对违反网络安全和信息安全有关规定的行为实施处罚

序号	编码	行使主体	职权类型	职权名称	依据	监督方式	备注
26	330226	浙江省通信管理局	行政处罚	对违反网络安全和信息安全有关规定的行为实施处罚	1.《中华人民共和国网络安全法》（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过，主席令第53号公布）第八条第一款：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。” 第二十一条：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。第二十二条第一款网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。” 第二十五条：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。” 第三十四条：“除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。” 第三十五条：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。” 第三十八条：“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。” 第四十七条：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。” 第四十八条第二款：“电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。” 第五十九条：“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。” 第六十条：“违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令整改，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：（一）设置恶意程序的；（二）对其产品、服务存在安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主部门报告的；（三）擅自终止为其产品、服务提供安全维护的。第六十五条关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。” 第六十八条：“网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。” 2.《中华人民共和国反恐怖主义法》（2015年12月27日第十二届全国人民代表大会常务委员会第十八次会议通过，2018年4月27日第十三届全国人民代表大会常务委员会第二次会议《关于修改<中华人民共和国国境卫生检疫法>等六部法律的决定》修正）第八十四条：“电信业务经营者、互联网服务提供者有下列情形之一的，由主管部门处二十万元以上五十万元以下罚款，并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款；情节严重的，处五十万元以上罚款，并对其直接负责的主管人员和其他直接责任人员，处十万元以上五十万元以下罚款，可以由公安机关对其直接负责的主管人员和其他直接责任人员，处五日以上十五日以下拘留：（一）未依照规定为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的；（二）未按照主管部门的要求，停止传输、删除含有恐怖主义、极端主义内容的信息，保存相关记录，关闭相关网站或者关停相关服务的；（三）未落实网络安全、信息内容监督制度和安全技术防范措施，造成含有恐怖主义、极端主义内容的信息传播，情节严重的。” 3.《中华人民共和国电信条例》（2000年国务院令第291号，2014年国务院令第653号第一次修订，2016年国务院令第666号第二次修订）第三条：“国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下，依照本条例的规定对本行政区域内的电信业实施监督管理。” 第五十六条：“任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。” 第五十七条：“任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；（四）危害电信网络安全和信息安全的其他行为。” 第六十一条：“在公共信息服务中，电信业务经营者发现电信网络中传输的信息明显属于本条例第五十六条所列内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。” 第七十七条：“有本条例第五十六条、第五十七条和第五十八条所列禁止行为之一，情节严重的，由原发证机关吊销电信业务经营许可证。国务院信息产业主管部门或者省、自治区、直辖市电信管理机构吊销电信业务经营许可证后，应当通知企业登记机关。” 4.《互联网信息服务管理办法》（2000年国务院令第292号，2011年国务院令第588号修改）第十四条：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。” 