中华人民共和国网络安全法（2025修正版）

为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。

企业需保障网络安全，维护国家安全和社会公共利益，保护公民、法人合法权益，推动经济社会信息化健康发展。

在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

网络安全工作坚持中国共产党的领导，贯彻总体国家安全观，统筹发展和安全，推进网络强国建设。

企业网络安全工作须坚持党的领导，贯彻总体国家安全观，统筹发展与安全，不能只重发展轻安全，要主动担责保障网络运行安全，助力建设网络强国。

国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设和互联互通，鼓励网络技术创新和应用，支持培养网络安全人才，建立健全网络安全保障体系，提高网络安全保护能力。

企业需统筹网络安全与信息化发展，推进网络基础设施互联互通，鼓励技术创新和应用，培养网络安全人才，建立安全体系，提升防护能力。

国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。

企业需遵守国家网络安全战略，落实基本要求和目标，按政策执行重点领域任务措施，确保合规方向。

国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

企业需配合国家网络安全监测与防御，保护关键信息基础设施不受攻击破坏，不得参与任何网络违法犯罪

国家倡导诚实守信、健康文明的网络行为，推动传播社会主义核心价值观，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境。

企业需倡导健康文明网络行为，积极传播社会主义核心价值观，提升自身及用户网络安全意识，配合全社会共同营造清朗网络环境。

国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间，建立多边、民主、透明的网络治理体系。

国家积极开展网络空间治理、技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间。

国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。 县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

国家网信部门牵头管网络安全

网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

企业开展网络业务必须守法守德、讲诚信，切实做好网络安全保护，主动接受政府和社会监督，履行社会责任。

建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

企业运营网络或提供服务时，必须按法律和强制标准，用技术和其他必要措施保障网络安全稳定，能应对安全事件、防范网络犯罪，还要确保数据完整、保密、可用。

网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法处理，并对举报人信息保密。

国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。 任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

企业需提供安全便利的网络服务，保障信息依法有序流动；同时，严禁允许用户利用网络从事危害国家安全、编造虚假信息、侵害他人权益等违法违规活动。

国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

企业开发网络产品服务需保障未成年人健康，营造安全网络环境；严禁利用网络从事传播不良信息、诱导沉迷等损害未成年人身心健康的行为。

任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。 国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。

国家制定网络安全标准，相关部门负责更新。企业必须遵守这些标准，同时可以参与标准的制定，确保产品服务符合安全要求。

国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。

政府重点扶持网络安全技术产业，支持企业、研究机构和高校参与技术创新。企业应积极投身国家网络安全技术研发，推广安全可信的网络产品和服务，保护好自身技术知识产权。

国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。

国家鼓励企业和机构开展网络安全认证、检测、风险评估等服务，支持社会化网络安全服务体系建设。企业可积极提供这些专业安全

国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。

国家鼓励企业开发数据安全保护和利用技术，支持公共数据资源开放，以促进技术创新和经济社会发展。

国家支持人工智能基础理论研究和算法等关键技术研发，推进训练数据资源、算力等基础设施建设，完善人工智能伦理规范，加强风险监测评估和安全监管，促进人工智能应用和健康发展。 国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。

国家支持创新网络安全管理方式，运用人工智能等新技术，提升网络安全保护水平。

各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育，并指导、督促有关单位做好网络安全宣传教育工作。 大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。

政府及部门要经常搞网络安全宣传，督促企业落实；大众传播媒介要面向社会针对性宣传。企业得配合做好网络安全教育，提升员工和公众安全意识。

国家支持企业和高等学校、职业学校等教育培训机构开展网络安全相关教育与培训，采取多种方式培养网络安全人才，促进网络安全人才交流。

企业和教育培训机构得做网络安全培训，培养专业人才，还要多交流经验。

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（4）采取数据分类、重要数据备份和加密等措施；

（5）法律、行政法规规定的其他义务。

企业必须建立安全管理制度、明确负责人并落实责任，同时要防病毒攻击入侵；需监测网络状态和事件，日志至少存6个月，数据还要分类备份加密。总之，得按等级保护把安全责任和技术措施都做实。

网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

网络产品、服务的提供者不得设置恶意程序；发现其产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

网络关键设备和网络安全专用产品卖前，必须经有资质机构认证或检测达标。国家会出目录并推动互认，企业不用重复搞认证检测。

网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。 国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

