網(wǎng)絡安全等級保護條例

（征求意見稿）

目  錄

 第一章  總  則

第二章  支持與保障

第三章  網(wǎng)絡的安全保護

第四章  涉密網(wǎng)絡的安全保護

第五章  密碼管理

第六章  監(jiān)督管理

第七章  法律責任

第八章  附  則

第一章  總  則

第一條【立法宗旨與依據(jù)】為加強網(wǎng)絡安全等級保護工作，提高網(wǎng)絡安全防范能力和水平，維護網(wǎng)絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經(jīng)濟社會信息化健康發(fā)展，依據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國保守國家秘密法》等法律，制定本條例。

第二條【適用范圍】在中華人民共和國境內(nèi)建設、運營、維護、使用網(wǎng)絡，開展網(wǎng)絡安全等級保護工作以及監(jiān)督管理，適用本條例。個人及家庭自建自用的網(wǎng)絡除外。

第三條【確立制度】國家實行網(wǎng)絡安全等級保護制度，對網(wǎng)絡實施分等級保護、分等級監(jiān)管。

前款所稱“網(wǎng)絡”是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)。

第四條【工作原則】網(wǎng)絡安全等級保護工作應當按照突出重點、主動防御、綜合防控的原則，建立健全網(wǎng)絡安全防護體系，重點保護涉及國家安全、國計民生、社會公共利益的網(wǎng)絡的基礎設施安全、運行安全和數(shù)據(jù)安全。

網(wǎng)絡運營者在網(wǎng)絡建設過程中，應當同步規(guī)劃、同步建設、同步運行網(wǎng)絡安全保護、保密和密碼保護措施。

涉密網(wǎng)絡應當依據(jù)國家保密規(guī)定和標準，結合系統(tǒng)實際進行保密防護和保密監(jiān)管。

第五條【職責分工】中央網(wǎng)絡安全和信息化領導機構統(tǒng)一領導網(wǎng)絡安全等級保護工作。國家網(wǎng)信部門負責網(wǎng)絡安全等級保護工作的統(tǒng)籌協(xié)調(diào)。

國務院公安部門主管網(wǎng)絡安全等級保護工作，負責網(wǎng)絡安全等級保護工作的監(jiān)督管理，依法組織開展網(wǎng)絡安全保衛(wèi)。

國家保密行政管理部門主管涉密網(wǎng)絡分級保護工作，負責網(wǎng)絡安全等級保護工作中有關保密工作的監(jiān)督管理。

國家密碼管理部門負責網(wǎng)絡安全等級保護工作中有關密碼管理工作的監(jiān)督管理。

國務院其他有關部門依照有關法律法規(guī)的規(guī)定，在各自職責范圍內(nèi)開展網(wǎng)絡安全等級保護相關工作。

縣級以上地方人民政府依照本條例和有關法律法規(guī)規(guī)定，開展網(wǎng)絡安全等級保護工作。

第六條【網(wǎng)絡運營者責任義務】網(wǎng)絡運營者應當依法開展網(wǎng)絡定級備案、安全建設整改、等級測評和自查等工作，采取管理和技術措施，保障網(wǎng)絡基礎設施安全、網(wǎng)絡運行安全、數(shù)據(jù)安全和信息安全，有效應對網(wǎng)絡安全事件，防范網(wǎng)絡違法犯罪活動。

第七條【行業(yè)要求】行業(yè)主管部門應當組織、指導本行業(yè)、本領域落實網(wǎng)絡安全等級保護制度。

第二章  支持與保障

第八條【總體保障】國家建立健全網(wǎng)絡安全等級保護制度的組織領導體系、技術支持體系和保障體系。

各級人民政府和行業(yè)主管部門應當將網(wǎng)絡安全等級保護制度實施納入信息化工作總體規(guī)劃，統(tǒng)籌推進。

第九條【標準制定】國家建立完善網(wǎng)絡安全等級保護標準體系。國務院標準化行政主管部門和國務院公安部門、國家保密行政管理部門、國家密碼管理部門根據(jù)各自職責，組織制定網(wǎng)絡安全等級保護的國家標準、行業(yè)標準。

國家支持企業(yè)、研究機構、高等學校、網(wǎng)絡相關行業(yè)組織參與網(wǎng)絡安全等級保護國家標準、行業(yè)標準的制定。

第十條【投入和保障】各級人民政府鼓勵扶持網(wǎng)絡安全等級保護重點工程和項目，支持網(wǎng)絡安全等級保護技術的研究開發(fā)和應用，推廣安全可信的網(wǎng)絡產(chǎn)品和服務。

