法律条文

如果您发现任何疑问,欢迎发送邮件至ttaitech@ttaicloud.com



中华人民共和国网络安全法
第一章 总 则
第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第四条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
第五条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第十条
建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章 网络安全支持与促进
第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第十六条
国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
第三章 网络运行安全
第一节 一般规定
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第二十三条
网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
第二十四条
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
第二十七条
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第二节 关键信息基础设施的运行安全
第三十一条
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十七条
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
第四章 网络信息安全
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

第一章 总  则

第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。

第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。

第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。

第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。

国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

第六条 国家对密码实行分类管理。

密码分为核心密码、普通密码和商用密码。

第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。

核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。

第八条 商用密码用于保护不属于国家秘密的信息。

公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。

第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。

国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。

第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。

第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。

第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。

任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

第二章 核心密码、普通密码

第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。

第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。

第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。

第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。

密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。

第十八条 国家加强密码工作机构建设,保障其履行工作职责。

国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。

第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。

第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。

第三章 商用密码

第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。

各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。

第二十二条 国家建立和完善商用密码标准体系。

国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。

国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。

国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。

国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。

第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。

商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。

商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。

第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。

大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。

第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。

第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。

第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

第四章 法律责任

第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。

第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。

第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。

第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。

第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。

第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。

第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。

第五章 附  则

第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。

第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。

第四十四条 本法自2020年1月1日起施行。

第一章 总 则

第一条 为了保障数据安全,促进数据开发利用,保护公民、组织的合法权益,维护国家主权、安全和发展利益,制定本法。

第二条 在中华人民共和国境内开展数据活动,适用本法。

中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

第三条 本法所称数据,是指任何以电子或者非电子形式对信息的记录。

数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。

数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。

第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。

第五条 国家保护公民、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,增进人民福祉。

第六条 中央国家安全领导机构负责数据安全工作的决策和统筹协调,研究制定、指导实施国家数据安全战略和有关重大方针政策。

第七条 各地区、各部门对本地区、本部门工作中产生、汇总、加工的数据及数据安全负主体责任。

工业、电 信、自 然 资 源、 卫 生 健 康、 教 育、 国 防 科 技 工业、金融业等行业主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。

第八条 开展数据活动,必须遵守法律、行政法规,尊重社会公德和伦理,遵守商业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害公民、组织的合法权益。

第九条 国家建立健全数据安全协同治理体系,推动有关部门、行业组织、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

第十条 国家积极开展数据领域国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

第十一条 任何组织、个人都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。

第二章 数据安全与发展

第十二条 国家坚持维护数据安全和促进数据开发利用并重,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。

第十三条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用,促进数字经济发展。

省级以上人民政府应当制定数字经济发展规划,并纳入本级国民经济和社会发展规划。

第十四条 国家加强数据开发利用技术基础研究,支持数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品和产业体系。

第十五条
国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、研究机构、高等学校、相关行业组织等参与标准制定。

第十六条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。

第十七条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。

第十八条 国家支持高等学校、中等职业学校和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养 数 据 开 发 利 用 技 术 和 数 据 安 全 专 业 人 才,促 进 人 才 交流。

第三章 数据安全制度

第十九条 国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。

各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

第二十条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。

第二十一条 国家建立数据安全应急处置机制。

发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

第二十二条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

第二十三条 国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。

第二十四条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区采取相应的措施。

第四章 数据安全保护义务

第二十五条 开展数据活动应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。

重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。

第二十六条 开展数据活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。

第二十七条 开展数据活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。

第二十八条 重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。

风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。

第二十九条 任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过必要的限度。

第三十条 从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

第三十一条 专门提供在线数据处理等服务的经营者,应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。

第三十二条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

第三十三条 境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定 对 外 国 执 法 机 构 调 取 境 内 数 据 有
规 定 的,依 照 其 规定。

第五章 政务数据安全与开放

第三十四条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。

第三十五条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。

第三十六条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。

第三十七条 国家机关委托他人存储、加工政务数据,或者向他人提供政务数据,应当经过严格的批准程序,并应当监督接收方履行相应的数据安全保护义务。

第三十八条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。

第三十九条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。

第四十条 具有公共事务管理职能的组织为履行公共事务管理职能开展数据活动,适用本章规定。

第六章 法律责任

第四十一条 有关主管部门在履行数据安全监管职责中,发现数据活动存在较大安全风险的,可以按照规定的权限和程序对有关组织和个人进行约谈。有关组织和个人应当按照要求采取措施,进行整改,消除隐患。

第四十二条
开展数据活动的组织、个人不履行本法第二十五条、第二十七条、第二十八条、第二十九条规定的数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄漏等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十三条
数据交易中介机构未履行本法第三十条规定的义务,导致非法来源数据交易的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处十万元以上一百万元以下罚款,并可以由有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十四条
未取得许可或者备案,擅自从事本法第三十一条规定业务的,由有关主管部门责令改正或者予以取缔,没收违法所得,处违法所得一倍以上十倍以下罚款;没有违法所得的,处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十五条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。

第四十六条 履行数据安全监管责任的国家工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。

第四十七条 通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。

第四十八条 违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理处罚行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第七章 附 则

第四十九条 涉及国家秘密的数据活动,适用 《中华人民共和国保守国家秘密法》等法律、行政法规的规定。开展涉及个人信息的数据活动,应当遵守有关法律、行政法规的规定。

第五十条 军事数据安全保护的办法,由中央军事委员会另行制定。

第五十一条 本法自 年 月 日起施行。


第一章 总则

  第一条 为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。

  第二条 在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。

  第三条 关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。

  第四条 国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

  国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。

  县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。

  第五条 关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。

  国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

  第六条 关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。

  第七条 任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。

  收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。

  有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。



第二章 支持与保障

  第八条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。

  第九条 国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。

  第十条 国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。

  第十一条 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。

  第十二条 国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。

  第十三条 国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。

  第十四条 能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。

  第十五条 公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。

  第十六条 任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:

  (一)攻击、侵入、干扰、破坏关键信息基础设施;

  (二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;

  (三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;

  (四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;

  (五)其他危害关键信息基础设施的活动和行为。

  第十七条 国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。



第三章 关键信息基础设施范围

  第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:

  (一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

  (二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

  (三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

  (四)广播电台、电视台、通讯社等新闻单位;

  (五)其他重点单位。

  第十九条 国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。

  国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。

  关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。

  第二十条 新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,运营者应当及时将相关情况报告国家行业主管或监管部门。

  国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整,并按程序报送调整情况。



第四章 运营者安全保护

  第二十一条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。

  第二十二条 运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。

  第二十三条 运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:

  (一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;

  (二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;

  (三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;

  (四)采取数据分类、重要数据备份和加密认证等措施。

  第二十四条 除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:

  (一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;

  (二)定期对从业人员进行网络安全教育、技术培训和技能考核;

  (三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;

  (四)制定网络安全事件应急预案并定期进行演练;

  (五)法律、行政法规规定的其他义务。

  第二十五条 运营者网络安全管理负责人履行下列职责:

  (一) 组织制定网络安全规章制度、操作规程并监督执行;

  (二)组织对关键岗位人员的技能考核;

  (三)组织制定并实施本单位网络安全教育和培训计划;

  (四)组织开展网络安全检查和应急演练,应对处置网络安全事件;

  (五)按规定向国家有关部门报告网络安全重要事项、事件。

  第二十六条 运营者网络安全关键岗位专业技术人员实行执证上岗制度。

  执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。

  第二十七条 运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

  第二十八条 运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。

  运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报国家行业主管或监管部门。

  第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。



第五章 产品和服务安全

  第三十条 运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。

  第三十一条 运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。

  第三十二条 运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。

  第三十三条 运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告。

  第三十四条 关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。

  第三十五条 面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求。

  具体要求由国家网信部门会同国务院有关部门制定。



第六章 监测预警、应急处置和检测评估

  第三十六条 国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。

  第三十七条 国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。

  国家行业主管或监管部门应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关部门报告。

  第三十八条 国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制,促进网络安全信息共享。

  第三十九条 国家网信部门按照国家网络安全事件应急预案的要求,统筹有关部门建立健全关键信息基础设施网络安全应急协作机制,加强网络安全应急力量建设,指导协调有关部门组织跨行业、跨地域网络安全应急演练。

  国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案,并定期组织演练,提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后,应立即启动应急预案组织应对,并及时报告有关情况。

  第四十条 国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测,提出改进措施,指导、督促运营者及时整改检测评估中发现的问题。

  国家网信部门统筹协调有关部门开展的抽查检测工作,避免交叉重复检测评估。

  第四十一条 有关部门组织开展关键信息基础设施安全检测评估,应坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险。

  运营者应当对有关部门依法实施的检测评估予以配合,对检测评估发现的问题及时进行整改。

  第四十二条 有关部门组织开展关键信息基础设施安全检测评估,可采取下列措施:

  (一)要求运营者相关人员就检测评估事项作出说明;

  (二)查阅、调取、复制与安全保护有关的文档、记录;

  (三)查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况;

  (四)利用检测工具或委托网络安全服务机构进行技术检测;

  (五)经运营者同意的其他必要方式。

  第四十三条 有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

  第四十四条 有关部门组织开展关键信息基础设施安全检测评估,不得向被检测评估单位收取费用,不得要求被检测评估单位购买指定品牌或者指定生产、销售单位的产品和服务。



第七章 法律责任

  第四十五条
运营者不履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的网络安全保护义务的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

  第四十六条
运营者违反本条例第二十九条规定,在境外存储网络数据,或者向境外提供网络数据的,由国家有关主管部门依据职责责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  第四十七条
运营者违反本条例第三十一条规定,使用未经安全审查或安全审查未通过的网络产品或者服务的,由国家有关主管部门依据职责责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  第四十八条
个人违反本条例第十六条规定,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款;构成犯罪的,依法追究刑事责任。

  单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

  违反本条例第十六条规定,受到刑事处罚的人员,终身不得从事关键信息基础设施安全管理和网络运营关键岗位的工作。

  第四十九条 国家机关关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接负责人员依法给予处分。

  第五十条 有关部门及其工作人员有下列行为之一的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:

  (一)在工作中利用职权索取、收受贿赂;

  (二)玩忽职守、滥用职权;

  (三)擅自泄露关键信息基础设施有关信息、资料及数据文件;

  (四)其他违反法定职责的行为。

第五十一条 关键信息基础设施发生重大网络安全事件,经调查确定为责任事故的,除应当查明运营单位责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。

  第五十二条
境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门、国家安全机关和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。



第八章 附则

  第五十三条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。

  关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。

第五十四条 军事关键信息基础设施的安全保护,由中央军事委员会另行规定。

  第五十五条 本条例自****年**月**日起施行。

第一章 总 则

第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。

第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。

第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。

前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。

网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。

涉密网络应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。

第五条【职责分工】中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。

国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。

国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。

国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。

国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。

县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。

第六条【网络运营者责任义务】网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。

第七条【行业要求】行业主管部门应当组织、指导本行业、本领域落实网络安全等级保护制度。

第二章 支持与保障

第八条【总体保障】国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。

各级人民政府和行业主管部门应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。

第九条【标准制定】国家建立完善网络安全等级保护标准体系。国务院标准化行政主管部门和国务院公安部门、国家保密行政管理部门、国家密码管理部门根据各自职责,组织制定网络安全等级保护的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全等级保护国家标准、行业标准的制定。

第十条【投入和保障】各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。

第十一条【技术支持】国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。

第十二条【绩效考核】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。

第十三条【宣传教育培训】各级人民政府及其有关部门应当加强网络安全等级保护制度的宣传教育,提升社会公众的网络安全防范意识。

国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。

第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。

国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。

第三章 网络的安全保护

第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。

(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。

(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。

(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。

(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。

(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

第十六条【网络定级】网络运营者应当在规划设计阶段确定网络的安全保护等级。

当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。

第十七条【定级评审】对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。

跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。

行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。

第十八条【定级备案】第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。

因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。

备案的具体办法由国务院公安部门组织制定。

第十九条【备案审核】公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。

第二十条【一般安全保护义务】网络运营者应当依法履行下列安全保护义务,保障网络和信息安全:

(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;

(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;

(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;

(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;

(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;

(六)落实数据分类、重要数据备份和加密等措施;

(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;

(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;

(九)落实联网备案和用户真实身份查验等责任;

(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。

(十一)法律、行政法规规定的其他网络安全保护义务。

第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:

(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;

(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;

(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;

(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;

(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;

(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;

(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;

(八)法律和行政法规规定的其他网络安全保护义务。

第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。

新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。

第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。

第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。

第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。

第二十六条【测评活动安全管理】网络安全等级测评机构应当为网络运营者提供安全、客观、公正的等级测评服务。

网络安全等级测评机构应当与网络运营者签署服务协议,并对测评人员进行安全保密教育,与其签订安全保密责任书,明确测评人员的安全保密义务和法律责任,组织测评人员参加专业培训。

第二十七条【网络服务机构要求】网络服务提供者为第三级以上网络提供网络建设、运行维护、安全监测、数据分析等网络服务,应当符合国家有关法律法规和技术标准的要求。

网络安全等级测评机构等网络服务提供者应当保守服务过程中知悉的国家秘密、个人信息和重要数据。不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。

第二十八条【产品服务采购使用的安全要求】网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务。

第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

第二十九条【技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。

第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。

第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。

行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。

第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。

未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。

第三十二条【应急处置要求】第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。

网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。

公安机关和行业主管部门应当向同级网信部门报告重大网络安全事件处置情况。

发生重大网络安全事件时,有关部门应当按照网络安全应急预案要求联合开展应急处置。电信业务经营者、互联网服务提供者应当为重大网络安全事件处置和恢复提供支持和协助。

第三十三条【审计审核要求】网络运营者建设、运营、维护和使用网络,向社会公众提供需取得行政许可的经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。

第三十四条【新技术新应用风险管控】网络运营者应当按照网络安全等级保护制度要求,采取措施,管控云计算、大数据、人工智能、物联网、工控系统和移动互联网等新技术、新应用带来的安全风险,消除安全隐患。

第四章 涉密网络的安全保护

第三十五条【分级保护】涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、机密级和秘密级。

第三十六条【网络定级】涉密网络运营者应当依法确定涉密网络的密级,通过本单位保密委员会(领导小组)的审定,并向同级保密行政管理部门备案。

第三十七条【方案审查论证】涉密网络运营者规划建设涉密网络,应当依据国家保密规定和标准要求,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转管控、电磁泄漏发射防护、病毒防护、密码保护和保密监管等技术与管理措施。

第三十八条【建设管理】涉密网络运营者委托其他单位承担涉密网络建设的,应当选择具有相应涉密信息系统集成资质的单位,并与建设单位签订保密协议,明确保密责任,采取保密措施。

第三十九条【信息设备、安全保密产品管理】涉密网络中使用的信息设备,应当从国家有关主管部门发布的涉密专用信息设备名录中选择;未纳入名录的,应选择政府采购目录中的产品。确需选用进口产品的,应当进行安全保密检测。

涉密网络运营者不得选用国家保密行政管理部门禁止使用或者政府采购主管部门禁止采购的产品。

涉密网络中使用的安全保密产品,应当通过国家保密行政管理部门设立的检测机构检测。计算机病毒防护产品应当选用取得计算机信息系统安全专用产品销售许可证的可靠产品,密码产品应当选用国家密码管理部门批准的产品。

第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。

涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。

公安机关、国家安全机关涉密网络投入使用的管理,依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。

第四十一条【涉密网络使用管理总体要求】涉密网络运营者应当制定安全保密管理制度,组建相应管理机构,设置安全保密管理人员,落实安全保密责任。

第四十二条【涉密网络预警通报要求】涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处置措施,并向保密行政管理部门报告。

第四十三条【涉密网络重大变化的处置】有下列情形之一的,涉密网络运营者应当按照国家保密规定及时向保密行政管理部门报告并采取相应措施:

(一)密级发生变化的;

(二)连接范围、终端数量超出审查通过的范围、数量的;

(三)所处物理环境或者安全保密设施变化可能导致新的安全保密风险的;

(四)新增应用系统的,或者应用系统变更、减少可能导致新的安全保密风险的。

对前款所列情形,保密行政管理部门应当及时作出是否对涉密网络重新进行检测评估和审查的决定。

第四十四条【涉密网络废止的处理】涉密网络不再使用的,涉密网络运营者应当及时向保密行政管理部门报告,并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。

第五章 密码管理

第四十五条【确定密码要求】国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。

第四十六条【涉密网络密码保护】涉密网络及传输的国家秘密信息,应当依法采用密码保护。

密码产品应当经过密码管理部门批准,采用密码技术的软件系统、硬件设备等产品,应当通过密码检测。

密码的检测、装备、采购和使用等,由密码管理部门统一管理;系统设计、运行维护、日常管理和密码评估,应当按照国家密码管理相关法规和标准执行。

第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。

第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。

第四十八条【密码安全管理责任】网络运营者应当按照国家密码管理法规和相关管理要求,履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。

任何单位和个人不得利用密码从事危害国家安全、社会公共利益的活动,或者从事其他违法犯罪活动。

第六章 监督管理

第四十九条【安全监督管理】县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作,实行监督管理;对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务,实行重点监督管理。

县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作情况,进行监督、检查、指导。

地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。

第五十条【安全检查】县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:

(一)日常网络安全防范工作;

(二)重大网络安全风险隐患整改情况;

(三)重大网络安全事件应急处置和恢复工作;

(四)重大活动网络安全保护工作落实情况;

(五)其他网络安全保护工作情况。

公安机关对第三级以上网络运营者每年至少开展一次安全检查。涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。

公安机关依法实施监督检查,网络运营者应当协助、配合,并按照公安机关要求如实提供相关数据信息。

第五十一条【检查处置】公安机关在监督检查中发现网络安全风险隐患的,应当责令网络运营者采取措施立即消除;不能立即消除的,应当责令其限期整改。

公安机关发现第三级以上网络存在重大安全风险隐患的,应当及时通报行业主管部门,并向同级网信部门通报。

第五十二条【重大隐患处置】公安机关在监督检查中发现重要行业或本地区存在严重威胁国家安全、公共安全和社会公共利益的重大网络安全风险隐患的,应报告同级人民政府、网信部门和上级公安机关。

第五十三条【对测评机构和安全建设机构的监管】国家对网络安全等级测评机构和安全建设机构实行推荐目录管理,指导网络安全等级测评机构和安全建设机构建立行业自律组织,制定行业自律规范,加强自律管理。

非涉密网络安全等级测评机构和安全建设机构具体管理办法,由国务院公安部门制定。保密科技测评机构管理办法由国家保密行政管理部门制定。

第五十四条【关键人员管理】第三级以上网络运营者的关键岗位人员以及为第三级以上网络提供安全服务的人员,不得擅自参加境外组织的网络攻防活动。

第五十五条【事件调查】公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。必要时,可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。

网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。

第五十六条【紧急情况断网措施】网络存在的安全风险隐患严重威胁国家安全、社会秩序和公共利益的,紧急情况下公安机关可以责令其停止联网、停机整顿。

第五十七条【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。发现存在安全隐患,违反保密法律法规,或者不符合保密标准保密的,按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。

