《河南省網絡安全條例》發布(附全文)
分類: 安全資訊
發布時間: 2022-12-23 15:04:49
標簽:
作者:
閱讀量: 115
新聞來源: 網信河南
河南省網絡安全條例
第一章總則
第一條為了保障網絡安全�,維護國家安全和社會公共利益�,保護自然人�����、法人和非法人組織的合法權益����,促進經濟社會高質量發展�,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等有關法律����、行政法規�,結合本省實際����,制定本條例��。
第二條本省行政區域內網絡安全的建設����、保障��、監管��,以及網絡使用��、網絡數據處理等活動�����,適用本條例�����。
涉密網絡及其數據的安全保護�����,按照國家法律����、行政法規的規定執行�。
第三條網絡安全工作應當貫徹總體國家安全觀����,堅持網絡安全與信息化發展并重���,遵循統籌規劃���、綜合治理����、科學發展�、確保安全的原則�����。
第四條縣級以上人民政府應當將網絡安全納入國民經濟和社會發展規劃�,加大對網絡安全建設維護的投入�����,建立健全網絡安全機構��,加強網絡安全執法隊伍建設��,完善網絡安全工作綜合協調機制�����,解決網絡安全重大問題���,提升網絡安全保障能力��。
第五條縣級以上網信部門是網絡安全工作的主管部門��,負責統籌協調網絡安全工作和相關監督管理工作��。
縣級以上工業和信息化���、公安�����、保密管理����、密碼管理部門和國家安全機關�����、省電信管理機構等�����,應當在各自職責范圍內負責網絡安全保護和監督管理工作�����。
第六條網絡相關行業組織應當按照章程���,加強行業自律����,指導會員落實國家網絡安全制度�,加強網絡安全保護�,促進行業健康發展��。
第七條網絡運營者����、網絡數據處理者和個人信息處理者應當遵守法律���、法規���,尊重社會公德和倫理����,遵守商業道德和職業道德�,誠實守信�����,履行網絡安全保護義務�,承擔社會責任��,接受政府和社會監督����。
第八條任何個人或者組織使用網絡不得違反法律��、法規����,不得危害網絡安全���,不得利用網絡危害國家安全和社會公共利益��,不得利用網絡擾亂經濟秩序和社會秩序����,不得利用網絡侵害他人合法權益�。
任何個人或者組織對危害網絡安全的行為���,有權投訴���、舉報���。收到投訴��、舉報的部門應當及時處理��。
第九條國家機關���、人民團體�����、企業事業單位����、新聞媒體應當以社會主義核心價值觀為導向��,倡導健康文明的網絡行為����,引導全社會依法辦網�、文明上網����、安全用網����,提高網絡安全防范意識�����,營造共同維護網絡安全的良好環境�。
第十條縣級以上人民政府應當對在網絡安全工作中做出突出貢獻的個人和組織�����,按照有關規定給予表彰和獎勵�����。
第二章網絡安全建設
第十一條縣級以上網信部門應當會同有關部門�����,根據上級網絡安全規劃以及本行政區域國民經濟和社會發展規劃����,編制網絡安全規劃�����,報同級網絡安全和信息化委員會同意后實施�,并報上一級網信部門備案�����。
第十二條省人民政府標準化部門和省網信��、行政審批政務信息管理等部門應當根據各自職責�,組織網絡安全標準的宣傳���、推廣和應用��。
鼓勵高等院校�����、科研機構����、企業���、行業組織等參與網絡安全國家標準���、行業標準的制定工作��。
第十三條縣級以上人民政府應當安排網絡安全專項資金��,扶持重點網絡安全技術產業和項目��。
省人民政府設立的互聯網產業發展基金�,應當支持網絡安全建設運營����。
鼓勵金融機構支持網絡安全技術創新和產業發展�����。
第十四條省人民政府及有關部門應當支持省實驗室和省級以上工程技術研究中心���、技術創新中心�、重點實驗室等�����,開展網絡安全技術研究���,加強網絡安全平臺建設��。
