一、《金融业网络安全管理办法(征求意见稿)》起草说明
(1)起草背景与必要性
落实党中央国务院决策部署,践行网络安全 “促发展与依法管理相统一” 要求,压实金融行业网络安全监管责任,突出金融关键信息基础设施的保护优先级。
健全金融业跨部门综合监管机制,衔接《网络安全法》《关键信息基础设施安全保护条例》等上位法规,形成与金融监管现有制度配套的协同监管长效体系。
应对金融数字化转型风险:针对金融网络互联互通、运维复杂度高、供应链覆盖面广、网络攻击频发、技术融合风险叠加等现状,划定合规底线,防范网络安全风险向金融风险传导,维护金融稳定。
(2)起草过程
国务院金融管理部门通过书面调研、现场座谈等形式,广泛征求国家网络安全主管部门、金融从业机构意见,梳理行业突出问题,经研究论证后形成征求意见稿。
(3)整体框架
《办法》共五章三十三条,覆盖总则、网络安全保护义务、监督管理协同、法律责任、附则五大板块,既明确全行业通用合规要求,也针对关键信息基础设施运营者设置特别义务,同时确立跨部门协同监管规则与违法追责机制。
二、金融业网络安全管理办法(征求意见稿)
全文共五章三十三条,构建了 “机构主体责任 + 专项保护要求 + 跨部门协同监管 + 法律责任追究” 的金融业网络安全管理制度体系,核心要点如下:
第一章 总则(第 1-4 条)
立法依据:以《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规为上位依据。
适用范围:覆盖境内金融从业机构的网络建设、运营、维护、使用全流程,以及行业网络安全监督管理活动;涉密网络、其他主管部门有专项规定的从其规定。
核心原则:明确金融从业机构承担网络安全主体责任,坚持安全与发展并重,建立健全安全保障体系;要求机构配合公安、国家安全机关执法;明确行业协会自律管理职责。
第二章 网络安全保护义务(第 5-19 条)
(1)全行业通用义务
落实网络安全责任制,明确安全负责人,建立治理组织架构与议事决策机制,保障资金、人员投入。
执行网络安全等级保护制度,规范商用密码应用,开展运行监测、风险处置与事件报告,健全应急预案。
落实网络数据分类分级保护、个人信息保护要求,管控信息技术创新应用风险,防范违法违规信息传播,规范面向公众的应用软件下载服务安全管理。
(2)关键信息基础设施特别要求
认定机制:由国务院金融管理部门按规则组织识别认定,结果通知运营者并通报公安、网信部门;机构发生合并分立、设施重大变化时需及时报告。
组织与人员:实行主要负责人总责,设置首席网络安全官与单设施安全责任人;设立专门安全管理机构,对负责人与关键岗位人员开展安全背景审查,定期报送安全计划与工作总结。
供应链与风险评估:按规定申报网络安全审查,报送年度采购清单;每年至少开展 1 次全面安全检测与风险评估(覆盖等保测评、密码评估、数据保护、应急能力等),及时整改并报送结果。
应急管理:制定专项应急预案,定期开展演练,规范安全事件与重大威胁的报告、处置流程。
第三章 监督管理协同(第 20-23 条)
明确四部门按职责分工监管,分支机构落实辖区监管责任,配合网信、公安、密码管理等部门开展工作。
建立专项任务协同机制:已有明确分工的按分工执行;单部门牵头的事项由牵头部门细化分工;其余事项协商确定职责。
强化跨部门信息共享,开展风险态势会商研判;要求金融从业机构配合监管检查,如实、按时提供完整资料。
第四章 法律责任(第 24-29 条)
传输违法违规信息、违规使用商用密码的,移送同级对应主管部门处置,金融管理部门配合执行。
拒绝、阻碍监管检查的,依照人民银行法、商业银行法、证券法、网络安全法等行业及通用法律法规处罚。
违反其他保护义务的,优先适用上位法律法规处罚;涉嫌治安违法或犯罪的,分别移送公安机关、司法机关处理。
明确监管工作人员玩忽职守、滥用职权、徇私舞弊的处分与刑事责任。
第五章 附则(第 30-33 条)
界定 “金融从业机构”“国务院金融管理部门”“关键岗位” 等术语含义。
明确地方金融组织的网络安全监管,由地方金融管理部门参照本办法制定管理制度。
规定办法由国务院金融管理部门负责解释,明确施行时间。