1月24日，中国人民银行发布关于《中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）》（以下简称《办法》），并公开征求意见。《办法》明确网络安全事件分级管理要求，将网络安全事件分为特别重大、重大、较大和一般四个等级管理。

中国人民银行在《办法》起草说明中指出，2002年制定印发的《银行计算机安全事件报告管理制度》（以下简称《现行制度》），曾明确银行机构向中国人民银行报告计算机安全事件的管理要求。为应对网络安全新形势，进一步规范相关业务领域网络安全事件报告管理，更好保障金融服务与维护金融安全，中国人民银行拟废止《现行制度》，并起草了《办法》。

《办法》分成总则、网络安全事件分级、网络安全事件报告、法律责任、附则共五章三十二条。一方面明确了网络安全事件分级具体要求和底线规则；另一方面明确了网络安全事件报告责任主体、内容、流程、时效等具体要求，指导监督金融从业机构履行基本法定义务。

从具体的分类来看，《办法》提出，符合下列情形之一的，应当分级为特别重大网络安全事件：与货币存取款、支付交易、税款缴库、银行间市场交易密切相关，属于金融基础设施或者服务客户规模达5000万人以上的中国人民银行业务领域网络，业务高峰时段两个以上省级行政区范围服务整体中断运行3小时以上或者单个省级行政区范围服务整体中断运行6小时以上的。服务客户的中国人民银行业务领域网络主要功能出现服务中断、超时报错等情形，影响客户的规模测算或者估算达1000万人以上的。涉及中国人民银行业务领域核心数据泄露、篡改、破坏的。泄露1000万条以上敏感个人信息或者1亿条以上个人信息的。网信部门、公安机关已明确应当分级为特别重大网络安全事件的。中国人民银行或其上海总部、省分行、自治区分行、直辖市分行、计划单列市分行研判并书面告知金融从业机构，应当分级为特别重大网络安全事件的。

网络安全事件报告方面，《办法》要求，金融从业机构应当明确应急处置与报告的职责分工，确保网络安全事件报告及时、准确、完整，不得迟报、漏报或者瞒报。金融从业机构应当健全网络安全风险监测预警体系，提升第一时间发现和报告网络安全事件的技术能力。网络安全事件报告工作不应干扰或者影响业务恢复、存证溯源、客户解释、舆情应对等处置工作。

此外，《办法》还明确了违规行为处理的相关规定，以及应当从轻减轻处罚的情形。