网络运营者提供上网、通讯等服务时，必须让用户提供真实身份，否则不能提供服务；国家支持安全方便的电子身份认证技术研发，推动不同认证方式互认。

网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

企业得提前备好网络安全应急预案，平时要及时处理漏洞、病毒、攻击等风险。出安全事件时，必须立刻启动预案补救，并按规定上报主管部门。

开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

企业搞网络安全认证、检测、风险评估等活动，或者发布漏洞、病毒、攻击等信息时，必须按国家规矩来，不能乱操作或违规发布。

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。

网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

企业必须配合公安机关、国家安全机关依法开展的维护国家安全和犯罪侦查工作，提供必要的技术支持和协助，不得拒绝或拖延。

国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。 有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。

企业间应合作共享网络安全信息，提升整体防护能力；行业组织需建本行业安全规范和协作机制，定期分析风险、警示会员，并协助应对安全风险。

网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

重要行业和领域的关键信息基础设施企业（如通信、金融、能源、交通、水利、公共服务、电子政务等）必须接受重点保护。

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

重要行业和领域的关键信息基础设施企业（如通信、金融、

按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。

按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

关键信息基础设施建设必须保障业务持续稳定运行，安全技术措施不能等业务建完再加，得从一开始就规划好、一起建、一起用。

除本法第二十三条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（1）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（2）定期对从业人员进行网络安全教育、技术培训和技能考核；

（3）对重要系统和数据库进行容灾备份；

（4）制定网络安全事件应急预案，并定期进行演练；

（5）法律、行政法规规定的其他义务。

关键信息基础设施运营者必须设专门安全机构和负责人，审查其及关键岗位人员背景；定期对员工做网络安全教育、培训和考核；重要系统和数据库要做容灾备份，还要有应急预案并定期演练，同时遵守其他法定义务。

关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

关键信息基础设施运营者采购可能影响国家安全的网络产品和服务，必须通过国家网信部门等组织的国家安全审查，不得擅自采购未经审查的产品。

关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

关键信息基础设施运营者采购网络产品和服务，必须签安全保密协议，明确安全和保密责任，这是硬性规定，不能不签。

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

关键信息基础设施企业的用户个人信息和重要数据必须存放在国内，如需向境外传输，必须按国家规定通过安全评估，其他法律有特殊规定的除外。

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

关键基础设施运营方每年至少自己或请专业机构做一次网络安全检测评估，并把评估情况和改进措施报给主管部门。

国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（1）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（2）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（3）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（4）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

关键信息基础设施运营者须配合安全风险检测评估，定期参与应急演练，并与监管部门、研究机构等共享网络安全信息。

网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。 网络运营者处理个人信息，应当遵守本法和《中华人民共和国民法典》、《中华人民共和国个人信息保护法》等法律、行政法规的规定。

企业收集的用户信息必须严格保密，同时要建立用户信息保护制度。处理个人信息时，必须遵守网络安全法、民法典、个人信息保护法等相关法律，不能违规。

网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

企业收集使用用户信息必须合法正当必要，公开规则并说明目的、方式、范围，需经用户同意。不能收集与服务无关的信息，

网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

企业不能泄露、篡改或未经同意提供用户个人信息（匿名化处理的除外）。必须用技术手段确保信息安全，若发生信息泄露，需立即补救、告知用户并向主管部门报告。

个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

个人若发现企业违规收集或存错了自己的信息，有权要求企业删除或更正，企业必须及时处理，不能拒绝或拖延。

任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

企业及个人严禁偷窃、骗取等非法手段获取他人信息，也不能将个人信息出售或随意提供给第三方。产品经理需确保数据处理合法，合规人员要监督企业杜绝这些违法行为。

依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。

监管网络安全的人员在履职中接触到的个人信息、隐私和商业秘密必须严守，禁止泄露、售卖或非法提供给他人。

任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。

企业需对网络行为负责，严禁设违法网站、群组，不得发布诈骗、违禁物品销售等信息，别让平台成为违法活动的温床。

网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

网络运营者须管好用户发布的信息，一旦发现法律禁止的内容，必须立刻停止传输、彻底清除，防止扩散，同时留存记录并向主管部门报告。

任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。 电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务，知道其用户有前款规定行为的，应当停止提供服务，采取消除等处置措施，保存有关记录，并向有关主管部门报告。

任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。电子信息发送服务提供者和应用软件下载服务提供者，应当履行安全管理义务。

