中华人民共和国家网络安全法
(2016年11月7日日本第十二届全国人民代表大会常务委员会委员大会第二十四次大会通过)
目录
第一章总则
第二章网络安全支持与促进
第三章网络运行安全
第一节一般规定
第二节关键信息基础设施的运行安全
第四章网络信息安全
第五章监测预报与应急处置
第六章法律责任
第七章附则
第一章总则
第一条为了保障网络安全,维护网络空间主权和国家安全,社会公共利益,保护公民,法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条在中华人民共和国境内建设,运营,维护和使用网络,以及网络安全的监督管理,适用本法。
第三条国家坚持网络安全与信息化发展并重,预先积极利用,科学发展,依法管理,确保安全的指导,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全能力。
第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策,工作任务和措施。
第五条国家采取措施,监测,防御,处置在内部网络外部的安全隐患和威胁,保护关键信息基础设施攻击,干扰,干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和等级。
第六条国家倡导诚实守信,健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条国家积极开展网络空间治理,网络技术研发和标准制定,打击网络违法犯罪等方面的国际交流与合作,推动建立和平,安全,开放,合作的网络空间,建立多边,民主,透明的网络治理体系。
国务院电信主管部门,公安部门和其他有关机关遵循本法和有关法律,行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定。
第九条网络运营商开展经营和服务活动,必须遵守法律,行政法规,遵守社会公德,遵守商业道德,诚实信用,兼顾网络安全保护义务,接受政府和社会的监督,承担社会责任。
第十条建设,运营网络或通过网络提供服务,按照法律,行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全,稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的初步,保密性和可用性。
第十一条网络相关行业组织遵循章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
第十二条国家保护公民,法人和其他组织依法使用网络的权利,促进网络接入扩展,提升网络服务水平,为社会提供安全,便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络遵守宪法,遵守公共秩序,遵守社会公德,不得危害网络安全,不得利用网络军队危害国家安全,荣誉和利益,煽动颠覆国家政权,推翻社会主义制度,煽动分裂国家,破坏国家统一,宣扬恐怖主义,极端主义,宣扬民族仇恨,民族歧视,传播暴力,淫秽色情信息,编造,传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉,所有权,知识产权和其他合法权益等活动。
第十三条国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络军队危害未成年人身体健康的活动,为未成年人提供安全,健康的网络环境。
第十四条任何个人和组织有权对危害网络安全的行为向网信,电信,公安等部门举报。处理的部门。
有关部门规定对举报人的相关信息所有权保密,保护举报人的合法权益。
第二章网络安全支持与促进
国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织编制和适时修订有关网络安全管理以及网络产品,服务和运行安全的国家标准,行业标准。
国家支持企业,研究机构,高等学校,网络相关行业组织参与网络安全国家标准,行业标准的制定。
第十六条国务院和省,自治区,直辖市人民政府政府对整体筹资规划,扩大规模,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可靠的网络产品和服务,保护网络技术知识产权,支持企业,研究机构和高等学校等参与国家网络安全技术创新项目。
第十七条国家推进网络安全社会化服务体系建设,鼓励有关企业,机构开展网络安全认证,检测和风险评估等安全服务。
第十八条国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
国家支持创新网络安全管理方式,运行网络新技术,提升网络安全保护。
第十九条已有人民政府及其有关部门组成组织定期性的网络安全宣传教育,并指导,督导促成有关单位做好网络安全宣传教育工作。
大众传播媒介适当有针对性地面向社会进行网络安全宣传教育。
第二十条国家支持企业和高等学校,职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培训网络安全人才,促进网络安全人才交流。
第三章网络运行安全
第一节一般规定
第二十一条国家实践网络安全等级保护制度。网络运营商应按照网络安全等级保护制度的要求,另外进行以下安全保护义务,保障网络相互干扰,破坏或者允许他人授权的访问,防止网络数据干扰或者被窃取,篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,延长网络安全保护责任;
(二)采取防范计算机病毒和网络攻击,网络侵入等危害网络安全行为的技术措施;
(三)采取监测,记录网络运行状态,网络安全事件的技术措施,并按照规定留存相关的网络日志过多于六个月;
(四)采取数据分类,重要数据备份和加密等措施;
(五)法律,行政法规规定的其他义务。
第二十二条网络产品,服务符合相关国家标准的强制性要求。措施,按照规定及时告知用户并向有关主管部门报告。
网络产品,服务的提供者提供本产品,服务持续提供安全维护;在规定或重叠约定的期限内,不得终止提供安全维护。
