河南省网络安全条例

河南省网络安全条例

（于2022年11月26日，河南省第十三届人大常委会第三十六次会议正式审议通过）

第一章 总则

为确保网络空间的安全稳定，捍卫国家整体利益及社会公众福祉，维护自然人与各类组织包括法人和非法人组织的合法权益，推动经济社会的持续高水平发展，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规，并充分考虑本省的实际情况，特制定本地方性条例。

在本省行政区域内，对于网络安全的建设、保障与监管，以及网络使用和网络数据处理等相关活动，均应遵循本条例的规定。

涉密网络的安保和数据保密工作，须严格依照国家相关法律法规以及行政规章的规定进行操作。

第三条，网络安全工作需全面融入总体国家安全战略，同时重视网络安全的同步推进与信息化建设的协调发展，依照全面规划、综合施策、科学进步、保障安全的指导原则。

县级以上政府需将网络安全纳入国家经济与社会发展蓝图，对网络安全建设和维护加大资金投入，构建完善的网络安全管理机构，强化网络安全执法团队的构建，优化网络安全工作的整体协调体系，针对网络安全的关键问题予以解决，进而增强网络安全保障的整体水平。

第五条 县级及以上级别的网络信息管理部门作为网络安全领域的核心管理机构，承担着全面规划和整合网络安全事务以及相关监督职责。

县级以上政府相关部门，包括工业和信息化、公安、保密管理、密码管理以及国家安全机关和省电信管理机构，需在其职能权限内承担网络安全保护与监督管理的责任。

第六条 网络相关行业组织需依据章程规定，强化行业自律机制，并指导会员单位切实执行国家网络安全相关法规，提升网络安全防护水平，推动整个行业的持续健康发展。

第七条 网络运营方、数据处理人员以及个人信息管理者必须遵循法律法规，恪守社会公德与伦理规范，坚守商业与职业道德，保持诚信，执行网络安全防护职责，肩负社会责任，并接受来自政府及社会的监督。

第八条规定，任何个人或组织在网络上活动时，必须遵守法律法规，确保网络安全，不得以网络为手段损害国家利益和社会公共福祉，不得借助网络破坏经济和社会秩序，同时也不得通过网络侵犯他人的合法权益。

任何个人或机构若遭遇网络安全威胁，均有权提出投诉或进行举报。一旦接到相关投诉或举报，相关部门必须迅速采取行动进行处理。

国家机关、人民团体、企事业单位以及新闻媒体均应以社会主义核心价值观为指引，积极推广健康文明的网络行为，并引导全社会依法上网、文明使用网络、安全浏览，增强网络安全防范意识，共同营造一个良好的网络安全维护氛围。

第十条 规定，县级以上政府机构需对在网络安全领域作出显著贡献的个体或集体，依据既定政策，实施相应的荣誉授予和物质激励。

第二章 网络安全建设

县级以上网信机构需与相关单位协作，依据上级制定的网络安全战略以及本行政区域内国民经济与社会发展的规划，制定相应的网络安全战略。该战略在获得同级网络安全和信息化委员会的批准后予以执行，并需向上级网信部门进行备案。

第十二条规定，省级政府相关部门，包括标准化管理机构以及网络信息、行政审批政务信息管理部门，需依据各自职能分工，共同推动网络安全标准的宣传教育、普及推广以及实际应用。

高等院校、科研机构、企业以及行业组织等被积极倡导参与网络安全国家及行业标准的编制活动。

第十三条 规定，县级以上各级政府需设立专门用于网络安全的资金，以支持那些关键的网络安全技术产业和项目的成长与发展。

省人民政府所设立的互联网产业专项基金，理应致力于网络安全建设和运营的支持。

鼓励金融机构支持网络安全技术创新和产业发展。

第十四条规定，省政府及其相关部门需对省实验室以及省级及以上工程技术研究中心、技术创新中心、重点实验室等给予支持，以推动网络安全技术的研发，并强化网络安全平台的建设工作。

高等院校、科研机构以及企业应得到激励与扶持，积极参与网络安全技术的研发和创新项目，同时也要投身于网络安全平台的构建工作。

第十五条，省政府需对网络安全技术的研发及其实际应用给予大力支持，特别是在安全芯片的设计与制造、网络安全态势的感知以及网络安全自主防御等关键技术的攻克方面给予重点关注；同时，要推进网络安全技术产品的更新换代，鼓励新技术在网络安全领域的应用，并积极推广那些安全可靠的网络产品与服务。