第二十一条：“未履行本办法第十四条规定的义务的，由省、自治区、直辖市电信管理机构责令改正；情节严重的，责令停业整顿或者暂时关闭网站。” 5.《网络产品安全漏洞管理规定》（2021年7月12日工业和信息化部、国家互联网信息办公室、公安部联合发布，工信部联网安〔2021〕66号）第七条：“网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。” 第十二条：“网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、......依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚。” 6.《电信业务经营许可管理办法》（2017年工业和信息化部令第42号）第二十六条：“电信业务经营者应当按照国家和电信管理机构的规定，明确相应的网络与信息安全管理机构和专职网络与信息安全管理人员，建立网络与信息安全保障、网络安全防护、违法信息监测处置、新业务安全评估、网络安全监测预警、突发事件应急处置、用户信息安全保护等制度，并具备相应的技术保障措施。” 7.《互联网域名管理办法》（2017年工业和信息化部令第43号）第四十一条：“域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当遵守国家相关法律、法规和标准，落实网络与信息安全保障措施，配备必要的网络通信应急设备，建立健全网络与信息安全监测技术手段和应急制度。域名系统出现网络与信息安全事件时，应当在24小时内向电信管理机构报告。” 第五十二条：“违反本办法......、第四十一条规定的，由电信管理机构依据职权责令限期改正，可以并处一万元以上三万元以下罚款，向社会公告。” 8.《关键信息基础设施安全保护条例》(2021年国令第745号) 第三条：“国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。第十九条运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。” 第三十九条：“运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；（三）未建立健全网络安全保护制度和责任制的；（四）未设置专门安全管理机构的；（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；（七）专门安全管理机构未履行本条例第十五条规定的职责的；（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。” 第四十条：“运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。” 第四十一条：“运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。” 9.《工业互联网安全分类分级管理办法》（工信部网安〔2024〕68号）第三条：“工业和信息化部统筹指导开展工业互联网安全分类分级管理工作，主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等主管行业领域。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门（以下简称地方工业和信息化主管部门），各省、自治区、直辖市及计划单列市通信管理局（以下简称地方通信管理局）开展本行政区域内工业互联网安全分类分级管理。地方工业和信息化主管部门主要负责指导本行政区域内联网工业企业的安全分类分级管理，同步加强工业控制系统网络安全防护。地方通信管理局主要负责开展本行政区域内平台企业、标识解析企业的安全分类分级管理，并在公共互联网上对联网设备、系统等进行安全监测。” 第五条：“工业互联网安全分类分级管理以工业互联网企业为对象，企业类型主要包括以下三类：（一）应用工业互联网的工业企业（以下简称联网工业企业），主要是指将新一代信息通信技术与工业系统深度融合，推动开展数字化研发、智能化制造、网络化协同、个性化定制、服务化延伸等的工业企业；（二）工业互联网平台企业（以下简称平台企业），主要是指面向制造业数字化、网络化、智能化需求，基于云平台等方式对外提供工业大数据、工业APP等资源和公共服务的企业；（三）工业互联网标识解析企业（以下简称标识解析企业），主要是指工业互联网标识解析根节点运行机构、国家顶级节点运行机构、标识注册服务机构、递归节点运行机构等提供工业互联网标识服务的机构。” 第六条：“工业互联网企业应当按照工业互联网安全定级相关标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响和后果等要素，开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。当企业定级要素发生较大变化，可能影响企业定级结果时，企业应当在发生变化的三个月内重新定级。同时具有联网工业企业、平台企业、标识解析企业中两种及以上属性的企业，应当按照不同类型分别定级。” 