網路安全保護與合法經營管理

1. 網路運營者履行哪些安全保護義務

法律分析：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；

（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

（四）採取數據分類、重要數據備份和加密等措施；作規程，確定網路安全負責人，落實網路安全保護責任；

法律依據：《中華人民共和國消費者權益保護法》 第六條 保護消費者的合法權益是全社會的共同責任。國家鼓勵、支持一切組織和個人對損害消費者合法權益的行為進行社會監督。大眾傳播媒介應當做好維護消費者合法權益的宣傳，對損害消費者合法權益的行為進行輿論監督。

2. 通信網路安全防護管理辦法

隨著我國通信業和信息化的發展，政治、經濟、文化和社會生活對通信網路的依賴度越來越高，通信網路已成為國家關鍵基礎設施。通信網路一旦發生中斷、癱瘓或擁塞，或者其中傳輸、存儲、處理的數據信息丟失、泄露或被非法篡改，將對社會經濟生活造成嚴重影響。完善通信網路安全保障法律制度，有利於提高通信網路安全防護能力和水平。
此外，隨著信息通信技術的迅速發展，通信網路加快向數字化、寬頻化和智能化演進，通信網路面臨的安全威脅日益多樣化，網路攻擊、信息竊取等非傳統安全問題十分突出。相對於傳統安全問題，非傳統安全問題的隱蔽性更強，處置工作和技術要求更高。結合信息通信技術發展的特點制定規則建立通信網路分級、備案、安全風險評估等制度，有利於應對非傳統安全威脅。
確立了通信網路單元的分級保護制度，規定通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分，並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度等因素，由低到高分別劃分為五級。
通信網路安全防護管理辦法建立了哪些安全防護制度？
一是通信網路單元的分級和備案制度。
二是安全防護措施的符合性評測制度。
三是通信網路安全風險評估制度。
四是通信網路安全防護檢查制度。
法律依據：
《通信網路安全防護管理辦法》
第一條為了加強對通信網路安全的管理，提高通信網路安全防護能力，保障通信網路安全暢通，根據《中華人民共和國電信條例》，制定本辦法。
第二條中華人民共和國境內的電信業務經營者和互聯網域名服務提供者（以下統稱「通信網路運行單位」）管理和運行的公用通信網和互聯網（以下統稱「通信網路」）的網路安全防護工作，適用本辦法。
本辦法所稱互聯網域名服務，是指設置域名資料庫或者域名解析伺服器，為域名持有者提供域名注冊或者權威解析服務的行為。
本辦法所稱網路安全防護工作，是指為防止通信網路阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網路中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。
第三條通信網路安全防護工作堅持積極防禦、綜合防範、分級保護的原則。

3. 網路安全政策

法律分析：國家對網路安全行業越來越重視，未來人才培訓和產業規模發展前景可觀，如何規范，保障網路安全行業健康發展，國家出台了一系列相關法規政策：

2016年11月：《中華人民共和國網路安全法》，於2017年6月1日開始實施。主要強調了金融、能源、交通、電子政務等行業在網路安全等級保護制度的建設，是我國第一部網路空間管理方面的基礎性法律。

2017年1月：《關於促進互聯網健康有序發展的意見》，意見要求要加快完善市場准入制度，提升網路安全保障水平，維護用戶合法權益、打擊網路違法犯罪、增強網路管理能力，防範移動互聯網安全風險。

2018年3月：《關於推動資本市場服務網路強國建設的指導意見》，意見重點強調要推動網信事業和資本市場協調發展，保障國家網路安全和金融安全，促進網信和證券監督工作聯動。

2019年3月：《中央企業負責人經營業績考核辦法》，將網路安全納入考核范圍。

2019年10月：《中華人民共和國密碼法》，將規范密碼應用和管理，促進密碼事業發展，保障網路與信息安全，提出了國家對密碼實行分類管理。

2019年5月24日：《網路安全審查辦法（徵求意見稿）》，由國家網信辦發布。

2019年7月2日：《雲計算服務安全評估辦法》，由國家網信辦、發改委、工信部及財政部。

法律依據：《中華人民共和國網路安全法》 第一條 為了保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。

