杭州市計算機信息網絡安全保護管理條例

　　(2008年12月23日杭州市第十一屆人民代表大會常務委員會第十二次會議通過2009年4月1日浙江省第十一屆人民代表大會常務委員會第十次會議批準)

　　第一章　總則

　　第二章　安全保護和管理

　　第三章　公共秩序管理

　　第四章　監督管理

　　第五章　法律責任

　　第六章　附則

第一章　總則

　　第一條　為加強計算機信息網絡安全的保護和管理，維護國家安全、公共利益和社會穩定，維護公民、法人和其他組織的合法權益，促進信息化建設的健 康發展，根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《互聯網信息服務管理辦法》等規 定，結合本市實際，制定本條例。

　　第二條　本條例所稱的計算機信息網絡，是指由計算機及其相關的和配套的設備、設施構成的，按照一定的應用目標和規則對信息進行制作、采集、加工、存儲、傳輸、檢索等處理的人機系統和運行體系。

　　計算機信息網絡的安全，包括計算機信息系統及互聯網絡的運行安全和信息內容的安全。

　　第三條　杭州市行政區域內的計算機信息網絡安全保護與管理活動，適用本條例。對涉及國家秘密的計算機信息系統(以下簡稱涉密信息系統)實行分級保護制度，按照國家保密法律法規和保密標準管理。

　　第四條　計算機信息網絡安全堅持“保護與管理并重”和“誰主管、誰負責，誰運營、誰負責”的原則。

　　第五條　市公安局根據本條例規定主管全市計算機信息網絡安全保護管理工作。市公安局公共信息網絡安全監察分局具體負責全市計算機信息網絡安全保護管理工作。

　　各縣(市)公安局和蕭山區、余杭區公安分局負責本行政區域范圍內計算機信息網絡安全保護管理工作。

　　國家安全機關、保密工作部門、密碼管理部門、信息化行政主管部門、互聯網新聞信息服務管理部門及其他有關行政主管部門，負責各自職責范圍內的計算機信息網絡安全保護管理工作。

　　第六條　單位和個人依法使用計算機信息網絡的權利，受法律、法規和本條例保護。

　　任何單位和個人不得利用計算機信息網絡從事危害國家安全、公共利益及社會秩序以及侵犯公民、法人和其他組織合法權益的活動，不得危害計算機信息網絡的安全。

第二章　安全保護和管理

　　第七條　計算機信息系統實行安全等級保護制度。

　　計算機信息系統的安全保護等級分為五個等級。等級確定的原則、標準、各級別安全保護和管理內容按照國家和省有關規定執行。

　　涉密信息系統應當根據國家等級保護的基本要求，按照國家保密工作部門有關涉密信息系統分級保護管理規定和技術標準，結合系統實際情況進行保護。

　　第八條　計算機信息系統的運營、使用單位作為安全等級保護的責任主體，應當按照國家有關管理規范、技術標準確定計算機信息系統的安全保護等級。 對新建、改建、擴建的計算機信息系統，運營、使用單位應當在規劃、設計階段確定計算機信息系統的安全保護等級，并同步建設符合該安全保護等級要求的信息安 全設施。

　　第九條　新建的第二級以上計算機信息系統，其運營、使用單位應當在系統投入運行后三十日內到市公安局辦理備案手續。已運行的第二級以上計算機信息系統，其運營、使用單位應當在安全保護等級確定后三十日內到市公安局辦理備案手續。

　　第十條　計算機信息系統運營、使用單位應當建立計算機信息系統安全狀況日常檢測工作制度。

　　計算機信息系統運營、使用單位應當按照國家有關管理規范和技術標準，定期對計算機信息系統安全等級狀況開展等級測評，對計算機信息系統安全狀 況、安全保護制度及措施的落實情況進行自查。經測評或者自查，計算機信息系統安全狀況未達到安全保護等級要求的，運營、使用單位應當制定方案進行整改。

