《中华人民共和国网络安全法(草案)》第一次审议稿
《中华人民共和国网络安全法(草案)》第二次审议稿
《中华人民共和国网络安全法》正式颁布版本
提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统。
一旦遭到遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全,国计民生,公共利益的关键信息基础设施。
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
关键信息基础设施安全保护办法由国务院制定。
关键信息基础设施的具体范围和安全保护办法由国务院制定。
《网络安全法》
《电信和互联网用户个人信息保护规定》(“《保护规定》”)
网络运营者
CII运营者
网络产品、服务提供者
备注
报
告
义
务
在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并向主管部门报告。
在发现其用户发布、传输违法违规信息情况下立即处置并向主管部门报告。
收集的个人信息泄露、毁损、丢失等情况下向主管部门报告。
网络产品、服务存在安全缺陷、漏洞等风险时采取补救措施并向主管部门报告。
电子信息发送服务提供者和应用软件下载服务提供者在知道其用户设置恶意程序,发布、传输违法违规信息的情况下采取处置措施,保存记录并向主管部门报告。
审议稿第三稿将电子信息发送服务提供者和应用软件下载服务提供者在“发现”后的处置报告义务,修改为“知道”,对服务提供者规定的义务更加严格。
个人和组织
安全管理、
保护义务
制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;
按照网络安全等级保护制度的要求,履行21条规定的安全保护义务,包括但不限于制定安全制度和操作规则,确定网络安全负责人;采取技术措施等。
建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
除履行网络运营者承担的安全保护义务外,仍须承担34条规定的安全保护义务。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
任何个人和组织使用网络应当遵守法律和道德规范,不得危害网络安全,损害公共利益和他人合法权益。
任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
安全评估、
审查义务
/
采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。
在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当依法进行安全评估。
自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
保密义务
应对其收集的用户信息严格保密,并建立健全用户信息保护制度。
关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
信息规范收集、
使用义务
不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
任何个人和组织不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。