陕服主页

艺术设计学院

Costume Institute

学院新闻
新闻动态
当前位置: 首页 - 学院新闻 - 新闻动态 - 正文
《网络安全法》相关内容学习汇总(三)
2020-09-19
阅读:

《国家健康医疗大数据标准、安全和服务管理办法》(试行)


第一章总则

第一条 为加强健康医疗大数据服务管理,促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,根据《中华人民共和国网络安全法》等法律法规和《国务院促进大数据发展行动纲要》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件精神,就健康医疗大数据标准、安全和服务管理,制定本办法。

第二条 我国公民在中华人民共和国境内所产生的健康和医疗数据,国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。

第三条 坚持以人为本、创新驱动,规范有序、安全可控,开放融合、共建共享的原则,加强健康医疗大数据的标准管理、安全管理和服务管理,推动健康医疗大数据惠民应用,促进健康医疗大数据产业发展。

第四条 本办法所称健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。

第五条 本办法适用于县级以上卫生健康行政部门(含中医药主管部门,下同)、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理。

第六条 国家卫生健康委员会(含国家中医药管理局,下同)会同相关部门负责统筹规划、指导、评估、监督全国健康医疗大数据的标准管理、安全管理和服务管理工作。县级以上卫生健康行政部门会同相关部门负责本行政区域内健康医疗大数据管理工作,是本行政区域内健康医疗大数据安全和应用管理的监管单位。

各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。

第二章 标准管理

第七条 健康医疗大数据标准管理工作遵循政策引领、强化监督、分类指导、分级管理的原则。

第八条 国家卫生健康委员会负责统筹规划、组织制定全国健康医疗大数据标准,监督指导评估标准的应用工作,在已有的基础性通用性大数据标准基础上组织制定健康医疗大数据标准体系规划,负责制定、组织实施年度健康医疗大数据标准工作计划。省级卫生健康行政部门(含省级中医药主管部门)负责监督指导评估本地区健康医疗大数据标准的应用工作,依据国家健康医疗大数据标准体系规划,结合本地实际,负责指导和监督健康医疗大数据标准体系在本省域内落地执行。

第九条 国家卫生健康委员会鼓励医疗卫生机构、科研教育单位、相关企业或行业协会、社会团体等参与健康医疗大数据标准制定工作。公民、法人或者其他组织可提出制修订健康医疗大数据标准的立项建议,并提交相应标准项目建议书。

第十条 国家卫生健康委员会负责统一组织实施,择优确定健康医疗大数据标准起草单位和负责人,提倡多方参与协作机制,由各相关单位组成协作组参与标准起草工作。

第十一条 健康医疗大数据标准起草、审查及发布的程序和要求,按照国家和行业有关规定执行。

第十二条 卫生健康行政部门应当对健康医疗大数据标准的实施加强引导和监督,充分发挥各级各类医疗卫生机构、相关企业等市场主体在标准应用实施中的积极性和主动性,建立激励和促进标准应用实施的长效管理机制。

第十三条 卫生健康行政部门应当建立相应的健康医疗大数据标准化产品生产和采购的激励约束机制,卫生健康行政部门要积极推进健康医疗大数据标准规范和测评工作,并将测评结果与医疗卫生机构评审评价挂钩。

第十四条 国家卫生健康委员会加强健康医疗大数据技术产品和服务模式的标准体系及制度建设,组织对健康医疗大数据标准应用效果评估工作,并根据评估情况,对相关标准进行组织修订或废止等。

第十五条 国家卫生健康委员会基于卫生标准管理平台,动态管理健康医疗大数据标准的开发与应用,对各级各类医疗卫生机构和企事业单位的标准应用情况进行动态监测。

第三章 安全管理

第十六条 健康医疗大数据安全管理是指在数据采集、存储、挖掘、应用、运营、传输等多个环节中的安全和管理,包括国家战略安全、群众生命安全、个人信息安全的权责管理工作。

第十七条 责任单位应当建立健全相关安全管理制度、操作规程和技术规范,落实“一把手”责任制,加强安全保障体系建设,强化统筹管理和协调监督,保障健康医疗大数据安全。

涉及国家秘密的健康医疗大数据的安全、管理和使用等,按照国家有关保密规定执行。责任单位应当建立健全涉及国家秘密的健康医疗大数据管理与使用制度,对制作、审核、登记、拷贝、传输、销毁等环节进行严格管理。

第十八条 责任单位应当采取数据分类、重要数据备份、加密认证等措施保障健康医疗大数据安全。责任单位应当建立可靠的数据容灾备份工作机制,定期进行备份和恢复检测,确保数据能够及时、完整、准确恢复,实现长期保存和历史数据的归档管理。

第十九条 责任单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。

第二十条 健康医疗大数据相关系统的产品和服务提供者应当遵守国家有关网络安全审查制度,不得中断或者变相中断合理的技术支持与服务,并应当为健康医疗大数据在不同系统间的交互、共享和运营提供安全与便利条件。

第二十一条 责任单位应当依法依规使用健康医疗大数据有关信息,提供安全的信息查询和复制渠道,确保公民隐私保护和数据安全。

第二十二条 责任单位应当按照《中华人民共和国网络安全法》的要求,严格规范不同等级用户的数据接入和使用权限,并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据,不得使用非法手段获取数据。

第二十三条 责任单位应当建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理,确保健康医疗大数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯,对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。

