12月8日，国家互联网信息办公室发布了《网络安全事件报告管理办法（征求意见稿）》（下文简称“《办法》”），向公众公开征求意见。该《办法》对网络安全事件的报告对象、报告时间、报告内容等方面进行了详细规定，虽然目前仍为征求意见稿，尚无法律效力，但其为正式稿的出台提供了方向和信号。本文将从网络安全事件报告义务的法律依据出发，深入探讨《办法》规定的合规义务及相应的法律责任，以期为企业在网络安全事件的应对和管理上提供参考。

《网络安全法》第25条规定，“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”随后，《国家网络安全事件应急预案》（以下简称“《应急预案》”）进一步从网络安全事件级别、组织机构、预警响应、应急处置等方面做出详细指导，其中第4.1条要求网络安全事件发生后，事发单位应立即启动应急预案，实施处置并及时报送信息。有关部门则应立即组织先期处置，控制事态，消除隐患，同时组织研判，注意保存证据，做好信息通报工作。对于初判为特别重大、重大网络安全事件的，立即报告监管部门。

《数据安全法》第29条规定，“开展数据活动的主体应加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”近期，上海某科技公司因未按规定及时向网信部门报告数据泄露事件，私自删除涉事数据库逃避责任，最终被处以8万元罚款。这个案例提醒着所有网络数据安全责任主体，必须切实履行法定的安全事件报告义务。一旦发现网络数据安全事件，必须立即采取有效的补救措施，并按照规定及时向相关部门报告。

此外，各相关保护工作部门还结合本行业、本领域的实际情况制定并发布了相应的管理办法。例如，中国证监会发布了《证券期货业网络安全事件报告与调查处理办法》，水利部制定了《水利网络安全事件应急预案》，以明确各行业领域网络安全事件的应对及管理要求。

除了前文提及的规定，各地方还通过制定网络安全事件应急预案对企业的报告义务进行了明确规范。以《上海市网络安全事件应急预案（2019年版）》为例，该预案规定发生网络安全事件的单位必须在半小时内口头、1小时内书面向有关主管部门报告。对于较大以上网络安全事件或特殊情况，必须立即报告。因此，在《办法》发布前，企业在制定和执行内部网络安全政策时，需要综合考虑法律层面的要求，同时根据不同领域和地方的具体规定进行细致的调整。

近期，监管部门陆续报道了几起以政府机构、科研院校、企业单位为攻击目标的网络安全事件。例如，上海某机构数据库遭泄露，数十亿居民信息和防疫信息被窃取并在暗网上售卖；南昌某高校 3 万余条师生个人信息数据在境外互联网上被公开售卖；北京某公司未采取防范网络攻击的技术措施，导致公司OA系统被黑客入侵并篡改等。由此可见，网络安全事件一旦发生，轻则影响运营者正常业务开展，重则导致个人信息数据泄露，危害个人信息安全和社会稳定。

企业遭受网络安全事件后，未及时向有关部门报告而被处罚的案例并不少见。例如，2023年8月，烟台公安发现某公司的测试系统被侵入，大量公民个人信息被窃取。经调查，涉事单位未按规定制定网络安全事件应急预案，在发生危害网络安全事件时，未采取补救措施，也未按照规定向主管部门报告。因此，烟台公安依据《网络安全法》对该公司作出罚款2万元的行政处罚。同年11月，宁远县公安发现其辖区内某公司开设的网站被篡改，网页链接页出现敏感内容。经查明，涉事单位未制定网络安全应急预案，也未按照规定向有关部门报告网络安全事件，致使其网站在被攻击后对其它单位网站进行网络攻击多达百余次，造成恶劣社会影响。因而，监管部门依据《网络安全法》对涉事公司及相关负责人作出行政处罚。随着网络安全威胁不断加剧，网络运营者更应积极履行其网络安全保护义务，制定网络安全应急预案并采取有效措施，及时向有关部门报告网络安全事件。

《应急预案》将网络安全事件划分为四个级别：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。2023年12月1日起实施的《信息安全技术 网络安全事件分类分级指南》（GB/T 20986-2023）提出，应按照事件影响对象的重要程度、业务损失的严重程度和社会危害的严重程度三个要素进行分级。这一分级制度也被《办法》附件《网络安全事件分级指南》所沿用，并对不同级别网络安全事件的认定标准进行了细化（具体分级标准请参见下表）。例如，在国家标准中，“社会危害的严重程度较大”是指影响一个或多个地市的部分区域，不影响国家安全，但会扰乱社会秩序，对经济建设或公众利益造成一般损害。而《办法》附件则从重要信息系统受影响的时间、受影响人群数量以及危害后果等方面提出了量化要求，为有关企业和部门评估安全事件级别提供了重要指导。

