一、《计算机信息网络国际联网安全保护管理办法》
二、《中华人民共和国计算机信息系统安全保护条例》
三、《中华人民共和国个人信息保护法》
四、《互联网信息服务管理办法》
五、《河南省信息化条例》
六、《中华人民共和国政府信息公开条例》
七、《中华人民共和国网络安全法》
一、《计算机信息网络国际联网安全保护管理办法》
(1997年12月11日国务院批准 1997年12月16日公安部令第33号发布 根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)第一章 总则
第一条 为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。第二条 中华人民共和国境内的计算机信息网络国际联网安全保护管理,适用本办法。
第三条 公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。
公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全,维护从事国际联网业务的单位和个人的合法权益和公众利益。
第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权,推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反宪法和法律、行政法规的。
第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。
第二章 安全保护责任
第八条 从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。第九条 国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。
第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在24小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。
第十一条 用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。
第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。
第十三条 使用公用账号的注册者应当加强对公用账号的管理,建立账号使用登记制度。用户账号不得转借、转让。
第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。
前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。
第三章 安全监督
第十五条 省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机构负责国际联网的安全保护管理工作。第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。
第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。
公安机关计算机管理监察机构在组织安全检查时,有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题,应当提出改进意见,作出详细记录,存档备查。
第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时,应当通知有关单位关闭或者删除。
第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件,对违反本办法第四条、第七条规定的违法犯罪行为,应当按照国家有关规定移送有关部门或者司法机关处理。
第四章 法律责任
第二十条 违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚法的规定处罚;构成犯罪的,依法追究刑事责任。第二十一条 有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。
(一)未建立安全保护管理制度的;
(二)未采取安全技术保护措施的;
(三)未对网络用户进行安全教育和培训的;
(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;
(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;
(六)未建立电子公告系统的用户登记和信息管理制度的;
(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;
(八)未建立公用账号使用登记制度的;
(九)转借、转让用户账号的。
第二十二条 违反本办法第四条、第七条规定的,依照有关法律、法规予以处罚。
第二十三条 违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过6个月的处罚。
第五章 附则
第二十四条 与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管理,参照本办法执行。第二十五条 本办法自1997年12月30日起施行。
二、《中华人民共和国计算机信息系统安全保护条例》
(1994年2月18日中华人民共和国国务院令第147号发布 根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)
第一章 总则
第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条 公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
第二章 安全保护制度
第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条 计算机机房应当符合国家标准和国家有关规定。
在计算机机房附近施工,不得危害计算机信息系统的安全。
第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。
第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。
第十三条 计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。
第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
第十五条 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。
第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。
第三章 安全监督
第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权:(一)监督、检查、指导计算机信息系统安全保护工作;
(二)查处危害计算机信息系统安全的违法犯罪案件;
