最高能的集中在這個部分:(五)關於保障網路信息安全
一是,確立決定規定的網路身份管理制度即網路實名制,以保障網路信息的可追溯(草案第二十條)。
二是,明確網路運營者處置違法信息的義務,規定:網路運營者發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告(草案第四十條)。
三是規定,發送電子信息、提供應用軟體不得含有法律、行政法規禁止發布或者傳輸的信息(草案第四十一條)。
四是規定,為維護國家安全和偵查犯罪的需要,偵查機關依照法律規定,可以要求網路運營者提供必要的支持與協助(草案第二十三條)。
五是,賦予有關主管部門處置違法信息、阻斷違法信息傳播的權力(草案第四十三條)。
--------------
8月24日補充:
評論里爭執的挺熱鬧。其實單就此法律條文來說並無不妥之處,反而還是一種進步:起碼封停或牆之的時候,會有個明確的罪名,不至於一切盡在不言中。
但是,具體到執行層面,所謂「法律、行政法規禁止發布或傳輸的信息」包含范圍太過廣泛和模糊。任何一個國家部門領導拍拍腦袋發個文,就可以算在禁止信息之內。因此,除了為相關部門採取某些措施提供法律依據外,對約束市場行為和網路秩序並沒有什麼卵用。
此外,這些條文當中本應具有、但我從沒指望能看到的是對公權力本身的約束。每一部法律的制定,都是公權力的一次擴張。管得越來越多、越來越嚴,但思維模式陳腐不堪、宣傳手段生硬粗暴、具體執行漏洞百出,最後益民之舉都變成撈錢的借口,更別說那些在條文制定時就偷偷留下的口子。結果,每多一部法律的制定,就多一次對法律尊嚴的損害。還有多少人相信我們是「執法必嚴、違法必究」?印象更深的反而是法官大人們的「自由心證」吧。
掌握金錢、權利或地位的人對法律條文有自由取捨的權利,普通P民只有遵守的義務,這就是現實。多說無益。
http://www.hu.com/question/32017184/answer/60195583
來源:知乎
⑵ 專家解讀2019年《網路安全法》草案
一、重大歷史進步
網路安全不是今天才重要,網路安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務,可見決心之巨。只是網路安全立法之路實在艱辛,時國務院信息辦審時度勢,由信息安全條例角度入手,並連續數年推動其列入國務院法制辦二類立法計劃,之後未能再進一步。2008年後,國務院信息辦職能整體劃轉至工業和信息化部,有關方面意識到制定條例未必就比人大立法容易,且國務院行政法規無力調整現行上位法的法律規定,遂決定返回制定信息安全法。然而國民經濟和社會發展頗多領域亟待立法,國家立法資源有限,每個部門允許提出的立法建議屈指可數。工業和信息化部既要考慮信息化立法,還要考慮工業立法,一半指標已不得用,而信息化方向還有一部歷史更為悠久的電信法望眼欲穿,信息安全法終究連個隊都沒排上。期間,人大建議、政協提案不計其數,社會公眾翹首以盼,均無果。
此次草案公開徵求意見,表明這項工作進入了實質性立法程序,這是一個重大歷史進步。歡欣鼓舞之所在,不是因為草案具體內容,而源於徵求意見本身的象徵意義。時至今日,我們對網路安全立法不是搞清楚、看明白了,而是問題更多、更復雜了,很多觀點分歧可能更大了,網路安全立法難度不降反升,但突破恰恰在此時。中央網路安全和信息化領導小組成立後,中央領導同志英明決策,切實將網路安全提升到了國家安全和發展的高度,不但作出「網路強國」的全局戰略部署,更扎實推進各項工作取得積極進展。網路安全宣傳周、網路空間安全一級學科等,無一不歷經多年論證而蹉跎,今朝方開花結果。
誠然,網路安全立法工作十分艱巨,草案肯定有這樣那樣的問題,但今天的一小步,是國家網路安全工作的一大步。我們應該寬容它、呵護它,使其不斷成熟、更加科學,成長為護佑國家網路安全和信息化發展的參天大樹。
二、彰顯國家意志,確立基本原則
草案在「總則」和「網路安全戰略、規劃與促進」部分提出的宣示性條款遠較其他法律為多,還設立一條倡導性條款(即「倡導誠實守信、健康文明的網路行為」)。作為我國網路安全的基本法,這些「軟性」法律規定確有必要,其意在於宣示國家網路安全工作的基本原則,明確建設網路安全保障體系的主要舉措,從而為整體推進保障體系建設提供法律依據。
一是堅持網路安全和信息化發展並重原則。網路安全和信息化是一體之兩翼,驅動之雙輪,要堅持以安全保發展、以發展促安全,不能簡單地通過不上網、不共享、不互聯互通來保安全,或者片面強調建專網。要努力實現技術創新和體制機制創新,不斷增強維護網路安全的新思路、新方法、新舉措、新本領,而不是因噎廢食、自甘落後。
二是提出了網路空間主權。網路空間主權是國家主權在網路空間的體現和延伸,網路空間主權原則是我國維護國家安全和利益、參與網路空間國際合作所堅持的重要原則。草案雖未作解釋,且一筆帶過,然猶有石破天驚之意。
三是開展國際合作。網路安全是全球面臨的共同問題,中國對廣泛開展國際合作持積極態度,合作重點包括但不限於網路治理、技術與標准、打擊違法犯罪等,目標是推動構建和平、安全、開放、合作的網路空間。
