Ley de Ciberseguridad de la República Popular China
Artículo 1 Con el fin de garantizar la seguridad de la red, salvaguardar la soberanía del ciberespacio, la seguridad nacional y los intereses sociales, proteger los derechos e intereses legítimos de los ciudadanos, personas jurídicas y otras organizaciones, y promover el desarrollo saludable de informatización económica y social, Promulgar la presente ley.
Artículo 2 La presente Ley se aplica a la construcción, operación, mantenimiento y uso de redes dentro del territorio de la República Popular China, así como a la supervisión y gestión de la seguridad de las redes.
Artículo 3: El Estado se adhiere al principio de prestar igual atención a la seguridad de la red y al desarrollo de la informatización, sigue los principios de utilización activa, desarrollo científico, gestión legal y garantía de la seguridad, promueve la construcción e interconexión de infraestructura de red. y fomenta la innovación y las aplicaciones de tecnología de redes, apoya la capacitación de talentos en seguridad de redes, establece y mejora sistemas de garantía de seguridad de redes y mejora las capacidades de protección de seguridad de redes.
Artículo 4: El Estado formula y mejora continuamente las estrategias de seguridad de la red, aclara los requisitos básicos y los objetivos principales para garantizar la seguridad de la red y propone políticas, tareas y medidas de seguridad de la red en áreas clave.
Artículo 5: El Estado toma medidas para monitorear, defender y responder a los riesgos y amenazas a la seguridad de la red del pueblo chino y de países nacionales y extranjeros, proteger la infraestructura de información importante de ataques, intrusiones, interferencias y destrucción, y castigar en Internet de conformidad con la ley las actividades ilegales y delictivas, y mantener la seguridad y el orden en el ciberespacio.
Artículo 6: El Estado aboga por un comportamiento en línea honesto, confiable, saludable y civilizado, promueve la difusión de los valores fundamentales socialistas, toma medidas para mejorar la conciencia y el nivel de seguridad de la red en toda la sociedad y forma un Buen ambiente para que toda la sociedad participe en la promoción de la seguridad de la red.
Artículo 7 El Estado lleva a cabo activamente intercambios y cooperación internacionales en la gobernanza del ciberespacio, investigación y desarrollo de tecnologías de redes y formulación de normas, y combate el cibercrimen, promueve la construcción de un ciberespacio pacífico, seguro, abierto y cooperativo. y establece un sistema de gobernanza de red multilateral, democrático y transparente.
Artículo 8 El Ministerio de Asuntos del Ciberespacio es responsable de coordinar la seguridad de la red y el trabajo relacionado de supervisión y gestión. El departamento administrativo de telecomunicaciones del Consejo de Estado, el departamento de seguridad pública y otros departamentos pertinentes son responsables de la protección, supervisión y gestión de la seguridad de la red dentro del alcance de sus respectivas responsabilidades y de conformidad con esta Ley y las leyes y reglamentos administrativos pertinentes.
Las responsabilidades de protección y supervisión y gestión de la seguridad de la red de los departamentos pertinentes de los gobiernos populares locales a nivel de condado o superior se determinarán de acuerdo con las regulaciones nacionales pertinentes.
Artículo 9 Los operadores de redes que participan en actividades comerciales y de servicios deben cumplir con las leyes y regulaciones administrativas, respetar la ética social, cumplir con la ética comercial, ser honestos y confiables, cumplir con las obligaciones de protección de la seguridad de la red, aceptar la supervisión gubernamental y social. y asumir la responsabilidad social.
Artículo 10 Al construir y operar una red o prestar servicios a través de la red, se tomarán medidas técnicas y otras medidas necesarias de acuerdo con las disposiciones de las leyes, reglamentos administrativos y los requisitos obligatorios de las normas nacionales para garantizar el funcionamiento seguro y estable de la red. Responder eficazmente a los incidentes de seguridad de la red, prevenir actividades ilegales y delictivas en la red y mantener la integridad, confidencialidad y disponibilidad de los datos de la red.
Artículo 11 Las organizaciones industriales relacionadas con Internet deberán, de acuerdo con sus estatutos, fortalecer la autodisciplina de la industria, formular códigos de conducta de seguridad de la red, guiar a los miembros para fortalecer la protección de la seguridad de la red, mejorar los niveles de protección de la seguridad de la red y promover el sano desarrollo de la industria.
Artículo 12 El Estado protege los derechos de los ciudadanos, personas jurídicas y otras organizaciones a utilizar Internet de conformidad con la ley, promueve la popularización del acceso a la red, mejora los niveles de servicio de la red, proporciona servicios de red seguros y convenientes. a la sociedad, y garantiza que la información de la red sea accesible de conformidad con la ley. El orden fluye libremente.
