| 【发布部门】新疆维吾尔自治区 | 【发布文号】 |
| 【效力级别】省级地方性法规 | 【时效状态】 现行有效 |
| 【发布日期】 2017-09-27 | 【实施日期】 2017-10-01 |
| 【法律话题】 社会管理 | 【产业领域】 公共管理 |
新疆维吾尔自治区网络安全管理条例
(2017年9月27日新疆维吾尔自治区第十二届人民代表大会常务委员会第三十二次会议通过 2017年9月27日新疆维吾尔自治区人民代表大会常务委员会公告第48号公布 自2017年10月1日起施行)
第一章 总则
第一条
为了维护国家安全和社会公共利益,保障网络安全,保护公民、法人和其他组织的合法权益,实现自治区社会稳定和长治久安,根据《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》和有关法律法规,结合自治区实际,制定本条例。
第二条
自治区行政区域内建设、运营、维护和使用网络以及网络安全的监督管理,适用本条例。
第三条
自治区网络安全工作坚持党的领导,坚持党组织全覆盖。
自治区建立健全网络安全保障体系,强化网络安全监督管理,鼓励网络技术创新和应用,加强网络安全人才培养,提高网络安全保护能力。
第四条
自治区实行网络安全综合治理。各级人民政府、行业主管或者监管部门应当依法履行相应职责;网络运营者、网络使用者应当遵守法律法规和本条例规定,享有法定权利,履行法定义务。
国家机关、人民团体、企事业单位和个人应当积极参与、相互配合,共同维护网络安全秩序。
按照确保网络安全、谁主管谁负责和属地管理的原则,自治区实行网络安全责任制和年度目标责任考核制,并将其纳入社会治安综合治理。
第五条
自治区网信部门负责统筹协调自治区行政区域内网络安全工作和相关监督管理工作,建立统一指挥、协同配合、资源共享、高效处置的网络安全工作机制,编制并组织实施自治区网络安全规划。
州(市、地)县(市、区)网信部门负责统筹协调本行政区域网络安全工作和相关监督管理工作。
县级以上通信、公安、经信、保密等部门依照有关法律法规和本条例的规定,在各自职责范围内负责网络安全保护和监督管理的相关工作。
国家安全机关在网络领域依法行使维护国家安全的职责。
第六条
网信、通信、公安等部门应当设置举报平台,公示举报电话和电子邮箱。任何个人和组织有权对危害网络运行安全、信息安全的行为进行举报。接到举报的部门应当依法及时作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
有关部门应当对举报人的相关信息予以保密,并对举报有功人员进行奖励。
第七条
自治区倡导诚实守信、健康文明的网络行为,建立完善网络安全宣传教育制度和政府、学校、家庭、社会相衔接工作机制,经常性地开展网络安全宣传教育活动,把网络安全法律法规纳入普法内容,增强公民特别是青少年的法治意识和网络安全意识。
第二章 网络安全保障与促进
第八条
自治区人民政府应当加大投入,制定促进网络安全产业发展的政策措施,支持多语种等网络安全技术研发和高科技产品推广,支持高等院校、科研机构和企业围绕社会稳定和长治久安,开展网络安全技术创新,研究开发网络安全新技术、新产品。
县级以上人民政府应当依据国家和自治区网络安全规划,建立健全网络安全保障机制,加大对网络安全技术防护、网络安全监测、网络安全风险评估、网络安全应急响应,以及网络安全宣传教育培训等方面的投入。
第九条
自治区督促网络运营者采用国家和行业标准,支持高校、科研机构、企业和网络相关行业组织参与网络安全国家标准、地方标准和行业标准的制定。
第十条
自治区网信部门应当统筹协调有关部门建立网络安全保障工作机制,完善网络安全防护体系,提高网络安全风险预测和管控能力。
第十一条
县级以上网信部门应当对本行政区域内投资规模较大、跨部门、跨行业、涉及国计民生的信息化项目的安全性和可能存在的风险,组织进行论证评审。
各行业、各部门应当对本行业、本部门信息化项目的安全性和可能存在的风险,组织进行论证评估。
第十二条
网络运营者应当遵守法律法规的规定,享有法定权利,承担社会责任,履行网络安全保护义务,在进行网络建设、运营和服务时,应当执行国家标准的强制性要求,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性,保障网络安全、稳定运行。
网络运营者应当确保网络安全经费投入,保障网络安全技术防护设施建设、运行维护、人员培训、安全测评等网络安全所需资金。