(三)履行计算机信息系统安全保护工作的其他监督职责。
第十八条 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。
第十九条 公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。
第四章 法律责任
第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
(二)违反计算机信息系统国际联网备案制度的;
(三)不按照规定时间报告计算机信息系统中发生的案件的;
(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
(五)有危害计算机信息系统安全的其他行为的。
第二十一条 计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理。
第二十二条 运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法律、法规的规定处理。
第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以1.5万元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。
第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚法》的有关规定处罚;构成犯罪的,依法追究刑事责任。
第二十五条 任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
第二十六条 当事人对公安机关依照本条例所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。
第二十七条 执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。
第五章 附则
第二十八条 本条例下列用语的含义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
第二十九条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。
第三十条 公安部可以根据本条例制定实施办法。
第三十一条 本条例自发布之日起施行。
三、《中华人民共和国个人信息保护法》
(2021年8月20日第十三届全国人民代表大会常务委员会第三十次会议通过)
目 录
第一章 总 则
第二章 个人信息处理规则
第一节 一般规定
第二节 敏感个人信息的处理规则
第三节 国家机关处理个人信息的特别规定
第三章 个人信息跨境提供的规则
第四章 个人在个人信息处理活动中的权利
第五章 个人信息处理者的义务
第六章 履行个人信息保护职责的部门
第七章 法律责任
第八章 附 则
第一章 总 则
第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。
第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:
(一)以向境内自然人提供产品或者服务为目的;
(二)分析、评估境内自然人的行为;
(三)法律、行政法规规定的其他情形。
第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。
第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。
第二章 个人信息处理规则
第一节 一般规定第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。
第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。
受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
第二节 敏感个人信息的处理规则
第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。
第三节 国家机关处理个人信息的特别规定
第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
第三十七条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责处理个人信息,适用本法关于国家机关处理个人信息的规定。
第三章 个人信息跨境提供的规则
第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。
第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。
第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。
第四十二条 境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。
第四十三条 任何国家或者地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章 个人在个人信息处理活动中的权利
第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。
第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。
第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。
第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。
第五章 个人信息处理者的义务
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。
第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:
(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;
(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;
(三)个人信息处理者的联系方式。
个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。
第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:
(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;
(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;
(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;
(四)定期发布个人信息保护社会责任报告,接受社会监督。