四是建立統籌協調、分工負責的網路安全管理體制。多年 實踐 和各國經驗表明,網路安全工作離不開統籌協調。隨著中央網路安全和信息化領導小組的成立,有必要通過立法增強領導小組及其辦公室的權威性。草案規定,國家網信部門負責統籌協調網路安全工作和相關監督管理工作。具體包括,對監測預警和信息通報、網路安全應急、關鍵信息基礎設施安全防護等跨部門工作,由網信部門統籌協調;對網路安全審查、重要數據跨境流動安全評估等新出現的綜合性管理工作,由網信部門會同國務院有關部門制定辦法或組織實施。由此,政府向解決分散、多頭和重復管理邁出了關鍵一步。
五是加強行業自律。要充分發揮行業組織作用,指導行業組織成員加強網路安全防護,促進行業健康發展。
六是強化網路安全頂層設計。頂層設計至關重要,首先是要制定網路安全國家戰略,對外宣示主張,對內指導工作;其次要由行業主管部門、其他有關部門制定重點行業、重點領域網路安全規劃,確保戰略落地,確保這些行業和領域的網路安全工作有目標、有任務、有舉措、有監督。
七是建立和完善網路安全標准體系,充分發揮標准在網路安全建設中的指導性、規范性作用。
八是加大財政投入,以加快產業發展,深化技術研發,提升網路安全創新能力。
九是做好宣傳教育和 人才 培養工作。首先,要開展經常性的網路安全宣傳教育;其次,要通過學歷教育和在職培訓,採取多種方式培養網路安全人才。
三、關鍵信息基礎設施保護工作進入正軌
關鍵信息基礎設施保護(CIIP)是各國的通行舉措。雖然關鍵基礎設施保護(CIP)涉及物理設施安全,與前者不完全一致,但兩者在多數情況下已可以混用。CIIP/CIP一直是各國網路安全戰略的重點,有的國家甚至以CIIP/CIP戰略代指國家網路安全戰略。我們國家在2003年時已經要求「重點保障基礎信息網路和重要信息系統安全」,並且在實踐中明確了基礎信息網路是廣電網、電信網、互聯網,重要信息系統是銀行、證券、保險、民航、鐵路、電力、海關、稅務等行業的系統,即俗稱的「2+8」,相關保護工作也常抓不懈。但整體而言,我們與國外差距很大,已是國家安全的軟肋,草案為此設立了「關鍵信息基礎設施的運行安全」一節。
一是擴展了保護范圍。縱觀世界各國,凡是已經開展了網路安全建設的國家,其關鍵基礎設施的范圍幾乎都遠超過我們,例如美國有17類,而我們則有很多重要系統尚未納入保護視野。草案首次明確了關鍵信息基礎設施范圍,包括基礎信息網路、重點行業信息系統、公共服務領域重要信息系統、軍事網路、地市級以上國家機關政務網路、用戶數量眾多的網路服務商系統。最後一類系統中很多由私企運營,運營者可能對其列為國家關鍵信息基礎設施不適應,但當網路服務商的用戶達到一定規模時,其安全已經不再是企業自身問題,而成為一個公共問題、社會問題甚至國家安全問題,理應承擔更多責任。一些國外機構可能會拿這個做文章,但事實上美國的關鍵基礎設施有87%受私營企業控制。
二是明確了保護要求。等級保護是1994年《計算機信息系統安全保護條例》提出的制度,其對全國各類信息系統提出了分五個等級的通用安全要求。恰恰因為通用,這個要求只能是基線(即基本要求),其有必要但並不足夠,特別是不足以反映應用模式日趨復雜的異構系統的動態防護需求。此外,保護關鍵信息基礎設施涉及很多工作,不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單,還包括一系列的管理工作和公共平台建設,不能由一項制度取代其他制度,理應對此建立專門制度。草案提出,關鍵信息基礎設施安全保護辦法由國務院制定。對於某些重點要求,如網路安全審查、風險評估等,草案則在具體條款中進行了明確。
三是劃定了保護責任。草案規定了關鍵信息基礎設施運營者的安全保護義務,解決了其保護責任模糊不明的問題。他們有必要從國家安全形度承擔防護責任,但這個責任畢竟是有界限的。大家希望知道做到什麼程度就無責了,也關心自身的權利如何保障。對很多重點行業的信息技術或網路安全部門來說,這不僅僅是免責的需要,也是推動工作的需要,因為這些內設機構如果沒有強制性依據,很難得到業務部門的配合。此外,以前我國重點行業的網路安全監管責任也很不明確。似乎誰都可以進入機房檢查,但誰都不用負責,重點行業往往無所適從、疲於應付。為此,草案明確了行業主管部門的監督指導職責,這是一個重要進步。考慮到關鍵信息基礎設施保護的確涉及多個部門,草案授權國家網信部門統籌協調有關部門,建立協作機制。特別是在網路安全檢查工作中,要杜絕某個部門前腳走,另一部門後腳來的現象。
四、兼具綜合法與專門法的特點
網路安全包含的內容太多,當前需要立法規范的事項也很多,於是就有了綜合法與專門法的爭議。一個基本事實是,目前世界上鮮見網路安全的綜合法,有名的美國《計算機安全法》實際上針對的是美國聯邦政府信息系統安全保護,近幾年美國國會討論的《網路安全法》或《網路安全增強法》則主要解決關鍵基礎設施的安全保護問題。
作為第一部網路安全法(《電子簽名法》不應該計算在內),草案首先要體現綜合性,其側重點應該在以下四個方面:
一是要明確部門、企業、社會組織和個人的權利、義務和責任。