鼓勵和支持高等院校��、科研機構���、企業參與網絡安全技術創新項目和網絡安全平臺建設�。
第十五條省人民政府應當支持網絡安全技術的研發和應用��,重點支持安全芯片設計制造�、網絡安全態勢感知�����、網絡安全自主防御等關鍵技術攻關����;推動網絡安全技術產品升級��,支持新技術在網絡安全領域的應用���,推廣安全可信的網絡產品和服務�。
省人民政府及有關部門應當支持網絡安全相關企業�����、高等院校�����、科研機構協同開展關鍵技術攻關���,引導網絡安全產業集聚����,推動網絡安全技術應用與網絡安全產業融合發展�����。
第十六條省人民政府及有關部門應當指導支持高等院校�、職業學校開設網絡安全相關專業�����、課程�����,建設國家一流網絡安全學院����;鼓勵高等院校��、科研機構與企業共建網絡安全實訓基地����,加強人才交流�����。
縣級以上人民政府及有關部門應當將網絡安全高層次��、高技能以及緊缺人才納入人才體系���,在住房�、職稱評定以及配偶就業��、子女入學等方面提供支持�。
第十七條縣級以上人民政府及有關部門應當組織開展經常性網絡安全宣傳教育活動�,指導支持教育機構����、大眾傳媒��、行業組織��、專業機構等做好網絡安全宣傳工作�,提高全社會網絡安全意識和防護能力�。
國家機關����、人民團體����、企業事業單位應當建立健全網絡安全培訓制度��。鼓勵社會力量�����、網絡安全企業開展網絡安全培訓�。
縣級以上人民政府教育部門����、學校應當加強青少年網絡安全教育����,推進網絡安全知識技能進校園����、進課堂�,增強青少年網絡安全意識��。
第十八條省���、設區的市人民政府應當推進網絡安全社會化服務體系建設���。
鼓勵支持符合條件的企業��、機構依法開展網絡安全規劃咨詢�����、安全集成�、安全認證����、產品檢測���、風險評估�、應急響應��、容災備份等網絡安全服務��。
第三章網絡安全保障
第十九條縣級以上網信����、公安等有關部門應當指導督促網絡運營者落實關鍵信息基礎設施安全保護�����、網絡安全等級保護�����、數據安全保護��、個人信息保護�����、密碼應用安全性評估�、云計算服務安全評估��、網絡信息安全投訴舉報等制度���,落實相關國家標準的強制性要求�����,制定網絡安全事件應急預案��。
第二十條本省對國家關鍵信息基礎設施按照有關法律���、行政法規�����,予以重點保護�。
縣級以上人民政府應當在網絡安全等級保護制度的基礎上�����,對本行政區域內未列入國家關鍵信息基礎設施的重要信息系統加強保護��。重要信息系統的范圍和識別指南由省網信部門會同公安等部門制定�����。省人民政府行業主管部門負責制定本行業����、本領域的重要信息系統認定規則���,根據認定規則識別本行業�、本領域的重要信息系統�����,通知網絡運營者�����,并向省網信���、公安部門報送識別結果�。
第二十一條網信部門應當統籌協調有關部門建立重要信息系統網絡安全信息共享機制���,會同行業主管部門檢查����、檢測重要信息系統安全風險����,對重要信息系統領域的網絡安全事件應急處置與網絡功能恢復等����,提供技術支持和指導���。
行業主管部門負責指導和監督本行業��、本領域重要信息系統安全保護工作����,建立健全網絡安全監測預警機制和網絡安全事件應急預案���,定期組織開展網絡安全檢查監測��、應急演練��。
第二十二條重要信息系統建設應當確保具有支持業務穩定��、持續運行的性能���;網絡安全技術措施應當與重要信息系統同步規劃�����、同步設計��、同步建設�、同步驗收��、同步使用�����,確保網絡安全��、數據安全和信息安全�����。
第二十三條重要信息系統運營者應當履行下列安全保護義務:
(一)建立健全網絡安全管理制度����,明確安全管理負責人��;
(二)對重要信息系統設計�、建設�����、運行���、維護等服務實施安全管理����;
