中華人民共和國網絡安全法草案全文

第壹章總則

第二章網絡安全策略、規劃和推廣

第三章網絡運行安全

第壹節壹般規定

第二節關鍵信息基礎設施的運行安全

第四章網絡信息安全

第五章監測、預警和應急處置

第六章法律責任

第七章附則第壹章總則

第壹條為了保障網絡安全，維護網絡空間主權、國家安全和社會利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。

第二條本法適用於中華人民共和國境內網絡的建設、運行、維護和使用，以及網絡安全的監督管理。

第三條國家堅持網絡安全與信息化發展並重的方針，遵循積極利用、科學發展、依法管理、保障安全的原則，推進網絡基礎設施建設，鼓勵網絡技術創新和應用，建立健全網絡安全保障體系，提高網絡安全防護能力。

第四條國家倡導誠實守信、健康文明的網絡行為，采取措施提高全社會網絡安全意識和水平，形成全社會參與推進網絡安全的良好環境。

第五條國家積極開展網絡空間治理、網絡技術研發、標準制定、打擊網絡犯罪等方面的國際交流與合作，推動建設和平、安全、開放、合作的網絡空間。

第六條國家網信部負責網絡安全的統籌協調和相關監督管理。國務院工業和信息化主管部門、公安部門和其他有關部門依照本法和有關法律、行政法規，在各自的職責範圍內負責網絡安全保護和監督管理工作。

縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責，按照國家有關規定確定。

第七條建設和運營網絡或者通過網絡提供服務，應當按照法律法規的規定和國家標準、行業標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全穩定運行，有效應對網絡安全事件，防範違法犯罪活動，維護網絡數據的完整性、保密性和可用性。

第八條涉網行業組織應當按照章程，加強行業自律，制定網絡安全行為準則，引導會員依法加強網絡安全保護，提高網絡安全保護水平，促進行業健康發展。

第九條國家保護公民、法人和其他組織依法使用互聯網的權利，促進網絡接入普及，提高網絡服務水平，為社會提供安全便捷的網絡服務，保障網絡信息依法有序自由流動。

任何個人和組織使用互聯網都應當遵守憲法和法律，遵守公共秩序，尊重社會公德，不得危害網絡安全。不得利用互聯網從事危害國家安全的活動，宣傳恐怖主義和極端主義，宣揚民族仇恨和歧視，傳播淫穢色情信息，侮辱誹謗他人，擾亂社會秩序，損害公共利益，侵犯他人知識產權和其他合法權益。

第十條任何個人和組織有權向網信、工業和信息化、公安等部門舉報危害網絡安全的行為。接到舉報的部門應當依法及時處理；不屬於本部門職責的，應當及時移送主管部門。

第二章網絡安全策略、規劃和推廣

第十壹條國家制定網絡安全戰略，明確保障網絡安全的基本要求和主要目標，提出完善網絡安全保障體系、提高網絡安全防護能力、促進網絡安全技術和產業發展、推動全社會參與維護網絡安全的政策措施。

第十二條國務院通信、廣播電視、能源、交通、水利、金融等行業主管部門和國務院其他有關部門應當根據國家網絡安全戰略，制定關系國家安全、國計民生的重點行業和重要領域的網絡安全規劃，並組織實施。

第十三條國家建立和完善網絡安全標準體系。國務院標準化行政主管部門和國務院其他有關部門應當按照各自職責，組織制定並適時修訂與網絡安全管理和網絡產品、服務、運行安全相關的國家標準和行業標準。

國家支持企業參與網絡安全國家標準和行業標準的制定，鼓勵企業制定嚴於國家標準和行業標準的企業標準。

第十四條國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，支持重點網絡安全技術產業和項目，支持網絡安全技術的研究、開發、應用和推廣，保護網絡技術知識產權，支持科研機構、高等院校和企業參與國家網絡安全技術創新工程。

第十五條各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育，指導和督促有關單位做好網絡安全宣傳教育工作。

大眾傳媒應當對社會開展有針對性的網絡安全宣傳教育。

第十六條國家支持企業、高等院校、職業學校及其他教育培訓機構開展網絡安全相關教育培訓，采取多種方式培養網絡安全技術人才，促進網絡安全技術人才交流。

第三章網絡運行安全

第壹節壹般規定

第十七條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保護網絡不受幹擾、破壞或者未經授權的訪問，防止網絡數據被泄露、竊取或者篡改:

