国家密码管理局国家互联网信息办公室中华人民共和国公安部令第5号　　《关键信息基础设施商用密码使用管理规定》已经2025年4月21日国家密码管理局局务会议审议通过，并经国家互联网信息办公室、公安部同意，现予公布，自2025年8月1日起施行。国家密码管理局局长 刘东方国家互联网信息办公室主任 庄荣文公安部部长 王小洪2025年6月11日关键信息基础设施商用密码使用管理规定　　第一条为规范关键信息基础设施商用密码使用，保护关键信息基础设施安全，根据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《商用密码管理条例》和《关键信息基础设施安全保护条例》、《网络数据安全管理条例》等有关法律、行政法规，制定本规定。　　第二条依据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等法律、行政法规和国家有关规定认定的关键信息基础设施的商用密码使用管理，适用本规定。　　第三条国家密码管理部门会同国家网信部门、国务院公安部门负责规划、指导和监督全国的关键信息基础设施商用密码使用管理工作，建立关键信息基础设施商用密码使用管理信息共享机制。　　县级以上地方各级密码管理部门会同网信部门、公安机关负责指导和监督本行政区域的关键信息基础设施商用密码使用管理工作。　　第四条关键信息基础设施保护工作部门（以下简称保护工作部门）在职责范围内负责监督管理本行业、本领域关键信息基础设施商用密码使用工作，单独编制本行业、本领域商用密码使用规划或者纳入本行业、本领域的关键信息基础设施安全规划并组织实施，指导本行业、本领域关键信息基础设施运营者（以下简称运营者）开展商用密码相关制度、人员、经费等保障工作。　　保护工作部门应当于每年3月31日前向国家密码管理部门、国家网信部门、国务院公安部门报告上一年度本行业、本领域关键信息基础设施商用密码使用管理情况。　　关键信息基础设施发生涉及商用密码的重大网络安全事件或者发现涉及商用密码的重大网络安全威胁时，保护工作部门应当及时向国家密码管理部门、国家网信部门、国务院公安部门报告，指导运营者开展应急处置，必要时开展商用密码应用安全性评估。　　第五条运营者应当按照相关法律、行政法规和国家有关规定，遵循国家商用密码管理、网络安全等级保护、关键信息基础设施安全保护等制度要求，使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。　　运营者应当于每年1月31日前向所属的保护工作部门报告上一年度关键信息基础设施商用密码使用以及商用密码应用安全性评估开展情况。　　第六条运营者应当加强关键信息基础设施商用密码使用制度保障，建立商用密码使用、应急处置、重大事件报告等关键信息基础设施商用密码使用管理制度。　　运营者的主要负责人对关键信息基础设施商用密码使用管理负总责，负责关键信息基础设施商用密码使用和涉及商用密码的重大网络安全事件处置工作。　　第七条运营者应当加强关键信息基础设施商用密码使用人员保障，配备取得密码相关专业学历或者密码相关国家职业技能等级认定证书的专业人员分别承担密钥管理员、密码操作员等职责，配备具有安全审计专业能力的人员承担密码安全审计员职责。　　运营者应当对密码相关专业人员进行安全背景审查，并定期组织其参加密码相关业务技能培训，提高密码相关专业人员的商用密码使用能力。　　第八条运营者应当加强关键信息基础设施商用密码使用和应用安全性评估经费保障，将商用密码使用和应用安全性评估经费纳入网络安全和信息化经费安排。　　第九条关键信息基础设施使用的商用密码产品、服务应当经检测认证合格，使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。　　运营者采购涉及商用密码的网络产品和服务，影响或者可能影响国家安全的，应当按照《网络安全审查办法》进行网络安全审查。　　第十条关键信息基础设施应当按照国家数据安全保护、个人信息保护有关要求，使用商用密码对其存储、使用、传输的核心数据、重要数据和个人信息进行保护。　　第十一条关键信息基础设施规划阶段，其运营者应当依照相关法律、行政法规和标准规范，根据商用密码应用需求，制定商用密码应用方案，规划商用密码保障系统并纳入关键信息基础设施安全规划统筹部署。　　运营者应当自行或者委托商用密码检测机构对商用密码应用方案进行商用密码应用安全性评估。商用密码应用方案未通过商用密码应用安全性评估的，不得作为商用密码保障系统的建设依据。　　第十二条关键信息基础设施建设阶段，其运营者应当按照通过商用密码应用安全性评估的商用密码应用方案组织实施，落实商用密码安全防护措施，建设商用密码保障系统。建设过程中需要调整商用密码应用方案的，应当重新开展商用密码应用安全性评估，评估通过后方可按照调整后的商用密码应用方案继续建设。　　关键信息基础设施运行前，其运营者应当自行或者委托商用密码检测机构开展商用密码应用安全性评估。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，改造期间不得投入运行。　　第十三条关键信息基础设施建成运行后，其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估，确保关键信息基础设施商用密码的正确使用和商用密码保障系统的有效运行。关键信息基础设施未通过商用密码应用安全性评估的，运营者应当进行改造，并在改造期间采取必要措施保证关键信息基础设施运行安全。　　第十四条本规定施行前正在建设的关键信息基础设施，其运营者应当加强商用密码应用方案编制论证，建设完善商用密码保障系统，并按照本规定第十二条开展商用密码应用安全性评估。　　本规定施行前已经投入运行的关键信息基础设施，其运营者应当按照本规定第十三条开展商用密码应用安全性评估。　　第十五条开展关键信息基础设施商用密码应用安全性评估，应当符合《商用密码应用安全性评估管理办法》有关规定。　　关键信息基础设施商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评加强衔接，避免重复评估、测评。　　第十六条国家密码管理部门负责建设和管理国家关键信息基础设施商用密码运行安全管理基础设施，统筹保护工作部门建设本行业、本领域关键信息基础设施商用密码运行安全管理基础设施，会同国家网信部门、国务院公安部门分析研判关键信息基础设施商用密码运行安全态势，协同应对处置重大商用密码运行安全威胁。　　第十七条密码管理部门应当定期组织开展关键信息基础设施商用密码使用情况监督检查。保护工作部门应当定期对本行业、本领域关键信息基础设施商用密码使用情况进行检查并提出改进措施，必要时可以自行或者委托商用密码检测机构等专业机构进行商用密码应用安全性评估。　　运营者对密码管理部门和保护工作部门开展的关键信息基础设施商用密码使用情况监督检查应当予以配合，根据监督检查意见及时进行整改并向保护工作部门报告整改情况，保护工作部门应当将整改情况向国家密码管理部门报告。　　开展关键信息基础设施商用密码使用情况监督检查应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。监督检查不得收取费用，不得要求被监督检查单位购买、使用指定单位或者指定品牌的商用密码产品、服务。　　第十八条密码管理部门、有关部门、商用密码检测机构及其工作人员对其在履行职责中知悉的国家秘密、商业秘密和个人隐私承担保密义务，不得泄露或者非法向他人提供。　　第十九条运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定有关条款，有下列情形之一的，由密码管理部门责令改正，给予警告；拒不改正或者有其他严重情节的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款：　　（一）未按照要求使用商用密码保护关键信息基础设施，同步规划、同步建设、同步运行商用密码保障系统的；　　（二）关键信息基础设施使用的商用密码产品、服务未经检测认证合格的；　　（三）关键信息基础设施使用的密码算法、密码协议、密钥管理机制等商用密码技术未通过国家密码管理部门审查鉴定的；　　（四）关键信息基础设施规划阶段，未制定商用密码应用方案，或者未对商用密码应用方案进行商用密码应用安全性评估的；　　（五）关键信息基础设施建设阶段，未按照通过商用密码应用安全性评估的商用密码应用方案建设商用密码保障系统的；　　（六）关键信息基础设施运行前，未开展商用密码应用安全性评估，或者未通过商用密码应用安全性评估且未进行改造的；　　（七）关键信息基础设施建成运行后，未定期开展商用密码应用安全性评估，或者未通过定期开展的商用密码应用安全性评估且未进行改造的。　　第二十条运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第九条，使用未经安全审查或者安全审查未通过的涉及商用密码的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额1倍以上10倍以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。　　第二十一条运营者违反《中华人民共和国密码法》、《中华人民共和国网络安全法》、《商用密码管理条例》、《关键信息基础设施安全保护条例》和本规定第十七条，无正当理由拒不接受、不配合或者干预、阻挠密码管理部门、有关部门的商用密码监督管理的，由密码管理部门、有关部门责令改正，给予警告；拒不改正或者有其他严重情节的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节特别严重的，责令停业整顿。　　第二十二条运营者违反本规定，有下列情形之一的，由密码管理部门、有关部门依据职责责令改正：　　（一）未按照要求报告上一年度关键信息基础设施商用密码使用以及商用密码应用安全性评估开展情况的；　　（二）未建立关键信息基础设施商用密码使用管理制度的；　　（三）未按照要求配备密钥管理员、密码操作员、密码安全审计员的；　　（四）未保障关键信息基础设施商用密码使用和应用安全性评估经费的。　　第二十三条从事关键信息基础设施商用密码使用监督管理工作的人员滥用职权、玩忽职守、徇私舞弊，或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处分。　　第二十四条属于国家政务信息系统的关键信息基础设施的商用密码使用管理，除应当遵守本规定以外，还应当按照《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）等有关规定要求执行。　　第二十五条本规定自2025年8月1日起施行。

