购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

《网络安全法》

第一章 总则

第一条 【立法目的】

为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。

关联法规

◎ 法律

《电子商务法》

第一条 为了保障电子商务各方主体的合法权益,规范电子商务行为,维护市场秩序,促进电子商务持续健康发展,制定本法。

《数据安全法》

第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。

《个人信息保护法》

第一条 为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。

《反电信网络诈骗法》

第一条 为了预防、遏制和惩治电信网络诈骗活动,加强反电信网络诈骗工作,保护公民和组织的合法权益,维护社会稳定和国家安全,根据宪法,制定本法。

《保守国家秘密法》

第一条 为了保守国家秘密,维护国家安全和利益,保障改革开放和社会主义建设事业的顺利进行,制定本法。

《国家安全法》

第一条 为了维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴,根据宪法,制定本法。

《反恐怖主义法》

第一条 为了防范和惩治恐怖活动,加强反恐怖主义工作,维护国家安全、公共安全和人民生命财产安全,根据宪法,制定本法。

《密码法》

第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。

◎ 党内法规

《党委(党组)网络安全工作责任制实施办法》

第一条 为了进一步加强网络安全工作,明确和落实党委(党组)领导班子、领导干部网络安全责任,根据《中国共产党问责条例》、《中央网络安全和信息化委员会工作规则》等有关规定,制定本办法。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第一条 为了加强对计算机信息网络国际联网的管理,保障国际计算机信息交流的健康发展,制定本规定。

《计算机信息系统安全保护条例》

第一条 为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本条例。

《计算机信息网络国际联网安全保护管理办法》

第一条 为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》和其他法律、行政法规的规定,制定本办法。

《互联网信息服务管理办法》

第一条 为了规范互联网信息服务活动,促进互联网信息服务健康有序发展,制定本办法。

《电信条例》

第一条 为了规范电信市场秩序,维护电信用户和电信业务经营者的合法权益,保障电信网络和信息的安全,促进电信业的健康发展,制定本条例。

《互联网上网服务营业场所管理条例》

第一条 为了加强对互联网上网服务营业场所的管理,规范经营者的经营行为,维护公众和经营者的合法权益,保障互联网上网服务经营活动健康发展,促进社会主义精神文明建设,制定本条例。

《商用密码管理条例》

第一条 为了规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国密码法》等法律,制定本条例。

◎ 部门规章

《互联网安全保护技术措施规定》

第一条 为加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益,根据《计算机信息网络国际联网安全保护管理办法》,制定本规定。

《通信网络安全防护管理办法》

第一条 为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。

《电信和互联网用户个人信息保护规定》

第一条 为了保护电信和互联网用户的合法权益,维护网络信息安全,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》和《互联网信息服务管理办法》等法律、行政法规,制定本规定。

《互联网新闻信息服务管理规定》

第一条 为加强互联网信息内容管理,促进互联网新闻信息服务健康有序发展,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

《互联网文化管理暂行规定》

第一条 为了加强对互联网文化的管理,保障互联网文化单位的合法权益,促进我国互联网文化健康、有序地发展,根据《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》和《互联网信息服务管理办法》等国家法律法规有关规定,制定本规定。

《公安机关互联网安全监督检查规定》

第一条 为规范公安机关互联网安全监督检查工作,预防网络违法犯罪,维护网络安全,保护公民、法人和其他组织合法权益,根据《中华人民共和国人民警察法》、《中华人民共和国网络安全法》等有关法律、行政法规,制定本规定。

《区块链信息服务管理规定》

第一条 为了规范区块链信息服务活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进区块链技术及相关服务的健康发展,根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

《儿童个人信息网络保护规定》

第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。

《网络信息内容生态治理规定》

第一条 为了营造良好网络生态,保障公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《互联网信息服务管理办法》等法律、行政法规,制定本规定。

《网络招聘服务管理规定》

第一条 为了规范网络招聘服务,促进网络招聘服务业态健康有序发展,促进就业和人力资源流动配置,根据《中华人民共和国就业促进法》《中华人民共和国网络安全法》《中华人民共和国电子商务法》《人力资源市场暂行条例》《互联网信息服务管理办法》等法律、行政法规,制定本规定。

《汽车数据安全管理若干规定(试行)》

第一条 为了规范汽车数据处理活动,保护个人、组织的合法权益,维护国家安全和社会公共利益,促进汽车数据合理开发利用,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律、行政法规,制定本规定。

《网络安全审查办法》

第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。

《互联网信息服务算法推荐管理规定》

第一条 为了规范互联网信息服务算法推荐活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。

《互联网用户账号信息管理规定》

第一条 为了加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。

《互联网信息服务深度合成管理规定》

第一条 为了加强互联网信息服务深度合成管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。

《数据出境安全评估办法》

第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。

《个人信息出境标准合同办法》

第一条 为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。

《网信部门行政执法程序规定》

第一条 为了规范和保障网信部门依法履行职责,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国行政处罚法》、《中华人民共和国行政强制法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规,制定本规定。

《公路水路关键信息基础设施安全保护管理办法》

第一条 为了保障公路水路关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规,制定本办法。

《生成式人工智能服务管理暂行办法》第一条 为了促进生成式人工智能健康发展和规范应用,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国科学技术进步法》等法律、行政法规,制定本办法。

◎ 部门规范性文件

《信息安全等级保护管理办法》

第一条 为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

《即时通信工具公众信息服务发展管理暂行规定》

第一条 为进一步推动即时通信工具公众信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《全国人民代表大会常务委员会关于维护互联网安全的决定》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》等法律法规,制定本规定。

《互联网直播服务管理规定》

第一条 为加强对互联网直播服务的管理,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》《互联网信息服务管理办法》和《互联网新闻信息服务管理规定》,制定本规定。

《互联网信息搜索服务管理规定》

第一条 为规范互联网信息搜索服务,促进互联网信息搜索行业健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

《互联网新闻信息服务新技术新应用安全评估管理规定》

第一条 为规范开展互联网新闻信息服务新技术新应用安全评估工作,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本规定。

《公共互联网网络安全威胁监测与处置办法》

第一条 为加强和规范公共互联网网络安全威胁监测与处置工作,消除安全隐患,制止攻击行为,避免危害发生,降低安全风险,维护网络秩序和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》等有关法律法规和工业和信息化部职责,制定本办法。

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

第一条 为加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理,规范互联网信息服务活动,维护国家安全、社会秩序和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》,制订本规定。

《互联网群组信息服务管理规定》

第一条 为规范互联网群组信息服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

《互联网论坛社区服务管理规定》

第一条 为规范互联网论坛社区服务,促进互联网论坛社区行业健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

《互联网新闻信息服务单位内容管理从业人员管理办法》

第一条 为加强对互联网新闻信息服务单位内容管理从业人员(以下简称“从业人员”)的管理,维护从业人员和社会公众的合法权益,促进互联网新闻信息服务健康有序发展,根据《中华人民共和国网络安全法》《互联网新闻信息服务管理规定》,制定本办法。

《微博客信息服务管理规定》

第一条 为促进微博客信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。

《网络音视频信息服务管理规定》

第一条 为促进网络音视频信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《互联网文化管理暂行规定》《互联网视听节目服务管理规定》,制定本规定。

《监管数据安全管理办法(试行)》

第一条 为规范银保监会监管数据安全管理工作,提高监管数据安全保护能力,防范监管数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国银行业监督管理法》《中华人民共和国保险法》《工作秘密管理暂行办法》等法律法规及有关规定,制定本办法。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

一、指导思想、基本原则和工作目标

(一)指导思想

以习近平新时代中国特色社会主义思想为指导,按照党中央、国务院决策部署,以总体国家安全观为统领,认真贯彻实施网络强国战略,全面加强网络安全工作统筹规划,以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础,以保护关键信息基础设施、重要网络和数据安全为重点,全面加强网络安全防范管理、监测预警、应急处置、侦查打击、情报信息等各项工作,及时监测、处置网络安全风险、威胁和网络安全突发事件,保护关键信息基础设施、重要网络和数据免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,切实提高网络安全保护能力,积极构建国家网络安全综合防控体系,切实维护国家网络空间主权、国家安全和社会公共利益,保护人民群众的合法权益,保障和促进经济社会信息化健康发展。

《网络产品安全漏洞管理规定》

第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。

《互联网用户公众账号信息服务管理规定》

第一条 为了规范互联网用户公众账号信息服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律法规和国家有关规定,制定本规定。

《移动互联网应用程序信息服务管理规定》

第一条 为了规范移动互联网应用程序(以下简称应用程序)信息服务,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国未成年人保护法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律、行政法规和国家有关规定,制定本规定。

《互联网跟帖评论服务管理规定》

第一条 为了规范互联网跟帖评论服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》《网络信息内容生态治理规定》《互联网用户账号信息管理规定》等法律法规和国家有关规定,制定本规定。

《互联网弹窗信息推送服务管理规定》

第一条 为了规范互联网弹窗信息推送服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进行业健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国未成年人保护法》、《中华人民共和国广告法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律法规,制定本规定。

《网站平台受理处置涉企网络侵权信息举报工作规范》

第一条 为规范境内网站平台受理处置涉企网络侵权信息举报工作,更好维护企业和企业家网络合法权益,根据《民法典》《网络安全法》《网络信息内容生态治理规定》《互联网用户账号信息管理规定》等法律法规和国家有关规定,结合举报工作实际,制定本规范。

第二条 【适用范围】

在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。

关联法规

◎ 法律

《电子商务法》

第二条 中华人民共和国境内的电子商务活动,适用本法。

本法所称电子商务,是指通过互联网等信息网络销售商品或者提供服务的经营活动。

法律、行政法规对销售商品或者提供服务有规定的,适用其规定。金融类产品和服务,利用信息网络提供新闻信息、音视频节目、出版以及文化产品等内容方面的服务,不适用本法。

《数据安全法》

第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。

在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。

《个人信息保护法》

第三条 在中华人民共和国境内处理自然人个人信息的活动,适用本法。

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法:

(一)以向境内自然人提供产品或者服务为目的;

(二)分析、评估境内自然人的行为;

(三)法律、行政法规规定的其他情形。

《反电信网络诈骗法》

第三条 打击治理在中华人民共和国境内实施的电信网络诈骗活动或者中华人民共和国公民在境外实施的电信网络诈骗活动,适用本法。

境外的组织、个人针对中华人民共和国境内实施电信网络诈骗活动的,或者为他人针对境内实施电信网络诈骗活动提供产品、服务等帮助的,依照本法有关规定处理和追究责任。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第二条 中华人民共和国境内的计算机信息网络进行国际联网,应当依照本规定办理。

《计算机信息系统安全保护条例》

第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。

未联网的微型计算机的安全保护办法,另行制定。

《计算机信息网络国际联网安全保护管理办法》

第二条 中华人民共和国境内的计算机信息网络国际联网安全保护管理,适用本办法。

《互联网信息服务管理办法》

第二条 在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。

本办法所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动。

第三条 互联网信息服务分为经营性和非经营性两类。

经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。

非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。

《电信条例》

第二条 在中华人民共和国境内从事电信活动或者与电信有关的活动,必须遵守本条例。

本条例所称电信,是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。

《商用密码管理条例》

第二条 在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理,适用本条例。

本条例所称商用密码,是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

◎ 司法解释

《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》

第一条 本规定所称的利用信息网络侵害人身权益民事纠纷案件,是指利用信息网络侵害他人姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等人身权益引起的纠纷案件。

《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第一条 因信息处理者违反法律、行政法规的规定或者双方的约定使用人脸识别技术处理人脸信息、处理基于人脸识别技术生成的人脸信息所引起的民事案件,适用本规定。

人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。

本规定所称人脸信息属于民法典第一千零三十四条规定的“生物识别信息”。

◎ 部门规章

《通信网络安全防护管理办法》

第二条 中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。

本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。

本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。

《电信和互联网用户个人信息保护规定》

第二条 在中华人民共和国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动,适用本规定。

《互联网新闻信息服务管理规定》

第二条 在中华人民共和国境内提供互联网新闻信息服务,适用本规定。

本规定所称新闻信息,包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论。

《互联网文化管理暂行规定》

第四条 本规定所称互联网文化单位,是指经文化行政部门和电信管理机构批准或者备案,从事互联网文化活动的互联网信息服务提供者。

在中华人民共和国境内从事互联网文化活动,适用本规定。

《公安机关互联网安全监督检查规定》

第二条 本规定适用于公安机关依法对互联网服务提供者和联网使用单位履行法律、行政法规规定的网络安全义务情况进行的安全监督检查。

《区块链信息服务管理规定》

第二条 在中华人民共和国境内从事区块链信息服务,应当遵守本规定。法律、行政法规另有规定的,遵照其规定。

本规定所称区块链信息服务,是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。

本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的组织或者个人。

《儿童个人信息网络保护规定》

第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。

《网络信息内容生态治理规定》

第二条 中华人民共和国境内的网络信息内容生态治理活动,适用本规定。

本规定所称网络信息内容生态治理,是指政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展的弘扬正能量、处置违法和不良信息等相关活动。

《汽车数据安全管理若干规定(试行)》

第二条 在中华人民共和国境内开展汽车数据处理活动及其安全监管,应当遵守相关法律、行政法规和本规定的要求。

《互联网信息服务算法推荐管理规定》

第二条 在中华人民共和国境内应用算法推荐技术提供互联网信息服务(以下简称算法推荐服务),适用本规定。法律、行政法规另有规定的,依照其规定。

前款所称应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。

《互联网用户账号信息管理规定》

第二条 互联网用户在中华人民共和国境内的互联网信息服务提供者注册、使用互联网用户账号信息及其管理工作,适用本规定。法律、行政法规另有规定的,依照其规定。

《互联网信息服务深度合成管理规定》

第二条 在中华人民共和国境内应用深度合成技术提供互联网信息服务(以下简称深度合成服务),适用本规定。法律、行政法规另有规定的,依照其规定。

《数据出境安全评估办法》

第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。

《个人信息出境标准合同办法》

第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同(以下简称标准合同)的方式向中华人民共和国境外提供个人信息,适用本办法。

《网信部门行政执法程序规定》

第二条 网信部门实施行政处罚等行政执法,适用本规定。

本规定所称网信部门,是指国家互联网信息办公室和地方互联网信息办公室。

《公路水路关键信息基础设施安全保护管理办法》

第二条 公路水路关键信息基础设施的安全保护和监督管理工作,适用本办法。

前款所称公路水路关键信息基础设施是指在公路水路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。

《生成式人工智能服务管理暂行办法》

第二条 利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务(以下称生成式人工智能服务),适用本办法。

国家对利用生成式人工智能服务从事新闻出版、影视制作、文艺创作等活动另有规定的,从其规定。

行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等研发、应用生成式人工智能技术,未向境内公众提供生成式人工智能服务的,不适用本办法的规定。

◎ 部门规范性文件

《即时通信工具公众信息服务发展管理暂行规定》

第二条 在中华人民共和国境内从事即时通信工具公众信息服务,适用本规定。

本规定所称即时通信工具,是指基于互联网面向终端使用者提供即时信息交流服务的应用。本规定所称公众信息服务,是指通过即时通信工具的公众账号及其他形式向公众发布信息的活动。

《互联网直播服务管理规定》

第二条 在中华人民共和国境内提供、使用互联网直播服务,应当遵守本规定。

本规定所称互联网直播,是指基于互联网,以视频、音频、图文等形式向公众持续发布实时信息的活动;本规定所称互联网直播服务提供者,是指提供互联网直播平台服务的主体;本规定所称互联网直播服务使用者,包括互联网直播发布者和用户。

《互联网信息搜索服务管理规定》

第二条 在中华人民共和国境内从事互联网信息搜索服务,适用本规定。

本规定所称互联网信息搜索服务,是指运用计算机技术从互联网上搜集、处理各类信息供用户检索的服务。

《互联网新闻信息服务新技术新应用安全评估管理规定》

第二条 国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息服务新技术新应用安全评估,适用本规定。

本规定所称互联网新闻信息服务新技术新应用(以下简称“新技术新应用”),是指用于提供互联网新闻信息服务的创新性应用(包括功能及应用形式)及相关支撑技术。

本规定所称互联网新闻信息服务新技术新应用安全评估(以下简称“新技术新应用安全评估”),是指根据新技术新应用的新闻舆论属性、社会动员能力及由此产生的信息内容安全风险确定评估等级,审查评价其信息安全管理制度和技术保障措施的活动。

《互联网群组信息服务管理规定》

第二条 在中华人民共和国境内提供、使用互联网群组信息服务,应当遵守本规定。

本规定所称互联网群组,是指互联网用户通过互联网站、移动互联网应用程序等建立的,用于群体在线交流信息的网络空间。本规定所称互联网群组信息服务提供者,是指提供互联网群组信息服务的平台。本规定所称互联网群组信息服务使用者,包括群组建立者、管理者和成员。

《互联网论坛社区服务管理规定》

第二条 在中华人民共和国境内从事互联网论坛社区服务,适用本规定。

本规定所称互联网论坛社区服务,是指在互联网上以论坛、贴吧、社区等形式,为用户提供互动式信息发布社区平台的服务。

《微博客信息服务管理规定》

第二条 在中华人民共和国境内从事微博客信息服务,应当遵守本规定。

本规定所称微博客,是指基于使用者关注机制,主要以简短文字、图片、视频等形式实现信息传播、获取的社交网络服务。

微博客服务提供者是指提供微博客平台服务的主体。微博客服务使用者是指使用微博客平台从事信息发布、互动交流等的行为主体。

微博客信息服务是指提供微博客平台服务及使用微博客平台从事信息发布、传播等行为。

《网络音视频信息服务管理规定》

第二条 在中华人民共和国境内从事网络音视频信息服务,应当遵守本规定。

本规定所称网络音视频信息服务,是指通过互联网站、应用程序等网络平台,向社会公众提供音视频信息制作、发布、传播的服务。

网络音视频信息服务提供者,是指向社会公众提供网络音视频信息服务的组织或者个人。网络音视频信息服务使用者,是指使用网络音视频信息服务的组织或者个人。

《监管数据安全管理办法(试行)》

第四条 银保监会及受托机构开展监管数据活动,适用本办法。

本办法所称受托机构是指受银保监会委托或委派,为银保监会提供监管数据采集、处理或存储服务的企事业单位。

《网络产品安全漏洞管理规定》

第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。

《互联网用户公众账号信息服务管理规定》

第二条 在中华人民共和国境内提供、从事互联网用户公众账号信息服务,应当遵守本规定。

《移动互联网应用程序信息服务管理规定》

第二条 在中华人民共和国境内提供应用程序信息服务,以及从事互联网应用商店等应用程序分发服务,应当遵守本规定。

本规定所称应用程序信息服务,是指通过应用程序向用户提供文字、图片、语音、视频等信息制作、复制、发布、传播等服务的活动,包括即时通讯、新闻资讯、知识问答、论坛社区、网络直播、电子商务、网络音视频、生活服务等类型。

本规定所称应用程序分发服务,是指通过互联网提供应用程序发布、下载、动态加载等服务的活动,包括应用商店、快应用中心、互联网小程序平台、浏览器插件平台等类型。

《互联网跟帖评论服务管理规定》

第二条 在中华人民共和国境内提供、使用跟帖评论服务,应当遵守本规定。

本规定所称跟帖评论服务,是指互联网站、应用程序以及其他具有舆论属性或社会动员能力的网站平台,以评论、回复、留言、弹幕、点赞等方式,为用户提供发表文字、符号、表情、图片、音视频等信息的服务。

《互联网弹窗信息推送服务管理规定》

第二条 在中华人民共和国境内提供互联网弹窗信息推送服务,适用本规定。

本规定所称互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务。

本规定所称互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的组织或者个人。

《网站平台受理处置涉企网络侵权信息举报工作规范》

第二条 境内网站平台受理处置涉企网络侵权信息举报,适用本规范。

第三条 【网络安全工作基本原则】

国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。

关联法规

◎ 法律

《数据安全法》

第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。

《国家安全法》

第三条 国家安全工作应当坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,维护各领域国家安全,构建国家安全体系,走中国特色国家安全道路。

第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第四条 国家对国际联网实行统筹规划、统一标准、分级管理、促进发展的原则。

《电信条例》

第四条 电信监督管理遵循政企分开、破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则。

电信业务经营者应当依法经营,遵守商业道德,接受依法实施的监督检查。

◎ 部门规章

《通信网络安全防护管理办法》

第三条 通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。

《公安机关互联网安全监督检查规定》

第四条 公安机关开展互联网安全监督检查,应当遵循依法科学管理、保障和促进发展的方针,严格遵守法定权限和程序,不断改进执法方式,全面落实执法责任。

《互联网信息服务算法推荐管理规定》

第四条 提供算法推荐服务,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,遵循公正公平、公开透明、科学合理和诚实信用的原则。

《网信部门行政执法程序规定》

第三条 网信部门实施行政执法,应当坚持处罚与教育相结合,做到事实清楚、证据确凿、依据准确、程序合法。

《生成式人工智能服务管理暂行办法》

第三条 国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。

◎ 部门规范性文件

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

一、指导思想、基本原则和工作目标

……

(二)基本原则

——坚持分等级保护、突出重点。根据网络(包含网络设施、信息系统、数据资源等)在国家安全、经济建设、社会生活中的重要程度,以及其遭到破坏后的危害程度等因素,科学确定网络的安全保护等级,实施分等级保护、分等级监管,重点保障关键信息基础设施和第三级(含第三级、下同)以上网络的安全。

——坚持积极防御、综合防护。按照法律法规和有关国家标准规范,充分利用人工智能、大数据分析等技术,积极落实网络安全管理和技术防范措施,强化网络安全监测、态势感知、通报预警和应急处置等重点工作,综合采取网络安全保护、保卫、保障措施,防范和遏制重大网络安全风险、事件发生,保护云计算、物联网、新型互联网、大数据、智能制造等新技术应用和新业态安全。

——坚持依法保护、形成合力。依据《网络安全法》等法律法规规定,公安机关依法履行网络安全保卫和监督管理职责,网络安全行业主管部门(含监管部门,下同)依法履行网络安全主管、监管责任,强化和落实网络运营者主体防护责任,充分发挥和调动社会各方力量,协调配合、群策群力,形成网络安全保护工作合力。

……

第四条 【网络安全战略制定完善】

国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。

关联法规

◎ 法律

《数据安全法》

第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。

《国家安全法》

第六条 国家制定并不断完善国家安全战略,全面评估国际、国内安全形势,明确国家安全战略的指导方针、中长期目标、重点领域的国家安全政策、工作任务和措施。

第五条 【网络安全保护主要任务】

国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。

关联法规

◎ 法律

《国家安全法》

第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。

◎ 行政法规

《计算机信息系统安全保护条例》

第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。

第四条 计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

◎ 部门规范性文件

《公共互联网网络安全威胁监测与处置办法》

第四条 网络安全威胁监测与处置工作坚持及时发现、科学认定、有效处置的原则。

第五条 相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等应当加强网络安全威胁监测与处置工作,明确责任部门、责任人和联系人,加强相关技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。

第六条 相关专业机构、基础电信企业、网络安全企业、互联网企业、域名注册管理和服务机构等监测发现网络安全威胁后,属于本单位自身问题的,应当立即进行处置,涉及其他主体的,应当及时将有关信息按照规定的内容要素和格式提交至工业和信息化部和相关省、自治区、直辖市通信管理局。

工业和信息化部建立网络安全威胁信息共享平台,统一汇集、存储、分析、通报、发布网络安全威胁信息;制定相关接口规范,与相关单位网络安全监测平台实现对接。国家计算机网络应急技术处理协调中心负责平台建设和运行维护工作。

第七条 电信主管部门委托国家计算机网络应急技术处理协调中心、中国信息通信研究院等专业机构对相关单位提交的网络安全威胁信息进行认定,并提出处置建议。认定工作应当坚持科学严谨、公平公正、及时高效的原则。电信主管部门对参与认定工作的专业机构和人员加强管理与培训。

第八条 电信主管部门对专业机构的认定和处置意见进行审查后,可以对网络安全威胁采取以下一项或多项处置措施:

(一)通知基础电信企业、互联网企业、域名注册管理和服务机构等,由其对恶意IP地址(或宽带接入账号)、恶意域名、恶意URL、恶意电子邮件账号或恶意手机号码等,采取停止服务或屏蔽等措施。

(二)通知网络服务提供者,由其清除本单位网络、系统或网站中存在的可能传播扩散的恶意程序。

(三)通知存在漏洞、后门或已经被非法入侵、控制、篡改的网络服务和产品的提供者,由其采取整改措施,消除安全隐患;对涉及党政机关和关键信息基础设施的,同时通报其上级主管单位和网信部门。

(四)其他可以消除、制止或控制网络安全威胁的技术措施。

电信主管部门的处置通知应当通过书面或可验证来源的电子方式等形式送达相关单位,紧急情况下,可先电话通知,后补书面通知。

第九条 基础电信企业、互联网企业、域名注册管理和服务机构等应当为电信主管部门依法查询IP地址归属、域名注册等信息提供技术支持和协助,并按照电信主管部门的通知和时限要求采取相应处置措施,反馈处置结果。负责网络安全威胁认定的专业机构应当对相关处置情况进行验证。

第十条 相关组织或个人对按照本办法第八条第(一)款采取的处置措施不服的,有权在10个工作日内向做出处置决定的电信主管部门进行申诉。相关电信主管部门接到申诉后应当及时组织核查,并在30个工作日内予以答复。

第十一条 鼓励相关单位以行业自律或技术合作、技术服务等形式开展网络安全威胁监测与处置工作,并对处置行为负责,监测与处置结果应当及时报送电信主管部门。

第十三条 造成或可能造成严重社会危害或影响的公共互联网网络安全突发事件的监测与处置工作,按照国家和电信主管部门有关应急预案执行。

第六条 【网络安全环境社会共建】

国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。

关联法规

◎ 法律

《数据安全法》

第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

《个人信息保护法》

第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

《关于维护互联网安全的决定》

七、各级人民政府及有关部门要采取积极措施,在促进互联网的应用和网络技术的普及过程中,重视和支持对网络安全技术的研究和开发,增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育,依法实施有效的监督管理,防范和制止利用互联网进行的各种违法活动,为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动,发现互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息,并及时向有关机关报告。任何单位和个人在利用互联网时,都要遵纪守法,抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职,密切配合,依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量,依靠全社会的共同努力,保障互联网的运行安全与信息安全,促进社会主义精神文明和物质文明建设。

◎ 部门规章

《互联网新闻信息服务管理规定》

第三条 提供互联网新闻信息服务,应当遵守宪法、法律和行政法规,坚持为人民服务、为社会主义服务的方向,坚持正确舆论导向,发挥舆论监督作用,促进形成积极健康、向上向善的网络文化,维护国家利益和公共利益。

《互联网直播服务管理规定》

第三条 提供互联网直播服务,应当遵守法律法规,坚持正确导向,大力弘扬社会主义核心价值观,培育积极健康、向上向善的网络文化,维护良好网络生态,维护国家利益和公共利益,为广大网民特别是青少年成长营造风清气正的网络空间。

《互联网群组信息服务管理规定》

第四条 互联网群组信息服务提供者和使用者,应当坚持正确导向,弘扬社会主义核心价值观,培育积极健康的网络文化,维护良好网络生态。

《网络信息内容生态治理规定》

第五条 鼓励网络信息内容生产者制作、复制、发布含有下列内容的信息:

(一)宣传习近平新时代中国特色社会主义思想,全面准确生动解读中国特色社会主义道路、理论、制度、文化的;

(二)宣传党的理论路线方针政策和中央重大决策部署的;

(三)展示经济社会发展亮点,反映人民群众伟大奋斗和火热生活的;

(四)弘扬社会主义核心价值观,宣传优秀道德文化和时代精神,充分展现中华民族昂扬向上精神风貌的;

(五)有效回应社会关切,解疑释惑,析事明理,有助于引导群众形成共识的;

(六)有助于提高中华文化国际影响力,向世界展现真实立体全面的中国的;

(七)其他讲品味讲格调讲责任、讴歌真善美、促进团结稳定等的内容。

第八条 网络信息内容服务平台应当履行信息内容管理主体责任,加强本平台网络信息内容生态治理,培育积极健康、向上向善的网络文化。

◎ 部门规范性文件

《网络音视频信息服务管理规定》

第四条 网络音视频信息服务提供者和使用者应当遵守宪法、法律和行政法规,坚持正确政治方向、舆论导向和价值取向,弘扬社会主义核心价值观,促进形成积极健康、向上向善的网络文化。

《监管数据安全管理办法(试行)》

第六条 银保监会建立健全监管数据安全协同管理体系,推动银保监会有关业务部门、各级派出机构、受托机构等共同参与监管数据安全保护工作,加强培训教育,形成共同维护监管数据安全的良好环境。

《互联网用户公众账号信息服务管理规定》

第四条 公众账号信息服务平台和公众账号生产运营者应当遵守法律法规,遵循公序良俗,履行社会责任,坚持正确舆论导向、价值取向,弘扬社会主义核心价值观,生产发布向上向善的优质信息内容,发展积极健康的网络文化,维护清朗网络空间。

鼓励各级党政机关、企事业单位和人民团体注册运营公众账号,生产发布高质量政务信息或者公共服务信息,满足公众信息需求,推动经济社会发展。

鼓励公众账号信息服务平台积极为党政机关、企事业单位和人民团体提升政务信息发布、公共服务和社会治理水平,提供充分必要的技术支持和安全保障。

《移动互联网应用程序信息服务管理规定》

第四条 应用程序提供者和应用程序分发平台应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,遵循公序良俗,履行社会责任,维护清朗网络空间。

应用程序提供者和应用程序分发平台不得利用应用程序从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动。

《互联网弹窗信息推送服务管理规定》

第三条 提供互联网弹窗信息推送服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。

权威案例

◎ 典型案例

常某韬诉许某、第三人马某刚网络服务合同纠纷案 【互联网十大典型案例之四(2021年5月31日)】

典型意义: 本案是全国首例涉及“暗刷流量”交易的案件。网络产品的真实流量能够反映网络产品的受欢迎度及质量优劣程度,流量成为网络用户选择网络产品的重要因素。本案从产业层面上揭示了互联网经济的流量属性和“暗刷流量”的危害性,并在判决中明确,以“暗刷流量”交易为目的订立的合同,违背公序良俗、损害社会公共利益,应属无效;双方当事人不得基于“暗刷流量”合同获利;法院对交易双方在合同履行过程中的获利,应予收缴。该判决对“暗刷流量”的否定评价,对于构建网络诚信秩序、净化网络道德环境、提高网络治理能力具有重要意义。

第七条 【网络空间治理国际合作】

国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。

关联法规

◎ 法律

《数据安全法》

第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。

《个人信息保护法》

第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等互认。

《反电信网络诈骗法》

第三十七条 国务院公安部门等会同外交部门加强国际执法司法合作,与有关国家、地区、国际组织建立有效合作机制,通过开展国际警务合作等方式,提升在信息交流、调查取证、侦查抓捕、追赃挽损等方面的合作水平,有效打击遏制跨境电信网络诈骗活动。

《国家安全法》

第十条 维护国家安全,应当坚持互信、互利、平等、协作,积极同外国政府和国际组织开展安全交流合作,履行国际安全义务,促进共同安全,维护世界和平。

第八条 【网络安全监督管理体制】

国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。

县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。

关联法规

◎ 法律

《数据安全法》

第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。

《个人信息保护法》

第六十条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。

县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。

前两款规定的部门统称为履行个人信息保护职责的部门。

第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责:

(一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;

(二)接受、处理与个人信息保护有关的投诉、举报;

(三)组织对应用程序等个人信息保护情况进行测评,并公布测评结果;

(四)调查、处理违法个人信息处理活动;

(五)法律、行政法规规定的其他职责。

第六十二条 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作:

(一)制定个人信息保护具体规则、标准;

(二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准;

(三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设;

(四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;

(五)完善个人信息保护投诉、举报工作机制。

第六十三条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施:

(一)询问有关当事人,调查与个人信息处理活动有关的情况;

(二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料;

(三)实施现场检查,对涉嫌违法的个人信息处理活动进行调查;

(四)检查与个人信息处理活动有关的设备、物品;对有证据证明是用于违法个人信息处理活动的设备、物品,向本部门主要负责人书面报告并经批准,可以查封或者扣押。

履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。

《反电信网络诈骗法》

第六条 国务院建立反电信网络诈骗工作机制,统筹协调打击治理工作。

地方各级人民政府组织领导本行政区域内反电信网络诈骗工作,确定反电信网络诈骗目标任务和工作机制,开展综合治理。

公安机关牵头负责反电信网络诈骗工作,金融、电信、网信、市场监管等有关部门依照职责履行监管主体责任,负责本行业领域反电信网络诈骗工作。

人民法院、人民检察院发挥审判、检察职能作用,依法防范、惩治电信网络诈骗活动。

电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者承担风险防控责任,建立反电信网络诈骗内部控制机制和安全责任制度,加强新业务涉诈风险安全评估。

《保守国家秘密法》

第五条 国家保密行政管理部门主管全国的保密工作。县级以上地方各级保密行政管理部门主管本行政区域的保密工作。

◎ 党内法规

《党委(党组)网络安全工作责任制实施办法》

第二条 网络安全工作事关国家安全、政权安全和经济社会发展。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。

第三条 各级党委(党组)主要承担的网络安全责任是:

(一)认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,贯彻落实网络安全法律法规,明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施:

(二)建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,明确工作机构,加大人力、财力、物力的支持和保障力度;

(三)统一组织领导本地区本部门网络安全保护和重大事件处置工作,研究解决重要问题;

(四)采取有效措施,为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障;

(五)组织开展经常性网络安全宣传教育,采取多种方式培养网络安全人才,支持网络安全技术产业发展。

第四条 行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。

主管监管部门应当依法开展网络安全检查、处置网络安全事件,并及时将情况通报网络和信息系统所在地区网络安全和信息化领导机构。各地区开展网络安全检查、处置网络安全事件时,涉及重要行业的,应当会同相关主管监管部门进行。

第五条 各级网络安全和信息化领导机构应当加强和规范本地区本部门网络安全信息汇集、分析和研判工作,要求有关单位和机构及时报告网络安全信息,组织指导网络安全通报机构开展网络安全信息通报,统筹协调开展网络安全检查。

第六条 各地区各部门网络安全和信息化领导机构应当向中央网络安全和信息化委员会及时报告网络安全重大事项,包括出台涉及网络安全的重要政策和制度措施等。

各地区各部门网络安全和信息化领导机构每年向中央网络安全和信息化委员会报告网络安全工作情况。

第七条 中央网络安全和信息化委员会办公室会同有关部门按照国家有关规定对网络安全先进集体予以表彰,对网络安全先进工作者予以表彰奖励。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第五条 国务院信息化工作领导小组(以下简称领导小组),负责协调、解决有关国际联网工作中的重大问题。

领导小组办公室按照本规定制定具体管理办法,明确国际出入口信道提供单位、互联单位、接入单位和用户的权利、义务和责任,并负责对国际联网工作的检查监督。

《计算机信息系统安全保护条例》

第六条 公安部主管全国计算机信息系统安全保护工作。

国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。

第十五条 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。

第十七条 公安机关对计算机信息系统安全保护工作行使下列监督职权:

(一)监督、检查、指导计算机信息系统安全保护工作;

(二)查处危害计算机信息系统安全的违法犯罪案件;

(三)履行计算机信息系统安全保护工作的其他监督职责。

第十八条 公安机关发现影响计算机信息系统安全的隐患时,应当及时通知使用单位采取安全保护措施。

《计算机信息网络国际联网安全保护管理办法》

第三条 公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。

公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全,维护从事国际联网业务的单位和个人的合法权益和公众利益。

第八条 从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。

第九条 国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。

第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。

第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。

前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。

第十五条 省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机构负责国际联网的安全保护管理工作。

第十六条 公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。

第十七条 公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。

公安机关计算机管理监察机构在组织安全检查时,有关单位应当派人参加。公安机关计算机管理监察机构对安全检查发现的问题,应当提出改进意见,作出详细记录,存档备查。

第十八条 公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或者服务器时,应当通知有关单位关闭或者删除。

第十九条 公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件,对违反本办法第四条、第七条规定的违法犯罪行为,应当按照国家有关规定移送有关部门或者司法机关处理。

《互联网信息服务管理办法》

第十八条 国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网信息服务实施监督管理。

新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部门,在各自职责范围内依法对互联网信息内容实施监督管理。

第二十四条 互联网信息服务提供者在其业务活动中,违反其他法律、法规的,由新闻、出版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处罚。

《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》

……

为促进互联网信息服务健康有序发展,保护公民、法人和其他组织的合法权益,维护国家安全和公共利益,授权重新组建的国家互联网信息办公室负责全国互联网信息内容管理工作,并负责监督管理执法。

……

《电信条例》

第三条 国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。

省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下,依照本条例的规定对本行政区域内的电信业实施监督管理。

《互联网上网服务营业场所管理条例》

第四条 县级以上人民政府文化行政部门负责互联网上网服务营业场所经营单位的设立审批,并负责对依法设立的互联网上网服务营业场所经营单位经营活动的监督管理;公安机关负责对互联网上网服务营业场所经营单位的信息网络安全、治安及消防安全的监督管理;工商行政管理部门负责对互联网上网服务营业场所经营单位登记注册和营业执照的管理,并依法查处无照经营活动;电信管理等其他有关部门在各自职责范围内,依照本条例和有关法律、行政法规的规定,对互联网上网服务营业场所经营单位分别实施有关监督管理。

《商用密码管理条例》

第三条 坚持中国共产党对商用密码工作的领导,贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。

网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。

第四十三条 密码管理部门依法组织对商用密码活动进行监督检查,对国家机关和涉及商用密码工作的单位的商用密码相关工作进行指导和监督。

第四十四条 密码管理部门和有关部门建立商用密码监督管理协作机制,加强商用密码监督、检查、指导等工作的协调配合。

第四十五条 密码管理部门和有关部门依法开展商用密码监督检查,可以行使下列职权:

(一)进入商用密码活动场所实施现场检查;

(二)向当事人的法定代表人、主要负责人和其他有关人员调查、了解有关情况;

(三)查阅、复制有关合同、票据、账簿以及其他有关资料。

◎ 部门规章

《互联网安全保护技术措施规定》

第五条 公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。

第十六条 公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。

公安机关在依法监督检查时,互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题,应当提出改进意见,通知互联网服务提供者、联网使用单位及时整改。

公安机关在监督检查时,监督检查人员不得少于二人,并应当出示执法身份证件。

《通信网络安全防护管理办法》

第四条 中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。

各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。

工业和信息化部与通信管理局统称“电信管理机构”。

《电信和互联网用户个人信息保护规定》

第三条 工业和信息化部和各省、自治区、直辖市通信管理局(以下统称电信管理机构)依法对电信和互联网用户个人信息保护工作实施监督管理。

《互联网新闻信息服务管理规定》

第四条 国家互联网信息办公室负责全国互联网新闻信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网新闻信息服务的监督管理执法工作。

《互联网文化管理暂行规定》

第六条 文化部负责制定互联网文化发展与管理的方针、政策和规划,监督管理全国互联网文化活动。

省、自治区、直辖市人民政府文化行政部门对申请从事经营性互联网文化活动的单位进行审批,对从事非经营性互联网文化活动的单位进行备案。

县级以上人民政府文化行政部门负责本行政区域内互联网文化活动的监督管理工作。县级以上人民政府文化行政部门或者文化市场综合执法机构对从事互联网文化活动违反国家有关法规的行为实施处罚。

《公安机关互联网安全监督检查规定》

第三条 互联网安全监督检查工作由县级以上地方人民政府公安机关网络安全保卫部门组织实施。

上级公安机关应当对下级公安机关开展互联网安全监督检查工作情况进行指导和监督。

第六条 公安机关对互联网安全监督检查工作中发现的可能危害国家安全、公共安全、社会秩序的网络安全风险,应当及时通报有关主管部门和单位。

第七条 公安机关应当建立并落实互联网安全监督检查工作制度,自觉接受检查对象和人民群众的监督。

第八条 互联网安全监督检查由互联网服务提供者的网络服务运营机构和联网使用单位的网络管理机构所在地公安机关实施。互联网服务提供者为个人的,可以由其经常居住地公安机关实施。

第九条 公安机关应当根据网络安全防范需要和网络安全风险隐患的具体情况,对下列互联网服务提供者和联网使用单位开展监督检查:

(一)提供互联网接入、互联网数据中心、内容分发、域名服务的;

(二)提供互联网信息服务的;

(三)提供公共上网服务的;

(四)提供其他互联网服务的;

对开展前款规定的服务未满一年的,两年内曾发生过网络安全事件、违法犯罪案件的,或者因未履行法定网络安全义务被公安机关予以行政处罚的,应当开展重点监督检查。

第十条 公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:

(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;

(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;

(三)是否依法采取记录并留存用户注册信息和上网日志信息的技术措施;

(四)是否采取防范计算机病毒和网络攻击、网络侵入等技术措施;

(五)是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施;

(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;

(七)是否履行法律、行政法规规定的网络安全等级保护等义务。

第十一条 除本规定第十条所列内容外,公安机关还应当根据提供互联网服务的类型,对下列内容进行监督检查:

(一)对提供互联网接入服务的,监督检查是否记录并留存网络地址及分配使用情况;

(二)对提供互联网数据中心服务的,监督检查是否记录所提供的主机托管、主机租用和虚拟空间租用的用户信息;

(三)对提供互联网域名服务的,监督检查是否记录网络域名申请、变动信息,是否对违法域名依法采取处置措施;

(四)对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的法律、行政法规禁止发布或者传输的信息依法采取处置措施,并保存相关记录;

(五)对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;

(六)对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。

第十二条 在国家重大网络安全保卫任务期间,对与国家重大网络安全保卫任务相关的互联网服务提供者和联网使用单位,公安机关可以对下列内容开展专项安全监督检查:

(一)是否制定重大网络安全保卫任务所要求的工作方案、明确网络安全责任分工并确定网络安全管理人员;

(二)是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患;

(三)是否制定网络安全应急处置预案并组织开展应急演练,应急处置相关设施是否完备有效;

(四)是否依法采取重大网络安全保卫任务所需要的其他网络安全防范措施;

(五)是否按照要求向公安机关报告网络安全防范措施及落实情况。

对防范恐怖袭击的重点目标的互联网安全监督检查,按照前款规定的内容执行。

第十三条 公安机关开展互联网安全监督检查,可以采取现场监督检查或者远程检测的方式进行。

第十四条 公安机关开展互联网安全现场监督检查时,人民警察不得少于二人,并应当出示人民警察证和县级以上地方人民政府公安机关出具的监督检查通知书。

第十五条 公安机关开展互联网安全现场监督检查可以根据需要采取以下措施:

(一)进入营业场所、机房、工作场所;

(二)要求监督检查对象的负责人或者网络安全管理人员对监督检查事项作出说明;

(三)查阅、复制与互联网安全监督检查事项相关的信息;

(四)查看网络与信息安全保护技术措施运行情况。

第十六条 公安机关对互联网服务提供者和联网使用单位是否存在网络安全漏洞,可以开展远程检测。

公安机关开展远程检测,应当事先告知监督检查对象检查时间、检查范围等事项或者公开相关检查事项,不得干扰、破坏监督检查对象网络的正常运行。

第十七条 公安机关开展现场监督检查或者远程检测,可以委托具有相应技术能力的网络安全服务机构提供技术支持。

网络安全服务机构及其工作人员对工作中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。公安机关应当严格监督网络安全服务机构落实网络安全管理与保密责任。

第十八条 公安机关开展现场监督检查,应当制作监督检查记录,并由开展监督检查的人民警察和监督检查对象的负责人或者网络安全管理人员签名。监督检查对象负责人或者网络安全管理人员对监督检查记录有异议的,应当允许其作出说明;拒绝签名的,人民警察应当在监督检查记录中注明。

公安机关开展远程检测,应当制作监督检查记录,并由二名以上开展监督检查的人民警察在监督检查记录上签名。

委托网络安全服务机构提供技术支持的,技术支持人员应当一并在监督检查记录上签名。

第十九条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位存在网络安全风险隐患,应当督促指导其采取措施消除风险隐患,并在监督检查记录上注明;发现有违法行为,但情节轻微或者未造成后果的,应当责令其限期整改。

监督检查对象在整改期限届满前认为已经整改完毕的,可以向公安机关书面提出提前复查申请。

公安机关应当自整改期限届满或者收到监督检查对象提前复查申请之日起三个工作日内,对整改情况进行复查,并在复查结束后三个工作日内反馈复查结果。

第二十条 监督检查过程中收集的资料、制作的各类文书等材料,应当按照规定立卷存档。

《区块链信息服务管理规定》

第三条 国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。

《网络信息内容生态治理规定》

第三条 国家网信部门负责统筹协调全国网络信息内容生态治理和相关监督管理工作,各有关主管部门依据各自职责做好网络信息内容生态治理工作。

地方网信部门负责统筹协调本行政区域内网络信息内容生态治理和相关监督管理工作,地方各有关主管部门依据各自职责做好本行政区域内网络信息内容生态治理工作。

《网络招聘服务管理规定》

第三条 国务院人力资源社会保障行政部门负责全国网络招聘服务的综合管理。

县级以上地方人民政府人力资源社会保障行政部门负责本行政区域网络招聘服务的管理工作。

县级以上人民政府有关部门在各自职责范围内依法对网络招聘服务实施管理。

《网络安全审查办法》

第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

《互联网信息服务算法推荐管理规定》

第三条 国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。

地方网信部门负责统筹协调本行政区域内的算法推荐服务治理和相关监督管理工作。地方电信、公安、市场监管等有关部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。

《互联网用户账号信息管理规定》

第三条 国家网信部门负责全国互联网用户账号信息的监督管理工作。

地方网信部门依据职责负责本行政区域内的互联网用户账号信息的监督管理工作。

《互联网信息服务深度合成管理规定》

第三条 国家网信部门负责统筹协调全国深度合成服务的治理和相关监督管理工作。国务院电信主管部门、公安部门依据各自职责负责深度合成服务的监督管理工作。

地方网信部门负责统筹协调本行政区域内的深度合成服务的治理和相关监督管理工作。地方电信主管部门、公安部门依据各自职责负责本行政区域内的深度合成服务的监督管理工作。

《网信部门行政执法程序规定》

第四条 国家网信部门依法建立本系统的行政执法监督制度。

上级网信部门对下级网信部门实施的行政执法进行监督。

《公路水路关键信息基础设施安全保护管理办法》第三条 交通运输部负责全国公路水路关键信息基础设施安全保护和监督管理。对在全国范围运营以及其他经交通运输部评估明确由部管理的公路水路关键信息基础设施(以下统称部级设施),由交通运输部具体实施安全保护和监督管理工作。

省级人民政府交通运输主管部门按照职责对本行政区域内运营的公路水路关键信息基础设施(以下统称省级设施)具体实施安全保护和监督管理。

交通运输部和省级人民政府交通运输主管部门以下统称交通运输主管部门。

《生成式人工智能服务管理暂行办法》第十六条 网信、发展改革、教育、科技、工业和信息化、公安、广播电视、新闻出版等部门,依据各自职责依法加强对生成式人工智能服务的管理。

国家有关主管部门针对生成式人工智能技术特点及其在有关行业和领域的服务应用,完善与创新发展相适应的科学监管方式,制定相应的分类分级监管规则或者指引。

◎ 部门规范性文件

《信息安全等级保护管理办法》

第三条 公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

第四条 信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

《即时通信工具公众信息服务发展管理暂行规定》

第三条 国家互联网信息办公室负责统筹协调指导即时通信工具公众信息服务发展管理工作,省级互联网信息内容主管部门负责本行政区域的相关工作。

互联网行业组织应当积极发挥作用,加强行业自律,推动行业信用评价体系建设,促进行业健康有序发展。

《互联网直播服务管理规定》

第四条 国家互联网信息办公室负责全国互联网直播服务信息内容的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内的互联网直播服务信息内容的监督管理执法工作。国务院相关管理部门依据职责对互联网直播服务实施相应监督管理。

各级互联网信息办公室应当建立日常监督检查和定期检查相结合的监督管理制度,指导督促互联网直播服务提供者依据法律法规和服务协议规范互联网直播服务行为。

《互联网信息搜索服务管理规定》

第三条 国家互联网信息办公室负责全国互联网信息搜索服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网信息搜索服务的监督管理执法工作。

《互联网新闻信息服务新技术新应用安全评估管理规定》

第四条 国家互联网信息办公室负责全国新技术新应用安全评估工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用安全评估工作。

国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承担新技术新应用安全评估的具体实施工作。

《公共互联网网络安全威胁监测与处置办法》

第三条 工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。

《互联网群组信息服务管理规定》

第三条 国家互联网信息办公室负责全国互联网群组信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内的互联网群组信息服务的监督管理执法工作。

《互联网论坛社区服务管理规定》

第三条 国家互联网信息办公室负责全国互联网论坛社区服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内互联网论坛社区服务的监督管理执法工作。

《互联网新闻信息服务单位内容管理从业人员管理办法》

第四条 国家互联网信息办公室负责全国互联网新闻信息服务单位从业人员教育培训工作的规划指导和从业情况的监督检查。

地方互联网信息办公室依据职责负责本地区互联网新闻信息服务单位从业人员教育培训工作的规划指导和从业情况的监督检查。

《微博客信息服务管理规定》

第三条 国家互联网信息办公室负责全国微博客信息服务的监督管理执法工作。地方互联网信息办公室依据职责负责本行政区域内的微博客信息服务的监督管理执法工作。

《网络音视频信息服务管理规定》

第三条 各级网信、文化和旅游、广播电视等部门依据各自职责开展网络音视频信息服务的监督管理工作。

第十七条 各级网信、文化和旅游、广播电视等部门应当建立日常监督检查和定期检查相结合的监督管理制度,指导督促网络音视频信息服务提供者依据法律法规和服务协议规范网络音视频信息服务行为。

网络音视频信息服务提供者应当遵守相关法律法规规定,依法留存网络日志,配合网信、文化和旅游、广播电视等部门开展监督管理执法工作,并提供必要的技术、数据支持和协助。

《监管数据安全管理办法(试行)》

第七条 监管数据安全管理实行归口管理,建立统筹协调、分工负责的管理机制。

银保监会统计信息部门是归口管理部门,负责统筹监管数据安全管理工作。银保监会各业务部门负责本部门监管数据安全管理工作。

第八条 归口管理部门具体职责包括:

(一)制定监管数据安全工作规则和管理流程;

(二)制定监管数据安全技术防护措施;

(三)组织实施监管数据安全评估和监督检查。

第九条 各业务部门具体职责包括:

(一)规范本部门监管数据安全使用,明确具体工作要求,落实相关责任;

(二)组织开展本部门监管数据安全管理工作;

(三)协助归口管理部门实施监管数据安全监督检查。

第二十八条 各业务部门及受托机构应按照监管数据安全工作规则定期开展自查,发现监管数据安全缺陷、漏洞等风险时,应立即采取补救措施。

第二十九条 归口管理部门应定期对各业务部门及受托机构开展监管数据安全管理评估检查工作。

各业务部门及受托机构对于评估和检查中发现的问题应制定整改措施,及时整改,并向归口管理部门报送整改报告。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