第十一條【技術支持】國家建設網(wǎng)絡安全等級保護專家隊伍和等級測評、安全建設、應急處置等技術支持體系，為網(wǎng)絡安全等級保護制度提供支撐。

第十二條【績效考核】行業(yè)主管部門、各級人民政府應當將網(wǎng)絡安全等級保護工作納入績效考核評價、社會治安綜合治理考核等。

第十三條【宣傳教育培訓】各級人民政府及其有關部門應當加強網(wǎng)絡安全等級保護制度的宣傳教育，提升社會公眾的網(wǎng)絡安全防范意識。

國家鼓勵和支持企事業(yè)單位、高等院校、研究機構等開展網(wǎng)絡安全等級保護制度的教育與培訓，加強網(wǎng)絡安全等級保護管理和技術人才培養(yǎng)。

第十四條【鼓勵創(chuàng)新】國家鼓勵利用新技術、新應用開展網(wǎng)絡安全等級保護管理和技術防護，采取主動防御、可信計算、人工智能等技術，創(chuàng)新網(wǎng)絡安全技術保護措施，提升網(wǎng)絡安全防范能力和水平。

國家對網(wǎng)絡新技術、新應用的推廣，組織開展網(wǎng)絡安全風險評估，防范網(wǎng)絡新技術、新應用的安全風險。

第三章  網(wǎng)絡的安全保護

第十五條【網(wǎng)絡等級】根據(jù)網(wǎng)絡在國家安全、經(jīng)濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網(wǎng)絡分為五個安全保護等級。

（一）第一級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡。

（二）第二級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網(wǎng)絡。

（三）第三級，一旦受到破壞會對相關公民、法人和其他組織的合法權益造成特別嚴重損害，或者會對社會秩序和社會公共利益造成嚴重危害，或者對國家安全造成危害的重要網(wǎng)絡。

（四）第四級，一旦受到破壞會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害的特別重要網(wǎng)絡。

（五）第五級，一旦受到破壞后會對國家安全造成特別嚴重危害的極其重要網(wǎng)絡。

第十六條【網(wǎng)絡定級】網(wǎng)絡運營者應當在規(guī)劃設計階段確定網(wǎng)絡的安全保護等級。

當網(wǎng)絡功能、服務范圍、服務對象和處理的數(shù)據(jù)等發(fā)生重大變化時，網(wǎng)絡運營者應當依法變更網(wǎng)絡的安全保護等級。

第十七條【定級評審】對擬定為第二級以上的網(wǎng)絡，其運營者應當組織專家評審；有行業(yè)主管部門的，應當在評審后報請主管部門核準。

跨省或者全國統(tǒng)一聯(lián)網(wǎng)運行的網(wǎng)絡由行業(yè)主管部門統(tǒng)一擬定安全保護等級，統(tǒng)一組織定級評審。

行業(yè)主管部門可以依據(jù)國家標準規(guī)范，結合本行業(yè)網(wǎng)絡特點制定行業(yè)網(wǎng)絡安全等級保護定級指導意見。

第十八條【定級備案】第二級以上網(wǎng)絡運營者應當在網(wǎng)絡的安全保護等級確定后10個工作日內(nèi)，到縣級以上公安機關備案。

因網(wǎng)絡撤銷或變更調(diào)整安全保護等級的，應當在10個工作日內(nèi)向原受理備案公安機關辦理備案撤銷或變更手續(xù)。

備案的具體辦法由國務院公安部門組織制定。

第十九條【備案審核】公安機關應當對網(wǎng)絡運營者提交的備案材料進行審核。對定級準確、備案材料符合要求的，應在10個工作日內(nèi)出具網(wǎng)絡安全等級保護備案證明。

第二十條【一般安全保護義務】網(wǎng)絡運營者應當依法履行下列安全保護義務，保障網(wǎng)絡和信息安全：

（一）確定網(wǎng)絡安全等級保護工作責任人，建立網(wǎng)絡安全等級保護工作責任制，落實責任追究制度；

（二）建立安全管理和技術保護制度，建立人員管理、教育培訓、系統(tǒng)安全建設、系統(tǒng)安全運維等制度；

（三）落實機房安全管理、設備和介質(zhì)安全管理、網(wǎng)絡安全管理等制度，制定操作規(guī)范和工作流程；

（四）落實身份識別、防范惡意代碼感染傳播、防范網(wǎng)絡入侵攻擊的管理和技術措施；

（五）落實監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件、違法犯罪活動的管理和技術措施，并按照規(guī)定留存六個月以上可追溯網(wǎng)絡違法犯罪的相關網(wǎng)絡日志；