(壹)制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；

(二)采取技術措施，防範計算機病毒、網絡攻擊、網絡入侵等危害網絡安全的行為；

(三)采取技術措施記錄和跟蹤網絡運行狀態，監控和記錄網絡安全事件，按照規定保存網絡日誌；

(四)采取數據分類、重要數據備份和加密等措施；

(五)法律、行政法規規定的其他義務。

網絡安全等級保護的具體辦法由國務院制定。

第十八條網絡產品和服務應當符合相關國家標準和行業標準。網絡產品和服務的提供者不得設置惡意程序；其產品和服務具有收集用戶信息功能的，應當向用戶明示並取得同意；發現其網絡產品和服務存在安全缺陷和漏洞等風險時，應當及時告知用戶並采取補救措施。

網絡產品和服務提供商應為其產品和服務提供持續的安全維護；在雙方規定或約定的期限內，不得終止提供安全維護。

第十九條網絡關鍵設備和網絡安全產品應當符合相關國家標準和行業標準的強制性要求，並經有資質的機構安全認證或者安全檢測符合要求後方可銷售。國家網信部門要會同國務院有關部門制定並公布網絡安全重點網絡設備和專用產品目錄，推進安全認證和安全檢測結果互認，避免重復認證和檢測。

第二十條網絡運營者在與用戶簽訂協議或者確認提供服務時，應當要求用戶在為用戶辦理入網和域名註冊服務、辦理固定電話、移動電話等入網手續或者為用戶提供信息發布服務時，提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。

國家支持研發安全、便捷的電子認證技術，促進不同電子認證技術之間的互認和通用。

第二十壹條網絡運營者應當制定網絡安全事件應急預案，及時應對系統漏洞、計算機病毒、網絡入侵和網絡攻擊等安全風險；壹旦發生危及網絡安全的事件，立即啟動應急預案，采取相應的補救措施，並按規定向有關主管部門報告。

第二十二條任何個人和組織不得從事侵入他人網絡、幹擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動。不得為入侵網絡、幹擾網絡正常功能、竊取網絡數據等危害網絡安全的活動提供工具和制作方法；不得為他人開展危害網絡安全的活動提供技術支持、廣告推廣、支付結算。

第二十三條為了國家安全和偵查犯罪的需要，偵查機關可以依法要求網絡運營者提供必要的支持和協助。

第二十四條國家支持網絡運營者在網絡安全信息收集、分析、通報和應急處置等方面開展合作，提高網絡運營者的安全能力。

相關行業組織應當建立健全本行業網絡安全防護規範和合作機制，加強網絡安全風險分析評估，定期向會員進行風險提示，支持和協助會員應對網絡安全風險。

第二節關鍵信息基礎設施的運行安全

第二十五條國家負責提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、交通、水利、金融等重要行業的重要信息系統，供電、供水、供氣、醫療衛生、社會保障等公共服務的基礎信息網絡，軍事網絡，設區的市級以上國家機關等政務網絡。以及大量網絡服務提供者擁有或者管理的網絡和系統(以下簡稱關鍵信息基礎設施)關鍵信息基礎設施的安全保護辦法由國務院制定。

第二十六條國務院交通、廣播電視、能源、交通、水利、金融等行業主管部門和國務院其他有關部門(以下統稱負責重要信息基礎設施安全保護的部門)，按照國務院規定的職責分工，分別負責指導和監督重要信息基礎設施的安全保護工作。

第二十七條關鍵信息基礎設施建設應當確保其具有支撐業務穩定持續運行的性能，並確保安全技術措施同步規劃、同步建設、同步使用。

第二十八條除本法第十七條規定外，關鍵信息基礎設施運營者還應當履行下列安全保護義務:

(壹)設立專門的安全管理機構和安全管理負責人，對負責人和關鍵崗位人員進行安全背景審查；

(二)定期對員工進行網絡安全教育、技術培訓和技能考核；

(三)重要系統和數據庫的災難恢復備份；

(四)制定網絡安全事件應急預案並定期組織演練；

(五)法律、行政法規規定的其他義務。

第二十九條關鍵信息基礎設施運營者購買網絡產品和服務，應當與提供者簽訂安全保密協議，明確安全保密義務和責任。

第三十條關鍵信息基礎設施運營者采購可能影響國家安全的網絡產品或者服務，應當通過國家網信部門會同國務院有關部門組織的安全審查。具體辦法由國務院制定。

第三十壹條關鍵信息基礎設施運營者應當存儲在中華人民共和國境內運營過程中收集、產生的公民個人信息等重要數據；因業務需要，確需在境外存儲或者向境外組織或者個人提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。法律、行政法規另有規定的，從其規定。

第三十二條重要信息基礎設施運營者應當自行或者委托專業機構對其網絡安全和可能存在的風險進行至少壹次年度檢查和評估，並提出檢查評估和改進措施的網絡安全報告，報送負責重要信息基礎設施安全保護的相關部門。

第三十三條國家網信部門應當協調相關部門，建立協作機制。可以采取以下措施來保護關鍵信息基礎架構的安全:

