电子认证服务管理办法(2009年2月18日中华人民共和国工业和信息化部令第1号公布。根据2015年4月29日中华人民共和国工业和信息化部令第29号公布的《工业和信息化部关于修改部分规章的决定》修订) 目 录 第一章 总 则 第二章 电子认证服务机构 第三章 电子认证服务 第四章 电子认证服务的暂停、终止第五章 电子签名认证证书第六章 监督管理第七章 罚则第八章 附则 第一章 总 则第一条 为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。第二条 本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。 本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。 向社会公众提供服务的电子认证服务机构应当依法设立。第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。 第四条 中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。 第二章 电子认证服务机构第五条 电子认证服务机构应当具备下列条件: (一)具有独立的企业法人资格。 (二)具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。(三)注册资本不低于人民币三千万元。(四)具有固定的经营场所和满足电子认证服务要求的物理环境。 (五)具有符合国家有关安全标准的技术和设备。 (六)具有国家密码管理机构同意使用密码的证明文件。 (七)法律、行政法规规定的其他条件。 第六条 申请电子认证服务许可的,应当向工业和信息化部提交下列材料: (一)书面申请。 (二)人员证明。 (三)企业法人营业执照副本及复印件。(四)经营场所证明。 (五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。 (六)国家密码管理机构同意使用密码的证明文件。第七条 工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。 第八条 工业和信息化部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的,指派两名以上工作人员实地进行核查。 第九条 工业和信息化部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。 第十条 工业和信息化部应当自接到申请之日起四十五日内作出准予许可或者不予许可的书面决定。不予许可的,应当书面通知申请人并说明理由;准予许可的,颁发《电子认证服务许可证》,并公布下列信息: (一)《电子认证服务许可证》编号。 (二)电子认证服务机构名称。 (三)发证机关和发证日期。 电子认证服务许可相关信息发生变更的,工业和信息化部应当及时公布。 《电子认证服务许可证》的有效期为五年。 第十一条 电子认证服务机构不得倒卖、出租、出借或者以其他形式非法转让《电子认证服务许可证》。 第十二条 取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公布下列信息: (一)机构名称和法定代表人。 (二)机构住所和联系办法。 (三)《电子认证服务许可证》编号。 (四)发证机关和发证日期。 (五)《电子认证服务许可证》有效期的起止时间。 第十三条 电子认证服务机构在《电子认证服务许可证》的有效期内变更公司名称、住所、法定代表人、注册资本的,应当在完成工商变更登记之日起15日内办理《电子认证服务许可证》变更手续。第十四条 《电子认证服务许可证》的有效期届满需要延续的,电子认证服务机构应当在许可证有效期届满三十日前向工业和信息化部申请办理延续手续,并自办结之日起五日内按照本办法第十二条的规定公布相关信息。 第三章 电子认证服务第十五条 电子认证服务机构应当按照工业和信息化部公布的《电子认证业务规则规范》等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。 电子认证业务规则和证书策略发生变更的,电子认证服务机构应当予以公布,并自公布之日起三十日内向工业和信息化部备案。 第十六条 电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。 第十七条 电子认证服务机构应当保证提供下列服务: (一)制作、签发、管理电子签名认证证书。 (二)确认签发的电子签名认证证书的真实性。 (三)提供电子签名认证证书目录信息查询服务。 (四)提供电子签名认证证书状态信息查询服务。 第十八条 电子认证服务机构应当履行下列义务: (一)保证电子签名认证证书内容在有效期内完整、准确。 (二)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。 (三)妥善保存与电子认证服务相关的信息。 第十九条 电子认证服务机构应当建立完善的安全管理和内部审计制度。 第二十条 电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。 电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务。 第二十一条 电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项: (一)电子签名认证证书和电子签名的使用条件。 (二)服务收费的项目和标准。 (三)保存和使用证书持有人信息的权限和责任。 (四)电子认证服务机构的责任范围。 (五)证书持有人的责任范围。 (六)其他需要事先告知的事项。 第二十二条 电子认证服务机构受理电子签名认证申请后,应当与证书申请人签订合同,明确双方的权利义务。 第四章 电子认证服务的暂停、终止第二十三条 电子认证服务机构在《电子认证服务许可证》的有效期内拟终止电子认证服务的,应当在终止服务六十日前向工业和信息化部报告,并办理《电子认证服务许可证》注销手续。 第二十四条 电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知有关各方。 电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务六十日前向工业和信息化部报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排。 第二十五条 电子认证服务机构拟暂停或者终止电子认证服务,未能就业务承接事项与其他电子认证服务机构达成协议的,应当申请工业和信息化部安排其他电子认证服务机构承接其业务。 第二十六条 电子认证服务机构被依法吊销电子认证服务许可的,其业务承接事项按照工业和信息化部的规定处理。 第二十七条 电子认证服务机构有根据工业和信息化部的安排承接其他机构开展的电子认证服务业务的义务。 第五章 电子签名认证证书第二十八条 电子签名认证证书应当准确载明下列内容: (一)签发电子签名认证证书的电子认证服务机构名称。 (二)证书持有人名称。 (三)证书序列号。 (四)证书有效期。 (五)证书持有人的电子签名验证数据。 (六)电子认证服务机构的电子签名。 (七)工业和信息化部规定的其他内容。 第二十九条 有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书: (一)证书持有人申请撤销证书。 (二)证书持有人提供的信息不真实。 (三)证书持有人没有履行双方合同规定的义务。 (四)证书的安全性不能得到保证。 (五)法律、行政法规规定的其他情况。 第三十条 有下列情况之一的,电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验,并对有关材料进行审查: (一)申请人申请电子签名认证证书。 (二)证书持有人申请更新证书。(三)证书持有人申请撤销证书。 第三十一条 电子认证服务机构更新或者撤销电子签名认证证书时,应当予以公告。 第六章 监督管理第三十二条 工业和信息化部对电子认证服务机构进行定期、不定期的监督检查,监督检查的内容主要包括法律法规符合性、安全运营管理、风险管理等。 工业和信息化部对电子认证服务机构实行监督检查时,应当记录监督检查的情况和处理结果,由监督检查人员签字后归档。公众有权查阅监督检查记录。工业和信息化部对电子认证服务机构实行监督检查,不得妨碍电子认证服务机构正常的生产经营活动,不得收取任何费用。第三十三条 取得电子认证服务许可的电子认证服务机构,在电子认证服务许可的有效期内不得降低其设立时所应具备的条件。 第三十四条 电子认证服务机构应当如实向工业和信息化部报送认证业务开展情况报告、财务会计报告等有关资料。第三十五条 电子认证服务机构有下列情况之一的,应当及时向工业和信息化部报告:(一)重大系统、关键设备事故。(二)重大财产损失。(三)重大法律诉讼。(四)关键岗位人员变动。第三十六条 电子认证服务机构应当对其从业人员进行岗位培训。 第三十七条 工业和信息化部根据监督管理工作的需要,可以委托有关省、自治区和直辖市信息产业主管部门承担具体的监督管理事项。 第七章 罚 则第三十八条 电子认证服务机构向工业和信息化部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的,由工业和信息化部责令改正,给予警告或者处以5000元以上1万元以下的罚款。 第三十九条 工业和信息化部与省、自治区、直辖市信息产业主管部门的工作人员,不依法履行监督管理职责的,由工业和信息化部或者省、自治区、直辖市信息产业主管部门依据职权视情节轻重,分别给予警告、记过、记大过、降级、撤职、开除的行政处分;构成犯罪的,依法追究刑事责任。 第四十条 电子认证服务机构违反本办法第十三条、第十五条、第二十七条的规定的,由工业和信息化部依据职权责令限期改正,处以警告,可以并处1万元以下的罚款。 第四十一条 电子认证服务机构违反本办法第三十三条的规定的,由工业和信息化部依据职权责令限期改正,处以3万元以下的罚款,并将上述情况向社会公告。 第八章 附 则第四十二条 经工业和信息化部根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。 第四十三条 本办法自2009年3月31日起施行。2005年2月8日发布的《电子认证服务管理办法》(中华人民共和国信息产业部令第35号)同时废止。