（六）落實數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（七）依法收集、使用、處理個人信息，并落實個人信息保護措施，防止個人信息泄露、損毀、篡改、竊取、丟失和濫用；

（八）落實違法信息發(fā)現(xiàn)、阻斷、消除等措施，落實防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施；

（九）落實聯(lián)網(wǎng)備案和用戶真實身份查驗等責任；

（十）對網(wǎng)絡中發(fā)生的案事件，應當在二十四小時內(nèi)向?qū)俚毓�安機關報告；泄露國家秘密的，應當同時向?qū)俚乇Ｃ苄姓�管理部門報告。

（十一）法律、行政法規(guī)規(guī)定的其他網(wǎng)絡安全保護義務。

第二十一條【特殊安全保護義務】第三級以上網(wǎng)絡的運營者除履行本條例第二十條規(guī)定的網(wǎng)絡安全保護義務外，還應當履行下列安全保護義務：

（一）確定網(wǎng)絡安全管理機構，明確網(wǎng)絡安全等級保護的工作職責，對網(wǎng)絡變更、網(wǎng)絡接入、運維和技術保障單位變更等事項建立逐級審批制度；

（二）制定并落實網(wǎng)絡安全總體規(guī)劃和整體安全防護策略，制定安全建設方案，并經(jīng)專業(yè)技術人員評審通過；

（三）對網(wǎng)絡安全管理負責人和關鍵崗位的人員進行安全背景審查，落實持證上崗制度；

（四）對為其提供網(wǎng)絡設計、建設、運維和技術服務的機構和人員進行安全管理；

（五）落實網(wǎng)絡安全態(tài)勢感知監(jiān)測預警措施，建設網(wǎng)絡安全防護管理平臺，對網(wǎng)絡運行狀態(tài)、網(wǎng)絡流量、用戶行為、網(wǎng)絡安全案事件等進行動態(tài)監(jiān)測分析，并與同級公安機關對接；

（六）落實重要網(wǎng)絡設備、通信鏈路、系統(tǒng)的冗余、備份和恢復措施；

（七）建立網(wǎng)絡安全等級測評制度，定期開展等級測評，并將測評情況及安全整改措施、整改結果向公安機關和有關部門報告；

（八）法律和行政法規(guī)規(guī)定的其他網(wǎng)絡安全保護義務。

第二十二條【上線檢測】新建的第二級網(wǎng)絡上線運行前應當按照網(wǎng)絡安全等級保護有關標準規(guī)范，對網(wǎng)絡的安全性進行測試。

新建的第三級以上網(wǎng)絡上線運行前應當委托網(wǎng)絡安全等級測評機構按照網(wǎng)絡安全等級保護有關標準規(guī)范進行等級測評，通過等級測評后方可投入運行。

第二十三條【等級測評】第三級以上網(wǎng)絡的運營者應當每年開展一次網(wǎng)絡安全等級測評，發(fā)現(xiàn)并整改安全風險隱患，并每年將開展網(wǎng)絡安全等級測評的工作情況及測評結果向備案的公安機關報告。

第二十四條【安全整改】網(wǎng)絡運營者應當對等級測評中發(fā)現(xiàn)的安全風險隱患，制定整改方案，落實整改措施，消除風險隱患。

第二十五條【自查工作】網(wǎng)絡運營者應當每年對本單位落實網(wǎng)絡安全等級保護制度情況和網(wǎng)絡安全狀況至少開展一次自查，發(fā)現(xiàn)安全風險隱患及時整改，并向備案的公安機關報告。

第二十六條【測評活動安全管理】網(wǎng)絡安全等級測評機構應當為網(wǎng)絡運營者提供安全、客觀、公正的等級測評服務。

網(wǎng)絡安全等級測評機構應當與網(wǎng)絡運營者簽署服務協(xié)議，并對測評人員進行安全保密教育，與其簽訂安全保密責任書，明確測評人員的安全保密義務和法律責任，組織測評人員參加專業(yè)培訓。

第二十七條【網(wǎng)絡服務機構要求】網(wǎng)絡服務提供者為第三級以上網(wǎng)絡提供網(wǎng)絡建設、運行維護、安全監(jiān)測、數(shù)據(jù)分析等網(wǎng)絡服務，應當符合國家有關法律法規(guī)和技術標準的要求。