网络产品,服务具有收集用户信息功能的,其提供者正确向用户明示并取得同意;涉及用户个人信息的,还必须遵守本法和有关法律,行政法规关于个人信息保护的规定。
第二十三条网络关键设备和网络安全专用产品符合国家标准的强制性要求,由具有资格的机构安全认证合格或安全检测符合要求后,方可销售或提供。有关部门制定,公布的网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证,检测。
第二十四条网络运营商为用户进行网络接入,域名注册服务,进行固定电话,移动电话等入网操作,或者为用户提供信息发布,即时通讯等服务,在与用户协议或确认提供服务时,正确要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得提供相关服务。
国家实施网络可信身份战略,支持研究开发安全,方便的电子身份认证技术,推动不同电子身份认证之间的互认。
第二十五条网络运营商准备好的网络安全事件应急预案,及时处置系统漏洞,计算机病毒,网络攻击,网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的措施改进措施,并按照规定向有关主管部门报告。
第二十六条开展网络安全认证,检测,风险评估等活动,向社会发布系统入侵,计算机病毒,网络攻击,网络侵入等网络安全信息,遵守国家有关规定。
第二十七条任何个人和组织不得网络数据等危害网络安全活动的程序,工具;明知他人军队危害网络安全的活动的,不得为此提供技术支持,广告推广,支付结算等帮助。
第二十八条网络运营商证明为公安机关,国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第二十九条国家支持网络运营者之间在网络安全信息收集,分析,通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全的本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持,协助会员应对网络安全风险。
第三十条网信部门和有关部门在合并网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第二节关键信息基础设施的运行安全
第三十一条国家对公共通信和信息服务,能源,交通,水利,金融,公共服务,电子政务等重要行业和领域,以及其他一旦遭到破坏,丧失功能或数据泄露,可能严重危害国家安全,国计民生,公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营商自愿参与关键信息基础设施保护体系。
第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业,本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
第三十三条建设性关键信息基础设施能够确保其具有支持业务稳定,持续运行的性能,并保证安全技术措施同步规划,同步建设,同步使用。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还必须补充以下安全保护义务:
(一)设置专门的安全管理机构和安全管理负责人,并对该负责人和关键职位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育,技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律,行政法规规定的其他义务。
第三十五条关键信息基础设施的运营商采购网络产品和服务,可能影响国家安全的,可以通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十六条关键信息基础设施的运营商采购网络产品和服务,请按照规定与提供者长期安全保密协议,明确安全和保密义务与责任。
第三十七条关键信息基础设施的运营商在中华人民共和国内部运营中收集和产生的个人信息和重要数据提供在内部存储。因业务需要,确实需向境外提供的,按照国家网信部门会同国务院有关部门制定的方法进行安全评估;法律,行政法规另有规定的,按照其规定。
第三十八条关键信息基础设施的运营者应自行或委托他人负责网络安全服务机构转变为网络的安全性和可能存在的风险每年至少进行一次检测评估,以便检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条国家网信部门适当统筹协调有关部门对关键信息基础设施的安全保护采取以下措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门,关键信息基础设施的运营者以及有关研究机构,网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的爆发与网络功能的恢复等,提供技术支持和帮助。
第四章网络信息安全
第四十条网络运营商能够针对收集的用户信息进行严格保密,并建立健全的用户信息保护制度。
第四十一条网络运营商收集,使用个人信息,适当的合法,正当,必要的原则,公开收集,使用规则,明示收集,使用信息的目的,方式和范围,并经被收集者同意。
网络运营者不得收集并提供与其服务无关的个人信息,不得违反法律,行政法规的规定和双方的约定收集,使用个人信息,并应遵循法律,行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条网络运营商不得对其进行补偿,纠正改写,毁损其收集的个人信息;被收集者同意,不得向他人提供个人信息。但是,通过处理无法识别特定个人且不能恢复的除外。
网络运营商采取了适当的技术措施和其他必要措施,确保其收集了个人信息安全,防止信息扭曲,毁坏,丢失。在发生或可能发生的个人信息损坏,毁坏,丢失的情况下,立即采取措施,按照规定及时通知用户并向有关主管部门报告。
第四十三条个人发现网络运营商违反法律,行政法规的规定或者双方的约定收集,使用其个人信息的,有权要求网络运营商删除其个人信息;发现网络运营者收集,存储的其个人信息有错误的,有权要求网络运营商选择更正。
