中华人民共和国网络安全法

（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过 2016年11月7日中华人民共和国主席令第53号公布 自2017年6月1日起施行）

第一章 总则

第二章 网络安全支持与促进

第三章 网络运行安全

　第一节 一般规定

　第二节 关键信息基础设施的运行安全

第四章 网络信息安全

第五章 监测预警与应急处置

第六章 法律责任

第七章 附则

第一条 【立法目的】为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

►注解

[维护网络空间主权]

网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。

网络空间主权至少包括以下内容：一是国内主权，即国家拥有对其领土范围内网络基础设施、网络活动与信息的管辖权；二是“依赖性主权”，即国家拥有管理跨界网络活动的权力，这一权力通常需要依赖国家之间的合作来实现；三是独立权，即独立制定政策、自主处理国内外网络事务，不受他国干涉的权力；四是自卫权，即对他国的网络攻击有采取自卫措施的权力。

第二条 【调整范围】在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

►注解

网络安全法是全国人大常委会制定的法律，其效力原则上限于我国境内。需要说明的是，虽然本法原则上只在我国境内适用，但考虑到跨境网络活动的特殊性，网络安全法还规定了其特定的域外效力：一是规定，国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁。二是规定，国家网信部门和有关部门发现来源于中华人民共和国境外的我国法律、行政法规禁止发布或者传输的信息的，应当通知有关机构采取技术措施和其他必要措施阻断传播。三是规定，境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。另外，其他法律规定的涉外网络活动应当适用我国法律的，也应当适用我国法律。

第三条 【网络安全工作的基本原则】国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

第四条 【国家网络安全战略】国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。

►注解

国家网络安全战略是国家从网络安全国际国内形势和全局出发，确定网络安全工作目标、任务并为实现上述目标和任务而制定的方略和规划。国家网络安全战略具有全局性、综合性、整体性、长远性，是指导、统筹网络安全工作的最高原则和纲领。

本条对我国网络安全战略的主要内容作了原则规定，包括：保障网络安全的基本要求；保障网络安全的主要目标；重点领域的网络安全政策、工作任务和措施。国家网络空间安全的目标是：以总体国家安全观为指导，贯彻落实创新、协调、绿色、开放、共享的发展理念，增强风险意识和危机意识，统筹国内国际两个大局，统筹发展安全两件大事，积极防御、有效应对，推进网络空间和平、安全、开放、合作、有序，维护国家主权、安全、发展利益，实现建设网络强国的战略目标。维护网络空间安全的原则包括：尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展；战略任务包括：坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作。

第五条 【国家维护网络安全的主要任务】国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

►注解

我国面临的网络安全风险和威胁概括起来主要包括三个方面：一是，网络入侵、网络攻击等非法活动，严重威胁着运行安全；二是，非法获取、泄露甚至倒卖公民个人信息，侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生，严重损害公民、法人和其他组织的合法权益；三是，宣扬恐怖主义、极端主义，煽动颠覆国家政权、推翻社会主义制度，以及淫秽色情等违法信息，借助网络传播、扩散，严重危害国家安全和社会公共利益。国家维护网络安全，必须采取措施监测、防御并处置各类网络安全风险和威胁，保障网络安全稳定运行，防止因网络活动对国家安全、社会公共利益和公民合法权益造成损害。

第六条 【网络安全的社会参与】国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。

第七条 【网络安全国际合作】国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。

第八条 【网络安全监督管理体制】国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

第九条 【网络运营者的基本义务】网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

►注解

网络运营者开展经营和服务活动，应当履行下列义务：

（1）遵守法律、行政法规。法律、行政法规是对全体社会成员具有普遍约束力的行为规范。网络运营者开展经营和服务活动应当遵守法律、行政法规，在法律、行政法规的范围内行事，履行法律、行政法规规定的义务，承担法律、行政法规规定的责任。

（2）遵守商业道德。商业道德是在长期商业活动中形成的、被社会广泛承认和接受的、对商业活动具有影响力和约束力的准则和规范。网络运营者开展经营和服务活动，在遵守法律、行政法规的同时，应当遵守商业道德，并可根据自身情况制定本组织的商业道德规范，约束本组织、高级管理人员及员工的行为，以此增强本组织凝聚力，谋求本组织健康长远发展。

