研究丨图表式解读《国家网络安全事件报告管理办法》
来源: 道可特律所 时间: 2025-09-15 21:47:54 作者: 邓勇
引言
国家网信办于今日公布《国家网络安全事件报告管理办法》(下称《办法》)。全文共十四条,主要对网络安全事件(下称网安事件)定义、网安事件分级、报告适用范围、监管职责、报告主体、报告流程及内容、违法后果等提出规范要求。《办法》将于2025年11月1日起施行。
本文拟对《办法》及附件《网络安全事件分级指南》进行解读如下。
PART.01 解读一:网安事件报告的法律渊源
根据网信办负责人就《办法》答记者问的内容可知,本次网信办出台《办法》实质上是对我国《网络安全法》第二十五条关于“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告”规定的细化,目的是向网络运营者依法履行网安事件报告义务提供操作规范和具体要求。
除了对《网络安全法》上述法条的细化外,该《办法》实际上还因应了以下法律及行政法规的对应规定:
由此可知,上述法律法规所规定的主体在遭遇安全事件时皆负有法定上报义务,《办法》的出台也为履行上报义务提供了适用(或参考)依据。
PART.02 解读二:网安事件的报告主体
《办法》第二条将网安事件的报告主体规定为“在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者”;而网信办负责人答记者问的内容也巩固了这一规定。但根据本文解读一的分析可知,“个人信息处理者”在发生个人信息安全事件时、“数据处理者”在发生数据安全事件时以及“关键信息基础设施运营者”在遭遇网络安全事件时,也都负有“向有关主管部门报告”的法定职责。
那么上述多重主体该如何理解并遵守《办法》的规定?本质上来讲“个人信息处理者”、“数据处理者”以及“关键信息基础设施运营者”等概念外延都要大于网络运营者,但如果上述主体在处理个人信息或处理数据或运营关键信息基础设施时符合“通过网络提供服务”这一核心特征,那么皆可视为“网络运营者”范畴,只要发生的安全事件符合网络安全事件的定义,那么根据《办法》的规定上报网安事件就不存在适用障碍。那如果上述主体遭遇到非网络环境下发生的安全事件是否就无需上报?答案当然是否定的!因为《民法典》《数据安全法》及《关基条例》都已明文规定了安全事件的报告义务,只是不属于网络安全事故的报告路径可能会与《办法》的规定有所出入,但依法上报这一法定义务不可动摇。这也就是为何《办法》第四条第五款规定了“本行业领域有专门规定的,网络运营者还应当按照行业主管监管部门要求报告”。
此外,《办法》第五条还明确规定了网络运营者应当“以合同等形式要求为其提供网络安全、系统运维等服务的组织或个人,及时向其报告监测发现的网络安全事件,并协助其按照本办法规定报告网络安全事件”。也就是说提供网络安全服务或系统运行维护服务的公司或个人,需要根据合同义务向网络运营者及时报告网安事件并提供协助。
除了“网络运营者”这一法定上报主体外,《办法》第六条还鼓励“社会组织和个人报告所获悉的较大以上网络安全事件”,所以社会组织和个人皆可成为网安事件的报告主体。
PART.03 解读三:网安事件的定义及分级
《办法》第十二条将网络安全事件定义为“由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不可抗力等因素,对网络和信息系统或其中的数据和业务应用造成危害,对国家、社会、经济造成负面影响的事件”。这一定义其实直接照搬了国家标准《信息安全技术 网络安全事件分类分级指南》(GB/T 20986-2023)第3.4条“网络安全事件”的定义内容。
本次公布的《办法》还包含有附件《网络安全事件分级指南》。该《分级指南》参照上述国标GB/T 20986-2023的规定,按照网安事件影响对象的严重程度、业务损失的严重程度和社会危害的严重程度三个维度,将“网络安全事件”划分为如下四级:
根据《办法》第四条和第六条的规定,只有“较大”以上层级的网安事件才需要上报,也就是说“一般网安事件”并不属于上报范畴。
PART.04 解读四:网安事件的上报时限
《办法》第四条对不同主体规定了不同的上报时限,同时还对属于重大及特别重大网安事件收到报告的部门向国家网信办及公安部的转报时限做出了规定,可参考如下:
而且网安事件的报告并不限于事发后第一时间报告单个流程;《办法》第八条还规定了网络运营者应当在网安事件处置工作结束后30日内形成事件处置总结报告并按照原渠道上报的后续流程。
