中國人民銀行

中國人民銀行令〔2025〕第4號(中國人民銀行業務領域網絡安全事件報告管理辦法)


　　 《中國人民銀行業務領域網絡安全事件報告管理辦法》已經2025年5月12日中國人民銀行第8次行務會議審議通過，現予發布，自2025年8月1日起施行。
　　
　　
　　行 長 潘功勝
　　2025年5月23日
　　
　　
中國人民銀行業務領域網絡安全事件報告管理辦法
　　
第一章 總 則
　　第一條 為規范中國人民銀行業務領域網絡安全事件報告管理，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國中國人民銀行法》等法律、行政法規，制定本辦法。
　　第二條 金融從業機構在中華人民共和國境內發生中國人民銀行業務領域網絡安全事件時，應當按照本辦法規定向中國人民銀行或者住所地中國人民銀行分支機構報告。非中國人民銀行業務領域網絡安全事件無須按照本辦法規定報告。涉及國家秘密的，按照有關規定執行。
　　第三條 本辦法所稱中國人民銀行業務領域，指依據法律、行政法規，黨中央、國務院決定，由中國人民銀行承擔監督和管理職責的業務領域。
　　本辦法所稱中國人民銀行業務領域網絡安全事件（以下簡稱網絡安全事件），指由于人為原因、遭受網絡攻擊、存在漏洞隱患、軟硬件缺陷或故障、不可抗力等因素，對本機構建設、運營、維護、管理的中國人民銀行業務領域網絡或者處理的中國人民銀行業務領域數據造成危害的事件。
　　第四條 國家有關部門和其他金融管理部門等對網絡安全事件報告有規定的，金融從業機構還應當從其規定報告。涉及危害計算機信息系統等違法犯罪的網絡安全事件，金融從業機構還應當及時向公安機關報案。
　　中國人民銀行加強與國家有關部門和其他金融管理部門間的網絡安全事件報告內容共享，按照國家有關部門規定向其通報網絡安全事件，并根據其他金融管理部門需要向其通報網絡安全事件。
　　第五條 任何個人和組織有權向中國人民銀行或其分支機構舉報金融從業機構未按照本辦法規定報告網絡安全事件的行為。中國人民銀行或其分支機構對舉報人的相關信息予以保密。
第二章 網絡安全事件分級
　　第六條 金融從業機構應當在本機構網絡安全管理制度或者操作規程中明確網絡安全事件分級標準（以下簡稱分級標準），將網絡安全事件分為特別重大、重大、較大和一般四個等級。金融從業機構應當每年組織評估并視情更新分級標準。分級標準如有更新，應當報本機構主管網絡安全的領導班子成員批準。
　　金融從業機構制定分級標準時，應當綜合考慮網絡安全事件對業務、用戶等的影響程度。金融從業機構針對與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業務領域網絡制定分級標準時，應當差異化考慮業務高峰時段和非業務高峰時段網絡安全事件對業務處理的影響程度。
　　金融從業機構還應當結合中國人民銀行業務領域數據安全管理相關規定，制定與中國人民銀行業務領域數據遭到篡改、破壞、泄露相關的分級標準。
　　金融從業機構可以針對網絡安全等級保護三級以上的中國人民銀行業務領域網絡，逐一細化制定專門適用的分級標準。
　　第七條 符合下列情形之一的，應當分級為特別重大網絡安全事件：
　　（一）屬于金融基礎設施、直接服務5000萬個以上自然人或者與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業務領域網絡，主要功能在業務高峰時段出現兩個以上省級行政區范圍整體中斷運行3小時以上或者單個省級行政區范圍整體中斷運行6小時以上的；
　�。ǘ�）提供金融服務的中國人民銀行業務領域網絡，主要功能出現中斷、超時報錯等情形，導致業務無法正常開展，經合理測算或者估算，已實際影響1000萬個以上自然人或者100萬個以上法人和其他組織的；
　�。ㄈ�）中國人民銀行業務領域核心數據遭到篡改、破壞、泄露的；
　�。ㄋ模┲率剐孤�1000萬條以上敏感個人信息或者1億條以上個人信息的；
　�。ㄎ澹┚W信部門、公安機關已明確應當分級為特別重大網絡安全事件的；
　�。�六）中國人民銀行或其上�？偛俊⑹〖壏中�、計劃單列市分行研判并書面告知金融從業機構，應當分級為特別重大網絡安全事件的。
　　第八條 符合下列情形之一的，應當至少分級為重大網絡安全事件：
