Red de Respuestas Legales - Información empresarial - Texto completo del proyecto de Ley de Ciberseguridad de la República Popular China

Texto completo del proyecto de Ley de Ciberseguridad de la República Popular China

Capítulo 1 Disposiciones Generales

Capítulo 2 Estrategia, planificación y promoción de la seguridad de la red

Capítulo 3 Seguridad del funcionamiento de la red

Sección 1 Disposiciones generales

Sección 2 Seguridad operativa de la infraestructura de información crítica

Capítulo 4 Seguridad de la información de la red

Capítulo 5 Monitoreo, alerta temprana y respuesta a emergencias

Capítulo Capítulo 6 Responsabilidades legales

p>

Capítulo 7 Disposiciones Complementarias Capítulo 1 Disposiciones Generales

Artículo 1 Con el fin de garantizar la seguridad de las redes, salvaguardar la soberanía del ciberespacio, la seguridad nacional y los intereses sociales, y proteger a los ciudadanos, las personas jurídicas y se formula esta ley. proteger los derechos e intereses legítimos de otras organizaciones y promover el sano desarrollo de la informatización económica y social.

Artículo 2 La presente Ley se aplica a la construcción, operación, mantenimiento y uso de redes dentro del territorio de la República Popular China, así como a la supervisión y gestión de la seguridad de las redes.

Artículo 3 El Estado se adhiere a la política de otorgar igual importancia a la seguridad de la red y al desarrollo de la informatización, sigue los principios de utilización activa, desarrollo científico, gestión legal y garantía de la seguridad, promueve la construcción de infraestructura de red, Fomenta la innovación y aplicación de tecnología de red. Establecer y mejorar el sistema de garantía de seguridad de la red y mejorar las capacidades de protección de la seguridad de la red.

Artículo 4: El Estado aboga por un comportamiento en línea honesto, confiable, saludable y civilizado, toma medidas para mejorar la conciencia y el nivel de seguridad de la red de toda la sociedad y crea un buen ambiente para que toda la sociedad participe. promoviendo la seguridad de la red.

Artículo 5: El Estado lleva a cabo activamente intercambios y cooperación internacionales en la gobernanza del ciberespacio, la investigación y el desarrollo de tecnologías de redes, la formulación de normas y la lucha contra el cibercrimen, y promueve la construcción de un país pacífico, seguro, abierto y cooperativo. ciberespacio.

Artículo 6 El Ministerio de Asuntos del Ciberespacio es responsable de la coordinación general y la supervisión y gestión relacionadas de la seguridad de la red. El departamento de industria y tecnología de la información del Consejo de Estado, el departamento de seguridad pública y otros departamentos pertinentes serán responsables de la protección, supervisión y gestión de la seguridad de la red dentro del alcance de sus respectivas responsabilidades de conformidad con esta Ley y las leyes y reglamentos administrativos pertinentes.

Las responsabilidades de protección y supervisión y gestión de la seguridad de la red de los departamentos pertinentes de los gobiernos populares locales a nivel de condado o superior se determinarán de acuerdo con las regulaciones nacionales pertinentes.

Artículo 7 Al construir y operar una red o proporcionar servicios a través de la red, se tomarán medidas técnicas y otras medidas necesarias de acuerdo con las disposiciones de las leyes y reglamentos y los requisitos obligatorios de las normas nacionales y las normas de la industria. para garantizar el funcionamiento seguro y estable de la red, responder eficazmente a incidentes de seguridad de la red, prevenir actividades ilegales y delictivas y mantener la integridad, confidencialidad y disponibilidad de los datos de la red.

Artículo 8 Las organizaciones industriales relacionadas con Internet deberán, de acuerdo con sus estatutos, fortalecer la autodisciplina de la industria, formular códigos de conducta de seguridad cibernética, guiar a los miembros para fortalecer la protección de la seguridad cibernética de acuerdo con la ley, mejorar la nivel de protección de la seguridad cibernética y promover el desarrollo saludable de la industria.

Artículo 9 El Estado protege los derechos de los ciudadanos, personas jurídicas y otras organizaciones a utilizar Internet de conformidad con la ley, promueve la popularización del acceso a la red, mejora los niveles de servicio de la red, proporciona servicios de red seguros y convenientes. a la sociedad, y vela por que la información en la red esté ordenada y conforme a la ley.

Cualquier individuo u organización que utilice Internet debe respetar la Constitución y las leyes, respetar el orden público, respetar la ética social y no debe poner en peligro la seguridad de la red. No se le permite utilizar Internet para participar en actividades que pongan en peligro la seguridad nacional, promuevan el terrorismo y el extremismo, promuevan el odio étnico y la discriminación, difundan información obscena y pornográfica, insulten y difamen a otros, alteren el orden social, dañen los intereses públicos e infrinjan los derechos de propiedad intelectual y otros derechos e intereses legítimos de terceros.