第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。
第六章 履行个人信息保护职责的部门
第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。
县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。
前两款规定的部门统称为履行个人信息保护职责的部门。
第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:
(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;
(二)接受、处理与个人信息保护有关的投诉、举报;
(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;
(四)调查、处理违法个人信息处理活动;
(五)法律、行政法规规定的其他职责。
第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:
(一)制定个人信息保护具体规则、标准;
(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;
(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;
(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;
(五)完善个人信息保护投诉、举报工作机制。
第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:
(一)询问有关当事人,调查与个人信息处理活动有关的情况;
(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;
(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;
(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。
履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。
第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。
履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。
第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。
履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。
第七章 法律责任
第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。
第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。
第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章 附 则
第七十二条 自然人因个人或者家庭事务处理个人信息的,不适用本法。
法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。
第七十三条 本法下列用语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。
(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
第七十四条 本法自2021年11月1日起施行。
四、《互联网信息服务管理办法》
(2000年9月25日中华人民共和国国务院令第292号公布 根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)第一条 为了规范互联网信息服务活动,促进互联网信息服务健康有序发展,制定本办法。
第二条 在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。
本办法所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动。
第三条 互联网信息服务分为经营性和非经营性两类。
经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。
非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。
第四条 国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。
未取得许可或者未履行备案手续的,不得从事互联网信息服务。
第五条 从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的,在申请经营许可或者履行备案手续前,应当依法经有关主管部门审核同意。
第六条 从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件:
(一)有业务发展计划及相关技术方案;
(二)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门同意的文件。
第七条 从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。
省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发经营许可证;不予批准的,应当书面通知申请人并说明理由。
申请人取得经营许可证后,应当持经营许可证向企业登记机关办理登记手续。
第八条 从事非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料:
(一)主办单位和网站负责人的基本情况;
(二)网站网址和服务项目;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门的同意文件。
省、自治区、直辖市电信管理机构对备案材料齐全的,应当予以备案并编号。
第九条 从事互联网信息服务,拟开办电子公告服务的,应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,按照国家有关规定提出专项申请或者专项备案。
第十条 省、自治区、直辖市电信管理机构和国务院信息产业主管部门应当公布取得经营许可证或者已履行备案手续的互联网信息服务提供者名单。
第十一条 互联网信息服务提供者应当按照经许可或者备案的项目提供服务,不得超出经许可或者备案的项目提供服务。
非经营性互联网信息服务提供者不得从事有偿服务。
互联网信息服务提供者变更服务项目、网站网址等事项的,应当提前30日向原审核、发证或者备案机关办理变更手续。
第十二条 互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。
第十三条 互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息内容合法。