五、加强网络安全工作各项保障

(一)加强组织领导。各单位、各部门要高度重视网络安全等级保护和关键信息基础设施安全保护工作,将其列入重要议事日程,加强统筹领导和规划设计,认真研究解决网络安全机构设置、人员配备、经费投入、安全保护措施建设等重大问题。行业主管部门和网络运营者要明确本单位主要负责人是网络安全的第一责任人,并确定一名领导班子成员分管网络安全工作,成立网络安全专门机构,明确任务分工,一级抓一级,层层抓落实。

(二)加强经费政策保障。各单位、各部门要通过现有经费渠道,保障关键信息基础设施、第三级以上网络等开展等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运行维护、监督检查、教育培训等经费投入。关键信息基础设施运营者应保障足额的网络安全投入,作出网络安全和信息化有关决策时应有网络安全管理机构人员参与。有关部门要扶持重点网络安全技术产业和项目,支持网络安全技术研究开发和创新应用,推动网络安全产业健康发展。公安机关要会同相关部门组织实施“一带一路”网络安全战略,支持网络安全企业“走出去”,与有关国家共享中国网络安全保护经验。

(三)加强考核评价。各单位、各部门要进一步健全完善网络安全考核评价制度,明确考核指标,组织开展考核。公安机关将网络安全工作纳入社会治安综合治理考核评价体系,每年组织对各地区网络安全工作进行考核评价,每年评选网络安全等级保护、关键信息基础设施安全保护工作先进单位,并将结果报告党委政府,通报网信部门。

……

《网络产品安全漏洞管理规定》

第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。

有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。

《互联网用户公众账号信息服务管理规定》

第三条 国家网信部门负责全国互联网用户公众账号信息服务的监督管理执法工作。地方网信部门依据职责负责本行政区域内互联网用户公众账号信息服务的监督管理执法工作。

第二十一条 各级网信部门会同有关主管部门建立健全协作监管等工作机制,监督指导公众账号信息服务平台和生产运营者依法依规从事相关信息服务活动。

公众账号信息服务平台和生产运营者应当配合有关主管部门依法实施监督检查,并提供必要的技术支持和协助。

公众账号信息服务平台和生产运营者违反本规定的,由网信部门和有关主管部门在职责范围内依照相关法律法规处理。

《移动互联网应用程序信息服务管理规定》

第三条 国家网信部门负责全国应用程序信息内容的监督管理工作。地方网信部门依据职责负责本行政区域内应用程序信息内容的监督管理工作。

《互联网跟帖评论服务管理规定》

第三条 国家网信部门负责全国跟帖评论服务的监督管理执法工作。地方网信部门依据职责负责本行政区域内跟帖评论服务的监督管理执法工作。

第十四条 各级网信部门应当建立健全日常检查和定期检查相结合的监督管理制度,依法对互联网跟帖评论服务实施监督检查。

《互联网弹窗信息推送服务管理规定》

第八条 网信部门会同电信主管部门、市场监管部门等有关部门建立健全协作监管等工作机制,监督指导互联网弹窗信息推送服务提供者依法依规提供服务。

第九条 【网络运营者的基本义务】

网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。

关联法规

◎ 法律

《数据安全法》

第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。

第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第六条 计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。

任何单位和个人不得自行建立或者使用其他信道进行国际联网。

第八条 接入网络必须通过互联网络进行国际联网。

接入单位拟从事国际联网经营活动的,应当向有权受理从事国际联网经营活动申请的互联单位主管部门或者主管单位申请领取国际联网经营许可证;未取得国际联网经营许可证的,不得从事国际联网经营业务。

接入单位拟从事非经营活动的,应当报经有权受理从事非经营活动申请的互联单位主管部门或者主管单位审批;未经批准的,不得接入互联网络进行国际联网。

申请领取国际联网经营许可证或者办理审批手续时,应当提供其计算机信息网络的性质、应用范围和主机地址等资料。

国际联网经营许可证的格式,由领导小组统一制定。

第九条 从事国际联网经营活动的和从事非经营活动的接入单位都必须具备下列条件:

(一)是依法设立的企业法人或者事业法人;

(二)具有相应的计算机信息网络、装备以及相应的技术人员和管理人员;

(三)具有健全的安全保密管理制度和技术保护措施;

(四)符合法律和国务院规定的其他条件。

接入单位从事国际联网经营活动的,除必须具备本条前款规定条件外,还应当具备为用户提供长期服务的能力。

从事国际联网经营活动的接入单位的情况发生变化,不再符合本条第一款、第二款规定条件的,其国际联网经营许可证由发证机构予以吊销;从事非经营活动的接入单位的情况发生变化,不再符合本条第一款规定条件的,其国际联网资格由审批机构予以取消。

第十条 个人、法人和其他组织(以下统称用户)使用的计算机或者计算机信息网络,需要进行国际联网的,必须通过接入网络进行国际联网。

前款规定的计算机或者计算机信息网络,需要接入接入网络的,应当征得接入单位的同意,并办理登记手续。

第十一条 国际出入口信道提供单位、互联单位和接入单位,应当建立相应的网络管理中心,依照法律和国家有关规定加强对本单位及其用户的管理,做好网络信息安全管理工作,确保为用户提供良好、安全的服务。

第十二条 互联单位与接入单位,应当负责本单位及其用户有关国际联网的技术培训和管理教育工作。

《计算机信息网络国际联网安全保护管理办法》

第十一条 用户在接入单位办理入网手续时,应当填写用户备案表。备案表由公安部监制。

第十二条 互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起30日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时报告本网络中接入单位和用户的变更情况。

第十四条 涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备案手续时,应当出具其行政主管部门的审批证明。

前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。

《互联网信息服务管理办法》

第四条 国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。

未取得许可或者未履行备案手续的,不得从事互联网信息服务。

第五条 从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的,在申请经营许可或者履行备案手续前,应当依法经有关主管部门审核同意。

第六条 从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件:

(一)有业务发展计划及相关技术方案;

(二)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度;

(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门同意的文件。

第七条 从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证(以下简称经营许可证)。

省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发经营许可证;不予批准的,应当书面通知申请人并说明理由。

申请人取得经营许可证后,应当持经营许可证向企业登记机关办理登记手续。

第八条 从事非经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料:

(一)主办单位和网站负责人的基本情况;

(二)网站网址和服务项目;

(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门的同意文件。

省、自治区、直辖市电信管理机构对备案材料齐全的,应当予以备案并编号。

第九条 从事互联网信息服务,拟开办电子公告服务的,应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时,按照国家有关规定提出专项申请或者专项备案。

第十条 省、自治区、直辖市电信管理机构和国务院信息产业主管部门应当公布取得经营许可证或者已履行备案手续的互联网信息服务提供者名单。

第十一条 互联网信息服务提供者应当按照经许可或者备案的项目提供服务,不得超出经许可或者备案的项目提供服务。

非经营性互联网信息服务提供者不得从事有偿服务。

互联网信息服务提供者变更服务项目、网站网址等事项的,应当提前30日向原审核、发证或者备案机关办理变更手续。

第十二条 互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。

第十三条 互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息内容合法。

第十四条 从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录提供的信息内容及其发布时间、互联网地址或者域名;互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。

互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日,并在国家有关机关依法查询时,予以提供。

第十七条 经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应当事先经国务院信息产业主管部门审查同意;其中,外商投资的比例应当符合有关法律、行政法规的规定。

第二十六条 在本办法公布前从事互联网信息服务的,应当自本办法公布之日起60日内依照本办法的有关规定补办有关手续。

《电信条例》

第五条 电信业务经营者应当为电信用户提供迅速、准确、安全、方便和价格合理的电信服务。

第七条 国家对电信业务经营按照电信业务分类,实行许可制度。

经营电信业务,必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。

未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。

第九条 经营基础电信业务,须经国务院信息产业主管部门审查批准,取得《基础电信业务经营许可证》。

经营增值电信业务,业务覆盖范围在两个以上省、自治区、直辖市的,须经国务院信息产业主管部门审查批准,取得《跨地区增值电信业务经营许可证》;业务覆盖范围在一个省、自治区、直辖市行政区域内的,须经省、自治区、直辖市电信管理机构审查批准,取得《增值电信业务经营许可证》。

运用新技术试办《电信业务分类目录》未列出的新型电信业务的,应当向省、自治区、直辖市电信管理机构备案。

第十条 经营基础电信业务,应当具备下列条件:

(一)经营者为依法设立的专门从事基础电信业务的公司,且公司中国有股权或者股份不少于51%;

(二)有可行性研究报告和组网技术方案;

(三)有与从事经营活动相适应的资金和专业人员;

(四)有从事经营活动的场地及相应的资源;

(五)有为用户提供长期服务的信誉或者能力;

(六)国家规定的其他条件。

第十一条 申请经营基础电信业务,应当向国务院信息产业主管部门提出申请,并提交本条例第十条规定的相关文件。国务院信息产业主管部门应当自受理申请之日起180日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发《基础电信业务经营许可证》;不予批准的,应当书面通知申请人并说明理由。

第十二条 国务院信息产业主管部门审查经营基础电信业务的申请时,应当考虑国家安全、电信网络安全、电信资源可持续利用、环境保护和电信市场的竞争状况等因素。

颁发《基础电信业务经营许可证》,应当按照国家有关规定采用招标方式。

第十三条 经营增值电信业务,应当具备下列条件:

(一)经营者为依法设立的公司;

(二)有与开展经营活动相适应的资金和专业人员;

(三)有为用户提供长期服务的信誉或者能力;

(四)国家规定的其他条件。

第十四条 申请经营增值电信业务,应当根据本条例第九条第二款的规定,向国务院信息产业主管部门或者省、自治区、直辖市电信管理机构提出申请,并提交本条例第十三条规定的相关文件。申请经营的增值电信业务,按照国家有关规定须经有关主管部门审批的,还应当提交有关主管部门审核同意的文件。国务院信息产业主管部门或者省、自治区、直辖市电信管理机构应当自收到申请之日起60日内审查完毕,作出批准或者不予批准的决定。予以批准的,颁发《跨地区增值电信业务经营许可证》或者《增值电信业务经营许可证》;不予批准的,应当书面通知申请人并说明理由。

第十五条 电信业务经营者在经营过程中,变更经营主体、业务范围或者停止经营的,应当提前90日向原颁发许可证的机关提出申请,并办理相应手续;停止经营的,还应当按照国家有关规定做好善后工作。

第十六条 专用电信网运营单位在所在地区经营电信业务的,应当依照本条例规定的条件和程序提出申请,经批准,取得电信业务经营许可证。

《互联网上网服务营业场所管理条例》

第十六条 互联网上网服务营业场所经营单位应当通过依法取得经营许可证的互联网接入服务提供者接入互联网,不得采取其他方式接入互联网。

互联网上网服务营业场所经营单位提供上网消费者使用的计算机必须通过局域网的方式接入互联网,不得直接接入互联网。

第十七条 互联网上网服务营业场所经营单位不得经营非网络游戏。

第十八条 互联网上网服务营业场所经营单位和上网消费者不得利用网络游戏或者其他方式进行赌博或者变相赌博活动。

第十九条 互联网上网服务营业场所经营单位应当实施经营管理技术措施,建立场内巡查制度,发现上网消费者有本条例第十四条、第十五条、第十八条所列行为或者有其他违法行为的,应当立即予以制止并向文化行政部门、公安机关举报。

第二十条 互联网上网服务营业场所经营单位应当在营业场所的显著位置悬挂《网络文化经营许可证》和营业执照。

第二十一条 互联网上网服务营业场所经营单位不得接纳未成年人进入营业场所。

互联网上网服务营业场所经营单位应当在营业场所入口处的显著位置悬挂未成年人禁入标志。

第二十二条 互联网上网服务营业场所每日营业时间限于8时至24时。

第二十三条 互联网上网服务营业场所经营单位应当对上网消费者的身份证等有效证件进行核对、登记,并记录有关上网信息。登记内容和记录备份保存时间不得少于60日,并在文化行政部门、公安机关依法查询时予以提供。登记内容和记录备份在保存期内不得修改或者删除。

第二十四条 互联网上网服务营业场所经营单位应当依法履行信息网络安全、治安和消防安全职责,并遵守下列规定:

(一)禁止明火照明和吸烟并悬挂禁止吸烟标志;

(二)禁止带入和存放易燃、易爆物品;

(三)不得安装固定的封闭门窗栅栏;

(四)营业期间禁止封堵或者锁闭门窗、安全疏散通道和安全出口;

(五)不得擅自停止实施安全技术措施。

《电信条例》

第十七条 电信网之间应当按照技术可行、经济合理、公平公正、相互配合的原则,实现互联互通。

主导的电信业务经营者不得拒绝其他电信业务经营者和专用网运营单位提出的互联互通要求。

前款所称主导的电信业务经营者,是指控制必要的基础电信设施并且在电信业务市场中占有较大份额,能够对其他电信业务经营者进入电信业务市场构成实质性影响的经营者。

主导的电信业务经营者由国务院信息产业主管部门确定。

第十八条 主导的电信业务经营者应当按照非歧视和透明化的原则,制定包括网间互联的程序、时限、非捆绑网络元素目录等内容的互联规程。互联规程应当报国务院信息产业主管部门审查同意。该互联规程对主导的电信业务经营者的互联互通活动具有约束力。

第十九条 公用电信网之间、公用电信网与专用电信网之间的网间互联,由网间互联双方按照国务院信息产业主管部门的网间互联管理规定进行互联协商,并订立网间互联协议。

第二十条 网间互联双方经协商未能达成网间互联协议的,自一方提出互联要求之日起60日内,任何一方均可以按照网间互联覆盖范围向国务院信息产业主管部门或者省、自治区、直辖市电信管理机构申请协调;收到申请的机关应当依照本条例第十七条第一款规定的原则进行协调,促使网间互联双方达成协议;自网间互联一方或者双方申请协调之日起45日内经协调仍不能达成协议的,由协调机关随机邀请电信技术专家和其他有关方面专家进行公开论证并提出网间互联方案。协调机关应当根据专家论证结论和提出的网间互联方案作出决定,强制实现互联互通。

第二十一条 网间互联双方必须在协议约定或者决定规定的时限内实现互联互通。遵守网间互联协议和国务院信息产业主管部门的相关规定,保障网间通信畅通,任何一方不得擅自中断互联互通。网间互联遇有通信技术障碍的,双方应当立即采取有效措施予以消除。网间互联双方在互联互通中发生争议的,依照本条例第二十条规定的程序和办法处理。

网间互联的通信质量应当符合国家有关标准。主导的电信业务经营者向其他电信业务经营者提供网间互联,服务质量不得低于本网内的同类业务及向其子公司或者分支机构提供的同类业务质量。

第二十二条 网间互联的费用结算与分摊应当执行国家有关规定,不得在规定标准之外加收费用。

网间互联的技术标准、费用结算办法和具体管理规定,由国务院信息产业主管部门制定。

第二十三条 电信资费实行市场调节价。电信业务经营者应当统筹考虑生产经营成本、电信市场供求状况等因素,合理确定电信业务资费标准。

第二十四条 国家依法加强对电信业务经营者资费行为的监管,建立健全监管规则,维护消费者合法权益。

第二十五条 电信业务经营者应当根据国务院信息产业主管部门和省、自治区、直辖市电信管理机构的要求,提供准确、完备的业务成本数据及其他有关资料。

第二十六条 国家对电信资源统一规划、集中管理、合理分配,实行有偿使用制度。

前款所称电信资源,是指无线电频率、卫星轨道位置、电信网码号等用于实现电信功能且有限的资源。

第二十七条 电信业务经营者占有、使用电信资源,应当缴纳电信资源费。具体收费办法由国务院信息产业主管部门会同国务院财政部门、价格主管部门制定,报国务院批准后公布施行。

第二十八条 电信资源的分配,应当考虑电信资源规划、用途和预期服务能力。

分配电信资源,可以采取指配的方式,也可以采用拍卖的方式。

取得电信资源使用权的,应当在规定的时限内启用所分配的资源,并达到规定的最低使用规模。未经国务院信息产业主管部门或者省、自治区、直辖市电信管理机构批准,不得擅自使用、转让、出租电信资源或者改变电信资源的用途。

第二十九条 电信资源使用者依法取得电信网码号资源后,主导的电信业务经营者和其他有关单位有义务采取必要的技术措施,配合电信资源使用者实现其电信网码号资源的功能。

法律、行政法规对电信资源管理另有特别规定的,从其规定。

第三十条 电信业务经营者应当按照国家规定的电信服务标准向电信用户提供服务。电信业务经营者提供服务的种类、范围、资费标准和时限,应当向社会公布,并报省、自治区、直辖市电信管理机构备案。

电信用户有权自主选择使用依法开办的各类电信业务。

第三十一条 电信用户申请安装、移装电信终端设备的,电信业务经营者应当在其公布的时限内保证装机开通;由于电信业务经营者的原因逾期未能装机开通的,应当每日按照收取的安装费、移装费或者其他费用数额1%的比例,向电信用户支付违约金。

第三十二条 电信用户申告电信服务障碍的,电信业务经营者应当自接到申告之日起,城镇48小时、农村72小时内修复或者调通;不能按期修复或者调通的,应当及时通知电信用户,并免收障碍期间的月租费用。但是,属于电信终端设备的原因造成电信服务障碍的除外。

第三十三条 电信业务经营者应当为电信用户交费和查询提供方便。电信用户要求提供国内长途通信、国际通信、移动通信和信息服务等收费清单的,电信业务经营者应当免费提供。

电信用户出现异常的巨额电信费用时,电信业务经营者一经发现,应当尽可能迅速告知电信用户,并采取相应的措施。

前款所称巨额电信费用,是指突然出现超过电信用户此前3个月平均电信费用5倍以上的费用。

第三十四条 电信用户应当按照约定的时间和方式及时、足额地向电信业务经营者交纳电信费用;电信用户逾期不交纳电信费用的,电信业务经营者有权要求补交电信费用,并可以按照所欠费用每日加收3‰的违约金。

对超过收费约定期限30日仍不交纳电信费用的电信用户,电信业务经营者可以暂停向其提供电信服务。电信用户在电信业务经营者暂停服务60日内仍未补交电信费用和违约金的,电信业务经营者可以终止提供服务,并可以依法追缴欠费和违约金。

经营移动电信业务的经营者可以与电信用户约定交纳电信费用的期限、方式,不受前款规定期限的限制。

电信业务经营者应当在迟延交纳电信费用的电信用户补足电信费用、违约金后的48小时内,恢复暂停的电信服务。

第三十五条 电信业务经营者因工程施工、网络建设等原因,影响或者可能影响正常电信服务的,必须按照规定的时限及时告知用户,并向省、自治区、直辖市电信管理机构报告。

因前款原因中断电信服务的,电信业务经营者应当相应减免用户在电信服务中断期间的相关费用。

出现本条第一款规定的情形,电信业务经营者未及时告知用户的,应当赔偿由此给用户造成的损失。

第三十六条 经营本地电话业务和移动电话业务的电信业务经营者,应当免费向用户提供火警、匪警、医疗急救、交通事故报警等公益性电信服务并保障通信线路畅通。

第三十七条 电信业务经营者应当及时为需要通过中继线接入其电信网的集团用户,提供平等、合理的接入服务。

未经批准,电信业务经营者不得擅自中断接入服务。

第三十八条 电信业务经营者应当建立健全内部服务质量管理制度,并可以制定并公布施行高于国家规定的电信服务标准的企业标准。

电信业务经营者应当采取各种形式广泛听取电信用户意见,接受社会监督,不断提高电信服务质量。

第三十九条 电信业务经营者提供的电信服务达不到国家规定的电信服务标准或者其公布的企业标准的,或者电信用户对交纳电信费用持有异议的,电信用户有权要求电信业务经营者予以解决;电信业务经营者拒不解决或者电信用户对解决结果不满意的,电信用户有权向国务院信息产业主管部门或者省、自治区、直辖市电信管理机构或者其他有关部门申诉。收到申诉的机关必须对申诉及时处理,并自收到申诉之日起30日内向申诉者作出答复。

电信用户对交纳本地电话费用有异议的,电信业务经营者还应当应电信用户的要求免费提供本地电话收费依据,并有义务采取必要措施协助电信用户查找原因。

第四十条 电信业务经营者在电信服务中,不得有下列行为:

(一)以任何方式限定电信用户使用其指定的业务;

(二)限定电信用户购买其指定的电信终端设备或者拒绝电信用户使用自备的已经取得入网许可的电信终端设备;

(三)无正当理由拒绝、拖延或者中止对电信用户的电信服务;

(四)对电信用户不履行公开作出的承诺或者作容易引起误解的虚假宣传;

(五)以不正当手段刁难电信用户或者对投诉的电信用户打击报复。

第四十一条 电信业务经营者在电信业务经营活动中,不得有下列行为:

(一)以任何方式限制电信用户选择其他电信业务经营者依法开办的电信服务;

(二)对其经营的不同业务进行不合理的交叉补贴;

(三)以排挤竞争对手为目的,低于成本提供电信业务或者服务,进行不正当竞争。

第四十二条 国务院信息产业主管部门或者省、自治区、直辖市电信管理机构应当依据职权对电信业务经营者的电信服务质量和经营活动进行监督检查,并向社会公布监督抽查结果。

第四十三条 电信业务经营者必须按照国家有关规定履行相应的电信普遍服务义务。

国务院信息产业主管部门可以采取指定的或者招标的方式确定电信业务经营者具体承担电信普遍服务的义务。

电信普遍服务成本补偿管理办法,由国务院信息产业主管部门会同国务院财政部门、价格主管部门制定,报国务院批准后公布施行。

◎ 部门规章

《通信网络安全防护管理办法》

第五条 通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。

《互联网新闻信息服务管理规定》

第五条 通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。

前款所称互联网新闻信息服务,包括互联网新闻信息采编发布服务、转载服务、传播平台服务。

第六条 申请互联网新闻信息服务许可,应当具备下列条件:

(一)在中华人民共和国境内依法设立的法人;

(二)主要负责人、总编辑是中国公民;

(三)有与服务相适应的专职新闻编辑人员、内容审核人员和技术保障人员;

(四)有健全的互联网新闻信息服务管理制度;

(五)有健全的信息安全管理制度和安全可控的技术保障措施;

(六)有与服务相适应的场所、设施和资金。

申请互联网新闻信息采编发布服务许可的,应当是新闻单位(含其控股的单位)或新闻宣传部门主管的单位。

符合条件的互联网新闻信息服务提供者实行特殊管理股制度,具体实施办法由国家互联网信息办公室另行制定。

提供互联网新闻信息服务,还应当依法向电信主管部门办理互联网信息服务许可或备案手续。

第八条 互联网新闻信息服务提供者的采编业务和经营业务应当分开,非公有资本不得介入互联网新闻信息采编业务。

第九条 申请互联网新闻信息服务许可,申请主体为中央新闻单位(含其控股的单位)或中央新闻宣传部门主管的单位的,由国家互联网信息办公室受理和决定;申请主体为地方新闻单位(含其控股的单位)或地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室受理和决定;申请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室受理和初审后,由国家互联网信息办公室决定。

国家或省、自治区、直辖市互联网信息办公室决定批准的,核发《互联网新闻信息服务许可证》。《互联网新闻信息服务许可证》有效期为三年。有效期届满,需继续从事互联网新闻信息服务活动的,应当于有效期届满三十日前申请续办。

省、自治区、直辖市互联网信息办公室应当定期向国家互联网信息办公室报告许可受理和决定情况。

第十条 申请互联网新闻信息服务许可,应当提交下列材料:

(一)主要负责人、总编辑为中国公民的证明;

(二)专职新闻编辑人员、内容审核人员和技术保障人员的资质情况;

(三)互联网新闻信息服务管理制度;

(四)信息安全管理制度和技术保障措施;

(五)互联网新闻信息服务安全评估报告;

(六)法人资格、场所、资金和股权结构等证明;

(七)法律法规规定的其他材料。

第十一条 互联网新闻信息服务提供者应当设立总编辑,总编辑对互联网新闻信息内容负总责。总编辑人选应当具有相关从业经验,符合相关条件,并报国家或省、自治区、直辖市互联网信息办公室备案。

互联网新闻信息服务相关从业人员应当依法取得相应资质,接受专业培训、考核。互联网新闻信息服务相关从业人员从事新闻采编活动,应当具备新闻采编人员职业资格,持有国家新闻出版广电总局统一颁发的新闻记者证。

第十五条 互联网新闻信息服务提供者转载新闻信息,应当转载中央新闻单位或省、自治区、直辖市直属新闻单位等国家规定范围内的单位发布的新闻信息,注明新闻信息来源、原作者、原标题、编辑真实姓名等,不得歪曲、篡改标题原意和新闻信息内容,并保证新闻信息来源可追溯。

互联网新闻信息服务提供者转载新闻信息,应当遵守著作权相关法律法规的规定,保护著作权人的合法权益。

《互联网文化管理暂行规定》

第七条 申请从事经营性互联网文化活动,应当符合《互联网信息服务管理办法》的有关规定,并具备以下条件:

(一)有单位的名称、住所、组织机构和章程;

(二)有确定的互联网文化活动范围;

(三)有适应互联网文化活动需要的专业人员、设备、工作场所以及相应的经营管理技术措施;

(四)有确定的域名;

(五)符合法律、行政法规和国家有关规定的条件。

第八条 申请从事经营性互联网文化活动,应当向所在地省、自治区、直辖市人民政府文化行政部门提出申请,由省、自治区、直辖市人民政府文化行政部门审核批准。

第九条 申请从事经营性互联网文化活动,应当提交下列文件:

(一)申请表;

(二)营业执照和章程;

(三)法定代表人或者主要负责人的身份证明文件;

(四)业务范围说明;

(五)专业人员、工作场所以及相应经营管理技术措施的说明材料;

(六)域名登记证明;

(七)依法需要提交的其他文件。

对申请从事经营性互联网文化活动的,省、自治区、直辖市人民政府文化行政部门应当自受理申请之日起20日内做出批准或者不批准的决定。批准的,核发《网络文化经营许可证》,并向社会公告;不批准的,应当书面通知申请人并说明理由。

《网络文化经营许可证》有效期为3年。有效期届满,需继续从事经营的,应当于有效期届满30日前申请续办。

第十条 非经营性互联网文化单位,应当自设立之日起60日内向所在地省、自治区、直辖市人民政府文化行政部门备案,并提交下列文件:

(一)备案表;

(二)章程;

(三)法定代表人或者主要负责人的身份证明文件;

(四)域名登记证明;

(五)依法需要提交的其他文件。

第十一条 申请从事经营性互联网文化活动经批准后,应当持《网络文化经营许可证》,按照《互联网信息服务管理办法》的有关规定,到所在地电信管理机构或者国务院信息产业主管部门办理相关手续。

第十二条 互联网文化单位应当在其网站主页的显著位置标明文化行政部门颁发的《网络文化经营许可证》编号或者备案编号,标明国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的经营许可证编号或者备案编号。

第十三条 经营性互联网文化单位变更单位名称、域名、法定代表人或者主要负责人、注册地址、经营地址、股权结构以及许可经营范围的,应当自变更之日起20日内到所在地省、自治区、直辖市人民政府文化行政部门办理变更或者备案手续。

非经营性互联网文化单位变更名称、地址、域名、法定代表人或者主要负责人、业务范围的,应当自变更之日起60日内到所在地省、自治区、直辖市人民政府文化行政部门办理备案手续。

第十四条 经营性互联网文化单位终止互联网文化活动的,应当自终止之日起30日内到所在地省、自治区、直辖市人民政府文化行政部门办理注销手续。

经营性互联网文化单位自取得《网络文化经营许可证》并依法办理企业登记之日起满180日未开展互联网文化活动的,由原审核的省、自治区、直辖市人民政府文化行政部门注销《网络文化经营许可证》,同时通知相关省、自治区、直辖市电信管理机构。

非经营性互联网文化单位停止互联网文化活动的,由原备案的省、自治区、直辖市人民政府文化行政部门注销备案,同时通知相关省、自治区、直辖市电信管理机构。

第十五条 经营进口互联网文化产品的活动应当由取得文化行政部门核发的《网络文化经营许可证》的经营性互联网文化单位实施,进口互联网文化产品应当报文化部进行内容审查。

文化部应当自受理内容审查申请之日起20日内(不包括专家评审所需时间)做出批准或者不批准的决定。批准的,发给批准文件;不批准的,应当说明理由。

经批准的进口互联网文化产品应当在其显著位置标明文化部的批准文号,不得擅自变更产品名称或者增删产品内容。自批准之日起一年内未在国内经营的,进口单位应当报文化部备案并说明原因;决定终止进口的,文化部撤销其批准文号。

经营性互联网文化单位经营的国产互联网文化产品应当自正式经营起30日内报省级以上文化行政部门备案,并在其显著位置标明文化部备案编号,具体办法另行规定。

《区块链信息服务管理规定》

第十条 区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容。

第十一条 区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息,履行备案手续。

区块链信息服务提供者变更服务项目、平台网址等事项的,应当在变更之日起五个工作日内办理变更手续。

区块链信息服务提供者终止服务的,应当在终止服务三十个工作日前办理注销手续,并作出妥善安排。

第十三条 完成备案的区块链信息服务提供者应当在其对外提供服务的互联网站、应用程序等的显著位置标明其备案编号。

《汽车数据安全管理若干规定(试行)》

第十三条 汽车数据处理者开展重要数据处理活动,应当在每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送以下年度汽车数据安全管理情况:

(一)汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式;

(二)处理汽车数据的种类、规模、目的和必要性;

(三)汽车数据的安全防护和管理措施,包括保存地点、期限等;

(四)向境内第三方提供汽车数据情况;

(五)汽车数据安全事件和处置情况;

(六)汽车数据相关的用户投诉和处理情况;

(七)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的其他汽车数据安全管理情况。

《互联网信息服务算法推荐管理规定》

第六条 算法推荐服务提供者应当坚持主流价值导向,优化算法推荐服务机制,积极传播正能量,促进算法应用向上向善。

算法推荐服务提供者不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用算法推荐服务传播法律、行政法规禁止的信息,应当采取措施防范和抵制传播不良信息。

第七条 算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。

第八条 算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。

第十三条 算法推荐服务提供者提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,规范开展互联网新闻信息采编发布服务、转载服务和传播平台服务,不得生成合成虚假新闻信息,不得传播非国家规定范围内的单位发布的新闻信息。

第十四条 算法推荐服务提供者不得利用算法虚假注册账号、非法交易账号、操纵用户账号或者虚假点赞、评论、转发,不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施影响网络舆论或者规避监督管理行为。

第十五条 算法推荐服务提供者不得利用算法对其他互联网信息服务提供者进行不合理限制,或者妨碍、破坏其合法提供的互联网信息服务正常运行,实施垄断和不正当竞争行为。

第十六条 算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。

第十七条 算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。

算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。

算法推荐服务提供者应用算法对用户权益造成重大影响的,应当依法予以说明并承担相应责任。

第十九条 算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务。

第二十条 算法推荐服务提供者向劳动者提供工作调度服务的,应当保护劳动者取得劳动报酬、休息休假等合法权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法。

第二十一条 算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。

第二十四条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。

算法推荐服务提供者的备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续。

算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。

第二十五条 国家和省、自治区、直辖市网信部门收到备案人提交的备案材料后,材料齐全的,应当在三十个工作日内予以备案,发放备案编号并进行公示;材料不齐全的,不予备案,并应当在三十个工作日内通知备案人并说明理由。

第二十六条 完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

《互联网信息服务深度合成管理规定》

第四条 提供深度合成服务,应当遵守法律法规,尊重社会公德和伦理道德,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善。

第十九条 具有舆论属性或者社会动员能力的深度合成服务提供者,应当按照《互联网信息服务算法推荐管理规定》履行备案和变更、注销备案手续。

深度合成服务技术支持者应当参照前款规定履行备案和变更、注销备案手续。

完成备案的深度合成服务提供者和技术支持者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。

《生成式人工智能服务管理暂行办法》

第七条 生成式人工智能服务提供者(以下称提供者)应当依法开展预训练、优化训练等训练数据处理活动,遵守以下规定:

(一)使用具有合法来源的数据和基础模型;

(二)涉及知识产权的,不得侵害他人依法享有的知识产权;

(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他情形;

(四)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观性、多样性;

(五)《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的相关监管要求。

第八条 在生成式人工智能技术研发过程中进行数据标注的,提供者应当制定符合本办法要求的清晰、具体、可操作的标注规则;开展数据标注质量评估,抽样核验标注内容的准确性;对标注人员进行必要培训,提升尊法守法意识,监督指导标注人员规范开展标注工作。

第十二条 提供者应当按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识。

第十三条 提供者应当在其服务过程中,提供安全、稳定、持续的服务,保障用户正常使用。

◎ 部门规范性文件

《即时通信工具公众信息服务发展管理暂行规定》

第四条 即时通信工具服务提供者应当取得法律法规规定的相关资质。即时通信工具服务提供者从事公众信息服务活动,应当取得互联网新闻信息服务资质。

《互联网直播服务管理规定》

第五条 互联网直播服务提供者提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务资质,并在许可范围内开展互联网新闻信息服务。

开展互联网新闻信息服务的互联网直播发布者,应当依法取得互联网新闻信息服务资质并在许可范围内提供服务。

第六条 通过网络表演、网络视听节目等提供互联网直播服务的,还应当依法取得法律法规规定的相关资质。

《互联网信息搜索服务管理规定》

第五条 互联网信息搜索服务提供者应当取得法律法规规定的相关资质。

第七条 互联网信息搜索服务提供者不得以链接、摘要、快照、联想词、相关搜索、相关推荐等形式提供含有法律法规禁止的信息内容。

第九条 互联网信息搜索服务提供者及其从业人员,不得通过断开相关链接或者提供含有虚假信息的搜索结果等手段,牟取不正当利益。

第十条 互联网信息搜索服务提供者应当提供客观、公正、权威的搜索结果,不得损害国家利益、公共利益,以及公民、法人和其他组织的合法权益。

第十一条 互联网信息搜索服务提供者提供付费搜索信息服务,应当依法查验客户有关资质,明确付费搜索信息页面比例上限,醒目区分自然搜索结果与付费搜索信息,对付费搜索信息逐条加注显著标识。

互联网信息搜索服务提供者提供商业广告信息服务,应当遵守相关法律法规。

《互联网新闻信息服务新技术新应用安全评估管理规定》

第六条 互联网新闻信息服务提供者应当建立健全新技术新应用安全评估管理制度和保障制度,按照本规定要求自行组织开展安全评估,为国家和省、自治区、直辖市互联网信息办公室组织开展安全评估提供必要的配合,并及时完成整改。

第七条 有下列情形之一的,互联网新闻信息服务提供者应当自行组织开展新技术新应用安全评估,编制书面安全评估报告,并对评估结果负责:

(一)应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能的;

(二)新技术、新应用功能在用户规模、功能属性、技术实现方式、基础资源配置等方面的改变导致新闻舆论属性或社会动员能力发生重大变化的。

国家互联网信息办公室适时发布新技术新应用安全评估目录,供互联网新闻信息服务提供者自行组织开展安全评估参考。

第八条 互联网新闻信息服务提供者按照本规定第七条自行组织开展新技术新应用安全评估,发现存在安全风险的,应当及时整改,直至消除相关安全风险。

按照本规定第七条规定自行组织开展安全评估的,应当在应用新技术、调整增设应用功能前完成评估。

第九条 互联网新闻信息服务提供者按照本规定第八条自行组织开展新技术新应用安全评估后,应当自安全评估完成之日起10个工作日内报请国家或者省、自治区、直辖市互联网信息办公室组织开展安全评估。

第十条 报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,报请主体为中央新闻单位或者中央新闻宣传部门主管的单位的,由国家互联网信息办公室组织开展安全评估;报请主体为地方新闻单位或者地方新闻宣传部门主管的单位的,由省、自治区、直辖市互联网信息办公室组织开展安全评估;报请主体为其他单位的,经所在地省、自治区、直辖市互联网信息办公室组织开展安全评估后,将评估材料及意见报国家互联网信息办公室审核后形成安全评估报告。

第十一条 互联网新闻信息服务提供者报请国家或者省、自治区、直辖市互联网信息办公室组织开展新技术新应用安全评估,应当提供下列材料,并对提供材料的真实性负责:

(一)服务方案(包括服务项目、服务方式、业务形式、服务范围等);

(二)产品(服务)的主要功能和主要业务流程,系统组成(主要软硬件系统的种类、品牌、版本、部署位置等概要介绍);

(三)产品(服务)配套的信息安全管理制度和技术保障措施;

(四)自行组织开展并完成的安全评估报告;

(五)其他开展安全评估所需的必要材料。

第十二条 国家和省、自治区、直辖市互联网信息办公室应当自材料齐备之日起45个工作日内组织完成新技术新应用安全评估。

国家和省、自治区、直辖市互联网信息办公室可以采取书面确认、实地核查、网络监测等方式对报请材料进行进一步核实,服务提供者应予配合。

国家和省、自治区、直辖市互联网信息办公室组织完成安全评估后,应自行或委托第三方机构编制形成安全评估报告。

第十三条 新技术新应用安全评估报告载明的意见认为新技术新应用存在信息安全风险隐患,未能配套必要的安全保障措施手段的,互联网新闻信息服务提供者应当及时进行整改,直至符合法律法规规章等相关规定和国家强制性标准相关要求。在整改完成前,拟调整增设的新技术新应用不得用于提供互联网新闻信息服务。

服务提供者拒绝整改,或整改后未达法律法规规章等相关规定和国家强制性标准相关要求,而导致不再符合许可条件的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》第二十三条的规定,责令服务提供者限期改正;逾期仍不符合许可条件的,暂停新闻信息更新;《互联网新闻信息服务许可证》有效期届满仍不符合许可条件的,不予换发许可证。

《互联网论坛社区服务管理规定》

第九条 互联网论坛社区服务提供者及其从业人员,不得通过发布、转载、删除信息或者干预呈现结果等手段,谋取不正当利益。

第十条 互联网论坛社区服务提供者开展经营和服务活动,必须遵守法律法规,尊重社会公德,遵守商业道德,诚实信用,承担社会责任。

《互联网新闻信息服务单位内容管理从业人员管理办法》

第五条 从业人员应当遵守宪法、法律和行政法规,坚持正确政治方向和舆论导向,贯彻执行党和国家有关新闻舆论工作的方针政策,维护国家利益和公共利益,严格遵守互联网内容管理的法律法规和国家有关规定,促进形成积极健康、向上向善的网络文化,推动构建风清气正的网络空间。

第六条 从业人员应当坚持马克思主义新闻观,坚持社会主义核心价值观,坚持以人民为中心的工作导向,树立群众观点,坚决抵制不良风气和低俗内容。

第七条 从业人员应当恪守新闻职业道德,坚持新闻真实性原则,认真核实新闻信息来源,按规定转载国家规定范围内的单位发布的新闻信息,杜绝编发虚假互联网新闻信息,确保互联网新闻信息真实、准确、全面、客观。

第八条 从业人员不得从事有偿新闻活动。不得利用互联网新闻信息采编发布、转载和审核等工作便利从事广告、发行、赞助、中介等经营活动,谋取不正当利益。不得利用网络舆论监督等工作便利进行敲诈勒索、打击报复等活动。

《微博客信息服务管理规定》

第四条 微博客服务提供者应当依法取得法律法规规定的相关资质。

向社会公众提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,并在许可范围内开展服务,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。

第五条 微博客服务提供者应当发挥促进经济发展、服务社会大众的积极作用,弘扬社会主义核心价值观,传播先进文化,坚持正确舆论导向,倡导依法上网、文明上网、安全上网。

《网络音视频信息服务管理规定》

第六条 网络音视频信息服务提供者应当依法取得法律、行政法规规定的相关资质。

《互联网用户公众账号信息服务管理规定》

第五条 公众账号信息服务平台提供互联网用户公众账号信息服务,应当取得国家法律、行政法规规定的相关资质。

公众账号信息服务平台和公众账号生产运营者向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可。

第十四条 公众账号信息服务平台与生产运营者开展内容供给与账号推广合作,应当规范管理电商销售、广告发布、知识付费、用户打赏等经营行为,不得发布虚假广告、进行夸大宣传、实施商业欺诈及商业诋毁等,防止违法违规运营。

公众账号信息服务平台应当加强对原创信息内容的著作权保护,防范盗版侵权行为。

平台不得利用优势地位干扰生产运营者合法合规运营、侵犯用户合法权益。

第十五条 公众账号生产运营者应当按照平台分类管理规则,在注册公众账号时如实填写用户主体性质、注册地、运营地、内容生产类别、联系方式等基本信息,组织机构用户还应当注明主要经营或者业务范围。

公众账号生产运营者应当遵守平台内容生产和账号运营管理规则、平台公约和服务协议,按照公众账号登记的内容生产类别,从事相关行业领域的信息内容生产发布。

第十六条 公众账号生产运营者应当履行信息内容生产和公众账号运营管理主体责任,依法依规从事信息内容生产和公众账号运营活动。

公众账号生产运营者应当建立健全选题策划、编辑制作、发布推广、互动评论等全过程信息内容安全审核机制,加强信息内容导向性、真实性、合法性审核,维护网络传播良好秩序。

公众账号生产运营者应当建立健全公众账号注册使用、运营推广等全过程安全管理机制,依法、文明、规范运营公众账号,以优质信息内容吸引公众关注订阅和互动分享,维护公众账号良好社会形象。

公众账号生产运营者与第三方机构开展公众账号运营、内容供给等合作,应与第三方机构签订书面协议,明确第三方机构信息安全管理义务并督促履行。

第十七条 公众账号生产运营者转载信息内容的,应当遵守著作权保护相关法律法规,依法标注著作权人和可追溯信息来源,尊重和保护著作权人的合法权益。

公众账号生产运营者应当对公众账号留言、跟帖、评论等互动环节进行管理。平台可以根据公众账号的主体性质、信用等级等,合理设置管理权限,提供相关技术支持。

《移动互联网应用程序信息服务管理规定》

第七条 应用程序提供者通过应用程序提供互联网新闻信息服务的,应当取得互联网新闻信息服务许可,禁止未经许可或者超越许可范围开展互联网新闻信息服务活动。

应用程序提供者提供其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,经有关主管部门审核同意或者取得相关许可后方可提供服务。

第九条 应用程序提供者不得通过虚假宣传、捆绑下载等行为,通过机器或者人工刷榜、刷量、控评等方式,或者利用违法和不良信息诱导用户下载。

第十七条 应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。办理备案时,应当提交以下材料:

(一)平台运营主体基本情况;

(二)平台名称、域名、接入服务、服务资质、上架应用程序类别等信息;

(三)平台取得的经营性互联网信息服务许可或者非经营性互联网信息服务备案等材料;

(四)本规定第五条要求建立健全的相关制度文件;

(五)平台管理规则、服务协议等。

省、自治区、直辖市网信部门收到备案材料后,材料齐全的应当予以备案。

国家网信部门及时公布已经履行备案手续的应用程序分发平台名单。

第十八条 应用程序分发平台应当建立分类管理制度,对上架的应用程序实施分类管理,并按类别向其所在地省、自治区、直辖市网信部门备案应用程序。

《互联网跟帖评论服务管理规定》

第九条 跟帖评论服务使用者应当遵守法律法规,遵循公序良俗,弘扬社会主义核心价值观,不得发布法律法规和国家有关规定禁止的信息内容。

《互联网弹窗信息推送服务管理规定》

第五条 提供互联网弹窗信息推送服务的,应当遵守下列要求:

(一)不得推送《网络信息内容生态治理规定》规定的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容,不得以恶意翻炒为目的,关联某一话题集中推送相关旧闻;

(二)未取得互联网新闻信息服务许可的,不得弹窗推送新闻信息,弹窗推送信息涉及其他互联网信息服务,依法应当经有关主管部门审核同意或者取得相关许可的,应当经有关主管部门审核同意或者取得相关许可;

(三)弹窗推送新闻信息的,应当严格依据国家互联网信息办公室发布的《互联网新闻信息稿源单位名单》,不得超范围转载,不得歪曲、篡改标题原意和新闻信息内容,保证新闻信息来源可追溯;

(四)提升弹窗推送信息多样性,科学设定新闻信息和垂直领域内容占比,体现积极健康向上的主流价值观,不得集中推送、炒作社会热点敏感事件、恶性案件、灾难事故等,引发社会恐慌;

(五)健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,配备与服务规模相适应的审核力量,加强弹窗信息内容审核;

(六)保障用户权益,以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等,充分考虑用户体验,科学规划推送频次,不得对普通用户和会员用户进行不合理地差别推送,不得以任何形式干扰或者影响用户关闭弹窗,弹窗信息应当显著标明弹窗信息推送服务提供者身份;

(七)不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得利用算法实施恶意屏蔽信息、过度推荐等行为;不得利用算法针对未成年人用户进行画像,向其推送可能影响其身心健康的信息;

(八)弹窗推送广告信息的,应当具有可识别性,显著标明“广告”和关闭标志,确保弹窗广告一键关闭;

(九)不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息,不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。

权威案例

◎ 公报案例

郑某新诉中国电某股份有限公司连云港分公司电信服务合同纠纷案 【《最高人民法院公报》2017年第5期】

裁判摘要: 根据《消费者权益保护法》的有关规定,市场交易行为应当遵循公平交易原则,反对强买强卖行为。消费者有权知悉所购买商品和接受服务的真实情况。手机电信服务提供者为达到电信增值业务推广目的,事先确定免费体验期,用户可在该期间内免费体验增值服务。免费期过后,电信服务提供者对该增值业务进行收费时,应当得到用户明确的使用承诺,否则,电信服务提供者的强行扣费行为侵犯了消费者对所接受服务的知情权,违背市场公平交易原则。

◎ 典型案例

腾某科技(深圳)有限公司与上海虹某网络科技有限公司、上海我某网络发展有限公司侵害计算机软件著作权及不正当竞争纠纷上诉案 【最高人民法院公布2012年中国法院知识产权司法保护10大创新性案件之三(2013年4月22日)】

创新意义: 随着信息技术的发展,对于如本案中QQ软件那样主要通过网络方式传播的软件,侵害软件修改权的司法认定不应仅局限于传统上对计算机程序或有关文档的比对,还应考虑到软件与互联网等网络环境的互动关系以及信息技术的发展导致计算机软件侵权纠纷呈现的新趋势。在法律适用上,本案未将《计算机软件保护条例》第八条中关于“修改权”的定义仅理解为对源程序或目标程序静态的修改,而是综合考虑了修改的具体行为、手段与修改后的技术效果、功能等因素,将本案中的行为纳入软件著作权人修改权的调整范围。

酒泉九某泉食品有限责任公司与酒泉市瀚某瑞达商贸有限责任公司商业诋毁纠纷案 【互联网十大典型案例之六(2021年5月31日)】

典型意义: 商誉是经营者在市场经营活动中对其产品或服务的市场推广、技术研发以及广告宣传等领域经过长期努力建立起来的企业形象和市场评价,是企业赖以生存的无形资产。随着移动互联网和电子商务的迅猛发展,微信朋友圈逐渐改变了社交平台和交易方式,但其并非法外之地。通过微信朋友圈等互联网平台捏造、散布虚假的、易于引起公众误解的信息,损害竞争对手商业信誉和商品声誉,足以使相关公众产生误导性的恶劣影响,构成商业诋毁类不正当竞争行为。法院判令翰某瑞达公司在原微信朋友圈刊登声明消除影响,丰富了消除影响责任适用的具体方式。

深圳市腾某计算机系统有限公司、腾某科技(深圳)有限公司诉数某(重庆)网络科技有限公司、谭某不正当竞争纠纷案 【互联网十大典型案例之九(2021年5月31日)】

典型意义: 近年来,网络违法犯罪行为逐渐演化出内容秩序威胁型、数据流量威胁型、技术威胁型和暗网等常见的黑灰产业。这些行为不仅增加了网络安全防护运营成本,扰乱市场竞争秩序,还严重侵害公民的合法权益。本案分析了互联网经营者有偿提供虚假刷量服务的行为特征,明确了其违反诚实信用原则和商业道德规范,损害合法经营者、用户和消费者的权益,扰乱正常竞争秩序,其行为具有不正当性,应纳入反不正当竞争法予以规制。本案是对反不正当竞争法第十二条规定的“其他”不正当竞争行为的重要补充,为审理涉及互联网黑灰产业的类似案件提供了裁判指引。

本案入选“2020年中国法院50件典型知识产权案例”。

腾某科技(深圳)有限公司、深圳市腾某计算机系统有限公司诉深圳微某码软件开发有限公司、商圈(深圳)联合发展有限公司等不正当竞争纠纷案 【互联网十大典型案例之十(2021年5月31日)】

典型意义: 反不正当竞争法第十二条中“其他”不正当竞争行为的认定,是审判中的热点和难点。本案被诉行为系利用网络和技术手段,使安装运行“数某精灵”软件的微信用户,可通过“植入”功能频繁、大量地向不特定用户发送或交互信息,而其他微信用户对于受到的影响,无法自动屏蔽或难以避免。上述网络干扰行为不仅损害了其他经营者的竞争利益,并且对网络秩序和公众的生活秩序造成影响,损害广大消费者的利益,属于反不正当竞争法第十二条规定的“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”。本案对互联网专条“兜底条款”的适用进行了积极的探索,体现了人民法院净化市场竞争环境、保护消费者合法权益的坚定决心。

“不粘锅”商业诋毁纠纷案 【人民法院反不正当竞争典型案例之二(2022年11月17日)】

典型意义: 本案是规制经营者实施商业诋毁行为的典型案例。涉案商业诋毁行为的传播渠道既包括传统媒体,也包括微博、直播等网络途径。本案从裁判内容到判决执行乃至采取司法处罚等各环节,充分体现了人民法院依法严厉制裁商业诋毁行为、维护公平竞争市场秩序的司法导向。

体育赛事转播应获得合法授权——某数码公司与某科技公司等不正当竞争纠纷行为保全案 【涉体育纠纷民事典型案例(2023年6月21日)】

典型意义: 本案是保护第24届冬奥会相关知识产权的典型案例。《中华人民共和国体育法》第五十二条第二款规定,未经体育赛事活动组织者等相关权利人许可,不得以营利为目的采集或者传播体育赛事活动现场图片、音视频等信息。冬奥会赛程仅有19天,相关赛事节目具有极强的时效性,若不及时采取行为保全措施将会使获得许可的申请人的合法权益受到难以弥补的损害。审理法院在受理申请后24小时内即作出诉前行为保全裁定,责令被申请人立即停止相关侵权行为。为保障执行效果,审理法院在全面衡量损益大小、充分论证可行性后,裁定如被申请人不停止侵权行为,将通知相关网络服务提供者在冬奥会期间停止为案涉APP提供网络服务,提高了对冬奥会相关知识产权保护的及时性和有效性。人民法院结合案件情况,及时采取行为保全措施,维护权利人的合法权益,规范体育赛事转播市场化运营行为,彰显了人民法院加大知识产权司法保护力度的鲜明态度,有助于促进体育产业的健康发展。