第四十四条任何个人和组织不得窃取或以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。
第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须对在组成职能中知悉的个人信息,隐私和商业秘密严格保密,不得使用,出售或非法向他人提供。
第四十六条任何个人和组织采取行动的网络行为,不得建立使用实施欺诈骗局,传授犯罪方法,制作或销售违禁物品,管制物品等违法犯罪活动的网站,通讯群组,不得利用网络发布涉及实施欺诈骗局,制作或销售违禁物品,管制物品以及其他违法犯罪活动的信息。
第四十七条网络运营商为加强用户发布的信息的管理,发现法律,行政法规禁止发布或传输的信息的,立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第四十八条任何个人和组织发送的电子信息,提供的应用软件,不得设置恶意程序,不得包含法律,行政法规禁止发布或传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,适当的安全管理义务,知道其用户有前款规定行为的,应停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
第四十九条网络运营商提供的建立网络信息安全投诉,举报制度,公布投诉,举报方式等信息,及时补充并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查,适当的配合。
第五十条国家网信部门和有关部门依法法规网络信息安全监督管理职责,发现法律,行政法规禁止发布或传输的信息的,适当要求网络运营商停止传输,采取消除等处置措施,保存有关记录;对名义中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施替代传播。
第五章监测预报与应急处置
第五十一条国家建立网络安全监测预警和信息通报制度。
第五十二条负责关键信息基础设施安全保护工作的部门,建立健全的本行业,本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
第五十三条国家网信部门协调有关部门建立健全的网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门已准备好本行业,本领域的网络安全事件应急预案,并定期组织演练。
网络安全事件应急预案是否按照事件发生后的危害程度,影响范围等因素对网络安全事件进行分级,并规定了相应的应急措施。
第五十四条网络安全事件发生的风险增加时,省级以上人民政府有关部门已按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取以下措施:
(一)要求有关部门,机构和人员及时收集,报告有关信息,加强对网络安全风险的监测;
(二)组织有关部门,机构和专家,对网络安全风险信息进行分析评估,预测事件发生的可能性,影响范围和危害程度;
(三)向社会发布网络安全风险预测,发布避免,预防危害的措施。
第五十五条发生网络安全事件,适当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营商采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警告信息。
第五十六条省级以上人民政府有关部门在网络安全监督管理职责中,发现网络存在潜在的安全风险或发生安全事件的,可以按照规定的权限和程序进行操作,该网络的运营者的法定代表人或者主要负责人进行约谈。
第五十七条因网络安全事件,发生突发事件或生产安全事故的,应遵循《中华人民共和国突发事件应对法》,《中华人民共和国安全生产法》等有关法律,行政法规的规定处置。
第五十八条因维护国家安全和社会公共秩序,采取重大突发社会安全事件的需要,经国务院决定或批准,可以在特定区域对网络通信采取限制措施或临时措施。
第六章法律责任
第五十九条网络运营商不遵守本法第二十一条,第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处一万元以上十万元以下支出,对直接负责的主管人员处五千元以上五万元以下支出。
关键信息基础设施的运营商不遵守本法第三十三条,第三十四条,第三十六条,第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒绝不改正或导致危害网络安全等后果的,处十百万以上一百万元以下支出,对直接负责的主管人员处一百万以上十万元以下费用。
第六十条违反本法第二十二条第一款,第二款和第四十八条第一款规定,有以下行为之一的,由有关主管部门责令改正,给予警告;拒不改正或导致危害网络安全等后果的,处五百万以上五十万以下的费用,对直接负责的主管人员处一百万以上十百万以下的费用:
(一)设置恶意程序的;
(二)针对产品,服务存在的安全缺陷,漏洞等风险未立即采取补救措施,或者未按照规定及时通知用户并向有关主管部门报告的;
(三)擅自终止为本产品,服务提供安全维护的。
第六十一条网络运营商违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或情节严重的,处五百万以上五十万以下的分数,并可以由有关主管部门责令暂停相关业务,停业整顿,关闭网站,吊销相关业务许可证或吊销营业执照照亮,对直接负责的主管人员和其他直接责任人员处一百万以上十百万以下分数。
第六十二条违反本法第二十六条规定,开展网络安全认证,检测,风险评估等活动,或者向社会发布系统入侵,计算机病毒,网络攻击,网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或情节严重的,处一百万以上十百万以下限额,并可以由有关主管部门责令暂停相关业务,停业整顿,关闭网站,吊销相关业务许可证或吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下费用。