第七条：“完成自主定级的工业互联网企业通过全国工业互联网安全分类分级管理平台（以下简称分类分级管理平台）开展信息登记，登记内容包括但不限于企业名称、企业类型、企业级别、联系方式、网络安全负责人等相关情况。地方主管部门通过分类分级管理平台对企业提交登记的材料，在三十个工作日内开展核查，对材料内容不齐全、定级不准确的，应当通知企业在二十个工作日内予以补正。” 第八条：“工业互联网企业应当按照联网工业企业、平台企业、标识解析企业、数据等相关安全防护标准规范，根据企业类型、自身级别落实相适应的安全要求，提升相关设备、控制、网络、平台、数据等的安全防护能力。” 第九条：“工业互联网企业应当按照法律法规和相关标准，自行或委托第三方评测机构，定期开展符合性评测，三级工业互联网企业每年至少开展一次评测，二级工业互联网企业每两年至少开展一次评测。一级工业互联网企业可参照二级企业相关要求开展评测。” 第十条：“工业互联网企业针对发现存在的网络安全风险，应当积极采取措施消除隐患。” 第十一条第三款：“工业互联网企业承担本企业网络安全主体责任，企业主要负责人为本企业网络安全第一责任人，要建立健全企业内部网络安全管理制度，积极将网络安全纳入企业发展规划和工作考核，加大网络安全投入，加强网络安全防护能力建设，有效防范化解网络安全风险。企业应当配合工业和信息化部、地方主管部门的监督管理。” 第十二条第三款：“工业互联网企业应当根据自身级别，建设监测网络运行状态、网络安全事件的技术手段，留存相关的网络日志不少于六个月，采取防范网络攻击、病毒入侵等危害网络安全行为的技术措施，有效发现网络安全风险隐患并及时处置。三级工业互联网企业按照有关标准，加强企业平台与国家、地方平台之间的协同联动。” 第十三条第三款：“工业互联网企业应当制定网络安全事件应急预案，定期开展安全演练，检验企业安全防护和应急处置能力。企业在网络安全事件发生后，立即启动应急预案，采取相应的补救措施。发生一般及以上安全事件的，应当立即向地方主管部门报告。” 第十四条第三款：“工业互联网企业应当配合工业和信息化部、地方主管部门的网络安全检查评估。” 第二十条：“工业互联网企业违反本办法规定，不履行网络和数据安全保护义务的，工业和信息化部、地方主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规予以处理。” 10.《通信网络安全防护管理办法》（2010年工业和信息化部令第11号）第四条：“中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称‘电信管理机构’。” 11.《关于加强车联网网络安全和数据安全的通知》（工信部网安〔2021〕134号）：（五）加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级防护要求，加强网络设施和网络系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。自行或者委托检测机构定期开展网络安全符合性评测和风险评估，及时消除风险隐患。（六）保障车联网通信安全。各相关企业要建立车联网身份认证和安全信任机制，强化车载通信设备、路侧通信设备、服务平台等安全通信能力，采取身份认证、加密传输等必要的技术措施，防范通信信息伪造、数据篡改、重放攻击等安全风险，保障车与车、车与路、车与云、车与设备等场景通信安全...... （七）开展车联网安全监测预警。各相关企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。（八）做好车联网安全应急处置。车联网服务平台运营企业要建立网络安全应急响应机制，制定网络安全事件应急预案，定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。（十）加强平台网络安全管理。车联网服务平台运营企业要采取必要的安全技术措施，加强智能网联汽车、路侧设备等平台接入安全，主机、数据存储系统等平台设施安全，以及资源管理、服务访问接口等平台应用安全防护能力，防范网络侵入、数据窃取、远程控制等安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的，应依法取得电信业务经营许可。认定为关键信息基础设施的，要落实《关键信息基础设施安全保护条例》有关规定，并按照国家有关标准使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。（十一）加强在线升级服务（OTA）安全和漏洞检测评估。智能网联汽车生产企业要建立在线升级服务软件包安全验证机制，采用安全可信的软件。开展在线升级软件包网络安全检测，及时发现产品安全漏洞。加强在线升级服务安全校验能力，采取身份认证、加密传输等技术措施，保障传输环境和执行环境的网络安全。加强在线升级服务全过程的网络安全监测和应急响应，定期评估网络安全状况，防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。（十二）强化应用程序安全管理。智能网联汽车生产企业、车联网服务平台运营企业要建立车联网应用程序开发、上线、使用、升级等安全管理制度，提升应用程序身份鉴别、通信安全、数据保护等安全能力。加强车联网应用程序安全检测，及时处置安全风险，防范恶意应用程序攻击和传播。	监督电话：0571-88092012