第十条 【网络安全维护总体要求】

建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。

关联法规

◎ 法律

《未成年人保护法》

第六十九条 学校、社区、图书馆、文化馆、青少年宫等场所为未成年人提供的互联网上网服务设施,应当安装未成年人网络保护软件或者采取其他安全保护技术措施。

智能终端产品的制造者、销售者应当在产品上安装未成年人网络保护软件,或者以显著方式告知用户未成年人网络保护软件的安装渠道和方法。

《国家安全法》

第九条 维护国家安全,应当坚持预防为主、标本兼治,专门工作与群众路线相结合,充分发挥专门机关和其他有关机关维护国家安全的职能作用,广泛动员公民和组织,防范、制止和依法惩治危害国家安全的行为。

◎ 部门规章

《互联网安全保护技术措施规定》

第二条 本规定所称互联网安全保护技术措施,是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。

第三条 互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施,并保障互联网安全保护技术措施功能的正常发挥。

第十二条 互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。

◎ 部门规范性文件

《互联网新闻信息服务新技术新应用安全评估管理规定》

第三条 互联网新闻信息服务提供者调整增设新技术新应用,应当建立健全信息安全管理制度和安全可控的技术保障措施,不得发布、传播法律法规禁止的信息内容。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

一、指导思想、基本原则和工作目标

……

(三)工作目标

——网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实,网络安全保护良好生态基本建立,国家网络安全综合防护能力和水平显著提升。

——关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰,安全保护机构健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上,关键信息基础设施涉及的关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有效落实,关键信息基础设施安全防护能力明显增强。

——网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安全监测体系和网络安全保护平台基本建成,网络安全态势感知、通报预警和事件发现处置能力明显提高。网络安全预案科学齐备,应急处置机制完善,应急演练常态化开展,网络安全重大事件得到有效防范、遏制和处置。

——网络安全综合防控体系基本形成。网络安全保护工作机制健全完善,党委统筹领导、各部门分工负责、社会力量多方参与的网络安全工作格局进一步完善。网络安全责任制得到有效落实,网络安全管理防范、监督指导和侦查打击等能力显著提升,“打防管控”一体化的网络安全综合防控体系基本形成。

第十一条 【网络安全行业自律】

网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。

关联法规

◎ 法律

《数据安全法》

第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。

《密码法》

第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。

◎ 行政法规

《商用密码管理条例》

第六条 商用密码领域的学会、行业协会等社会组织依照法律、行政法规及其章程的规定,开展学术交流、政策研究、公共服务等活动,加强学术和行业自律,推动诚信建设,促进行业健康发展。

密码管理部门应当加强对商用密码领域社会组织的指导和支持。

◎ 部门规章

《电信和互联网用户个人信息保护规定》

第七条 国家鼓励电信和互联网行业开展用户个人信息保护自律工作。

第二十一条 鼓励电信和互联网行业协会依法制定有关用户个人信息保护的自律性管理制度,引导会员加强自律管理,提高用户个人信息保护水平。

《区块链信息服务管理规定》

第四条 鼓励区块链行业组织加强行业自律,建立健全行业自律制度和行业准则,指导区块链信息服务提供者建立健全服务规范,推动行业信用评价体系建设,督促区块链信息服务提供者依法提供服务、接受社会监督,提高区块链信息服务从业人员的职业素养,促进行业健康有序发展。

《儿童个人信息网络保护规定》

第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。

《网络信息内容生态治理规定》

第二十六条 鼓励行业组织发挥服务指导和桥梁纽带作用,引导会员单位增强社会责任感,唱响主旋律,弘扬正能量,反对违法信息,防范和抵制不良信息。

第二十七条 鼓励行业组织建立完善行业自律机制,制定网络信息内容生态治理行业规范和自律公约,建立内容审核标准细则,指导会员单位建立健全服务规范、依法提供网络信息内容服务、接受社会监督。

第二十八条 鼓励行业组织开展网络信息内容生态治理教育培训和宣传引导工作,提升会员单位、从业人员治理能力,增强全社会共同参与网络信息内容生态治理意识。

第二十九条 鼓励行业组织推动行业信用评价体系建设,依据章程建立行业评议等评价奖惩机制,加大对会员单位的激励和惩戒力度,强化会员单位的守信意识。

《互联网信息服务算法推荐管理规定》

第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导算法推荐服务提供者制定完善服务规范、依法提供服务并接受社会监督。

《互联网用户账号信息管理规定》

第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导互联网信息服务提供者制定完善服务规范、加强互联网用户账号信息安全管理、依法提供服务并接受社会监督。

《互联网信息服务深度合成管理规定》

第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导深度合成服务提供者和技术支持者制定完善业务规范、依法开展业务和接受社会监督。

◎ 部门规范性文件

《互联网直播服务管理规定》

第十八条 鼓励支持相关行业组织制定行业公约,加强行业自律,建立健全行业信用评价体系和服务评议制度,促进行业规范发展。

《互联网信息搜索服务管理规定》

第四条 互联网信息搜索服务行业组织应当建立健全行业自律制度和行业准则,指导互联网信息搜索服务提供者建立健全服务规范,督促互联网信息搜索服务提供者依法提供服务、接受社会监督,提高互联网信息搜索服务从业人员的职业素养。

《互联网新闻信息服务新技术新应用安全评估管理规定》

第五条 鼓励支持新技术新应用安全评估相关行业组织和专业机构加强自律,建立健全安全评估服务质量评议和信用、能力公示制度,促进行业规范发展。

《互联网论坛社区服务管理规定》

第四条 鼓励互联网论坛社区服务行业组织建立健全行业自律制度和行业准则,指导互联网论坛社区服务提供者建立健全服务规范,督促互联网论坛社区服务提供者依法提供服务、接受社会监督,提高互联网论坛社区服务从业人员的职业素养。

《微博客信息服务管理规定》

第十五条 国家鼓励和指导互联网行业组织建立健全微博客行业自律制度和行业准则,推动微博客行业信用等级评价和信用体系建设,督促微博客服务提供者依法提供服务、接受社会监督。

《网络音视频信息服务管理规定》

第五条 国家鼓励和指导互联网行业组织加强行业自律,建立健全网络音视频信息服务行业标准和行业准则,推动网络音视频信息服务行业信用体系建设,督促网络音视频信息服务提供者依法提供服务、接受社会监督,提高网络音视频信息服务从业人员职业素养,促进行业健康有序发展。

《互联网弹窗信息推送服务管理规定》

第七条 鼓励和指导互联网行业组织建立健全互联网弹窗信息推送服务行业准则,引导行业健康有序发展。

《移动互联网应用程序信息服务管理规定》

第二十三条 鼓励互联网行业组织建立健全行业自律机制,制定完善行业规范和自律公约,指导会员单位建立健全服务规范,依法依规提供信息服务,维护市场公平,促进行业健康发展。

权威案例

◎ 典型案例

北京铁路运输检察院督促整治直播和短视频平台食品交易违法违规行为行政公益诉讼案 【“3·15”食品药品安全消费者权益保护检察公益诉讼典型案例之一(2021年3月15日)】

典型意义: 近年来,“网红代言”“直播带货”等网络销售新业态发展迅猛,由此带来的侵害消费者合法权益、损害社会公共利益的问题也时有发生。检察机关通过发挥公益诉讼检察职能作用,积极回应社会关切。在新业态行业迅速发展、法律规定相对滞后的情况下,检察机关协同市场监督管理部门,引导平台加强自治,签署自律公约,督促企业履行社会责任,构建新业态行业自律机制,护航民营经济规范健康发展,有效规范网络直播和短视频营销食品行为,切实保护了消费者合法权益。

第十二条 【网络安全网民守法】

国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

关联法规

◎ 法律

《关于维护互联网安全的决定》

二、为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;

(二)通过互联网窃取、泄露国家秘密、情报或者军事秘密;

(三)利用互联网煽动民族仇恨、民族歧视,破坏民族团结;

(四)利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。

三、为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传;

(二)利用互联网损坏他人商业信誉和商品声誉;

(三)利用互联网侵犯他人知识产权;

(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;

(五)在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。

四、为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)利用互联网侮辱他人或者捏造事实诽谤他人;

(二)非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;

(三)利用互联网进行盗窃、诈骗、敲诈勒索。

五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。

《国家安全法》

第七十七条 公民和组织应当履行下列维护国家安全的义务:

(一)遵守宪法、法律法规关于国家安全的有关规定;

(二)及时报告危害国家安全活动的线索;

(三)如实提供所知悉的涉及危害国家安全活动的证据;

(四)为国家安全工作提供便利条件或者其他协助;

(五)向国家安全机关、公安机关和有关军事机关提供必要的支持和协助;

(六)保守所知悉的国家秘密;

(七)法律、行政法规规定的其他义务。

任何个人和组织不得有危害国家安全的行为,不得向危害国家安全的个人或者组织提供任何资助或者协助。

《反恐怖主义法》

第二条 国家反对一切形式的恐怖主义,依法取缔恐怖活动组织,对任何组织、策划、准备实施、实施恐怖活动,宣扬恐怖主义,煽动实施恐怖活动,组织、领导、参加恐怖活动组织,为恐怖活动提供帮助的,依法追究法律责任。

国家不向任何恐怖活动组织和人员作出妥协,不向任何恐怖活动人员提供庇护或者给予难民地位。

第三条 本法所称恐怖主义,是指通过暴力、破坏、恐吓等手段,制造社会恐慌、危害公共安全、侵犯人身财产,或者胁迫国家机关、国际组织,以实现其政治、意识形态等目的的主张和行为。

本法所称恐怖活动,是指恐怖主义性质的下列行为:

(一)组织、策划、准备实施、实施造成或者意图造成人员伤亡、重大财产损失、公共设施损坏、社会秩序混乱等严重社会危害的活动的;

(二)宣扬恐怖主义,煽动实施恐怖活动,或者非法持有宣扬恐怖主义的物品,强制他人在公共场所穿戴宣扬恐怖主义的服饰、标志的;

(三)组织、领导、参加恐怖活动组织的;

(四)为恐怖活动组织、恐怖活动人员、实施恐怖活动或者恐怖活动培训提供信息、资金、物资、劳务、技术、场所等支持、协助、便利的;

(五)其他恐怖活动。

本法所称恐怖活动组织,是指三人以上为实施恐怖活动而组成的犯罪组织。

本法所称恐怖活动人员,是指实施恐怖活动的人和恐怖活动组织的成员。

本法所称恐怖事件,是指正在发生或者已经发生的造成或者可能造成重大社会危害的恐怖活动。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第十三条 从事国际联网业务的单位和个人,应当遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动,不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。

《计算机信息网络国际联网安全保护管理办法》

第四条 任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。

第五条 任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:

(一)煽动抗拒、破坏宪法和法律、行政法规实施的;

(二)煽动颠覆国家政权,推翻社会主义制度的;

(三)煽动分裂国家、破坏国家统一的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;

(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;

(七)公然侮辱他人或者捏造事实诽谤他人的;

(八)损害国家机关信誉的;

(九)其他违反宪法和法律、行政法规的。

第七条 用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。

《互联网信息服务管理办法》

第十五条 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:

(一)反对宪法所确定的基本原则的;

(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

(三)损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)破坏国家宗教政策,宣扬邪教和封建迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)含有法律、行政法规禁止的其他内容的。

《电信条例》

第六条 电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。

第五十六条 任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息:

(一)反对宪法所确定的基本原则的;

(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

(三)损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)破坏国家宗教政策,宣扬邪教和封建迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)含有法律、行政法规禁止的其他内容的。

第五十七条 任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:

(一)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;

(二)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;

(三)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;

(四)危害电信网络安全和信息安全的其他行为。

第五十八条 任何组织或者个人不得有下列扰乱电信市场秩序的行为:

(一)采取租用电信国际专线、私设转接设备或者其他方法,擅自经营国际或者香港特别行政区、澳门特别行政区和台湾地区电信业务;

(二)盗接他人电信线路,复制他人电信码号,使用明知是盗接、复制的电信设施或者码号;

(三)伪造、变造电话卡及其他各种电信服务有价凭证;

(四)以虚假、冒用的身份证件办理入网手续并使用移动电话。

第六十二条 使用电信网络传输信息的内容及其后果由电信用户负责。

电信用户使用电信网络传输的信息属于国家秘密信息的,必须依照保守国家秘密法的规定采取保密措施。

《互联网上网服务营业场所管理条例》

第三条 互联网上网服务营业场所经营单位应当遵守有关法律、法规的规定,加强行业自律,自觉接受政府有关部门依法实施的监督管理,为上网消费者提供良好的服务。

互联网上网服务营业场所的上网消费者,应当遵守有关法律、法规的规定,遵守社会公德,开展文明、健康的上网活动。

第十四条 互联网上网服务营业场所经营单位和上网消费者不得利用互联网上网服务营业场所制作、下载、复制、查阅、发布、传播或者以其他方式使用含有下列内容的信息:

(一)反对宪法确定的基本原则的;

(二)危害国家统一、主权和领土完整的;

(三)泄露国家秘密,危害国家安全或者损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗、习惯的;

(五)破坏国家宗教政策,宣扬邪教、迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)宣传淫秽、赌博、暴力或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)危害社会公德或者民族优秀文化传统的;

(十)含有法律、行政法规禁止的其他内容的。

◎ 司法解释

《关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》

第三条 网络用户、网络服务提供者未经许可,通过信息网络提供权利人享有信息网络传播权的作品、表演、录音录像制品,除法律、行政法规另有规定外,人民法院应当认定其构成侵害信息网络传播权行为。

通过上传到网络服务器、设置共享文件或者利用文件分享软件等方式,将作品、表演、录音录像制品置于信息网络中,使公众能够在个人选定的时间和地点以下载、浏览或者其他方式获得的,人民法院应当认定其实施了前款规定的提供行为。

◎ 部门规章

《互联网文化管理暂行规定》

第五条 从事互联网文化活动应当遵守宪法和有关法律、法规,坚持为人民服务、为社会主义服务的方向,弘扬民族优秀文化,传播有益于提高公众文化素质、推动经济发展、促进社会进步的思想道德、科学技术和文化知识,丰富人民的精神生活。

第十六条 互联网文化单位不得提供载有以下内容的文化产品:

(一)反对宪法确定的基本原则的;

(二)危害国家统一、主权和领土完整的;

(三)泄露国家秘密、危害国家安全或者损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结,或者侵害民族风俗、习惯的;

(五)宣扬邪教、迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)宣扬淫秽、赌博、暴力或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)危害社会公德或者民族优秀文化传统的;

(十)有法律、行政法规和国家规定禁止的其他内容的。

《儿童个人信息网络保护规定》

第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

《网络信息内容生态治理规定》

第四条 网络信息内容生产者应当遵守法律法规,遵循公序良俗,不得损害国家利益、公共利益和他人合法权益。

第六条 网络信息内容生产者不得制作、复制、发布含有下列内容的违法信息:

(一)反对宪法所确定的基本原则的;

(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

(三)损害国家荣誉和利益的;

(四)歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉的;

(五)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动的;

(六)煽动民族仇恨、民族歧视,破坏民族团结的;

(七)破坏国家宗教政策,宣扬邪教和封建迷信的;

(八)散布谣言,扰乱经济秩序和社会秩序的;

(九)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

(十)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益的;

(十一)法律、行政法规禁止的其他内容。

第七条 网络信息内容生产者应当采取措施,防范和抵制制作、复制、发布含有下列内容的不良信息:

(一)使用夸张标题,内容与标题严重不符的;

(二)炒作绯闻、丑闻、劣迹等的;

(三)不当评述自然灾害、重大事故等灾难的;

(四)带有性暗示、性挑逗等易使人产生性联想的;

(五)展现血腥、惊悚、残忍等致人身心不适的;

(六)煽动人群歧视、地域歧视等的;

(七)宣扬低俗、庸俗、媚俗内容的;

(八)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等的;

(九)其他对网络生态造成不良影响的内容。

第十八条 网络信息内容服务使用者应当文明健康使用网络,按照法律法规的要求和用户协议约定,切实履行相应义务,在以发帖、回复、留言、弹幕等形式参与网络活动时,文明互动,理性表达,不得发布本规定第六条规定的信息,防范和抵制本规定第七条规定的信息。

第十九条 网络群组、论坛社区版块建立者和管理者应当履行群组、版块管理责任,依据法律法规、用户协议和平台公约等,规范群组、版块内信息发布等行为。

第二十条 鼓励网络信息内容服务使用者积极参与网络信息内容生态治理,通过投诉、举报等方式对网上违法和不良信息进行监督,共同维护良好网络生态。

第二十一条 网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用网络和相关信息技术实施侮辱、诽谤、威胁、散布谣言以及侵犯他人隐私等违法行为,损害他人合法权益。

第二十二条 网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过发布、删除信息以及其他干预信息呈现的手段侵害他人合法权益或者谋取非法利益。

第二十三条 网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动。

第二十四条 网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。

第二十五条 网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用党旗、党徽、国旗、国徽、国歌等代表党和国家形象的标识及内容,或者借国家重大活动、重大纪念日和国家机关及其工作人员名义等,违法违规开展网络商业营销活动。

《互联网用户账号信息管理规定》

第四条 互联网用户注册、使用和互联网信息服务提供者管理互联网用户账号信息,应当遵守法律法规,遵循公序良俗,诚实信用,不得损害国家安全、社会公共利益或者他人合法权益。

第八条 互联网用户注册、使用账号信息,不得有下列情形:

(一)违反《网络信息内容生态治理规定》第六条、第七条规定;

(二)假冒、仿冒、捏造政党、党政军机关、企事业单位、人民团体和社会组织的名称、标识等;

(三)假冒、仿冒、捏造国家(地区)、国际组织的名称、标识等;

(四)假冒、仿冒、捏造新闻网站、报刊社、广播电视机构、通讯社等新闻媒体的名称、标识等,或者擅自使用“新闻”、“报道”等具有新闻属性的名称、标识等;

(五)假冒、仿冒、恶意关联国家行政区域、机构所在地、标志性建筑物等重要空间的地理名称、标识等;

(六)以损害公共利益或者谋取不正当利益等为目的,故意夹带二维码、网址、邮箱、联系方式等,或者使用同音、谐音、相近的文字、数字、符号和字母等;

(七)含有名不副实、夸大其词等可能使公众受骗或者产生误解的内容;

(八)含有法律、行政法规和国家有关规定禁止的其他内容。

第十条 互联网信息服务提供者应当对互联网用户在注册时提交的和使用中拟变更的账号信息进行核验,发现违反本规定第七条、第八条规定的,应当不予注册或者变更账号信息。

对账号信息中含有“中国”、“中华”、“中央”、“全国”、“国家”等内容,或者含有党旗、党徽、国旗、国歌、国徽等党和国家象征和标志的,应当依照法律、行政法规和国家有关规定从严核验。

互联网信息服务提供者应当采取必要措施,防止被依法依约关闭的账号重新注册;对注册与其关联度高的账号信息,应当对相关信息从严核验。

《互联网信息服务深度合成管理规定》

第六条 任何组织和个人不得利用深度合成服务制作、复制、发布、传播法律、行政法规禁止的信息,不得利用深度合成服务从事危害国家安全和利益、损害国家形象、侵害社会公共利益、扰乱经济和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动。

深度合成服务提供者和使用者不得利用深度合成服务制作、复制、发布、传播虚假新闻信息。转载基于深度合成服务制作发布的新闻信息的,应当依法转载互联网新闻信息稿源单位发布的新闻信息。

《生成式人工智能服务管理暂行办法》第四条 提供和使用生成式人工智能服务,应当遵守法律、行政法规,尊重社会公德和伦理道德,遵守以下规定:

(一)坚持社会主义核心价值观,不得生成煽动颠覆国家政权、推翻社会主义制度,危害国家安全和利益、损害国家形象,煽动分裂国家、破坏国家统一和社会稳定,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,暴力、淫秽色情,以及虚假有害信息等法律、行政法规禁止的内容;

(二)在算法设计、训练数据选择、模型生成和优化、提供服务等过程中,采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视;

(三)尊重知识产权、商业道德,保守商业秘密,不得利用算法、数据、平台等优势,实施垄断和不正当竞争行为;

(四)尊重他人合法权益,不得危害他人身心健康,不得侵害他人肖像权、名誉权、荣誉权、隐私权和个人信息权益;

(五)基于服务类型特点,采取有效措施,提升生成式人工智能服务的透明度,提高生成内容的准确性和可靠性。

第三条 国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。

◎ 部门规范性文件

《互联网直播服务管理规定》

第九条 互联网直播服务提供者以及互联网直播服务使用者不得利用互联网直播服务从事危害国家安全、破坏社会稳定、扰乱社会秩序、侵犯他人合法权益、传播淫秽色情等法律法规禁止的活动,不得利用互联网直播服务制作、复制、发布、传播法律法规禁止的信息内容。

第十条 互联网直播发布者发布新闻信息,应当真实准确、客观公正。转载新闻信息应当完整准确,不得歪曲新闻信息内容,并在显著位置注明来源,保证新闻信息来源可追溯。

《互联网群组信息服务管理规定》

第十条 互联网群组信息服务提供者和使用者不得利用互联网群组传播法律法规和国家有关规定禁止的信息内容。

《互联网论坛社区服务管理规定》

第六条 互联网论坛社区服务提供者不得利用互联网论坛社区服务发布、传播法律法规和国家有关规定禁止的信息。

互联网论坛社区服务提供者应当与用户签订协议,明确用户不得利用互联网论坛社区服务发布、传播法律法规和国家有关规定禁止的信息,情节严重的,服务提供者将封禁或者关闭有关账号、版块;明确论坛社区版块发起者、管理者应当履行与其权利相适应的义务,对违反法律规定和协议约定、履行责任义务不到位的,服务提供者应当依法依约限制或取消其管理权限,直至封禁或者关闭有关账号、版块。

《网络音视频信息服务管理规定》

第九条 任何组织和个人不得利用网络音视频信息服务以及相关信息技术从事危害国家安全、破坏社会稳定、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得制作、发布、传播煽动颠覆国家政权、危害政治安全和社会稳定、网络谣言、淫秽色情,以及侵害他人名誉权、肖像权、隐私权、知识产权和其他合法权益等法律法规禁止的信息内容。

第十一条 网络音视频信息服务提供者和网络音视频信息服务使用者利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识。

网络音视频信息服务提供者和网络音视频信息服务使用者不得利用基于深度学习、虚拟现实等的新技术新应用制作、发布、传播虚假新闻信息。转载音视频新闻信息的,应当依法转载国家规定范围内的单位发布的音视频新闻信息。

《互联网用户公众账号信息服务管理规定》

第十八条 公众账号生产运营者不得有下列违法违规行为:

(一)不以真实身份信息注册,或者注册与自身真实身份信息不相符的公众账号名称、头像、简介等;

(二)恶意假冒、仿冒或者盗用组织机构及他人公众账号生产发布信息内容;

(三)未经许可或者超越许可范围提供互联网新闻信息采编发布等服务;

(四)操纵利用多个平台账号,批量发布雷同低质信息内容,生成虚假流量数据,制造虚假舆论热点;

(五)利用突发事件煽动极端情绪,或者实施网络暴力损害他人和组织机构名誉,干扰组织机构正常运营,影响社会和谐稳定;

(六)编造虚假信息,伪造原创属性,标注不实信息来源,歪曲事实真相,误导社会公众;

(七)以有偿发布、删除信息等手段,实施非法网络监督、营销诈骗、敲诈勒索,谋取非法利益;

(八)违规批量注册、囤积或者非法交易买卖公众账号;

(九)制作、复制、发布违法信息,或者未采取措施防范和抵制制作、复制、发布不良信息;

(十)法律、行政法规禁止的其他行为。

《互联网跟帖评论服务管理规定》

第十二条 跟帖评论服务提供者、跟帖评论服务使用者和公众账号生产运营者不得通过发布、删除、推荐跟帖评论信息以及利用软件、雇佣商业机构及人员散布信息等其他干预跟帖评论信息呈现的手段,侵害他人合法权益或公共利益,谋取非法利益,恶意干扰跟帖评论秩序,误导公众舆论。

权威案例

◎ 公报案例

蒋某新诉飞某浦公司计算机网络域名纠纷案 【《最高人民法院公报》2004年第9期】

裁判摘要: 根据最高人民法院《关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》第五条的规定,注册、使用的域名与他人的注册商标相同或近似,且无正当的注册、使用理由,并足以造成相关公众误认的,应认定为恶意注册、使用域名。

江苏省苏州市某区人民检察院诉成都共某网络科技有限公司、孙某忠、张某平、洪某、梁某勇侵犯著作权纠纷案 【《最高人民法院公报》2010年第9期】

裁判摘要: 一、根据《中华人民共和国刑法》第二百一十七条的规定,行为人以营利为目的,未经著作权人许可复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品,违法所得数额较大或者有其他严重情节的,构成侵犯著作权罪。判断行为人的行为是否构成侵犯著作权罪,应当从行为人是否以营利为目的、复制行为是否未经著作权人许可、是否实施了发行行为等方面加以分析。二、行为人未经著作权人许可复制其计算机软件,通过修改相应程序捆绑其他软件后在互联网上发布供他人下载,并因此获取广告费等收益的,属于刑法第二百一十七条规定的“以营利为目的”的“复制发行”行为。

◎ 典型案例

衢州万某网络技术有限公司与周某民等侵害商业秘密纠纷上诉案 【最高人民法院公布2012年中国法院知识产权司法保护10大创新性案件之九(2013年4月22日)】

创新意义: 本案是一起涉及网站用户注册信息数据库的商业秘密纠纷案件。本案的创新点主要在于如何认定网站用户的注册信息数据库是否构成反不正当竞争法意义上的商业秘密。对此,法院认为,网站用户注册信息数据库是相关网站的核心资产,假如网站用户注册信息数据库符合“秘密性、实用性、保密性”等要件,就可作为商业秘密依法予以保护。本案的处理对于如何确认网站用户注册信息数据库的归属及其商业秘密性质具有一定的借鉴意义,同时提示网站经营者对网络用户注册信息数据库应采取必要的保密措施,以维护企业竞争力,避免法律风险。

网络游戏私服侵犯著作权罪案 【2012年中国法院知识产权司法保护10大案件之十(2013年4月22日)】

典型意义: 私自架设、租用网络游戏服务器从事“私服”活动是目前利用互联网实施侵犯著作权犯罪的主要手段之一。本案通过司法裁判准确界定了此类犯罪的性质,同时结合能够证实汇款方汇款性质的系列证据,对被告人非法经营数额作出准确认定,有效维护了网络游戏作品权利人的著作权,规范了互联网游戏经营行为,有力打击了犯罪。

伍某兵等侵犯著作权、侵犯商业秘密案 【高检院发布2012年度打击侵犯知识产权犯罪十大典型案例之九(2013年9月11日)】

评析意见: 本案是北京市“扫黄打非专项行动”确定的重点案件,曾受到各方高度关注。案件办理过程中,检察机关不拘泥于公安机关认定的事实,认真核查证据、深挖犯罪,积极引导公安机关调查取证,最终追加认定了伍某兵侵犯商业秘密和袁某力、熊某成私自架设服务器运营游戏的犯罪事实,使犯罪分子得以绳之以法。案件的办理彰显了检察机关打击侵犯知识产权犯罪、保护自主创新的决心和能力。被害单位属于高新技术企业,在游戏软件行业中占有重要地位。检察机关延伸检察职能,结合办案分析发现企业在管理中的漏洞,及时提出检察建议,以法律监督促进社会管理,取得了良好的法律效果和社会效果。

瑞某公司、韩某等8人侵犯著作权案 【2013年中国检察机关保护知识产权十大典型案例之二(2014年4月22日)】

典型意义: 检察机关没有就案办案,而是延伸办案效果,不仅积极开展法庭教育促使侵权人真诚悔罪,而且尽力修补社会关系,彻底化解当事人间的矛盾。8名被告人当庭向被害单位鞠躬致歉,被告单位在庭审后通过官网发布道歉声明,并赔偿被害单位人民币3600万元,取得被害单位谅解。案件宣判后,被害单位专程至检察机关对中国司法机关打击侵权盗版的力度和细致入微的工作作风表示赞赏和感谢。

某视国际网络有限公司与上海全土某文化传播有限公司侵害作品信息网络传播权纠纷案 【最高人民法院2014年6月23日公布五起典型案例之三(2014年6月24日)】

典型意义: 该案是典型的互联网中侵犯作品信息网络传播权纠纷的案例。涉案作品体现了较高程度的独创性,享有较高的社会知名度。作为专业视频分享网站的土某网是影响力较大的专业网络服务提供者,其在涉案作品热播期就擅自传播涉案作品,且侵权行为持续的时间较长,给权利人造成了较大的经济损失。在确定法定赔偿金额的时候,法院充分考虑了涉案作品的类型、社会知名度、侵权行为的性质以及侵权网站的经营规模、经营模式、影响力等因素,判决了共计248000元的赔偿金额,不仅有利于弥补权利人的经济损失,并促使各互联网视频提供者的自律和行业管理,也顺应了依法加强互联网知识产权保护的趋势,对日益多发的互联网视频侵权的案件有警示作用。

徐某雯与宋某德、刘某达侵害名誉权民事纠纷 【最高人民法院公布8起利用信息网络侵害人身权益典型案例之一(2014年10月9日)】

典型意义: 本案是一起利用博客侵害他人名誉权的案件。正如一、二审判决所言,在公开博客这样的自媒体中表达,与通过广播、电视、报刊等方式表达一样,都应当遵守国家的法律法规,不得侵犯他人的合法权益。博客开设者应当对博客内容承担法律责任。本案两被告利用互联网和其他媒体侵犯谢某名誉,法院根据其行为的主观过错、侵权手段的恶劣程度、侵权结果等因素,判处较高数额的精神损害抚慰金,体现了侵权责任法的理念和精神。

北京金某安全软件有限公司与周某祎侵犯名誉权纠纷案 【最高人民法院公布8起利用信息网络侵害人身权益典型案例之三(2014年10月9日)】

典型意义: 本案是利用微博侵害企业名誉权的案件。首先,一、二审法院根据微博这一“自媒体”的特征,认为把握微博言论是否侵权的尺度要适度宽松,体现了与互联网技术发展相结合的审判思路,值得赞同。其次,一、二审法院都认为,微博言论是否侵权应当结合博主的身份、言论的内容及主观目的等因素综合认定。公众人物应当承担更多的注意义务,这一判断与侵权法的基本理念相契合。本案在利用网络侵害经营主体商业信誉、商品或服务的社会评价的现象逐步增加的背景下,更具启示意义。

徐某敖与北京新某互联信息服务有限公司侵犯名誉权纠纷案 【最高人民法院公布8起利用信息网络侵害人身权益典型案例之八(2014年10月9日)】

典型意义: 自媒体的发展及成熟是互联网时代的一大特征,但是这并不意味着专业媒体与自媒体之间就应当同等对待。本案的判决说明,在认定互联网时代最普遍的转载行为的法律责任时,应当区分专业媒体和非专业媒体,专业媒体的注意义务应当高于一般自媒体。所以,转载他人信息未更正仍需承担侵权责任。

信息网络传播权诉前禁令纠纷案 【2014年中国法院10大知识产权案件之六(2015年4月20日)】

典型意义: 近年来网络产业与音乐产业结合形成新生网络文化传播媒介,可以使音乐作品被无限传递、下载,不受限制地被反复欣赏,在方便社会公众欣赏音乐的同时,盗版网络音乐也对著作权人造成了难以弥补的损害。本案中,法院及时发布诉前禁令,并对违反禁令的行为予以处罚,为打击网络音乐盗版、规范网络音乐市场、整治网络环境提供了一种可行的保护模式,充分体现了知识产权司法保护的主导作用。

周某全等7人经营思某网侵犯著作权罪案 【2014年中国法院10大知识产权案件之十(2015年4月20日)】

典型意义: 思某网号称“中国最大的数字高清门户网站”、国内最“顶尖”的蓝光高清网站。思某网管理层汇聚了多名IT精英,在案被告人均为大学文化程度。该网站刊载高清资讯和高清电影,表面上看是一个介绍蓝光技术的普通网站,但其链接到的“HDstar论坛”却存有大量蓝光高清格式的盗版电影和电视剧资源可供付费下载,网络上的很多盗版高清影片片源均来自思某网。通过这种方式,思某网积累了大量的注册用户,成为国内最“著名”的盗版高清电影网站。该案判决对于打击互联网环境下著作权犯罪、保护知识产权具有重要作用。

汪某等8人侵犯著作权案 【2015年度检察机关保护知识产权十大典型案例之三(2016年5月5日)】

评析意见: 该案涉及计算机软件,专业性、技术性很强,电子证据繁多复杂,查证取证难度较大。同时,8名犯罪分子均具有较高的学历、较好的计算机专业背景,其通过在侵权软件中夹杂一些重新开发的程序来掩盖侵权事实,作案手段极其隐蔽。检察机关为准确认定案件事实,指导鉴定机构搭建比对环境,改变以往仅进行简单比对、计算相同文件占全部文件比例的传统做法,通过确认软件的核心程序,从实质相似的角度认定了犯罪事实。在辩护人申请专家证人出庭的情况下,检察机关庭前精心准备,申请证人、鉴定人出庭作证,庭审中通过控辩双方交叉询问,有效解决了影响定罪的核心技术问题,有力驳斥了被告人在技术方面的抗辩,取得良好的庭审效果,为类似案件的审理提供了新思路。针对知识产权犯罪轻刑、缓刑适用率高的情况,检察机关通过强有力的指控,被告人汪某被判处有期徒刑三年,彰显了刑法对严重侵犯知识产权犯罪的惩治及对知识产权的保护力度。

“易某网”侵犯著作权罪案 【2017年中国法院10大知识产权案件之十(2018年4月19日)】

典型意义: 转码技术是随着移动阅读逐渐普及产生的一项技术,本案是移动阅读网站不当使用转码技术构成侵犯著作权罪的案件。判决对“转码”技术实施的特点以及必要限度进行了详细阐释,从信息网络传播行为的本质出发,厘清了“转码”行为罪与非罪的界限。本案较好地展现了在技术飞速发展的时代背景下,知识产权司法保护在坚持技术中立的同时,如何结合技术事实认真厘清有关技术是否超越法律范围、侵犯他人合法权利的标准。对于以技术为挡箭牌,侵权情节严重,符合知识产权犯罪构成要件的行为,应依法给予刑事处罚。本案的裁判结果充分体现了人民法院处理科技进步带来的新型犯罪行为的司法智慧和司法能力,彰显了依法打击侵犯知识产权犯罪行为的力度和决心。

北京海淀区宗某、陈某杰、王某侵犯著作权案 【2017年度全国检察机关保护知识产权十大典型案例之二(2018年4月25日)】

典型意义: 本案系国内首例利用电商、社交、云存储多平台侵犯著作权的刑事案件,三名被告人借助互联网技术,通过云存储平台存储侵权资源,利用通讯协议端口搭建社交平台与侵权资源的联系,后在电子商务平台向互联网用户销售获得侵权作品的“通行证”激活码,实施的是一种利用多平台领域相互关联作用的侵权行为,作案手段隐蔽、涉及面广、社会影响大,给著作权人造成严重损失。在案件受理之初,海淀区人民检察院即利用专业化办案优势,组织骨干办案力量,向前延伸引导侦查,传导庭审证明标准,促使提高侦查质量;向后提高出庭指控犯罪的能力,通过庭审中高质量的控辩对抗,确保法庭公正裁判。

第一,充分发挥审前主导作用,打牢指控基础。一是提前介入引导侦查,传导庭审证明标准。在本案提请逮捕之前,海淀区人民检察院便应公安机关的请求,指派具有此类案件办理经验的检察官及时介入侦查,向侦查机关建议侦查方向,锁定关键证据,强化规范取证意识,初步保障了案件质量。二是引导相关人员科学规范举证。检察官多次在该院接待被害公司法务,引导其提供配套侵权证明文件,出具被侵权作品的总数和被侵权作品的明细。本案涉及海量电子证据,电子证据具有易被修改或灭失的特点,取证难度大、取证规范化要求高。为此,检察官多次邀请公安机关网安、法制、派出所来该院进行沟通,要求侦查机关通过远程勘验、委托公证等多重手段固定和提取关键证据,保证案件事实认定的准确性和在案证据的完备性及规范性。三是坚持退回补充侦查和自行补充侦查双管齐下,更多掌握工作主动权。

第二,强化指控和证明犯罪主体作用,确保指控精准。一是庭审中积极应对,确保精准指控。在庭审中,检察官通过合理有序的举证示证,向法庭完整展示被告人未经著作权人许可,使用多平台的交互功能,通过信息网络向公众传播文字作品和营利的过程。检察官并就“作品数量的认定”“涉案淘宝店铺销售金额”等核心问题作出有针对性的答辩,通过控辩对抗确保指控的准确性。二是教育被告人当庭悔罪,确保庭审效果。在发表公诉意见阶段对被告人进行适时有力的法庭教育,说明其犯罪行为的社会危害性和刑事违法性,多名被告人当庭悔罪,表示服从判决,取得了良好的政治效果、法律效果和社会效果。

四川成都市林某勇、马某、张某侵犯著作权案 【2017年度全国检察机关保护知识产权十大典型案例之六(2018年4月25日)】

典型意义: 该案为公安部、国家版权局挂牌督办案件。本案中,涉案网站侵权时间跨度十年,非法发布日本原著文学3000余部,具有调查取证时间跨度大、取证难度大、媒体与社会各界关注度高等特点。成都市双流区人民检察院受理该案后,积极引导公安机关侦查取证,调取了日本株式会社KADOKAWA授权书声明及日本国立国会图书馆资料等书证,夯实了林某勇等三人侵犯著作权的犯罪事实,并准确区分了三被告人在共同犯罪中的作用,确定其依托网站收取广告费用的非法经营数额,做到了精准指控,效果良好。本案的查处,体现了网络背景下刑法对社会生活调整的维度和方法,对规制网络服务行为、深入理解网络环境下“复制发行”的含义、准确把握网络侵犯著作权、尤其是涉外侵权的取证具有重要的借鉴意义和研究价值。

谢某诉深圳市懒某在线科技有限公司、杭州创某科技有限公司等侵害作品信息网络传播权纠纷案 【最高人民法院发布第一批涉互联网典型案例之六(2018年8月16日)】

典型意义: “听书”“有声读物”是近年新兴的一种文化消费方式,产业价值巨大。但制作、在线提供有声读物在著作权法上如何定性,经营者应当取得著作权人怎样授权,未经许可制作有声读物所侵害的是作者的复制权还是改编权等等问题,法律条文上无直接规定,理论界和实务界也有不同认识。这种局面可能使得业界法律界限不清,无所适从,不利于行业合法有序的经营发展。

本案争议焦点有三:其一,作品均以形成外在的独创性表达为其前提要件,对作品的改编应以改变作品之表达,且该改变具有独创性为前提。对于文字作品而言,文字表述是其作品的表达所在,改编文字作品应以文字内容发生改变为前提。将文字作品制成有声读物需要经过三个步骤:朗读、录音、后期制作。三个步骤均只改变了作品的形式或载体,无一改变了文字作品的表达或内容,因而不涉及对文字作品的改编,有声读物只是以录音制品存在的复制件。其二,根据著作权法保护著作权人权益的本意,凡未经著作权人明确授予的权利仍应保留在著作权人手中。授权作为一种合同行为,以双方当事人达成合意为前提。一项行为是否在著作权人授权范围之内,需要探明著作权人授权时的真实意思表示。本案中结合合同上下文及签约时的时间环境,不应认定在线提供有声读物属谢某授权范围之内。其三,上游“授权方”缺乏有效权利而向下授权他人实施受专有权利控制的行为,自身对此存在过错且行为实际发生的,所有上游授权方均构成侵权,与直接侵权人承担连带责任。

在当前立法和司法有关有声读物具体规则存在空白,而行业发展又亟须明确规则的背景下,本案裁判为行业主体提供了清晰的指引,对于充分发挥司法助推文化产业健康发展具有积极作用。

河北省保定市人民检察院诉霍某侵害凉山烈士名誉权、荣誉权民事公益诉讼案 【检察公益诉讼全面实施两周年典型案例之十四(2019年10月10日)】

典型意义: 英雄烈士的形象是民族精神的体现,是引领社会风尚的标杆。英雄烈士的姓名、肖像、名誉和荣誉等不仅是个人权益的重要内容,更是社会正义的重要组成内容,蕴含了社会主义核心价值观和民族的共同情感。

互联网不是法外之地。《中华人民共和国英雄烈士保护法》第二十二条规定,任何组织和个人不得在公共场所、互联网或者利用广播电视、电影、出版物等,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉。利用互联网公然发布侮辱性言论,诋毁烈士形象,影响恶劣,严重损害了社会公共利益。

对通过互联网损害英雄烈士名誉权、荣誉权的行为提起检察公益诉讼,本案只是其中的一个典型代表。江苏、浙江、福建、云南、陕西、海南等地检察机关也先后提起多起民事公益诉讼。运用检察公益诉讼手段依法捍卫英雄烈士的名誉,彰显了人民检察机关的鲜明司法价值导向,对于加强英雄烈士的保护,传承和弘扬英雄烈士精神,维护社会公众对英雄烈士的情感,匡正社会公序良俗,弘扬社会主义核心价值观,具有重要意义。

杭州华某一媒文化传媒有限公司与深圳市道某科技发展有限公司侵害作品信息网络传播权纠纷案 【最高人民法院发布10起中国互联网司法典型案例之四(2019年12月4日)】

典型意义: 互联网时代下,电子证据大量涌现,以区块链为代表的新兴信息技术,为电子证据的取证存证带来了全新的变革,同时也亟待明确电子证据效力认定规则。本案系全国首次对区块链电子存证的法律效力进行认定的案件,为该种新型电子证据的认定提供了审查思路,明确认定区块链存证的相关规则,有助于推动区块链技术与司法深度融合,对完善信息化时代下的网络诉讼规则具有重要意义。

手机游戏“换皮”侵害著作权纠纷案 【2019年中国法院10大知识产权案件之七(2020年4月7日)】

典型意义: “互联网+”产业方兴未艾,新技术和新业态的发展不断对知识产权审判工作提出新的挑战。本案是网络游戏产业领域知识产权保护的典型案例。二审法院在本案中明确,网络游戏“换皮”抄袭可能构成侵害著作权的行为,并在此基础上全额支持了权利人3000万元的诉讼请求,体现了严格保护知识产权的裁判理念。本案裁判是“互联网+”环境下司法裁判积极回应技术发展与产业需求的例证,在充分考虑网络游戏作品的知识产权价值、侵权手段的多样性与隐蔽性等因素的前提下,以有利于促进创新、有利于公平竞争、有利于消费者长远利益为指引,对网络游戏知识产权保护问题进行了有益探索,对保护新兴产业发展壮大、推动产业健康发展均具有重要意义。

上海陈某等侵犯著作权案 【2019年度检察机关保护知识产权典型案例之十二(2020年4月25日)】

评析意见: 本案系最高人民检察院、公安部和中宣部联合挂牌督办案件。该案由境内外人员相互勾结,租用大容量服务器,形成线下制作源头、线上传播网络的完整盗版产业链,是一起组织分工严密、作案手法隐蔽、危害性质严重的新型网络侵犯著作权案。本案涉侵权影视作品多达2万余部,著作权人遍布世界各地,且涉及《流浪地球》《廉政风云》等春节档热映电影,严重损害我国影视业知识产权保护,造成恶劣社会影响。为精准高效打击网络侵犯著作权犯罪,检察机关一是充分运用“捕诉一体”办案机制,加快办案节奏,实现快审快诉,一个月内完成审查起诉并获判,及时回应了社会关切。二是创造性地将抽样取证手段运用到网络环境中。引导公安机关根据案情依法抽样取证,最终抽样鉴定460部作品,均为侵权作品,破解了本案涉案作品数量多、类型多、权利人多的难题。三是申请鉴定人出庭助力指控犯罪。鉴定人凭借专业知识,运用多媒体手段直观展示犯罪手段,增强了指控力度,庭审取得良好效果。四是通过检察建议推动网络环境治理。上海市人民检察院第三分院及时走访市文化执法总队,针对影视盗版网站频现,就运用人工智能、大数据及区块链技术进一步加大国内版权监管执法力度,采取更有效技术措施屏蔽及关闭盗版影视网站,以及共同应对日益严重的跨境版权侵权,完善快速反应机制等提出检察建议。

安徽许某、王某侵犯著作权案 【2019年度检察机关保护知识产权典型案例之十三(2020年4月25日)】

评析意见: 本案是一起利用互联网实施的重大侵犯著作权案,作案时间长达四年,侵权作品500余万份,吸收会员30余万人,网络点击量近18亿次,犯罪情节十分严重。检察机关在依法打击犯罪的同时,积极推动追赃挽损,并借力新闻媒体适度开展保护知识产权宣传,增强社会保护知识产权意识。

(一)坚持问题导向,全面收集固定证据。针对被告人以及辩护人提出的涉案网站复制的文字作品中并非全部是侵犯著作权作品,侵权作品有重复计算,点击量、会员人数均是网站自行修改,不能反映真实数字等问题,检察官多次与侦查人员会商研究,通过采取客观无区别的抽样方式对文字作品进行鉴定,证实抽样作品全部为侵权作品,并由此确定侵权作品数量;网站点击量、会员人数均是客观真实的反映,无法以人为方式从后台改动。最终检察机关认定的案件事实被一审、二审法院全部采纳。

(二)严格细致审查,增强抗辩针对性。本案系利用互联网实施的侵权行为,专业性、技术性、隐蔽性较强。被告人、辩护人提出被侵害网站并非著作权人、所使用的爬虫软件等均是公开获得、该案应该适用避风港原则等多项辩解。检察官在审查起诉期间深入研究了相关专业知识,明确被告人的行为不构成技术上的免责条款,开庭时一一作出有力反驳,精准指控犯罪。

(三)推动追赃挽损,全力挽回经济损失。审查起诉中,检察官及时要求侦查人员冻结许某账户上的违法所得数百万元,防止资产转移,并认真做好释法说理工作,积极督促被告人对被害人进行赔偿。在检察官多次劝导下,被告人家属向被害单位赔偿,取得了被害人谅解。

(四)适度宣传报道,营造保护知识产权浓厚氛围。本案的成功办理受到社会好评,引发广泛关注。中宣部、全国“扫黄打非”办公室组织多家媒体到高新区人民检察院采访,中央广播电视总台央视社会与法频道《一线》栏目作了专题报道,展示了检察机关保护知识产权工作,保护了人民大众投身创作的积极性,营造了全社会良好舆论氛围。

四川邱某侵犯著作权案 【2019年度检察机关保护知识产权典型案例之十五(2020年4月25日)】

评析意见: 本案属于涉计算机软件著作权、跨省域、涉案金额特别巨大的侵犯知识产权刑事案件,本案的办理既保障了被告人的合法权益,又帮助被害企业挽回了经济损失,体现了检察机关对侵犯知识产权刑事案件的重拳打击态势,强化了检察机关对企业科技创新成果的司法保护力度,对该企业乃至全国游戏产业健康发展都起到了示范作用。

(一)找准定位,发挥知识产权司法保护作用。成都是全国首个国家网络游戏动漫产业发展基地、全国第二个国家动漫游戏产业振兴基地,是全国游戏产业的核心聚集地之一。可以说,知识产权保护状况是这个基地生命力、竞争力的重要指标。成都市人民检察院将该案交办至高新区人民检察院后,形成上下联动机制,多次组织讨论,以“精细化”促“规范化”,以“精办”案件提升知识产权保护新高度,切实为该动漫基地发挥知识产权司法保护作用。

(二)破解困局,积极探索“换皮游戏”侵权问题。本案是对游戏源代码“换皮”形成新游戏的侵犯计算机软件著作权案件。检察机关有意识建立以源代码相似鉴定为核心的证据链,证实该游戏实质上并无邱某的智力成果,而是原始游戏的智力再现。当前,游戏“换皮”侵权多发,严重制约了行业创新和可持续发展,该案的成功办理,无疑起到了强烈的震慑作用,充分展现了司法机关破解“换皮游戏”侵权困局的有益探索。

(三)客观公正,准确适用法律保障被告人权利。该案涉及人员众多、案情复杂,检察机关发现案件不仅非法经营数额特别巨大,资金转出数额也特别巨大,针对是以“违法所得数额”还是以“非法经营数额”适用刑罚的问题,认真研究并准确认定,最终得到法院判决认可。

(四)督促和解,有效弥补被害单位所受损失。知识产权侵权案件中,被害单位维权成本高,获得赔偿难。检察机关主动作为,积极督促邱某对被侵权企业履行赔偿责任,切实保障了被侵权企业权益。

微信群发表不当言论名誉侵权案——某公司、黄某诉邵某名誉权纠纷案 【人民法院大力弘扬社会主义核心价值观十大典型民事案例之五(2020年5月13日)】

典型意义: 在“互联网+”时代,微信虽为网络虚拟空间,但已成为与人们生活密不可分的交往工具。微信群、朋友圈不是法外之地,公民在微信群和朋友圈等网络空间同样需要遵守国家的法律法规,不能为所欲为、不加节制。在微信群、朋友圈中损毁他人名誉,构成网络名誉侵权,应承担相应的法律责任。本案对于规范公民网络空间行为、树立文明交往风尚、构建良好网络社会秩序具有积极意义。

陈力等侵犯著作权罪案 【互联网十大典型案例之一(2021年5月31日)】

典型意义: 本案是境内外人员分工合作,以境外服务器为工具,专门针对热门影视作品,通过互联网实施跨境侵犯著作权罪的典型案例。人民法院在判决中对“信息网络传播行为”、海量侵权案件中“未经著作权人许可”做出了准确认定,对八名被告人均判处实刑并处追缴违法所得,特别是处以财产刑,彰显了我国严厉制裁涉网侵犯知识产权犯罪、严格保护知识产权的坚定决心。

辽宁省鞍山市赵某某编造、故意传播虚假信息案 【全国检察机关依法惩治妨害传染病防治,编造、故意传播虚假信息犯罪典型案例之五(2021年8月8日)】

法律要旨: 在疫情防控期间,编造虚假的疫情信息,在信息网络或者其他媒体上传播,或者明知是虚假疫情信息,故意在信息网络上或者其他媒体上传播,严重扰乱社会秩序的,依照刑法第二百九十一条之一第二款的规定,以编造、故意传播虚假信息罪定罪处罚。编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第二百九十三条第一款第四项的规定,以寻衅滋事罪定罪处罚。

