解读 | 《网安事件报告管理办法（征求意见稿）》要点细节

对于网络运营者来说，依法依规落实网络安全事件报告义务，还需要准确理解和识别网络安全事件等级。“征求意见稿”在其附件1《分级指南》中明确了确定事件级别的判断标准。

根据《分级指南》，网络安全事件可以分为特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。

为了帮助网络运营者更为准确地进行判断，对于这四个不同级别的网络安全事件，《分级指南》进一步给出了细致的指引。

在区分网络安全事件从轻到重四种级别的情形上，主要考量的因素集中于两个方面：

一是网络和信息系统是否处于正常运行的状态，以及安全事件造成系统或者业务的瘫痪程度或受影响范围；

二是国家秘密信息、重要敏感信息、重要数据是否完整、保密、可用。

此外，还规定了兜底情形，即其他对国家安全、社会秩序、经济建设和公众利益造成威胁、影响的事件。具体梳理如下图所示：

“征求意见稿”所称网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或其中的数据造成危害，对社会造成负面影响的事件。

因此，在具体识别等级上，《分级指南》给出了对特别重大、重大和较大网络安全事件的可量化识别条件。

其主要考虑对党政机关门户网站，关键信息基础设施运行，正常工作和生活秩序、重要数据、个人信息等影响的程度，有害信息传播的范围，经济损失规模等方面，同时也设置了用于参照衡量和判断的兜底情形。

具体条件如下图所示：

根据“征求意见稿”的规定，虽然网络安全事件的主要报告义务人是境内建设、运营网络或者通过网络提供服务的网络运营者，但根据其不同的身份职责，他们的网安事件报告路径是不同的，详细分列如下：

对网安事件报告的具体流程也如下图所示：

“征求意见稿”第五条、第六条对运营者发生网络安全事件后所需要提交的报告内容进行了详细规定，而且颗粒度非常细。具体包括：

其中，对于1小时不能判定事发原因、影响或趋势等情况的，1小时内应优先报告第1和2项的内容。

除上表所列的报告内容以外，《网安报告管理办法》（征求意见稿）第七条进一步规定在事件处置结束后，运营者应当于5个工作日内对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结，形成报告按照原渠道上报。

这里面有一个很有意思的话题，就是为什么是“一小时”？

“征求意见稿”中明确要求，运营者在发生重大安全事件时要“一小时”内进行报告。

除此之外，还要24小时内补报和5个工作日内进行全面分析总结形成报告的要求，强调了在发生重大安全事件时及时上报、及时采取措施、及时整改和分析总结的重要性。

这是因为，在实际情况中，很多企业决策者、安全运营者、数据处理者等相关人员，在遇到问题后，首先考虑的是如何避免承担责任，这可能会耽误信息紧急处理的最佳时机。

运营者迟报、漏报、谎报或者瞒报网络安全事件，即未能及时有效完整报告，容易引发延迟启动应急预案，拖延调查和评估，延误采取技术或管理等的补救措施，进而造成重大危害后果。

因此，管理办法规定“一小时”内上报，并要求相关责任主体按照紧急预案进行处理，处理完毕后总结经验教训进行整改并上报原因，将网络安全事件的处置形成闭环，切实解决已发生的安全事件。

“征求意见稿”第十条、第十一条规定了网络安全事件报告的有关责任。

除依据有关法律、行政法规的规定进行处罚外：

“因运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，对运营者及有关责任人依法从重处罚。”