(壹)對關鍵信息基礎設施的安全風險進行抽查，提出改進措施，必要時委托專業檢驗檢測機構對網絡存在的安全風險進行檢測和評估；

(二)組織關鍵信息基礎設施運營單位定期開展網絡安全應急演練，提高關鍵信息基礎設施應對網絡安全事件的水平和協調能力；

(三)促進相關部門、關鍵信息基礎設施運營商、網絡安全服務機構和相關研究機構之間的網絡安全信息共享；

(四)為網絡安全事件的應急響應和恢復提供技術支持和幫助。

第四章網絡信息安全

第三十四條網絡運營者應當建立健全用戶信息保護制度，加強對用戶個人信息、隱私和商業秘密的保護。

第三十五條網絡運營者收集、使用公民個人信息，應當遵循合法、公正、必要的原則，明示收集、使用信息的目的、方式和範圍，並征得被收集者的同意。

網絡運營者不得收集與其提供的服務無關的公民個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用公民個人信息，應當按照法律、行政法規的規定或者與用戶的約定處理其存儲的公民個人信息。

網絡運營者收集、使用公民個人信息時，應當公開其收集、使用規則。

第三十六條網絡運營者必須對收集的公民個人信息嚴格保密，不得泄露、篡改、毀損、出售或者非法向他人提供。

網絡運營者應當采取技術措施和其他必要措施，保障公民個人信息安全，防止其收集的公民個人信息泄露、損毀和丟失。信息泄露、損毀或者丟失時，應當立即采取補救措施，告知可能受到影響的用戶，並按照規定向有關主管部門報告。

第三十七條公民發現網絡運營者違反法律、行政法規或者雙方約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的個人信息有錯誤的，有權要求網絡運營者改正。

第三十八條任何個人或者組織不得竊取或者以其他非法手段獲取公民個人信息，不得向他人出售或者非法提供公民個人信息。

第三十九條依法負有網絡安全監督管理職責的部門，對在履行職責中知悉的公民個人信息、隱私和商業秘密，必須嚴格保密，不得泄露、出售或者非法提供給他人。

第四十條網絡運營者應當加強對用戶發布信息的管理。發現法律、行政法規禁止發布、傳播的信息，應當立即停止傳播，采取消除等措施，防止信息傳播，保存相關記錄，並向有關主管部門報告。

第四十壹條電子信息發送者發送的電子信息和應用軟件提供者提供的應用軟件不得設置惡意程序，不得含有法律、行政法規禁止發布或者傳播的信息。

電子信息發送服務提供者和應用軟件下載服務提供者應當履行安全管理義務。發現電子信息發送者、應用軟件提供者有前款規定行為的，應當停止提供服務，采取消除等措施，保存相關記錄，並向有關主管部門報告。

第四十二條網絡運營者應當建立網絡信息安全投訴舉報平臺，公布投訴舉報等信息，及時受理和處理網絡信息安全投訴舉報。

第四十三條國家網信部門和有關部門應當依法履行網絡安全監督管理職責，發現法律、行政法規禁止發布、傳輸的信息，應當要求網絡運營者停止傳輸，采取消除等措施，並保存相關記錄；對於來自中華人民共和國和境外的上述信息，應當通知有關機構采取技術措施和其他必要措施，阻斷信息傳播。

第五章監測、預警和應急處置

第四十四條國家建立網絡安全監測、預警和信息通報制度。國家網信部門要統籌協調相關部門加強網絡安全信息的收集、分析和通報，按照規定統壹發布網絡安全監測預警信息。

第四十五條負責關鍵信息基礎設施安全保護的部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，並按照規定報送網絡安全監測預警信息。

第四十六條國家網信部協調相關部門建立健全網絡安全應急工作機制，制定網絡安全事件應急預案，並定期組織演練。

負責關鍵信息基礎設施安全保護的部門應當制定本行業、本領域網絡安全事件應急預案，並定期組織演練。

網絡安全事件應急預案應當根據事件發生後的危害程度、影響範圍等因素對網絡安全事件進行分類，並規定相應的應急措施。

第四十七條網絡安全事件即將發生或者可能性增大時，縣級以上人民政府有關部門應當依照有關法律、行政法規和國務院規定的權限和程序，發布本級預警信息，並根據即將發生的事件的特點和可能造成的危害，采取下列措施:

(壹)要求相關部門、機構和人員及時收集和報告相關信息，加強對網絡安全事件發生和發展的監控；

(二)組織相關部門、機構和專業人員對網絡安全事件信息進行分析和評估，預測事件發生的可能性、影響範圍和危害程度；

(三)向社會發布與公眾相關的預測信息和分析評估結果；

(四)按照規定向公眾預警可能受到危害的網絡安全事件，並發布避免和減輕危害的措施。

第四十八條發生網絡安全事件時，縣級以上人民政府有關部門應當立即啟動網絡安全事件應急預案，對網絡安全事件進行調查和評估，要求網絡運營者采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，並及時向公眾發布相關預警信息。