第二十四条 建立健全健康医疗大数据安全管理人才培养机制,确保相关从业人员具备健康医疗大数据安全管理所要求的知识和技能。

第二十五条 责任单位应当建立健康医疗大数据安全监测和预警系统,建立网络安全通报和应急处置联动机制,开展数据安全规范和技术规范的研究工作,不断丰富网络安全相关的标准规范体系,重点防范数据资源的集聚性风险和新技术应用的潜在性风险。发生网络安全重大事件,应当按照相关法律法规和有关要求进行报告并处置。

第四章 服务管理

第二十六条 国家卫生健康委员会负责制定健康医疗大数据应用领域相关规范、标准,建立健康医疗大数据应用诚信机制和退出机制,制定健康医疗大数据挖掘、应用的安全和管理规范。

第二十七条 责任单位实施健康医疗大数据管理和服务,应当按照法律法规和相关文件规定,遵循医学伦理原则,保护个人隐私。

第二十八条 责任单位应当根据本单位健康医疗大数据管理的需求,明确相应的管理部门和岗位,按照国家授权,实行“统一分级授权、分类应用管理、权责一致”的管理制度,并建设相应的健康医疗大数据信息系统作为技术和管理支撑。

第二十九条 责任单位采集健康医疗大数据,应当严格执行国家和行业相关标准和程序,符合业务应用技术标准和管理规范,做到标准统一、术语规范、内容准确,保证服务和管理对象在本单位信息系统中身份标识唯一、基本数据项一致,所采集的信息应当严格实行信息复核终审程序,做好数据质量管理。

第三十条 责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。

第三十一条 责任单位选择健康医疗大数据服务提供商时,应当确保其符合国家和行业规定及要求,具备履行相关法规制度、落实相关标准、确保数据安全的能力,建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度。

第三十二条 责任单位委托有关机构存储、运营健康医疗大数据,委托单位与受托单位共同承担健康医疗大数据的管理和安全责任。受托单位应当严格按照相关法律法规和委托协议做好健康医疗大数据的存储、管理与运营工作。

第三十三条 责任单位应当结合服务和管理工作需要,及时更新、甄别、优化和维护健康医疗大数据,确保信息处于最新、连续、有效、优质和安全状态。

第三十四条 责任单位发生变更时,应当将所管理的健康医疗大数据完整、安全地移交给承接延续其职能的机构或本行政区域内的卫生健康行政部门,不得造成健康医疗大数据的损毁、丢失和泄露。

第三十五条 责任单位向社会公开健康医疗大数据时,应当遵循国家有关规定,不得泄露国家秘密、商业秘密和个人隐私,不得侵害国家利益、社会公共利益和公民、法人及其他组织的合法权益。

第三十六条 责任单位应当加强健康医疗大数据的使用和服务,创造条件规范使用健康医疗大数据,推动部分健康医疗大数据在线查询。

第三十七条 国家卫生健康委员会负责按照国家信息资源开放共享有关规定,建立健康医疗大数据开放共享的工作机制,加强健康医疗大数据的共享和交换,统筹建设健康医疗大数据上报系统平台、信息资源目录体系和共享交换体系。

第五章 管理监督

第三十八条 卫生健康行政部门应当加强监督管理,对本行政区域内各责任单位健康医疗大数据安全管理工作开展日常检查,指导监督本行政区域内各责任单位数据综合利用工作,提高数据服务质量和确保安全。各级各类医疗卫生机构应当接入相应区域全民健康信息平台,传输和备份医疗健康服务产生的数据,并向卫生健康行政部门开放监管端口。

第三十九条 卫生健康行政部门应当加强监测评估,定期开展健康医疗大数据平台和服务商的稳定和安全测评及健康医疗大数据应用的安全监测评估,建立网络安全防护、系统互联共享、公民隐私保护等软件评价和安全审查保密制度。

第四十条 卫生健康行政部门会同相关部门建立健康医疗大数据安全管理工作责任追究制度。对于违反本办法规定的单位和个人,由主管部门视情节轻重予以约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议;构成违法的,移送司法部门依法追究法律责任。

第六章 附则

第四十一条 本办法自印发之日起施行。



《网络安全等级保护测评机构管理办法》

第一章总则

第一条为加强网络安全等级保护测评机构(以下简称“测评机构”)管理,规范测评行为,提高等级测评能力和服务水平,根据《中华人民共和国网络安全法》和网络安全等级保护制度要求,制定本办法。

第二条等级测评工作,是指测评机构依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对已定级备案的非涉及国家秘密的网络(含信息系统、数据资源等)的安全保护状况进行检测评估的活动。

测评机构,是指依据国家网络安全等级保护制度规定,符合本办法规定的基本条件,经省级以上网络安全等级保护工作领导(协调)小组办公室(以下简称“等保办”)审核推荐,从事等级测评工作的机构。

第三条测评机构实行推荐目录管理。测评机构由省级以上等保办根据本办法规定,按照统筹规划、合理布局的原则,择优推荐。

第四条测评机构联合成立测评联盟。测评联盟按照章程和有关测评规范,加强行业自律,提高测评技术能力和服务质量。测评联盟在国家等保办指导下开展工作。

第五条测评机构应按照国家有关网络安全法律法规规定和标准规范要求,为用户提供科学、安全、客观、公正的等级测评服务。

第二章测评机构申请

第六条申请成为测评机构的单位(以下简称“申请单位”)需向省级以上等保办提出申请。

国家等保办负责受理隶属国家网络安全职能部门和重点行业主管部门的申请,对申请单位进行审核、推荐;监督管理全国测评机构。

省级等保办负责受理本省(区、直辖市)申请单位的申请,对申请单位进行审核、推荐;监督管理其推荐的测评机构。

第七条申请单位应具备以下基本条件:

(一)在中华人民共和国境内注册成立,由中国公民、法人投资或者国家投资的企事业单位;

(二)产权关系明晰,注册资金500 万元以上,独立经营核算,无违法违规记录;

(三)从事网络安全服务两年以上,具备一定的网络安全检测评估能力;

(四)法人、主要负责人、测评人员仅限中华人民共和国境内的中国公民,且无犯罪记录;

(五)具有网络安全相关工作经历的技术和管理人员不少于15 人,专职渗透测试人员不少于 2 人,岗位职责清晰, 且人员相对稳定;

(六)具有固定的办公场所,配备满足测评业务需要的检测评估工具、实验环境等;

(七)具有完备的安全保密管理、项目管理、质量管理、人员管理、档案管理和培训教育等规章制度;

(八)不涉及网络安全产品开发、销售或信息系统安全集成等可能影响测评结果公正性的业务(自用除外);

(九)应具备的其他条件。

第八条申请时,申请单位应向等保办提交以下材料:

(一)网络安全等级保护测评机构推荐申请表;

(二)近两年从事网络安全服务情况以及网络安全服务项目完整文档和相关用户证明;

(三)检测评估工作所需实验环境及测评工具、设备设施情况;

(四)有关管理制度情况;

(五)申请单位及其测评人员基本情况;

(六)应提交的其他材料。

第九条等保办收到申请材料后,应在10个工作日内组织初审。对符合本办法第七条规定的申请单位,应委托测评联盟对其开展测评能力评估。

测评联盟组织专家,根据标准规范对申请单位开展能力评估,出具测评能力评估报告,并及时将能力评估情况反馈等保办。

能力评估不达标的,等保办应告知申请单位初审未通过。

第十条初审通过的申请单位,应组织本单位人员参加测评师培训。考试合格的,取得测评师证书。

测评师分为初级、中级和高级。申请单位应至少有15人获得测评师证书,其中高级测评师不少于1人,中级测评师不少于5人。

第十一条等保办组织专家对人员培训符合要求的申请单位进行复核。复核通过的,颁发《网络安全等级保护测评机构推荐证书》。

第十二条测评机构实行目录管理,国家等保办编制《全国网络安全等级保护测评机构推荐目录》,并在中国网络安全等级保护网网站发布并及时更新。

省级等保办应及时将本地测评机构推荐情况报国家等保办。

第十三条省级等保办每年年底根据测评工作需求制定下一年度测评机构推荐计划,并报国家等保办审定。

省级以上等保办受理测评机构申请的时间为每年三月份。

第十四条测评联盟应组织专家对新推荐测评机构的首个测评项目实施情况进行跟踪评议,并将结果及时报等保办。等保办组织进行综合审查。

第三章测评机构和测评人员管理

第十五条测评机构应与被测评单位签署测评服务协议,依据有关标准规范开展测评业务,防范测评风险,客观准确地反映被测评对象的安全保护状况。

测评机构应按照统一模板出具网络安全等级测评报告,并针对被测评网络分别出具等级测评报告。

对第三级以上网络提供等级测评服务的,测评师人数不得少于4名,其中高级测评师、中级测评师应各不少于1名。

第十六条测评机构应当指定专人管理测评专用章,制定管理规范,不得滥用。

出具等级测评报告时,测评机构应加盖等级测评专用章。未加盖专用章的报告,视为无效。

第十七条测评师上岗前,测评机构应组织岗前培训;培训合格的,由测评机构配发上岗证,上岗证发放情况应于发放后5个工作日报等保办。测评机构应当对测评师开展等级测评业务情况进行考核,并留存相关记录。

未取得测评师证书和上岗证的,不得参与等级测评项目。测评师一年内未参与测评活动的,测评联盟应注销其证书。

测评师实行年度注册管理。年审时,测评机构应将本机构测评师情况报等保办注册。测评机构不得采取挂靠或者聘用兼职测评师开展测评业务。

第十八条测评机构应采取管理和技术措施保护测评活动中相关数据和信息的安全,不得泄露在测评服务中知悉的商业秘密、重要敏感信息和个人信息;未经等保办同意,不得擅自发布、披露在测评服务中收集掌握的网络信息、系统漏洞、恶意代码、网络攻击等信息。

第十九条测评机构提供测评服务不受地域、行业、领域的限制。测评项目采取登记管理。测评机构在实施测评项目之前,须将测评项目信息及时、准确地填报到网络安全等级保护测评项目登记管理系统(以下简称“项目管理系统”)。

测评机构应于测评项目合同签订后或测评活动实施前5 个工作日内,通过项目管理系统填报测评项目基本情况,不得于测评项目完成后进行补录。由于项目实施变更导致已登记信息与实际情况不符的,应及时修改并说明理由。

第二十条省级以上等保办对测评机构填报的信息应在5个工作日内进行审核确认。逾期未审核确认的,项目管理系统默认审核通过。测评项目填报登记和审核确认的具体要求,参见《项目管理系统填报指南》。

第二十一条省级以上等保办在审核确认测评项目登记信息时,发现测评机构具有下列情形之一的,应不予审核通过。

(一)处于暂停测评业务期间;

(二)因违规被通报后,未反馈整改情况的;