《办法》附件《网络安全事件信息报告表》在“初判事件类型”的分类上，继续沿用了《应急预案》的分类标准，将网络安全事件划分为有害程序事件、网络攻击事件、信息破坏事件、设备设施故障、灾害性事件和其他网络安全事件等。然而，需要特别关注的是，GB/T 20986-2023对前述分类情况进行了稍许调整，新增了“违规操作事件”“安全隐患事件”“异常行为事件”三个类别，并对相关事件的子类别进行了细化。然而，本次发布的征求意见稿并未根据最新的国家标准对安全事件进行分类，《办法》和国家标准之间如何有效衔接，还有待进一步观察。

（一）报告流程

根据《办法》规定，网络运营者在发生网络安全事件时，应当及时启动应急预案进行处置。在网络安全事件报告环节中，当网络运营者发现或获知其网络和信息系统存在风险、漏洞或危害时，应立即采取措施并组织对安全事件进行评估，初步判断事件等级和危害程度。同时，按规定的流程和时间节点，将事件报告给相关部门，并根据事件评估结果，制定针对性的处置措施。待事件处置结束后，运营者还应对事件发生原因、应急处置措施、整改情况等进行全面分析总结，形成报告并按照原渠道上报。

（二）报告路径

根据《办法》规定，国家网信部门和地方网信部门负责统筹协调网络安全事件报告工作和相关监督管理工作。《办法》在《网络安全法》和《数据安全法》的基础上，进一步明确了不同网络运营主体的报告路径。具体而言，主要分为三类运营者：中央和国家机关各部门及其管理的企事业单位、关键信息基础设施运营者、其他网络和系统运营者。企业可参考下图，并按照以下步骤选择判断具体的报告路径和报告对象：第一，评估安全事件等级。根据《办法》规定，属于较大、重大或特别重大网络安全事件的，应在规定时限内进行报告；第二，判断企业网络和系统归属，以确定运营者的类别；第三，评估网络安全事件是否涉嫌犯罪以及是否存在行业主管监管部门。

（三）报告时间

《网络安全法》和《数据安全法》虽未明确规定安全事件的报告时间要求，但监管部门通过制定行政法规、部门规范性文件和地方法规等方式对报告时限进行了规范。例如，《计算机信息系统安全保护条例》规定，对于计算机信息系统中发生的案件，有关使用单位应在24小时内向当地县级以上人民政府公安机关报告。

《办法》针对网络安全事件的不同情形，设置了不同的时间节点，包括1小时、24小时和5个工作日。其中，“1小时”的报告时限对企业来说较为严格，要求企业能够对网络安全事件做出迅速反应并采取高效的处置措施。因此，建议企业完善内部安全事件管理制度，对不同安全等级的事件设置专门的响应程序，并加强员工网络安全意识培训，以确保决策层面和执行层面步调一致。

（四）报告内容

《办法》第五条明确了网络安全事件的报告内容，至少应包含：（1）事发单位名称及发生事件的设施、系统、平台的基本情况；（2）事件发现或发生时间、地点、事件类型、已造成的影响和危害，已采取的措施及效果。对勒索软件攻击事件，还应当包括要求支付赎金的金额、方式、日期等；（3）事态发展趋势及可能进一步造成的影响和危害；（4）初步分析的事件原因；（5）进一步调查分析所需的线索，包括可能的攻击者信息、攻击路径、存在的漏洞等；（6）拟进一步采取的应对措施以及请求支援事项；（7）事件现场的保护情况等。

如网络运营者无法在1小时内判定事发原因、影响或趋势，可先报告网络安全事件的基本情况（前两项内容），其他情况可稍后补报，给予了运营者一定的缓冲时间。如果事件报告后出现新情况或阶段性进展的，相关单位也应及时报告。

根据《办法》第七条，网络安全事件处置完毕后，企业应对事件原因、应急处置措施、危害、责任处理、整改情况、教训等进行全面分析总结，并及时进行报告。

《办法》并未直接规定处罚措施，而是选择通过其他相关法律、行政法规进行处罚。根据其立法背景和依据，《网络安全法》、《数据安全法》和《个人信息保护法》中的相关法律责任条款可能会被触发。此外，对于运营者迟报、漏报、谎报或瞒报网络安全事件，并造成重大危害后果的情况，《办法》规定将对运营者及相关责任人依法从重处罚。

《网络安全法》第59条规定，网络运营者不履行网络安全事件报告义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处1万元以上10万元以下罚款，对直接负责的主管人员处5千元以上5万元以下罚款。

如网络安全事件同时构成数据安全事件，根据《数据安全法》第45条，开展数据处理活动的组织、个人不履行数据安全事件报告义务的，由有关主管部门责令改正，给予警告，可以并处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处50万元以上200万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。

由于网络安全事件具有随机性和不确定性，即使企业采取了充分的防护措施，仍然可能发生网络安全事件。因此，《办法》第十八条还设置了激励条款，规定若运营者同时满足以下情况，则可酌情免除或从轻追究运营者及有关责任人的责任：（1）采取合理必要的防护措施；（2）按照本办法规定主动报告；（3）按照预案有关程序进行处置、尽最大努力降低事件影响。

作者：吴丹君律师团队

首发：微信公众号“大数据法律研究”