促进和规范数据跨境流动规定
国家互联网信息办公室令
第16号
《促进和规范数据跨境流动规定》已经2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过,现予公布,自公布之日起施行。
国家互联网信息办公室主任 庄荣文
2024年3月22日
促进和规范数据跨境流动规定
第一条 为了保障数据安全,保护个人信息权益,促进数据依法有序自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,对于数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行,制定本规定。
第二条 数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
第三条 国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第四条 数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第五条 数据处理者向境外提供个人信息,符合下列条件之一的,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
(一)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的;
(二)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的;
(三)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的;
(四)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。
前款所称向境外提供的个人信息,不包括重要数据。
第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
第七条 数据处理者向境外提供数据,符合下列条件之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(一)关键信息基础设施运营者向境外提供个人信息或者重要数据;
(二)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第八条 关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
属于本规定第三条、第四条、第五条、第六条规定情形的,从其规定。
第九条 通过数据出境安全评估的结果有效期为3年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
第十条 数据处理者向境外提供个人信息的,应当按照法律、行政法规的规定履行告知、取得个人单独同意、进行个人信息保护影响评估等义务。
第十一条 数据处理者向境外提供数据的,应当遵守法律、法规的规定,履行数据安全保护义务,采取技术措施和其他必要措施,保障数据出境安全。发生或者可能发生数据安全事件的,应当采取补救措施,及时向省级以上网信部门和其他有关主管部门报告。
第十二条 各地网信部门应当加强对数据处理者数据出境活动的指导监督,健全完善数据出境安全评估制度,优化评估流程;强化事前事中事后全链条全领域监管,发现数据出境活动存在较大风险或者发生数据安全事件的,要求数据处理者进行整改,消除隐患;对拒不改正或者造成严重后果的,依法追究法律责任。
第十三条 2022年7月7日公布的《数据出境安全评估办法》(国家互联网信息办公室令第11号)、2023年2月22日公布的《个人信息出境标准合同办法》(国家互联网信息办公室令第13号)等相关规定与本规定不一致的,适用本规定。
第十四条 本规定自公布之日起施行。
《促进和规范数据跨境流动规定》答记者问
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》)。国家互联网信息办公室有关负责人就《规定》相关问题回答了记者提问。
问1:请介绍一下《规定》的出台背景?
答:我国积极促进数据依法有序自由流动,相继制定实施《网络安全法》、《数据安全法》、《个人信息保护法》,对数据出境活动作出明确规定。《网络安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。《数据安全法》规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。《个人信息保护法》规定,个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的,应当具备通过国家网信部门组织的安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方订立合同等条件之一。中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。法律作出这样的规定,是为了切实保护人民群众利益,维护国家网络和数据安全,促进数据依法有序自由流动。数据出境安全管理不是对于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。
落实法律规定要求,国家互联网信息办公室公布了《数据出境安全评估办法》和《个人信息出境标准合同办法》,联合国家市场监督管理总局公布了《关于实施个人信息保护认证的公告》,基本构建了数据出境安全管理制度。此外,国家互联网信息办公室先后公布了《数据出境安全评估申报指南》、《个人信息出境标准合同备案指南》等文件,对数据处理者申报安全评估、备案标准合同的方式、流程及需提交的材料等具体要求作出了说明。
国家互联网信息办公室结合数据出境安全管理工作实际,制定《规定》,对现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的实施和衔接作出进一步明确,适当放宽数据跨境流动条件,适度收窄数据出境安全评估范围,在保障国家数据安全的前提下,便利数据跨境流动,降低企业合规成本,充分释放数据要素价值,扩大高水平对外开放,为数字经济高质量发展提供法律保障。
问2:《规定》的主要内容是什么?
答:《规定》主要对下列内容进行了规定:一是明确重要数据出境安全评估申报标准。二是明确免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。三是设立自由贸易试验区负面清单制度。四是调整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。五是延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估结果有效期的规定。
问3:《规定》与《数据出境安全评估办法》、《个人信息出境标准合同办法》之间的关系是什么?
答:《数据出境安全评估办法》、《个人信息出境标准合同办法》相关规定与《规定》不一致的,适用《规定》。
问4:如何理解数据出境活动所称的重要数据?重要数据申报出境安全评估的标准是什么?