(三)其他不符合本办法规定情形的。

第二十二条属于异地测评项目的,测评机构应从项目管理系统中生成测评项目基本情况表,并于测评项目实施前报送或传至被测评网络备案公安机关。

第二十三条测评机构名称、地址、测评人员、主要负责人和联系人发生变更的,测评机构应在变更后5个工作日内向等保办报告,并提交变更材料。

测评机构法人、股权结构发生变更或其他重大事项发生变更的,等保办应组织重新进行推荐审查并出具审查意见。测评机构不得假借变更名义转让推荐证书。

第二十四条测评机构应加强对测评人员的监督管理,定期组织开展安全保密教育和测评业务培训,签订安全保密责任书,规定其应当履行的安全保密义务和承担的法律责任,并负责检查落实。

第二十五条测评机构应组织测评师参加多种形式的测评业务和技术培训,测评师每年培训时长累计不少于40学时。培训时长不足的,不予年度注册。

测评联盟确定测评业务和技术培训科目,发布年度测评培训纲要。

第二十六条测评师离职前,测评机构应与其签订离职保密承诺书,收回上岗证并及时向等保办报备。

自离职之日起超过6个月再入职测评机构的测评师,应通过测评师考试后从事测评活动;自离职之日起一年内未入职测评机构从事测评活动的,测评联盟应注销其测评师证书。

第二十七条测评机构应监督测评师妥善保管测评师证书、上岗证,不得涂改、出借、出租和转让。

第二十八条测评机构应当建立网络安全应急处置机制和纠纷处理机制,防范测评风险,妥善处理纠纷。

第二十九条测评项目完成后,测评机构应请被测评单位对测评服务情况进行评价,评价情况表由被测单位密封后反馈测评机构,留存备查。

第三十条测评机构应每季度向等保办报送测评业务开展情况和测评数据。根据测评实践,测评机构每年底编制并向等保办报送网络安全状况分析报告。

测评机构在测评活动中,发现重大网络安全事件、重大网络安全风险隐患、高危漏洞和重大网络安全威胁时,应及时报告公安机关。

第三十一条国家等保办每年第四季度组织开展测评机构能力验证活动,并将能力验证结果通报各省级等保办。

未参加能力验证的测评机构,视为能力验证未通过。

第三十二条等保办应于每年12月份对所推荐测评机构进行年审。

年审通过的,等保办在推荐证书副本上加盖等级保护专用章或等保办印章,发放测评师注册标识。

年审时,测评机构应当提交以下材料:

(一)网络安全等级保护测评机构年审表;

(二)网络安全等级保护测评机构推荐证书副本;

(三)年度测评工作总结;

(四)测评师年度注册表;

(五)其他所需材料。

第三十三条测评机构有下列情形之一的,年审不予通过。

(一)未及时、准确地填报测评项目信息;

(二)测评师培训时长不足;

(三)未定期报送测评业务开展情况和测评数据;

(四)能力验证未通过且整改方案落实不到位;

(五)其他有关情形。

年审未通过的,等保办责令测评机构限期整改。拒不整改或整改不符合要求的,应暂停测评机构开展等级测评业务。

第三十四条测评机构推荐证书有效期为三年。测评机构应在推荐证书期满前30日内,向等保办申请期满复审。

等保办应于收到期满复审申请后5个工作日内,组织开展复审工作。复审通过的测评机构,由等保办换发新证。省级等保办应及时将测评机构期满复审情况报国家等保办汇总。

期满复审时,测评机构应提交以下材料:

(一)测评机构期满复审申请表;

(二)年审情况;

(三)其他需要提供的有关材料。

第三十五条测评机构有下列情形之一的,期满复审不予通过。

(一)累计两年年审未通过或三年能力验证未通过的;

(二)基本条件不符合的;

(三)违反本办法有关规定且情形特别严重的;

(四)逾期30日未提交期满复审申请的。

期满复审未通过的,等保办应公告宣布取消其推荐证书。

第四章监督管理

第三十六条省级以上等保办对测评机构和测评业务开展情况进行监督、检查、指导。

国家等保办每年组织对测评机构及测评活动开展监督抽查。

测评项目实施过程中,测评机构应接受被测网络备案公安机关的监督、检查和指导。

第三十七条等保办开展监督检查时,重点检查以下内容:

(一)测评机构基本条件符合情况;

(二)测评机构管理制度执行情况;

(三)测评机构相关事项变更报告、审查情况;

(四)测评师管理、行为规范情况;

(五)测评项目实施情况;

(六)测评服务评价情况;

(七)测评报告及相关数据文档管理情况;

(八)其他需监督检查的事项。

第三十八条等保办、被测网络备案公安机关在监督检查时,发现异地测评机构有违反本办法规定情形的,应书面通报该机构推荐等保办。

等保办在收到通报后,应及时组织进行核查处置并反馈,同时将有关情况报国家等保办。

第三十九条等保办应及时将测评数据、测评机构及其测评师情况、年审和期满复审情况、监督检查情况等相关数据录入数据库。

第四十条国家等保办每年对全国测评机构开展年度评定活动,评定结果及时发布。

第四十一条任何组织和个人有权向省级以上等保办、测评联盟投诉举报测评机构和测评人员违法违规行为。

第四十二条测评机构违反本办法第十五、十六、十七、十八、十九、二十二、二十三、二十四、二十五、二十六、二十七、二十八、二十九、三十条规定,等保办应责令其限期整改;拒不整改或情形严重的,约谈测评机构法人和主要负责人;屡次违反上述规定或情形特别严重的,责令其暂停测评业务,并予通报。