Artículo 10 Cualquier individuo u organización tiene derecho a denunciar conductas que pongan en peligro la seguridad de la red a los departamentos de ciberseguridad, industria y tecnologías de la información, seguridad pública y otros. El departamento que recibe el informe lo procesará de manera oportuna de acuerdo con la ley; si el informe no cae dentro de las responsabilidades del departamento, se transferirá de inmediato al departamento con autoridad para manejarlo.

Capítulo 2 Estrategia, planificación y promoción de la seguridad de la red

Artículo 11 El estado formula una estrategia de seguridad de la red, aclara los requisitos básicos y los objetivos principales para garantizar la seguridad de la red y propone mejorarla. Políticas y medidas de garantía de seguridad para mejorar las capacidades de protección de la seguridad de la red, promover el desarrollo de la tecnología y la industria de la seguridad de la red y promover la participación de toda la sociedad en el mantenimiento de la seguridad de la red.

Artículo 12 Los departamentos competentes de comunicaciones, radio y televisión, energía, transporte, conservación de agua, finanzas y otras industrias del Consejo de Estado y otros departamentos relevantes del Consejo de Estado deberán, de acuerdo con la red nacional estrategia de seguridad, formular industrias y políticas clave relacionadas con la seguridad nacional, la economía nacional y el sustento de las personas, la planificación de la seguridad de la red en áreas importantes y la organización e implementación.

Artículo 13: El Estado establece y mejora el sistema de estándares de seguridad de la red. El departamento administrativo de estandarización del Consejo de Estado y otros departamentos relevantes del Consejo de Estado deberán, de acuerdo con sus respectivas responsabilidades, organizar la formulación y revisión oportuna de estándares nacionales e industriales relacionados con la gestión de seguridad de la red y los productos, servicios y seguridad operativa de la red. .

El Estado apoya a las empresas para que participen en la formulación de estándares nacionales e industriales para la seguridad de la red, y alienta a las empresas a formular estándares empresariales que sean más estrictos que los estándares nacionales y los estándares industriales.

Artículo 14 El Consejo de Estado y los gobiernos populares de las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central elaborarán planes generales, aumentarán la inversión, apoyarán industrias y proyectos clave de tecnología de seguridad de redes y apoyarán la investigación, desarrollo, aplicación y promoción de tecnología de seguridad de redes, proteger los derechos de propiedad intelectual de la tecnología de redes y apoyar a las instituciones de investigación científica, universidades y empresas para que participen en proyectos nacionales de innovación en tecnología de seguridad de redes.

Artículo 15 Los gobiernos populares de todos los niveles y sus departamentos pertinentes organizarán y llevarán a cabo publicidad y educación periódicas sobre seguridad de la red, y guiarán e instarán a las unidades pertinentes a hacer un buen trabajo en publicidad y educación sobre seguridad de la red.

Los medios de comunicación deben realizar publicidad y educación dirigidas a la sociedad sobre seguridad de la red.

Artículo 16 El Estado apoya a empresas, colegios y universidades, escuelas vocacionales y otras instituciones de educación y capacitación para que lleven a cabo educación y capacitación relacionadas con la seguridad de la red, adopta varios métodos para cultivar talentos técnicos en seguridad de la red y promueve la Intercambio de talentos técnicos en seguridad de redes.

Capítulo 3 Seguridad de la Operación de la Red

Sección 1 Disposiciones Generales

Artículo 17 El Estado implementa un sistema de protección del nivel de seguridad de la red. Los operadores de red deberán, de acuerdo con los requisitos del sistema de protección del nivel de seguridad de la red, cumplir con las siguientes obligaciones de protección de seguridad para proteger la red de interferencias, destrucción o acceso no autorizado, y para evitar que los datos de la red sean filtrados, robados o manipulados:

(1) Formular sistemas de gestión de seguridad interna y procedimientos operativos, determinar la persona a cargo de la seguridad de la red e implementar responsabilidades de protección de la seguridad de la red;

(2) Tomar medidas técnicas para evitar que las computadoras virus, ataques de red, intrusiones de red, etc., dañen la red Comportamiento seguro;

(3) Tomar medidas técnicas para registrar y rastrear el estado operativo de la red, monitorear y registrar eventos de seguridad de la red y guardar registros de red de acuerdo con las regulaciones;

(4) Tomar clasificación de datos, copia de seguridad y cifrado de datos importantes y otras medidas;

(5) Otras obligaciones estipuladas por las leyes y regulaciones administrativas.

Las medidas específicas para la protección del nivel de seguridad de la red serán formuladas por el Consejo de Estado.