湖南省常德市检察院诉唐某成侵害刘磊烈士名誉民事公益诉讼案 【检察公益诉讼起诉典型案例之十一(2021年9月15日)】

典型意义: 该案是英烈权益保护民事公益诉讼起诉案件。该诉讼案件的审理是一次“以案释法”的法治公开课,更是一次崇尚英雄、捍卫英雄、学习英雄、关爱英雄的思想教育洗涤,网络不是法外之地,任何人不得通过各种方式歪曲、诋毁、丑化、否定英雄事迹和精神。英雄烈士的姓名、肖像、名誉和荣誉等权益是社会正义的重要组成内容,承载着社会主义核心价值观和民族情感,具有社会公共利益属性。对于侵害英雄烈士名誉的行为,在没有近亲属或者近亲属不提起诉讼时,检察机关依法提起民事公益诉讼,捍卫英烈权益,履行公共利益代表的神圣使命和职责。

大某视界文化传媒有限公司、张某等四人侵犯著作权案 【检察机关知识产权综合性司法保护典型案例之一(2022年3月1日)】

典型意义: (一)依法打击网络侵犯著作权犯罪,平等保护境内外著作权人的合法权利。随着信息网络技术的快速发展,作品的传播更加便捷迅速,一些不法分子借助互联网实施侵犯著作权违法犯罪行为,不仅破坏社会主义市场经济秩序,也给权利人的合法权益造成损害,应当依法惩治。按照《伯尔尼公约》和我国著作权法的规定,涉案外国影视作品受我国法律保护。本案中检察机关秉持平等保护理念,加强对境内外权利人著作权的刑事司法保护,切实维护创作者、传播者、使用者的合法权利。

(二)完善知识产权“行刑衔接”机制,形成保护知识产权合力。为畅通衔接渠道,解决信息不畅、“以罚代刑”等问题,南山区检察院会同相关部门,建立健全知识产权案件“行刑衔接”工作机制。对于涉嫌犯罪的疑难复杂知识产权案件,有关部门商请检察机关提前介入的,南山区检察院主动作为,依法提出法律适用意见,强化引导取证。在案件受理后,及时向行政执法机关通报案件处理进展情况,对案件办理中发现的共性问题进行梳理反馈,形成全方位保护知识产权合力。

(三)积极推动行业治理,促使企业合规经营。南山区检察院积极发挥职能,促使涉案企业剥离违法业务,进行全面合规整改。大某视界公司完善了法律风险防控机制,将App中侵权内容全部删除,并发布公告通报侵权情况,对充值用户进行退费,组织专门团队开展版权购买谈判。检察机关落实“谁执法谁普法”的普法责任制,会同深圳市版权协会,结合案例有针对性开展知识产权刑事合规宣讲,引导更多企业合法合规经营。

利用竞争对手名称设置搜索关键词进行商业推广构成侵害名称权——网络竞价排名侵害名称权案 【民法典颁布后人格权司法保护典型民事案例之三(2022年4月11日)】

典型意义: 名称权是企业从事商事活动的重要标识性权利,已逐渐成为企业的核心资产。本案立足于数字经济发展新赛道,通过揭示竞价排名广告的商业逻辑,明确他人合法注册的企业名称受到保护,任何人不得通过“蹭热点”“傍名牌”等方式侵害他人企业名称权。同时,本案还对网络服务提供者的审查义务进行了厘定,敦促其利用技术优势实质性审查“竞价排名”关键词的权属情况等,对制约商标侵权、不正当竞争行为,规范行业竞争秩序,构筑健康的品牌经济具有积极作用。

某网络科技公司侵害英雄烈士姓名民事公益诉讼案 【涉英烈权益保护十大典型案例之六(2022年12月8日)】

典型意义: 本案是《中华人民共和国民法典》实施后首例保护英烈姓名的民事公益诉讼案件。依据其中第185条、第1000条规定,侵害英雄烈士等的姓名、肖像、名誉、荣誉,损害社会公共利益的,应当承担消除影响、恢复名誉、赔礼道歉等民事责任,且应当与行为的具体方式和造成的影响范围相当。雷锋同志的姓名不仅作为一种重要的人格利益受法律保护,还涉及社会公共利益。本案裁判明确,将雷锋同志的姓名用于商业广告和营利宣传的行为,侵害英雄烈士人格利益;同时,将商业运作模式假“雷锋精神”之名推广,既曲解雷锋精神,与社会公众的一般认知相背离,也损害承载于其上的人民群众的特定感情,损害社会公共利益。本案通过司法手段,为网络空间注入缅怀英烈、敬仰英烈的法治正能量。

赵某侵害英雄烈士名誉民事公益诉讼案 【涉英烈权益保护十大典型案例之八(2022年12月8日)】

典型意义: 缉毒英雄英勇无畏、无私奉献的精神不容亵渎。本案侵权人通过互联网媒体,诋毁、侮辱、诽谤英雄人物,丑化英雄人物形象,贬损英雄人物名誉,削弱英烈精神价值,损害社会公共利益。本案通过民事公益诉讼加大对英雄烈士名誉的保护力度,充分体现人民法院弘扬英烈精神、保护英烈权益的坚定立场,有助于引导社会公众自觉维护和弘扬英烈精神,推动全社会形成学习英烈革命气节、崇尚英烈、捍卫英烈的良好社会风尚。

洪某诉刘某、某报社名誉权纠纷案 【涉英烈权益保护十大典型案例之九(2022年12月8日)】

典型意义: “狼牙山五壮士”的英雄事迹和大无畏牺牲精神,已经成为中华民族精神的重要内容,成为社会主流价值观念和社会公共利益的一部分。在此情况下,洪某发表两篇文章,用细节贬低、损毁英烈形象,否定“狼牙山五壮士”基本事实和英雄形象,明显侵犯社会公共利益,对社会公共利益的挑战,必然招致回应、批评。本案依法捍卫了社会公众对歪曲英雄烈士事迹行为进行批评的权利,充分彰显人民法院保护英烈权益的鲜明态度。

商家因“差评”擅自公布消费者个人信息构成侵权——张某等人诉某商家网络侵权责任纠纷案 【网络消费典型案例之二(2023年3月15日)】

典型意义: 评价机制在网络消费领域中的作用日益明显,消费者提出批评意见的权利应予保护。经营者对其因提供商品或服务而获取的消费者个人信息负有保护义务,经营者公开回应消费者“差评”时,应注意不得侵犯消费者隐私权和个人信息权益。本案裁判厘清了经营者澄清消费者“差评”时的行为边界,维护了消费者合法权益,为网络消费信用评价机制的有序运行提供了司法保障。

深圳花某绽放网络科技股份有限公司与浙江盘某数智科技股份有限公司、浙江盘某信息技术股份有限公司侵害技术秘密纠纷案 【最高人民法院知识产权法庭典型案例(2022)之十六(2023年3月30日)】

典型意义: 本案明确涉及非法披露行为的技术秘密侵权案件中,应当以被披露技术秘密的商业价值为基础,综合考虑案件具体情况,确定损害赔偿数额。技术秘密商业价值的认定存在多种路径,本案在认可鉴定评估是可选方式的同时,进一步明确了难以采信有关鉴定意见时,酌定技术秘密商业价值的综合考量因素。

侵害赛事组委会特殊标志专有权应承担赔偿责任——亚运会组委会与某置业公司、某科技公司侵害特殊标志专有权及不正当竞争纠纷案 【涉体育纠纷民事典型案例之六(2023年6月21日)】

典型意义: 特殊标志是指经国务院批准举办的全国性和国际性的文化、体育、科学研究及其他社会公益活动所使用的,由文字、图形组成的名称及缩写、会徽、吉祥物等标志。《中华人民共和国体育法》第五十二条第一款规定,在中国境内举办的体育赛事,其名称、徽记、旗帜及吉祥物等标志按照国家有关规定予以保护。擅自将特殊标志设置为互联网广告的搜索关键词的行为构成侵权,侵权人应当承担相应责任。本案在侵权人存在明显过错的基础上,全额支持权利人赛事组委会的赔偿主张,体现了人民法院加强知识产权保护、加大损害赔偿力度的司法导向,有利于营造公平竞争的市场环境,形成竞争有序的市场体系。

第十三条 【未成年人网络保护】

国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

关联法规

◎ 法律

《未成年人保护法》

第四十八条 国家鼓励创作、出版、制作和传播有利于未成年人健康成长的图书、报刊、电影、广播电视节目、舞台艺术作品、音像制品、电子出版物和网络信息等。

第五十条 禁止制作、复制、出版、发布、传播含有宣扬淫秽、色情、暴力、邪教、迷信、赌博、引诱自杀、恐怖主义、分裂主义、极端主义等危害未成年人身心健康内容的图书、报刊、电影、广播电视节目、舞台艺术作品、音像制品、电子出版物和网络信息等。

第五十一条 任何组织或者个人出版、发布、传播的图书、报刊、电影、广播电视节目、舞台艺术作品、音像制品、电子出版物或者网络信息,包含可能影响未成年人身心健康内容的,应当以显著方式作出提示。

第五十二条 禁止制作、复制、发布、传播或者持有有关未成年人的淫秽色情物品和网络信息。

第六十五条 国家鼓励和支持有利于未成年人健康成长的网络内容的创作与传播,鼓励和支持专门以未成年人为服务对象、适合未成年人身心健康特点的网络技术、产品、服务的研发、生产和使用。

第六十六条 网信部门及其他有关部门应当加强对未成年人网络保护工作的监督检查,依法惩处利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。

第六十七条 网信部门会同公安、文化和旅游、新闻出版、电影、广播电视等部门根据保护不同年龄阶段未成年人的需要,确定可能影响未成年人身心健康网络信息的种类、范围和判断标准。

第六十八条 新闻出版、教育、卫生健康、文化和旅游、网信等部门应当定期开展预防未成年人沉迷网络的宣传教育,监督网络产品和服务提供者履行预防未成年人沉迷网络的义务,指导家庭、学校、社会组织互相配合,采取科学、合理的方式对未成年人沉迷网络进行预防和干预。

任何组织或者个人不得以侵害未成年人身心健康的方式对未成年人沉迷网络进行干预。

第七十条 学校应当合理使用网络开展教学活动。未经学校允许,未成年学生不得将手机等智能终端产品带入课堂,带入学校的应当统一管理。

学校发现未成年学生沉迷网络的,应当及时告知其父母或者其他监护人,共同对未成年学生进行教育和引导,帮助其恢复正常的学习生活。

第七十一条 未成年人的父母或者其他监护人应当提高网络素养,规范自身使用网络的行为,加强对未成年人使用网络行为的引导和监督。

未成年人的父母或者其他监护人应当通过在智能终端产品上安装未成年人网络保护软件、选择适合未成年人的服务模式和管理功能等方式,避免未成年人接触危害或者可能影响其身心健康的网络信息,合理安排未成年人使用网络的时间,有效预防未成年人沉迷网络。

第七十三条 网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。

第七十四条 网络产品和服务提供者不得向未成年人提供诱导其沉迷的产品和服务。

网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。

以未成年人为服务对象的在线教育网络产品和服务,不得插入网络游戏链接,不得推送广告等与教学无关的信息。

第七十五条 网络游戏经依法审批后方可运营。

国家建立统一的未成年人网络游戏电子身份认证系统。网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏。

网络游戏服务提供者应当按照国家有关规定和标准,对游戏产品进行分类,作出适龄提示,并采取技术措施,不得让未成年人接触不适宜的游戏或者游戏功能。

网络游戏服务提供者不得在每日二十二时至次日八时向未成年人提供网络游戏服务。

第七十六条 网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意。

◎ 部门规章

《网络信息内容生态治理规定》

第十三条 鼓励网络信息内容服务平台开发适合未成年人使用的模式,提供适合未成年人使用的网络产品和服务,便利未成年人获取有益身心健康的信息。

《互联网信息服务算法推荐管理规定》

第十八条 算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。

算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。

《移动互联网应用程序信息服务管理规定》

第十三条 应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,依法严格落实未成年人用户账号真实身份信息注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务,不得制作、复制、发布、传播含有危害未成年人身心健康内容的信息。

《生成式人工智能服务管理暂行办法》

第十条 提供者应当明确并公开其服务的适用人群、场合、用途,指导使用者科学理性认识和依法使用生成式人工智能技术,采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务。

◎ 司法解释

《关于办理强奸、猥亵未成年人刑事案件适用法律若干问题的解释》

第九条 胁迫、诱骗未成年人通过网络视频聊天或者发送视频、照片等方式,暴露身体隐私部位或者实施淫秽行为,符合刑法第二百三十七条规定的,以强制猥亵罪或者猥亵儿童罪定罪处罚。

胁迫、诱骗未成年人通过网络直播方式实施前款行为,同时符合刑法第二百三十七条、第三百六十五条的规定,构成强制猥亵罪、猥亵儿童罪、组织淫秽表演罪的,依照处罚较重的规定定罪处罚。

权威案例

◎ 典型案例

依法提出抗诉 准确认定网络猥亵儿童犯罪 【2017年检察机关加强未成人司法保护十大典型案例之三(2018年5月29日)】

典型意义: 随着互联网的发展,利用网络实施猥亵等新型违法犯罪行为增多,司法实践中对此类行为是否构成犯罪认识不一,此案的焦点在于通过网络而非直接接触的行为是否构成猥亵犯罪。办案检察机关准确把握利用网络实施猥亵行为的本质特征,并通过抗诉得到法院认可,既有助于统一对类似新型犯罪案件适用法律的认识,为司法办案实践提供有益借鉴,又确保了对各种侵害未成年人犯罪行为的打击力度。

实施精准帮教 天才少年由“黑客”变“白客”——未成年犯罪嫌疑人小刘帮教案 【未成年人检察社会支持体系建设工作典型案(事)例之三(2019年4月11日)】

典型意义: 涉罪未成年人可塑性很大,容易改造,但如果处理不当,将来又可能变本加厉危害社会。本案中,检察机关联合团组织、司法社工、心理疏导专业人员等多方社会力量,量身制定帮教方案,精准实施帮教,确保其认识到自身错误,转而利用专业特长服务社会,最大限度地挽救失足未成年人,为国家保住了一个有用之才,取得了良好的效果。

教师依规及时报告 公检合力严惩性侵犯罪 【侵害未成年人案件强制报告典型案例之三(2020年5月29日)】

典型意义: 本案是一起持续时间长、受害人数多且主要针对未成年在校学生的重大恶性性侵案件。检察机关通过多部门协同建立侵害未成年人权益案件强制报告制度,推动负有未成年人保护职责的教育等部门积极履行强制报告职责,依法行使立案监督职权,与公安机关合力打击,深挖犯罪线索,有效严惩了性侵多名未成年人的恶劣犯罪。

向未成年人提供内容不健康网络服务的合同无效——唐某诉某网络科技有限公司网络服务合同纠纷案 【第三批人民法院大力弘扬社会主义核心价值观典型民事案例之七(2023年3月1日)】

典型意义: 强化对未成年人的保护,让未成年人健康成长,是社会共同追求的价值与目标。本案以网络文化产品内容不健康、违背公序良俗为由,认定网络服务合同无效,一方面强调网络服务提供者应当秉持诚信的核心价值观,依法完善服务内容,另一方面发挥司法引领作用,引导网络服务提供者、未成年人及其家长、社会各界共同遵循文明、友善、法治的社会主义核心价值观,将“爱幼”落实到具体生活中来,共同参与网络信息内容生态治理,为未成年人健康成长营造文明、健康、清朗的网络空间。

第十四条 【网络安全社会监督】

任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。

有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。

关联法规

◎ 法律

《数据安全法》

第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。

有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。

《个人信息保护法》

第六十五条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。

履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。

《关于加强网络信息保护的决定》

九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

第十六条 任何公民和组织发现间谍行为,应当及时向国家安全机关举报;向公安机关等其他国家机关、组织举报的,相关国家机关、组织应当立即移送国家安全机关处理。

国家安全机关应当将受理举报的电话、信箱、网络平台等向社会公开,依法及时处理举报信息,并为举报人保密。

◎ 行政法规

《商用密码管理条例》

第四十九条 任何单位或者个人有权向密码管理部门和有关部门举报违反本条例的行为。密码管理部门和有关部门接到举报,应当及时核实、处理,并为举报人保密。

◎ 部门规章

《互联网新闻信息服务管理规定》

第二十条 任何组织和个人发现互联网新闻信息服务提供者有违反本规定行为的,可以向国家和地方互联网信息办公室举报。

国家和地方互联网信息办公室应当向社会公开举报受理方式,收到举报后,应当依法予以处置。互联网新闻信息服务提供者应当予以配合。

《儿童个人信息网络保护规定》

第二十四条 任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。

网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。

《互联网信息服务算法推荐管理规定》

第三十条 任何组织和个人发现违反本规定行为的,可以向网信部门和有关部门投诉、举报。收到投诉、举报的部门应当及时依法处理。

《数据出境安全评估办法》

第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。

《个人信息出境标准合同办法》

第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门举报。

《生成式人工智能服务管理暂行办法》

第十八条 使用者发现生成式人工智能服务不符合法律、行政法规和本办法规定的,有权向有关主管部门投诉、举报。

第二章 网络安全支持与促进

第十五条 【网络安全标准制定】

国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

关联法规

◎ 法律

《数据安全法》

第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。

◎ 行政法规

《商用密码管理条例》

第十条 国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准,对商用密码团体标准的制定进行规范、引导和监督。国家密码管理部门依据职责,建立商用密码标准实施信息反馈和评估机制,对商用密码标准实施进行监督检查。

国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用,鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。

其他领域的标准涉及商用密码的,应当与商用密码国家标准、行业标准保持协调。

第十一条 从事商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准,以及自我声明公开标准的技术要求。

国家鼓励在商用密码活动中采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。

◎ 部门规章

《互联网安全保护技术措施规定》

第六条 互联网安全保护技术措施应当符合国家标准。没有国家标准的,应当符合公共安全行业技术标准。

◎ 部门规范性文件

《信息安全等级保护管理办法》

第二条 国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。

第十六条 【网络安全产业发展】

国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

关联法规

◎ 法律

《数据安全法》

第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。

第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。

省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。

第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。

《国家安全法》

第七十一条 国家加大对国家安全各项建设的投入,保障国家安全工作所需经费和装备。

第七十三条 鼓励国家安全领域科技创新,发挥科技在维护国家安全中的作用。

◎ 行政法规

《商用密码管理条例》

第七条 国家建立健全商用密码科学技术创新促进机制,支持商用密码科学技术自主创新,对作出突出贡献的组织和个人按照国家有关规定予以表彰和奖励。

国家依法保护商用密码领域的知识产权。从事商用密码活动,应当增强知识产权意识,提高运用、保护和管理知识产权的能力。

国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

第八条 国家鼓励和支持商用密码科学技术成果转化和产业化应用,建立和完善商用密码科学技术成果信息汇交、发布和应用情况反馈机制。

第三十六条 国家支持网络产品和服务使用商用密码提升安全性,支持并规范商用密码在信息领域新技术、新业态、新模式中的应用。

◎ 部门规章

《生成式人工智能服务管理暂行办法》

第五条 鼓励生成式人工智能技术在各行业、各领域的创新应用,生成积极健康、向上向善的优质内容,探索优化应用场景,构建应用生态体系。

支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能技术创新、数据资源建设、转化应用、风险防范等方面开展协作。

◎ 部门规范性文件

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

五、加强网络安全工作各项保障

……

(四)加强技术攻关。各单位、各部门要充分调动网络安全企业、科研机构、专家等社会力量积极参与网络安全核心技术攻关,加强网络安全协同协作、互动互补、共治共享和群防群治。公安机关要会同有关部门加强网络安全等级保护和关键信息基础设施安全保护标准制定工作,出台标准应用指南,加强标准宣贯和应用实施,建设试点示范基地,促进我国网络安全产业和企业的健康发展。

……

第十七条 【网络安全社会服务】

国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

关联法规

◎ 行政法规

《商用密码管理条例》

第十二条 国家推进商用密码检测认证体系建设,鼓励在商用密码活动中自愿接受商用密码检测认证。

第十八条 【网络数据保护和利用】

国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。

关联法规

◎ 法律

《数据安全法》

第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。

◎ 部门规章

《互联网新闻信息服务管理规定》

第十二条 互联网新闻信息服务提供者应当健全信息发布审核、公共信息巡查、应急处置等信息安全管理制度,具有安全可控的技术保障措施。

第十四条 互联网新闻信息服务提供者提供互联网新闻信息传播平台服务,应当与在其平台上注册的用户签订协议,明确双方权利义务。

对用户开设公众账号的,互联网新闻信息服务提供者应当审核其账号信息、服务资质、服务范围等信息,并向所在地省、自治区、直辖市互联网信息办公室分类备案。

《区块链信息服务管理规定》

第七条 区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约。

《网络信息内容生态治理规定》

第九条 网络信息内容服务平台应当建立网络信息内容生态治理机制,制定本平台网络信息内容生态治理细则,健全用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度。

网络信息内容服务平台应当设立网络信息内容生态治理负责人,配备与业务范围和服务规模相适应的专业人员,加强培训考核,提升从业人员素质。

第十一条 鼓励网络信息内容服务平台坚持主流价值导向,优化信息推荐机制,加强版面页面生态管理,在下列重点环节(包括服务类型、位置版块等)积极呈现本规定第五条规定的信息:

(一)互联网新闻信息服务首页首屏、弹窗和重要新闻信息内容页面等;

(二)互联网用户公众账号信息服务精选、热搜等;

(三)博客、微博客信息服务热门推荐、榜单类、弹窗及基于地理位置的信息服务版块等;

(四)互联网信息搜索服务热搜词、热搜图及默认搜索等;

(五)互联网论坛社区服务首页首屏、榜单类、弹窗等;

(六)互联网音视频服务首页首屏、发现、精选、榜单类、弹窗等;

(七)互联网网址导航服务、浏览器服务、输入法服务首页首屏、榜单类、皮肤、联想词、弹窗等;

(八)数字阅读、网络游戏、网络动漫服务首页首屏、精选、榜单类、弹窗等;

(九)生活服务、知识服务平台首页首屏、热门推荐、弹窗等;

(十)电子商务平台首页首屏、推荐区等;

(十一)移动应用商店、移动智能终端预置应用软件和内置信息内容服务首屏、推荐区等;

(十二)专门以未成年人为服务对象的网络信息内容专栏、专区和产品等;

(十三)其他处于产品或者服务醒目位置、易引起网络信息内容服务使用者关注的重点环节。

网络信息内容服务平台不得在以上重点环节呈现本规定第七条规定的信息。

第十二条 网络信息内容服务平台采用个性化算法推荐技术推送信息的,应当设置符合本规定第十条、第十一条规定要求的推荐模型,建立健全人工干预和用户自主选择机制。

第十四条 网络信息内容服务平台应当加强对本平台设置的广告位和在本平台展示的广告内容的审核巡查,对发布违法广告的,应当依法予以处理。

第十五条 网络信息内容服务平台应当制定并公开管理规则和平台公约,完善用户协议,明确用户相关权利义务,并依法依约履行相应管理职责。

网络信息内容服务平台应当建立用户账号信用管理制度,根据用户账号的信用情况提供相应服务。

第十七条 网络信息内容服务平台应当编制网络信息内容生态治理工作年度报告,年度报告应当包括网络信息内容生态治理工作情况、网络信息内容生态治理负责人履职情况、社会评价情况等内容。

《汽车数据安全管理若干规定(试行)》

第十六条 国家加强智能(网联)汽车网络平台建设,开展智能(网联)汽车入网运行和安全保障服务等,协同汽车数据处理者加强智能(网联)汽车网络和汽车数据安全防护。

《互联网信息服务算法推荐管理规定》

第十条 算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。

第十一条 算法推荐服务提供者应当加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制,在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息。

第十二条 鼓励算法推荐服务提供者综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响,预防和减少争议纠纷。

《互联网用户账号信息管理规定》

第六条 互联网信息服务提供者应当依照法律、行政法规和国家有关规定,制定和公开互联网用户账号管理规则、平台公约,与互联网用户签订服务协议,明确账号信息注册、使用和管理相关权利义务。

第十四条 互联网信息服务提供者应当履行互联网用户账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。

第十五条 互联网信息服务提供者应当建立账号信息动态核验制度,适时核验存量账号信息,发现不符合本规定要求的,应当暂停提供服务并通知用户限期改正;拒不改正的,应当终止提供服务。

第十七条 互联网信息服务提供者发现互联网用户注册、使用账号信息违反法律、行政法规和本规定的,应当依法依约采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施,保存有关记录,并及时向网信等有关主管部门报告。

第十八条 互联网信息服务提供者应当建立健全互联网用户账号信用管理体系,将账号信息相关信用评价作为账号信用管理的重要参考指标,并据以提供相应服务。

《互联网信息服务深度合成管理规定》

第七条 深度合成服务提供者应当落实信息安全主体责任,建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。

第八条 深度合成服务提供者应当制定和公开管理规则、平台公约,完善服务协议,依法依约履行管理责任,以显著方式提示深度合成服务技术支持者和使用者承担信息安全义务。

第十条 深度合成服务提供者应当加强深度合成内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。

深度合成服务提供者应当建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序,记录并留存相关网络日志。

深度合成服务提供者发现违法和不良信息的,应当依法采取处置措施,保存有关记录,及时向网信部门和有关主管部门报告;对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。

第十三条 互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任,核验深度合成类应用程序的安全评估、备案等情况;对违反国家有关规定的,应当及时采取不予上架、警示、暂停服务或者下架等处置措施。

《生成式人工智能服务管理暂行办法》

第六条 鼓励生成式人工智能算法、框架、芯片及配套软件平台等基础技术的自主创新,平等互利开展国际交流与合作,参与生成式人工智能相关国际规则制定。

推动生成式人工智能基础设施和公共训练数据资源平台建设。促进算力资源协同共享,提升算力资源利用效能。推动公共数据分类分级有序开放,扩展高质量的公共训练数据资源。鼓励采用安全可信的芯片、软件、工具、算力和数据资源。

◎ 部门规范性文件

《即时通信工具公众信息服务发展管理暂行规定》

第七条 即时通信工具服务使用者为从事公众信息服务活动开设公众账号,应当经即时通信工具服务提供者审核,由即时通信工具服务提供者向互联网信息内容主管部门分类备案。

新闻单位、新闻网站开设的公众账号可以发布、转载时政类新闻,取得互联网新闻信息服务资质的非新闻单位开设的公众账号可以转载时政类新闻。其他公众账号未经批准不得发布、转载时政类新闻。

即时通信工具服务提供者应当对可以发布或转载时政类新闻的公众账号加注标识。

鼓励各级党政机关、企事业单位和各人民团体开设公众账号,服务经济社会发展,满足公众需求。

《互联网直播服务管理规定》

第七条 互联网直播服务提供者应当落实主体责任,配备与服务规模相适应的专业人员,健全信息审核、信息安全管理、值班巡查、应急处置、技术保障等制度。提供互联网新闻信息直播服务的,应当设立总编辑。

互联网直播服务提供者应当建立直播内容审核平台,根据互联网直播的内容类别、用户规模等实施分级分类管理,对图文、视频、音频等直播内容加注或播报平台标识信息,对互联网新闻信息直播及其互动内容实施先审后发管理。

第八条 互联网直播服务提供者应当具备与其服务相适应的技术条件,应当具备即时阻断互联网直播的技术能力,技术方案应符合国家相关标准。

第十一条 互联网直播服务提供者应当加强对评论、弹幕等直播互动环节的实时管理,配备相应管理人员。

互联网直播发布者在进行直播时,应当提供符合法律法规要求的直播内容,自觉维护直播活动秩序。

用户在参与直播互动时,应当遵守法律法规,文明互动,理性表达。

第十六条 互联网直播服务提供者应当记录互联网直播服务使用者发布内容和日志信息,保存六十日。

互联网直播服务提供者应当配合有关部门依法进行的监督检查,并提供必要的文件、资料和数据。

《互联网群组信息服务管理规定》

第五条 互联网群组信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

互联网群组信息服务提供者应当制定并公开管理规则和平台公约,与使用者签订服务协议,明确双方权利义务。

第七条 互联网群组信息服务提供者应当根据互联网群组的性质类别、成员规模、活跃程度等实行分级分类管理,制定具体管理制度并向国家或省、自治区、直辖市互联网信息办公室备案,依法规范群组信息传播秩序。

互联网群组信息服务提供者应当建立互联网群组信息服务使用者信用等级管理体系,根据信用等级提供相应服务。

第八条 互联网群组信息服务提供者应当根据自身服务规模和管理能力,合理设定群组成员人数和个人建立群数、参加群数上限。

互联网群组信息服务提供者应设置和显示唯一群组识别编码,对成员达到一定规模的群组要设置群信息页面,注明群组名称、人数、类别等基本信息。

互联网群组信息服务提供者应根据群组规模类别,分级审核群组建立者真实身份、信用等级等建群资质,完善建群、入群等审核验证功能,并标注群组建立者、管理者及成员群内身份信息。

第九条 互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。

互联网群组成员在参与群组信息交流时,应当遵守法律法规,文明互动、理性表达。

互联网群组信息服务提供者应为群组建立者、管理者进行群组管理提供必要功能权限。

第十一条 互联网群组信息服务提供者应当对违反法律法规和国家有关规定的互联网群组,依法依约采取警示整改、暂停发布、关闭群组等处置措施,保存有关记录,并向有关主管部门报告。

互联网群组信息服务提供者应当对违反法律法规和国家有关规定的群组建立者、管理者等使用者,依法依约采取降低信用等级、暂停管理权限、取消建群资格等管理措施,保存有关记录,并向有关主管部门报告。

互联网群组信息服务提供者应当建立黑名单管理制度,对违法违约情节严重的群组及建立者、管理者和成员纳入黑名单,限制群组服务功能,保存有关记录,并向有关主管部门报告。

《互联网论坛社区服务管理规定》

第五条 互联网论坛社区服务提供者应当落实主体责任,建立健全信息审核、公共信息实时巡查、应急处置及个人信息保护等信息安全管理制度,具有安全可控的防范措施,配备与服务规模相适应的专业人员,为有关部门依法履行职责提供必要的技术支持。

《微博客信息服务管理规定》

第六条 微博客服务提供者应当落实信息内容安全管理主体责任,建立健全用户注册、信息发布审核、跟帖评论管理、应急处置、从业人员教育培训等制度及总编辑制度,具有安全可控的技术保障和防范措施,配备与服务规模相适应的管理人员。

微博客服务提供者应当制定平台服务规则,与微博客服务使用者签订服务协议,明确双方权利、义务,要求微博客服务使用者遵守相关法律法规。

第九条 微博客服务提供者应当按照分级分类管理原则,根据微博客服务使用者主体类型、发布内容、关注者数量、信用等级等制定具体管理制度,提供相应服务,并向国家或省、自治区、直辖市互联网信息办公室备案。

第十一条 微博客服务提供者应当建立健全辟谣机制,发现微博客服务使用者发布、传播谣言或不实信息,应当主动采取辟谣措施。

《网络音视频信息服务管理规定》

第十三条 网络音视频信息服务提供者应当建立健全辟谣机制,发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报网信、文化和旅游、广播电视等部门备案。

《互联网用户公众账号信息服务管理规定》

第十二条 公众账号信息服务平台应当建立公众账号监测评估机制,防范账号订阅数、用户关注度、内容点击率、转发评论量等数据造假行为。

公众账号信息服务平台应当规范公众账号推荐订阅关注机制,健全技术手段,及时发现、处置公众账号订阅关注数量的异常变动情况。未经互联网用户知情同意,不得以任何方式强制或者变相强制订阅关注其他用户公众账号。

第十三条 公众账号信息服务平台应当建立生产运营者信用等级管理体系,根据信用等级提供相应服务。

公众账号信息服务平台应当建立健全网络谣言等虚假信息预警、发现、溯源、甄别、辟谣、消除等处置机制,对制作发布虚假信息的公众账号生产运营者降低信用等级或者列入黑名单。

《移动互联网应用程序信息服务管理规定》

第五条 应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,积极配合国家实施网络可信身份战略,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。

第八条 应用程序提供者应当对信息内容呈现结果负责,不得生产传播违法信息,自觉防范和抵制不良信息。

应用程序提供者应当建立健全信息内容审核管理机制,建立完善用户注册、账号管理、信息审核、日常巡查、应急处置等管理措施,配备与服务规模相适应的专业人员和技术能力。

第十一条 应用程序提供者开展应用程序数据处理活动,应当履行数据安全保护义务,建立健全全流程数据安全管理制度,采取保障数据安全技术措施和其他安全措施,加强风险监测,不得危害国家安全、公共利益,不得损害他人合法权益。

第二十条 应用程序分发平台应当建立健全管理机制和技术手段,建立完善上架审核、日常管理、应急处置等管理措施。

应用程序分发平台应当对申请上架和更新的应用程序进行审核,发现应用程序名称、图标、简介存在违法和不良信息,与注册主体真实身份信息不相符,业务类型存在违法违规等情况的,不得为其提供服务。

应用程序提供的信息服务属于本规定第七条规定范围的,应用程序分发平台应当对相关许可等情况进行核验;属于本规定第十四条规定范围的,应用程序分发平台应当对安全评估情况进行核验。

应用程序分发平台应当加强对在架应用程序的日常管理,对含有违法和不良信息,下载量、评价指标等数据造假,存在数据安全风险隐患,违法违规收集使用个人信息,损害他人合法权益等的,不得为其提供服务。

《互联网跟帖评论服务管理规定》

第四条 跟帖评论服务提供者应当严格落实跟帖评论服务管理主体责任,依法履行以下义务:

(一)按照“后台实名、前台自愿”原则,对注册用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证,不得向未认证真实身份信息或者冒用组织机构、他人身份信息的用户提供跟帖评论服务。

(二)建立健全用户个人信息保护制度,处理用户个人信息应当遵循合法、正当、必要和诚信原则,公开个人信息处理规则,告知个人信息的处理目的、处理方式、处理的个人信息种类、保存期限等事项,并依法取得个人的同意。法律、行政法规另有规定的除外。

(三)对新闻信息提供跟帖评论服务的,应当建立先审后发制度。

(四)提供弹幕方式跟帖评论服务的,应当在同一平台和页面同时提供与之对应的静态版信息内容。

(五)建立健全跟帖评论审核管理、实时巡查、应急处置、举报受理等信息安全管理制度,及时发现处置违法和不良信息,并向网信部门报告。

(六)创新跟帖评论管理方式,研发使用跟帖评论信息安全管理技术,提升违法和不良信息处置能力;及时发现跟帖评论服务存在的安全缺陷、漏洞等风险,采取补救措施,并向网信部门报告。

(七)配备与服务规模相适应的审核编辑队伍,加强跟帖评论审核培训,提高审核编辑人员专业素养。

(八)配合网信部门依法开展监督检查工作,提供必要的技术、数据支持和协助。

第六条 跟帖评论服务提供者应当与注册用户签订服务协议,明确跟帖评论的服务与管理细则以及双方跟帖评论发布权限、管理责任等权利义务,履行互联网相关法律法规告知义务,开展文明上网教育。对公众账号生产运营者,在服务协议中应当明确其跟帖评论管理权限及相应责任,督促其切实履行管理义务。

第八条 跟帖评论服务提供者应当建立用户分级管理制度,对用户的跟帖评论行为开展信用评估,根据信用等级确定服务范围及功能,对严重失信的用户应列入黑名单,停止对列入黑名单的用户提供服务,并禁止其通过重新注册账号等方式使用跟帖评论服务。

第十一条 公众账号生产运营者可按照用户服务协议向跟帖评论服务提供者申请举报、隐藏或者删除违法和不良评论信息、自主关闭账号跟帖评论区等管理权限。跟帖评论服务提供者应当对公众账号生产运营者的跟帖评论管理情况进行信用评估后,根据公众账号的主体性质、信用评估等级等,合理设置管理权限,提供相关技术支持。

《互联网弹窗信息推送服务管理规定》

第四条 互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。

第十九条 【网络安全宣传教育】

各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。

大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。

关联法规

◎ 法律

《数据安全法》

第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。

《个人信息保护法》

第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

《反电信网络诈骗法》

第八条 各级人民政府和有关部门应当加强反电信网络诈骗宣传,普及相关法律和知识,提高公众对各类电信网络诈骗方式的防骗意识和识骗能力。

教育行政、市场监管、民政等有关部门和村民委员会、居民委员会,应当结合电信网络诈骗受害群体的分布等特征,加强对老年人、青少年等群体的宣传教育,增强反电信网络诈骗宣传教育的针对性、精准性,开展反电信网络诈骗宣传教育进学校、进企业、进社区、进农村、进家庭等活动。

各单位应当加强内部防范电信网络诈骗工作,对工作人员开展防范电信网络诈骗教育;个人应当加强电信网络诈骗防范意识。单位、个人应当协助、配合有关部门依照本法规定开展反电信网络诈骗工作。

第三十条 电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者应当对从业人员和用户开展反电信网络诈骗宣传,在有关业务活动中对防范电信网络诈骗作出提示,对本领域新出现的电信网络诈骗手段及时向用户作出提醒,对非法买卖、出租、出借本人有关卡、账户、账号等被用于电信网络诈骗的法律责任作出警示。

新闻、广播、电视、文化、互联网信息服务等单位,应当面向社会有针对性地开展反电信网络诈骗宣传教育。

任何单位和个人有权举报电信网络诈骗活动,有关部门应当依法及时处理,对提供有效信息的举报人依照规定给予奖励和保护。

《国家安全法》

第七十六条 国家加强国家安全新闻宣传和舆论引导,通过多种形式开展国家安全宣传教育活动,将国家安全教育纳入国民教育体系和公务员教育培训体系,增强全民国家安全意识。

《反恐怖主义法》

第十七条 各级人民政府和有关部门应当组织开展反恐怖主义宣传教育,提高公民的反恐怖主义意识。

教育、人力资源行政主管部门和学校、有关职业培训机构应当将恐怖活动预防、应急知识纳入教育、教学、培训的内容。

新闻、广播、电视、文化、宗教、互联网等有关单位,应当有针对性地面向社会进行反恐怖主义宣传教育。

村民委员会、居民委员会应当协助人民政府以及有关部门,加强反恐怖主义宣传教育。

◎ 行政法规

《商用密码管理条例》

第五条 各级人民政府及其有关部门应当采取多种形式加强商用密码宣传教育,增强公民、法人和其他组织的密码安全意识。

第二十条 【网络安全人才培养】

国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。

关联法规

◎ 法律

《数据安全法》

第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。

《国家安全法》

第七十四条 国家采取必要措施,招录、培养和管理国家安全工作专门人才和特殊人才。

根据维护国家安全工作的需要,国家依法保护有关机关专门从事国家安全工作人员的身份和合法权益,加大人身保护和安置保障力度。

◎ 行政法规

《商用密码管理条例》

第四条 国家加强商用密码人才培养,建立健全商用密码人才发展体制机制和人才评价制度,鼓励和支持密码相关学科和专业建设,规范商用密码社会化培训,促进商用密码人才交流。

◎ 部门规范性文件

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

五、加强网络安全工作各项保障

……

(五)加强人才培养。各单位、各部门要加强网络安全等级保护和关键信息基础设施安全保护业务交流,通过组织开展比武竞赛等形式,发现选拔高精尖技术人才,建设人才库,建立健全人才发现、培养、选拔和使用机制,为做好网络安全工作提供人才保障。

第三章 网络运行安全

第一节 一般规定

第二十一条 【网络运营者网络安全保护义务】

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

关联法规

◎ 法律

《数据安全法》

第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

◎ 行政法规

《计算机信息系统安全保护条例》

第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。

《计算机信息网络国际联网安全保护管理办法》

第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:

(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;

(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;

(三)负责对本网络用户的安全教育和培训;

(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核;

(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;

(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原始记录,并在24小时内向当地公安机关报告;

(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。

《电信条例》

第五十九条 电信业务经营者应当按照国家有关电信安全的规定,建立健全内部安全保障制度,实行安全保障责任制。

◎ 部门规章

《互联网安全保护技术措施规定》

第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的除外。

互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。

第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施:

(一)防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施;

(二)重要数据库和系统主要设备的冗灾备份措施;

(三)记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施;

(四)法律、法规和规章规定应当落实的其他安全保护技术措施。

第八条 提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)记录并留存用户注册信息;

(二)使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系;

(三)记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。

第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)在公共信息服务中发现、停止传输违法信息,并保留相关记录;

(二)提供新闻、出版以及电子公告等服务的,能够记录并留存发布的信息内容及发布时间;

(三)开办门户网站、新闻网站、电子商务网站的,能够防范网站、网页被篡改,被篡改后能够自动恢复;

(四)开办电子公告服务的,具有用户注册信息和发布信息审计功能;

(五)开办电子邮件和网上短信息服务的,能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。

第十条 提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外,还应当落实具有以下功能的安全保护技术措施:

(一)记录并留存用户注册信息;

(二)在公共信息服务中发现、停止传输违法信息,并保留相关记录;

(三)联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的,能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。

第十一条 提供互联网上网服务的单位,除落实本规定第七条规定的互联网安全保护技术措施外,还应当安装并运行互联网公共上网服务场所安全管理系统。

第十三条 互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施,应当具有至少保存六十天记录备份的功能。

第十四条 互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为:

(一)擅自停止或者部分停止安全保护技术设施、技术手段运行;

(二)故意破坏安全保护技术设施;

(三)擅自删除、篡改安全保护技术设施、技术手段运行程序和记录;

(四)擅自改变安全保护技术措施的用途和范围;

(五)其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。

《通信网络安全防护管理办法》

第七条 通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。

电信管理机构应当组织专家对通信网络单元的分级情况进行评审。

通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并按照前款规定进行评审。

第八条 通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案:

(一)基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案;

(二)增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案;

(三)互联网域名服务提供者向工业和信息化部备案。

第九条 通信网络运行单位办理通信网络单元备案,应当提交以下信息:

(一)通信网络单元的名称、级别和主要功能;

(二)通信网络单元责任单位的名称和联系方式;

(三)通信网络单元主要负责人的姓名和联系方式;

(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置;

(五)电信管理机构要求提交的涉及通信网络安全的其他信息。

前款规定的备案信息发生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。

通信网络运行单位报备的信息应当真实、完整。

第十条 电信管理机构应当对备案信息的真实性、完整性进行核查,发现备案信息不真实、不完整的,通知备案单位予以补正。

第十一条 通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测:

(一)三级及三级以上通信网络单元应当每年进行一次符合性评测;

(二)二级通信网络单元应当每两年进行一次符合性评测。

通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测。

通信网络运行单位应当在评测结束后三十日内,将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。

《互联网文化管理暂行规定》

第十八条 互联网文化单位应当建立自审制度,明确专门部门,配备专业人员负责互联网文化产品内容和活动的自查与管理,保障互联网文化产品内容和活动的合法性。

第二十条 互联网文化单位应当记录备份所提供的文化产品内容及其时间、互联网地址或者域名;记录备份应当保存60日,并在国家有关部门依法查询时予以提供。

《区块链信息服务管理规定》

第五条 区块链信息服务提供者应当落实信息内容安全管理责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。

第六条 区块链信息服务提供者应当具备与其服务相适应的技术条件,对于法律、行政法规禁止的信息内容,应当具备对其发布、记录、存储、传播的即时和应急处置能力,技术方案应当符合国家相关标准规范。

第十七条 区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于六个月,并在相关执法部门依法查询时予以提供。

《网络招聘服务管理规定》

第二十条 从事网络招聘服务的人力资源服务机构应当按照国家网络安全法律、行政法规和网络安全等级保护制度要求,加强网络安全管理,履行网络安全保护义务,采取技术措施或者其他必要措施,确保招聘服务网络、信息系统和用户信息安全。

《汽车数据安全管理若干规定(试行)》

第五条 利用互联网等信息网络开展汽车数据处理活动,应当落实网络安全等级保护等制度,加强汽车数据保护,依法履行数据安全义务。

◎ 部门规范性文件

《信息安全等级保护管理办法》

第五条 信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任。

第六条 国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条 信息系统的安全保护等级分为以下五级:

第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。

第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。

第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。

第八条 信息系统运营、使用单位依据本办法和相关技术标准对信息系统进行保护,国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。

第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

《即时通信工具公众信息服务发展管理暂行规定》

第五条 即时通信工具服务提供者应当落实安全管理责任,建立健全各项制度,配备与服务规模相适应的专业人员,保护用户信息及公民个人隐私,自觉接受社会监督,及时处理公众举报的违法和不良信息。

《网络音视频信息服务管理规定》

第七条 网络音视频信息服务提供者应当落实信息内容安全管理主体责任,配备与服务规模相适应的专业人员,建立健全用户注册、信息发布审核、信息安全管理、应急处置、从业人员教育培训、未成年人保护、知识产权保护等制度,具有与新技术新应用发展相适应的安全可控的技术保障和防范措施,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、安全性和可用性。

第十六条 为网络音视频信息服务提供技术支持的主体应当遵守相关法律法规规定和国家标准规范,采取技术措施和其他必要措施,保障网络安全、稳定运行。

《监管数据安全管理办法(试行)》

第十条 监管数据的采集应按照安全、准确、完整和依法合规的原则进行,避免重复、过度采集。

第十一条 监管数据应通过监管工作网或金融专网进行传输。因客观条件限制需要通过物理介质、互联网或其它网络传输的,应经归口管理部门评估同意。

第十二条 监管数据应存储在银保监会机房,并具有完备的备份措施。确有必要存储在受托机构机房的,应经归口管理部门评估同意。

第十三条 监管数据存储期限、存储介质管理应按照国家和银保监会有关规定执行。

第十四条 监管数据的加工处理应在监管工作权限或受托范围内进行。未经归口管理部门同意,任何单位和个人不得将代码、接口、算法模型和开发工具等接入监管信息系统。

第十五条 监管数据采集、传输、存储、加工处理、转移交换、销毁,以及用于系统开发测试等活动,应根据监管数据类型和管理要求采取分级分类安全技术防护措施。

第十六条 监管数据仅限于银保监会履行监管工作职责使用。纪检监察、司法、审计等党政机关为履行工作职责需要使用监管数据时,按照有关规定办理。

第十七条 监管数据的使用行为应通过管理和技术手段确保可追溯。监管数据用于信息系统开发测试以及对外展示时,应经过脱敏处理。

第十八条 使用未公开披露的监管数据,原则上应在不可连接互联网的台式机或笔记本等银保监会工作机中进行。因客观条件限制需采取虚拟专用网络等方式使用监管数据时,应经归口管理部门评估同意。

第十九条 因工作需要下载的监管数据,仅可存储于银保监会的工作机中。承载监管数据的使用介质应妥善保管,防止数据泄露。

第二十条 在使用监管数据过程中产生的加工数据、汇总结果等信息应视同监管数据进行安全管理。

第二十一条 监管数据对外披露应由指定业务部门按照有关规定和流程实施。

第二十二条 各业务部门因工作需要向非党政机关单位、个人提供监管数据时,应充分评估数据安全风险,经本部门主要负责人同意后实施,必要时与对方签订备忘录和保密协议并报归口管理部门备案。

与境外监管机构或国际组织共享监管数据时,应由国际事务部门依照银保监会签署的监管合作谅解备忘录、合作协议等约定或其他有关工作安排进行管理。

法律法规另有规定的,从其规定。

第二十三条 各业务部门因工作需要和系统下线停用监管数据时,应及时对其采取封存或销毁措施。

第二十四条 各业务部门监管数据采集涉及受托机构提供服务时,应事先与归口管理部门沟通并会签同意。受托机构的技术服务方案,应通过归口管理部门的安全评估。技术服务方案发生变更的,应事先报归口管理部门进行安全评估。

安全评估不通过的,不得开展委托服务或建立委派关系。

第二十五条 为银保监会提供监管数据服务的受托机构,应满足以下基本条件:

(一)具备从事监管数据工作所需系统的自主研发及运维能力;

(二)具备相关信息安全管理资质认证;

(三)拥有自主产权或已签订长期租赁合同的机房;

(四)网络和信息系统具备有效的安全保护和稳定运行措施,三年内未发生网络安全重大事件;

(五)具备有效的监管数据安全管理措施,能够保障银保监会各部门对监管数据的访问和控制;

(六)具有监管数据备份体系、应急组织体系和业务连续性计划。

第二十六条 银保监会通过与受托机构签订协议,确立监管数据委托服务关系。协议应明确服务项目、期限、安全管理责任和终止事由等内容。

银保监会通过委派方式确立监管数据服务关系的,应下达委派任务书。

第二十七条 因有关政策调整导致原委托或委派事项无需继续履行,或发现受托机构监管数据服务出现重大安全问题的,银保监会有权终止委托或委派关系。

委托或委派关系终止时,受托机构应及时、完整地移交监管数据,并销毁因委托或委派事项而获取的监管数据,不得保留相关数据备份等内容。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

二、深入贯彻实施国家网络安全等级保护制度

按照国家网络安全等级保护制度要求,各单位、各部门在公安机关指导监督下,认真组织、深入开展网络安全等级保护工作,建立良好的网络安全保护生态,切实履行主体责任,全面提升网络安全保护能力。

(一)深化网络定级备案工作。网络运营者应全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,科学确定网络的安全保护等级,对第二级以上网络依法向公安机关备案,并向行业主管部门报备。对新建网络,应在规划设计阶段确定安全保护等级。公安机关对网络运营者提交的备案材料和网络的安全保护等级进行审核,对定级结果合理、备案材料符合要求的,及时出具网络安全等级保护备案证明。行业主管部门可以依据《网络安全等级保护定级指南》国家标准,结合行业特点制定行业网络安全等级保护定级指导意见。

(二)定期开展网络安全等级测评。网络运营者应依据有关标准规范,对已定级备案网络的安全性进行检测评估,查找可能存在的网络安全问题和隐患。第三级以上网络运营者应委托符合国家有关规定的等级测评机构,每年开展一次网络安全等级测评,并及时将等级测评报告提交受理备案的公安机关和行业主管部门。新建第三级以上网络应在通过等级测评后投入运行。网络运营者在开展测评服务过程中要与测评机构签署安全保密协议,并对测评过程进行监督管理。公安机关要加强对本地等级测评机构的监督管理,建立测评人员背景审查和人员审核制度,确保等级测评过程客观、公正、安全。

(三)科学开展安全建设整改。网络运营者应在网络建设和运营过程中,同步规划、同步建设、同步使用有关网络安全保护措施。应依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,在现有安全保护措施的基础上,全面梳理分析安全保护需求,并结合等级测评过程中发现的问题隐患,按照“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,认真开展网络安全建设和整改加固,全面落实安全保护技术措施。网络运营者可将网络迁移上云,或将网络安全服务外包,充分利用云服务商和网络安全服务商提升网络安全保护能力和水平。应全面加强网络安全管理,建立完善人员管理、教育培训、系统安全建设和运维等管理制度,加强机房、设备和介质安全管理,强化重要数据和个人信息保护,制定操作规范和工作流程,加强日常监督和考核,确保各项管理措施有效落实。

(四)强化安全责任落实。行业主管部门、网络运营者应依据《网络安全法》等法律法规和有关政策要求,按照“谁主管谁负责、谁运营谁负责”的原则,厘清网络安全保护边界,明确安全保护工作责任,建立网络安全等级保护工作责任制,落实责任追究制度,作到“守土有责、守土尽责”。网络运营者要定期组织专门力量开展网络安全自查和检测评估,行业主管部门要组织风险评估,及时发现网络安全隐患和薄弱环节并予以整改,不断提高网络安全保护能力和水平。