第十三条
网络运营者应当履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,严格身份认证和权限管理;
(二)采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为;
(三)加强技术监控,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据容灾备份和加密认证等措施;
(五)法律、法规规定的其他义务。
第十四条
网络相关行业组织应当加强行业自律,制定网络安全行为规范,指导网络社会组织加强网络安全保护,提高网络安全防护水平,促进行业健康发展。
第十五条
对防范恐怖袭击重点目标网络安全管理负责人、关键信息基础设施的网络安全管理负责人、关键岗位和重点环节施工及运行维护人员,其所属的单位或者行业应当进行安全背景审查并备案。
第十六条
网络产品、服务的提供者应当执行网络关键设备和网络安全专用产品相关国家标准的强制性要求,为其产品和服务在规定或者与当事人约定的期限内持续提供安全维护,在期限届满后,应当履行网络安全风险告知义务。
第十七条
互联网站、应用程序、论坛、博客、微博客、即时通信工具、网络直播等互联网信息服务提供者应当在显著位置开设网上有害信息举报专区,公示举报电话和电子邮箱。接到举报的互联网信息服务提供者,应当采取删除、阻断等处置措施,保存有关记录,并向有关主管部门报告。
第三章 关键信息基础设施运行安全
第十八条
自治区按照国务院制定关键信息基础设施的具体范围和安全保护办法,对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重点行业和领域,以及其他可能影响国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
第十九条
自治区网信部门应当统筹协调有关部门加强关键信息基础设施安全保护工作。
通信、公安、经信、保密等部门在各自职责范围内负责本行业、本领域的关键信息基础设施安全保护和监督管理工作。
关键信息基础设施行业主管或者监管部门按照国家制定的关键信息基础设施识别指南,组织识别本行业、本领域的关键信息基础设施,并按程序向自治区网信部门报送识别结果。
第二十条
关键信息基础设施行业主管或者监管部门负责编制并组织实施本行业、本领域的关键信息基础设施安全规划,明确保障网络安全的基本要求、主要目标、重点任务、保障措施等,提高网络安全保护能力。
第二十一条
关键信息基础设施网络安全系统建设应当实行备案管理,网络运营者应当向行业主管或者监管部门报送关键信息基础设施的网络安全设计方案和建设方案。关键信息基础设施建设竣工后,运营者应当委托具有资质的机构进行网络安全测评,通过测评并向网信部门报备后方可投入运行使用。网络安全服务机构应当对其出具的网络安全测评报告承担相应的法律责任。
关键信息基础设施行业主管或者监管部门应当按照程序向自治区网信部门报备新建关键基础设施情况和安全风险评估情况。
第二十二条
自治区网信部门应当统筹协调通信、公安、经信、保密等有关部门组织开展电子政务、大型互联网服务平台、工业控制系统等重点部门和行业的网络安全检查,建立网络安全风险动态排查机制。被检查的部门和行业应当予以配合,对检测评估发现的问题及时进行整改。
关键信息基础设施安全检查,应当坚持客观公正、高效透明的原则,明确检查程序,规范检查流程,控制检查风险,避免交叉重复检查。
第二十三条
关键信息基础设施运营者的网络安全管理负责人应当履行下列职责:
(一)组织制定网络安全规章制度、操作规程并监督执行;
(二)组织对关键岗位人员的技能考核、背景审查;
(三)组织制定并实施本单位网络安全教育和培训计划;
(四)组织开展网络安全检查和应急演练,应对处置网络安全事件;
(五)按规定向国家有关部门报告网络安全重要事项、事件;
(六)法律、法规规定的其他职责。
第二十四条
关键信息基础设施的运营者应当对网络的安全性自行检测,并且委托网络安全服务机构对其网络的安全性每年至少进行一次风险评估,对发现的问题应当及时整改。网络安全服务机构应当对其出具的网络安全风险评估报告承担相应的法律责任。
第二十五条
关键信息基础设施的运营者应当按照统一标准、统一接口、统一规范的要求,新建、改建、停运关键信息基础设施,或者升级改造系统,坚持资源整合,避免重复建设,保证系统建设的完整性、统一性和持续性。