省政府及相关部门需给予网络安全企业、高校以及科研院所大力扶持，鼓励它们共同攻克关键技术难题，同时，要积极引导网络安全产业向集中化发展，促进网络安全技术的应用与网络安全产业的深度融合。

第十六条河南省网络安全条例，省级政府及其相关部门需指导并支持高校及职业院校增设网络安全相关学科与课程，致力于打造国家级顶尖网络安全学院；同时，倡导高校、科研机构与企业携手合作，共建网络安全实训平台，以促进人才之间的交流与合作。

县级以上政府及相关部门需将网络安全领域的顶尖、高技能及稀缺人才纳入人才发展规划，并在住房保障、职称晋升、配偶就业机会以及子女教育入学等方面给予相应扶持。

第十七条要求，县级以上政府及其相关部门需定期举办网络安全知识普及活动，同时指导并协助教育机构、媒体机构、行业协会、专业研究机构等加强网络安全宣传，以增强全社会的网络安全意识及防范技能。

国家机关、人民团体以及企业事业单位需构建完善的网络安全教育培训体系。同时，应积极倡导社会力量和网络安全企业投身于网络安全教育培训工作。

县级以上政府的教育机构以及各类学校需强化青少年网络安全意识的培养，积极推广网络安全知识和技能的教育，确保这些内容进入校园和课堂，从而提升青少年的网络安全防范能力。

第十八条 规定，省级以及地级市人民政府需积极推动网络安全社会化服务体系的构建与发展。

积极倡导并扶持那些符合规定要求的企业和机构，依照法律法规进行网络安全规划与咨询、安全系统的集成、安全资质的认证、产品的质量检测、风险等级的评估、紧急情况下的应对措施、灾难恢复与备份等全方位的网络安全服务。

第三章 网络安全保障

第十九条，县级以上网信、公安等相关部门需对网络运营主体进行指导和监督，确保其执行关键信息基础设施的安全防护、网络安全等级保护、数据安全防护、个人信息安全保护、密码应用安全评估、云计算服务安全评估以及网络信息安全投诉举报等相关制度。同时，必须遵守国家标准的强制性规定，并制定网络安全事件的应急处理预案。

第二十条 本省依照相关法律法规，对国家的关键信息基础设施实施特别防护。

县级以上政府需在网络安全等级保护体系框架内，对本辖区那些尚未被纳入国家关键信息基础设施范畴的信息系统实施强化防护。这些信息系统的界定标准与识别指引，将由省级网信部门联合公安等相关部门共同制定。省人民政府相关行业管理部门承担着制定本行业及领域关键信息系统的认定规范，依据这些规范对关键信息系统进行辨别，随后通知网络服务提供者，并将识别结果上报至省网信办和公安部门。

第二十一条 网信部门需负责统筹协调，促使相关部门共同构建关键信息系统的网络安全信息共享体系。同时，该部门应与行业主管机构携手，对关键信息系统的安全风险进行审查和检测。在关键信息系统网络安全事件发生时，包括应急处置和网络功能恢复等方面，网信部门需提供必要的技术支持和专业指导。

行业主管机关承担着对本行业、该领域关键信息系统的安全防护工作进行指导与监管的重任，致力于构建完善的网络安全监测预警体系及网络安全事件应急处理方案，并定期实施网络安全检查、监测活动以及应急演练。

第二十二条，建设关键信息系统的过程中，必须保证其具备稳固、连续运行的能力；网络安全的技术手段需与关键信息系统同步进行规划、设计、施工、验收及投入使用，以此保障网络、数据及信息的整体安全。

第二十三条 重要信息系统运营者应当履行下列安全保护义务：

（一）建立健全网络安全管理制度，明确安全管理负责人；

（二）对关键信息系统的规划、构建、操作与维护等环节，执行严格的安全管理措施；

（三）对重要信息系统和数据库采取容灾备份和加密等措施；

（四）编制网络安全事件应急预案，定期开展应急演练；

法律和法规还规定了其他应尽的义务。对于关键信息系统的运营者来说，他们必须承担起网络安全保护的主要责任。在购买网络产品和服务时，运营者需依照规定与供应商达成协议，协议中需明确供应商的技术支持、网络安全的运行维护以及保密责任，同时运营者还需对供应商的履行情况进行监督。

第二十四条个人网络信息安全条例，依据国家数据分类分级保护制度的相关规定，省人民政府相关部门需对本行业、本领域的网络数据进行细致的分类分级处理。同时，需明确列出本行业、本领域中的重要数据的具体清单，并对这些列入清单的网络数据实施严格的保护措施。

