对本行政区域内电信业务经营者与互联网信息服务提供者落实网络与信息安全法律要求情况实施监督检查

序号	编码	行使主体	职权类型	职权名称	依据	监督方式	备注
17	330917	浙江省通信管理局	行政检查	对本行政区域内电信业务经营者与互联网信息服务提供者落实网络与信息安全法律要求情况实施监督检查	1.《中华人民共和国网络安全法》（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过，主席令第53号公布）第八条：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。” 第二十一条：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。” 第二十二条：“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。” 第二十五条：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。” 第二十六条：“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。” 第三十三条：“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务:（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。” 第三十五条：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。” 第三十六条：“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。” 第三十八条：“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。” 第四十条：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。” 第四十一条：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。” 第四十二条：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。” 第四十三条：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。” 第四十四条：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。” 第四十七条：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。” 第四十八条第二款：“电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。” 2.《中华人民共和国密码法》（2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过，主席令第35号公布）第三十七条：“关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。” 3.《关键信息基础设施安全保护条例》（2021年4月27日国务院第133次常务会议通过，国务院令第745号公布）第三条：“在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。” 第三十九条：“运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；（三）未建立健全网络安全保护制度和责任制的；（四）未设置专门安全管理机构的；（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；（七）专门安全管理机构未履行本条例第十五条规定的职责的；（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。第四十条运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。” 第四十一条：“运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。第四十二条运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。” 4.《商用密码管理条例》(1999年10月7日中华人民共和国国务院令第273号发布2023年4月27日中华人民共和国国务院令第760号修订) 第三条：“坚持中国共产党对商用密码工作的领导，贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。第六十一条关键信息基础设施的运营者违反本条例第四十条规定，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额1倍以上10倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。” 5.《通信网络安全防护管理办法》（2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过，自2010年3月1日起施行）第四条：“中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称‘电信管理机构’。” 第十七条：“电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。电信管理机构可以采取以下检查措施：（一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录；（三）向通信网络运行单位工作人员询问了解有关情况；（四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；（六）法律、行政法规规定的其他检查措施。” 第十八条：“电信管理机构可以委托专业机构开展通信网络安全检查活动。” 6.《电信业务经营许可管理办法》（2017年6月21日工业和信息化部第31次部务会议审议通过，自2017年9月1日起施行）第三十六条：“电信管理机构建立随机抽查机制，对电信业务经营者的年报信息、日常经营活动、执行国家和电信管理机构有关规定的情况等进行检查。电信管理机构可以采取书面检查、实地核查、网络监测等方式，并可以委托第三方机构开展有关检查工作。电信管理机构在抽查中发现电信业务经营者有违反电信管理规定的违法行为的，应当依法处理。” 7.《网络安全审查办法》（经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意，自2022年2月15日起施行）第五条：“关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。” 8.《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》（工信部保〔2014〕368号）三、保障措施（一）加强网络安全监管。