公安部 关于 《网络 安全 等级 保护 条例 (征求意见稿)》 公开 征求 意见 的 公告
为 贯彻 落实 《中华人民共和国 网络 安全 法》 , 深入 推进 实施 国家 网络 安全 等级 保护 制度 , 公安部 会同 有关部门 起草 了 《网络 安全 等级 保护 条例 (征求意见稿)》 。 为 保障 公众 知情权 和 参与 权 , 凝聚 各界 共识 和 智慧 , 提高 立法 质量 , 现 向 社会 公开 征求 意见。
公众可登陆公安部网站(网址:http://www.mps.gov.cn)查阅征求意见稿,有关建议可在2018年7月27日前通过电子邮件方式发送至djbhtl@163.com,或传真至010-66262319。
Kamu Güvenliği Bakanlığı
2018 6 年 月 日 27
《网络 安全 等级 保护 条例 (征求意见稿)》
içindekiler
第一 章 总则
第二 章 支持 与 保障
第三 章 网络 的 安全 保护
第四 章 涉密 网络 的 安全 保护
第五 章 密码 管理
第六 章 监督 管理
第七 章 法律 责任
第八 章 附 则
第一 章 总则
第一 条 【立法 宗旨 与 依据】 为 加强 网络 安全 等级 保护 工作 , 提高 空间 安全 和 国家 安全 、 社会 公共 利益 , 保护 公民 、 法人 和 其他 组织 的 经济 权益 , 促进社会 信息 化 健康 发展 , 依据 《中华人民共和国 网络 安全 法》 、 《中华人民共和国 保守 国家 秘密 法》 等 法律 , 制定 本 条例。
第二 条 【适用 范围】 在 中华人民共和国 境内 建设 、 运营 、 维护 、 使用 网络 , 开展 网络 安全 等级 保护 工作 以及 监督 管理 , 适用 本 条例。 个人 及 家庭 自建 自用 的 网络 除外。
第三 条 【确立 制度】 国家 实行 网络 安全 等级 保护 制度 , 对 网络 实施 分 等级 保护 、 分 等级 监管。
前款 所称 “网络” 是 指 由 计算机 或者 其他 信息 终端 及 相关 设备 组成 的 按照 一定 的 规则 和 程序 对 信息 进行 收集 、 存储 、 传输 、 交换 、 处理 的 系统。
第四 条 【工作 原则】 网络 安全 等级 保护 工作 应当 按照 突出 重点 、 主动 防御 、 防护 体系 , 重点 保护 涉及 国家 安全 、 国计民生 、 社会 公共 利益 的 网络 的 基础 设施 安全、 运行 安全 和 数据 安全。
网络 运营 者 在 网络 建设 过程 中 , 应当 同步 规划 、 同步 建设 、 同步 运行 网络 安全 保护 、 保密 和 密码 保护 措施。
涉密 网络 应当 依据 国家 保密 规定 和 标准 , 结合 系统 实际 进行 保密 防护 和 保密 监管。
第五 条 【职责 分工】 中央 网络 安全 和 信息 化 领导 机构 统一 领导 网络 安全 等级 保护 工作。 国家 网 信 部门 负责 网络 安全 等级 保护 工作 的 统筹 协调。
国务院 公安 部门 主管 网络 安全 等级 保护 工作 , 负责 网络 安全 等级 保护 工作 的 监督 管理 , 依法 组织 开展 网络 安全 保卫。
国家 保密 行政管理 部门 主管 涉密 网络 分级 保护 工作 , 负责 网络 安全 等级 保护 工作 中 有关 保密 工作 的 监督 管理。
国家 密码 管理 部门 负责 网络 安全 等级 保护 工作 中 有关 密码 管理 工作 的 监督 管理。
国务院 其他 有关部门 依照 有关 法律 法规 的 规定 , 在 各自 职责 范围 内 开展 网络 安全 等级 保护 相关 工作。
县级 以上 地方 人民政府 依照 本 条例 和 有关 法律 法规 规定 , 开展 网络 安全 等级 保护 工作。
第六 条 【网络 运营 者 责任 义务】 网络 运营 者 应当 依法 开展 网络 定级 备案 、 安全 , 采取 管理 和 技术 措施 , 保障 网络 基础 设施 安全 、 网络 运行 安全 、 数据安全 和 信息 安全 , 有效 应对 网络 安全 事件 , 防范 网络 违法 犯罪 活动。
第七 条 【行业 要求】 行业 主管 部门 应当 组织 、 指导 本 行业 、 本 领域 落实 网络 安全 等级 保护 制度。
第二 章 支持 与 保障
第八 条 【总体 保障】 国家 建立 健全 网络 安全 等级 保护 制度 的 组织 领导 体系 、 技术 支持 体系 和 保障 体系。