答:根据《数据出境安全评估办法》,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
根据《规定》,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
问5:个人信息、敏感个人信息是什么,如何判断?
答:根据《个人信息保护法》,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
个人信息采用加密、脱敏等措施处理属于去标识化,去标识化处理后的个人信息仍是《个人信息保护法》规定的个人信息。去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
问6:关键信息基础设施是什么,如何认定?
答:根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
涉及的重要行业和领域的主管部门、监督管理部门负责制定本行业、本领域关键信息基础设施认定规则,组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知关键信息基础设施运营者。
问7:哪些数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证?
答:下列六种数据出境活动免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证:
一是国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,不包含个人信息或者重要数据的。二是在境外收集和产生的个人信息传输至境内处理后向境外提供,处理过程中没有引入境内个人信息或者重要数据的。三是为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等,确需向境外提供个人信息的。四是按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息的。五是紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息的。六是关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)的。其中,第三种至第六种条件所称向境外提供的个人信息,不包括被相关部门、地区告知或者公开发布为重要数据的个人信息。
问8:如何理解自由贸易试验区负面清单制度?
答:自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(简称负面清单)。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。负面清单出台前,自由贸易试验区内的数据出境活动按照国家数据出境安全管理有关规定执行。
问9:如何理解数据出境安全评估、个人信息出境标准合同、个人信息保护认证制度之间的关系?
答:对于重要数据的出境活动和符合应当申报数据出境安全评估条件的个人信息出境活动,必须通过数据出境安全评估。
对于未达到数据出境安全评估申报条件的个人信息出境活动,个人信息处理者可以结合自身情况,选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。符合免予订立个人信息出境标准合同、通过个人信息保护认证条件的,个人信息处理者无需履行相关程序。
问10:哪些数据出境活动需要申报数据出境安全评估?
答:《规定》对《数据出境安全评估办法》明确的应当申报数据出境安全评估的条件作了优化调整。《规定》明确了两种应当申报数据出境安全评估的条件:一是关键信息基础设施运营者向境外提供个人信息或者重要数据。二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
问11:如何计算“自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息”?
答:计算周期为自当年1月1日起至申报数据出境安全评估之日,数量以自然人为单位去重后的统计结果为准。
属于《规定》第三条、第四条、第五条第一款第一项至第三项、第六条规定情形的,不计入累计数量。
问12:哪些数据出境活动需要订立个人信息出境标准合同、通过个人信息保护认证?
答:《规定》对《个人信息出境标准合同办法》明确的应当订立个人信息出境标准合同的条件作了优化调整。根据《规定》,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。属于《规定》第三条、第四条、第五条、第六条规定情形的,从其规定。
需要说明的是,向境外提供被相关部门、地区告知或者公开发布为重要数据的个人信息,应当申报数据出境安全评估,不得选择订立个人信息出境标准合同或者通过个人信息保护认证的方式。
问13:通过数据出境安全评估结果的有效期是多久?是否可以申请延期?
答:《规定》将通过数据出境安全评估结果的有效期由《数据出境安全评估办法》中规定的2年延长至3年,自评估结果出具之日起计算。同时,增加数据处理者可以申请延长评估结果有效期的规定。有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前60个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期3年。
问14:《规定》施行前已经完成或者正在申报数据出境安全评估、提交个人信息出境标准合同备案的,如何适用本规定?
答:《规定》施行前已经通过数据出境安全评估的数据出境活动,数据处理者可以根据申报事项继续开展。
《规定》施行前未通过或者部分未通过数据出境安全评估,根据《规定》免予申报数据出境安全评估的数据出境活动,数据处理者可以依法通过订立个人信息出境标准合同、通过个人信息保护认证等其他途径向境外提供个人信息。
《规定》施行前已经申报数据出境安全评估、提交个人信息出境标准合同备案,根据《规定》无需开展上述程序的,数据处理者可以按照原程序进行,也可以向所在地省级网信部门撤回申报、备案。
问15:数据处理者如何申报数据出境安全评估、备案个人信息出境标准合同、申请个人信息保护认证?