通信主管部门要切实履行电信和互联网行业网络安全监管职责，不断健全网络安全监管体系，积极推动关键信息基础设施保护、网络数据保护等网络安全相关立法，进一步完善网络安全防护标准和有关工作机制；要加大对基础电信企业的网络安全监督检查和考核力度，加强对互联网域名注册管理和服务机构以及增值电信企业的网络安全监管，推动建立电信和互联网行业网络安全认证体系。国家计算机网络应急技术处理协调中心和工业和信息化部电信研究院等要加大网络安全技术、资金和人员投入，大力提升对通信主管部门网络安全监管的支撑能力。 9.《国家网络安全事件应急预案》（中网办发文〔2017〕4号） 2组织机构与职责 2.1领导机构与职责在中央网络安全和信息化领导小组（以下简称“领导小组”）的领导下，中央网络安全和信息化领导小组办公室（以下简称“中央网信办”）统筹协调组织国家网络安全事件应对工作，建立健全跨部门联动处置机制，工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部（以下简称“指挥部”），负责特别重大网络安全事件处置的组织指挥和协调。 6预防工作 6.1日常管理各地区、各部门按职责做好网络安全事件日常预防工作，制定完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。 10.《公共互联网网络安全突发事件应急预案》（工信部网安〔2017〕281号） 7.预防与应急准备 7.1预防保护基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定，建立健全网络安全管理制度，采取网络安全防护技术措施，建设网络安全技术手段，定期进行网络安全检查和风险评估，及时消除隐患和风险。电信主管部门依法开展网络安全监督检查，指导督促相关单位消除安全隐患。 11.《公共互联网网络安全威胁监测与处置办法》（工信部网安〔2017〕202号）第三条：“工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。” 第十二条：“基础电信企业、互联网企业、域名注册管理和服务机构等未按照电信主管部门通知要求采取网络安全威胁处置措施的，由电信主管部门依据《中华人民共和国网络安全法》第五十六条、第五十九条、第六十条、第六十八条等规定进行约谈或给予警告、罚款等行政处罚。” 12.《加强工业互联网安全工作的指导意见》（工信部联网安〔2019〕168号）（二）构建工业互联网安全管理体系 3.健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制，强化对企业的安全监管。” 13.《工业互联网安全分类分级管理办法》（工信部网安〔2024〕68号）第九条：“工业互联网企业应当按照法律法规和相关标准，自行或委托第三方评测机构，定期开展标准符合性评测，三级工业互联网企业每年至少开展一次评测，二级工业互联网企业每两年至少开展一次评测。一级工业互联网企业可参照二级企业相关要求开展评测。” 第十四条：“工业和信息化部建立健全工业互联网安全检查评估机制，定期组织开展对工业互联网企业的安全检查评估。地方工业和信息化主管部门开展本行政区域内联网工业企业的安全评估，地方通信管理局开展本行政区域内平台企业、标识解析企业的安全检查，对发现的网络安全风险隐患，指导企业加强安全整改。地方主管部门每年面向三级工业互联网企业开展安全检查评估，定期面向二级、一级工业互联网企业开展安全检查评估。工业互联网企业应当配合工业和信息化部、地方主管部门的网络安全检查评估。” 14.《工业控制系统网络安全防护指南》（工信部网安〔2024〕14号）（四）安全评估 28.新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前，应开展安全风险评估。 29.对于重要工业控制系统，企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。 15.《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》（工信部网安〔2021〕134号）第七条：“开展车联网安全监测预警。国家加强车联网网络安全监测平台建设，开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。” 第九条：“做好车联网网络安全防护定级备案。智能网联汽车生产企业、车联网服务平台运营企业要按照车联网网络安全防护相关标准，对所属网络设施和系统开展网络安全防护定级工作，并向所在省（区、市）通信管理局备案。对新建网络设施和系统，应当在规划设计阶段确定网络安全防护等级。各省（区、市）通信管理局会同工业和信息化主管部门做好定级备案审核工作。” 16.《网络产品安全漏洞管理规定》（工信部联网安〔2021〕66号）第十二条：“网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚。” 第十三条：“网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理；构成《中华人民共和国网络安全法》第五十九条规定情形的，依照该规定予以处罚。” 17.《中华人民共和国反恐怖主义法》（2015年12月27日第十二届全国人民代表大会常务委员会第十八次会议通过，，2018年4月27日第十三届全国人民代表大会常务委员会第二次会议《关于修改<中华人民共和国国境卫生检疫法>等六部法律的决定》修正）第八条：“公安机关、国家安全机关和人民检察院、人民法院、司法行政机关以及其他有关国家机关，应当根据分工，实行工作责任制，依法做好反恐怖主义工作。” 第十九条：“电信业务经营者、互联网服务提供者应当依照法律、行政法规规定，落实网络安全、信息内容监督制度和安全技术防范措施，防止含有恐怖主义、极端主义内容的信息传播；发现含有恐怖主义、极端主义内容的信息的，应当立即停止传输，保存相关记录，删除相关信息，并向公安机关或者有关部门报告。” 18.《中华人民共和国电信条例》（2000年国务院令第291号，2014年国务院令第653号第一次修订，2016年国务院令第666号第二次修订）第三条：“国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下，依照本条例的规定对本行政区域内的电信业实施监督管理。” 第五十六条：“任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。” 第五十七条：“任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；（四）危害电信网络安全和信息安全的其他行为。” 第六十一条：“在公共信息服务中，电信业务经营者发现电信网络中传输的信息明显属于本条例第五十六条所列内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。” 19.《互联网信息服务管理办法》（2000年国务院令第292号，2011年国务院令第588号修改）第十四条：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。” 第十八条：“国务院信息产业主管部门和省、自治区、直辖市电信管理机构，依法对互联网信息服务实施监督管理。” 20.《电信和互联网用户个人信息保护规定》（2013年工业和信息化部令第24号）第十七条：“电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。 ”	监督电话：0571-88092012

