雷鋒網(公衆号:雷鋒網)7月11日消息,國家網際網路資訊辦公室今日上午剛剛釋出了關于《關鍵資訊基礎設施安全保護條例(征求意見稿)》(以下簡稱《意見稿》)公開征求意見的通知。
該《意見稿》規定,任何個人群組織發現危害關鍵資訊基礎設施安全的行為,有權向網信、電信、公安等部門以及行業主管或監管部門舉報。有關部門應當對舉報人的相關資訊予以保密,保護舉報人的合法權益。
此外,境外的機構、組織、個人從事攻擊、侵入、幹擾、破壞等危害中華人民共和國的關鍵資訊基礎設施的活動,造成嚴重後果的,依法追究法律責任;國務院公安部門、國家安全機關和有關部門并可以決定對該機構、組織、個人采取當機财産或者其他必要的制裁措施。
以下是《意見稿》全文:
第一條 為了保障關鍵資訊基礎設施安全,根據《中華人民共和國網絡安全法》,制定本條例。
第二條 在中華人民共和國境内規劃、建設、營運、維護、使用關鍵資訊基礎設施,以及開展關鍵資訊基礎設施的安全保護,适用本條例。
第三條 關鍵資訊基礎設施安全保護堅持頂層設計、整體防護,統籌協調、分工負責的原則,充分發揮營運主體作用,社會各方積極參與,共同保護關鍵資訊基礎設施安全。
第四條 國家行業主管或監管部門按照國務院規定的職責分工,負責指導和監督本行業、本領域的關鍵資訊基礎設施安全保護工作。
國家網信部門負責統籌協調關鍵資訊基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責範圍内負責相關網絡安全保護和監督管理工作。
縣級以上地方人民政府有關部門按照國家有關規定開展關鍵資訊基礎設施安全保護工作。
第五條 關鍵資訊基礎設施的營運者(以下稱營運者)對本機關關鍵資訊基礎設施安全負主體責任,履行網絡安全保護義務,接受政府和社會監督,承擔社會責任。
國家鼓勵關鍵資訊基礎設施以外的網絡營運者自願參與關鍵資訊基礎設施保護體系。
第六條 關鍵資訊基礎設施在網絡安全等級保護制度基礎上,實行重點保護。
第七條 任何個人群組織發現危害關鍵資訊基礎設施安全的行為,有權向網信、電信、公安等部門以及行業主管或監管部門舉報。
收到舉報的部門應當及時依法作出處理;不屬于本部門職責的,應當及時移送有權處理的部門。
有關部門應當對舉報人的相關資訊予以保密,保護舉報人的合法權益。
第八條 國家采取措施,監測、防禦、處置來源于中華人民共和國境内外的網絡安全風險和威脅,保護關鍵資訊基礎設施免受攻擊、侵入、幹擾和破壞,依法懲治網絡違法犯罪活動。
第九條 國家制定産業、财稅、金融、人才等政策,支援關鍵資訊基礎設施安全相關的技術、産品、服務創新,推廣安全可信的網絡産品和服務,培養和選拔網絡安全人才,提高關鍵資訊基礎設施的安全水準。
第十條 國家建立和完善網絡安全标準體系,利用标準指導、規範關鍵資訊基礎設施安全保護工作。
第十一條 地市級以上人民政府應當将關鍵資訊基礎設施安全保護工作納入地區經濟社會發展總體規劃,加大投入,開展工作績效考核評價。
第十二條 國家鼓勵政府部門、營運者、科研機構、網絡安全服務機構、行業組織、網絡産品和服務提供者開展關鍵資訊基礎設施安全合作。
第十三條 國家行業主管或監管部門應當設立或明确專門負責本行業、本領域關鍵資訊基礎設施安全保護工作的機構和人員,編制并組織實施本行業、本領域的網絡安全規劃,建立健全工作經費保障機制并督促落實。
第十四條 能源、電信、交通等行業應當為關鍵資訊基礎設施網絡安全事件應急處置與網絡功能恢複提供電力供應、網絡通信、交通運輸等方面的重點保障和支援。
第十五條 公安機關等部門依法偵查打擊針對和利用關鍵資訊基礎設施實施的違法犯罪活動。
第十六條 任何個人群組織不得從事下列危害關鍵資訊基礎設施的活動和行為:
(一)攻擊、侵入、幹擾、破壞關鍵資訊基礎設施;
(二)非法擷取、出售或者未經授權向他人提供可能被專門用于危害關鍵資訊基礎設施安全的技術資料等資訊;