关键信息基础设施应当先评估后使用。运营者在确保安全或者消除影响后方可新建、改建、停运或者进行系统的升级改造,主管或者监管部门应当及时将相关情况向网信部门报备。
第二十六条
任何个人和组织不得从事下列危害关键信息基础设施的活动和行为:
(一)攻击、侵入、干扰、破坏关键信息基础设施;
(二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息;
(三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测;
(四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助;
(五)其他危害关键信息基础设施的活动和行为。
第二十七条
面向关键信息基础设施开展安全评估,发布系统漏洞、计算机病毒、网络攻击等网络安全威胁信息,为关键信息基础设施提供云计算等信息技术外包服务的机构,应当符合相关要求,参与技术检测及施工的人员应当具备相应的从业资格。
第二十八条
网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
第二十九条
关键信息基础设施行业主管或者监管部门和网络运营者应当严格信息安全保密管理,控制信息知悉范围,与从事和接触关键信息基础设施的人员签订保密协议,明确保密责任、落实脱密措施、加强保密监管,防止失密、泄密事件发生。
第四章 网络信息安全
第三十条
任何个人和组织使用网络应当遵守法律法规,遵守公共秩序,尊重社会公德,维护国家利益和民族团结,禁止利用网络从事下列活动:
(一)危害国家安全、荣誉和利益;
(二)煽动颠覆国家政权、推翻社会主义制度;
(三)煽动分裂国家、破坏国家统一;
(四)宣扬恐怖主义、极端主义;
(五)攻击国家宗教政策,煽动、制造宗教矛盾,煽动、制造信教群众矛盾;
(六)宣扬民族仇恨、民族歧视,损害民族团结;
(七)宣扬泛伊斯兰主义、泛突厥主义;
(八)歪曲新疆历史、民族发展史、宗教演变史;
(九)煽动、策划、组织非法集会、结社、游行、示威;
(十)非法讲经、解经;
(十一)歪曲“清真”概念,将“清真”概念泛化,扩大、异化到社会生活及其他方面;
(十二)传播暴力、淫秽色情信息;
(十三)编造、存储、传播虚假信息、谣言,扰乱社会秩序和经济秩序;
(十四)法律、法规禁止的其他活动。
任何个人和组织不得利用网络侵害他人名誉、隐私、知识产权和其他合法权益。
第三十一条
任何个人和组织都有维护网络信息安全的义务。个人对持有的移动信息终端、计算机、存储介质等设备含有本条例第三十条第一款所列禁止利用网络从事活动的信息,应当即时删除,并主动配合公安机关的网络信息安全检查。
第三十二条
网信、通信、公安等部门对含有本条例第三十条第一款所列禁止利用网络从事活动的信息,应当按照职责分工,及时责令网络运营者停止传输、删除相关信息,或者关闭相关网站、关停相关服务。有关单位应当立即执行,并保存相关记录,协助进行调查。
对互联网上跨境传输的含有本条例第三十条第一款所列禁止利用网络从事活动的信息,提供非法侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具,通信部门应当及时采取处置措施。
第三十三条
网络运营者应当依照法律法规的规定,落实网络安全、信息内容监督制度和安全技术防范措施,防止含有本条例第三十条第一款所列禁止利用网络从事活动的信息,应当立即停止传输,保存相关记录,删除相关信息,并即时向网信部门、公安机关或者有关部门报告。
第三十四条
互联网上网服务提供者,应当落实网络安全管理和技术措施,留存网络日志不少于六个月,发现异常情况,即时报告相关部门。
第三十五条
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动信息终端等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息,确保人证信息一致。用户不提供真实身份信息的,网络运营者不得与用户签订协议或者为其提供相关服务。
网络运营者应当建立完善信息安全保密管理制度、用户信息安全管理制度,建立健全信息的采集、过滤和内容审计等网络安全技术保障措施,防止网络信息被非法冒充、访问、收集,以及泄露、毁损、篡改、丢失。
第三十六条
