M88 login新规要点简析

2023年12月，国家互联网信息办公室发布《M88 login管理办法（征求意见稿）》（以下简称“《征求意见稿》”）。历经二十余月的修改和完善，《国家M88 login管理办法》（以下简称“《办法》”）终于在2025年9月15日正式发布，并将于2025年11月1日起生效实施。

从立法目的上看，《办法》是对《网络安全法》、《数据安全法》等上位法中M88 login义务的配套落实文件，其进一步细化了报告义务主体、报告流程、事件分级标准和法律责任，为网络安全事件的规范化处置提供了可操作的规则框架。

一、适用范围和责任主体

根据《办法》第二条规定，“在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者”，是履行报告义务和职责的主要主体。

相较于《征求意见稿》，《办法》删除了“为运营者提供服务的组织或个人”的次要报告人义务，转而要求“网络运营者应当以合同等形式要求为其提供M88 login、系统运维等服务的组织或个人”承担协助报告义务。这一调整使网络运营服务的各方主体责任边界更清晰，避免因服务方与网络运营者的报告义务重叠而导致的义务履行主体不明，同时也以合同自治的方式赋予双方更多的义务分配空间。

二、报告流程与时限要求

《办法》规定网络运营者应当报告“较大以上M88 login”，并根据网络运营者的主体类型设定不同的报告对象及时限要求，这在一定程度上考虑了不同主体的应急响应能力。有关报告的具体流程，详见图1。

图1 M88 login流程与对象

在报告内容方面，《办法》虽然删除了《征求意见稿》中的《M88 login信息报告表》模版，但要求汇报的核心内容不变。网络运营者需要上报的信息包括：涉事单位信息，事件的时间、地点、类型、影响和已采取措施，原因分析，溯源线索，拟处置措施，现场保护情况等。考虑到M88 login的调查的技术难度，《办法》允许网络运营者先上报涉事单位信息和事件的时间、地点、类型、危害等基本情况即可，待调查取得阶段性进展后再补充报告，这为网络运营者履行报告义务保留灵活空间。

对于事件处置之后提交全面分析总结的时限，《办法》第八条放宽至事件处置完成后的30日内，充分考虑了当前M88 login调查的技术复杂性。

在报告渠道方面，《办法》还新设立了“12387M88 login渠道”，同步提供电话、网页、微信小程序、微信公众号、邮箱、传真多种途径接受公众汇报，配合落实《办法》第六条所明确的“鼓励社会组织和个人报告所获悉的较大以上网络安全事件”的公众监督机制。

三、M88 login的分级

《办法》的附件《M88 login分级指南》，针对“特别重大M88 login”、“重大M88 login”、“较大M88 login”和“一般M88 login”进行了定义和举例说明。网络运营者应按照该指南判定M88 login的等级并履行相应报告义务。

在事件分级判定标准方面，存在如下亮点：

1.对于关键信息基础设施，其整体中断运行或主要功能中断的时间长短将成为事件分级的一个指标。相较《征求意见稿》，《办法》的分级标准更为严格，反映了立法者对于关键信息基础设施的高度重视和强化保护。

2.在安全事件影响范围上，《办法》将影响一个或多个地市级行政区30%以上人口，或者10万人以上基本生活作为“较大M88 login”的标准，这采用相对比例和绝对数量结合的双重标准，避免单一指标的局限性。

3.在个人信息方面，《办法》明确将个人信息泄露相关事件的分级标准定为1亿人以上、1000万人以上、100万人以上，分别对应“特别重大”、“重大”和“较大”。

当泄露100万人个人信息以上（即较大M88 login）时，网络运营者就应依照《办法》报告监管机关。

值得注意的是，《个人信息保护法》第五十七条规定，“发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人”，但《个人信息保护法》并未设定触发报告义务的具体数量起点。目前，两项规定之间如何衔接仍有待监管部门明确。我们理解，网络运营者需注意，即便泄露个人信息数量未达到《办法》规定的上述报告标准，也仍应考虑《个人信息保护法》的义务。

《办法》提及其安全事件分类标准的确定参考了国家标准《M88 login分类分级指南》（GB/T 20986-2023）（以下简称“《指南》”）。《指南》于2023年12月正式实施。《指南》将M88 login进行了技术分类，包括恶意程序、网络攻击、违规操作等十大类，并根据事件影响对象的重要程度、业务损失的严重程度、社会危害的严重程度设立了三维的评估指标，也可供网络运营者进行参考。

从制度衔接来看，早在2017年，《国家M88 login应急预案》（以下简称“《国家应急预案》”）就已对M88 login进行了原则化的分类，且更侧重国家安全维度；《办法》在此基础之上，增加了关键信息基础设施中断时长、数据泄露规模等具体、可量化的指标。同年，工信部发布的《公共互联网网络安全突发事件应急预案》（以下简称“《互联网应急预案》”）则对互联网M88 login突发事件进行了分类，将“全国范围大量互联网用户无法正常上网”、“.CN国家顶级域名系统解析效率大幅下降”等作为特别重大事件标准，体现了其行业监管特色。《办法》在个人信息泄露事件的分级指标上也与《互联网应急预案》保持了一致，形成了较为统一的分级体系。

四、法律责任

《办法》第十条、第十一条为M88 login的报告义务搭建了惩戒和激励体系，在提高违规成本的同时，也鼓励网络运营者的主动合规。

对于未进行报告的网络运营者，有关主管部门会依照相关规定进行处罚。由于迟报、漏报、谎报或者瞒报而到导致重大危害后果的，除了网络运营者本身需要受到从重处罚，相关责任人也将依法从重处罚。

若发生M88 login后，网络运营者已采取合理必要防护措施，如及时隔离受影响系统、更新防火墙等，有效降低M88 login影响和危害，并按照按《办法》及时报告的，可视情免除或减轻其及责任人的责任。这一条款缓解了网络运营者因主动报告安全事件而受到加重处罚的担忧，提供了一定的合规激励机制。

五、总结

整体而言，《办法》通过优化M88 login的分级报告要求、细化报告流程、明确责任边界、完善激励机制，明确了报告的时间、内容和报告义务，并提供了更加全面的报告渠道。

另外，虽然《办法》主要规范M88 login的报告流程及与应急处置，企业在发生安全事件时，也需考虑相关的具体情况，判断是否还需适用其他法律法规。例如，公安机关对涉嫌网络犯罪事件的报告规定，以及行业主管监管部门对金融、能源、交通等重点领域的特殊监管要求等。

目前距《办法》正式施行还有一个多月，我们建议企业基于自身数据处理情况、根据《办法》的具体规定、并结合所在行业主管监管部门适用的特殊规定，制定个性化的M88 login工作流程，做好合规工作。

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。