二是規定國家網路安全工作的基本原則和理念。
三是將成熟的政策規定和措施上升為法律,為政府部門的工作提供法律依據,體現依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實施網路通信管制等);其次,這些規定和措施往往經過了實踐檢驗,部門間爭議較小,有利於提高立法效率。
四是建立國家網路安全的一系列基本制度、形成制度框架,這些基本制度帶有全局性、基礎性,是推動基礎性工作、夯實基礎能力所必需。
此外,為了突出實用性,草案還應部分體現專門法的特點。這應從三個方面去考慮:
一是實施重點防護,對關鍵信息基礎設施、網路信息內容等重點安全關注予以優先考慮。
二是防範重大威脅。例如,信息系統安全受控於人是我們面臨的心腹大患,斯諾登事件使我們進一步看清風險所在,這就要對供應鏈安全進行規范。
三是對普遍性、長期存在的社會訴求予以響應。
總體看,草案比較好地處理了綜合法與專門法的關系問題,但個別條款還是過於糾結細枝末節(如網路運營者的分項安全保護義務不必展開),或細致到了足可取代部分專門法的地步(如個人信息保護應制定專門法,原有條款似可刪減後將重心轉向規范信息內容安全)。除了個人信息外,草案沒有突出對公民個人權益的更多保護,如對危害網路安全行為的舉報並不是為了解決公民作為受害者「報案無門」的困窘,這不能不說是小的遺憾。
五、「網路安全」的定義還可以更為妥帖
「網路」和「網路安全」是「網路安全法」的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色,效果有雲泥之別。近年的工作中,我們用過「信息安全」,也用過「網路安全」,學者們各抒己見,一些部門也喜歡朝向有利於自身職能的角度去解釋,這些自不待言。但中央網路安全和信息化領導小組成立後,已經基本將其統一為「網路安全」。當然,國安委還是使用「信息安全」,《國家安全法》使用的是「網路與信息安全」,但這些已不會造成工作上的障礙。
只是這個「網路安全」實是「CyberSecurity」之譯,非「NetworkSecurity」。這裡面的「網路」其實指的是「網路空間」(Cyberspace)。因此,當草案試圖從「網路空間」的內涵上去解釋「網路」時,便挑戰了大眾的科技常識底線,且出現了「網路是指網路和系統」的尷尬。當然,如果就這么用下去,倒也自成一脈,但草案轉眼就去使用狹義的「網路」了,如「建設、運營、維護和使用網路」、「網路基礎設施」、「網路數據」、「網路接入」等,這里都是指的「network」。由此,草案中頻繁出現自己與自己打架的情況。
而草案中的「網路安全」定義也需修改。現有定義不但丟掉了信息內容安全,更是與「網路空間主權」沒有關聯。
解決這個問題的途徑是,網路就是網路,不要讓網路去包括信息系統。即,自始至終使用傳統意義上的「Network」概念。對於「網路安全」,則按「網路空間安全」去解釋即可。
另外,草案的起草堅持問題導向,對一些確有必要,但尚缺乏實踐經驗的制度安排做出原則性規定。這一處理十分務實、有益,但對於什麼是「原則性規定」則要仔細琢磨。
⑶ 用戶信息超百萬公司國外上市須審查 ,審查主要考慮哪些因素
國家互聯網信息辦公室7月10日就《網路安全審查辦橋灶手法(修訂草案徵求意見稿)》公開徵求意見,要求掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。
網路安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險,主要考慮包括國外上市後關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險等因素。
公眾可通過以下途徑和方式提出反饋意見
1、登錄中華人民共和國司法部中國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主敏嫌菜單的「立法意見徵集」欄目提出意見。
2、通過電子郵件方式發送至:[email protected]。
3、通過信函方式將意見寄至:北京市西城區車公庄大街11號國家互聯網信息辦公室網路安全協調局,郵編100044,並在信封上註明「網路安全審查辦法徵求意見」。
以上內辯世容參考中證網-國家網信辦擬規定:掌握超百萬用戶信息運營者赴國外上市須審查
⑷ 用戶信息超百萬公司國外上市須審查 ,將從哪些方面進行審查
用戶信息超百萬公司國外上市需審查的內容,是基於《網路安全審查辦法》草案提出的。因為該草案還沒有正式實行,所以就目前而言,我們還不清楚官方會以何種形式對相應的上市公司進行安全審查。不過這個節點時間也很有趣,在滴滴被進行信息安全審查後該法案就公諸於世。因此輿論普遍認為,國家有關部門對信息安全的重視程度肯定會更上一層樓。
這三個方面基本上就構成了審查的主要內容,只要我們國家經過審查以後,認為提供給國外政府的信息確實是安全、合法的,也是有限度合理的,只有這樣,相應的公司才能夠獲得去國外上市的正式認可。歸根結底,這還是出於我們國家信息安全的角度來考慮的。