　　（一）屬于金融基礎設施、直接服務5000萬個以上自然人或者與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業務領域網絡，主要功能在業務高峰時段出現兩個以上省級行政區范圍整體中斷運行1.5小時以上或者單個省級行政區范圍整體中斷運行3小時以上的；
　�。ǘ�）提供金融服務的中國人民銀行業務領域網絡，主要功能出現中斷、超時報錯等情形，導致業務無法正常開展，經合理測算或者估算，已實際影響100萬個以上自然人或者10萬個以上法人和其他組織的；
　　（三）中國人民銀行業務領域重要數據遭到篡改、破壞、泄露的；
　�。ㄋ模┲率剐孤�100萬條以上敏感個人信息或者1000萬條以上個人信息的；
　�。ㄎ澹┚W信部門、公安機關已明確應當分級為重大網絡安全事件的；
　�。�六）中國人民銀行或其上海總部、省級分行、計劃單列市分行研判并書面告知金融從業機構，應當分級為重大網絡安全事件的。
　　第九條 符合下列情形之一的，應當至少分級為較大網絡安全事件：
　�。ㄒ唬�屬于金融基礎設施、直接服務5000萬個以上自然人或者與貨幣存取款、支付交易、稅款繳庫、銀行間市場交易密切相關的中國人民銀行業務領域網絡，主要功能在業務高峰時段出現兩個以上省級行政區范圍整體中斷運行15分鐘以上或者單個省級行政區范圍整體中斷運行30分鐘以上的；
　�。ǘ�）提供金融服務的中國人民銀行業務領域網絡，主要功能出現中斷、超時報錯等情形，導致業務無法正常開展，經合理測算或者估算，已實際影響10萬個以上自然人或者5000個以上法人和其他組織的；
　�。ㄈ�）致使泄露500條以上征信信息、財產信息，或者致使泄露5萬條以上個人信息的；
　�。ㄋ模┰馐芾账鲪阂獬绦蚬�擊，已對中國人民銀行業務領域網絡或者中國人民銀行業務領域數據造成危害后果的；
　　（五）網信部門、公安機關已明確應當分級為較大網絡安全事件的。
　　第十條 符合下列情形之一的，應當至少分級為一般網絡安全事件：
　　（一）提供金融服務的中國人民銀行業務領域網絡，主要功能出現單個省級行政區范圍整體中斷運行30分鐘以上的；
　　（二）提供金融服務的中國人民銀行業務領域網絡，主要功能出現中斷、超時報錯等情形，導致業務無法正常開展，經合理測算或者估算，已實際影響1萬個以上自然人或者1000個以上法人和其他組織的；
　　（三）中國人民銀行業務領域網絡主要功能出現中斷、超時報錯等情形，導致業務無法正常開展，已持續1小時以上的；
　　（四）中國人民銀行業務領域數據遭到篡改、破壞、泄露，導致社會危害的；
　�。ㄎ澹┌l生或者可能發生個人信息泄露、篡改、丟失的；
　　（六）網信部門、公安機關已明確應當分級為一般網絡安全事件的。
　　第十一條 金融從業機構制定與中國人民銀行管理的金融基礎設施業務交互功能異常相關的分級標準時，應當征求金融基礎設施運營機構意見并協商一致。
　　第十二條 金融從業機構發生網絡安全事件時，應當對照分級標準，綜合確定網絡安全事件等級。同時符合多個分級標準的，應當按照最高級別確定網絡安全事件等級。對照分級標準無法準確確定網絡安全事件等級的，應當至少分級為較大網絡安全事件。
　　因災害或者信息基礎設施故障，導致金融從業機構多個中國人民銀行業務領域網絡同時發生網絡安全事件時，應當先分別確定網絡安全事件等級，再按照各網絡安全事件等級中的最高級別，確定整體的網絡安全事件等級。
　　網絡安全事件事態發展情況已達到更高級別分級標準時，金融從業機構應當立即調整網絡安全事件等級。
第三章 網絡安全事件報告
　　第十三條 金融從業機構應當明確應急處置與報告的職責分工，確保網絡安全事件報告及時、準確、完整，不得遲報、漏報或者瞞報。
　　金融從業機構應當健全網絡安全風險監測預警體系，提升第一時間發現和報告網絡安全事件的技術能力。
　　金融從業機構發生網絡安全事件時，應當立即啟動應急預案，采取相應的補救措施。按照本辦法規定報告網絡安全事件時，不應遲滯業務恢復、存證溯源、用戶解釋、輿情應對等處置工作。