　　第十一條　計算機信息系統運營、使用單位應當建立并落實以下安全保護制度：

　　(一)安全責任制度和保密制度；

　　(二)核實、登記并及時更新用戶注冊信息制度；

　　(三)信息發布審核、登記、保存、清除和備份制度；

　　(四)信息網絡安全教育和培訓制度；

　　(五)信息網絡安全應急處置制度；

　　(六)違法案件報告和協助查處制度；

　　(七)國家和省規定的其他安全保護制度。

　　第十二條　計算機信息系統運營、使用單位應當落實以下安全保護技術措施：

　　(一)系統重要數據備份、容災恢復措施；

　　(二)計算機病毒等破壞性程序的防治措施；

　　(三)系統運行和用戶使用日志備份并保存六十日以上的措施；

　　(四)記錄、監測網絡運行狀態和各種網絡安全事件的安全審計措施；

　　(五)網絡安全隔離以及防范網絡入侵、攻擊破壞等危害網絡安全行為的措施；

　　(六)密鑰、密碼安全管理措施；

　　(七)國家和省規定的其他安全保護技術措施。

　　第十三條　計算機信息系統運營、使用單位應當制定重大突發事件應急處置預案。發生重大突發事件時，運營、使用單位應當按照應急處置預案的要求采取相應的處置措施，并服從公安機關和國家指定的專門部門的調度。

　　本條例所稱的重大突發事件，是指有害信息大范圍傳播、大規模網絡攻擊、計算機病毒疫情等危害計算機信息系統安全的重大事件。

　　第十四條　計算機信息系統中發生重大安全事故的，計算機信息系統運營、使用單位應當在二十四小時內向所在地公安機關報告，違反國家保密法規定泄 露國家秘密的，應當向所在地保密工作部門報告，并保留有關原始記錄。因計算機病毒等破壞性程序發生計算機信息系統癱瘓、程序和數據嚴重損壞等安全事故的， 計算機信息系統運營、使用單位還應當向所在地公安機關提供計算機病毒等破壞性程序的樣本。

　　公安機關、國家安全機關、保密工作部門對危害計算機信息網絡安全和涉嫌違法犯罪的活動依法進行調查時，計算機信息系統運營、使用單位應當依法如實提供有關信息、資料及數據文件。

　　第十五條　計算機信息系統的規劃、建設、運營和使用單位在計算機信息系統安全保護設施的規劃、建設中，應當依照國家信息安全等級保護管理規范和技術標準，使用符合國家有關規定并滿足計算機信息系統安全保護需求的信息安全產品。

　　第十六條　信息安全服務機構應當按照有關法律、法規和相關信息安全技術標準的規定提供信息安全服務，并保守計算機信息系統的技術秘密。

　　信息安全服務機構發現、掌握危害計算機信息網絡安全的證據時，應當及時向所在地公安機關報告并提供所發現、掌握的計算機病毒等破壞性程序的樣本。

第三章　公共秩序管理

　　第十七條　計算機信息系統運營、服務單位應當自網絡聯通之日起三十日內向所在地公安機關備案。

　　第十八條　互聯網接入服務提供者及主機托管、租賃和虛擬空間租用等互聯網數據中心服務提供者，應當建立并落實以下安全保護制度和安全保護技術措施：

　　(一)如實登記申請服務的用戶基本情況、網絡應用種類和范圍以及身份證明，每月將用戶登記情況及所分配的網絡地址等有關情況報所在地公安機關備案；

　　(二)依法與用戶簽訂服務協議，明確雙方應當承擔的信息安全法律責任；

　　(三)定期核查用戶的網絡應用種類和范圍，發現用戶的活動超出協議約定的應用種類和范圍的，應當及時予以糾正；發現傳輸的內容明顯屬于本條例第二十三條規定情形的，應當立即停止傳輸違法內容，保存相關記錄，并向所在地公安機關報告。

　　互聯網接入服務提供者應當記錄上網用戶的上網時間、用戶賬號、互聯網網絡地址或者域名、主叫電話號碼等信息。

　　第十九條　互聯網信息服務提供者應當建立信息審核制度，明確信息審核人員，發現屬于本條例第二十三條規定情形信息的，應當立即刪除違法內容，保存相關記錄，并向所在地公安機關報告。涉及其他部門的，向有關主管部門報告。