⑸ 制定《網路安全審查辦法(修訂草案徵求意見稿)》的主要目的是什麼
7月10日,大成律師事務所合夥人孫鵬程向時代周報記者表示,制定該《辦法》最主要目的、最主要變化是將《數據安全法》的安全審查制度落地,將數據安全審查包含在網路安全審查中。
同日,資深投行人士王驥躍告訴時代周報記者,《辦法》提出「掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查」,其中「掌握超過100萬用戶個人信息」的限定基本上涵蓋了所有具備上市融資能力和需求的互聯網公司,影響深遠。
王驥躍表示,「國外上市」不包括港股,因此部分互聯網公司在選擇上市地時,將優先考慮港股而非美股。
掌握超百萬用戶信息者需經審查:
7月10日,國家互聯網信息辦公室發布了《網路安全審查辦法(修訂草案徵求意見稿)》(下稱《辦法》)。有關關鍵信息基礎設施運營者和數據處理者(以下均稱「運營者」)赴國外上市的條款引發關注。
《辦法》指出,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查,承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或必要的技術支持服務等。
以上內容參考 金融界-科技巨頭國外上市管控收緊:掌握超百萬用戶信息者需經審查,港股市場或受益
⑹ 網路安全法草案要求企業應該怎麼做
第二十一條 國家實行網路安全等級保護制度。
網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
⑺ 用戶信息超百萬公司國外上市須審查,將帶來什麼影響
用戶信息超百萬公司國外上市須審查,相關企業海外上市門檻將會提高,有助於防範網路安全風險事件發生。
7月10日,國家互聯網信息辦公室發布關於《網路安全審查辦法(修訂草案徵求意見稿)》(以下簡稱意見稿)公開徵求意見的通知。
據意見稿第二條,關鍵信息基礎設施運營者(以下簡稱運營者)采購網路產品和服務,數據處理者(以下稱運營者)開展數據處理活動,影響或可能影響國家安全的,應當按照本辦法進行網路安全審查。意見稿第六條規定,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。
運營者申報網路安全審查,應當提交以下材料
一、申報書;
二、關於影響或可能影響國家安全的分析報告;
三、采購文件、協議、擬簽訂的合同或擬提交的IPO材料等;
四、網路安全審查工作需要的其他材料。
以上內容參考澎湃新聞-國家網信辦擬規定:掌握超百萬用戶信息運營者赴國外上市須審查
⑻ 七部門進駐滴滴開展網路安全審查
2021年7月10日,國家互聯網信息辦公室發布了《網路安全審查辦法(修訂草案徵求意見稿)》公開徵求意見的通知。
《網路安全審查辦法》修訂草案徵求意見稿中頻繁指出,網路安全產品、服務、數據處理活動以及國外上市,影響或者可能影響國家安全的,應當向網路安全審查辦公室申報網路安全審查。本次向社會公開徵求意見,凸顯出相關部門的又一重視,無疑給關鍵信息基礎設施運營者施加一項重任和使命。
近年,隨著相關網路安全法律法規的修訂、完善和升級,相關部門對該領域的要求也越加嚴格,只有立法受到了監管,才能給企業帶來管制和約束,從而為網路安全建設發力。
1、網路安全建設投入將提升
《網路安全審查辦法》及最近的網路審查事件,會讓企業加大對網路安全建設的投入,依據目前修訂草案徵求意見稿的條例,來完善和整改自有業務的缺陷,以防網路安全審查辦公室的「突然襲擊」。這對於自認為沒有攻擊價值的企業明顯是個很好的管制,不再吝嗇投入預算於網路安全工作。
2、網路安全再次引起重視
辦法公開徵求意見,讓網路安全再次得到足夠的關注和重視。滴滴早已活躍在大眾視野中,很少有人不知道該應用,「滴滴出行」通報被下架整改,大范圍普及了網路安全的重要性及不可逆向而行。此外,也給相關處罰企業和其他廣大企業一個提醒,不要在法律邊緣試探。
3、網路安全監管勢在必行
防範網路攻擊固然重要,但也別忘了維護國家安全利益。近期被網路安全審查的企業,「滴滴出行」、「運滿滿」、「貨車幫」、「BOSS直聘」均於近期在美國上市。本次徵求意見稿中也指出,掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。由此可見,網路安全監管勢在必行。
《國家安全法》、《網路安全法》、《數據安全法》等相關網路安全法律法規,都將時刻約束著企業,企業的系統、網站或APP等業務支撐平台都應依據監管部門的要求來做好相關工作。企業做到自身內部審查,發現安全工作的不足並及時整改,在網路安全審查面前才能從容應對。
⑼ 中華人民共和國網路安全法的草案全文
第一章總則
第二章網路安全戰略、規劃與促進
第三章網路運行安全
第一節一般規定
第二節關鍵信息基礎設施的運行安全
第四章網路信息安全
第五章監測預警與應急處置
第六章法律責任
第七章附則 第一章總則
第一條為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