4. 通信網路安全防護管理辦法

第一條為了加強對通信網路安全的管理，提高通信網路安全防護能力，保障通信網路安全暢通，根據《中華人民共和國電信條例》，制定本辦法。第二條中華人民共和國境內的電信業務經營者和互聯網域名服務提供者（以下統稱「通信網路運行單位」）管理和運行的公用通信網和互聯網（以下統稱「通信網路」）的網路安全防護工作，適用本辦法。
本辦法所稱互聯網域名服務，是指設置域名資料庫或者域名解析伺服器，為域名持有者提供域名注冊或者權威解析服務的行為。
本辦法所稱網路安全防護工作，是指為防止通信網路阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網路中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。第三條通信網路安全防護工作堅持積極防禦、綜合防範、分級保護的原則。第四條中華人民共和國工業和信息化部（以下簡稱工業和信息化部）負責全國通信網路安全防護工作的統一指導、協調和檢查，組織建立健全通信網路安全防護體系，制定通信行業相關標准。
各省、自治區、直轄市通信管理局（以下簡稱通信管理局）依據本辦法的規定，對本行政區域內的通信網路安全防護工作進行指導、協調和檢查。
工業和信息化部與通信管理局統稱「電信管理機構」。第五條通信網路運行單位應當按照電信管理機構的規定和通信行業標准開展通信網路安全防護工作，對本單位通信網路安全負責。第六條通信網路運行單位新建、改建、擴建通信網路工程項目，應當同步建設通信網路安全保障設施，並與主體工程同時進行驗收和投入運行。
通信網路安全保障設施的新建、改建、擴建費用，應當納入本單位建設項目概算。第七條通信網路運行單位應當對本單位已正式投入運行的通信網路進行單元劃分，並按照各通信網路單元遭到破壞後可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度，由低到高分別劃分為一級、二級、三級、四級、五級。
電信管理機構應當組織專家對通信網路單元的分級情況進行評審。
通信網路運行單位應當根據實際情況適時調整通信網路單元的劃分和級別，並按照前款規定進行評審。第八條通信網路運行單位應當在通信網路定級評審通過後三十日內，將通信網路單元的劃分和定級情況按照以下規定向電信管理機構備案：
（一）基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網路單元的備案；基礎電信業務經營者各省（自治區、直轄市）子公司、分公司向當地通信管理局申請辦理其負責管理的通信網路單元的備案；
（二）增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案；
（三）互聯網域名服務提供者向工業和信息化部備案。第九條通信網路運行單位辦理通信網路單元備案，應當提交以下信息：
（一）通信網路單元的名稱、級別和主要功能；
（二）通信網路單元責任單位的名稱和聯系方式；
（三）通信網路單元主要負責人的姓名和聯系方式；
（四）通信網路單元的拓撲架構、網路邊界、主要軟硬體及型號和關鍵設施位置；
（五）電信管理機構要求提交的涉及通信網路安全的其他信息。
前款規定的備案信息發生變化的，通信網路運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。
通信網路運行單位報備的信息應當真實、完整。第十條電信管理機構應當對備案信息的真實性、完整性進行核查，發現備案信息不真實、不完整的，通知備案單位予以補正。第十一條通信網路運行單位應當落實與通信網路單元級別相適應的安全防護措施，並按照以下規定進行符合性評測：
（一）三級及三級以上通信網路單元應當每年進行一次符合性評測；
（二）二級通信網路單元應當每兩年進行一次符合性評測。
通信網路單元的劃分和級別調整的，應當自調整完成之日起九十日內重新進行符合性評測。
通信網路運行單位應當在評測結束後三十日內，將通信網路單元的符合性評測結果、整改情況或者整改計劃報送通信網路單元的備案機構。第十二條通信網路運行單位應當按照以下規定組織對通信網路單元進行安全風險評估，及時消除重大網路安全隱患：
（一）三級及三級以上通信網路單元應當每年進行一次安全風險評估；
（二）二級通信網路單元應當每兩年進行一次安全風險評估。
國家重大活動舉辦前，通信網路單元應當按照電信管理機構的要求進行安全風險評估。
通信網路運行單位應當在安全風險評估結束後三十日內，將安全風險評估結果、隱患處理情況或者處理計劃報送通信網路單元的備案機構。

5. 網路運營者應當履行哪些安全保護義務

法律分析：國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：

（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；

（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

（四）採取數據分類、重要數據備份和加密等措施；作規程，確定網路安全負責人，落實網路安全保護責任。

法律依據：《中華人民共和國消費者權益保護法》 第六條 保護消費者的合法權益是全社會的共同責任。國家鼓勵、支持一切組織和個人對損害消費者合法權益的行為進行社會監督。大眾傳播媒介應當做好維護消費者合法權益的宣傳，對損害消費者合法權益的行為進行輿論監督。