Cualquier individuo u organización que utilice Internet debe respetar la Constitución y las leyes, respetar el orden público, respetar la ética social y no debe poner en peligro la seguridad de la red. No debe utilizar Internet para poner en peligro la seguridad nacional. honor e intereses, y no debe incitar a la subversión del poder estatal ni al derrocamiento. El sistema socialista no debe incitar a la secesión del país, socavar la unidad nacional, promover el terrorismo y el extremismo, promover el odio y la discriminación étnicos, difundir información violenta, obscena y pornográfica. o fabricar o difundir información falsa para alterar el orden económico y la sociedad.
Artículo 13: El Estado apoya la investigación y el desarrollo de productos y servicios de Internet que favorezcan el crecimiento saludable de los menores, sanciona conforme a la ley las actividades que utilicen Internet para poner en peligro la salud física y mental. de menores y proporcionar a los menores un entorno de Internet seguro y saludable.
Artículo 14 Cualquier individuo u organización tiene derecho a denunciar conductas que pongan en peligro la seguridad de la red a los departamentos de ciberseguridad, telecomunicaciones, seguridad pública y otros. El departamento que recibe el informe lo procesará de manera oportuna de acuerdo con la ley; si el informe no cae dentro de las responsabilidades del departamento, se transferirá de inmediato al departamento con autoridad para manejarlo.
Los departamentos pertinentes deben mantener confidencial la información relevante de los denunciantes y proteger sus derechos e intereses legítimos.
Capítulo 2 Apoyo y Promoción de la Seguridad de la Red
Artículo 15: El Estado establece y mejora el sistema de estándares de seguridad de la red. El departamento administrativo de estandarización del Consejo de Estado y otros departamentos relevantes del Consejo de Estado deberán, de acuerdo con sus respectivas responsabilidades, organizar la formulación y revisión oportuna de estándares nacionales e industriales relacionados con la gestión de seguridad de la red y los productos, servicios y seguridad operativa de la red. .
El Estado apoya a empresas, instituciones de investigación científica, universidades y organizaciones industriales relacionadas con redes para que participen en la formulación de estándares nacionales e industriales para la seguridad de redes.
Artículo 16 El Consejo de Estado y los gobiernos populares de las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central elaborarán planes generales, aumentarán la inversión, apoyarán industrias y proyectos clave de tecnología de seguridad de redes, apoyarán la investigación, desarrollo y aplicación de tecnología de seguridad de red, y promover la seguridad Productos y servicios de red confiables, proteger los derechos de propiedad intelectual de la tecnología de red y apoyar a empresas, instituciones de investigación y universidades para participar en el proyecto nacional de innovación en tecnología de seguridad de red.
Artículo 17 El Estado promueve la construcción de un sistema de servicios de seguridad de red socializado y alienta a las empresas e instituciones pertinentes a proporcionar servicios de seguridad de red, como certificación, pruebas y evaluación de riesgos.
Artículo 18: El Estado fomenta el desarrollo de tecnologías de protección y utilización de la seguridad de los datos de las redes, promueve la apertura de los recursos públicos de datos y promueve la innovación tecnológica y el desarrollo económico y social.
El estado apoya la innovación de los métodos de gestión de la seguridad de la red y la aplicación de nuevas tecnologías de red para mejorar el nivel de protección de la seguridad de la red.
Artículo 19 Los gobiernos populares de todos los niveles y sus departamentos pertinentes organizarán periódicamente publicidad y educación sobre seguridad de redes, guiarán e instarán a las unidades pertinentes a hacer un buen trabajo en publicidad y educación sobre seguridad de redes.
Los medios de comunicación deben llevar a cabo publicidad y educación dirigidas a la sociedad sobre seguridad de la red.
Artículo 20: El Estado apoya a empresas, colegios y universidades, escuelas vocacionales y otras instituciones de educación y capacitación para llevar a cabo educación y capacitación relacionadas con la ciberseguridad, adopta diversos métodos para cultivar talentos en ciberseguridad y promueve el intercambio de talentos en ciberseguridad.
Capítulo 3 Seguridad de la Operación de la Red
Sección 1 Disposiciones Generales
Artículo 21 El Estado implementa un sistema de protección del nivel de seguridad de la red. Los operadores de red deberán, de acuerdo con los requisitos del sistema de protección del nivel de seguridad de la red, cumplir con las siguientes obligaciones de protección de seguridad para proteger la red de interferencias, destrucción o acceso no autorizado, y para evitar que los datos de la red sean filtrados, robados o manipulados:
(1) Formular sistemas de gestión de seguridad interna y procedimientos operativos, determinar la persona a cargo de la seguridad de la red e implementar responsabilidades de protección de la seguridad de la red;
(2) Tomar medidas técnicas para evitar que las computadoras virus, ataques de red, intrusiones de red, etc., dañen la red Comportamiento seguro;
(3) Tome medidas técnicas para monitorear y registrar el estado operativo de la red y los eventos de seguridad de la red, y guarde los registros de red relevantes por no menos de seis meses de acuerdo con las regulaciones;
( 4) Tomar medidas tales como clasificación de datos, copia de seguridad y cifrado de datos importantes;
(5) Otras obligaciones estipuladas por las leyes y regulaciones administrativas.