第十四条 从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。
互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。
第十五条 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的。
第十六条 互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
第十七条 经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应当事先经国务院信息产业主管部门审查同意;其中,外商投资的比例应当符合有关法律、行政法规的规定。
第十八条 国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理。
新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。
第十九条 违反本办法的规定,未取得经营许可证,擅自从事经营性互联网信息服务,或者超出许可的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正,有违法所得的,没收违法所得,处违法所得3倍以上5倍以下的罚款;没有违法所得或者违法所得不足5万元的,处10万元以上100万元以下的罚款;情节严重的,责令关闭网站。
违反本办法的规定,未履行备案手续,擅自从事非经营性互联网信息服务,或者超出备案的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正;拒不改正的,责令关闭网站。
第二十条 制作、复制、发布、传播本办法第十五条所列内容之一的信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照《中华人民共和国治安管理处罚法》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚;对经营性互联网信息服务提供者,并由发证机关责令停业整顿直至吊销经营许可证,通知企业登记机关;对非经营性互联网信息服务提供者,并由备案机关责令暂时关闭网站直至关闭网站。
第二十一条 未履行本办法第十四条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,责令停业整顿或者暂时关闭网站。
第二十二条 违反本办法的规定,未在其网站主页上标明其经营许可证编号或者备案编号的,由省、自治区、直辖市电信管理机构责令改正,处5000元以上5万元以下的罚款。
第二十三条 违反本办法第十六条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,对经营性互联网信息服务提供者,并由发证机关吊销经营许可证,对非经营性互联网信息服务提供者,并由备案机关责令关闭网站。
第二十四条 互联网信息服务提供者在其业务活动中,违反其他法律、法规的,由新闻、出版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处罚。
第二十五条 电信管理机构和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇私舞弊,疏于对互联网信息服务的监督管理,造成严重后果,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。
第二十六条 在本办法公布前从事互联网信息服务的,应当自本办法公布之日起60日内依照本办法的有关规定补办有关手续。
第二十七条 本办法自公布之日起施行。
五、《河南省信息化条例》
(2008年5月31日河南省第十一届人民代表大会常务委员会第三次会议通过)
目 录
第一章 总则
第二章 信息化发展规划与建设
第三章 信息资源开发利用
第四章 信息产业发展
第五章 信息技术推广应用
第六章 信息安全保障
第七章 法律责任
第八章 附则
第一章 总则
第一条 为了加强信息化建设,规范信息化管理,促进经济和社会发展,根据有关法律、行政法规的规定,结合本省实际,制定本条例。
第二条 本省行政区域内的信息化规划与建设、信息资源开发利用、信息产业发展、信息技术推广应用、信息安全保障以及相关管理活动,适用本条例。
第三条 信息化建设应当坚持统筹规划、资源共享、科学发展、安全可靠的原则。
信息化建设应当避免盲目投资和重复建设。
第四条 县级以上人民政府应当将信息化建设纳入国民经济和社会发展规划,建立健全信息化工作领导协调机制,加强政策引导,推动现代信息科技开发和技术创新,鼓励信息化人才的培养和引进,开展信息化知识的宣传、普及与教育,推进信息化进程。
县级以上人民政府应当根据实际情况安排信息化发展资金,用于推动和引导信息化建设。鼓励企事业单位和个人加大对信息化发展资金的投入。
第五条 县级以上人民政府信息化主管部门负责本行政区域内信息化的指导、协调、管理工作。
县级以上人民政府发展改革、财政、公安、科技、通信、广播电视等有关部门应当在各自的职责范围内协同做好信息化工作。
第六条 鼓励和支持公民、法人和其他组织从事与信息化有关的科研、推广应用和服务等活动,其合法权益受法律保护。
第二章 信息化发展规划与建设
第七条 编制信息化发展规划,应当从实际出发,科学预测本行政区域经济和社会发展的需要,统筹协调,使信息化建设规模、建设水平同经济和社会发展水平相适应,与相关规划相衔接。
第八条 县级以上人民政府信息化主管部门应当会同有关部门根据上级信息化规划和本行政区域国民经济和社会发展规划,编制本行政区域信息化发展规划,报本级人民政府批准后实施。
第九条 县级以上人民政府信息化主管部门应当会同通信、广播电视、城市规划和建设等行政主管部门,根据本级信息化发展规划,编制本行政区域通信网、计算机网、广播电视网等公共信息基础设施建设规划,由同级人民政府将其纳入城乡规划。
其他有关部门应当根据本行政区域信息化发展规划编制本系统、本部门的信息化专项规划,报本级人民政府信息化主管部门备案。
新建、改建、扩建公共信息基础设施,应当符合规划要求,并与相关的公共信息基础设施互联互通。
第十条 使用或者部分使用财政性资金建设的信息化工程项目,投资主管部门在审批或核准前,应会同同级信息化主管部门组织专家对项目进行评审;信息化主管部门应根据规划提出意见。
非财政性资金投资建设的重大公共基础性信息化工程或信息安全工程,建设单位应当在依法办理建设相关手续后,报当地信息化主管部门备案。
第十一条 信息化工程建设依法实行项目法人负责制、工程监理制、招标投标制和质量负责制。
第十二条 从事计算机信息系统工程的设计、施工、监理的单位,应当按照国家规定取得相应的资质,并在其资质等级范围内开展业务。
计算机信息系统工程的建设单位,应当选择具有相应资质的单位设计、施工和监理。
第十三条 信息化工程项目竣工后,应当按照国家和省有关规定进行验收,验收合格的方可交付使用。
第十四条 信息化工程项目实行质量保修制度。承揽信息化工程的单位应当对信息化工程承担保修责任。信息化工程的保修期自工程竣工验收合格之日起不得少于二年。