第五十八条【密码监督管理】密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理,监督检查网络运营者对网络的密码配备、使用、管理和密码评估情况。其中重要涉密信息系统每两年至少开展一次监督检查。监督检查中发现存在安全隐患,或者违反密码管理相关规定,或者不符合密码相关标准规范要求的,按照国家密码管理相关规定予以处理。

第五十九条【行业监督管理】行业主管部门应当组织制定本行业、本领域网络安全等级保护工作规划和标准规范,掌握网络基本情况、定级备案情况和安全保护状况;监督管理本行业、本领域网络运营者开展网络定级备案、等级测评、安全建设整改、安全自查等工作。

行业主管部门应当监督管理本行业、本领域网络运营者依照网络安全等级保护制度和相关标准规范要求,落实网络安全管理和技术保护措施,组织开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作。

第六十条【监督管理责任】网络安全等级保护监督管理部门及其工作人员应当对在履行职责中知悉的国家秘密、个人信息和重要数据严格保密,不得泄露、出售或者非法向他人提供。

第六十一条【执法协助】网络运营者和技术支持单位应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助。

第六十二条【网络安全约谈制度】省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。


第七章 法律责任

第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。

第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。

第六十四条【违反技术维护要求】网络运营者违反本条例第二十九条规定,对第三级以上网络实施境外远程技术维护,未进行网络安全评估、未采取风险管控措施、未记录并留存技术维护日志的,由公安机关和相关行业主管部门依据各自职责责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。

第六十五条【违反数据安全和个人信息保护要求】网络运营者违反本条例第三十一条第二款规定,擅自收集、使用、提供数据和个人信息的,由网信部门、公安机关依据各自职责责令改正,依照《中华人民共和国网络安全法》第六十四条第一款的规定处罚。

第六十六条【网络安全服务责任】违反本条例第二十六条第三款,第二十七条第二款规定的,由公安机关责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿,直至通知发证机关吊销相关业务许可证或者吊销营业执照。

违反本条例第二十七条第二款规定,泄露、非法出售或者向他人提供个人信息的,依照《中华人民共和国网络安全法》第六十四条第二款的规定处罚。

第六十七条【违反执法协助义务】网络运营者违反本条例规定,有下列行为之一的,由公安机关、保密行政管理部门、密码管理部门、行业主管部门和有关部门依据各自职责责令改正;拒不改正或者情节严重的,依照《中华人民共和国网络安全法》第六十九条的规定处罚。

(一)拒绝、阻碍有关部门依法实施的监督检查的;

(二)拒不如实提供有关网络安全保护的数据信息的;

(三)在应急处置中拒不服从有关主管部门统一指挥调度的;

(四)拒不向公安机关、国家安全机关提供技术支持和协助的;

(五)电信业务经营者、互联网服务提供者在重大网络安全事件处置和恢复中未按照本条例规定提供支持和协助的。

第六十八条【违反保密和密码管理责任】违反本条例有关保密管理和密码管理规定的,由保密行政管理部门或者密码管理部门按照各自职责分工责令改正,拒不改正的,给予警告,并通报向其上级主管部门,建议对其主管人员和其他直接责任人员依法给予处分。

第六十九条【监管部门渎职责任】网信部门、公安机关、国家保密行政管理部门、密码管理部门以及有关行业主管部门及其工作人员有下列行为之一,对直接负责的主管人员和其他直接责任人员,或者有关工作人员依法给予处分:

(一)玩忽职守、滥用职权、徇私舞弊的;

(二)泄露、出售、非法提供在履行网络安全等级保护监管职责中获悉的国家秘密、个人信息和重要数据;或者将获取其他信息,用于其他用途的。

第七十条【法律竞合处理】违反本条例规定,构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第八章 附 则

第七十一条【术语解释】本条例所称的“内”、“以上”包含本数;所称的“行业主管部门”包含行业监管部门。

第七十二条【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。

第七十三条【生效时间】本条例由自 年 月 日起施行。


1 总则
1.1 编制目的
建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。
1.2 编制依据
《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007)等相关规定。
1.3 适用范围
本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。
本预案适用于网络安全事件的应对工作。其中,有关信息内容安全事件的应对,另行制定专项预案。
1.4 事件分级
网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。
(1)符合下列情形之一的,为特别重大网络安全事件:
①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。
(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:
①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。
(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:
①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。
②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。
③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。
(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。
1.5 工作原则
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。
2 组织机构与职责
2.1 领导机构与职责
在中央网络安全和信息化领导小组(以下简称“领导小组”)的领导下,中央网络安全和信息化领导小组办公室(以下简称“中央网信办”)统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部(以下简称“指挥部”),负责特别重大网络安全事件处置的组织指挥和协调。
2.2 办事机构与职责
国家网络安全应急办公室(以下简称“应急办”)设在中央网信办,具体工作由中央网信办网络安全协调局承担。应急办负责网络安全应急跨部门、跨地区协调工作和指挥部的事务性工作,组织指导国家网络安全应急技术支撑队伍做好应急处置的技术支撑工作。有关部门派负责相关工作的司局级同志为联络员,联络应急办工作。
2.3 各部门职责
中央和国家机关各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
2.4 各省(区、市)职责
各省(区、市)网信部门在本地区党委网络安全和信息化领导小组统一领导下,统筹协调组织本地区网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。
3 监测与预警
3.1 预警分级
网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。
3.2 预警监测
各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省(区、市)网信部门结合本地区实际,统筹组织开展对本地区网络和信息系统的安全监测工作。各省(区、市)、各部门将重要监测信息报应急办,应急办组织开展跨省(区、市)、跨部门的网络安全信息共享。
3.3 预警研判和发布
各省(区、市)、各部门组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位,对可能发生重大及以上网络安全事件的信息及时向应急办报告。各省(区、市)、各部门可根据监测研判情况,发布本地区、本行业的橙色及以下预警。
应急办组织研判,确定和发布红色预警和涉及多省(区、市)、多部门、多行业的预警。
预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。
3.4 预警响应
3.4.1 红色预警响应
(1)应急办组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。
(2)有关省(区、市)、部门网络安全事件应急指挥机构实行24小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况报应急办。
(3)国家网络安全应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.4.2 橙色预警响应
(1)有关省(区、市)、部门网络安全事件应急指挥机构启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。
(2)有关省(区、市)、部门及时将事态发展情况报应急办。应急办密切关注事态发展,有关重大事项及时通报相关省(区、市)和部门。
(3)国家网络安全应急技术支撑队伍保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。
3.4.3 黄色、蓝色预警响应
有关地区、部门网络安全事件应急指挥机构启动相应应急预案,指导组织开展预警响应。
3.5 预警解除
预警发布部门或地区根据实际情况,确定是否解除预警,及时发布预警解除信息。
4 应急处置
4.1 事件报告
网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。各有关地区、部门立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大网络安全事件的,立即报告应急办。
4.2 应急响应
网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。
4.2.1 Ⅰ级响应
属特别重大网络安全事件的,及时启动I级响应,成立指挥部,履行应急处置工作的统一领导、指挥、协调职责。应急办24小时值班。
有关省(区、市)、部门应急指挥机构进入应急状态,在指挥部的统一领导、指挥、协调下,负责本省(区、市)、本部门应急处置工作或支援保障工作,24小时值班,并派员参加应急办工作。
有关省(区、市)、部门跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报应急办。指挥部对应对工作进行决策部署,有关省(区、市)和部门负责组织实施。
4.2.2 Ⅱ级响应
网络安全事件的Ⅱ级响应,由有关省(区、市)和部门根据事件的性质和情况确定。
(1)事件发生省(区、市)或部门的应急指挥机构进入应急状态,按照相关应急预案做好应急处置工作。
(2)事件发生省(区、市)或部门及时将事态发展变化情况报应急办。应急办将有关重大事项及时通报相关地区和部门。
(3)处置中需要其他有关省(区、市)、部门和国家网络安全应急技术支撑队伍配合和支持的,商应急办予以协调。相关省(区、市)、部门和国家网络安全应急技术支撑队伍应根据各自职责,积极配合、提供支持。
(4)有关省(区、市)和部门根据应急办的通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。
4.2.3 Ⅲ级、Ⅳ级响应
事件发生地区和部门按相关预案进行应急响应。
4.3 应急结束
4.3.1 Ⅰ级响应结束
应急办提出建议,报指挥部批准后,及时通报有关省(区、市)和部门。
4.3.2 Ⅱ级响应结束
由事件发生省(区、市)或部门决定,报应急办,应急办通报相关省(区、市)和部门。
5 调查与评估
特别重大网络安全事件由应急办组织有关部门和省(区、市)进行调查处理和总结评估,并按程序上报。重大及以下网络安全事件由事件发生地区或部门自行组织调查处理和总结评估,其中重大网络安全事件相关总结调查报告报应急办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。
事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。
6 预防工作
6.1 日常管理
各地区、各部门按职责做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。
6.2 演练
中央网信办协调有关部门定期组织演练,检验和完善预案,提高实战能力。
各省(区、市)、各部门每年至少组织一次预案演练,并将演练情况报中央网信办。
6.3 宣传
各地区、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。
6.4 培训
各地区、各部门要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识及技能。
6.5 重要活动期间的预防措施
在国家重要活动、会议期间,各省(区、市)、各部门要加强网络安全事件的防范和应急响应,确保网络安全。应急办统筹协调网络安全保障工作,根据需要要求有关省(区、市)、部门启动红色预警响应。有关省(区、市)、部门加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全事件隐患。
7 保障措施
7.1 机构和人员
各地区、各部门、各单位要落实网络安全应急工作责任制,把责任落实到具体部门、具体岗位和个人,并建立健全应急工作机制。
7.2 技术支撑队伍
加强网络安全应急技术支撑队伍建设,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。支持网络安全企业提升应急处置能力,提供应急技术支援。中央网信办制定评估认定标准,组织评估和认定国家网络安全应急技术支撑队伍。各省(区、市)、各部门应配备必要的网络安全专业技术人才,并加强与国家网络安全相关技术单位的沟通、协调,建立必要的网络安全信息共享机制。
7.3 专家队伍
建立国家网络安全应急专家组,为网络安全事件的预防和处置提供技术咨询和决策建议。各地区、各部门加强各自的专家队伍建设,充分发挥专家在应急处置工作中的作用。
7.4 社会资源
从教育科研机构、企事业单位、协会中选拔网络安全人才,汇集技术与数据资源,建立网络安全事件应急服务体系,提高应对特别重大、重大网络安全事件的能力。
7.5 基础平台
各地区、各部门加强网络安全应急基础平台和管理平台建设,做到早发现、早预警、早响应,提高应急处置能力。
7.6 技术研发和产业促进
有关部门加强网络安全防范技术研究,不断改进技术装备,为应急响应工作提供技术支撑。加强政策引导,重点支持网络安全监测预警、预防防护、处置救援、应急服务等方向,提升网络安全应急产业整体水平与核心竞争力,增强防范和处置网络安全事件的产业支撑能力。
7.7 国际合作
有关部门建立国际合作渠道,签订合作协定,必要时通过国际合作共同应对突发网络安全事件。
7.8 物资保障
加强对网络安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。
7.9 经费保障
财政部门为网络安全事件应急处置提供必要的资金保障。有关部门利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、技术研发、预案演练、物资保障等工作开展。各地区、各部门为网络安全应急工作提供必要的经费保障。
7.10 责任与奖惩
网络安全事件应急处置工作实行责任追究制。
中央网信办及有关地区和部门对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励。
中央网信办及有关地区和部门对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。
8 附则
8.1 预案管理
本预案原则上每年评估一次,根据实际情况适时修订。修订工作由中央网信办负责。
各省(区、市)、各部门、各单位要根据本预案制定或修订本地区、本部门、本行业、本单位网络安全事件应急预案。
8.2 预案解释
本预案由中央网信办负责解释。
8.3 预案实施时间
本预案自印发之日起实施。
附件:
1. 网络安全事件分类
2. 名词术语
3. 网络和信息系统损失程度划分说明
附件1
网络安全事件分类
网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。
(1)有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
(2)网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
(3)信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
(4)信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
(5)设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
(6)灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
(7)其他事件是指不能归为以上分类的网络安全事件。
附件2
名词术语
一、重要网络与信息系统
所承载的业务与国家安全、社会秩序、经济建设、公众利益密切相关的网络和信息系统。
(参考依据:《信息安全技术信息安全事件分类分级指南》(GB/Z 20986-2007))
二、重要敏感信息
不涉及国家秘密,但与国家安全、经济发展、社会稳定以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁,可能造成以下后果:
a) 损害国防、国际关系;
b) 损害国家财产、公共利益以及个人财产或人身安全;
c) 影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;
d) 影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;
e) 干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
f) 危害国家关键基础设施、政府信息系统安全;
g) 影响市场秩序,造成不公平竞争,破坏市场规律;
h) 可推论出国家秘密事项;
i) 侵犯个人隐私、企业商业秘密和知识产权;
j) 损害国家、企业、个人的其他利益和声誉。
(参考依据:《信息安全技术云计算服务安全指南》(GB/T31167-2014))
附件3
网络和信息系统损失程度划分说明
网络和信息系统损失是指由于网络安全事件对系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失,说明如下:
a) 特别严重的系统损失:造成系统大面积瘫痪,使其丧失业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
b) 严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
c)
较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
d) 较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。


第一条
为了规范区块链信息服务活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进区块链技术及相关服务的健康发展,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

  第二条 在中华人民共和国境内从事区块链信息服务,应当遵守本规定。法律、行政法规另有规定的,遵照其规定。

  本规定所称区块链信息服务,是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。

  本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的组织或者个人。

  第三条 国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。

  第四条
鼓励区块链行业组织加强行业自律,建立健全行业自律制度和行业准则,指导区块链信息服务提供者建立健全服务规范,推动行业信用评价体系建设,督促区块链信息服务提供者依法提供服务、接受社会监督,提高区块链信息服务从业人员的职业素养,促进行业健康有序发展。

  第五条 区块链信息服务提供者应当落实信息内容安全管理责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

  第六条 区块链信息服务提供者应当具备与其服务相适应的技术条件,对于法律、行政法规禁止的信息内容,应当具备对其发布、记录、存储、传播的即时和应急处置能力,技术方案应当符合国家相关标准规范。

  第七条 区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约。

  第八条
区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务。

  第九条 区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。

  第十条 区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容。

  第十一条 区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息,履行备案手续。

  区块链信息服务提供者变更服务项目、平台网址等事项的,应当在变更之日起五个工作日内办理变更手续。

  区块链信息服务提供者终止服务的,应当在终止服务三十个工作日前办理注销手续,并作出妥善安排。

  第十二条
国家和省、自治区、直辖市互联网信息办公室收到备案人提交的备案材料后,材料齐全的,应当在二十个工作日内予以备案,发放备案编号,并通过国家互联网信息办公室区块链信息服务备案管理系统向社会公布备案信息;材料不齐全的,不予备案,在二十个工作日内通知备案人并说明理由。

  第十三条 完成备案的区块链信息服务提供者应当在其对外提供服务的互联网站、应用程序等的显著位置标明其备案编号。

  第十四条 国家和省、自治区、直辖市互联网信息办公室对区块链信息服务备案信息实行定期查验,区块链信息服务提供者应当在规定时间内登录区块链信息服务备案管理系统,提供相关信息。

  第十五条 区块链信息服务提供者提供的区块链信息服务存在信息安全隐患的,应当进行整改,符合法律、行政法规等相关规定和国家相关标准规范后方可继续提供信息服务。

  第十六条
区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者,依法依约采取警示、限制功能、关闭账号等处置措施,对违法信息内容及时采取相应的处理措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

  第十七条 区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于六个月,并在相关执法部门依法查询时予以提供。

  第十八条 区块链信息服务提供者应当配合网信部门依法实施的监督检查,并提供必要的技术支持和协助。

  区块链信息服务提供者应当接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。

  第十九条
区块链信息服务提供者违反本规定第五条、第六条、第七条、第九条、第十一条第二款、第十三条、第十五条、第十七条、第十八条规定的,由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

  第二十条 区块链信息服务提供者违反本规定第八条、第十六条规定的,由国家和省、自治区、直辖市互联网信息办公室依据职责,按照《中华人民共和国网络安全法》的规定予以处理。

  第二十一条
区块链信息服务提供者违反本规定第十条的规定,制作、复制、发布、传播法律、行政法规禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处二万元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

  区块链信息服务使用者违反本规定第十条的规定,制作、复制、发布、传播法律、行政法规禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依照有关法律、行政法规的规定予以处理。

  第二十二条
区块链信息服务提供者违反本规定第十一条第一款的规定,未按照本规定履行备案手续或者填报虚假备案信息的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令限期改正;拒不改正或者情节严重的,给予警告,并处一万元以上三万元以下罚款。

  第二十三条 在本规定公布前从事区块链信息服务的,应当自本规定生效之日起二十个工作日内依照本规定补办有关手续。

  第二十四条 本规定自2019年2月15日起施行。

第一条
为加强金融信息服务内容管理,提高金融信息服务质量,促进金融信息服务健康有序发展,保护自然人、法人和非法人组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

  第二条 在中华人民共和国境内从事金融信息服务,应当遵守本规定。

  本规定所称金融信息服务,是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。该服务不同于通讯社服务。

  第三条 国家互联网信息办公室负责全国金融信息服务的监督管理执法工作,地方互联网信息办公室依据职责负责本行政区域内的金融信息服务的监督管理执法工作。

  第四条 金融信息服务提供者从事互联网新闻信息服务、法定特许或者应予以备案的金融业务应当取得相应资质,并接受有关主管部门的监督管理。

  第五条 金融信息服务提供者应当履行主体责任,配备与服务规模相适应的管理人员,建立信息内容审核、信息数据保存、信息安全保障、个人信息保护、知识产权保护等服务规范。

  第六条 金融信息服务提供者应当在显著位置准确无误注明信息来源,并确保文字、图像、视频、音频等形式的金融信息来源可追溯。

第七条 金融信息服务提供者应当配备相关专业人员,负责金融信息内容的审核,确保金融信息真实、客观、合法。

  第八条 金融信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:

  (一)散布虚假金融信息,危害国家金融安全以及社会稳定的;

  (二)歪曲国家财政货币政策、金融管理政策,扰乱经济秩序、损害国家利益的;

  (三)教唆他人商业欺诈或经济犯罪,造成社会影响的;

  (四)虚构证券、基金、期货、外汇等金融市场事件或新闻的;

  (五)宣传有关主管部门禁止的金融产品与服务的;

  (六)法律、法规和规章禁止的其他内容。

第九条 金融信息服务提供者应当自觉接受用户监督,设置便捷投诉窗口,及时妥善处理投诉事宜,并保存有关记录。

第十条 金融信息服务使用者发现金融信息服务提供者所提供的金融信息含有本规定第八条所列内容的,可以向国家或地方互联网信息办公室举报。

第十一条 金融信息服务提供者发现含有本规定第八条所列信息内容的,应当立即终止传输、禁止使用和停止传播该信息内容,及时采取处置措施,消除相关信息内容,保存完整记录并向国家或地方互联网信息办公室报告。