省人民政府相关行业主管机构所确定的关键数据详细清单需提交至省网络信息管理部门进行登记。省网络信息管理部门需迅速将登记信息与公安、国家安全等相关部门进行交流与共享。

第二十五条 规定，网络数据处理在进行数据处理相关活动时，必须遵守以下安全保护职责：

确立相应的管理规范与操作指导，科学设定网络数据处理的具体操作权限。

实施安全技术手段以及采取其他必需的防护措施，确保网络数据的安全河南省网络安全条例，同时也要保障网络数据处理系统、存储环境等各项安全。

（三）需强化风险监控，一旦发现网络安全数据存在缺陷或漏洞，必须迅速启动应急措施进行修复。

（四）一旦网络数据安全事件发生，必须迅速启动应对机制，迅速通知所有相关利益方，同时依照相关规定，向所在区域的市级及以上行业主管机构以及网信、公安等部门进行汇报。

（五）法律、法规规定的其他义务。

第二十六条 网络服务提供者需强化对用户发布信息的监管，完善用户注册和信息发布的审核流程，一旦发现违反法律法规禁止发布或传输的内容，应立即中止传播，并采取删除等相应措施，遏制信息蔓延，同时保留相关记录，并向当地网信、公安等相关部门进行汇报。

网络服务提供商在使用算法进行信息推荐时，必须承担算法安全的首要责任，严禁通过算法推荐传播被法律或行政法规明令禁止的内容，同时不得构建违反法律法规、损害社会公德、破坏公平竞争的算法架构。

第二十七条 规定，网络运营者需构建维护数据安全的平台规定和隐私保护机制，同时应确保不破坏公平竞争环境，并保护用户的合法权益不受侵害。

第二十八条 规定，任何个人或组织在使用网络时需承担相应责任，网络信息发布必须遵循国家法律法规、社会道德规范以及公共秩序和良好风俗，严禁通过网络平台制作、散布、传播任何法律、行政法规明令禁止发布或传输的内容。

在网络平台上搜集及运用个人资料时，必须依照合法性、合理性、必要性及诚信原则行事，清楚告知信息收集、运用目的、方式及范围等相关事宜，履行告知责任，同时需获得当事人或其监护人的明确同意；除非法律或行政法规有其他规定。

在执行法定职责或提供相关服务与产品时，所涉及的个人信息仅限于满足基本需求，严禁无节制地搜集；同时，若个人拒绝提供非必要信息，不应因此遭到拒绝服务或产品的待遇。

第三十条 在通过网络手段处理个人资料时，必须执行以下各项措施，以保证个人信息处理过程严格遵守法律法规的要求：

（一）制定管理制度和操作规程；

（二）对个人信息实行分类管理；

（三）采取相应的加密、去标识化、匿名化等安全技术措施；

如遇个人信息泄露、篡改或丢失的情况，应迅速实施应急措施，及时告知当事人，同时向上级行业管理部门以及网信、公安等相关部门进行汇报。

（五）法律、行政法规规定的其他措施。

第三十一条 规定，任何个人或组织均不得擅自进入、扰乱、进攻、损害网络环境，亦不得进行窃取、泄露、篡改信息，以及非法获取、公布、买卖网络数据等可能威胁网络安全的活动。

第四章 网络安全监管

第三十二条 县级及以上网信机构以及相关部门，依照法律规定，在其职责权限内，承担网络运营安全、网络数据保护、网络信息保障等项工作。

第三十三条 规定，县级以上网信部门需负责全面规划与组织协调，在本行政区域内构建网络安全保障体系，进行网络安全监测与预警，并处理紧急情况；同时，统筹管理关键信息基础设施与重要信息系统的安全防护，以及网络数据与个人信息的保护工作；并依照法律规定，负责网络运行安全、网络数据安全与网络信息安全的监管和执法活动。

县级以上网信机构根据实际情况，可联合其他相关部门，共同执行网络安全方面的联合执法行动，并对相关案件进行监督和推进。

第三十四条 规定，县级及以上政府相关部门承担对工业网络安全进行监管和管理的职责。

无线电管理机构负责无线电干扰查处相关工作。

第三十五条 规定，县级以上人民政府的公安机构承担着对网络安全等级保护、关键信息基础设施的安全防护以及重要信息系统的保护工作进行指导、监督和检查的任务；同时，依照法律规定，对这些与网络安全相关的违法犯罪行为进行查处。