网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。 网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。

企业必须设立网络信息安全投诉举报渠道，公开联系方式，并及时处理用户反映的安全问题，还得配合监管部门的监督检查。

国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。

监管部门发现违法信息，网络运营者必须立即停止传输、消除并留存记录；对境外违法信息，要配合采取技术措施阻断传播。企业不得传播法律禁止的信息，且需履行处置和保存义务。

国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

企业需配合国家网络安全信息收集，及时关注官方发布的监测预警信息，响应通报要求，不得隐瞒或延迟网络安全风险。

负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。 负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。 网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。

国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取下列措施：

（1）要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；

（2）组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；

（3）向社会发布网络安全风险预警，发布避免、减轻危害的措施。

网络安全风险增大时，企业须及时收集、报告风险信息，配合加强监测；要参与风险分析评估，预测事件影响，并落实政府预警的防护措施，减轻危害。

发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。

省级以上监管部门发现你的网络有较大安全风险或出事了，能约谈公司老板或负责人。你必须按他们的要求赶紧整改，把安全问题解决掉，不能拖延。

因网络安全事件，发生突发事件或者生产安全事故的，应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

企业若因网络安全事件引发突发事件或生产安全事故，必须严格按《突发事件应对法》《安全生产法》等专门法规处置，不能仅凭网络安全法应对，需遵守其他相关法律的强制要求。

因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。

在国家安全、社会秩序或重大突发事件时，政府经批准可临时在特定区域限制网络通信，企业必须配合执行此类措施，不得擅自违反。

网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 关键信息基础设施的运营者不履行本法第三十五条、第三十六条、第三十八条、第四十条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处五万元以上十万元以下罚款；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前两款行为，造成大量数据泄露、关键信息基础设施丧失局部功能等严重危害网络安全后果的，由有关主管部门处五十万元以上二百万元以下罚款，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款；造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，处二百万元以上一千万元以下罚款，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。

网络运营者不履行本法第二十三条、第二十七条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告，可以处一万元以上五万元以下罚款；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款。

违反本法第二十四条第一款、第二款和第五十条第一款规定，有下列行为之一的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款： 有前款第一项、第二项行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。

（1）设置恶意程序的；

（2）对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；

（3）擅自终止为其产品、服务提供安全维护的。

企业不得在产品中设置恶意程序，发现安全漏洞须立即补救并告知用户、报告主管部门，也不能擅自停止安全维护，否则会被警告罚款。

违反本法第二十五条规定，销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的网络关键设备和网络安全专用产品的，由有关主管部门责令停止销售或者提供，给予警告，没收违法所得；没有违法所得或者违法所得不足十万元的，并处二万元以上十万元以下罚款；违法所得十万元以上的，并处违法所得一倍以上五倍以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。法律、行政法规另有规定的，依照其规定。

禁止销售或提供未经安全认证、检测，或认证检测不合格的网络关键设备和网络安全专用产品，违者将被责令停售、没收违法所得并罚款，情节严重的可能停业整顿、吊销执照。

网络运营者违反本法第二十六条第一款规定，未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

企业必须要求用户提供真实身份信息，禁止给不提供真实信息的用户提供服务，否则会被责令整改，拒不改正或情节严重的，会面临高额罚款、停业整顿、关站吊照，负责人也要罚款。

违反本法第二十八条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告，可以处一万元以上十万元以下罚款；拒不改正或者情节严重的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 有前款行为，造成本法第六十一条第三款规定的后果的，依照该款规定处罚。

企业不得违规开展网络安全认证、检测、风险评估活动，也不得擅自发布漏洞、病毒、攻击等敏感安全信息。违规会被警告、罚款（1-100万），严重的可能停业、关网站、吊销执照

违反本法第二十九条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。 单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 违反本法第二十九条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。

企业及个人严禁从事危害网络安全的活动，或提供相关工具、技术支持等，否则会没收违法所得、被拘留罚款，情节严重的处罚更重；受过处罚的人，5年或终身不能从事网络安全管理及关键岗位。

关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

关键信息基础设施的运营者违反本法第三十七条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令限期改正、停止使用、消除对国家安全的影响，处采购金额一倍以上十倍以下罚款。

违反本法第四十八条规定，设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的，由公安机关处五日以下拘留，可以并处一万元以上十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处五万元以上五十万元以下罚款。关闭用于实施违法犯罪活动的网站、通讯群组。 单位有前款行为的，由公安机关处十万元以上五十万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