第十二条 国家和地方互联网信息办公室应当建立日常检查和定期检查相结合的监督管理制度,依法对金融信息服务活动实施监督检查,有关单位、个人应当予以配合。

第十三条 金融信息服务使用者向社会传播金融信息服务提供者提供的金融信息中含有本规定第八条所列内容的,由国家或地方互联网信息办公室以及有关主管部门依法处罚。

第十四条
金融信息服务提供者违反本规定第五条、第六条、第七条、第八条、第九条规定的,由国家或地方互联网信息办公室依据职责进行约谈、公开谴责、责令改正、列入失信名单;依法应当予以行政处罚的,由国家或地方互联网信息办公室等有关主管部门给予行政处罚;构成犯罪的,依法追究刑事责任。

  第十五条 国家和地方互联网信息办公室根据工作需要,与有关主管部门建立金融信息服务情况通报、信息共享等工作机制,对违法违规行为实施联合惩戒。

  第十六条 鼓励金融信息服务提供者建立行业自律组织,制定服务规范,推动行业信用体系建设,促进行业健康有序发展。

  第十七条 本规定自2019年2月1日起施行。

第一章
总则
第一条为加强互联网信息内容管理,促进互联网新闻信息服务健康有序发展,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。
第二条在中华人民共和国境内提供互联网新闻信息服务,适用本规定。
本规定所称新闻信息,包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论。
第三条提供互联网新闻信息服务,应当遵守宪法、法律和行政法规,坚持为人民服务、为社会主义服务的方向,坚持正确舆论导向,发挥舆论监督作用,促进形成积极健康、向上向善的网络文化,维护国家利益和公共利益。
第四条国家互联网信息办公室负责全国互联网新闻信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网新闻信息服务的监督管理执法工作。
第二章
许可
第五条通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。
前款所称互联网新闻信息服务,包括互联网新闻信息采编发布服务、转载服务、传播平台服务。
第六条申请互联网新闻信息服务许可,应当具备下列条件:
(一)在中华人民共和国境内依法设立的法人;
(二)主要负责人、总编辑是中国公民;
(三)有与服务相适应的专职新闻编辑人员、内容审核人员和技术保障人员;
(四)有健全的互联网新闻信息服务管理制度;
(五)有健全的信息安全管理制度和安全可控的技术保障措施;
(六)有与服务相适应的场所、设施和资金。
申请互联网新闻信息采编发布服务许可的,应当是新闻单位(含其控股的单位)或新闻宣传部门主管的单位。
符合条件的互联网新闻信息服务提供者实行特殊管理股制度,具体实施办法由国家互联网信息办公室另行制定。
提供互联网新闻信息服务,还应当依法向电信主管部门办理互联网信息服务许可或备案手续。
第七条任何组织不得设立中外合资经营、中外合作经营和外资经营的互联网新闻信息服务单位。
互联网新闻信息服务单位与境内外中外合资经营、中外合作经营和外资经营的企业进行涉及互联网新闻信息服务业务的合作,应当报经国家互联网信息办公室进行安全评估。
第八条互联网新闻信息服务提供者的采编业务和经营业务应当分开,非公有资本不得介入互联网新闻信息采编业务。
第九条申请互联网新闻信息服务许可,申请主体为中央新闻单位(含其控股的单位)或中央新闻宣传部门主管的单位的,由国家互联网信息办公室受理和决定;申请主体为地方新闻单位(含其控股的单位)或地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室受理和决定;申请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室受理和初审后,由国家互联网信息办公室决定。
国家或省、自治区、直辖市互联网信息办公室决定批准的,核发《互联网新闻信息服务许可证》。《互联网新闻信息服务许可证》有效期为三年。有效期届满,需继续从事互联网新闻信息服务活动的,应当于有效期届满三十日前申请续办。
省、自治区、直辖市互联网信息办公室应当定期向国家互联网信息办公室报告许可受理和决定情况。
第十条申请互联网新闻信息服务许可,应当提交下列材料:
(一)主要负责人、总编辑为中国公民的证明;
(二)专职新闻编辑人员、内容审核人员和技术保障人员的资质情况;
(三)互联网新闻信息服务管理制度;
(四)信息安全管理制度和技术保障措施;
(五)互联网新闻信息服务安全评估报告;
(六)法人资格、场所、资金和股权结构等证明;
(七)法律法规规定的其他材料。
第三章
运行
第十一条互联网新闻信息服务提供者应当设立总编辑,总编辑对互联网新闻信息内容负总责。总编辑人选应当具有相关从业经验,符合相关条件,并报国家或省、自治区、直辖市互联网信息办公室备案。
互联网新闻信息服务相关从业人员应当依法取得相应资质,接受专业培训、考核。互联网新闻信息服务相关从业人员从事新闻采编活动,应当具备新闻采编人员职业资格,持有国家新闻出版广电总局统一颁发的新闻记者证。
第十二条互联网新闻信息服务提供者应当健全信息发布审核、公共信息巡查、应急处置等信息安全管理制度,具有安全可控的技术保障措施。
第十三条互联网新闻信息服务提供者为用户提供互联网新闻信息传播平台服务,应当按照《中华人民共和国网络安全法》的规定,要求用户提供真实身份信息。用户不提供真实身份信息的,互联网新闻信息服务提供者不得为其提供相关服务。
互联网新闻信息服务提供者对用户身份信息和日志信息负有保密的义务,不得泄露、篡改、毁损,不得出售或非法向他人提供。
互联网新闻信息服务提供者及其从业人员不得通过采编、发布、转载、删除新闻信息,干预新闻信息呈现或搜索结果等手段谋取不正当利益。
第十四条互联网新闻信息服务提供者提供互联网新闻信息传播平台服务,应当与在其平台上注册的用户签订协议,明确双方权利义务。
对用户开设公众账号的,互联网新闻信息服务提供者应当审核其账号信息、服务资质、服务范围等信息,并向所在地省、自治区、直辖市互联网信息办公室分类备案。
第十五条互联网新闻信息服务提供者转载新闻信息,应当转载中央新闻单位或省、自治区、直辖市直属新闻单位等国家规定范围内的单位发布的新闻信息,注明新闻信息来源、原作者、原标题、编辑真实姓名等,不得歪曲、篡改标题原意和新闻信息内容,并保证新闻信息来源可追溯。
互联网新闻信息服务提供者转载新闻信息,应当遵守著作权相关法律法规的规定,保护著作权人的合法权益。
第十六条互联网新闻信息服务提供者和用户不得制作、复制、发布、传播法律、行政法规禁止的信息内容。
互联网新闻信息服务提供者提供服务过程中发现含有违反本规定第三条或前款规定内容的,应当依法立即停止传输该信息、采取消除等处置措施,保存有关记录,并向有关主管部门报告。
第十七条互联网新闻信息服务提供者变更主要负责人、总编辑、主管单位、股权结构等影响许可条件的重大事项,应当向原许可机关办理变更手续。
互联网新闻信息服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能,应当报国家或省、自治区、直辖市互联网信息办公室进行互联网新闻信息服务安全评估。
第十八条互联网新闻信息服务提供者应当在明显位置明示互联网新闻信息服务许可证编号。
互联网新闻信息服务提供者应当自觉接受社会监督,建立社会投诉举报渠道,设置便捷的投诉举报入口,及时处理公众投诉举报。
第四章
监督检查
第十九条国家和地方互联网信息办公室应当建立日常检查和定期检查相结合的监督管理制度,依法对互联网新闻信息服务活动实施监督检查,有关单位、个人应当予以配合。
国家和地方互联网信息办公室应当健全执法人员资格管理制度。执法人员开展执法活动,应当依法出示执法证件。
第二十条任何组织和个人发现互联网新闻信息服务提供者有违反本规定行为的,可以向国家和地方互联网信息办公室举报。
国家和地方互联网信息办公室应当向社会公开举报受理方式,收到举报后,应当依法予以处置。互联网新闻信息服务提供者应当予以配合。
第二十一条国家和地方互联网信息办公室应当建立互联网新闻信息服务网络信用档案,建立失信黑名单制度和约谈制度。
国家互联网信息办公室会同国务院电信、公安、新闻出版广电等部门建立信息共享机制,加强工作沟通和协作配合,依法开展联合执法等专项监督检查活动。
第五章
法律责任
第二十二条违反本规定第五条规定,未经许可或超越许可范围开展互联网新闻信息服务活动的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令停止相关服务活动,处一万元以上三万元以下罚款。
第二十三条互联网新闻信息服务提供者运行过程中不再符合许可条件的,由原许可机关责令限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。
第二十四条互联网新闻信息服务提供者违反本规定第七条第二款、第八条、第十一条、第十二条、第十三条第三款、第十四条、第十五条第一款、第十七条、第十八条规定的,由国家和地方互联网信息办公室依据职责给予警告,责令限期改正;情节严重或拒不改正的,暂停新闻信息更新,处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。
第二十五条互联网新闻信息服务提供者违反本规定第三条、第十六条第一款、第十九条第一款、第二十条第二款规定的,由国家和地方互联网信息办公室依据职责给予警告,责令限期改正;情节严重或拒不改正的,暂停新闻信息更新,处二万元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。
第二十六条互联网新闻信息服务提供者违反本规定第十三条第一款、第十六条第二款规定的,由国家和地方互联网信息办公室根据《中华人民共和国网络安全法》的规定予以处理。
第六章
附则
第二十七条本规定所称新闻单位,是指依法设立的报刊社、广播电台、电视台、通讯社和新闻电影制片厂。
第二十八条违反本规定,同时违反互联网信息服务管理规定的,由国家和地方互联网信息办公室根据本规定处理后,转由电信主管部门依法处置。
国家对互联网视听节目服务、网络出版服务等另有规定的,应当同时符合其规定。
第二十九条本规定自2017年6月1日起施行。本规定施行之前颁布的有关规定与本规定不一致的,按照本规定执行。 [4]

互联网信息内容管理行政执法程序规定

第一章 总则

  第一条
为了规范和保障互联网信息内容管理部门依法履行职责,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国行政处罚法》《中华人民共和国网络安全法》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

  第二条 互联网信息内容管理部门依法实施行政执法,对违反有关互联网信息内容管理法律法规规章的行为实施行政处罚,适用本规定。

  本规定所称互联网信息内容管理部门,是指国家互联网信息办公室和地方互联网信息办公室。

  第三条 互联网信息内容管理部门实施行政执法,应当遵循公开、公平、公正的原则,做到事实清楚、证据确凿、程序合法、法律法规规章适用准确适当、执法文书使用规范。

  第四条 互联网信息内容管理部门建立行政执法督查制度。

  上级互联网信息内容管理部门对下级互联网信息内容管理部门实施的行政执法进行督查。

  第五条 互联网信息内容管理部门应当加强执法队伍建设,建立健全执法人员培训、考试考核、资格管理和持证上岗制度。

  执法人员应当参加互联网信息内容管理部门组织的法律知识和业务知识培训,并经行政执法资格考试或者考核合格,取得执法证后方可从事执法工作。

  执法证由国家互联网信息内容管理部门统一制定、核发或者授权省、自治区、直辖市互联网信息内容管理部门核发。

第二章 管辖

  第六条 行政处罚由违法行为发生地的互联网信息内容管理部门管辖。

  违法行为发生地包括实施违法行为的网站备案地,工商登记地(工商登记地与主营业地不一致的,应按主营业地),网站建立者、管理者、使用者所在地,网络接入地,计算机等终端设备所在地等。

  第七条 市(地、州)级以下互联网信息内容管理部门依职权管辖本行政区域内的互联网信息内容行政处罚案件。

  省、自治区、直辖市互联网信息内容管理部门依职权管辖本行政区域内重大、复杂的互联网信息内容行政处罚案件。

  国家互联网信息内容管理部门依职权管辖应当由自己实施行政处罚的案件及全国范围内发生的重大、复杂的互联网信息内容行政处罚案件。

  省、自治区、直辖市互联网信息内容管理部门可以依据法律法规规章,结合本地区实际,制定本行政区域内级别管辖的具体规定。

  第八条 对当事人的同一违法行为,两个以上互联网信息内容管理部门均有管辖权的,由先行立案的互联网信息内容管理部门管辖。必要时,可以移送主要违法行为发生地的互联网信息内容管理部门管辖。

  两个以上的互联网信息内容管理部门对管辖权有争议的,应当协商解决;协商不成的,报请共同的上一级互联网信息内容管理部门指定管辖。

  第九条 上级互联网信息内容管理部门认为必要时,可以直接办理下级互联网信息内容管理部门管辖的案件,也可以将自己管辖的案件移交下级互联网信息内容管理部门办理。

  下级互联网信息内容管理部门对其管辖的案件由于特殊原因不能行使管辖权的,可以报请上级互联网信息内容管理部门管辖或者指定管辖。

  第十条 互联网信息内容管理部门发现案件不属于其管辖的,应当及时移送有管辖权的互联网信息内容管理部门。

  受移送的互联网信息内容管理部门应当将案件查处结果及时函告移送案件的互联网信息内容管理部门;认为移送不当的,应当报请共同的上一级互联网信息内容管理部门指定管辖,不得再次移送。

  第十一条 上级互联网信息内容管理部门接到管辖争议或者报请指定管辖请示后,应当在十个工作日内作出指定管辖的决定,并书面通知下级互联网信息内容管理部门。

  第十二条 互联网信息内容管理部门发现案件属于其他行政机关管辖的,应当依法移送有关机关。

  互联网信息内容管理部门发现违法行为涉嫌犯罪的,应当及时移送司法机关。司法机关决定立案的,互联网信息内容管理部门应当自接到司法机关立案通知书之日起三日内将与案件有关的材料移交司法机关,并办结交接手续。

  第十三条
互联网信息内容管理部门对依法应当撤销互联网新闻信息服务许可、吊销互联网新闻信息服务许可证的,应当提出处理建议,并将取得的证据及相关材料报送原发证的互联网信息内容管理部门,由原发证的互联网信息内容管理部门依法作出是否撤销许可、吊销许可证的决定。

第三章 立案

  第十四条 互联网信息内容管理部门应当对下列事项及时调查处理, 并填写《案件来源登记表》(格式见附件1):

  (一)在监督检查中发现案件线索的;

  (二)自然人、法人或者其他组织投诉、申诉、举报的;

  (三)上级机关交办或者下级机关报请查处的;

  (四)有关部门移送或者经由其他方式、途径发现的。

  第十五条 行政处罚立案应当符合下列条件:

  (一)有涉嫌违法的事实;

  (二)依法应当予以行政处罚;

  (三)属于互联网信息内容监督管理行政处罚的范围;

  (四)属于本互联网信息内容管理部门管辖。

  符合立案条件的,应当填写《立案审批表》(格式见附件2),同时附上相关材料,在七个工作日内报互联网信息内容管理部门负责人批准立案,并确定两名以上执法人员为案件承办人。特殊情况下,可以延长至十五个工作日内立案。

  第十六条 对于不予立案的投诉、申诉、举报,经互联网信息内容管理部门负责人批准后,应将结果告知具名的投诉人、申诉人、举报人,并将不予立案的相关情况作书面记录留存。

  对于其他部门移送的案件,决定不予立案的,应当书面告知移送部门。

  不予立案或者撤销立案的,承办人应当制作《不予立案审批表》(格式见附件3)或者《撤销立案审批表》(格式见附件4),报互联网信息内容管理部门负责人批准。

  第十七条 办案人员有下列情形之一的,应当自行回避;当事人也有权申请办案人员回避:

  (一)是本案的当事人或者当事人的近亲属;

  (二)与本案有直接利害关系;

  (三)与本案当事人有其他关系,可能影响案件公正处理。

  办案人员的回避由互联网信息内容管理部门负责人决定。当事人对决定不服的,可以申请复议一次。

  回避决定作出前,被申请回避人员不停止对案件的调查处理。

第四章 调查取证

  第十八条 互联网信息内容管理部门进行案件调查取证时,执法人员不得少于两人,并应当出示执法证。必要时,也可以聘请专业人员进行协助。

  首次向案件当事人收集、调取证据的,应当告知其有申请办案人员回避的权利。

  向有关单位、个人收集、调取证据时,应当告知其有如实提供证据的义务。被调查对象或者有关人员应当如实回答询问并协助、配合调查,及时提供依法应当保存的互联网信息服务提供者发布的信息、用户发布的信息、日志信息等相关材料,不得阻挠、干扰案件的调查。

  执法人员对在办案过程中知悉的国家秘密、商业秘密、个人隐私、个人信息应当依法保密。

  第十九条
互联网信息内容管理部门在办案过程中需要其他地区互联网信息内容管理部门协助调查、取证的,应当出具委托调查函。受委托的互联网信息内容管理部门应当积极予以协助,一般应当在接到委托调查函之日起十五个工作日内完成相关工作;需要延期完成或者无法协助的,应当及时函告委托的互联网信息内容管理部门。

  第二十条 办案人员应当依法收集与案件有关的证据,包括电子数据、视听资料、书证、物证、证人证言、当事人的陈述、鉴定意见、检验报告、勘验笔录、现场笔录、询问笔录等。

  电子数据是指案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据,包括但不限于网页、博客、微博客、即时通信工具、论坛、贴吧、网盘、电子邮件、网络后台等方式承载的电子信息或文件。电子数据主要存在于计算机设备、移动通信设备、互联网服务器、移动存储设备、云存储系统等电子设备或存储介质中。

视听资料包括录音资料和影像资料。

  存储在电子介质中的录音资料和影像资料,适用电子数据的规定。

  第二十一条 互联网信息内容管理部门在立案前调查或者检查过程中依法取得的证据,可以作为认定事实的依据。通过网络巡查等技术手段获取的、具有可靠性的电子数据可以作为认定事实的依据。

  电子数据的收集、提取应当符合法律法规规章、国家标准、行业标准和技术规范,并保证所收集、提取的电子数据的完整性、合法性、真实性、关联性。否则,不得作为认定事实的依据。

  第二十二条 互联网信息内容管理部门在立案前,可以采取询问、勘验、检查、鉴定、调取证据材料等措施,不得限制初查对象的人身、财产权利。

  互联网信息内容管理部门在立案后,可以对物品、设施、场所采取先行登记保存等措施。

  第二十三条 互联网信息内容管理部门在办案过程中,应当及时询问证人。

  执法人员进行询问的,应当制作《询问笔录》(格式见附件5),载明时间、地点、有关事实、经过等内容。询问笔录应当交询问对象或者有关人员核对并确认。

  第二十四条 互联网信息内容管理部门对于涉及互联网信息内容违法的场所、物品、网络应当进行勘验、检查,及时收集、固定书证、物证、视听资料以及电子数据。

  第二十五条 互联网信息内容管理部门可以委托司法鉴定机构就案件中的专门性问题出具鉴定意见;不属于司法鉴定范围的,可以委托有能力或者条件的机构出具检测报告或者检验报告。