網(wǎng)絡安全等級測評機構等網(wǎng)絡服務提供者應當保守服務過程中知悉的國家秘密、個人信息和重要數(shù)據(jù)。不得非法使用或擅自發(fā)布、披露在提供服務中收集掌握的數(shù)據(jù)信息和系統(tǒng)漏洞、惡意代碼、網(wǎng)絡入侵攻擊等網(wǎng)絡安全信息。

第二十八條【產(chǎn)品服務采購使用的安全要求】網(wǎng)絡運營者應當采購、使用符合國家法律法規(guī)和有關標準規(guī)范要求的網(wǎng)絡產(chǎn)品和服務。

第三級以上網(wǎng)絡運營者應當采用與其安全保護等級相適應的網(wǎng)絡產(chǎn)品和服務；對重要部位使用的網(wǎng)絡產(chǎn)品，應當委托專業(yè)測評機構進行專項測試，根據(jù)測試結果選擇符合要求的網(wǎng)絡產(chǎn)品；采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。

第二十九條【技術維護要求】第三級以上網(wǎng)絡應當在境內(nèi)實施技術維護，不得境外遠程技術維護。因業(yè)務需要，確需進行境外遠程技術維護的，應當進行網(wǎng)絡安全評估，并采取風險管控措施。實施技術維護，應當記錄并留存技術維護日志，并在公安機關檢查時如實提供。

第三十條【監(jiān)測預警和信息通報】地市級以上人民政府應當建立網(wǎng)絡安全監(jiān)測預警和信息通報制度，開展安全監(jiān)測、態(tài)勢感知、通報預警等工作。

第三級以上網(wǎng)絡運營者應當建立健全網(wǎng)絡安全監(jiān)測預警和信息通報制度，按照規(guī)定向同級公安機關報送網(wǎng)絡安全監(jiān)測預警信息，報告網(wǎng)絡安全事件。有行業(yè)主管部門的，同時向行業(yè)主管部門報送和報告。

行業(yè)主管部門應當建立健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度，按照規(guī)定向同級網(wǎng)信部門、公安機關報送網(wǎng)絡安全監(jiān)測預警信息，報告網(wǎng)絡安全事件。

第三十一條【數(shù)據(jù)和信息安全保護】網(wǎng)絡運營者應當建立并落實重要數(shù)據(jù)和個人信息安全保護制度；采取保護措施，保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全；建立異地備份恢復等技術措施，保障重要數(shù)據(jù)的完整性、保密性和可用性。

未經(jīng)允許或授權，網(wǎng)絡運營者不得收集與其提供的服務無關的數(shù)據(jù)和個人信息；不得違反法律、行政法規(guī)規(guī)定和雙方約定收集、使用和處理數(shù)據(jù)和個人信息；不得泄露、篡改、損毀其收集的數(shù)據(jù)和個人信息；不得非授權訪問、使用、提供數(shù)據(jù)和個人信息。

第三十二條【應急處置要求】第三級以上網(wǎng)絡的運營者應當按照國家有關規(guī)定，制定網(wǎng)絡安全應急預案，定期開展網(wǎng)絡安全應急演練。

網(wǎng)絡運營者處置網(wǎng)絡安全事件應當保護現(xiàn)場，記錄并留存相關數(shù)據(jù)信息，并及時向公安機關和行業(yè)主管部門報告。

公安機關和行業(yè)主管部門應當向同級網(wǎng)信部門報告重大網(wǎng)絡安全事件處置情況。

發(fā)生重大網(wǎng)絡安全事件時，有關部門應當按照網(wǎng)絡安全應急預案要求聯(lián)合開展應急處置。電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)服務提供者應當為重大網(wǎng)絡安全事件處置和恢復提供支持和協(xié)助。

第三十三條【審計審核要求】網(wǎng)絡運營者建設、運營、維護和使用網(wǎng)絡，向社會公眾提供需取得行政許可的經(jīng)營活動的，相關主管部門應當將網(wǎng)絡安全等級保護制度落實情況納入審計、審核范圍。

第三十四條【新技術新應用風險管控】網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度要求，采取措施，管控云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、工控系統(tǒng)和移動互聯(lián)網(wǎng)等新技術、新應用帶來的安全風險，消除安全隱患。