　　第十四條 國家開發銀行、政策性銀行、國有商業銀行、中國郵政儲蓄銀行、股份制商業銀行、屬于系統重要性金融機構的城市商業銀行、系統重要性非銀行支付機構、經營個人征信業務的征信機構發生網絡安全事件時，應當向中國人民銀行報告；其分支機構發生網絡安全事件時，應當向住所地中國人民銀行分支機構報告。中國人民銀行所屬單位及其管理的金融基礎設施運營機構發生網絡安全事件時，應當向中國人民銀行報告。其他金融從業機構或其分支機構發生網絡安全事件時，應當向住所地中國人民銀行分支機構報告；在保障報告時效性前提下，證券、期貨、基金機構發生網絡安全事件時，經中國證監會派出機構轉通報同級中國人民銀行分支機構。
　　中國人民銀行計劃單列市分行（不含深圳市分行）、地市分行接報轄區發生較大等級以上網絡安全事件時，應當及時上報至中國人民銀行省級分行。中國人民銀行省級分行、深圳市分行接報轄區發生重大等級以上網絡安全事件時，應當及時上報至中國人民銀行。
　　第十五條 金融從業機構發生較大等級以上網絡安全事件后，應當于1小時內報送網絡安全事件事發簡要報告，并在24小時內報送網絡安全事件事發報告。
　　金融從業機構發生網絡安全事件，尚未達到較大等級，但出現相關輿情信息進入社交媒體、搜索引擎或者新聞網站熱點榜等情形，引發較大輿情的，應當按照前款規定報告。
　　第十六條 對于重大等級以上網絡安全事件，金融從業機構應當至少每隔2小時進行事中進展報告，直至處置結束。處置過程中如出現調高網絡安全事件等級、處置取得階段性進展、發現新的問題等重要情況時，應當立即報告。
　　第十七條 網絡安全事件處置結束后，金融從業機構應當于10個工作日內報送事后調查總結報告。無法按時報送事后調查總結報告的，金融從業機構應當先按時報送初步報告，說明承諾報送事后調查總結報告的日期并按時報送。承諾日期原則上應當在處置結束之日起40個工作日內。
　　第十八條 金融從業機構可以通過電話、即時通信工具、電子郵件、傳真或者中國人民銀行指定的信息系統報送網絡安全事件事發簡要報告、事發報告和事中進展報告；采用電子郵件、傳真方式報告的，應當通過電話或者即時通信工具確認中國人民銀行或其分支機構已收悉。涉及工作秘密的，不得通過互聯網渠道報告。
　　金融從業機構應當書面報送網絡安全事件事后調查總結報告，并加蓋本機構或者承擔報告職責內設部門公章。中國人民銀行對網絡安全事件事后調查總結報告另有電子化報送規定的，金融從業機構還應當按照規定電子化報送。
　　第十九條 網絡安全事件事發簡要報告內容包括初次確定的網絡安全事件等級、事發時間、依據網絡安全事件分類分級相關國家標準確定的網絡安全事件分類、影響的中國人民銀行業務領域網絡及其對應的網絡安全保護等級、涉及的數據中心、報告機構和報告時間、報告人和聯系方式。網絡安全事件事發報告應當在事發簡要報告內容基礎上，增補影響范圍和程度、已采取的措施和效果，網絡攻擊事件還應當增補分析研判情況。
　　網絡安全事件事中進展報告應當在事發簡要報告基礎上，增補說明最新確定的網絡安全事件等級、影響的變化、處置進展和下一步擬采取的措施。如存在需中國人民銀行或其分支機構協調支持處置的事項，應當一并說明。
　　網絡安全事件事后調查總結報告內容應當包括最終確定的網絡安全事件等級、處置歷程回顧、影響損失評估、技術或者管理問題根源分析、處置經驗教訓、后續改進措施、報告機構和報告時間、報告人和聯系方式、簽發人。
　　第二十條 金融從業機構發生網絡安全事件涉及個人信息泄露、篡改、丟失的，事后調查總結報告還應當說明本機構為有效避免網絡安全事件危害所采取的補救措施、依法通知個人的情況和告知個人可以采取減輕危害措施的情況。
　　對于重大等級以上網絡安全事件，前款所列內容應當在事中進展報告中提前予以說明。
　　第二十一條 較大等級以上網絡安全事件事后調查總結報告內容，還應當包括直接負責的主管人員和其他直接責任人員的責任認定和對應責任處理情況。
　　金融從業機構應當綜合考慮動機態度、客觀條件、程序方法、后果影響、挽回損失等因素，在本機構網絡安全管理制度中明確責任處理的差異化適用情形。事后調查總結報告中對直接負責的主管人員和其他直接責任人員的處理措施，應當符合本機構網絡安全管理制度規定。
　　第二十二條 滿足下列條件之一并且能提供相關證明材料的，金融從業機構可以根據直接負責的主管人員和其他直接責任人員具體承擔職責，視情針對性減輕或者免除責任處理，但應當在網絡安全事件事后調查總結報告中予以說明：
　�。ㄒ唬┮寻幢巨k法規定主動報告，同時按照本機構網絡安全事件應急預案有關程序立即進行處置，盡最大努力降低影響的；