（3）诚实信用。诚实信用是民事活动的基本原则，这一原则要求民事主体重承诺、守信用，以最大的善意从事民事活动，特别是在缔结合同时应当合理确定与相对方的权利和义务，在履行合同时应当按照约定正当行使权利和履行义务。

（4）履行网络安全保护义务。网络运营者作为网络的管理者、使用者和利用他人网络从事相关服务的网络服务提供者，是网络安全的第一责任人，应当履行法律规定的维护网络安全的义务。

（5）接受政府和社会的监督。网络运营者建设、运营网络或者通过网络提供服务，是否符合法律、行政法规的规定，事关国家利益、公共利益以及社会公众的利益，因此应当接受政府和社会公众的监督，包括对政府及政府有关部门依法实施的监督管理予以配合，及时处理社会公众的投诉等。

（6）承担社会责任。网络运营者在履行法律、行政法规规定的强制性义务的基础上，为实现自身和社会可持续发展，在道德规范、商业伦理等方面应当承担包括防止环境污染、保护生态、维护职工权益以及参与社会公益事业等社会责任。

第十条 【维护网络安全的总体要求】建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

►注解

本条概括规定了建设、运营网络或者通过网络提供服务应当遵守的维护网络安全的总体要求。

[保障网络运行安全]

保障网络运行安全的依据是法律、行政法规的规定和国家标准的强制性要求；保障网络运行安全的手段是采取技术措施和其他必要措施，其他必要措施主要是指管理措施；目标是保障网络安全、稳定运行，有效应对网络安全事件，以保障网络的正常功能。

[网络违法犯罪活动]

这里的网络违法犯罪活动，既包括非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的违法犯罪活动，也包括利用网络从事的危害国家安全、损害公共利益、侵害他人合法权益等各种违法犯罪活动。建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，及时发现并处置网络违法犯罪活动，防止网络违法犯罪活动对自身及他人利益造成损害。对怠于履行防范网络违法犯罪活动的义务，或者放任网络违法犯罪活动发生、蔓延的，应当依法承担法律责任。

[网络数据安全]

网络数据安全即维护网络数据的完整性、保密性和可用性，这一要求也是与网络安全的含义相对应的。完整性，是指防止网络数据被不正当地修改或破坏，确保数据的不可否认和真实；保密性，是指防止对网络数据未经授权的访问；可用性，是指确保网络数据能够及时可靠地获取和使用。

第十一条 【网络安全行业自律】网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

第十二条 【网络活动参与者的权利和义务】国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条 【未成年人网络保护】国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

第十四条 【危害网络安全行为的举报及处理】任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

第十五条 【网络安全标准】国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

第十六条 【促进网络安全技术和产业发展】国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

第十七条 【网络安全社会化服务体系建设】国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

第十八条 【促进数据资源开发利用】国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

国家支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。

第十九条 【网络安全宣传教育】各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。

大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。

第二十条 【网络安全人才培养】国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

第二十一条 【网络安全等级保护制度】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

►注解

网络安全等级保护制度是我国现行的网络安全领域的一项重要制度。网络安全等级保护制度的主要内容可以分为技术类安全要求和管理类安全要求两大类。技术类安全要求主要从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出，通过在信息系统中部署软硬件并正确配置其安全功能来实现；管理类安全要求主要从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面作出规定来实现。

本条根据网络安全等级保护制度，对网络运营者的安全保护义务作了基本规定，主要包括以下几个方面：

1.制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定，制定内部安全管理制度和操作规程，细化并落实安全管理义务，根据不同保护等级设置安全管理机构、安全管理人员、安全主管、安全管理负责人等，并明确相关机构和人员的职责。安全管理制度和操作规程规定的每一项具体制度、每一个操作步骤都应当有具体的责任人，哪个环节出了责任事故都要有相应的人员负责。

2.采取防范危害网络安全行为的技术措施。网络运营者应当依照法律、行政法规及网络安全等级保护制度的规定，切实采取技术防范措施，从技术上防范计算机病毒和网络攻击、网络侵入等网络安全风险。