序号

编码

行使主体

职权类型

职权名称

依据

监督

方式

备注

330226

浙江省通信管理局

行政处罚

对违反网络安全和信息安全有关规定的行为实施处罚

1.《中华人民共和国网络安全法》（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过，主席令第53号公布）

第八条第一款：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”

第二十一条：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；

（五）法律、行政法规规定的其他义务。

第二十二条第一款网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

第二十五条：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

第三十四条：“除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。”

第三十五条：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”

第三十八条：“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”

第四十七条：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。”

第四十八条第二款：“电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。”

第五十九条：“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。”

第六十条：“违反本法第二十二条第一款、第二款和第四十八条第一款规定，有下列行为之一的，由有关主管部门责令整改，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

（一）设置恶意程序的；

（二）对其产品、服务存在安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主部门报告的；

（三）擅自终止为其产品、服务提供安全维护的。

第六十五条关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

第六十八条：“网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。”

2.《中华人民共和国反恐怖主义法》（2015年12月27日第十二届全国人民代表大会常务委员会第十八次会议通过，2018年4月27日第十三届全国人民代表大会常务委员会第二次会议《关于修改<中华人民共和国国境卫生检疫法>等六部法律的决定》修正）

第八十四条：“电信业务经营者、互联网服务提供者有下列情形之一的，由主管部门处二十万元以上五十万元以下罚款，并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款；情节严重的，处五十万元以上罚款，并对其直接负责的主管人员和其他直接责任人员，处十万元以上五十万元以下罚款，可以由公安机关对其直接负责的主管人员和其他直接责任人员，处五日以上十五日以下拘留：

（一）未依照规定为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的；

（二）未按照主管部门的要求，停止传输、删除含有恐怖主义、极端主义内容的信息，保存相关记录，关闭相关网站或者关停相关服务的；

（三）未落实网络安全、信息内容监督制度和安全技术防范措施，造成含有恐怖主义、极端主义内容的信息传播，情节严重的。”

3.《中华人民共和国电信条例》（2000年国务院令第291号，2014年国务院令第653号第一次修订，2016年国务院令第666号第二次修订）

第三条：“国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下，依照本条例的规定对本行政区域内的电信业实施监督管理。”

第五十六条：“任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：

（一）反对宪法所确定的基本原则的；

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

（三）损害国家荣誉和利益的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）破坏国家宗教政策，宣扬邪教和封建迷信的；

（六）散布谣言，扰乱社会秩序，破坏社会稳定的；

（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

（八）侮辱或者诽谤他人，侵害他人合法权益的；

（九）含有法律、行政法规禁止的其他内容的。”

第五十七条：“任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：

（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；

（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；

（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；

（四）危害电信网络安全和信息安全的其他行为。”

第六十一条：“在公共信息服务中，电信业务经营者发现电信网络中传输的信息明显属于本条例第五十六条所列内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。”

第七十七条：“有本条例第五十六条、第五十七条和第五十八条所列禁止行为之一，情节严重的，由原发证机关吊销电信业务经营许可证。

国务院信息产业主管部门或者省、自治区、直辖市电信管理机构吊销电信业务经营许可证后，应当通知企业登记机关。”

4.《互联网信息服务管理办法》（2000年国务院令第292号，2011年国务院令第588号修改）

第十四条：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户帐号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。”

第二十一条：“未履行本办法第十四条规定的义务的，由省、自治区、直辖市电信管理机构责令改正；情节严重的，责令停业整顿或者暂时关闭网站。”

5.《网络产品安全漏洞管理规定》（2021年7月12日工业和信息化部、国家互联网信息办公室、公安部联合发布，工信部联网安〔2021〕66号）

第七条：“网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。”

第十二条：“网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、......依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚。”

6.《电信业务经营许可管理办法》（2017年工业和信息化部令第42号）

第二十六条：“电信业务经营者应当按照国家和电信管理机构的规定，明确相应的网络与信息安全管理机构和专职网络与信息安全管理人员，建立网络与信息安全保障、网络安全防护、违法信息监测处置、新业务安全评估、网络安全监测预警、突发事件应急处置、用户信息安全保护等制度，并具备相应的技术保障措施。”

7.《互联网域名管理办法》（2017年工业和信息化部令第43号）

第四十一条：“域名根服务器运行机构、域名注册管理机构和域名注册服务机构应当遵守国家相关法律、法规和标准，落实网络与信息安全保障措施，配备必要的网络通信应急设备，建立健全网络与信息安全监测技术手段和应急制度。域名系统出现网络与信息安全事件时，应当在24小时内向电信管理机构报告。”