  第二十六条 互联网信息内容管理部门可以向有关单位、个人调取能够证明案件事实的证据材料,并且可以根据需要拍照、录像、复印和复制。

  调取的书证、物证应当是原件、原物。调取原件、原物确有困难的,可以由提交证据的有关单位、个人在复制品上签字或者盖章,注明“此件由×××提供,经核对与原件(物)无异”的字样或者文字说明,并注明出证日期、证据出处,并签名或者盖章。

  调取的视听资料、电子数据应当是原始载体或备份介质。调取原始载体或备份介质确有困难的,可以收集复制件,并注明制作方法、制作时间、制作人等情况。调取声音资料的应当附有该声音内容的文字记录。

  第二十七条
在证据可能灭失或者以后难以取得的情况下,经互联网信息内容管理部门负责人批准,执法人员可以依法对涉案计算机、服务器、硬盘、移动存储设备、存储卡等涉嫌实施违法行为的物品先行登记保存,制作《登记保存物品清单》(格式见附件6),向当事人出具《登记保存物品通知书》(格式见附件7)。先行登记保存期间,当事人或有关人员不得损毁、销毁或者非法转移证据。

  互联网信息内容管理部门实施先行登记保存时,应当通知当事人或者持有人到场,并在现场笔录中对采取的相关措施情况予以记载。

  第二十八条 互联网信息内容管理部门对先行登记保存的证据,应当在七日内作出以下处理决定:

  (一)需要采取证据保全措施的,采取记录、复制、拍照、录像等证据保全措施后予以返还;

  (二)需要检验、检测、鉴定的,送交具有相应资质的机构检验、检测、鉴定;

  (三)违法事实成立的,依法应当予以没收的,作出行政处罚决定,没收违法物品;

  (四)违法事实不成立,或者违法事实成立但依法不应当予以没收的,解除先行登记保存。

  逾期未作出处理决定的,应当解除先行登记保存。

  第二十九条 为了收集、保全电子数据,互联网信息内容管理部门可以采取现场取证,远程取证,责令有关单位、个人固定和提交等措施。

  现场取证、远程取证结束后应当制作《电子取证工作记录》(格式见附件8)。

  第三十条
执法人员在调查取证过程中,应当要求当事人在笔录或者其他材料上签字、捺指印、盖章或者以其他方式确认。当事人拒绝到场,拒绝签字、捺指印、盖章或者以其他方式确认,或者无法找到当事人的,应当由两名执法人员在笔录或者其他材料上注明原因,并邀请有关人员作为见证人签字或者盖章,也可以采取录音、录像等方式记录。

  第三十一条 案件调查终结后,承办人应当撰写《案件处理意见报告》(格式见附件9):

  认为违法事实成立,应当予以行政处罚的,撰写《案件处理意见报告》,草拟行政处罚建议书。

  有下列情形之一的,撰写《案件处理意见报告》,说明拟作处理的理由,报互联网信息内容管理部门负责人批准后根据不同情况分别处理:

  (一)认为违法事实不成立,应当予以销案的;

  (二)违法行为情节轻微,没有造成危害后果,不予行政处罚的;

  (三)案件不属于本机关管辖,应当移送其他行政机关管辖的;

  (四)涉嫌犯罪,应当移送司法机关的。

  第三十二条 互联网信息内容管理部门进行案件调查时,对已有证据证明违法事实成立的,应当出具责令改正通知书,责令当事人改正或者限期改正违法行为。

第五章 听证、约谈

  第三十三条
互联网信息内容管理部门作出吊销互联网新闻信息服务许可证、较大数额罚款等行政处罚决定之前,应当告知当事人有要求举行听证的权利。当事人要求听证的,应当在被告知后三日内提出,互联网信息内容管理部门应当组织听证。当事人逾期未要求听证的,视为放弃权利。

  第三十四条 互联网信息内容管理部门应当在听证的七日前,将《举行听证通知书》(格式见附件10)送达当事人,告知举行听证的时间、地点。

  听证应当制作《听证笔录》(格式见附件11),交当事人审核无误后签字或者盖章。

  第三十五条 互联网信息内容管理部门对互联网信息服务提供者违法行为作出行政处罚决定前,可以根据有关规定对其实施约谈,谈话结束后制作《执法约谈笔录》(格式见附件12)。

第六章 处罚决定、送达

  第三十六条 互联网信息内容管理部门作出行政处罚决定之前,应当填写《行政处罚意见告知书》(格式见附件13),告知当事人拟作出行政处罚的违法事实、处罚的理由和依据,以及当事人依法享有的陈述、申辩权。

  互联网信息内容管理部门应当充分听取当事人的陈述和申辩。当事人提出的事实、理由或者证据经复核成立的,应当采纳。当事人在接到告知书之日起三个工作日内未提出陈述、申辩的,视为放弃权利。

  互联网信息内容管理部门不得因当事人陈述、申辩而加重处罚。

  第三十七条 拟作出的行政处罚决定应当报互联网信息内容管理部门负责人审查。互联网信息内容管理部门负责人根据不同情况,分别作出如下决定:

  (一)确有应受行政处罚的违法行为的,根据情节轻重及具体情况,作出行政处罚决定;

  (二)违法行为轻微,依法可以不予行政处罚的,不予行政处罚;

  (三)违法事实不能成立的,不予行政处罚;

  (四)违法行为已构成犯罪的,移送司法机关。

  第三十八条 对情节复杂或者重大违法行为给予较重的行政处罚,互联网信息内容管理部门负责人应当集体讨论决定。集体讨论决定的过程应当有书面记录。

  情节复杂、重大违法行为标准由互联网信息内容管理部门根据实际情况确定。

  第三十九条 互联网信息内容管理部门作出行政处罚决定,应当制作统一编号的《行政处罚决定书》(格式见附件14)。

  《行政处罚决定书》应当载明下列事项:

  (一)当事人的姓名或者名称、地址等基本情况;

  (二)违反法律、法规或者规章的事实和证据;

  (三)行政处罚的种类和依据;

  (四)行政处罚的履行方式和期限;

  (五)不服行政处罚决定,申请行政复议或者提起行政诉讼的途径和期限;

  (六)作出行政处罚决定的互联网信息内容管理部门名称和作出决定的日期。

  行政处罚决定中涉及没收有关物品的,还应当附没收物品凭证。

  《行政处罚决定书》应当盖有作出行政处罚决定的互联网信息内容管理部门的印章。

  第四十条 《行政处罚决定书》应当在宣告后当场交付当事人;当事人不在场的,应当在七日内依照民事诉讼法的有关规定,将《行政处罚决定书》送达当事人。

第七章 执行与结案

  第四十一条 《行政处罚决定书》送达后,当事人应当在处罚决定的期限内予以履行。

  当事人确有经济困难,可以提出延期或者分期缴纳罚款的申请,并提交书面材料。经案件承办人审核,确定延期或者分期缴纳罚款的期限和金额,报互联网信息内容管理部门负责人批准后执行。

  第四十二条 互联网信息服务提供者违反相关法律法规规章,需由电信主管部门关闭网站、吊销互联网信息服务增值电信业务经营许可证或者取消备案的,转电信主管部门处理。

  第四十三条 当事人对互联网信息内容管理部门给予的行政处罚享有陈述、申辩权,对行政处罚决定不服的,有权依法申请行政复议或者提起行政诉讼。

  当事人对行政处罚决定不服,申请行政复议或者提起行政诉讼的,行政处罚不停止执行,但法律另有规定的除外。

  第四十四条 当事人在法定期限内不申请行政复议或者提起行政诉讼,又不履行行政处罚决定的,作出处罚决定的互联网信息内容管理部门可以申请人民法院强制执行。

  互联网信息内容管理部门申请人民法院强制执行前应当填写《履行行政处罚决定催告书》(格式见附件15),书面催告当事人履行义务,并告知履行义务的期限和方式、依法享有的陈述和申辩权,涉及加处罚款的,应当有明确的金额和给付方式。

  加处罚款的总数额不得超过原罚款数额。

  当事人进行陈述、申辩的,互联网信息内容管理部门应当对当事人提出的事实、理由和证据进行记录、复核,并制作陈述申辩笔录、陈述申辩复核意见书。当事人提出的事实、理由或者证据成立的,互联网信息内容管理部门应当采纳。

  《履行行政处罚决定催告书》送达十个工作日后,当事人仍未履行处罚决定的,互联网信息内容管理部门可以申请人民法院强制执行,并填写《行政处罚强制执行申请书》(格式见附件16)。

  第四十五条 行政处罚决定履行或者执行后,办案人应当填写《行政处罚结案报告》(格式见附件17),将有关案件材料进行整理装订,归档保存。

第八章 附则

  第四十六条 本规定中的期限以时、日计算,开始的时和日不计算在内。期限届满的最后一日是节假日的,以节假日后的第一日为届满的日期。法律、法规另有规定的除外。

  第四十七条 本规定中的“以上”“以下”“以内”,均包括本数。

  第四十八条 国家互联网信息内容管理部门负责制定行政执法所适用的文书格式范本。各省、自治区、直辖市互联网信息内容管理部门可以参照文书格式范本,制定本行政区域行政处罚所适用的文书格式并自行印制。

  第四十九条 本规定自2017年6月1日起施行。

第一条
为规范互联网论坛社区服务,促进互联网论坛社区行业健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。
第二条 在中华人民共和国境内从事互联网论坛社区服务,适用本规定。
本规定所称互联网论坛社区服务,是指在互联网上以论坛、贴吧、社区等形式,为用户提供互动式信息发布社区平台的服务。
第三条 国家互联网信息办公室负责全国互联网论坛社区服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网论坛社区服务的监督管理执法工作。
第四条 鼓励互联网论坛社区服务行业组织建立健全行业自律制度和行业准则,指导互联网论坛社区服务提供者建立健全服务规范,督促互联网论坛社区服务提供者依法提供服务、接受社会监督,提高互联网论坛社区服务从业人员的职业素养。
第五条
互联网论坛社区服务提供者应当落实主体责任,建立健全信息审核、公共信息实时巡查、应急处置及个人信息保护等信息安全管理制度,具有安全可控的防范措施,配备与服务规模相适应的专业人员,为有关部门依法履行职责提供必要的技术支持。
第六条 互联网论坛社区服务提供者不得利用互联网论坛社区服务发布、传播法律法规和国家有关规定禁止的信息。
互联网论坛社区服务提供者应当与用户签订协议,明确用户不得利用互联网论坛社区服务发布、传播法律法规和国家有关规定禁止的信息,情节严重的,服务提供者将封禁或者关闭有关账号、版块;明确论坛社区版块发起者、管理者应当履行与其权利相适应的义务,对违反法律规定和协议约定、履行责任义务不到位的,服务提供者应当依法依约限制或取消其管理权限,直至封禁或者关闭有关账号、版块。
第七条 互联网论坛社区服务提供者应当加强对其用户发布信息的管理,发现含有法律法规和国家有关规定禁止的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并及时向国家或者地方互联网信息办公室报告。
第八条
互联网论坛社区服务提供者应当按照“后台实名、前台自愿”的原则,要求用户通过真实身份信息认证后注册账号,并对版块发起者和管理者实施真实身份信息备案、定期核验等。用户不提供真实身份信息的,互联网论坛社区服务提供者不得为其提供信息发布服务。
互联网论坛社区服务提供者应当加强对注册用户虚拟身份信息、版块名称简介等的审核管理,不得出现法律法规和国家有关规定禁止的内容。
互联网论坛社区服务提供者应当保护用户身份信息,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。
第九条 互联网论坛社区服务提供者及其从业人员,不得通过发布、转载、删除信息或者干预呈现结果等手段,谋取不正当利益。
第十条 互联网论坛社区服务提供者开展经营和服务活动,必须遵守法律法规,尊重社会公德,遵守商业道德,诚实信用,承担社会责任。
第十一条 互联网论坛社区服务提供者应当建立健全公众投诉、举报制度,在显著位置公布投诉、举报方式,主动接受公众监督,及时处理公众投诉、举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。
第十二条 互联网论坛社区服务提供者违反本规定的,由有关部门依照相关法律法规处理。
第十三条 本规定自2017年10月1日起施行。

互联网跟帖评论服务管理规定
第一条 为规范互联网跟帖评论服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。
第二条 在中华人民共和国境内提供跟帖评论服务,应当遵守本规定。
本规定所称跟帖评论服务,是指互联网站、应用程序、互动传播平台以及其他具有新闻舆论属性和社会动员功能的传播平台,以发帖、回复、留言、“弹幕”等方式,为用户提供发表文字、符号、表情、图片、音视频等信息的服务。
第三条 国家互联网信息办公室负责全国跟帖评论服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域的跟帖评论服务的监督管理执法工作。
各级互联网信息办公室应当建立健全日常检查和定期检查相结合的监督管理制度,依法规范各类传播平台的跟帖评论服务行为。
第四条 跟帖评论服务提供者提供互联网新闻信息服务相关的跟帖评论新产品、新应用、新功能的,应当报国家或者省、自治区、直辖市互联网信息办公室进行安全评估。
第五条 跟帖评论服务提供者应当严格落实主体责任,依法履行以下义务:
(一)按照“后台实名、前台自愿”原则,对注册用户进行真实身份信息认证,不得向未认证真实身份信息的用户提供跟帖评论服务。
(二)建立健全用户信息保护制度,收集、使用用户个人信息应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
(三)对新闻信息提供跟帖评论服务的,应当建立先审后发制度。
(四)提供“弹幕”方式跟帖评论服务的,应当在同一平台和页面同时提供与之对应的静态版信息内容。
(五)建立健全跟帖评论审核管理、实时巡查、应急处置等信息安全管理制度,及时发现和处置违法信息,并向有关主管部门报告。
(六)开发跟帖评论信息安全保护和管理技术,创新跟帖评论管理方式,研发使用反垃圾信息管理系统,提升垃圾信息处置能力;及时发现跟帖评论服务存在的安全缺陷、漏洞等风险,采取补救措施,并向有关主管部门报告。
(七)配备与服务规模相适应的审核编辑队伍,提高审核编辑人员专业素养。
(八)配合有关主管部门依法开展监督检查工作,提供必要的技术、资料和数据支持。
第六条 跟帖评论服务提供者应当与注册用户签订服务协议,明确跟帖评论的服务与管理细则,履行互联网相关法律法规告知义务,有针对性地开展文明上网教育。
跟帖评论服务使用者应当严格自律,承诺遵守法律法规、尊重公序良俗,不得发布法律法规和国家有关规定禁止的信息内容。
第七条 跟帖评论服务提供者及其从业人员不得为谋取不正当利益或基于错误价值取向,采取有选择地删除、推荐跟帖评论等方式干预舆论。
跟帖评论服务提供者和用户不得利用软件、雇佣商业机构及人员等方式散布信息,干扰跟帖评论正常秩序,误导公众舆论。
第八条 跟帖评论服务提供者对发布违反法律法规和国家有关规定的信息内容的,应当及时采取警示、拒绝发布、删除信息、限制功能、暂停更新直至关闭账号等措施,并保存相关记录。
第九条 跟帖评论服务提供者应当建立用户分级管理制度,对用户的跟帖评论行为开展信用评估,根据信用等级确定服务范围及功能,对严重失信的用户应列入黑名单,停止对列入黑名单的用户提供服务,并禁止其通过重新注册等方式使用跟帖评论服务。
国家和省、自治区、直辖市互联网信息办公室应当建立跟帖评论服务提供者的信用档案和失信黑名单管理制度,并定期对跟帖评论服务提供者进行信用评估。
第十条 跟帖评论服务提供者应当建立健全违法信息公众投诉举报制度,设置便捷投诉举报入口,及时受理和处置公众投诉举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。
第十一条 跟帖评论服务提供者信息安全管理责任落实不到位,存在较大安全风险或者发生安全事件的,国家和省、自治区、直辖市互联网信息办公室应当及时约谈;跟帖管理服务提供者应当按照要求采取措施,进行整改,消除隐患。
第十二条 互联网跟帖评论服务提供者违反本规定的,由有关部门依照相关法律法规处理。
第十三条 本规定自2017年10月1日起施行。

互联网群组信息服务管理规定

第一条 为规范互联网群组信息服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

第二条 在中华人民共和国境内提供、使用互联网群组信息服务,应当遵守本规定。

  本规定所称互联网群组,是指互联网用户通过互联网站、移动互联网应用程序等建立的,用于群体在线交流信息的网络空间。本规定所称互联网群组信息服务提供者,是指提供互联网群组信息服务的平台。本规定所称互联网群组信息服务使用者,包括群组建立者、管理者和成员。

第三条 国家互联网信息办公室负责全国互联网群组信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内的互联网群组信息服务的监督管理执法工作。

第四条 互联网群组信息服务提供者和使用者,应当坚持正确导向,弘扬社会主义核心价值观,培育积极健康的网络文化,维护良好网络生态。

第五条 互联网群组信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

  互联网群组信息服务提供者应当制定并公开管理规则和平台公约,与使用者签订服务协议,明确双方权利义务。

第六条 互联网群组信息服务提供者应当按照“后台实名、前台自愿”的原则,对互联网群组信息服务使用者进行真实身份信息认证,用户不提供真实身份信息的,不得为其提供信息发布服务。

  互联网群组信息服务提供者应当采取必要措施保护使用者个人信息安全,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。

第七条 互联网群组信息服务提供者应当根据互联网群组的性质类别、成员规模、活跃程度等实行分级分类管理,制定具体管理制度并向国家或省、自治区、直辖市互联网信息办公室备案,依法规范群组信息传播秩序。

  互联网群组信息服务提供者应当建立互联网群组信息服务使用者信用等级管理体系,根据信用等级提供相应服务。

第八条 互联网群组信息服务提供者应当根据自身服务规模和管理能力,合理设定群组成员人数和个人建立群数、参加群数上限。

  互联网群组信息服务提供者应设置和显示唯一群组识别编码,对成员达到一定规模的群组要设置群信息页面,注明群组名称、人数、类别等基本信息。

  互联网群组信息服务提供者应根据群组规模类别,分级审核群组建立者真实身份、信用等级等建群资质,完善建群、入群等审核验证功能,并标注群组建立者、管理者及成员群内身份信息。

第九条 互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。

  互联网群组成员在参与群组信息交流时,应当遵守法律法规,文明互动、理性表达。

  互联网群组信息服务提供者应为群组建立者、管理者进行群组管理提供必要功能权限。

第十条 互联网群组信息服务提供者和使用者不得利用互联网群组传播法律法规和国家有关规定禁止的信息内容。

第十一条 互联网群组信息服务提供者应当对违反法律法规和国家有关规定的互联网群组,依法依约采取警示整改、暂停发布、关闭群组等处置措施,保存有关记录,并向有关主管部门报告。

  互联网群组信息服务提供者应当对违反法律法规和国家有关规定的群组建立者、管理者等使用者,依法依约采取降低信用等级、暂停管理权限、取消建群资格等管理措施,保存有关记录,并向有关主管部门报告。

  互联网群组信息服务提供者应当建立黑名单管理制度,对违法违约情节严重的群组及建立者、管理者和成员纳入黑名单,限制群组服务功能,保存有关记录,并向有关主管部门报告。

第十二条 互联网群组信息服务提供者和使用者应当接受社会公众和行业组织的监督,建立健全投诉举报渠道,设置便捷举报入口,及时处理投诉举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。