3.配备相应的硬件和软件监测、记录网络运行状态、网络安全事件，按照规定留存相关网络日志。网络日志是对网络信息系统的用户访问、运行状态、系统维护等情况的记录，对于追溯非法操作、未经授权的访问，并维护网络安全以及调查网络违法犯罪活动具有重要作用。考虑到网络日志的种类较多，哪些需要按照本条规定留存不少于六个月，需要根据维护网络安全的实际来确定，因此，本条规定，网络运营者应当按照规定留存相关的网络日志不少于六个月。

4.采取数据分类、重要数据备份和加密等措施。数据分类就是按照某种标准，例如重要程度，对数据进行区分、归类。数据备份就是为防止系统故障或者其他安全事件导致数据丢失，而将数据从应用主机的硬盘或阵列复制、存储到其他存储介质。数据加密就是通过加密算法和密钥将明文数据转变为密文数据，从而实现数据的保密性。网络运营者应当依照本法和有关法律、行政法规以及网络安全等级保护制度的规定，采取数据分类、重要数据备份和加密等措施，保护网络数据安全。

5.网络运营者的其他义务。除了本法规定的义务外，网络运营者还应当履行其他有关法律、行政法规规定的网络安全保护义务。

第二十二条 【网络产品和服务提供者的安全义务】网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

第二十三条 【网络关键设备和安全专用产品的认证检测】网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

第二十四条 【网络用户身份管理制度】网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

►注解

本法规定的用户身份管理制度包括基础环节和应用环节。基础环节包括网络接入、域名注册、固定电话和移动电话入网等。按照我国目前有关网络接入、互联网域名注册以及电话用户身份管理方面的规定，都要求服务提供者在为用户办理业务时，必须要求用户出示有效证件，并予以核对、登记。应用环节包括提供信息发布、即时通讯服务等。按照《互联网用户账号名称管理规定》，互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。在实际操作中，多数服务提供者是通过手机号进行验证，实现用户身份实名制。要求用户提供真实身份信息是网络运营者的一项法定义务，网络运营者在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息，用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

第二十五条 【网络运营者的应急处置措施】网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

►注解

应急预案是指突发事件应急方针、政策，应急组织结构及其职责，应急行动、措施和保障等方面的要求和程序的文件。为了有效应对、处置网络安全事件，保障网络安全、稳定运行，本条要求网络运营者制定网络安全事件应急预案。网络运营者应当结合自身生产经营情况，对系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险进行系统评估并作出预测，提出应对网络安全事件的指导思想、基本策略，组织机构、人员、技术、物资保障，指挥处置程序、应急和支持措施等，制定形成预案，使网络安全事件应急处置工作有章可循、有据可依。应急预案通常应当包括下列内容：（1）明确有关各方的分工和责任；（2）明确各类事故的诊断方法和流程；事故场景应覆盖电力故障、火情水灾、人为破坏、病毒爆发、网络攻击、计算机硬件故障、操作系统故障、系统漏洞、应用系统故障以及其他各类与网络相关的故障；（3）制定网络恢复流程和应急处置操作手册；（4）明确应急恢复过程中的关键状态，并明确不同状态的沟通和报告内容及等级；（5）明确应急相关人员的协调内容和沟通方式；（6）明确系统重建步骤，确保网络恢复正常业务处理能力。

第二十六条 【网络安全服务活动的规范】开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

第二十七条 【禁止危害网络安全的行为】任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

►注解

“侵入”，是指未经他人授权，通过技术手段进入他人网络。“干扰他人网络正常功能”，是指对网络功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行。“窃取网络数据”，是指未经他人允许，采用技术手段，获取网络中存储、传输、处理的数据的行为。“技术支持”是指为从事危害网络安全的行为提供互联网接入、服务器托管、网络存储、通讯传输等技术方面的帮助。“广告推广”是指为从事危害网络安全的行为做广告宣传或推广，帮助其扩大影响或者获得收入来源。“支付结算”是指为从事危害网络安全的行为或行为人提供收款、转账、取款、付款等服务，为行为人获得资金支持提供便利。

第二十八条 【网络运营者的技术支持和协助义务】网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

第二十九条 【网络安全风险的合作应对】国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。

有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。

第三十条 【执法信息用途限制】网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

第三十一条 【关键信息基础设施保护制度】国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第三十二条 【关键信息基础设施安全保护工作部门的职责】按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。

