第三章 網路運作安全

　　第一節 一般規定

　　第十七條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據洩露或者被竊取、篡改：

　　(一)制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任;

　　(二)採取防範電腦病毒和網路攻擊、網路入侵等危害網路安全行為的技術措施;

　　(三)採取記錄、跟蹤網路運作狀態，監測、記錄網路安全事件的技術措施，並按照規定留存網路日誌;

　　(四)採取數據分類、重要數據備份和加密等措施;

　　(五)法律、行政法規規定的其他義務。

　　網路安全等級保護的具體辦法由國務院規定。

　　第十八條 網路産品、服務應當符合相關國家標準、行業標準。網路産品、服務的提供者不得設置惡意程式;其産品、服務具有收集用戶資訊功能的，應當向用戶明示並取得同意;發現其網路産品、服務存在安全缺陷、漏洞等風險時，應當及時向用戶告知並採取補救措施。

　　網路産品、服務的提供者應當為其産品、服務持續提供安全維護;在規定或者當事人約定的期間內，不得終止提供安全維護。

　　第十九條 網路關鍵設備和網路安全專用産品應當按照相關國家標準、行業標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求後，方可銷售。國家網信部門會同國務院有關部門制定、公佈網路關鍵設備和網路安全專用産品目錄，並推動安全認證和安全檢測結果互認，避免重復認證、檢測。

　　第二十條 網路運營者為用戶辦理網路接入、域名註冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供資訊發佈服務，應當在與用戶簽訂協議或者確認提供服務時，要求用戶提供真實身份資訊。用戶不提供真實身份資訊的，網路運營者不得為其提供相關服務。

　　國家支援研究開發安全、方便的電子身份認證技術，推動不同電子身份認證技術之間的互認、通用。

　　第二十一條 網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、電腦病毒、網路入侵、網路攻擊等安全風險;在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

　　第二十二條 任何個人和組織不得從事入侵他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供從事入侵網路、干擾網路正常功能、竊取網路數據等危害網路安全活動的工具和製作方法;不得為他人實施危害網路安全的活動提供技術支援、廣告推廣、支付結算等幫助。

　　第二十三條 為國家安全和偵查犯罪的需要，偵查機關依照法律規定，可以要求網路運營者提供必要的支援與協助。

　　第二十四條 國家支援網路運營者之間開展網路安全資訊收集、分析、通報和應急處置等方面的合作，提高網路運營者的安全保障能力。

　　有關行業組織建立健全本行業的網路安全保護規範和協作機制，加強對網路安全風險的分析評估，定期向會員進行風險警示，支援、協助會員應對網路安全風險。

　　第二節 關鍵資訊基礎設施的運作安全

　　第二十五條 國家對提供公共通信、廣播電視傳輸等服務的基礎資訊網路，能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要資訊系統，軍事網路，設區的市級以上國家機關等政務網路，用戶數量眾多的網路服務提供者所有或者管理的網路和系統(以下稱關鍵資訊基礎設施)，實行重點保護。關鍵資訊基礎設施安全保護辦法由國務院制定。

　　第二十六條 國務院通信、廣播電視、能源、交通、水利、金融等行業的主管部門和國務院其他有關部門(以下稱負責關鍵資訊基礎設施安全保護工作的部門)按照國務院規定的職責，分別負責指導和監督關鍵資訊基礎設施運作安全保護工作。

　　第二十七條 建設關鍵資訊基礎設施應當確保其具有支援業務穩定、持續運作的性能，並保證安全技術措施同步規劃、同步建設、同步使用。

　　第二十八條 除本法第十七條的規定外，關鍵資訊基礎設施的運營者還應當履行下列安全保護義務：

　　(一)設置專門安全管理機構和安全管理負責人，並對該負責人和關鍵崗位的人員進行安全背景審查;

　　(二)定期對從業人員進行網路安全教育、技術培訓和技能考核;

　　(三)對重要系統和數據庫進行容災備份;

　　(四)制定網路安全事件應急預案，並定期組織演練;

　　(五)法律、行政法規規定的其他義務。

　　第二十九條 關鍵資訊基礎設施的運營者採購網路産品和服務，應當與提供者簽訂安全保密協議，明確安全和保密義務與責任。

　　第三十條 關鍵資訊基礎設施的運營者採購網路産品或者服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的安全審查。具體辦法由國務院規定。

　　第三十一條 關鍵資訊基礎設施的運營者應當在中華人民共和國境記憶體儲在運營中收集和産生的公民個人資訊等重要數據;因業務需要，確需在境外存儲或者向境外的組織或者個人提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。法律、行政法規另有規定的從其規定。

　　第三十二條 關鍵資訊基礎設施的運營者應當自行或者委託專業機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估，並對檢測評估情況及採取的改進措施提出網路安全報告，報送相關負責關鍵資訊基礎設施安全保護工作的部門。

　　第三十三條 國家網信部門應當統籌協調有關部門，建立協作機制。對關鍵資訊基礎設施的安全保護可以採取下列措施：

　　(一)對關鍵資訊基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委託專業檢驗檢測機構對網路存在的安全風險進行檢測評估;

　　(二)定期組織關鍵資訊基礎設施的運營者進行網路安全應急演練，提高關鍵資訊基礎設施應對網路安全事件的水準和協同配合能力;

　　(三)促進有關部門、關鍵資訊基礎設施運營者以及網路安全服務機構、有關研究機構等之間的網路安全資訊共用;

　　(四)對網路安全事件的應急處置與恢復等，提供技術支援與協助。

　　相關新聞

　　網路安全法草案公佈：隨意蒐集用戶資訊處50萬元以下罰款