據湖南人大網消息,湖南省第十三屆人民代表大會常務委員會第二十七次會議2021年12月3日通過《湖南省網絡安全和信息化條例》。條例自2022年1月1日起施行。
湖南省網絡安全和信息化條例
(2021年12月3日湖南省第十三屆人民代表大會常務委員會第二十七次會議通過)
第一章 總 則
第一條 為了保障網絡安全,促進信息化發(fā)展,提高數字化水平,推進經濟社會高質量發(fā)展,根據有關法律、行政法規(guī),結合本省實際,制定本條例。
第二條 本省行政區(qū)域內的網絡安全保障和信息化促進等活動適用本條例。
第三條 網絡安全和信息化工作應當貫徹總體國家安全觀,遵循統籌規(guī)劃、創(chuàng)新引領、開放共享、保障安全的原則。
第四條 省網絡安全和信息化議事協調機構負責研究制定本省網絡安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策,統籌協調本省網絡安全和信息化重大事項和重要工作,推進本省網絡安全和信息化法治建設。
第五條 縣級以上負責網絡安全和信息化工作的部門(以下簡稱網信部門)負責本行政區(qū)域網絡安全和信息化統籌協調、督促落實和相關監(jiān)督管理工作。
縣級以上人民政府工業(yè)和信息化、發(fā)展改革、科技、公安、財政、政務等部門和國家安全機關、省通信管理機構按照各自職責做好網絡安全和信息化相關工作。
第六條 縣級以上人民政府應當將網絡安全和信息化發(fā)展納入國民經濟和社會發(fā)展規(guī)劃,安排網絡安全和信息化專項資金,引導和支持社會資金投資網絡安全和信息化建設。
鼓勵企業(yè)、科研機構、高等院校、行業(yè)組織和個人參與網絡安全共同治理與信息化發(fā)展工作。
第七條 縣級以上網信部門應當根據上一級網絡安全和信息化發(fā)展規(guī)劃以及本行政區(qū)域國民經濟和社會發(fā)展規(guī)劃,編制本行政區(qū)域網絡安全和信息化發(fā)展規(guī)劃,經本級人民政府批準后發(fā)布實施,并報上一級網信部門備案。
縣級以上人民政府有關部門應當根據實際需要,編制本系統、本部門的網絡安全和信息化專項規(guī)劃,并與本行政區(qū)域網絡安全和信息化發(fā)展規(guī)劃相銜接。
第八條 編制網絡安全和信息化發(fā)展規(guī)劃、專項規(guī)劃,應當組織專家論證,廣泛征求意見,堅持安全可控、合理前瞻、科學布局、綠色集約、開放共享的原則,防止重復建設和資源浪費。
第九條 省人民政府標準化部門應當會同有關部門制定完善本省網絡安全和信息化地方標準并監(jiān)督實施。
鼓勵有關單位參與制定修訂網絡安全和信息化國際標準、國家標準、行業(yè)標準、地方標準,自主制定高于國家強制性標準的團體標準、企業(yè)標準。
第十條 縣級以上人民政府應當加強網信人才的培養(yǎng)和引進。
省人民政府及其有關部門應當支持高等院校建設計算機科學與技術、網絡空間安全、集成電路科學與工程等學科,建設重點網絡安全和信息化研究基地,支持建設國家一流網絡安全學院和網信人才培養(yǎng)基地,加強高等院校與實務部門的人才交流。
省人民政府人力資源和社會保障部門應當會同有關部門,建立健全網信人才職稱評價制度和職稱評聘制度。
第十一條 縣級以上人民政府應當組織有關部門、教育機構、公眾傳媒、村(居)民委員會開展網絡安全和信息化宣傳活動,提高全社會網絡安全意識和信息技術應用能力。
縣級以上人民政府及其有關部門應當將網絡安全教育和信息化內容納入國家工作人員培訓和普法考核,普及中小學信息技術教育,發(fā)展信息技術職業(yè)教育。
第十二條 縣級以上人民政府應當將網絡安全和信息化工作納入經濟社會發(fā)展考核體系,建立績效評估指標,對本行政區(qū)域各部門和下級人民政府進行網絡安全和信息化工作考核。
第二章 網絡安全保障