  鼓励互联网行业组织指导推动互联网群组信息服务提供者制定行业公约,加强行业自律,履行社会责任。

第十三条 互联网群组信息服务提供者应当配合有关主管部门依法进行的监督检查,并提供必要的技术支持和协助。

  互联网群组信息服务提供者应当按规定留存网络日志不少于六个月。

第十四条 互联网群组信息服务提供者和使用者违反本规定的,由有关部门依照相关法律法规处理。

第十五条 本规定自2017年10月8日起施行。

互联网用户公众账号信息服务管理规定

第一条 为规范互联网用户公众账号信息服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

  第二条 在中华人民共和国境内提供、使用互联网用户公众账号从事信息发布服务,应当遵守本规定。

  本规定所称互联网用户公众账号信息服务,是指通过互联网站、应用程序等网络平台以注册用户公众账号形式,向社会公众发布文字、图片、音视频等信息的服务。

  本规定所称互联网用户公众账号信息服务提供者,是指提供互联网用户公众账号注册使用服务的网络平台。本规定所称互联网用户公众账号信息服务使用者,是指注册使用或运营互联网用户公众账号提供信息发布服务的机构或个人。

  第三条 国家互联网信息办公室负责全国互联网用户公众账号信息服务的监督管理执法工作,地方互联网信息办公室依据职责负责本行政区域内的互联网用户公众账号信息服务的监督管理执法工作。

  第四条 互联网用户公众账号信息服务提供者和使用者,应当坚持正确导向,弘扬社会主义核心价值观,培育积极健康的网络文化,维护良好网络生态。

  鼓励各级党政机关、企事业单位和人民团体注册使用互联网用户公众账号发布政务信息或公共服务信息,服务经济社会发展,满足公众信息需求。

  互联网用户公众账号信息服务提供者应当配合党政机关、企事业单位和人民团体提升政务信息发布和公共服务水平,提供必要的技术支撑和信息安全保障。

  第五条 互联网用户公众账号信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员和技术能力,设立总编辑等信息内容安全负责人岗位,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

  互联网用户公众账号信息服务提供者应当制定和公开管理规则和平台公约,与使用者签订服务协议,明确双方权利义务。

  第六条 互联网用户公众账号信息服务提供者应当按照“后台实名、前台自愿”的原则,对使用者进行基于组织机构代码、身份证件号码、移动电话号码等真实身份信息认证。使用者不提供真实身份信息的,不得为其提供信息发布服务。

  互联网用户公众账号信息服务提供者应当建立互联网用户公众账号信息服务使用者信用等级管理体系,根据信用等级提供相应服务。

  第七条 互联网用户公众账号信息服务提供者应当对使用者的账号信息、服务资质、服务范围等信息进行审核,分类加注标识,并向所在地省、自治区、直辖市互联网信息办公室分类备案。

  互联网用户公众账号信息服务提供者应当根据用户公众账号的注册主体、发布内容、账号订阅数、文章阅读量等建立数据库,对互联网用户公众账号实行分级分类管理,制定具体管理制度并向国家或省、自治区、直辖市互联网信息办公室备案。

  互联网用户公众账号信息服务提供者应当对同一主体在同一平台注册公众账号的数量合理设定上限;对同一主体在同一平台注册多个账号,或以集团、公司、联盟等形式运营多个账号的使用者,应要求其提供注册主体、业务范围、账号清单等基本信息,并向所在地省、自治区、直辖市互联网信息办公室备案。

  第八条 依法取得互联网新闻信息采编发布资质的互联网新闻信息服务提供者,可以通过开设的用户公众账号采编发布新闻信息。

  第九条 互联网用户公众账号信息服务提供者应当采取必要措施保护使用者个人信息安全,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。

  互联网用户公众账号信息服务提供者在使用者终止使用服务后,应当为其提供注销账号的服务。

  第十条 互联网用户公众账号信息服务使用者应当履行信息发布和运营安全管理责任,遵守新闻信息管理、知识产权保护、网络安全保护等法律法规和国家有关规定,维护网络传播秩序。

  第十一条 互联网用户公众账号信息服务使用者不得通过公众账号发布法律法规和国家有关规定禁止的信息内容。

  互联网用户公众账号信息服务提供者应加强对本平台公众账号的监测管理,发现有发布、传播违法信息的,应当立即采取消除等处置措施,防止传播扩散,保存有关记录,并向有关主管部门报告。

  第十二条 互联网用户公众账号信息服务提供者开发上线公众账号留言、跟帖、评论等互动功能,应当按有关规定进行安全评估。

  互联网用户公众账号信息服务提供者应当按照分级分类管理原则,对使用者开设的用户公众账号的留言、跟帖、评论等进行监督管理,并向使用者提供管理权限,为其对互动环节实施管理提供支持。

  互联网用户公众账号信息服务使用者应当对用户公众账号留言、跟帖、评论等互动环节进行实时管理。对管理不力、出现法律法规和国家有关规定禁止的信息内容的,互联网用户公众账号信息服务提供者应当依据用户协议限制或取消其留言、跟帖、评论等互动功能。

  第十三条 互联网用户公众账号信息服务提供者应当对违反法律法规、服务协议和平台公约的互联网用户公众账号,依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施,保存有关记录,并向有关主管部门报告。

  互联网用户公众账号信息服务提供者应当建立黑名单管理制度,对违法违约情节严重的公众账号及注册主体纳入黑名单,视情采取关闭账号、禁止重新注册等措施,保存有关记录,并向有关主管部门报告。

  第十四条 鼓励互联网行业组织指导推动互联网用户公众账号信息服务提供者、使用者制定行业公约,加强行业自律,履行社会责任。

  鼓励互联网行业组织建立多方参与的权威专业调解机制,协调解决行业纠纷。

  第十五条 互联网用户公众账号信息服务提供者和使用者应当接受社会公众、行业组织监督。

  互联网用户公众账号信息服务提供者应当设置便捷举报入口,健全投诉举报渠道,完善恶意举报甄别、举报受理反馈等机制,及时公正处理投诉举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。

  第十六条 互联网用户公众账号信息服务提供者和使用者应当配合有关主管部门依法进行的监督检查,并提供必要的技术支持和协助。

  互联网用户公众账号信息服务提供者应当记录互联网用户公众账号信息服务使用者发布内容和日志信息,并按规定留存不少于六个月。

  第十七条 互联网用户公众账号信息服务提供者和使用者违反本规定的,由有关部门依照相关法律法规处理。

  第十八条 本规定自2017年10月8日起施行。

第一条 为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。

  第二条 国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。

  本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。

  本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。

  第三条 互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得发布、传播法律法规禁止的信息内容。

  第四条 国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。

  国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。

  第五条 鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。

  第六条 互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。

  第七条 有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:

  (一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;

  (二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。

  国家互联网信息办公室适时发布新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。

  第八条 互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。

  按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。

  第九条 互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。

  第十条
报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。

  第十一条 互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:

  (一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);

  (二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);

  (三)产品(服务)配套的信息安全管理制度和技术保障措施;

  (四)自行组织开展并完成的安全评估报告;

  (五)其他开展安全评估所需的必要材料。

  第十二条 国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。

  国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。

  国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。

  第十三条
新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。

  服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。

  第十四条 组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。

  第十五条 国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。

  第十六条 互联网新闻信息服务提供者未按照本规定进行安全评估,违反《互联网新闻信息服务管理规定》的,由国家和地方互联网信息办公室依法予以处罚。

  第十七条 申请提供互联网新闻信息服务,报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估的,参照适用本规定。

  第十八条 本规定自2017年12月1日起施行。

互联网新闻信息服务单位内容管理

从业人员管理办法

第一章 总则

  第一条
为加强对互联网新闻信息服务单位内容管理从业人员(以下简称“从业人员”)的管理,维护从业人员和社会公众的合法权益,促进互联网新闻信息服务健康有序发展,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本办法。

第二条 本办法所称从业人员,是指互联网新闻信息服务单位中专门从事互联网新闻信息采编发布、转载和审核等内容管理工作的人员。

  第三条 本办法所称互联网新闻信息服务单位,是指依法取得互联网新闻信息服务许可,通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务的单位。

  第四条 国家互联网信息办公室负责全国互联网新闻信息服务单位从业人员教育培训工作的规划指导和从业情况的监督检查。

  地方互联网信息办公室依据职责负责本地区互联网新闻信息服务单位从业人员教育培训工作的规划指导和从业情况的监督检查。

第二章 从业人员行为规范

  第五条
从业人员应当遵守宪法、法律和行政法规,坚持正确政治方向和舆论导向,贯彻执行党和国家有关新闻舆论工作的方针政策,维护国家利益和公共利益,严格遵守互联网内容管理的法律法规和国家有关规定,促进形成积极健康、向上向善的网络文化,推动构建风清气正的网络空间。

  第六条 从业人员应当坚持马克思主义新闻观,坚持社会主义核心价值观,坚持以人民为中心的工作导向,树立群众观点,坚决抵制不良风气和低俗内容。

  第七条 从业人员应当恪守新闻职业道德,坚持新闻真实性原则,认真核实新闻信息来源,按规定转载国家规定范围内的单位发布的新闻信息,杜绝编发虚假互联网新闻信息,确保互联网新闻信息真实、准确、全面、客观。

第八条 从业人员不得从事有偿新闻活动。不得利用互联网新闻信息采编发布、转载和审核等工作便利从事广告、发行、赞助、中介等经营活动,谋取不正当利益。不得利用网络舆论监督等工作便利进行敲诈勒索、打击报复等活动。

第三章 从业人员教育培训

  第九条 国家互联网信息办公室组织开展对中央新闻单位(含其控股的单位)和中央新闻宣传部门主管的单位主办的互联网新闻信息服务单位从业人员的教育培训工作。

  省、自治区、直辖市互联网信息办公室组织开展对所在地地方新闻单位(含其控股的单位)和地方新闻宣传部门主管的单位、其他单位主办的互联网新闻信息服务单位,以及中央重点新闻网站地方频道从业人员的教育培训工作。

  省、自治区、直辖市互联网信息办公室应当按要求向国家互联网信息办公室报告组织开展的从业人员教育培训工作情况。

  第十条
互联网新闻信息服务单位应当建立完善从业人员教育培训制度,建立培训档案,加强培训管理,自行组织开展从业人员初任培训、专项培训、定期培训等工作,按要求组织从业人员参加国家和省、自治区、直辖市互联网信息办公室组织开展的教育培训工作。

第十一条 从业人员应当按要求参加国家和省、自治区、直辖市互联网信息办公室组织开展的教育培训,每三年不少于40个学时。

  从业人员应当接受所在互联网新闻信息服务单位自行组织开展的、每年不少于40个学时的教育培训,其中关于马克思主义新闻观的教育培训不少于10个学时。

第十二条 从业人员的教育培训内容应当包括马克思主义新闻观,党和国家关于网络安全和信息化、新闻舆论等工作的重要决策部署、政策措施和相关法律法规,从业人员职业道德规范等。

  第十三条 互联网新闻信息服务单位自行组织从业人员开展的教育培训工作,应当接受国家和地方互联网信息办公室的指导和监督。有关情况纳入国家和地方互联网信息办公室对该单位的监督检查内容。

第四章 从业人员监督管理

  第十四条 国家和地方互联网信息办公室指导互联网新闻信息服务单位建立健全从业人员准入、奖惩、考评、退出等制度。

  互联网新闻信息服务单位应当建立健全从业人员劳动人事制度,加强从业人员管理,按照国家和地方互联网信息办公室要求,定期报送从业人员有关信息,并及时报告从业人员变动情况。

第十五条
国家互联网信息办公室建立从业人员统一的管理信息系统,对从业人员基本信息、从业培训经历和奖惩情况等进行记录,并及时更新、调整。地方互联网信息办公室负责对属地从业人员建立管理信息系统,并将更新、调整情况及时上报上一级互联网信息办公室。

  国家和地方互联网信息办公室依法建立从业人员信用档案和黑名单。

第十六条
从业人员从事互联网新闻信息服务活动,存在违反本办法第五条至第八条规定,以及其他违反党和国家新闻舆论领域有关方针政策的行为的,国家或省、自治区、直辖市互联网信息办公室负责对其所在互联网新闻信息服务单位进行约谈,督促该单位对有关人员加强管理和教育培训。

  从业人员存在违法行为的,根据有关法律法规依法处理。构成犯罪的,依法追究刑事责任。

  互联网新闻信息服务单位发现从业人员存在违法行为的,应当依法依约对其给予警示、处分直至解除聘用合同或劳动合同,并在15个工作日内,按照分级管理、属地管理要求,将有关情况报告国家或省、自治区、直辖市互联网信息办公室。

  第十七条 国家和地方互联网信息办公室将互联网新闻信息服务单位从业人员的从业情况纳入对该单位的监督检查内容。

  互联网新闻信息服务单位对从业人员管理不力,造成严重后果,导致其不再符合许可条件的,由国家和地方互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条有关规定予以处理。

第十八条 从业人员提供互联网新闻信息服务,应当自觉接受社会监督。互联网新闻信息服务单位应当建立举报制度,畅通社会公众监督举报的渠道。

第五章 附则

  第十九条 互联网新闻信息服务单位的主管主办单位或宣传管理部门、新闻出版广电部门有从业人员教育培训、管理工作等方面安排和规定的,应当同时符合其规定。

  本办法所称从业人员,不包括互联网新闻信息服务单位中党务、人事、行政、后勤、经营、工程技术等非直接提供互联网新闻信息服务的人员。

  第二十条 本办法自2017年12月1日起施行。

第一条 为促进微博客信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

  第二条 在中华人民共和国境内从事微博客信息服务,应当遵守本规定。

  本规定所称微博客,是指基于使用者关注机制,主要以简短文字、图片、视频等形式实现信息传播、获取的社交网络服务。

  微博客服务提供者是指提供微博客平台服务的主体。微博客服务使用者是指使用微博客平台从事信息发布、互动交流等的行为主体。

  微博客信息服务是指提供微博客平台服务及使用微博客平台从事信息发布、传播等行为。

  第三条 国家互联网信息办公室负责全国微博客信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内的微博客信息服务的监督管理执法工作。

  第四条 微博客服务提供者应当依法取得法律法规规定的相关资质。

  向社会公众提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,并在许可范围内开展服务,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。

  第五条 微博客服务提供者应当发挥促进经济发展、服务社会大众的积极作用,弘扬社会主义核心价值观,传播先进文化,坚持正确舆论导向,倡导依法上网、文明上网、安全上网。

  第六条 微博客服务提供者应当落实信息内容安全管理主体责任,建立健全用户注册、信息发布审核、跟帖评论管理、应急处置、从业人员教育培训等制度及总编辑制度,具有安全可控的技术保障和防范措施,配备与服务规模相适应的管理人员。

  微博客服务提供者应当制定平台服务规则,与微博客服务使用者签订服务协议,明确双方权利、义务,要求微博客服务使用者遵守相关法律法规。

  第七条
微博客服务提供者应当按照“后台实名、前台自愿”的原则,对微博客服务使用者进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证、定期核验。微博客服务使用者不提供真实身份信息的,微博客服务提供者不得为其提供信息发布服务。

  微博客服务提供者应当保障微博客服务使用者的信息安全,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

  第八条 微博客服务使用者申请前台实名认证账号的,应当提供与认证信息相符的有效证明材料。

  境内具有组织机构特征的微博客服务使用者申请前台实名认证账号的,应当提供组织机构代码证、营业执照等有效证明材料。

  境外组织和机构申请前台实名认证账号的,应当提供驻华机构出具的有效证明材料。

  第九条 微博客服务提供者应当按照分级分类管理原则,根据微博客服务使用者主体类型、发布内容、关注者数量、信用等级等制定具体管理制度,提供相应服务,并向国家或省、自治区、直辖市互联网信息办公室备案。

  第十条
微博客服务提供者应当对申请前台实名认证账号的微博客服务使用者进行认证信息审核,并按照注册地向国家或省、自治区、直辖市互联网信息办公室分类备案。微博客服务使用者提供的证明材料与认证信息不相符的,微博客服务提供者不得为其提供前台实名认证服务。

  各级党政机关、企事业单位、人民团体和新闻媒体等组织机构对所开设的前台实名认证账号发布的信息内容及其跟帖评论负有管理责任。微博客服务提供者应当提供管理权限等必要支持。

  第十一条 微博客服务提供者应当建立健全辟谣机制,发现微博客服务使用者发布、传播谣言或不实信息,应当主动采取辟谣措施。

  第十二条 微博客服务提供者和微博客服务使用者不得利用微博客发布、传播法律法规禁止的信息内容。

  微博客服务提供者发现微博客服务使用者发布、传播法律法规禁止的信息内容,应当依法立即停止传输该信息、采取消除等处置措施,保存有关记录,并向有关主管部门报告。

  第十三条 微博客服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能,应当报国家或省、自治区、直辖市互联网信息办公室进行安全评估。

  第十四条 微博客服务提供者应当自觉接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。

  第十五条 国家鼓励和指导互联网行业组织建立健全微博客行业自律制度和行业准则,推动微博客行业信用等级评价和信用体系建设,督促微博客服务提供者依法提供服务、接受社会监督。

  第十六条 微博客服务提供者应当遵守国家相关法律法规规定,配合有关部门开展监督管理执法工作,并提供必要的技术支持和协助。

  微博客服务提供者应当记录微博客服务使用者日志信息,保存时间不少于六个月。

  第十七条 微博客服务提供者违反本规定的,由有关部门依照相关法律法规处理。

  第十八条 本规定自2018年3月20日起施行。

 第一条
为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。

  第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:

  (一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;

  (二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

  第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:

  (一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;

  (二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;

  (三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;

  (四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;

  (五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。

  第四条 互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。

  第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:

  (一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;

  (二)用户真实身份核验以及注册信息留存措施;

  (三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;

  (四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;

  (五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;

  (六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;

  (七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;

  (八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

  第六条 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。

  经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:

  (一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;

  (二)安全管理制度和技术措施落实情况及风险防控效果;

  (三)安全评估结论;

