A. 依法負有網路安全監督管理職責的部門及其工作人員必須對在履行職責中知悉的什
第一章總則第一條為了加強安全生產監督管理,防止和減少生產安全事故,保障人民群眾生命和財產安全,促進經濟發展,制定本法。
第二條在中華人民共和國領域內從事生產經營活動的單位(以下統稱生產經營單位)的安全生產,適用本法;有關法律、行政法規對消防安全和道路交通安全、鐵路交通安全、水上交通安全、民用航空安全另有規定的,適用其規定。
第三條安全生產管理,堅持安全第
一、預防為主的方針。
第四條生產經營單位必須遵守本法和其他有關安全生產的法律、法規,加強安全生產管理,建立、健全安全生產責任制度,完善安全生產條件,確保安全生產。
第五條生產經營單位的主要負責人對本單位的安全生產工作全面負責。
第六條生產經營單位的從業人員有依法獲得安全生產保障的權利,並應當依法履行安全生產方面的義務。
第七條工會依法組織職工參加本單位安全生產工作的民主管理和民主監督,維護職工在安全生產方面的合法權益。
第八條國務院和地方各級人民政府應當加強對安全生產工作的領導,支持、督促各有關部門依法履行安全生產監督管理職責。縣級以上人民政府對安全生產監督管理中存在的重大問題應當及時予以協調、解決。
第九條國務院負責安全生產監督管理的部門依照本法,對全國安全生產工作實施綜合監督管理;縣級以上地方各級人民政府負責安全生產監督管理的部門依照本法,對本行政區域內安全生產工作實施綜合監督管理。國務院有關部門依照本法和其他有關法律、行政法規的規定,在各自的職責范圍內對有關的安全生產工作實施監督管理;縣級以上地方各級人民政府有關部門依照本法和其他有關法律、法規的規定,在各自的職責范圍內對有關的安全生產工作實施監督管理。
第十條國務院有關部門應當按照保障安全生產的要求,依法及時制定有關的國家標准或者行業標准,並根據科技進步和經濟發展適時修訂。生產經營單位必須執行依法制定的保障安全生產的國家標准或者行業標准。
第十一條各級人民政府及其有關部門應當採取多種形式,加強對有關安全生產的法律、法規和安全生產知識的宣傳,提高職工的安全生產意識。
第十二條依法設立的為安全生產提供技術服務的中介機構,依照法律、行政法規和執業准則,接受生產經營單位的委託為其安全生產工作提供技術服務。
第十三條國家實行生產安全事故責任追究制度,依照本法和有關法律、法規的規定,追究生產安全事故責任人員的法律責任。
第十四條國家鼓勵和支持安全生產科學技術研究和安全生產先進技術的推廣應用,提高安全生產水平。
第十五條國家對在改善安全生產條件、防止生產安全事故、參加搶險救護等方面取得顯著成績的單位和個人,給予獎勵。第二章生產經營單位的安全生產保障
第十六條生產經營單位應當具備本法和有關法律、行政法規和國家標准或者行業標准規定的安全生產條件;不具備安全生產條件的,不得從事生產經營活動。
第十七條生產經營單位的主要負責人對本單位安全生產工作負有下列職責:
(一)建立、健全本單位安全生產責任制;
(二)組織制定本單位安全生產規章制度和操作規程;
(三)保證本單位安全生產投入的有效實施;
(四)督促、檢查本單位的安全生產工作,及時消除生產安全事故隱患;
(五)組織制定並實施本單位的生產安全事故應急救援預案;
(六)及時、如實報告生產安全事故。
第十八條生產經營單位應當具備的安全生產條件所必需的資金投入,由生產經營單位的決策機構、主要負責人或者個人經營的投資人予以保證,並對由於安全生產所必需的資金投入不足導致的後果承擔責任。
第十九條礦山、建築施工單位和危險物品的生產、經營、儲存單位,應當設置安全生產管理機構或者配備專職安全生產管理人員。前款規定以外的其他生產經營單位,從業人員超過三百人的,應當設置安全生產管理機構或者配備專職安全生產管理人員;從業人員在三百人以下的,應當配備專職或者兼職的安全生產管理人員,或者委託具有國家規定的相關專業技術資格的工程技術人員提供安全生產管理服務。生產經營單位依照前款規定委託工程技術人員提供安全生產管理服務的,保證安全生產的責任仍由本單位負責。
第二十條生產經營單位的主要負責人和安全生產管理人員必須具備與本單位所從事的生產經營活動相應的安全生產知識和管理能力。危險物品的生產、經營、儲存單位以及礦山、建築施工單位的主要負責人和安全生產管理人員,應當由有關主管部門對其安全生產知識和管理能力考核合格後方可任職。考核不得收費。
第二十一條生產經營單位應當對從業人員進行安全生產教育和培訓,保證從業人員具備必要的安全生產知識,熟悉有關的安全生產規章制度和安全操作規程,掌握本崗位的安全操作技能。未經安全生產教育和培訓合格的從業人員,不得上崗作業。
第二十二條生產經營單位採用新工藝、新技術、新材料或者使用新設備,必須了解、掌握其安全技術特性,採取有效的安全防護措施,並對從業人員進行專門的安全生產教育和培訓。
第二十三條生產經營單位的特種作業人員必須按照國家有關規定經專門的安全作業培訓,取得特種作業操作資格證書,方可上崗作業。特種作業人員的范圍由國務院負責安全生產監督管理的部門會同國務院有關部門確定。
第二十四條生產經營單位新建、改建、擴建工程項目(以下統稱建設項目)的安全設施,必須與主體工程同時設計、同時施工、同時投入生產和使用。安全設施投資應當納入建設項目概算。
第二十五條礦山建設項目和用於生產、儲存危險物品的建設項目,應當分別按照國家有關規定進行安全條件論證和安全評價。
第二十六條建設項目安全設施的設計人、設計單位應當對安全設施設計負責。礦山建設項目和用於生產、儲存危險物品的建設項目的安全設施設計應當按照國家有關規定報經有關部門審查,審查部門及其負責審查的人員對審查結果負責。