中华人民共和国电子签名法(2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过 根据2015年4月24日第十二届全国人民代表大会常务委员会第十四次会议《关于修改〈中华人民共和国电力法〉等六部法律的决定》第一次修正 根据2019年4月23日第十三届全国人民代表大会常务委员会第十次会议《关于修改〈中华人民共和国建筑法〉等八部法律的决定》第二次修正) 目 录第一章 总 则第二章 数据电文第三章 电子签名与认证第四章 法律责任第五章 附 则 第一章 总 则第一条 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。第二条 本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。第三条 民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。前款规定不适用下列文书:(一)涉及婚姻、收养、继承等人身关系的;(二)涉及停止供水、供热、供气等公用事业服务的;(三)法律、行政法规规定的不适用电子文书的其他情形。 第二章 数据电文第四条 能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。第五条 符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。第六条 符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。第七条 数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。第八条 审查数据电文作为证据的真实性,应当考虑以下因素:(一)生成、储存或者传递数据电文方法的可靠性;(二)保持内容完整性方法的可靠性;(三)用以鉴别发件人方法的可靠性;(四)其他相关因素。第九条 数据电文有下列情形之一的,视为发件人发送:(一)经发件人授权发送的;(二)发件人的信息系统自动发送的;(三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。当事人对前款规定的事项另有约定的,从其约定。第十条 法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。第十一条 数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。当事人对数据电文的发送时间、接收时间另有约定的,从其约定。第十二条 发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。当事人对数据电文的发送地点、接收地点另有约定的,从其约定。 第三章 电子签名与认证第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。第十六条 电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。第十七条 提供电子认证服务,应当具备下列条件:(一)取得企业法人资格;(二)具有与提供电子认证服务相适应的专业技术人员和管理人员;(三)具有与提供电子认证服务相适应的资金和经营场所;(四)具有符合国家安全标准的技术和设备;(五)具有国家密码管理机构同意使用密码的证明文件;(六)法律、行政法规规定的其他条件。第十八条 从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。第十九条 电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。第二十条 电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:(一)电子认证服务提供者名称;(二)证书持有人名称;(三)证书序列号;(四)证书有效期;(五)证书持有人的电子签名验证数据;(六)电子认证服务提供者的电子签名;(七)国务院信息产业主管部门规定的其他内容。第二十二条 电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。第二十三条 电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。第二十四条 电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。第二十五条 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。第二十六条 经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。 第四章 法律责任第二十七条 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。第二十八条 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。第二十九条 未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。第三十条 电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。第三十一条 电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。第三十二条 伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。第三十三条 依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第五章 附 则第三十四条 本法中下列用语的含义:(一)电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人;(二)电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人;(三)电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录;(四)电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据;(五)电子签名验证数据,是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。第三十五条 国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。第三十六条 本法自2005年4月1日起施行。 出处:http://www.gov.cn/banshi/2005-06/27/content_68757.htm
中华人民共和国密码法(2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过 ) 目 录第一章 总 则第二章 核心密码、普通密码第三章 商用密码第四章 法律责任第五章 附 则第一章 总 则第一条 为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,制定本法。第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。第三条 密码工作坚持总体国家安全观,遵循统一领导、分级负责,创新发展、服务大局,依法管理、保障安全的原则。第四条 坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。第五条 国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。第六条 国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。第七条 核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。第八条 商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。第九条 国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。第十条 国家采取多种形式加强密码安全教育,将密码安全教育纳入国民教育体系和公务员教育培训体系,增强公民、法人和其他组织的密码安全意识。第十一条 县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。第十二条 任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。第二章 核心密码、普通密码第十三条 国家加强核心密码、普通密码的科学规划、管理和使用,加强制度建设,完善管理措施,增强密码安全保障能力。第十四条 在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。第十五条 从事核心密码、普通密码科研、生产、服务、检测、装备、使用和销毁等工作的机构(以下统称密码工作机构)应当按照法律、行政法规、国家有关规定以及核心密码、普通密码标准的要求,建立健全安全管理制度,采取严格的保密措施和保密责任制,确保核心密码、普通密码的安全。第十六条 密码管理部门依法对密码工作机构的核心密码、普通密码工作进行指导、监督和检查,密码工作机构应当配合。第十七条 密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。第十八条 国家加强密码工作机构建设,保障其履行工作职责。国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。第十九条 密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。