(五)加强供应链安全管理。网络运营者应加强网络关键人员的安全管理,第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估服务过程中可能存在的安全风险,并采取相应的管控措施。网络运营者应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。网络运营者应采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务,第三级以上网络运营者应积极应用安全可信的网络产品及服务。

(六)落实密码安全防护要求。网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。

权威案例

◎ 典型案例

上海市宝山区人民检察院诉某科技有限公司、韩某某等人侵犯公民个人信息刑事附带民事公益诉讼案 【检察机关个人信息保护公益诉讼典型案例之九(2021年4月22日)】

典型意义: 对刑事附带民事公益诉讼被告的确定不能囿于刑事被告人范围,应结合个案情况具体明确侵权人。通过追究网络运营者的民事侵权责任,警示网络运营主体落实网络安全保护责任,加强内部安全管理、规范操作规程。对涉案的网站服务器,QQ中保存的公民个人信息通过传统扣押方式不能消除危险的,检察机关可以提出关闭网站、注销侵权使用的QQ号码并永久删除保存在QQ内的公民个人信息数据等诉请,彻底消除危险。针对网络侵害的跨地域性等特点,检察机关协同相关行政机关治理侵害个人信息行为,有利于互联网领域损害公益问题的系统治理、综合治理、源头治理,彰显了公益诉讼的独特价值。

第二十二条 【网络产品、服务安全运行要求】

网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。

网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

关联法规

◎ 行政法规

《计算机信息系统安全保护条例》

第十六条 国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。

◎ 部门规范性文件

《网络产品安全漏洞管理规定》

第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。

第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

(八)法律法规的其他相关规定。

第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。

《移动互联网应用程序信息服务管理规定》

第十条 应用程序应当符合相关国家标准的强制性要求。应用程序提供者发现应用程序存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

第二十三条 【关键设备和专用产品安全要求】

网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。

关联法规

◎ 法律

《密码法》

第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。

商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。

◎ 行政法规

《商用密码管理条例》

第四十一条 网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全。国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。

第四十二条 商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评应当加强衔接,避免重复评估、测评。

第二十四条 【网络运营者用户身份管理要求】

网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。

国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。

关联法规

◎ 法律

《反电信网络诈骗法》

第九条 电信业务经营者应当依法全面落实电话用户真实身份信息登记制度。

基础电信企业和移动通信转售企业应当承担对代理商落实电话用户实名制管理责任,在协议中明确代理商实名制登记的责任和有关违约处置措施。

第二十一条 电信业务经营者、互联网服务提供者为用户提供下列服务,在与用户签订协议或者确认提供服务时,应当依法要求用户提供真实身份信息,用户不提供真实身份信息的,不得提供服务:

(一)提供互联网接入服务;

(二)提供网络代理等网络地址转换服务;

(三)提供互联网域名注册、服务器托管、空间租用、云服务、内容分发服务;

(四)提供信息、软件发布服务,或者提供即时通讯、网络交易、网络游戏、网络直播发布、广告推广服务。

《关于加强网络信息保护的决定》

六、网络服务提供者为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。

《反恐怖主义法》

第二十一条 电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者,应当对客户身份进行查验。对身份不明或者拒绝身份查验的,不得提供服务。

◎ 行政法规

《计算机信息网络国际联网安全保护管理办法》

第十三条 使用公用账号的注册者应当加强对公用账号的管理,建立账号使用登记制度。用户账号不得转借、转让。

◎ 部门规章

《互联网新闻信息服务管理规定》

第十三条 互联网新闻信息服务提供者为用户提供互联网新闻信息传播平台服务,应当按照《中华人民共和国网络安全法》的规定,要求用户提供真实身份信息。用户不提供真实身份信息的,互联网新闻信息服务提供者不得为其提供相关服务。

互联网新闻信息服务提供者对用户身份信息和日志信息负有保密的义务,不得泄露、篡改、毁损,不得出售或非法向他人提供。

互联网新闻信息服务提供者及其从业人员不得通过采编、发布、转载、删除新闻信息,干预新闻信息呈现或搜索结果等手段谋取不正当利益。

《区块链信息服务管理规定》

第八条 区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务。

《互联网用户账号信息管理规定》

第七条 互联网个人用户注册、使用账号信息,含有职业信息的,应当与个人真实职业信息相一致。

互联网机构用户注册、使用账号信息,应当与机构名称、标识等相一致,与机构性质、经营范围和所属行业类型等相符合。

第九条 互联网信息服务提供者为互联网用户提供信息发布、即时通讯等服务的,应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。

第十一条 对于互联网用户申请注册提供互联网新闻信息服务、网络出版服务等依法需要取得行政许可的互联网信息服务的账号,或者申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,互联网信息服务提供者应当要求其提供服务资质、职业资格、专业背景等相关材料,予以核验并在账号信息中加注专门标识。

第十二条 互联网信息服务提供者应当在互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息,便于公众为公共利益实施监督。

第十三条 互联网信息服务提供者应当在互联网用户公众账号信息页面,展示公众账号的运营主体、注册运营地址、内容生产类别、统一社会信用代码、有效联系方式、互联网协议(IP)地址归属地等信息。

《互联网信息服务深度合成管理规定》

第九条 深度合成服务提供者应当基于移动电话号码、身份证件号码、统一社会信用代码或者国家网络身份认证公共服务等方式,依法对深度合成服务使用者进行真实身份信息认证,不得向未进行真实身份信息认证的深度合成服务使用者提供信息发布服务。

◎ 部门规范性文件

《即时通信工具公众信息服务发展管理暂行规定》

第六条 即时通信工具服务提供者应当按照“后台实名、前台自愿”的原则,要求即时通信工具服务使用者通过真实身份信息认证后注册账号。

即时通信工具服务使用者注册账号时,应当与即时通信工具服务提供者签订协议,承诺遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等“七条底线”。

《互联网直播服务管理规定》

第十二条 互联网直播服务提供者应当按照“后台实名、前台自愿”的原则,对互联网直播用户进行基于移动电话号码等方式的真实身份信息认证,对互联网直播发布者进行基于身份证件、营业执照、组织机构代码证等的认证登记。互联网直播服务提供者应当对互联网直播发布者的真实身份信息进行审核,向所在地省、自治区、直辖市互联网信息办公室分类备案,并在相关执法部门依法查询时予以提供。

互联网直播服务提供者应当保护互联网直播服务使用者身份信息和隐私,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

第十三条 互联网直播服务提供者应当与互联网直播服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律法规和平台公约。

互联网直播服务协议和平台公约的必备条款由互联网直播服务提供者所在地省、自治区、直辖市互联网信息办公室指导制定。

第十四条 互联网直播服务提供者应当对违反法律法规和服务协议的互联网直播服务使用者,视情采取警示、暂停发布、关闭账号等处置措施,及时消除违法违规直播信息内容,保存记录并向有关主管部门报告。

《互联网群组信息服务管理规定》

第六条 互联网群组信息服务提供者应当按照“后台实名、前台自愿”的原则,对互联网群组信息服务使用者进行真实身份信息认证,用户不提供真实身份信息的,不得为其提供信息发布服务。

互联网群组信息服务提供者应当采取必要措施保护使用者个人信息安全,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。

《互联网论坛社区服务管理规定》

第八条 互联网论坛社区服务提供者应当按照“后台实名、前台自愿”的原则,要求用户通过真实身份信息认证后注册账号,并对版块发起者和管理者实施真实身份信息备案、定期核验等。用户不提供真实身份信息的,互联网论坛社区服务提供者不得为其提供信息发布服务。

互联网论坛社区服务提供者应当加强对注册用户虚拟身份信息、版块名称简介等的审核管理,不得出现法律法规和国家有关规定禁止的内容。

互联网论坛社区服务提供者应当保护用户身份信息,不得泄露、篡改、毁损,不得非法出售或者非法向他人提供。

《微博客信息服务管理规定》

第七条 微博客服务提供者应当按照“后台实名、前台自愿”的原则,对微博客服务使用者进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证、定期核验。微博客服务使用者不提供真实身份信息的,微博客服务提供者不得为其提供信息发布服务。

微博客服务提供者应当保障微博客服务使用者的信息安全,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

第八条 微博客服务使用者申请前台实名认证账号的,应当提供与认证信息相符的有效证明材料。

境内具有组织机构特征的微博客服务使用者申请前台实名认证账号的,应当提供组织机构代码证、营业执照等有效证明材料。

境外组织和机构申请前台实名认证账号的,应当提供驻华机构出具的有效证明材料。

第十条 微博客服务提供者应当对申请前台实名认证账号的微博客服务使用者进行认证信息审核,并按照注册地向国家或省、自治区、直辖市互联网信息办公室分类备案。微博客服务使用者提供的证明材料与认证信息不相符的,微博客服务提供者不得为其提供前台实名认证服务。

各级党政机关、企事业单位、人民团体和新闻媒体等组织机构对所开设的前台实名认证账号发布的信息内容及其跟帖评论负有管理责任。微博客服务提供者应当提供管理权限等必要支持。

《网络音视频信息服务管理规定》

第八条 网络音视频信息服务提供者应当依照《中华人民共和国网络安全法》的规定,对用户进行基于组织机构代码、身份证件号码、移动电话号码等方式的真实身份信息认证。用户不提供真实身份信息的,网络音视频信息服务提供者不得为其提供信息发布服务。

《互联网用户公众账号信息服务管理规定》

第八条 公众账号信息服务平台应当采取复合验证等措施,对申请注册公众账号的互联网用户进行基于移动电话号码、居民身份证号码或者统一社会信用代码等方式的真实身份信息认证,提高认证准确率。用户不提供真实身份信息的,或者冒用组织机构、他人真实身份信息进行虚假注册的,不得为其提供相关服务。

公众账号信息服务平台应当对互联网用户注册的公众账号名称、头像和简介等进行合法合规性核验,发现账号名称、头像和简介与注册主体真实身份信息不相符的,特别是擅自使用或者关联党政机关、企事业单位等组织机构或者社会知名人士名义的,应当暂停提供服务并通知用户限期改正,拒不改正的,应当终止提供服务;发现相关注册信息含有违法和不良信息的,应当依法及时处置。

公众账号信息服务平台应当禁止被依法依约关闭的公众账号以相同账号名称重新注册;对注册与其关联度高的账号名称,还应当对账号主体真实身份信息、服务资质等进行必要核验。

第九条 公众账号信息服务平台对申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的公众账号,应当要求用户在注册时提供其专业背景,以及依照法律、行政法规获得的职业资格或者服务资质等相关材料,并进行必要核验。

公众账号信息服务平台应当对核验通过后的公众账号加注专门标识,并根据用户的不同主体性质,公示内容生产类别、运营主体名称、注册运营地址、统一社会信用代码、联系方式等注册信息,方便社会监督查询。

公众账号信息服务平台应当建立动态核验巡查制度,适时核验生产运营者注册信息的真实性、有效性。

第十条 公众账号信息服务平台应当对同一主体在本平台注册公众账号的数量合理设定上限。对申请注册多个公众账号的用户,还应当对其主体性质、服务资质、业务范围、信用评价等进行必要核验。

公众账号信息服务平台对互联网用户注册后超过六个月不登录、不使用的公众账号,可以根据服务协议暂停或者终止提供服务。

公众账号信息服务平台应当健全技术手段,防范和处置互联网用户超限量注册、恶意注册、虚假注册等违规注册行为。

第十一条 公众账号信息服务平台应当依法依约禁止公众账号生产运营者违规转让公众账号。

公众账号生产运营者向其他用户转让公众账号使用权的,应当向平台提出申请。平台应当依据前款规定对受让方用户进行认证核验,并公示主体变更信息。平台发现生产运营者未经审核擅自转让公众账号的,应当及时暂停或者终止提供服务。

公众账号生产运营者自行停止账号运营,可以向平台申请暂停或者终止使用。平台应当按照服务协议暂停或者终止提供服务。

《移动互联网应用程序信息服务管理规定》

第六条 应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。

第十九条 应用程序分发平台应当采取复合验证等措施,对申请上架的应用程序提供者进行基于移动电话号码、身份证件号码或者统一社会信用代码等多种方式相结合的真实身份信息认证。根据应用程序提供者的不同主体性质,公示提供者名称、统一社会信用代码等信息,方便社会监督查询。

第二十五条 【网络运营者网络应急处置义务】

网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

关联法规

◎ 法律

《电子商务法》

第三十条 电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。

电子商务平台经营者应当制定网络安全事件应急预案,发生网络安全事件时,应当立即启动应急预案,采取相应的补救措施,并向有关主管部门报告。

《数据安全法》

第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

◎ 行政法规

《计算机信息系统安全保护条例》

第十四条 对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。

第二十六条 【网络安全社会化服务活动要求】

开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。

关联法规

◎ 行政法规

《商用密码管理条例》

第十三条 从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理部门认定,依法取得商用密码检测机构资质。

第十四条 取得商用密码检测机构资质,应当符合下列条件:

(一)具有法人资格;

(二)具有与从事商用密码检测活动相适应的资金、场所、设备设施、专业人员和专业能力;

(三)具有保证商用密码检测活动有效运行的管理体系。

第十五条 申请商用密码检测机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第十四条规定条件的材料。

国家密码管理部门应当自受理申请之日起20个工作日内,对申请进行审查,并依法作出是否准予认定的决定。

需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。

第十六条 商用密码检测机构应当按照法律、行政法规和商用密码检测技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码检测,对出具的检测数据、结果负责,并定期向国家密码管理部门报送检测实施情况。

商用密码检测技术规范、规则由国家密码管理部门制定并公布。

第十七条 国务院市场监督管理部门会同国家密码管理部门建立国家统一推行的商用密码认证制度,实行商用密码产品、服务、管理体系认证,制定并公布认证目录和技术规范、规则。

第十八条 从事商用密码认证活动的机构,应当依法取得商用密码认证机构资质。

申请商用密码认证机构资质,应当向国务院市场监督管理部门提出书面申请。申请人除应当符合法律、行政法规和国家有关规定要求的认证机构基本条件外,还应当具有与从事商用密码认证活动相适应的检测、检查等技术能力。

国务院市场监督管理部门在审查商用密码认证机构资质申请时,应当征求国家密码管理部门的意见。

第十九条 商用密码认证机构应当按照法律、行政法规和商用密码认证技术规范、规则,在批准范围内独立、公正、科学、诚信地开展商用密码认证,对出具的认证结论负责。

商用密码认证机构应当对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查,以保证通过认证的商用密码产品、服务、管理体系持续符合认证要求。

第二十条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的商用密码检测、认证机构检测认证合格后,方可销售或者提供。

第二十一条 商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。

第二十二条 采用商用密码技术提供电子认证服务,应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,依法取得国家密码管理部门同意使用密码的证明文件。

第二十三条 电子认证服务机构应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求。

电子认证服务密码使用技术规范、规则由国家密码管理部门制定并公布。

第二十四条 采用商用密码技术从事电子政务电子认证服务的机构,应当经国家密码管理部门认定,依法取得电子政务电子认证服务机构资质。

第二十五条 取得电子政务电子认证服务机构资质,应当符合下列条件:

(一)具有企业法人或者事业单位法人资格;

(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金、场所、设备设施和专业人员;

(三)具有为政务活动提供长期电子政务电子认证服务的能力;

(四)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。

第二十六条 申请电子政务电子认证服务机构资质,应当向国家密码管理部门提出书面申请,并提交符合本条例第二十五条规定条件的材料。

国家密码管理部门应当自受理申请之日起20个工作日内,对申请进行审查,并依法作出是否准予认定的决定。

需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理部门应当将所需时间书面告知申请人。

第二十七条 外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。

第二十八条 电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。

电子政务电子认证服务技术规范、规则由国家密码管理部门制定并公布。

第二十九条 国家建立统一的电子认证信任机制。国家密码管理部门负责电子认证信任源的规划和管理,会同有关部门推动电子认证服务互信互认。

第三十条 密码管理部门会同有关部门负责政务活动中使用电子签名、数据电文的管理。

政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,应当由依法设立的电子政务电子认证服务机构提供。

◎ 部门规章

《儿童个人信息网络保护规定》

第十七条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。

◎ 部门规范性文件

《网络产品安全漏洞管理规定》

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

(八)法律法规的其他相关规定。

第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。

第二十七条 【危害网络安全行为的禁止规定】

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

关联法规

◎ 法律

《数据安全法》

第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

《反电信网络诈骗法》

第二十五条 任何单位和个人不得为他人实施电信网络诈骗活动提供下列支持或者帮助:

(一)出售、提供个人信息;

(二)帮助他人通过虚拟货币交易等方式洗钱;

(三)其他为电信网络诈骗活动提供支持或者帮助的行为。

电信业务经营者、互联网服务提供者应当依照国家有关规定,履行合理注意义务,对利用下列业务从事涉诈支持、帮助活动进行监测识别和处置:

(一)提供互联网接入、服务器托管、网络存储、通讯传输、线路出租、域名解析等网络资源服务;

(二)提供信息发布或者搜索、广告推广、引流推广等网络推广服务;

(三)提供应用程序、网站等网络技术、产品的制作、维护服务;

(四)提供支付结算服务。

《关于维护互联网安全的决定》

一、为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:

(一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;

(二)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;

(三)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。

《密码法》

第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。

任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

《反间谍法》

第四条 本法所称间谍行为,是指下列行为:

(一)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动;

(二)参加间谍组织或者接受间谍组织及其代理人的任务,或者投靠间谍组织及其代理人;

(三)间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施,或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品,或者策动、引诱、胁迫、收买国家工作人员叛变的活动;

(四)间谍组织及其代理人实施或者指使、资助他人实施,或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动;

(五)为敌人指示攻击目标;

(六)进行其他间谍活动。

间谍组织及其代理人在中华人民共和国领域内,或者利用中华人民共和国的公民、组织或者其他条件,从事针对第三国的间谍活动,危害中华人民共和国国家安全的,适用本法。

◎ 行政法规

《计算机信息系统安全保护条例》

第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。

《计算机信息网络国际联网安全保护管理办法》

第六条 任何单位和个人不得从事下列危害计算机信息网络安全的活动:

(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;

(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;

(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;

(四)故意制作、传播计算机病毒等破坏性程序的;

(五)其他危害计算机信息网络安全的。

《电信条例》

第五十七条 任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:

(一)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;

(二)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;

(三)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;

(四)危害电信网络安全和信息安全的其他行为。

《互联网上网服务营业场所管理条例》

第十五条 互联网上网服务营业场所经营单位和上网消费者不得进行下列危害信息网络安全的活动:

(一)故意制作或者传播计算机病毒以及其他破坏性程序的;

(二)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序的;

(三)进行法律、行政法规禁止的其他活动的。

《商用密码管理条例》

第三十五条 国家鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,鼓励使用经检测认证合格的商用密码。

任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的商用密码保障系统,不得利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

◎ 部门规章

《公路水路关键信息基础设施安全保护管理办法》

第五条 任何个人和组织不得实施非法侵入、干扰、破坏公路水路关键信息基础设施的活动,不得危害公路水路关键信息基础设施安全。

权威案例

◎ 指导性案例

付某豪、黄某超破坏计算机信息系统案 【最高法指导案例第102号】

裁判要点: 1.通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的“DNS劫持”行为,属于破坏计算机信息系统,后果严重的,构成破坏计算机信息系统罪。

2.对于“DNS劫持”,应当根据造成不能正常运行的计算机信息系统数量、相关计算机信息系统不能正常运行的时间,以及所造成的损失或者影响等,认定其是“后果严重”还是“后果特别严重”。

徐某破坏计算机信息系统案 【最高法指导案例第103号】

裁判要点: 企业的机械远程监控系统属于计算机信息系统。违反国家规定,对企业的机械远程监控系统功能进行破坏,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。

李某、何某民、张某勃等人破坏计算机信息系统案 【最高法指导案例第104号】

裁判要点: 环境质量监测系统属于计算机信息系统。用棉纱等物品堵塞环境质量监测采样设备,干扰采样,致使监测数据严重失真的,构成破坏计算机信息系统罪。

张某杰等非法控制计算机信息系统案 【最高法指导案例第145号】

裁判要点: 1.通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为刑法第二百八十五条第二款“采用其他技术手段”非法控制计算机信息系统的行为。

2.通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。

李某龙破坏计算机信息系统案 【最高检指导案例第33号】

要旨: 以修改域名解析服务器指向的方式劫持域名,造成计算机信息系统不能正常运行,是破坏计算机信息系统的行为。

◎ 公报案例

江苏省无锡市滨湖区人民检察院诉马某松等破坏计算机信息系统案 【《最高人民法院公报》2009年第2期】

裁判摘要: 根据《中华人民共和国刑法》第二百八十六条的规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作或者故意制作、传播计算机病毒等破坏性程序,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。

行为人违反国家规定,采用干扰的技术手段攻击劫持互联网运营商的公共域名服务器,在域名服务器中添加指令,在大量个人计算机信息系统中植入木马病毒,造成计算机信息系统不能正常运行,后果严重的,应以破坏计算机信息系统罪定罪处罚。

◎ 典型案例

涂某通、万某玲帮助信息网络犯罪活动案 【在校学生涉“两卡”犯罪典型案例之一(2021年6月23日)】

典型意义: 从近年来的办案情况看,手机卡、银行卡(以下简称“两卡”)已经成为电信网络诈骗犯罪分子实施诈骗、转移赃款的重要工具。为依法严厉打击非法出租、出售“两卡”违法犯罪活动,2020年10月起,最高人民法院、最高人民检察院、公安部、工业和信息化部、中国人民银行等五部门联合部署开展“断卡”行动,以斩断电信网络诈骗违法犯罪的信息流和资金链。

工作中发现,部分在校学生由于社会阅历不足、法治观念淡薄,已成为非法买卖“两卡”的重要群体之一。在利益诱惑面前,有的学生迷失方向,一步步陷入违法犯罪泥潭,从办卡、卖卡发展到组织收卡、贩卡,成为潜伏在校园中的“卡商”。本案被告人即是这样的“卡商”,他们不仅出售自己的银行卡,还在学校里招揽同学出售银行卡。这些银行卡经过层层周转,落入到诈骗人员等犯罪分子手中,用于流转非法资金,危害不容小觑。对于从“工具人”转变为“卡商”的在校学生,应当综合其犯罪事实、情节和认罪态度,依法追究刑事责任。

对于办案中发现的在校学生涉电信网络诈骗以及“两卡”犯罪风险点,检察机关和教育部门要加强以案释法,深入校园开展形式多样的法治宣传教育活动。特别是对于案件相对多发的学校,要共同研究加强教育管理的意见,提升在校学生的风险意识和防范能力,避免成为犯罪“工具人”。办案地和学校所在地检察机关要加强沟通衔接,及时通报情况,积极提供协助,共同推动做好社会治理工作。

周某平、施某青帮助信息网络犯罪活动案 【检察机关打击治理电信网络诈骗及关联犯罪典型案例之十(2022年4月21日)】

典型意义: (一)非法买卖宽带账号并提供隐藏IP地址等技术服务,属于为网络犯罪提供技术支持或帮助,应当依法从严惩治。宽带账号直接关联到用户网络个人信息,关系到互联网日常管理维护,宽带账号实名制是互联网管理的一项基本要求。电信网络从业人员利用职务便利,冒用校园用户信息开通宽带账户倒卖,为犯罪分子隐藏真实身份提供技术支持帮助,侵犯用户的合法权益、影响网络正常管理,也给司法办案制造了障碍。对于上述行为,情节严重的,构成帮助信息网络犯罪活动罪,应当依法追诉;对于行业内部人员利用工作便利实施上述行为的,依法从严惩治。

(二)规范通信运营服务,严格行业内部人员管理,加强源头治理,防范网络风险。加强通信行业监管是打击治理电信网络诈骗的重要内容。网络黑灰产业不断升级发展,给电信行业监管带来不少新问题。对此,检察机关要结合办案所反映出的风险问题,会同行业主管部门督促业内企业严格落实用户实名制,规范用户账号管理;建立健全用户信息收集、使用、保密管理机制,及时堵塞风险漏洞,对于频繁应用于诈骗等违法犯罪活动的高风险业务及时清理规范。要督促有关企业加强对内部人员管理,加大违法违规案例曝光,强化警示教育,严格责任追究,构筑企业内部安全“防火墙”。

(三)加强校园及周边综合治理,深化法治宣传教育,共同牢筑网络安全的校园防线。当前,校园及周边电信网络诈骗及其关联案件时有发生,一些在校学生不仅容易成为诈骗的对象,也容易为了眼前小利沦为诈骗犯罪的“工具人”。要深化检校协作,结合发案情况,深入开展校园及周边安全风险排查整治,深入开展“反诈进校园”活动,规范校园内电信、金融网点的设立、运营,重视加强就业兼职等重点领域的法治教育。

南通某网络科技有限公司、万某某等人破坏计算机信息系统案 【检察机关依法惩治破坏市场竞争秩序犯罪典型案例之四(2022年8月4日)】

典型意义: (一)准确认定采取流量攻击妨碍、破坏竞争对手网络服务的行为性质,依法打击不正当竞争行为。根据《中华人民共和国反不正当竞争法》第十二条第二款第四项的规定,妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的,属不正当竞争行为。实践中,利用流量等技术手段攻击竞争对手网站是同行恶意竞争的常见手段。办案中,检察机关注重审查攻击手段造成计算机信息系统不能提供网络服务以及因此造成的经济损失情况。对行为人出于恶意竞争、打击报复等目的,以流量攻击的方式,致使他人合法提供的网络服务不能正常运行,造成经济损失,同时构成破坏计算机信息系统罪、破坏生产经营罪的,应从一重罪处断。

(二)发挥案例法治教育作用,营造公平竞争市场环境。为推动企业建立良性竞争机制,检察机关结合办案中发现的涉案企业存在的法律风险意识不足、管理制度不健全等问题:一方面,严格落实普法责任制,开展“送法进企业”,邀请涉案企业代表参加法治讲座、公开听证、旁听庭审等,帮助企业明确市场竞争主体权利义务、争议解决途径;另一方面,结合办案,通过实地走访等,针对公司经营中的困难和问题提出针对性建议,帮助企业建立健全公平竞争规章制度,引导企业依法经营。

浙江杭州某公司、陈某某等人帮助信息网络犯罪活动案 【涉案企业合规典型案例(第四批)之五(2023年1月16日)】

典型意义: 1.强化能动履职,深入推进企业整改。检察机关从个案出发,考虑涉案企业系辖区重点培育企业,公司规模较大、员工达千余人,所涉犯罪涉及公司部分业务,罪名反映问题较新等诸多因素,从维护社会稳定、促进企业经营发展、保障劳动力就业等公共利益角度综合考虑决定对涉案企业开展合规整改。检察机关将企业合规与认罪认罚从宽制度、不起诉制度融合推进,督促企业重新审视经营流程和机制漏洞,引导企业从源头上完善内部管理体系。

2.选好第三方组织,确保监督评估效果。第三方组织承担对涉案企业的调查、监督、评估、考核等职责,其专业人员库能否用好,直接关系第三方监督评估的实际效果。该涉案企业存在互联网企业营运模式的专业化特征,且本案又涉互联网广告运营这一特殊领域,检察机关基于涉案合规业务的特性,组建由浙江大学网络安全学术专家、行政主管机关领导、广告业内专家、法律实务专家等组成的第三方监督评估组织。在行政主管的政策引导和业务专家的技术支撑下,合规指导精准有力。

3.针对犯罪成因的专项合规计划辅之以技术监管,形成行业合规示范效应。该案中,针对广告主身份认证这一关键问题,检察机关和第三方监督评估组要求涉案企业克服困难坚决整改到位,在管好自己的同时也要管理好合作伙伴。通过“制度构建+技术升级”,涉案企业初步建立了刑事合规管理体系,一方面,通过对合作伙伴的管理,在一定程度上净化了行业风气;另一方面,也通过技术提升,在违法广告的巡查、筛选方面提出了六项专利权申请,将作弊监测系统、防篡改系统、自动审核系统、异常排查系统等技术手段应用于涉互联网广告行业相关企业,以点带面,有效推动行业良性发展。

4.强化诉源治理,助力数字经济发展。办案检察机关通过联合相关部门搭建平台、整合数据、对有刑事风险的科创企业进行事先预警评估,督促开展合规整改,探索建立适度容错机制,有效激发了市场主体活力。同时,通过制发数据合规指引,引导企业自主构建数据合规管理、运行、保障和处置体系,强化企业数据安全保障意识和犯罪预防意识,实现“惩”“防”“治”工作的一体化开展,较好地推动了末端处理与前端治理的有机融合,有力促进了区域数字经济健康发展,彰显了检察担当。

第二十八条 【网络运营者技术支持协助义务】

网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

关联法规

◎ 法律

《数据安全法》

第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。

《反电信网络诈骗法》

第二十六条 公安机关办理电信网络诈骗案件依法调取证据的,互联网服务提供者应当及时提供技术支持和协助。

互联网服务提供者依照本法规定对有关涉诈信息、活动进行监测时,发现涉诈违法犯罪线索、风险信息的,应当依照国家有关规定,根据涉诈风险类型、程度情况移送公安、金融、电信、网信等部门。有关部门应当建立完善反馈机制,将相关情况及时告知移送单位。

《反恐怖主义法》

第十八条 电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助。

◎ 部门规章

《区块链信息服务管理规定》

第十八条 区块链信息服务提供者应当配合网信部门依法实施的监督检查,并提供必要的技术支持和协助。

区块链信息服务提供者应当接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。

第二十九条 【网络安全风险的社会合作应对】

国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。

有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。

第三十条 【相关部门执法信息用途的限制】

网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

关联法规

◎ 行政法规

《商用密码管理条例》

第四十七条 商用密码检测、认证机构和电子政务电子认证服务机构及其工作人员,应当对其在商用密码活动中所知悉的国家秘密和商业秘密承担保密义务。

密码管理部门和有关部门及其工作人员不得要求商用密码科研、生产、销售、服务、进出口等单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

◎ 部门规章

《公安机关互联网安全监督检查规定》

第五条 公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。

公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

第二节 关键信息基础设施的运行安全

第三十一条 【关键信息基础设施安全保护体系】

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

关联法规

◎ 行政法规

《关键信息基础设施安全保护条例》

第一条 为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。

第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。

第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。

第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。

第八条 本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)。

第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。

制定认定规则应当主要考虑下列因素:

(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;

(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;

(三)对其他行业和领域的关联性影响。

第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。

第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。

第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。

第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。

能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。

第三十四条 国家制定和完善关键信息基础设施安全标准,指导、规范关键信息基础设施安全保护工作。

第三十五条 国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。

第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。

第三十七条 国家加强网络安全服务机构建设和管理,制定管理要求并加强监督指导,不断提升服务机构能力水平,充分发挥其在关键信息基础设施安全保护中的作用。

第三十八条 国家加强网络安全军民融合,军地协同保护关键信息基础设施安全。

第三十二条 【关键信息基础设施安全保护职责分工】

按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。

关联法规

◎ 行政法规

《关键信息基础设施安全保护条例》

第三条 在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

第三十三条 公安机关、国家安全机关依据各自职责依法加强关键信息基础设施安全保卫,防范打击针对和利用关键信息基础设施实施的违法犯罪活动。

◎ 部门规章

《公路水路关键信息基础设施安全保护管理办法》

第六条 交通运输部负责制定和修改公路水路关键信息基础设施认定规则,并报国务院公安部门备案。

制定和修改认定规则应当主要考虑下列因素:

(一)网络设施、信息系统等对于公路水路关键核心业务的重要程度;

(二)网络设施、信息系统等是否存储处理国家核心数据,以及网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;

(三)对其他行业和领域的关联性影响。

第七条 交通运输部根据认定规则负责组织认定公路水路关键信息基础设施,形成公路水路关键信息基础设施清单,及时将认定结果通知运营者,并通报国务院公安部门。

第八条 公路水路关键信息基础设施发生改建、扩建、运营者变更等较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告交通运输部。交通运输部自收到报告之日起3个月内完成重新认定,更新公路水路关键信息基础设施清单,并通报国务院公安部门。

第九条 省级人民政府交通运输主管部门应当按照交通运输部的相关要求,负责组织筛选识别省级行政区域内运营的公路水路关键信息基础设施待认定对象,并研究提出初步认定意见报交通运输部。

交通运输部应当将认定结果通知省级人民政府交通运输主管部门。

第二十四条 交通运输部应当制定公路水路关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。

交通运输主管部门、运营者应当严格落实公路水路关键信息基础设施安全规划。

◎ 部门规范性文件

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

三、建立并实施关键信息基础设施安全保护制度

公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设,建立并实施关键信息基础设施安全保护制度,在落实网络安全等级保护制度基础上,突出保护重点,强化保护措施,切实维护关键信息基础设施安全。

(一)组织认定关键信息基础设施。根据党中央和公安部有关规定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基础设施清单实行动态调整机制,有关网络设施、信息系统发生较大变化,可能影响其认定结果的,运营者应及时将相关情况报告保护工作部门,保护工作部门应组织重新认定,将认定结果通知运营者,并报公安部。

(二)明确关键信息基础设施安全保护工作职能分工。公安部负责关键信息基础设施安全保护工作的顶层设计和规划部署,会同相关部门健全完善关键信息基础设施安全保护制度体系。保护工作部门负责对本行业、本领域关键信息基础设施安全保护工作的组织领导,根据国家网络安全法律法规和有关标准规范要求,制定并实施本行业、本领域关键信息基础设施安全总体规划和安全防护策略,落实本行业、本领域网络安全指导监督责任。关键信息基础设施运营者负责设置专门安全管理机构,组织开展关键信息基础设施安全保护工作,主要负责人对本单位关键信息基础设施安全保护负总责。

(三)落实关键信息基础设施重点防护措施。关键信息基础设施运营者应依据网络安全等级保护标准开展安全建设并进行等级测评,发现问题和风险隐患要及时整改;依据关键信息基础设施安全保护标准,加强安全保护和保障,并进行安全检测评估。要梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施,合理分区分域,收敛互联网暴露面,加强网络攻击威胁管控,强化纵深防御,积极利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,不断提升关键信息基础设施内生安全、主动免疫和主动防御能力。有条件的运营者应组建自己的安全服务机构,承担关键信息基础设施安全保护任务,也可通过迁移上云或购买安全服务等方式,提高网络安全专业化、集约化保障能力。

(四)加强重要数据和个人信息保护。运营者应建立并落实重要数据和个人信息安全保护制度,对关键信息基础设施中的重要网络和数据库进行容灾备份,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要,确需向境外提供的,应当遵守有关规定并进行安全评估。

(五)强化核心岗位人员和产品服务的安全管理。要对专门安全管理机构的负责人和关键岗位人员进行安全背景审查,加强管理。要对关键信息基础设施设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全。当采购产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。公安机关加强对关键信息基础设施安全服务机构的安全管理,为运营者开展安全保护工作提供支持。

第三十三条 【关键信息基础设施建设的安全保护要求】

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。

关联法规

◎ 法律

《社会保险法》

第七十五条 全国社会保险信息系统按照国家统一规划,由县级以上人民政府按照分级负责的原则共同建设。

◎ 行政法规

《电信条例》

第六十条 电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。

《关键信息基础设施安全保护条例》

第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

◎ 部门规章

《通信网络安全防护管理办法》

第六条 通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。

通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。

《公路水路关键信息基础设施安全保护管理办法》

第十条 新建、改建、扩建或者升级改造公路水路关键信息基础设施的,安全保护措施应当与公路水路关键信息基础设施同步规划、同步建设、同步使用。

运营者应当按照国家有关规定对安全保护措施予以验证。

第三十四条 【关键信息基础设施运营者安全保护义务】

除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:

(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;

(二)定期对从业人员进行网络安全教育、技术培训和技能考核;

(三)对重要系统和数据库进行容灾备份;

(四)制定网络安全事件应急预案,并定期进行演练;

(五)法律、行政法规规定的其他义务。

关联法规

◎ 行政法规

《关键信息基础设施安全保护条例》

第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。

第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。

第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。

第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:

(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;

(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;

(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;

(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;

(五)组织网络安全教育、培训;

(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;

(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;

(八)按照规定报告网络安全事件和重要事项。

第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。

第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。

发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。

第二十一条 运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。

◎ 部门规章

《通信网络安全防护管理办法》

第十三条 通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。

第十四条 通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。

通信网络运行单位应当参加电信管理机构组织开展的演练。

《公路水路关键信息基础设施安全保护管理办法》

第四条 公路水路关键信息基础设施安全保护坚持强化和落实公路水路关键信息基础设施运营者(以下简称运营者)主体责任,加强和规范交通运输主管部门监督管理,充分发挥社会各方面的作用,共同保护公路水路关键信息基础设施安全。

第十一条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对公路水路关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。

运营者应当明确管理本单位公路水路关键信息基础设施安全保护工作的具体负责人。

第十二条 运营者应当设置专门安全管理机构,明确负责人和关键岗位人员并进行安全背景审查和安全技能培训,符合要求的人员方能上岗。鼓励网络安全专门人才从事公路水路关键信息基础设施安全保护工作。

运营者应当保障专门安全管理机构的人员配备,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。

专门安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化或者必要时,运营者应当重新进行安全背景审查。

第十三条 运营者应当保障专门安全管理机构的运行经费,并依法依规严格规范经费使用和管理,防止资金挤占挪用。

重要网络设施和安全设备达到使用期限的,运营者应当优先保障设施设备更新经费。

第十六条 公路水路关键信息基础设施的网络安全保护等级应当不低于第三级。

运营者应当在网络安全等级保护的基础上,对公路水路关键信息基础设施实行重点保护,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障公路水路关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。

第二十条 运营者应当制定网络安全教育培训制度,定期开展网络安全教育培训和技能考核。教育培训的具体内容和学时应当遵守国家有关规定。

第二十一条 运营者应当建设本单位网络安全监测系统,对公路水路关键信息基础设施开展全天候监测和值班值守。

运营者应当加强本单位网络安全信息通报预警力量建设,依托国家网络与信息安全信息通报机制,及时收集、汇总、分析各方网络安全信息,组织开展网络安全威胁分析和态势研判,及时通报预警和处置。

第二十二条 运营者应当按照国家有关要求制定网络安全事件应急预案,建立网络安全事件应急处置机制,加强应急力量建设和应急资源储备,每年至少开展一次应急演练,并针对应急演练发现的突出问题和漏洞隐患,及时整改加固,完善保护措施。

第二十三条 部级设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当直接向交通运输部、公安机关报告,并立即启动本单位网络安全事件应急预案。

省级设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当立即向省级人民政府交通运输主管部门、公安机关报告,并启动本单位网络安全事件应急预案。省级人民政府交通运输主管部门应当将相关情况及时报告交通运输部。

公路水路关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时,交通运输部应当在收到报告后,及时向国家网信部门、国务院公安部门报告。

第三十五条 【关键信息基础设施采购的国家安全审查】

关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

关联法规

◎ 法律

《数据安全法》

第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

依法作出的安全审查决定为最终决定。

《国家安全法》

第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

《密码法》

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

◎ 行政法规

《关键信息基础设施安全保护条例》

第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。

《商用密码管理条例》

第三十九条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,使用的商用密码产品、服务应当经检测认证合格,使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。

第四十条 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

◎ 部门规章

《网络安全审查办法》

第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。

前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。

第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。

第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。

第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

第八条 当事人申报网络安全审查,应当提交以下材料:

(一)申报书;

(二)关于影响或者可能影响国家安全的分析报告;

(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;

(四)网络安全审查工作需要的其他材料。

第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。

第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;

(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;

(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;

(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。

第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。

第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。

第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。

第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。

第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。

第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。

第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。

第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。

国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。

《公路水路关键信息基础设施安全保护管理办法》

第十四条 运营者应当加强公路水路关键信息基础设施供应链安全管理,应当采购依法通过检测认证的网络关键设备和网络安全专用产品,优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。

鼓励运营者从已通过云计算服务安全评估的云计算服务平台中采购云计算服务。

第三十六条 【关键信息基础设施采购的安全保密要求】

关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。

关联法规

◎ 行政法规

《关键信息基础设施安全保护条例》

第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。

◎ 部门规章

《公路水路关键信息基础设施安全保护管理办法》

第十九条 运营者应当加强保密管理,按照国家有关规定与网络产品和服务提供者等必要人员签订安全保密协议,明确提供者等必要人员的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。

第三十七条 【关键信息基础设施数据存储和对外提供】

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

关联法规

◎ 法律

《数据安全法》

第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

《个人信息保护法》

第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备下列条件之一:

(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务;

(四)法律、行政法规或者国家网信部门规定的其他条件。

中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。

个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。

第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。

第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

第四十一条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供存储于境内个人信息的请求。非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

◎ 部门规章

《网络招聘服务管理规定》

第二十二条 从事网络招聘服务的人力资源服务机构因业务需要,确需向境外提供在中华人民共和国境内运营中收集和产生的个人信息和重要数据的,应当遵守国家有关法律、行政法规规定。

《汽车数据安全管理若干规定(试行)》

第十一条 重要数据应当依法在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估。未列入重要数据的涉及个人信息数据的出境安全管理,适用法律、行政法规的有关规定。

我国缔结或者参加的国际条约、协定有不同规定的,适用该国际条约、协定,但我国声明保留的条款除外。

第十二条 汽车数据处理者向境外提供重要数据,不得超出出境安全评估时明确的目的、范围、方式和数据种类、规模等。

国家网信部门会同国务院有关部门以抽查等方式核验前款规定事项,汽车数据处理者应当予以配合,并以可读等便利方式予以展示。

第十四条 向境外提供重要数据的汽车数据处理者应当在本规定第十三条要求的基础上,补充报告以下情况:

(一)接收者的基本情况;

(二)出境汽车数据的种类、规模、目的和必要性;

(三)汽车数据在境外的保存地点、期限、范围和方式;

(四)涉及向境外提供汽车数据的用户投诉和处理情况;

(五)国家网信部门会同国务院工业和信息化、公安、交通运输等有关部门明确的向境外提供汽车数据需要报告的其他情况。

《数据出境安全评估办法》

第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。

第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:

(一)数据处理者向境外提供重要数据;

(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;

(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;

(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项:

(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;

(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;

(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;

(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务;

(六)其他可能影响数据出境安全的事项。

第六条 申报数据出境安全评估,应当提交以下材料:

(一)申报书;

(二)数据出境风险自评估报告;

(三)数据处理者与境外接收方拟订立的法律文件;

(四)安全评估工作需要的其他材料。

第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。

国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。

第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:

(一)数据出境的目的、范围、方式等的合法性、正当性、必要性;

(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求;

(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;

(四)数据安全和个人信息权益是否能够得到充分有效保障;

(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;

(六)遵守中国法律、行政法规、部门规章情况;

(七)国家网信部门认为需要评估的其他事项。

第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容:

(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;

(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;

(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;

(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;

(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;

(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。

第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。

数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。

第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。

评估结果应当书面通知数据处理者。

第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。

第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估:

(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的;

(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的;

(三)出现影响出境数据安全的其他情形。

有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。

第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境安全管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。

《个人信息出境标准合同办法》

第三条 通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。

第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形:

(一)非关键信息基础设施运营者;

(二)处理个人信息不满100万人的;

(三)自上年1月1日起累计向境外提供个人信息不满10万人的;

(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

法律、行政法规或者国家网信部门另有规定的,从其规定。

个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

第五条 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:

(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;

(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;

(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;

(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;

(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;

(六)其他可能影响个人信息出境安全的事项。

第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。

个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。

标准合同生效后方可开展个人信息出境活动。

第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料:

(一)标准合同;

(二)个人信息保护影响评估报告。

个人信息处理者应当对所备案材料的真实性负责。

第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续:

(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;

(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;

(三)可能影响个人信息权益的其他情形。

《公路水路关键信息基础设施安全保护管理办法》

第十五条 运营者应当加强公路水路关键信息基础设施个人信息和数据安全保护,将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要,确需向境外提供数据的,应当按照国家相关规定进行安全评估;法律、行政法规另有规定的,依照其规定执行。

第三十八条 【关键信息基础设施的安全检测评估】

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

关联法规

◎ 法律

《密码法》

第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

◎ 行政法规

《关键信息基础设施安全保护条例》

第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。

《商用密码管理条例》

第三十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。

◎ 部门规章

《通信网络安全防护管理办法》

第十二条 通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患:

(一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;

(二)二级通信网络单元应当每两年进行一次安全风险评估。

国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估。

通信网络运行单位应当在安全风险评估结束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。

第十五条 通信网络运行单位应当建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测。

第十六条 通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。

工业和信息化部应当根据通信网络安全防护工作的需要,加强对前款规定的受托机构的安全评测、评估、监测能力指导。

《公路水路关键信息基础设施安全保护管理办法》

第十七条 运营者应当自行或者委托网络安全服务机构对公路水路关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改。部级设施的运营者应当直接向交通运输部报送相关情况;省级设施的运营者应当将相关情况报经省级人民政府交通运输主管部门审核后报送交通运输部。

第十八条 法律、行政法规和国家有关规定要求使用商用密码进行保护的公路水路关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。

商用密码应用安全性评估应当与公路水路关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。

第三十九条 【关键信息基础设施保护的统筹协作机制】

国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:

(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;

(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;

(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;

(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。

关联法规

◎ 行政法规

《关键信息基础设施安全保护条例》

第二十二条 保护工作部门应当制定本行业、本领域关键信息基础设施安全规划,明确保护目标、基本要求、工作任务、具体措施。

第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。

第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。

第二十七条 国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测,提出改进措施。

有关部门在开展关键信息基础设施网络安全检查时,应当加强协同配合、信息沟通,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。

第二十九条 在关键信息基础设施安全保护工作中,国家网信部门和国务院电信主管部门、国务院公安部门等应当根据保护工作部门的需要,及时提供技术支持和协助。

◎ 部门规章

《通信网络安全防护管理办法》

第十七条 电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。

电信管理机构可以采取以下检查措施:

(一)查阅通信网络运行单位的符合性评测报告和风险评估报告;

(二)查阅通信网络运行单位有关网络安全防护的文档和工作记录;

(三)向通信网络运行单位工作人员询问了解有关情况;

(四)查验通信网络运行单位的有关设施;

(五)对通信网络进行技术性分析和测试;

(六)法律、行政法规规定的其他检查措施。

第十八条 电信管理机构可以委托专业机构开展通信网络安全检查活动。

第二十条 电信管理机构对通信网络安全防护工作进行检查,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。

《公路水路关键信息基础设施安全保护管理办法》

第二十六条 交通运输部应当按照国家网络安全事件应急预案的要求,建立健全公路水路网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。

省级人民政府交通运输主管部门应当依据前款规定组织做好本行政区域内公路水路网络安全事件应急预案、应急演练相关工作,并将应急预案、应急演练情况及时报告交通运输部。省级人民政府交通运输主管部门应当指导省级设施运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。

第二十七条 交通运输主管部门应当定期组织开展公路水路关键信息基础设施网络安全检查检测,指导监督运营者建立问题台账,制定整改方案,及时整改安全隐患、完善安全措施。省级人民政府交通运输主管部门应当将检查检测情况及时报告交通运输部。

公路水路关键信息基础设施网络安全检查检测应当在国家网信部门的统筹协调下开展,避免不必要的检查和交叉重复检查。检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

第四章 网络信息安全

第四十条 【网络运营者用户信息保护制度】

网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

关联法规

◎ 法律

《个人信息保护法》

第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。

《关于加强网络信息保护的决定》

三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

◎ 部门规章

《电信和互联网用户个人信息保护规定》

第十条 电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。

第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。

第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。

《网络招聘服务管理规定》

第二十一条 人力资源服务机构从事网络招聘服务时收集、使用其用户个人信息,应当遵守法律、行政法规有关个人信息保护的规定。

人力资源服务机构应当建立健全网络招聘服务用户信息保护制度,不得泄露、篡改、毁损或者非法出售、非法向他人提供其收集的个人公民身份号码、年龄、性别、住址、联系方式和用人单位经营状况等信息。

人力资源服务机构应当对网络招聘服务用户信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。

《互联网信息服务算法推荐管理规定》

第二十九条 参与算法推荐服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的个人隐私、个人信息和商业秘密应当依法予以保密,不得泄露或者非法向他人提供。

《数据出境安全评估办法》

第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。

第四十一条 【网络运营者个人信息处理规则】

网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

关联法规

◎ 法律

《民法典》

第一千零三十五条 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:

(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;

(二)公开处理信息的规则;

(三)明示处理信息的目的、方式和范围;

(四)不违反法律、行政法规的规定和双方的约定。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。

第一千零三十六条 处理个人信息,有下列情形之一的,行为人不承担民事责任:

(一)在该自然人或者其监护人同意的范围内合理实施的行为;

(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;

(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。

《数据安全法》

第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。

法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

《个人信息保护法》

第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。

收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。

第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:

(一)取得个人的同意;

(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;

(三)为履行法定职责或者法定义务所必需;

(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;

(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;

(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;

(七)法律、行政法规规定的其他情形。

依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。

第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。

第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。

个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。

第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(一)个人信息处理者的名称或者姓名和联系方式;

(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(三)个人行使本法规定权利的方式和程序;

(四)法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。

第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。

紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。

第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。

第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。

个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。

第二十一条 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督。

受托人应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止的,受托人应当将个人信息返还个人信息处理者或者予以删除,不得保留。

未经个人信息处理者同意,受托人不得转委托他人处理个人信息。

第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。

第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。

通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。

第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。

第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。

第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。

第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

《未成年人保护法》

第七十二条 信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。

未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。

《关于加强网络信息保护的决定》

二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。

网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

◎ 司法解释

《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第二条 信息处理者处理人脸信息有下列情形之一的,人民法院应当认定属于侵害自然人人格权益的行为:

(一)在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析;

(二)未公开处理人脸信息的规则或者未明示处理的目的、方式、范围;

(三)基于个人同意处理人脸信息的,未征得自然人或者其监护人的单独同意,或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意;

(四)违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等;

(五)未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、篡改、丢失;

(六)违反法律、行政法规的规定或者双方的约定,向他人提供人脸信息;

(七)违背公序良俗处理人脸信息;

(八)违反合法、正当、必要原则处理人脸信息的其他情形。

第五条 有下列情形之一,信息处理者主张其不承担民事责任的,人民法院依法予以支持:

(一)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息的;

(二)为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术的;

(三)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息的;

(四)在自然人或者其监护人同意的范围内合理处理人脸信息的;

(五)符合法律、行政法规规定的其他情形。

◎ 部门规章

《电信和互联网用户个人信息保护规定》

第五条 电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息,应当遵循合法、正当、必要的原则。

第八条 电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。

第九条 未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项。

电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。

电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。

法律、行政法规对本条第一款至第四款规定的情形另有规定的,从其规定。

第十一条 电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。

《儿童个人信息网络保护规定》

第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。

第九条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。

第十条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:

(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;

(二)儿童个人信息存储的地点、期限和到期后的处理方式;