6. 網路安全責任制管理辦法

一、網路運營者開展經營和服務活動必須接受社會監督
【法律規定】網路安全法第九條規定，網路運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網路安全保護義務，接受政府和社會的監督，承擔社會責任。
【專家解讀】網路時代，社會治理模式正在從單純的政府監管向更加註重社會協同治理轉變;網路生態安全的復雜性也決定了做好網路安全工作不是某個機構、某個部門的事，而需要自上而下、全民參與。網路安全法明確了網路運營者應接受政府和社會的監督，將政府部門的監管執法、網路運營者的責任與社會公眾的監督治理有效對接。
二、發現個人信息被冒用有權要求網路運營者刪除
【法律規定】網路安全法第四十三條規定，個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的，有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。
【專家解讀】中國互聯網協會發布的《2016中國網民權益保護調查報告》顯示，自2015年7月至2016年6月，我國網民因詐騙信息、個人信息泄露等遭受的經濟損失高達915億元。各類網路詐騙，尤其是精準詐騙，源頭都是個人信息泄露。
為保障網路信息依法有序自由流動，保護公民個人信息安全，防止公民個人信息被竊取、泄露和非法使用，網路安全法特別規定了公民個人信息保護的基本法律制度。通過舉報要求網路運營者及時刪除被冒用的個人信息，是公民加強個人信息保護的有力武器。
三、網路運營者應當建立舉報制度、公布舉報方式、及時受理舉報
【法律規定】網路安全法第四十九條規定，網路運營者應當建立網路信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理並處理有關網路信息安全的投訴和舉報。
【專家解讀】舉報是公眾參與網路空間治理最直接、最便捷的重要途徑。建立暢通、有效的舉報渠道，有利於提高網民參與網路治理的積極性。同時，廣大網民的舉報充分反映了互聯網安全領域的突出問題，也為政府部門行政執法提供了科學依據。
四、網路運營商的一般規定
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
(一)制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任;
(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;
(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
第二十四條網路運營者為用戶辦理網路接入、域名注冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網路運營者不得為其提供相關服務。
第二十五條網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。
第二十八條 網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。
第二十九條 國家支持網路運營者之間在網路安全信息收集、分析、通報和應急處置等方面進行合作，提高網路運營者的安全保障能力。
第三十四條 除本法第二十一條的規定外，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：
(一)設置專門安全管理機構和安全管理負責人，並對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網路安全教育、技術培訓和技能考核;
(三)對重要系統和資料庫進行容災備份;
(四)制定網路安全事件應急預案，並定期進行演練;
(五)法律、行政法規規定的其他義務。
第四十七條 網路運營者應當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，採取消除等處置措施，防止信息擴散，保存有關記錄，並向有關主管部門報告。
第四十九條網路運營者應當建立網路信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理並處理有關網路信息安全的投訴和舉報。
網路運營者對網信部門和有關部門依法實施的監督檢查，應當予以配合。

7. 中華人民共和國網路安全法規定

第一條 為了保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。

第二條 在中華人民共和國境內建設、運營、維護和使用網路，以及網路安全的監督管理，適用本法。

第三條 國家堅持網路安全與信息化發展並重，遵循積極利用、科學發展、依法管理、確保安全的方針，推進網路基礎設施建設和互聯互通，鼓勵網路技術創新和應用，支持培養網路安全人才，建立健全網路安全保障體系，提高網路安全保護能力。

第四條 國家制定並不斷完善網路安全戰略，明確保障網路安全的基本要求和主要目標，提出重點領域的網路安全政策、工作任務和措施。

第五條 國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網路違法犯罪活動，維護網路空間安全和秩序。

第六條 國家倡導誠實守信、健康文明的網路行為，推動傳播社會主義核心價值觀，採取措施提高全社會的網路安全意識和水平，形成全社會共同參與促進網路安全的良好環境。

第七條 國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作，推動構建和平、安全、開放、合作的網路空間，建立多邊、民主、透明的網路治理體系。

第八條 國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網路安全保護和監督管理工作。

縣級以上地方人民政府有關部門的網路安全保護和監督管理職責，按照國家有關規定確定。

第九條 網路運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網路安全保護義務，接受政府和社會的監督，承擔社會責任。