各级 人民政府 和 行业 主管 部门 应当 将 网络 安全 等级 保护 制度 实施 纳入 信息 化 工作 总体 规划 , 统筹 推进。
第九条 【标准 制定】 国家 建立 完善 网络 安全 等级 保护 标准 体系。 国务院 标准化 行政 主管 部门 、 国家 密码 管理 部门 根据 各自 职责 , 组织 制定 网络 安全 等级 保护 的 国家 标准、 行业 标准。
国家 支持 企业 、 研究 机构 、 高等学校 、 网络 相关 行业 组织 参与 网络 安全 等级 保护 国家 标准 、 行业 标准 的 制定。
第十 条 【投入 和 保障】 各级 人民政府 鼓励 扶持 网络 安全 等级 保护 重点 工程 和 项目 , 支持 , 推广 安全 可信 的 网络 产品 和 服务。
第十一条 【技术 支持】 国家 建设 网络 安全 等级 保护 专家 队伍 和 等级 测评 、 安全 建设 、 应急 处置 等 技术 支持 体系 , 为 网络 安全 等级 保护 制度 提供 支撑。
第十二 条 【绩效 考核】 行业 主管 部门 、 各级 人民政府 应当 将 网络 安全 等级 保护 工作 纳入 绩效 考核 评价 、 社会 治安 综合 治理 考核 等。
第十三 条 【宣传 教育 培训】 各级 人民政府 及其 有关部门 应当 加强 网络 安全 等级 保护 制度 的 宣传 教育 , 提升 社会 公众 的 网络 安全 防范 意识。
国家 鼓励 和 支持 企事业 单位 、 高等院校 、 研究 机构 等 开展 网络 安全 等级 保护 制度 的 教育 与 培训 , 加强 网络 安全 等级 保护 管理 和 技术 人才 培养。
第十四 条 【鼓励 创新】 国家 鼓励 利用 新 技术 、 新 应用 开展 网络 安全 等级 保护 可信 计算 、 人工智能 等 技术 , 创新 网络 安全 技术 保护 措施 , 提升 网络 安全 防范能力 和 水平。
国家 对 网络 新 技术 、 新 应用 的 推广 , 组织 开展 网络 安全 风险 评估 , 防范 网络 新 技术 、 新 应用 的 安全 风险。
第三 章 网络 的 安全 保护
第十五 条 【网络 等级】 根据 网络 在 国家 安全 、 经济 建设 、 社会 生活 中 的 重要 功能 或者 数据 被 篡改 、 泄露 、 丢失 、 损毁 后 , 对 国家 安全 、 社会秩序 、 公共 利益 以及 相关 公民 、 法人 和 其他 组织 的 合法 权益 的 危害 程度 等 因素 , 网络 分为 五个 安全 保护 等级。
(一) 第一 级 , 一旦 受到 破坏 会对 相关 公民 、 法人 和 其他 组织 的 合法 权益 造成 损害 , 但 不 危害 国家 安全 、 社会 秩序 和 公共 利益 的 一般 网络。
(二) 第二 级 , 一旦 受到 破坏 会对 相关 公民 、 法人 和 其他 组织 的 合法 权益 公共 利益 造成 危害 , 但 不 危害 国家 安全 的 一般 网络。
(三) 第三 级 , 一旦 受到 破坏 会对 相关 公民 、 法人 和 其他 组织 的 合法 权益 和 社会 公共 利益 造成 严重 危害 , 或者 对 国家 安全 造成 危害 的 重要 网络。
(四) 第四 级 , 一旦 受到 破坏 会对 社会 秩序 和 公共 利益 造成 特别 严重 危害 , 或者 对 国家 安全 造成 严重 危害 的 特别 重要 网络。
(五) 第五 级 , 一旦 受到 破坏 后 会对 国家 安全 造成 特别 严重 危害 的 极其 重要 网络。
第十六 条 【网络 定级】 网络 运营 者 应当 在 规划 设计 阶段 确定 网络 的 安全 保护 等级。
当 网络 功能 、 服务 范围 、 服务 对象 和 处理 的 数据 等 发生 重大 变化 时 , 网络 运营 者 应当 依法 变更 网络 的 安全 保护 等级。
第十七 条 【定级 评审】 对 拟定 为 第二 级 以上 的 网络 , 其 运营 者 应当 组织 专家 评审 ; 有 行业 主管 部门 的 , 应当 在 评审 后 报请 主管 部门 核准。
跨省 或者 全国 统一 联网 运行 的 网络 由 行业 主管 部门 统一 拟定 安全 保护 等级 , 统一 组织 定级 评审。
行业 主管 部门 可以 依据 国家 标准 规范 , 结合 本 行业 网络 特点 制定 行业 网络 安全 等级 保护 定级 指导 意见。
第十八 条 【定级 备案】 第二 级 以上 网络 运营 者 应当 在 网络 的 安全 保护 等级 确定 后 10 个 工作 日内 , 到 县级 以上 公安 机关 备案。