第二十七條礦山建設項目和用於生產、儲存危險物品的建設項目的施工單位必須按照批準的安全設施設計施工,並對安全設施的工程質量負責。礦山建設項目和用於生產、儲存危險物品的建設項目竣工投入生產或者使用前,必須依照有關法律、行政法規的規定對安全設施進行驗收;驗收合格後,方可投入生產和使用。驗收部門及其驗收人員對驗收結果負責。
第二十八條生產經營單位應當在有較大危險因素的生產經營場所和有關設施、設備上,設置明顯的安全警示標志。
第二十九條安全設備的設計、製造、安裝、使用、檢測、維修、改造和報廢,應當符合國家標准或者行業標准。生產經營單位必須對安全設備進行經常性維護、保養,並定期檢測,保證正常運轉。維護、保養、檢測應當作好記錄,並由有關人員簽字。
第三十條生產經營單位使用的涉及生命安全、危險性較大的特種設備,以及危險物品的容器、運輸工具,必須按照國家有關規定,由專業生產單位生產,並經取得專業資質的檢測、檢驗機構檢測、檢驗合格,取得安全使用證或者安全標志,方可投入使用。檢測、檢驗機構對檢測、檢驗結果負責。涉及生命安全、危險性較大的特種設備的目錄由國務院負責特種設備安全監督管理的部門制定,報國務院批准後執行。
第三十一條國家對嚴重危及生產安全的工藝、設備實行淘汰制度。生產經營單位不得使用國家明令淘汰、禁止使用的危及生產安全的工藝、設備。
第三十二條生產、經營、運輸、儲存、使用危險物品或者處置廢棄危險物品的,由有關主管部門依照有關法律、法規的規定和國家標准或者行業標准審批並實施監督管理。生產經營單位生產、經營、運輸、儲存、使用危險物品或者處置廢棄危險物品,必須執行有關法律、法規和國家標准或者行業標准,建立專門的安全管理制度,採取可靠的安全措施,接受有關主管部門依法實施的監督管理。第三十三條生產經營單位對重大危險源應當登記建檔,進行定期檢測、評估、監控,並制定應急預案,告知從業人員和相關人員在緊急情況下應當採取的應急措施。生產經營單位應當按照國家有關規定將本單位重大危險源及有關安全措施、應急措施報有關地方人民政府負責安全生產監督管理的部門和有關部門備案。
第三十四條生產、經營、儲存、使用危險物品的車間、商店、倉庫不得與員工宿舍在同一座建築物內,並應當與員工宿舍保持安全距離。生產經營場所和員工宿舍應當設有符合緊急疏散要求、標志明顯、保持暢通的出口。禁止封閉、堵塞生產經營場所或者員工宿舍的出口。
第三十五條生產經營單位進行爆破、吊裝等危險作業,應當安排專門人員進行現場安全管理,確保操作規程的遵守和安全措施的落實。
第三十六條生產經營單位應當教育和督促從業人員嚴格執行本單位的安全生產規章制度和安全操作規程;並向從業人員如實告知作業場所和工作崗位存在的危險因素、防範措施以及事故應急措施。
第三十七條生產經營單位必須為從業人員提供符合國家標准或者行業標準的勞動防護用品,並監督、教育從業人員按照使用規則佩戴、使用。
第三十八條生產經營單位的安全生產管理人員應當根據本單位的生產經營特點,對安全生產狀況進行經常性檢查;對檢查中發現的安全問題,應當立即處理;不能處理的,應當及時報告本單位有關負責人。檢查及處理情況應當記錄在案。
第三十九條生產經營單位應當安排用於配備勞動防護用品、進行安全生產培訓的經費。
第四十條兩個以上生產經營單位在同一作業區域內進行生產經營活動,可能危及對方生產安全的,應當簽訂安全生產管理協議,明確各自的安全生產管理職責和應當採取的安全措施,並指定專職安全生產管理人員進行安全檢查與協調。
第四十一條生產經營單位不得將生產經營項目、場所、設備發包或者出租給不具備安全生產條件或者相應資質的單位或者個人。生產經營項目、場所有多個承包單位、承租單位的,生產經營單位應當與承包單位、承租單位簽訂專門的安全生產管理協議,或者在承包合同、租賃合同中約定各自的安全生產管理職責;生產經營單位對承包單位、承租單位的安全生產工作統一協調、管理。
第四十二條生產經營單位發生重大生產安全事故時,單位的主要負責人應當立即組織搶救,並不得在事故調查處理期間擅離職守。
第四十三條生產經營單位必須依法參加工傷社會保險,為從業人員繳納保險費。
法律依據:
《中華人民共和國網路安全法》第四十四條任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第四十五條依法負有網路安全監督管理職責的部門及其工作人員,必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
B. 《網路安全法》解讀系列之四——關鍵信息基礎設施安全要求
【第三十一條】
國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網路運營者自願參與關鍵信息基礎設施保護體系。
解讀
本條款定義了關鍵信息基礎設施的范圍,強調了必須落實網路安全等級保護制度,並進行重點保護。國務院將制定相應的關鍵信息基礎設施安全保護辦法。
【第三十二條】
按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制並組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作。
解讀
本條款說明了要制定關鍵信息基礎設施安全規劃,和誰來負責制定規劃。
C. 網路安全法的法律依據與現行的哪些法律有關
網路的安全
指通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。網路安全的具體含義會隨著「角度」的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護。而從企業的角度來說,最重要的就是內部信息上的安全加密以及保護。
網路安全法的法律依據