第四十三条测评机构有下列情形之一的,等保办责令其限期整改;情形严重的,责令整改期间暂停测评业务,并予通报。

(一)未按照有关标准规范开展测评,或未按规定出具测评报告的;

(二)分包、转包、代理测评项目,或恶意竞争,扰乱测评工作正常开展的;

(三)擅自简化测评工作环节,或未按测评流程要求开展测评工作的;

(四)监督检查或抽查中发现问题突出的;

(五)影响被测评网络正常运行,或因测评不到位,未发现网络中存在相关漏洞隐患,导致被测评网络发生重大网络安全事件的;

(六)非授权占有、使用,以及未妥善保管等级测评相关资料及数据文件的;

(七)限定被测评单位购买、使用指定网络安全产品,或与产品和服务商存在利益勾结行为的;

(八)非本机构测评师或测评人员未取得等级测评师证书和上岗证从事等级测评活动的;

(九)未通过测评项目管理系统及时填报项目登记信息或未通过审核开展等级测评项目的;

(十)未按本办法规定向等保办提交材料或弄虚作假的;

(十一)其他违反本办法有关规定行为的。

第四十四条测评机构有下列情形之一的,等保办应取消其推荐证书,并向社会公告,三年内不得再次申请。

(一)运营管理不规范,屡次被责令整改,严重影响测评服务质量的;

(二)因单位股权、人员等情况发生变动,不符合测评机构基本条件的;

(三)有网络安全产品开发、销售或系统安全集成等影响测评结果公正性行为;与产品提供商、服务商或被测评方存在利益勾结,扰乱测评业务正常开展的;

(四)泄露被测评单位工作秘密、重要数据信息的;

(五)隐瞒测评过程中发现的重大安全问题,或者在测评过程中弄虚作假未如实出具等级测评报告的;

(六)一年内未开展测评业务(被暂停开展测评业务的情况除外)或自愿放弃测评机构推荐资格的;

(七)连续两年年审未通过或未通过期满复审的;

(八)测评实施期间,导致被测评网络发生宕机等严重网络安全事件的;

(九)有第四十二条、第四十三条情形,造成特别严重后果或影响特别恶劣的;

(十)其他违反法律法规或严重违反本办法规定情形的。

第四十五条测评师有下列行为之一的,等保办责令测评机构督促其限期改正;情节严重的,责令测评机构暂停其参与测评业务;情形特别严重的,应注销其测评师证书,责令其所在测评机构进行限期整改。

(一)未经允许擅自使用、泄露或出售等级测评活动中收集的数据信息、资料或测评报告的;

(二)违反本办法规定,有涂改、出借、出租和转让测评师证书、上岗证等行为的;

(三)测评行为失误或不当,严重影响网络安全或造成被测评单位利益重大损失的;

(四)其他违反本办法有关规定行为的。

第四十六条测评机构及其测评师违反本办法的相关规定,给网络运营者造成严重危害和损失,构成违法犯罪的,由相关部门依照有关法律、法规予以处理。

第四十七条公安机关有关工作人员在工作中不得利用职权索取、收受贿赂;不得滥用职权、干预测评机构及测评业务正常开展,以及法律法规禁止的其他行为。

第四十八条本办法自发布之日起实施。本办法由国家等保办负责解释。

第四十九条自本办法实施之日起,《信息安全等级保护测评机构管理办法》、《信息安全等级保护测评机构异地备案实施细则》、各地自行制定的与本办法规定不符的规范性文件一律作废。

第五十条本办法所称“以上”含本数。


《互联网新闻信息服务单位内容管理从业人员管理办法》

第一条为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。

第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:

(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;

(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

第三条 互联网信息服务提供者具有下列情形之一的,应当依照本规定自行开展安全评估,并对评估结果负责:

(一)具有舆论属性或社会动员能力的信息服务上线,或者信息服务增设相关功能的;

(二)使用新技术新应用,使信息服务的功能属性、技术实现方式、基础资源配置等发生重大变更,导致舆论属性或者社会动员能力发生重大变化的;

(三)用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;

(四)发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;

(五)地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形。

第四条 互联网信息服务提供者可以自行实施安全评估,也可以委托第三方安全评估机构实施。

第五条 互联网信息服务提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估下列内容:

(一)确定与所提供服务相适应的安全管理负责人、信息审核人员或者建立安全管理机构的情况;

(二)用户真实身份核验以及注册信息留存措施;

(三)对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;

(四)对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;

(五)个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;

(六)建立投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关投诉和举报的情况;

(七)建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;

(八)建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据支持和协助的工作机制的情况。

第六条 互联网信息服务提供者在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。

经过安全评估,符合法律、行政法规、部门规章和标准的,应当形成安全评估报告。安全评估报告应当包括下列内容:

(一)互联网信息服务的功能、服务范围、软硬件设施、部署位置等基本情况和相关证照获取情况;

(二)安全管理制度和技术措施落实情况及风险防控效果;

(三)安全评估结论;

(四)其他应当说明的相关情况。

第七条 互联网信息服务提供者应当将安全评估报告通过全国互联网安全管理服务平台提交所在地地市级以上网信部门和公安机关。

具有本规定第三条第一项、第二项情形的,互联网信息服务提供者应当在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;具有本规定第三条第三、四、五项情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告。