(三)未經授權對關鍵資訊基礎設施開展滲透性、攻擊性掃描探測;
(四)明知他人從事危害關鍵資訊基礎設施安全的活動,仍然為其提供網際網路接入、伺服器托管、網絡存儲、通訊傳輸、廣告推廣、支付結算等幫助;
(五)其他危害關鍵資訊基礎設施的活動和行為。
第十七條 國家立足開放環境維護網絡安全,積極開展關鍵資訊基礎設施安全領域的國際交流與合作。
第十八條 下列機關運作、管理的網絡設施和資訊系統,一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的,應當納入關鍵資訊基礎設施保護範圍:
(一)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的機關;
(二)電信網、廣播電視網、網際網路等資訊網絡,以及提供雲計算、大資料和其他大型公共資訊網絡服務的機關;
(三)國防科工、大型裝備、化工、食品藥品等行業領域科研生産機關;
(四)廣播電台、電視台、通訊社等新聞機關;
(五)其他重點機關。
第十九條 國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵資訊基礎設施識别指南。
國家行業主管或監管部門按照關鍵資訊基礎設施識别指南,組織識别本行業、本領域的關鍵資訊基礎設施,并按程式報送識别結果。
關鍵資訊基礎設施識别認定過程中,應當充分發揮有關專家作用,提高關鍵資訊基礎設施識别認定的準确性、合理性和科學性。
第二十條 建立、停運關鍵資訊基礎設施,或關鍵資訊基礎設施發生重大變化的,營運者應當及時将相關情況報告國家行業主管或監管部門。
國家行業主管或監管部門應當根據營運者報告的情況及時進行識别調整,并按程式報送調整情況。
第二十一條 建設關鍵資訊基礎設施應當確定其具有支援業務穩定、持續運作的性能,并保證安全技術措施同步規劃、同步建設、同步使用。
第二十二條 營運者主要負責人是本機關關鍵資訊基礎設施安全保護工作第一責任人,負責建立健全網絡安全責任制并組織落實,對本機關關鍵資訊基礎設施安全保護工作全面負責。
第二十三條 營運者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障關鍵資訊基礎設施免受幹擾、破壞或者未經授權的通路,防止網絡資料洩漏或者被竊取、篡改:
(一)制定内部安全管理制度和操作規程,嚴格身份認證和權限管理;
(二)采取技術措施,防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;
(三)采取技術措施,監測、記錄網絡運作狀态、網絡安全事件,并按照規定留存相關的網絡日志不少于六個月;
(四)采取資料分類、重要資料備份和加密認證等措施。
第二十四條 除本條例第二十三條外,營運者還應當按照國家法律法規的規定和相關國家标準的強制性要求,履行下列安全保護義務:
(一)設定專門網絡安全管理機構和網絡安全管理負責人,并對該負責人和關鍵崗位人員進行安全背景審查;
(二)定期對從業人員進行網絡安全教育、技術教育訓練和技能考核;
(三)對重要系統和資料庫進行容災備份,及時對系統漏洞等安全風險采取補救措施;
(四)制定網絡安全事件應急預案并定期進行演練;
(五)法律、行政法規規定的其他義務。
第二十五條 營運者網絡安全管理負責人履行下列職責:
(一) 組織制定網絡安全規章制度、操作規程并監督執行;
(二)組織對關鍵崗位人員的技能考核;
(三)組織制定并實施本機關網絡安全教育和教育訓練計劃;
(四)組織開展網絡安全檢查和應急演練,應對處置網絡安全事件;
(五)按規定向國家有關部門報告網絡安全重要事項、事件。
第二十六條 營運者網絡安全關鍵崗位專業技術人員實行執證上崗制度。
