《网络安全事件报告管理办法(征求意见稿)》问答式解读
发布时间:2024-01-15
文 | 王小敏律师团队 汇业律师事务所
12月8日,国家互联网信息办公室发布了《网络安全事件报告管理办法(征求意见稿)》(以下简称“办法”),面向社会公开征求意见,意见反馈截止时间为2024年1月7日。
笔者团队对该办法相关内容进行问答式解读,以飨读者。
1、什么是网络安全事件?如何判断与理解?
本办法约束的网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或其中的数据造成危害,对社会造成负面影响的事件。涉及国家秘密的网络安全事件报告,应按照有关部门规定执行。
2、为什么要制定《网络安全事件报告管理办法》?
为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全。近年来我国发生了多起网络安全事件,包括数据泄露、漏洞和攻击等,根据公开报道的网络安全事件,实际上每年都有大量的网络安全事件发生。这些事件对企业和个人的数据安全造成了威胁,也引发了对网络安全的重视和讨论。
部分公开报道的网络安全事件如下:
2014年:某零公司发现“高考志愿填报”网站存在严重安全漏洞,可能导致数百万考生信息泄露。
2015年:某网盘出现大规模账号被盗事件,大量用户的私人文件被非法查看和下载。2016年:互联网金融平台“e某宝”发生大规模网络诈骗事件,涉案金额超过500亿元。
2017年:全球范围内爆发“WannaCry”勒索病毒事件,我国多个城市的大量机构和企业受到影响。
2018年:某程用户数据泄露事件,涉及600万用户的个人信息。
2019年:某博大规模账号被盗事件,大量用户的账号密码被非法获取和出售。
2020年:某宝网发生大规模账号被盗事件,涉及数百万用户。
2021年:某滴出行用户数据泄露事件,涉及2800万用户的个人信息。
3、制定《网络安全事件报告管理办法》的相关法律依据和条款渊源?
根据《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规制定本办法。具体依据条款:
《网络安全法》第25条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
《网络安全法》第34条:除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(四)制定网络安全事件应急预案,并定期进行演练。
《数据安全法》第29条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
《个人信息保护法》第51条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(五)制定并组织实施个人信息安全事件应急预案。
《关键信息基础设施安全保护条例》第13条:运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
4、哪些情况下需要报告网络安全事件?
在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时,应当按照办法规定进行报告。
5、不同主体的报告对象以及时限要求如何?
网络和系统归属中央和国家机关各部门及其管理的企事业单位:运营者应当向本部门网信工作机构报告。属于重大、特别重大网络安全事件的,各部门网信工作机构在收到报告后应当于1小时内向国家网信部门报告。
网络和系统为关键信息基础设施的运营者:应当向保护工作部门、公安机关报告。属于重大、特别重大网络安全事件的,保护工作部门在收到报告后,应当于1小时内向国家网信部门、国务院公安部门报告。
其他网络和系统运营者:应当向属地网信部门报告。属于重大、特别重大网络安全事件的,属地网信部门在收到报告后,应当于1小时内逐级向上级网信部门报告。
其他报告对象要求:有行业主管监管部门的,运营者还应当按照行业主管监管部门要求报告。发现涉嫌犯罪的,运营者应当同时向公安机关报告。
6、一般、较大、重大、特别重大网络安全事件如何判别?