第二十条 密码管理部门和密码工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。第三章 商用密码第二十一条 国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。第二十二条 国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。国家支持社会团体、企业利用自主创新技术制定高于国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。第二十三条 国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动。第二十四条 商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。第二十五条 国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密和商业秘密承担保密义务。第二十六条 涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免重复检测认证。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。第二十九条 国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。第三十条 商用密码领域的行业协会等组织依照法律、行政法规及其章程的规定,为商用密码从业单位提供信息、技术、培训等服务,引导和督促商用密码从业单位依法开展商用密码活动,加强行业自律,推动行业诚信建设,促进行业健康发展。第三十一条 密码管理部门和有关部门建立日常监管和随机抽查相结合的商用密码事中事后监管制度,建立统一的商用密码监督管理信息平台,推进事中事后监管与社会信用体系相衔接,强化商用密码从业单位自律和社会监督。密码管理部门和有关部门及其工作人员不得要求商用密码从业单位和商用密码检测、认证机构向其披露源代码等密码相关专有信息,并对其在履行职责中知悉的商业秘密和个人隐私严格保密,不得泄露或者非法向他人提供。第四章 法律责任第三十二条 违反本法第十二条规定,窃取他人加密保护的信息,非法侵入他人的密码保障系统,或者利用密码从事危害国家安全、社会公共利益、他人合法权益等违法活动的,由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。第三十三条 违反本法第十四条规定,未按照要求使用核心密码、普通密码的,由密码管理部门责令改正或者停止违法行为,给予警告;情节严重的,由密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。第三十四条 违反本法规定,发生核心密码、普通密码泄密案件的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。违反本法第十七条第二款规定,发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患,未立即采取应对措施,或者未及时报告的,由保密行政管理部门、密码管理部门建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。第三十五条 商用密码检测、认证机构违反本法第二十五条第二款、第三款规定开展商用密码检测认证的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款;情节严重的,依法吊销相关资质。第三十六条 违反本法第二十六条规定,销售或者提供未经检测认证或者检测认证不合格的商用密码产品,或者提供未经认证或者认证不合格的商用密码服务的,由市场监督管理部门会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。第三十八条 违反本法第二十八条实施进口许可、出口管制的规定,进出口商用密码的,由国务院商务主管部门或者海关依法予以处罚。第三十九条 违反本法第二十九条规定,未经认定从事电子政务电子认证服务的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得三十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足三十万元的,可以并处十万元以上三十万元以下罚款。第四十条 密码管理部门和有关部门、单位的工作人员在密码工作中滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密和个人隐私的,依法给予处分。第四十一条 违反本法规定,构成犯罪的,依法追究刑事责任;给他人造成损害的,依法承担民事责任。第五章 附 则第四十二条 国家密码管理部门依照法律、行政法规的规定,制定密码管理规章。第四十三条 中国人民解放军和中国人民武装警察部队的密码工作管理办法,由中央军事委员会根据本法制定。第四十四条 本法自2020年1月1日起施行。 出处:http://www.gov.cn/xinwen/2019-10/27/content_5445395.htm
电子政务电子认证服务管理办法(试行) 各省、自治区、直辖市密码管理局,新疆生产建设兵团密码管理局,中央和国家机关有关部委密码工作领导小组办公室:为了规范电子政务电子认证服务活动,现将《电子政务电子认证服务管理办法(试行)》印发你们。请结合工作实际,认真贯彻执行。本办法自2009年11月1日起施行。施行前已从事并拟继续从事电子政务电子认证服务的电子认证服务机构,应当在2010年5月1日前,按照本办法的规定向国家密码管理局提出认证服务能力评估申请;未通过认证服务能力评估的,自2010年8月1日起,不得继续从事电子政务电子认证服务。 2009年10月20日 目录第一章 总 则第二章 基础设施第三章 服务机构第四章 服务应用第五章 监督管理第六章 附 则 第一章 总 则第一条 为了规范电子政务电子认证服务活动,依据(中华人民共和国电子签名法)、(商用密码管理条例)和国务院有关文件,制定本办法。第二条 本办法所称电子政务电子认证服务(以下简称认证服务),是指电子认证服务机构采用密码技术,通过数字证书,为各级政务部门开展社会管理、公共服务等政务活动提供的电子认证服务。电子政务电子认证服务包括面向政务部门的电子政务电子认证服务和面向企事业单位、社会团体、社会公众的电子政务电子认证服务。第三条 电子政务电子认证服务活动的电子认证基础设施、电子认证服务机构、电子认证服务应用等的管理,适用本办法。第四条 国家密码管理局负责全国电子政务电子认证服务活动的监督管理工作。各省、自治区、直辖市和中央国家机关有关部委密码管理部门(以下简称省部密码管理部门)按照国家密码管理局的统一要求,负责本地区本部门电子政务电子认证服务活动的监督管理工作。 第二章 基础设施第五条 电子政务电子认证基础设施基于密码技术,由实现数字证书签发、注册审核和查询服务等功能的软硬件产品和系统组成。认证服务活动应当依托国家密码管理局批准的电子政务电子认证基础设施开展。第六条 用于认证服务活动的电子政务电子认证基础设施应当具备以下条件:(一)符合电子政务电子认证体系建设总体规划布局要求;(二)采用国家密码管理局认定的商用密码产品;(三)由具有商用密码产品生产资质的单位承建;(四)符合(证书认证系统密码及其相关安全技术规范)等标准规范要求;(五)采用国家密码管理局规划建设的密钥管理基础设施提供密钥管理服务;(六)支持电子政务电子认证源点的管理;(七)通过国家密码管理局安全性审查。第七条 省、自治区、直辖市密码管理部门确定的本地区电子政务电子认证基础设施,应当报经国家密码管理局批准。第八条 电子认证服务机构跨区域建设注册审核系统,应当经所服务的省、自治区、直辖市密码管理里部门批准第九条 中央和国家机关有关部委原则上不再建设延伸到省、自治区、直辖市的电子认证基础设施。确有特殊需要的,在提供已建电子政务电子认证基础设施不能满足其电子认证需要的相关证明后,经国家密码管理局批准可以建设相应的电子政务电子认证基础设施。第十条 电子政务电子认证基础设施运行过程中,如有不符合本办法第六条规定的情形,应当及时整改,并报国家密码管理局重新审查。第十一条 电子政务电子认证基础设施进行技术改造,可能对其功能或者安全性造成影响的,改造前报所属省部密码管理部门备案,改造完成后报国家密码管理局审查通过,方可投入运行。第十二条 电子认证服务机构应当建立电子政务电子认证基础设施运行管理制度、安全访问策略、软件控制流程、内部审计机制,以及完善的灾难恢复和应急响应机制,保障安全运行。第十三条 电子认证服务机构按年度对电子政务电子认证基础设施进行安全性评估,并对发现的问题进行整改。涉及技术改造的,按照本办法第十一条规定执行。安全性评估和整改情况报所属省部密码管理部门备案。 第三章 服务机构第十四条 电子认证服务机构应当承担以下责任:(一) 制定本机构的电子政务电子认证服务业务规则,包括责任范围、作业操作规范、安全保障措施等事项,并在服务范围内予以发布;(二) 建立相应的服务队伍,制定相应的服务规范,提供安全可信的认证服务;(三) 保障电子政务电子认证基础设施的安全可靠运行;(四) 加强对从业人员的安全保密、职业道德和岗位技能培训。第十五条 电子认证服务机构应当具备以下条件:(一) 事业法人或者取得电子认证服务许可的国有控股企业法人;(二) 具有经国家密码管理局批准的电子政务电子认证基础设施;(三) 具有与从事认证服务相适应的专业技术人员、运行维护人员、安全管理人员和服务人员;(四) 具有与认证服务相适应的运行服务、应用支持和安全保障等机制;(五) 法律法规规定的其他条件。第十六条 面向企事业单位、社会团体、社会公众提供服务的电子认证服务机构,应当取得国务院信息产业主管部门颁发的(电子认证服务许可证)。第十七条 国家密码管理局组织开展认证服务能力评估,发布(电子政务电子认证服务机构目录)。