第三章 網(wǎng)絡(luò)運行安全

　　第一節(jié) 一般規(guī)定

　　第十七條 國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

　　(一)制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責人，落實網(wǎng)絡(luò)安全保護責任；

　　(二)采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

　　(三)采取記錄、跟蹤網(wǎng)絡(luò)運行狀態(tài)，監(jiān)測、記錄網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存網(wǎng)絡(luò)日志；

　　(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

　　(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

　　網(wǎng)絡(luò)安全等級保護的具體辦法由國務(wù)院規(guī)定。

　　第十八條 網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當符合相關(guān)國家標準、行業(yè)標準。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序；其產(chǎn)品、服務(wù)具有收集用戶信息功能的，應(yīng)當向用戶明示并取得同意；發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風險時，應(yīng)當及時向用戶告知并采取補救措施。

　　網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者應(yīng)當為其產(chǎn)品、服務(wù)持續(xù)提供安全維護；在規(guī)定或者當事人約定的期間內(nèi)，不得終止提供安全維護。

　　第十九條 網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當按照相關(guān)國家標準、行業(yè)標準的強制性要求，由具備資格的機構(gòu)安全認證合格或者安全檢測符合要求后，方可銷售。國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定、公布網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄，并推動安全認證和安全檢測結(jié)果互認，避免重復認證、檢測。

　　第二十條 網(wǎng)絡(luò)運營者為用戶辦理網(wǎng)絡(luò)接入、域名注冊服務(wù)，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布服務(wù)，應(yīng)當在與用戶簽訂協(xié)議或者確認提供服務(wù)時，要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡(luò)運營者不得為其提供相關(guān)服務(wù)。

　　國家支持研究開發(fā)安全、方便的電子身份認證技術(shù)，推動不同電子身份認證技術(shù)之間的互認、通用。

　　第二十一條 網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等安全風險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。

　　第二十二條 任何個人和組織不得從事入侵他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動；不得提供從事入侵網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的工具和制作方法；不得為他人實施危害網(wǎng)絡(luò)安全的活動提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

　　第二十三條 為國家安全和偵查犯罪的需要，偵查機關(guān)依照法律規(guī)定，可以要求網(wǎng)絡(luò)運營者提供必要的支持與協(xié)助。

　　第二十四條 國家支持網(wǎng)絡(luò)運營者之間開展網(wǎng)絡(luò)安全信息收集、分析、通報和應(yīng)急處置等方面的合作，提高網(wǎng)絡(luò)運營者的安全保障能力。

　　有關(guān)行業(yè)組織建立健全本行業(yè)的網(wǎng)絡(luò)安全保護規(guī)范和協(xié)作機制，加強對網(wǎng)絡(luò)安全風險的分析評估，定期向會員進行風險警示，支持、協(xié)助會員應(yīng)對網(wǎng)絡(luò)安全風險。

　　第二節(jié) 關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全

　　第二十五條 國家對提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，軍事網(wǎng)絡(luò)，設(shè)區(qū)的市級以上國家機關(guān)等政務(wù)網(wǎng)絡(luò)，用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)(以下稱關(guān)鍵信息基礎(chǔ)設(shè)施)，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護辦法由國務(wù)院制定。

　　第二十六條 國務(wù)院通信、廣播電視、能源、交通、水利、金融等行業(yè)的主管部門和國務(wù)院其他有關(guān)部門(以下稱負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門)按照國務(wù)院規(guī)定的職責，分別負責指導和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運行安全保護工作。

　　第二十七條 建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

　　第二十八條 除本法第十七條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當履行下列安全保護義務(wù)：

　　(一)設(shè)置專門安全管理機構(gòu)和安全管理負責人，并對該負責人和關(guān)鍵崗位的人員進行安全背景審查；

　　(二)定期對從業(yè)人員進行網(wǎng)絡(luò)安全教育、技術(shù)培訓和技能考核；

　　(三)對重要系統(tǒng)和數(shù)據(jù)庫進行容災(zāi)備份；

　　(四)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練；

　　(五)法律、行政法規(guī)規(guī)定的其他義務(wù)。

　　第二十九條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責任。

　　第三十條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品或者服務(wù)，可能影響國家安全的，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全審查。具體辦法由國務(wù)院規(guī)定。

　　第三十一條 關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當在中華人民共和國境內(nèi)存儲在運營中收集和產(chǎn)生的公民個人信息等重要數(shù)據(jù)；因業(yè)務(wù)需要，確需在境外存儲或者向境外的組織或者個人提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。法律、行政法規(guī)另有規(guī)定的從其規(guī)定。