答:申报数据出境安全评估、备案个人信息出境标准合同可以登录数据出境申报系统,网址:https://sjcj.cac.gov.cn。已经通过线下方式提交安全评估申报、标准合同备案材料的,不需要通过数据出境申报系统进行重新提交。申请个人信息保护认证可以登录个人信息保护认证管理系统,网址:https://data.isccc.gov.cn。
关键信息基础设施运营者或者其他不适合通过数据出境申报系统申报数据出境安全评估的,采用线下方式通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
问16:数据出境咨询、举报联系方式有哪些?
答:(1)数据出境安全评估申报:010-55627135,[email protected];(2)个人信息出境标准合同备案:010-55627565,[email protected];(3)个人信息保护认证申请:010-82261100,[email protected]。
各地省级网信部门受理数据出境安全评估申报、个人信息出境标准合同备案工作的联系方式(办公地址、联系电话),详见各省、自治区、直辖市和新疆生产建设兵团互联网信息办公室官网、微信公众号,以及国家互联网信息办公室官网-数据治理栏目(https://www.cac.gov.cn)。
互联网政务应用安全管理规定
互联网政务应用安全管理规定
(2024年2月19日中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定 2024年5月15日发布)
第一章 总则
第一条 为保障互联网政务应用安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委(党组)网络安全工作责任制实施办法》等,制定本规定。
第二条 各级党政机关和事业单位(简称机关事业单位)建设运行互联网政务应用,应当遵守本规定。
本规定所称互联网政务应用,是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。
第三条 建设运行互联网政务应用应当依照有关法律、行政法规的规定以及国家标准的强制性要求,落实网络安全与互联网政务应用“同步规划、同步建设、同步使用”原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。
第二章 开办和建设
第四条 机关事业单位开办网站应当按程序完成开办审核和备案工作。一个党政机关最多开设一个门户网站。
中央机构编制管理部门、国务院电信部门、国务院公安部门加强数据共享,优化工作流程,减少填报材料,缩短开办周期。
机关事业单位开办网站,应当将运维和安全保障经费纳入预算。
第五条 一个党政机关网站原则上只注册一个中文域名和一个英文域名,域名应当以“.gov.cn”或“.政务”为后缀。非党政机关网站不得注册使用“.gov.cn”或“.政务”的域名。
事业单位网站的域名应当以“.cn”或“.公益”为后缀。
机关事业单位不得将已注册的网站域名擅自转让给其他单位或个人使用。
第六条 机关事业单位移动应用程序应当在已备案的应用程序分发平台或机关事业单位网站分发。
第七条 机构编制管理部门为机关事业单位制发专属电子证书或纸质证书。机关事业单位通过应用程序分发平台分发移动应用程序,应当向平台运营者提供电子证书或纸质证书用于身份核验;开办微博、公众号、视频号、直播号等公众账号,应当向平台运营者提供电子证书或纸质证书用于身份核验。
第八条 互联网政务应用的名称优先使用实体机构名称、规范简称,使用其他名称的,原则上采取区域名加职责名的命名方式,并在显著位置标明实体机构名称。具体命名规范由中央机构编制管理部门制定。
第九条 中央机构编制管理部门为机关事业单位设置专属网上标识,非机关事业单位不得使用。
机关事业单位网站应当在首页底部中间位置加注网上标识。中央网络安全和信息化委员会办公室会同中央机构编制管理部门协调应用程序分发平台以及公众账号信息服务平台,在移动应用程序下载页面、公众账号显著位置加注网上标识。
第十条 各地区、各部门应当对本地区、本部门党政机关网站建设进行整体规划,推进集约化建设。
县级党政机关各部门以及乡镇党政机关原则上不单独建设网站,可利用上级党政机关网站平台开设网页、栏目、发布信息。