第十八条 电子认证服务机构申请进行认证服务能力评估时,应当向所属省部密码管理部门提交以下材料:(一)书面申请;(二)事业单位应当提交组织机构代码证书、法人证书以及其他相关证明文件的复印件;企业应当提交组织机构代码证书、营业执照、(电子认证服务许可证)、公司章程以及其他相关证明文件的复印件;(三)电子政务电子认证基础设施经国家密码管理局批准的证明材料的复印件;(四)专业技术人员、运行维护人员、安全管理人员和服务人员的资格证明材料;(五)本机构的电子认证服务业务规则;(六)运行服务、应用支持和安全保障等机制的相关材料;(七)国家密码管理局规定的其他材料。第十九条 省部密码管理部门应当对电子认证服务机构提交的材料进行审查,并在收到材料之日起十个工作日内向申请人告知审查结果。审查通过的,应当在审查通过后五个工作日内,将全部材料报国家密码管理局。第二十条 国家密码管理局应当自收到省部密码管理部门报送的材料之日起三十个工作日内,组织对电子认证服务机构进行能力评估。通过评估的,由国家密码管理局出具通过能力评估的证明文件,并将电子认证服务机构列入(电子政务电子认证服务机构目录),未通过评估的,书面通知申请人并说明理由。第二十一条 电子认证服务机构应当提供以下服务内容:(一)数字证书的申请、签发、更新、延期、恢复、撤销等证书生命周期管理服务;(二)数字证书信息查询服务及数字证书状态信息查询服务;(三)为数字证书用户提供使用支持服务;(四)为政务部门提供数字证书统计、查询、下载等支持服务,以及与电子政务系统的数字证书应用集成支持服务;(五)提供数字证书相关培训。第二十二条 电子认证服务机构应当按照本机构发布的电子认证服务业务规则开展认证服务。第二十三条 电子认证服务机构跨区域提供服务的,应当接受所服务区域的省、自治区、直辖市密码管理部门的监督管理。电子认证服务机构应当将拟开展服务的范围和对象等情况,提前十个工作日书面告知所服务区域的省、自治区、直辖市密码管理部门;在开展认证服务后二十个工作日内,应当向所服务区域的省、自治区、直辖市密码管理部门备案。办理备案时,提交以下材料:(一)本机构开展认证服务活动的情况,包括服务范围、服务对象、服务时间等;(二)国家密码管理局出具的通过能力评估的证明文件的复印件;(三)本机构的电子认证服务业务规则,以及运行服务、应用支持和安全保障机制的相关材料。第二十四条 电子认证服务机构应当采用符合国家相关法律法规要求的载体,完整记录、妥善保存与认证相关的信息,并承担保密责任。面向企事业单位、社会团体、社会公众的电子政务电子认证服务,信息保存期为证书失效后五年;面向政务部门的电子政务电子认证服务,信息保存期为证书失效后十年。第二十五条 电子认证服务机构应当建立信息安全管理机制,制定相关资产、人员、物理环境等的安全策略,落实安全管理岗位和职责,并对安全策略的执行情况进行监督检查。第二十六条 电子认证服务机构应当建立业务连续性计划,并定期开展业务风险评估,依据评估结果对本机构的电子政务电子认证服务业务规则及时进行修订,并在服务范围内予以发布。业务规则的修订,不应当降低电子认证服务机构的服务能力和水平。 第四章 服务应用第二十七条 电子政务信息系统应当根据业务需要采用的电子认证服务。第二十八条 政务部门应当那个从(电子政务外网电子认证服务机构目录)中选择电子认证服务机构提供服务。第二十九条 电子政务信息系统建设应用过程中采用电子认证服务,应当遵循国家密码管理局制定的相关标准规范。第三十条 申请使用电子政务数字证书的机构和个人,应当向电子认证服务机构提供合法、有效的证明材料。第三十一条 数字证书所有人应当妥善保管数字证书及其密钥。数字证书载体丢失或密钥失控时,数字证书所有人应当立即向电子认证服务机构报告,由电子认证服务机构撤销其数字证书。 第五章 监督管理第三十二条 电子认证服务机构应当在每年1月31日前,向国家密码管理局提交上一年度的电子政务电子认证基础设施运行管理和认证服务情况报告。第三十三条 国家密码管理局按年度对电子认证服务机构的服务能力进行评估,不定期对电子认证服务机构的相关情况进行现场检查。第三十四条 电子认证服务机构应当根据年度评估情况和现场检查情况,在规定期限内对存在的问题进行整改,整改期限内不得开展新的电子政务电子认证服务业务。第三十五条 电子认证服务机构有以下情形之一的,国家啊密码管理局责令其停止服务,并经该机构从(电子政务外网电子认证服务机构目录)中撤销;(一) 未依照本办法开展认证服务活动并造成恶劣影响的;(二) 未通过年度评估的;(三) 未在规定期限内完成整改的。第三十六条 电子政务服务机构被国家密码管理局停止电子政务电子认证服务的,其业务承接事项的处理按照国家密码管理局的要求进行。第三十七条 电子认证服务机构拟变更机构名称、住所、法定代表人、企业股本结构或者事业单位隶属关系,以及可能对电子政务电子认证服务产生较大影响事项的,在变更前应当将拟变更事项书面告知所属省部密码管理部门。其中,变更事项影响电子认证服务机构设立条件的,应当重新进行能力评估。第三十八条 电子认证服务机构拟暂停或者终止认证服务的,应当在暂停或者终止认证服务六十个工作日前,选定业务承接电子认证服务机构,就业务承接有关事项作出妥善安排,并在暂停或者终止认证服务四十五个工作日前向国家密码管理局报告。第三十九条 电子认证服务机构拟暂停或者终止认证服务,不能就业务承接事项作出妥善安排的,应当在暂停或者终止认证服务六十个工作日前,向国家密码管理局提出安排其他电子认证服务机构承接业务的申请。第四十条 电子认证服务机构有义务按照国家密码管理局的安排,承接其他电子认证服务机构的电子政务电子认证服务业务。第四十一条 使用电子政务电子认证服务的政务部门,应当接受所属省部密码管理部门对其电子政务电子认证服务的使用情况的监督和检查。第四十二条 未按照本办法采用电子政务电子认证服务的,应当按照国家密码管理局或省部密码管理部门的要求限期整改。造成重大不良影响或拒不整改的,国家密码管理局或省部密码管理部门予以通报。第四十三条 电子政务电子认证服务管理部门的相关工作人员,玩忽职守、滥用职权、徇私舞弊的,依法给与行政处分。 第六章 附 则第四十四条 面向各级政务部门内部办公、管理、协调、监督和决策的电子政务电子认证管理办法另行制定。第四十五条 本办法自2009年11月1日起施行。
中华人民共和国网络安全法(2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过)目 录 第一章 总 则 第二章 网络安全支持与促进 第三章 网络运行安全 第一节 一般规定 第二节 关键信息基础设施的运行安全 第四章 网络信息安全 第五章 监测预警与应急处置 第六章 法律责任 第七章 附 则第一章 总 则 第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。 第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。 第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。 第四条 国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。 第五条 国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。 第六条 国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。 第七条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。 第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。 县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。 第九条 网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和社会的监督,承担社会责任。 第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。 第十一条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康发展。 第十二条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。 任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。 第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。第二章 网络安全支持与促进 第十五条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。 国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。 第十六条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。 第十七条 国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。 第十八条 国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。 国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平。 第十九条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。 大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。 第二十条 国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。第三章 网络运行安全 第一节 一般规定 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 第二十三条 网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。 第二十四条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。 第二十五条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。 第二十六条 开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。 