　　互聯網信息服務提供者應當建立并落實以下安全保護制度和安全保護技術措施：

　　(一)提供新聞、出版以及電子公告等服務的，能夠記錄所發布信息的內容、時間及互聯網網絡地址或者域名，并留存六十日以上；

　　(二)開辦政務、新聞、重點商務網站的，能夠防范網站、網頁被篡改，發現被篡改后能夠立即恢復；

　　(三)提供電子公告、網絡游戲和其他即時通信服務的，具有用戶注冊信息和發布信息審核功能，并如實登記向其申請開設上述服務的用戶的有效身份證明；

　　(四)提供電子郵件和網上短信息服務的，具有信息群發限制措施，能夠防范以群發方式發送偽造或者隱匿信息發送者真實標記的電子郵件或者短信息；

　　(五)提供電子公告服務或其他交互式信息服務的，其計算機信息網絡應當使用固定的互聯網網絡地址。

　　前款所稱的電子公告服務，是指在互聯網上以論壇、聊天室、留言板、博客等交互形式為上網用戶提供信息發布條件的行為。

　　第二十條　設立互聯網上網服務營業場所的經營單位，應當在申領《網絡文化經營許可證》之前到所在地公安機關申請信息網絡安全審核。互聯網上網服務營業場所經營單位變更營業場所或者對營業場所進行改建、擴建的，應當事先經原審核機關同意。

　　互聯網上網服務營業場所經營單位變更名稱、住所、法定代表人或者主要負責人、注冊資本、網絡地址或者終止經營活動的，應當依法到工商行政主管部門辦理變更登記或者注銷登記，并到文化行政部門、公安機關辦理有關手續或者備案。

　　非經營性互聯網上網服務提供單位應當自提供上網服務之日起十五日內向所在地公安機關備案，其法定代表人、營業場所、網絡地址等發生變更的，應當自變更之日起十五日內報原備案機關備案。