第四十九條因網絡安全事件發生突發事件或者生產安全事故的，依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律處理。

第五十條國務院或者省、自治區、直轄市人民政府根據維護國家安全和社會公共秩序、處置重大社會安全突發事件的需要，經國務院批準，可以在部分地區采取限制網絡通信等臨時措施。

第六章法律責任

第五十壹條網絡運營者未履行本法第十七條、第二十壹條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等後果的，處壹萬元以上十萬元以下罰款；對直接負責的主管人員處以5000元以上5萬元以下的罰款。

關鍵信息基礎設施的運營者未履行本法第二十七條至第二十九條、第三十二條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者造成危害網絡安全等後果的，處10萬元以上100萬元以下罰款；對直接負責的主管人員處以壹萬元以上十萬元以下的罰款。

第五十二條網絡產品和服務提供者、電子信息發送者、應用軟件提供者違反本法規定，有下列行為之壹的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等後果的，處五萬元以上五十萬元以下罰款；對直接負責的主管人員處以壹萬元以上十萬元以下的罰款:

(壹)設置惡意程序；

(二)其產品和服務具有收集用戶信息的功能，且未向用戶明示並取得同意的；

(三)未及時告知用戶其產品和服務存在的安全缺陷、漏洞等風險並采取補救措施的；

(四)擅自終止為其產品和服務提供安全維護。

第五十三條網絡運營者違反本法規定，未要求用戶提供真實身份信息，或者向未提供真實身份信息的用戶提供相關服務的，由有關主管部門責令改正；拒不改正或者情節嚴重的，可以處5萬元以上50萬元以下罰款，並由有關主管部門責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款。

第五十四條網絡運營者違反本法規定，侵犯公民依法保護個人信息權利的，由有關主管部門責令改正，可以單處或者並處警告、沒收違法所得，並處違法所得壹倍以上十倍以下的罰款，沒有違法所得的，並處五十萬元以下的罰款；情節嚴重的，可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款。

違反本法規定，竊取或者以其他方法非法獲取、出售或者非法向他人提供公民個人信息，尚不構成犯罪的，由公安機關沒收違法所得，並處違法所得壹倍以上十倍以下的罰款。沒有違法所得的，處五十萬元以下罰款。

第五十五條關鍵信息基礎設施運營者違反本法第三十條規定，使用未經安全審查或者安全審查不合格的網絡產品或者服務的，由有關主管部門責令停止使用，並處購買金額1倍以上10倍以下的罰款；對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款。

第五十六條重要信息基礎設施的運營者違反本法規定，將網絡數據存儲在境外，或者未經安全評估向境外組織或者個人提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，並處五萬元以上五十萬元以下的罰款，並可以責令停業、停業整頓、關閉網站、吊銷相關經營許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款。

第五十七條網絡運營者違反本法規定，未停止傳輸法律、行政法規禁止傳輸的信息，未采取消除等措施並保存相關記錄的，由有關主管部門責令改正，給予警告，沒收違法所得；拒不改正或者情節嚴重的，可以處十萬元以上五十萬元以下罰款，並可以責令暫停相關業務、停業整頓、關閉網站、撤銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員，處二萬元以上二十萬元以下罰款。

電子信息發送服務提供者、應用軟件下載服務提供者未履行本法規定的安全義務的，依照前款的規定處罰。

第五十八條發布、傳播法律、行政法規禁止的信息的，依照有關法律、行政法規的規定處罰。

第五十九條網絡經營者違反本法規定，有下列行為之壹的，由有關主管部門責令改正；拒不改正或者情節嚴重的，處以五萬元以上五十萬元以下罰款；對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款:

(壹)未向有關主管部門報告網絡安全風險和網絡安全事件的；

(二)拒絕或者阻礙有關部門依法實施監督檢查的；

(三)拒絕提供必要的支持和幫助的。

第六十條實施本法第二十二條規定的危害網絡安全的行為，不構成犯罪的，或者實施其他違反本法規定的行為，構成違反治安管理行為的，依法給予治安管理處罰。

第六十壹條國家機關政務網絡運營者未履行本法規定的網絡安全保護義務的，由其上級機關或者有關機關責令改正；對直接負責的主管人員和其他直接責任人員依法給予處分。

第六十二條依法負有網絡安全監督管理職責的部門的工作人員玩忽職守、濫用職權、徇私舞弊，尚不構成犯罪的，依法給予行政處分。

第六十三條違反本法規定，給他人造成損害的，應當依法承擔民事責任。

第六十四條違反本法規定，構成犯罪的，依法追究刑事責任。

第七章附則