第十五条 县级以上人民政府信息化主管部门应当会同发展改革、财政、审计部门对信息化发展规划和使用财政性资金建设的的信息化工程项目落实情况以及资金使用情况进行监督检查。
第三章 信息资源开发利用
第十六条 省人民政府信息化主管部门应当会同有关部门,制定和完善省信息资源开发标准和目录体系,引导信息资源的合理开发利用。
第十七条 县级以上人民政府应当建立和完善人口、法人单位、自然资源和空间地理、宏观经济等公共基础信息库。
第十八条 国家机关应当利用统一的电子政务网络平台和信息安全基础设施,建立健全政务信息交换机制,实现互联互通和资源共享。
第十九条 国家机关和社会公共服务单位应当建立业务信息资源库及应用系统,根据资源共享原则和交换制度向本级政务信息交换平台提供有关信息,并及时更新。
第二十条 信息资源开发利用应当保护知识产权、商业秘密和个人隐私。
公民、法人和其他组织有权向开发利用其信息的单位和个人了解相关情况,对不实的信息,有权要求修改或者清除。
第二十一条 下列信息,除法律、行政法规另有规定外,有关单位应当在该信息发生或者变更后二十个工作日内在政务公众信息网上发布,供单位和个人无偿查询:
(一)地方性法规、规章和其他规范性文件;
(二)国家机关的机构设置、职能、职责和办事程序;
(三)行政许可的事项、依据、条件、需要申请人注意的事项、数量、程序、期限、实施主体和结果;
(四)收费项目、标准和依据;
(五)依照法律、法规应当公开的其他政务信息。
第四章 信息产业发展
第二十二条 县级以上人民政府应当根据信息化发展需要,制定相关政策措施,引导和支持信息产业发展。
第二十三条 县级以上人民政府应当逐步建立和完善信息产业投资机制,培育和发展信息技术转让和知识产权交易市场,鼓励境内外企业、其他经济组织和个人投资信息产业。
第二十四条 县级以上人民政府应当鼓励和引导企业增加信息技术开发投入,对具有自主知识产权的信息技术和信息产品给予重点扶持。
第二十五条 从事电子信息产品设计、制造、软件开发的,应当按照《中华人民共和国标准化法》的有关规定组织生产和开发。
设计、制造电子信息产品,应当采用资源利用率高、易回收处理、有利于环保的材料、技术和工艺,严格控制电子信息产品中含有毒、有害物质或元素的使用。
第二十六条 从事电子信息产品制造、软件开发、信息服务的,享受有关优惠政策,具体办法由省人民政府制定。
第五章 信息技术推广应用
第二十七条 县级以上人民政府信息化主管部门应当组织编制信息技术推广应用指南,确定推广应用目标和重点领域,建立和完善推广应用体系,按照引进、推广应用先进成果和自主创新相结合的原则,组织实施重点推广应用项目。省人民政府信息化主管部门应当定期向社会公布具有自主知识产权的电子信息产品及软件产品目录。
第二十八条 全省使用统一的电子政务网络。
各级国家机关的业务应用系统,凡不宜通过互联网实现的,应当依托全省统一的电子政务网络平台。已经建成的专用网络,应当按照规划和标准进行调整,接入全省统一的电子政务网络。
第二十九条 县级以上人民政府应当编制以中小企业为主的企业信息化发展指南,鼓励企业应用信息技术,促进技术进步和产业升级。
第三十条 县级以上人民政府应当制定具体的扶持政策和措施,鼓励、引导信息技术在农村推广应用,加强农村信息基础设施建设和农民信息化知识的培训,建立和完善农村信息服务体系,为农民提供信息服务。
第三十一条 交通、气象、环保、卫生防疫、社会保障和公用事业等社会公共服务单位应当准确、及时、全面地提供与群众生产生活相关的信息服务,逐步应用信息技术开展业务。
第三十二条 鼓励高等院校、信息技术专业协会、学会和其他具有信息技术推广应用服务能力的单位和个人,依法开展信息技术推广应用服务活动。
第三十三条 县级以上人民政府应当采取措施,推动企业和个人利用信息网络开展电子商务活动。
利用互联网从事经营活动的单位和个人应当在网站主页面公开经营主体信息、已取得相应许可的证明、服务规则和服务流程等相应信息。
第六章 信息安全保障
第三十四条 县级以上人民政府应当加强对信息安全保障工作的领导,建立信息安全应急处理协调机制,提高信息系统的安全防御能力和处理信息安全突发事件的能力。
信息化、公安、国家安全、保密、通信管理等部门应当按照国家和省有关规定,在各自职责范围内做好信息安全保障工作。
第三十五条 信息网络和信息系统的主管单位或者运行单位应当根据国家有关规定,确定本单位信息网络与信息系统的安全等级,并进行相应的安全系统建设。
信息网络与信息系统的安全系统必须采用依法认证认可的信息安全产品,并与信息网络与信息系统工程同时规划、同时设计、同时施工、同时投入使用,所需经费列入工程预算。
对涉及国家秘密的信息网络和信息系统应当按照国家有关规定做好保密工作。
第三十六条 国家机关和有关社会公共服务单位的信息网络、信息系统,应当由国家有关主管部门认可的信息安全测评机构进行安全性测评,测评合格的方可使用。测评机构应当对测评结果负责。
第三十七条 基础信息网络和重要信息系统的主管单位或者运行单位应当建立健全信息安全责任制,确定信息安全管理人员,建立信息安全管理制度,制定信息网络与信息安全应急预案,保证信息网络与信息系统安全运行。
第三十八条 利用信息网络制作、复制、发布、下载或者传播信息应当遵守国家有关规定。
第三十九条 任何单位和个人不得利用信息网络与信息系统从事危害国家安全,损害国家利益、公共利益和公民、法人或者其他组织的合法权益,危害信息网络和信息系统安全,以及散布、传播违法、有害信息等活动。
第七章 法律责任
第四十条 信息化主管部门和其他有关部门的工作人员在信息化监督管理工作中徇私舞弊、滥用职权、玩忽职守的,由其所在单位或者监察机关依法给予行政处分;构成犯罪的,依法追究刑事责任。
第四十一条 使用财政性资金建设计算机信息系统工程项目的单位,将工程项目发包给不具有相应资质单位的,由信息化主管部门责令改正;拒不改正或者造成其他严重后果的,由主管部门或者监察机关对负有责任的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任。
第四十二条 违反本条例第十二条第二款规定,未取得相应资质从事计算机信息系统工程设计、施工或者监理的,由信息化主管部门责令改正,没收违法所得,并处违法所得一倍以上三倍以下的罚款;没有违法所得的,处二千元以上一万元以下的罚款。
第四十三条 违反本条例第二十条规定,在信息资源开发利用过程中,侵犯他人知识产权、商业秘密和个人隐私的,依法承担法律责任。
第四十四条 违反本条例第二十一条规定,有关单位未依法履行信息公开义务的,由主管部门责令改正;拒不改正的,对负有责任的主管人员和其他直接责任人员依法给予行政处分。
第四十五条 违反本条例第三十九条规定的,由国家安全、公安、保密、工商以及其他部门依法处理;构成犯罪的,依法追究刑事责任。
第八章 附则
第四十六条 本条例自2008年10月1日起施行。
六、《中华人民共和国政府信息公开条例》
(2007年4月5日中华人民共和国国务院令第492号公布 2019年4月3日中华人民共和国国务院令第711号修订 自2019年5月15日起施行)
第一章 总则
第一条 为了保障公民、法人和其他组织依法获取政府信息,提高政府工作的透明度,建设法治政府,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用,制定本条例。第二条 本条例所称政府信息,是指行政机关在履行行政管理职能过程中制作或者获取的,以一定形式记录、保存的信息。