网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律法规的规定和双方的约定收集、使用个人信息,并应当依照法律法规的规定和与用户的约定,处理其保存的个人信息。
第三十七条
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第三十八条
互联网群组信息服务提供者和使用者不得利用互联网群组传播法律法规和国家有关规定禁止的信息内容。按照谁建群谁负责的原则,互联网群组的建立者、管理者应当加强对其成员发布信息的管理,发现传播含有违反法律法规禁止的信息,应当立即采取有效的限制措施,保存有关记录,并向有关部门举报。
第三十九条
网信、通信、公安等部门应当及时查处利用网络传播违法信息的行为,可以视情况予以曝光。
第四十条
自治区支持网信、通信、公安、经信、保密等部门加强技术能力建设。各部门应当加强对个人信息和重要数据流动的安全监管,明确数据采集、存储、流转、应用等环节中的数据安全范围边界、责任主体,严格重要数据流动管理。建立跨境数据流动安全监管制度,明确监管重点,完善监管手段,个人信息和重要数据确需出境的,按照国家有关规定执行。
第五章 监测预警与应急处置
第四十一条
自治区建立网络安全监测预警和信息通报制度。自治区网信部门应当统筹协调有关部门加强网络安全信息收集、分析、研判和通报工作,按照规定统一发布网络安全监测预警信息。
关键信息基础设施保护部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,及时掌握本行业、本领域关键信息基础设施运行状况和安全风险,向相关运营者通报安全风险和相关工作信息。
关键信息基础设施行业主管或者监管部门,应当组织对安全监测信息进行研判,需要立即采取防范应对措施的,及时向有关关键信息基础设施运营者发布预警信息和应急防范措施建议,并按照自治区网络安全事件应急预案的要求向自治区网信部门报告。
第四十二条
自治区网信部门应当会同有关部门建立健全网络安全应急工作机制,制定网络安全事件应急预案,组织开展跨部门、跨行业网络安全应急演练。
关键信息基础设施行业主管或者监管部门,应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。跨地区、跨部门、跨行业的应急演练应当经网信部门审核后方可开展。应急演练不得干扰关键信息基础设施的正常运行。
第四十三条
自治区有关部门根据网络安全风险的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,增加配备监测人员和检测、检查频次,加强对网络安全风险的监测;
(二)组织有关部门、机构和专业人员,对网络安全风险进行系统地分析评估,预测事件发生的可能性,影响的人群、地域、持续时间,以及危害程度,提出预测评估报告;
(三)根据风险评估结果,按照网络安全事件应急预案要求,向社会发布网络安全风险警示的级别,说明应采取的避免、减轻危害的措施,让社会公众及时知悉网络安全风险,掌握必要的应对措施,尽量避免、减轻网络安全风险带来的危害。
第四十四条
网信部门统筹协调本地区网络安全事件预警、监测、报告和处置等应对工作,建立健全跨地区、跨部门、跨行业的联动处置机制。
通信部门应当加强和规范自治区行政区域内公共互联网网络安全威胁监测与处置工作,对公共互联网上存在或者传播的、可能或者已经对公众造成危害的网络资源、恶意程序、安全隐患或者安全事件进行监测、分析、通报与处置。
通信、公安、经信、保密等部门按照职责分工负责本行业、本领域的网络安全事件应对活动。
第四十五条
发生网络安全事件或者接到预警信息后,有关单位应当立即启动应急预案,及时处置、控制事态、消除隐患。发生较大或者较大以上网络安全事件,应当及时向同级网信部门报告。
能源、电信、交通等行业应当为网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。
第四十六条
自治区网信、通信、公安、经信等部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以对该网络运营者的法定代表人或者主要负责人进行约谈。
约谈方应听取约谈对象关于网络安全管理制度执行、网络安全风险防范、网络安全事件处置等情况,对网络运营者进一步加强网络安全管理提出具体要求,明确整改责任,督促网络运营者及时消除网络安全的风险或者妥善处置网络安全事件。
第四十七条
