金融机构网络/数据安全事件响应的双重合规挑战
2025年1月24日,中国人民银行(“央行”)发布《中国人民银行业务领域网络安全事件报告管理办法(征求意见稿)》(“《央行管理办法》”),对金融机构网络安全事件报告管理机制进行进一步的规制。同时,国家金融监督管理总局(“金管局”)颁布的《银行保险机构数据安全管理办法》(“《金管局管理办法》”)中亦有对金融机构数据安全事件响应进行规定。两项法规的要求有何不同,又在哪些场景下会触发双重报告的“紧箍咒”?本文将尝试对这一问题进行解析。
一、双规出台
金融行业的特性使得网络/数据安全成为金融机构稳健运营的生命线。从某知名金融机构2014年数据泄露案,到国内频发的金融信息安全事件,每一次金融行业安全事故都如一颗投入平静湖面的巨石,激起千层浪,不仅冲击着金融机构的信誉,更牵扯到复杂的监管报告流程。
在上一期文章中,我们对《金管局管理办法》进行深入解析,其中第七章节便是对数据安全事件的响应机制、事件分级及响应时限的规定。此外,2025年1月24日,央行发布《央行管理办法》,对央行业务领域网络安全事件响应机制进行细化。鉴于两项规定均对金融机构的安全事件响应提出要求,本文主要对比两项法规的异同,以分析金融机构应如何遵守两项法规及面对双重合规问题。
二、双规对比
1.适用主体
|
|
《央行管理办法》 |
《金管局管理办法》 |
|
定义 |
金融从业机构,指金融机构以及经中国人民银行批准设立或者认定的其他机构。 |
银行保险机构。 |
|
涵盖主体 |
银行、证券、保险、信托、基金等传统金融机构,及支付机构、清算机构等经央行批准设立的机构。 |
政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司。 |
|
区分标准 |
从上述定义可看出,《央行管理办法》的适用主体范围更广,不仅涵盖所有金融机构,还包括了央行批准设立的支付机构、清算机构等。此外,该规定明确在发生“央行业务领域网络安全事件”时才触发。根据《中国人民银行业务领域数据安全管理办法(征求意见稿)》,“中国人民银行业务领域”主要指的是货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等。由此可见,《央行管理办法》以业务领域作为划分标准,主要针对的是涉及上述业务领域的金融机构,包括银行、支付机构、清算机构等。 而《金管局管理办法》则主要针对其管理的金融机构。其中,如金融租赁公司等非银金融机构,及保险公司、保险资产管理公司等较少或不涉及“央行业务领域”的机构,应主要适用《金管局管理办法》,而较少面临两项法规的双重合规问题。 |
|
2.事件分级
|
|
《央行管理办法》 |
《金管局管理办法》 |
|
特别重大 |
(1)金融基础设施或服务5000万以上客户网络在业务高峰时段,两个以上省级行政区服务整体中断≥3小时,或单个省级行政区中断≥6小时; (2)服务客户的网络主要功能出现服务中断、超时报错等情形,影响客户规模≥1000万人; (3)涉及中国人民银行业务领域核心数据泄露、篡改、破坏; (4)泄露1000万条以上敏感个人信息或1亿条以上个人信息; (5)网信部门、公安机关或央行分支机构认定属于特别重大事件的。 |
(1)核心数据遭到泄露、破坏、非法获取、非法利用; (2)重要数据泄露导致2个及以上省级区域经济运行秩序特别严重影响; (3)敏感级及以上数据泄露导致对公共利益、银行业保险业核心业务等特别严重危害等; (4)其他对国家安全、政治安全、经济金融安全、公共利益造成特别严重影响的。 |
|
重大 |
(1)上述第(1)项,两个以上省级行政区服务整体中断≥1.5小时,或单个省级行政区中断≥3小时; (2)上述第(2)项,影响客户规模≥100万人; (3)涉及中国人民银行业务领域重要数据泄露、篡改、破坏; (4)泄露100万条以上敏感个人信息或1000万条以上个人信息; (5)其他部门认定。 |
(1)重要数据泄露对省级区域经济或行业安全造成重大影响; (2)敏感级及以上数据泄露导致对多个银行保险机构业务、公众利益、多个个人或者组织权益造成严重影响; (3)其他对国家安全、政治安全、经济金融安全、公共利益造成严重影响的。 |
|
较大 |
(1)上述第(1)项,两个以上省级行政区服务整体中断≥15分钟,或单个省级行政区中断≥30分钟; (2)上述第(2)项,影响客户规模≥10万人; (3)泄露500条以上敏感个人信息或5万条以上个人信息; (4)事件引发舆情进入社交媒体/新闻热点榜; (5)遭受勒索攻击并对央行业务领域网络/数据构成实际威胁; (6)其他部门认定。 |