因 网络 撤销 或 变更 调整 安全 保护 等级 的 , 应当 在 10 个 工作 日内 向原 受理 备案 公安 机关 办理 备案 撤销 或 变更 手续。
备案 的 具体 办法 由 国务院 公安 部门 组织 制定。
第十九 条 【备案 审核】 公安 机关 应当 对 网络 运营 者 提交 的 备案 材料 进行 审核。 , 应 在 10 个 工作 日内 出具 网络 安全 等级 保护 备案 证明。
第二十条 【一般 安全 保护 义务】 网络 运营 者 应当 依法 履行 下列 安全 保护 义务 , 保障 网络 和 信息 安全 :
(一) 确定 网络 安全 等级 保护 工作 责任 人 , 建立 网络 安全 等级 保护 工作 责任制 , 落实 责任 追究 制度 ;
(二) 建立 安全 管理 和 技术 保护 制度 , 建立 人员 管理 、 教育 培训 、 系统 安全 建设 、 系统 安全 运 维 等 制度 ;
(三) 落实 机房 安全 管理 、 设备 和 介质 安全 管理 、 网络 安全 管理 等 制度 , 制定 操作 规范 和 工作 流程 ;
(四) 落实 身份 识别 、 防范 恶意 代码 感染 传播 、 防范 网络 入侵 攻击 的 管理 和 技术 措施 ;
(五) 落实 监测 、 记录 网络 运行 状态 、 网络 安全 事件 、 违法 犯罪 活动 的 管理 和 技术 措施 , 并 按照 规定 留存 六个月 以上 可 追溯 网络 违法 犯罪 的 相关 网络 日志 ;
(六) 落实 数据 分类 、 重要 数据 备份 和 加密 等 措施 ;
(七) 依法 收集 、 使用 、 处理 个人 信息 , 并 落实 个人 信息 保护 措施 , 防止 个人 信息 泄露 、 损毁 、 篡改 、 窃取 、 丢失 和 滥用 ;
(八) 落实 违法 信息 发现 、 阻断 、 消除 等 措施 , 落实 防范 违法 信息 大量 传播 、 违法 犯罪 证据 灭失 等 措施 ;
(九) 落实 联网 备案 和 用户 真实 身份 查验 等 责任 ;
(十) 对 网络 中 发生 的 案 事件 , 应当 在 二十 四 小时 内向 属地 公安 机关 报告 ; 泄露 国家 秘密 的 , 应当 同时 向 属地 保密 行政管理 部门 报告。
(十一) 法律 、 行政 法规 规定 的 其他 网络 安全 保护 义务。
第二十 一条 【特殊 安全 保护 义务】 第三 级 以上 网络 的 运营 者 除 履行 本 条例 第二十条 规定 的 网络 安全 保护 义务 外 , 还 应当 履行 下列 安全 保护 义务 :
(一) 确定 网络 安全 管理 机构 , 明确 网络 安全 等级 保护 的 工作 职责 , 对 网络 变更 、 网络 接入 、 运 维 和 技术 保障 单位 变更 等 事项 建立 逐级 审批 制度 ;
(二) 制定 并 落实 网络 安全 总体 规划 和 整体 安全 防护 策略 , 制定 安全 建设 方案 , 并 经 专业 技术 人员 评审 通过 ;
(三) 对 网络 安全 管理 负责 人和 关键 岗位 的 人员 进行 安全 背景 审查 , 落实 持证 上岗 制度 ;
(四) 对 为其 提供 网络 设计 、 建设 、 运 维 和 技术 服务 的 机构 和 人员 进行 安全 管理 ;
(五) 落实 网络 安全 态势 感知 监测 预警 措施 , 建设 网络 安全 防护 管理 平台 , 对 、 网络 安全 案 事件 等 进行 动态 监测 分析 , 并 与 同级 公安 机关 对接 ;
(六) 落实 重要 网络 设备 、 通信 链路 、 系统 的 冗余 、 备份 和 恢复 措施 ;
(七) 建立 网络 安全 等级 测评 制度 , 定期 开展 等级 测评 , 并将 测评 情况 及 安全 整改 措施 、 整改 结果 向 公安 机关 和 有关部门 报告 ;
(八) 法律 和 行政 法规 规定 的 其他 网络 安全 保护 义务。
第二十 二条 【上 线 检测】 新建 的 第二 级 网络 上 线 运行 前 应当 按照 网络 安全 等级 保护 有关 标准 规范 , 对 网络 的 安全 性 进行 测试。
新建 的 第三 级 以上 网络 上 线 运行 前 应当 委托 网络 安全 等级 测评 机构 按照 网络 安全 等级 保护 有关 标准 规范 进行 等级 测评 , 通过 等级 测评 后 方可 投入 运行。