第十三條 縣級以上人民政府及其有關部門應當按照誰主管誰負責、屬地管理原則,落實網絡安全責任制,建立健全網絡安全保障體系,提升網絡安全保護能力,實現網絡、關鍵信息基礎設施、重要信息系統和數據的安全可控。
第十四條 縣級以上網信、工業(yè)和信息化、公安、保密、密碼管理等部門和國家安全機關、省通信管理機構依照有關法律、行政法規(guī)的規(guī)定,在各自職責范圍內負責網絡安全、數據安全、個人信息保護和相關監(jiān)督管理工作。
第十五條 省人民政府對本省行政區(qū)域內未列入關鍵信息基礎設施的重要信息系統,在網絡安全等級保護制度的基礎上,實行重點保護。
重要信息系統的具體范圍和識別指南由省網信部門會同公安等部門制定。
第十六條 重要信息系統的行業(yè)主管或者監(jiān)督管理部門指導和監(jiān)督本行業(yè)、本領域的重要信息系統運行安全保護工作,負責編制和組織實施本行業(yè)、本領域重要信息系統安全規(guī)劃,建立健全網絡安全監(jiān)測預警和網絡安全事件應急預案,定期組織開展網絡安全檢查監(jiān)測、應急演練,對重要信息系統進行識別并向省網信部門、公安機關報送識別結果。
第十七條 重要信息系統運營者應當履行下列安全保護義務:
(一)明確專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;
(二)對從業(yè)人員進行網絡安全教育、職業(yè)道德教育和技術培訓;
(三)對重要系統和數據庫進行容災備份;
(四)制定網絡安全事件應急預案,并定期進行演練;
(五)法律、行政法規(guī)規(guī)定的其他義務。
第十八條 重要信息系統運營者應當采購安全可信的網絡硬件、軟件產品和服務,并與網絡產品和服務提供者簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任。
第十九條 省和設區(qū)的市、自治州網信部門應當統籌協調有關部門對重要信息系統的安全保護采取下列措施:
(一)建立網絡安全信息共享機制,促進有關部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享;
(二)對重要信息系統安全風險進行抽查檢測,提出改進措施,必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估;
(三)定期組織重要信息系統運營者進行網絡安全應急演練;
(四)對網絡安全事件應急處置與網絡功能的恢復等,提供技術支持和協助。
第二十條 縣級以上網信部門應當建立本行政區(qū)域網絡安全監(jiān)測預警和信息通報制度,統籌協調有關部門定期開展網絡安全檢查,加強網絡安全信息收集、分析和通報工作,協調有關部門建立健全風險評估和網絡安全應急工作機制,制定網絡安全事件應急預案,組織網絡安全應急演練。
第二十一條 發(fā)生網絡安全事件或者接到預警信息后,有關單位應當立即啟動應急預案,及時處置、消除隱患。發(fā)生較大以上網絡安全事件,有關單位應當及時向同級網信、公安部門報告。
省和設區(qū)的市、自治州網信部門會同有關部門對發(fā)生的較大以上網絡安全事件開展調查。
能源、電信、交通等行業(yè)應當為網絡安全事件應急處置與網絡功能恢復提供電力供應、網絡通信、交通運輸等方面的重點保障和支持。
第二十二條 縣級以上網信部門和有關部門依法履行網絡信息安全監(jiān)督管理職責,發(fā)現法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的,應當要求網絡運營者停止傳輸,采取消除等處置措施,防止信息擴散,保存有關記錄。
第二十三條 網絡運營者應當加強對其用戶發(fā)布的信息的管理,發(fā)現法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的,應當立即停止傳輸該信息,采取消除等處置措施,防止信息擴散,保存有關記錄,并向網信、公安、通信等有關部門報告。