第十一条 互联网政务应用应当支持开放标准,充分考虑对用户端的兼容性,不得要求用户使用特定浏览器、办公软件等用户端软硬件系统访问。
机关事业单位通过互联网提供公共服务,不得绑定单一互联网平台,不得将用户下载安装、注册使用特定互联网平台作为获取服务的前提条件。
第十二条 互联网政务应用因机构调整等原因需变更开办主体的,应当及时变更域名或注册备案信息。不再使用的,应当及时关闭服务,完成数据归档和删除,注销域名和注册备案信息。
第三章 信息安全
第十三条 机关事业单位通过互联网政务应用发布信息,应当健全信息发布审核制度,明确审核程序,指定机构和在编人员负责审核工作,建立审核记录档案;应当确保发布信息内容的权威性、真实性、准确性、及时性和严肃性,严禁发布违法和不良信息。
第十四条 机关事业单位通过互联网政务应用转载信息,应当与政务等履行职能的活动相关,并评估内容的真实性和客观性。转载页面上要准确清晰标注转载来源网站、转载时间、转载链接等,充分考虑图片、内容等知识产权保护问题。
第十五条 机关事业单位发布信息内容需要链接非互联网政务应用的,应当确认链接的资源与政务等履行职能的活动相关,或属于便民服务的范围;应当定期检查链接的有效性和适用性,及时处置异常链接。党政机关门户网站应当采取技术措施,做到在用户点击链接跳转到非党政机关网站时,予以明确提示。
第十六条 机关事业单位应当采取安全保密防控措施,严禁发布国家秘密、工作秘密,防范互联网政务应用数据汇聚、关联引发的泄密风险。应当加强对互联网政务应用存储、处理、传输工作秘密的保密管理。
第四章 网络和数据安全
第十七条 建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求,按照有关标准规范开展定级备案、等级测评工作,落实安全建设整改加固措施,防范网络和数据安全风险。
中央和国家机关、地市级以上地方党政机关门户网站,以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等,应当符合网络安全等级保护第三级安全保护要求。
第十八条 机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构,对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。
互联网政务应用系统升级、新增功能以及引入新技术新应用,应当在上线前进行安全检测评估。
第十九条 互联网政务应用应当设置访问控制策略。对于面向机关事业单位工作人员使用的功能和互联网电子邮箱系统,应当对接入的IP地址段或设备实施访问限制,确需境外访问的,按照白名单方式开通特定时段、特定设备或账号的访问权限。
第二十条 机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志,以及应用系统的访问日志、数据库的操作日志,留存时间不少于1年,并定期对日志进行备份,确保日志的完整性、可用性。
第二十一条 机关事业单位应当按照国家、行业领域有关数据安全和个人信息保护的要求,对互联网政务应用数据进行分类分级管理,对重要数据、个人信息、商业秘密进行重点保护。
第二十二条 机关事业单位通过互联网政务应用收集的个人信息、商业秘密和其他未公开资料,未经信息提供方同意不得向第三方提供或公开,不得用于履行法定职责以外的目的。
第二十三条 为互联网政务应用提供服务的数据中心、云计算服务平台等应当设在境内。
第二十四条 党政机关建设互联网政务应用采购云计算服务,应当选取通过国家云计算服务安全评估的云平台,并加强对所采购云计算服务的使用管理。
第二十五条 机关事业单位委托外包单位开展互联网政务应用开发和运维时,应当以合同等手段明确外包单位网络和数据安全责任,并加强日常监督管理和考核问责;督促外包单位严格按照约定使用、存储、处理数据。未经委托的机关事业单位同意,外包单位不得转包、分包合同任务,不得访问、修改、披露、利用、转让、销毁数据。
机关事业单位应当建立严格的授权访问机制,操作系统、数据库、机房等最高管理员权限必须由本单位在编人员专人负责,不得擅自委托外包单位人员管理使用;应当按照最小必要原则对外包单位人员进行精细化授权,在授权期满后及时收回权限。
第二十六条 机关事业单位应当合理建设或利用社会化专业灾备设施,对互联网政务应用重要数据和信息系统等进行容灾备份。