一、關於保障網路產品和服務安全
維護網路安全,首先要保障網路產品和服務的安全。草案主要作了以下規定:一是,明確網路產品和服務提供者的安全義務,包括:不得設置惡意程序,及時向用戶告知安全缺陷、漏洞等風險,持續提供安全維護服務等(草案第十八條)。二是,總結實踐經驗,將網路關鍵設備和網路安全專用產品的安全認證和安全檢測制度上升為法律並作了必要的規范(草案第十九條)。三是,建立關鍵信息基礎設施運營者采購網路產品、服務的安全審查制度,規定:關鍵信息基礎設施的運營者采購網路產品或者服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的安全審查(草案第三十條)。
二、關於保障網路運行安全
保障網路運行安全,必須落實網路運營者第一責任人的責任。據此,草案將現行的網路安全等級保護制度上升為法律,要求網路運營者按照網路安全等級保護制度的要求,採取相應的管理措施和技術防範等措施,履行相應的網路安全保護義務。(草案第十七條)
為了保障關鍵信息基礎設施安全,維護國家安全、經濟安全和保障民生,草案設專節對關鍵信息基礎設施的運行安全作了規定,實行重點保護。范圍包括基礎信息網路、重要行業和領域的重要信息系統、軍事網路、重要政務網路、用戶數量眾多的商業網路等。並對關鍵信息基礎設施安全保護辦法的制定、負責安全保護工作的部門、運營者的安全保護義務、有關部門的監督和支持等作了規定。(草案第二十五條至第二十九條、第三十二條、第三十三條)
三、關於保障網路數據安全
隨著雲計算、大數據等技術的發展和應用,網路數據安全對維護國家安全、經濟安全,保護公民合法權益,促進數據利用至為重要。為此,草案作了以下規定:一是,要求網路運營者採取數據分類、重要數據備份和加密等措施,防止網路數據被竊取或者篡改(草案第十七條)。二是,加強對公民個人信息的保護,防止公民個人信息數據被非法獲取、泄露或者非法使用(草案第三十四條至第三十九條)。三是,要求關鍵信息基礎設施的運營者在境內存儲公民個人信息等重要數據;確需在境外存儲或者向境外提供的,應當按照規定進行安全評估(草案第三十一條)。
四、關於保障網路信息安全
2012年全國人大常委會關於加強網路信息保護的決定對規范網路信息傳播活動作了原則規定。草案堅持加強網路信息保護的決定確立的原則,進一步完善了相關管理制度。一是,確立決定規定的網路身份管理制度即網路實名制,以保障網路信息的可追溯(草案第二十條)。二是,明確網路運營者處置違法信息的義務,規定:網路運營者發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告(草案第四十條)。三是規定,發送電子信息、提供應用軟體不得含有法律、行政法規禁止發布或者傳輸的信息(草案第四十一條)。四是規定,為維護國家安全和偵查犯罪的需要,偵查機關依照法律規定,可以要求網路運營者提供必要的支持與協助(草案第二十三條)。五是,賦予有關主管部門處置違法信息、阻斷違法信息傳播的權力(草案第四十三條)。
D. 中華人民共和國網路安全法的草案全文
第一章總則
第二章網路安全戰略、規劃與促進
第三章網路運行安全
第一節一般規定
第二節關鍵信息基礎設施的運行安全
第四章網路信息安全
第五章監測預警與應急處置
第六章法律責任
第七章附則 第一章總則
第一條為了保障網路安全,維護網路空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展,制定本法。
第二條在中華人民共和國境內建設、運營、維護和使用網路,以及網路安全的監督管理,適用本法。
第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設,鼓勵網路技術創新和應用,建立健全網路安全保障體系,提高網路安全保護能力。
第四條國家倡導誠實守信、健康文明的網路行為,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。
第五條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間。
第六條國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院工業和信息化、公安部門和其他有關部門依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方人民政府有關部門的網路安全保護和監督管理職責按照國家有關規定確定。
第七條建設、運營網路或者通過網路提供服務,應當依照法律、法規的規定和國家標准、行業標準的強制性要求,採取技術措施和其他必要措施,保障網路安全、穩定運行,有效應對網路安全事件,防範違法犯罪活動,維護網路數據的完整性、保密性和可用性。
第八條網路相關行業組織按照章程,加強行業自律,制定網路安全行為規范,指導會員依法加強網路安全保護,提高網路安全保護水平,促進行業健康發展。
第九條國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法和法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、宣揚恐怖主義和極端主義、宣揚民族仇恨和民族歧視、傳播淫穢色情信息、侮辱誹謗他人、擾亂社會秩序、損害公共利益、侵害他人知識產權和其他合法權益等活動。
第十條任何個人和組織都有權對危害網路安全的行為向網信、工業和信息化、公安等部門舉報。收到舉報的部門應當及時依法作出處理;不屬於本部門職責的,應當及時移送有權處理的部門。
第二章網路安全戰略、規劃與促進