第二十四條 網絡運營者應用算法推薦技術提供互聯網信息服務,應當落實算法安全主體責任,建立健全用戶注冊、信息發(fā)布審核、算法機制機理審核、安全評估監(jiān)測等管理制度,不得利用算法推薦服務傳播法律、行政法規(guī)禁止的信息,不得設置誘導用戶沉迷或者高額消費等違背公序良俗的算法模型。
第二十五條 省人民政府有關部門應當按照國家數據分類分級保護要求制定數據分類分級指南,對本部門以及相關行業(yè)、領域的數據進行分類分級管理。
省人民政府有關部門應當按照國家有關要求和標準,組織制定本部門以及相關行業(yè)、領域重要數據目錄,對列入目錄的數據進行重點保護。
本條例所稱重要數據,是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。
第二十六條 網絡運營者開展數據處理活動應當按照網絡安全等級保護制度的要求,履行下列數據安全保護義務:
(一)建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全;
(二)加強風險監(jiān)測,發(fā)現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發(fā)生數據安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向網信、公安等有關部門報告;
(三)法律、行政法規(guī)規(guī)定的其他義務。
第二十七條 開展重要數據處理的網絡運營者應當明確數據安全負責人和管理機構,制定實施數據安全保護方案和數據安全事件應急預案,自行或者委托數據安全服務機構每年開展一次數據安全風險評估,并向網信、公安等有關部門報送風險評估報告。
第二十八條 實施數據收集、存儲、加工、使用、提供、交易、公開等活動,有關單位和個人應當落實數據安全保護責任,采取必要措施確保數據安全,不得實施以下行為:
(一)竊取或者以其他非法方式獲取數據;
(二)泄露或者篡改收集、存儲的個人數據;
(三)未經相關權利人同意,向他人出售或者提供個人數據;
(四)違反法律、行政法規(guī)或者約定的其他數據活動。
因數據開發(fā)利用需要,在合法收集個人數據后應當進行去標識化處理,并確保無法識別到特定個人。但是,依法需要信息溯源的除外。
第二十九條 為應對緊急狀態(tài)或者重大突發(fā)事件,需要收集、交換、共享個人數據的,由突發(fā)事件處置部門按照有關法律法規(guī)處理,不得用于與應對緊急狀態(tài)或者重大突發(fā)事件無關的目的。
第三十條 互聯網公眾賬號信息服務平臺應當履行信息內容和公眾賬號管理主體責任,配備與業(yè)務規(guī)模相適應的管理人員和技術能力,明確內容安全負責人崗位,建立健全并嚴格落實賬號注冊、信息內容安全、應急處置等管理制度。
互聯網公眾賬號生產運營者應當履行信息內容生產和公眾賬號運營管理主體責任,建立健全全過程信息內容安全審核機制,維護網絡傳播秩序。
第三十一條 縣級以上網信部門依法對互聯網用戶公眾賬號信息服務進行監(jiān)督管理,管轄范圍包括公眾賬號信息服務平臺的工商登記地、主營業(yè)地,以及公眾賬號生產運營者的賬號注冊地、賬號實際運營地位于本行政區(qū)域的所有信息服務提供者。
互聯網用戶公眾賬號生產運營者的賬號注冊地、賬號實際運營地不一致的,按照相關規(guī)定處理。
第三十二條 縣級以上網信部門統籌協調有關部門完善個人信息保護投訴、舉報工作機制,接受、處理與個人信息保護有關的投訴、舉報,開展個人信息保護宣傳教育,指導、監(jiān)督個人信息處理者開展個人信息保護工作,組織對應用程序等個人信息保護情況進行測評,調查、處理違法個人信息處理活動,支持有關機構開展個人信息保護評估、認證服務。