第五十二条：“违反本办法......、第四十一条规定的，由电信管理机构依据职权责令限期改正，可以并处一万元以上三万元以下罚款，向社会公告。”

8.《关键信息基础设施安全保护条例》(2021年国令第745号)

第三条：“国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

第十九条运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。”

第三十九条：“运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：

（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；

（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；

（三）未建立健全网络安全保护制度和责任制的；

（四）未设置专门安全管理机构的；

（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；

（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；

（七）专门安全管理机构未履行本条例第十五条规定的职责的；

（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；

（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；

（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。”

第四十条：“运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。”

第四十一条：“运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。”

9.《工业互联网安全分类分级管理办法》（工信部网安〔2024〕68号）

第三条：“工业和信息化部统筹指导开展工业互联网安全分类分级管理工作，主要涉及原材料工业、装备工业、消费品工业和电子信息制造业等主管行业领域。各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门（以下简称地方工业和信息化主管部门），各省、自治区、直辖市及计划单列市通信管理局（以下简称地方通信管理局）开展本行政区域内工业互联网安全分类分级管理。地方工业和信息化主管部门主要负责指导本行政区域内联网工业企业的安全分类分级管理，同步加强工业控制系统网络安全防护。地方通信管理局主要负责开展本行政区域内平台企业、标识解析企业的安全分类分级管理，并在公共互联网上对联网设备、系统等进行安全监测。”

第五条：“工业互联网安全分类分级管理以工业互联网企业为对象，企业类型主要包括以下三类：

（一）应用工业互联网的工业企业（以下简称联网工业企业），主要是指将新一代信息通信技术与工业系统深度融合，推动开展数字化研发、智能化制造、网络化协同、个性化定制、服务化延伸等的工业企业；

（二）工业互联网平台企业（以下简称平台企业），主要是指面向制造业数字化、网络化、智能化需求，基于云平台等方式对外提供工业大数据、工业APP等资源和公共服务的企业；

（三）工业互联网标识解析企业（以下简称标识解析企业），主要是指工业互联网标识解析根节点运行机构、国家顶级节点运行机构、标识注册服务机构、递归节点运行机构等提供工业互联网标识服务的机构。”

第六条：“工业互联网企业应当按照工业互联网安全定级相关标准规范，结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响和后果等要素，开展自主定级。工业互联网企业级别由高到低分为三级、二级、一级。当企业定级要素发生较大变化，可能影响企业定级结果时，企业应当在发生变化的三个月内重新定级。同时具有联网工业企业、平台企业、标识解析企业中两种及以上属性的企业，应当按照不同类型分别定级。”

第七条：“完成自主定级的工业互联网企业通过全国工业互联网安全分类分级管理平台（以下简称分类分级管理平台）开展信息登记，登记内容包括但不限于企业名称、企业类型、企业级别、联系方式、网络安全负责人等相关情况。地方主管部门通过分类分级管理平台对企业提交登记的材料，在三十个工作日内开展核查，对材料内容不齐全、定级不准确的，应当通知企业在二十个工作日内予以补正。”

第八条：“工业互联网企业应当按照联网工业企业、平台企业、标识解析企业、数据等相关安全防护标准规范，根据企业类型、自身级别落实相适应的安全要求，提升相关设备、控制、网络、平台、数据等的安全防护能力。”

第九条：“工业互联网企业应当按照法律法规和相关标准，自行或委托第三方评测机构，定期开展符合性评测，三级工业互联网企业每年至少开展一次评测，二级工业互联网企业每两年至少开展一次评测。一级工业互联网企业可参照二级企业相关要求开展评测。”

第十条：“工业互联网企业针对发现存在的网络安全风险，应当积极采取措施消除隐患。”