(三)儿童个人信息的安全保障措施;

(四)拒绝的后果;

(五)投诉、举报的渠道和方式;

(六)更正、删除儿童个人信息的途径和方法;

(七)其他应当告知的事项。

前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。

第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。

第十二条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。

第十三条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。

第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。

第十五条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

第十六条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。

前款规定的受委托方,应当履行以下义务:

(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;

(二)协助网络运营者回应儿童监护人提出的申请;

(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

(四)委托关系解除时及时删除儿童个人信息;

(五)不得转委托;

(六)其他依法应当履行的儿童个人信息保护义务。

第二十三条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

《移动互联网应用程序信息服务管理规定》

第十二条 应用程序提供者处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的并公开处理规则,遵守必要个人信息范围的有关规定,规范个人信息处理活动,采取必要措施保障个人信息安全,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。

《生成式人工智能服务管理暂行办法》

第十一条 提供者对使用者的输入信息和使用记录应当依法履行保护义务,不得收集非必要个人信息,不得非法留存能够识别使用者身份的输入信息和使用记录,不得非法向他人提供使用者的输入信息和使用记录。

提供者应当依法及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求。

第四十二条 【网络运营者个人信息保护义务】

网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

关联法规

◎ 法律

《民法典》

第一千零三十八条 信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。

信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,按照规定告知自然人并向有关主管部门报告。

《个人信息保护法》

第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。

第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:

(一)制定内部管理制度和操作规程;

(二)对个人信息实行分类管理;

(三)采取相应的加密、去标识化等安全技术措施;

(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

(五)制定并组织实施个人信息安全事件应急预案;

(六)法律、行政法规规定的其他措施。

第五十二条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十三条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:

(一)处理敏感个人信息;

(二)利用个人信息进行自动化决策;

(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;

(四)向境外提供个人信息;

(五)其他对个人权益有重大影响的个人信息处理活动。

第五十六条 个人信息保护影响评估应当包括下列内容:

(一)个人信息的处理目的、处理方式等是否合法、正当、必要;

(二)对个人权益的影响及安全风险;

(三)所采取的保护措施是否合法、有效并与风险程度相适应。

个人信息保护影响评估报告和处理情况记录应当至少保存三年。

第五十七条 发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:

(一)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害;

(二)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施;

(三)个人信息处理者的联系方式。

个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人。

第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:

(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;

(四)定期发布个人信息保护社会责任报告,接受社会监督。

第五十九条 接受委托处理个人信息的受托人,应当依照本法和有关法律、行政法规的规定,采取必要措施保障所处理的个人信息的安全,并协助个人信息处理者履行本法规定的义务。

《反电信网络诈骗法》

第二十九条 个人信息处理者应当依照《中华人民共和国个人信息保护法》等法律规定,规范个人信息处理,加强个人信息保护,建立个人信息被用于电信网络诈骗的防范机制。

履行个人信息保护职责的部门、单位对可能被电信网络诈骗利用的物流信息、交易信息、贷款信息、医疗信息、婚介信息等实施重点保护。公安机关办理电信网络诈骗案件,应当同时查证犯罪所利用的个人信息来源,依法追究相关人员和单位责任。

《关于加强网络信息保护的决定》

四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。

◎ 部门规章

《互联网安全保护技术措施规定》

第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息,但法律、法规另有规定的除外。

互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施,不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。

《电信和互联网用户个人信息保护规定》

第六条 电信业务经营者、互联网信息服务提供者对其在提供服务过程中收集、使用的用户个人信息的安全负责。

第十三条 电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失:

(一)确定各部门、岗位和分支机构的用户个人信息安全管理责任;

(二)建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度;

(三)对工作人员及代理人实行权限管理,对批量导出、复制、销毁信息实行审查,并采取防泄密措施;

(四)妥善保管记录用户个人信息的纸介质、光介质、电磁介质等载体,并采取相应的安全储存措施;

(五)对储存用户个人信息的信息系统实行接入审查,并采取防入侵、防病毒等措施;

(六)记录对用户个人信息进行操作的人员、时间、地点、事项等信息;

(七)按照电信管理机构的规定开展通信网络安全防护工作;

(八)电信管理机构规定的其他必要措施。

第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其许可或者备案的电信管理机构报告,配合相关部门进行的调查处理。

电信管理机构应当对报告或者发现的可能违反本规定的行为的影响进行评估;影响特别重大的,相关省、自治区、直辖市通信管理局应当向工业和信息化部报告。电信管理机构在依据本规定作出处理决定前,可以要求电信业务经营者和互联网信息服务提供者暂停有关行为,电信业务经营者和互联网信息服务提供者应当执行。

《儿童个人信息网络保护规定》

第十八条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。

第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

《互联网用户账号信息管理规定》

第十六条 互联网信息服务提供者应当依法保护和处理互联网用户账号信息中的个人信息,并采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失。

《生成式人工智能服务管理暂行办法》

第九条 提供者应当依法承担网络信息内容生产者责任,履行网络信息安全义务。涉及个人信息的,依法承担个人信息处理者责任,履行个人信息保护义务。

提供者应当与注册其服务的生成式人工智能服务使用者(以下称使用者)签订服务协议,明确双方权利义务。

第四十三条 【不当处理个人信息的权益救济】

个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

关联法规

◎ 法律

《民法典》

第一千零三十七条 自然人可以依法向信息处理者查阅或者复制其个人信息;发现信息有错误的,有权提出异议并请求及时采取更正等必要措施。

自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。

《个人信息保护法》

第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。

第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。

个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。

个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。

第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。

个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。

第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:

(一)处理目的已实现、无法实现或者为实现处理目的不再必要;

(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;

(三)个人撤回同意;

(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

(五)法律、行政法规规定的其他情形。

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。

第四十九条 自然人死亡的,其近亲属为了自身的合法、正当利益,可以对死者的相关个人信息行使本章规定的查阅、复制、更正、删除等权利;死者生前另有安排的除外。

第五十条 个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。

个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。

◎ 部门规章

《儿童个人信息网络保护规定》

第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:

(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;

(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;

(三)儿童监护人撤回同意的;

(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。

第四十四条 【禁止非法获取和提供个人信息】

任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

关联法规

◎ 法律

《个人信息保护法》

第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。

《关于加强网络信息保护的决定》

一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。

任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。

权威案例

◎ 典型案例

鲁某等侵犯公民个人信息案 【侵犯公民个人信息犯罪典型案例之五(2017年5月16日)】

典型意义: 检察机关注重发挥法律监督职能,加强刑事立案监督,确保案件监督效果。一是提前介入,适时引导侦查。鉴于本案案情复杂,检察机关提前介入,对已经形成的犯罪嫌疑人供述和证人证言进行审阅,同时查看了侦查机关扣押的犯罪嫌疑人电脑中所存储的公民个人信息,就取证方向和证据的收集、固定向侦查机关提出了固定公民个人信息数据、资金往来账单、“快递提取”软件,制作电子物证检查笔录等建议,提高了案件的办案质量和诉讼效率。二是有效沟通,统一司法认识。针对公民个人信息和定罪量刑标准的把握,检察机关与公安、法院及时沟通,统一了司法思想和司法尺度。三是深挖线索,加强立案监督。检察机关审查案件后发现涉案的新泰市某快递公司负责人将K8软件和工号出卖给鲁某,用于查看和复制该快递公司的订单信息。王某向鲁某购买公民个人信息约8万余条,交易金额达6万余元,王某将购买的公民个人信息用于电话促销保健品。该快递公司和王某均涉嫌侵犯公民个人信息罪。检察机关启动了立案监督程序,新泰市公安局对该快递公司和王某以涉嫌侵犯公民个人信息罪立案侦查。

陈某辉等7人诈骗、侵犯公民个人信息案 【电信网络诈骗犯罪典型案例之一(2019年11月19日)】

典型意义: 电信网络诈骗类案件近年高发、多发,严重侵害人民群众的财产安全和合法权益,破坏社会诚信,影响社会的和谐稳定。山东高考考生徐某玉因家中筹措的9000余元学费被诈骗,悲愤之下引发猝死,舆论反应强烈,对电信网络诈骗犯罪案件的打击问题再次引发了社会的广泛关注。为加大打击惩处力度,2016年12月,“两高一部”共同制定出台了《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,明确对诈骗造成被害人自杀、死亡或者精神失常等严重后果的,冒充司法机关等国家机关工作人员实施诈骗的,组织、指挥电信网络诈骗犯罪团伙的,诈骗在校学生财物的,要酌情从重处罚。本案是适用《意见》审理的第一例大要案,在罪责刑相适应原则的前提下,对被告人陈某辉顶格判处,充分体现了对电信网络诈骗犯罪分子依法从严惩处的精神。

江苏王某涛、董某婷侵犯公民个人信息案 【检察机关落实“七号检察建议”典型案例之四(2022年11月23日)】

典型意义: 检察机关办理涉及侵犯公民个人信息等寄递安全犯罪案件过程中,应当及时发现民事、行政公益诉讼线索,从刑事、民事和行政责任方面依法全面履行法律监督职责,切实维护国家和社会公共利益。加强与邮政管理等部门的协调配合,注重挖掘深层次问题,延伸检察职能,开展诉源治理,充分利用检察建议等手段,督促企业合规经营,健全完善寄递安全管理制度机制,织密寄递安全防护网。

谢某、李某甲等人侵犯公民个人信息案 【检察机关依法惩治侵犯公民个人信息犯罪典型案例之三(2022年12月2日)】

典型意义: (一)从严惩处,全面打击上下游犯罪。侵犯公民个人信息犯罪往往呈现链条化、产业化特征,严重影响人民群众安全感,对“上游窃取信息—中间购买加工—下游运营获利”的链条式犯罪,通过加强检警协作,深挖上下游犯罪,从窃取源头到出售末端,全面排查、精准打击,彻底斩断犯罪链条。

(二)区分情形、区别对待,落实宽严相济刑事政策。对犯罪嫌疑人众多的侵犯公民个人信息犯罪,要结合犯罪嫌疑人在共同犯罪中的地位、作用、主观恶性、犯罪情节等,依法区分主从犯,分类处理。对主犯、“职业惯犯”以及利用未成年人实施犯罪的,要依法从严处理,当捕则捕,当诉则诉,并建议从严判处实刑。对认罪认罚、积极退赃退赔,初犯、偶犯,作用较小、获利较少的从犯,要依法从宽处理,采取非羁押措施,依法不起诉或者建议判处缓刑。

(三)延伸职能,注重诉源治理。检察机关在办案中,要注意分析案件反映出的问题,加强与相关职能部门沟通,通过检察建议等方式提示风险、督促改进,及时堵塞社会治理漏洞,促进形成保护公民个人信息的合力。

第四十五条 【网络安全监管部门的保密义务】

依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。

关联法规

◎ 法律

《民法典》

第一千零三十九条 国家机关、承担行政职能的法定机构及其工作人员对于履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。

《数据安全法》

第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。

《反电信网络诈骗法》

第五条 反电信网络诈骗工作应当依法进行,维护公民和组织的合法权益。

有关部门和单位、个人应当对在反电信网络诈骗工作过程中知悉的国家秘密、商业秘密和个人隐私、个人信息予以保密。

《社会保险法》

第八十一条 社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员,应当依法为用人单位和个人的信息保密,不得以任何形式泄露。

《密码法》

第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。

密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。

◎ 行政法规

《关键信息基础设施安全保护条例》

第三十条 网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。

《国务院关于在线政务服务的若干规定》

第十四条 政务服务机构及其工作人员泄露、出售或者非法向他人提供履行职责过程中知悉的个人信息、隐私和商业秘密,或者不依法履行职责,玩忽职守、滥用职权、徇私舞弊的,依法追究法律责任。

◎ 部门规章

《通信网络安全防护管理办法》

第二十一条 电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私,有保密的义务。

《公安机关互联网安全监督检查规定》

第五条 公安机关及其工作人员对履行互联网安全监督检查职责中知悉的个人信息、隐私、商业秘密和国家秘密,应当严格保密,不得泄露、出售或者非法向他人提供。

公安机关及其工作人员在履行互联网安全监督检查职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。

《个人信息出境标准合同办法》

第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。

《网信部门行政执法程序规定》

第六条 网信部门及其执法人员对在执法过程中知悉的国家秘密、商业秘密或者个人隐私,应当依法予以保密。

《生成式人工智能服务管理暂行办法》

第十九条 有关主管部门依据职责对生成式人工智能服务开展监督检查,提供者应当依法予以配合,按要求对训练数据来源、规模、类型、标注规则、算法机制机理等予以说明,并提供必要的技术、数据等支持和协助。

参与生成式人工智能服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密,不得泄露或者非法向他人提供。

◎ 部门规范性文件

《互联网新闻信息服务新技术新应用安全评估管理规定》

第十四条 组织开展新技术新应用安全评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。

《监管数据安全管理办法(试行)》

第五条 开展监管数据活动,必须遵守相关法律和行政法规。任何单位和个人对在监管数据活动中知悉的国家秘密、工作秘密、商业秘密和个人信息,应当依照相关规定予以保密。

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

第十五条 网信部门、公安机关及其工作人员对在履行职责中知悉的国家秘密、商业秘密和个人信息应当严格保密,不得泄露、出售或者非法向他人提供。

第四十六条 【禁止利用网络从事违法活动】

任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

权威案例

◎ 典型案例

陈某等9人诈骗案 【电信网络诈骗犯罪典型案例之五(2019年11月19日)】

典型意义: 当前,一些诈骗分子利用广大群众特别是一些患有特殊疾病或者中老年群众关注自身身体健康的心理,专门针对这些群体,推销所谓的“药品”或者是不具有药品功效的保健品、食品,骗取巨额款项,社会影响极为恶劣。本案以被告人陈某为首的诈骗集团成立公司为掩护,专门以各种男女生理疾病人群为目标,通过在网络、微信等载体发布虚假广告,假扮名医利用电话或微信“问诊”,采用扩大病情、发送“成功案例”等手段实施诈骗,受害人遍布全国多地,涉案金额高达1000余万元,系特大电信诈骗案件,与本案关联的其他7起窝案、串案经依法审理,85名涉案被告人均以诈骗罪定罪处罚。

江苏省南通市张某诈骗案 【全国检察机关依法办理妨害新冠肺炎疫情防控犯罪典型案例(第二批)之三(2020年2月19日)】

法律要旨: 在疫情防控期间,假借研制、生产或者销售用于疫情防控的物品的名义骗取公私财物,或者捏造事实骗取公众捐赠款物数额较大的,依照刑法第二百六十六条的规定,以诈骗罪定罪处罚。

马某某诈骗案 【人民法院依法惩处妨害疫情防控犯罪典型案例(第二批)之七(2020年4月2日)】

裁判要旨: 妨害疫情防控刑事案件中,口罩诈骗案件占比达40%左右,其中以电信网络诈骗案件为主。本案被告人利用疫情期间人们急需口罩的心理,通过电信网络实施诈骗犯罪,短短几天时间即从多名被害人处骗取93万元,达到诈骗罪数额特别巨大的标准,应当判处十年以上有期徒刑。人民法院综合考虑其无法退赔,但具有自首等情节,依法作出判决。

祝某走私、运输毒品案 【最高人民法院发布2020年十大毒品(涉毒)犯罪典型案例之四(2020年6月23日)】

典型意义: 毒品犯罪分子为逃避处罚,以高额回报为诱饵,通过网络招募无案底的年轻人从境外将毒品运回内地,此类案件近年来时有发生,已成为我国毒品犯罪的一个新动向。本案就是一起典型的无案底年轻人通过手机网络接受他人雇用走私、运输毒品的案例。被告人祝某为获取高额报酬,在网络上接受他人雇用走私、运输毒品,犯下严重罪行。祝某归案后辩解其不知晓携带的拉杆箱内藏有毒品,与在案证据证实的情况不符。人民法院根据祝某犯罪的事实、性质和具体情节,依法对其判处无期徒刑,体现了对毒品犯罪的严惩。

卞某晨等贩卖毒品、非法利用信息网络案 【最高人民法院发布2020年十大毒品(涉毒)犯罪典型案例之五(2020年6月23日)】

典型意义: 随着信息化时代的到来,各类网络平台、自媒体等发展迅速,在社会生活中扮演十分重要的角色。同时,一些违法犯罪分子利用网络平台便于隐匿身份、信息传播迅速、不受地域限制等特点,创建或经营管理非法论坛、直播平台等,实施涉毒品违法犯罪活动。本案就是一起被告人种植、贩卖大麻并利用非法论坛发布相关违法犯罪信息的案例。被告人卞某晨指使其父卞某磊种植大麻,二人配合进行贩卖,卞某晨还长期管理传播种植大麻方法、贩卖成品大麻的非法论坛,同时犯两罪。人民法院依法对二被告人判处了相应刑罚。

杨某瑞等11人诈骗案 【充分发挥检察职能 推进网络空间治理典型案例之二(2021年1月25日)】

典型意义: (一)依法严惩以直播打赏为名实施的诈骗行为。对于犯罪分子虚构网络身份、冒充主播,使用话术建立虚假恋爱关系,采用线上线下相结合方式,使被害人陷入错误认识而骗取财物的,依法应认定为诈骗犯罪。这类诈骗犯罪不仅侵害人民群众财产安全,也严重危害网络直播行业生态,必须依法精准打击。

(二)理性参与网络直播,切实维护自身利益。网络直播在为用户提供更具参与性和人际互动性的良好体验的同时,也容易助长违法犯罪和社会不良风气。对于广大用户而言,关键是要以健康心态参与网络直播互动,切不可抱着“猎奇”“猎艳”等不良心态,落入违法犯罪分子精心编织的“陷阱”。

(三)加强平台监管治理,维护直播行业良好秩序。网络平台要切实担起主体责任,加大对直播行为的常态化排查和技术管控,强化各平台之间的信息共享,对列入“黑名单”主播施以严格联动管理,彻底封住其违规复活之路,净化网络直播空间生态。

张某勇、张某明等25人开设赌场案 【充分发挥检察职能 推进网络空间治理典型案例之八(2021年1月25日)】

典型意义: (一)准确认定网络赌博本质,依法严惩新型网络开设赌场犯罪。近年来,网络赌博犯罪日益多发隐蔽,手段花样翻新。犯罪分子通过搭建网络赌博平台,打着网上购物、网络游戏等“幌子”,接受投注,吸引社会公众参与赌博。此类犯罪模式新颖,隐蔽性更强,赌客参与便利,危害性更大。要透过犯罪行为表象,通过对其运营模式、盈利手段、资金流向等的分析,认定赌博、开设赌场犯罪本质,依法从严惩处;敦促涉案人员主动退赃,不让犯罪分子从犯罪活动中获利,有力遏制网络赌博犯罪活动。

(二)树立正确的价值观财富观,远离网络赌博。赌博是社会毒瘤。广大民众要坚持勤劳致富、依法致富的理念,切勿心存幻想参与赌博。在面对层出不穷的网络赌博形式和营销手段时,要擦亮双眼,分清正规的购物、游戏平台与以购物、游戏为名的赌博网站,正常娱乐活动和聚众赌博的界限。一旦误入歧途,轻则遭受财产损失,重则倾家荡产,甚至可能构成犯罪。

(三)加强对网站软件的监管。相关部门要加强对购物网站、游戏平台等各类App软件、小程序的日常监管,网络平台要加强技术管控,准确识别新型违法犯罪形式,及时处理举报线索,防止互联网为犯罪分子所利用,侵害社会公众利益,败坏社会风气。

“e租宝”集资诈骗、非法吸收公众存款案 【人民法院依法惩治金融犯罪典型案例之一(2022年9月22日)】

典型意义: 本案是利用互联网金融模式实施非法集资犯罪的典型案例。被告单位安徽钰某控股集团、钰某国际控股集团有限公司打着“金融创新”的旗号,依托互联网金融平台,以互联网金融创新、虚拟货币投资、网络借贷等为幌子,以高额利息为诱饵,虚构融资租赁项目,持续采用借旧还新、自我担保等方式进行非法集资活动,是一个彻头彻尾的“庞氏骗局”。本案涉案数额特别巨大,涉及众多集资参与人,造成集资参与人巨额经济损失,严重损害投资者合法权益,严重危害国家金融安全,犯罪情节、后果特别严重,应依法严惩。法院以集资诈骗罪判处被告人丁某1、丁某2无期徒刑,并判处被告单位安徽钰某控股集团、钰某国际控股集团有限公司巨额罚金,充分体现了从严惩处的精神。

赵某等人寻衅滋事案 【检察机关依法惩治涉网络黑恶犯罪典型案例之四(2022年12月30日)】

典型意义: 信息化时代人们的正常生活难以离开网络,信息网络的快速便捷性导致滋扰、纠缠、辱骂、威胁行为成本低,利用信息网络实施“软暴力”催收具有传播快、强度大、危害严重等特点。行为人可以不分时段、不分对象不间断实施滋扰、威胁等行为,制造、编造的欠款人负面信息、泄露的个人隐私在网络空间传播迅速,范围广泛,对当事人人格尊严、生活秩序造成严重损害。检察机关应当深刻认识非法催收行为的趋势变化,高度重视该类行为的危害性,切实加强与公安机关等部门的协作配合,及时收集处置群众反映的问题线索,打早打小,除恶务尽。

同时,惩治“软暴力”催收并不是保护、放纵“老赖”,目的是规范催收方式,打击“软暴力”催收这一越界手段行为,维护正常的纠纷解决秩序和网贷市场秩序。对于确实有合法债务纠纷,要区分“软暴力”催收的具体情节、后果的严重程度,视情分别采用行政手段或刑事手段予以打击治理。要重点打击违法违规获得、利用公民个人信息,尤其是针对债务人之外的其他人员的滋扰、威胁、恐吓行为。

第四十七条 【网络运营者违法信息处置义务】

网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

关联法规

◎ 法律

《民法典》

第一千一百九十五条 网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。

网络服务提供者接到通知后,应当及时将该通知转送相关网络用户,并根据构成侵权的初步证据和服务类型采取必要措施;未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。

权利人因错误通知造成网络用户或者网络服务提供者损害的,应当承担侵权责任。法律另有规定的,依照其规定。

第一千一百九十六条 网络用户接到转送的通知后,可以向网络服务提供者提交不存在侵权行为的声明。声明应当包括不存在侵权行为的初步证据及网络用户的真实身份信息。

网络服务提供者接到声明后,应当将该声明转送发出通知的权利人,并告知其可以向有关部门投诉或者向人民法院提起诉讼。网络服务提供者在转送声明到达权利人后的合理期限内,未收到权利人已经投诉或者提起诉讼通知的,应当及时终止所采取的措施。

《未成年人保护法》

第七十七条 任何组织或者个人不得通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为。

遭受网络欺凌的未成年人及其父母或者其他监护人有权通知网络服务提供者采取删除、屏蔽、断开链接等措施。网络服务提供者接到通知后,应当及时采取必要的措施制止网络欺凌行为,防止信息扩散。

第八十条 网络服务提供者发现用户发布、传播可能影响未成年人身心健康的信息且未作显著提示的,应当作出提示或者通知用户予以提示;未作出提示的,不得传输相关信息。

网络服务提供者发现用户发布、传播含有危害未成年人身心健康内容的信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,保存有关记录,并向网信、公安等部门报告。

网络服务提供者发现用户利用其网络服务对未成年人实施违法犯罪行为的,应当立即停止向该用户提供网络服务,保存有关记录,并向公安机关报告。

《保守国家秘密法》

第二十八条 互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的,应当立即停止传输,保存有关记录,向公安机关、国家安全机关或者保密行政管理部门报告;应当根据公安机关、国家安全机关或者保密行政管理部门的要求,删除涉及泄露国家秘密的信息。

《关于加强网络信息保护的决定》

五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

八、公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。

《反恐怖主义法》

第十九条 电信业务经营者、互联网服务提供者应当依照法律、行政法规规定,落实网络安全、信息内容监督制度和安全技术防范措施,防止含有恐怖主义、极端主义内容的信息传播;发现含有恐怖主义、极端主义内容的信息的,应当立即停止传输,保存相关记录,删除相关信息,并向公安机关或者有关部门报告。

网信、电信、公安、国家安全等主管部门对含有恐怖主义、极端主义内容的信息,应当按照职责分工,及时责令有关单位停止传输、删除相关信息,或者关闭相关网站、关停相关服务。有关单位应当立即执行,并保存相关记录,协助进行调查。对互联网上跨境传输的含有恐怖主义、极端主义内容的信息,电信主管部门应当采取技术措施,阻断传播。

◎ 行政法规

《互联网信息服务管理办法》

第十六条 互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。

《电信条例》

第六十一条 在公共信息服务中,电信业务经营者发现电信网络中传输的信息明显属于本条例第五十六条所列内容的,应当立即停止传输,保存有关记录,并向国家有关机关报告。

◎ 部门规章

《互联网新闻信息服务管理规定》

第十六条 互联网新闻信息服务提供者和用户不得制作、复制、发布、传播法律、行政法规禁止的信息内容。

互联网新闻信息服务提供者提供服务过程中发现含有违反本规定第三条或前款规定内容的,应当依法立即停止传输该信息、采取消除等处置措施,保存有关记录,并向有关主管部门报告。

《互联网文化管理暂行规定》

第十九条 互联网文化单位发现所提供的互联网文化产品含有本规定第十六条所列内容之一的,应当立即停止提供,保存有关记录,向所在地省、自治区、直辖市人民政府文化行政部门报告并抄报文化部。

《区块链信息服务管理规定》

第七条 区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约。

第十六条 区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者,依法依约采取警示、限制功能、关闭账号等处置措施,对违法信息内容及时采取相应的处理措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

《网络信息内容生态治理规定》

第十条 网络信息内容服务平台不得传播本规定第六条规定的信息,应当防范和抵制传播本规定第七条规定的信息。

网络信息内容服务平台应当加强信息内容的管理,发现本规定第六条、第七条规定的信息的,应当依法立即采取处置措施,保存有关记录,并向有关主管部门报告。

第十一条 鼓励网络信息内容服务平台坚持主流价值导向,优化信息推荐机制,加强版面页面生态管理,在下列重点环节(包括服务类型、位置版块等)积极呈现本规定第五条规定的信息:

(一)互联网新闻信息服务首页首屏、弹窗和重要新闻信息内容页面等;

(二)互联网用户公众账号信息服务精选、热搜等;

(三)博客、微博客信息服务热门推荐、榜单类、弹窗及基于地理位置的信息服务版块等;

(四)互联网信息搜索服务热搜词、热搜图及默认搜索等;

(五)互联网论坛社区服务首页首屏、榜单类、弹窗等;

(六)互联网音视频服务首页首屏、发现、精选、榜单类、弹窗等;

(七)互联网网址导航服务、浏览器服务、输入法服务首页首屏、榜单类、皮肤、联想词、弹窗等;

(八)数字阅读、网络游戏、网络动漫服务首页首屏、精选、榜单类、弹窗等;

(九)生活服务、知识服务平台首页首屏、热门推荐、弹窗等;

(十)电子商务平台首页首屏、推荐区等;

(十一)移动应用商店、移动智能终端预置应用软件和内置信息内容服务首屏、推荐区等;

(十二)专门以未成年人为服务对象的网络信息内容专栏、专区和产品等;

(十三)其他处于产品或者服务醒目位置、易引起网络信息内容服务使用者关注的重点环节。

网络信息内容服务平台不得在以上重点环节呈现本规定第七条规定的信息。

《互联网信息服务算法推荐管理规定》

第九条 算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。

发现违法信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信部门和有关部门报告。发现不良信息的,应当按照网络信息内容生态治理有关规定予以处置。

《互联网用户账号信息管理规定》

第六条 互联网信息服务提供者应当依照法律、行政法规和国家有关规定,制定和公开互联网用户账号管理规则、平台公约,与互联网用户签订服务协议,明确账号信息注册、使用和管理相关权利义务。

第十五条 互联网信息服务提供者应当建立账号信息动态核验制度,适时核验存量账号信息,发现不符合本规定要求的,应当暂停提供服务并通知用户限期改正;拒不改正的,应当终止提供服务。

第十七条 互联网信息服务提供者发现互联网用户注册、使用账号信息违反法律、行政法规和本规定的,应当依法依约采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施,保存有关记录,并及时向网信等有关主管部门报告。

《互联网信息服务深度合成管理规定》

第八条 深度合成服务提供者应当制定和公开管理规则、平台公约,完善服务协议,依法依约履行管理责任,以显著方式提示深度合成服务技术支持者和使用者承担信息安全义务。

第十条 深度合成服务提供者应当加强深度合成内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核。

深度合成服务提供者应当建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序,记录并留存相关网络日志。

深度合成服务提供者发现违法和不良信息的,应当依法采取处置措施,保存有关记录,及时向网信部门和有关主管部门报告;对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。

第十一条 深度合成服务提供者应当建立健全辟谣机制,发现利用深度合成服务制作、复制、发布、传播虚假信息的,应当及时采取辟谣措施,保存有关记录,并向网信部门和有关主管部门报告。

第十三条 互联网应用商店等应用程序分发平台应当落实上架审核、日常管理、应急处置等安全管理责任,核验深度合成类应用程序的安全评估、备案等情况;对违反国家有关规定的,应当及时采取不予上架、警示、暂停服务或者下架等处置措施。

《生成式人工智能服务管理暂行办法》

第十四条 提供者发现违法内容的,应当及时采取停止生成、停止传输、消除等处置措施,采取模型优化训练等措施进行整改,并向有关主管部门报告。

提供者发现使用者利用生成式人工智能服务从事违法活动的,应当依法依约采取警示、限制功能、暂停或者终止向其提供服务等处置措施,保存有关记录,并向有关主管部门报告。

◎ 部门规范性文件

《即时通信工具公众信息服务发展管理暂行规定》

第七条 即时通信工具服务使用者为从事公众信息服务活动开设公众账号,应当经即时通信工具服务提供者审核,由即时通信工具服务提供者向互联网信息内容主管部门分类备案。

新闻单位、新闻网站开设的公众账号可以发布、转载时政类新闻,取得互联网新闻信息服务资质的非新闻单位开设的公众账号可以转载时政类新闻。其他公众账号未经批准不得发布、转载时政类新闻。

即时通信工具服务提供者应当对可以发布或转载时政类新闻的公众账号加注标识。

鼓励各级党政机关、企事业单位和各人民团体开设公众账号,服务经济社会发展,满足公众需求。

第八条 即时通信工具服务使用者从事公众信息服务活动,应当遵守相关法律法规。

对违反协议约定的即时通信工具服务使用者,即时通信工具服务提供者应当视情节采取警示、限制发布、暂停更新直至关闭账号等措施,并保存有关记录,履行向有关主管部门报告义务。

《互联网信息搜索服务管理规定》

第八条 互联网信息搜索服务提供者提供服务过程中发现搜索结果明显含有法律法规禁止内容的信息、网站及应用,应当停止提供相关搜索结果,保存有关记录,并及时向国家或者地方互联网信息办公室报告。

《互联网群组信息服务管理规定》

第九条 互联网群组建立者、管理者应当履行群组管理责任,依据法律法规、用户协议和平台公约,规范群组网络行为和信息发布,构建文明有序的网络群体空间。

互联网群组成员在参与群组信息交流时,应当遵守法律法规,文明互动、理性表达。

互联网群组信息服务提供者应为群组建立者、管理者进行群组管理提供必要功能权限。

第十一条 互联网群组信息服务提供者应当对违反法律法规和国家有关规定的互联网群组,依法依约采取警示整改、暂停发布、关闭群组等处置措施,保存有关记录,并向有关主管部门报告。

互联网群组信息服务提供者应当对违反法律法规和国家有关规定的群组建立者、管理者等使用者,依法依约采取降低信用等级、暂停管理权限、取消建群资格等管理措施,保存有关记录,并向有关主管部门报告。

互联网群组信息服务提供者应当建立黑名单管理制度,对违法违约情节严重的群组及建立者、管理者和成员纳入黑名单,限制群组服务功能,保存有关记录,并向有关主管部门报告。

《互联网论坛社区服务管理规定》

第七条 互联网论坛社区服务提供者应当加强对其用户发布信息的管理,发现含有法律法规和国家有关规定禁止的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并及时向国家或者地方互联网信息办公室报告。

《微博客信息服务管理规定》

第十一条 微博客服务提供者应当建立健全辟谣机制,发现微博客服务使用者发布、传播谣言或不实信息,应当主动采取辟谣措施。

第十二条 微博客服务提供者和微博客服务使用者不得利用微博客发布、传播法律法规禁止的信息内容。

微博客服务提供者发现微博客服务使用者发布、传播法律法规禁止的信息内容,应当依法立即停止传输该信息、采取消除等处置措施,保存有关记录,并向有关主管部门报告。

《网络音视频信息服务管理规定》

第十二条 网络音视频信息服务提供者应当加强对网络音视频信息服务使用者发布的音视频信息的管理,部署应用违法违规音视频以及非真实音视频鉴别技术,发现音视频信息服务使用者制作、发布、传播法律法规禁止的信息内容的,应当依法依约停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

网络音视频信息服务提供者发现不符合本规定第十一条第一款要求的信息内容的,应当立即停止传输该信息,以显著方式标识后方可继续传输该信息。

第十三条 网络音视频信息服务提供者应当建立健全辟谣机制,发现网络音视频信息服务使用者利用基于深度学习、虚拟现实等的虚假图像、音视频生成技术制作、发布、传播谣言的,应当及时采取相应的辟谣措施,并将相关信息报网信、文化和旅游、广播电视等部门备案。

第十四条 网络音视频信息服务提供者应当在与网络音视频信息服务使用者签订的服务协议中,明确双方权利、义务,要求网络音视频信息服务使用者遵守本规定及相关法律法规。对违反本规定、相关法律法规及服务协议的网络音视频信息服务使用者依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施,保存有关记录,并向网信、文化和旅游、广播电视等部门报告。

《互联网用户公众账号信息服务管理规定》

第十九条 公众账号信息服务平台应当加强对本平台公众账号信息服务活动的监督管理,及时发现和处置违法违规信息或者行为。

公众账号信息服务平台应当对违反本规定及相关法律法规的公众账号,依法依约采取警示提醒、限制账号功能、暂停信息更新、停止广告发布、关闭注销账号、列入黑名单、禁止重新注册等处置措施,保存有关记录,并及时向网信等有关主管部门报告。

《移动互联网应用程序信息服务管理规定》

第十六条 应用程序提供者应当依据法律法规和国家有关规定,制定并公开管理规则,与注册用户签订服务协议,明确双方相关权利义务。

对违反本规定及相关法律法规及服务协议的注册用户,应用程序提供者应当依法依约采取警示、限制功能、关闭账号等处置措施,保存记录并向有关主管部门报告。

第二十一条 应用程序分发平台应当依据法律法规和国家有关规定,制定并公开管理规则,与应用程序提供者签订服务协议,明确双方相关权利义务。

对违反本规定及相关法律法规及服务协议的应用程序,应用程序分发平台应当依法依约采取警示、暂停服务、下架等处置措施,保存记录并向有关主管部门报告。

《互联网跟帖评论服务管理规定》

第七条 跟帖评论服务提供者应当按照用户服务协议对跟帖评论服务使用者和公众账号生产运营者进行规范管理。对发布违法和不良信息内容的跟帖评论服务使用者,应当依法依约采取警示提醒、拒绝发布、删除信息、限制账号功能、暂停账号更新、关闭账号、禁止重新注册等处置措施,并保存相关记录;对未尽到管理义务导致跟帖评论环节出现违法和不良信息内容的公众账号生产运营者,应当根据具体情形,依法依约采取警示提醒、删除信息、暂停跟帖评论区功能直至永久关闭跟帖评论区、限制账号功能、暂停账号更新、关闭账号、禁止重新注册等处置措施,保存相关记录,并及时向网信部门报告。

第十条 公众账号生产运营者应当对账号跟帖评论信息内容加强审核管理,及时发现跟帖评论环节违法和不良信息内容,采取举报、处置等必要措施。

《网站平台受理处置涉企网络侵权信息举报工作规范》

第十九条 网站平台应当综合考虑涉企网络侵权信息的严重程度、发布频次、舆论影响以及社会危害程度等因素,按照宽严相济、统一标准的原则,分级分类、规范准确处置涉企网络侵权信息举报。

第二十条 针对事实清楚、举证充分的涉企网络侵权信息举报,网站平台应当采取删除或同等效果的处置措施。

第四十八条 【电子信息和应用软件信息管理义务】

任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。

电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。

关联法规

◎ 法律

《关于加强网络信息保护的决定》

七、任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。

权威案例

◎ 公报案例

无锡市掌某无线网络技术有限公司诉无锡嘉某置业有限公司网络服务合同纠纷案 【《最高人民法院公报》2015年第3期】

裁判摘要: 双方当事人明知所发送的电子信息为商业广告性质,却无视手机用户群体是否同意接收商业广告信息的主观意愿,强行向不特定公众发送商业广告短信息,侵害不特定公众的利益,所发送的短信息应认定为垃圾短信,其签订的相关合同无效,所涉价款属于非法所得,人民法院应予收缴。

第四十九条 【网络信息安全投诉举报及执法配合义务】

网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。

网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。

关联法规

◎ 法律

《未成年人保护法》

第七十八条 网络产品和服务提供者应当建立便捷、合理、有效的投诉和举报渠道,公开投诉、举报方式等信息,及时受理并处理涉及未成年人的投诉、举报。

第七十九条 任何组织或者个人发现网络产品、服务含有危害未成年人身心健康的信息,有权向网络产品和服务提供者或者网信、公安等部门投诉、举报。

◎ 行政法规

《关键信息基础设施安全保护条例》

第二十八条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。

《商用密码管理条例》

第四十八条 密码管理部门和有关部门依法开展商用密码监督管理,相关单位和人员应当予以配合,任何单位和个人不得非法干预和阻挠。

◎ 部门规章

《通信网络安全防护管理办法》

第十九条 通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动,对于检查中发现的重大网络安全隐患,应当及时整改。

《电信和互联网用户个人信息保护规定》

第十二条 电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制,公布有效的联系方式,接受与用户个人信息保护有关的投诉,并自接到投诉之日起十五日内答复投诉人。

第十七条 电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。

电信管理机构实施监督检查时,可以要求电信业务经营者、互联网信息服务提供者提供相关材料,进入其生产经营场所调查情况,电信业务经营者、互联网信息服务提供者应当予以配合。

电信管理机构实施监督检查,应当记录监督检查的情况,不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动,不得收取任何费用。

第十九条 电信管理机构实施电信业务经营许可及经营许可证年检时,应当对用户个人信息保护情况进行审查。

《互联网新闻信息服务管理规定》

第十八条 互联网新闻信息服务提供者应当在明显位置明示互联网新闻信息服务许可证编号。

互联网新闻信息服务提供者应当自觉接受社会监督,建立社会投诉举报渠道,设置便捷的投诉举报入口,及时处理公众投诉举报。

第十九条 国家和地方互联网信息办公室应当建立日常检查和定期检查相结合的监督管理制度,依法对互联网新闻信息服务活动实施监督检查,有关单位、个人应当予以配合。

国家和地方互联网信息办公室应当健全执法人员资格管理制度。执法人员开展执法活动,应当依法出示执法证件。

《儿童个人信息网络保护规定》

第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。

《网络信息内容生态治理规定》

第十六条 网络信息内容服务平台应当在显著位置设置便捷的投诉举报入口,公布投诉举报方式,及时受理处置公众投诉举报并反馈处理结果。

《网络招聘服务管理规定》

第二十三条 从事网络招聘服务的人力资源服务机构应当建立网络招聘服务有关投诉、举报制度,健全便捷有效的投诉、举报机制,公开有效的联系方式,及时受理并处理有关投诉、举报。

《汽车数据安全管理若干规定(试行)》

第十七条 汽车数据处理者开展汽车数据处理活动,应当建立投诉举报渠道,设置便捷的投诉举报入口,及时处理用户投诉举报。

开展汽车数据处理活动造成用户合法权益或者公共利益受到损害的,汽车数据处理者应当依法承担相应责任。

《互联网信息服务算法推荐管理规定》

第二十二条 算法推荐服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,明确处理流程和反馈时限,及时受理、处理并反馈处理结果。

《互联网用户账号信息管理规定》

第十九条 互联网信息服务提供者应当在显著位置设置便捷的投诉举报入口,公布投诉举报方式,健全受理、甄别、处置、反馈等机制,明确处理流程和反馈时限,及时处理用户和公众投诉举报。

《互联网信息服务深度合成管理规定》

第十二条 深度合成服务提供者应当设置便捷的用户申诉和公众投诉、举报入口,公布处理流程和反馈时限,及时受理、处理和反馈处理结果。

第二十一条 网信部门和电信主管部门、公安部门依据职责对深度合成服务开展监督检查。深度合成服务提供者和技术支持者应当依法予以配合,并提供必要的技术、数据等支持和协助。

网信部门和有关主管部门发现深度合成服务存在较大信息安全风险的,可以按照职责依法要求深度合成服务提供者和技术支持者采取暂停信息更新、用户账号注册或者其他相关服务等措施。深度合成服务提供者和技术支持者应当按照要求采取措施,进行整改,消除隐患。

《公路水路关键信息基础设施安全保护管理办法》

第二十八条 运营者对交通运输主管部门开展的网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的公路水路关键信息基础设施网络安全检查工作应当予以配合,并如实提供网络安全管理制度、重要资产清单、网络日志等必要的资料。

《生成式人工智能服务管理暂行办法》

第十五条 提供者应当建立健全投诉、举报机制,设置便捷的投诉、举报入口,公布处理流程和反馈时限,及时受理、处理公众投诉举报并反馈处理结果。

◎ 部门规范性文件

《互联网直播服务管理规定》

第十九条 互联网直播服务提供者应当自觉接受社会监督,健全社会投诉举报渠道,设置便捷的投诉举报入口,及时处理公众投诉举报。

《互联网信息搜索服务管理规定》

第十二条 互联网信息搜索服务提供者应当建立健全公众投诉、举报和用户权益保护制度,在显著位置公布投诉、举报方式,主动接受公众监督,及时处理公众投诉、举报,依法承担对用户权益造成损害的赔偿责任。

《互联网群组信息服务管理规定》

第十二条 互联网群组信息服务提供者和使用者应当接受社会公众和行业组织的监督,建立健全投诉举报渠道,设置便捷举报入口,及时处理投诉举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。

鼓励互联网行业组织指导推动互联网群组信息服务提供者制定行业公约,加强行业自律,履行社会责任。

第十三条 互联网群组信息服务提供者应当配合有关主管部门依法进行的监督检查,并提供必要的技术支持和协助。

互联网群组信息服务提供者应当按规定留存网络日志不少于六个月。

《互联网论坛社区服务管理规定》

第十一条 互联网论坛社区服务提供者应当建立健全公众投诉、举报制度,在显著位置公布投诉、举报方式,主动接受公众监督,及时处理公众投诉、举报。国家和地方互联网信息办公室依据职责,对举报受理落实情况进行监督检查。

《微博客信息服务管理规定》

第十四条 微博客服务提供者应当自觉接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。

第十六条 微博客服务提供者应当遵守国家相关法律法规规定,配合有关部门开展监督管理执法工作,并提供必要的技术支持和协助。

微博客服务提供者应当记录微博客服务使用者日志信息,保存时间不少于六个月。

《网络音视频信息服务管理规定》

第十五条 网络音视频信息服务提供者应当自觉接受社会监督,设置便捷的投诉举报入口,公布投诉、举报方式等信息,及时受理并处理公众投诉举报。

《互联网用户公众账号信息服务管理规定》

第二十条 公众账号信息服务平台和生产运营者应当自觉接受社会监督。

公众账号信息服务平台应当在显著位置设置便捷的投诉举报入口和申诉渠道,公布投诉举报和申诉方式,健全受理、甄别、处置、反馈等机制,明确处理流程和反馈时限,及时处理公众投诉举报和生产运营者申诉。

鼓励互联网行业组织开展公众评议,推动公众账号信息服务平台和生产运营者严格自律,建立多方参与的权威调解机制,公平合理解决行业纠纷,依法维护用户合法权益。

《移动互联网应用程序信息服务管理规定》

第二十二条 应用程序提供者和应用程序分发平台应当自觉接受社会监督,设置醒目、便捷的投诉举报入口,公布投诉举报方式,健全受理、处置、反馈等机制,及时处理公众投诉举报。

第二十四条 网信部门会同有关主管部门建立健全工作机制,监督指导应用程序提供者和应用程序分发平台依法依规从事信息服务活动。

应用程序提供者和应用程序分发平台应当对网信部门和有关主管部门依法实施的监督检查予以配合,并提供必要的支持和协助。

《互联网跟帖评论服务管理规定》

第十三条 跟帖评论服务提供者应当建立健全跟帖评论违法和不良信息公众投诉举报和跟帖评论服务使用者申诉制度,设置便捷投诉举报和申诉入口,及时受理和处置跟帖评论相关投诉举报和申诉。

跟帖评论服务使用者对被处置的跟帖评论信息存在异议的,有权向跟帖评论服务提供者提出申诉,跟帖评论服务提供者应当按照用户服务协议进行核查处理。

任何组织和个人发现违反本规定行为的,可以向网信部门投诉举报。网信部门收到投诉举报后,应当及时依法处理。

《互联网弹窗信息推送服务管理规定》

第六条 互联网弹窗信息推送服务提供者应当自觉接受社会监督,设置便捷投诉举报入口,及时处理关于弹窗信息推送服务的公众投诉举报。

《网站平台受理处置涉企网络侵权信息举报工作规范》

第二条 境内网站平台受理处置涉企网络侵权信息举报,适用本规范。

第三条 网站平台应当按照依法依约、分级分类、限时办结的原则,快速准确受理处置涉企网络侵权信息举报。

第十九条 网站平台应当综合考虑涉企网络侵权信息的严重程度、发布频次、舆论影响以及社会危害程度等因素,按照宽严相济、统一标准的原则,分级分类、规范准确处置涉企网络侵权信息举报。

第二十条 针对事实清楚、举证充分的涉企网络侵权信息举报,网站平台应当采取删除或同等效果的处置措施。

第二十四条 被举报主体对处置措施提出异议的,网站平台应当要求被举报主体提供不侵权的相关证明,并依据双方举证综合判断、视情处置。

第二十五条 网站平台受理涉股东、高管、子公司、业务合作伙伴等企业利益相关方的网络侵权信息举报,研判认为有必要采取相应处置措施的,应当报请省级网信部门审核。对重大事项,报中央网信办相关司局审核。

第二十六条 网站平台及相关从业人员不得滥用举报处置权利,严禁实施有偿删帖、人情删帖等违法违规行为,严禁利用举报处置权利谋取不正当利益。

第二十七条 网站平台应当建立健全规章制度,严格工作流程,规范层级把关,强化内部监督,确保依法依规受理处置涉企网络侵权信息举报。

第二十八条 网站平台应当建立工作台账,如实记录涉企网络侵权信息举报受理处置全过程,留存全量数据不少于六个月,并在网信部门依法查询时,予以提供。相关账号处置情况,定期报送中央网信办相关司局。

权威案例

◎ 典型案例

闫某与北京新某互联信息服务有限公司、北京百某网讯科技有限公司侵犯名誉权、隐私权纠纷案 【最高人民法院公布8起利用信息网络侵害人身权益典型案例之七(2014年10月9日)】

典型意义: 网络侵权案件的一大特点就是网络的匿名性,如何确定侵权人的个人身份,常常成为阻碍原告维护自身权利的障碍。但是,另一方面,互联网公司又负有法定的对网络用户的保密义务,如何处理两者之间的关系?通过诉讼的方式,由人民法院对原告请求网络服务提供者提供网络用户个人信息的要求进行审查后并作出判断,能够较好地实现两者的平衡。

第五十条 【网络安全监管部门违法信息处置职责】

国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。

关联法规

◎ 法律

《关于加强网络信息保护的决定》

十、有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。

国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。

《反恐怖主义法》

第十九条 电信业务经营者、互联网服务提供者应当依照法律、行政法规规定,落实网络安全、信息内容监督制度和安全技术防范措施,防止含有恐怖主义、极端主义内容的信息传播;发现含有恐怖主义、极端主义内容的信息的,应当立即停止传输,保存相关记录,删除相关信息,并向公安机关或者有关部门报告。

网信、电信、公安、国家安全等主管部门对含有恐怖主义、极端主义内容的信息,应当按照职责分工,及时责令有关单位停止传输、删除相关信息,或者关闭相关网站、关停相关服务。有关单位应当立即执行,并保存相关记录,协助进行调查。对互联网上跨境传输的含有恐怖主义、极端主义内容的信息,电信主管部门应当采取技术措施,阻断传播。

《反有组织犯罪法》

第十六条 电信业务经营者、互联网服务提供者应当依法履行网络信息安全管理义务,采取安全技术防范措施,防止含有宣扬、诱导有组织犯罪内容的信息传播;发现含有宣扬、诱导有组织犯罪内容的信息的,应当立即停止传输,采取消除等处置措施,保存相关记录,并向公安机关或者有关部门报告,依法为公安机关侦查有组织犯罪提供技术支持和协助。

网信、电信、公安等主管部门对含有宣扬、诱导有组织犯罪内容的信息,应当按照职责分工,及时责令有关单位停止传输、采取消除等处置措施,或者下架相关应用、关闭相关网站、关停相关服务。有关单位应当立即执行,并保存相关记录,协助调查。对互联网上来源于境外的上述信息,电信主管部门应当采取技术措施,及时阻断传播。

《反间谍法》

第三十六条 国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险,应当依照《中华人民共和国网络安全法》规定的职责分工,及时通报有关部门,由其依法处置或者责令电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施,保存相关记录。情况紧急,不立即采取措施将对国家安全造成严重危害的,由国家安全机关责令有关单位修复漏洞、停止相关传输、暂停相关服务,并通报有关部门。

经采取相关措施,上述信息内容或者风险已经消除的,国家安全机关和有关部门应当及时作出恢复相关传输和服务的决定。

◎ 部门规章

《网络信息内容生态治理规定》

第三十条 各级网信部门会同有关主管部门,建立健全信息共享、会商通报、联合执法、案件督办、信息公开等工作机制,协同开展网络信息内容生态治理工作。

第三十一条 各级网信部门对网络信息内容服务平台履行信息内容管理主体责任情况开展监督检查,对存在问题的平台开展专项督查。

网络信息内容服务平台对网信部门和有关主管部门依法实施的监督检查,应当予以配合。

第三十二条 各级网信部门建立网络信息内容服务平台违法违规行为台账管理制度,并依法依规进行相应处理。

第三十三条 各级网信部门建立政府、企业、社会、网民等主体共同参与的监督评价机制,定期对本行政区域内网络信息内容服务平台生态治理情况进行评估。

《互联网信息服务算法推荐管理规定》

第二十三条 网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。

《互联网用户账号信息管理规定》

第二十条 网信部门会同有关主管部门,建立健全信息共享、会商通报、联合执法、案件督办等工作机制,协同开展互联网用户账号信息监督管理工作。

第二十一条 网信部门依法对互联网信息服务提供者管理互联网用户注册、使用账号信息情况实施监督检查。互联网信息服务提供者应当予以配合,并提供必要的技术、数据等支持和协助。

