。一般来说,按照规定时间完成对较大、重大或特别重大网络安全事件的基本情况的摸排是相对可行的。但考虑到受影响网络和信息系统范围,在较为复杂或涉及面较广的安全事件中,如果需要查清事件产生的根本原因,并基于对事件性质的判断来明确其客观影响程度和发展趋势等,那么规定时限要求,特别是极限情形下的1小时,对企业而言往往具有挑战性。对此,根据《管理办法》第七条,实际上可以区分“1小时内必须报告事项”和“及时补报事项”。基于以上,企业应当根据《管理办法》对于报告时限的要求,及时对内部网络数据安全事件应急管理预案进行针对性地调整,并且在日常的安全事件应急演练和常规培训中明确“1小时”的内部调查和向相关机关报告的基本要求。此外,为了更好地响应相对紧张的报告要求,企业也应当考虑在日常的网络运营维护工作中,未雨绸缪地提前梳理已有的设施、系统、平台的基本情况(即第一项报告内容),形成相应的系统或平台清单,并且根据网络和信息系统变更保证及时维护和更新,以在报告流程中加快响应速度和效率。
08
尽职免责
《管理办法》规定了全面、严格的报告义务,同时也明确了合规免责的激励条款,即第十一条所规定,发生网络安全事件时,网络运营者已采取合理必要的防护措施,按照应急预案进行处置、有效降低网络安全事件影响和危害,并按照本办法规定及时报告的,可视情从轻或不予追究相关单位和人员责任。这对于企业来说,事前的合规将非常的重要,通过有针对性的合规动作,可以有效降低发生网络安全事件的风险,同时也可以在不幸发生网络安全事件时,能够通过合规证明来援用尽职免责的条款,免除或减轻相应的法律责任。
结语
对企业的合规启发
目前《管理办法》距离正式生效已不足两个月,一方面,企业可以根据自身业务实践和既往启动网络安全事件应急预案管理的经验或教训,及时学习理解《管理办法》的相关规定和具体要求;另一方面,《管理办法》也意味着《网络安全法》等相关上位法律中针对安全事件应急预案和响应报告机制的规范要求细化,企业需要进一步为规则落地实施开展积极的准备工作。
网络安全事件报告义务本就在上位法中作出了规定,相应也设置了法律责任,《管理办法》给出了网络安全事件报告的触发机制、识别条件和处置流程等主要框架,对如何合规作出了清晰的规定。我们建议企业聚焦《管理办法》中的重点要求和核心规则,建立和完善网络数据安全事件报告流程和制度,全面修订既有的网络安全事件应急响应预案和管理规定,使之与即将生效的《管理办法》相适配,同时也能够指导日常网络安全培训教育和应急演练,将网络安全事件报告作为内部流程规范和环节,尽量做到统筹配合、协调高效、责任到岗。
此外,考虑到《管理办法》中也针对网络运营者尽职应对和报告安全事件而规定了减轻责任或者免除责任的情形。因此,企业也可以将功夫用在平时,在日常网络安全运行和维护中注重网络数据安全合规,在采取相应安全技术和管理措施基础上,及时关注安全领域最新行业技术和发展动态,开展内部合规风险扫描以实现查漏补缺,在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持,将安全和合规融入业务经营并发挥出其应有价值。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
