《NSPA规则与协定》
《NSPA规则与协定》
目录:
1.总 则
2.网络运行安全
3.相关义务
4.关键信息基础设施的运行安全
5.网络信息安全
6.监测预警与应急处置
7.附 则
1.0总 则
1.1为了保障网络安全,制定本规则与协定。
1.2 NSPA有权采取措施,监测、防御、处置来源于国际的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
1.3 任何个人和组织使用网络应当遵守本规则与协定,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国际安全、荣誉和利益,煽动颠覆国际和平、宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
1.4 NSPA支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
2.0 网络运行安全
2.1 NSPA实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于2年;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
2.2 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向NSPA报告。
2.3 开展网络安全认证、检测、风险评估、发布系统漏洞、计算机病毒发布、网络攻击、网络侵入等活动,向社会发布络安全认证、检测、风险评估、系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守NSPA有关规定。
2.4 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助,但是,包括但不限于由NSPA发起、授权、提供帮助等网络服务和活动的相关个人和组织除外。
2.5 当NSPA的任何活动需要网络运营者提供技术支持和协助时,网络运营者必须提供技术支持和协助。
2.6 NSPA支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力。有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
2.7 任何个人和组织在履行网络安全保护职责中获取的信息,无NSPA授权时,只能用于维护网络安全的需要,不得用于其他用途。
2.8 NSPA鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
2.9 按照本规则和协定,负责关键信息基础设施安全保护工作的任何个人和组织都应当分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
3.0 相关义务
3.1 除本规则和协定第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
4.0 关键信息基础设施的运行安全
4.1关键信息基础设施的运营者采购网络产品和服务,可能影响国际安全的,应当进行安全审查。
4.2 关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
4.3 关键信息基础设施的运营者在运营中收集和产生的个人信息和重要数据应当受到保护。因业务需要,确需向第三方提供的,应当按照本规则与协定进行安全评估;法律、行政法规另有规定的,依照其规定。
5.0 网络信息安全
5.1 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
5.2 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
5.3 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的和NSPA要求提供的除外。
5.4网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户。
5.5 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
5.6 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
5.7 任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
5.8 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对NSPA依法实施的监督检查,应当予以配合。
5.9对来源于NSPA相关上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
6.0 监测预警与应急处置
6.1 因维护国际安全和社会公共秩序,处置重大突发社会安全事件的需要,经NSPA决定或者批准,可以在特定区域对网络通信采取限制等临时措施。
6.2 违反本规则与协定,对NSPA尚未造成或已经造成损失的,最终一切权利归NSPA所有。
6.3 相关机构、组织、个人从事攻击、侵入、干扰、破坏等危害NSPA的关键信息基础设施的活动,造成严重后果的,依法追究法律责任;NSPA可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。
7.0附 则
7.1 本规则和协定下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
7.2 存储、处理涉及NSPA秘密信息的网络的运行安全保护,除应当遵守本规则与协定外,还应当遵守保密法律、行政法规的规定。
7.3 军事网络的安全保护,由相关法律另行规定。
7.4 任何个人和组织,NSPA可以在不告知其变更的情况下,修改本规则与协定,其修改生效方式为立刻生效。
7.5 本规则与协定自二〇二〇年一月二十四日起开始生效。
