中華人民共和國網絡安全法

第壹條為了保障網絡安全，維護網絡空間主權、國家安全和社會利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。

第二條本法適用於中華人民共和國境內網絡的建設、運行、維護和使用，以及網絡安全的監督管理。

第三條國家堅持網絡安全與信息化發展並重的原則，遵循積極利用、科學發展、依法管理、保障安全的原則，推進網絡基礎設施建設和互聯互通，鼓勵網絡技術創新和應用，支持網絡安全人才培養，建立健全網絡安全保障體系，提高網絡安全防護能力。

第四條國家制定並不斷完善網絡安全戰略，明確保障網絡安全的基本要求和主要目標，提出重點領域的網絡安全方針、任務和措施。

第五條國家采取措施，監測、防禦和應對來自中國人民和國內外的網絡安全風險和威脅，保護重要信息基礎設施免遭攻擊、入侵、幹擾和破壞，依法懲治互聯網違法犯罪活動，維護網絡空間安全和秩序。

第六條國家倡導誠實守信、健康文明的網絡行為，推動傳播社會主義核心價值觀，采取措施提高全社會網絡安全意識和水平，形成全社會參與推進網絡安全的良好環境。

第七條國家積極開展網絡空間治理、網絡技術研發和標準制定、打擊網絡犯罪等方面的國際交流與合作，推動建設和平、安全、開放、合作的網絡空間，建立多邊、民主、透明的網絡治理體系。

第八條國家網信部負責協調網絡安全及相關監督管理工作。國務院電信主管部門、公安部門和其他有關部門在各自的職責範圍內，依照本法和有關法律、行政法規，負責網絡安全保護和監督管理工作。

縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責，按照國家有關規定確定。

第九條網絡經營者從事經營和服務活動，必須遵守法律、行政法規，尊重社會公德，恪守商業道德，誠實守信，履行網絡安全保護義務，接受政府和社會監督，承擔社會責任。

第十條建設和運營網絡或者通過網絡提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全穩定運行，有效應對網絡安全事件，防範網絡違法犯罪活動，維護網絡數據的完整性、保密性和可用性。

第十壹條涉網行業組織按照章程，加強行業自律，制定網絡安全行為規範，引導會員加強網絡安全防護，提高網絡安全防護水平，促進行業健康發展。

第十二條國家保護公民、法人和其他組織依法使用互聯網的權利，促進網絡接入普及，提高網絡服務水平，為社會提供安全便捷的網絡服務，保障網絡信息依法有序自由流動。

任何個人和組織使用互聯網，應當遵守憲法法律，遵守公共秩序，尊重社會公德，不得危害網絡安全，不得利用互聯網危害國家安全、榮譽和利益，不得煽動顛覆國家政權、推翻社會主義制度，不得煽動分裂國家、破壞民族團結，不得宣傳恐怖主義和極端主義，不得宣傳民族仇恨和歧視，不得傳播暴力、淫穢、色情信息，不得編造、傳播虛假信息，擾亂經濟秩序和社會。

第十三條國家支持研究開發有利於未成年人健康成長的網絡產品和服務，依法懲處利用網絡危害未成年人身心健康的活動，為未成年人提供安全健康的網絡環境。

第十四條任何個人和組織有權向網信、電信、公安等部門舉報危害網絡安全的行為。接到舉報的部門應當依法及時處理；不屬於本部門職責的，應當及時移送有權處理的部門。

有關部門應當為舉報人的相關信息保密，保護其合法權益。

第二章網絡安全支持與推廣

第十五條國家建立和完善網絡安全標準體系。國務院標準化行政主管部門和國務院其他有關部門應當按照各自職責，組織制定並適時修訂與網絡安全管理和網絡產品、服務、運行安全相關的國家標準和行業標準。

國家支持企業、科研機構、高等院校和網絡相關行業組織參與網絡安全國家標準和行業標準的制定。

第十六條國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，支持重點網絡安全技術產業和項目，支持網絡安全技術的研究、開發和應用，推廣安全可靠的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等院校參與國家網絡安全技術創新工程。