第八条 地市级以上网信部门和公安机关应当依据各自职责对安全评估报告进行书面审查。

发现安全评估报告内容、项目缺失,或者安全评估方法明显不当的,应当责令互联网信息服务提供者限期重新评估。

发现安全评估报告内容不清的,可以责令互联网信息服务提供者补充说明。

第九条 网信部门和公安机关根据对安全评估报告的书面审查情况,认为有必要的,应当依据各自职责对互联网信息服务提供者开展现场检查。

网信部门和公安机关开展现场检查原则上应当联合实施,不得干扰互联网信息服务提供者正常的业务活动。

第十条 对存在较大安全风险、可能影响国家安全、社会秩序和公共利益的互联网信息服务,省级以上网信部门和公安机关应当组织专家进行评审,必要时可以会同属地相关部门开展现场检查。

第十一条 网信部门和公安机关开展现场检查,应当依照有关法律、行政法规、部门规章的规定进行。

第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。

发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。

第十三条 网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。

第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。

第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。

第十六条 对于互联网新闻信息服务新技术新应用的安全评估,依照《互联网新闻信息服务新技术新应用安全评估管理规定》执行。

第十七条 本规定自2018年11月30日起施行。



《网络音视频信息服务管理规定》

第一条为促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网文化管理暂行规定》《互联网视听节目服务管理规定》,制定本规定。

第二条在中华人民共和国境内从事网络音视频信息服务,应当遵守本规定。

本规定所称网络音视频信息服务,是指通过互联网站、应用程序等网络平台,向社会公众提供音视频信息制作、发布、传播的服务。

网络音视频信息服务提供者,是指向社会公众提供网络音视频信息服务的组织或者个人。网络音视频信息服务使用者,是指使用网络音视频信息服务的组织或者个人。

第三条各级网信、文化和旅游、广播电视等部门依据各自职责开展网络音视频信息服务的监督管理工作。

第四条网络音视频信息服务提供者和使用者应当遵守宪法、法律和行政法规,坚持正确政治方向、舆论导向和价值取向,弘扬社会主义核心价值观,促进形成积极健康、向上向善的网络文化。

第五条国家鼓励和指导互联网行业组织加强行业自律,建立健全网络音视频信息服务行业标准和行业准则,推动网络音视频信息服务行业信用体系建设,督促网络音视频信息服务提供者依法提供服务、接受社会监督,提高网络音视频信息服务从业人员职业素养,促进行业健康有序发展。

第六条网络音视频信息服务提供者应当依法取得法律、行政法规规定的相关资质。

第七条网络音视频信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员,建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度,具有与新技术新应用发展相适应的安全可控的技术保障和防范措施,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、安全性和可用性。

第八条网络音视频信息服务提供者应当依照《中华人民共和国网络安全法》的规定,对用户进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证。用户不提供真实身份信息的,网络音视频信息服务提供者不得为其提供信息发布服务。

第九条任何组织和个人不得利用网络音视频信息服务以及相关信息技术从事危害国家安全、破坏社会稳定、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得制作、发布、传播煽动颠覆国家政权、危害政治安全和社会稳定、网络谣言、淫秽色情,以及侵害他人名誉权、肖像权、隐私权、知识产权和其他合法权益等法律法规禁止的信息内容。

第十条网络音视频信息服务提供者基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估。

第十一条网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识。

网络音视频信息服务提供者和网络音视频信息服务使用者不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。转载音视频新闻信息的,应当依法转载国家规定范围内的单位发布的音视频新闻信息。

第十二条网络音视频信息服务提供者应当加强对网络音视频信息服务使用者发布的音视频信息的管理,部署应用违法违规音视频以及非真实音视频鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

网络音视频信息服务提供者发现不符合本规定第十一条第一款要求的信息内容的,应当立即停止传输该信息,以显著方式标识后方可继续传输该信息。

第十三条网络音视频信息服务提供者应当建立健全辟谣机制,发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报网信、文化和旅游、广播电视等部门备案。

第十四条网络音视频信息服务提供者应当在与网络音视频信息服务使用者签订的服务协议中,明确双方权利、义务,要求网络音视频信息服务使用者遵守本规定及相关法律法规。对违反本规定、相关法律法规及服务协议的网络音视频信息服务使用者依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

第十五条网络音视频信息服务提供者应当自觉接受社会监督,设置便捷的投诉举报入口,公布投诉、举报方式等信息,及时受理并处理公众投诉举报。

第十六条为网络音视频信息服务提供技术支持的主体应当遵守相关法律法规规定和国家标准规范,采取技术措施和其他必要措施,保障网络安全、稳定运行。

第十七条各级网信、文化和旅游、广播电视等部门应当建立日常监督检查和定期检查相结合的监督管理制度,指导督促网络音视频信息服务提供者依据法律法规和服务协议规范网络音视频信息服务行为。

网络音视频信息服务提供者应当遵守相关法律法规规定,依法留存网络日志,配合网信、文化和旅游、广播电视等部门开展监督管理执法工作,并提供必要的技术、数据支持和协助。

第十八条网络音视频信息服务提供者和网络音视频信息服务使用者违反本规定的,由网信、文化和旅游、广播电视等部门依照《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网文化管理暂行规定》《互联网视听节目服务管理规定》等相关法律法规规定处理;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第十九条本规定自2020年1月1日起施行。



《关键信息基础设施安全保护条例》(征求意见稿)

第一章总则

第一条 为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。

第二条 在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。

第三条 关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。

第四条 国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。

县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。

第五条 关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第六条 关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。