　�。ǘ�）網絡技術創新和應用過程中因缺乏經驗、先行先試造成網絡安全事件，且沒有主觀過錯的；
　�。ㄈ�）已切實落實中國人民銀行和本機構網絡安全、數據安全相關管理制度要求，并嚴格執行本機構相關操作規程的。
　　第二十三條 中國人民銀行或其分支機構認為金融從業機構網絡安全事件事后調查總結報告存在內容缺失、原因分析不清、影響損失評估失實、責任認定或者處理不當等情形，退回事后調查總結報告并正式反饋修改意見的，金融從業機構應當在收到反饋之日起10個工作日內完善事后調查總結報告并重新報送。
　　第二十四條 金融從業機構收到中國人民銀行或其分支機構通報的其網絡產品、服務存在運行異常、疑似數據泄露、安全缺陷、漏洞等風險提示時，應當立即組織核查，采取必要補救措施。經核查風險屬實并構成網絡安全事件的，金融從業機構應當按照本辦法規定進行報告；風險不屬實或者尚不構成網絡安全事件的，應當根據通報要求按時反饋風險核查處置情況。
　　第二十五條 金融從業機構應當建立網絡安全事件臺賬，完整準確記錄網絡安全事件事發時間、事發報告時間、中國人民銀行或其分支機構接報聯系人和對應的網絡安全事件報告內容。中國人民銀行分支機構應當相應建立轄區網絡安全事件臺賬。臺賬應當至少留存三年。
第四章 法律責任
　　第二十六條 中國人民銀行或其分支機構根據金融從業機構報告處置網絡安全事件的情況，可以按照中國人民銀行執法檢查有關規定明確的程序，對金融從業機構依法實施檢查，金融從業機構應當予以配合。
　　金融從業機構拒絕、阻礙中國人民銀行或其分支機構實施檢查的，中國人民銀行或其分支機構依照《中華人民共和國網絡安全法》第六十九條予以處罰。
　　第二十七條 金融從業機構未按照本辦法規定報告網絡安全事件的，中國人民銀行或其分支機構依照《中華人民共和國網絡安全法》第五十九條予以處罰。
　　前款行為涉及中國人民銀行業務領域數據遭到篡改、破壞、泄露或者非法獲取、非法利用的，中國人民銀行或其分支機構依照《中華人民共和國數據安全法》第四十五條予以處罰；前款行為涉及個人信息泄露、篡改、丟失的，中國人民銀行或其分支機構可以依照《中華人民共和國個人信息保護法》第六十六條予以處罰。
　　第二十八條 金融從業機構收到中國人民銀行或其分支機構通報的風險，如果風險屬實，但未立即采取補救措施或者未按照本辦法規定按時反饋核查處置情況的，中國人民銀行或其分支機構依照《中華人民共和國網絡安全法》第六十條予以處罰。
　　有前款行為并且通報的風險為數據安全缺陷、漏洞的，中國人民銀行或其分支機構依照《中華人民共和國數據安全法》第四十五條予以處罰。
　　第二十九條 金融從業機構在接受中國人民銀行或其分支機構檢查時，主動供述檢查人員尚未掌握的未按照本辦法規定報告網絡安全事件行為的，應當從輕或者減輕處罰。
　　第三十條 中國人民銀行分支機構未按照本辦法規定報告網絡安全事件，存在失職失責行為，造成重大損失、嚴重后果或者惡劣影響的，對直接負責的主管人員和其他直接責任人員依規依紀依法予以嚴肅追責問責。
第五章 附 則
　　第三十一條 本辦法下列用語的含義：
　�。ㄒ唬┙鹑趶臉I機構，是指金融機構以及經中國人民銀行批準設立或者認定的其他機構。
　�。ǘ�）網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
　�。ㄈ�）業務高峰時段，是指按年度統計的分時平均業務量超過日平均業務量百分之三的時段，或者依據本機構制度列明的其他合理計算方式確定的時段。
　�。ㄋ模┱�體中斷運行，是指因網絡安全事件，某一時段內未處理和處理失敗業務量與正常情況全部業務量的比例，經合理測算或者估算，已經超過百分之七十。
　�。ㄎ澹┲饕�功能，是指與用戶身份認證或者業務交互相關的功能。
　　（六）本辦法所稱“以上”均含本數。
　　第三十二條 本辦法由中國人民銀行負責解釋。
　　中國人民銀行分支機構自身發生的網絡安全事件應當向其上級行報告，報告時效、途徑和內容等要求按照本辦法對金融從業機構的規定執行。
　　第三十三條 本辦法自2025年8月1日起施行。《銀行計算機安全事件報告管理制度》（銀發〔2002〕280號文印發）、《中國人民銀行計算機系統信息安全報告制度》（銀發〔2010〕366號文印發）同時廢止。