  (四)其他应当说明的相关情况。

  第七条 互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。

  具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。

  第八条 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。

  发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。

  发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。

  第九条 网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。

  网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。

  第十条 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。

  第十一条 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。

  第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。

  发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。

  第十三条
网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。

  第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。

  第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。

  第十六条 对于互联网新闻信息服务新技术新应用的安全评估,依照《互联网新闻信息服务新技术新应用安全评估管理规定》执行。

  第十七条 本规定自2018年11月30日起施行。


公共互联网网络安全威胁监测与处置办法
第一条为加强和规范公共互联网网络安全威胁监测与处置工作,消除安全隐患,制止攻击行为,避免危害发生,降低安全风险,维护网络秩序和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》等有关法律法规和工业和信息化部职责,制定本办法。
第二条本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件,包括:
(一)被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息,包括木马和僵尸网络控制端,钓鱼网站,钓鱼电子邮件、短信/彩信、即时通信等;
(二)被用于实施网络攻击的恶意程序,包括木马、病毒、僵尸程序、移动恶意程序等;
(三)网络服务和产品中存在的安全隐患,包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等;
(四)网络服务和产品已被非法入侵、非法控制的网络安全事件,包括主机受控、数据泄露、网页篡改等;
(五)其他威胁网络安全或存在安全隐患的情形。
第三条工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。
第四条网络安全威胁监测与处置工作坚持及时发现、科学认定、有效处置的原则。
第五条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作,明确责任部门、责任人和联系人,加强相关技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。
第六条相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后,属于本单位自身问题的,应当立即进行处置,涉及其他主体的,应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。
工业和信息化部建立网络安全威胁信息共享平台,统一汇集、存储、分析、通报、发布网络安全威胁信息;制定相关接口规范,与相关单位网络安全监测平台实现对接。国家计算机网络应急技术处理协调中心负责平台建设和运行维护工作。
第七条电信主管部门委托国家计算机网络应急技术处理协调中心、中国信息通信研究院等专业机构对相关单位提交的网络安全威胁信息进行认定,并提出处置建议。认定工作应当坚持科学严谨、公平公正、及时高效的原则。电信主管部门对参与认定工作的专业机构和人员加强管理与培训。
第八条电信主管部门对专业机构的认定和处置意见进行审查后,可以对网络安全威胁采取以下一项或多项处置措施:
(一)通知基础电信企业、互联网企业、域名注册管理和服务机构等,由其对恶意IP地址(或宽带接入账号)、恶意域名、恶意URL、恶意电子邮件账号或恶意手机号码等,采取停止服务或屏蔽等措施。
(二)通知网络服务提供者,由其清除本单位网络、系统或网站中存在的可能传播扩散的恶意程序。
(三)通知存在漏洞、后门或已经被非法入侵、控制、篡改的网络服务和产品的提供者,由其采取整改措施,消除安全隐患;对涉及党政机关和关键信息基础设施的,同时通报其上级主管单位和网信部门。
(四)其他可以消除、制止或控制网络安全威胁的技术措施。
电信主管部门的处置通知应当通过书面或可验证来源的电子方式等形式送达相关单位,紧急情况下,可先电话通知,后补书面通知。
第九条基础电信企业、互联网企业、域名注册管理和服务机构等应当为电信主管部门依法查询IP地址归属、域名注册等信息提供技术支持和协助,并按照电信主管部门的通知和时限要求采取相应处置措施,反馈处置结果。负责网络安全威胁认定的专业机构应当对相关处置情况进行验证。
第十条相关组织或个人对按照本办法第八条第(一)款采取的处置措施不服的,有权在10个工作日内向做出处置决定的电信主管部门进行申诉。相关电信主管部门接到申诉后应当及时组织核查,并在30个工作日内予以答复。
第十一条鼓励相关单位以行业自律或技术合作、技术服务等形式开展网络安全威胁监测与处置工作,并对处置行为负责,监测与处置结果应当及时报送电信主管部门。
第十二条基础电信企业、互联网企业、域名注册管理和服务机构等未按照电信主管部门通知要求采取网络安全威胁处置措施的,由电信主管部门依据《中华人民共和国网络安全法》第五十六条、第五十九条、第六十条、第六十八条等规定进行约谈或给予警告、罚款等行政处罚。
第十三条造成或可能造成严重社会危害或影响的公共互联网网络安全突发事件的监测与处置工作,按照国家和电信主管部门有关应急预案执行。
第十四条各省、自治区、直辖市通信管理局可参照本办法制定本行政区域网络安全威胁监测与处置办法实施细则。
第十五条本办法自2018年1月1日起实施。2009年4月13日印发的《木马和僵尸网络监测与处置机制》和2011年12月9日印发的《移动互联网恶意程序监测与处置机制》同时废止。

1. 总则

1.1编制目的

建立健全公共互联网网络安全突发事件应急组织体系和工作机制,提高公共互联网网络安全突发事件综合应对能力,确保及时有效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危害和损失,保证公共互联网持续稳定运行和数据安全,维护国家网络空间安全,保障经济运行和社会秩序。

1.2编制依据

《中华人民共和国突发事件应对法》《中华人民共和国网络安全法》《中华人民共和国电信条例》等法律法规和《国家突发公共事件总体应急预案》《国家网络安全事件应急预案》等相关规定。

1.3适用范围

本预案适用于面向社会提供服务的基础电信企业、域名注册管理和服务机构(以下简称域名机构)、互联网企业(含工业互联网平台企业)发生网络安全突发事件的应对工作。

本预案所称网络安全突发事件,是指突然发生的,由网络攻击、网络入侵、恶意程序等导致的,造成或可能造成严重社会危害或影响,需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。

本预案所称电信主管部门包括工业和信息化部及各省(自治区、直辖市)通信管理局。

工业和信息化部对国家重大活动期间网络安全突发事件应对工作另有规定的,从其规定。

1.4工作原则

公共互联网网络安全突发事件应急工作坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;落实基础电信企业、域名机构、互联网服务提供者的主体责任;充分发挥网络安全专业机构、网络安全企业和专家学者等各方面力量的作用。

2. 组织体系

2.1领导机构与职责

在中央网信办统筹协调下,工业和信息化部网络安全和信息化领导小组(以下简称部领导小组)统一领导公共互联网网络安全突发事件应急管理工作,负责特别重大公共互联网网络安全突发事件的统一指挥和协调。

2.2办事机构与职责

在中央网信办下设的国家网络安全应急办公室统筹协调下,在部领导小组统一领导下,工业和信息化部网络安全应急办公室(以下简称部应急办)负责公共互联网网络安全应急管理事务性工作;及时向部领导小组报告突发事件情况,提出特别重大网络安全突发事件应对措施建议;负责重大网络安全突发事件的统一指挥和协调;根据需要协调较大、一般网络安全突发事件应对工作。

部应急办具体工作由工业和信息化部网络安全管理局承担,有关单位明确负责人和联络员参与部应急办工作。

2.3其他相关单位职责

各省(自治区、直辖市)通信管理局负责组织、指挥、协调本行政区域相关单位开展公共互联网网络安全突发事件的预防、监测、报告和应急处置工作。

基础电信企业、域名机构、互联网企业负责本单位网络安全突发事件预防、监测、报告和应急处置工作,为其他单位的网络安全突发事件应对提供技术支持。

国家计算机网络应急技术处理协调中心、中国信息通信研究院、中国软件评测中心、国家工业信息安全发展研究中心(以下统称网络安全专业机构)负责监测、报告公共互联网网络安全突发事件和预警信息,为应急工作提供决策支持和技术支撑。

鼓励网络安全企业支撑参与公共互联网网络安全突发事件应对工作。

3. 事件分级

根据社会影响范围和危害程度,公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。

3.1特别重大事件

符合下列情形之一的,为特别重大网络安全事件:

(1)全国范围大量互联网用户无法正常上网;

(2).CN国家顶级域名系统解析效率大幅下降;

(3)1亿以上互联网用户信息泄露;

(4)网络病毒在全国范围大面积爆发;

(5)其他造成或可能造成特别重大危害或影响的网络安全事件。

3.2重大事件

符合下列情形之一的,为重大网络安全事件:

(1)多个省大量互联网用户无法正常上网;

(2)在全国范围有影响力的网站或平台访问出现严重异常;

(3)大型域名解析系统访问出现严重异常;

(4)1千万以上互联网用户信息泄露;

(5)网络病毒在多个省范围内大面积爆发;

(6)其他造成或可能造成重大危害或影响的网络安全事件。

3.3较大事件

符合下列情形之一的,为较大网络安全事件:

(1)1个省内大量互联网用户无法正常上网;

(2)在省内有影响力的网站或平台访问出现严重异常;

(3)1百万以上互联网用户信息泄露;

(4)网络病毒在1个省范围内大面积爆发;

(5)其他造成或可能造成较大危害或影响的网络安全事件。

3.4一般事件

符合下列情形之一的,为一般网络安全事件:

(1)1个地市大量互联网用户无法正常上网;

(2)10万以上互联网用户信息泄露;

(3)其他造成或可能造成一般危害或影响的网络安全事件。

4. 监测预警

4.1事件监测

基础电信企业、域名机构、互联网企业应当对本单位网络和系统的运行状况进行密切监测,一旦发生本预案规定的网络安全突发事件,应当立即通过电话等方式向部应急办和相关省(自治区、直辖市)通信管理局报告,不得迟报、谎报、瞒报、漏报。

网络安全专业机构、网络安全企业应当通过多种途径监测、收集已经发生的公共互联网网络安全突发事件信息,并及时向部应急办和相关省(自治区、直辖市)通信管理局报告。

报告突发事件信息时,应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议。

4.2预警监测

基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业应当通过多种途径监测、收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估;认为可能发生特别重大或重大突发事件的,应当立即向部应急办报告;认为可能发生较大或一般突发事件的,应当立即向相关省(自治区、直辖市)通信管理局报告。

4.3预警分级

建立公共互联网网络突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,公共互联网网络突发事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色标示,分别对应可能发生特别重大、重大、较大和一般网络安全突发事件。

4.4预警发布

部应急办和各省(自治区、直辖市)通信管理局应当及时汇总分析突发事件隐患和预警信息,必要时组织相关单位、专业技术人员、专家学者进行会商研判。

认为需要发布红色预警的,由部应急办报国家网络安全应急办公室统一发布(或转发国家网络安全应急办公室发布的红色预警),并报部领导小组;认为需要发布橙色预警的,由部应急办统一发布,并报国家网络安全应急办公室和部领导小组;认为需要发布黄色、蓝色预警的,相关省(自治区、直辖市)通信管理局可在本行政区域内发布,并报部应急办,同时通报地方相关部门。对达不到预警级别但又需要发布警示信息的,部应急办和各省(自治区、直辖市)通信管理局可以发布风险提示信息。

发布预警信息时,应当包括预警级别、起始时间、可能的影响范围和造成的危害、应采取的防范措施、时限要求和发布机关等,并公布咨询电话。面向社会发布预警信息可通过网站、短信、微信等多种形式。

4.5预警响应

4.5.1黄色、蓝色预警响应

发布黄色、蓝色预警后,相关省(自治区、直辖市)通信管理局应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:

(1)要求有关单位、机构和人员及时收集、报告有关信息,加强网络安全风险的监测;

(2)组织有关单位、机构和人员加强事态跟踪分析评估,密切关注事态发展,重要情况报部应急办;

(3)及时宣传避免、减轻危害的措施,公布咨询电话,并对相关信息的报道工作进行正确引导。

4.5.2红色、橙色预警响应

发布红色、橙色预警后,部应急办除采取黄色、蓝色预警响应措施外,还应当针对即将发生的网络安全突发事件的特点和可能造成的危害,采取下列措施:

(1)要求各相关单位实行24小时值班,相关人员保持通信联络畅通;

(2)组织研究制定防范措施和应急工作方案,协调调度各方资源,做好各项准备工作,重要情况报部领导小组;

(3)组织有关单位加强对重要网络、系统的网络安全防护;

(4)要求相关网络安全专业机构、网络安全企业进入待命状态,针对预警信息研究制定应对方案,检查应急设备、软件工具等,确保处于良好状态。

4.6预警解除

部应急办和省(自治区、直辖市)通信管理局发布预警后,应当根据事态发展,适时调整预警级别并按照权限重新发布;经研判不可能发生突发事件或风险已经解除的,应当及时宣布解除预警,并解除已经采取的有关措施。相关省(自治区、直辖市)通信管理局解除黄色、蓝色预警后,应及时向部应急办报告。

5. 应急处置

5.1响应分级

公共互联网网络安全突发事件应急响应分为四级:I级、II级、III级、IV级,分别对应已经发生的特别重大、重大、较大、一般事件的应急响应。

5.2先行处置

公共互联网网络安全突发事件发生后,事发单位在按照本预案规定立即向电信主管部门报告的同时,应当立即启动本单位应急预案,组织本单位应急队伍和工作人员采取应急处置措施,尽最大努力恢复网络和系统运行,尽可能减少对用户和社会的影响,同时注意保存网络攻击、网络入侵或网络病毒的证据。

5.3启动响应

I级响应根据国家有关决定或经部领导小组批准后启动,由部领导小组统一指挥、协调。

II级响应由部应急办决定启动,由部应急办统一指挥、协调。

III级、IV级响应由相关省(自治区、直辖市)通信管理局决定启动,并负责指挥、协调。

启动I级、II级响应后,部应急办立即将突发事件情况向国家网络安全应急办公室等报告;部应急办和相关单位进入应急状态,实行24小时值班,相关人员保持联络畅通,相关单位派员参加部应急办工作;视情在部应急办设立应急恢复、攻击溯源、影响评估、信息发布、跨部门协调、国际协调等工作组。

启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局应及时将相关情况报部应急办。

5.4事态跟踪

启动I级、II级响应后,事发单位和网络安全专业机构、网络安全企业应当持续加强监测,跟踪事态发展,检查影响范围,密切关注舆情,及时将事态发展变化、处置进展情况、相关舆情报部应急办。省(自治区、直辖市)通信管理局立即全面了解本行政区域受影响情况,并及时报部应急办。基础电信企业、域名机构、互联网企业立即了解自身网络和系统受影响情况,并及时报部应急办。

启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局组织相关单位加强事态跟踪研判。

5.5决策部署

启动I级、II级响应后,部领导小组或部应急办紧急召开会议,听取各相关方面情况汇报,研究紧急应对措施,对应急处置工作进行决策部署。

针对突发事件的类型、特点和原因,要求相关单位采取以下措施:带宽紧急扩容、控制攻击源、过滤攻击流量、修补漏洞、查杀病毒、关闭端口、启用备份数据、暂时关闭相关系统等;对大规模用户信息泄露事件,要求事发单位及时告知受影响的用户,并告知用户减轻危害的措施;防止发生次生、衍生事件的必要措施;其他可以控制和减轻危害的措施。

做好信息报送。及时向国家网络安全应急办公室等报告突发事件处置进展情况;视情况由部应急办向相关职能部门、相关行业主管部门通报突发事件有关情况,必要时向相关部门请求提供支援。视情况向外国政府部门通报有关情况并请求协助。

注重信息发布。及时向社会公众通告突发事件情况,宣传避免或减轻危害的措施,公布咨询电话,引导社会舆论。未经部应急办同意,各相关单位不得擅自向社会发布突发事件相关信息。

启动III级、IV级响应后,相关省(自治区、直辖市)通信管理局组织相关单位开展处置工作。处置中需要其他区域提供配合和支持的,接受请求的省(自治区、直辖市)通信管理局应当在权限范围内积极配合并提供必要的支持;必要时可报请部应急办予以协调。

5.6结束响应

突发事件的影响和危害得到控制或消除后,I级响应根据国家有关决定或经部领导小组批准后结束;II级响应由部应急办决定结束,并报部领导小组;III级、IV级响应由相关省(自治区、直辖市)通信管理局决定结束,并报部应急办。

6. 事后总结

6.1调查评估

公共互联网网络安全突发事件应急响应结束后,事发单位要及时调查突发事件的起因(包括直接原因和间接原因)、经过、责任,评估突发事件造成的影响和损失,总结突发事件防范和应急处置工作的经验教训,提出处理意见和改进措施,在应急响应结束后10个工作日内形成总结报告,报电信主管部门。电信主管部门汇总并研究后,在应急响应结束后20个工作日内形成报告,按程序上报。

6.2奖惩问责

工业和信息化部对网络安全突发事件应对工作中作出突出贡献的先进集体和个人给予表彰或奖励。

对不按照规定制定应急预案和组织开展演练,迟报、谎报、瞒报和漏报突发事件重要情况,或在预防、预警和应急工作中有其他失职、渎职行为的单位或个人,由电信主管部门给予约谈、通报或依法、依规给予问责或处分。基础电信企业有关情况纳入企业年度网络与信息安全责任考核。

7. 预防与应急准备

7.1预防保护

基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定,建立健全网络安全管理制度,采取网络安全防护技术措施,建设网络安全技术手段,定期进行网络安全检查和风险评估,及时消除隐患和风险。电信主管部门依法开展网络安全监督检查,指导督促相关单位消除安全隐患。

7.2应急演练

电信主管部门应当组织开展公共互联网网络安全突发事件应急演练,提高相关单位网络安全突发事件应对能力。基础电信企业、大型互联网企业、域名机构要积极参与电信主管部门组织的应急演练,并应每年组织开展一次本单位网络安全应急演练,应急演练情况要向电信主管部门报告。

7.3宣传培训

电信主管部门、网络安全专业机构组织开展网络安全应急相关法律法规、应急预案和基本知识的宣传教育和培训,提高相关企业和社会公众的网络安全意识和防护、应急能力。基础电信企业、域名机构、互联网企业要面向本单位员工加强网络安全应急宣传教育和培训。鼓励开展各种形式的网络安全竞赛。

7.4手段建设

工业和信息化部规划建设统一的公共互联网网络安全应急指挥平台,汇集、存储、分析有关突发事件的信息,开展应急指挥调度。指导基础电信企业、大型互联网企业、域名机构和网络安全专业机构等单位规划建设本单位突发事件信息系统,并与工业和信息化部应急指挥平台实现互联互通。

7.5 工具配备

基础电信企业、域名机构、互联网企业和网络安全专业机构应加强对木马查杀、漏洞检测、网络扫描、渗透测试等网络安全应急装备、工具的储备,及时调整、升级软件硬件工具。鼓励研制开发相关技术装备和工具。

8. 保障措施

8.1落实责任

各省(自治区、直辖市)通信管理局、基础电信企业、域名机构、互联网企业、网络安全专业机构要落实网络安全应急工作责任制,把责任落实到单位领导、具体部门、具体岗位和个人,建立健全本单位网络安全应急工作体制机制。

8.2经费保障

工业和信息化部为部应急办、各省(自治区、直辖市)通信管理局、网络安全专业机构开展公共互联网网络安全突发事件应对工作提供必要的经费保障。基础电信企业、域名机构、大型互联网企业应当安排专项资金,支持本单位网络安全应急队伍建设、手段建设、应急演练、应急培训等工作开展。

8.3队伍建设

网络安全专业机构要加强网络安全应急技术支撑队伍建设,不断提升网络安全突发事件预防保护、监测预警、应急处置、攻击溯源等能力。基础电信企业、域名机构、大型互联网企业要建立专门的网络安全应急队伍,提升本单位网络安全应急能力。支持网络安全企业提升应急支撑能力,促进网络安全应急产业发展。

8.4社会力量

建立工业和信息化部网络安全应急专家组,充分发挥专家在应急处置工作中的作用。从网络安全专业机构、相关企业、科研院所、高等学校中选拔网络安全技术人才,形成网络安全技术人才库。

8.5国际合作

工业和信息化部根据职责建立国际合作渠道,签订国际合作协议,必要时通过国际合作应对公共互联网网络安全突发事件。鼓励网络安全专业机构、基础电信企业、域名机构、互联网企业、网络安全企业开展网络安全国际交流与合作。

