本文共字，预计阅读时间。

文/徐褆泽，纽约大学经济学博士，清华大学五道口金融学院金融安全研究中心实习生

编者按

《中国人民银行业务领域网络安全事件报告管理办法》（中国人民银行令〔2025〕第4号）(以下简称《办法》)将于2025年8月1日起施行。本文结合央行有关部门负责人答记者问的内容，对《办法》的核心内容进行梳理和解读，并围绕金融安全相关议题展开思考与展望。

一、《办法》出台的背景

《办法》出台的背景可以追溯至2002年中国人民银行颁布的《银行计算机安全事件报告管理制度》（银发〔2002〕280号文）(以下简称《制度》)印发。彼时正值我国互联网从早期向成熟阶段过渡，互联网治理框架初步建立，《制度》的出台首次确立了金融网络信息安全的治理和监管体系，具有里程碑意义。

近年来，5G、人工智能、区块链等新兴技术推动金融业数字化转型加速，移动支付普及率达98%，数字人民币等创新应用不断涌现。面对更加复杂的金融业务形态和不断演化的网络安全威胁，我国亟需一套更加系统、精细、契合当下实际的网络安全事件报告制度，以更有效保障金融体系的稳健运行与数据安全。

在此背景下，《办法》的出台，一方面体现了近年来颁布的《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规在金融领域的制度化落实；另一方面，是对2002年出台的《制度》的有机衔接和全面升级，旨在构建更契合当下金融科技发展实际的网络安全管理体系。

二、《办法》的主要变化和特点：对比《银行计算机安全事件报告管理制度》

1. 明确适用范围

第二条规定：“金融从业机构在中华人民共和国境内发生中国人民银行业务领域网络安全事件时，应当按照本办法规定向中国人民银行或者住所地中国人民银行分支机构报告”。

第三条对相关概念作出界定，“中国人民银行业务领域”指“依据法律、行政法规，党中央、国务院决定，由中国人民银行承担监督和管理职责的业务领域”；“网络安全事件”则包括“由于人为原因、遭受网络攻击、存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素，对中国人民银行建设、运营、维护、管理的中国人民银行业务领域网络或者处理的中国人民银行业务领域数据造成危害的事件”。

第三十一条进一步解释，“金融从业机构”包括金融机构以及经中国人民银行批准设立或者认定的其他机构。

2. 网络安全事件分级

阈值体系优化升级：《办法》基于网络安全事件的影响范围和危害程度，建立了多重阈值评估体系，将网络安全事件划分为特别重大、重大、较大和一般四个等级。相比原有标准，《办法》对各等级事件判定的阈值标准与大小也进行了与时俱进的调整。

判定标准多维度扩展：《办法》引入了更加多元的评估维度，涵盖用户规模、核心数据、个人信息等关键要素。同时，《办法》充分体现多部门协同处置的现实需求，将网信部门、公安机关已明确应当分级的事件，及中国人民银行或其上海总部、省级分行、计划单列市分行研判并书面告知金融从业机构应当分级的事件，一并纳入分级适用范围，增强了制度设计的联动性与可操作性。

差异化制定分级且动态调整：《办法》要求金融从业机构在制定自身分级标准时，需遵从差异化综合考虑和动态灵活调整的原则。第六条明确要求，金融从业机构应当 “每年组织评估并视情更新分级标准”，并应 “综合考虑网络安全事件对业务、用户等的影响程度”，同时“差异化考虑业务高峰时段和非业务高峰时段”。

3. 网络安全事件报告机制

报告的路径精准明晰：《办法》对网络安全事件的报告路径作出精细划分，强化了报告路径的制度化与可操作性。对于国开行、政策性银行、国有商业银行等关键主体，明确要求直接向中国人民银行报告。对于中国人民银行所属单位及其管理的金融基础设施运营机构，也统一向总行报告。此外，《办法》还明确了中国人民银行内部的分级上报路径：计划单列市和地市分行接报辖区较大等级及以上事件时，应及时上报省级分行；省级分行及深圳市分行接报辖区重大等级及以上事件时，则需及时上报人民银行总行。本文对《办法》所制定的网络安全事件报告路径进行归纳整理，具体如下图所示。

报告的流程健全完善：对于较大等级以上的网络安全事件，《办法》明确要求金融从业机构在事发阶段先行及时简报，随后提交详细的事发报告。值得关注的是，即便事件尚未达到较大等级，但若引发舆情热点，也应按较大等级及以上标准进行报告和处置。此外，《办法》还要求金融从业机构按阶段递交事中报告和事后报告，强调事中阶段应及时调整事件等级，并报告阶段性进展及新增问题；事后阶段则应积极复盘、总结经验教训。

报告的内容分阶段细化明确：《办法》对简要事发报告、事发报告、事中报告和事后报告的内容均作出明确规定。简要事发报告聚焦事件基本信息；事发报告补充处置措施及分析研判情况；事中报告动态更新事件进展及后续应对措施；事后报告则全面复盘事件经过，评估影响与原因，提出整改措施，推动形成闭环管理机制。

4. 法律责任

《办法》进一步明确了金融从业机构及中国人民银行系统内部在网络安全事件方面的法律责任。金融从业机构如未按要求报告、配合检查或及时采取措施，依照《网络安全法》《数据安全法》《个人信息保护法》分别追责；主动供述未发现问题的，可从轻处理。人民银行分支机构若失职失责、造成严重后果，也将对相关人员依规依纪依法严肃问责，形成制度内外并重的责任闭环。

三、对金融安全议题的思考

1. 与时俱进，积极回应技术发展

《办法》的出台，体现了中国人民银行对现代金融业务与网络科技深度融合现实的积极回应，以及制度层面的与时俱进。随着互联网、移动终端、云计算等新兴技术的广泛应用，金融网络安全事件的传播速度和影响范围显著扩大，在事发阶段危害等级较低的事件也可能在短时间内演变为等级较高的大规模事件，传统的静态报告机制已难以有效应对。以银行为例，若在遭受网络攻击时未能及时履行报告义务并启动应急响应，异常交易可能迅速扩散，诱发客户恐慌、业务中断等连锁反应，最终演变为系统性金融风险。为此，《办法》明确建立了覆盖事发、事中、事后各阶段的全周期报告机制，以提升事件响应的及时性与有效性。此外，在社交媒体平台的放大效应下，网络安全事件往往可能迅速发酵并演变为公共舆情事件。《办法》对此高度关注，特别强调金融从业机构对可能引发舆情热点的事件同样按较大等级以上网络安全事件的标准进行报告处理。

2. 协同合作，筑牢金融网络安全防线

《办法》明确，特别重大和重大网络安全事件应在规定时间内报告中国人民银行。对于国家有关部门及其他金融监管部门规定需报告的事件，金融从业机构也应按要求报送。涉及危害计算机信息系统等违法犯罪的事件，还应及时向公安机关报案。中国人民银行加强与相关部门的信息共享，按照国家规定向其通报事件，并根据需求向其他金融监管部门通报。网信部门、公安机关已明确分级的事件，以及中国人民银行及其下属机构书面通知需分级的事件，均纳入分级管理范围。此跨部门联动机制表明，金融网络安全已从行业内部事务提升为关系国家安全和社会稳定的综合治理议题。在数字化背景下，金融安全深度融入国家整体安全体系，《办法》通过制度设计推动了金融安全治理与国家网络安全协同发展。

[Source]

本文系未央网专栏作者发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文为作者授权未央网发表，属作者个人观点，不代表网站观点，未经许可严禁转载，违者必究！首图来自图虫创意。

本文版权归原作者所有，如有侵权，请联系删除。首图来自图虫创意。