　　第二十一條　互聯網上網服務提供單位應當建立并落實以下安全保護制度和安全保護技術措施：

　　(一)提供互聯網上網服務的服務器應當使用固定的互聯網網絡地址；

　　(二)如實登記用戶有效身份證明、上網時間等有關情況，登記記錄應當保留六十日以上；

　　(三)安裝具有防病毒、防入侵、防違法信息傳播、記錄上網用戶日志等功能的安全保護技術設施，并保證其在線正常運行；

　　(四)發現法律、法規所禁止的行為和信息時，應當立即停止傳播違法內容，保存有關日志和記錄，并向所在地公安機關報告；

　　(五)提供無線接入服務的互聯網上網服務場所，應當記錄并留存用戶信息及對應的計算機信息。

　　第二十二條　任何單位或者個人不得從事下列危害計算機信息網絡安全和秩序的行為：

　　(一)擅自進入、使用他人計算機信息網絡；

　　(二)擅自增加、修改、刪除、復制他人計算機信息網絡的數據；

　　(三)擅自增加、修改、刪除、干擾他人計算機信息網絡的功能；

　　(四)破壞計算機信息網絡運行環境、設備設施；

　　(五)竊取、盜用、篡改、破壞他人網絡資源；

　　(六)故意制作、傳播、使用計算機病毒、惡意軟件等破壞性程序，或者制作、發布、復制、傳播含破壞性程序或其機理、源程序的信息；

　　(七)故意阻塞、阻礙、中斷計算機信息網絡的信息傳輸，惡意占用網絡資源；

　　(八)利用計算機信息網絡大量或者多次發送電子郵件、短信息等，干擾他人正常生活秩序或者網絡秩序；

　　(九)利用計算機信息網絡違背他人意愿、冒用他人名義發布信息；

　　(十)明知本單位或本人的計算機信息網絡的網絡地址、主機空間等資源已被他人利用，從事可能危害計算機信息網絡安全的活動而不予制止；

　　(十一)擅自利用計算機信息網絡收集、使用、提供、買賣他人專有信息；

　　(十二)其他危害計算機信息網絡安全和秩序的行為。

　　第二十三條　任何單位或者個人不得利用計算機信息網絡制作、發布、傳播含有下列內容的信息：

　　(一)反對憲法確定的基本原則的；

　　(二)危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統一的；

　　(三)損害國家榮譽和利益的；

　　(四)煽動民族仇恨、民族歧視，破壞民族團結，或者侵害民族風俗習慣的；

　　(五)破壞國家宗教政策，宣揚邪教、封建迷信的；

　　(六)散布謠言，擾亂社會秩序，破壞社會穩定的；

　　(七)鼓動公眾惡意評論他人、公開發布他人隱私或者通過暗示、影射等方式對他人進行人身攻擊的；

　　(八)公然侮辱他人或者捏造事實誹謗他人的；

　　(九)以非法社團名義活動的；

　　(十)買賣法律、法規禁止流通的物品的；

　　(十一)非法買賣法律、法規限制流通的物品，對公共安全構成威脅的；

　　(十二)含有淫穢、色情、賭博、暴力、欺詐等內容，或者教唆犯罪、傳授犯罪方法的；

　　(十三)含有法律、法規禁止的其他內容的。

第四章　監督管理

　　第二十四條　公安機關對計算機信息網絡安全保護工作履行以下監督管理職責：

　　(一)指導計算機信息系統運營、使用單位開展安全等級保護工作，接受第二級以上計算機信息系統的備案，并對其安全保護狀況進行監督、檢查；

　　(二)監督、檢查、指導計算機信息系統運營、使用單位建立、落實各項安全保護制度和安全保護技術措施；

　　(三)依法對計算機信息網絡中的公共信息服務實施監督、檢查，發現公共信息中含有本條例第二十三條所列信息的，應當通知計算機信息系統運營、服務單位予以刪除，必要時中止對發送者的網絡服務；

　　(四)負責接受危害計算機信息網絡安全的事件、案件的報告、舉報，勘查現場并收集相關證據，提取疑似計算機病毒等破壞性程序的樣本，依法查處計算機信息網絡安全違法犯罪案件；

　　(五)向社會發布信息安全事件和計算機病毒疫情；

　　(六)與計算機信息網絡安全保護工作相關的其他監督職責。公安機關發現計算機信息系統存在安全隱患，可能危及公共安全的，可以委托具有相應資質的測評機構進行測評。經測評發現存在安全問題的，計算機信息系統運營、使用單位應當立即予以整改。

　　第二十五條　公安機關、國家安全機關為保護計算機信息網絡安全，在發生重大突發事件，危及國家安全、公共安全及社會穩定的緊急情況下，可以對計算機信息系統運營、使用單位采取二十四小時內暫時停機、暫停聯網、數據備份等措施。

　　第二十六條　公安機關應當組織計算機信息系統運營、使用單位的安全保護組織成員、管理責任人、信息審查員以及信息安全服務機構工作人員等從事計算機信息網絡安全保護工作的人員參加計算機信息網絡安全專業技術培訓。

　　第二十七條　國家安全機關負責計算機信息網絡國家安全事項管理工作，依法查處利用計算機信息網絡危害國家安全的違法行為。

　　第二十八條　保密工作部門依法對有關計算機信息網絡的保守國家秘密工作實施監督管理，并做好以下工作：

　　(一)指導、監督和檢查涉密信息系統安全分級保護工作；

　　(二)指導涉密信息系統建設、使用單位規范信息定密，合理確定安全保護等級；

　　(三)參與涉密信息系統安全分級保護方案論證，指導涉密信息系統建設、使用單位做好保密設施的同步規劃設計；

　　(四)指導涉密信息系統安全保護等級測評工作，監督、檢查涉密信息系統安全分級保護管理制度和技術措施的落實情況；

　　(五)對涉密信息系統按照國家規定進行投入使用前審批，并對其管理使用情況進行檢查；

　　(六)依法查處違反保密法律法規的行為。

　　第二十九條　密碼管理部門應當加強對計算機信息系統內使用密碼產品的單位的監督、檢查和指導，定期對計算機信息系統安全等級保護工作中密碼配備、使用和管理的情況進行檢查和測評，同時對密碼產品使用單位的操作人員和管理人員進行培訓。

