湖南省网络安全和信息化条例
(2021年12月3日湖南省第十三届人民代表大会常务委员会第二十七次会议通过)
第一章 总 则
第一条为了保障网络安全,促进信息化发展,提高数字化水平,推进经济社会高质量发展,根据有关法律、行政法规,结合本省实际,制定本条例。
第二条本省行政区域内的网络安全保障和信息化促进等活动适用本条例。
第三条网络安全和信息化工作应当贯彻总体国家安全观,遵循统筹规划、创新引领、开放共享、保障安全的原则。
第四条省网络安全和信息化议事协调机构负责研究制定本省网络安全和信息化发展战略、宏观规划和重大政策,统筹协调本省网络安全和信息化重大事项和重要工作,推进本省网络安全和信息化法治建设。
第五条县级以上负责网络安全和信息化工作的部门(以下简称网信部门)负责本行政区域网络安全和信息化统筹协调、督促落实和相关监督管理工作。
县级以上人民政府工业和信息化、发展改革、科技、公安、财政、政务等部门和国家安全机关、省通信管理机构按照各自职责做好网络安全和信息化相关工作。
第六条县级以上人民政府应当将网络安全和信息化发展纳入国民经济和社会发展规划,安排网络安全和信息化专项资金,引导和支持社会资金投资网络安全和信息化建设。
鼓励企业、科研机构、高等院校、行业组织和个人参与网络安全共同治理与信息化发展工作。
第七条县级以上网信部门应当根据上一级网络安全和信息化发展规划以及本行政区域国民经济和社会发展规划,编制本行政区域网络安全和信息化发展规划,经本级人民政府批准后发布实施,并报上一级网信部门备案。
县级以上人民政府有关部门应当根据实际需要,编制本系统、本部门的网络安全和信息化专项规划,并与本行政区域网络安全和信息化发展规划相衔接。
第八条编制网络安全和信息化发展规划、专项规划,应当组织专家论证,广泛征求意见,坚持安全可控、合理前瞻、科学布局、绿色集约、开放共享的原则,防止重复建设和资源浪费。
第九条省人民政府标准化部门应当会同有关部门制定完善本省网络安全和信息化地方标准并监督实施。
鼓励有关单位参与制定修订网络安全和信息化国际标准、国家标准、行业标准、地方标准,自主制定高于国家强制性标准的团体标准、企业标准。
第十条县级以上人民政府应当加强网信人才的培养和引进。
省人民政府及其有关部门应当支持高等院校建设计算机科学与技术、网络空间安全、集成电路科学与工程等学科,建设重点网络安全和信息化研究基地,支持建设国家一流网络安全学院和网信人才培养基地,加强高等院校与实务部门的人才交流。
省人民政府人力资源和社会保障部门应当会同有关部门,建立健全网信人才职称评价制度和职称评聘制度。
第十一条县级以上人民政府应当组织有关部门、教育机构、公众传媒、村(居)民委员会开展网络安全和信息化宣传活动,提高全社会网络安全意识和信息技术应用能力。
县级以上人民政府及其有关部门应当将网络安全教育和信息化内容纳入国家工作人员培训和普法考核,普及中小学信息技术教育,发展信息技术职业教育。
第十二条县级以上人民政府应当将网络安全和信息化工作纳入经济社会发展考核体系,建立绩效评估指标,对本行政区域各部门和下级人民政府进行网络安全和信息化工作考核。
第二章 网络安全保障
第十三条县级以上人民政府及其有关部门应当按照谁主管谁负责、属地管理原则,落实网络安全责任制,建立健全网络安全保障体系,提升网络安全保护能力,实现网络、关键信息基础设施、重要信息系统和数据的安全可控。
第十四条县级以上网信、工业和信息化、公安、保密、密码管理等部门和国家安全机关、省通信管理机构依照有关法律、行政法规的规定,在各自职责范围内负责网络安全、数据安全、个人信息保护和相关监督管理工作。
第十五条省人民政府对本省行政区域内未列入关键信息基础设施的重要信息系统,在网络安全等级保护制度的基础上,实行重点保护。
重要信息系统的具体范围和识别指南由省网信部门会同公安等部门制定。
第十六条重要信息系统的行业主管或者监督管理部门指导和监督本行业、本领域的重要信息系统运行安全保护工作,负责编制和组织实施本行业、本领域重要信息系统安全规划,建立健全网络安全监测预警和网络安全事件应急预案,定期组织开展网络安全检查监测、应急演练,对重要信息系统进行识别并向省网信部门、公安机关报送识别结果。
第十七条重要信息系统运营者应当履行下列安全保护义务:
(一)明确专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)对从业人员进行网络安全教育、职业道德教育和技术培训;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
第十八条重要信息系统运营者应当采购安全可信的网络硬件、软件产品和服务,并与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任。
第十九条省和设区的市、自治州网信部门应当统筹协调有关部门对重要信息系统的安全保护采取下列措施:
(一)建立网络安全信息共享机制,促进有关部门、运营者以及网络安全服务机构等之间的网络安全信息共享;
(二)对重要信息系统安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(三)定期组织重要信息系统运营者进行网络安全应急演练;
(四)对网络安全事件应急处置与网络功能的恢复等,提供技术支持和协助。
第二十条县级以上网信部门应当建立本行政区域网络安全监测预警和信息通报制度,统筹协调有关部门定期开展网络安全检查,加强网络安全信息收集、分析和通报工作,协调有关部门建立健全风险评估和网络安全应急工作机制,制定网络安全事件应急预案,组织网络安全应急演练。
第二十一条发生网络安全事件或者接到预警信息后,有关单位应当立即启动应急预案,及时处置、消除隐患。发生较大以上网络安全事件,有关单位应当及时向同级网信、公安部门报告。
省和设区的市、自治州网信部门会同有关部门对发生的较大以上网络安全事件开展调查。
能源、电信、交通等行业应当为网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。
第二十二条县级以上网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,防止信息扩散,保存有关记录。
第二十三条网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信、公安、通信等有关部门报告。
第二十四条网络运营者应用算法推荐技术提供互联网信息服务,应当落实算法安全主体责任,建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测等管理制度,不得利用算法推荐服务传播法律、行政法规禁止的信息,不得设置诱导用户沉迷或者高额消费等违背公序良俗的算法模型。
第二十五条省人民政府有关部门应当按照国家数据分类分级保护要求制定数据分类分级指南,对本部门以及相关行业、领域的数据进行分类分级管理。
省人民政府有关部门应当按照国家有关要求和标准,组织制定本部门以及相关行业、领域重要数据目录,对列入目录的数据进行重点保护。
本条例所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
第二十六条网络运营者开展数据处理活动应当按照网络安全等级保护制度的要求,履行下列数据安全保护义务:
(一)建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;
(二)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向网信、公安等有关部门报告;
(三)法律、行政法规规定的其他义务。
第二十七条开展重要数据处理的网络运营者应当明确数据安全负责人和管理机构,制定实施数据安全保护方案和数据安全事件应急预案,自行或者委托数据安全服务机构每年开展一次数据安全风险评估,并向网信、公安等有关部门报送风险评估报告。
第二十八条实施数据收集、存储、加工、使用、提供、交易、公开等活动,有关单位和个人应当落实数据安全保护责任,采取必要措施确保数据安全,不得实施以下行为:
(一)窃取或者以其他非法方式获取数据;
(二)泄露或者篡改收集、存储的个人数据;
(三)未经相关权利人同意,向他人出售或者提供个人数据;
(四)违反法律、行政法规或者约定的其他数据活动。
因数据开发利用需要,在合法收集个人数据后应当进行去标识化处理,并确保无法识别到特定个人。但是,依法需要信息溯源的除外。
第二十九条为应对紧急状态或者重大突发事件,需要收集、交换、共享个人数据的,由突发事件处置部门按照有关法律法规处理,不得用于与应对紧急状态或者重大突发事件无关的目的。
第三十条互联网公众账号信息服务平台应当履行信息内容和公众账号管理主体责任,配备与业务规模相适应的管理人员和技术能力,明确内容安全负责人岗位,建立健全并严格落实账号注册、信息内容安全、应急处置等管理制度。
互联网公众账号生产运营者应当履行信息内容生产和公众账号运营管理主体责任,建立健全全过程信息内容安全审核机制,维护网络传播秩序。
第三十一条县级以上网信部门依法对互联网用户公众账号信息服务进行监督管理,管辖范围包括公众账号信息服务平台的工商登记地、主营业地,以及公众账号生产运营者的账号注册地、账号实际运营地位于本行政区域的所有信息服务提供者。
互联网用户公众账号生产运营者的账号注册地、账号实际运营地不一致的,按照相关规定处理。
第三十二条县级以上网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机制,接受、处理与个人信息保护有关的投诉、举报,开展个人信息保护宣传教育,指导、监督个人信息处理者开展个人信息保护工作,组织对应用程序等个人信息保护情况进行测评,调查、处理违法个人信息处理活动,支持有关机构开展个人信息保护评估、认证服务。