第十一條國家制定網路安全戰略,明確保障網路安全的基本要求和主要目標,提出完善網路安全保障體系、提高網路安全保護能力、促進網路安全技術和產業發展、推進全社會共同參與維護網路安全的政策措施等。
第十二條國務院通信、廣播電視、能源、交通、水利、金融等行業的主管部門和國務院其他有關部門應當依據國家網路安全戰略,編制關系國家安全、國計民生的重點行業、重要領域的網路安全規劃,並組織實施。
第十三條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責,組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業參與網路安全國家標准、行業標準的制定,並鼓勵企業制定嚴於國家標准、行業標準的企業標准。
第十四條國務院和省、自治區、直轄市人民政府應當統籌規劃,加大投入,扶持重點網路安全技術產業和項目,支持網路安全技術的研究開發、應用和推廣,保護網路技術知識產權,支持科研機構、高等院校和企業參與國家網路安全技術創新項目。
第十五條各級人民政府及其有關部門應當組織開展經常性的網路安全宣傳教育,並指導、督促有關單位做好網路安全宣傳教育工作。
大眾傳播媒介應當有針對性地面向社會進行網路安全宣傳教育。
第十六條國家支持企業和高等院校、職業學校等教育培訓機構開展網路安全相關教育與培訓,採取多種方式培養網路安全技術人才,促進網路安全技術人才交流。
第三章網路運行安全
第一節一般規定
第十七條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路入侵等危害網路安全行為的技術措施;
(三)採取記錄、跟蹤網路運行狀態,監測、記錄網路安全事件的技術措施,並按照規定留存網路日誌;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
網路安全等級保護的具體辦法由國務院規定。
第十八條網路產品、服務應當符合相關國家標准、行業標准。網路產品、服務的提供者不得設置惡意程序;其產品、服務具有收集用戶信息功能的,應當向用戶明示並取得同意;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當及時向用戶告知並採取補救措施。
網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期間內,不得終止提供安全維護。
第十九條網路關鍵設備和網路安全專用產品應當按照相關國家標准、行業標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售。國家網信部門會同國務院有關部門制定、公布網路關鍵設備和網路安全專用產品目錄,並推動安全認證和安全檢測結果互認,避免重復認證、檢測。
第二十條網路運營者為用戶辦理網路接入、域名注冊服務,辦理固定電話、行動電話等入網手續,或者為用戶提供信息發布服務,應當在與用戶簽訂協議或者確認提供服務時,要求用戶提供真實身份信息。用戶不提供真實身份信息的,網路運營者不得為其提供相關服務。
國家支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證技術之間的互認、通用。
第二十一條網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路入侵、網路攻擊等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十二條任何個人和組織不得從事入侵他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供從事入侵網路、干擾網路正常功能、竊取網路數據等危害網路安全活動的工具和製作方法;不得為他人實施危害網路安全的活動提供技術支持、廣告推廣、支付結算等幫助。
第二十三條為國家安全和偵查犯罪的需要,偵查機關依照法律規定,可以要求網路運營者提供必要的支持與協助。
第二十四條國家支持網路運營者之間開展網路安全信息收集、分析、通報和應急處置等方面的合作,提高網路運營者的安全保障能力。
有關行業組織建立健全本行業的網路安全保護規范和協作機制,加強對網路安全風險的分析評估,定期向會員進行風險警示,支持、協助會員應對網路安全風險。
第二節關鍵信息基礎設施的運行安全
第二十五條國家對提供公共通信、廣播電視傳輸等服務的基礎信息網路,能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統,軍事網路,設區的市級以上國家機關等政務網路,用戶數量眾多的網路服務提供者所有或者管理的網路和系統(以下稱關鍵信息基礎設施),實行重點保護。關鍵信息基礎設施安全保護辦法由國務院制定。
第二十六條國務院通信、廣播電視、能源、交通、水利、金融等行業的主管部門和國務院其他有關部門(以下稱負責關鍵信息基礎設施安全保護工作的部門)按照國務院規定的職責,分別負責指導和監督關鍵信息基礎設施運行安全保護工作。
第二十七條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,並保證安全技術措施同步規劃、同步建設、同步使用。
第二十八條除本法第十七條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網路安全教育、技術培訓和技能考核;
(三)對重要系統和資料庫進行容災備份;
(四)制定網路安全事件應急預案,並定期組織演練;
(五)法律、行政法規規定的其他義務。
第二十九條關鍵信息基礎設施的運營者采購網路產品和服務,應當與提供者簽訂安全保密協議,明確安全和保密義務與責任。