　　密碼管理部門在監督檢查過程中，發現存在安全隱患、違反密碼管理相關規定或者未達到密碼相關標準要求的，應當按照國家密碼管理的相關規定進行查處。

　　第三十條　信息化行政主管部門負責組織、協調和指導計算機信息網絡安全工作，組織信息網絡安全技術、設備和產品的監督管理，組織、指導和管理計算機病毒防范工作，并根據信息安全發展形勢和信息安全保障要求，組織有關部門編制全市信息安全保障規劃，報市政府批準后實施。

　　第三十一條　互聯網新聞信息服務管理部門負責指導、協調互聯網新聞信息管理工作，協調處理計算機信息網絡傳播違法新聞信息的行為。

第五章　法律責任

　　第三十二條　計算機信息系統運營、使用單位違反本條例第八條規定，未建立計算機信息系統安全保護等級的，由公安機關給予警告，責令其限期改正；逾期不改正的，處以一千元以上五千元以下的罰款；情節嚴重的，給予六個月以內停機整頓的處罰。

　　第三十三條　第二級以上計算機信息系統運營、使用單位違反本條例第九條規定的，由市公安局給予警告，責令其限期改正；逾期不改正的，處以一千元以上五千元以下的罰款。

　　第三十四條　計算機信息系統運營、使用單位違反本條例第十條第一款規定的，由公安機關給予警告，責令其限期改正；逾期不改正的，處以一千元以上五千元以下的罰款。

　　計算機信息系統運營、使用單位違反第十條第二款、第十五條規定的，由公安機關給予警告，責令其限期改正；逾期不改正的，對經營性單位處以二千元以上二萬元以下的罰款，對非經營性單位處以二千元的罰款。

　　第三十五條　計算機信息系統運營、使用單位違反本條例第十一條、第十二條規定的，由公安機關給予警告，責令其限期改正；逾期不改正的，處以二千 元以上五萬元以下的罰款；情節嚴重的，給予六個月以內停機整頓的處罰；對單位直接負責的主管人員和直接責任人員可處以五百元以上五千元以下的罰款。

　　第三十六條　計算機信息系統運營、使用單位違反本條例第十三條、第十四條規定的，由公安機關給予警告，責令其限期改正，并處以一千元以上一萬元以下的罰款。

　　第三十七條　信息安全服務機構違反本條例第十六條第二款規定的，由公安機關給予警告，責令其限期改正，并處以一千元以上一萬元以下的罰款。

　　第三十八條　計算機信息系統運營、服務單位違反本條例第十七條規定的，由公安機關給予警告或者六個月以內停機整頓的處罰。

　　第三十九條　互聯網接入服務和數據中心服務提供者、互聯網信息服務提供者或者互聯網上網服務提供單位違反本條例第十八條、第十九條或者第二十一 條規定的，由公安機關給予警告，責令其限期改正，并可處以一千元以上一萬五千元以下的罰款；情節嚴重的，給予六個月以內停機整頓的處罰；對單位直接負責的 主管人員和直接責任人員可處以五百元以上五千元以下的罰款。

　　第四十條　單位或者個人違反本條例第二十條規定，未經信息網絡安全審核從事互聯網上網服務經營活動的，由公安機關責令其停業，并可處以一千元以上一萬五千元以下的罰款。

　　第四十一條　單位或者個人違反本條例第二十二條、第二十三條規定，由公安機關給予警告，有違法所得的，沒收其違法所得；對單位可并處以一千元以 上一萬五千元以下的罰款，對個人可并處以五百元以上五千元以下的罰款；情節嚴重的給予六個月以內停業整頓、停機聯網的處罰。其中，危害國家安全的行為由國 家安全機關依照有關法律法規規定查處。

　　第四十二條　違反本條例規定的行為，涉及其他法律法規的，由有關部門依法處罰；構成犯罪的，依法追究其刑事責任。

　　第四十三條　公安機關及其他部門工作人員違反本條例規定，玩忽職守、濫用職權或者徇私舞弊的，由其所在單位或者上級主管部門、監察機關依法追究其行政責任；構成犯罪的，由司法機關依法追究其刑事責任。

第六章　附則

　　第四十四條　本條例所稱“以上”、“以下”包含本數。

　　第四十五條　本條例自2009年5月1日起施行。