第四章  涉密網(wǎng)絡的安全保護

第三十五條【分級保護】涉密網(wǎng)絡按照存儲、處理、傳輸國家秘密的最高密級分為絕密級、機密級和秘密級。

第三十六條【網(wǎng)絡定級】涉密網(wǎng)絡運營者應當依法確定涉密網(wǎng)絡的密級，通過本單位保密委員會（領導小組）的審定，并向同級保密行政管理部門備案。

第三十七條【方案審查論證】涉密網(wǎng)絡運營者規(guī)劃建設涉密網(wǎng)絡，應當依據(jù)國家保密規(guī)定和標準要求，制定分級保護方案，采取身份鑒別、訪問控制、安全審計、邊界安全防護、信息流轉(zhuǎn)管控、電磁泄漏發(fā)射防護、病毒防護、密碼保護和保密監(jiān)管等技術與管理措施。

第三十八條【建設管理】涉密網(wǎng)絡運營者委托其他單位承擔涉密網(wǎng)絡建設的，應當選擇具有相應涉密信息系統(tǒng)集成資質(zhì)的單位，并與建設單位簽訂保密協(xié)議，明確保密責任，采取保密措施。

第三十九條【信息設備、安全保密產(chǎn)品管理】涉密網(wǎng)絡中使用的信息設備，應當從國家有關主管部門發(fā)布的涉密專用信息設備名錄中選擇；未納入名錄的，應選擇政府采購目錄中的產(chǎn)品。確需選用進口產(chǎn)品的，應當進行安全保密檢測。

涉密網(wǎng)絡運營者不得選用國家保密行政管理部門禁止使用或者政府采購主管部門禁止采購的產(chǎn)品。

涉密網(wǎng)絡中使用的安全保密產(chǎn)品，應當通過國家保密行政管理部門設立的檢測機構檢測。計算機病毒防護產(chǎn)品應當選用取得計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的可靠產(chǎn)品，密碼產(chǎn)品應當選用國家密碼管理部門批準的產(chǎn)品。

第四十條【測評審查和風險評估】涉密網(wǎng)絡應當由國家保密行政管理部門設立或者授權的保密測評機構進行檢測評估，并經(jīng)設區(qū)的市級以上保密行政管理部門審查合格，方可投入使用。

涉密網(wǎng)絡運營者在涉密網(wǎng)絡投入使用后，應定期開展安全保密檢查和風險自評估，并接受保密行政管理部門組織的安全保密風險評估。絕密級網(wǎng)絡每年至少進行一次，機密級和秘密級網(wǎng)絡每兩年至少進行一次。

公安機關、國家安全機關涉密網(wǎng)絡投入使用的管理，依照國家保密行政管理部門會同公安機關、國家安全機關制定的有關規(guī)定執(zhí)行。

第四十一條【涉密網(wǎng)絡使用管理總體要求】涉密網(wǎng)絡運營者應當制定安全保密管理制度，組建相應管理機構，設置安全保密管理人員，落實安全保密責任。

第四十二條【涉密網(wǎng)絡預警通報要求】涉密網(wǎng)絡運營者應建立健全本單位涉密網(wǎng)絡安全保密監(jiān)測預警和信息通報制度，發(fā)現(xiàn)安全風險隱患的，應及時采取應急處置措施，并向保密行政管理部門報告。

第四十三條【涉密網(wǎng)絡重大變化的處置】有下列情形之一的，涉密網(wǎng)絡運營者應當按照國家保密規(guī)定及時向保密行政管理部門報告并采取相應措施：

（一）密級發(fā)生變化的；

（二）連接范圍、終端數(shù)量超出審查通過的范圍、數(shù)量的；

（三）所處物理環(huán)境或者安全保密設施變化可能導致新的安全保密風險的；

（四）新增應用系統(tǒng)的，或者應用系統(tǒng)變更、減少可能導致新的安全保密風險的。

對前款所列情形，保密行政管理部門應當及時作出是否對涉密網(wǎng)絡重新進行檢測評估和審查的決定。

第四十四條【涉密網(wǎng)絡廢止的處理】涉密網(wǎng)絡不再使用的，涉密網(wǎng)絡運營者應當及時向保密行政管理部門報告，并按照國家保密規(guī)定和標準對涉密信息設備、產(chǎn)品、涉密載體等進行處理。

第五章  密碼管理

第四十五條【確定密碼要求】國家密碼管理部門根據(jù)網(wǎng)絡的安全保護等級、涉密網(wǎng)絡的密級和保護等級，確定密碼的配備、使用、管理和應用安全性評估要求，制定網(wǎng)絡安全等級保護密碼標準規(guī)范。