办法对属于较大、重大或特别重大网络安全事件的,要求运营者应当于1小时内进行报告。因此判断是否属于较大、重大、特别重大网络安全事件对运营者履行报告义务来说尤为重要。
较大网络安全事件,通常满足下列条件之一即可构成:
1.地市级以上党政机关门户网站、重点新闻网站因攻击、故障,导致2小时以上不能访问
2.关键信息基础设施整体中断运行30分钟以上或主要功能中断运行2小时以上。
3.影响单个地市级行政区10%以上人口的工作、生活。
4.影响10万人以上用水、用电、用气、用油、取暖或交通出行。
5.重要数据泄露或被窃取,对国家安全和社会稳定构成较严重威胁。
6.泄露100万人以上个人信息。
7.党政机关门户网站、重点新闻网站、网络平台等被攻击篡改,导致违法有害信息较大范围传播。以下情况之一,可认定为“较大范围”:
(1)在主页上出现并持续30分钟以上,或在其他页面出现并持续2小时以上;
(2)通过社交平台转发1000次以上;
(3)浏览或点击次数1万以上;
(4)省级以上网信部门、公安部门认定为是“较大范围传播”的。
8.造成500万元以上的直接经济损失。
9.其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
重大网络安全事件,通常满足下列条件之一即可构成:
1.地市级以上党政机关门户网站、重点新闻网站因攻击、故障,导致6小时以上不能访问。
2.关键信息基础设施整体中断运行2小时以上或主要功能中断运行6小时以上。
3.影响单个地市级行政区30%以上人口的工作、生活。
4.影响100万人以上用水、用电、用气、用油、取暖或交通出行。
5.重要数据泄露或被窃取,对国家安全和社会稳定构成严重威胁。
6.泄露1000万人以上个人信息。
7.党政机关门户网站、重点新闻网站、网络平台等被攻击篡改,导致违法有害信息大范围传播。以下情况之一,可认定为“大范围”:
(1)在主页上出现并持续2小时以上,或在其他页面出现并持续12小时以上;
(2)通过社交平台转发1万次以上;
(3)浏览或点击次数10万以上;
(4)省级以上网信部门、公安部门认定为是“大范围传播”的。
8.造成2000万元以上的直接经济损失。
9.其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
特别重大网络安全事件,通常满足下列条件之一即可构成:
1.省级以上党政机关门户网站、重点新闻网站因攻击、故障,导致24小时以上不能访问。
2.关键信息基础设施整体中断运行6小时以上或主要功能中断运行24小时以上。
3.影响单个省级行政区30%以上人口的工作、生活。
4.影响1000万人以上用水、用电、用气、用油、取暖或交通出行。
5.重要数据泄露或被窃取,对国家安全和社会稳定构成特别严重威胁。
6.泄露1亿人以上个人信息。
7.党政机关门户网站、重点新闻网站、网络平台等重要信息系统被攻击篡改,导致违法有害信息特大范围传播。以下情况之一,可认定为“特大范围”:
(1)在主页上出现并持续6小时以上,或在其他页面出现并持续24小时以上;
(2)通过社交平台转发10万次以上;
(3)浏览或点击次数100万以上;
(4)省级以上网信部门、公安部门认定为是“特大范围传播”的。
8.造成1亿元以上的直接经济损失。
9.其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
一般网络安全事件:
除较大、重大、特别重大网络安全事件外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件。
7、网络安全事件报告应包括哪些内容?
运营者应当按照《网络安全事件信息报告表》报告事件,至少包括下列内容:
(一)事发单位名称及发生事件的设施、系统、平台的基本情况;
(二)事件发现或发生时间、地点、事件类型、已造成的影响和危害,已采取的措施及效果。对勒索软件攻击事件,还应当包括要求支付赎金的金额、方式、日期等;
(三)事态发展趋势及可能进一步造成的影响和危害;
(四)初步分析的事件原因;
(五)进一步调查分析所需的线索,包括可能的攻击者信息、攻击路径、存在的漏洞等;
(六)拟进一步采取的应对措施以及请求支援事项;
(七)事件现场的保护情况;
(八)其他应当报告的情况。
8、网络安全事件处置总结报告的上报要求?
网络安全事件处置结束后,运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结,形成报告按照原渠道上报。
9、未按规定报告网络安全事件的责任后果?
运营者未按照办法规定报告网络安全事件的,网信部门按照有关法律、行政法规的规定进行处罚。
因运营者迟报、漏报、谎报或者瞒报网络安全事件,造成重大危害后果的,对运营者及有关责任人依法从重处罚。
有关部门未按照本办法规定报告网络安全事件的,由其上级机关责令改正,对直接负责的主管人员和其他直接责任人员依法给予处分。涉嫌犯罪的,依法追究刑事责任。
10、发生网络安全事件时什么情形下运营者可以免责或减责?
发生网络安全事件时,运营者已采取合理必要的防护措施,按照办法规定主动报告,同时按照预案有关程序进行处置、尽最大努力降低事件影响,可视情免除或从轻追究运营者及有关责任人的责任。
附