第二條在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法。
第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設,鼓勵網路技術創新和應用,建立健全網路安全保障體系,提高網路安全保護能力。
第四條國家倡導誠實守信、健康文明的網路行為,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。
第五條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間。
第六條國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院工業和信息化、公安部門和其他有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方人民政府有關部門的網路安全保護和監督管理職責按照國家有關規定確定。
第七條建設、運營網路或者通過網路提供服務,應當依照法律、法規的規定和國家標准、行業標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範違法犯罪活動,維護網路數據的完整性、保密性和可用性。
第八條網路相關行業組織按照章程,加強行業自律,制定網路安全行為規范,指導會員依法加強網路安全保護,提高網路安全保護水平,促進行業健康發展。
第九條國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法和法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、宣揚恐怖主義和極端主義、宣揚民族仇恨和民族歧視、傳播淫穢色情信息、侮辱誹謗他人、擾亂社會秩序、損害公共利益、侵害他人知識產權和其他合法權益等活動。
第十條任何個人和組織都有權對危害網路安全的行為向網信、工業和信息化、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。
第二章網路安全戰略、規劃與促進
第十一條國家制定網路安全戰略,明確保障網路安全的基本要求和主要目標,提出完善網路安全保障體系、提高網路安全保護能力、促進網路安全技術和產業發展、推進全社會共同參與維護網路安全的政策措施等。
第十二條國務院通信、廣播電視、能源、交通、水利、金融等行業的主管部門和國務院其他有關部門應當依據國家網路安全戰略,編制關系國家安全、國計民生的重點行業、重要領域的網路安全規劃,並組織實施。
第十三條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業參與網路安全國家標准、行業標準的制定,並鼓勵企業制定嚴於國家標准、行業標準的企業標准。
第十四條國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發、應用和推廣,保護網路技術知識產權,支持科研機構、高等院校和企業參與國家網路安全技術創新項目。
第十五條各級人民政府及其有關部門應當組織開展經常性的網路安全宣傳教育,並指導、督促有關單位做好網路安全宣傳教育工作。
大眾傳播媒介應當有針對性地面向社會進行網路安全宣傳教育。
第十六條國家支持企業和高等院校、職業學校等教育培訓機構開展網路安全相關教育與培訓,採取多種方式培養網路安全技術人才,促進網路安全技術人才交流。
第三章網路運行安全
第一節一般規定
第十七條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路入侵等危害網路安全行為的技術措施;
(三)採取記錄、跟蹤網路運行狀態,監測、記錄網路安全事件的技術措施,並按照規定留存網路日誌;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
網路安全等級保護的具體辦法由國務院規定。
第十八條網路產品、服務應當符合相關國家標准、行業標准。網路產品、服務的提供者不得設置惡意程序;其產品、服務具有收集用戶信息功能的,應當向用戶明示並取得同意;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當及時向用戶告知並採取補救措施。
網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期間內,不得終止提供安全維護。
第十九條網路關鍵設備和網路安全專用產品應當按照相關國家標准、行業標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重復認證、檢測。
第二十條網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布服務,應當在與用戶簽訂協議或者確認提供服務時,要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