第二十 三条 【等级 测评】 第三 级 以上 网络 的 运营 者 应当 每年 开展 一次 网络 安全 , 并 每年 将 开展 网络 安全 等级 测评 的 工作 情况 及 测评 结果 向 备案 的公安 机关 报告。
第二十 四条 【安全 整改】 网络 运营 者 应当 对 等级 测评 中 发现 的 安全 风险 隐患 , 制定 整改 方案 , 落实 整改 措施 , 消除 风险 隐患。
第二十 五条 【自查 工作】 网络 运营 者 应当 每年 对 本 单位 落实 网络 安全 等级 保护 制度 , 发现 安全 风险 隐患 及时 整改 , 并向 备案 的 公安 机关 报告。
第二十 六条 【测评 活动 安全 管理】 网络 安全 等级 测评 机构 应当 为 网络 运营 者 提供 安全 、 客观 、 公正 的 等级 测评 服务。
网络 安全 等级 测评 机构 应当 与 网络 运营 者 签署 服务 协议 , 并对 测评 人员 进行 安全 保密 明确 测评 人员 的 安全 保密 义务 和 法律 责任 , 组织 测评 人员 参加 专业 培训。
第二 十七 条 【网络 服务 机构 要求】 网络 服务 提供 者 为 第三 级 以上 网络 提供 数据 分析 等 网络 服务 , 应当 符合 国家 有关 法律 法规 和 技术 标准 的 要求。
网络 安全 等级 测评 机构 等 网络 服务 提供 者 应当 保守 服务 过程 中 知悉 的 不得 秘密 使用 或 擅自 发布 、 披露 在 提供 服务 中 收集 掌握 的 数据 信息 和 系统 漏洞 、网络 入侵 攻击 等 网络 安全 信息。
第二 十八 条 【产品 服务 采购 使用 的 安全 要求】 网络 运营 者 应当 采购 、 使用 符合 国家 法律 法规 和 有关 标准 规范 要求 的 网络 产品 和 服务。
第三 级 以上 网络 运营 者 应当 采用 与其 安全 保护 等级 相 适应 的 网络 产品 产品 服务 应当 委托 专业 测评 机构 进行 专项 测试 , 根据 测试 结果 选择 符合 要求 的 网络 产品 ; 采购产品 和 服务 , 可能 影响 国家 安全 的 , 应当 通过 国家 网 信 部门 会同 国务院 有关部门 组织 的 国家 安全 审查。
第二 十九 条 【技术 维护 要求】 第三 级 以上 网络 应当 在 境内 实施 技术 维护 , , 确需 进行 境外 远程 技术 维护 的 , 应当 进行 网络 安全 评估 , 并 采取 风险管 控 措施。 实施 技术 维护 , 应当 记录 并 留存 技术 维护 日志 , 并 在 公安 机关 检查 时 如实 提供。
第三 十条 【监测 预警 和 信息 通报】 地 市级 以上 人民政府 应当 建立 网络 安全 监测 预警 和 信息 通报 制度 , 开展 安全 监测 、 态势 感知 、 通报 预警 等 工作。
第三 级 以上 网络 运营 者 应当 建立 健全 网络 安全 监测 预警 和 信息 通报 制度 , 按照 预警 信息 , 报告 网络 安全 事件。 有 行业 主管 部门 的 , 同时 向 行业 主管 部门报送 和 报告。
行业 主管 部门 应当 建立 健全 本 行业 、 本 领域 的 网络 安全 监测 预警 和 信息 通报 制度 公安 机关 报送 网络 安全 监测 预警 信息 , 报告 网络 安全 事件。
第三十一条 【数据 和 信息 安全 保护】 网络 运营 者 应当 建立 并 落实 重要 数据 和 个人 保障 数据 和 信息 在 收集 、 存储 、 传输 、 使用 、 提供 、 销毁 过程 中的 安全 ; 建立 异地 备份 恢复 等 技术 措施 , 保障 重要 数据 的 完整性 、 保密 性 和 可用性。
未经 允许 或 授权 , 网络 运营 者 不得 收集 与其 提供 的 服务 无关 的 数据 法规 个人 和 双方 约定 收集 、 使用 和 处理 数据 和 个人 信息 ; 不得 泄露 、 收集 、 损毁 其的 数据 和 个人 信息 ; 不得 非 授权 访问 、 使用 、 提供 数据 和 个人 信息。
第三 十二 条 【应急 处置 要求】 第三 级 以上 网络 的 运营 者 应当 按照 国家 有关 规定 , 制定 网络 安全 应急 预案 , 定期 开展 网络 安全 应急 演练。
网络 运营 者 处置 网络 安全 事件 应当 保护 现场 , 记录 并 留存 相关 数据 信息 , 并 及时 向 公安 机关 和 行业 主管 部门 报告。
公安 机关 和 行业 主管 部门 应当 向 同级 网 信 部门 报告 重大 网络 安全 事件 处置 情况。