序号

编码

行使主体

职权类型

职权名称

依据

监督方式

备注

330917

浙江省通信管理局

行政检查

对本行政区域内电信业务经营者与互联网信息服务提供者落实网络与信息安全法律要求情况实施监督检查

1.《中华人民共和国网络安全法》（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过，主席令第53号公布）

第八条：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”

第二十一条：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。”

第二十二条：“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

第二十五条：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

第二十六条：“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”

第三十三条：“建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务:（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（二）定期对从业人员进行网络安全教育、技术培训和技能考核；（三）对重要系统和数据库进行容灾备份；（四）制定网络安全事件应急预案，并定期进行演练；（五）法律、行政法规规定的其他义务。”

第三十五条：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”

第三十六条：“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。”

第三十八条：“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”

第四十条：“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”

第四十一条：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”

第四十二条：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

第四十三条：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”

第四十四条：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”

第四十七条：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。”

第四十八条第二款：“电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。”

2.《中华人民共和国密码法》（2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过，主席令第35号公布）

第三十七条：“关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。关键信息基础设施的运营者违反本法第二十七条第二款规定，使用未经安全审查或者安全审查未通过的产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”

3.《关键信息基础设施安全保护条例》（2021年4月27日国务院第133次常务会议通过，国务院令第745号公布）

第三条：“在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。”

第三十九条：“运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：（一）在关键信息基础设施发生较大变化，可能影响其认定结果时未及时将相关情况报告保护工作部门的；（二）安全保护措施未与关键信息基础设施同步规划、同步建设、同步使用的；（三）未建立健全网络安全保护制度和责任制的；（四）未设置专门安全管理机构的；（五）未对专门安全管理机构负责人和关键岗位人员进行安全背景审查的；（六）开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的；（七）专门安全管理机构未履行本条例第十五条规定的职责的；（八）未对关键信息基础设施每年至少进行一次网络安全检测和风险评估，未对发现的安全问题及时整改，或者未按照保护工作部门要求报送情况的；（九）采购网络产品和服务，未按照国家有关规定与网络产品和服务提供者签订安全保密协议的；（十）发生合并、分立、解散等情况，未及时报告保护工作部门，或者未按照保护工作部门的要求对关键信息基础设施进行处置的。第四十条运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。”

第四十一条：“运营者采购可能影响国家安全的网络产品和服务，未按照国家网络安全规定进行安全审查的，由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。第四十二条运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。”

4.《商用密码管理条例》(1999年10月7日中华人民共和国国务院令第273号发布2023年4月27日中华人民共和国国务院令第760号修订)

第三条：“坚持中国共产党对商用密码工作的领导，贯彻落实总体国家安全观。国家密码管理部门负责管理全国的商用密码工作。县级以上地方各级密码管理部门负责管理本行政区域的商用密码工作。网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。第六十一条关键信息基础设施的运营者违反本条例第四十条规定，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额1倍以上10倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。”

5.《通信网络安全防护管理办法》（2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过，自2010年3月1日起施行）

第四条：“中华人民共和国工业和信息化部（以下简称工业和信息化部）负责全国通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定通信行业相关标准。各省、自治区、直辖市通信管理局（以下简称通信管理局）依据本办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协调和检查。工业和信息化部与通信管理局统称‘电信管理机构’。”

第十七条：“电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。电信管理机构可以采取以下检查措施：（一）查阅通信网络运行单位的符合性评测报告和风险评估报告；（二）查阅通信网络运行单位有关网络安全防护的文档和工作记录；（三）向通信网络运行单位工作人员询问了解有关情况；（四）查验通信网络运行单位的有关设施；（五）对通信网络进行技术性分析和测试；（六）法律、行政法规规定的其他检查措施。”

第十八条：“电信管理机构可以委托专业机构开展通信网络安全检查活动。”

6.《电信业务经营许可管理办法》（2017年6月21日工业和信息化部第31次部务会议审议通过，自2017年9月1日起施行）

第三十六条：“电信管理机构建立随机抽查机制，对电信业务经营者的年报信息、日常经营活动、执行国家和电信管理机构有关规定的情况等进行检查。电信管理机构可以采取书面检查、实地核查、网络监测等方式，并可以委托第三方机构开展有关检查工作。电信管理机构在抽查中发现电信业务经营者有违反电信管理规定的违法行为的，应当依法处理。”

7.《网络安全审查办法》（经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过，并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意，自2022年2月15日起施行）

第五条：“关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。”