國家支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證技術之間的互認、通用。
第二十一條網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路入侵、網路攻擊等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十二條任何個人和組織不得從事入侵他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供從事入侵網路、干擾網路正常功能、竊取網路數據等危害網路安全活動的工具和製作方法;不得為他人實施危害網路安全的活動提供技術支持、廣告推廣、支付結算等幫助。
第二十三條為國家安全和偵查犯罪的需要,偵查機關依照法律規定,可以要求網路運營者提供必要的支持與協助。
第二十四條國家支持網路運營者之間開展網路安全信息收集、分析、通報和應急處置等方面的合作,提高網路運營者的安全保障能力。
有關行業組織建立健全本行業的網路安全保護規范和協作機制,加強對網路安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網路安全風險。
第二節關鍵信息基礎設施的運行安全
第二十五條國家對提供公共通信、廣播電視傳輸等服務的基礎信息網路,能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統,軍事網路,設區的市級以上國家機關等政務網路,用戶數量眾多的網路服務提供者所有或者管理的網路和系統(以下稱關鍵信息基礎設施),實行重點保護。關鍵信息基礎設施安全保護辦法由國務院制定。
第二十六條國務院通信、廣播電視、能源、交通、水利、金融等行業的主管部門和國務院其他有關部門(以下稱負責關鍵信息基礎設施安全保護工作的部門)按照國務院規定的職責,分別負責指導和監督關鍵信息基礎設施運行安全保護工作。
第二十七條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,並保證安全技術措施同步規劃、同步建設、同步使用。
第二十八條除本法第十七條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網路安全教育、技術培訓和技能考核;
(三)對重要系統和資料庫進行容災備份;
(四)制定網路安全事件應急預案,並定期組織演練;
(五)法律、行政法規規定的其他義務。
第二十九條關鍵信息基礎設施的運營者采購網路產品和服務,應當與提供者簽訂安全保密協議,明確安全和保密義務與責任。
第三十條關鍵信息基礎設施的運營者采購網路產品或者服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的安全審查。具體辦法由國務院規定。
第三十一條關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲在運營中收集和產生的公民個人信息等重要數據;因業務需要,確需在境外存儲或者向境外的組織或者個人提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。法律、行政法規另有規定的從其規定。
第三十二條關鍵信息基礎設施的運營者應當自行或者委託專業機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並對檢測評估情況及採取的改進措施提出網路安全報告,報送相關負責關鍵信息基礎設施安全保護工作的部門。
第三十三條國家網信部門應當統籌協調有關部門,建立協作機制。對關鍵信息基礎設施的安全保護可以採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託專業檢驗檢測機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高關鍵信息基礎設施應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施運營者以及網路安全服務機構、有關研究機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與恢復等,提供技術支持與協助。
第四章網路信息安全
第三十四條網路運營者應當建立健全用戶信息保護制度,加強對用戶個人信息、隱私和商業秘密的保護。
第三十五條網路運營者收集、使用公民個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的公民個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用公民個人信息,並應當依照法律、行政法規的規定或者與用戶的約定,處理其保存的公民個人信息。
網路運營者收集、使用公民個人信息,應當公開其收集、使用規則。