Artículo 22 Los productos y servicios de la red deben cumplir con los requisitos obligatorios de las normas nacionales pertinentes. Los proveedores de productos y servicios de red no pueden instalar programas maliciosos; cuando descubren que sus productos y servicios de red tienen fallas de seguridad, vulnerabilidades y otros riesgos, deben tomar medidas correctivas inmediatas, notificar rápidamente a los usuarios de acuerdo con las regulaciones e informar. a las autoridades competentes pertinentes.
Los proveedores de productos y servicios de red deben proporcionar mantenimiento de seguridad continuo para sus productos y servicios; la prestación de mantenimiento de seguridad no deberá terminarse dentro del período especificado o acordado por ambas partes.
Si un producto o servicio en línea tiene la función de recopilar información del usuario, su proveedor deberá dejarlo claro al usuario y obtener el consentimiento si se trata de información personal del usuario, el proveedor también deberá cumplir con esta Ley; y las leyes y reglamentos administrativos pertinentes en materia de protección de datos personales.
Artículo 23: Los equipos de red clave y los productos de seguridad de red deberán cumplir con los requisitos obligatorios de las normas nacionales pertinentes y no podrán venderse ni proporcionarse hasta que cumplan con los requisitos a través de una certificación de seguridad o pruebas de seguridad realizadas por una agencia calificada. . El departamento nacional de ciberseguridad e informatización debe trabajar con los departamentos pertinentes del Consejo de Estado para formular y publicar un catálogo de equipos de red clave y productos especiales de seguridad de red, promover el reconocimiento mutuo de las certificaciones de seguridad y los resultados de las pruebas de seguridad, y evitar certificaciones y pruebas repetidas.
Artículo 24 Cuando los operadores de red gestionen servicios de acceso a la red y registro de nombres de dominio para los usuarios, gestionen procedimientos de acceso a la red como llamadas a teléfonos fijos y móviles, o proporcionen a los usuarios servicios de difusión de información, mensajería instantánea y otros servicios, deberá contactar Cuando los usuarios firman un acuerdo o confirman la prestación de servicios, los usuarios deben proporcionar su información de identidad verdadera. Si los usuarios no proporcionan su verdadera información de identidad, los operadores de red no podrán proporcionar servicios relevantes.
El país implementa la estrategia de identidad confiable en red, apoya la investigación y el desarrollo de tecnología de autenticación electrónica segura y conveniente, y promueve el reconocimiento mutuo entre diferentes autenticaciones electrónicas.
Artículo 25 Los operadores de red deberán formular planes de contingencia para incidentes de seguridad de la red para responder con prontitud a los riesgos de seguridad, como vulnerabilidades del sistema, virus informáticos, ataques a la red e intrusiones en la red, una vez que ocurra un incidente que ponga en peligro la seguridad de la red, iniciar inmediatamente; Planes de contingencia, tomar las medidas correctivas correspondientes e informar a las autoridades pertinentes según sea necesario.
Artículo 26: Llevar a cabo certificaciones, pruebas, evaluaciones de riesgos y otras actividades de seguridad de la red, y divulgar información de seguridad de la red, como vulnerabilidades del sistema, virus informáticos, ataques a la red e intrusiones en la red. Cualquier anuncio al público debe cumplir con las regulaciones nacionales pertinentes.
Artículo 27: Ningún individuo u organización podrá participar en actividades que pongan en peligro la seguridad de la red, como la intrusión ilegal en las redes de otras personas, la interferencia con las funciones normales de las redes de otras personas, el robo de datos de la red, etc. Funciones normales y medidas de protección, robo de datos de la red y otros programas y herramientas que ponen en peligro las actividades de seguridad de la red, sabiendo que otros participan en actividades que ponen en peligro la seguridad de la red, no se le permite brindarles soporte técnico, promoción publicitaria, pago y liquidación y otros servicios; .
Artículo 28 Los operadores de redes brindarán apoyo y asistencia técnica a los órganos de seguridad pública y a los órganos de seguridad nacional en sus actividades para salvaguardar la seguridad nacional e investigar y abordar delitos de conformidad con la ley.
Artículo 29: El Estado apoya a los operadores de redes para que cooperen en la recopilación, el análisis, la presentación de informes y la respuesta de emergencia de información de seguridad de la red para mejorar las capacidades de garantía de seguridad de los operadores de red.
Las organizaciones industriales relevantes deben establecer y mejorar las especificaciones de protección de la seguridad de la red y los mecanismos de cooperación en la industria, fortalecer el análisis y la evaluación de riesgos de seguridad de la red, proporcionar periódicamente advertencias de riesgo a los miembros y apoyar y ayudar a los miembros a responder a la seguridad de la red. riesgos.