发现互联网信息服务提供者存在较大网络信息安全风险的,省级以上网信部门可以要求其采取暂停信息更新、用户账号注册或者其他相关服务等措施。互联网信息服务提供者应当按照要求采取措施,进行整改,消除隐患。

《生成式人工智能服务管理暂行办法》第二十条 对来源于中华人民共和国境外向境内提供生成式人工智能服务不符合法律、行政法规和本办法规定的,国家网信部门应当通知有关机构采取技术措施和其他必要措施予以处置。

◎ 部门规范性文件

《网站平台受理处置涉企网络侵权信息举报工作规范》

第二十九条 各级网信举报部门应当建立健全日常检查和专项检查相结合的工作制度,依法依规对属地网站平台涉企网络侵权信息举报受理处置工作实施监督管理。

第五章 监测预警与应急处置

第五十一条 【国家网络安全监测预警和信息通报制度】

国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。

关联法规

◎ 法律

《数据安全法》

第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

《反电信网络诈骗法》

第三十二条 国家支持电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者研究开发有关电信网络诈骗反制技术,用于监测识别、动态封堵和处置涉诈异常信息、活动。

国务院公安部门、金融管理部门、电信主管部门和国家网信部门等应当统筹负责本行业领域反制技术措施建设,推进涉电信网络诈骗样本信息数据共享,加强涉诈用户信息交叉核验,建立有关涉诈异常信息、活动的监测识别、动态封堵和处置机制。

依据本法第十一条、第十二条、第十八条、第二十二条和前款规定,对涉诈异常情形采取限制、暂停服务等处置措施的,应当告知处置原因、救济渠道及需要提交的资料等事项,被处置对象可以向作出决定或者采取措施的部门、单位提出申诉。作出决定的部门、单位应当建立完善申诉渠道,及时受理申诉并核查,核查通过的,应当即时解除有关措施。

第三十四条 公安机关应当会同金融、电信、网信部门组织银行业金融机构、非银行支付机构、电信业务经营者、互联网服务提供者等建立预警劝阻系统,对预警发现的潜在被害人,根据情况及时采取相应劝阻措施。对电信网络诈骗案件应当加强追赃挽损,完善涉案资金处置制度,及时返还被害人的合法财产。对遭受重大生活困难的被害人,符合国家有关救助条件的,有关方面依照规定给予救助。

《国家安全法》

第五十一条 国家健全统一归口、反应灵敏、准确高效、运转顺畅的情报信息收集、研判和使用制度,建立情报信息工作协调机制,实现情报信息的及时收集、准确研判、有效使用和共享。

第五十二条 国家安全机关、公安机关、有关军事机关根据职责分工,依法搜集涉及国家安全的情报信息。

国家机关各部门在履行职责过程中,对于获取的涉及国家安全的有关信息应当及时上报。

第五十三条 开展情报信息工作,应当充分运用现代科学技术手段,加强对情报信息的鉴别、筛选、综合和研判分析。

第五十四条 情报信息的报送应当及时、准确、客观,不得迟报、漏报、瞒报和谎报。

第五十七条 国家健全国家安全风险监测预警制度,根据国家安全风险程度,及时发布相应风险预警。

◎ 行政法规

《商用密码管理条例》

第三十七条 国家建立商用密码应用促进协调机制,加强对商用密码应用的统筹指导。国家机关和涉及商用密码工作的单位在其职责范围内负责本机关、本单位或者本系统的商用密码应用和安全保障工作。

密码管理部门会同有关部门加强商用密码应用信息收集、风险评估、信息通报和重大事项会商,并加强与网络安全监测预警和信息通报的衔接。

◎ 部门规范性文件

《国家网络安全事件应急预案》

3 监测与预警

3.1预警分级

网络安全事件预警等级分为四级:由高到低依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大和一般网络安全事件。

3.2预警监测

各单位按照“谁主管谁负责、谁运行谁负责”的要求,组织对本单位建设运行的网络和信息系统开展网络安全监测工作。重点行业主管或监管部门组织指导做好本行业网络安全监测工作。各省(区、市)网信部门结合本地区实际,统筹组织开展对本地区网络和信息系统的安全监测工作。各省(区、市)、各部门将重要监测信息报应急办,应急办组织开展跨省(区、市)、跨部门的网络安全信息共享。

3.3预警研判和发布

各省(区、市)、各部门组织对监测信息进行研判,认为需要立即采取防范措施的,应当及时通知有关部门和单位,对可能发生重大及以上网络安全事件的信息及时向应急办报告。各省(区、市)、各部门可根据监测研判情况,发布本地区、本行业的橙色及以下预警。

应急办组织研判,确定和发布红色预警和涉及多省(区、市)、多部门、多行业的预警。

预警信息包括事件的类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布机关等。

3.4 预警响应

3.4.1 红色预警响应

(1)应急办组织预警响应工作,联系专家和有关机构,组织对事态发展情况进行跟踪研判,研究制定防范措施和应急工作方案,协调组织资源调度和部门联动的各项准备工作。

(2)有关省(区、市)、部门网络安全事件应急指挥机构实行24小时值班,相关人员保持通信联络畅通。加强网络安全事件监测和事态发展信息搜集工作,组织指导应急支撑队伍、相关运行单位开展应急处置或准备、风险评估和控制工作,重要情况报应急办。

(3)国家网络安全应急技术支撑队伍进入待命状态,针对预警信息研究制定应对方案,检查应急车辆、设备、软件工具等,确保处于良好状态。

3.4.2 橙色预警响应

(1)有关省(区、市)、部门网络安全事件应急指挥机构启动相应应急预案,组织开展预警响应工作,做好风险评估、应急准备和风险控制工作。

(2)有关省(区、市)、部门及时将事态发展情况报应急办。应急办密切关注事态发展,有关重大事项及时通报相关省(区、市)和部门。

(3)国家网络安全应急技术支撑队伍保持联络畅通,检查应急车辆、设备、软件工具等,确保处于良好状态。

3.4.3 黄色、蓝色预警响应

有关地区、部门网络安全事件应急指挥机构启动相应应急预案,指导组织开展预警响应。

3.5预警解除

预警发布部门或地区根据实际情况,确定是否解除预警,及时发布预警解除信息。

《监管数据安全管理办法(试行)》

第三十一条 归口管理部门应建立监管数据安全事件通报工作机制,及时通报监管数据安全事件。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

四、加强网络安全保护工作协作配合

行业主管部门、网络运营者与公安机关要密切协同,大力开展安全监测、通报预警、应急处置、威胁情报等工作,落实常态化措施,提升应对、处置网络安全突发事件和重大风险防控能力。

(一)加强网络安全立体化监测体系建设。各单位、各部门要全面加强网络安全监测,对关键信息基础设施、重要网络等开展实时监测,发现网络攻击和安全威胁,立即报告公安机关和有关部门并采取有效措施处置。要加强网络新技术研究和应用,研究绘制网络空间地理信息图谱(网络地图),实现挂图作战。行业主管部门、网络运营要建设本行业、本单位的网络安全保护业务平台,建设平台智慧大脑,依托平台和大数据开展实时监测、通报预警、应急处置、安全防护、指挥调度等工作,并与公安机关有关安全保卫平台对接,形成条块结合、纵横联通、协同联动的综合防控大格局。重点行业、网络运营者和公安机关要建设网络安全监控指挥中心,落实7×24小时值班值守制度,建立常态化、实战化的网络安全工作机制。

(二)加强网络安全信息共享和通报预警。行业主管部门、网络运营者要依托国家网络与信息安全信息通报机制,加强本行业、本领域网络安全信息通报预警力量建设,及时收集、汇总、分析各方网络安全信息,加强威胁情报工作,组织开展网络安全威胁分析和态势研判,及时通报预警和处置。第三级以上网络运营者和关键信息基础设施运营者要开展网络安全监测预警和信息通报工作,及时接收、处置来自国家、行业和地方网络安全预警通报信息,按规定向行业主管部门、备案公安机关报送网络安全监测预警信息和网络安全事件。公安机关要加强网络与信息安全信息通报预警机制建设和力量建设,不断提高网络安全通报预警能力。

……

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

第十二条 网信部门和公安机关应当建立监测管理制度,加强网络安全风险管理,督促互联网信息服务提供者依法履行网络安全义务。

发现具有舆论属性或社会动员能力的互联网信息服务提供者未按本规定开展安全评估的,网信部门和公安机关应当通知其按本规定开展安全评估。

第五十二条 【关键信息基础设施监测预警和信息通报制度】

负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。

关联法规

◎ 行政法规

《关键信息基础设施安全保护条例》

第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。

◎ 部门规章

《公路水路关键信息基础设施安全保护管理办法》

第二十五条 交通运输部应当建立公路水路关键信息基础设施网络安全监测预警制度,充分利用网络安全信息共享机制,及时掌握公路水路关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。

省级人民政府交通运输主管部门应当及时掌握省级设施的运行状况、安全态势,并组织做好预警通报和安全防范工作。

第五十三条 【国家网络安全风险评估和应急工作机制】

国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。

负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。

网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。

关联法规

◎ 法律

《国家安全法》

第五十五条 国家制定完善应对各领域国家安全风险预案。

第五十六条 国家建立国家安全风险评估机制,定期开展各领域国家安全风险调查评估。

有关部门应当定期向中央国家安全领导机构提交国家安全风险评估报告。

第六十三条 发生危及国家安全的重大事件,中央有关部门和有关地方根据中央国家安全领导机构的统一部署,依法启动应急预案,采取管控处置措施。

◎ 行政法规

《关键信息基础设施安全保护条例》

第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。

◎ 部门规章

《互联网新闻信息服务管理规定》

第七条 任何组织不得设立中外合资经营、中外合作经营和外资经营的互联网新闻信息服务单位。

互联网新闻信息服务单位与境内外中外合资经营、中外合作经营和外资经营的企业进行涉及互联网新闻信息服务业务的合作,应当报经国家互联网信息办公室进行安全评估。

第十七条 互联网新闻信息服务提供者变更主要负责人、总编辑、主管单位、股权结构等影响许可条件的重大事项,应当向原许可机关办理变更手续。

互联网新闻信息服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能,应当报国家或省、自治区、直辖市互联网信息办公室进行互联网新闻信息服务安全评估。

《区块链信息服务管理规定》

第九条 区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。

《汽车数据安全管理若干规定(试行)》

第十五条 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门依据职责,根据处理数据情况对汽车数据处理者进行数据安全评估,汽车数据处理者应当予以配合。

参与安全评估的机构和人员不得披露评估中获悉的汽车数据处理者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。

《互联网信息服务算法推荐管理规定》

第二十七条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。

第二十八条 网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作,对发现的问题及时提出整改意见并限期整改。

算法推荐服务提供者应当依法留存网络日志,配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。

《互联网信息服务深度合成管理规定》

第二十条 深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。

《生成式人工智能服务管理暂行办法》

第十七条 提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。

◎ 部门规范性文件

《国家网络安全事件应急预案》

1总则

1.1编制目的

建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,预防和减少网络安全事件造成的损失和危害,保护公众利益,维护国家安全、公共安全和社会秩序。

1.2编制依据

《中华人民共和国突发事件应对法》、《中华人民共和国网络安全法》、《国家突发公共事件总体应急预案》、《突发事件应急预案管理办法》和《信息安全技术信息安全事件分类分级指南》(GB/Z 20986—2007)等相关规定。

1.3适用范围

本预案所指网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等,对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的事件,可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。

本预案适用于网络安全事件的应对工作。其中,有关信息内容安全事件的应对,另行制定专项预案。

1.4事件分级

网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

(1)符合下列情形之一的,为特别重大网络安全事件:

①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:

①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:

①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。

1.5工作原则

坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好网络安全事件的预防和处置工作。

2组织机构与职责

2.1领导机构与职责

在中央网络安全和信息化领导小组(以下简称“领导小组”)的领导下,中央网络安全和信息化领导小组办公室(以下简称“中央网信办”)统筹协调组织国家网络安全事件应对工作,建立健全跨部门联动处置机制,工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部(以下简称“指挥部”),负责特别重大网络安全事件处置的组织指挥和协调。

2.2办事机构与职责

国家网络安全应急办公室(以下简称“应急办”)设在中央网信办,具体工作由中央网信办网络安全协调局承担。应急办负责网络安全应急跨部门、跨地区协调工作和指挥部的事务性工作,组织指导国家网络安全应急技术支撑队伍做好应急处置的技术支撑工作。有关部门派负责相关工作的司局级同志为联络员,联络应急办工作。

2.3各部门职责

中央和国家机关各部门按照职责和权限,负责本部门、本行业网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

2.4各省(区、市)职责

各省(区、市)网信部门在本地区党委网络安全和信息化领导小组统一领导下,统筹协调组织本地区网络和信息系统网络安全事件的预防、监测、报告和应急处置工作。

6预防工作

6.1日常管理

各地区、各部门按职责做好网络安全事件日常预防工作,制定完善相关应急预案,做好网络安全检查、隐患排查、风险评估和容灾备份,健全网络安全信息通报机制,及时采取有效措施,减少和避免网络安全事件的发生及危害,提高应对网络安全事件的能力。

6.2演练

中央网信办协调有关部门定期组织演练,检验和完善预案,提高实战能力。

各省(区、市)、各部门每年至少组织一次预案演练,并将演练情况报中央网信办。

6.3宣传

各地区、各部门应充分利用各种传播媒介及其他有效的宣传形式,加强突发网络安全事件预防和处置的有关法律、法规和政策的宣传,开展网络安全基本知识和技能的宣传活动。

6.4培训

各地区、各部门要将网络安全事件的应急知识列为领导干部和有关人员的培训内容,加强网络安全特别是网络安全应急预案的培训,提高防范意识及技能。

6.5重要活动期间的预防措施

在国家重要活动、会议期间,各省(区、市)、各部门要加强网络安全事件的防范和应急响应,确保网络安全。应急办统筹协调网络安全保障工作,根据需要要求有关省(区、市)、部门启动红色预警响应。有关省(区、市)、部门加强网络安全监测和分析研判,及时预警可能造成重大影响的风险和隐患,重点部门、重点岗位保持24小时值班,及时发现和处置网络安全事件隐患。

7保障措施

7.1机构和人员

各地区、各部门、各单位要落实网络安全应急工作责任制,把责任落实到具体部门、具体岗位和个人,并建立健全应急工作机制。

7.2技术支撑队伍

加强网络安全应急技术支撑队伍建设,做好网络安全事件的监测预警、预防防护、应急处置、应急技术支援工作。支持网络安全企业提升应急处置能力,提供应急技术支援。中央网信办制定评估认定标准,组织评估和认定国家网络安全应急技术支撑队伍。各省(区、市)、各部门应配备必要的网络安全专业技术人才,并加强与国家网络安全相关技术单位的沟通、协调,建立必要的网络安全信息共享机制。

7.3专家队伍

建立国家网络安全应急专家组,为网络安全事件的预防和处置提供技术咨询和决策建议。各地区、各部门加强各自的专家队伍建设,充分发挥专家在应急处置工作中的作用。

7.4社会资源

从教育科研机构、企事业单位、协会中选拔网络安全人才,汇集技术与数据资源,建立网络安全事件应急服务体系,提高应对特别重大、重大网络安全事件的能力。

7.5基础平台

各地区、各部门加强网络安全应急基础平台和管理平台建设,做到早发现、早预警、早响应,提高应急处置能力。

7.6技术研发和产业促进

有关部门加强网络安全防范技术研究,不断改进技术装备,为应急响应工作提供技术支撑。加强政策引导,重点支持网络安全监测预警、预防防护、处置救援、应急服务等方向,提升网络安全应急产业整体水平与核心竞争力,增强防范和处置网络安全事件的产业支撑能力。

7.7国际合作

有关部门建立国际合作渠道,签订合作协定,必要时通过国际合作共同应对突发网络安全事件。

7.8物资保障

加强对网络安全应急装备、工具的储备,及时调整、升级软件硬件工具,不断增强应急技术支撑能力。

7.9经费保障

财政部门为网络安全事件应急处置提供必要的资金保障。有关部门利用现有政策和资金渠道,支持网络安全应急技术支撑队伍建设、专家队伍建设、基础平台建设、技术研发、预案演练、物资保障等工作开展。各地区、各部门为网络安全应急工作提供必要的经费保障。

7.10责任与奖惩

网络安全事件应急处置工作实行责任追究制。

中央网信办及有关地区和部门对网络安全事件应急管理工作中作出突出贡献的先进集体和个人给予表彰和奖励。

中央网信办及有关地区和部门对不按照规定制定预案和组织开展演练,迟报、谎报、瞒报和漏报网络安全事件重要情况或者应急管理工作中有其他失职、渎职行为的,依照相关规定对有关责任人给予处分;构成犯罪的,依法追究刑事责任。

8附则

8.1预案管理

本预案原则上每年评估一次,根据实际情况适时修订。修订工作由中央网信办负责。

各省(区、市)、各部门、各单位要根据本预案制定或修订本地区、本部门、本行业、本单位网络安全事件应急预案。

8.2预案解释

本预案由中央网信办负责解释。

8.3预案实施时间

本预案自印发之日起实施。

《互联网新闻信息服务新技术新应用安全评估管理规定》

第十五条 国家和省、自治区、直辖市互联网信息办公室应当建立主动监测管理制度,对新技术新应用加强监测巡查,强化信息安全风险管理,督导企业主体责任落实。

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

第十三条 网信部门和公安机关发现具有舆论属性或社会动员能力的互联网信息服务提供者拒不按照本规定开展安全评估的,应当通过全国互联网安全管理服务平台向公众提示该互联网信息服务存在安全风险,并依照各自职责对该互联网信息服务实施监督检查,发现存在违法行为的,应当依法处理。

第十四条 网信部门统筹协调具有舆论属性或社会动员能力的互联网信息服务安全评估工作,公安机关的安全评估工作情况定期通报网信部门。

《微博客信息服务管理规定》

第十三条 微博客服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能,应当报国家或省、自治区、直辖市互联网信息办公室进行安全评估。

《网络音视频信息服务管理规定》

第十条 网络音视频信息服务提供者基于深度学习、虚拟现实等新技术新应用上线具有媒体属性或者社会动员功能的音视频信息服务,或者调整增设相关功能的,应当按照国家有关规定开展安全评估。

《移动互联网应用程序信息服务管理规定》

第十四条 应用程序提供者上线具有舆论属性或者社会动员能力的新技术、新应用、新功能,应当按照国家有关规定进行安全评估。

《互联网跟帖评论服务管理规定》

第五条 具有舆论属性或社会动员能力的跟帖评论服务提供者上线跟帖评论相关新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。

第五十四条 【网络安全事件风险增大应对措施】

网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:

(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;

(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;

(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。

第五十五条 【网络安全事件应急处置措施】

发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

关联法规

◎ 法律

《数据安全法》

第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。

《国家安全法》

第六十七条 国家健全国家安全危机的信息报告和发布机制。

国家安全危机事件发生后,履行国家安全危机管控职责的有关机关,应当按照规定准确、及时报告,并依法将有关国家安全危机事件发生、发展、管控处置及善后情况统一向社会发布。

◎ 部门规范性文件

《国家网络安全事件应急预案》

4 应急处置

4.1事件报告

网络安全事件发生后,事发单位应立即启动应急预案,实施处置并及时报送信息。各有关地区、部门立即组织先期处置,控制事态,消除隐患,同时组织研判,注意保存证据,做好信息通报工作。对于初判为特别重大、重大网络安全事件的,立即报告应急办。

4.2应急响应

网络安全事件应急响应分为四级,分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。

4.2.1 Ⅰ级响应

属特别重大网络安全事件的,及时启动I级响应,成立指挥部,履行应急处置工作的统一领导、指挥、协调职责。应急办24小时值班。

有关省(区、市)、部门应急指挥机构进入应急状态,在指挥部的统一领导、指挥、协调下,负责本省(区、市)、本部门应急处置工作或支援保障工作,24小时值班,并派员参加应急办工作。

有关省(区、市)、部门跟踪事态发展,检查影响范围,及时将事态发展变化情况、处置进展情况报应急办。指挥部对应对工作进行决策部署,有关省(区、市)和部门负责组织实施。

4.2.2 Ⅱ级响应

网络安全事件的Ⅱ级响应,由有关省(区、市)和部门根据事件的性质和情况确定。

(1)事件发生省(区、市)或部门的应急指挥机构进入应急状态,按照相关应急预案做好应急处置工作。

(2)事件发生省(区、市)或部门及时将事态发展变化情况报应急办。应急办将有关重大事项及时通报相关地区和部门。

(3)处置中需要其他有关省(区、市)、部门和国家网络安全应急技术支撑队伍配合和支持的,商应急办予以协调。相关省(区、市)、部门和国家网络安全应急技术支撑队伍应根据各自职责,积极配合、提供支持。

(4)有关省(区、市)和部门根据应急办的通报,结合各自实际有针对性地加强防范,防止造成更大范围影响和损失。

4.2.3 Ⅲ级、Ⅳ级响应

事件发生地区和部门按相关预案进行应急响应。

4.3应急结束

4.3.1 Ⅰ级响应结束

应急办提出建议,报指挥部批准后,及时通报有关省(区、市)和部门。

4.3.2 Ⅱ级响应结束

由事件发生省(区、市)或部门决定,报应急办,应急办通报相关省(区、市)和部门。

5调查与评估

特别重大网络安全事件由应急办组织有关部门和省(区、市)进行调查处理和总结评估,并按程序上报。重大及以下网络安全事件由事件发生地区或部门自行组织调查处理和总结评估,其中重大网络安全事件相关总结调查报告报应急办。总结调查报告应对事件的起因、性质、影响、责任等进行分析评估,提出处理意见和改进措施。

事件的调查处理和总结评估工作原则上在应急响应结束后30天内完成。

《监管数据安全管理办法(试行)》

第三十条 各业务部门及受托机构发生以下监管数据重大安全风险事项时,应立即采取应急处置措施,及时消除安全隐患,防止危害扩大,并于48小时内向归口管理部门报告。

(一)监管数据发生泄露或非法使用;

(二)监管数据发生损毁或丢失;

(三)承载监管数据的信息系统或网络发生系统性故障造成服务中断4小时以上;

(四)承载监管数据的信息系统或网络遭受非法入侵、发生有害信息或计算机病毒的大规模传播等破坏;

(五)监管数据安全事件引发舆情;

(六)《网络安全重大事件判定指南》列明的其他影响监管数据安全的网络安全重大事件。

辖区发生以上监管数据重大安全风险事项时,各银保监局应立即采取补救措施,并于48小时内向银保监会归口管理部门报告。

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

四、加强网络安全保护工作协作配合

行业主管部门、网络运营者与公安机关要密切协同,大力开展安全监测、通报预警、应急处置、威胁情报等工作,落实常态化措施,提升应对、处置网络安全突发事件和重大风险防控能力。

……

(三)加强网络安全应急处置机制建设。行业主管部门、网络运营者要按照国家有关要求制定网络安全应急预案,加强网络安全应急力量建设和应急资源储备,与公安机关密切配合,建立网络安全事件报告制度和应急处置机制。关键信息基础设施运营者和第三级以上网络运营者应定期开展应急演练,有效处置网络安全事件,并针对应急演练中发现的突出问题和漏洞隐患,及时整改加固,完善保护措施。行业主管部门、网络运营者应配合公安机关每年组织开展的网络安全监督检查、比武演习等工作,不断提升安全保护能力和对抗能力。

(四)加强网络安全事件处置和案件侦办。关键信息基础设施、第三级以上网络发生重大网络安全威胁和事件时,行业主管部门、网络运营者和公安机关应联合开展处置。电信业务经营者、网络服务提供者应提供支持及协助。网络运营者应配合公安机关打击网络违法犯罪行为;发现违法犯罪线索、重大网络安全威胁和事件时,应及时报告公安机关和有关部门并提供必要协助。

(五)加强网络安全问题隐患整改督办。公安机关建立挂牌督办制度,针对网络运营者网络安全工作不力、重大安全问题隐患久拖不改,或存在较大网络安全风险、发生重大网络安全案事件的,按照规定的权限和程序,会同行业主管部门对相关负责人进行约谈,挂牌督办,并加大监督检查和行政执法力度,依法依规进行行政处罚。网络运营者应按照有关要求采取措施,及时进行整改,消除重大风险隐患。发生重大网络安全案事件的,行业主管部门应组织全行业开展整改整顿。

第五十六条 【网络安全监督管理中的约谈机制】

省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。

关联法规

◎ 法律

《数据安全法》

第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。

《个人信息保护法》

第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。

履行个人信息保护职责的部门在履行职责中,发现违法处理个人信息涉嫌犯罪的,应当及时移送公安机关依法处理。

◎ 部门规章

《儿童个人信息网络保护规定》

第二十五条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。

《个人信息出境标准合同办法》

第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。

《网信部门行政执法程序规定》

第三十八条 网信部门对当事人作出行政处罚决定前,可以根据有关规定对其实施约谈,谈话结束后制作执法约谈笔录。

《公路水路关键信息基础设施安全保护管理办法》

第二十九条 交通运输主管部门按照国家有关规定,对网络安全工作不力、重大安全问题隐患久拖不改,或者存在重大网络安全风险、发生重大网络安全事件的运营者,约谈单位负责人,并加大网络安全监督检查力度。

◎ 部门规范性文件

《公共互联网网络安全威胁监测与处置办法》

第十二条 基础电信企业、互联网企业、域名注册管理和服务机构等未按照电信主管部门通知要求采取网络安全威胁处置措施的,由电信主管部门依据《中华人民共和国网络安全法》第五十六条、第五十九条、第六十条、第六十八条等规定进行约谈或给予警告、罚款等行政处罚。

第五十七条 【突发事件和生产安全事故的处置】

因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

第五十八条 【网络通信临时限制措施】

因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。

关联法规

◎ 行政法规

《电信条例》

第六十三条 在发生重大自然灾害等紧急情况下,经国务院批准,国务院信息产业主管部门可以调用各种电信设施,确保重要通信畅通。

第六章 法律责任

第五十九条 【违反网络安全保护义务的法律责任】

网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

关联法规

◎ 法律

《刑法》

第二百八十六条之一 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

《电子商务法》

第七十九条 电子商务经营者违反法律、行政法规有关个人信息保护的规定,或者不履行本法第三十条和有关法律、行政法规规定的网络安全保障义务的,依照《中华人民共和国网络安全法》等法律、行政法规的规定处罚。

《数据安全法》

第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

◎ 行政法规

《计算机信息系统安全保护条例》

第二十条 违反本条例的规定,有下列行为之一的,由公安机关处以警告或者停机整顿:

(一)违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;

(二)违反计算机信息系统国际联网备案制度的;

(三)不按照规定时间报告计算机信息系统中发生的案件的;

(四)接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;

(五)有危害计算机信息系统安全的其他行为的。

《计算机信息网络国际联网安全保护管理办法》

第二十一条 有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格。

(一)未建立安全保护管理制度的;

(二)未采取安全技术保护措施的;

(三)未对网络用户进行安全教育和培训的;

(四)未提供安全保护管理所需信息、资料及数据文件,或者所提供内容不真实的;

(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;

(六)未建立电子公告系统的用户登记和信息管理制度的;

(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;

(八)未建立公用账号使用登记制度的;

(九)转借、转让用户账号的。

《关键信息基础设施安全保护条例》

第三十九条 运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:

(一)在关键信息基础设施发生较大变化,可能影响其认定结果时未及时将相关情况报告保护工作部门的;

(二)安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的;

(三)未建立健全网络安全保护制度和责任制的;

(四)未设置专门安全管理机构的;

(五)未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的;

(六)开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的;

(七)专门安全管理机构未履行本条例第十五条规定的职责的;

(八)未对关键信息基础设施每年至少进行一次网络安全检测和风险评估,未对发现的安全问题及时整改,或者未按照保护工作部门要求报送情况的;

(九)采购网络产品和服务,未按照国家有关规定与网络产品和服务提供者签订安全保密协议的;

(十)发生合并、分立、解散等情况,未及时报告保护工作部门,或者未按照保护工作部门的要求对关键信息基础设施进行处置的。

第四十条 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。

第四十八条 电子政务关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的,依照《中华人民共和国网络安全法》有关规定予以处理。

《商用密码管理条例》

第六十条 关键信息基础设施的运营者违反本条例第三十八条、第三十九条规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。

第六十二条 网络运营者违反本条例第四十一条规定,未按照国家网络安全等级保护制度要求使用商用密码保护网络安全的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处1万元以上10万元以下罚款,对直接负责的主管人员处5000元以上5万元以下罚款。

◎ 部门规章

《互联网安全保护技术措施规定》

第十五条 违反本规定第七条至第十四条规定的,由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。

《通信网络安全防护管理办法》

第二十二条 违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十九条规定的,由电信管理机构依据职权责令改正;拒不改正的,给予警告,并处五千元以上三万元以下的罚款。

《互联网文化管理暂行规定》

第二十九条 经营性互联网文化单位违反本规定第十八条的,由县级以上人民政府文化行政部门或者文化市场综合执法机构责令改正,并可根据情节轻重处20000元以下罚款。

第三十一条 违反本规定第二十条的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,由省、自治区、直辖市电信管理机构责令停业整顿或者责令暂时关闭网站。

《公安机关互联网安全监督检查规定》

第二十一条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位有下列违法行为的,依法予以行政处罚:

(一)未制定并落实网络安全管理制度和操作规程,未确定网络安全负责人的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(二)未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(三)未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚;

(四)在提供互联网信息发布、即时通讯等服务中,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,依照《中华人民共和国网络安全法》第六十一条的规定予以处罚;

(五)在公共信息服务中对法律、行政法规禁止发布或者传输的信息未依法或者不按照公安机关的要求采取停止传输、消除等处置措施、保存有关记录的,依照《中华人民共和国网络安全法》第六十八条或者第六十九条第一项的规定予以处罚;

(六)拒不为公安机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助的,依照《中华人民共和国网络安全法》第六十九条第三项的规定予以处罚。

有前款第四至六项行为违反《中华人民共和国反恐怖主义法》规定的,依照《中华人民共和国反恐怖主义法》第八十四条或者第八十六条第一款的规定予以处罚。

《区块链信息服务管理规定》

第十九条 区块链信息服务提供者违反本规定第五条、第六条、第七条、第九条、第十一条第二款、第十三条、第十五条、第十七条、第十八条规定的,由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

《网络产品安全漏洞管理规定》

第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。

第六十条 【违反网络产品和服务安全运行规定的法律责任】

违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:

(一)设置恶意程序的;

(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;

(三)擅自终止为其产品、服务提供安全维护的。

关联法规

◎ 部门规章

《公安机关互联网安全监督检查规定》

第二十三条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位在提供的互联网服务中设置恶意程序的,依照《中华人民共和国网络安全法》第六十条第一项的规定予以处罚。

《网络产品安全漏洞管理规定》

第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。

第六十一条 【违反用户身份管理义务的法律责任】

网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

关联法规

◎ 法律

《反电信网络诈骗法》

第三十九条 电信业务经营者违反本法规定,有下列情形之一的,由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款:

(一)未落实国家有关规定确定的反电信网络诈骗内部控制机制的;

(二)未履行电话卡、物联网卡实名制登记职责的;

(三)未履行对电话卡、物联网卡的监测识别、监测预警和相关处置职责的;

(四)未对物联网卡用户进行风险评估,或者未限定物联网卡的开通功能、使用场景和适用设备的;

(五)未采取措施对改号电话、虚假主叫或者具有相应功能的非法设备进行监测处置的。

第四十一条 电信业务经营者、互联网服务提供者违反本法规定,有下列情形之一的,由有关主管部门责令改正,情节较轻的,给予警告、通报批评,或者处五万元以上五十万元以下罚款;情节严重的,处五十万元以上五百万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照,对其直接负责的主管人员和其他直接责任人员,处一万元以上二十万元以下罚款:

(一)未落实国家有关规定确定的反电信网络诈骗内部控制机制的;

(二)未履行网络服务实名制职责,或者未对涉案、涉诈电话卡关联注册互联网账号进行核验的;

(三)未按照国家有关规定,核验域名注册、解析信息和互联网协议地址的真实性、准确性,规范域名跳转,或者记录并留存所提供相应服务的日志信息的;

(四)未登记核验移动互联网应用程序开发运营者的真实身份信息或者未核验应用程序的功能、用途,为其提供应用程序封装、分发服务的;

(五)未履行对涉诈互联网账号和应用程序,以及其他电信网络诈骗信息、活动的监测识别和处置义务的;

(六)拒不依法为查处电信网络诈骗犯罪提供技术支持和协助,或者未按规定移送有关违法犯罪线索、风险信息的。

《反恐怖主义法》

第八十六条 电信、互联网、金融业务经营者、服务提供者未按规定对客户身份进行查验,或者对身份不明、拒绝身份查验的客户提供服务的,主管部门应当责令改正;拒不改正的,处二十万元以上五十万元以下罚款,并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款;情节严重的,处五十万元以上罚款,并对其直接负责的主管人员和其他直接责任人员,处十万元以上五十万元以下罚款。

住宿、长途客运、机动车租赁等业务经营者、服务提供者有前款规定情形的,由主管部门处十万元以上五十万元以下罚款,并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款。

◎ 部门规章

《互联网新闻信息服务管理规定》

第二十六条 互联网新闻信息服务提供者违反本规定第十三条第一款、第十六条第二款规定的,由国家和地方互联网信息办公室根据《中华人民共和国网络安全法》的规定予以处理。

《区块链信息服务管理规定》

第二十条 区块链信息服务提供者违反本规定第八条、第十六条规定的,由国家和省、自治区、直辖市互联网信息办公室依据职责,按照《中华人民共和国网络安全法》的规定予以处理。

第六十二条 【违法开展网络安全服务的法律责任】

违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

关联法规

◎ 行政法规

《商用密码管理条例》

第五十条 违反本条例规定,未经认定向社会开展商用密码检测活动,或者未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款。

违反本条例规定,未经批准从事商用密码认证活动的,由市场监督管理部门会同密码管理部门依照前款规定予以处罚。

第五十一条 商用密码检测机构开展商用密码检测,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码检测机构资质:

(一)超出批准范围;

(二)存在影响检测独立、公正、诚信的行为;

(三)出具的检测数据、结果虚假或者失实;

(四)拒不报送或者不如实报送实施情况;

(五)未履行保密义务;

(六)其他违反法律、行政法规和商用密码检测技术规范、规则开展商用密码检测的情形。

第五十二条 商用密码认证机构开展商用密码认证,有下列情形之一的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销商用密码认证机构资质:

(一)超出批准范围;

(二)存在影响认证独立、公正、诚信的行为;

(三)出具的认证结论虚假或者失实;

(四)未对其认证的商用密码产品、服务、管理体系实施有效的跟踪调查;

(五)未履行保密义务;

(六)其他违反法律、行政法规和商用密码认证技术规范、规则开展商用密码认证的情形。

第五十三条 违反本条例第二十条、第二十一条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得10万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足10万元的,可以并处3万元以上10万元以下罚款。

第五十四条 电子认证服务机构违反法律、行政法规和电子认证服务密码使用技术规范、规则使用密码的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,依法吊销电子认证服务使用密码的证明文件。

第五十五条 电子政务电子认证服务机构开展电子政务电子认证服务,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,责令停业整顿,直至吊销电子政务电子认证服务机构资质:

(一)超出批准范围;

(二)拒不报送或者不如实报送实施情况;

(三)未履行保密义务;

(四)其他违反法律、行政法规和电子政务电子认证服务技术规范、规则提供电子政务电子认证服务的情形。

第五十六条 电子签名人或者电子签名依赖方因依据电子政务电子认证服务机构提供的电子签名认证服务在政务活动中遭受损失,电子政务电子认证服务机构不能证明自己无过错的,承担赔偿责任。

第五十七条 政务活动中电子签名、电子印章、电子证照等涉及的电子认证服务,违反本条例第三十条规定,未由依法设立的电子政务电子认证服务机构提供的,由密码管理部门责令改正,给予警告;拒不改正或者有其他严重情节的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关、单位应当将处分或者处理情况书面告知密码管理部门。

◎ 部门规范性文件

《网络产品安全漏洞管理规定》

第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。

第六十三条 【实施危害网络安全行为的法律责任】

违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。

单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

关联法规

◎ 法律

《刑法》

第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。

故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。

第二百八十七条之二 明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

《数据安全法》

第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。

《反电信网络诈骗法》

第四十二条 违反本法第十四条、第二十五条第一款规定的,没收违法所得,由公安机关或者有关主管部门处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足五万元的,处五十万元以下罚款;情节严重的,由公安机关并处十五日以下拘留。

《治安管理处罚法》

第二十九条 有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:

(一)违反国家规定,侵入计算机信息系统,造成危害的;

(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;

(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;

(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。

《密码法》

第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

◎ 行政法规

《计算机信息系统安全保护条例》

第二十三条 故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以1.5万元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款。

《计算机信息网络国际联网安全保护管理办法》

第二十条 违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关给予警告,有违法所得的,没收违法所得,对个人可以并处5000元以下的罚款,对单位可以并处1.5万元以下的罚款;情节严重的,并可以给予6个月以内停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为的,依照治安管理处罚法的规定处罚;构成犯罪的,依法追究刑事责任。

第二十二条 违反本办法第四条、第七条规定的,依照有关法律、法规予以处罚。

第二十三条 违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予警告或者停机整顿不超过6个月的处罚。

《电信条例》

第六十六条 违反本条例第五十六条、第五十七条的规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照有关法律、行政法规的规定予以处罚。

《关键信息基础设施安全保护条例》

第四十三条 实施非法侵入、干扰、破坏关键信息基础设施,危害其安全的活动尚不构成犯罪的,依照《中华人民共和国网络安全法》有关规定,由公安机关没收违法所得,处5日以下拘留,可以并处5万元以上50万元以下罚款;情节较重的,处5日以上15日以下拘留,可以并处10万元以上100万元以下罚款。

单位有前款行为的,由公安机关没收违法所得,处10万元以上100万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本条例第五条第二款和第三十一条规定,受到治安管理处罚的人员,5年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。

《商用密码管理条例》

第五十九条 窃取他人加密保护的信息,非法侵入他人的商用密码保障系统,或者利用商用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。

◎ 司法解释

《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:

(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;

(二)获取第(一)项以外的身份认证信息五百组以上的;

(三)非法控制计算机信息系统二十台以上的;

(四)违法所得五千元以上或者造成经济损失一万元以上的;

(五)其他情节严重的情形。

实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:

(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;

(二)其他情节特别严重的情形。

明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。

第二条 具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:

(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;

(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;

(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

第三条 提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的“情节严重”:

(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;

(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;

(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;

(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;

(五)违法所得五千元以上或者造成经济损失一万元以上的;

(六)其他情节严重的情形。

实施前款规定行为,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”:

(一)数量或者数额达到前款第(一)项至第(五)项规定标准五倍以上的;

(二)其他情节特别严重的情形。

第四条 破坏计算机信息系统功能、数据或者应用程序,具有下列情形之一的,应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”:

(一)造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的;

(二)对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;

(三)违法所得五千元以上或者造成经济损失一万元以上的;

(四)造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;

(五)造成其他严重后果的。

实施前款规定行为,具有下列情形之一的,应当认定为破坏计算机信息系统“后果特别严重”:

(一)数量或者数额达到前款第(一)项至第(三)项规定标准五倍以上的;

(二)造成为五百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为五万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的;

(三)破坏国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的功能、数据或者应用程序,致使生产、生活受到严重影响或者造成恶劣社会影响的;

(四)造成其他特别严重后果的。

第五条 具有下列情形之一的程序,应当认定为刑法第二百八十六条第三款规定的“计算机病毒等破坏性程序”:

(一)能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行复制、传播,并破坏计算机系统功能、数据或者应用程序的;

(二)能够在预先设定条件下自动触发,并破坏计算机系统功能、数据或者应用程序的;

(三)其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序。

第六条 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,具有下列情形之一的,应当认定为刑法第二百八十六条第三款规定的“后果严重”:

(一)制作、提供、传输第五条第(一)项规定的程序,导致该程序通过网络、存储介质、文件等媒介传播的;

(二)造成二十台以上计算机系统被植入第五条第(二)、(三)项规定的程序的;

(三)提供计算机病毒等破坏性程序十人次以上的;

(四)违法所得五千元以上或者造成经济损失一万元以上的;

(五)造成其他严重后果的。

实施前款规定行为,具有下列情形之一的,应当认定为破坏计算机信息系统“后果特别严重”:

(一)制作、提供、传输第五条第(一)项规定的程序,导致该程序通过网络、存储介质、文件等媒介传播,致使生产、生活受到严重影响或者造成恶劣社会影响的;

(二)数量或者数额达到前款第(二)项至第(四)项规定标准五倍以上的;

(三)造成其他特别严重后果的。

第七条 明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五千元以上的,应当依照刑法第三百一十二条第一款的规定,以掩饰、隐瞒犯罪所得罪定罪处罚。

实施前款规定行为,违法所得五万元以上的,应当认定为刑法第三百一十二条第一款规定的“情节严重”。

单位实施第一款规定行为的,定罪量刑标准依照第一款、第二款的规定执行。

第八条 以单位名义或者单位形式实施危害计算机信息系统安全犯罪,达到本解释规定的定罪量刑标准的,应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。

第九条 明知他人实施刑法第二百八十五条、第二百八十六条规定的行为,具有下列情形之一的,应当认定为共同犯罪,依照刑法第二百八十五条、第二百八十六条的规定处罚:

(一)为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的;

(二)为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,违法所得五千元以上的;

(三)通过委托推广软件、投放广告等方式向其提供资金五千元以上的。

实施前款规定行为,数量或者数额达到前款规定标准五倍以上的,应当认定为刑法第二百八十五条、第二百八十六条规定的“情节特别严重”或者“后果特别严重”。

第十条 对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定。

《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》

四、准确认定共同犯罪与主观故意

……

(三)明知他人实施电信网络诈骗犯罪,具有下列情形之一的,以共同犯罪论处,但法律和司法解释另有规定的除外:

1.提供信用卡、资金支付结算账户、手机卡、通讯工具的;

2.非法获取、出售、提供公民个人信息的;

3.制作、销售、提供“木马”程序和“钓鱼软件”等恶意程序的;

4.提供“伪基站”设备或相关服务的;

5.提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供支付结算等帮助的;

6.在提供改号软件、通话线路等技术服务时,发现主叫号码被修改为国内党政机关、司法机关、公共服务部门号码,或者境外用户改为境内号码,仍提供服务的;

7.提供资金、场所、交通、生活保障等帮助的;

8.帮助转移诈骗犯罪所得及其产生的收益,套现、取现的。

上述规定的“明知他人实施电信网络诈骗犯罪”,应当结合被告人的认知能力,既往经历,行为次数和手段,与他人关系,获利情况,是否曾因电信网络诈骗受过处罚,是否故意规避调查等主客观因素进行综合分析认定。

……

《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

第十二条 明知他人利用信息网络实施犯罪,为其犯罪提供帮助,具有下列情形之一的,应当认定为刑法第二百八十七条之二第一款规定的“情节严重”:

(一)为三个以上对象提供帮助的;

(二)支付结算金额二十万元以上的;

(三)以投放广告等方式提供资金五万元以上的;

(四)违法所得一万元以上的;

(五)二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚,又帮助信息网络犯罪活动的;

(六)被帮助对象实施的犯罪造成严重后果的;

(七)其他情节严重的情形。

实施前款规定的行为,确因客观条件限制无法查证被帮助对象是否达到犯罪的程度,但相关数额总计达到前款第二项至第四项规定标准五倍以上,或者造成特别严重后果的,应当以帮助信息网络犯罪活动罪追究行为人的刑事责任。

《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》

七、为他人利用信息网络实施犯罪而实施下列行为,可以认定为刑法第二百八十七条之二规定的“帮助”行为:

(一)收购、出售、出租信用卡、银行账户、非银行支付账户、具有支付结算功能的互联网账号密码、网络支付接口、网上银行数字证书的;

(二)收购、出售、出租他人手机卡、流量卡、物联网卡的。

八、认定刑法第二百八十七条之二规定的行为人明知他人利用信息网络实施犯罪,应当根据行为人收购、出售、出租前述第七条规定的信用卡、银行账户、非银行支付账户、具有支付结算功能的互联网账号密码、网络支付接口、网上银行数字证书,或者他人手机卡、流量卡、物联网卡等的次数、张数、个数,并结合行为人的认知能力、既往经历、交易对象、与实施信息网络犯罪的行为人的关系、提供技术支持或者帮助的时间和方式、获利情况以及行为人的供述等主客观因素,予以综合认定。

收购、出售、出租单位银行结算账户、非银行支付机构单位支付账户,或者电信、银行、网络支付等行业从业人员利用履行职责或提供服务便利,非法开办并出售、出租他人手机卡、信用卡、银行账户、非银行支付账户等的,可以认定为《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第十一条第(七)项规定的“其他足以认定行为人明知的情形”。但有相反证据的除外。

九、明知他人利用信息网络实施犯罪,为其犯罪提供下列帮助之一的,可以认定为《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第十二条第一款第(七)项规定的“其他情节严重的情形”:

(一)收购、出售、出租信用卡、银行账户、非银行支付账户、具有支付结算功能的互联网账号密码、网络支付接口、网上银行数字证书5张(个)以上的;

(二)收购、出售、出租他人手机卡、流量卡、物联网卡20张以上的。

十、电商平台预付卡、虚拟货币、手机充值卡、游戏点卡、游戏装备等经销商,在公安机关调查案件过程中,被明确告知其交易对象涉嫌电信网络诈骗犯罪,仍与其继续交易,符合刑法第二百八十七条之二规定的,以帮助信息网络犯罪活动罪追究刑事责任。同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

◎ 部门规章

《公安机关互联网安全监督检查规定》

第二十五条 受公安机关委托提供技术支持的网络安全服务机构及其工作人员,从事非法侵入监督检查对象网络、干扰监督检查对象网络正常功能、窃取网络数据等危害网络安全的活动的,依照《中华人民共和国网络安全法》第六十三条的规定予以处罚;窃取或者以其他非法方式获取、非法出售或者非法向他人提供在工作中获悉的个人信息的,依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚,构成犯罪的,依法追究刑事责任。

前款规定的机构及人员侵犯监督检查对象的商业秘密,构成犯罪的,依法追究刑事责任。

◎ 部门规范性文件

《网络产品安全漏洞管理规定》

第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。

第六十四条 【侵害公民个人信息权益的法律责任】

网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。

关联法规

◎ 法律

《刑法》

第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

《个人信息保护法》

第六十六条 违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

◎ 司法解释

《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》

三、全面惩处关联犯罪

……

(二)违反国家有关规定,向他人出售或者提供公民个人信息,窃取或者以其他方法非法获取公民个人信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。

使用非法获取的公民个人信息,实施电信网络诈骗犯罪行为,构成数罪的,应当依法予以并罚。

……

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第二条 违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

第三条 向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。

未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。

第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

(七)违法所得五千元以上的;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

(十)其他情节严重的情形。

实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

(二)造成重大经济损失或者恶劣社会影响的;

(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

(四)其他情节特别严重的情形。

第六条 为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)利用非法购买、收受的公民个人信息获利五万元以上的;

(二)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;

(三)其他情节严重的情形。

实施前款规定的行为,将购买、收受的公民个人信息非法出售或者提供的,定罪量刑标准适用本解释第五条的规定。

第七条 单位犯刑法第二百五十三条之一规定之罪的,依照本解释规定的相应自然人犯罪的定罪量刑标准,对直接负责的主管人员和其他直接责任人员定罪处罚,并对单位判处罚金。

第八条 设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。

第九条 网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。

第十条 实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。

第十一条 非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。

向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。

对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。

第十二条 对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。

《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》

五、非法获取、出售、提供具有信息发布、即时通讯、支付结算等功能的互联网账号密码、个人生物识别信息,符合刑法第二百五十三条之一规定的,以侵犯公民个人信息罪追究刑事责任。

对批量前述互联网账号密码、个人生物识别信息的条数,根据查获的数量直接认定,但有证据证明信息不真实或者重复的除外。

《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第七条 多个信息处理者处理人脸信息侵害自然人人格权益,该自然人主张多个信息处理者按照过错程度和造成损害结果的大小承担侵权责任的,人民法院依法予以支持;符合民法典第一千一百六十八条、第一千一百六十九条第一款、第一千一百七十条、第一千一百七十一条等规定的相应情形,该自然人主张多个信息处理者承担连带责任的,人民法院依法予以支持。

信息处理者利用网络服务处理人脸信息侵害自然人人格权益的,适用民法典第一千一百九十五条、第一千一百九十六条、第一千一百九十七条等规定。

◎ 部门规章

《电信和互联网用户个人信息保护规定》

第二十二条 电信业务经营者、互联网信息服务提供者违反本规定第八条、第十二条规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以下的罚款。

第二十三条 电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。

《公安机关互联网安全监督检查规定》

第二十二条 公安机关在互联网安全监督检查中,发现互联网服务提供者和联网使用单位,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚。

第二十五条 受公安机关委托提供技术支持的网络安全服务机构及其工作人员,从事非法侵入监督检查对象网络、干扰监督检查对象网络正常功能、窃取网络数据等危害网络安全的活动的,依照《中华人民共和国网络安全法》第六十三条的规定予以处罚;窃取或者以其他非法方式获取、非法出售或者非法向他人提供在工作中获悉的个人信息的,依照《中华人民共和国网络安全法》第六十四条第二款的规定予以处罚,构成犯罪的,依法追究刑事责任。

前款规定的机构及人员侵犯监督检查对象的商业秘密,构成犯罪的,依法追究刑事责任。

《网络招聘服务管理规定》

第三十六条 违反本规定第二十一条、第二十二条规定,未依法进行信息收集、使用、存储、发布的,由有关主管部门依照《中华人民共和国网络安全法》等法律、行政法规的规定予以处罚。

第六十五条 【违反国家安全审查规定的法律责任】

关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

关联法规

◎ 法律

《密码法》

第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

◎ 行政法规

《关键信息基础设施安全保护条例》

第四十一条 运营者采购可能影响国家安全的网络产品和服务,未按照国家网络安全规定进行安全审查的,由国家网信部门等有关主管部门依据职责责令改正,处采购金额1倍以上10倍以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

《商用密码管理条例》

第六十一条 关键信息基础设施的运营者违反本条例第四十条规定,使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额1倍以上10倍以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。

第六十六条 【违法存储和对外提供数据的法律责任】

关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

关联法规

◎ 法律

《数据安全法》

第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第六十七条 【利用网络从事违法活动的法律责任】

违反本法第四十六条规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。

单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

关联法规

◎ 法律

《刑法》

第二百八十七条之一 利用信息网络实施下列行为之一,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金:

(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;

(二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;