发生 重大 网络 安全 事件 时 , 有关部门 应当 按照 网络 安全 应急 预案 要求 联合 开展 应急 处置。 应当 为 重大 网络 安全 事件 处置 和 恢复 提供 支持 和 协助。
第三 十三 条 【审计 审核 要求】 网络 运营 者 建设 、 运营 、 维护 和 行政 网络 的 经营 活动 的 , 相关 主管 部门 应当 将 网络 安全 等级 保护 制度 落实 情况 纳入 审计 、审核 范围。
第三 十四 条 【新 技术 新 应用 风险 管 控】 网络 运营 者 应当 按照 , 安全 控 云 计算 、 大 数据 、 人工智能 、 物 联网 、 工控 系统 和 移动 互联网 等 新 技术新 应用 带来 的 安全 风险 , 消除 安全 隐患。
第四 章 涉密 网络 的 安全 保护
第三 十五 条 【分级 保护】 涉密 网络 按照 存储 、 处理 、 传输 国家 秘密 的 最高 密级 分为 绝密 级 、 机密 级 和 秘密 级。
第三 十六 条 【网络 定级】 涉密 网络 运营 者 应当 依法 确定 涉密 网络 的 密级 , 通过 本 单位 保密 委员会 (领导 小组) 的 审定 , 并向 同级 保密 行政管理 部门 备案。
第三 十七 条 【方案 审查 论证】 涉密 网络 运营 者 规划 建设 涉密 网络 , 应当 依据 保护 方案 , 采取 身份 鉴别 、 访问 控制 、 安全 审计 、 边界 安全 防护 、 信息流转 管 控 、 电磁 泄漏 发射 防护 、 病毒 防护 、 密码 保护 和 保密 监管 等 技术 与 管理 措施。
第三 十八 条 【建设 管理】 涉密 网络 运营 者 委托 其他 单位 承担 涉密 网络 建设 的 资质 的 单位 , 并 与 建设 单位 签订 保密 协议 , 明确 保密 责任 , 采取保密 措施。
第三 十九 条 【信息 设备 、 安全 保密 产品 管理】 涉密 网络 中 使用 的 信息 设备 涉密 专用 信息 设备 名录 中 选择 ; 未 纳入 名录 的 , 应 选择 政府 采购 目录中 的 产品。 确需 选用 进口 产品 的 , 应当 进行 安全 保密 检测。
涉密 网络 运营 者 不得 选用 国家 保密 行政管理 部门 禁止 使用 或者 政府 采购 主管 部门 禁止 采购 的 产品。
涉密 网络 中 使用 的 安全 保密 产品 , 应当 通过 国家 保密 行政管理 部门 设立 的 检测 机构 计算机 信息 系统 安全 专用 产品 销售 许可证 的 可靠 产品 , 密码 产品 应当 选用 国家 密码 管理部门 批准 的 产品。
第四 十条 【测评 审查 和 风险 评估】 涉密 网络 应当 由 国家 保密 行政管理 部门 设立 或者 授权 经 设 区 的 市级 以上 保密 行政管理 部门 审查 合格 , 方可 投入使用。
涉密 网络 运营 者 在 涉密 网络 投入 使用 后 , 应 定期 开展 安全 保密 检查 和 风险 自 安全 保密 风险 评估。 绝密 级 网络 每年 至少 进行 一次 , 机密 级 和 秘密 级网络 每两年 至少 进行 一次。
公安 机关 、 国家 安全 机关 涉密 网络 投入 使用 的 管理 , 依照 国家 保密 行政管理 部门 会同 公安 机关 、 国家 安全 机关 制定 的 有关 规定 执行。
第四十一条 【涉密 网络 使用 管理 总体 要求】 涉密 网络 运营 者 应当 制定 安全 保密 管理 制度 , 组建 相应 管理 机构 , 设置 安全 保密 管理 人员 , 落实 安全 保密 责任。
第四 十二 条 【涉密 网络 预警 通报 要求】 涉密 网络 运营 者 应 建立 健全 本 单位 涉密 , 发现 安全 风险 隐患 的 , 应 及时 采取 应急 处置 措施 , 并向保密 行政管理 部门 报告。
第四 十三 条 【涉密 网络 重大 变化 的 处置】 有 下列 情形 之一 的 , 涉密 网络 运营 者 应当 按照 国家 保密 规定 及时 向 保密 行政管理 部门 报告 并 采取 相应 措施 :
(一) 密级 发生 变化 的 ;
(二) 连接 范围 、 终端 数量 超出 审查 通过 的 范围 、 数量 的 ;
(三) 所处 物理 环境 或者 安全 保密 设施 变化 可能 导致 新 的 安全 保密 风险 的 ;
(四) 新增 应用 系统 的 , 或者 应用 系统 变更 、 减少 可能 导致 新 的 安全 保密 风险 的。
对 前款 所列 情形 , 保密 行政管理 部门 应当 及时 作出 是否 对 涉密 网络 重新 进行 检测 评估 和 审查 的 决定。