Artículo 30: La información obtenida por los departamentos del ciberespacio y los departamentos pertinentes al realizar tareas de protección de la seguridad de la red solo puede usarse para mantener la seguridad de la red y no puede usarse para otros fines.
Sección 2: Seguridad Operacional de la Infraestructura de Información Crítica
Artículo 31: Con base en el sistema de protección del nivel de seguridad de la red, el Estado regulará los servicios públicos de comunicaciones e información, energía y transporte, industrias y campos importantes como la conservación del agua, las finanzas, los servicios públicos y el gobierno electrónico, así como otras infraestructuras de información críticas que puedan poner en grave peligro la seguridad nacional, la economía nacional, los medios de vida de las personas y los intereses públicos, recibirán protección especial. . El alcance específico y las medidas de protección de la seguridad de la infraestructura de información crítica serán prescritos por el Consejo de Estado.
El Estado alienta a los operadores de red distintos de los de infraestructura de información crítica a participar voluntariamente en el sistema de protección de infraestructura de información crítica.
Artículo 32 De acuerdo con la división de responsabilidades estipulada por el Consejo de Estado, los departamentos responsables de la protección de la seguridad de la infraestructura de información importante prepararán y organizarán por separado la implementación de planes de seguridad de infraestructura de información importante para su propia industria. y campo, y Proporcionar orientación y supervisión sobre la protección de la seguridad de la infraestructura de la información.
Artículo 33 La construcción de infraestructura de información crítica deberá garantizar que tenga el rendimiento necesario para soportar el funcionamiento estable y continuo de los negocios, y garantizar la planificación, construcción y uso simultáneo de medidas técnicas de seguridad.
Artículo 34 Además de lo dispuesto en el artículo 21 de esta Ley, los operadores de infraestructuras de información crítica también deberán cumplir las siguientes obligaciones de protección de la seguridad:
(1) Establecer un centro de gestión de seguridad dedicado La agencia y la persona a cargo de la gestión de seguridad deberán realizar verificaciones de antecedentes de seguridad de la persona a cargo y del personal clave del puesto;
(2) Realizar periódicamente educación sobre seguridad de redes, capacitación técnica y evaluación de habilidades para los empleados;
(3) Copia de seguridad de recuperación ante desastres de sistemas y bases de datos importantes;
(4) Formular planes de emergencia para incidentes de seguridad de la red y realizar simulacros regulares;
(5) Leyes y regulaciones administrativas otras obligaciones.
Artículo 35 Los operadores de infraestructura de información crítica que compren productos y servicios de red que puedan afectar la seguridad nacional deberán pasar una revisión de seguridad nacional organizada por el departamento nacional de ciberespacio en conjunto con los departamentos pertinentes del Consejo de Estado.
Artículo 36 Cuando los operadores de infraestructuras de información crítica adquieran productos y servicios de red, deberán firmar un acuerdo de seguridad con el proveedor de conformidad con la normativa para aclarar las obligaciones y responsabilidades de seguridad y confidencialidad.
Artículo 37 La información personal y los datos importantes recopilados y generados por operadores de infraestructura de información crítica dentro del territorio de la República Popular China se almacenarán dentro del territorio. Si es realmente necesario proporcionar información en el extranjero debido a necesidades comerciales, se realizará una evaluación de seguridad de acuerdo con los métodos formulados por el departamento nacional de ciberseguridad e informatización junto con los departamentos pertinentes del Consejo de Estado, si las leyes y reglamentos administrativos establecen lo contrario; , tales disposiciones prevalecerán.
Artículo 38 Los operadores de infraestructuras críticas de información deberán realizar inspecciones y evaluaciones de la seguridad y posibles riesgos de sus redes al menos una vez al año por sí mismos o encomendarlas a agencias de servicios de seguridad de redes, y deberán realizar inspecciones, evaluaciones y medidas de mejora. se presentará a los departamentos pertinentes responsables de la protección de la seguridad de la infraestructura de información crítica.
Artículo 39: El Ministerio de Asuntos del Ciberespacio coordinará los departamentos pertinentes para tomar las siguientes medidas para proteger de forma segura la infraestructura de información crítica:
(1) Seguridad de la infraestructura de información crítica Realizar controles aleatorios riesgos, proponer medidas de mejora y confiar a las agencias de servicios de seguridad de la red la detección y evaluación de los riesgos de seguridad de la red cuando sea necesario;
(2) Organizar a los operadores de infraestructura de información crítica para realizar simulacros regulares de emergencia de seguridad de la red, mejorar el nivel y la coordinación capacidad de responder a incidentes de seguridad de la red;
(3) Promover el intercambio de información de seguridad de la red entre departamentos relevantes, operadores de infraestructura de información crítica, instituciones de investigación relevantes y agencias de servicios de seguridad de la red;
p>
(4) Proporcionar soporte técnico y asistencia para respuesta de emergencia a incidentes de seguridad de la red y recuperación de funciones de la red.