9. 附则

9.1预案管理

本预案原则上每年评估一次,根据实际情况由工业和信息化部适时进行修订。

各省(自治区、直辖市)通信管理局要根据本预案,结合实际制定或修订本行政区域公共互联网网络安全突发事件应急预案,并报工业和信息化部备案。

基础电信企业、域名机构、互联网企业要制定本单位公共互联网网络安全突发事件应急预案。基础电信企业、域名机构、大型互联网企业的应急预案要向电信主管部门备案。

9.2预案解释

本预案由工业和信息化部网络安全管理局负责解释。

9.3预案实施时间

本预案自印发之日起实施。2009年9月29日印发的《公共互联网网络安全应急预案》同时废止。


公安机关互联网安全监督检查规定


第一章 总  则


第一条 为规范公安机关互联网安全监督检查工作,预防网络违法犯罪,维护网络安全,保护公民、法人和其他组织合法权益,根据《中华人民共和国人民警察法》、《中华人民共和国网络安全法》等有关法律、行政法规,制定本规定。

第二条 本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。

第三条 互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。

上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。

第四条 公安机关开展互联网安全监督检查,应当遵循依法科学管理、保障和促进发展的方针,严格遵守法定权限和程序,不断改进执法方式,全面落实执法责任。

第五条 公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。

公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第六条 公安机关对互联网安全监督检查工作中发现的可能危害国家安全、公共安全、社会秩序的网络安全风险,应当及时通报有关主管部门和单位。

第七条 公安机关应当建立并落实互联网安全监督检查工作制度,自觉接受检查对象和人民群众的监督。


第二章 监督检查对象和内容


第八条 互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的,可以由其经常居住地公安机关实施。

第九条 公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对下列互联网服务提供者和联网使用单位开展监督检查:

(一)提供互联网接入、互联网数据中心、内容分发、域名服务的;

(二)提供互联网信息服务的;

(三)提供公共上网服务的;

(四)提供其他互联网服务的。

对开展前款规定的服务未满1年的,2年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的,应当开展重点监督检查。

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:

(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;

(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;

(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;

(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;

(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;

(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

第十一条 除本规定第十条所列内容外,公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:

(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;

(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;

(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;

(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;

(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;

(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。

第十二条 在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:

(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;

(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;

(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;

(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;

(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。

对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。


第三章 监督检查程序


第十三条 公安机关开展互联网安全监督检查,可以采取现场监督检查或者远程检测的方式进行。

第十四条 公安机关开展互联网安全现场监督检查时,人民警察不得少于2人,并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。

第十五条 公安机关开展互联网安全现场监督检查可以根据需要采取以下措施:

(一)进入营业场所、机房、工作场所;

(二)要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;

(三)查阅、复制与互联网安全监督检查事项相关的信息;

(四)查看网络与信息安全保护技术措施运行情况。

第十六条 公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞,可以开展远程检测。

公安机关开展远程检测,应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。

第十七条 公安机关开展现场监督检查或者远程检测,可以委托具有相应技术能力的网络安全服务机构提供技术支持。

网络安全服务机构及其工作人员对工作中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。公安机关应当严格监督网络安全服务机构落实网络安全管理与保密责任。

第十八条 公安机关开展现场监督检查,应当制作监督检查记录,并由开展监督检查的人民警察和监督检查对象的负责人或者网络安全管理人员签名。监督检查对象负责人或者网络安全管理人员对监督检查记录有异议的,应当允许其作出说明;拒绝签名的,人民警察应当在监督检查记录中注明。

公安机关开展远程检测,应当制作监督检查记录,并由2名以上开展监督检查的人民警察在监督检查记录上签名。

委托网络安全服务机构提供技术支持的,技术支持人员应当一并在监督检查记录上签名。

第十九条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位存在网络安全风险隐患,应当督促指导其采取措施消除风险隐患,并在监督检查记录上注明;发现有违法行为,但情节轻微或者未造成后果的,应当责令其限期整改。

监督检查对象在整改期限届满前认为已经整改完毕的,可以向公安机关书面提出提前复查申请。

公安机关应当自整改期限届满或者收到监督检查对象提前复查申请之日起3个工作日内,对整改情况进行复查,并在复查结束后3个工作日内反馈复查结果。

第二十条 监督检查过程中收集的资料、制作的各类文书等材料,应当按照规定立卷存档。


第四章 法律责任


第二十一条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有下列违法行为的,依法予以行政处罚:

(一)未制定并落实网络安全管理制度和操作规程,未确定网络安全负责人的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(二)未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(三)未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(四)在提供互联网信息发布、即时通讯等服务中,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,依照《中华人民共和国网络安全法》第六十一条的规定予以处罚;

(五)在公共信息服务中对法律、行政法规禁止发布或者传输的信息未依法或者不按照公安机关的要求采取停止传输、消除等处置措施、保存有关记录的,依照《中华人民共和国网络安全法》第六十八条或者第六十九条第一项的规定予以处罚;

(六)拒不为公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的,依照《中华人民共和国网络安全法》第六十九条第三项的规定予以处罚。

有前款第四至六项行为违反《中华人民共和国反恐怖主义法》规定的,依照《中华人民共和国反恐怖主义法》第八十四条或者第八十六条第一款的规定予以处罚。

第二十二条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚。

第二十三条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位在提供的互联网服务中设置恶意程序的,依照《中华人民共和国网络安全法》第六十条第一项的规定予以处罚。

第二十四条 互联网服务提供者和联网使用单位拒绝、阻碍公安机关实施互联网安全监督检查的,依照《中华人民共和国网络安全法》第六十九条第二项的规定予以处罚;拒不配合反恐怖主义工作的,依照《中华人民共和国反恐怖主义法》第九十一条或者第九十二条的规定予以处罚。

第二十五条 受公安机关委托提供技术支持的网络安全服务机构及其工作人员,从事非法侵入监督检查对象网络、干扰监督检查对象网络正常功能、窃取网络数据等危害网络安全的活动的,依照《中华人民共和国网络安全法》第六十三条的规定予以处罚;窃取或者以其他非法方式获取、非法出售或者非法向他人提供在工作中获悉的个人信息的,依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚,构成犯罪的,依法追究刑事责任。

前款规定的机构及人员侵犯监督检查对象的商业秘密,构成犯罪的,依法追究刑事责任。

第二十六条 公安机关及其工作人员在互联网安全监督检查工作中,玩忽职守、滥用职权、徇私舞弊的,对直接负责的主管人员和其他直接责任人员依法予以处分;构成犯罪的,依法追究刑事责任。

第二十七条 互联网服务提供者和联网使用单位违反本规定,构成违反治安管理行为的,依法予以治安管理处罚;构成犯罪的,依法追究刑事责任。


第五章 附  则


第二十八条 对互联网上网服务营业场所的监督检查,按照《互联网上网服务营业场所管理条例》的有关规定执行。

第二十九条 本规定自2018年11月1日起施行。


个人信息和重要数据出境安全评估办法

(征求意见稿)

  第一条 为保障个人信息和重要数据安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。

  第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。

  第三条 数据出境安全评估应遵循公正、客观、有效的原则,保障个人信息和重要数据安全,促进网络信息依法有序自由流动。

  第四条 个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。

  第五条 国家网信部门统筹协调数据出境安全评估工作,指导行业主管或监管部门组织开展数据出境安全评估。

  第六条 行业主管或监管部门负责本行业数据出境安全评估工作,定期组织开展本行业数据出境安全检查。

  第七条 网络运营者应在数据出境前,自行组织对数据出境进行安全评估,并对评估结果负责。

  第八条 数据出境安全评估应重点评估以下内容:

  (一)数据出境的必要性;

  (二)涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;

  (三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;

  (四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;

  (五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险;

  (六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;

  (七)其他需要评估的重要事项。

  第九条 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:

  (一)含有或累计含有50万人以上的个人信息;

  (二)数据量超过1000GB;

  (三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;

  (四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;

  (五)关键信息基础设施运营者向境外提供个人信息和重要数据;

  (六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。

  行业主管或监管部门不明确的,由国家网信部门组织评估。

  第十条 行业主管或监管部门组织的安全评估,应当于六十个工作日内完成,及时向网络运营者反馈安全评估情况,并报国家网信部门。

  第十一条 存在以下情况之一的,数据不得出境:

  (一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;

  (二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;

  (三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。

  第十二条 网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。

  当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。

  第十三条 对违反相关法律法规和本办法向境外提供数据的行为,任何个人和组织有权向国家网信部门、公安部门等有关部门举报。

  第十四条 违反本办法规定的,依照有关法律法规进行处罚。

  第十五条 我国政府与其他国家、地区签署的关于数据出境的协议,按照协议的规定执行。

  涉及国家秘密信息的按照相关规定执行。

  第十六条 其他个人和组织在中华人民共和国境内收集和产生的个人信息和重要数据出境的安全评估工作参照本办法执行。

  第十七条 本办法下列用语的含义:

  网络运营者,是指网络的所有者、管理者和网络服务提供者。

  数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。

  个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。

  第十八条 本办法自2017年 月 日起实施。

网络产品和服务安全审查办法

(试 行)

  第一条 为提高网络产品和服务安全可控水平,防范网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。

  第二条 关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。

  第三条 坚持企业承诺与社会监督相结合,第三方评价与政府持续监管相结合,实验室检测、现场检查、在线监测、背景调查相结合,对网络产品和服务及其供应链进行网络安全审查。

  第四条 网络安全审查重点审查网络产品和服务的安全性、可控性,主要包括:

  (一)产品和服务自身的安全风险,以及被非法控制、干扰和中断运行的风险;

  (二)产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险;

  (三)产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;

  (四)产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险;

  (五)其他可能危害国家安全的风险。

  第五条 国家互联网信息办公室会同有关部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。

  网络安全审查办公室具体组织实施网络安全审查。

  第六条 网络安全审查委员会聘请相关专家组成网络安全审查专家委员会,在第三方评价基础上,对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。

  第七条 国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。

  第八条 网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等,按程序确定审查对象,组织第三方机构、专家委员会对网络产品和服务进行网络安全审查,并发布或在一定范围内通报审查结果。

  第九条 金融、电信、能源、交通等重点行业和领域主管部门,根据国家网络安全审查工作要求,组织开展本行业、本领域网络产品和服务安全审查工作。

  第十条
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过网络安全审查。产品和服务是否影响国家安全由关键信息基础设施保护工作部门确定。

  第十一条 承担网络安全审查的第三方机构,应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。

  第十二条 网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。

  第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。

  第十三条 网络安全审查办公室不定期发布网络产品和服务安全评估报告。

  第十四条 网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。

  第十五条 违反本办法规定的,依照有关法律法规予以处理。

  第十六条 本办法自2017年6月1日起实施。

第一条 为提高关键信息基础设施安全可控水平,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。

第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。法律、行政法规另有规定的,依照其规定。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用、增强公正透明与保护知识产权相统一,坚持事前审查与持续监管、企业承诺与社会监督相结合,从产品和服务安全性、可能对国家安全带来的风险隐患等方面进行综合分析评判。

第四条 中央网络安全和信息化委员会统一领导网络安全审查工作。

第五条
国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责组织制定网络安全审查相关制度规定和工作程序、组织网络安全审查、监督审查决定的实施。

第六条 运营者采购网络产品和服务时,应预判产品和服务上线运行后带来的潜在安全风险,形成安全风险报告。可能导致以下情况的,应当向网络安全审查办公室申报网络安全审查:

(一)关键信息基础设施整体停止运转或主要功能不能正常运行;

(二)大量个人信息和重要数据泄露、丢失、毁损或出境;

(三)关键信息基础设施运行维护、技术支持、升级更新换代面临供应链安全威胁;

(四)其他严重危害关键信息基础设施安全的风险隐患。

第七条 对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。

第八条 运营者申报网络安全审查时,应当提交以下材料:

(一)申报书;

(二)本办法第六条中的安全风险报告;

(三)采购合同、协议等;

(四)网络安全审查办公室要求的其他材料。

第九条 网络安全审查办公室受理网络安全审查后,应在30个工作日内完成初步审查,情况复杂的可延长15个工作日。

第十条 网络安全审查重点评估采购活动可能带来的国家安全风险,主要考虑以下因素:

(一)对关键信息基础设施持续安全稳定运行的影响,包括关键信息基础设施被控制、被干扰和业务连续性被损害的可能性;

(二)导致大量个人信息和重要数据泄露、丢失、毁损、出境等的可能性;

(三)产品和服务的可控性、透明性以及供应链安全,包括因为政治、外交、贸易等非技术因素导致产品和服务供应中断的可能性;

(四)对国防军工、关键信息基础设施相关技术和产业的影响;

(五)产品和服务提供者遵守国家法律与行政法规情况,以及承诺承担的责任和义务;

(六)产品和服务提供者受外国政府资助、控制等情况;

(七)其他可能危害关键信息基础设施安全和国家安全的因素。

第十一条 网络安全审查办公室完成初步审查后,应形成审查结论建议,并送网络安全审查工作机制成员单位征求意见。审查结论建议包括通过审查、附条件通过审查、未通过审查三种情况。

网络安全审查工作机制成员单位应在15个工作日内书面回复意见。网络安全审查工作机制成员单位意见一致的,网络安全审查办公室以书面形式将审查结论反馈运营者;意见不一致的,进入特别审查程序并通知运营者。

第十二条 进入特别审查程序的,网络安全审查办公室应进一步听取相关部门、专业机构、专家意见,进行深入分析评估,形成审查结论建议,征求网络安全审查工作机制成员单位意见后,按程序报中央网络安全和信息化委员会批准。

第十三条 特别审查原则上应在45个工作日内完成,情况复杂的可以延长。

第十四条 网络安全审查办公室要求提供补充材料等,运营者应予以配合。审查时间从提交补充材料之日起计算。

运营者应对所提供材料的真实性负责。在审查过程中拒绝按要求提供材料或故意提供虚假材料的,按未通过安全审查处理。

第十五条 参与网络安全审查的人员对审查工作中获悉的信息等承担保密义务,不得用于审查以外的目的。

第十六条 运营者加强安全管理,督促产品和服务提供者认真履行网络安全审查中作出的承诺。

网络安全审查办公室通过抽查、接受举报等形式加强事中事后监管。

第十七条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

第十八条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

安全可控是指产品和服务提供者不得利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,不得利用用户对产品和服务的依赖性牟取不正当利益或者迫使用户更新换代等。

第十九条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务采购活动、信息技术服务活动,网络安全审查办公室按程序报中央网络安全和信息化委员会批准,依照本办法进行审查。

第二十条 涉及国家秘密信息的,依照国家有关保密规定执行。

第二十一条 本办法自 年 月 日起实施,《网络产品和服务安全审查办法(试行)》同时废止。

第一章 总 则

第一条 为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。

第二条 在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。

法律、行政法规另有规定的,从其规定。

第三条 国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。

第四条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。

第五条 在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。

地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

第六条
网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。

第二章 数据收集

第七条 网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。

第八条 收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:

(一)网络运营者基本信息;

(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式;

(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等;

(四)个人信息保存地点、期限及到期后的处理方式;

(五)向他人提供个人信息的规则,如果向他人提供的;

(六)个人信息安全保护策略等相关信息;

(七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;

(八)投诉、举报渠道和方法等;

(九)法律、行政法规规定的其他内容。

第九条 如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。

第十条 网络运营者应当严格遵守收集使用规则,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,同步调整。

第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。

第十二条 收集14周岁以下未成年人个人信息的,应当征得其监护人同意。

第十三条 网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。

第十四条 网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。

第十五条 网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。

第十六条 网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。

第十七条 网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。

数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。

第十八条 数据安全责任人履行下列职责:

(一)组织制定数据保护计划并督促落实;

(二)组织开展数据安全风险评估,督促整改安全隐患;

(三)按要求向有关部门和网信部门报告数据安全保护和事件处置情况;

(四)受理并处理用户投诉和举报。

网络运营者应为数据安全责任人提供必要的资源,保障其独立履行职责。

第三章 数据处理使用

第十九条 网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

第二十条 网络运营者保存个人信息不应超出收集使用规则中的保存期限,用户注销账号后应当及时删除其个人信息,经过处理无法关联到特定个人且不能复原(以下称匿名化处理)的除外。

第二十一条 网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

第二十二条 网络运营者不得违反收集使用规则使用个人信息。因业务需要,确需扩大个人信息使用范围的,应当征得个人信息主体同意。

第二十三条
网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。

网络运营者开展定向推送活动应遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为。

第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。

第二十五条 网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律,对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

第二十六条 网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时,应当及时响应,一旦核实立即停止传播并作删除处理。

第二十七条 网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:

(一)从合法公开渠道收集且不明显违背个人信息主体意愿;

(二)个人信息主体主动公开;

(三)经过匿名化处理;

(四)执法机关依法履行职责所必需;

(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。

第二十八条 网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。

向境外提供个人信息按有关规定执行。

第二十九条 境内用户访问境内互联网的,其流量不得被路由到境外。

第三十条 网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。

第三十一条 网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。法律、行政法规另有规定的,从其规定。

第三十二条 网络运营者分析利用所掌握的数据资源,发布市场预测、统计信息、个人和企业信用等信息,不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。

第四章 数据安全监督管理

第三十三条 网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要负责人,督促整改。

第三十四条 国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。

国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。

第三十五条 发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。

第三十六条 国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。

国务院有关主管部门对网络运营者提供的数据负有安全保护责任,不得用于与履行职责无关的用途。

第三十七条 网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。

第五章 附 则

第三十八条 本办法下列用语的含义:

(一)网络运营者,是指网络的所有者、管理者和网络服务提供者。

(二)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。

(三)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

(四)个人信息主体,是指个人信息所标识或关联到的自然人。

(五)重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

第三十九条 涉及国家秘密信息、密码使用的数据活动,按照国家有关规定执行。

第四十条 本办法自 年 月 日起施行。

儿童个人信息网络保护规定
(征求意见稿)

第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律制定本规定。

第二条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。

第三条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

第四条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。

第五条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或者指定专人负责儿童个人信息保护。适用于儿童的用户协议应当简洁、易懂。

第六条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和用户协议的约定收集儿童个人信息。

第七条 网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。

第八条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:

(一)收集、存储、使用、转移或者披露儿童个人信息的目的、范围、方式和期限;

(二)儿童个人信息的存储地点和到期后的处理方式;

(三)儿童个人信息的安全保障措施;

(四)个人信息保护专员或者其他联系方式;

(五)拒绝的后果和影响;

(六)其他应当告知的事项。

前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的明示同意。

第九条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必须的期限。

第十条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。

第十一条 网络运营者使用儿童个人信息,不得超出约定的目的和范围。因业务需要,确需超出目的和范围使用的,应当再次征得儿童监护人的明示同意。

第十二条
网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过个人信息保护专员或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

第十三条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。

前款规定的受委托方,应当履行以下义务:

(一)按照网络运营者的要求处理儿童个人信息;

(二)协助网络运营者回应儿童监护人提出的申请;

(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

(四)委托关系解除时及时删除儿童个人信息;

(五)不得转委托;

