全國網(wǎng)信系統(tǒng)網(wǎng)絡(luò)安全協(xié)調(diào)指揮技術(shù)系統(tǒng)建設(shè)指南

全國網(wǎng)信系統(tǒng)網(wǎng)絡(luò)安全協(xié)調(diào)指揮技術(shù)系統(tǒng)建設(shè)指南第一節(jié)一般規(guī)定第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任；（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第二十二條網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當符合相關(guān)國家標準的強制性要求。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風險時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當為其產(chǎn)品、服務(wù)持續(xù)提供安全維護；在規(guī)定或者當事人約定的期限內(nèi)，不得終止提供安全維護。網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當向用戶明示并取得同意；涉及用戶個人信息的，還應(yīng)當遵守本法和有關(guān)法律、行政法規(guī)關(guān)于個人信息保護的規(guī)定。第二十三條網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當按照相關(guān)國家標準的強制性要求，由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認證和安全檢測結(jié)果互認，避免重復(fù)認證、檢測。第二十四條網(wǎng)絡(luò)運營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時通訊等服務(wù)，在與用戶簽訂協(xié)議或者確認提供服務(wù)時，應(yīng)當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡(luò)運營者不得為其提供相關(guān)服務(wù)。國家實施網(wǎng)絡(luò)可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認證技術(shù)，推動不同電子身份認證之間的互認。第二十五條網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。第二十六條開展網(wǎng)絡(luò)安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當遵守國家有關(guān)規(guī)定。第二十七條任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序、工具；明知他人從事危害網(wǎng)絡(luò)安全的活動的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。第二十八條網(wǎng)絡(luò)運營者應(yīng)當為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助。第二十九條國家支持網(wǎng)絡(luò)運營者之間在網(wǎng)絡(luò)安全信息收集、分析、通報和應(yīng)急處置等方面進行合作，提高網(wǎng)絡(luò)運營者的安全保障能力。有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護規(guī)范和協(xié)作機制，加強對網(wǎng)絡(luò)安全風險的分析評估，定期向會員進行風險警示，支持、協(xié)助會員應(yīng)對網(wǎng)絡(luò)安全風險。第三十條網(wǎng)信部門和有關(guān)部門在履行網(wǎng)絡(luò)安全保護職責中獲取的信息，只能用于維護網(wǎng)絡(luò)安全的需要，不得用于其他用途。第二節(jié)關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全第三十一條國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護體系。第三十二條按照國務(wù)院規(guī)定的職責分工，負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門分別編制并組織實施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運行安全保護工作。第三十三條建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。第三十四條除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當履行下列安全保護義務(wù)：（一）設(shè)置專門安全管理機構(gòu)和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進行安全背景審查；（二）定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；（三）對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份；（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進行演練；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第三十五條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。第三十六條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責任。第三十七條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。第三十八條關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門。第三十九條國家網(wǎng)信部門應(yīng)當統(tǒng)籌協(xié)調(diào)有關(guān)部門對關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護采取下列措施：（一）對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對網(wǎng)絡(luò)存在的安全風險進行檢測評估；（二）定期組織關(guān)鍵信息基礎(chǔ)設(shè)施的運營者進行網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力；（三）促進有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運營者以及有關(guān)研究機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享；（四）對網(wǎng)絡(luò)安全事件的應(yīng)急處置與網(wǎng)絡(luò)功能的恢復(fù)等，提供技術(shù)支持和協(xié)助。第四章網(wǎng)絡(luò)信息安全第四十條網(wǎng)絡(luò)運營者應(yīng)當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。第四十一條網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。第四十二條網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。網(wǎng)絡(luò)運營者應(yīng)當采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。第四十三條個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權(quán)要求網(wǎng)絡(luò)運營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運營者收集、存儲的其個人信息有錯誤的，有權(quán)要求網(wǎng)絡(luò)運營者予以更正。網(wǎng)絡(luò)運營者應(yīng)當采取措施予以刪除或者更正。第四十四條任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。第四十五條依法負有網(wǎng)絡(luò)安全監(jiān)督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業(yè)秘密嚴格保密，不得泄露、出售或者非法向他人提供。第四十六條任何個人和組織應(yīng)當對其使用網(wǎng)絡(luò)的行為負責，不得設(shè)立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動的網(wǎng)站、通訊群組，不得利用網(wǎng)絡(luò)發(fā)布涉及實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動的信息。第四十七條網(wǎng)絡(luò)運營者應(yīng)當加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧?yīng)當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散，保存有關(guān)記錄，并向有關(guān)主管部門報告。第四十八條任何個人和組織發(fā)送的電子信息、提供的應(yīng)用軟件，不得設(shè)置惡意程序，不得含有法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔ⅰｋ娮有畔l(fā)送服務(wù)提供者和應(yīng)用軟件下載服務(wù)提供者，應(yīng)當履行安全管理義務(wù)，知道其用戶有前款規(guī)定行為的，應(yīng)當停止提供服務(wù)，采取消除等處置措施，保存有關(guān)記錄，并向有關(guān)主管部門報告。第四十九條網(wǎng)絡(luò)運營者應(yīng)當建立網(wǎng)絡(luò)信息安全投訴、舉報制度，公布投訴、舉報方式等信