中华人民共和国公安部国家互联网信息办公室中华人民共和国民政部中华人民共和国文化和旅游部国家卫生健康委员会国家广播电视总局令第173号　　《国家网络身份认证公共服务管理办法》已经2025年2月27日第1次公安部部务会议审议通过，并经国家互联网信息办公室、民政部、文化和旅游部、国家卫生健康委员会、国家广播电视总局同意，现予公布，自2025年7月15日起施行。中华人民共和国公安部部长 王小洪国家互联网信息办公室主任 庄荣文中华人民共和国民政部部长 陆治原中华人民共和国文化和旅游部部长 孙业礼国家卫生健康委员会主任 雷海潮国家广播电视总局局长 曹淑敏2025年5月19日国家网络身份认证公共服务管理办法　　第一条为实施可信数字身份战略，推进国家网络身份认证公共服务建设，保护公民身份信息安全，支撑数字经济健康有序发展，根据《网络安全法》、《数据安全法》、《个人信息保护法》、《反电信网络诈骗法》、《未成年人保护法》等法律法规，制定本办法。　　第二条本办法所称国家网络身份认证公共服务（以下简称“公共服务”），是指国家根据法定身份证件信息，依托国家统一建设的网络身份认证公共服务平台（以下简称“公共服务平台”），为自然人提供申领网号、网证以及进行身份核验等服务。　　本办法所称网号，是指与自然人身份信息相对应，由字母和数字组成、不含明文身份信息的网络身份符号；网证，是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。　　第三条国务院公安部门、国家网信部门会同国务院民政、文化和旅游、卫生健康、广播电视等部门依照本办法和有关法律、行政法规的规定，在各自职责范围内负责网络身份认证公共服务有关工作。　　第四条持有有效法定身份证件的自然人，可以自愿向公共服务平台申领网号、网证。　　不满十四周岁的自然人申领网号、网证的，应当取得其父母或者其他监护人同意，并由其父母或者其他监护人代为申领。　　已满十四周岁未满十八周岁的自然人申领网号、网证的，应当在其父母或者其他监护人的监护下申领。　　第五条根据法律、行政法规规定，在互联网服务中需要登记、核验用户真实身份信息的，可以使用网号、网证依法进行登记、核验。　　不满十四周岁的自然人使用网号、网证登记、核验真实身份信息的，应当取得其父母或者其他监护人同意。　　第六条鼓励有关主管部门、重点行业按照自愿原则推广应用网号、网证，为用户提供安全、便捷的身份登记和核验服务，通过公共服务培育网络身份认证应用生态。　　有关主管部门、重点行业在管理、服务中，应当保留、提供现有的或者其他合法方式进行登记、核验真实身份。　　第七条鼓励互联网平台按照自愿原则接入公共服务，用以支持用户使用网号、网证登记、核验用户真实身份信息，依法履行个人信息保护和核验用户真实身份信息的义务。　　互联网平台接入公共服务后，用户选择使用网号、网证登记、核验真实身份信息并通过验证的，互联网平台不得要求用户另行提供明文身份信息，法律、行政法规另有规定或者用户同意提供的除外。　　互联网平台应当保障未使用网号、网证但通过其他方式登记、核验真实身份的用户与使用网号、网证的用户享有同等服务。　　第八条互联网平台需要依法核验用户真实身份信息但无需留存用户法定身份证件信息的，公共服务平台应当仅提供用户身份核验结果。　　根据法律、行政法规规定，互联网平台确需获取、留存用户法定身份证件信息的，经用户授权或者单独同意，公共服务平台应当按照最小化原则提供。　　未经自然人单独同意，互联网平台不得擅自处理或者对外提供相关数据、信息，法律、行政法规另有规定的除外。　　第九条公共服务平台仅限收集网络身份认证所必需的信息，处理个人信息或者向自然人提供公共服务，应当依法履行告知义务并取得其同意。处理敏感个人信息，应当取得个人的单独同意，法律、行政法规规定应当取得书面同意的，从其规定。　　未经自然人单独同意，公共服务平台不得擅自处理或者对外提供相关数据、信息，不得将相关数据用于用户登记、核验真实身份以外的目的，法律、行政法规另有规定的除外。　　公共服务平台应当依照法律、行政法规规定或者用户要求，及时删除用户个人信息。　　第十条涉及未成年人、老年人等用户的，公共服务平台可以依法向互联网平台提供年龄标识信息，用于支持互联网平台履行相应的法律义务。　　第十一条公共服务平台在处理用户个人信息前，应当通过用户协议等书面形式，以显著方式、清晰易懂的语言真实、准确、完整地向用户告知下列事项：　　（一）公共服务平台的名称和联系方式；　　（二）用户个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；　　（三）用户依法行使其个人信息相关权利的方式和程序；　　（四）法律、行政法规规定应当告知的其他事项。　　处理敏感个人信息的，还应当向个人告知处理的必要性以及对个人权益的影响，法律另有规定的除外。　　公共服务平台处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知本条第一款规定的事项。　　紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，公共服务平台应当在紧急情况消除后及时告知。　　第十二条公共服务平台应当加强网络运行安全、数据安全和个人信息保护，建立并落实安全管理制度与技术防护措施，完善监督制度，有效保护网络运行安全、数据安全和个人信息权益。　　公共服务平台处理的重要数据和个人信息应当在境内存储；因业务需要确需向境外提供的，应当按照国家有关规定进行安全评估。　　公共服务平台发生网络运行安全、数据安全事件的，应当按照国家有关规定，立即启动应急预案，采取必要措施消除安全隐患，及时告知用户并向有关部门报告。　　第十三条公共服务平台的建设和服务涉及密码的，应当符合国家密码管理有关要求。　　第十四条违反本办法第七条、第八条、第九条、第十一条、第十二条规定，依照《网络安全法》、《数据安全法》、《个人信息保护法》，由国务院公安部门、国家网信部门在各自职责范围内依法予以处罚、处分；构成犯罪的，依法追究刑事责任。　　有关主管部门、重点行业在网络身份认证公共服务有关工作中玩忽职守、滥用职权的，依法追究责任。　　第十五条本办法所称法定身份证件，包括居民身份证、定居国外的中国公民的护照、港澳居民来往内地通行证、台湾居民来往大陆通行证、港澳居民居住证、台湾居民居住证、外国人永久居留身份证等身份证件。　　第十六条本办法自2025年7月15日起施行。

中国气象局国家互联网信息办公室令第45号　　《人工智能气象应用服务办法》已经2025年3月4日中国气象局第1次局务会议审议通过，并经国家互联网信息办公室同意，现予公布，自2025年6月1日起施行。中国气象局局长 陈振林国家互联网信息办公室主任 庄荣文2025年4月23日人工智能气象应用服务办法第一章 总 则　　第一条 为了鼓励和促进人工智能气象应用服务健康有序发展，规范人工智能气象应用服务，建立人工智能气象应用服务秩序，根据《中华人民共和国气象法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络数据安全管理条例》等有关法律法规的规定，结合气象行业实际，制定本办法。　　第二条 在中华人民共和国领域和中华人民共和国管辖的其他海域利用人工智能技术开展气象应用服务的，适用本办法。　　人工智能气象应用服务提供者（以下简称提供者），是指利用人工智能技术提供气象应用服务的公民、法人和其他组织。　　第三条 发展人工智能气象应用，应当坚持总体国家安全观，统筹发展和安全，坚持促进创新和依法治理相结合，对人工智能气象应用服务实行包容审慎和分类分级监管。　　提供人工智能气象应用服务，应当遵守法律、行政法规，尊重社会公德和伦理道德，遵循社会主义核心价值观，尊重知识产权，不得生成危害国家安全和利益以及虚假有害信息等法律、行政法规禁止的内容。　　第四条 国务院气象主管机构负责指导、监督和管理全国人工智能气象应用服务工作，建立人工智能气象应用服务领域的工作协调机制。国家网信部门在职责范围内依法负责有关行政管理工作。　　省、自治区、直辖市气象主管机构在上级气象主管机构和本级人民政府的领导下，负责监督和管理本行政区域内人工智能气象应用服务工作。地方网信部门在职责范围内依法负责本行政区域内有关行政管理工作。　　第五条 鼓励提供者加入气象行业组织。气象行业组织应当加强行业自律，推广应用先进技术，组织开展人员培训，提升人工智能气象应用服务行业整体水平。　　第六条 国务院气象主管机构应当参与国际气象领域人工智能应用服务的发展和治理，积极开展平等互利的国际合作与交流，推动参与人工智能气象应用服务相关国际规则、标准的制定。　　第二章 支持与促进　　第七条 气象主管机构应当加强人工智能与气象监测预警、预报预测、数值预报等领域深度融合应用，推进人工智能气象数据、算法和算力深度发展。　　气象主管机构应当推动人工智能在旅游、能源、交通、金融等气象服务领域的推广应用，构建人工智能气象应用服务场景。　　第八条 国务院气象主管机构建设气象领域人工智能基础数据库和专题数据集，依法推动数据要素分类分级开放共享和流通。　　国务院气象主管机构应当为进入开放共享和流通环节的数据要素匹配气象数据身份标识。气象数据身份标识应当包含气象数据来源、提供者、提供内容、被提供者、使用期限、使用范围等基本信息。　　第九条 国务院气象主管机构按需推动人工智能气象应用服务领域的算力基础设施建设，鼓励和支持人工智能气象应用服务领域的算法模型创新，加快面向应用服务的算法模型研发与推广。　　第十条 气象主管机构建立健全与科研院所、高等院校、企业之间的对接交流平台，加强人工智能气象应用服务领域的产学研用深度融合，构建人工智能气象应用服务协同创新机制。　　第十一条国务院气象主管机构建立完善人工智能气象应用服务的成果转化机制，健全人工智能气象应用服务领域的知识产权保护机制，依法保护人工智能气象应用服务软件作品、商业秘密等知识产权。　　第十二条 气象主管机构联合科研院所、高等院校、企业共同建设人工智能气象应用服务人才实训基地，完善人才的评价与奖励机制，优化人工智能气象应用服务人才发展环境。　　第十三条国务院气象主管机构推动人工智能气象应用服务相关标准建设，鼓励和支持提供者、高等院校、科研机构、企业和其他组织参与标准制定。　　第十四条 国务院气象主管机构建立人工智能气象应用算法和模型的质量评估机制，开展人工智能气象应用示范，推动人工智能在气象业务领域的转化、准入和应用，鼓励人工智能气象服务的应用场景开放。　　第三章 应用服务规范　　第十五条 从事气象信息服务活动的提供者中的法人和其他组织应当根据《气象信息服务管理办法》的规定，向其营业执照注册地的省、自治区、直辖市气象主管机构备案，并接受其监督管理。　　提供具有舆论属性或者社会动员能力的人工智能气象应用服务的，应当按照国家有关规定开展算法备案和安全评估。　　第十六条提供者应当通过合法渠道获取标注相应气象数据身份标识的气象数据，不得窃取或者以其他非法方式获取气象数据。　　提供者应当按照国家有关规定添加人工智能生成合成内容标识，确保标识的可读性和安全性，建立信息溯源机制。　　提供者应当基于应用服务类型特点，采取有效措施，提升人工智能气象应用服务的透明度，提高应用服务内容的准确性和可靠性。　　第十七条 提供者应当依法建立健全算法安全审核、网络安全、数据安全、信息发布审核等管理制度和技术措施，确保人工智能气象应用服务安全、稳定、持续。　　提供者应当对人工智能气象应用服务进行全生命周期风险管理和控制，开展安全评估和质量评价，采取必要措施防控风险。　　第十八条 提供者应当设置投诉举报入口，用户发现人工智能气象应用服务存在违法行为或者安全风险的，有权通过投诉举报入口反馈，提供者应当及时受理并处理。　　第十九条 提供者不得向社会发布和传播非气象主管机构所属气象台站提供的公众气象预报、灾害性天气警报和气象灾害预警信号。　　鼓励提供者研究形成的气象预报意见和结论提供给气象主管机构所属气象台站制作气象预报时参考。　　第四章 监督管理　　第二十条 气象主管机构可以通过指导约谈等措施促进公民、法人和其他组织依法开展人工智能气象应用服务。　　第二十一条 气象主管机构可以进入相关应用服务现场开展监督检查，有权要求提供者提供气象数据身份标识。气象主管机构工作人员对于履行职责中知悉的国家秘密、商业秘密、个人隐私和个人信息应当依法予以保密，不得泄露或者非法向他人提供。　　第二十二条 气象主管机构会同网信等有关部门开展人工智能气象应用服务领域的数据安全监管。　　发现数据处理活动存在较大安全风险的，有关气象主管机构依法对有关公民、法人和其他组织进行约谈，并要求有关公民、法人和其他组织采取措施进行整改，消除隐患。　　第二十三条 人工智能气象应用服务中涉及数据出境的，应当符合法律、行政法规和国家网信部门的有关规定。　　人工智能气象应用服务中涉及国家安全、国家秘密的，应当遵守国家安全和保密的法律、法规、规章和有关规定。　　第二十四条 任何组织和个人发现违反本办法的行为，可以向气象主管机构投诉、举报。　　第二十五条 人工智能气象应用服务提供者初次违法且危害后果轻微并及时改正的，可以不予行政处罚。　　第二十六条 违反本办法规定，有下列行为之一的，由有关气象主管机构依据职责责令改正，给予警告，可以处五万元以下的罚款:　　（一）非法向社会发布公众气象预报、灾害性天气警报、气象灾害预警信号的；　　（二）传播通过非法渠道获取的灾害性天气信息和气象灾害灾情的。　　第二十七条 有关主管部门及其工作人员不依法履行本办法规定的监督检查职责的，由其上级行政机关责令改正，依法给予处分；构成犯罪的，依法追究刑事责任。　　第二十八条 气象主管机构、网信等有关主管部门发现人工智能气象应用服务存在其他违法行为的，在职责范围内依照相关法律法规的规定予以处理。　　第五章 附 则　　第二十九条 本办法自2025年6月1日起施行。