为维护社会稳定和长治久安,在处置恐怖事件时,经自治区批准可对特定用户、特定业务的网络通信采取管制措施。
第六章 法律责任
第四十八条
违反本条例第十三条规定,网络运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
第四十九条
违反本条例第十六条规定,网络产品、服务的提供者在约定的期限内擅自终止提供运行安全维护或者未履行网络安全风险告知义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。
第五十条
违反本条例第二十三条规定,关键信息基础设施运营者的网络安全管理负责人未履行职责的,处一万元以上十万元以下罚款。
第五十一条
违反本条例第二十四条规定,关键信息基础设施的运营者不按要求对网络的安全性进行自行检测、风险评估、对发现的问题不及时整改的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第五十二条
违反本条例第二十六条规定,危害关键信息基础设施尚不构成犯罪的,由公安机关没收违法所得,处五万元以上五十万元以下罚款;情节严重的,处十万元以上一百万元以下罚款。
第五十三条
违反本条例第三十条第一款规定,由有关主管部门依照《中华人民共和国反恐怖主义法》《中华人民共和国治安管理处罚法》和其他有关法律法规的相关规定予以处罚。
第五十四条
违反本条例第三十二条规定,网络运营者未按要求停止传输、删除相关信息,或者关闭相关网站、关停相关服务的,由有关主管部门责令改正,给予警告,没收非法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可责令暂停相关业务、停业整顿,对直接负责的主管人员和其他责任人员处一万元以上十万元以下罚款。
第五十五条
违反本条例第三十三条规定,网络运营者未落实监督制度和防范措施,或者未按要求停止传输,保存相关记录,删除相关信息,向网信部门、公安机关或者有关部门报告的,由有关主管部门责令改正,给予警告,没收非法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可责令暂停相关业务、停业整顿,对直接负责的主管人员和其他责任人员处一万元以上十万元以下罚款。
第五十六条
违反本条例第三十四条规定,互联网上网服务提供者留存网络日志少于六个月,或者发现异常情况没有报告相关部门的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
第五十七条
违反本条例第三十五条第一款规定,网络运营者未核实用户真实身份信息而与用户签订协议或者为其提供服务的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可责令暂停相关业务、停业整顿,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第五十八条
违反本条例第三十六条、第三十七条规定,网络运营者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可责令暂停相关业务、停业整顿。
第五十九条
违反本条例第三十八条规定,互联网通讯群组的建立者、管理者未对群组成员及其发布的违法信息采取有效的限制措施,保存有关记录的,由有关主管部门责令改正,给予警告;拒不改正或者情节严重,造成恶劣影响的,处五千元以上二万元以下罚款,并关闭通讯群组。
第六十条
网信、通信、公安、经信、保密等行业主管或者监管部门的工作人员,在网络安全保护监督管理工作中,有下列行为之一的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任:
(一)接到对危害网络运行安全、信息安全行为的举报,未依法处理或者未及时移送有关部门的;
(二)对信息化项目的安全性和可能存在的风险未进行论证评审、评估的;
(三)对含有本条例第三十条第一款所列禁止利用网络从事活动的信息,未责令有关单位停止传输、删除相关信息或者关闭相关网站、关停相关服务的;
(四)发现网络存在较大安全风险或者发生安全事件,未对该网络运营者的法定代表人或者主要负责人进行约谈的;
(五)其他玩忽职守、滥用职权、徇私舞弊的。
第六十一条
违反本条例规定,应当给予处罚的其他行为,依照有关法律法规的规定给予处罚。
第七章 附则
第六十二条
本条例自2017年10月1日起施行。