第三十三條 縣級以上網信部門以及有關部門在履行網絡安全和信息化監(jiān)督管理職責中,發(fā)現網絡或者數據處理活動存在較大安全風險或者可能發(fā)生安全事件的,可以按照法定的權限和程序對有關單位和個人進行約談,指出存在的問題,提出整改要求。被約談的單位和個人應當及時整改。
第三章 信息化促進
第三十四條 縣級以上人民政府及其有關部門應當推進新一代移動通信網建設、光纖網優(yōu)化布局和互聯網升級,推動物聯網、工業(yè)互聯網、衛(wèi)星互聯網等新基礎設施建設,推進生產生活、城鄉(xiāng)治理、應急預警等領域的場景應用。
省人民政府及其有關部門應當統籌建設衛(wèi)星導航定位基準服務系統和配套基礎設施,提供衛(wèi)星導航定位基準信息公共服務。
第三十五條 省人民政府應當加強大型云平臺、大數據中心等算力基礎設施的統籌規(guī)劃和優(yōu)化布局,促進超級計算中心算力資源利用,避免重復建設和資源浪費。
縣級以上人民政府及其有關部門、省通信管理機構應當推進智能計算中心、數據中心等算力基礎設施建設。
第三十六條 縣級以上人民政府及其有關部門應當協同推進人工智能、云計算、區(qū)塊鏈等新技術基礎設施建設,支持關鍵核心技術突破,推動新技術及其產品、服務和解決方案的廣泛應用。
第三十七條 省和設區(qū)的市、自治州人民政府應當明確本行政區(qū)域管理公共數據的責任部門。縣級以上人民政府有關部門根據職責分工負責相關公共數據管理工作。
本條例所稱公共數據,是指國家機關、事業(yè)單位和其他依法管理公共事務的組織以及提供教育、衛(wèi)生健康、社會福利、供水、供電、供氣、環(huán)境保護、公共交通等公共服務的組織(以下統稱公共管理和服務機構)在依法履行職責或者提供公共服務過程中獲取、產生、處理的數據。
第三十八條 省人民政府公共數據管理部門負責建立健全本省統一的公共數據資源目錄,制定公共數據資源目錄編制規(guī)范和公共數據共享、開放的具體辦法。
省和設區(qū)的市、自治州人民政府公共數據管理部門應當組織公共管理和服務機構,按照編制規(guī)范編制公共數據資源目錄、處理各類公共數據,明確公共數據來源部門和管理職責。
第三十九條 省和設區(qū)的市、自治州人民政府公共數據管理部門應當建立和完善本行政區(qū)域的公共數據共享交換平臺和開放平臺,促進公共數據共享和開發(fā)利用。
公共數據應當按照規(guī)定在公共管理和服務機構之間實現共享或者協同應用。通過共享獲得的公共數據,應當用于履行本單位職責,不得用于其他目的。
公共管理和服務機構應當按照需求導向、分類分級、統一標準、安全可控、便捷高效的原則共享和開放公共數據。鼓勵使用公共數據從事科學技術研究、咨詢服務、產品開發(fā)等活動。
公共數據采集單位對所采集數據的真實性、準確性、完整性負責。公共數據管理部門發(fā)現公共數據不準確、不完整或者不同采集單位提供的數據不一致的,可以要求采集單位限期核實、更正。采集單位應當在要求的期限內核實、更正。
第四十條 向社會開放的公共數據,應當按照以下方式分類:
(一)涉及商業(yè)秘密、個人隱私,或者法律法規(guī)規(guī)定不得開放的公共數據,列入非開放類;
(二)對數據安全和處理能力要求較高、時效性較強或者需要持續(xù)獲取的公共數據,列入有條件開放類;
(三)其他公共數據列入無條件開放類。
非開放類公共數據依法進行脫密、脫敏處理或者相關權利人同意開放的,可以列入無條件開放類或者有條件開放類。
第四十一條 縣級以上人民政府應當明確本行政區(qū)域信息技術推廣應用的目標和重點領域,推進信息技術與經濟社會各領域深度融合。
省人民政府科技、工業(yè)和信息化、農業(yè)農村等部門應當在有關專項資金中安排一定比例用于引導和扶持相關領域信息技術的推廣應用。