国家互联网信息办公室中华人民共和国公安部令第19号　　《人脸识别技术应用安全管理办法》已经2024年9月30日国家互联网信息办公室2024年第23次室务会会议审议通过，并经公安部同意，现予公布，自2025年6月1日起施行。国家互联网信息办公室主任 庄荣文公安部部长 王小洪2025年3月13日人脸识别技术应用安全管理办法　　第一条为了规范应用人脸识别技术处理人脸信息活动，保护个人信息权益，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规，制定本办法。　　第二条在中华人民共和国境内应用人脸识别技术处理人脸信息的活动，适用本办法。　　在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的，不适用本办法的规定。　　第三条应用人脸识别技术处理人脸信息活动，应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行个人信息保护义务，承担社会责任，不得危害国家安全、损害公共利益、侵害个人合法权益。　　第四条应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。　　第五条个人信息处理者应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：　　（一）个人信息处理者的名称或者姓名和联系方式；　　（二）人脸信息的处理目的、处理方式，处理的人脸信息保存期限；　　（三）处理人脸信息的必要性以及对个人权益的影响；　　（四）个人依法行使权利的方式和程序；　　（五）法律、行政法规规定应当告知的其他事项。　　前款规定事项发生变更的，应当将变更部分告知个人。　　法律、行政法规规定可以不向个人告知的，从其规定。　　处理残疾人、老年人人脸信息的，还应当符合国家有关无障碍环境建设的规定。　　第六条基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行政法规规定处理人脸信息应当取得个人书面同意的，从其规定。　　基于个人同意处理人脸信息的，个人有权撤回同意，个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。　　第七条基于个人同意处理不满十四周岁未成年人人脸信息的，应当取得未成年人的父母或者其他监护人的同意。　　个人信息处理者应用人脸识别技术处理不满十四周岁未成年人人脸信息的，应当在存储、使用、转移、披露等方面制定专门的处理规则，依法保护未成年人个人信息安全。　　第八条除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。　　除法律、行政法规另有规定外，人脸信息的保存期限不得超过实现处理目的所必需的最短时间。　　第九条个人信息处理者应用人脸识别技术处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录。个人信息保护影响评估主要包括下列内容：　　（一）人脸信息的处理目的、处理方式是否合法、正当、必要；　　（二）对个人权益带来的影响，以及降低不利影响的措施是否有效；　　（三）发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害；　　（四）所采取的保护措施是否合法、有效并与风险程度相适应。　　个人信息保护影响评估报告和处理情况记录应当至少保存3年。处理人脸信息的目的、方式发生变化，或者发生重大安全事件的，应当重新进行个人信息保护影响评估。　　第十条实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。　　国家对应用人脸识别技术验证个人身份另有规定的，从其规定。　　第十一条应用人脸识别技术验证个人身份、辨识特定个人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施，减少人脸信息收集、存储，保护人脸信息安全。　　第十二条任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。　　第十三条在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。　　任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。　　第十四条人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护、关键信息基础设施的，应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。　　第十五条个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。申请备案应当提交下列材料：　　（一）个人信息处理者的基本情况；　　（二）人脸信息处理目的和处理方式；　　（三）人脸信息存储数量和安全保护措施；　　（四）人脸信息的处理规则和操作规程；　　（五）个人信息保护影响评估报告。　　备案信息发生实质性变更的，应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的，应当在终止之日起30个工作日内办理注销备案手续，并依法处理人脸信息。　　第十六条网信部门会同公安机关和其他履行个人信息保护职责的部门，建立健全信息共享和通报工作机制，协同开展相关工作。　　网信部门、公安机关和其他履行个人信息保护职责的部门依法对应用人脸识别技术处理个人信息活动实施监督检查，个人信息处理者应当依法予以配合。　　第十七条任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉人、举报人。　　第十八条违反本办法规定的，依照有关法律、行政法规的规定处理；构成犯罪的，依法追究刑事责任。　　第十九条本办法下列术语的含义：　　（一）个人信息处理者，是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。　　（二）人脸信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息，不包括匿名化处理后的信息。　　（三）人脸识别技术，是指以人脸信息作为识别个体身份的个体生物特征识别技术。　　（四）人脸识别设备，是指应用人脸识别技术识别个体身份的终端设备。　　（五）验证个人身份，是指通过收集获得的人脸信息与信息系统存储的特定人脸信息进行“一对一”比对，确认和核对两者是否为同一人。　　（六）辨识特定个人，是指通过收集获得的人脸信息与信息系统存储的特定范围内人脸信息进行“一对多”比对，发现和识别具有特定身份的个人。　　第二十条本办法自2025年6月1日起施行。

国家互联网信息办公室令第18号　　《个人信息保护合规审计管理办法》已经2024年5月20日国家互联网信息办公室2024年第15次室务会会议审议通过，现予公布，自2025年5月1日起施行。国家互联网信息办公室主任 庄荣文2025年2月12日个人信息保护合规审计管理办法　　第一条为了规范个人信息保护合规审计活动，保护个人信息权益，根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规，制定本办法。　　第二条在中华人民共和国境内开展个人信息保护合规审计，适用本办法。　　本办法所称个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。　　第三条个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。　　第四条处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。　　第五条个人信息处理者有以下情形之一的，国家网信部门和其他履行个人信息保护职责的部门（以下统称为保护部门），可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计：　　（一）发现个人信息处理活动存在严重影响个人权益或者严重缺乏安全措施等较大风险的；　　（二）个人信息处理活动可能侵害众多个人的权益的；　　（三）发生个人信息安全事件，导致100万人以上个人信息或者10万人以上敏感个人信息泄露、篡改、丢失、毁损的。　　对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托专业机构开展个人信息保护合规审计。　　第六条个人信息处理者自行开展或者按照保护部门要求委托专业机构开展个人信息保护合规审计的，应当参照本办法附件《个人信息保护合规审计指引》。　　第七条专业机构应当具备开展个人信息保护合规审计的能力，有与服务相适应的审计人员、场所、设施和资金等。　　鼓励相关专业机构通过认证。专业机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。　　第八条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当为专业机构正常开展个人信息保护合规审计工作提供必要支持，并承担审计费用。　　第九条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求选定专业机构，在限定时间内完成个人信息保护合规审计；情况复杂的，报保护部门批准后，可以适当延长。　　第十条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，在完成合规审计后，应当将专业机构出具的个人信息保护合规审计报告报送保护部门。　　个人信息保护合规审计报告应当由专业机构主要负责人、合规审计负责人签字并加盖专业机构公章。　　第十一条个人信息处理者按照保护部门要求开展个人信息保护合规审计的，应当按照保护部门要求对合规审计中发现的问题进行整改。在整改完成后15个工作日内，向保护部门报送整改情况报告。　　第十二条处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作。　　提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。　　第十三条专业机构在从事个人信息保护合规审计活动时，应当遵守法律法规，诚信正直，公正客观地作出合规审计职业判断，对在履行个人信息保护合规审计职责中获得的个人信息、商业秘密、保密商务信息等应当依法予以保密，不得泄露或者非法向他人提供，在合规审计工作结束后及时删除相关信息。　　