第四 十四 条 【涉密 网络 废止 的 处理】 涉密 网络 不再 使用 的 , 涉密 网络 运营 者 应当 保密 规定 和 标准 对 涉密 信息 设备 、 产品 、涉密 载体 等 进行 处理。
第五 章 密码 管理
第四 十五 条 【确定 密码 要求】 国家 密码 管理 部门 根据 网络 的 安全 保护 等级 、 涉密 的 配备 、 使用 、 管理 和 应用 安全 性 评估 要求 , 制定 网络 安全 等级 保护密码 标准 规范。
第四 十六 条 【涉密 网络 密码 保护】 涉密 网络 及 传输 的 国家 秘密 信息 , 应当 依法 采用 密码 保护。
密码 产品 应当 经过 密码 管理 部门 批准 , 采用 密码 技术 的 软件 系统 、 硬件 设备 等 产品 , 应当 通过 密码 检测。
密码 的 检测 、 装备 、 采购 和 使用 等 , 由 密码 管理 部门 统一 管理 ; 系统 设计 、 按照 国家 密码 管理 相关 法规 和 标准 执行。
第四 十七 条 【非 涉密 网络 密码 保护】 非 涉密 网络 应当 按照 国家 密码 管理 法律 、 产品 和 服务。 第三 级 以上 网络 应当 采用 密码 保护 , 并 使用 国家密码 管理 部门 认可 的 密码 技术 、 产品 和 服务。
第三 级 以上 网络 运营 者 应 在 网络 规划 、 建设 和 运行 阶段 , 按照 密码 应用 委托 密码 应用 安全 性 测评 机构 开展 密码 应用 安全 性 评估。 网络 通过 评估 后 , 方可上 线 运行 , 并 在 投入 运行 后 , 每年 至少 组织 一次 评估。 密码 应用 安全 性 评估 结果 应当 报 受理 备案 的 公安 机关 和 所在地 设区市 的 密码 管理 部门 备案。
第四 十八 条 【密码 安全 管理 责任】 网络 运营 者 应当 按照 国家 密码 管理 法规 和 , 加强 密码 安全 制度 建设 , 完善 密码 安全 管理 措施 , 规范 密码 使用 行为。
任何 单位 和 个人 不得 利用 密码 从事 危害 国家 安全 、 社会 公共 利益 的 活动 , 或者 从事 其他 违法 犯罪 活动。
第六 章 监督 管理
第四 十九 条 【安全 监督 管理】 县级 以上 公安 机关 对 网络 运营 者 依照 国家 法律 法规 安全 等级 保护 制度 , 开展 网络 安全 防范 、 网络 安全 事件 应急 处置 、 重大 活动网络 安全 保护 等 工作 , 实行 监督 管理 ; 对 第三 级 以上 网络 运营 者 按照 网络 安全 网络 运行 安全 和 数据 安全 保护 责任 义务 , 实行 重点 监督 管理。
县级 以上 公安 机关 对 同级 行业 主管 部门 依照 国家 法律 法规 规定 和 相关 标准 规范 要求 网络 安全 等级 保护 制度 , 开展 网络 安全 防范 、 网络 安全 事件 应急 处置 、 重大 活动 网络安全 保护 等 工作 情况 , 进行 监督 、 检查 、 指导。
地 市级 以上 公安 机关 每年 将 网络 安全 等级 保护 工作 情况 通报 同级 网 信 部门。
第五 十条 【安全 检查】 县级 以上 公安 机关 对 网络 运营 者 开展 下列 网络 安全 工作 情况 进行 监督 检查 :
(一) 日常 网络 安全 防范 工作 ;
(二) 重大 网络 安全 风险 隐患 整改 情况 ;
(三) 重大 网络 安全 事件 应急 处置 和 恢复 工作 ;
(四) 重大 活动 网络 安全 保护 工作 落实 情况 ;
(五) 其他 网络 安全 保护 工作 情况。
公安 机关 对 第三 级 以上 网络 运营 者 每年 至少 开展 一次 安全 检查。 涉及 相关 行业 的。 必要 时 , 公安 机关 可以 委托 社会 力量 提供 技术 支持。
公安 机关 依法 实施 监督 检查 , 网络 运营 者 应当 协助 、 配合 , 并 按照 公安 机关 要求 如实 提供 相关 数据 信息。
第五十一条 【检查 处置】 公安 机关 在 监督 检查 中 发现 网络 安全 风险 隐患 的 , 应当 责令 网络 运营 者 采取 措施 立即 消除 ; 不能 立即 消除 的 , 应当 责令 其 限期 整改。
公安 机关 发现 第三 级 以上 网络 存在 重大 安全 风险 隐患 的 , 应当 及时 通报 行业 主管 部门 , 并向 同级 网 信 部门 通报。