第七条 任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。

收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。

有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。

第二章支持与保障

第八条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。

第九条 国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。

第十条 国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。

第十一条 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。

第十二条 国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。

第十三条 国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。

第十四条 能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。

第十五条 公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。

第十六条 任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:

(一)攻击、侵入、干扰、破坏关键信息基础设施;

(二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;

(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;

(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;

(五)其他危害关键信息基础设施的活动和行为。

第十七条 国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。

第三章关键信息基础设施范围

第十八条 下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:

(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;

(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;

(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;

(四)广播电台、电视台、通讯社等新闻单位;

(五)其他重点单位。

第十九条 国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。

国家行业主管或监管部门按照关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序报送识别结果。

关键信息基础设施识别认定过程中,应当充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。

第二十条 新建、停运关键信息基础设施,或关键信息基础设施发生重大变化的,运营者应当及时将相关情况报告国家行业主管或监管部门。

国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整,并按程序报送调整情况。

第四章运营者安全保护

第二十一条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。

第二十二条 运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。

第二十三条 运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障关键信息基础设施免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;

(二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;

(三)采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密认证等措施。

第二十四条 除本条例第二十三条外,运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求,履行下列安全保护义务:

(一)设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;

(二)定期对从业人员进行网络安全教育、技术培训和技能考核;

(三)对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;

(四)制定网络安全事件应急预案并定期进行演练;

(五)法律、行政法规规定的其他义务。

第二十五条 运营者网络安全管理负责人履行下列职责:

(一) 组织制定网络安全规章制度、操作规程并监督执行;

(二)组织对关键岗位人员的技能考核;

(三)组织制定并实施本单位网络安全教育和培训计划;

(四)组织开展网络安全检查和应急演练,应对处置网络安全事件;

(五)按规定向国家有关部门报告网络安全重要事项、事件。

第二十六条 运营者网络安全关键岗位专业技术人员实行执证上岗制度。

执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。

第二十七条 运营者应当组织从业人员网络安全教育培训,每人每年教育培训时长不得少于1个工作日,关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

第二十八条 运营者应当建立健全关键信息基础设施安全检测评估制度,关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。

运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估,对发现的问题及时进行整改,并将有关情况报国家行业主管或监管部门。

第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照个人信息和重要数据出境安全评估办法进行评估;法律、行政法规另有规定的,依照其规定。

第五章产品和服务安全

第三十条 运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求。

第三十一条 运营者采购网络产品和服务,可能影响国家安全的,应当按照网络产品和服务安全审查办法的要求,通过网络安全审查,并与提供者签订安全保密协议。

第三十二条 运营者应当对外包开发的系统、软件,接受捐赠的网络产品,在其上线应用前进行安全检测。

第三十三条 运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的,应当及时采取措施消除风险隐患,涉及重大风险的应当按规定向有关部门报告。

第三十四条 关键信息基础设施的运行维护应当在境内实施。因业务需要,确需进行境外远程维护的,应事先报国家行业主管或监管部门和国务院公安部门。

第三十五条 面向关键信息基础设施开展安全检测评估,发布系统漏洞、计算机病毒、网络攻击等安全威胁信息,提供云计算、信息技术外包等服务的机构,应当符合有关要求。

具体要求由国家网信部门会同国务院有关部门制定。

第六章监测预警、应急处置和检测评估

第三十六条 国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度,组织指导有关机构开展网络安全信息汇总、分析研判和通报工作,按照规定统一发布网络安全监测预警信息。

第三十七条 国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。

国家行业主管或监管部门应当组织对安全监测信息进行研判,认为需要立即采取防范应对措施的,应当及时向有关运营者发布预警信息和应急防范措施建议,并按照国家网络安全事件应急预案的要求向有关部门报告。

第三十八条 国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制,促进网络安全信息共享。

第三十九条 国家网信部门按照国家网络安全事件应急预案的要求,统筹有关部门建立健全关键信息基础设施网络安全应急协作机制,加强网络安全应急力量建设,指导协调有关部门组织跨行业、跨地域网络安全应急演练。

国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案,并定期组织演练,提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后,应立即启动应急预案组织应对,并及时报告有关情况。

第四十条 国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测,提出改进措施,指导、督促运营者及时整改检测评估中发现的问题。

国家网信部门统筹协调有关部门开展的抽查检测工作,避免交叉重复检测评估。

第四十一条 有关部门组织开展关键信息基础设施安全检测评估,应坚持客观公正、高效透明的原则,采取科学的检测评估方法,规范检测评估流程,控制检测评估风险。

运营者应当对有关部门依法实施的检测评估予以配合,对检测评估发现的问题及时进行整改。

第四十二条 有关部门组织开展关键信息基础设施安全检测评估,可采取下列措施:

(一)要求运营者相关人员就检测评估事项作出说明;

(二)查阅、调取、复制与安全保护有关的文档、记录;

(三)查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况;

(四)利用检测工具或委托网络安全服务机构进行技术检测;

(五)经运营者同意的其他必要方式。

第四十三条 有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第四十四条 有关部门组织开展关键信息基础设施安全检测评估,不得向被检测评估单位收取费用,不得要求被检测评估单位购买指定品牌或者指定生产、销售单位的产品和服务。

第七章法律责任

第四十五条 运营者不履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的网络安全保护义务的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

第四十六条 运营者违反本条例第二十九条规定,在境外存储网络数据,或者向境外提供网络数据的,由国家有关主管部门依据职责责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十七条 运营者违反本条例第三十一条规定,使用未经安全审查或安全审查未通过的网络产品或者服务的,由国家有关主管部门依据职责责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十八条 个人违反本条例第十六条规定,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款;构成犯罪的,依法追究刑事责任。