PART.05 解读五:网安事件的报告渠道
《办法》第九条规定由网信部门通过建设热线电话及网站等方式,统一接收网安事件报告。根据网信办负责人答记者问的内容来看,目前已开通如下公开报告渠道,共计六类:
PART.06 解读六:网安事件报告的法律后果
《办法》第十条和第十一条对于网络运营者是否合规上报的法律后果给出了明确规定,对比如下:
结语
《办法》的出台将有效解决我国境内网络运营者在发生网安事件后,面临是否需要报告、向哪一级部门报告、如何报告等实操层面的现实问题。对于有效提升我国网络安全事件的管理水平、完善我国网络安全治理体系、提升我国网络安全保障能力都具有重要意义。
作者简介
邓勇
北京办公室高级合伙人
道可特电信、科技与互联网行委会主任
业务领域:知识产权,反不正当竞争,数据合规,信息安全,电子商务
邮箱:dengyong@dtlawyers.com.cn
可能感兴趣
专业团队
- A
- B
- C
- D
- E
- F
- G
- H
- I
- J
- K
- L
- M
- N
- O
- P
- Q
- R
- S
- T
- U
- V
- W
- X
- Y
- Z
行业研究
更多-
《2018中国保险行业法律健康蓝皮书》《2018中国保险行业法律健康蓝皮书》包括上篇《保险行业法律健康指数报告》及下篇《保险行业法律专题报告》。其中,《保险行业法律健康指数报告》是由绿法(国际)联盟(GLGA)继2018年成功发布首份《保险行业法律健康指数报告》之后连续第二年发布,该指数能够综合、直观反映近三年来保险行业整体的法律健康状态。《保险行业法律专题报告》则结合近年来保险行业及保险资金运用领域法律实务,针对当下行业实务中的热点及疑难复杂问题,从法律视角予以分析和解读,以期为保险行业及保险资金运用的合法合规发展提供一些意见和建议。 -
《央企(A股)上市公司法律健康指数报告》《央企(A股)上市公司法律健康指数报告》是目前市场上首份以法律健康为导向和评判标准的、研究央企(A股)上市公司发展健康度的指数报告,是第一份由第三方机构推出的带有公益性和学术性的央企(A股)上市公司指数报告,是研究、评价央企(A股)上市公司的一个全新视角与一项创新性举措。报告对央企(A股)上市公司的健康度做了全视角、多层次的分析和解读;报告以动态发展的数据库为支撑,在绿法(国际)联盟(GLGA)的协调下与相关监管部门、治理机构、重要行业组织、经营主体形成互动机制,围绕央企(A股)上市公司开展长期跟踪研究,努力推出对认识央企(A股)上市公司、推进央企(A股)上市公司发展具有重要影响的学术成果。 -
《2018中国不良资产蓝皮书》绿法联盟研究院基于对整体不良资产行业进行深入的考察、研究的基础上,与北京市道可特律师事务所共同编制了《2018中国不良资产蓝皮书》,希望能够对行业带来指导,也能体现不良资产行业本身的创新,具有一定的学术性和公益性。
品牌活动
更多-
[12/08]创新与信心:律所管理的未来——道可特2024行业论坛
世界格局加速变迁,各行业生态持续重塑,法律行业亦置身变革潮头,面临各种考验:如何在饱和市场中“活下来”?行业信心从何而来?创新同质化,下一步怎么走?国际化之路还要坚持吗?如何与其他专业服务机构协同向上?重塑思考,破题解卷。12月8日,道可特律师事务所作为主办方,携手专业服务机构与八所高校,带来一场关于“创新”与“信心”的行业论坛。 -
[03/22]道可特2024创新季启动仪式
当“新质生产力”成为两会C位词,各行业、各地区纷纷发力,竭力做好创新这篇大文章。法律行业不外如是。随着时代发展和法律行业的变革,创新已成为律所提升竞争力的关键。敢于求变,勇做破局者;勇于求新,争做开创者也是道可特一直坚持的发展内核。 -
[12/27]地方型律所的发展路径选择和竞争力打造专题研讨会暨道可特济南办公室成立五周年庆典
2018年,道可特落子泉城,设立道可特济南办公室。作为道可特第二家分所,济南办公室定位于品牌市场旗舰店和道可特全国法律市场开发试点,是道可特在专业化、规模化、品牌化发展道路上迈出的重要一步。依托总部一体化管理平台,立足区域优势,历时五载春秋更迭,济南办公室实现了自身跨越式的发展,也见证了区域法律行业的发展与变化:行业竞争加剧、业务半径有限、人才引力不足,品牌规划不明晰……如何破茧、突围正在成为区域律所亟待解决的难题。2023年12月27日,在道可特济南办公室成立五周年之际,我们将举办“地方型律所的发展路径选择和竞争力打造专题研讨会暨道可特济南办公室成立五周年庆典”。届时,各界行业翘楚、知名媒体机构代表等嘉宾将悉数出席。