第十四条专业机构不得转委托其他机构开展个人信息保护合规审计。　　第十五条同一专业机构及其关联机构、同一合规审计负责人不得连续三次以上对同一审计对象开展个人信息保护合规审计。　　第十六条保护部门对个人信息处理者开展个人信息保护合规审计情况进行监督检查。　　第十七条任何组织、个人有权对个人信息保护合规审计中的违法活动向保护部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理，并将处理结果告知投诉、举报人。　　第十八条个人信息处理者、专业机构违反本办法规定的，依照《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律法规的规定处理；构成犯罪的，依法追究刑事责任。　　第十九条对国家机关和法律、法规授权的具有管理公共事务职能的组织的个人信息保护合规审计，不适用本办法。　　第二十条本办法自2025年5月1日起施行。附件个人信息保护合规审计指引　　一、本指引根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规制定。　　二、对个人信息处理活动的合法性基础进行合规审计的，应当重点审查下列事项：　　（一）基于个人同意处理个人信息的，是否取得个人同意，该同意是否由个人在充分知情的前提下自愿、明确作出；　　（二）基于个人同意处理个人信息的，个人信息的处理目的、处理方式、处理的个人信息种类发生变更的，是否重新取得个人同意；　　（三）基于个人同意处理个人信息的，是否依照法律、行政法规取得个人单独同意或者书面同意；　　（四）处理个人信息未取得个人同意的，是否属于法律、行政法规规定不需要取得个人同意的情形。　　三、对个人信息处理规则进行合规审计的，应当重点审查下列事项：　　（一）是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式；　　（二）是否以清单等便于查看的形式列明所收集的个人信息及其处理方式和种类；　　（三）是否与处理目的直接相关，采取对个人权益影响最小的方式；　　（四）是否明确个人信息保存期限或者保存期限的确定方法、到期后的处理方式，以及确定保存期限为实现处理目的所必要的最短时间；　　（五）是否明确个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的途径和方法。　　四、对个人信息处理者履行告知个人信息处理规则义务进行合规审计的，应当重点审查下列事项：　　（一）个人信息处理者在处理个人信息前，是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则；　　（二）告知文本的大小、字体和颜色是否便于个人完整阅读告知事项；　　（三）线下告知是否通过标注、说明等多种方式向个人履行告知义务；　　（四）在线告知是否提供文本信息或者通过适当方式向个人履行告知义务；　　（五）个人信息处理规则发生变更的，是否将变更内容及时告知个人；　　（六）处理个人信息不需要告知的，是否属于法律、行政法规规定应当保密或者不需要告知的情形。　　五、对个人信息处理者与其他个人信息处理者共同处理个人信息进行合规审计的，应当重点审查下列事项：　　（一）是否约定各自的权利义务；　　（二）个人信息权益保护机制；　　（三）个人信息安全事件报告机制；　　（四）其他法律、行政法规规定需要约定的权利和义务。　　六、对个人信息处理者委托处理个人信息进行合规审计的，应当重点审查下列事项：　　（一）个人信息处理者在委托处理个人信息前，是否开展个人信息保护影响评估；　　（二）个人信息处理者与受托人签订的合同，是否与受托人约定了委托处理的目的、期限、方式、个人信息的种类、保护措施以及双方的权利义务等；　　（三）个人信息处理者是否采取定期检查等方式，对受托人的个人信息处理活动进行监督。　　七、个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的，应当重点审查个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式。　　八、对个人信息处理者向其他个人信息处理者提供其处理的个人信息进行合规审计的，应当重点审查下列事项：　　（一）基于个人同意处理个人信息的，是否取得个人的单独同意；　　（二）是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，法律、行政法规规定应当保密或者不需要告知的除外；　　（三）是否事前进行个人信息保护影响评估。　　九、对个人信息处理者利用自动化决策处理个人信息进行合规审计的，应当重点审查下列事项：　　（一）自动化决策的透明度，以及自动化决策的结果是否公平、公正；　　（二）是否事前告知个人自动化决策处理个人信息的种类及可能带来的影响；　　（三）是否事前进行个人信息保护影响评估；　　（四）是否向用户提供保障机制，以便个人通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定，并要求个人信息处理者就通过自动化决策方式作出对用户个人权益有重大影响的决定予以说明；　　（五）向个人进行信息推送、商业营销的，是否同时提供不针对个人特征的选项，或者提供便捷的拒绝自动化决策服务的方式；　　（六）是否采取了有效措施，防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇；　　（七）其他可能影响自动化决策的透明度和结果公平、公正的事项。　　十、对个人信息处理者基于个人同意公开个人信息进行合规审计的，应当重点审查下列事项：　　（一）个人信息处理者公开其处理的个人信息前是否取得个人单独同意，该授权是否真实、有效，是否存在违背个人意愿将个人信息予以公开的情况；　　（二）个人信息处理者公开个人信息前，是否进行个人信息保护影响评估。　　十一、个人信息处理者在公共场所安装图像收集、个人身份识别设备的，应当重点对其安装图像收集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于：　　（一）是否为维护公共安全所必需，是否为商业目的处理所收集的个人信息；　　（二）是否设置了显著的提示标识；　　（三）个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的，是否取得个人单独同意。　　十二、对个人信息处理者处理已公开的个人信息进行合规审计的，应当重点审查个人信息处理者是否存在下列违法违规行为：　　（一）向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的商业信息；　　（二）利用已公开的个人信息从事网络暴力、传播网络谣言和虚假信息等活动；　　（三）处理个人明确拒绝处理的已公开个人信息；　　（四）对个人权益有重大影响，未取得个人同意；　　（五）收集、留存或处理已公开个人信息的规模、时间或使用目的超出合理范围。　　十三、对个人信息处理者处理敏感个人信息进行合规审计的，应当重点审查下列事项：　　（一）基于个人同意处理个人信息的，处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息，是否事前取得个人的单独同意；　　（二）基于个人同意处理个人信息的，处理不满十四周岁未成年人的个人信息，是否事前取得未成年人的父母或者其他监护人的同意；　　（三）处理敏感个人信息的目的、方式、范围是否合法、正当、必要；　　（四）是否在事前进行个人信息保护影响评估；　　（五）是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响，法律、行政法规规定应当保密或者不需要告知的除外；　　（六）法律、行政法规规定应当取得书面同意的，是否取得书面同意；　　（七）是否遵守法律、行政法规对处理敏感个人信息的限制性规定。　　十四、对个人信息处理者处理不满十四周岁未成年人个人信息进行合规审计的，应当重点审查下列事项：　　（一）是否制定专门的个人信息处理规则；　　（二）是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性，以及处理个人信息的种类、所采取的保护措施等，法律、行政法规规定不需要告知的除外；　　（三）基于个人同意处理个人信息，是否存在强制要求未成年人或者其监护人同意处理非必要个人信息的行为。　　十五、对个人信息处理者向境外提供个人信息进行合规审计的，应当重点审查下列事项：　　（一）关键信息基础设施运营者向境外提供个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；　　（二）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息是否经过国家网信部门组织的安全评估，法律、行政法规、国家网信部门另有规定的，从其规定；　　（三）关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息）或者不满1万人敏感个人信息的，是否按照国家网信部门的规定，经个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同并向所在地省级网信部门备案，或者符合法律、行政法规、国家网信部门规定的其他条件；　　（四）存在向外国司法或者执法机构提供存储于中华人民共和国境内个人信息情形的，是否经过中华人民共和国主管机关批准；　　（五）是否向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息。　　十六、对个人信息删除权保障情况进行合规审计的，应当重点审查下列事项：　　（一）个人信息处理目的是否已实现、无法实现或者为实现处理目的不再必要；　　（二）个人信息处理者是否停止提供产品或者服务，或者个人是否已注销账号；　　（三）保存期限是否已届满；　　（四）个人是否撤回同意；　　（五）个人信息处理者是否违反法律、行政法规或者违反约定处理个人信息；　　（六）应当删除个人信息，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者是否停止除存储和采取必要的安全措施之外的处理。　　十七、对个人信息处理者保障个人在个人信息处理活动中的权利情况进行合规审计的，应当重点审查下列事项：　　（一）是否建立便捷的个人行使权利的申请受理机制和处理机制；　　（二）是否及时响应个人行使权利的申请，是否及时、完整、准确告知处理意见或者执行结果；　　（三）拒绝个人行使权利请求的，是否向个人说明理由。　　十八、个人信息处理者应当响应个人申请，对其个人信息处理规则进行解释说明，合规审计时应当重点对下列内容进行评价：　　（一）个人信息处理者是否提供便捷的方式和途径，接受、处理个人关于个人信息处理规则解释说明的要求；　　（二）接到个人的要求后，个人信息处理者是否在合理的时间内，使用通俗易懂的语言对其个人信息处理规则作出解释说明。　　十九、个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程，明确组织架构、岗位职责，建立工作流程、完善内控制度，保障个人信息处理合规与安全。