Capítulo 4 Seguridad de la información de la red
Artículo 40 Los operadores de redes mantendrán estrictamente confidencial la información de los usuarios que recopilen y establecerán y mejorarán los sistemas de protección de la información de los usuarios.
Artículo 41 Cuando los operadores de red recopilan y utilizan información personal, deben seguir los principios de legalidad, equidad y necesidad, divulgar las reglas de recopilación y uso y establecer claramente el propósito, método y alcance de la recopilación. y utilizar la información y obtener el consentimiento de la persona que se recopila.
Los operadores de red no recopilarán información personal irrelevante para los servicios que prestan, no recopilarán ni utilizarán información personal en violación de las disposiciones de las leyes, reglamentos administrativos y los acuerdos entre las partes, y cumplirán con las disposiciones de las leyes, reglamentos administrativos y La información personal almacenada por el usuario será procesada de acuerdo con el acuerdo del usuario.
Artículo 42 Los operadores de red no divulgarán, alterarán ni destruirán la información personal que recopilan; no proporcionarán información personal a otros sin el consentimiento de la persona que se recopila. Sin embargo, el individuo específico no puede identificarse y no puede recuperarse a menos que se procese.
Los operadores de red deben tomar medidas técnicas y otras medidas necesarias para garantizar la seguridad de la información personal que recopilan y evitar que la información se filtre, dañe o pierda. Cuando se filtra, daña o pierde información personal, se deben tomar medidas correctivas de inmediato, se debe notificar a los usuarios con prontitud de acuerdo con las regulaciones y se debe informar a las autoridades competentes pertinentes.
Artículo 43 Si una persona descubre que un operador de red ha recopilado o utilizado su información personal en violación de leyes, reglamentos administrativos o acuerdo mutuo, tiene derecho a solicitar al operador de red que elimine su información personal si hay errores en la información personal almacenada, tiene derecho a solicitar al operador de red que la corrija. Los operadores de red deberían tomar medidas para eliminarlo o corregirlo.
Artículo 44: Ningún individuo u organización podrá robar u obtener información personal por otros medios ilegales, y no podrá vender o proporcionar ilegalmente información personal a otros.
Artículo 45 Los departamentos y su personal responsable de la supervisión y gestión de la seguridad de la red de conformidad con la ley deberán mantener estrictamente confidencial la información personal, la privacidad y los secretos comerciales conocidos en el desempeño de sus funciones, y no deberán revelar, vender o proporcionar ilegalmente a otros.
Artículo 46 Cualquier individuo u organización será responsable del uso que haga de Internet y no establecerá sitios web o grupos de comunicación que cometan fraude, enseñen métodos delictivos, produzcan o vendan artículos prohibidos y controlados, y otras actividades ilegales. y actividades criminales no se permite el uso de Internet para publicar información relacionada con actividades ilegales y criminales como fraude, producción o venta de artículos prohibidos y artículos controlados.
Artículo 47 Los operadores de redes deberán fortalecer la gestión de la información difundida por los usuarios. Si se descubre información cuya divulgación o difusión está prohibida por leyes o reglamentos administrativos, se debe detener la difusión de inmediato, se deben tomar medidas para eliminarla y otras medidas para evitar la difusión de información, se deben mantener los registros pertinentes y se deben presentar informes. a las autoridades competentes pertinentes.
Artículo 48 La información electrónica enviada por cualquier individuo u organización y el software de aplicación proporcionado por cualquier organización no contendrán programas maliciosos, ni información cuya divulgación o difusión esté prohibida por leyes y reglamentos administrativos.
Los proveedores de servicios de envío de información electrónica y los proveedores de servicios de descarga de software de aplicaciones deberán cumplir con las obligaciones de gestión de seguridad. Si tiene conocimiento de que sus usuarios han cometido las conductas señaladas en el párrafo anterior, deberá dejar de prestar los servicios, tomar medidas tales como su eliminación, guardar los registros pertinentes e informar a las autoridades competentes correspondientes.
Artículo 49 Los operadores de redes establecerán un sistema de informes y quejas sobre la seguridad de la información de la red, publicarán quejas e informes y otra información, y aceptarán y manejarán rápidamente las quejas e informes sobre la seguridad de la información de la red.
Los operadores de red cooperarán con la supervisión e inspección implementadas por los departamentos de ciberseguridad e informatización y los departamentos pertinentes de conformidad con la ley.
Artículo 50: El departamento nacional de ciberseguridad e informatización y los departamentos pertinentes desempeñarán las responsabilidades de supervisión y gestión de la seguridad de la información de la red de acuerdo con la ley si descubren información cuya divulgación o transmisión esté prohibida por las leyes y la administración. regulaciones, exigirán a los operadores de red que detengan la transmisión y tomen medidas para eliminarla y otras medidas, y mantengan registros relevantes de la información antes mencionada desde dentro y fuera de la República Popular de China, las agencias pertinentes deben ser notificadas para tomar medidas técnicas; medidas y otras medidas necesarias para bloquear la propagación.
