中華人民共和國網(wǎng)絡(luò )安全法

第三章 網(wǎng)絡(luò )運行安全
第一節一般規定
第二十一條 國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn)，防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網(wǎng)絡(luò )安全負責人，落實(shí)網(wǎng)絡(luò )安全保護責任；
（二）采取防范計算機病毒和網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等危害網(wǎng)絡(luò )安全行為的技術(shù)措施；
（三）采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月；
（四）采取數據分類(lèi)、重要數據備份和加密等措施；
（五）法律、行政法規規定的其他義務(wù)。
第二十二條 網(wǎng)絡(luò )產(chǎn)品、服務(wù)應當符合相關(guān)國家標準的強制性要求。網(wǎng)絡(luò )產(chǎn)品、服務(wù)的提供者不得設置惡意程序；發(fā)現其網(wǎng)絡(luò )產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時(shí)，應當立即采取補救措施，按照規定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報告。
網(wǎng)絡(luò )產(chǎn)品、服務(wù)的提供者應當為其產(chǎn)品、服務(wù)持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。
網(wǎng)絡(luò )產(chǎn)品、服務(wù)具有收集用戶(hù)信息功能的，其提供者應當向用戶(hù)明示并取得同意；涉及用戶(hù)個(gè)人信息的，還應當遵守本法和有關(guān)法律、行政法規關(guān)于個(gè)人信息保護的規定。
第二十三條 網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品應當按照相關(guān)國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷(xiāo)售或者提供。國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定、公布網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄，并推動(dòng)安全認證和安全檢測結果互認，避免重復認證、檢測。
第二十四條 網(wǎng)絡(luò )運營(yíng)者為用戶(hù)辦理網(wǎng)絡(luò )接入、域名注冊服務(wù)，辦理固定電話(huà)、移動(dòng)電話(huà)等入網(wǎng)手續，或者為用戶(hù)提供信息發(fā)布、即時(shí)通訊等服務(wù)，在與用戶(hù)簽訂協(xié)議或者確認提供服務(wù)時(shí)，應當要求用戶(hù)提供真實(shí)身份信息。用戶(hù)不提供真實(shí)身份信息的，網(wǎng)絡(luò )運營(yíng)者不得為其提供相關(guān)服務(wù)。
國家實(shí)施網(wǎng)絡(luò )可信身份戰略，支持研究開(kāi)發(fā)安全、方便的電子身份認證技術(shù)，推動(dòng)不同電子身份認證之間的互認。
第二十五條 網(wǎng)絡(luò )運營(yíng)者應當制定網(wǎng)絡(luò )安全事件應急預案，及時(shí)處置系統漏洞、計算機病毒、網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò )安全的事件時(shí)，立即啟動(dòng)應急預案，采取相應的補救措施，并按照規定向有關(guān)主管部門(mén)報告。
第二十六條 開(kāi)展網(wǎng)絡(luò )安全認證、檢測、風(fēng)險評估等活動(dòng)，向社會(huì )發(fā)布系統漏洞、計算機病毒、網(wǎng)絡(luò )攻擊、網(wǎng)絡(luò )侵入等網(wǎng)絡(luò )安全信息，應當遵守國家有關(guān)規定。
第二十七條任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò )、干擾他人網(wǎng)絡(luò )正常功能、竊取網(wǎng)絡(luò )數據等危害網(wǎng)絡(luò )安全的活動(dòng)；不得提供專(zhuān)門(mén)用于從事侵入網(wǎng)絡(luò )、干擾網(wǎng)絡(luò )正常功能及防護措施、竊取網(wǎng)絡(luò )數據等危害網(wǎng)絡(luò )安全活動(dòng)的程序、工具；明知他人從事危害網(wǎng)絡(luò )安全的活動(dòng)的，不得為其提供技術(shù)支持、廣告推廣、支付結算等幫助。
第二十八條 網(wǎng)絡(luò )運營(yíng)者應當為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助。
第二十九條 國家支持網(wǎng)絡(luò )運營(yíng)者之間在網(wǎng)絡(luò )安全信息收集、分析、通報和應急處置等方面進(jìn)行合作，提高網(wǎng)絡(luò )運營(yíng)者的安全保障能力。
有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò )安全保護規范和協(xié)作機制，加強對網(wǎng)絡(luò )安全風(fēng)險的分析評估，定期向會(huì )員進(jìn)行風(fēng)險警示，支持、協(xié)助會(huì )員應對網(wǎng)絡(luò )安全風(fēng)險。
第三十條 網(wǎng)信部門(mén)和有關(guān)部門(mén)在履行網(wǎng)絡(luò )安全保護職責中獲取的信息，只能用于維護網(wǎng)絡(luò )安全的需要，不得用于其他用途。
第二節關(guān)鍵信息基礎設施的運行安全
第三十一條 國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：�國家安全、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護。關(guān)鍵信息基礎設施的具體范圍和安全保護辦法由國務(wù)院制定。
國家鼓勵關(guān)鍵信息基礎設施以外的網(wǎng)絡(luò )運營(yíng)者自愿參與關(guān)鍵信息基礎設施保護體系。
第三十二條 按照國務(wù)院規定的職責分工，負責關(guān)鍵信息基礎設施安全保護工作的部門(mén)分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎設施安全規劃，指導和監督關(guān)鍵信息基礎設施運行安全保護工作。
第三十三條 建設關(guān)鍵信息基礎設施應當確保其具有支持業(yè)務(wù)穩定、持續運行的性能，并保證安全技術(shù)措施同步規劃、同步建設、同步使用。
第三十四條 除本法第二十一條的規定外，關(guān)鍵信息基礎設施的運營(yíng)者還應當履行下列安全保護義務(wù)：
（一）設置專(zhuān)門(mén)安全管理機構和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；
（二）定期對從業(yè)人員進(jìn)行網(wǎng)絡(luò )安全教育、技術(shù)培訓和技能考核；
（三）對重要系統和數據庫進(jìn)行容災備份；
（四）制定網(wǎng)絡(luò )安全事件應急預案，并定期進(jìn)行演練；
（五）法律、行政法規規定的其他義務(wù)。