Artículo 18 Los productos y servicios de la red deben cumplir con los estándares nacionales y estándares industriales pertinentes. Los proveedores de productos y servicios de red no pueden instalar programas maliciosos si sus productos y servicios tienen la función de recopilar información del usuario, deben dejarlo claro a los usuarios y obtener su consentimiento cuando descubran que sus productos y servicios de red la tienen; fallas de seguridad, vulnerabilidades y otros riesgos, deben informar rápidamente a los usuarios y tomar medidas correctivas.

Los proveedores de productos y servicios de red deberán proporcionar mantenimiento de seguridad continuo para sus productos y servicios; la prestación de mantenimiento de seguridad no deberá terminarse dentro del período especificado o acordado por ambas partes.

Artículo 19 Los equipos de red clave y los productos de seguridad de red deberán cumplir con los requisitos obligatorios de las normas nacionales y estándares industriales pertinentes, y deben estar sujetos a una certificación de seguridad realizada por instituciones calificadas o pruebas de seguridad que cumplan con los requisitos antes de que puedan ser vendido. El departamento nacional de ciberseguridad e informatización debe trabajar con los departamentos pertinentes del Consejo de Estado para formular y publicar un catálogo de equipos de red clave y productos especiales de seguridad de red, promover el reconocimiento mutuo de las certificaciones de seguridad y los resultados de las pruebas de seguridad, y evitar certificaciones y pruebas repetidas.

Artículo 20 Cuando un operador de red firma un acuerdo con un usuario o confirma la prestación de servicios, el operador de red deberá exigir al usuario que se encargue del acceso a la red y los servicios de registro de nombres de dominio para el usuario, y que se encargue de los procedimientos de acceso a la red. como llamadas a teléfonos fijos y móviles, o proporcionar al usuario Al proporcionar servicios de divulgación de información, proporcionar información de identidad verdadera. Si los usuarios no proporcionan su verdadera información de identidad, los operadores de red no podrán proporcionar servicios relevantes.

El estado apoya la investigación y el desarrollo de tecnología de autenticación electrónica segura y conveniente y promueve el reconocimiento mutuo y la similitud entre diferentes tecnologías de autenticación electrónica.

Artículo 21 Los operadores de red deberán formular planes de contingencia para incidentes de seguridad de la red para responder con prontitud a los riesgos de seguridad, como vulnerabilidades del sistema, virus informáticos, intrusiones en la red y ataques a la red, una vez que ocurra un incidente que ponga en peligro la seguridad de la red, iniciar inmediatamente; Elaborar planes de emergencia, tomar las medidas correctivas correspondientes e informar a las autoridades pertinentes de acuerdo con la normativa.

Artículo 22: Ningún individuo u organización podrá participar en actividades que pongan en peligro la seguridad de la red, como intrusión en las redes de otras personas, interferir con las funciones normales de las redes de otras personas, robar datos de la red, etc. No se le permite proporcionar herramientas ni métodos de producción para actividades que pongan en peligro la seguridad de la red, como invadir la red, interferir con las funciones normales de la red, robar datos de la red, etc. No se le permite proporcionar soporte técnico, publicidad, promoción, pago y acuerdo para que otros realicen actividades que pongan en peligro la seguridad de la red.

Artículo 23: Para las necesidades de seguridad nacional e investigación criminal, los organismos de investigación podrán exigir a los operadores de red que proporcionen el apoyo y la asistencia necesarios de conformidad con la ley.

Artículo 24: El Estado apoya a los operadores de redes para que cooperen en la recopilación, análisis, informes y respuesta de emergencia de información de seguridad de redes para mejorar las capacidades de seguridad de los operadores de redes.

Las organizaciones industriales relevantes deben establecer y mejorar las especificaciones de protección de la seguridad de la red y los mecanismos de cooperación en la industria, fortalecer el análisis y la evaluación de riesgos de seguridad de la red, proporcionar periódicamente advertencias de riesgo a los miembros y apoyar y ayudar a los miembros a responder a la seguridad de la red. riesgos.

Sección 2 Seguridad Operacional de la Infraestructura Crítica de Información

Artículo 25 El Estado es responsable de proporcionar redes de información básica para las comunicaciones públicas, transmisión de radio y televisión y otros servicios, energía, transporte, agua. conservación, etc. Sistemas de información importantes en industrias importantes como, finanzas, etc., redes de información básica para servicios públicos como suministro de energía, suministro de agua, suministro de gas, atención médica y sanitaria, y seguridad social, redes militares y asuntos gubernamentales. Redes como agencias estatales a nivel municipal o superior divididas en distritos. Además de una gran cantidad de redes y sistemas propiedad de proveedores de servicios de red o administrados por ellos (en adelante, infraestructura de información crítica), el Consejo de Estado formulará medidas de protección de seguridad para la infraestructura de información crítica.