Capítulo 5 Monitoreo, Alerta Temprana y Respuesta a Emergencias
Artículo 51 El Estado establece un sistema de monitoreo, alerta temprana y notificación de información de la seguridad de la red. El departamento nacional de ciberseguridad e informatización debe coordinar y coordinar los departamentos relevantes para fortalecer la recopilación, el análisis y la presentación de informes de información de ciberseguridad, y publicar de manera uniforme información de monitoreo y alerta temprana de ciberseguridad de acuerdo con las regulaciones.
Artículo 52: El departamento responsable de la protección de seguridad de la infraestructura de información crítica establecerá y mejorará el sistema de monitoreo de seguridad de la red, alerta temprana y reporte de información para esta industria y campo, y presentará monitoreo de seguridad de la red y alerta temprana. información de acuerdo con la normativa.
Artículo 53 El Ministerio de Asuntos del Ciberespacio coordinará los departamentos pertinentes para establecer y mejorar la evaluación de riesgos de seguridad de la red y los mecanismos de respuesta a emergencias, formular planes de contingencia para incidentes de seguridad de la red y organizar simulacros periódicos.
El departamento responsable de la protección de la seguridad de la infraestructura de información crítica debe formular planes de emergencia para incidentes de seguridad de la red en esta industria y campo, y organizar simulacros periódicos.
Los planes de emergencia para incidentes de ciberseguridad deben clasificar los incidentes de ciberseguridad en función de factores como el grado de daño y el alcance del impacto después de que ocurra el incidente, y estipular las medidas de emergencia correspondientes.
Artículo 54: Cuando aumente el riesgo de un incidente de seguridad cibernética, los departamentos pertinentes del gobierno popular a nivel provincial o superior tomarán las siguientes medidas con base en las características del riesgo de seguridad cibernética y las posibles daño, y de acuerdo con la autoridad y los procedimientos prescritos:
(1) Requerir que los departamentos, instituciones y personal relevantes recopilen y reporten información relevante de manera oportuna y fortalezcan el monitoreo de riesgos de seguridad de la red; >
(2) Organizar departamentos, instituciones y profesionales relevantes para monitorear Analizar y evaluar la información sobre riesgos de seguridad de la red para predecir la probabilidad, el alcance del impacto y el grado de daño;
(3) Emitir problemas de seguridad de la red alertar de riesgos al público y emitir medidas para evitar y mitigar los daños.
Artículo 55: Cuando ocurra un incidente de seguridad de la red, se iniciará inmediatamente un plan de emergencia para incidentes de seguridad de la red para investigar y evaluar el incidente de seguridad de la red. Los operadores de red deben tomar medidas técnicas y otras medidas necesarias para eliminar los riesgos de seguridad, evitar la expansión del daño y divulgar al público información relevante de alerta temprana de manera oportuna.
Artículo 56: Cuando los departamentos pertinentes de los gobiernos populares a nivel provincial o superior descubran riesgos de seguridad importantes o incidentes de seguridad en la red al realizar responsabilidades de gestión y supervisión de la seguridad de la red, podrán entrevistar a los operadores de red de acuerdo con autoridad y procedimientos prescritos. Los operadores de redes deberían tomar medidas para eliminar los peligros ocultos según sea necesario.
Artículo 57 Si ocurre una emergencia o un accidente de seguridad de producción debido a un incidente de seguridad de la red, se seguirán las leyes y regulaciones pertinentes de acuerdo con la "Ley de Respuesta a Emergencias de la República Popular China", la " Ley de Seguridad Laboral de la República Popular China" y otras leyes pertinentes, tramitación de reglamentos administrativos.
Artículo 58: Con el fin de mantener la seguridad nacional y el orden público y responder a emergencias importantes de seguridad social, el Consejo de Estado podrá decidir o aprobar medidas temporales tales como restringir las comunicaciones de la red en áreas específicas.
Capítulo 6 Responsabilidades Legales
Artículo 59 Si un operador de red no cumple con sus obligaciones de protección de la seguridad de la red estipuladas en los artículos 21 y 25 de esta Ley, las autoridades competentes pertinentes ordenarán correcciones y emitir advertencias que se nieguen a realizar correcciones o causar consecuencias que pongan en peligro la seguridad de la red serán multados con no menos de 10.000 RMB pero no más de 100.000 RMB, y la persona directamente responsable será multada con no menos de 5.000 RMB pero no más de 100.000 RMB; 50.000 RMB.
Si el operador de infraestructura de información crítica incumple las obligaciones de protección de la seguridad de la red previstas en los artículos 33, 34, 36 y 38 de esta Ley, será responsable de las correspondientes autoridades competentes ordenarán correcciones y emitirán advertencias. aquellos que se nieguen a realizar correcciones o causen consecuencias que pongan en peligro la seguridad de la red serán multados con no menos de 100.000 yuanes pero no más de 1 millón de yuanes, y la persona directamente responsable será multada con no menos de 10.000 yuanes pero no más de 100.000; yuan.