第三条 各级人民政府应当加强对政府信息公开工作的组织领导。
国务院办公厅是全国政府信息公开工作的主管部门,负责推进、指导、协调、监督全国的政府信息公开工作。
县级以上地方人民政府办公厅(室)是本行政区域的政府信息公开工作主管部门,负责推进、指导、协调、监督本行政区域的政府信息公开工作。
实行垂直领导的部门的办公厅(室)主管本系统的政府信息公开工作。
第四条 各级人民政府及县级以上人民政府部门应当建立健全本行政机关的政府信息公开工作制度,并指定机构(以下统称政府信息公开工作机构)负责本行政机关政府信息公开的日常工作。
政府信息公开工作机构的具体职能是:
(一)办理本行政机关的政府信息公开事宜;
(二)维护和更新本行政机关公开的政府信息;
(三)组织编制本行政机关的政府信息公开指南、政府信息公开目录和政府信息公开工作年度报告;
(四)组织开展对拟公开政府信息的审查;
(五)本行政机关规定的与政府信息公开有关的其他职能。
第五条 行政机关公开政府信息,应当坚持以公开为常态、不公开为例外,遵循公正、公平、合法、便民的原则。
第六条 行政机关应当及时、准确地公开政府信息。
行政机关发现影响或者可能影响社会稳定、扰乱社会和经济管理秩序的虚假或者不完整信息的,应当发布准确的政府信息予以澄清。
第七条 各级人民政府应当积极推进政府信息公开工作,逐步增加政府信息公开的内容。
第八条 各级人民政府应当加强政府信息资源的规范化、标准化、信息化管理,加强互联网政府信息公开平台建设,推进政府信息公开平台与政务服务平台融合,提高政府信息公开在线办理水平。
第九条 公民、法人和其他组织有权对行政机关的政府信息公开工作进行监督,并提出批评和建议。
第二章 公开的主体和范围
第十条 行政机关制作的政府信息,由制作该政府信息的行政机关负责公开。行政机关从公民、法人和其他组织获取的政府信息,由保存该政府信息的行政机关负责公开;行政机关获取的其他行政机关的政府信息,由制作或者最初获取该政府信息的行政机关负责公开。法律、法规对政府信息公开的权限另有规定的,从其规定。行政机关设立的派出机构、内设机构依照法律、法规对外以自己名义履行行政管理职能的,可以由该派出机构、内设机构负责与所履行行政管理职能有关的政府信息公开工作。
两个以上行政机关共同制作的政府信息,由牵头制作的行政机关负责公开。
第十一条 行政机关应当建立健全政府信息公开协调机制。行政机关公开政府信息涉及其他机关的,应当与有关机关协商、确认,保证行政机关公开的政府信息准确一致。
行政机关公开政府信息依照法律、行政法规和国家有关规定需要批准的,经批准予以公开。
第十二条 行政机关编制、公布的政府信息公开指南和政府信息公开目录应当及时更新。
政府信息公开指南包括政府信息的分类、编排体系、获取方式和政府信息公开工作机构的名称、办公地址、办公时间、联系电话、传真号码、互联网联系方式等内容。
政府信息公开目录包括政府信息的索引、名称、内容概述、生成日期等内容。
第十三条 除本条例第十四条、第十五条、第十六条规定的政府信息外,政府信息应当公开。
行政机关公开政府信息,采取主动公开和依申请公开的方式。
第十四条 依法确定为国家秘密的政府信息,法律、行政法规禁止公开的政府信息,以及公开后可能危及国家安全、公共安全、经济安全、社会稳定的政府信息,不予公开。
第十五条 涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。
第十六条 行政机关的内部事务信息,包括人事管理、后勤管理、内部工作流程等方面的信息,可以不予公开。
行政机关在履行行政管理职能过程中形成的讨论记录、过程稿、磋商信函、请示报告等过程性信息以及行政执法案卷信息,可以不予公开。法律、法规、规章规定上述信息应当公开的,从其规定。
第十七条 行政机关应当建立健全政府信息公开审查机制,明确审查的程序和责任。
行政机关应当依照《中华人民共和国保守国家秘密法》以及其他法律、法规和国家有关规定对拟公开的政府信息进行审查。
行政机关不能确定政府信息是否可以公开的,应当依照法律、法规和国家有关规定报有关主管部门或者保密行政管理部门确定。
第十八条 行政机关应当建立健全政府信息管理动态调整机制,对本行政机关不予公开的政府信息进行定期评估审查,对因情势变化可以公开的政府信息应当公开。
第三章 主动公开
第十九条 对涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政府信息,行政机关应当主动公开。第二十条 行政机关应当依照本条例第十九条的规定,主动公开本行政机关的下列政府信息:
(一)行政法规、规章和规范性文件;
(二)机关职能、机构设置、办公地址、办公时间、联系方式、负责人姓名;
(三)国民经济和社会发展规划、专项规划、区域规划及相关政策;
(四)国民经济和社会发展统计信息;
(五)办理行政许可和其他对外管理服务事项的依据、条件、程序以及办理结果;
(六)实施行政处罚、行政强制的依据、条件、程序以及本行政机关认为具有一定社会影响的行政处罚决定;
(七)财政预算、决算信息;
(八)行政事业性收费项目及其依据、标准;
(九)政府集中采购项目的目录、标准及实施情况;
(十)重大建设项目的批准和实施情况;
(十一)扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况;
(十二)突发公共事件的应急预案、预警信息及应对情况;
(十三)环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况;
(十四)公务员招考的职位、名额、报考条件等事项以及录用结果;
(十五)法律、法规、规章和国家有关规定规定应当主动公开的其他政府信息。
第二十一条 除本条例第二十条规定的政府信息外,设区的市级、县级人民政府及其部门还应当根据本地方的具体情况,主动公开涉及市政建设、公共服务、公益事业、土地征收、房屋征收、治安管理、社会救助等方面的政府信息;乡(镇)人民政府还应当根据本地方的具体情况,主动公开贯彻落实农业农村政策、农田水利工程建设运营、农村土地承包经营权流转、宅基地使用情况审核、土地征收、房屋征收、筹资筹劳、社会救助等方面的政府信息。
第二十二条 行政机关应当依照本条例第二十条、第二十一条的规定,确定主动公开政府信息的具体内容,并按照上级行政机关的部署,不断增加主动公开的内容。
第二十三条 行政机关应当建立健全政府信息发布机制,将主动公开的政府信息通过政府公报、政府网站或者其他互联网政务媒体、新闻发布会以及报刊、广播、电视等途径予以公开。
第二十四条 各级人民政府应当加强依托政府门户网站公开政府信息的工作,利用统一的政府信息公开平台集中发布主动公开的政府信息。政府信息公开平台应当具备信息检索、查阅、下载等功能。
第二十五条 各级人民政府应当在国家档案馆、公共图书馆、政务服务场所设置政府信息查阅场所,并配备相应的设施、设备,为公民、法人和其他组织获取政府信息提供便利。
行政机关可以根据需要设立公共查阅室、资料索取点、信息公告栏、电子信息屏等场所、设施,公开政府信息。
行政机关应当及时向国家档案馆、公共图书馆提供主动公开的政府信息。
第二十六条 属于主动公开范围的政府信息,应当自该政府信息形成或者变更之日起20个工作日内及时公开。法律、法规对政府信息公开的期限另有规定的,从其规定。