第十條 建設、運營網路或者通過網路提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，採取技術措施和其他必要措施，保障網路安全、穩定運行，有效應對網路安全事件，防範網路違法犯罪活動，維護網路數據的完整性、保密性和可用性。

第十一條 網路相關行業組織按照章程，加強行業自律，制定網路安全行為規范，指導會員加強網路安全保護，提高網路安全保護水平，促進行業健康發展。

第十二條 國家保護公民、法人和其他組織依法使用網路的權利，促進網路接入普及，提升網路服務水平，為社會提供安全、便利的網路服務，保障網路信息依法有序自由流動。

8. 中華人民共和國網路安全法

第一章總 則第一條為了保障網路安全，維護網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定本法。第二條在中華人民共和國境內建設、運營、維護和使用網路，以及網路安全的監督管理，適用本法。第三條國家堅持網路安全與信息化發展並重，遵循積極利用、科學發展、依法管理、確保安全的方針，推進網路基礎設施建設和互聯互通，鼓勵網路技術創新和應用，支持培養網路安全人才，建立健全網路安全保障體系，提高網路安全保護能力。第四條國家制定並不斷完善網路安全戰略，明確保障網路安全的基本要求和主要目標，提出重點領域的網路安全政策、工作任務和措施。第五條國家採取措施，監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞，依法懲治網路違法犯罪活動，維護網路空間安全和秩序。第六條國家倡導誠實守信、健康文明的網路行為，推動傳播社會主義核心價值觀，採取措施提高全社會的網路安全意識和水平，形成全社會共同參與促進網路安全的良好環境。第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作，推動構建和平、安全、開放、合作的網路空間，建立多邊、民主、透明的網路治理體系。第八條國家網信部門負責統籌協調網路安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網路安全保護和監督管理工作。
縣級以上地方人民政府有關部門的網路安全保護和監督管理職責，按照國家有關規定確定。第九條網路運營者開展經營和服務活動，必須遵守法律、行政法規，尊重社會公德，遵守商業道德，誠實信用，履行網路安全保護義務，接受政府和社會的監督，承擔社會責任。第十條建設、運營網路或者通過網路提供服務，應當依照法律、行政法規的規定和國家標準的強制性要求，採取技術措施和其他必要措施，保障網路安全、穩定運行，有效應對網路安全事件，防範網路違法犯罪活動，維護網路數據的完整性、保密性和可用性。第十一條網路相關行業組織按照章程，加強行業自律，制定網路安全行為規范，指導會員加強網路安全保護，提高網路安全保護水平，促進行業健康發展。第十二條國家保護公民、法人和其他組織依法使用網路的權利，促進網路接入普及，提升網路服務水平，為社會提供安全、便利的網路服務，保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律，遵守公共秩序，尊重社會公德，不得危害網路安全，不得利用網路從事危害國家安全、榮譽和利益，煽動顛覆國家政權、推翻社會主義制度，煽動分裂國家、破壞國家統一，宣揚恐怖主義、極端主義，宣揚民族仇恨、民族歧視，傳播暴力、淫穢色情信息，編造、傳播虛假信息擾亂經濟秩序和社會秩序，以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。第十三條國家支持研究開發有利於未成年人健康成長的網路產品和服務，依法懲治利用網路從事危害未成年人身心健康的活動，為未成年人提供安全、健康的網路環境。第十四條任何個人和組織有權對危害網路安全的行為向網信、電信、公安等部門舉報。收到舉報的部門應當及時依法作出處理；不屬於本部門職責的，應當及時移送有權處理的部門。
有關部門應當對舉報人的相關信息予以保密，保護舉報人的合法權益。第二章網路安全支持與促進第十五條國家建立和完善網路安全標准體系。國務院標准化行政主管部門和國務院其他有關部門根據各自的職責，組織制定並適時修訂有關網路安全管理以及網路產品、服務和運行安全的國家標准、行業標准。
國家支持企業、研究機構、高等學校、網路相關行業組織參與網路安全國家標准、行業標準的制定。第十六條國務院和省、自治區、直轄市人民政府應當統籌規劃，加大投入，扶持重點網路安全技術產業和項目，支持網路安全技術的研究開發和應用，推廣安全可信的網路產品和服務，保護網路技術知識產權，支持企業、研究機構和高等學校等參與國家網路安全技術創新項目。