第十七條國家推進社會化網絡安全服務體系建設，鼓勵相關企業事業單位提供認證、檢測、風險評估等網絡安全服務。

第十八條國家鼓勵發展網絡數據安全保護和利用技術，推進公共數據資源開放，促進技術創新和經濟社會發展。

國家支持網絡安全管理方式創新和網絡新技術應用，提高網絡安全防護水平。

第十九條各級人民政府及其有關部門應當定期組織網絡安全宣傳教育，指導和督促有關單位做好網絡安全宣傳教育工作。

大眾傳媒應當對社會開展有針對性的網絡安全宣傳教育。

第二十條國家支持企業、高等院校、職業學校及其他教育培訓機構開展網絡安全相關教育培訓，采取多種方式培養網絡安全人才，促進網絡安全人才交流。

第三章網絡運行安全

第壹節壹般規定

第二十壹條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保護網絡不受幹擾、破壞或者未經授權的訪問，防止網絡數據被泄露、竊取或者篡改:

(壹)制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；

(二)采取技術措施，防範計算機病毒和網絡攻擊、網絡入侵等危害網絡安全的行為；

(三)采取技術措施監控和記錄網絡運行狀態和網絡安全事件，並按照規定保存相關網絡日誌不少於六個月；

(四)采取數據分類、重要數據備份和加密等措施；

(五)法律、行政法規規定的其他義務。

第二十二條網絡產品和服務應當符合相關國家標準的強制性要求。網絡產品和服務的提供者不得設置惡意程序；發現其網絡產品和服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶，並向有關主管部門報告。

網絡產品和服務提供商應為其產品和服務提供持續的安全維護；在雙方規定或約定的期限內，安全維護的提供不得終止。

網絡產品或者服務具有收集用戶信息功能的，其提供者應當向用戶明示並取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關於個人信息保護的規定。

第二十三條網絡關鍵設備和網絡安全產品應當符合相關國家標準的強制性要求，並經有資質的機構安全認證或者安全檢測符合要求後，方可銷售或者提供。國家網信部門要會同國務院有關部門制定並公布網絡安全重點網絡設備和專用產品目錄，推進安全認證和安全檢測結果互認，避免重復認證和檢測。

第二十四條網絡運營者為用戶辦理入網、域名註冊服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息傳播、即時通信等服務時，應當在與用戶簽訂協議或者確認提供服務時，要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。

國家實施網絡可信身份戰略，支持研發安全便捷的電子認證技術，推動不同電子認證之間的互認。

第二十五條網絡運營者應當制定網絡安全事件應急預案，及時應對系統漏洞、計算機病毒、網絡攻擊、網絡入侵等安全風險；壹旦發生危及網絡安全的事件，立即啟動應急預案，采取相應的補救措施，並按規定向有關主管部門報告。

第二十六條開展網絡安全認證、檢測、風險評估等活動，發布系統漏洞、計算機病毒、網絡攻擊、網絡入侵等網絡安全信息。向社會公布的，應當遵守國家有關規定。

第二十七條任何個人和組織不得從事非法侵入他人網絡、幹擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動；不得提供專門用於從事侵入網絡、幹擾網絡正常功能和防護措施、竊取網絡數據等危害網絡安全活動的程序和工具；明知他人從事危害網絡安全的活動，不得為其提供技術支持、廣告推廣、支付結算等服務。

第二十八條網絡運營者應當為公安機關、國家安全機關維護國家安全、依法查處犯罪的活動提供技術支持和協助。

第二十九條國家支持網絡運營者在網絡安全信息收集、分析、通報和應急處置等方面開展合作，提高網絡運營者的安全保障能力。

相關行業組織應當建立健全本行業網絡安全防護規範和合作機制，加強網絡安全風險分析評估，定期向會員進行風險提示，支持和協助會員應對網絡安全風險。

第三十條網信部門和有關部門在履行網絡安全保護職責中獲取的信息只能用於維護網絡安全的需要，不得用於其他目的。

第二節關鍵信息基礎設施的運行安全

第三十壹條國家在網絡安全等級保護制度的基礎上，對公共通信與信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他可能嚴重危及國家安全、國計民生和公眾利益的關鍵信息基礎設施，給予重點保護。關鍵信息基礎設施的具體範圍和安全保護措施由國務院規定。