第四十二條 縣級以上人民政府應當制定和完善促進信息產業(yè)發(fā)展的政策,優(yōu)化信息技術與信息產業(yè)發(fā)展環(huán)境,支持新一代信息技術產業(yè)基地和園區(qū)建設,促進區(qū)域信息產業(yè)集群和產業(yè)鏈發(fā)展,培育產業(yè)新生態(tài)。
鼓勵建立產學研用合作機制,聯合研究、開發(fā)、推廣信息技術產品和服務,推進創(chuàng)新成果的產業(yè)化。
第四十三條 縣級以上人民政府及其有關部門應當結合本地區(qū)實際,推動新一代移動通信、信息技術應用創(chuàng)新、集成電路、移動互聯網、區(qū)塊鏈、數字文化創(chuàng)意等產業(yè)發(fā)展。
省人民政府工業(yè)和信息化部門應當會同有關部門編制和更新本省信息產業(yè)發(fā)展目錄,定期公布信息產業(yè)關鍵技術和產品指南。
第四十四條 省網信部門應當會同有關部門引導和支持企業(yè)、科研機構、高等院校等圍繞網絡安全和信息化重點領域開展聯合攻關,突破關鍵核心技術,加強知識產權布局,提升信息產業(yè)鏈、供應鏈的安全性和自主性。
省人民政府科技部門應當會同有關部門,編制和更新本省網絡安全和信息化領域關鍵核心技術目錄,安排關鍵核心技術研發(fā)資金。
第四十五條 省人民政府及其有關部門應當推動國家和省實驗室、重點實驗室、技術創(chuàng)新中心、制造業(yè)創(chuàng)新中心、工程研究中心等科技創(chuàng)新平臺、文化創(chuàng)意平臺、公共技術服務平臺和大科學裝置建設,支持企業(yè)、科研機構、高等院校參與建設有關平臺和設施,支持建設面向細分領域的創(chuàng)新平臺。
第四十六條 信息產業(yè)領域社會組織應當加強行業(yè)服務,依法開展信息交流、企業(yè)合作、產業(yè)研究、人才培訓、咨詢評估等活動。
第四十七條 縣級以上人民政府及其工業(yè)和信息化部門應當推動制造業(yè)數字化轉型,針對先進制造業(yè)重點行業(yè)和領域,推動智能制造單元、智能生產線、智能車間、智能工廠建設,支持企業(yè)在研發(fā)設計、生產制造、運營管理、營銷服務等環(huán)節(jié)加強數字化改造、網絡化協同、智能化升級。
縣級以上人民政府及其有關部門應當推進工業(yè)互聯網的應用,降低中小企業(yè)使用工業(yè)互聯網成本,培育眾創(chuàng)設計、網絡眾包、個性化定制、服務型制造等新模式。
第四十八條 縣級以上人民政府及其農業(yè)農村、工業(yè)和信息化、商務等部門應當推動新一代信息技術與種植業(yè)、林業(yè)、畜牧業(yè)和漁業(yè)等深度融合,加強數字鄉(xiāng)村建設,推動農村倉儲、物流、冷鏈設施的數字化建設,促進大數據、物聯網、人工智能、區(qū)塊鏈在農業(yè)生產、加工、經營中的運用。
支持大宗糧食和戰(zhàn)略性經濟作物生產過程使用智能農機裝備,促進信息化與農機裝備、作業(yè)生產、管理服務深度融合,提高農機裝備信息收集、智能決策和精準作業(yè)能力,保障糧食安全和重要農產品有效供給。
第四十九條 縣級以上人民政府及其文化和旅游、市場監(jiān)督管理等部門應當推進文化、旅游、餐飲、娛樂、家政等生活性服務業(yè)和數字技術深度融合,整合利用線上線下資源,發(fā)展體驗式消費、個性需求定制服務等新業(yè)態(tài)。
推進現代金融、快遞物流、檢驗檢測、法律服務、商務咨詢、人力資源等生產性服務業(yè)數字化轉型,支持行業(yè)內數字技術應用場景的開發(fā)和創(chuàng)新。
第五十條 縣級以上人民政府及其商務、工業(yè)和信息化、農業(yè)農村等部門應當引導和支持電子商務平臺、電子商務服務體系發(fā)展,推動工業(yè)電子商務普及應用,發(fā)展農業(yè)電子商務,培育社交電子商務、直播電子商務等新業(yè)態(tài)新模式。