第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 第二十八条 网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。 第二十九条 国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。 有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。 第三十条 网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。 第二节 关键信息基础设施的运行安全 第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第三十二条 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。 第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。 第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。 第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 第三十六条 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。 第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施: (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估; (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力; (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享; (四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。第四章 网络信息安全 第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。 第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。 第四十六条 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。 第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。 第四十八条 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。 电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。 第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。 网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。 第五十条 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。第五章 监测预警与应急处置 第五十一条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。 第五十二条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。 第五十三条 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。 网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。 第五十四条 网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施: (一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测; (二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度; (三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。 第五十五条 发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。 第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。 第五十七条 因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。 第五十八条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时措施。第六章 法律责任 第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。 第六十条 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款: (一)设置恶意程序的; (二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的; (三)擅自终止为其产品、服务提供安全维护的。 第六十一条 网络运营者违反本法第二十四条第一款规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第六十二条 违反本法第二十六条规定,开展网络安全认证、检测、风险评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处一万元以上十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。 第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。 单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。 第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。 第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第六十七条 违反本法第四十六条规定,设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关处五日以下拘留, 可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。 单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 第六十八条 网络运营者违反本法第四十七条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十八条第二款规定的安全管理义务的,依照前款规定处罚。 第六十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款: (一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,采取停止传输、消除等处置措施的; (二)拒绝、阻碍有关部门依法实施的监督检查的; (三)拒不向公安机关、国家安全机关提供技术支持和协助的。 第七十条 发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。 第七十一条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 第七十二条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。 第七十三条 网信部门和有关部门违反本法第三十条规定,将在履行网络安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直接责任人员依法给予处分。 网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。 第七十四条 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。第七章 附 则 第七十六条 本法下列用语的含义: (一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 (二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 (三)网络运营者,是指网络的所有者、管理者和网络服务提供者。 (四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。 (五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 第七十七条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。 第七十八条 军事网络的安全保护,由中央军事委员会另行规定。 第七十九条 本法自2017年6月1日起施行。 出处:http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