第三十三条 【关键信息基础设施建设的安全要求】建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

►注解

本条要求保障关键信息基础设施运行安全的技术措施，应当与关键信息基础设施的主体工程同步规划、同步建设、同步使用。关键信息基础设施安全技术措施“三同时”应当达到以下要求：一是，建设项目的设计单位在编制项目设计文件时，应当按照规定编制安全技术措施的设计文件；二是，关键信息基础设施的运营者在编制建设项目投资计划时，应当将安全技术措施所需投资纳入预算；三是，关键信息基础设施的运营者应当要求施工单位严格按照安全技术措施的设计要求施工；四是，在建设项目验收时，应当对安全技术措施进行调试、检测和验收；五是，安全技术措施应当与主体工程同时投入使用。

第三十四条 【关键信息基础设施运营者的安全保护义务】除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

第三十五条 【关键信息基础设施采购的国家安全审查】关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

第三十六条 【关键信息基础设施采购的安全保密义务】关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

►注解

本条在实践做法的基础上，要求关键信息基础设施的运营者采购网络产品和服务时，应当按照有关规定与提供者签订安全保密协议，明确安全和保密义务与责任：（1）关键信息基础设施的运营者应当加强资质资信审查，慎重选择网络产品和服务的供应商；（2）应当按照规定与供应商签订保密协议，明确供应商的安全义务、保密义务及不履行义务应承担的责任和义务；（3）应当监督供应商进行设备安装、测试、检测、维修、安全维护等各方面的活动，留存操作记录，保证供应商按照协议的规定履行安全和保密义务。

第三十七条 【关键信息基础设施数据的境内存储和对外提供】关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

►注解

本条考虑了关键信息基础设施运营者跨境业务的需要和网络服务的特点，规定因业务需要经过安全评估可以向境外提供这些数据，此项评估是为了监督并保证对这些数据的保护符合我国的安全要求和标准；本条还考虑到某些国际执法合作及特定商业活动的需要，明确法律、行政法规可以作出特别的规定。根据本条规定，国家网信部门应当会同国务院有关部门制定关键信息基础设施数据对外提供的安全评估办法，以实施这一制度。

第三十八条 【关键信息基础设施的定期安全检测评估】关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条 【关键信息基础设施保护的统筹协作机制】国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

►注解

本条根据国家网信部门的职能，要求其统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：（1）对关键信息基础设施的安全风险进行抽查检测。国家网信部门应当统筹协调有关部门制定方案，有计划地进行抽查检测，避免重复检测。抽查检测可以确定由有关部门进行，必要时也可以委托网络安全服务机构进行。（2）组织关键信息基础设施运营者进行应急演练。国家网信部门会同有关部门组织关键信息基础设施运营者连动进行应急演练，可以检验政府部门及运营者之间应急处置指挥的有效性、信息传递的及时性、处置行动的一致性以及预案的科学性，从而提高应对网络安全事件的水平和协同配合能力。（3）促进关键信息基础设施网络安全信息共享。各相关机构共享网络安全信息，一是，有关部门可以不断增强网络安全风险和威胁的感知能力，为网络安全形势的研判、网络安全风险的预警、网络安全事件的应急处置，以及完善相关管理制度提供依据。二是，关键信息基础设施的运营者可以分享网络安全保护的经验，借鉴其他运营者的最佳实践，提升其安全保护能力。三是，有关研究机构、网络安全服务机构等也可以借此提升本机构的研究和服务水平。（4）对关键信息基础设施的应急处置和功能恢复提供支持和协助。

第四十条 【建立用户信息保护制度】网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第四十一条 【个人信息收集使用规则】网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第四十二条 【网络运营者的个人信息保护义务】网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第四十三条 【个人信息的删除权和更正权】个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

►注解

个人信息删除权，是指信息主体在具备法定理由的情形下，请求删除其个人信息的权利。本条规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息。通常包括以下情形：（1）收集、使用行为不具备合法性，比如：收集、使用开始时就未得到被收集者的同意且无法律依据；被收集者的同意无效或已被撤销；对收集、使用信息超出法定或约定的范围。（2）收集、使用个人信息的目的消失，使对个人信息的保存及处理、利用失去了必要性、正当性。（3）约定的收集、使用、保存个人信息的期限届满。对删除个人信息的要求，网络运营者应当及时受理及采取措施予以删除。