Artículo 26 Los departamentos competentes del Consejo de Estado para transporte, radio y televisión, energía, transporte, conservación de agua, finanzas y otras industrias y otros departamentos relevantes del Consejo de Estado (en lo sucesivo denominados colectivamente los departamentos responsable de la protección de la seguridad de la infraestructura de información importante) deberá, de acuerdo con el Consejo de Estado La división de responsabilidades estipulada es responsable de guiar y supervisar la protección de la seguridad de la infraestructura de información importante.

Artículo 27 La construcción de infraestructura de información crítica deberá garantizar su desempeño para soportar el funcionamiento estable y continuo de los negocios, y garantizar la planificación, construcción y uso simultáneo de medidas técnicas de seguridad.

Artículo 28 Además de lo dispuesto en el artículo 17 de esta Ley, los operadores de infraestructuras de información crítica también cumplirán las siguientes obligaciones de protección de la seguridad:

(1) Establecer un centro de gestión de seguridad dedicado La agencia y la persona a cargo de la gestión de seguridad deberán realizar verificaciones de antecedentes de seguridad de la persona a cargo y del personal clave del puesto;

(2) Realizar periódicamente educación sobre seguridad de redes, capacitación técnica y evaluación de habilidades para los empleados;

(3) Copia de seguridad de recuperación ante desastres de sistemas y bases de datos importantes;

(4) Formular planes de contingencia para incidentes de seguridad de la red y organizar simulacros regulares;

(5) Requerido por leyes y reglamentos administrativos Otras Obligaciones.

Artículo 29 Cuando los operadores de infraestructuras de información crítica adquieran productos y servicios de red, firmarán un acuerdo de confidencialidad de seguridad con el proveedor para aclarar las obligaciones y responsabilidades de confidencialidad de seguridad.

Artículo 30: Los operadores de infraestructura de información crítica que compren productos o servicios de red que puedan afectar la seguridad nacional deben pasar una revisión de seguridad organizada por el departamento nacional de ciberseguridad e informatización en conjunto con los departamentos pertinentes del Consejo de Estado. Las medidas específicas serán formuladas por el Consejo de Estado.

Artículo 31 Los operadores de infraestructura de información crítica almacenarán la información personal de los ciudadanos y otros datos importantes recopilados y generados durante las operaciones dentro del territorio de la República Popular China debido a necesidades comerciales, si es realmente necesario almacenar o; transferencia al extranjero Si son proporcionadas por organizaciones o individuos extranjeros, las evaluaciones de seguridad deben realizarse de acuerdo con los métodos formulados por el departamento nacional de ciberseguridad e informatización en conjunto con los departamentos pertinentes del Consejo de Estado. Si las leyes y reglamentos administrativos dispusieran lo contrario, prevalecerán tales disposiciones.

Artículo 32 Los operadores de infraestructuras de información importantes realizarán al menos una inspección y evaluación anual de la seguridad de su red y de los posibles riesgos por sí mismos o confiarán la tarea a una organización profesional, y propondrán medidas de inspección, evaluación y mejora de la red. Los informes de seguridad se presentarán a los departamentos pertinentes responsables de la protección de la seguridad de la infraestructura de información importante.

Artículo 33: El departamento nacional de ciberseguridad e informatización coordinará con los departamentos pertinentes y establecerá un mecanismo de colaboración. Se pueden tomar las siguientes medidas para proteger la seguridad de la infraestructura de información crítica:

(1) Realizar verificaciones aleatorias de los riesgos de seguridad de la infraestructura de información crítica, proponer medidas de mejora y confiar a agencias profesionales de inspección y prueba para verificar la seguridad de la red si es necesario Detectar y evaluar riesgos;

(2) Organizar unidades operativas de infraestructura de información crítica para realizar simulacros de emergencia de seguridad de red regulares para mejorar el nivel y las capacidades de coordinación de la infraestructura de información crítica en respuesta a la red incidentes de seguridad;

(3) Promover el intercambio de información de seguridad de red entre departamentos relevantes, operadores de infraestructura de información crítica, agencias de servicios de seguridad de red e instituciones de investigación relevantes;

(4) Proporcionar servicios de emergencia respuesta y soporte ante incidentes de seguridad de la red Recovery proporciona soporte y asistencia técnica.

Capítulo 4 Seguridad de la información de la red

Artículo 34 Los operadores de redes deben establecer y mejorar sistemas de protección de la información de los usuarios y fortalecer la protección de la información personal, la privacidad y los secretos comerciales de los usuarios.

Artículo 35 Cuando los operadores de red recopilen y utilicen información personal de los ciudadanos, deberán seguir los principios de legalidad, equidad y necesidad, establecer claramente el propósito, método y alcance de la recopilación y el uso de la información, y obtener la consentimiento de las personas que se recogen del consentimiento.