省人民政府及其有關部門應當加強跨境數字貿易交流合作,促進跨境電商綜合試驗區(qū)、數字服務出口基地建設,依托中國(湖南)自由貿易試驗區(qū)建設數據跨境通道,依法開展數據跨境流動安全評估。
第五十一條 縣級以上人民政府及其有關部門應當深化數字化改革,推動數字技術與政府履職全面深度融合,推進政務服務全流程“一網通辦”,實現數據共享和業(yè)務協同,推進政府數字化轉型。
省人民政府應當統籌全省政務網絡基礎設施建設,推動建設全省統一的政務基礎網絡,提升政務網絡承載能力,統籌規(guī)劃全省統一的政務云平臺和政務大數據中心。
第五十二條 縣級以上人民政府及其有關部門應當加強智慧城市建設,依托省和設區(qū)的市、自治州公共數據平臺,促進新一代信息技術在城市交通、生態(tài)環(huán)境保護、應急管理等領域的綜合應用,通過數據資源整合共享,實現城市運行態(tài)勢監(jiān)測、公共資源配置、宏觀決策、統一指揮調度和事件分撥處置數字化,提升城市治理水平。
第五十三條 縣級以上人民政府及其有關部門、殘疾人聯合會應當推進新一代信息技術在教育、醫(yī)療、養(yǎng)老、撫幼、助殘等領域的應用,為學生、患者、老年人、殘疾人等提供適用的數字化、智能化產品和服務,促進基本公共服務均等化、便利化。
教育部門應當加強教育領域數字基礎設施和數字校園建設,加強數字教育資源開發(fā)與應用。
衛(wèi)生健康、醫(yī)療保障等部門和醫(yī)療機構應當加強智慧醫(yī)療健康體系建設,促進和規(guī)范互聯網醫(yī)療行業(yè)發(fā)展,實行醫(yī)療診斷、檢驗、檢查和治療信息共享,拓展醫(yī)療保障數字化平臺便民應用。
民政、衛(wèi)生健康等部門應當加強智慧養(yǎng)老體系建設,建立全省統一的智慧養(yǎng)老服務平臺,提供簡便快捷的養(yǎng)老服務。
第四章 法律責任
第五十四條 網絡運營者違反本條例第二十三條規(guī)定,對法律、行政法規(guī)禁止發(fā)布或者傳輸的信息未停止傳輸、采取消除等處置措施、防止信息擴散、保存有關記錄的,由縣級以上網信部門或者有關部門根據管理權限責令改正,給予警告,沒收違法所得;拒不改正或者情節(jié)嚴重的,處十萬元以上五十萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第五十五條 網絡運營者不履行本條例第二十六條規(guī)定的數據安全保護義務的,由縣級以上網信、公安等有關部門根據管理權限責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數據泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。
第五十六條 違反本條例第二十八條、第三十條規(guī)定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
第五十七條 縣級以上人民政府及其有關部門有下列行為之一的,由上一級人民政府或者主管部門責令改正;情節(jié)嚴重的,對直接負責的主管人員和其他直接責任人員依法給予處分:
(一)未按規(guī)定履行公共數據共享開放職責的;
(二)未及時落實約談整改要求的;
(三)未履行網絡安全保護義務,發(fā)生網絡安全事件的。
第五十八條 縣級以上網信部門和其他有關部門工作人員玩忽職守、濫用職權、徇私舞弊的,依法給予處分;構成犯罪的,依法追究刑事責任。
第五章 附 則
第五十九條 本條例自2022年1月1日起施行。2004年7月30日湖南省第十屆人民代表大會常務委員會第十次會議通過、2012年5月31日湖南省第十一屆人民代表大會常務委員會第二十九次會議修訂的《湖南省信息化條例》同時廢止。