单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本条例第十六条规定,受到刑事处罚的人员,终身不得从事关键信息基础设施安全管理和网络运营关键岗位的工作。

第四十九条 国家机关关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接负责人员依法给予处分。

第五十条 有关部门及其工作人员有下列行为之一的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:

(一)在工作中利用职权索取、收受贿赂;

(二)玩忽职守、滥用职权;

(三)擅自泄露关键信息基础设施有关信息、资料及数据文件;

(四)其他违反法定职责的行为。

第五十一条 关键信息基础设施发生重大网络安全事件,经调查确定为责任事故的,除应当查明运营单位责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。

第五十二条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门、国家安全机关和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

第八章附则

第五十三条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护,还应当遵守保密法律、行政法规的规定。

关键信息基础设施中的密码使用和管理,还应当遵守密码法律、行政法规的规定。

第五十四条 军事关键信息基础设施的安全保护,由中央军事委员会另行规定。

第五十五条 本条例自****年**月**日起施行。



《数据安全管理办法》(征求意见稿)

第一章总则

第一条 为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。

第二条 在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。

法律、行政法规另有规定的,从其规定。

第三条 国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。

第四条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。

第五条 在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。

地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

第六条 网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。

第二章数据收集

第七条 网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。

第八条 收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:

(一)网络运营者基本信息;

(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式;

(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等;

(四)个人信息保存地点、期限及到期后的处理方式;

(五)向他人提供个人信息的规则,如果向他人提供的;

(六)个人信息安全保护策略等相关信息;

(七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;

(八)投诉、举报渠道和方法等;

(九)法律、行政法规规定的其他内容。

第九条 如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。

第十条 网络运营者应当严格遵守收集使用规则,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,同步调整。

第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后,网络运营者应当向个人信息主体提供核心业务功能服务,不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息,而拒绝提供核心业务功能服务。

第十二条 收集14周岁以下未成年人个人信息的,应当征得其监护人同意。

第十三条 网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。

第十四条 网络运营者从其他途径获得个人信息,与直接收集个人信息负有同等的保护责任和义务。

第十五条 网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。

第十六条 网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行;此类行为严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。

第十七条 网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。

数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。

第十八条 数据安全责任人履行下列职责:

(一)组织制定数据保护计划并督促落实;

(二)组织开展数据安全风险评估,督促整改安全隐患;

(三)按要求向有关部门和网信部门报告数据安全保护和事件处置情况;

(四)受理并处理用户投诉和举报。

网络运营者应为数据安全责任人提供必要的资源,保障其独立履行职责。

第三章数据处理使用

第十九条 网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

第二十条 网络运营者保存个人信息不应超出收集使用规则中的保存期限,用户注销账号后应当及时删除其个人信息,经过处理无法关联到特定个人且不能复原(以下称匿名化处理)的除外。

第二十一条 网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

第二十二条 网络运营者不得违反收集使用规则使用个人信息。因业务需要,确需扩大个人信息使用范围的,应当征得个人信息主体同意。

第二十三条 网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。

网络运营者开展定向推送活动应遵守法律、行政法规,尊重社会公德、商业道德、公序良俗,诚实守信,严禁歧视、欺诈等行为。

第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。

第二十五条 网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律,对于用户通过社交网络转发他人制作的信息,应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

第二十六条 网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时,应当及时响应,一旦核实立即停止传播并作删除处理。

第二十七条 网络运营者向他人提供个人信息前,应当评估可能带来的安全风险,并征得个人信息主体同意。下列情况除外:

(一)从合法公开渠道收集且不明显违背个人信息主体意愿;

(二)个人信息主体主动公开;

(三)经过匿名化处理;

(四)执法机关依法履行职责所必需;

(五)维护国家安全、社会公共利益、个人信息主体生命安全所必需。

第二十八条 网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准。

向境外提供个人信息按有关规定执行。

第二十九条 境内用户访问境内互联网的,其流量不得被路由到境外。

第三十条 网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的,网络运营者应当承担部分或全部责任,除非网络运营者能够证明无过错。

第三十一条 网络运营者兼并、重组、破产的,数据承接方应承接数据安全责任和义务。没有数据承接方的,应当对数据作删除处理。法律、行政法规另有规定的,从其规定。

第三十二条 网络运营者分析利用所掌握的数据资源,发布市场预测、统计信息、个人和企业信用等信息,不得影响国家安全、经济运行、社会稳定,不得损害他人合法权益。

第四章数据安全监督管理

第三十三条 网信部门在履行职责中,发现网络运营者数据安全管理责任落实不到位,应按照规定的权限和程序约谈网络运营者的主要负责人,督促整改。

第三十四条 国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。

国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。

第三十五条 发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。

第三十六条 国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要,依照法律、行政法规的规定,要求网络运营者提供掌握的相关数据的,网络运营者应当予以提供。

国务院有关主管部门对网络运营者提供的数据负有安全保护责任,不得用于与履行职责无关的用途。

第三十七条 网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。

第五章附则

第三十八条 本办法下列用语的含义:

(一)网络运营者,是指网络的所有者、管理者和网络服务提供者。

(二)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。

(三)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

(四)个人信息主体,是指个人信息所标识或关联到的自然人。

(五)重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

第三十九条 涉及国家秘密信息、密码使用的数据活动,按照国家有关规定执行。

第四十条 本办法自 年 月 日起施行。