因此，追责包含行政责任和刑事责任。

运营者未按照本办法规定报告网络安全事件的，网信部门按照有关法律、行政法规的规定进行处罚。

因运营者迟报、漏报、谎报或者瞒报网络安全事件，造成重大危害后果的，对运营者及有关责任人依法从重处罚。

有关部门未按照本办法规定报告网络安全事件的，由其上级机关责令改正，对直接负责的主管人员和其他直接责任人员依法给予处分。涉嫌犯罪的，依法追究刑事责任。

不过，出现网络安全事故，往往并不是由人的意志可以扭转，也不是想不发生就不发生。

因此，当出现安全事件，安全运营者并非一定要承担责任，只要按照要求处置，就可以减轻乃至豁免责任。

“征求意见稿”提到，发生网络安全事件时，同时满足以下情形，可视情免除或从轻追究运营者及有关责任人的责任：

1、运营者已采取合理必要的防护措施；

2、按照《管理办法》规定主动报告；

3、按照预案有关程序进行处置；

4、尽最大努力降低事件影响。

此外，由于考虑到运营者可能基于各方面的原因故意隐瞒不报，因此“征求意见稿”建立了网络安全事件的社会监督机制。

这个社会监督机制也包含两个方面：

法律法规的制定，往往慎之又慎，一般都是基于现实因素。

当前时期，为何要制定“征求意见稿”呢？自然是为了规范网络安全事件的报告，减少网络安全事件造成的损失和危害，维护国家网络安全。

因为近些年来，我国发生了多起网络安全事件，包括数据泄露、漏洞和攻击等，年年如此，数不胜数，目不暇接。可见网络安全已经到了影响国计民生的地步。

根据各类媒体渠道的公开报道显示，每年都有大量的网络安全事件发生。这对企业和个人的数据安全造成了日益严重的威胁，也广泛引发了对网络安全的重视和讨论。

也正因如此，“征求意见稿”得以制定。

并且，制定“征求意见稿”也是有相关法律依据和条款渊源，说白了亟需在相关法律的基础上，制定更为详细的实操要求与量化标准，以更好地执法，维护网络安全。

根据《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规制定“征求意见稿”。具体依据条款：

Gfeng（资深安全工程师）认为，“征求意见稿”的出台，进一步充实和完善我国安全事件报告机制。这个机制的价值和作用相当重要，值得持续关注。

但是，“征求意见稿”中也有问题。比如第四条里规定的“属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。”我觉得这一项执行起来可能会很难。

这里面有一个认知概念，尤其值得注意。就是说，这1小时内，到底怎么界定？是网络安全事件发生之时的一小时内，还是发现网络安全事件后的一小时内。

因为网络安全事件的发生，往往最开始很难去察觉，可能有些安全事件发生了好几个小时，才可能会有所察觉。

业内人士都知道，当前网络安全技术很难做到每件安全事件发生时，都能第一时间去发现它。技术上很难做到“发生即发现”。

就算能够“发生即发现”，立即响应，立即调查安全事件成因并对照“征求意见稿”第五项规定内容，如实写进报告表中，也可能很难实现，起码安全运营人员需要具备技术与法规的双重素养才行。

此外，每家公司都有不同的安全事件汇报流程，走流程可能也需要时间。安全运营者越级直接上报的话，恐怕也不是一件容易的事。

所以我觉得在“1小时”这件事情上，还需要做更多的细化工作，标注更多的细化量化条款才行。

渊者（高级安全运维专家）：“征求意见稿”此次面对的对象和适用主体很明显是 “网络运营者”。即“在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者。”

有个值得深思的问题，比如像《数据安全法》、《个人信息保护法》等法律法规都有规定域外适用，那么对于境外适用《个人信息保护法》的个人信息处理者，如果发生个人信息泄漏，是否需要按照“征求意见稿”来管理？该怎么上报，怎么处理？

不过有一项是值得赞扬的，即是运营者应当按照《网络安全事件信息报告表》报告事件。这就相当于有了一个报告模版，这个实用性很强。

以前我们写报告，些数据泄露或攻击勒索，总担心哪些问题会疏漏，哪些问题写得不够完善。现在报告表条条分明，正好解决了这个问题。

朱巍（中国政法大学传播法研究中心副主任）认为，网络安全事件的级别，以前没有明确的划分，相关规定比较模糊。

进行划分是为了按照不同的级别和主体，规定在特定的时间段内，由特定的主体向对应的管理部门进行报告。

根据一定的级别规定，不同主体需在规定时间内向对应管理部门报告情况。

具体的划分根据法律规定不同而有所不同，因此每个平台的主要业务类型也可能不同，所以可能无法简单地用一刀切的方式来梳理清楚。

在之前的网络安全法中，有明确规定在发生特定事件时，相关部门需承担报告义务。在个人信息保护法和数据安全法中也有类似规定。

在没有这些法律之前，通常在事后才知道个人信息遭受损害，例如黑客攻击。

而现在有了这些法律，即使尚未发生实际损害，但只要有潜在风险，根据事件的级别，相关主体就有预警和报告的责任。这一规定实际上涉及紧急处理和预警机制的报告责任。

刘新成（高级信息安全专家）认为，“征求意见稿”对企业如何进一步更好合规具有较大意义。

首先，企业可以根据自身业务实践和既往发生安全事件，启动网络安全事件应急预案管理的经验或教训，根据规定渠道和方式反馈修订意见。

其次，“征求意见稿”也意味着《网络安全法》等相关法律中针对安全事件应急预案和响应报告机制的规范要求细化，企业还需针对进一步落地实施开展准备工作。

比如，企业需要建立和完善网络数据安全事件报告流程和制度，全面修订既有网络安全事件应急响应预案和管理规定，指导日常网络安全培训教育和应急演练，将网络安全事件报告作为内部流程规范和环节，尽量做到统筹配合、协调高效、责任到人。

此外，企业在日常网络安全运行和维护中，要时刻注重网络数据安全合规，在采取相应安全技术和管理措施基础上，开展内部合规风险排查工作，将安全和合规融入业务中，发挥出安全更大价值。