Los operadores de red no recopilarán información personal de los ciudadanos que sea irrelevante para los servicios que brindan, y no recopilarán ni utilizarán información personal de los ciudadanos en violación de las disposiciones de las leyes, los reglamentos administrativos y los acuerdos entre los Las partes deberán cumplir con las disposiciones de las leyes, reglamentos administrativos o Acuerdos con el usuario para el procesamiento de la información personal de los ciudadanos almacenada por él.

Cuando los operadores de red recopilan y utilizan información personal de los ciudadanos, deben revelar sus reglas de recopilación y uso.

Artículo 36 Los operadores de red deben mantener estrictamente la confidencialidad de la información personal de los ciudadanos recopilada y no la filtrarán, manipularán, destruirán, venderán ni proporcionarán ilegalmente a otros.

Los operadores de red deben tomar medidas técnicas y otras medidas necesarias para garantizar la seguridad de la información personal de los ciudadanos y evitar la filtración, el daño y la pérdida de la información personal de los ciudadanos que recopilan. Cuando la información se filtra, se daña o se pierde, se deben tomar medidas correctivas de inmediato, se debe informar a los usuarios que puedan verse afectados y se deben reportar los informes a las autoridades competentes pertinentes de acuerdo con las regulaciones.

Artículo 37 Si los ciudadanos descubren que un operador de red ha recopilado o utilizado su información personal en violación de leyes, reglamentos administrativos o acuerdo mutuo, tienen derecho a solicitar al operador de red que elimine su información personal si; descubren que un operador de red ha recopilado o utilizado su información personal. Si hay errores en la información personal almacenada, tiene derecho a solicitar al operador de red que la corrija.

Artículo 38: Ningún individuo u organización podrá robar u obtener información personal de los ciudadanos por otros medios ilegales, y no podrá vender o proporcionar ilegalmente información personal de los ciudadanos a otros.

Artículo 39: Los departamentos que tengan a su cargo la supervisión y gestión de la seguridad de la red de conformidad con la ley deberán mantener estrictamente confidencial la información personal, la privacidad y los secretos comerciales de los ciudadanos que conozcan en el desempeño de sus funciones, y no debe filtrarlos, venderlos ni proporcionarlos ilegalmente a otros.

Artículo 40 Los operadores de redes deberán fortalecer la gestión de la información difundida por los usuarios. Si se descubre información cuya divulgación o difusión está prohibida por leyes o reglamentos administrativos, se debe detener la difusión de inmediato, se deben tomar medidas para eliminarla y otras medidas para evitar la difusión de información, se deben mantener los registros pertinentes y se deben presentar informes. a las autoridades competentes pertinentes.

Artículo 41 La información electrónica enviada por remitentes de información electrónica y el software de aplicación proporcionado por proveedores de software de aplicación no estará equipado con programas maliciosos y no contendrá información cuya divulgación o difusión esté prohibida por las leyes y reglamentos administrativos.

Los proveedores de servicios de envío de información electrónica y los proveedores de servicios de descarga de software de aplicaciones deberán cumplir con las obligaciones de gestión de seguridad.

Si se descubre que los remitentes de información electrónica o los proveedores de software de aplicaciones han cometido los actos especificados en el párrafo anterior, dejarán de prestar servicios, tomarán medidas tales como la eliminación, guardarán los registros pertinentes e informarán a las autoridades competentes pertinentes.

Artículo 42 Los operadores de red establecerán una plataforma para quejas e informes de seguridad de la información de la red, publicarán quejas e informes y otra información, y aceptarán y manejarán rápidamente las quejas e informes de seguridad de la información de la red.

Artículo 43 El departamento nacional de ciberseguridad e informatización y los departamentos pertinentes desempeñarán las responsabilidades de gestión y supervisión de la seguridad de la red de acuerdo con la ley si descubren información cuya divulgación o transmisión está prohibida por las leyes y reglamentos administrativos. exigirán a los operadores de red que detengan la transmisión y tomen medidas para eliminarla y otras medidas, y mantengan registros pertinentes de la información antes mencionada de la República Popular China y del extranjero, y se deberá notificar a los organismos pertinentes para que tomen medidas técnicas y otras; medidas necesarias para bloquear la difusión de información.

Capítulo 5 Monitoreo, Alerta Temprana y Respuesta a Emergencias

Artículo 44: El Estado establece un sistema de monitoreo, alerta temprana y notificación de información de la seguridad de la red. El departamento nacional de ciberseguridad e informatización debe coordinar y coordinar los departamentos pertinentes para fortalecer la recopilación, el análisis y la presentación de informes de información de ciberseguridad, y publicar de manera uniforme información de monitoreo y alerta temprana de ciberseguridad de acuerdo con las regulaciones.