8.《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》（工信部保〔2014〕368号）

三、保障措施（一）加强网络安全监管。通信主管部门要切实履行电信和互联网行业网络安全监管职责，不断健全网络安全监管体系，积极推动关键信息基础设施保护、网络数据保护等网络安全相关立法，进一步完善网络安全防护标准和有关工作机制；要加大对基础电信企业的网络安全监督检查和考核力度，加强对互联网域名注册管理和服务机构以及增值电信企业的网络安全监管，推动建立电信和互联网行业网络安全认证体系。国家计算机网络应急技术处理协调中心和工业和信息化部电信研究院等要加大网络安全技术、资金和人员投入，大力提升对通信主管部门网络安全监管的支撑能力。

9.《国家网络安全事件应急预案》（中网办发文〔2017〕4号）

2组织机构与职责

2.1领导机构与职责

在中央网络安全和信息化领导小组（以下简称“领导小组”）的领导下，中央网络安全和信息化领导小组办公室（以下简称“中央网信办”）统筹协调组织国家网络安全事件应对工作，建立健全跨部门联动处置机制，工业和信息化部、公安部、国家保密局等相关部门按照职责分工负责相关网络安全事件应对工作。必要时成立国家网络安全事件应急指挥部（以下简称“指挥部”），负责特别重大网络安全事件处置的组织指挥和协调。

6预防工作

6.1日常管理

各地区、各部门按职责做好网络安全事件日常预防工作，制定完善相关应急预案，做好网络安全检查、隐患排查、风险评估和容灾备份，健全网络安全信息通报机制，及时采取有效措施，减少和避免网络安全事件的发生及危害，提高应对网络安全事件的能力。

10.《公共互联网网络安全突发事件应急预案》（工信部网安〔2017〕281号）

7.预防与应急准备

7.1预防保护

基础电信企业、域名机构、互联网企业应当根据有关法律法规和国家、行业标准的规定，建立健全网络安全管理制度，采取网络安全防护技术措施，建设网络安全技术手段，定期进行网络安全检查和风险评估，及时消除隐患和风险。电信主管部门依法开展网络安全监督检查，指导督促相关单位消除安全隐患。

11.《公共互联网网络安全威胁监测与处置办法》（工信部网安〔2017〕202号）

第三条：“工业和信息化部负责组织开展全国公共互联网网络安全威胁监测与处置工作。各省、自治区、直辖市通信管理局负责组织开展本行政区域内公共互联网网络安全威胁监测与处置工作。工业和信息化部和各省、自治区、直辖市通信管理局以下统称为电信主管部门。”

第十二条：“基础电信企业、互联网企业、域名注册管理和服务机构等未按照电信主管部门通知要求采取网络安全威胁处置措施的，由电信主管部门依据《中华人民共和国网络安全法》第五十六条、第五十九条、第六十条、第六十八条等规定进行约谈或给予警告、罚款等行政处罚。”

12.《加强工业互联网安全工作的指导意见》（工信部联网安〔2019〕168号）

（二）构建工业互联网安全管理体系

3.健全安全管理制度。围绕工业互联网安全监督检查、风险评估、数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制，强化对企业的安全监管。”

13.《工业互联网安全分类分级管理办法》（工信部网安〔2024〕68号）

第九条：“工业互联网企业应当按照法律法规和相关标准，自行或委托第三方评测机构，定期开展标准符合性评测，三级工业互联网企业每年至少开展一次评测，二级工业互联网企业每两年至少开展一次评测。一级工业互联网企业可参照二级企业相关要求开展评测。”

第十四条：“工业和信息化部建立健全工业互联网安全检查评估机制，定期组织开展对工业互联网企业的安全检查评估。地方工业和信息化主管部门开展本行政区域内联网工业企业的安全评估，地方通信管理局开展本行政区域内平台企业、标识解析企业的安全检查，对发现的网络安全风险隐患，指导企业加强安全整改。地方主管部门每年面向三级工业互联网企业开展安全检查评估，定期面向二级、一级工业互联网企业开展安全检查评估。工业互联网企业应当配合工业和信息化部、地方主管部门的网络安全检查评估。”