第五 十二 条 【重大 隐患 处置】 公安 机关 在 监督 检查 中 发现 重要 行业 或 本 社会 公共 利益 的 重大 网络 安全 风险 隐患 的 , 应 报告 同级 人民政府 、 网信 部门 和 上级 公安 机关。
第 五十 三条 【对 测评 机构 和 安全 建设 机构 的 监管】 国家 对 网络 安全 等级 管理 , 指导 网络 安全 等级 测评 机构 和 安全 建设 机构 建立 行业 自律 组织 , 制定 行业 自律规范 , 加强 自律 管理。
非 涉密 网络 安全 等级 测评 机构 和 安全 建设 机构 具体 管理 办法 , 由 国务院 公安 部门 制定。 保密 科技 测评 机构 管理 办法 由 国家 保密 行政管理 部门 制定。
第 五十 四条 【关键 人员 管理】 第三 级 以上 网络 运营 者 的 关键 岗位 人员 以及 为 第三 级 以上 网络 提供 安全 服务 的 人员 , 不得 擅自 参加 境外 组织 的 网络 攻防 活动。
第五 十五 条 【事件 调查】 公安 机关 应当 根据 有关 规定 处置 网络 安全 事件 , 开展 事件 网络 安全 的 违法 犯罪 活动。 必要 时 , 可以 责令 网络 运营 者 采取 阻断 信息传输 、 暂停 网络 运行 、 备份 相关 数据 等 紧急 措施。
网络 运营 者 应当 配合 、 支持 公安 机关 和 有关部门 开展 事件 调查 和 处置 工作。
第五 十六 条 【紧急 情况 断 网 措施】 网络 存在 的 安全 风险 隐患 严重 威胁 国家 安全 情况 下 公安 机关 可以 责令 其 停止 联网 、 停机 整顿。
第五 十七 条 【保密 监督 管理】 保密 行政管理 部门 负责 对 涉密 网络 的 安全 保护 工作 进行 失 泄密 行为 的 监管。 发现 存在 安全 隐患 , 违反 保密 法律 法规 ,或者 不 符合 保密 标准 保密 的 , 按照 《中华人民共和国 保守 国家 秘密 法》 和 国家 保密 相关 规定 处理。
第五 十八 条 【密码 监督 管理】 密码 管理 部门 负责 对 网络 安全 等级 保护 工作 中 网络 运营 者 对 网络 的 密码 配备 、 使用 、 管理 和 密码 评估 情况。 其中 重要 涉密 信息 系统 每两年 至少 开展 一次 监督 检查。 监督 检查 中 发现 存在 安全 隐患 , 或者 违反 相关 标准 规范 要求 的 , 按照 国家 密码 管理 相关 规定 予以 处理。
第五 十九 条 【行业 监督 管理】 行业 主管 部门 应当 组织 制定 本 行业 、 本 领域 网络 掌握 网络 基本 情况 、 定级 备案 情况 和 安全 保护 状况 ; 监督 管理 本 行业 、本 领域 网络 运营 者 开展 网络 定级 备案 、 等级 测评 、 安全 建设 整改 、 安全 自查 等 工作。
行业 主管 部门 应当 监督 管理 本 行业 、 本 领域 网络 运营 者 依照 网络 安全 落实 保护 安全 管理 和 技术 保护 措施 , 组织 开展 网络 安全 防范 、 网络 安全 事件 应急 处置 、 重大安全 保护 等 工作。
第六 十条 【监督 管理 责任】 网络 安全 等级 保护 监督 管理 部门 及其 工作 人员 应当 对 个人 信息 和 重要 数据 严格 保密 , 不得 泄露 、 出售 或者 非法 向 他人 提供。
第六十一条 【执法 协助】 网络 运营 者 和 技术 支持 单位 应当 为 公安 机关 、 国家 安全 机关 依法 维护 国家 安全 和 侦查 犯罪 的 活动 提供 支持 和 协助。
第六 十二 条 【网络 安全 约谈 制度】 省级 以上 人民政府 公安 部门 、 保密 行政管理 部门 、 密码 管理 职责 中 , 发现 网络 存在 较大 安全 风险 隐患 或者 发生 安全事件 的 , 可以 约谈 网络 运营 者 的 法定 代表人 、 主要 负责 人 及其 行业 主管 部门。
第七 章 法律 责任
第六 十三 条 【违反 安全 保护 义务】 网络 运营 者 不 履行 本 条例 第十六 条 , 第十七 条 第一 款 , 第十八 条 第一 款 、 第二款 , 第二十条 、 第二十二条 第一 款 , 第二十 四条 , 第二十 五条 , 第二 十八 条 第一 款 , 第三十一条 第一 款 , 第三 十二 条 第二款 规定 的 网络 安全 保护 义务的 , 由 公安 机关 责令 改正 , 依照 《中华人民共和国 网络 安全 法》 第五 十九 条 第一 款 的 规定 处罚。