企业不得设立或利用网站、通讯群组发布违法犯罪信息，否则会被罚款（单位10万-50万，个人1万-50万）、拘留，相关平台会被关停。

网络运营者违反本法第四十九条规定，对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录、向有关主管部门报告，或者违反本法第五十二条规定，不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息停止传输、采取消除等处置措施、保存有关记录的，由有关主管部门责令改正，给予警告、予以通报，可以处五万元以上五十万元以下罚款；拒不改正或者情节严重的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 有前款行为，造成特别严重影响、特别严重后果的，由有关主管部门处二百万元以上一千万元以下罚款，责令暂停相关业务、停业整顿、关闭网站或者应用程序、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。 电子信息发送服务提供者、应用软件下载服务提供者，不履行本法第五十条第二款规定的安全管理义务的，依照前两款规定处罚。

企业必须对法律禁止的信息立即停止传输、消除并留存记录、报告主管部门，否则会被警告、罚款，严重可能停业、关网站、吊销执照，负责人也要担责。

网络运营者违反本法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：

（1）拒绝、阻碍有关部门依法实施的监督检查的；

（2）拒不向公安机关、国家安全机关提供技术支持和协助的。

网络运营者违反本法规定，拒绝、阻碍有关部门依法实施的监督检查的，或者拒不向公安机关、国家安全机关提供技术支持和协助的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款。

有下列行为之一的，依照有关法律、行政法规的规定处理、处罚： 违反本法第四十六条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关依照有关法律、行政法规的规定处罚。

（1）发布或者传输本法第十三条第二款和其他法律、行政法规禁止发布或者传输的信息的；

（2）违反本法第二十四条第三款、第四十三条至第四十五条规定，侵害个人信息权益的；

（3）违反本法第三十九条规定，关键信息基础设施的运营者在境外存储个人信息和重要数据，或者向境外提供个人信息和重要数据的。

企业不能发布或传输法律禁止的信息，不能侵害个人信息权益（如未经同意收集、泄露），关键信息基础设施运营者不得违规

有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

企业若违反网络安全法规定，会被记入信用档案并公示，损害企业信用形象。合规人员需确保企业行为合法，避免因违法导致信用不良公开。

违反本法规定，但具有《中华人民共和国行政处罚法》规定的从轻、减轻或者不予处罚情形的，依照其规定从轻、减轻或者不予处罚。

违反网络安全法被查，但有主动补救、情节轻微等符合《行政处罚法》的从轻情形时，监管部门会依法从轻、减轻或免罚，而非一律从严处理。

国家机关政务网络的运营者不履行本法规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接责任人员依法给予处分。

政务网络运营单位必须履行网络安全保护义务，否则会被上级机关责令整改

网信部门和有关部门违反本法第三十二条规定，将在履行网络安全保护职责中获取的信息用于其他用途的，对直接负责的主管人员和其他直接责任人员依法给予处分。 网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊，尚不构成犯罪的，依法给予处分。

网信等部门禁止把网络安全信息挪作他用，工作人员也不能玩忽职守、滥用职权、徇私舞弊，否则相关责任人会被依法处分。

违反本法规定，给他人造成损害的，依法承担民事责任。 违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

企业若违反网络安全法损害他人，需承担民事赔偿；违反治安管理的，受治安处罚；构成犯罪的，被追究刑事责任。

境外的机构、组织、个人从事危害中华人民共和国网络安全的活动的，依法追究法律责任；造成严重后果的，国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

军事网络的安全保护由中央军委另行规定，涉及该领域的企业必须遵守其具体要求。

本法下列用语的含义：

（1）网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

（2）网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（3）网络运营者，是指网络的所有者、管理者和网络服务提供者。

（4）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

（5）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

企业运营网络系统（如网站、APP）需保障网络安全，防范

存储、处理涉及国家秘密信息的网络的运行安全保护，除应当遵守本法外，还应当遵守保密法律、行政法规的规定。

企业若涉及存储、处理国家秘密信息的网络，运行安全既要遵守网络安全法，还必须额外遵循保密法律、行政法规的规定，不能漏掉任一合规要求。

军事网络的安全保护，由中央军事委员会另行规定。

军事网络的安全保护由中央军委专门规定，涉及该领域的企业必须遵守其具体要求，

本法自2017年6月1日起施行。