第三十六條網路運營者對其收集的公民個人信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。
網路運營者應當採取技術措施和其他必要措施,確保公民個人信息安全,防止其收集的公民個人信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即採取補救措施,告知可能受到影響的用戶,並按照規定向有關主管部門報告。
第三十七條公民發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。
第三十八條任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息,不得出售或者非法向他人提供公民個人信息。
第三十九條依法負有網路安全監督管理職責的部門,必須對在履行職責中知悉的公民個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
第四十條網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
第四十一條電子信息發送者發送的電子信息,應用軟體提供者提供的應用軟體不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。
電子信息發送服務提供者和應用軟體下載服務提供者,應當履行安全管理義務,發現電子信息發送者、應用軟體提供者有前款規定行為的,應當停止提供服務,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。
第四十二條網路運營者應當建立網路信息安全投訴、舉報平台,公布投訴、舉報方式等信息,及時受理並處理有關網路信息安全的投訴和舉報。
第四十三條國家網信部門和有關部門依法履行網路安全監督管理職責,發現法律、行政法規禁止發布或者傳輸的信息的,應當要求網路運營者停止傳輸,採取消除等處置措施,保存有關記錄;對來源於中華人民共和國境外的上述信息,應當通知有關機構採取技術措施和其他必要措施阻斷信息傳播。
第五章監測預警與應急處置
第四十四條國家建立網路安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網路安全信息收集、分析和通報工作,按照規定統一發布網路安全監測預警信息。
第四十五條負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網路安全監測預警和信息通報制度,並按照規定報送網路安全監測預警信息。
第四十六條國家網信部門協調有關部門建立健全網路安全應急工作機制,制定網路安全事件應急預案,並定期組織演練。
負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網路安全事件應急預案,並定期組織演練。
網路安全事件應急預案應當按照事件發生後的危害程度、影響范圍等因素對網路安全事件進行分級,並規定相應的應急處置措施。
第四十七條網路安全事件即將發生或者發生的可能性增大時,縣級以上人民政府有關部門應當依照有關法律、行政法規和國務院規定的許可權和程序,發布相應級別的預警信息,並根據即將發生的事件的特點和可能造成的危害,採取下列措施:
(一)要求有關部門、機構和人員及時收集、報告有關信息,加強對網路安全事件發生、發展情況的監測;
(二)組織有關部門、機構和專業人員,對網路安全事件信息進行分析評估,預測事件發生的可能性、影響范圍和危害程度;
(三)向社會發布與公眾有關的預測信息和分析評估結果;
(四)按照規定向社會發布可能受到網路安全事件危害的警告,發布避免、減輕危害的措施。
第四十八條發生網路安全事件,縣級以上人民政府有關部門應當立即啟動網路安全事件應急預案,對網路安全事件進行調查和評估,要求網路運營者採取技術措施和其他必要措施,消除安全隱患,防止危害擴大,並及時向社會發布與公眾有關的警示信息。
第四十九條因網路安全事件,發生突發事件或者安全生產事故的,應當依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律的規定處置。
第五十條因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,國務院或者省、自治區、直轄市人民政府經國務院批准,可以在部分地區對網路通信採取限制等臨時措施。
第六章法律責任
第五十一條網路運營者不履行本法第十七條、第二十一條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款;對直接負責的主管人員處五千元以上五萬元以下罰款。
關鍵信息基礎設施的運營者不履行本法第二十七條至第二十九條、第三十二條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款。