第三十條關鍵信息基礎設施的運營者采購網路產品或者服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的安全審查。具體辦法由國務院規定。
第三十一條關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲在運營中收集和產生的公民個人信息等重要數據;因業務需要,確需在境外存儲或者向境外的組織或者個人提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。法律、行政法規另有規定的從其規定。
第三十二條關鍵信息基礎設施的運營者應當自行或者委託專業機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並對檢測評估情況及採取的改進措施提出網路安全報告,報送相關負責關鍵信息基礎設施安全保護工作的部門。
第三十三條國家網信部門應當統籌協調有關部門,建立協作機制。對關鍵信息基礎設施的安全保護可以採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託專業檢驗檢測機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高關鍵信息基礎設施應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施運營者以及網路安全服務機構、有關研究機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與恢復等,提供技術支持與協助。
第四章網路信息安全
第三十四條網路運營者應當建立健全用戶信息保護制度,加強對用戶個人信息、隱私和商業秘密的保護。
第三十五條網路運營者收集、使用公民個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,並經被收集者同意。
網路運營者不得收集與其提供的服務無關的公民個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用公民個人信息,並應當依照法律、行政法規的規定或者與用戶的約定,處理其保存的公民個人信息。
網路運營者收集、使用公民個人信息,應當公開其收集、使用規則。
第三十六條網路運營者對其收集的公民個人信息必須嚴格保密,不得泄露、篡改、毀損,不得出售或者非法向他人提供。
網路運營者應當採取技術措施和其他必要措施,確保公民個人信息安全,防止其收集的公民個人信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即採取補救措施,告知可能受到影響的用戶,並按照規定向有關主管部門報告。
第三十七條公民發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。
第三十八條任何個人和組織不得竊取或者以其他非法方式獲取公民個人信息,不得出售或者非法向他人提供公民個人信息。
第三十九條依法負有網路安全監督管理職責的部門,必須對在履行職責中知悉的公民個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。
第四十條網路運營者應當加強對其用戶發布的信息的管理,發現法律、行政法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
第四十一條電子信息發送者發送的電子信息,應用軟體提供者提供的應用軟體不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息。
電子信息發送服務提供者和應用軟體下載服務提供者,應當履行安全管理義務,發現電子信息發送者、應用軟體提供者有前款規定行為的,應當停止提供服務,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。
第四十二條網路運營者應當建立網路信息安全投訴、舉報平台,公布投訴、舉報方式等信息,及時受理並處理有關網路信息安全的投訴和舉報。
第四十三條國家網信部門和有關部門依法履行網路安全監督管理職責,發現法律、行政法規禁止發布或者傳輸的信息的,應當要求網路運營者停止傳輸,採取消除等處置措施,保存有關記錄;對來源於中華人民共和國境外的上述信息,應當通知有關機構採取技術措施和其他必要措施阻斷信息傳播。
第五章監測預警與應急處置
第四十四條國家建立網路安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網路安全信息收集、分析和通報工作,按照規定統一發布網路安全監測預警信息。
第四十五條負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網路安全監測預警和信息通報制度,並按照規定報送網路安全監測預警信息。
第四十六條國家網信部門協調有關部門建立健全網路安全應急工作機制,制定網路安全事件應急預案,並定期組織演練。
負責關鍵信息基礎設施安全保護工作的部門應當制定本行業、本領域的網路安全事件應急預案,並定期組織演練。
網路安全事件應急預案應當按照事件發生後的危害程度、影響范圍等因素對網路安全事件進行分級,並規定相應的應急處置措施。
第四十七條網路安全事件即將發生或者發生的可能性增大時,縣級以上人民政府有關部門應當依照有關法律、行政法規和國務院規定的許可權和程序,發布相應級別的預警信息,並根據即將發生的事件的特點和可能造成的危害,採取下列措施:
(一)要求有關部門、機構和人員及時收集、報告有關信息,加強對網路安全事件發生、發展情況的監測;
(二)組織有關部門、機構和專業人員,對網路安全事件信息進行分析評估,預測事件發生的可能性、影響范圍和危害程度;
(三)向社會發布與公眾有關的預測信息和分析評估結果;
(四)按照規定向社會發布可能受到網路安全事件危害的警告,發布避免、減輕危害的措施。
第四十八條發生網路安全事件,縣級以上人民政府有關部門應當立即啟動網路安全事件應急預案,對網路安全事件進行調查和評估,要求網路運營者採取技術措施和其他必要措施,消除安全隱患,防止危害擴大,並及時向社會發布與公眾有關的警示信息。
第四十九條因網路安全事件,發生突發事件或者安全生產事故的,應當依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律的規定處置。
第五十條因維護國家安全和社會公共秩序,處置重大突發社會安全事件的需要,國務院或者省、自治區、直轄市人民政府經國務院批准,可以在部分地區對網路通信採取限制等臨時措施。
第六章法律責任
第五十一條網路運營者不履行本法第十七條、第二十一條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處一萬元以上十萬元以下罰款;對直接負責的主管人員處五千元以上五萬元以下罰款。
關鍵信息基礎設施的運營者不履行本法第二十七條至第二十九條、第三十二條規定的網路安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款。
第五十二條網路產品、服務的提供者,電子信息發送者,應用軟體提供者違反本法規定,有下列行為之一的,由有關主管部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處五萬元以上五十萬元以下罰款;對直接負責的主管人員處一萬元以上十萬元以下罰款:
(一)設置惡意程序的;
(二)其產品、服務具有收集用戶信息功能,未向用戶明示並取得同意的;
(三)對其產品、服務存在的安全缺陷、漏洞等風險未及時向用戶告知並採取補救措施的;
(四)擅自終止為其產品、服務提供安全維護的。
第五十三條網路運營者違反本法規定,未要求用戶提供真實身份信息,或者對不提供真實身份信息的用戶提供相關服務的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,並可以由有關主管部門責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第五十四條網路運營者違反本法規定,侵害公民個人信息依法得到保護的權利的,由有關主管部門責令改正,可以根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處五十萬元以下罰款;情節嚴重的,可以責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
違反本法規定,竊取或者以其他方式非法獲取、出售或者非法向他人提供公民個人信息,尚不構成犯罪的,由公安機關沒收違法所得,並處違法所得一倍以上十倍以下罰款,沒有違法所得的,處五十萬元以下罰款。
第五十五條關鍵信息基礎設施的運營者違反本法第三十條規定,使用未經安全審查或者安全審查未通過的網路產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第五十六條關鍵信息基礎設施的運營者違反本法規定,在境外存儲網路數據,或者未經安全評估向境外的組織或者個人提供網路數據的,由有關主管部門責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第五十七條網路運營者違反本法規定,對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、採取消除等處置措施、保存有關記錄的,由有關主管部門責令改正,給予警告,沒收違法所得;拒不改正或者情節嚴重的,處十萬元以上五十萬元以下罰款,並可以責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處二萬元以上二十萬元以下罰款。
電子信息發送服務提供者、應用軟體下載服務提供者,未履行本法規定的安全義務的,依照前款規定處罰。
第五十八條發布或者傳輸法律、行政法規禁止發布或者傳輸的信息的,依照有關法律、行政法規的規定處罰。
第五十九條網路運營者違反本法規定,有下列行為之一的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款;對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款:
(一)未將網路安全風險、網路安全事件向有關主管部門報告的;
(二)拒絕、阻礙有關部門依法實施的監督檢查的;
(三)拒不提供必要的支持與協助的。
第六十條有本法第二十二條規定的危害網路安全的行為,尚不構成犯罪的,或者有其他違反本法規定的行為,構成違反治安管理行為的,依法給予治安管理處罰。
第六十一條國家機關政務網路的運營者不履行本法規定的網路安全保護義務的,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接責任人員依法給予處分。
第六十二條依法負有網路安全監督管理職責的部門的工作人員,玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予行政處分。
第六十三條違反本法規定,給他人造成損害的,依法承擔民事責任。