Artículo 45: El departamento responsable de la protección de seguridad de la infraestructura de información crítica establecerá y mejorará el sistema de monitoreo de seguridad de la red, alerta temprana y reporte de información para esta industria y campo, y presentará monitoreo de seguridad de la red y alerta temprana. información de acuerdo con la normativa.

Artículo 46 El Ministerio de Asuntos del Ciberespacio coordinará los departamentos pertinentes para establecer y mejorar el mecanismo de respuesta a emergencias de seguridad de la red, formular planes de contingencia para incidentes de seguridad de la red y organizar simulacros periódicos.

El departamento responsable de la protección de la seguridad de la infraestructura de información crítica debe formular planes de emergencia para incidentes de seguridad de la red en esta industria y campo, y organizar simulacros periódicos.

Los planes de emergencia para incidentes de ciberseguridad deben clasificar los incidentes de ciberseguridad en función de factores como el grado de daño y el alcance del impacto después de que ocurra el incidente, y estipular las medidas de emergencia correspondientes.

Artículo 47: Cuando un incidente de seguridad de la red está a punto de ocurrir o aumenta la posibilidad, los departamentos pertinentes del gobierno popular a nivel de condado o superior emitirán alertas tempranas al mismo nivel de acuerdo con las normas pertinentes. leyes, reglamentos administrativos y la autoridad y procedimientos prescritos por el Consejo de Estado información, y tomar las siguientes medidas en función de las características del próximo incidente y el posible daño:

(1) Requerir a los departamentos e instituciones pertinentes. y personal para recopilar y reportar información relevante de manera oportuna, y fortalecer la respuesta a los incidentes de seguridad de la red y el monitoreo del desarrollo;

(2) Organizar departamentos, instituciones y profesionales relevantes para analizar y evaluar los incidentes de seguridad de la red. información y predecir la posibilidad, el alcance del impacto y el grado de daño del incidente;

(3) Difundir información de pronóstico relacionada con el público y resultados de análisis y evaluación al público;

(4) Proporcionar alerta temprana al público sobre incidentes de seguridad de la red que puedan verse perjudicados de acuerdo con las regulaciones y emitir medidas para evitar y mitigar el daño.

Artículo 48 Cuando ocurre un incidente de seguridad de la red, los departamentos pertinentes del gobierno popular a nivel de condado o superior activarán inmediatamente un plan de emergencia para incidentes de seguridad de la red, investigarán y evaluarán el incidente de seguridad de la red y requerirán que la red Los operadores deben tomar medidas técnicas y otras medidas necesarias para eliminar los riesgos de seguridad, prevenir la expansión del daño y divulgar rápidamente información relevante de alerta temprana al público.

Artículo 49 Si ocurre una emergencia o un accidente de seguridad de producción debido a un incidente de seguridad de la red, se manejará de acuerdo con la "Ley de Respuesta a Emergencias de la República Popular China", la "Ley de Seguridad de Producción de la República Popular China" y otras leyes pertinentes.

Artículo 50 El Consejo de Estado o los gobiernos populares de las provincias, regiones autónomas y municipios directamente dependientes del Gobierno Central podrán, con la aprobación del Consejo de Estado, adoptar restricciones de red en algunas áreas en función de las necesidades de mantener la seguridad nacional y el orden público y manejar grandes emergencias de seguridad social, medidas temporales como las comunicaciones.

Capítulo 6 Responsabilidades Legales

Artículo 51 Si un operador de red no cumple con sus obligaciones de protección de la seguridad de la red estipuladas en los artículos 17 y 21 de esta Ley, será responsable ante las autoridades competentes pertinentes. ordenará correcciones y emitirá advertencias; aquellos que se nieguen a corregir o causen consecuencias tales como poner en peligro la seguridad de la red serán multados con no menos de 10.000 RMB pero no más de 100.000 RMB; la persona directamente responsable será multada con no menos de 5.000 RMB; no más de 50.000 RMB.

Si el operador de infraestructuras de información crítica incumple las obligaciones de protección de la seguridad de la red previstas en los artículos 27 a 29 y 32 de esta Ley, las autoridades competentes correspondientes le ordenarán que realice las correcciones necesarias; si se niega a corregir o causa consecuencias tales como poner en peligro la seguridad de la red, se le impondrá una multa de no menos de 100.000 yuanes pero no más de 1 millón de yuanes; la persona a cargo que sea directamente responsable será multada no menos de 10.000 yuanes pero no más de 1 millón de yuanes; 100.000 yuanes.