第五十二條網路產品、服務的提供者,電子信息發送者,應用軟體提供者違反本法規定,有下列行為之一的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處五萬元以上五十萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款:
(一)設置惡意程序的;
(二)其產品、服務具有收集用戶信息功能,未向用戶明示並取得同意的;
(三)對其產品、服務存在的安全缺陷、漏洞等風險未及時向用戶告知並採取補救措施的;
(四)擅自終止為其產品、服務提供安全維護的。
第五十三條網路運營者違反本法規定,未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關服務的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第五十四條網路運營者違反本法規定,侵害公民個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處五十萬元以下罰款;情節嚴重的,可以責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
違反本法規定,竊取或者以其他方式非法獲取、出售或者非法向他人提供公民個人信息,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處五十萬元以下罰款。
第五十五條關鍵信息基礎設施的運營者違反本法第三十條規定,使用未經安全審查或者安全審查未通過的網路產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第五十六條關鍵信息基礎設施的運營者違反本法規定,在境外存儲網路數據,或者未經安全評估向境外的組織或者個人提供網路數據的,由有關主管部門責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第五十七條網路運營者違反本法規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、採取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處二萬元以上二十萬元以下罰款。
電子信息發送服務提供者、應用軟體下載服務提供者,未履行本法規定的安全義務的,依照前款規定處罰。
第五十八條發布或者傳輸法律、行政法規禁止發布或者傳輸的信息的,依照有關法律、行政法規的規定處罰。
第五十九條網路運營者違反本法規定,有下列行為之一的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款;對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款:
(一)未將網路安全風險、網路安全事件向有關主管部門報告的;
(二)拒絕、阻礙有關部門依法實施的監督檢查的;
(三)拒不提供必要的支持與協助的。
第六十條有本法第二十二條規定的危害網路安全的行為,尚不構成犯罪的,或者有其他違反本法規定的行為,構成違反治安管理行為的,依法給予治安管理處罰。
第六十一條國家機關政務網路的運營者不履行本法規定的網路安全保護義務的,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
第六十二條依法負有網路安全監督管理職責的部門的工作人員,玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予行政處分。
第六十三條違反本法規定,給他人造成損害的,依法承擔民事責任。
第六十四條違反本法規定,構成犯罪的,依法追究刑事責任。
第七章附則
第六十五條本法下列用語的含義:
(一)網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的網路和系統。
(二)網路安全,是指通過採取必要措施,防範對網路的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路存儲、傳輸、處理信息的完整性、保密性、可用性的能力。
(三)網路運營者,是指網路的所有者、管理者以及利用他人所有或者管理的網路提供相關服務的網路服務提供者,包括基礎電信運營者、網路信息服務提供者、重要信息系統運營者等。
(四)網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。
(五)公民個人信息,是指以電子或者其他方式記錄的公民的姓名、出生日期、身份證件號碼、個人生物識別信息、職業、住址、電話號碼等個人身份信息,以及其他能夠單獨或者與其他信息結合能夠識別公民個人身份的各種信息。
第六十六條存儲、處理涉及國家秘密信息的網路的運行安全保護,除應當遵守本法外,還應當遵守保密法律、行政法規的規定。
第六十七條軍事網路和信息安全保護辦法,由中央軍事委員會制定。
第六十八條本法自年月日起施行。