敏感级及以上数据泄露,导致对个人权益(财产损失、名誉侵害等)、组织权益(较大经济损失、业务中断等)、银行保险机构业务造成负面影响或对经济金融安全、公共利益造成一般影响。 |
|
一般 |
(1)服务客户的网络,两个以上省级行政区服务整体中断≥15分钟,或单个省级行政区中断≥30分钟; (2)上述第(2)项,影响客户规模≥1万人; (3)非服务客户的网络功能中断/报错≥1小时; (4)涉及央行业务领域数据泄露、篡改、破坏并导致一定社会危害; (5)泄露个人信息; (6)其他部门认定。 |
除特别重大、重大、较大事件外,对组织或个人造成一定影响的数据安全事件。 |
|
区分标准 |
《央行管理办法》侧重业务连续性(如支付系统中断时长、客户影响规模)和个人信息泄露数量;《金管局管理办法》侧重数据重要性等级(核心/重要/敏感数据)和宏观影响范围(省级区域/行业/机构/个体)。 |
|
3.报告时限
|
|
《央行管理办法》 |
《金管局管理办法》 |
|
较大等级以上事发报告 |
30分钟内报送事发简要报告,2小时内报送事发报告。 |
2小时内报告,并在事件发生后 24小时内提交正式书面报告。 |
|
重大等级以上事中报告 |
至少每隔2小时进行事中进展报告直至处置结束。 |
发生特别重大数据安全事件,每2小时上报处置进展直至结束。 |
|
事后报告 |
一般等级以上网络安全事件处置结束后,10个工作日内报送事后调查总结报告。 |
数据安全事件处置结束后,5个工作日内报送事件及其处置的评估、总结和改进报告。 |
|
区分标准 |
《央行管理办法》针对事发报告时限要求更短,对重大等级事件事中报告频率要求更高。 《金管局管理办法》整体报告时限相对集中在2小时内报告、24小时内提交书面报告,但事后报告时间则比《央行管理办法》的要求更短。 |
|
4.报告内容
|
|
《央行管理办法》 |
《金管局管理办法》 |
|
事发简要报告 |
初次确定的事件等级、事发时间、涉及的数据中心等基本信息。 |
/ |
|
事发报告 |
在简要报告基础上,增补影响范围和程度、已采取措施和效果等。 |
事件发生的信息种类、原因、可能造成的危害、采取的补救措施和个人可以采取的减轻危害的措施。 |
|
事中报告 |
在事发报告基础上,增补最新事件等级、影响变化和拟采取的措施等。 |
/ |
|
事后调查总结报告 |
最终确定的事件等级、处置历程回顾、影响等,涉及个人信息时还需说明补救措施、通知个人情况等。 |
(结合目前行业实践)事件及其处置的评估、总结和改进内容,侧重数据安全事件对个人或组织权益、行业安全、国家安全造成的影响。 |
|
区分标准 |
《央行管理办法》中规定的报告内容随着事件进展逐步深入,各阶段报告内容层层递进且详细,涉及网络安全事件多方面情况及责任认定。 而《金管局管理办法》报告内容更聚焦于数据安全事件本身及处置情况,以及对各类权益和安全的影响,相对更简洁直接。 |
|
三、 双重报告触发场景
在《央行管理办法》和《金管局管理办法》的监管网络下,部分金融机构在发生网络/数据安全事件时,将面临同时向央行和金管局双重报告的合规要求。
1. 适用主体重叠:根据上述分析,《央行管理办法》和《金管局管理办法》在适用主体方面有所差异,但也存在重叠,其中最为主要的则是政策性银行、商业银行、农村合作银行等银行业金融机构。由于银行的日常业务基本均涉及央行业务领域,且银行也是金管局主要监管对象,一旦银行发生网络/数据安全事件,往往会同时触及两部法规的报告 “红线”。因此,对于银行业金融机构而言,应分别根据《央行管理办法》和《金管局管理办法》的要求,搭建双轨合规的机制,以确保在发生网络/数据安全事件时,能及时完成向央行和金管局双重报告的合规要求。
2. 数据泄露涉及多领域:除银行之外,如信托公司等同样属于金管局监管范围的其他金融机构,虽然业务范围不像银行那样全面覆盖央行业务领域,但在某些特定业务上(如涉及银行间各类市场交易业务),同样会与央行监管产生交集。对于这些机构而言,当安全事件发生且涉及央行业务领域数据泄露时,双重报告则会被触发。因此,该类金融机构同样应关注《央行管理办法》的后续落地,修改及完善其内部安全事件响应机制,以符合双规要求。
四、 结语
网络/数据安全事件考验着金融机构的合规应对能力。对于金融机构而言,积极主动地建立健全内部安全管理体系和双重报告机制至关重要。一方面,要加强技术投入,提升安全防护能力,从源头上减少安全事件的发生;另一方面,也应完善安全事件响应机制和强化内部人员的合规意识培训,确保在事件发生时能够迅速、准确地按照不同法规要求进行报告和处理。
(本文着重对比金融合规领域向央行和金管局双重报告要求,暂未考虑其他监管机构(如外汇管理部门、网信部门)的报告要求。)