(三)對重要信息系統和數據庫采取容災備份和加密等措施�;
(四)編制網絡安全事件應急預案��,定期開展應急演練��;
(五)法律�����、法規規定的其他義務�����。重要信息系統運營者應當履行網絡安全保護主體責任�����。運營者采購網絡產品和服務�,應當按照規定與提供者簽訂協議�,明確提供者的技術支持���、網絡安全運行維護和安全保密責任�,并對其履行監督責任���。
第二十四條省人民政府有關部門應當根據國家數據分類分級保護制度要求�,對本行業�、本領域的網絡數據實行分類分級管理�����,確定本行業�����、本領域重要數據具體目錄�,對列入目錄的網絡數據進行重點保護����。
省人民政府行業主管部門確定的重要數據具體目錄應當報省網信部門備案����。省網信部門應當及時和公安�、國家安全等有關部門共享備案信息��。
第二十五條網絡數據處理者開展網絡數據處理活動應當履行下列安全保護義務:
(一)制定管理制度和操作規程�����,合理確定網絡數據處理的操作權限����;
(二)采取安全技術措施和其他必要措施保障網絡數據安全以及網絡數據處理系統���、存儲環境等安全�����;
(三)加強風險監測����,發現存在網絡數據安全缺陷�����、漏洞時�,應當立即采取補救措施��;
(四)發生網絡數據安全事件時�����,應當立即采取處置措施�,及時告知利害關系人����,并按照規定向設區的市級以上行業主管部門和網信���、公安部門報告�;
(五)法律���、法規規定的其他義務��。
第二十六條網絡運營者應當加強對用戶發布信息內容的管理�,建立健全用戶注冊�����、信息發布審核機制���,發現法律��、行政法規禁止發布或者傳輸的信息�,應當立即停止傳輸�����,采取消除等處置措施�����,防止信息擴散��,保存有關記錄�,并向屬地網信��、公安等有關部門報告��。
網絡運營者應用算法推薦技術提供互聯網信息服務�,應當履行算法安全主體責任�,不得利用算法推薦服務傳播法律��、行政法規禁止的信息����,不得設置違反法律���、行政法規或者違背公序良俗�、公平競爭的算法模型�����。
第二十七條提供平臺服務的網絡運營者應當建立保障數據安全的平臺規則和隱私保護制度����,不得損害公平競爭����,不得侵害用戶合法權益�����。
第二十八條任何個人或者組織應當對其使用網絡的行為負責���,在網絡上發布信息應當遵守法律法規�����、社會公德和公序良俗�����,不得利用網絡制作�、發布�����、傳播法律�、行政法規禁止發布或者傳輸的信息��。
第二十九條利用網絡收集���、使用個人信息����,應當遵循合法����、正當���、必要和誠信等原則�����,明示收集����、使用信息的目的�����、方式和范圍等事項��,履行告知義務���,并取得本人或者監護人同意����;法律����、行政法規另有規定的除外���。
處理的個人信息應當為履行法定職責或者提供服務�、產品所必需�����,不得過度收集個人信息�;不得因個人不同意提供非必需的個人信息���,拒絕提供服務或者產品�����。
第三十條利用網絡處理個人信息應當采取下列措施�,確保個人信息處理活動符合法律��、行政法規的規定:
(一)制定管理制度和操作規程�����;
(二)對個人信息實行分類管理���;
(三)采取相應的加密�、去標識化�、匿名化等安全技術措施�;
(四)發生個人信息泄露��、篡改���、丟失的�����,應當立即采取補救措施����,通知當事人�����,并向設區的市級以上行業主管部門和網信���、公安部門報告��;
(五)法律��、行政法規規定的其他措施��。
第三十一條任何個人或者組織不得非法侵入��、干擾�����、攻擊����、破壞網絡����,不得實施竊取���、泄露����、篡改以及非法獲取��、公開�、交易網絡數據等危害網絡安全的行為���。
第四章網絡安全監管
第三十二條縣級以上網信部門和有關部門依法在各自職責范圍內負責網絡運行安全���、網絡數據安全���、網絡信息安全工作�����。