14.《工业控制系统网络安全防护指南》（工信部网安〔2024〕14号）

（四）安全评估

28.新建或升级工业控制系统上线前、工业控制网络与企业管理网或互联网连接前，应开展安全风险评估。

29.对于重要工业控制系统，企业应自行或委托第三方专业机构每年至少开展一次工控安全防护能力相关评估。

15.《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》（工信部网安〔2021〕134号）

第七条：“开展车联网安全监测预警。国家加强车联网网络安全监测平台建设，开展网络安全威胁、事件的监测预警通报和安全保障服务。各相关企业要建立网络安全监测预警机制和技术手段，对智能网联汽车、车联网服务平台及联网系统开展网络安全相关监测，及时发现网络安全事件或异常行为，并按照规定留存相关的网络日志不少于6个月。”

第九条：“做好车联网网络安全防护定级备案。智能网联汽车生产企业、车联网服务平台运营企业要按照车联网网络安全防护相关标准，对所属网络设施和系统开展网络安全防护定级工作，并向所在省（区、市）通信管理局备案。对新建网络设施和系统，应当在规划设计阶段确定网络安全防护等级。各省（区、市）通信管理局会同工业和信息化主管部门做好定级备案审核工作。”

16.《网络产品安全漏洞管理规定》（工信部联网安〔2021〕66号）

第十二条：“网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的，由工业和信息化部、公安部依据各自职责依法处理；构成《中华人民共和国网络安全法》第六十条规定情形的，依照该规定予以处罚。”

第十三条：“网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理；构成《中华人民共和国网络安全法》第五十九条规定情形的，依照该规定予以处罚。”

17.《中华人民共和国反恐怖主义法》（2015年12月27日第十二届全国人民代表大会常务委员会第十八次会议通过，，2018年4月27日第十三届全国人民代表大会常务委员会第二次会议《关于修改<中华人民共和国国境卫生检疫法>等六部法律的决定》修正）

第八条：“公安机关、国家安全机关和人民检察院、人民法院、司法行政机关以及其他有关国家机关，应当根据分工，实行工作责任制，依法做好反恐怖主义工作。”

第十九条：“电信业务经营者、互联网服务提供者应当依照法律、行政法规规定，落实网络安全、信息内容监督制度和安全技术防范措施，防止含有恐怖主义、极端主义内容的信息传播；发现含有恐怖主义、极端主义内容的信息的，应当立即停止传输，保存相关记录，删除相关信息，并向公安机关或者有关部门报告。”

18.《中华人民共和国电信条例》（2000年国务院令第291号，2014年国务院令第653号第一次修订，2016年国务院令第666号第二次修订）

第三条：“国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。

省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下，依照本条例的规定对本行政区域内的电信业实施监督管理。”

第五十六条：“任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：

（一）反对宪法所确定的基本原则的；

（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

（三）损害国家荣誉和利益的；

（四）煽动民族仇恨、民族歧视，破坏民族团结的；

（五）破坏国家宗教政策，宣扬邪教和封建迷信的；

（六）散布谣言，扰乱社会秩序，破坏社会稳定的；

（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；

（八）侮辱或者诽谤他人，侵害他人合法权益的；

（九）含有法律、行政法规禁止的其他内容的。”

第五十七条：“任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：

（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；

（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；

（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；

（四）危害电信网络安全和信息安全的其他行为。”

第六十一条：“在公共信息服务中，电信业务经营者发现电信网络中传输的信息明显属于本条例第五十六条所列内容的，应当立即停止传输，保存有关记录，并向国家有关机关报告。”

19.《互联网信息服务管理办法》（2000年国务院令第292号，2011年国务院令第588号修改）

第十四条：“从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者，应当记录提供的信息内容及其发布时间、互联网地址或者域名；互联网接入服务提供者应当记录上网用户的上网时间、用户账号、互联网地址或者域名、主叫电话号码等信息。互联网信息服务提供者和互联网接入服务提供者的记录备份应当保存60日，并在国家有关机关依法查询时，予以提供。”

第十八条：“国务院信息产业主管部门和省、自治区、直辖市电信管理机构，依法对互联网信息服务实施监督管理。”

20.《电信和互联网用户个人信息保护规定》（2013年工业和信息化部令第24号）

第十七条：“电信管理机构应当对电信业务经营者、互联网信息服务提供者保护用户个人信息的情况实施监督检查。电信管理机构实施监督检查时，可以要求电信业务经营者、互联网信息服务提供者提供相关材料，进入其生产经营场所调查情况，电信业务经营者、互联网信息服务提供者应当予以配合。电信管理机构实施监督检查，应当记录监督检查的情况，不得妨碍电信业务经营者、互联网信息服务提供者正常的经营或者服务活动，不得收取任何费用。 ”

监督电话：0571-88092012