第三十六条，保密管理部门承担着对机关、单位网络保密工作的指导和监督职责；同时，负责对涉及密级的网络及关键信息基础设施运营者在采购保密设备、产品和服务的环节进行保密监管；此外，还需负责对涉密信息系统进行测评审查以及风险评估等安全保密工作；对各类网络实施保密监测预警和保密检查；最后，还需负责对各类网络失泄密案件进行查处，并评估危害程度以及进行密级鉴定。

第三十七条，密码管理部门将联合相关机构对网络信息系统中的密码泄露事件及违反规定的密码研发与使用行为进行查处；承担全省涉密网络密码的规划与管理职责；推动并监管关键信息基础设施和重要信息系统的密码应用；负责全省商用密码应用安全性的评估工作；并与相关部门共同构建密码安全监测预警、风险评估、信息通报、重大事件协商以及分级响应等协作机制。

第三十八条 规定，省级及设区市的国家安全机构需承担网络反间谍安全防范的指导、监督任务，同时负责进行反间谍技术防范的检查、检测以及后续的处置工作。

第三十九条 省级电信管理部门承担着对电信及互联网企业进行网络信息安全管理的指导和监督职责，它们需依据自身职责和权限，推动电信网与互联网的网络安全监管工作个人网络信息安全条例，包括开展网络安全检查、实施监测预警、进行风险评估、治理网络安全威胁、发布信息安全通报、执行应急管理和处置等任务。

第四十条 各级行业主管机关负责对本行业、本领域的网络安全保障工作进行指导和监管，确保关键信息基础设施及重要信息系统的安全防护个人网络信息安全条例，承担网络数据安全的监管任务，依照法律规定定期进行网络安全检查，对潜在的网络安全隐患进行排查，处理网络安全事件，并且需及时向同级别的网信部门报告相关情况。

第四十一条 各级国家机关需遵循属地管理及主管负责的准则，切实执行网络安全责任制度，构建完善的网络安全工作架构，增强网络安全防护水平，保障关键信息基础设施、重要信息系统、网络运营、网络数据以及网络信息的稳定和安全。

第四十二条 在网信、公安、国家安全等相关部门依法执行网络安全监管任务的过程中，网络服务提供商、数据处理器以及个人信息管理者有责任提供必要的协作与支持。

第四十三条规定，各级网信管理部门需依照网络安全监测预警及信息通报的相关制度执行，全面协调相关机构，强化网络安全信息的搜集、处理及通报职能，并依照规定程序，统一对外发布网络安全监测预警的相关资讯。

行业监管部门需构建完善本行业、该领域的网络安全监测预警体系及信息发布机制，同时，应与同级别的网信管理部门进行网络安全信息的交流与共享。

第四十四条 明确规定，省级以及设区的市网信管理部门需对本行政区域内的网络安全突发事件进行统一调度和协调，并构建起涵盖不同区域、不同部门和不同行业的协同应对体系。公安、电信管理等相关部门需在其职责权限内承担网络安全事件的应对任务。能源、电信、交通等关键行业需确保在网络安全事件应急处理和网络功能恢复过程中得到充分保障与支持。

第四十五条 若县级以上网信部门察觉到网络中存在显著的安全隐患，或发生网络安全事故，有权依照法律规定，对相关网络运营商、网络数据处理机构、个人信息处理机构的负责人或主要责任人进行约谈。被约谈的个人或单位需遵循相关规定，迅速采取措施消除网络安全风险，妥善处理网络安全事故，并立即处理那些法律法规明令禁止发布或传播的信息。

第四十六条 各省及设区市的网络信息管理部门需构建完善的网络安全投诉举报机制，设立专门的投诉举报平台，公布投诉举报热线，广泛吸纳社会各界对网络安全危害行为的投诉与举报。对于属于本部门职责范畴的投诉，需在三十天内处理完毕并给出答复；若情况较为复杂，经单位负责人批准，可适当延长处理时限，但最长不超过三十日。对于超出本部门职责范围的投诉和举报，应于三日内移交至相应部门处理。该部门需在规定期限内完成处理，并向投诉者或举报者提供答复，同时将处理结果向网信部门进行汇报。

网信部门以及其他相关机构必须对投诉者和举报者的身份信息严格保密，同时确保他们的合法权益得到充分保障。

第四十七条 明确要求，省级以及设区的市政府需将网络安全建设纳入到整体的高质量发展绩效评估体系中，并设立相应的考核标准，对下辖政府开展网络安全工作的成效进行评估。