(六)其他依法应当履行的儿童个人信息保护义务。

第十四条 网络运营者和第三方共同使用儿童个人信息的,应当征得儿童监护人的明示同意。

第十五条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估,并征得儿童监护人的明示同意。

第十六条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定需要披露的除外。

第十七条 儿童或者其监护人发现网络运营者收集、存储的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

第十八条 儿童或者其监护人要求网络运营者删除其收集、存储、使用的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:

(一)网络运营者违反法律、行政法规的规定或者用户协议的约定收集、存储、使用、转移或者披露儿童个人信息的;

(二)超出目的范围或者必要期限收集、存储、使用、转移或者披露儿童个人信息的;

(三)儿童监护人撤回同意的;

(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。

第十九条 网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意:

(一)为维护国家安全或者公共利益;

(二)为消除儿童人身或者财产上的紧急危险;

(三)法律、行政法规规定的其他情形。

第二十条
网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

第二十一条 网络运营者应当对国家互联网信息办公室和其他有关部门依法开展的监督检查予以配合。

第二十二条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

第二十三条 任何组织和个人发现有违反本规定行为的,可以向国家互联网信息办公室和其他有关部门举报。

国家互联网信息办公室和其他有关部门收到举报的,应当依据职责进行处理。

第二十四条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由国家互联网信息办公室依法进行约谈,网络运营者应当按照约谈要求及时采取措施,进行整改,消除隐患。

第二十五条
违反本规定的,由国家互联网信息办公室和其他有关部门依据职责,根据《中华人民共和国网络安全法》第六十四条的规定责令改正,根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

第二十六条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

第二十七条 本规定所称儿童,是指不满十四周岁的未成年人。

第二十八条 本规定自2019年 月 日起施行。

个人信息出境安全评估办法

(征求意见稿)

  第一条 为保障数据跨境流动中的个人信息安全,根据《中华人民共和国网络安全法》等相关法律法规,制定本办法。

  第二条 网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息(以下称个人信息出境),应当按照本办法进行安全评估。经安全评估认定个人信息出境可能影响国家安全、损害公共利益,或者难以有效保障个人信息安全的,不得出境。

  国家关于个人信息出境另有规定的,从其规定。

  第三条 个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估。

  向不同的接收者提供个人信息应当分别申报安全评估,向同一接收者多次或连续提供个人信息无需多次评估。

  每2年或者个人信息出境目的、类型和境外保存时间发生变化时应当重新评估。

  第四条 网络运营者申报个人信息出境安全评估应当提供以下材料,并对材料的真实性、准确性负责:

  (一)申报书。

  (二)网络运营者与接收者签订的合同。

  (三)个人信息出境安全风险及安全保障措施分析报告。

  (四)国家网信部门要求提供的其他材料。

  第五条 省级网信部门在收到个人信息出境安全评估申报材料并核查其完备性后,应当组织专家或技术力量进行安全评估。安全评估应当在15个工作日内完成,情况复杂的可以适当延长。

  第六条 个人信息出境安全评估重点评估以下内容:

  (一)是否符合国家有关法律法规和政策规定。

  (二)合同条款是否能够充分保障个人信息主体合法权益。

  (三)合同能否得到有效执行。

  (四)网络运营者或接收者是否有损害个人信息主体合法权益的历史、是否发生过重大网络安全事件。

  (五)网络运营者获得个人信息是否合法、正当。

  (六)其他应当评估的内容。

  第七条 省级网信部门在将个人信息出境安全评估结论通报网络运营者的同时,将个人信息出境安全评估情况报国家网信部门。

  网络运营者对省级网信部门的个人信息出境安全评估结论存在异议的,可以向国家网信部门提出申诉。

  第八条 网络运营者应当建立个人信息出境记录并且至少保存5年,记录包括:

  (一)向境外提供个人信息的日期时间。

  (二)接收者的身份,包括但不限于接收者的名称、地址、联系方式等。

  (三)向境外提供的个人信息的类型及数量、敏感程度。

  (四)国家网信部门规定的其他内容。

  第九条 网络运营者应当每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门。

  发生较大数据安全事件时,应及时报所在地省级网信部门。

  第十条 省级网信部门应当定期组织检查运营者的个人信息出境记录等个人信息出境情况,重点检查合同规定义务的履行情况、是否存在违反国家规定或损害个人信息主体合法权益的行为等。

  发现损害个人信息主体合法权益、数据泄露安全事件等情况时,应当及时要求网络运营者整改,通过网络运营者督促接收者整改。

  第十一条 出现以下情况之一时,网信部门可以要求网络运营者暂停或终止向境外提供个人信息:

  (一)网络运营者或接收者发生较大数据泄露、数据滥用等事件。

  (二)个人信息主体不能或者难以维护个人合法权益。

  (三)网络运营者或接收者无力保障个人信息安全。

  第十二条 任何个人和组织有权对违反本办法规定向境外提供个人信息的行为,向省级以上网信部门或者相关部门举报。

  第十三条 网络运营者与个人信息接收者签订的合同或者其他有法律效力的文件(统称合同),应当明确:

  (一)个人信息出境的目的、类型、保存时限。

  (二)个人信息主体是合同中涉及个人信息主体权益的条款的受益人。

  (三)个人信息主体合法权益受到损害时,可以自行或者委托代理人向网络运营者或者接收者或者双方索赔,网络运营者或者接收者应当予以赔偿,除非证明没有责任。

  (四)接收者所在国家法律环境发生变化导致合同难以履行时,应当终止合同,或者重新进行安全评估。

  (五)合同的终止不能免除合同中涉及个人信息主体合法权益有关条款规定的网络运营者和接收者的责任和义务,除非接收者已经销毁了接收到的个人信息或作了匿名化处理。

  (六)双方约定的其他内容。

  第十四条 合同应当明确网络运营者承担以下责任和义务:

  (一)以电子邮件、即时通信、信函、传真等方式告知个人信息主体网络运营者和接收者的基本情况,以及向境外提供个人信息的目的、类型和保存时间。

  (二)应个人信息主体的请求,提供本合同的副本。

  (三)应请求向接收者转达个人信息主体诉求,包括向接收者索赔;个人信息主体不能从接收者获得赔偿时,先行赔付。

  第十五条 合同应当明确接收者承担以下责任和义务:

  (一)为个人信息主体提供访问其个人信息的途径,个人信息主体要求更正或者删除其个人信息时,应在合理的代价和时限内予以响应、更正或者删除。

  (二)按照合同约定的目的使用个人信息,个人信息的境外保存期限不得超出合同约定的时限。

  (三)确认签署合同及履行合同义务不会违背接收者所在国家的法律要求,当接收者所在国家和地区法律环境发生变化可能影响合同执行时,应当及时通知网络运营者,并通过网络运营者报告网络运营者所在地省级网信部门。

  第十六条 合同应当明确接收者不得将接收到的个人信息传输给第三方,除非满足以下条件:

  (一)网络运营者已经通过电子邮件、即时通信、信函、传真等方式将个人信息传输给第三方的目的、第三方的身份和国别,以及传输的个人信息类型、第三方保留时限等通知个人信息主体。

  (二)接收者承诺在个人信息主体请求停止向第三方传输时,停止传输并要求第三方销毁已经接收到的个人信息。

  (三)涉及到个人敏感信息时,已征得个人信息主体同意。

  (四)因向第三方传输个人信息对个人信息主体合法权益带来损害时,网络运营者同意先行承担赔付责任。

  第十七条 网络运营者关于个人信息出境安全风险及安全保障措施分析报告应当至少包括:

  (一)网络运营者和接收者的背景、规模、业务、财务、信誉、网络安全能力等。

  (二)个人信息出境计划,包括持续时间、涉及的个人信息主体数量、向境外提供的个人信息规模、个人信息出境后是否会再向第三方传输等。

  (三)个人信息出境风险分析和保障个人信息安全和个人信息主体合法权益的措施。

  第十八条 网络运营者违反本办法规定向境外提供个人信息的,依照有关法律法规进行处理。

  第十九条 我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对个人信息出境有明确规定的,适用其规定,我国声明保留的条款除外。

  第二十条 境外机构经营活动中,通过互联网等收集境内用户个人信息,应当在境内通过法定代表人或者机构履行本办法中网络运营者的责任和义务。

  第二十一条 本办法下列用语的含义:

  (一)网络运营者,是指网络的所有者、管理者和网络服务提供者。

  (二)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  (三)个人敏感信息,是指一旦被泄露、窃取、篡改、非法使用可能危害个人信息主体人身、财产安全,或导致个人信息主体名誉、身心健康受到损害等的个人信息。

  第二十二条 本办法自 年 月 日起实施。

互联网信息服务严重失信主体信用信息管理办法

(征求意见稿)

  第一条 为促进互联网信息服务领域信用建设,保障公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《社会信用体系建设规划纲要(2014-2020年)》《国务院关于建立完善守信联合激励和失信联合惩戒制度
加快推进社会诚信建设的指导意见》《国务院办公厅关于加快推进社会信用体系建设 构建以信用为基础的新型监管机制的指导意见》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本办法。

  第二条 网信部门会同有关部门对互联网信息服务严重失信主体实施信用黑名单管理和失信联合惩戒,适用本办法。

  本办法所称互联网信息服务严重失信主体,是指在中华人民共和国境内提供、使用互联网信息服务中存在严重失信行为的相关主体。失信主体为法人的,适用对象为该法人及其法定代表人、对其严重失信行为直接负责的主管人员和其他直接责任人员;失信主体为非法人组织的,适用对象为该非法人组织及其主要负责人、对其严重失信行为直接负责的主管人员和其他直接责任人员;失信主体为自然人的,适用对象为自然人本人。

  未成年人不适用本办法。

  第三条 本办法所称网信部门是指国家互联网信息办公室和省、自治区、直辖市互联网信息办公室。

  国家互联网信息办公室负责归集由网信部门认定的全国各类互联网信息服务严重失信主体黑名单和重点关注名单,并同有关部门共享、面向社会发布。

  受到国家互联网信息办公室行政处罚或多次约谈、整改不力的严重失信主体黑名单和重点关注名单,由国家互联网信息办公室负责认定、共享、发布、管理。

  省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内互联网信息服务严重失信主体黑名单和重点关注名单的认定和管理,并上报国家互联网信息办公室统一共享、发布。

  第四条 互联网信息服务提供者和使用者有下列情形之一的,网信部门认定为互联网信息服务领域严重失信行为,行为主体列入互联网信息服务严重失信主体黑名单:

  (一)因违反互联网信息内容管理相关法律法规,被网信部门单独或会同有关部门处以关闭网站、吊销相关业务许可证或者吊销营业执照、撤销许可或者取消备案的行政处罚的;

  (二)因违反互联网信息内容管理相关法律法规,被网信部门单独或会同有关部门处以上述第一项以外的行政处罚且拒不履行或限期未按要求履行的;

  (三)通过网络编造、发布、传播违背社会公德、商业道德、诚实信用等信息,或者故意为编造、发布、传播违背社会公德、商业道德、诚实信用等信息提供技术、设备支持或者其他服务,严重破坏网络空间传播秩序,损害社会公共利益和人民群众合法权益,造成恶劣社会影响的;

  (四)违反法律、行政法规规定,失信情节严重的其他情形。

  第五条 对在互联网信息服务领域发生较重失信行为或多次发生轻微失信行为但尚未达到黑名单认定标准的相关失信主体,列入重点关注名单:

  (一)因违反互联网信息内容管理相关法律法规,被网信部门单独或会同有关部门处以本办法第四条第一项以外的行政处罚的;

  (二)自发生违规失信行为起一年内被网信部门约谈三次(含三次)以上的;

  (三)具有其他违规失信情节、有必要予以重点关注的。

  第六条
网信部门依据本办法拟认定的黑名单,应由国家互联网信息办公室归集后按照社会信用体系建设有关规定在“信用中国”网站履行公示程序,并接受相关单位或个人提出异议。公示时间为15个工作日,公示无异议的名单信息将按照有关规定进行共享、发布。

  第七条 国家互联网信息办公室应将所认定、归集的黑名单和重点关注名单报送同级社会信用体系建设牵头单位,并共享至全国信用信息共享平台。

  省、自治区、直辖市互联网信息办公室将认定的黑名单和重点关注名单报送国家互联网信息办公室统一共享或发布后,报送同级社会信用体系建设牵头单位共享。

  第八条
网信部门依照本办法的规定,按照依法公开、公平公正、从严把关、保护权益原则,对黑名单信息予以发布。国家互联网信息办公室会同有关部门通过“信用中国”网站发布黑名单信息,通过国家企业信用信息公示系统发布相关涉企信息。重点关注名单有选择地对外公开。

  第九条 发布互联网信息服务严重失信主体黑名单信息一般包括以下内容:

  (一)相关主体的基本信息,主体为法人的,包括法人名称、统一社会信用代码,法定代表人、严重失信行为的直接负责主管人员和其他直接责任人员姓名及其身份证号码(隐去出生年、月、日号码段,下同)等;主体为非法人组织的,包括非法人组织名称、统一社会信用代码,非法人组织主要负责人、严重失信行为的直接负责主管人员和其他直接责任人员姓名及其身份证号码等;主体为自然人的,包括自然人姓名及其身份证号码等;

  (二)列入名单的事由,包括严重失信行为的事实、认定部门、认定依据、认定日期等;

  (三)网信部门认为应当发布的其他信息。

  第十条 涉及国家秘密、商业秘密、个人隐私或可能危及国家安全、公共安全、经济安全和社会稳定的相关信息依法不予公开。确需公开的涉及国家秘密、商业秘密、个人隐私的信息,发布前应进行必要的技术处理。

  对依法不能公开的失信主体名单信息,通报失信主体所在单位或有关主管部门予以处理。

  第十一条 互联网信息服务严重失信主体的信用修复、黑名单和重点关注名单的退出,参照社会信用体系建设有关规定执行。

  黑名单有效期一般为3年,黑名单信息发布时限与其有效期一致。黑名单信息自生效之日起满3年且在有效期内未发生违规失信行为的,或者失信主体被列入黑名单的事实依据被撤销的,停止发布并撤出原发布渠道。对以暴力、威胁方法妨碍、抗拒履行行政处罚决定情节严重或在黑名单有效期内再次发生本办法第四条、第五条规定的失信行为的,可延长1至3年。对确定退出黑名单的失信主体信息,应在5个工作日内予以移除。

  黑名单主体通过主动纠正失信行为、消除不良社会影响等方式修复信用,并按照社会信用体系建设有关规定履行相关义务,向认定部门申请退出黑名单的,经认定部门同意,可提前退出黑名单。

  第十二条
有关单位和个人对被列入黑名单有异议的,可向认定部门提交异议申请并提供证明材料。认定部门应在收到异议申请后15个工作日内反馈是否受理,并自受理之日起20个工作日内将核实结果书面反馈当事人。经核实不应列入黑名单的,应在5个工作日内予以移除。

  第十三条
网信部门按照社会信用体系建设有关规定同有关部门签署联合惩戒合作备忘录,对纳入失信黑名单的互联网信息服务提供者和使用者依法依规实施限制从事互联网信息服务、网上行为限制、行业禁入等惩戒措施。按照本办法第十一条、第十二条规定退出黑名单的,不再作为联合惩戒对象。

  互联网信息服务提供者和使用者被电信、公安、文化和旅游、人民银行、市场监管、广播电视、新闻出版等部门和司法机关认定为严重失信的,由有关认定部门依法依规处理。对被其他管理部门列入失信黑名单的互联网信息服务提供者和使用者,网信部门依照社会信用体系建设有关规定配合实施联合惩戒措施。

  第十四条
互联网信息服务提供者应按照有关规定建立网络平台用户信用档案,其中严重失信用户名单(含真实注册身份信息)应定期上报属地网信部门,经网信部门按照本办法第四条、第五条标准核实认定的,根据情形列入严重失信主体黑名单或重点关注名单。

  第十五条 鼓励行业协会商会、信用服务机构配合网信部门依法依规收集互联网信息服务领域严重失信行为有关信息。

  第十六条 本办法自 年 月 日起施行。此前发布的规定与本办法不一致的,依照本办法执行。

信息安全技术 云计算服务安全能力评估方法
信息安全技术 移动智能终端个人信息保护技术要求
信息安全技术 个人信息安全规范
信息安全技术 大数据服务安全能力要求
信息安全技术 移动终端安全保护技术要求
信息安全技术 移动互联网应用服务器安全技术要求
信息安全技术 电子政务移动办公系统安全技术规范
信息安全技术 网站身份和系统安全要求与评估方法
信息安全技术 网站可信标识技术指南
信息安全技术 金融信息服务安全规范
信息安全技术 信息系统安全运维管理指南
信息安全技术 网络安全等级保护测试评估技术指南
信息安全技术 网络安全监测基本要求与实施指南
信息安全技术 网络安全威胁信息格式规范
信息安全技术 网络安全等级保护测评过程指南
信息安全技术 公民网络电子身份标识安全技术要求 第3部分:验证服务消息及其处理规则
信息安全技术 智能卡安全技术要求(EAL4+)
信息安全技术 物联网感知终端应用安全技术要求
信息安全技术 网络安全等级保护安全管理中心技术要求
信息安全技术 网络安全等级保护测评机构能力要求和评估规范
信息安全技术 IPSec VPN技术规范
信息安全技术 电子邮件系统安全技术要求
信息安全技术 物联网感知层网关安全技术要求
信息安全技术 物联网数据传输安全技术要求
信息安全技术 网络攻击定义及描述规范
信息安全技术 射频识别系统密码应用技术要求 第1部分:密码安全保护框架及安全级别
信息安全技术 物联网安全参考模型及通用要求
信息安全技术 网络安全等级保护测评要求
信息安全技术 网络安全等级保护基本要求
信息安全技术 网络安全等级保护安全设计技术要求

信息安全技术 网站可信评估指标(征求意见稿)
信息安全技术 移动应用网络安全评价规范(征求意见稿)
信息安全技术 金融信息保护规范(征求意见稿)
信息安全技术 大数据安全管理指南(征求意见稿)
信息安全技术 公民网络电子身份标识格式规范(征求意见稿)
信息安全技术 数据交易服务安全要求(征求意见稿)
信息安全技术 数据出境安全评估指南(征求意见稿)
信息安全技术 网络安全等级保护定级指南(征求意见稿)
信息安全技术 信息安全风险评估规范(征求意见稿)
信息安全技术 个人信息安全影响评估指南(征求意见稿)
信息安全技术 恶意软件事件预防和处理指南(征求意见稿)
信息安全技术 关键信息基础设施网络安全保护要求(征求意见稿)
信息技术 安全技术 网络安全 第1部分:综述和概念(征求意见稿)
信息技术 安全技术 网络安全 第2部分:网络安全设计和实现指南(征求意见稿)
信息安全技术 网络安全漏洞分类分级指南(征求意见稿)
信息技术 安全技术 信息安全管理体系审核指南(征求意见稿)
信息安全技术 政务信息共享 数据安全技术要求(征求意见稿)
信息安全技术 个人信息安全规范(征求意见稿)
信息安全技术 个人信息安全工程指南(征求意见稿)