第六十三条违反了本法第二十七条的规定,军队危害网络安全的活动,或者提供专门针对军队危害网络安全活动的程序,工具,或者为他人军队危害网络安全的活动提供技术支持,广告推广,支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下预防,可以并处五百万以上五十万以下标注;情节较重的,处五日以上十五日以下犯罪,可以并处十万元以上一百万元以下钞票。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下支出,直接由负责人的主管人员和其他直接责任人员按照前款规定予以补偿。
违反了本法第二十七条规定,遭到治安管理制裁的人员,五年内不得从事网络安全管理和网络运营关键职位的工作;遭受刑事诉讼的人员,终身不得从事网络安全管理和网络运营关键职位的工作。
第六十四条网络运营者,网络产品或服务的提供者违反了本法第二十二条第三款,第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或并处警告,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下费用,对直接负责的主管人员和其他直接责任人员处所的数量超过万元限额,且情节严重的,并可以责令暂停相关业务,停业整顿,关闭网站,吊销相关业务许可证或吊销营业执照。
违反本法第四十四条规定,窃取或以其他非法方式获取,非法出售或非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下票据,没有违法所得的,处一百万元以下票据。
第六十五条关键信息基础设施的运营商违反了本法第三十五条规定,使用了安全审查或安全审查未通过的网络产品或服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处所
第六十六条关键信息基础设施的运营商违反了本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五百万以上五十万以下费用,并可以责令暂停相关业务,停业整顿,关闭网站,吊销相关业务许可证或吊销营业执照照照;对直接负责的主管人员和其他直接责任人员处所超过十万元以下罚款。
第六十七条违反本法第四十六条规定,建立用于实施违法犯罪活动的网站,通讯组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下死亡率,可以并处一百万以上十百万以下分数;情节较重的,处五日以上十五日以下预防,可以并处五百万以上五十万元以下支出。关闭用于实施违法犯罪活动的网站,通讯群组。
单位有前款行为的,由公安机关处十百万以上五十万以下的等级,直接由负责人的主管人员和其他直接责任人员按照前款规定予以更改。
第六十八条网络运营商违反本法第四十七条规定,对法律,行政法规禁止发布或传输的信息未停止传输,采取消除等处置措施,保存有关记录的,由有关主管部门责令改正,,给予警告,没收违法所得;拒不改正或要么情节严重的,处十百万以上五十万元以下标签,并可以责令暂停相关业务,停业整顿,关闭网站, ,对直接负责的主管人员和其他直接责任人员处在一万元以上十万元以下标注。
电子信息发送服务提供者,应用软件下载服务提供者,不合并本法第四十八条第二款规定的安全管理义务的,遵循前款规定的替代。
第六十九条网络运营商违反本法规定,有以下行为之一的,由有关主管部门责令改正;拒不改正或情节严重的,处五百万以上五十万元以下规模,对直接负责的主管人员和其他直接责任人员,处一百万以上十百万以下标注:
(一)不按照有关部门的要求对法律,行政法规禁止发布或传输的信息,采取停止传输,消除等处置措施的;
(二)拒绝,阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关,国家安全机关提供技术支持和协助的。
第七十条发布或传输本法第十二条第二款和其他法律,行政法规禁止发布或传输的信息的,根据有关法律,行政法规的规定予以修改。
第七十一条有本法规定的违法行为,,根据有关法律,行政法规的规定记入信用档案,并同时进行公示。
第七十二条国家机关政务网络的运营者不符合本法规定的网络安全保护义务的,由其上级机关或有关机关责任令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十三条网信部门和有关部门违反本法第三十条规定,将在补充网络安全保护职能中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。
网信部门和有关部门的工作人员玩忽职守,滥用职权,徇私舞弊,尚不构成犯罪的,依法给予处分。
第七十四条违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理违约;构成犯罪的,依法追究刑事责任。
第七十五条境外的机构,组织,个人军队攻击,侵入,干扰,破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定该机构,组织,个人采取冻结财产或其他必要的制裁措施。
第七章附则
第七十六条本法下列用语的含义:
(一)网络,是指由计算机或其他信息终端以及相关设备组成的按照一定的规则和程序对信息进行收集,存储,传输,交换,处理的系统。
(二)网络安全,是指通过采取必要的措施,预防对网络的攻击,侵入,干扰,破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性,保密性,可用的能力。
(三)网络运营者,是指网络的所有者,管理者和网络服务提供者。
(四)网络数据,是指通过网络收集,存储,传输,处理和产生的各种电子数据。
(五)个人信息,是指以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名,出生日期,身份证件号码,个人生物识别信息,住址,电话号码等。
第七十七条存储,处理涉及国家秘密信息的网络的运行安全保护,除应遵守本法外,还必须遵守保密法律,行政法规的规定。
第七十八条军事网络的安全保护,由中央军事委员会另行规定。
第七十九条本法自2017年6月1日起施行。