第三十三條縣級以上網信部門負責統籌協調本行政區域內網絡安全保障體系建設�����、網絡安全監測預警和應急處置工作���;統籌協調關鍵信息基礎設施和重要信息系統安全保護�、網絡數據和個人信息安全保護工作���;依法組織開展網絡運行安全����、網絡數據安全��、網絡信息安全的監督管理和執法工作����。
縣級以上網信部門根據需要��,可以會同有關部門開展網絡安全聯合執法�、案件督辦等工作�����。
第三十四條縣級以上人民政府工業和信息化部門負責工業領域網絡安全的監督管理工作���。
無線電管理機構負責無線電干擾查處相關工作��。
第三十五條縣級以上人民政府公安部門負責指導�、監督�����、檢查網絡安全等級保護���、關鍵信息基礎設施安全保護和重要信息系統保護工作�����;依法查處涉及網絡安全的違法犯罪行為�。
第三十六條保密管理部門負責指導監督機關�����、單位網絡保密工作��;負責對涉密網絡及關鍵信息基礎設施運營者采購保密設備��、產品和服務的保密監管����;負責涉密信息系統的測評審查和風險評估等安全保密工作�����;負責對各類網絡進行保密監測預警和保密檢查�;負責各類網絡失泄密案件的查處及危害評估和密級鑒定��。
第三十七條密碼管理部門會同有關部門查處網絡信息系統密碼失泄密事件和違法違規研制��、使用密碼行為����;負責全省涉密網絡密碼規劃管理�����;負責關鍵信息基礎設施����、重要信息系統密碼應用推進和監督管理����;負責管理全省商用密碼應用安全性評估工作��;會同有關部門建立密碼安全監測預警�����、風險評估��、信息通報����、重大事項會商和分級響應等協作機制�。
第三十八條省���、設區的市國家安全機關負責開展網絡反間諜安全防范指導���、檢查及反間諜技術防范檢查檢測����、處置等相關工作�����。
第三十九條省電信管理機構負責指導督促電信企業和互聯網企業落實網絡與信息安全管理責任�,依據職責權限組織開展電信網和互聯網網絡安全監督檢查���、監測預警��、風險評估�、威脅治理����、信息通報�、應急管理與處置等工作���。
第四十條縣級以上行業主管部門指導監督本行業����、本領域的網絡安全保障工作�,負責本行業���、本領域的關鍵信息基礎設施和重要信息系統安全保護���,承擔本行業�����、本領域網絡數據安全監管職責�����,依法定期開展網絡安全檢查����,開展網絡安全隱患排查���,處置網絡安全事件����,并及時將情況通報同級網信部門����。
第四十一條各級國家機關應當按照屬地管理和誰主管誰負責的原則���,落實網絡安全工作責任制���,建立健全網絡安全工作體系�,提升網絡安全保障能力���,確保關鍵信息基礎設施���、重要信息系統���、網絡運行���、網絡數據和網絡信息的安全可控���。
第四十二條網信����、公安���、國家安全及有關主管部門依法履行網絡安全監管職責時����,網絡運營者�、網絡數據處理者��、個人信息處理者應當予以配合�����。
第四十三條縣級以上網信部門應當按照網絡安全監測預警和信息通報制度要求�����,統籌協調有關部門加強網絡安全信息收集���、分析和通報工作�,按照規定統一發布網絡安全監測預警信息��。
行業主管部門應當建立健全本行業���、本領域的網絡安全監測預警和信息通報制度��,與同級網信部門共享本行業��、本領域的網絡安全信息�。
第四十四條省�����、設區的市網信部門負責統籌協調本行政區域內網絡安全事件應急處置工作�����,建立健全跨區域����、跨部門�����、跨行業的聯動處置機制��。公安���、電信管理等部門在職責范圍內負責相關網絡安全事件處置工作�。能源�、電信�����、交通等行業應當為網絡安全事件應急處置與網絡功能恢復提供重點保障和支持�����。