第二十七条 机关事业单位应当加强互联网政务应用开发安全管理,使用外部代码应当经过安全检测。建立业务连续性计划,防范因供应商服务变更等对升级改造、运维保障等带来的风险。
第二十八条 互联网政务应用使用内容分发网络(CDN)服务的,应当要求服务商将境内用户的域名解析地址指向其境内节点,不得指向境外节点。
第二十九条 互联网政务应用应当使用安全连接方式访问,涉及的电子认证服务应当由依法设立的电子政务电子认证服务机构提供。
第三十条 互联网政务应用应当对注册用户进行真实身份信息认证。国家鼓励互联网政务应用支持用户使用国家网络身份认证公共服务进行真实身份信息注册。
对与人身财产安全、社会公共利益等相关的互联网政务应用和电子邮件系统,应当采取多因素鉴别提高安全性,采取超时退出、限制登录失败次数、账号与终端绑定等技术手段防范账号被盗用风险,鼓励采用电子证书等身份认证措施。
第五章 电子邮件安全
第三十一条 鼓励各地区、各部门通过统一建设、共享使用的模式,建设机关事业单位专用互联网电子邮件系统,作为工作邮箱,为本地区、本行业机关事业单位提供电子邮件服务。党政机关自建的互联网电子邮件系统的域名应当以“.gov.cn”或“.政务”为后缀,事业单位自建的互联网电子邮件系统的域名应当以“.cn”或“.公益”为后缀。
机关事业单位工作人员不得使用工作邮箱违规存储、处理、传输、转发国家秘密。
第三十二条 机关事业单位应当建立工作邮箱账号的申请、发放、变更、注销等流程,严格账号审批登记,定期开展账号清理。
第三十三条 机关事业单位互联网电子邮件系统应当关闭邮件自动转发、自动下载附件功能。
第三十四条 机关事业单位互联网电子邮件系统应当具备恶意邮件(含本单位内部发送的邮件)检测拦截功能,对恶意邮箱账号、恶意邮件服务器IP以及恶意邮件主题、正文、链接、附件等进行检测和拦截。应当支持钓鱼邮件威胁情报共享,将发现的钓鱼邮件信息报送至主管部门和属地网信部门,按照有关部门下发的钓鱼邮件威胁情报,配置相应防护策略预置拦截钓鱼邮件。
第三十五条 鼓励机关事业单位基于商用密码技术对电子邮件数据的存储进行安全保护。
第六章 监测预警和应急处置
第三十六条 中央网络安全和信息化委员会办公室会同国务院电信主管部门、公安部门和其他有关部门,组织对地市级以上党政机关互联网政务应用开展安全监测。
各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。
机关事业单位应当建立完善互联网政务应用安全监测能力,实时监测互联网政务应用运行状态和网络安全事件情况。
第三十七条 互联网政务应用发生网络安全事件时,机关事业单位应当按照有关规定向相关部门报告。
第三十八条 中央网络安全和信息化委员会办公室统筹协调重大网络安全事件的应急处置。
互联网政务应用发生或可能发生网络安全事件时,机关事业单位应当立即启动本单位网络安全应急预案,及时处置网络安全事件,消除安全隐患,防止危害扩大。
第三十九条 机构编制管理部门会同网信部门开展针对假冒仿冒互联网政务应用的扫描监测,受理相关投诉举报。网信部门会同电信主管部门,及时对监测发现或网民举报的假冒仿冒互联网政务应用采取停止域名解析、阻断互联网连接和下线处理等措施。公安部门负责打击假冒仿冒互联网政务应用相关违法犯罪活动。
第七章 监督管理
第四十条 中央网络安全和信息化委员会办公室负责统筹协调互联网政务应用安全管理工作。中央机构编制管理部门负责互联网政务应用开办主体身份核验、名称管理和标识管理工作。国务院电信主管部门负责互联网政务应用域名监督管理和互联网信息服务(ICP)备案工作。国务院公安部门负责监督检查指导互联网政务应用网络安全等级保护和相关安全管理工作。
各地区、各部门承担本地区、本行业机关事业单位互联网政务应用安全管理责任,指定一名负责人分管相关工作,加强对互联网政务应用安全工作的组织领导。
第四十一条 对违反或者未能正确履行本规定相关要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任。
第八章 附则
第四十二条 列入关键信息基础设施的互联网门户网站、移动应用程序、公众账号,以及电子邮件系统的安全管理工作,参照本规定有关内容执行。
第四十三条 本规定由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部负责解释。
第四十四条 本规定自2024年7月1日起施行。