第四十六條【涉密網(wǎng)絡密碼保護】涉密網(wǎng)絡及傳輸?shù)膰�家秘密信息，應當依法采用密碼保護。

密碼產(chǎn)品應當經(jīng)過密碼管理部門批準，采用密碼技術的軟件系統(tǒng)、硬件設備等產(chǎn)品，應當通過密碼檢測。

密碼的檢測、裝備、采購和使用等，由密碼管理部門統(tǒng)一管理；系統(tǒng)設計、運行維護、日常管理和密碼評估，應當按照國家密碼管理相關法規(guī)和標準執(zhí)行。

第四十七條【非涉密網(wǎng)絡密碼保護】非涉密網(wǎng)絡應當按照國家密碼管理法律法規(guī)和標準的要求，使用密碼技術、產(chǎn)品和服務。第三級以上網(wǎng)絡應當采用密碼保護，并使用國家密碼管理部門認可的密碼技術、產(chǎn)品和服務。

第三級以上網(wǎng)絡運營者應在網(wǎng)絡規(guī)劃、建設和運行階段，按照密碼應用安全性評估管理辦法和相關標準，委托密碼應用安全性測評機構開展密碼應用安全性評估。網(wǎng)絡通過評估后，方可上線運行，并在投入運行后，每年至少組織一次評估。密碼應用安全性評估結果應當報受理備案的公安機關和所在地設區(qū)市的密碼管理部門備案。

第四十八條【密碼安全管理責任】網(wǎng)絡運營者應當按照國家密碼管理法規(guī)和相關管理要求，履行密碼安全管理職責，加強密碼安全制度建設，完善密碼安全管理措施，規(guī)范密碼使用行為。

任何單位和個人不得利用密碼從事危害國家安全、社會公共利益的活動，或者從事其他違法犯罪活動。

第六章  監(jiān)督管理

第四十九條【安全監(jiān)督管理】縣級以上公安機關對網(wǎng)絡運營者依照國家法律法規(guī)規(guī)定和相關標準規(guī)范要求，落實網(wǎng)絡安全等級保護制度，開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處置、重大活動網(wǎng)絡安全保護等工作，實行監(jiān)督管理；對第三級以上網(wǎng)絡運營者按照網(wǎng)絡安全等級保護制度落實網(wǎng)絡基礎設施安全、網(wǎng)絡運行安全和數(shù)據(jù)安全保護責任義務，實行重點監(jiān)督管理。

縣級以上公安機關對同級行業(yè)主管部門依照國家法律法規(guī)規(guī)定和相關標準規(guī)范要求，組織督促本行業(yè)、本領域落實網(wǎng)絡安全等級保護制度，開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處置、重大活動網(wǎng)絡安全保護等工作情況，進行監(jiān)督、檢查、指導。

地市級以上公安機關每年將網(wǎng)絡安全等級保護工作情況通報同級網(wǎng)信部門。

第五十條【安全檢查】縣級以上公安機關對網(wǎng)絡運營者開展下列網(wǎng)絡安全工作情況進行監(jiān)督檢查：

（一）日常網(wǎng)絡安全防范工作；

（二）重大網(wǎng)絡安全風險隱患整改情況；

（三）重大網(wǎng)絡安全事件應急處置和恢復工作；

（四）重大活動網(wǎng)絡安全保護工作落實情況；

（五）其他網(wǎng)絡安全保護工作情況。

公安機關對第三級以上網(wǎng)絡運營者每年至少開展一次安全檢查。涉及相關行業(yè)的可以會同其行業(yè)主管部門開展安全檢查。必要時，公安機關可以委托社會力量提供技術支持。

公安機關依法實施監(jiān)督檢查，網(wǎng)絡運營者應當協(xié)助、配合，并按照公安機關要求如實提供相關數(shù)據(jù)信息。

第五十一條【檢查處置】公安機關在監(jiān)督檢查中發(fā)現(xiàn)網(wǎng)絡安全風險隱患的，應當責令網(wǎng)絡運營者采取措施立即消除；不能立即消除的，應當責令其限期整改。

公安機關發(fā)現(xiàn)第三級以上網(wǎng)絡存在重大安全風險隱患的，應當及時通報行業(yè)主管部門，并向同級網(wǎng)信部門通報。

第五十二條【重大隱患處置】公安機關在監(jiān)督檢查中發(fā)現(xiàn)重要行業(yè)或本地區(qū)存在嚴重威脅國家安全、公共安全和社會公共利益的重大網(wǎng)絡安全風險隱患的，應報告同級人民政府、網(wǎng)信部門和上級公安機關。