合规审计时，应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查，包括但不限于：　　（一）个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定；　　（二）个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应；　　（三）是否根据个人信息的种类、来源、敏感程度、用途等，对个人信息进行分类；　　（四）是否建立个人信息安全事件应急响应机制；　　（五）是否建立个人信息保护影响评估制度、合规审计制度；　　（六）是否建立畅通的个人信息保护投诉举报受理流程；　　（七）是否合理制定个人信息处理操作权限；　　（八）是否制定实施个人信息保护安全教育和培训计划；　　（九）是否建立个人信息保护负责人及相关人员履职评价制度；　　（十）是否建立个人信息违法处理责任制度；　　（十一）法律、行政法规规定的其他事项。　　二十、个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施，并对个人信息处理者采取的技术措施的有效性进行评价，评价内容包括但不限于：　　（一）是否采取相应安全技术措施实现个人信息的保密性、完整性、可用性；　　（二）是否采取加密、去标识化等安全技术措施，确保在不借助额外信息的情况下，消除或者降低个人信息的可识别性；　　（三）采取的安全技术措施能否合理确定有关人员查阅、复制、传输个人信息等的操作权限，减少个人信息在处理过程中未经授权的访问和滥用风险。　　二十一、对个人信息处理者教育培训计划的制定和实施情况进行合规审计时，应当重点对下列事项进行评价：　　（一）是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训，是否对相应人员的个人信息保护意识和技能进行考核；　　（二）培训内容、方式、对象、频率等能否满足个人信息保护需要。　　二十二、对个人信息处理者指定的个人信息保护负责人履职情况进行合规审计的，应当重点审查下列事项：　　（一）个人信息保护负责人是否具有相关的工作经历和专业知识，熟悉个人信息保护相关法律、行政法规；　　（二）个人信息保护负责人是否具有明确清晰的职责，是否被赋予充分的权限协调个人信息处理者内部相关部门与人员；　　（三）个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议；　　（四）个人信息保护负责人是否有权对个人信息处理者内部个人信息处理的不合规操作进行制止和采取必要的纠正措施；　　（五）个人信息处理者是否公开个人信息保护负责人的联系方式，并将个人信息保护负责人的姓名、联系方式等报送保护部门。　　二十三、对个人信息处理者开展个人信息保护影响评估情况进行合规审计时，应当重点对影响评估开展情况和评估内容进行审查：　　（一）是否依照法律、行政法规的规定，在进行对个人权益具有重大影响的个人信息处理活动前进行个人信息保护影响评估；　　（二）是否对个人信息的处理目的、处理方式等进行合法、正当、必要评估；　　（三）是否对个人权益的影响及安全风险进行评估；　　（四）是否对所采取的保护措施的合法性、有效性，以及与风险程度的适应性进行评估。　　二十四、个人信息处理者应当制定个人信息安全事件应急预案。合规审计时，应当对应急预案的全面性、有效性、可执行性作出评价，包括但不限于下列内容：　　（一）是否结合业务实际，对面临的个人信息安全风险作出系统评估和预测；　　（二）总体要求、基本策略，组织机构、人员，技术、物资保障，指挥处置程序，应急和支持措施等是否足以应对预测的风险；　　（三）是否对相关人员进行应急预案培训，定期对应急预案进行演练。　　二十五、对个人信息处理者个人信息安全事件应急响应处置情况进行合规审计的，应当重点审查下列事项：　　（一）是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害，分析、确定事件发生的原因，提出防止危害扩大的措施方案；　　（二）是否建立通报渠道，在安全事件发生后按照相关规定及时通知保护部门和个人；　　（三）是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。　　二十六、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者制定的平台规则进行合规审计的，应当重点审查下列事项：　　（一）平台规则是否与法律、行政法规相抵触；　　（二）平台规则个人信息保护条款的有效性，是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务；　　（三）平台规则的执行情况，是否通过抽样等方式验证平台规则被有效执行。　　二十七、对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者发布的个人信息保护社会责任报告进行合规审计的，应当重点审查社会责任报告披露下列内容的情况：　　（一）个人信息保护组织架构和内部管理情况；　　（二）个人信息保护能力建设情况；　　（三）个人信息保护措施和成效；　　（四）个人行使权利的申请受理情况；　　（五）独立监督机构履职情况；　　（六）重大个人信息安全事件处理情况；　　（七）促进个人信息保护社会共治的科普宣传、公益活动情况；　　（八）法律、行政法规规定的其他事项。

国家互联网信息办公室中华人民共和国公安部中华人民共和国文化和旅游部国家广播电视总局令第17号　　《网络暴力信息治理规定》已经2023年12月25日国家互联网信息办公室2023年第28次室务会会议审议通过，并经公安部、文化和旅游部、国家广播电视总局同意，现予公布，自2024年8月1日起施行。国家互联网信息办公室主任 庄荣文公安部部长 王小洪文化和旅游部部长 孙业礼国家广播电视总局局长 曹淑敏2024年6月12日网络暴力信息治理规定第一章 总 则　　第一条 为了治理网络暴力信息，营造良好网络生态，保障公民合法权益，维护社会公共利益，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国治安管理处罚法》、《互联网信息服务管理办法》等法律、行政法规，制定本规定。　　第二条中华人民共和国境内的网络暴力信息治理活动，适用本规定。　　第三条网络暴力信息治理坚持源头防范、防控结合、标本兼治、协同共治的原则。　　第四条国家网信部门负责统筹协调全国网络暴力信息治理和相关监督管理工作。国务院公安、文化和旅游、广播电视等有关部门依据各自职责开展网络暴力信息的监督管理工作。　　地方网信部门负责统筹协调本行政区域内网络暴力信息治理和相关监督管理工作。地方公安、文化和旅游、广播电视等有关部门依据各自职责开展本行政区域内网络暴力信息的监督管理工作。　　第五条鼓励网络相关行业组织加强行业自律，开展网络暴力信息治理普法宣传，督促指导网络信息服务提供者加强网络暴力信息治理并接受社会监督，为遭受网络暴力信息侵害的用户提供帮扶救助等支持。第二章 一般规定　　第六条网络信息服务提供者和用户应当坚持社会主义核心价值观，遵守法律法规，尊重社会公德和伦理道德，促进形成积极健康、向上向善的网络文化，维护良好网络生态。　　第七条网络信息服务提供者应当履行网络信息内容管理主体责任，建立完善网络暴力信息治理机制，健全用户注册、账号管理、个人信息保护、信息发布审核、监测预警、识别处置等制度。　　第八条 网络信息服务提供者为用户提供信息发布、即时通讯等服务的，应当依法对用户进行真实身份信息认证。用户不提供真实身份信息的，网络信息服务提供者不得为其提供相关服务。　　网络信息服务提供者应当加强用户账号信息管理，为遭受网络暴力信息侵害的相关主体提供账号信息认证协助，防范和制止假冒、仿冒、恶意关联相关主体进行违规注册或者发布信息。　　第九条网络信息服务提供者应当制定和公开管理规则、平台公约，与用户签订服务协议，明确网络暴力信息治理相关权利义务，并依法依约履行治理责任。　　第十条任何组织和个人不得制作、复制、发布、传播涉网络暴力违法信息，应当防范和抵制制作、复制、发布、传播涉网络暴力不良信息。　　任何组织和个人不得利用网络暴力事件实施蹭炒热度、推广引流等营销炒作行为，不得通过批量注册或者操纵用户账号等形式组织制作、复制、发布、传播网络暴力信息。　　明知他人从事涉网络暴力信息违法犯罪活动的，任何组织和个人不得为其提供数据、技术、流量、资金等支持和协助。　　第十一条网络信息服务提供者应当定期发布网络暴力信息治理公告，并将相关工作情况列入网络信息内容生态治理工作年度报告。第三章 预防预警　　第十二条网络信息服务提供者应当在国家网信部门和国务院有关部门指导下细化网络暴力信息分类标准规则，建立健全网络暴力信息特征库和典型案例样本库，采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络暴力信息的识别监测。　　第十三条网络信息服务提供者应当建立健全网络暴力信息预警模型，综合事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等因素，及时发现预警网络暴力信息风险。　　网络信息服务提供者发现存在网络暴力信息风险的，应当及时回应社会关切，引导用户文明互动、理性表达，并对异常账号及时采取真实身份信息动态核验、弹窗提示、违规警示、限制流量等措施；发现相关信息内容浏览、搜索、评论、举报量显著增长等情形的，还应当及时向有关部门报告。　　第十四条网络信息服务提供者应当建立健全用户账号信用管理体系，将涉网络暴力信息违法违规情形记入用户信用记录，依法依约降低账号信用等级或者列入黑名单，并据以限制账号功能或者停止提供相关服务。第四章 信息和账号处置　　第十五条网络信息服务提供者发现涉网络暴力违法信息的，或者在其服务的醒目位置、易引起用户关注的重点环节发现涉网络暴力不良信息的，应当立即停止传输，采取删除、屏蔽、断开链接等处置措施，保存有关记录，向有关部门报告。发现涉嫌违法犯罪的，应当及时向公安机关报案，并提供相关线索，依法配合开展侦查、调查和处置等工作。　　第十六条互联网新闻信息服务提供者应当坚持正确政治方向、舆论导向、价值取向，加强网络暴力信息治理的公益宣传。　　互联网新闻信息服务提供者不得通过夸大事实、过度渲染、片面报道等方式采编发布、转载涉网络暴力新闻信息。对互联网新闻信息提供跟帖评论服务的，应当实行先审后发。　　互联网新闻信息服务提供者采编发布、转载涉网络暴力新闻信息不真实或者不公正的，应当立即公开更正，消除影响。　　第十七条网络信息服务提供者应当加强网络视听节目、网络表演等服务内容的管理，发现含有网络暴力信息的网络视听节目、网络表演等服务的，应当及时删除信息或者停止提供相关服务；应当加强对网络直播、短视频等服务的内容审核，及时阻断含有网络暴力信息的网络直播，处置含有网络暴力信息的短视频。　　第十八条网络信息服务提供者应当加强对跟帖评论信息内容的管理，对以评论、回复、留言、弹幕、点赞等方式制作、复制、发布、传播网络暴力信息的，应当及时采取删除、屏蔽、关闭评论、停止提供相关服务等处置措施。　　第十九条网络信息服务提供者应当加强对网络论坛社区和网络群组的管理，禁止用户在版块、词条、超话、群组等环节制作、复制、发布、传播网络暴力信息，禁止以匿名投稿、隔空喊话等方式创建含有网络暴力信息的论坛社区和群组账号。　　网络论坛社区、网络群组的建立者和管理者应当履行管理责任，发现用户制作、复制、发布、传播网络暴力信息的，应当依法依约采取限制发言、移出群组等管理措施。　　第二十条公众账号生产运营者应当建立健全发布推广、互动评论等全过程信息内容安全审核机制，发现账号跟帖评论等环节存在网络暴力信息的，应当及时采取举报、处置等措施。　　第二十一条对违反本规定第十条的用户，网络信息服务提供者应当依法依约采取警示、删除信息、限制账号功能、关闭账号等处置措施，并保存相关记录；对组织、煽动、多次发布网络暴力信息的，网络信息服务提供者还应当依法依约采取列入黑名单、禁止重新注册等处置措施。　　对借网络暴力事件实施营销炒作等行为的，除前款规定外，还应当依法依约采取清理订阅关注账号、暂停营利权限等处置措施。　　