第六十四條違反本法規定,構成犯罪的,依法追究刑事責任。
第七章附則
第六十五條本法下列用語的含義:
(一)網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的網路和系統。
(二)網路安全,是指通過採取必要措施,防範對網路的攻擊、入侵、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路存儲、傳輸、處理信息的完整性、保密性、可用性的能力。
(三)網路運營者,是指網路的所有者、管理者以及利用他人所有或者管理的網路提供相關服務的網路服務提供者,包括基礎電信運營者、網路信息服務提供者、重要信息系統運營者等。
(四)網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。
(五)公民個人信息,是指以電子或者其他方式記錄的公民的姓名、出生日期、身份證件號碼、個人生物識別信息、職業、住址、電話號碼等個人身份信息,以及其他能夠單獨或者與其他信息結合能夠識別公民個人身份的各種信息。
第六十六條存儲、處理涉及國家秘密信息的網路的運行安全保護,除應當遵守本法外,還應當遵守保密法律、行政法規的規定。
第六十七條軍事網路和信息安全保護辦法,由中央軍事委員會制定。
第六十八條本法自年月日起施行。
E. 重要數據出境前如何安全評估
(一)明確傳輸的是否為 受監管的特殊數據信息,如:
1)個人信息數據,則:
個人信息出境前達量必須進行安全評估:
1.處理個人信息達到100萬人;
2.向境外提供超過10萬人以上個人信息;
3、累計向境外提供超過1萬人以上個人敏感信息;
2)重要數據, 出境前需要進行安全評估 :
重要數據界定:
1.《網路安全法》的規定, 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據 以境內存儲為原則,確需出境的,需要進行安全評估。
2.的《汽車數據安全管理若干規定(試行)》,其中第三條[6]明確例舉了構成汽車行業重要數據的數據, 例如重要敏感區域的地理信息、人員流量、車輛流量數據,車輛流量、物流等反映經濟運行情況的數據 等。
3.國家互聯網信息辦公室於2021年11月14日發布的《網路數據安全管理條例(徵求意見稿)》中列舉:
(1)未公開的政務數據、純亂凳工作秘密、情報數據和執法司法數據;(2)出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智慧等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;(3)國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等;(4)工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據,關鍵系統組件、設備供應鏈數據;(5)達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據;(6)國家基礎設施、關鍵信息基礎設施建設運行及其安全數據,國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據;(7)其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。
(二)數據信息出境:並不代表境內數據處理者對數據的義務的終結。 處理者應有境外數據情況清晰的了解和把控,負有報告義務。
參考《網路數據安全管理條例(徵求意見稿)》第四十條的規定, 向境外提供個人信息和重要數據的數據處理者 ,應當在每年1月31日前編制數據出境安全報告,向設區的市級網信部門報告上一年度以下數據出境情況:(一)全部數據接收方名稱、聯系方式;(二)出境數據的類型、數量及目的;(三)數據在境外的存放地點、存儲期限、使用范圍和方式;(四)涉及向境外提供數據的用戶投訴及處理情況;(五)發生的數據安全事件及其處置情況;(六)數據出境後再轉移的情況;(七)國家網信部門明確向境外提供數據陪余需要報告的其他事項。
(二) 核實第三方數做旅據來源的合法性、正當性( 前期安全盡調、要求第三方簽訂承諾書、保證書等):
1)《數據安全法》第三十二條的規定,任何組織、個人收集數據,都必須採取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。
2)《數據安全法》第五十一條的規定,竊取或者以其他非法方式獲取數據,開展數據活動排除、限制競爭,或者損害個人、組織合法權益的,按照有關法律、行政法規的規定處罰,從而進一步援引至《網路安全法》、《刑法》、《反壟斷法》、《個人信息保護法》等規定。
(三) 設立數據安全管理制度,採取技術和必要措施保障數據傳輸安全。
網路安全等級保護認證,採取數據分類分級管理、風險評估、監測預警和應急處置等數據安全管理各項基本制度;
1) 數據分級分類:網路安全標准實踐指南——數據分類分級指引(徵求意見稿)
分類:
a)個人信息:一般個人信息;敏感個人信息
b) 公共數據;
c) 法人數據;
2)數據出境安全評估 :無論數據處理者的數據出境活動是否觸發安全評估申報的要求,其在向境外提供數據前均應事先開展數據出境風險自評估。—《數據出境安全評估辦法(徵求意見稿)》
第五條 數據處理者在向境外提供數據前,應事先開展數據出境風險自評估,重點評估以下事項:
(一)數據出境及境外接收方處理數據的目的、范圍、方式等的合法性、正當性、必要性;
(二)出境數據的數量、范圍、種類、敏感程度,數據出境可能對國家安全、公共利益、個人或者組織合法權益帶來的風險;