第四十五條縣級以上網信部門發現網絡存在較大安全風險或者發生網絡安全事件的����,可以依法約談相關網絡運營者��、網絡數據處理者�����、個人信息處理者的法定代表人或者主要負責人�。被約談者應當按照有關要求及時消除網絡安全風險����、妥善處置網絡安全事件��,及時處置法律�、行政法規禁止發布或者傳輸的信息�。
第四十六條省���、設區的市網信部門應當建立健全網絡安全投訴��、舉報制度��,建立投訴舉報平臺�,公開投訴舉報電話�����,接受社會各界對危害網絡安全行為的投訴舉報����。對屬于本部門職權范圍內的�,應當在三十日內辦結并答復����;情況復雜的�,經單位負責人同意可以延長三十日�����。對不屬于本部門職權范圍內的投訴舉報��,應當在三日內轉有關部門辦理�。有關部門應當在上述時間內辦結并答復投訴人���、舉報人��,并向網信部門反饋辦理結果��。
網信部門及其他有關部門應當為投訴人�、舉報人保密�����,保護投訴人����、舉報人的合法權益���。
第四十七條省�、設區的市人民政府應當將網絡安全工作納入高質量發展綜合績效考核體系�����,建立績效考核指標���,對下級人民政府進行網絡安全工作考核�����。
第五章法律責任
第四十八條違反本條例規定的行為��,法律��、行政法規已有法律責任規定的����,從其規定�。
第四十九條違反本條例第二十三條第一款規定��,重要信息系統運營者未履行安全保護義務的��,由縣級以上網信��、公安部門根據管理權限責令改正�����,給予警告���;拒不改正或者導致危害網絡安全等后果的����,處五萬元以上十萬元以下罰款���,對直接負責的主管人員處一萬元以上五萬元以下罰款����。
第五十條違反本條例第二十九條第一款規定��,利用網絡收集�����、使用個人信息未依法履行告知義務��,未依法取得本人或者監護人同意的�����,由縣級以上網信部門責令改正�����,給予警告���,沒收違法所得�����,對違法收集����、使用個人信息的應用程序���,責令暫停提供服務��;拒不改正的���,責令終止提供服務����,并處十萬元以上一百萬元以下罰款���;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款���。
有前款規定的違法行為����,情節嚴重或者造成嚴重后果的��,由省網信部門責令改正���,沒收違法所得���,并處一百萬元以上五千萬元以下或者上一年度營業額百分之五以下罰款����;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款�����,并可以禁止其在五年內擔任相關企業的董事�����、監事���、高級管理人員和個人信息保護負責人��。
第五十一條違反本條例第三十條第一項至三項規定的��,由縣級以上網信部門責令改正����;拒不改正的����,處一萬元以上五萬元以下罰款�����。
違反本條例第三十條第四項規定��,發生個人信息泄露�����、篡改���、丟失事件�,未立即采取補救措施的����,由縣級以上網信部門責令改正��,并處十萬元以上一百萬元以下罰款�����,對直接負責的主管人員和其他直接責任人員處一萬元以上五萬元以下罰款���;情節嚴重或者造成嚴重后果的�����,按照本條例第五十條第二款規定執行����。未通知當事人并向設區的市級以上行業主管部門和網信��、公安部門報告的�,由縣級以上網信部門責令改正����;拒不改正的�,處一萬元以上五萬元以下罰款����。
第五十二條國家機關及其工作人員有下列情形之一的�,由其上級機關或者網信部門責令改正�;對直接負責的主管人員和其他直接責任人員���,按照管理權限依法給予處分���;構成犯罪的�����,依法追究刑事責任:
(一)未按照要求受理投訴舉報或者反饋辦理結果的���;
(二)未履行網絡安全保護義務���,發生較大以上網絡安全事件的����;
(三)收集與履行法定職責無關的個人信息的�;
(四)將履行工作職責中獲取的信息用于其他不當用途的�。
第六章附則
第五十三條本條例自2023年6月1日起施行�����。