國家鼓勵關鍵信息基礎設施以外的網絡運營者自願參與關鍵信息基礎設施保護體系。

第三十二條按照國務院規定的職責分工，負責重要信息基礎設施安全保護的部門應當分別編制並組織實施本行業、本領域的重要信息基礎設施安全規劃，並對重要信息基礎設施的安全保護工作進行指導和監督。

第三十三條關鍵信息基礎設施建設應當確保其具有支撐業務穩定持續運行的性能，並確保安全技術措施同步規劃、同步建設、同步使用。

第三十四條除本法第二十壹條規定外，關鍵信息基礎設施運營者還應當履行下列安全保護義務:

(壹)設立專門的安全管理機構和安全管理負責人，對負責人和關鍵崗位人員進行安全背景審查；

(二)定期對員工進行網絡安全教育、技術培訓和技能考核；

(三)重要系統和數據庫的災難恢復備份；

(四)制定網絡安全事件應急預案並定期進行演練；

(五)法律、行政法規規定的其他義務。

第三十五條關鍵信息基礎設施運營者采購可能影響國家安全的網絡產品和服務，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

第三十六條關鍵信息基礎設施運營者購買網絡產品和服務，應當按照規定與提供者簽訂安全協議，明確安全保密義務和責任。

第三十七條關鍵信息基礎設施運營者在中華人民共和國境內收集、生成的個人信息和重要數據應當存儲在境內。因業務需要確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，從其規定。

第三十八條關鍵信息基礎設施運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行壹次檢查評估，並將檢查評估和改進措施提交負責關鍵信息基礎設施安全保護的相關部門。

第三十九條國家網信部應當協調相關部門采取以下措施，對關鍵信息基礎設施進行安全保護:

(壹)對關鍵信息基礎設施的安全風險進行抽查，提出改進措施，必要時委托網絡安全服務機構對網絡存在的安全風險進行檢測和評估；

(二)組織關鍵信息基礎設施運營者定期開展網絡安全應急演練，提高應對網絡安全事件的水平和協調能力；

(三)推動相關部門、關鍵信息基礎設施運營商、相關研究機構和網絡安全服務機構之間的網絡安全信息共享；

(四)為網絡安全事件應急處置和網絡功能恢復提供技術支持和幫助。

第四章網絡信息安全

第四十條網絡運營者應當對其收集的用戶信息嚴格保密，建立健全用戶信息保護制度。

第四十壹條網絡運營者收集和使用個人信息，應當遵循合法、公正、必要的原則，公開收集和使用規則，明確說明收集和使用信息的目的、方式和範圍，並征得被收集者的同意。

網絡經營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，並應當按照法律、行政法規的規定和與用戶的約定處理其保存的個人信息。

第四十二條網絡運營者不得泄露、篡改或者銷毀其收集的個人信息；未經被收集人同意，不得向他人提供個人信息。但是，除非處理後無法識別特定的個體，並且無法恢復。

網絡運營者應當采取技術措施和其他必要措施，保障其收集的個人信息的安全，防止信息泄露、損毀或者丟失。個人信息泄露、損毀、丟失時，應當立即采取補救措施，按照規定及時告知用戶，並向有關主管部門報告。

第四十三條個人發現網絡運營者違反法律、行政法規或者雙方約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的個人信息有錯誤的，有權要求網絡運營者改正。網絡經營者應當采取措施予以刪除或者改正。

第四十四條任何個人或者組織不得竊取或者以其他非法手段獲取個人信息，不得向他人非法出售或者提供個人信息。

第四十五條依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法提供給他人。

第四十六條任何個人或者組織應當對其使用互聯網負責，不得設立實施詐騙、傳授犯罪方法、制作或者出售違禁物品和管制物品等違法犯罪活動的網站或者通訊群，不得利用互聯網發布與實施詐騙、制作或者出售違禁物品和管制物品等違法犯罪活動有關的信息。

第四十七條網絡運營者應當加強對用戶發布信息的管理。發現法律、行政法規禁止發布、傳播的信息，應當立即停止傳播，采取消除等措施，防止信息傳播，保存相關記錄，並向有關主管部門報告。