第三 级 以上 网络 运营 者 违反 本 条例 第二十 一条 、 第二十 二条 第二款 、 第二十 三条 规定 、 第二 十八 条 第二款 , 第三 十条 第二款 , 第三十 二条 第一 款 规定 的 , 按照 前款 规定 从重 处罚。
第六 十四 条 【违反 技术 维护 要求】 网络 运营 者 违反 本 条例 第二 十九 条 规定 技术 维护 , 未 进行 网络 安全 评估 、 未 采取 风险 管 控 措施 、 未 记录并 留存 技术 维护 日志 的 , 由 公安 机关 和 相关 行业 主管 部门 依据 各自 职责 责令 改正 , 依照 《中华人民共和国 网络 安全 法》 第五 十九 条 第一 款 的 规定 处罚。
第六 十五 条 【违反 数据 安全 和 个人 信息 保护 要求】 网络 运营 者 违反 本 条例 第三十一条 第二款 个人 信息 的 , 由 网 信 部门 、 公安 机关依据 各自 职责 责令 改正 , 依照 《中华人民共和国 网络 安全 法》 第六 十四 条 第一 款 的 规定 处罚。
第六 十六 条 【网络 安全 服务 责任】 违反 本 条例 第二十 六条 第三款 , 第二 十七 条 第二款 规定 的 , 由 公安 机关 责令 改正 , 可以 根据 情节 单 处 或者 并处 警告 、没收 违法 所得 、 处 违法 所得 一倍 以上 十倍 以下 罚款 , 没有 违法 所得 的 , 处 一百 人员 和 其他 直接 责任 人员 处 一 万元 以上 十 万元 以下 罚款 ;情节 严重 的 , 并 可以 责令 暂停 相关 业务 、 停业 整顿 , 直至 通知 发证 机关 吊销 相关 业务 许可证 或者 吊销 营业 执照。
违反 本 条例 第二 十七 条 第二款 规定 , 泄露 、 非法 出售 或者 向 他人 提供 个人 信息 的 , 依照 《中华人民共和国 网络 安全 法》 第六 十四 条 第二款 的 规定 处罚。
第六 十七 条 【违反 执法 协助 义务】 网络 运营 者 违反 本 条例 规定 , 有 下列 行为 部门 、 密码 管理 部门 、 行业 主管 部门 和 有关部门 依据 各自 职责 责令 改正; 拒不 改正 或者 情节 严重 的 , 依照 《中华人民共和国 网络 安全 法》 第六 十九 条 的 规定 处罚。
(一) 拒绝 、 阻碍 有关部门 依法 实施 的 监督 检查 的 ;
(二) 拒不 如实 提供 有关 网络 安全 保护 的 数据 信息 的 ;
(三) 在 应急 处置 中 拒不 服从 有关 主管 部门 统一 指挥 调度 的 ;
(四) 拒不 向 公安 机关 、 国家 安全 机关 提供 技术 支持 和 协助 的 ;
(五) 电信 业务 经营 者 、 互联网 服务 提供 者 在 重大 网络 安全 事件 处置 和 恢复 中 未 按照 本 条例 规定 提供 支持 和 协助 的。
第六 十八 条 【违反 保密 和 密码 管理 责任】 违反 本 条例 有关 保密 管理 和 密码 密码 管理 部门 按照 各自 职责 分工 责令 改正 , 拒不 改正 的 , 给予 警告 , 并通报 向其 上级 主管 部门 , 建议 对其 主管 人员 和 其他 直接 责任 人员 依法 给予 处分。
第六 十九 条 【监管 部门 渎职 责任】 网 信 部门 、 公安 机关 、 国家 保密 行政管理 部门 及其 工作 人员 有 下列 行为 之一 , 对 直接 负责 的 主管 人员 和 其他直接 责任 人员 , 或者 有关 工作 人员 依法 给予 处分 :
(一) 玩忽职守 、 滥用职权 、 徇私舞弊 的 ;
(二) 泄露 、 出售 、 非法 提供 在 履行 网络 安全 等级 保护 监管 职责 中 获悉 的 国家 秘密 、 个人 信息 和 重要 数据 ; 或者 将 获取 其他 信息 , 用于 其他 用途 的。
第七 十条 【法律 竞合 处理】 违反 本 条例 规定 , 构成 违反 治安 管理 行为 的 , 由 公安 机关 依法 给予 治安 管理 处罚 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第八 章 附 则
第七十一条 【术语 解释】 本 条例 所称 的 “内” 、 “以上” 包含 本 数 ; 所称 的 “行业 主管 部门” 包含 行业 监管 部门。
第七 十二 条 【军队】 军队 的 网络 安全 等级 保护 工作 , 按照 军队 的 有关 法规 执行。
第七 十三 条 【生效 时间】 本 条例 由 自 年 月 日 起 施行。