第十一条第三款：“工业互联网企业承担本企业网络安全主体责任，企业主要负责人为本企业网络安全第一责任人，要建立健全企业内部网络安全管理制度，积极将网络安全纳入企业发展规划和工作考核，加大网络安全投入，加强网络安全防护能力建设，有效防范化解网络安全风险。企业应当配合工业和信息化部、地方主管部门的监督管理。”

第十二条第三款：“工业互联网企业应当根据自身级别，建设监测网络运行状态、网络安全事件的技术手段，留存相关的网络日志不少于六个月，采取防范网络攻击、病毒入侵等危害网络安全行为的技术措施，有效发现网络安全风险隐患并及时处置。三级工业互联网企业按照有关标准，加强企业平台与国家、地方平台之间的协同联动。”

第十三条第三款：“工业互联网企业应当制定网络安全事件应急预案，定期开展安全演练，检验企业安全防护和应急处置能力。企业在网络安全事件发生后，立即启动应急预案，采取相应的补救措施。发生一般及以上安全事件的，应当立即向地方主管部门报告。”

第十四条第三款：“工业互联网企业应当配合工业和信息化部、地方主管部门的网络安全检查评估。”

第二十条：“工业互联网企业违反本办法规定，不履行网络和数据安全保护义务的，工业和信息化部、地方主管部门按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规予以处理。”

10.《通信网络安全防护管理办法》（2010年工业和信息化部令第11号）

第四条：“中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称‘电信管理机构’。”

11.《关于加强车联网网络安全和数据安全的通知》（工信部网安〔2021〕134号）：

（五）加强车联网网络设施和网络系统安全防护能力。各相关企业要严格落实网络安全分级防护要求，加强网络设施和网络系统资产管理，合理划分网络安全域，加强访问控制管理，做好网络边界安全防护，采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。自行或者委托检测机构定期开展网络安全符合性评测和风险评估，及时消除风险隐患。

（六）保障车联网通信安全。各相关企业要建立车联网身份认证和安全信任机制，强化车载通信设备、路侧通信设备、服务平台等安全通信能力，采取身份认证、加密传输等必要的技术措施，防范通信信息伪造、数据篡改、重放攻击等安全风险，保障车与车、车与路、车与云、车与设备等场景通信安全......

（七）开展车联网安全监测预警。各相关企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。

（八）做好车联网安全应急处置。车联网服务平台运营企业要建立网络安全应急响应机制，制定网络安全事件应急预案，定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》等规定向有关主管部门报告。

（十）加强平台网络安全管理。车联网服务平台运营企业要采取必要的安全技术措施，加强智能网联汽车、路侧设备等平台接入安全，主机、数据存储系统等平台设施安全，以及资源管理、服务访问接口等平台应用安全防护能力，防范网络侵入、数据窃取、远程控制等安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的，应依法取得电信业务经营许可。认定为关键信息基础设施的，要落实《关键信息基础设施安全保护条例》有关规定，并按照国家有关标准使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

（十一）加强在线升级服务（OTA）安全和漏洞检测评估。智能网联汽车生产企业要建立在线升级服务软件包安全验证机制，采用安全可信的软件。开展在线升级软件包网络安全检测，及时发现产品安全漏洞。加强在线升级服务安全校验能力，采取身份认证、加密传输等技术措施，保障传输环境和执行环境的网络安全。加强在线升级服务全过程的网络安全监测和

应急响应，定期评估网络安全状况，防范软件被伪造、篡改、损毁、泄露和病毒感染等网络安全风险。

（十二）强化应用程序安全管理。智能网联汽车生产企业、车联网服务平台运营企业要建立车联网应用程序开发、上线、使用、升级等安全管理制度，提升应用程序身份鉴别、通信安全、数据保护等安全能力。加强车联网应用程序安全检测，及时处置安全风险，防范恶意应用程序攻击和传播。

监督电话：0571-88092012