第四十八條任何個人或者組織發送的電子信息以及任何組織提供的應用軟件不得含有惡意程序，不得含有法律、行政法規禁止發布或者傳播的信息。

電子信息發送服務提供者和應用軟件下載服務提供者應當履行安全管理義務。知道其用戶有前款規定行為的，應當停止提供服務，采取消除等措施，保存相關記錄，並向有關主管部門報告。

第四十九條網絡運營者應當建立網絡信息安全投訴舉報制度，公布投訴舉報等信息，及時受理和處理網絡信息安全投訴舉報。

網絡運營者應當配合網信部門和有關部門依法實施的監督檢查。

第五十條國家網信部門和有關部門應當依法履行網絡信息安全監督管理職責，發現法律、行政法規禁止發布、傳輸的信息，應當要求網絡運營者停止傳輸，采取消除等措施，並保存相關記錄；對於來自中華人民共和國境內和境外的上述信息，應當通知有關機構采取技術措施和其他必要措施阻斷傳播。

第五章監測、預警和應急處置

第五十壹條國家建立網絡安全監測、預警和信息通報制度。國家網信部門要統籌協調相關部門加強網絡安全信息的收集、分析和通報，按照規定統壹發布網絡安全監測預警信息。

第五十二條負責關鍵信息基礎設施安全保護的部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，並按照規定報送網絡安全監測預警信息。

第五十三條國家網信部應當協調有關部門建立健全網絡安全風險評估和應急工作機制，制定網絡安全事件應急預案，並定期組織演練。

負責關鍵信息基礎設施安全保護的部門應當制定本行業、本領域網絡安全事件應急預案，並定期組織演練。

網絡安全事件應急預案應當根據事件發生後的危害程度、影響範圍等因素對網絡安全事件進行分類，並規定相應的應急措施。

第五十四條網絡安全事件風險增大時，省級以上人民政府有關部門應當根據網絡安全風險的特點和可能造成的危害，按照規定的權限和程序，采取下列措施:

(壹)要求相關部門、機構和人員及時收集和報告相關信息，加強網絡安全風險監控；

(二)組織相關部門、機構和專業人員對網絡安全風險信息進行分析和評估，預測事件發生的可能性、影響範圍和危害程度；

(三)向社會發布網絡安全風險預警，發布避免和減輕危害的措施。

第五十五條發生網絡安全事件時，應當立即啟動網絡安全事件應急預案，對網絡安全事件進行調查和評估。要求網絡運營者采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，並及時向公眾發布相關預警信息。

第五十六條省級以上人民政府有關部門在履行網絡安全監督管理職責時，發現網絡存在重大安全隱患或者安全事件的，可以按照規定權限和程序約談網絡運營者的法定代表人或者主要負責人。網絡運營者應當按照要求采取措施整改消除隱患。

第五十七條因網絡安全事件發生突發事件或者生產安全事故的，依照《中華人民共和國突發事件應對法》、《中華人民共和國安全生產法》等有關法律、行政法規處理。

第五十八條為維護國家安全和社會公共秩序，應對重大社會安全突發事件，國務院決定或者批準，可以在特定區域采取限制網絡通信等臨時措施。

第六章法律責任

第五十九條網絡運營者未履行本法第二十壹條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全後果的，處1萬元以上10萬元以下罰款，對直接負責的主管人員處5000元以上5萬元以下罰款。

關鍵信息基礎設施的運營者未履行本法第三十三條、第三十四條、第三十六條、第三十八條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全後果的，處十萬元以上壹百萬元以下罰款，對直接負責的主管人員處壹萬元以上十萬元以下罰款。

第六十條違反本法第二十二條第壹款、第二款和第四十八條第壹款的規定，有下列行為之壹的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全後果的，處五萬元以上五十萬元以下罰款，對直接負責的主管人員處壹萬元以上十萬元以下罰款:

(壹)設置惡意程序；

(二)未對其產品和服務存在的安全缺陷、漏洞等風險立即采取補救措施，或者未按照規定及時告知用戶並向有關主管部門報告的；

(三)擅自終止為其產品和服務提供安全維護。

第六十壹條網絡運營者違反本法第二十四條第壹款規定，未要求用戶提供真實身份信息或者向未提供真實身份信息的用戶提供相關服務的，由有關主管部門責令改正；拒不改正或者情節嚴重的，可以處五萬元以上五十萬元以下罰款，並由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處壹萬元以上十萬元以下罰款。

