一★★◆、建议将泄露个人信息且造成一定影响才纳入一般网络安全事件分级标准底线规则。

　　采纳情况★■■：已予采纳◆◆◆◆。《办法》第十五条将网络安全事件事发简要报告的时效性要求从30分钟内报送调整为1小时内报送■★◆★。

　　四、建议明确网络安全事件分级标准底线规则中◆★★★“客户★◆■★”是指对公客户还是个人客户，且明确事件对“客户”造成影响才算网络安全事件★★◆★■■。

　　《中国人民银行业务领域网络安全事件报告管理办法（征求意见稿）》（以下简称《办法》）于2025年1月24日至2025年2月24日向社会公开征求意见，在意见征集期内共收到有效反馈意见65条◆★★◆，多数意见已予采纳。意见主要集中在以下方面：

　　十二◆★■◆◆★、建议对网络安全事件分级标准底线规则中有关影响客户数量、个人信息条数进行调整◆■■■★■。

　　采纳情况：已予采纳★◆◆★。《办法》第九条相关表述修改为★◆“遭受勒索恶意程序攻击，已对中国人民银行业务领域网络或者中国人民银行业务领域数据造成危害后果的”。

　　采纳情况：已予采纳。删除《办法》第九条相关表述■◆■，不再将引发较大舆情的网络安全事件一律分级为较大网络安全事件。相应在第十五条增加事发报告要求：“金融从业机构发生网络安全事件，尚未达到较大等级◆■★★■，但出现相关舆情信息进入社交媒体、搜索引擎或者新闻网站热点榜等情形，引发较大舆情的，应当按照前款规定报告。”■■◆。

　　采纳情况：已予采纳。致使个人信息泄露、篡改、丢失的网络安全事件，会对个人造成一定影响◆■。衔接《中华人民共和国个人信息保护法》第五十七条要求◆★★◆，将《办法》第十条相关表述修改为■■◆◆“发生或者可能发生个人信息泄露■■■■★、篡改、丢失的■■◆◆★”。

　　六★★◆、建议删除减免责任处理有关推广安全可信产品过程中无明显主观过错的条款★◆★■■。

　　采纳情况：解释说明。中国人民银行业务领域重要数据识别工作已另行组织■■■★★，未被中国人民银行告知或者公开发布确认为重要数据的，不涉及重要数据。

　　采纳情况：部分采纳。《办法》第七、八、九、十条网络安全事件分级标准底线规则明确的数量指标，前期已广泛征求行业意见和相关主管部门意见◆◆■★，并按各方意见进行了适当调整■◆■★■★。参考《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（法释〔2019〕15号）第四条关于“造成严重后果”的认定标准，对较大等级网络安全事件分级标准底线规则有关个人信息的表述作了适当调整◆◆★。

　　八、建议遭受勒索恶意程序攻击造成危害时◆■★★，才纳入较大网络安全事件分级标准底线规则。

　　三、建议适当放宽一般网络安全事件分级标准底线规则◆★★★■★，删除“两个以上省级行政区范围服务整体中断运行15分钟以上■■■”表述。

　　采纳情况：解释说明。已公开征求意见的《金融基础设施监督管理办法》对金融基础设施有明确定义★■★■；《中华人民共和国个人信息保护法》对敏感个人信息有明确定义，《办法》均不再重复定义。

　　采纳情况：解释说明。《最高人民法院■◆■■■、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）、《最高人民法院、最高人民检察院关于办理非法利用信息网络★◆◆★、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（法释〔2019〕15号）等，判定情节严重程度时均以■◆■★“条”为计量单位★◆■。《办法》区分网络安全事件等级时，参考上述司法解释★★■■◆，亦以“条■■”为计量单位。

　　采纳情况★★■◆★■：未予采纳。《办法》仅要求重大等级以上网络安全事件进行事中进展报告，以便及时掌握事态发展情况，必要时协调国家有关部门等协同开展应急处置。对较大、一般等级网络安全事件，《办法》未要求事中进展报告◆★★◆■。

　　采纳情况：已予采纳。《办法》第二十二条原有表述修改为“网络技术创新和应用过程中因缺乏经验■◆◆★◆、先行先试造成网络安全事件，且没有主观过错的”。

　　采纳情况：已予采纳。调整《办法》第七★■■◆、八、九、十条相关表述，将“客户★■★◆■”区分为■★★◆■“自然人”、“法人和其他组织”，并增加■◆◆★“已实际影响”表述。