个人信息更正权，是指在个人信息收集、存储、使用过程中，个人信息不完整或不准确时，个人有权要求及时改正、补充的权利。因此，本条赋予了个人对其个人信息的更正权，有权要求网络运营者更正其个人信息的错误和遗漏；对更正个人信息的要求，网络运营者应当及时受理及采取措施予以更正。

第四十四条 【禁止非法获取、买卖、提供个人信息】任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

第四十五条 【监督管理部门的保密义务】依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

第四十六条 【禁止利用网络从事与违法犯罪相关的活动】任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

第四十七条 【网络运营者处置违法信息的义务】网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

►注解

依照本条规定，网络运营者发现用户发布法律、行政法规禁止发布或者传输的信息的，一是应当立即停止传输该信息，阻止违法信息通过其所提供的网络服务传播给他人；二是应当采取消除等处置措施，防止信息扩散，减小违法信息的影响和危害；三是应当保存有关记录，为依法追究信息发布者的责任提供依据；四是应当根据违法信息的内容和性质，向有关主管部门报告。

第四十八条 【电子信息和应用软件的信息安全要求及其提供者处置违法信息的义务】任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。

电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

第四十九条 【投诉举报及配合监督检查的义务】网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。

第五十条 【监督管理部门对违法信息的处置】国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。

第五十一条 【国家网络安全监测预警和信息通报制度】国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

第五十二条 【关键信息基础设施的安全监测预警和信息通报】负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

第五十三条 【网络安全事件应急预案】国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。

第五十四条 【网络安全风险预警】网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：

（一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；

（二）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；

（三）向社会发布网络安全风险预警，发布避免、减轻危害的措施。

第五十五条 【网络安全事件的应急处置】发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

第五十六条 【约谈制度】省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。

第五十七条 【突发事件和生产安全事故的处置】因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

第五十八条 【网络通信临时限制措施】因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

第五十九条 【未履行网络运行安全义务的法律责任】网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

第六十条 【未履行网络产品和服务安全义务的法律责任】违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

（一）设置恶意程序的；

（二）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

（三）擅自终止为其产品、服务提供安全维护的。

第六十一条 【违反用户身份管理规定的法律责任】网络运营者违反本法第二十四条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十二条 【违法开展网络安全服务活动的法律责任】违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

第六十三条 【实施危害网络安全行为的法律责任】违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。

单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

第六十四条 【侵犯个人信息权利的法律责任】网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。

第六十五条 【违反关键信息基础设施采购国家安全审查规定应承担的法律责任】关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十六条 【违反关键信息基础设施数据境内存储和对外提供规定的法律责任】关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第六十七条 【利用网络从事与违法犯罪相关的活动的法律责任】违反本法第四十六条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。

单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

第六十八条 【未履行信息安全管理义务的法律责任】网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。

第六十九条 【网络运营者阻碍执法的法律责任】网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：

（一）不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的；

（二）拒绝、阻碍有关部门依法实施的监督检查的；

（三）拒不向公安机关、国家安全机关提供技术支持和协助的。

第七十条 【发布传输违法信息的法律责任】发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。

第七十一条 【对违法行为人的信用惩戒】有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第七十二条 【政务网络运营者不履行安全保护义务的法律责任】国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

第七十三条 【执法部门渎职的法律责任】网信部门和有关部门违反本法第三十条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。

网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

第七十四条 【民事、刑事责任及治安管理处罚的衔接性规定】违反本法规定，给他人造成损害的，依法承担民事责任。

违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第七十五条 【对攻击关键信息基础设施的境外机构、组织、个人的制裁】境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

第七十六条 【有关用语的含义】本法下列用语的含义：

（一）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

（二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（三）网络运营者，是指网络的所有者、管理者和网络服务提供者。

（四）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

（五）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

第七十七条 【涉密网络安全保护】存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。

►注解

国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。国家秘密的密级分为“绝密” “机密” “秘密”三级。

第七十八条 【军事网络安全保护】军事网络的安全保护，由中央军事委员会另行规定。

第七十九条 【施行日期】本法自2017年6月1日起施行。