第六十二條違反本法第二十六條規定，開展網絡安全認證、檢測、風險評估等活動，或者向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡入侵等網絡安全信息的，由有關主管部門責令改正，給予警告；拒不改正或者情節嚴重的，可以處1萬元以上10萬元以下罰款，並由有關主管部門責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處5000元以上5萬元以下罰款。

第六十三條違反本法第二十七條的規定，從事危害網絡安全活動，或者提供專門用於從事危害網絡安全活動的程序、工具，或者為他人從事危害網絡安全活動提供技術支持、廣告宣傳、支付結算，尚不構成犯罪的，由公安機關予以沒收，處五日以下拘留，可以並處五萬元以上五十萬元以下罰款；情節嚴重的，處五日以上十五日以下拘留，可以並處十萬元以上壹百萬元以下罰款。

單位有前款行為的，由公安機關沒收違法所得，並處10萬元以上100萬元以下的罰款，並對其直接負責的主管人員和其他直接責任人員依照前款的規定處罰。

違反本法第二十七條規定，受到治安管理處罰的人員，五年內不得從事網絡安全管理和網絡運行關鍵崗位的工作；受到刑事處罰的人員，終身不得從事網絡安全管理和網絡運營關鍵崗位工作。

第六十四條網絡經營者、網絡產品服務提供者違反本法第二十二條第三款、第四十壹條至第四十三條的規定，侵犯依法受保護的個人信息權的，由有關主管部門責令改正，可以根據情節單處或者並處警告、沒收違法所得、並處違法所得壹倍以上十倍以下的罰款；沒有違法所得的，處以壹百萬元以下的罰款，對直接責任人員處以壹萬元以上十萬元以下的罰款。情節嚴重的，可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。

違反本法第四十四條的規定，竊取或者以其他非法手段獲取、非法出售或者非法提供他人個人信息，尚不構成犯罪的，由公安機關沒收，並處違法所得壹倍以上十倍以下的罰款。沒有違法所得的，處以壹百萬元以下的罰款。

第六十五條關鍵信息基礎設施運營者違反本法第三十五條規定，使用未經安全審查或者安全審查不合格的網絡產品或者服務的，由有關主管部門責令停止使用，並處購買金額1倍以上10倍以下的罰款；對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款。

第六十六條關鍵信息基礎設施運營者違反本法第三十七條規定，將網絡數據存儲在境外或者向境外提供網絡數據的，由有關主管部門責令改正，給予警告，沒收違法所得，並處五萬元以上五十萬元以下的罰款，並可以責令停業、停業整頓、關閉網站、吊銷相關業務許可或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處以1萬元以上10萬元以下的罰款。

第六十七條違反本法第四十六條的規定，建立實施違法犯罪活動的網站、通訊群，或者利用互聯網發布與實施違法犯罪活動有關的信息，尚不構成犯罪的，由公安機關處五日以下拘留，可以並處壹萬元以上十萬元以下罰款；情節嚴重的，處五日以上十五日以下拘留，可以並處五萬元以上五十萬元以下罰款。關閉用於實施違法犯罪活動的網站和分發群。

單位有前款行為的，由公安機關處十萬元以上五十萬元以下罰款，並對其直接負責的主管人員和其他直接責任人員依照前款的規定處罰。

第六十八條網絡運營者違反本法第四十七條規定，未停止傳輸法律、行政法規禁止傳輸的信息，采取消除等措施並保存相關記錄的，由有關主管部門責令改正，給予警告，沒收違法所得；拒不改正或者情節嚴重的，可以處十萬元以上五十萬元以下罰款，並可以責令停業、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處壹萬元以上十萬元以下罰款。

電子信息發送服務提供者、應用軟件下載服務提供者未履行本法第四十八條第二款規定的安全管理義務的，依照前款的規定處罰。

第六十九條網絡經營者違反本法規定，有下列行為之壹的，由有關主管部門責令改正；拒不改正或者情節嚴重的，處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處壹萬元以上十萬元以下罰款:

(壹)未按照有關部門的要求