執證上崗具體規定由國務院人力資源社會保障部門會同國家網信部門等部門制定。
第二十七條 營運者應當組織從業人員網絡安全教育教育訓練,每人每年教育教育訓練時長不得少于1個工作日,關鍵崗位專業技術人員每人每年教育教育訓練時長不得少于3個工作日。
第二十八條 營運者應當建立健全關鍵資訊基礎設施安全檢測評估制度,關鍵資訊基礎設施上線運作前或者發生重大變化時應當進行安全檢測評估。
營運者應當自行或委托網絡安全服務機構對關鍵資訊基礎設施的安全性和可能存在的風險隐患每年至少進行一次檢測評估,對發現的問題及時進行整改,并将有關情況報國家行業主管或監管部門。
第二十九條 營運者在中華人民共和國境内營運中收集和産生的個人資訊和重要資料應當在境記憶體儲。因業務需要,确需向境外提供的,應當按照個人資訊和重要資料出境安全評估辦法進行評估;法律、行政法規另有規定的,依照其規定。
第三十條 營運者采購、使用的網絡關鍵裝置、網絡安全專用産品,應當符合法律、行政法規的規定和相關國家标準的強制性要求。
第三十一條 營運者采購網絡産品和服務,可能影響國家安全的,應當按照網絡産品和服務安全審查辦法的要求,通過網絡安全審查,并與提供者簽訂安全保密協定。
第三十二條 營運者應當對外包開發的系統、軟體,接受捐贈的網絡産品,在其上線應用前進行安全檢測。
第三十三條 營運者發現使用的網絡産品、服務存在安全缺陷、漏洞等風險的,應當及時采取措施消除風險隐患,涉及重大風險的應當按規定向有關部門報告。
第三十四條 關鍵資訊基礎設施的運作維護應當在境内實施。因業務需要,确需進行境外遠端維護的,應事先報國家行業主管或監管部門和國務院公安部門。
第三十五條 面向關鍵資訊基礎設施開展安全檢測評估,釋出系統漏洞、計算機病毒、網絡攻擊等安全威脅資訊,提供雲計算、資訊技術外包等服務的機構,應當符合有關要求。
具體要求由國家網信部門會同國務院有關部門制定。
第三十六條 國家網信部門統籌建立關鍵資訊基礎設施網絡安全監測預警體系和資訊通報制度,組織指導有關機構開展網絡安全資訊彙總、分析研判和通報工作,按照規定統一釋出網絡安全監測預警資訊。
第三十七條 國家行業主管或監管部門應當建立健全本行業、本領域的關鍵資訊基礎設施網絡安全監測預警和資訊通報制度,及時掌握本行業、本領域關鍵資訊基礎設施運作狀況和安全風險,向有關營運者通報安全風險和相關工作資訊。
國家行業主管或監管部門應當組織對安全監測資訊進行研判,認為需要立即采取防範應對措施的,應當及時向有關營運者釋出預警資訊和應急防範措施建議,并按照國家網絡安全事件應急預案的要求向有關部門報告。
第三十八條 國家網信部門統籌協調有關部門、營運者以及有關研究機構、網絡安全服務機建構立關鍵資訊基礎設施網絡安全資訊共享機制,促進網絡安全資訊共享。
第三十九條 國家網信部門按照國家網絡安全事件應急預案的要求,統籌有關部門建立健全關鍵資訊基礎設施網絡安全應急協作機制,加強網絡安全應急力量建設,指導協調有關部門組織跨行業、跨地域網絡安全應急演練。
國家行業主管或監管部門應當組織制定本行業、本領域的網絡安全事件應急預案,并定期組織演練,提升網絡安全事件應對和災難恢複能力。發生重大網絡安全事件或接到網信部門的預警資訊後,應立即啟動應急預案組織應對,并及時報告有關情況。
第四十條 國家行業主管或監管部門應當定期組織對本行業、本領域關鍵資訊基礎設施的安全風險以及營運者履行安全保護義務的情況進行抽查檢測,提出改進措施,指導、督促營運者及時整改檢測評估中發現的問題。
國家網信部門統籌協調有關部門開展的抽查檢測工作,避免交叉重複檢測評估。
第四十一條 有關部門組織開展關鍵資訊基礎設施安全檢測評估,應堅持客觀公正、高效透明的原則,采取科學的檢測評估方法,規範檢測評估流程,控制檢測評估風險。
營運者應當對有關部門依法實施的檢測評估予以配合,對檢測評估發現的問題及時進行整改。