Artículo 52 Si cualquier proveedor de productos y servicios de red, remitente de información electrónica o proveedor de software de aplicación viola las disposiciones de esta Ley y comete cualquiera de los siguientes actos, las autoridades competentes correspondientes le ordenarán realizar correcciones y emitir una advertencia que se niegue a corregir o cause consecuencias tales como poner en peligro la seguridad de la red será multada con no menos de 50.000 RMB pero no más de 500.000 RMB; la persona a cargo que sea directamente responsable será multada con no menos de 10.000 RMB pero no; más de 100.000 RMB:

( 1) Configurar programas maliciosos

(2) Sus productos y servicios tienen la función de recopilar información del usuario y no dejar esto claro a los usuarios; y obtener su consentimiento;

(3) No notificarles de manera oportuna que los Usuarios tomen medidas correctivas para identificar defectos de seguridad, vulnerabilidades y otros riesgos en sus productos y servicios;

( 4) Terminar el mantenimiento de seguridad de sus productos y servicios sin autorización.

Artículo 53 Si un operador de red viola las disposiciones de esta Ley al no exigir a los usuarios que proporcionen su información de identidad verdadera, o al no proporcionar servicios relevantes a los usuarios que no han proporcionado su información de identidad verdadera, las autoridades competentes pertinentes. les ordenará que hagan correcciones; si no se hacen correcciones o las circunstancias son graves, se les podrá imponer una multa de no menos de 50.000 RMB pero no más de 500.000 RMB, y las autoridades competentes pertinentes podrán ordenar la suspensión. de negocios relevantes, suspensión de operaciones para rectificación, cierre de sitios web, revocación de licencias comerciales relevantes o revocación de licencias comerciales, la persona a cargo directamente responsable será multada con no menos de 10.000 RMB pero no más; de 100.000 RMB.

Artículo 54 Si un operador de red viola las disposiciones de esta Ley e infringe los derechos de los ciudadanos a proteger la información personal de conformidad con la ley, los departamentos competentes pertinentes ordenarán correcciones y podrán imponer una advertencia, confiscar ganancias ilegales, o imponer multas ya sea solas o en combinación. Se impondrá una multa de no menos de una vez pero no más de diez veces el ingreso ilegal. Si no hay ingresos ilegales, se impondrá una multa de no más de 500.000 yuanes. impuesto si las circunstancias son graves, se puede ordenar a la persona que suspenda el negocio correspondiente, suspenda el negocio para su rectificación, cierre el sitio web, revoque la licencia comercial correspondiente o revoque la licencia comercial a la persona directamente responsable y a otros directamente responsables. El personal será multado con no menos de 10.000 RMB pero no más de 100.000 RMB.

Si alguien viola las disposiciones de esta ley al robar u obtener, vender o proporcionar ilegalmente a otros información personal de un ciudadano, lo cual no constituye un delito, las ganancias ilegales serán confiscadas por el público. órganos de seguridad y se impondrá una multa de más de una vez de las ganancias ilícitas. Una multa de hasta diez veces. Si no hay ingresos ilegales, se impondrá una multa de no más de 500.000 yuanes.

Artículo 55 Si un operador de infraestructura crítica de información viola lo dispuesto en el artículo 30 de esta Ley al utilizar productos o servicios de red que no hayan sido sujetos a revisión de seguridad o no hayan pasado la revisión de seguridad, se le ordenará detener si se utiliza, se impondrá una multa de no menos de 1 vez pero no más de 10 veces el monto de la compra a la persona directamente responsable a cargo y al resto del personal directamente responsable se le impondrá una multa de no menos de 10.000 yuanes; pero no más de 100.000 yuanes.

Artículo 56: Si los operadores de infraestructura de información importante violan las disposiciones de esta Ley al almacenar datos de la red en el extranjero o proporcionar datos de la red a organizaciones o individuos en el extranjero sin una evaluación de seguridad, las autoridades competentes pertinentes ordenarán que se hagan correcciones. , dar una advertencia, confiscar ganancias ilegales e imponer una multa de no menos de 50.000 yuanes pero no más de 500.000 yuanes, y se le puede ordenar suspender negocios, suspender negocios para rectificación, cerrar el sitio web, revocar la licencia comercial correspondiente, o revocar la licencia comercial; el personal supervisor directamente responsable y otras personas directamente responsables serán multadas con no menos de 10.000 RMB pero no más de 100.000 RMB.