电子认证服务密码管理办法(2009年10月28日国家密码管理局公告第17号公布,根据2017年12月1日《国家密码管理局关于废止和修改部分管理规定的决定》修正) 第一条 为了规范电子认证服务提供者使用密码的行为,根据《中华人民共和国电子签名法》、《商用密码管理条例》和相关法律、行政法规的规定,制定本办法。第二条 国家密码管理局对电子认证服务提供者使用密码的行为实施监督管理。省、自治区、直辖市密码管理机构依据本办法承担有关监督管理工作。第三条 提供电子认证服务,应当依据本办法申请《电子认证服务使用密码许可证》。第四条 采用密码技术为社会公众提供第三方电子认证服务的系统(以下称电子认证服务系统)使用商用密码。电子认证服务系统应当由具有商用密码产品生产和密码服务能力的单位承建。第五条 电子认证服务系统的建设和运行应当符合《证书认证系统密码及其相关安全技术规范》。第六条 电子认证服务系统所需密钥服务由国家密码管理局和省、自治区、直辖市密码管理机构规划的密钥管理系统提供。第七条 申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构或者国家密码管理局提交下列材料:(一)《电子认证服务使用密码许可证申请表》;(二)企业法人营业执照复印件;(三)电子认证服务系统安全性审查相关技术材料,包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明;(四)电子认证服务系统互联互通测试相关技术材料;(五)电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。第八条 申请人提交的申请材料齐全并且符合规定形式的,省、自治区、直辖市密码管理机构或者国家密码管理局应当受理并发给《受理通知书》;申请材料不齐全或者不符合规定形式的,省、自治区、直辖市密码管理机构或者国家密码管理局应当当场或者在5个工作日内一次告知需要补正的全部内容。不予受理的,应当书面通知并说明理由。申请材料由省、自治区、直辖市密码管理机构受理的, 省、自治区、直辖市密码管理机构应当自受理申请之日起5个工作日内将全部申请材料报送国家密码管理局。第九条 国家密码管理局应当自省、自治区、直辖市密码管理机构或者国家密码管理局受理申请之日起20个工作日内对申请人提交的申请材料进行审查,组织对电子认证服务系统进行安全性审查和互联互通测试,并将安全性审查和互联互通测试所需时间书面通知申请人。电子认证服务系统通过安全性审查和互联互通测试的,由国家密码管理局发给《电子认证服务使用密码许可证》并予以公布;未通过安全性审查或者互联互通测试的,不予许可,书面通知申请人并说明理由。安全性审查和互联互通测试所需时间不计算在本办法所设定的期限内。第十条 《电子认证服务使用密码许可证》载明下列内容:(一)许可证编号;(二)电子认证服务提供者名称;(三)许可证有效期限;(四)发证机关和发证日期。《电子认证服务使用密码许可证》有效期为5年。第十一条 电子认证服务提供者变更名称的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构办理《电子认证服务使用密码许可证》更换手续。电子认证服务提供者变更住所、法定代表人的,应当自变更之日起30日内,持变更证明文件到所在地的省、自治区、直辖市密码管理机构备案。第十二条 《电子认证服务使用密码许可证》有效期满需要延续的,应当在许可证有效期届满30日前向国家密码管理局提出申请。国家密码管理局根据申请,在许可证有效期满前作出是否准予延续的决定。第十三条 电子认证服务提供者终止电子认证服务或者《电子认证服务许可证》被吊销的,原持有的《电子认证服务使用密码许可证》自行失效。第十四条 电子认证服务提供者对其电子认证服务系统进行技术改造或者进行系统搬迁的,应当将有关情况书面报国家密码管理局,经国家密码管理局同意后方可继续运行。必要时,国家密码管理局可以组织对电子认证服务系统进行安全性审查和互联互通测试。第十五条 国家密码管理局和省、自治区、直辖市密码管理机构对电子认证服务提供者使用密码的情况进行监督检查。监督检查采取书面审查和现场核查相结合的方式。监督检查发现存在不符合许可条件的情形的,限期整改;限期整改后仍不符合许可条件的,由国家密码管理局撤销其《电子认证服务使用密码许可证》,通报国务院信息产业主管部门并予以公布。第十六条 有下列情形之一的,由国家密码管理局责令改正;情节严重的,吊销《电子认证服务使用密码许可证》,通报国务院信息产业主管部门并予以公布:(一)电子认证服务系统的运行不符合《证书认证系统密码及其相关安全技术规范》的;(二)电子认证服务系统使用本办法第六条规定以外的密钥管理系统提供的密钥开展业务的;(三)对电子认证服务系统进行技术改造或者进行系统搬迁,未按照本办法第十四条规定办理的。第十七条 国家密码管理局和省、自治区、直辖市密码管理机构的工作人员在电子认证服务密码管理工作中滥用职权、玩忽职守、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。第十八条 《电子认证服务使用密码许可证申请表》由国家密码管理局统一印制。第十九条 本办法施行前已经取得《电子认证服务使用密码许可证》的电子认证服务提供者,应当自本办法施行之日起3个月内到所在地的省、自治区、直辖市密码管理机构办理《电子认证服务使用密码许可证》的换证手续。第二十条 本办法自2009年12月1日起施行。2005年3月31日国家密码管理局发布的《电子认证服务密码管理办法》同时废止。
中华人民共和国数据安全法(2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过) 目录 第一章 总则 第二章 数据安全与发展 第三章 数据安全制度 第四章 数据安全保护义务 第五章 政务数据安全与开放 第六章 法律责任 第七章 附则 第一章 总则 第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。 第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。 第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。 第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。 第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。 国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。 第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。 第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。 第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。 第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。 第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。 第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。 有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。 第二章 数据安全与发展 第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。 第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。 省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。 第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。 第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。 第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。 第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。 国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。 第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。 第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。 第三章 数据安全制度 第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。 关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。 各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。 第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。 第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。 第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。 依法作出的安全审查决定为最终决定。 第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。 第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。 第四章 数据安全保护义务 第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。 第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。 第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。 第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。 第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 第五章 政务数据安全与开放 第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。 