第四十二條 有關部門組織開展關鍵資訊基礎設施安全檢測評估,可采取下列措施:
(一)要求營運者相關人員就檢測評估事項作出說明;
(二)查閱、調取、複制與安全保護有關的文檔、記錄;
(三)檢視網絡安全管理制度制訂、落實情況以及網絡安全技術措施規劃、建設、運作情況;
(四)利用檢測工具或委托網絡安全服務機構進行技術檢測;
(五)經營運者同意的其他必要方式。
第四十三條 有關部門以及網絡安全服務機構在關鍵資訊基礎設施安全檢測評估中擷取的資訊,隻能用于維護網絡安全的需要,不得用于其他用途。
第四十四條 有關部門組織開展關鍵資訊基礎設施安全檢測評估,不得向被檢測評估機關收取費用,不得要求被檢測評估機關購買指定品牌或者指定生産、銷售機關的産品和服務。
第四十五條 營運者不履行本條例第二十條第一款、第二十一條、第二十三條、第二十四條、第二十六條、第二十七條、第二十八條、第三十條、第三十二條、第三十三條、第三十四條規定的網絡安全保護義務的,由有關主管部門依據職責責令改正,給予警告;拒不改正或者導緻危害網絡安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
第四十六條 營運者違反本條例第二十九條規定,在境外存儲網絡資料,或者向境外提供網絡資料的,由國家有關主管部門依據職責責令改正,給予警告,沒收違法所得,處五萬元以上五十萬元以下罰款,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十七條 營運者違反本條例第三十一條規定,使用未經安全審查或安全審查未通過的網絡産品或者服務的,由國家有關主管部門依據職責責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第四十八條 個人違反本條例第十六條規定,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處十萬元以上一百萬元以下罰款;構成犯罪的,依法追究刑事責任。
機關有前款行為的,由公安機關沒收違法所得,處十萬元以上一百萬元以下罰款,并對直接負責的主管人員和其他直接責任人員依照前款規定處罰。
違反本條例第十六條規定,受到刑事處罰的人員,終身不得從事關鍵資訊基礎設施安全管理和網絡營運關鍵崗位的工作。
第四十九條 國家機關關鍵資訊基礎設施的營運者不履行本條例規定的網絡安全保護義務的,由其上級機關或者有關機關責令改正;對直接負責的主管人員和其他直接負責人員依法給予處分。
第五十條 有關部門及其從業人員有下列行為之一的,對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任:
(一)在工作中利用職權索取、收受賄賂;
(二)玩忽職守、濫用職權;
(三)擅自洩露關鍵資訊基礎設施有關資訊、資料及資料檔案;
(四)其他違反法定職責的行為。
第五十一條 關鍵資訊基礎設施發生重大網絡安全事件,經調查确定為責任事故的,除應當查明營運機關責任并依法予以追究外,還應查明相關網絡安全服務機構及有關部門的責任,對有失職、渎職及其他違法行為的,依法追究責任。
第五十二條 境外的機構、組織、個人從事攻擊、侵入、幹擾、破壞等危害中華人民共和國的關鍵資訊基礎設施的活動,造成嚴重後果的,依法追究法律責任;國務院公安部門、國家安全機關和有關部門并可以決定對該機構、組織、個人采取當機财産或者其他必要的制裁措施。
第五十三條 存儲、處理涉及國家秘密資訊的關鍵資訊基礎設施的安全保護,還應當遵守保密法律、行政法規的規定。
關鍵資訊基礎設施中的密碼使用和管理,還應當遵守密碼法律、行政法規的規定。
第五十四條 軍事關鍵資訊基礎設施的安全保護,由中央軍事委員會另行規定。
第五十五條 本條例自****年**月**日起施行。