第三十三条县级以上网信部门以及有关部门在履行网络安全和信息化监督管理职责中,发现网络或者数据处理活动存在较大安全风险或者可能发生安全事件的,可以按照法定的权限和程序对有关单位和个人进行约谈,指出存在的问题,提出整改要求。被约谈的单位和个人应当及时整改。
第三章 信息化促进
第三十四条县级以上人民政府及其有关部门应当推进新一代移动通信网建设、光纤网优化布局和互联网升级,推动物联网、工业互联网、卫星互联网等新基础设施建设,推进生产生活、城乡治理、应急预警等领域的场景应用。
省人民政府及其有关部门应当统筹建设卫星导航定位基准服务系统和配套基础设施,提供卫星导航定位基准信息公共服务。
第三十五条省人民政府应当加强大型云平台、大数据中心等算力基础设施的统筹规划和优化布局,促进超级计算中心算力资源利用,避免重复建设和资源浪费。
县级以上人民政府及其有关部门、省通信管理机构应当推进智能计算中心、数据中心等算力基础设施建设。
第三十六条县级以上人民政府及其有关部门应当协同推进人工智能、云计算、区块链等新技术基础设施建设,支持关键核心技术突破,推动新技术及其产品、服务和解决方案的广泛应用。
第三十七条省和设区的市、自治州人民政府应当明确本行政区域管理公共数据的责任部门。县级以上人民政府有关部门根据职责分工负责相关公共数据管理工作。
本条例所称公共数据,是指国家机关、事业单位和其他依法管理公共事务的组织以及提供教育、卫生健康、社会福利、供水、供电、供气、环境保护、公共交通等公共服务的组织(以下统称公共管理和服务机构)在依法履行职责或者提供公共服务过程中获取、产生、处理的数据。
第三十八条省人民政府公共数据管理部门负责建立健全本省统一的公共数据资源目录,制定公共数据资源目录编制规范和公共数据共享、开放的具体办法。
省和设区的市、自治州人民政府公共数据管理部门应当组织公共管理和服务机构,按照编制规范编制公共数据资源目录、处理各类公共数据,明确公共数据来源部门和管理职责。
第三十九条省和设区的市、自治州人民政府公共数据管理部门应当建立和完善本行政区域的公共数据共享交换平台和开放平台,促进公共数据共享和开发利用。
公共数据应当按照规定在公共管理和服务机构之间实现共享或者协同应用。通过共享获得的公共数据,应当用于履行本单位职责,不得用于其他目的。
公共管理和服务机构应当按照需求导向、分类分级、统一标准、安全可控、便捷高效的原则共享和开放公共数据。鼓励使用公共数据从事科学技术研究、咨询服务、产品开发等活动。
公共数据采集单位对所采集数据的真实性、准确性、完整性负责。公共数据管理部门发现公共数据不准确、不完整或者不同采集单位提供的数据不一致的,可以要求采集单位限期核实、更正。采集单位应当在要求的期限内核实、更正。
第四十条向社会开放的公共数据,应当按照以下方式分类:
(一)涉及商业秘密、个人隐私,或者法律法规规定不得开放的公共数据,列入非开放类;
(二)对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;
(三)其他公共数据列入无条件开放类。
非开放类公共数据依法进行脱密、脱敏处理或者相关权利人同意开放的,可以列入无条件开放类或者有条件开放类。
第四十一条县级以上人民政府应当明确本行政区域信息技术推广应用的目标和重点领域,推进信息技术与经济社会各领域深度融合。
省人民政府科技、工业和信息化、农业农村等部门应当在有关专项资金中安排一定比例用于引导和扶持相关领域信息技术的推广应用。
第四十二条县级以上人民政府应当制定和完善促进信息产业发展的政策,优化信息技术与信息产业发展环境,支持新一代信息技术产业基地和园区建设,促进区域信息产业集群和产业链发展,培育产业新生态。
鼓励建立产学研用合作机制,联合研究、开发、推广信息技术产品和服务,推进创新成果的产业化。
第四十三条县级以上人民政府及其有关部门应当结合本地区实际,推动新一代移动通信、信息技术应用创新、集成电路、移动互联网、区块链、数字文化创意等产业发展。
省人民政府工业和信息化部门应当会同有关部门编制和更新本省信息产业发展目录,定期公布信息产业关键技术和产品指南。
第四十四条省网信部门应当会同有关部门引导和支持企业、科研机构、高等院校等围绕网络安全和信息化重点领域开展联合攻关,突破关键核心技术,加强知识产权布局,提升信息产业链、供应链的安全性和自主性。
省人民政府科技部门应当会同有关部门,编制和更新本省网络安全和信息化领域关键核心技术目录,安排关键核心技术研发资金。
第四十五条省人民政府及其有关部门应当推动国家和省实验室、重点实验室、技术创新中心、制造业创新中心、工程研究中心等科技创新平台、文化创意平台、公共技术服务平台和大科学装置建设,支持企业、科研机构、高等院校参与建设有关平台和设施,支持建设面向细分领域的创新平台。
第四十六条信息产业领域社会组织应当加强行业服务,依法开展信息交流、企业合作、产业研究、人才培训、咨询评估等活动。
