（2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过）

  第一条为保障网络安全，维护互联网空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

  第二条在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

  第三条国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和相互连通，鼓励网络技术创新和应用，支持培养网络安全人才，建立完整网络安全保障体系，提高网络安全保护能力。

  第四条国家制定并逐渐完备网络安全战略，明确保障网络安全的基础要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。

  第五条国家采取一定的措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护互联网空间安全和秩序。

  第六条国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取一定的措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。

  第七条国家积极开展互联网空间治理、网络研发技术和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的互联网空间，建立多边、民主、透明的网络治理体系。

  第八条国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

  县级以上地方人民政府有关部门的网络安全保护和监督管理职责，依照国家有关规定确定。

  第九条网络运营者开展经营和服务活动，一定要遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

  第十条建设、运营网络或者利用互联网提供服务，应当按照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

  第十一条网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

  第十二条国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

  任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

  第十三条国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

  第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

  第十五条国家建立和完善网络安全标准体系。国务院标准化行政主任部门和国务院其他有关部门依据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。

  国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

  第十六条国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

  第十七条国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

  第十八条国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

  第十九条各级人民政府及其有关部门应当组织并且开展经常性的网络安全宣传教育，并指导、督促相关的单位做好网络安全宣传教育工作。

  第二十条国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

  第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

  （一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

  第三十五条关键信息基础设施的运营者采购网络产品和服务，可能会影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

  第三十六条关键信息基础设施的运营者采购网络产品和服务，应当依规定与提供者签订安全保密协议，明确安全和保密义务与责任。

  第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人隐私信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当依照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

  第三十八条关键信息基础设施的运营者应当自行或委托网络安全服务机构对其网络的安全性和有几率存在的风险每年至少进行一次检验测试评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

  第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

  （一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时能委托网络安全服务机构对网络存在的安全风险进行仔细的检测评估；

  （二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

  （三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

  输的信息的，应当立马停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

  第四十八条任何个人和组织发送的电子信息、提供的应用软件，不可以设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。

  电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

  第四十九条网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

  第五十条国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。

  第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，依规定统一发布网络安全监测预警信息。

  第五十二条负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并依规定报送网络安全监测预警信息。

  第五十三条国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

  负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

  网络安全事件应急预案应当按照事件发生后的危害程度、影响区域等因素对网络安全事件进行分级，并规定相应的应急处置措施。

  第五十四条网络安全事件发生的风险增大时，省级以上人民政府有关部门应当依规定的权限和程序，并根据网络安全风险的特点和会造成的危害，采取下列措施：

  （一）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；

  （二）组织有关部门、机构和专业技术人员，对网络安全风险信息做多元化的分析评估，预测事件发生的可能性、影响区域和危害程度；

  第五十五条发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件做出详细的调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

  第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可根据规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当根据相关要求采取一定的措施，进行整改，消除隐患。

  第五十七条因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

  第五十八条因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

  十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

  第六十八条网络运营者违反本法第四十七条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告，没收违法来得到的；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

  电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第四十八条第二款规定的安全管理义务的，依照前款规定处罚。

  第六十九条网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：

  （一）不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的；

  第七十条发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚。

  第七十一条有本法规定的违背法律规定的行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

  第七十二条国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

  第七十三条网信部门和有关部门违反本法第三十条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。

  网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

  违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依照法律来追究刑事责任。

  第七十五条境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，导致非常严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

  （一）网络，是指由计算机或者别的信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

  （二）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

  （四）网络数据，是指利用互联网收集、存储、传输、处理和产生的各种电子数据。

  第七十七条存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。