(三)數據處理者在數據轉移環節的管理和技術措施、能力等能否防範數據泄露、毀損等風險;
(四)境外接收方承諾承擔的責任義務,以及履行責任義務的管理和技術措施、能力等能否保障出境數據的安全;
(五)數據出境和再轉移後泄露、毀損、篡改、濫用等的風險,個人維護個人信息權益的渠道是否通暢等;
(六)與境外接收方訂立的數據出境相關合同是否充分約定了數據安全保護責任義務。
第九條 數據處理者與境外接收方訂立的合同 充分約定數據安全保護責任義務,應當包括但不限於以下內容:
(一)數據出境的目的、方式和數據范圍,境外接收方處理數據的用途、方式等;
(二)數據在境外保存地點、期限,以及達到保存期限、完成約定目的或者合同終止後出境數據的處理措施;
(三)限制境外接收方將出境數據再轉移給其他組織、個人的約束條款;
(四)境外接收方在實際控制權或者經營范圍發生實質性變化,或者所在國家、地區法律環境發生變化導致難以保障數據安全時,應當採取的安全措施;
(五)違反數據安全保護義務的違約責任和具有約束力且可執行的爭議解決條款;
(六)發生數據泄露等風險時,妥善開展應急處置,並保障個人維護個人信息權益的通暢渠道。
(四) 發生數據安全事件的報告義務
根據《數據安全法》第二十九條的規定,開展數據活動應當加強風險監測,在發現數據安全缺陷、漏洞等風險時,應當立即採取處置措施;發生數據安全事件時,應當按照規定及時告知用戶並向有關主管部門報告。
《數據安全管理辦法》第三十五條,即發生個人信息泄露、毀損、丟失等數據安全事件,或者發生數據安全事件風險明顯加大時,網路運營者應當立即採取補救措施,及時以電話、簡訊、郵件或信函等方式告知個人信息主體,並按要求向行業主管監管部門和網信部門報告。
( 五)遇域外執法時的先行報告義務
根據《數據安全法》第三十六條規定,境外執法機構要求提供數據的請求,非經中華人民共和國主管機關批准,我國境內的組織、個人不得提供。
《數據安全法》第四十八條第二款規定,未經主管機關批准向外國司法或者執法機構提供數據的,由有關主管部門給予警告,可以並處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重後果的,處一百萬元以上五百萬元以下罰款,並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。
F. 什麼情況下會觸犯密碼法
《中.華人.民共.和國密碼法》
第四章法.律責任
第三十二條違反本法第十二條規定,竊取他人加密保護的信息,非法侵入他人的密碼保.障系統,或者利.用密碼從事危害國.家安全、社.會公共利益、他人合法權益等違法活動的,由有關部門依照《中.華人.民共.和國網路安全法》和其他有關法.律、行政.法規的規定追究法.律責任。
第三十三.條違反本法第十四條規定,未按照要求使用核心密碼、普通密碼的,由密碼管理部門責令改正或者停止違法行為,給予警告;情節嚴重的,由密碼管理部門建議有關國.家機.關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十四條違反本法規定,發生核心密碼、普通密碼泄密案.件的,由保密行政管理部門、密碼管理部門建議有關國.家機.關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
違反本法第十七條第二款規定,發現核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問題、風險隱患,未立即採取應對措施,或者未及時.報告的,由保密行政管理部門、密碼管理部門建議有關國.家機.關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十五條商用密碼檢測、認證機.構違反本法第二十五條第二款、第三款規定開展商用密碼檢測認證的,由市場監.督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下罰款;情節嚴重的,依法吊銷相關資質。
第三十六條違反本法第二十六條規定,銷.售或者提.供未經檢測認證或者檢測認證不合格的商用密碼產品,或者提.供未經認證或者認證不合格的商用密碼服.務的,由市場監.督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足十萬元的,可以並處三萬元以上十萬元以下罰款。
第三十七條關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
關鍵信息基礎設施的運營者違反本法第二十七條第二款規定,使用未經安全審.查或者安全審.查未通.過的產品或者服.務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第三十八條違反本法第二十八條實施進口許可、出口管.制的規定,進出口商用密碼的,由國.務.院商.務主管部門或者海.關依法予以處罰。
第三十九條違反本法第二十九條規定,未經認定從事電子政務電子認證服.務的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得三十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下罰款。
第四十條密碼管理部門和有關部門、單位的工作人員在密碼工作中濫用職權、玩忽職守、徇私舞弊,或者泄.露、非法向他人提.供在履行職責中知悉的商業秘密和個人隱私的,依法給予處分。
第四十一條違反本法規定,構成犯罪的,依法追究刑事責任;給他人造成損害的,依法承擔民事責任。