第四章 依申请公开
第二十七条 除行政机关主动公开的政府信息外,公民、法人或者其他组织可以向地方各级人民政府、对外以自己名义履行行政管理职能的县级以上人民政府部门(含本条例第十条第二款规定的派出机构、内设机构)申请获取相关政府信息。第二十八条 本条例第二十七条规定的行政机关应当建立完善政府信息公开申请渠道,为申请人依法申请获取政府信息提供便利。
第二十九条 公民、法人或者其他组织申请获取政府信息的,应当向行政机关的政府信息公开工作机构提出,并采用包括信件、数据电文在内的书面形式;采用书面形式确有困难的,申请人可以口头提出,由受理该申请的政府信息公开工作机构代为填写政府信息公开申请。
政府信息公开申请应当包括下列内容:
(一)申请人的姓名或者名称、身份证明、联系方式;
(二)申请公开的政府信息的名称、文号或者便于行政机关查询的其他特征性描述;
(三)申请公开的政府信息的形式要求,包括获取信息的方式、途径。
第三十条 政府信息公开申请内容不明确的,行政机关应当给予指导和释明,并自收到申请之日起7个工作日内一次性告知申请人作出补正,说明需要补正的事项和合理的补正期限。答复期限自行政机关收到补正的申请之日起计算。申请人无正当理由逾期不补正的,视为放弃申请,行政机关不再处理该政府信息公开申请。
第三十一条 行政机关收到政府信息公开申请的时间,按照下列规定确定:
(一)申请人当面提交政府信息公开申请的,以提交之日为收到申请之日;
(二)申请人以邮寄方式提交政府信息公开申请的,以行政机关签收之日为收到申请之日;以平常信函等无需签收的邮寄方式提交政府信息公开申请的,政府信息公开工作机构应当于收到申请的当日与申请人确认,确认之日为收到申请之日;
(三)申请人通过互联网渠道或者政府信息公开工作机构的传真提交政府信息公开申请的,以双方确认之日为收到申请之日。
第三十二条 依申请公开的政府信息公开会损害第三方合法权益的,行政机关应当书面征求第三方的意见。第三方应当自收到征求意见书之日起15个工作日内提出意见。第三方逾期未提出意见的,由行政机关依照本条例的规定决定是否公开。第三方不同意公开且有合理理由的,行政机关不予公开。行政机关认为不公开可能对公共利益造成重大影响的,可以决定予以公开,并将决定公开的政府信息内容和理由书面告知第三方。
第三十三条 行政机关收到政府信息公开申请,能够当场答复的,应当当场予以答复。
行政机关不能当场答复的,应当自收到申请之日起20个工作日内予以答复;需要延长答复期限的,应当经政府信息公开工作机构负责人同意并告知申请人,延长的期限最长不得超过20个工作日。
行政机关征求第三方和其他机关意见所需时间不计算在前款规定的期限内。
第三十四条 申请公开的政府信息由两个以上行政机关共同制作的,牵头制作的行政机关收到政府信息公开申请后可以征求相关行政机关的意见,被征求意见机关应当自收到征求意见书之日起15个工作日内提出意见,逾期未提出意见的视为同意公开。
第三十五条 申请人申请公开政府信息的数量、频次明显超过合理范围,行政机关可以要求申请人说明理由。行政机关认为申请理由不合理的,告知申请人不予处理;行政机关认为申请理由合理,但是无法在本条例第三十三条规定的期限内答复申请人的,可以确定延迟答复的合理期限并告知申请人。
第三十六条 对政府信息公开申请,行政机关根据下列情况分别作出答复:
(一)所申请公开信息已经主动公开的,告知申请人获取该政府信息的方式、途径;
(二)所申请公开信息可以公开的,向申请人提供该政府信息,或者告知申请人获取该政府信息的方式、途径和时间;
(三)行政机关依据本条例的规定决定不予公开的,告知申请人不予公开并说明理由;
(四)经检索没有所申请公开信息的,告知申请人该政府信息不存在;
(五)所申请公开信息不属于本行政机关负责公开的,告知申请人并说明理由;能够确定负责公开该政府信息的行政机关的,告知申请人该行政机关的名称、联系方式;
(六)行政机关已就申请人提出的政府信息公开申请作出答复、申请人重复申请公开相同政府信息的,告知申请人不予重复处理;
(七)所申请公开信息属于工商、不动产登记资料等信息,有关法律、行政法规对信息的获取有特别规定的,告知申请人依照有关法律、行政法规的规定办理。
第三十七条 申请公开的信息中含有不应当公开或者不属于政府信息的内容,但是能够作区分处理的,行政机关应当向申请人提供可以公开的政府信息内容,并对不予公开的内容说明理由。
第三十八条 行政机关向申请人提供的信息,应当是已制作或者获取的政府信息。除依照本条例第三十七条的规定能够作区分处理的外,需要行政机关对现有政府信息进行加工、分析的,行政机关可以不予提供。
第三十九条 申请人以政府信息公开申请的形式进行信访、投诉、举报等活动,行政机关应当告知申请人不作为政府信息公开申请处理并可以告知通过相应渠道提出。
申请人提出的申请内容为要求行政机关提供政府公报、报刊、书籍等公开出版物的,行政机关可以告知获取的途径。
第四十条 行政机关依申请公开政府信息,应当根据申请人的要求及行政机关保存政府信息的实际情况,确定提供政府信息的具体形式;按照申请人要求的形式提供政府信息,可能危及政府信息载体安全或者公开成本过高的,可以通过电子数据以及其他适当形式提供,或者安排申请人查阅、抄录相关政府信息。
第四十一条 公民、法人或者其他组织有证据证明行政机关提供的与其自身相关的政府信息记录不准确的,可以要求行政机关更正。有权更正的行政机关审核属实的,应当予以更正并告知申请人;不属于本行政机关职能范围的,行政机关可以转送有权更正的行政机关处理并告知申请人,或者告知申请人向有权更正的行政机关提出。
第四十二条 行政机关依申请提供政府信息,不收取费用。但是,申请人申请公开政府信息的数量、频次明显超过合理范围的,行政机关可以收取信息处理费。
行政机关收取信息处理费的具体办法由国务院价格主管部门会同国务院财政部门、全国政府信息公开工作主管部门制定。
第四十三条 申请公开政府信息的公民存在阅读困难或者视听障碍的,行政机关应当为其提供必要的帮助。
第四十四条 多个申请人就相同政府信息向同一行政机关提出公开申请,且该政府信息属于可以公开的,行政机关可以纳入主动公开的范围。
对行政机关依申请公开的政府信息,申请人认为涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的,可以建议行政机关将该信息纳入主动公开的范围。行政机关经审核认为属于主动公开范围的,应当及时主动公开。
第四十五条 行政机关应当建立健全政府信息公开申请登记、审核、办理、答复、归档的工作制度,加强工作规范。
第五章 监督和保障
第四十六条 各级人民政府应当建立健全政府信息公开工作考核制度、社会评议制度和责任追究制度,定期对政府信息公开工作进行考核、评议。第四十七条 政府信息公开工作主管部门应当加强对政府信息公开工作的日常指导和监督检查,对行政机关未按照要求开展政府信息公开工作的,予以督促整改或者通报批评;需要对负有责任的领导人员和直接责任人员追究责任的,依法向有权机关提出处理建议。
公民、法人或者其他组织认为行政机关未按照要求主动公开政府信息或者对政府信息公开申请不依法答复处理的,可以向政府信息公开工作主管部门提出。政府信息公开工作主管部门查证属实的,应当予以督促整改或者通报批评。