第五十三條【對測評機構和安全建設機構的監(jiān)管】國家對網(wǎng)絡安全等級測評機構和安全建設機構實行推薦目錄管理，指導網(wǎng)絡安全等級測評機構和安全建設機構建立行業(yè)自律組織，制定行業(yè)自律規(guī)范，加強自律管理。

非涉密網(wǎng)絡安全等級測評機構和安全建設機構具體管理辦法，由國務院公安部門制定。保密科技測評機構管理辦法由國家保密行政管理部門制定。

第五十四條【關鍵人員管理】第三級以上網(wǎng)絡運營者的關鍵崗位人員以及為第三級以上網(wǎng)絡提供安全服務的人員，不得擅自參加境外組織的網(wǎng)絡攻防活動。

第五十五條【事件調(diào)查】公安機關應當根據(jù)有關規(guī)定處置網(wǎng)絡安全事件，開展事件調(diào)查，認定事件責任，依法查處危害網(wǎng)絡安全的違法犯罪活動。必要時，可以責令網(wǎng)絡運營者采取阻斷信息傳輸、暫停網(wǎng)絡運行、備份相關數(shù)據(jù)等緊急措施。

網(wǎng)絡運營者應當配合、支持公安機關和有關部門開展事件調(diào)查和處置工作。

第五十六條【緊急情況斷網(wǎng)措施】網(wǎng)絡存在的安全風險隱患嚴重威脅國家安全、社會秩序和公共利益的，緊急情況下公安機關可以責令其停止聯(lián)網(wǎng)、停機整頓。

第五十七條【保密監(jiān)督管理】保密行政管理部門負責對涉密網(wǎng)絡的安全保護工作進行監(jiān)督管理，負責對非涉密網(wǎng)絡的失泄密行為的監(jiān)管。發(fā)現(xiàn)存在安全隱患，違反保密法律法規(guī)，或者不符合保密標準保密的，按照《中華人民共和國保守國家秘密法》和國家保密相關規(guī)定處理。

第五十八條【密碼監(jiān)督管理】密碼管理部門負責對網(wǎng)絡安全等級保護工作中的密碼管理進行監(jiān)督管理，監(jiān)督檢查網(wǎng)絡運營者對網(wǎng)絡的密碼配備、使用、管理和密碼評估情況。其中重要涉密信息系統(tǒng)每兩年至少開展一次監(jiān)督檢查。監(jiān)督檢查中發(fā)現(xiàn)存在安全隱患，或者違反密碼管理相關規(guī)定，或者不符合密碼相關標準規(guī)范要求的，按照國家密碼管理相關規(guī)定予以處理。

第五十九條【行業(yè)監(jiān)督管理】行業(yè)主管部門應當組織制定本行業(yè)、本領域網(wǎng)絡安全等級保護工作規(guī)劃和標準規(guī)范，掌握網(wǎng)絡基本情況、定級備案情況和安全保護狀況；監(jiān)督管理本行業(yè)、本領域網(wǎng)絡運營者開展網(wǎng)絡定級備案、等級測評、安全建設整改、安全自查等工作。

行業(yè)主管部門應當監(jiān)督管理本行業(yè)、本領域網(wǎng)絡運營者依照網(wǎng)絡安全等級保護制度和相關標準規(guī)范要求，落實網(wǎng)絡安全管理和技術保護措施，組織開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處置、重大活動網(wǎng)絡安全保護等工作。

第六十條【監(jiān)督管理責任】網(wǎng)絡安全等級保護監(jiān)督管理部門及其工作人員應當對在履行職責中知悉的國家秘密、個人信息和重要數(shù)據(jù)嚴格保密，不得泄露、出售或者非法向他人提供。

第六十一條【執(zhí)法協(xié)助】網(wǎng)絡運營者和技術支持單位應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供支持和協(xié)助。

第六十二條【網(wǎng)絡安全約談制度】省級以上人民政府公安部門、保密行政管理部門、密碼管理部門在履行網(wǎng)絡安全等級保護監(jiān)督管理職責中，發(fā)現(xiàn)網(wǎng)絡存在較大安全風險隱患或者發(fā)生安全事件的，可以約談網(wǎng)絡運營者的法定代表人、主要負責人及其行業(yè)主管部門。