第二十二条对组织、煽动制作、复制、发布、传播网络暴力信息的网络信息内容多渠道分发服务机构，网络信息服务提供者应当依法依约对该机构及其管理的账号采取警示、暂停营利权限、限制提供服务、入驻清退等处置措施。第五章 保护机制　　第二十三条网络信息服务提供者应当建立健全网络暴力信息防护功能，提供便利用户设置屏蔽陌生用户或者特定用户、本人发布信息可见范围、禁止转载或者评论本人发布信息等网络暴力信息防护选项。　　网络信息服务提供者应当完善私信规则，提供便利用户设置仅接收好友私信或者拒绝接收所有私信等网络暴力信息防护选项，鼓励提供智能屏蔽私信或者自定义私信屏蔽词等功能。　　第二十四条网络信息服务提供者发现用户面临网络暴力信息风险的，应当及时通过显著方式提示用户，告知用户可以采取的防护措施。　　网络信息服务提供者发现网络暴力信息风险涉及以下情形的，还应当为用户提供网络暴力信息防护指导和保护救助服务，协助启动防护措施，并向网信、公安等有关部门报告：　　（一）网络暴力信息侵害未成年人、老年人、残疾人等用户合法权益的；　　（二）网络暴力信息侵犯用户个人隐私的；　　（三）若不及时采取措施，可能造成用户人身、财产损害等严重后果的其他情形。　　第二十五条网络信息服务提供者发现、处置网络暴力信息的，应当及时保存信息内容、浏览评论转发数量等数据。网络信息服务提供者应当向用户提供网络暴力信息快捷取证等功能，依法依约为用户维权提供便利。　　公安、网信等有关部门依法调取证据的，网络信息服务提供者应当及时提供必要的技术支持和协助。　　第二十六条网络信息服务提供者应当自觉接受社会监督，优化投诉、举报程序，在服务显著位置设置专门的网络暴力信息快捷投诉、举报入口，公布处理流程，及时受理、处理公众投诉、举报并反馈处理结果。　　网络信息服务提供者应当结合投诉、举报内容以及相关证明材料及时研判。对属于网络暴力信息的投诉、举报，应当依法处理并反馈结果；对因证明材料不充分难以准确判断的，应当及时告知用户补充证明材料；对不属于网络暴力信息的投诉、举报，应当按照其他类型投诉、举报的受理要求予以处理并反馈结果。　　第二十七条 网络信息服务提供者应当优先处理涉未成年人网络暴力信息的投诉、举报。发现涉及侵害未成年人用户合法权益的网络暴力信息风险的，应当按照法律法规和本规定要求及时采取措施，提供相应保护救助服务，并向有关部门报告。　　网络信息服务提供者应当设置便利未成年人及其监护人行使通知删除网络暴力信息权利的功能、渠道，接到相关通知后，应当及时采取删除、屏蔽、断开链接等必要的措施，防止信息扩散。第六章 监督管理和法律责任　　第二十八条网信部门会同公安、文化和旅游、广播电视等有关部门依法对网络信息服务提供者的网络暴力信息治理情况进行监督检查。　　网络信息服务提供者对网信部门和有关部门依法实施的监督检查应当予以配合。　　第二十九条网信部门会同公安、文化和旅游、广播电视等有关部门建立健全信息共享、会商通报、取证调证、案件督办等工作机制，协同治理网络暴力信息。　　公安机关对于网信、文化和旅游、广播电视等部门移送的涉网络暴力信息违法犯罪线索，应当及时进行审查，并对符合立案条件的及时立案侦查、调查。　　第三十条违反本规定的，依照《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国治安管理处罚法》、《互联网信息服务管理办法》等法律、行政法规的规定予以处罚。　　法律、行政法规没有规定的，由网信、公安、文化和旅游、广播电视等有关部门依据职责给予警告、通报批评，责令限期改正，可以并处一万元以上十万元以下罚款；涉及危害公民生命健康安全且有严重后果的，并处十万元以上二十万元以下罚款。　　对组织、煽动制作、复制、发布、传播网络暴力信息或者利用网络暴力事件实施恶意营销炒作等行为的组织和个人，应当依法从重处罚。　　第三十一条违反本规定，给他人造成损害的，依法承担民事责任；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。第七章 附 则　　第三十二条本规定所称网络暴力信息，是指通过网络以文本、图像、音频、视频等形式对个人集中发布的，含有侮辱谩骂、造谣诽谤、煽动仇恨、威逼胁迫、侵犯隐私，以及影响身心健康的指责嘲讽、贬低歧视等内容的违法和不良信息。　　第三十三条依法通过网络检举、揭发他人违法犯罪，或者依法实施舆论监督的，不适用本规定。　　第三十四条本规定自2024年8月1日起施行。

　　   　　第 6 号 　　国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合制定了《网络安全审查办法》,现予公布。 　　国家互联网信息办公室主任 庄荣文 　　国家发展和改革委员会主任 何立峰 　　工业和信息化部部长 苗　圩 　　公安部部长 赵克志 　　国家安全部部长 陈文清 　　财政部部长 刘　昆 　　商务部部长 钟　山 　　中国人民银行行长 易　纲 　　国家市场监督管理总局局长 肖亚庆 　　国家广播电视总局局长 聂辰席 　　国家保密局局长 田　静 　　国家密码管理局局长 李兆宗 　　2020年4月13日 　　网络安全审查办法 　　第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。 　　第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 　　第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。 　　第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 　　网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。 　　第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。 　　关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。 　　第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。 　　第七条 运营者申报网络安全审查,应当提交以下材料: 　　(一)申报书; 　　(二)关于影响或可能影响国家安全的分析报告; 　　(三)采购文件、协议、拟签订的合同等; 　　(四)网络安全审查工作需要的其他材料。 　　第八条 网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。 　　第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素: 　　(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; 　　(二)产品和服务供应中断对关键信息基础设施业务连续性的危害; 　　(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; 　　(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况; 　　(五)其他可能危害关键信息基础设施安全和国家安全的因素。 　　第十条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。 　　第十一条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。 　　网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。 　　第十二条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。 　　第十三条 特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。 　　第十四条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 　　第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 　　第十六条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。 　　第十七条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。 　　第十八条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。 　　网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 　　第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 　　第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。 　　本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 　　第二十一条 涉及国家秘密信息的,依照国家有关保密规定执行。 　　第二十二条 本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。

　　国家互联网信息办公室令 　　第5号 　　《网络信息内容生态治理规定》已经国家互联网信息办公室室务会议审议通过,现予公布,自2020年3月1日起施行。 　　主任 庄荣文 　　2019年12月15日 　　网络信息内容生态治理规定 　　第一章　总则 　　第一条　为了营造良好网络生态,保障公民、法人和其他组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《互联网信息服务管理办法》等法律、行政法规,制定本规定。 　　第二条　中华人民共和国境内的网络信息内容生态治理活动,适用本规定。 　　本规定所称网络信息内容生态治理,是指政府、企业、社会、网民等主体,以培育和践行社会主义核心价值观为根本,以网络信息内容为主要治理对象,以建立健全网络综合治理体系、营造清朗的网络空间、建设良好的网络生态为目标,开展的弘扬正能量、处置违法和不良信息等相关活动。 　　第三条　国家网信部门负责统筹协调全国网络信息内容生态治理和相关监督管理工作,各有关主管部门依据各自职责做好网络信息内容生态治理工作。 　　地方网信部门负责统筹协调本行政区域内网络信息内容生态治理和相关监督管理工作,地方各有关主管部门依据各自职责做好本行政区域内网络信息内容生态治理工作。 　　第二章　网络信息内容生产者 　　第四条　网络信息内容生产者应当遵守法律法规,遵循公序良俗,不得损害国家利益、公共利益和他人合法权益。 　　第五条　鼓励网络信息内容生产者制作、复制、发布含有下列内容的信息: 　　(一)宣传习近平新时代中国特色社会主义思想,全面准确生动解读中国特色社会主义道路、理论、制度、文化的; 　　(二)宣传党的理论路线方针政策和中央重大决策部署的; 　　(三)展示经济社会发展亮点,反映人民群众伟大奋斗和火热生活的; 　　(四)弘扬社会主义核心价值观,宣传优秀道德文化和时代精神,充分展现中华民族昂扬向上精神风貌的; 　　(五)有效回应社会关切,解疑释惑,析事明理,有助于引导群众形成共识的; 　　(六)有助于提高中华文化国际影响力,向世界展现真实立体全面的中国的; 　　(七)其他讲品味讲格调讲责任、讴歌真善美、促进团结稳定等的内容。 　　