第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。 第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。 第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。 第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。 第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。 第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。 第六章 法律责任 第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。 第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。 第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。 第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。 第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第七章 附则 第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。 在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。 第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。第五十五条 本法自2021年9月1日起施行。 出处:http://www.gov.cn/xinwen/2021-06/11/content_5616919.htm
中华人民共和国个人信息保护法(草案) 第十三届全国人大常委会第二十二次会议审议 目 录第一章 总 则第二章 个人信息处理规则第一节 一般规定第二节 敏感个人信息的处理规则 第三节 国家机关处理个人信息的特别规定 第三章 个人信息跨境提供的规则 第四章 个人在个人信息处理活动中的权利 第五章 个人信息处理者的义务 第六章 履行个人信息保护职责的部门 第七章 法律责任 第八章 附 则 第一章 总 则 第一条 为了保护个人信息权益,规范个人信息处理活动, 保障个人信息依法有序自由流动,促进个人信息合理利用,制定本法。 第二条 自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。 第三条 组织、个人在中华人民共和国境内处理自然人个人信息的活动,适用本法。 在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法: (一)以向境内自然人提供产品或者服务为目的; (二)为分析、评估境内自然人的行为; (三)法律、行政法规规定的其他情形。 第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 个人信息的处理包括个人信息的收集、存储、使用、加工、 传输、提供、公开等活动。 第五条 处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。 第六条 处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围,不得进行与处理目的无关的个人信息处理。 第七条 处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。 第八条 为实现处理目的,所处理的个人信息应当准确,并及时更新。 第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。第十条 任何组织、个人不得违反法律、行政法规的规定处理个人信息,不得从事危害国家安全、公共利益的个人信息处理活动。 第十一条 国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关行业组织、社会公众共同参与个人信息保护的良好环境。 第十二条 国家积极参与个人信息保护国际规则的制定,促进个人信息保护方面的国际交流与合作,推动与其他国家、地区、国际组织之间的个人信息保护规则、标准等的互认。 第二章 个人信息处理规则 第一节 一般规定 第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意; (二)为订立或者履行个人作为一方当事人的合同所必需; (三)为履行法定职责或者法定义务所必需; (四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; (五)为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息; (六)法律、行政法规规定的其他情形。 第十四条 处理个人信息的同意,应当由个人在充分知情的前提下,自愿、明确作出意思表示。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。第十五条 个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。 第十六条 基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。 第十七条 个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。 第十八条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项: (一)个人信息处理者的身份和联系方式; (二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序; (四)法律、行政法规规定应当告知的其他事项。前款规定事项发生变更的,应当将变更部分告知个人。 个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。 第十九条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条规定的事项。紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。 第二十条 个人信息的保存期限应当为实现处理目的所必要的最短时间。法律、行政法规对个人信息的保存期限另有规定的,从其规定。 第二十一条 两个或者两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。 个人信息处理者共同处理个人信息,侵害个人信息权益的, 依法承担连带责任。 第二十二条 个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。 受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,并应当在合同履行完毕或者委托关系解除后,将个人信息返还个人信息处理者或者予以删除。 未经个人信息处理者同意,受托方不得转委托他人处理个人信息。 第二十三条 个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。第二十四条 个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。 个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份。 第二十五条 利用个人信息进行自动化决策,应当保证决策的透明度和处理结果的公平合理。个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。 通过自动化决策方式进行商业营销、信息推送,应当同时提供不针对其个人特征的选项。第二十六条 个人信息处理者不得公开其处理的个人信息; 取得个人单独同意或者法律、行政法规另有规定的除外。 第二十七条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。 第二十八条 个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。 个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息;利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。第二节 敏感个人信息的处理规则 第二十九条 个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。 敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。 第三十条 基于个人同意处理敏感个人信息的,个人信息处理者应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。 第三十一条 个人信息处理者处理敏感个人信息的,除本法第十八条规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。 第三十二条 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的,从其规定。 第三节 国家机关处理个人信息的特别规定 第三十三条 国家机关处理个人信息的活动适用本法;本节有特别规定的,适用本节规定。 第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。 第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知并取得其同意;法律、行政法规规定应当保密,或者告知、取得同意将妨碍国家机关履行法定职责的除外。 