第七章  法律責任

第六十三條【違反安全保護義務】網(wǎng)絡運營者不履行本條例第十六條，第十七條第一款，第十八條第一款、第二款，第二十條、第二十二條第一款，第二十四條，第二十五條，第二十八條第一款，第三十一條第一款，第三十二條第二款規(guī)定的網(wǎng)絡安全保護義務的，由公安機關責令改正，依照《中華人民共和國網(wǎng)絡安全法》第五十九條第一款的規(guī)定處罰。

第三級以上網(wǎng)絡運營者違反本條例第二十一條、第二十二條第二款、第二十三條規(guī)定、第二十八條第二款，第三十條第二款，第三十二條第一款規(guī)定的，按照前款規(guī)定從重處罰。

第六十四條【違反技術維護要求】網(wǎng)絡運營者違反本條例第二十九條規(guī)定，對第三級以上網(wǎng)絡實施境外遠程技術維護，未進行網(wǎng)絡安全評估、未采取風險管控措施、未記錄并留存技術維護日志的，由公安機關和相關行業(yè)主管部門依據(jù)各自職責責令改正，依照《中華人民共和國網(wǎng)絡安全法》第五十九條第一款的規(guī)定處罰。

第六十五條【違反數(shù)據(jù)安全和個人信息保護要求】網(wǎng)絡運營者違反本條例第三十一條第二款規(guī)定，擅自收集、使用、提供數(shù)據(jù)和個人信息的，由網(wǎng)信部門、公安機關依據(jù)各自職責責令改正，依照《中華人民共和國網(wǎng)絡安全法》第六十四條第一款的規(guī)定處罰。

第六十六條【網(wǎng)絡安全服務責任】違反本條例第二十六條第三款，第二十七條第二款規(guī)定的，由公安機關責令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節(jié)嚴重的，并可以責令暫停相關業(yè)務、停業(yè)整頓，直至通知發(fā)證機關吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照。

違反本條例第二十七條第二款規(guī)定，泄露、非法出售或者向他人提供個人信息的，依照《中華人民共和國網(wǎng)絡安全法》第六十四條第二款的規(guī)定處罰。

第六十七條【違反執(zhí)法協(xié)助義務】網(wǎng)絡運營者違反本條例規(guī)定，有下列行為之一的，由公安機關、保密行政管理部門、密碼管理部門、行業(yè)主管部門和有關部門依據(jù)各自職責責令改正；拒不改正或者情節(jié)嚴重的，依照《中華人民共和國網(wǎng)絡安全法》第六十九條的規(guī)定處罰。

（一）拒絕、阻礙有關部門依法實施的監(jiān)督檢查的；

（二）拒不如實提供有關網(wǎng)絡安全保護的數(shù)據(jù)信息的；

（三）在應急處置中拒不服從有關主管部門統(tǒng)一指揮調(diào)度的；

（四）拒不向公安機關、國家安全機關提供技術支持和協(xié)助的；

（五）電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)服務提供者在重大網(wǎng)絡安全事件處置和恢復中未按照本條例規(guī)定提供支持和協(xié)助的。

第六十八條【違反保密和密碼管理責任】違反本條例有關保密管理和密碼管理規(guī)定的，由保密行政管理部門或者密碼管理部門按照各自職責分工責令改正，拒不改正的，給予警告，并通報向其上級主管部門，建議對其主管人員和其他直接責任人員依法給予處分。

第六十九條【監(jiān)管部門瀆職責任】網(wǎng)信部門、公安機關、國家保密行政管理部門、密碼管理部門以及有關行業(yè)主管部門及其工作人員有下列行為之一，對直接負責的主管人員和其他直接責任人員，或者有關工作人員依法給予處分：

（一）玩忽職守、濫用職權、徇私舞弊的；

（二）泄露、出售、非法提供在履行網(wǎng)絡安全等級保護監(jiān)管職責中獲悉的國家秘密、個人信息和重要數(shù)據(jù)；或者將獲取其他信息，用于其他用途的。

第七十條【法律競合處理】違反本條例規(guī)定，構成違反治安管理行為的，由公安機關依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第八章  附  則

第七十一條【術語解釋】本條例所稱的“內(nèi)”、“以上”包含本數(shù)；所稱的“行業(yè)主管部門”包含行業(yè)監(jiān)管部門。

第七十二條【軍隊】軍隊的網(wǎng)絡安全等級保護工作，按照軍隊的有關法規(guī)執(zhí)行。

第七十三條【生效時間】本條例由自  年 月 日起施行。