第六条　网络信息内容生产者不得制作、复制、发布含有下列内容的违法信息: 　　(一)反对宪法所确定的基本原则的; 　　(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; 　　(三)损害国家荣誉和利益的; 　　(四)歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉的; 　　(五)宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动的; 　　(六)煽动民族仇恨、民族歧视,破坏民族团结的; 　　(七)破坏国家宗教政策,宣扬邪教和封建迷信的; 　　(八)散布谣言,扰乱经济秩序和社会秩序的; 　　(九)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; 　　(十)侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益的; 　　(十一)法律、行政法规禁止的其他内容。 　　第七条　网络信息内容生产者应当采取措施,防范和抵制制作、复制、发布含有下列内容的不良信息: 　　(一)使用夸张标题,内容与标题严重不符的; 　　(二)炒作绯闻、丑闻、劣迹等的; 　　(三)不当评述自然灾害、重大事故等灾难的; 　　(四)带有性暗示、性挑逗等易使人产生性联想的; 　　(五)展现血腥、惊悚、残忍等致人身心不适的; 　　(六)煽动人群歧视、地域歧视等的; 　　(七)宣扬低俗、庸俗、媚俗内容的; 　　(八)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等的; 　　(九)其他对网络生态造成不良影响的内容。 　　第三章　网络信息内容服务平台 　　第八条　网络信息内容服务平台应当履行信息内容管理主体责任,加强本平台网络信息内容生态治理,培育积极健康、向上向善的网络文化。 　　第九条　网络信息内容服务平台应当建立网络信息内容生态治理机制,制定本平台网络信息内容生态治理细则,健全用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度。 　　网络信息内容服务平台应当设立网络信息内容生态治理负责人,配备与业务范围和服务规模相适应的专业人员,加强培训考核,提升从业人员素质。 　　第十条　网络信息内容服务平台不得传播本规定第六条规定的信息,应当防范和抵制传播本规定第七条规定的信息。 　　网络信息内容服务平台应当加强信息内容的管理,发现本规定第六条、第七条规定的信息的,应当依法立即采取处置措施,保存有关记录,并向有关主管部门报告。 　　第十一条　鼓励网络信息内容服务平台坚持主流价值导向,优化信息推荐机制,加强版面页面生态管理,在下列重点环节(包括服务类型、位置版块等)积极呈现本规定第五条规定的信息: 　　(一)互联网新闻信息服务首页首屏、弹窗和重要新闻信息内容页面等; 　　(二)互联网用户公众账号信息服务精选、热搜等; 　　(三)博客、微博客信息服务热门推荐、榜单类、弹窗及基于地理位置的信息服务版块等; 　　(四)互联网信息搜索服务热搜词、热搜图及默认搜索等; 　　(五)互联网论坛社区服务首页首屏、榜单类、弹窗等; 　　(六)互联网音视频服务首页首屏、发现、精选、榜单类、弹窗等; 　　(七)互联网网址导航服务、浏览器服务、输入法服务首页首屏、榜单类、皮肤、联想词、弹窗等; 　　(八)数字阅读、网络游戏、网络动漫服务首页首屏、精选、榜单类、弹窗等; 　　(九)生活服务、知识服务平台首页首屏、热门推荐、弹窗等; 　　(十)电子商务平台首页首屏、推荐区等; 　　(十一)移动应用商店、移动智能终端预置应用软件和内置信息内容服务首屏、推荐区等; 　　(十二)专门以未成年人为服务对象的网络信息内容专栏、专区和产品等; 　　(十三)其他处于产品或者服务醒目位置、易引起网络信息内容服务使用者关注的重点环节。 　　网络信息内容服务平台不得在以上重点环节呈现本规定第七条规定的信息。 　　第十二条　网络信息内容服务平台采用个性化算法推荐技术推送信息的,应当设置符合本规定第十条、第十一条规定要求的推荐模型,建立健全人工干预和用户自主选择机制。 　　第十三条　鼓励网络信息内容服务平台开发适合未成年人使用的模式,提供适合未成年人使用的网络产品和服务,便利未成年人获取有益身心健康的信息。 　　第十四条　网络信息内容服务平台应当加强对本平台设置的广告位和在本平台展示的广告内容的审核巡查,对发布违法广告的,应当依法予以处理。 　　第十五条　网络信息内容服务平台应当制定并公开管理规则和平台公约,完善用户协议,明确用户相关权利义务,并依法依约履行相应管理职责。 　　网络信息内容服务平台应当建立用户账号信用管理制度,根据用户账号的信用情况提供相应服务。 　　第十六条　网络信息内容服务平台应当在显著位置设置便捷的投诉举报入口,公布投诉举报方式,及时受理处置公众投诉举报并反馈处理结果。 　　第十七条　网络信息内容服务平台应当编制网络信息内容生态治理工作年度报告,年度报告应当包括网络信息内容生态治理工作情况、网络信息内容生态治理负责人履职情况、社会评价情况等内容。 　　第四章　网络信息内容服务使用者 　　第十八条　网络信息内容服务使用者应当文明健康使用网络,按照法律法规的要求和用户协议约定,切实履行相应义务,在以发帖、回复、留言、弹幕等形式参与网络活动时,文明互动,理性表达,不得发布本规定第六条规定的信息,防范和抵制本规定第七条规定的信息。 　　第十九条　网络群组、论坛社区版块建立者和管理者应当履行群组、版块管理责任,依据法律法规、用户协议和平台公约等,规范群组、版块内信息发布等行为。 　　第二十条　鼓励网络信息内容服务使用者积极参与网络信息内容生态治理,通过投诉、举报等方式对网上违法和不良信息进行监督,共同维护良好网络生态。 　　第二十一条　网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用网络和相关信息技术实施侮辱、诽谤、威胁、散布谣言以及侵犯他人隐私等违法行为,损害他人合法权益。 　　第二十二条　网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过发布、删除信息以及其他干预信息呈现的手段侵害他人合法权益或者谋取非法利益。 　　第二十三条　网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用深度学习、虚拟现实等新技术新应用从事法律、行政法规禁止的活动。 　　第二十四条　网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。 　　第二十五条　网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得利用党旗、党徽、国旗、国徽、国歌等代表党和国家形象的标识及内容,或者借国家重大活动、重大纪念日和国家机关及其工作人员名义等,违法违规开展网络商业营销活动。 　　第五章　网络行业组织 　　第二十六条　鼓励行业组织发挥服务指导和桥梁纽带作用,引导会员单位增强社会责任感,唱响主旋律,弘扬正能量,反对违法信息,防范和抵制不良信息。 　　第二十七条　鼓励行业组织建立完善行业自律机制,制定网络信息内容生态治理行业规范和自律公约,建立内容审核标准细则,指导会员单位建立健全服务规范、依法提供网络信息内容服务、接受社会监督。 　　第二十八条　鼓励行业组织开展网络信息内容生态治理教育培训和宣传引导工作,提升会员单位、从业人员治理能力,增强全社会共同参与网络信息内容生态治理意识。 　　第二十九条　鼓励行业组织推动行业信用评价体系建设,依据章程建立行业评议等评价奖惩机制,加大对会员单位的激励和惩戒力度,强化会员单位的守信意识。 　　第六章　监督管理 　　第三十条　各级网信部门会同有关主管部门,建立健全信息共享、会商通报、联合执法、案件督办、信息公开等工作机制,协同开展网络信息内容生态治理工作。 　　第三十一条　各级网信部门对网络信息内容服务平台履行信息内容管理主体责任情况开展监督检查,对存在问题的平台开展专项督查。 　　网络信息内容服务平台对网信部门和有关主管部门依法实施的监督检查,应当予以配合。 　　第三十二条　各级网信部门建立网络信息内容服务平台违法违规行为台账管理制度,并依法依规进行相应处理。 　　第三十三条　各级网信部门建立政府、企业、社会、网民等主体共同参与的监督评价机制,定期对本行政区域内网络信息内容服务平台生态治理情况进行评估。 　　第七章　法律责任 　　第三十四条　网络信息内容生产者违反本规定第六条规定的,网络信息内容服务平台应当依法依约采取警示整改、限制功能、暂停更新、关闭账号等处置措施,及时消除违法信息内容,保存记录并向有关主管部门报告。 　　第三十五条　网络信息内容服务平台违反本规定第十条、第三十一条第二款规定的,由网信等有关主管部门依据职责,按照《中华人民共和国网络安全法》《互联网信息服务管理办法》等法律、行政法规的规定予以处理。 　　第三十六条　网络信息内容服务平台违反本规定第十一条第二款规定的,由设区的市级以上网信部门依据职责进行约谈,给予警告,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,按照有关法律、行政法规的规定予以处理。 　　第三十七条　网络信息内容服务平台违反本规定第九条、第十二条、第十五条、第十六条、第十七条规定的,由设区的市级以上网信部门依据职责进行约谈,给予警告,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,按照有关法律、行政法规的规定予以处理。 　　第三十八条　违反本规定第十四条、第十八条、第十九条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的,由网信等有关主管部门依据职责,按照有关法律、行政法规的规定予以处理。 　　第三十九条　网信部门根据法律、行政法规和国家有关规定,会同有关主管部门建立健全网络信息内容服务严重失信联合惩戒机制,对严重违反本规定的网络信息内容服务平台、网络信息内容生产者和网络信息内容使用者依法依规实施限制从事网络信息服务、网上行为限制、行业禁入等惩戒措施。 　　第四十条　违反本规定,给他人造成损害的,依法承担民事责任;构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由有关主管部门依照有关法律、行政法规的规定予以处罚。 　　第八章　附则 　　第四十一条　本规定所称网络信息内容生产者,是指制作、复制、发布网络信息内容的组织或者个人。 　　本规定所称网络信息内容服务平台,是指提供网络信息内容传播服务的网络信息服务提供者。 　　本规定所称网络信息内容服务使用者,是指使用网络信息内容服务的组织或者个人。 　　第四十二条　本规定自2020年3月1日起施行。