(三)为实施诈骗等违法犯罪活动发布信息的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。

有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。

《反电信网络诈骗法》

第三十八条 组织、策划、实施、参与电信网络诈骗活动或者为电信网络诈骗活动提供帮助,构成犯罪的,依法追究刑事责任。

前款行为尚不构成犯罪的,由公安机关处十日以上十五日以下拘留;没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足一万元的,处十万元以下罚款。

◎ 司法解释

《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》

三、全面惩处关联犯罪

……

(七)实施刑法第二百八十七条之一、第二百八十七条之二规定之行为,构成非法利用信息网络罪、帮助信息网络犯罪活动罪,同时构成诈骗罪的,依照处罚较重的规定定罪处罚。

(八)金融机构、网络服务提供者、电信业务经营者等在经营活动中,违反国家有关规定,被电信网络诈骗犯罪分子利用,使他人遭受财产损失的,依法承担相应责任。构成犯罪的,依法追究刑事责任。

《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

第八条 以实施违法犯罪活动为目的而设立或者设立后主要用于实施违法犯罪活动的网站、通讯群组,应当认定为刑法第二百八十七条之一第一款第一项规定的“用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”。

第九条 利用信息网络提供信息的链接、截屏、二维码、访问账号密码及其他指引访问服务的,应当认定为刑法第二百八十七条之一第一款第二项、第三项规定的“发布信息”。

第十条 非法利用信息网络,具有下列情形之一的,应当认定为刑法第二百八十七条之一第一款规定的“情节严重”:

(一)假冒国家机关、金融机构名义,设立用于实施违法犯罪活动的网站的;

(二)设立用于实施违法犯罪活动的网站,数量达到三个以上或者注册账号数累计达到二千以上的;

(三)设立用于实施违法犯罪活动的通讯群组,数量达到五个以上或者群组成员账号数累计达到一千以上的;

(四)发布有关违法犯罪的信息或者为实施违法犯罪活动发布信息,具有下列情形之一的:

1.在网站上发布有关信息一百条以上的;

2.向二千个以上用户账号发送有关信息的;

3.向群组成员数累计达到三千以上的通讯群组发送有关信息的;

4.利用关注人员账号数累计达到三万以上的社交网络传播有关信息的;

(一)违法所得一万元以上的;

(二)二年内曾因非法利用信息网络、帮助信息网络犯罪活动、危害计算机信息系统安全受过行政处罚,又非法利用信息网络的;

(三)其他情节严重的情形。

第十一条 为他人实施犯罪提供技术支持或者帮助,具有下列情形之一的,可以认定行为人明知他人利用信息网络实施犯罪,但是有相反证据的除外:

(一)经监管部门告知后仍然实施有关行为的;

(二)接到举报后不履行法定管理职责的;

(三)交易价格或者方式明显异常的;

(四)提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的;

(五)频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的;

(六)为他人逃避监管或者规避调查提供技术支持、帮助的;

(七)其他足以认定行为人明知的情形。

第六十八条 【违反信息安全管理义务的法律责任】

网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。

关联法规

◎ 法律

《民法典》

第一千一百九十七条 网络服务提供者知道或者应当知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。

《刑法》

第二百八十六条之一 网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:

(一)致使违法信息大量传播的;

(二)致使用户信息泄露,造成严重后果的;

(三)致使刑事案件证据灭失,情节严重的;

(四)有其他严重情节的。

单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。

《反恐怖主义法》

第八十四条 电信业务经营者、互联网服务提供者有下列情形之一的,由主管部门处二十万元以上五十万元以下罚款,并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款;情节严重的,处五十万元以上罚款,并对其直接负责的主管人员和其他直接责任人员,处十万元以上五十万元以下罚款,可以由公安机关对其直接负责的主管人员和其他直接责任人员,处五日以上十五日以下拘留:

(一)未依照规定为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的;

(二)未按照主管部门的要求,停止传输、删除含有恐怖主义、极端主义内容的信息,保存相关记录,关闭相关网站或者关停相关服务的;

(三)未落实网络安全、信息内容监督制度和安全技术防范措施,造成含有恐怖主义、极端主义内容的信息传播,情节严重的。

《关于加强网络信息保护的决定》

十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。

《反有组织犯罪法》

第七十二条 电信业务经营者、互联网服务提供者有下列情形之一的,由有关主管部门责令改正;拒不改正或者情节严重的,由有关主管部门依照《中华人民共和国网络安全法》的有关规定给予处罚:

(一)拒不为侦查有组织犯罪提供技术支持和协助的;

(二)不按照主管部门的要求对含有宣扬、诱导有组织犯罪内容的信息停止传输、采取消除等处置措施、保存相关记录的。

◎ 行政法规

《互联网信息服务管理办法》

第二十三条 违反本办法第十六条规定的义务的,由省、自治区、直辖市电信管理机构责令改正;情节严重的,对经营性互联网信息服务提供者,并由发证机关吊销经营许可证,对非经营性互联网信息服务提供者,并由备案机关责令关闭网站。

◎ 司法解释

《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》

三、全面惩处关联犯罪

……

(六)网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使诈骗信息大量传播,或者用户信息泄露造成严重后果的,依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪追究刑事责任。同时构成诈骗罪的,依照处罚较重的规定定罪处罚。

……

《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

第二条 刑法第二百八十六条之一第一款规定的“监管部门责令采取改正措施”,是指网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门,以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。

认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。

第三条 拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第一项规定的“致使违法信息大量传播”:

(一)致使传播违法视频文件二百个以上的;

(二)致使传播违法视频文件以外的其他违法信息二千个以上的;

(三)致使传播违法信息,数量虽未达到第一项、第二项规定标准,但是按相应比例折算合计达到有关数量标准的;

(四)致使向二千个以上用户账号传播违法信息的;

(五)致使利用群组成员账号数累计三千以上的通讯群组或者关注人员账号数累计三万以上的社交网络传播违法信息的;

(六)致使违法信息实际被点击数达到五万以上的;

(七)其他致使违法信息大量传播的情形。

第四条 拒不履行信息网络安全管理义务,致使用户信息泄露,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”:

(一)致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;

(二)致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;

(三)致使泄露第一项、第二项规定以外的用户信息五万条以上的;

(四)数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;

(五)造成他人死亡、重伤、精神失常或者被绑架等严重后果的;

(六)造成重大经济损失的;

(七)严重扰乱社会秩序的;

(八)造成其他严重后果的。

第五条 拒不履行信息网络安全管理义务,致使影响定罪量刑的刑事案件证据灭失,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第三项规定的“情节严重”:

(一)造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪案件的证据灭失的;

(二)造成可能判处五年有期徒刑以上刑罚犯罪案件的证据灭失的;

(三)多次造成刑事案件证据灭失的;

(四)致使刑事诉讼程序受到严重影响的;

(五)其他情节严重的情形。

第六条 拒不履行信息网络安全管理义务,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第四项规定的“有其他严重情节”:

(一)对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;

(二)二年内经多次责令改正拒不改正的;

(三)致使信息网络服务被主要用于违法犯罪的;

(四)致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;

(五)致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;

(六)致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;

(七)其他严重违反信息网络安全管理义务的情形。

《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》

第二条 原告依据民法典第一千一百九十五条、第一千一百九十七条的规定起诉网络用户或者网络服务提供者的,人民法院应予受理。

原告仅起诉网络用户,网络用户请求追加涉嫌侵权的网络服务提供者为共同被告或者第三人的,人民法院应予准许。

原告仅起诉网络服务提供者,网络服务提供者请求追加可以确定的网络用户为共同被告或者第三人的,人民法院应予准许。

第三条 原告起诉网络服务提供者,网络服务提供者以涉嫌侵权的信息系网络用户发布为由抗辩的,人民法院可以根据原告的请求及案件的具体情况,责令网络服务提供者向人民法院提供能够确定涉嫌侵权的网络用户的姓名(名称)、联系方式、网络地址等信息。

网络服务提供者无正当理由拒不提供的,人民法院可以依据民事诉讼法第一百一十四条的规定对网络服务提供者采取处罚等措施。

原告根据网络服务提供者提供的信息请求追加网络用户为被告的,人民法院应予准许。

第四条 人民法院适用民法典第一千一百九十五条第二款的规定,认定网络服务提供者采取的删除、屏蔽、断开链接等必要措施是否及时,应当根据网络服务的类型和性质、有效通知的形式和准确程度、网络信息侵害权益的类型和程度等因素综合判断。

第五条 其发布的信息被采取删除、屏蔽、断开链接等措施的网络用户,主张网络服务提供者承担违约责任或者侵权责任,网络服务提供者以收到民法典第一千一百九十五条第一款规定的有效通知为由抗辩的,人民法院应予支持。

第六条 人民法院依据民法典第一千一百九十七条认定网络服务提供者是否“知道或者应当知道”,应当综合考虑下列因素:

(一)网络服务提供者是否以人工或者自动方式对侵权网络信息以推荐、排名、选择、编辑、整理、修改等方式作出处理;

(二)网络服务提供者应当具备的管理信息的能力,以及所提供服务的性质、方式及其引发侵权的可能性大小;

(三)该网络信息侵害人身权益的类型及明显程度;

(四)该网络信息的社会影响程度或者一定时间内的浏览量;

(五)网络服务提供者采取预防侵权措施的技术可能性及其是否采取了相应的合理措施;

(六)网络服务提供者是否针对同一网络用户的重复侵权行为或者同一侵权信息采取了相应的合理措施;

(七)与本案相关的其他因素。

《关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》

第七条 网络服务提供者在提供网络服务时教唆或者帮助网络用户实施侵害信息网络传播权行为的,人民法院应当判令其承担侵权责任。

网络服务提供者以言语、推介技术支持、奖励积分等方式诱导、鼓励网络用户实施侵害信息网络传播权行为的,人民法院应当认定其构成教唆侵权行为。

网络服务提供者明知或者应知网络用户利用网络服务侵害信息网络传播权,未采取删除、屏蔽、断开链接等必要措施,或者提供技术支持等帮助行为的,人民法院应当认定其构成帮助侵权行为。

第八条 人民法院应当根据网络服务提供者的过错,确定其是否承担教唆、帮助侵权责任。网络服务提供者的过错包括对于网络用户侵害信息网络传播权行为的明知或者应知。

网络服务提供者未对网络用户侵害信息网络传播权的行为主动进行审查的,人民法院不应据此认定其具有过错。

网络服务提供者能够证明已采取合理、有效的技术措施,仍难以发现网络用户侵害信息网络传播权行为的,人民法院应当认定其不具有过错。

第九条 人民法院应当根据网络用户侵害信息网络传播权的具体事实是否明显,综合考虑以下因素,认定网络服务提供者是否构成应知:

(一)基于网络服务提供者提供服务的性质、方式及其引发侵权的可能性大小,应当具备的管理信息的能力;

(二)传播的作品、表演、录音录像制品的类型、知名度及侵权信息的明显程度;

(三)网络服务提供者是否主动对作品、表演、录音录像制品进行了选择、编辑、修改、推荐等;

(四)网络服务提供者是否积极采取了预防侵权的合理措施;

(五)网络服务提供者是否设置便捷程序接收侵权通知并及时对侵权通知作出合理的反应;

(六)网络服务提供者是否针对同一网络用户的重复侵权行为采取了相应的合理措施;

(七)其他相关因素。

第十条 网络服务提供者在提供网络服务时,对热播影视作品等以设置榜单、目录、索引、描述性段落、内容简介等方式进行推荐,且公众可以在其网页上直接以下载、浏览或者其他方式获得的,人民法院可以认定其应知网络用户侵害信息网络传播权。

第十一条 网络服务提供者从网络用户提供的作品、表演、录音录像制品中直接获得经济利益的,人民法院应当认定其对该网络用户侵害信息网络传播权的行为负有较高的注意义务。

网络服务提供者针对特定作品、表演、录音录像制品投放广告获取收益,或者获取与其传播的作品、表演、录音录像制品存在其他特定联系的经济利益,应当认定为前款规定的直接获得经济利益。网络服务提供者因提供网络服务而收取一般性广告费、服务费等,不属于本款规定的情形。

第十二条 有下列情形之一的,人民法院可以根据案件具体情况,认定提供信息存储空间服务的网络服务提供者应知网络用户侵害信息网络传播权:

(一)将热播影视作品等置于首页或者其他主要页面等能够为网络服务提供者明显感知的位置的;

(二)对热播影视作品等的主题、内容主动进行选择、编辑、整理、推荐,或者为其设立专门的排行榜的;

(三)其他可以明显感知相关作品、表演、录音录像制品为未经许可提供,仍未采取合理措施的情形。

第十三条 网络服务提供者接到权利人以书信、传真、电子邮件等方式提交的通知及构成侵权的初步证据,未及时根据初步证据和服务类型采取必要措施的,人民法院应当认定其明知相关侵害信息网络传播权行为。

第十四条 人民法院认定网络服务提供者转送通知、采取必要措施是否及时,应当根据权利人提交通知的形式,通知的准确程度,采取措施的难易程度,网络服务的性质,所涉作品、表演、录音录像制品的类型、知名度、数量等因素综合判断。

◎ 部门规章

《互联网新闻信息服务管理规定》

第二十六条 互联网新闻信息服务提供者违反本规定第十三条第一款、第十六条第二款规定的,由国家和地方互联网信息办公室根据《中华人民共和国网络安全法》的规定予以处理。

《互联网文化管理暂行规定》

第三十条 经营性互联网文化单位违反本规定第十九条的,由县级以上人民政府文化行政部门或者文化市场综合执法机构予以警告,责令限期改正,并处10000元以下罚款。

《网络信息内容生态治理规定》

第三十五条 网络信息内容服务平台违反本规定第十条、第三十一条第二款规定的,由网信等有关主管部门依据职责,按照《中华人民共和国网络安全法》《互联网信息服务管理办法》等法律、行政法规的规定予以处理。

第三十六条 网络信息内容服务平台违反本规定第十一条第二款规定的,由设区的市级以上网信部门依据职责进行约谈,给予警告,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,按照有关法律、行政法规的规定予以处理。

《互联网信息服务算法推荐管理规定》

第三十一条 算法推荐服务提供者违反本规定第七条、第八条、第九条第一款、第十条、第十四条、第十六条、第十七条、第二十二条、第二十四条、第二十六条规定,法律、行政法规有规定的,依照其规定;法律、行政法规没有规定的,由网信部门和电信、公安、市场监管等有关部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

第三十二条 算法推荐服务提供者违反本规定第六条、第九条第二款、第十一条、第十三条、第十五条、第十八条、第十九条、第二十条、第二十一条、第二十七条、第二十八条第二款规定的,由网信部门和电信、公安、市场监管等有关部门依据职责,按照有关法律、行政法规和部门规章的规定予以处理。

◎ 部门规范性文件

《即时通信工具公众信息服务发展管理暂行规定》

第九条 对违反本规定的行为,由有关部门依照相关法律法规处理。

第六十九条 【网络运营者妨碍执法活动的法律责任】

网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:

(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的;

(二)拒绝、阻碍有关部门依法实施的监督检查的;

(三)拒不向公安机关、国家安全机关提供技术支持和协助的。

关联法规

◎ 法律

《数据安全法》

第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

◎ 行政法规

《关键信息基础设施安全保护条例》

第四十二条 运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作,以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的,由有关主管部门责令改正;拒不改正的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节严重的,依法追究相应法律责任。

《商用密码管理条例》

第六十三条 无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的,由密码管理部门、有关部门责令改正,给予警告;拒不改正或者有其他严重情节的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;情节特别严重的,责令停业整顿,直至吊销商用密码许可证件。

◎ 部门规章

《公安机关互联网安全监督检查规定》

第二十四条 互联网服务提供者和联网使用单位拒绝、阻碍公安机关实施互联网安全监督检查的,依照《中华人民共和国网络安全法》第六十九条第二项的规定予以处罚;拒不配合反恐怖主义工作的,依照《中华人民共和国反恐怖主义法》第九十一条或者第九十二条的规定予以处罚。

第七十条 【利用网络发布传输违法信息的法律责任】

发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。

关联法规

◎ 法律

《刑法》

第一百二十条之三 以制作、散发宣扬恐怖主义、极端主义的图书、音频视频资料或者其他物品,或者通过讲授、发布信息等方式宣扬恐怖主义、极端主义的,或者煽动实施恐怖活动的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利,并处罚金;情节严重的,处五年以上有期徒刑,并处罚金或者没收财产。

第二百四十六条 以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人,情节严重的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。

前款罪,告诉的才处理,但是严重危害社会秩序和国家利益的除外。

通过信息网络实施第一款规定的行为,被害人向人民法院告诉,但提供证据确有困难的,人民法院可以要求公安机关提供协助。

第二百九十一条之一 投放虚假的爆炸性、毒害性、放射性、传染病病原体等物质,或者编造爆炸威胁、生化威胁、放射威胁等恐怖信息,或者明知是编造的恐怖信息而故意传播,严重扰乱社会秩序的,处五年以下有期徒刑、拘役或者管制;造成严重后果的,处五年以上有期徒刑。

编造虚假的险情、疫情、灾情、警情,在信息网络或者其他媒体上传播,或者明知是上述虚假信息,故意在信息网络或者其他媒体上传播,严重扰乱社会秩序的,处三年以下有期徒刑、拘役或者管制;造成严重后果的,处三年以上七年以下有期徒刑。

《保守国家秘密法》

第五十条 互联网及其他公共信息网络运营商、服务商违反本法第二十八条规定的,由公安机关或者国家安全机关、信息产业主管部门按照各自职责分工依法予以处罚。

《治安管理处罚法》

第二十五条 有下列行为之一的,处五日以上十日以下拘留,可以并处五百元以下罚款;情节较轻的,处五日以下拘留或者五百元以下罚款:

(一)散布谣言,谎报险情、疫情、警情或者以其他方法故意扰乱公共秩序的;

(二)投放虚假的爆炸性、毒害性、放射性、腐蚀性物质或者传染病病原体等危险物质扰乱公共秩序的;

(三)扬言实施放火、爆炸、投放危险物质扰乱公共秩序的。

第四十二条 有下列行为之一的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款:

(一)写恐吓信或者以其他方法威胁他人人身安全的;

(二)公然侮辱他人或者捏造事实诽谤他人的;

(三)捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚的;

(四)对证人及其近亲属进行威胁、侮辱、殴打或者打击报复的;

(五)多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活的;

(六)偷窥、偷拍、窃听、散布他人隐私的。

第四十七条 煽动民族仇恨、民族歧视,或者在出版物、计算机信息网络中刊载民族歧视、侮辱内容的,处十日以上十五日以下拘留,可以并处一千元以下罚款。

第六十八条 制作、运输、复制、出售、出租淫秽的书刊、图片、影片、音像制品等淫秽物品或者利用计算机信息网络、电话以及其他通讯工具传播淫秽信息的,处十日以上十五日以下拘留,可以并处三千元以下罚款;情节较轻的,处五日以下拘留或者五百元以下罚款。

◎ 行政法规

《互联网信息服务管理办法》

第二十条 制作、复制、发布、传播本办法第十五条所列内容之一的信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照《中华人民共和国治安管理处罚法》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定予以处罚;对经营性互联网信息服务提供者,并由发证机关责令停业整顿直至吊销经营许可证,通知企业登记机关;对非经营性互联网信息服务提供者,并由备案机关责令暂时关闭网站直至关闭网站。

《互联网上网服务营业场所管理条例》

第三十条 互联网上网服务营业场所经营单位违反本条例的规定,利用营业场所制作、下载、复制、查阅、发布、传播或者以其他方式使用含有本条例第十四条规定禁止含有的内容的信息,触犯刑律的,依法追究刑事责任;尚不够刑事处罚的,由公安机关给予警告,没收违法所得;违法经营额1万元以上的,并处违法经营额2倍以上5倍以下的罚款;违法经营额不足1万元的,并处1万元以上2万元以下的罚款;情节严重的,责令停业整顿,直至由文化行政部门吊销《网络文化经营许可证》。

上网消费者有前款违法行为,触犯刑律的,依法追究刑事责任;尚不够刑事处罚的,由公安机关依照治安管理处罚法的规定给予处罚。

◎ 司法解释

《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》

第一条 具有下列情形之一的,应当认定为刑法第二百四十六条第一款规定的“捏造事实诽谤他人”:

(一)捏造损害他人名誉的事实,在信息网络上散布,或者组织、指使人员在信息网络上散布的;

(二)将信息网络上涉及他人的原始信息内容篡改为损害他人名誉的事实,在信息网络上散布,或者组织、指使人员在信息网络上散布的;

明知是捏造的损害他人名誉的事实,在信息网络上散布,情节恶劣的,以“捏造事实诽谤他人”论。

第二条 利用信息网络诽谤他人,具有下列情形之一的,应当认定为刑法第二百四十六条第一款规定的“情节严重”:

(一)同一诽谤信息实际被点击、浏览次数达到五千次以上,或者被转发次数达到五百次以上的;

(二)造成被害人或者其近亲属精神失常、自残、自杀等严重后果的;

(三)二年内曾因诽谤受过行政处罚,又诽谤他人的;

(四)其他情节严重的情形。

第三条 利用信息网络诽谤他人,具有下列情形之一的,应当认定为刑法第二百四十六条第二款规定的“严重危害社会秩序和国家利益”:

(一)引发群体性事件的;

(二)引发公共秩序混乱的;

(三)引发民族、宗教冲突的;

(四)诽谤多人,造成恶劣社会影响的;

(五)损害国家形象,严重危害国家利益的;

(六)造成恶劣国际影响的;

(七)其他严重危害社会秩序和国家利益的情形。

第四条 一年内多次实施利用信息网络诽谤他人行为未经处理,诽谤信息实际被点击、浏览、转发次数累计计算构成犯罪的,应当依法定罪处罚。

第五条 利用信息网络辱骂、恐吓他人,情节恶劣,破坏社会秩序的,依照刑法第二百九十三条第一款第(二)项的规定,以寻衅滋事罪定罪处罚。

编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第二百九十三条第一款第(四)项的规定,以寻衅滋事罪定罪处罚。

第六条 以在信息网络上发布、删除等方式处理网络信息为由,威胁、要挟他人,索取公私财物,数额较大,或者多次实施上述行为的,依照刑法第二百七十四条的规定,以敲诈勒索罪定罪处罚。

第七条 违反国家规定,以营利为目的,通过信息网络有偿提供删除信息服务,或者明知是虚假信息,通过信息网络有偿提供发布信息等服务,扰乱市场秩序,具有下列情形之一的,属于非法经营行为“情节严重”,依照刑法第二百二十五条第(四)项的规定,以非法经营罪定罪处罚:

(一)个人非法经营数额在五万元以上,或者违法所得数额在二万元以上的;

(二)单位非法经营数额在十五万元以上,或者违法所得数额在五万元以上的。

实施前款规定的行为,数额达到前款规定的数额五倍以上的,应当认定为刑法第二百二十五条规定的“情节特别严重”。

第八条 明知他人利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等犯罪,为其提供资金、场所、技术支持等帮助的,以共同犯罪论处。

第九条 利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营犯罪,同时又构成刑法第二百二十一条规定的损害商业信誉、商品声誉罪,第二百七十八条规定的煽动暴力抗拒法律实施罪,第二百九十一条之一规定的编造、故意传播虚假恐怖信息罪等犯罪的,依照处罚较重的规定定罪处罚。

《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》

第七条 人民法院认定网络用户或者网络服务提供者转载网络信息行为的过错及其程度,应当综合以下因素:

(一)转载主体所承担的与其性质、影响范围相适应的注意义务;

(二)所转载信息侵害他人人身权益的明显程度;

(三)对所转载信息是否作出实质性修改,是否添加或者修改文章标题,导致其与内容严重不符以及误导公众的可能性。

第八条 网络用户或者网络服务提供者采取诽谤、诋毁等手段,损害公众对经营主体的信赖,降低其产品或者服务的社会评价,经营主体请求网络用户或者网络服务提供者承担侵权责任的,人民法院应依法予以支持。

第九条 网络用户或者网络服务提供者,根据国家机关依职权制作的文书和公开实施的职权行为等信息来源所发布的信息,有下列情形之一,侵害他人人身权益,被侵权人请求侵权人承担侵权责任的,人民法院应予支持:

(一)网络用户或者网络服务提供者发布的信息与前述信息来源内容不符;

(二)网络用户或者网络服务提供者以添加侮辱性内容、诽谤性信息、不当标题或者通过增删信息、调整结构、改变顺序等方式致人误解;

(三)前述信息来源已被公开更正,但网络用户拒绝更正或者网络服务提供者不予更正;

(四)前述信息来源已被公开更正,网络用户或者网络服务提供者仍然发布更正之前的信息。

第十条 被侵权人与构成侵权的网络用户或者网络服务提供者达成一方支付报酬,另一方提供删除、屏蔽、断开链接等服务的协议,人民法院应认定为无效。

擅自篡改、删除、屏蔽特定网络信息或者以断开链接的方式阻止他人获取网络信息,发布该信息的网络用户或者网络服务提供者请求侵权人承担侵权责任的,人民法院应予支持。接受他人委托实施该行为的,委托人与受托人承担连带责任。

第十一条 网络用户或者网络服务提供者侵害他人人身权益,造成财产损失或者严重精神损害,被侵权人依据民法典第一千一百八十二条和第一千一百八十三条的规定,请求其承担赔偿责任的,人民法院应予支持。

第十二条 被侵权人为制止侵权行为所支付的合理开支,可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括被侵权人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情,可以将符合国家有关部门规定的律师费用计算在赔偿范围内。

被侵权人因人身权益受侵害造成的财产损失以及侵权人因此获得的利益难以确定的,人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。

第十三条 本规定施行后人民法院正在审理的一审、二审案件适用本规定。

本规定施行前已经终审,本规定施行后当事人申请再审或者按照审判监督程序决定再审的案件,不适用本规定。

◎ 部门规章

《互联网新闻信息服务管理规定》

第二十五条 互联网新闻信息服务提供者违反本规定第三条、第十六条第一款、第十九条第一款、第二十条第二款规定的,由国家和地方互联网信息办公室依据职责给予警告,责令限期改正;情节严重或拒不改正的,暂停新闻信息更新,处二万元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

《互联网文化管理暂行规定》

第二十八条 经营性互联网文化单位提供含有本规定第十六条禁止内容的互联网文化产品,或者提供未经文化部批准进口的互联网文化产品的,由县级以上人民政府文化行政部门或者文化市场综合执法机构责令停止提供,没收违法所得,并处10000元以上30000元以下罚款;情节严重的,责令停业整顿直至吊销《网络文化经营许可证》;构成犯罪的,依法追究刑事责任。

非经营性互联网文化单位,提供含有本规定第十六条禁止内容的互联网文化产品,或者提供未经文化部批准进口的互联网文化产品的,由县级以上人民政府文化行政部门或者文化市场综合执法机构责令停止提供,处1000元以下罚款;构成犯罪的,依法追究刑事责任。

《区块链信息服务管理规定》

第二十一条 区块链信息服务提供者违反本规定第十条的规定,制作、复制、发布、传播法律、行政法规禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处二万元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。

区块链信息服务使用者违反本规定第十条的规定,制作、复制、发布、传播法律、行政法规禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依照有关法律、行政法规的规定予以处理。

《网络信息内容生态治理规定》

第三十四条 网络信息内容生产者违反本规定第六条规定的,网络信息内容服务平台应当依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施,及时消除违法信息内容,保存记录并向有关主管部门报告。

◎ 部门规范性文件

《互联网直播服务管理规定》

第十七条 互联网直播服务提供者和互联网直播发布者未经许可或者超出许可范围提供互联网新闻信息服务的,由国家和省、自治区、直辖市互联网信息办公室依据《互联网新闻信息服务管理规定》予以处罚。

对于违反本规定的其他违法行为,由国家和地方互联网信息办公室依据职责,依法予以处罚;构成犯罪的,依法追究刑事责任。通过网络表演、网络视听节目等提供网络直播服务,违反有关法律法规的,由相关部门依法予以处罚。

第七十一条 【违反网络安全管理规定的信用惩戒】

有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

关联法规

◎ 法律

《个人信息保护法》

第六十七条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

《反电信网络诈骗法》

第三十一条 任何单位和个人不得非法买卖、出租、出借电话卡、物联网卡、电信线路、短信端口、银行账户、支付账户、互联网账号等,不得提供实名核验帮助;不得假冒他人身份或者虚构代理关系开立上述卡、账户、账号等。

对经设区的市级以上公安机关认定的实施前款行为的单位、个人和相关组织者,以及因从事电信网络诈骗活动或者关联犯罪受过刑事处罚的人员,可以按照国家有关规定记入信用记录,采取限制其有关卡、账户、账号等功能和停止非柜面业务、暂停新业务、限制入网等措施。对上述认定和措施有异议的,可以提出申诉,有关部门应当建立健全申诉渠道、信用修复和救济制度。具体办法由国务院公安部门会同有关主管部门规定。

◎ 行政法规

《互联网上网服务营业场所管理条例》

第二十八条 文化行政部门应当建立互联网上网服务营业场所经营单位的经营活动信用监管制度,建立健全信用约束机制,并及时公布行政处罚信息。

《商用密码管理条例》

第四十六条 密码管理部门和有关部门推进商用密码监督管理与社会信用体系相衔接,依法建立推行商用密码经营主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。

◎ 部门规章

《电信和互联网用户个人信息保护规定》

第二十条 电信管理机构应当将电信业务经营者、互联网信息服务提供者违反本规定的行为记入其社会信用档案并予以公布。

《互联网新闻信息服务管理规定》

第二十一条 国家和地方互联网信息办公室应当建立互联网新闻信息服务网络信用档案,建立失信黑名单制度和约谈制度。

国家互联网信息办公室会同国务院电信、公安、新闻出版广电等部门建立信息共享机制,加强工作沟通和协作配合,依法开展联合执法等专项监督检查活动。

《互联网文化管理暂行规定》

第二十一条 未经批准,擅自从事经营性互联网文化活动的,由县级以上人民政府文化行政部门或者文化市场综合执法机构责令停止经营性互联网文化活动,予以警告,并处30000元以下罚款;拒不停止经营活动的,依法列入文化市场黑名单,予以信用惩戒。

《儿童个人信息网络保护规定》

第二十七条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

《网络信息内容生态治理规定》

第三十九条 网信部门根据法律、行政法规和国家有关规定,会同有关主管部门建立健全网络信息内容服务严重失信联合惩戒机制,对严重违反本规定的网络信息内容服务平台、网络信息内容生产者和网络信息内容使用者依法依规实施限制从事网络信息服务、网上行为限制、行业禁入等惩戒措施。

《网络招聘服务管理规定》

第二十八条 人力资源社会保障行政部门应当加强网络招聘服务诚信体系建设,健全信用分级分类管理制度,完善守信激励和失信惩戒机制。对性质恶劣、情节严重、社会危害较大的网络招聘服务违法失信行为,按照国家有关规定实施联合惩戒。

◎ 部门规范性文件

《互联网直播服务管理规定》

第十五条 互联网直播服务提供者应当建立互联网直播发布者信用等级管理体系,提供与信用等级挂钩的管理和服务。

互联网直播服务提供者应当建立黑名单管理制度,对纳入黑名单的互联网直播服务使用者禁止重新注册账号,并及时向所在地省、自治区、直辖市互联网信息办公室报告。

省、自治区、直辖市互联网信息办公室应当建立黑名单通报制度,并向国家互联网信息办公室报告。

第七十二条 【政务网络运营者网络安全保护法律责任】

国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

关联法规

◎ 法律

《数据安全法》

第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。

第七十三条 【网络安全监管部门渎职的法律责任】

网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。

网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。

关联法规

◎ 法律

《数据安全法》

第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。

《个人信息保护法》

第六十八条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。

履行个人信息保护职责的部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。

《反电信网络诈骗法》

第四十五条 反电信网络诈骗工作有关部门、单位的工作人员滥用职权、玩忽职守、徇私舞弊,或者有其他违反本法规定行为,构成犯罪的,依法追究刑事责任。

《保守国家秘密法》

第五十一条 保密行政管理部门的工作人员在履行保密管理职责中滥用职权、玩忽职守、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。

《国家安全法》

第十三条 国家机关工作人员在国家安全工作和涉及国家安全活动中,滥用职权、玩忽职守、徇私舞弊的,依法追究法律责任。

任何个人和组织违反本法和有关法律,不履行维护国家安全义务或者从事危害国家安全活动的,依法追究法律责任。

《密码法》

第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。

◎ 党内法规

《党委(党组)网络安全工作责任制实施办法》

第八条 各级党委(党组)违反或者未能正确履行本办法所列职责,按照有关规定追究其相关责任。

有下列情形之一的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人直至主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任。

(一)党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;

(二)地市级以上党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的;

(三)发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;

(四)关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;

(五)封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;

(六)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;

(七)发生其他严重危害网络安全行为的。

第九条 实施责任追究应当实事求是,分清集体责任和个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。

对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。

第十条 各级党委(党组)应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容。

◎ 行政法规

《计算机信息系统安全保护条例》

第二十七条 执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。

《互联网信息服务管理办法》

第二十五条 电信管理机构和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇私舞弊,疏于对互联网信息服务的监督管理,造成严重后果,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。

《电信条例》

第七十八条 国务院信息产业主管部门或者省、自治区、直辖市电信管理机构工作人员玩忽职守、滥用职权、徇私舞弊,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,依法给予行政处分。

《关键信息基础设施安全保护条例》

第四十四条 网信部门、公安机关、保护工作部门和其他有关部门及其工作人员未履行关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的,依法对直接负责的主管人员和其他直接责任人员给予处分。

第四十五条 公安机关、保护工作部门和其他有关部门在开展关键信息基础设施网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的,由其上级机关责令改正,退还收取的费用;情节严重的,依法对直接负责的主管人员和其他直接责任人员给予处分。

第四十六条 网信部门、公安机关、保护工作部门等有关部门、网络安全服务机构及其工作人员将在关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的,依法对直接负责的主管人员和其他直接责任人员给予处分。

第四十七条 关键信息基础设施发生重大和特别重大网络安全事件,经调查确定为责任事故的,除应当查明运营者责任并依法予以追究外,还应查明相关网络安全服务机构及有关部门的责任,对有失职、渎职及其他违法行为的,依法追究责任。

《互联网上网服务营业场所管理条例》

第二十五条 文化行政部门、公安机关、工商行政管理部门或者其他有关部门及其工作人员,利用职务上的便利收受他人财物或者其他好处,违法批准不符合法定设立条件的互联网上网服务营业场所经营单位,或者不依法履行监督职责,或者发现违法行为不予依法查处,触犯刑律的,对直接负责的主管人员和其他直接责任人员依照刑法关于受贿罪、滥用职权罪、玩忽职守罪或者其他罪的规定,依法追究刑事责任;尚不够刑事处罚的,依法给予降级、撤职或者开除的行政处分。

第二十六条 文化行政部门、公安机关、工商行政管理部门或者其他有关部门的工作人员,从事或者变相从事互联网上网服务经营活动的,参与或者变相参与互联网上网服务营业场所经营单位的经营活动的,依法给予降级、撤职或者开除的行政处分。

文化行政部门、公安机关、工商行政管理部门或者其他有关部门有前款所列行为的,对直接负责的主管人员和其他直接责任人员依照前款规定依法给予行政处分。

《商用密码管理条例》

第六十四条 国家机关有本条例第六十条、第六十一条、第六十二条、第六十三条所列违法情形的,由密码管理部门、有关部门责令改正,给予警告;拒不改正或者有其他严重情节的,由密码管理部门、有关部门建议有关国家机关对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。有关国家机关应当将处分或者处理情况书面告知密码管理部门、有关部门。

第六十五条 密码管理部门和有关部门的工作人员在商用密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。

◎ 部门规章

《互联网安全保护技术措施规定》

第十七条 公安机关及其工作人员违反本规定,有滥用职权,徇私舞弊行为的,对直接负责的主管人员和其他直接责任人员依法给予行政处分;构成犯罪的,依法追究刑事责任。

《通信网络安全防护管理办法》

第二十三条 电信管理机构的工作人员违反本办法第二十条、第二十一条规定的,依法给予行政处分;构成犯罪的,依法追究刑事责任。

《电信和互联网用户个人信息保护规定》

第二十四条 电信管理机构工作人员在对用户个人信息保护工作实施监督管理的过程中玩忽职守、滥用职权、徇私舞弊的,依法给予处理;构成犯罪的,依法追究刑事责任。

《公安机关互联网安全监督检查规定》

第二十六条 公安机关及其工作人员在互联网安全监督检查工作中,玩忽职守、滥用职权、徇私舞弊的,对直接负责的主管人员和其他直接责任人员依法予以处分;构成犯罪的,依法追究刑事责任。

《网络招聘服务管理规定》

第三十九条 人力资源社会保障行政部门及其工作人员玩忽职守、滥用职权、徇私舞弊的,对直接负责的领导人员和其他直接责任人员依法给予处分。

《公路水路关键信息基础设施安全保护管理办法》

第三十二条 交通运输主管部门及其工作人员存在以下情形之一的,按照《关键信息基础设施安全保护条例》等法律、行政法规的规定予以处分:

(一)未履行公路水路关键信息基础设施安全保护和监督管理职责或者玩忽职守、滥用职权、徇私舞弊的;

(二)在开展公路水路关键信息基础设施网络安全检查工作中收取费用,或者要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务的;

(三)将在公路水路关键信息基础设施安全保护工作中获取的信息用于其他用途,或者泄露、出售、非法向他人提供的。

第三十条 交通运输主管部门、网络安全服务机构及其工作人员对于在公路水路关键信息基础设施安全保护过程中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。

◎ 部门规范性文件

《信息安全等级保护管理办法》

第四十一条 信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。

第七十四条 【民事、行政和刑事责任衔接性规定】

违反本法规定,给他人造成损害的,依法承担民事责任。

违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

关联法规

◎ 法律

《民法典》

第一千一百九十四条 网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。法律另有规定的,依照其规定。

《数据安全法》

第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。

违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

《个人信息保护法》

第六十九条 处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

前款规定的损害赔偿责任按照个人因此受到的损失或者个人信息处理者因此获得的利益确定;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,根据实际情况确定赔偿数额。

第七十条 个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。

第七十一条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

《反电信网络诈骗法》

第四十六条 组织、策划、实施、参与电信网络诈骗活动或者为电信网络诈骗活动提供相关帮助的违法犯罪人员,除依法承担刑事责任、行政责任以外,造成他人损害的,依照《中华人民共和国民法典》等法律的规定承担民事责任。

电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等违反本法规定,造成他人损害的,依照《中华人民共和国民法典》等法律的规定承担民事责任。

《关于维护互联网安全的决定》

六、利用互联网实施违法行为,违反社会治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚法》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分。

利用互联网侵犯他人合法权益,构成民事侵权的,依法承担民事责任。

《密码法》

第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第十五条 违反本规定,同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。

《计算机信息系统安全保护条例》

第二十四条 违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚法》的有关规定处罚;构成犯罪的,依法追究刑事责任。

第二十五条 任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。

《关键信息基础设施安全保护条例》

第四十九条 违反本条例规定,给他人造成损害的,依法承担民事责任。

违反本条例规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

《互联网上网服务营业场所管理条例》

第三十五条 违反国家有关信息网络安全、治安管理、消防管理、工商行政管理、电信管理等规定,触犯刑律的,依法追究刑事责任;尚不够刑事处罚的,由公安机关、工商行政管理部门、电信管理机构依法给予处罚;情节严重的,由原发证机关吊销许可证件。

《商用密码管理条例》

第六十六条 违反本条例规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。

◎ 部门规章

《互联网文化管理暂行规定》

第十七条 互联网文化单位提供的文化产品,使公民、法人或者其他组织的合法利益受到侵害的,互联网文化单位应当依法承担民事责任。

《公安机关互联网安全监督检查规定》

第二十七条 互联网服务提供者和联网使用单位违反本规定,构成违反治安管理行为的,依法予以治安管理处罚;构成犯罪的,依法追究刑事责任。

《儿童个人信息网络保护规定》

第二十六条 违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。

《网络信息内容生态治理规定》

第四十条 违反本规定,给他人造成损害的,依法承担民事责任;构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由有关主管部门依照有关法律、行政法规的规定予以处罚。

《网络招聘服务管理规定》

第四十条 违反本规定,给他人造成损害的,依法承担民事责任。违反其他法律、行政法规的,由有关主管部门依法给予处罚。

违反本规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

《互联网用户账号信息管理规定》

第二十二条 互联网信息服务提供者违反本规定的,依照有关法律、行政法规的规定处罚。法律、行政法规没有规定的,由省级以上网信部门依据职责给予警告、通报批评,责令限期改正,并可以处一万元以上十万元以下罚款。构成违反治安管理行为的,移交公安机关处理;构成犯罪的,移交司法机关处理。

《互联网信息服务深度合成管理规定》

第二十二条 深度合成服务提供者和技术支持者违反本规定的,依照有关法律、行政法规的规定处罚;造成严重后果的,依法从重处罚。

构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。

《数据出境安全评估办法》

第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。

《个人信息出境标准合同办法》

第十二条 违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。

第七十五条 【境外危害关键信息基础设施的责任追究】

境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

关联法规

◎ 行政法规

《关键信息基础设施安全保护条例》

第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。

第七章 附则

第七十六条 【本法有关概念的解释】

本法下列用语的含义:

(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。

(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。

(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。

(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

关联法规

◎ 法律

《民法典》

第一千零三十四条 自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。

《数据安全法》

第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。

数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

《个人信息保护法》

第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

第七十三条 本法下列用语的含义:

(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

(二)自动化决策,是指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。

(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。

(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

《国家安全法》

第二条 国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。

◎ 行政法规

《计算机信息网络国际联网管理暂行规定》

第三条 本规定下列用语的含义是:

(一)计算机信息网络国际联网(以下简称国际联网),是指中华人民共和国境内的计算机信息网络为实现信息的国际交流,同外国的计算机信息网络相联接。

(二)互联网络,是指直接进行国际联网的计算机信息网络;互联单位,是指负责互联网络运行的单位。

(三)接入网络,是指通过接入互联网络进行国际联网的计算机信息网络;接入单位,是指负责接入网络运行的单位。

《计算机信息系统安全保护条例》

第二条 本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

第二十八条 本条例下列用语的含义:

计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。

计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。

◎ 司法解释

《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第十一条 本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。

本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。

本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。

《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》

第十条 本解释所称信息网络,包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

第一条 提供下列服务的单位和个人,应当认定为刑法第二百八十六条之一第一款规定的“网络服务提供者”:

(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;

(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;

(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。

《关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》

第二条 本规定所称信息网络,包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。

◎ 部门规章

《互联网安全保护技术措施规定》

第十八条 本规定所称互联网服务提供者,是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。

本规定所称联网使用单位,是指为本单位应用需要连接并使用互联网的单位。

本规定所称提供互联网数据中心服务的单位,是指提供主机托管、租赁和虚拟空间租用等服务的单位。

《电信和互联网用户个人信息保护规定》

第四条 本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

《互联网文化管理暂行规定》

第二条 本规定所称互联网文化产品是指通过互联网生产、传播和流通的文化产品,主要包括:

(一)专门为互联网而生产的网络音乐娱乐、网络游戏、网络演出剧(节)目、网络表演、网络艺术品、网络动漫等互联网文化产品;

(二)将音乐娱乐、游戏、演出剧(节)目、表演、艺术品、动漫等文化产品以一定的技术手段制作、复制到互联网上传播的互联网文化产品。

第三条 本规定所称互联网文化活动是指提供互联网文化产品及其服务的活动,主要包括:

(一)互联网文化产品的制作、复制、进口、发行、播放等活动;

(二)将文化产品登载在互联网上,或者通过互联网、移动通信网等信息网络发送到计算机、固定电话机、移动电话机、电视机、游戏机等用户端以及网吧等互联网上网服务营业场所,供用户浏览、欣赏、使用或者下载的在线传播行为;

(三)互联网文化产品的展览、比赛等活动。

互联网文化活动分为经营性和非经营性两类。经营性互联网文化活动是指以营利为目的,通过向上网用户收费或者以电子商务、广告、赞助等方式获取利益,提供互联网文化产品及其服务的活动。非经营性互联网文化活动是指不以营利为目的向上网用户提供互联网文化产品及其服务的活动。

《儿童个人信息网络保护规定》

第二条 本规定所称儿童,是指不满十四周岁的未成年人。

《网络信息内容生态治理规定》

第四十一条 本规定所称网络信息内容生产者,是指制作、复制、发布网络信息内容的组织或者个人。

本规定所称网络信息内容服务平台,是指提供网络信息内容传播服务的网络信息服务提供者。

本规定所称网络信息内容服务使用者,是指使用网络信息内容服务的组织或者个人。

《网络招聘服务管理规定》

第二条 本规定所称网络招聘服务,是指人力资源服务机构在中华人民共和国境内通过互联网等信息网络,以网络招聘服务平台、平台内经营、自建网站或者其他网络服务方式,为劳动者求职和用人单位招用人员提供的求职、招聘服务。

人力资源服务机构包括公共人力资源服务机构和经营性人力资源服务机构。

《汽车数据安全管理若干规定(试行)》

第三条 本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

汽车数据处理,包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。

汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

个人信息,是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。

敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:

(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

(二)车辆流量、物流等反映经济运行情况的数据;

(三)汽车充电网的运行数据;

(四)包含人脸信息、车牌信息等的车外视频、图像数据;

(五)涉及个人信息主体超过10万人的个人信息;

(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

《网络安全审查办法》

第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。

《互联网用户账号信息管理规定》

第二十三条 本规定下列用语的含义是:

(一)互联网用户账号信息,是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息。

(二)互联网信息服务提供者,是指向用户提供互联网信息发布和应用平台服务,包括但不限于互联网新闻信息服务、网络出版服务、搜索引擎、即时通讯、交互式信息服务、网络直播、应用软件下载等互联网服务的主体。

《互联网信息服务深度合成管理规定》

第二十三条 本规定中下列用语的含义:

深度合成技术,是指利用深度学习、虚拟现实等生成合成类算法制作文本、图像、音频、视频、虚拟场景等网络信息的技术,包括但不限于:

(一)篇章生成、文本风格转换、问答对话等生成或者编辑文本内容的技术;

(二)文本转语音、语音转换、语音属性编辑等生成或者编辑语音内容的技术;

(三)音乐生成、场景声编辑等生成或者编辑非语音内容的技术;

(四)人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等生成或者编辑图像、视频内容中生物特征的技术;

(五)图像生成、图像增强、图像修复等生成或者编辑图像、视频内容中非生物特征的技术;

(六)三维重建、数字仿真等生成或者编辑数字人物、虚拟场景的技术。

深度合成服务提供者,是指提供深度合成服务的组织、个人。

深度合成服务技术支持者,是指为深度合成服务提供技术支持的组织、个人。

深度合成服务使用者,是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。

训练数据,是指被用于训练机器学习模型的标注或者基准数据集。

沉浸式拟真场景,是指应用深度合成技术生成或者编辑的、可供参与者体验或者互动的、具有高度真实感的虚拟场景。

《数据出境安全评估办法》

第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

《生成式人工智能服务管理暂行办法》

第二十二条 本办法下列用语的含义是:

(一)生成式人工智能技术,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。

(二)生成式人工智能服务提供者,是指利用生成式人工智能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智能服务)的组织、个人。

(三)生成式人工智能服务使用者,是指使用生成式人工智能服务生成内容的组织、个人。

◎ 部门规范性文件

《公共互联网网络安全威胁监测与处置办法》

第二条 本办法所称公共互联网网络安全威胁是指公共互联网上存在或传播的、可能或已经对公众造成危害的网络资源、恶意程序、安全隐患或安全事件,包括:

(一)被用于实施网络攻击的恶意IP地址、恶意域名、恶意URL、恶意电子信息,包括木马和僵尸网络控制端,钓鱼网站,钓鱼电子邮件、短信/彩信、即时通信等;

(二)被用于实施网络攻击的恶意程序,包括木马、病毒、僵尸程序、移动恶意程序等;

(三)网络服务和产品中存在的安全隐患,包括硬件漏洞、代码漏洞、业务逻辑漏洞、弱口令、后门等;

(四)网络服务和产品已被非法入侵、非法控制的网络安全事件,包括主机受控、数据泄露、网页篡改等;

(五)其他威胁网络安全或存在安全隐患的情形。

《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

第二条 本规定所称具有舆论属性或社会动员能力的互联网信息服务,包括下列情形:

(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息服务或者附设相应功能;

(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。

《互联网新闻信息服务单位内容管理从业人员管理办法》

第二条 本办法所称从业人员,是指互联网新闻信息服务单位中专门从事互联网新闻信息采编发布、转载和审核等内容管理工作的人员。

第三条 本办法所称互联网新闻信息服务单位,是指依法取得互联网新闻信息服务许可,通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务的单位。

《监管数据安全管理办法(试行)》

第二条 本办法所称监管数据是指银保监会在履行监管职责过程中,依法定期采集,经监管信息系统记录、生成和存储的,或经银保监会各业务部门认定的数字、指标、报表、文字等各类信息。

本办法所称监管信息系统是指以满足监管需求为目的开发建设的,具有数据采集、处理、存储等功能的信息系统。

第三条 本办法所称监管数据安全是指监管数据在采集、处理、存储、使用等活动(以下简称监管数据活动)中,处于可用、完整和可审计状态,未发生泄露、篡改、损毁、丢失或非法使用等情况。

《互联网用户公众账号信息服务管理规定》

第二十二条 本规定所称互联网用户公众账号,是指互联网用户在互联网站、应用程序等网络平台注册运营,面向社会公众生产发布文字、图片、音视频等信息内容的网络账号。

本规定所称公众账号信息服务平台,是指为互联网用户提供公众账号注册运营、信息内容发布与技术保障服务的网络信息服务提供者。

本规定所称公众账号生产运营者,是指注册运营公众账号从事内容生产发布的自然人、法人或者非法人组织。

《移动互联网应用程序信息服务管理规定》

第二十六条 本规定所称移动互联网应用程序,是指运行在移动智能终端上向用户提供信息服务的应用软件。

本规定所称移动互联网应用程序提供者,是指提供信息服务的移动互联网应用程序所有者或者运营者。

本规定所称移动互联网应用程序分发平台,是指提供移动互联网应用程序发布、下载、动态加载等分发服务的互联网信息服务提供者。

第七十七条 【涉密网络的安全保护】

存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。

关联法规

◎ 法律

《数据安全法》

第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。

第七十八条 【军事网络的安全保护】

军事网络的安全保护,由中央军事委员会另行规定。

关联法规

◎ 法律

《数据安全法》

第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。

《保守国家秘密法》

第五十二条 中央军事委员会根据本法制定中国人民解放军保密条例。

《密码法》

第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。

◎ 行政法规

《计算机信息系统安全保护条例》

第二十九条 军队的计算机信息系统安全保护工作,按照军队的有关法规执行。

第七十九条 【施行日期】

本法自2017年6月1日起施行。 WxCPYU9EDHaAq6M6xRxdFhuTGlOIZwr8MGCQdT5z/HFb+UsqILHBQMXg64hXVBxO

点击中间区域
呼出菜单
上一章
目录
下一章
×