Artículo 60 El que viole lo dispuesto en los párrafos 1° y 2° del artículo 22 y 1° del artículo 48 de esta Ley y cometa cualquiera de los siguientes actos, será ordenado por las autoridades competentes correspondientes. : Hacer correcciones y dar una advertencia; si se niega a hacer correcciones o causa consecuencias que pongan en peligro la seguridad de la red, se le impondrá una multa no inferior a 50.000 yuanes pero no más de 500.000 yuanes, y la persona directamente responsable a cargo será multada no menos. de 10.000 yuanes pero no más de 100.000 yuanes:
(1) Configurar programas maliciosos;
(2) No tomar medidas correctivas inmediatas para defectos de seguridad, vulnerabilidades y otros riesgos en sus productos y servicios, o no notificar con prontitud a los usuarios de acuerdo con las regulaciones y reportarlos a las autoridades competentes pertinentes;
(3) Terminar la prestación de mantenimiento de seguridad para sus productos y servicios sin autorización.
Artículo 61 Si un operador de red viola las disposiciones del párrafo 1 del artículo 24 de esta Ley al no exigir a los usuarios que proporcionen su información de identidad verdadera o al no proporcionar servicios relevantes a los usuarios que no han proporcionado su información de identidad verdadera , serán sancionados por Las autoridades competentes pertinentes ordenarán correcciones; aquellos que se nieguen a hacer correcciones o las circunstancias sean graves podrán recibir una multa de no menos de 50.000 yuanes pero no más de 500.000 yuanes, y las autoridades competentes podrán ordenarles que suspendan los asuntos pertinentes. negocios, suspender operaciones para rectificación, cerrar sitios web, revocar licencias comerciales relevantes o revocar licencias comerciales, la persona directamente responsable a cargo y otro personal directamente responsable serán multados con no menos de RMB 10,000 pero no más de RMB 100,000.
Artículo 62 Viola lo dispuesto en el artículo 26 de esta Ley al realizar certificaciones de seguridad de la red, pruebas, evaluación de riesgos y otras actividades, o liberar vulnerabilidades del sistema, virus informáticos, ataques a la red, intrusiones en la red, etc. el público Para la información de seguridad de la red, las autoridades competentes pertinentes ordenarán correcciones y darán advertencias si se niegan a corregir o las circunstancias son graves, podrán recibir una multa de no menos de 10.000 RMB pero no más de 100.000 RMB, y las autoridades competentes pertinentes; Les ordenará suspender negocios relevantes, suspender negocios para rectificación o cerrar sitios web, revocar la licencia comercial correspondiente o revocar la licencia comercial e imponer una multa de no menos de 5.000 yuanes pero no más de 50.000 yuanes a la persona directamente responsable. responsables y demás personal directamente responsable.
Artículo 63 Viola lo dispuesto en el artículo 27 de esta Ley y realiza actividades que ponen en peligro la seguridad de la red, o proporciona programas y herramientas específicamente utilizados para realizar actividades que ponen en peligro la seguridad de la red, o realiza actividades que ponen en peligro la red seguridad para terceros Si la prestación de apoyo técnico, publicidad, pago y liquidación por actividades de seguridad no constituye un delito, será confiscado por los órganos de seguridad pública y detenido por no más de cinco días. Una multa no inferior a RMB. se pueden imponer 50.000 pero no más de 500.000 RMB si las circunstancias son graves, se puede imponer una multa de no menos de 50.000 RMB pero no más de 500.000 RMB, y se podrá imponer una multa de no menos de 100.000 yuanes pero no más de 1 millón de yuanes.
Si una unidad comete los actos mencionados en el párrafo anterior, los órganos de seguridad pública confiscarán las ganancias ilegales e impondrán una multa de no menos de 100.000 yuanes pero no más de 1 millón de yuanes, y las personas directamente los responsables y demás personas directamente responsables serán multados conforme a las penas previstas en el párrafo anterior.
El personal que viole las disposiciones del artículo 27 de esta Ley y sea sancionado con la gestión de la seguridad pública no podrá ocupar puestos de gestión de seguridad de la red y operaciones clave de la red dentro de los cinco años de personas que estén sujetas a sanciones penales; Se prohibirán sanciones por participar en la seguridad de la red de por vida. Trabajar en puestos clave de gestión y operaciones de la red.