　　国家互联网信息办公室令 　　第4号 　　《儿童个人信息网络保护规定》已经国家互联网信息办公室室务会议审议通过,现予公布,自2019年10月1日起施行。 　　主任 庄荣文 　　2019年8月22日 　　儿童个人信息网络保护规定 　　第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。 　　第二条 本规定所称儿童,是指不满十四周岁的未成年人。 　　第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。 　　第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。 　　第五条 儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。 　　第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。 　　第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。 　　第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。 　　第九条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。 　　第十条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项: 　　(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围; 　　(二)儿童个人信息存储的地点、期限和到期后的处理方式; 　　(三)儿童个人信息的安全保障措施; 　　(四)拒绝的后果; 　　(五)投诉、举报的渠道和方式; 　　(六)更正、删除儿童个人信息的途径和方法; 　　(七)其他应当告知的事项。 　　前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。 　　第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。 　　第十二条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。 　　第十三条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。 　　第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。 　　第十五条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。 　　第十六条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。 　　前款规定的受委托方,应当履行以下义务: 　　(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息; 　　(二)协助网络运营者回应儿童监护人提出的申请; 　　(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈; 　　(四)委托关系解除时及时删除儿童个人信息; 　　(五)不得转委托; 　　(六)其他依法应当履行的儿童个人信息保护义务。 　　第十七条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。 　　第十八条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。 　　第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。 　　第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形: 　　(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的; 　　(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的; 　　(三)儿童监护人撤回同意的; 　　(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。 　　第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。 　　第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。 　　第二十三条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。 　　第二十四条 任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。 　　网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。 　　第二十五条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。 　　第二十六条 违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。 　　第二十七条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 　　第二十八条 通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。 　　第二十九条 本规定自2019年10月1日起施行。

　　国家互联网信息办公室令 　　第3号 　　《区块链信息服务管理规定》已经国家互联网信息办公室室务会议审议通过,现予公布,自2019年2月15日起施行。 　　主任 庄荣文 　　2019年1月10日 　　区块链信息服务管理规定 　　第一条 为了规范区块链信息服务活动,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进区块链技术及相关服务的健康发展,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》和《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》,制定本规定。 　　第二条 在中华人民共和国境内从事区块链信息服务,应当遵守本规定。法律、行政法规另有规定的,遵照其规定。 　　本规定所称区块链信息服务,是指基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。 　　本规定所称区块链信息服务提供者,是指向社会公众提供区块链信息服务的主体或者节点,以及为区块链信息服务的主体提供技术支持的机构或者组织;本规定所称区块链信息服务使用者,是指使用区块链信息服务的组织或者个人。 　　第三条 国家互联网信息办公室依据职责负责全国区块链信息服务的监督管理执法工作。省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内区块链信息服务的监督管理执法工作。 　　第四条 鼓励区块链行业组织加强行业自律,建立健全行业自律制度和行业准则,指导区块链信息服务提供者建立健全服务规范,推动行业信用评价体系建设,督促区块链信息服务提供者依法提供服务、接受社会监督,提高区块链信息服务从业人员的职业素养,促进行业健康有序发展。 　　第五条 区块链信息服务提供者应当落实信息内容安全管理责任,建立健全用户注册、信息审核、应急处置、安全防护等管理制度。 　　第六条 区块链信息服务提供者应当具备与其服务相适应的技术条件,对于法律、行政法规禁止的信息内容,应当具备对其发布、记录、存储、传播的即时和应急处置能力,技术方案应当符合国家相关标准规范。 　　第七条 区块链信息服务提供者应当制定并公开管理规则和平台公约,与区块链信息服务使用者签订服务协议,明确双方权利义务,要求其承诺遵守法律规定和平台公约。 　　第八条 区块链信息服务提供者应当按照《中华人民共和国网络安全法》的规定,对区块链信息服务使用者进行基于组织机构代码、身份证件号码或者移动电话号码等方式的真实身份信息认证。用户不进行真实身份信息认证的,区块链信息服务提供者不得为其提供相关服务。 　　第九条 区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估。 　　第十条 区块链信息服务提供者和使用者不得利用区块链信息服务从事危害国家安全、扰乱社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用区块链信息服务制作、复制、发布、传播法律、行政法规禁止的信息内容。 　　第十一条 区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息,履行备案手续。 　　区块链信息服务提供者变更服务项目、平台网址等事项的,应当在变更之日起五个工作日内办理变更手续。 　　区块链信息服务提供者终止服务的,应当在终止服务三十个工作日前办理注销手续,并作出妥善安排。 　　第十二条 国家和省、自治区、直辖市互联网信息办公室收到备案人提交的备案材料后,材料齐全的,应当在二十个工作日内予以备案,发放备案编号,并通过国家互联网信息办公室区块链信息服务备案管理系统向社会公布备案信息;材料不齐全的,不予备案,在二十个工作日内通知备案人并说明理由。 　　第十三条 完成备案的区块链信息服务提供者应当在其对外提供服务的互联网站、应用程序等的显著位置标明其备案编号。 　　第十四条 国家和省、自治区、直辖市互联网信息办公室对区块链信息服务备案信息实行定期查验,区块链信息服务提供者应当在规定时间内登录区块链信息服务备案管理系统,提供相关信息。 　　第十五条 区块链信息服务提供者提供的区块链信息服务存在信息安全隐患的,应当进行整改,符合法律、行政法规等相关规定和国家相关标准规范后方可继续提供信息服务。 　　第十六条 区块链信息服务提供者应当对违反法律、行政法规规定和服务协议的区块链信息服务使用者,依法依约采取警示、限制功能、关闭账号等处置措施,对违法信息内容及时采取相应的处理措施,防止信息扩散,保存有关记录,并向有关主管部门报告。 　　第十七条 区块链信息服务提供者应当记录区块链信息服务使用者发布内容和日志等信息,记录备份应当保存不少于六个月,并在相关执法部门依法查询时予以提供。 　　第十八条 区块链信息服务提供者应当配合网信部门依法实施的监督检查,并提供必要的技术支持和协助。 　　区块链信息服务提供者应当接受社会监督,设置便捷的投诉举报入口,及时处理公众投诉举报。 　　第十九条 区块链信息服务提供者违反本规定第五条、第六条、第七条、第九条、第十一条第二款、第十三条、第十五条、第十七条、第十八条规定的,由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处五千元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。 　　第二十条 区块链信息服务提供者违反本规定第八条、第十六条规定的,由国家和省、自治区、直辖市互联网信息办公室依据职责,按照《中华人民共和国网络安全法》的规定予以处理。 　　第二十一条 区块链信息服务提供者违反本规定第十条的规定,制作、复制、发布、传播法律、行政法规禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,并处二万元以上三万元以下罚款;构成犯罪的,依法追究刑事责任。 　　区块链信息服务使用者违反本规定第十条的规定,制作、复制、发布、传播法律、行政法规禁止的信息内容的,由国家和省、自治区、直辖市互联网信息办公室依照有关法律、行政法规的规定予以处理。 　　第二十二条 区块链信息服务提供者违反本规定第十一条第一款的规定,未按照本规定履行备案手续或者填报虚假备案信息的,由国家和省、自治区、直辖市互联网信息办公室依据职责责令限期改正;拒不改正或者情节严重的,给予警告,并处一万元以上三万元以下罚款。 　　第二十三条 在本规定公布前从事区块链信息服务的,应当自本规定生效之日起二十个工作日内依照本规定补办有关手续。 　　第二十四条 本规定自2019年2月15日起施行。