Artículo 57 Si un operador de red viola las disposiciones de esta Ley y no deja de transmitir información prohibida por las leyes y reglamentos administrativos, o no toma medidas tales como la eliminación y conservación de los registros pertinentes, las autoridades competentes correspondientes deberán ordenarle que haga correcciones, dar una advertencia y confiscar ganancias ilegales si se niega a hacer correcciones o si las circunstancias son graves, se le puede imponer una multa de no menos de 100 000 RMB pero no más de 500 000 RMB, y se le puede ordenar la suspensión correspondiente. negocios, suspender negocios para su rectificación, cerrar el sitio web, revocar licencias comerciales relevantes o revocar la licencia comercial. La persona directamente responsable a cargo y otro personal directamente responsable serán multados con no menos de RMB 20.000 pero no más de RMB 200.000;

Si un prestador de servicios de envío de información electrónica o un prestador de servicios de descarga de software de aplicaciones incumple las obligaciones de seguridad previstas en esta ley, será sancionado de conformidad con lo dispuesto en el párrafo anterior.

Artículo 58 El que publique o difunda información prohibida por leyes o reglamentos administrativos será sancionado de conformidad con lo dispuesto en las leyes y reglamentos administrativos correspondientes.

Artículo 59: Si un operador de Internet viola las disposiciones de esta Ley y comete cualquiera de los siguientes actos, las autoridades competentes correspondientes le ordenarán realizar correcciones si se niega a realizarlas o si las circunstancias lo permiten; grave, se le impondrá una multa de no menos de 50.000 yuanes pero no menos de 500.000 yuanes. Se impondrá una multa de no menos de 10.000 RMB y no más de 100.000 RMB a la persona directamente responsable a cargo y al resto del personal directamente responsable:

(1) No informar los riesgos de seguridad de la red y los incidentes de seguridad de la red a las autoridades competentes pertinentes.

(2) Negarse u obstruir a los departamentos pertinentes para llevar a cabo supervisión e inspección de acuerdo con la ley;

(3) Negarse a proporcionar el apoyo y la asistencia necesarios.

Artículo 60: No constituye delito quien cometa actos que pongan en peligro la seguridad de la red según lo estipulado en el artículo 22 de esta Ley, o cometa otros actos que violen las disposiciones de esta Ley y constituyan violaciones a la gestión de la seguridad pública, Imponer sanciones en materia de gestión de la seguridad pública.

Artículo 61 Si un operador de red gubernamental de una agencia estatal no cumple con sus obligaciones de protección de la seguridad de la red estipuladas en esta Ley, su agencia superior o agencia correspondiente le ordenará que realice las correcciones al responsable directo; y se ordenará a otras personas directamente responsables que realicen correcciones. El personal será sancionado de conformidad con la ley.

Artículo 62 Si el personal de los departamentos legalmente responsables de la supervisión y gestión de la seguridad de la red descuida sus deberes, abusa de sus poderes, incurre en malas prácticas para beneficio personal, y esto no constituye delito, se le impondrá sanción administrativa. sanciones conforme a la ley.

Artículo 63 El que viole las disposiciones de esta Ley y cause daño a otros, incurrirá en responsabilidad civil conforme a la ley.

Artículo 64 El que viole las disposiciones de esta Ley y constituya un delito, será investigado por responsabilidad penal conforme a la ley.

Capítulo 7 Disposiciones Complementarias

Artículo 65 El significado de los siguientes términos en esta Ley:

(1) Red se refiere a lo siguiente de acuerdo con ciertas reglas y procedimientos, redes y sistemas compuestos por computadoras u otros terminales de información y equipos relacionados que recopilan, almacenan, transmiten, intercambian y procesan información.

(2) La seguridad de la red se refiere a tomar las medidas necesarias para prevenir ataques, intrusiones, interferencias, destrucción, uso ilegal y accidentes en la red, mantener la red en un estado estable y confiable y garantizar que la red almacena, la integridad, confidencialidad y disponibilidad de la información transmitida y procesada.

(3) Los operadores de red se refieren a los propietarios y administradores de redes y proveedores de servicios de red que brindan servicios relacionados a través de redes de propiedad o administradas por otros, incluidos los operadores de negocios de telecomunicaciones básicas y proveedores de servicios de información de red y operadores de servicios críticos. sistemas de información.

(4) Los datos de la red se refieren a varios tipos de datos electrónicos recopilados, almacenados, transmitidos, procesados ​​y generados a través de la red.

(5) La información personal del ciudadano se refiere al nombre, fecha de nacimiento, número de identificación, información biométrica personal, ocupación, dirección, número de teléfono, etc. de un ciudadano que puede identificar la identidad del ciudadano por sí solo o en combinación con otra información. Información de identificación.

Artículo 66: La protección de la seguridad operativa de las redes que almacenen y procesen información secreta de Estado deberá ajustarse a lo dispuesto en esta Ley y en las leyes y reglamentos administrativos de confidencialidad.

Artículo 67: Las medidas de protección de la seguridad de la red militar y de la información serán formuladas por la Comisión Militar Central.

Artículo 68 La presente Ley entrará en vigor el 1 de enero de 1998.