第四十八条 政府信息公开工作主管部门应当对行政机关的政府信息公开工作人员定期进行培训。
第四十九条 县级以上人民政府部门应当在每年1月31日前向本级政府信息公开工作主管部门提交本行政机关上一年度政府信息公开工作年度报告并向社会公布。
县级以上地方人民政府的政府信息公开工作主管部门应当在每年3月31日前向社会公布本级政府上一年度政府信息公开工作年度报告。
第五十条 政府信息公开工作年度报告应当包括下列内容:
(一)行政机关主动公开政府信息的情况;
(二)行政机关收到和处理政府信息公开申请的情况;
(三)因政府信息公开工作被申请行政复议、提起行政诉讼的情况;
(四)政府信息公开工作存在的主要问题及改进情况,各级人民政府的政府信息公开工作年度报告还应当包括工作考核、社会评议和责任追究结果情况;
(五)其他需要报告的事项。
全国政府信息公开工作主管部门应当公布政府信息公开工作年度报告统一格式,并适时更新。
第五十一条 公民、法人或者其他组织认为行政机关在政府信息公开工作中侵犯其合法权益的,可以向上一级行政机关或者政府信息公开工作主管部门投诉、举报,也可以依法申请行政复议或者提起行政诉讼。
第五十二条 行政机关违反本条例的规定,未建立健全政府信息公开有关制度、机制的,由上一级行政机关责令改正;情节严重的,对负有责任的领导人员和直接责任人员依法给予处分。
第五十三条 行政机关违反本条例的规定,有下列情形之一的,由上一级行政机关责令改正;情节严重的,对负有责任的领导人员和直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)不依法履行政府信息公开职能;
(二)不及时更新公开的政府信息内容、政府信息公开指南和政府信息公开目录;
(三)违反本条例规定的其他情形。
第六章 附则
第五十四条 法律、法规授权的具有管理公共事务职能的组织公开政府信息的活动,适用本条例。第五十五条 教育、卫生健康、供水、供电、供气、供热、环境保护、公共交通等与人民群众利益密切相关的公共企事业单位,公开在提供社会公共服务过程中制作、获取的信息,依照相关法律、法规和国务院有关主管部门或者机构的规定执行。全国政府信息公开工作主管部门根据实际需要可以制定专门的规定。
前款规定的公共企事业单位未依照相关法律、法规和国务院有关主管部门或者机构的规定公开在提供社会公共服务过程中制作、获取的信息,公民、法人或者其他组织可以向有关主管部门或者机构申诉,接受申诉的部门或者机构应当及时调查处理并将处理结果告知申诉人。
第五十六条 本条例自2019年5月15日起施行。
七、《中华人民共和国网络安全法》
(2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过)
目 录
第一章 总则
第二章 网络安全支持与促进
第三章 网络运行安全
第一节 一般规定
第二节 关键信息基础设施的运行安全
第四章 网络信息安全
第五章 监测预警与应急处置
第六章 法律责任
第七章 附则
第一章 总则
第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第四条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
第五条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。
第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。
第二章 网络安全支持与促进
第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。
第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。
第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。
第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
第三章 网络运行安全
第一节 一般规定
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。
第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
第二节 关键信息基础设施的运行安全
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。
第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
第四章 网络信息安全
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
第四十六条 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。
第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第四十八条 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
第五章 监测预警与应急处置
第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
第五十四条 网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;
(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。
第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。
第五十七条 因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。
第五十八条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
第六章 法律责任
第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。
第六十一条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十七条 违反本法第四十六条规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。
单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。
第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十三条 网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。
第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
第七章 附则
第七十六条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
第七十八条 军事网络的安全保护,由中央军事委员会另行规定。
第七十九条 本法自2017年6月1日起施行。