第四十七条县级以上人民政府及其工业和信息化部门应当推动制造业数字化转型,针对先进制造业重点行业和领域,推动智能制造单元、智能生产线、智能车间、智能工厂建设,支持企业在研发设计、生产制造、运营管理、营销服务等环节加强数字化改造、网络化协同、智能化升级。
县级以上人民政府及其有关部门应当推进工业互联网的应用,降低中小企业使用工业互联网成本,培育众创设计、网络众包、个性化定制、服务型制造等新模式。
第四十八条县级以上人民政府及其农业农村、工业和信息化、商务等部门应当推动新一代信息技术与种植业、林业、畜牧业和渔业等深度融合,加强数字乡村建设,推动农村仓储、物流、冷链设施的数字化建设,促进大数据、物联网、人工智能、区块链在农业生产、加工、经营中的运用。
支持大宗粮食和战略性经济作物生产过程使用智能农机装备,促进信息化与农机装备、作业生产、管理服务深度融合,提高农机装备信息收集、智能决策和精准作业能力,保障粮食安全和重要农产品有效供给。
第四十九条县级以上人民政府及其文化和旅游、市场监督管理等部门应当推进文化、旅游、餐饮、娱乐、家政等生活性服务业和数字技术深度融合,整合利用线上线下资源,发展体验式消费、个性需求定制服务等新业态。
推进现代金融、快递物流、检验检测、法律服务、商务咨询、人力资源等生产性服务业数字化转型,支持行业内数字技术应用场景的开发和创新。
第五十条县级以上人民政府及其商务、工业和信息化、农业农村等部门应当引导和支持电子商务平台、电子商务服务体系发展,推动工业电子商务普及应用,发展农业电子商务,培育社交电子商务、直播电子商务等新业态新模式。
省人民政府及其有关部门应当加强跨境数字贸易交流合作,促进跨境电商综合试验区、数字服务出口基地建设,依托中国(湖南)自由贸易试验区建设数据跨境通道,依法开展数据跨境流动安全评估。
第五十一条县级以上人民政府及其有关部门应当深化数字化改革,推动数字技术与政府履职全面深度融合,推进政务服务全流程“一网通办”,实现数据共享和业务协同,推进政府数字化转型。
省人民政府应当统筹全省政务网络基础设施建设,推动建设全省统一的政务基础网络,提升政务网络承载能力,统筹规划全省统一的政务云平台和政务大数据中心。
第五十二条县级以上人民政府及其有关部门应当加强智慧城市建设,依托省和设区的市、自治州公共数据平台,促进新一代信息技术在城市交通、生态环境保护、应急管理等领域的综合应用,通过数据资源整合共享,实现城市运行态势监测、公共资源配置、宏观决策、统一指挥调度和事件分拨处置数字化,提升城市治理水平。
第五十三条县级以上人民政府及其有关部门、残疾人联合会应当推进新一代信息技术在教育、医疗、养老、抚幼、助残等领域的应用,为学生、患者、老年人、残疾人等提供适用的数字化、智能化产品和服务,促进基本公共服务均等化、便利化。
教育部门应当加强教育领域数字基础设施和数字校园建设,加强数字教育资源开发与应用。
卫生健康、医疗保障等部门和医疗机构应当加强智慧医疗健康体系建设,促进和规范互联网医疗行业发展,实行医疗诊断、检验、检查和治疗信息共享,拓展医疗保障数字化平台便民应用。
民政、卫生健康等部门应当加强智慧养老体系建设,建立全省统一的智慧养老服务平台,提供简便快捷的养老服务。
第四章 法律责任
第五十四条网络运营者违反本条例第二十三条规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、防止信息扩散、保存有关记录的,由县级以上网信部门或者有关部门根据管理权限责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第五十五条网络运营者不履行本条例第二十六条规定的数据安全保护义务的,由县级以上网信、公安等有关部门根据管理权限责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
第五十六条违反本条例第二十八条、第三十条规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第五十七条县级以上人民政府及其有关部门有下列行为之一的,由上一级人民政府或者主管部门责令改正;情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分:
(一)未按规定履行公共数据共享开放职责的;
(二)未及时落实约谈整改要求的;
(三)未履行网络安全保护义务,发生网络安全事件的。
第五十八条县级以上网信部门和其他有关部门工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分;构成犯罪的,依法追究刑事责任。
第五章 附 则
第五十九条本条例自2022年1月1日起施行。2004年7月30日湖南省第十届人民代表大会常务委员会第十次会议通过、2012年5月31日湖南省第十一届人民代表大会常务委员会第二十九次会议修订的《湖南省信息化条例》同时废止。