Artículo 64: Los operadores de red y los proveedores de productos y servicios de red que violen lo dispuesto en el artículo 22, párrafo 3, y en los artículos 41 a 43 de esta Ley, estarán sujetos a la infracción conforme a la ley. los derechos de información personal están protegidos, los departamentos competentes pertinentes ordenarán correcciones y podrán, dependiendo de las circunstancias, imponer una advertencia o una advertencia, confiscar los ingresos ilegales e imponer una multa de no menos de una vez pero no más de diez veces. los ingresos ilegales, si no hay ingresos ilegales, se impondrá una multa de un millón. Se impondrá una multa no inferior a 10.000 RMB ni superior a 100.000 RMB a la persona directamente responsable. Si las circunstancias son graves, se puede ordenar a la empresa que suspenda el negocio correspondiente, suspenda el negocio para su rectificación, cierre el sitio web, revoque la licencia comercial correspondiente o revoque la licencia comercial.
Si en violación de lo dispuesto en el artículo 44 de esta Ley, la información personal de otros es robada u obtenida por otros medios ilegales, vendida ilegalmente o proporcionada ilegalmente, lo que no constituye delito, el público Los órganos de seguridad lo confiscarán e impondrán una multa no inferior a una vez ni superior a diez veces a las ganancias ilegales. Si no hay ingresos ilegales, se impondrá una multa de no más de un millón de yuanes.
Artículo 65 Si un operador de infraestructura crítica de información viola lo dispuesto en el artículo 35 de esta Ley y utiliza productos o servicios de red que no han sido revisados o no han pasado la revisión de seguridad, las autoridades competentes correspondientes ordenarán Detener utilizarlo e imponer una multa de no menos de 1 vez pero no más de 10 veces el monto de la compra, la persona a cargo y otro personal directamente responsable serán multados con no menos de 10,000 yuanes pero no más de 100,000 yuanes;
Artículo 66 Si un operador de infraestructura de información crítica viola las disposiciones del artículo 37 de esta Ley al almacenar datos de red en el extranjero o proporcionar datos de red en el extranjero, las autoridades competentes pertinentes le ordenarán realizar correcciones e imponerle una multa. Advertencia, confiscación de ganancias ilegales y una multa de no menos de 50.000 yuanes pero no más de 500.000 yuanes, y se le puede ordenar suspender negocios, suspender negocios para rectificación, cerrar el sitio web, revocar las licencias comerciales relevantes o revocar el negocio. licencia; la persona directamente responsable a cargo y otras personas directamente responsables. El personal será multado con no menos de 10.000 RMB pero no más de 100.000 RMB.
Artículo 67 La violación de lo dispuesto en el artículo 46 de esta Ley, establecer un sitio web o grupo de comunicación para la realización de actividades ilícitas y delictivas, o utilizar Internet para publicar información relacionada con la realización de actividades ilícitas y delictivas, no no constituye una violación de las disposiciones del artículo 46 de esta Ley. Cualquiera que cometa un delito será detenido por los órganos de seguridad pública por no más de cinco días y también podrá ser multado con no menos de 10.000 yuanes pero no más de 100.000 yuanes. si las circunstancias son graves, será detenido durante no menos de cinco días pero no más de 15 días, y también podrá recibir una multa de no menos de 50.000 yuanes pero no más de 500.000 yuanes. Cerrar sitios web y grupos de distribución utilizados para realizar actividades ilegales y delictivas.
Si una unidad comete los actos mencionados en el párrafo anterior, los órganos de seguridad pública impondrán una multa de no menos de 100.000 RMB pero no más de 500.000 RMB, y las personas directamente responsables y otras personas directamente El responsable será sancionado conforme a lo dispuesto en el párrafo anterior.
Artículo 68 Si un operador de red viola lo dispuesto en el artículo 47 de esta Ley y no deja de transmitir información prohibida por las leyes y reglamentos administrativos, no toma medidas tales como la eliminación y conserva los registros pertinentes, la autoridad de control correspondiente deberá El departamento ordenará correcciones, emitirá advertencias y confiscará ganancias ilegales si la parte se niega a hacer correcciones o las circunstancias son graves, podrá imponer una multa de no menos de 100.000 RMB pero no más de 500.000 RMB, y podrá ordenar a la empresa; Para suspender negocios, suspender negocios para rectificación, cerrar el sitio web, revocar la licencia comercial correspondiente o revocar la licencia comercial, la persona directamente responsable a cargo y otro personal directamente responsable serán multados con no menos de 10.000 RMB pero no más de 100.000 RMB. .
Si un proveedor de servicios de envío de información electrónica o un proveedor de servicios de descarga de software de aplicaciones incumple las obligaciones de gestión de seguridad previstas en el apartado 2 del artículo 48 de esta Ley, será sancionado de conformidad con lo dispuesto en la párrafo anterior.
Artículo 69: Si un operador de Internet viola las disposiciones de esta Ley y comete cualquiera de los actos siguientes, el departamento competente correspondiente le ordenará realizar correcciones si se niega a realizarlas o las circunstancias son graves; , se le impondrá una multa de no menos de 50 000 RMB y 500 000 RMB. Se impondrá una multa de no menos de 10 000 RMB y no más de 100 000 RMB a la persona directamente responsable a cargo y a otro personal directamente responsable:
(1) Incumplimiento de los requisitos de los departamentos pertinentes