第三十六条 国家机关不得公开或者向他人提供其处理的个人信息,法律、行政法规另有规定或者取得个人同意的除外。 第三十七条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行风险评估。风险评估可以要求有关部门提供支持与协助。 第三章 个人信息跨境提供的规则 第三十八条 个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当至少具备下列一项条件: (一)依照本法第四十条的规定通过国家网信部门组织的安全评估; (二)按照国家网信部门的规定经专业机构进行个人信息保护认证; (三)与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准; (四)法律、行政法规或者国家网信部门规定的其他条件。第三十九条 个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的身份、联系方式、处理 目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项,并取得个人的单独同意。 第四十条 关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的, 应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。 第四十一条 因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。 中华人民共和国缔结或者参加的国际条约、协定对向中华人 民共和国境外提供个人信息有规定的,从其规定。 第四十二条 境外的组织、个人从事损害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提 供个人信息等措施。第四十三条 任何国家和地区在个人信息保护方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者该地区采取相应措施。 第四章 个人在个人信息处理活动中的权利 第四十四条 个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。 第四十五条 个人有权向个人信息处理者查阅、复制其个人信息;有本法第十九条第一款规定情形的除外。 个人请求查阅、复制其个人信息的,个人信息处理者应当及时提供。 第四十六条 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。 个人请求更正、补充其个人信息的,个人信息处理者应当对其个人信息予以核实,并及时更正、补充。 第四十七条 有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息: (一)约定的保存期限已届满或者处理目的已实现;(二)个人信息处理者停止提供产品或者服务; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息。 第四十八条 个人有权要求个人信息处理者对其个人信息处理规则进行解释说明。 第四十九条 个人信息处理者应当建立个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的,应当说明理由。 第五章 个人信息处理者的义务 第五十条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除: (一)制定内部管理制度和操作规程; (二)对个人信息实行分级分类管理; (三)采取相应的加密、去标识化等安全技术措施; (四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训; (五)制定并组织实施个人信息安全事件应急预案; (六)法律、行政法规规定的其他措施。 第五十一条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。 个人信息处理者应当公开个人信息保护负责人的姓名、联系方式等,并报送履行个人信息保护职责的部门。 第五十二条 本法第三条第二款规定的中华人民共和国境外的个人信息处理者,应当在中华人民共和国境内设立专门机构或者指定代表,负责处理个人信息保护相关事务,并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。 第五十三条 个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。履行个人信息保护职责的部门有权要求个人信息处理者委托专业机构进行审计。 第五十四条 个人信息处理者应当对下列个人信息处理活动在事前进行风险评估,并对处理情况进行记录: (一)处理敏感个人信息; (二)利用个人信息进行自动化决策; (三)委托处理个人信息、向第三方提供个人信息、公开个人信息;(四)向境外提供个人信息; (五)其他对个人有重大影响的个人信息处理活动。 风险评估的内容应当包括: (一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人的影响及风险程度; (三)所采取的安全保护措施是否合法、有效并与风险程度相适应。 风险评估报告和处理情况记录应当至少保存三年。 第五十五条 个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项:(一)个人信息泄露的原因;(二)泄露的个人信息种类和可能造成的危害; (三)已采取的补救措施; (四)个人可以采取的减轻危害的措施; (五)个人信息处理者的联系方式。 个人信息处理者采取措施能够有效避免信息泄露造成损害的,个人信息处理者可以不通知个人;但是,履行个人信息保护职责的部门认为个人信息泄露可能对个人造成损害的,有权要求个人信息处理者通知个人。 第六章 履行个人信息保护职责的部门 第五十六条 国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。 县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。 前两款规定的部门统称为履行个人信息保护职责的部门。 第五十七条 履行个人信息保护职责的部门履行下列个人信息保护职责: (一)开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作;(二)接受、处理与个人信息保护有关的投诉、举报; (三)调查、处理违法个人信息处理活动; (四)法律、行政法规规定的其他职责。第五十八条 国家网信部门和国务院有关部门按照职责权限组织制定个人信息保护相关规则、标准,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。 第五十九条 履行个人信息保护职责的部门履行个人信息保护职责,可以采取下列措施: (一)询问有关当事人,调查与个人信息处理活动有关的情况; (二)查阅、复制当事人与个人信息处理活动有关的合同、记录、账簿以及其他有关资料; (三)实施现场检查,对涉嫌违法个人信息处理活动进行调查; (四)检查与个人信息处理活动有关的设备、物品;对有证据证明是违法个人信息处理活动的设备、物品,可以查封或者扣押。 履行个人信息保护职责的部门依法履行职责,当事人应当予以协助、配合,不得拒绝、阻挠。 第六十条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。 第六十一条 任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉、举报人。 履行个人信息保护职责的部门应当公布接受投诉、举报的联系方式。 第七章 法律责任 第六十二条 违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,由履行个人信息保护职责的部门责令改正,没收违法所得,给予警告;拒不改正的, 并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款规定的违法行为,情节严重的,由履行个人信息保护 职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 第六十三条 有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 第六十四条 国家机关不履行本法规定的个人信息保护义务的,由其上级机关或者履行个人信息保护职责的部门责令改正; 对直接负责的主管人员和其他直接责任人员依法给予处分。 第六十五条 因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任。 第六十六条 个人信息处理者违反本法规定处理个人信息, 侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。 第六十七条 违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第八章 附 则 第六十八条 自然人因个人或者家庭事务而处理个人信息的,不适用本法。 法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的,适用其规定。 第六十九条 本法下列用语的含义:(一)个人信息处理者,是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。(二)自动化决策,是指利用个人信息对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,通过计算机程序自动分析、评估并进行决策的活动。 (三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。 (四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。 第七十条 本法自 年 月 日起施行。 出处:http://fzzfyjy.cupl.edu.cn/info/1077/12335.htm
