湖南省网络安全和信息化条例 （2021 年 12 月 3 日湖南省第十三届人民代表大会常务委员会第二十七次会议通过） 第一章 总 则 第一条 为了保障网络安全，促进信息化发展，提高数字化水平，推进经济社会高质量 发展，根据有关法律、行政法规，结合本省实际，制定本条例。 第二条 本省行政区域内的网络安全保障和信息化促进等活动适用本条例。 第三条 网络安全和信息化工作应当贯彻总体国家安全观，遵循统筹规划、创新引领、 开放共享、保障安全的原则。 第四条 省网络安全和信息化议事协调机构负责研究制定本省网络安全和信息化发展 战略、宏观规划和重大政策，统筹协调本省网络安全和信息化重大事项和重要工作，推进本 省网络安全和信息化法治建设。 第五条 县级以上负责网络安全和信息化工作的部门（以下简称网信部门）负责本行政 区域网络安全和信息化统筹协调、督促落实和相关监督管理工作。 县级以上人民政府工业和信息化、发展改革、科技、公安、财政、政务等部门和国家安 全机关、省通信管理机构按照各自职责做好网络安全和信息化相关工作。 第六条 县级以上人民政府应当将网络安全和信息化发展纳入国民经济和社会发展规 划，安排网络安全和信息化专项资金，引导和支持社会资金投资网络安全和信息化建设。 鼓励企业、科研机构、高等院校、行业组织和个人参与网络安全共同治理与信息化发展 工作。 第七条 县级以上网信部门应当根据上一级网络安全和信息化发展规划以及本行政区 域国民经济和社会发展规划，编制本行政区域网络安全和信息化发展规划，经本级人民政府 批准后发布实施，并报上一级网信部门备案。 县级以上人民政府有关部门应当根据实际需要，编制本系统、本部门的网络安全和信息 化专项规划，并与本行政区域网络安全和信息化发展规划相衔接。 第八条 编制网络安全和信息化发展规划、专项规划，应当组织专家论证，广泛征求意 见，坚持安全可控、合理前瞻、科学布局、绿色集约、开放共享的原则，防止重复建设和资 源浪费。 第九条 省人民政府标准化部门应当会同有关部门制定完善本省网络安全和信息化地 方标准并监督实施。 鼓励有关单位参与制定修订网络安全和信息化国际标准、国家标准、行业标准、地方标 准，自主制定高于国家强制性标准的团体标准、企业标准。 第十条 县级以上人民政府应当加强网信人才的培养和引进。 省人民政府及其有关部门应当支持高等院校建设计算机科学与技术、网络空间安全、集 成电路科学与工程等学科，建设重点网络安全和信息化研究基地，支持建设国家一流网络安 全学院和网信人才培养基地，加强高等院校与实务部门的人才交流。 省人民政府人力资源和社会保障部门应当会同有关部门，建立健全网信人才职称评价制 度和职称评聘制度。 第十一条 县级以上人民政府应当组织有关部门、教育机构、公众传媒、村（居）民委 员会开展网络安全和信息化宣传活动，提高全社会网络安全意识和信息技术应用能力。 县级以上人民政府及其有关部门应当将网络安全教育和信息化内容纳入国家工作人员 培训和普法考核，普及中小学信息技术教育，发展信息技术职业教育。 第十二条 县级以上人民政府应当将网络安全和信息化工作纳入经济社会发展考核体 系，建立绩效评估指标，对本行政区域各部门和下级人民政府进行网络安全和信息化工作考 核。 第二章 网络安全保障 第十三条 县级以上人民政府及其有关部门应当按照谁主管谁负责、属地管理原则，落 实网络安全责任制，建立健全网络安全保障体系，提升网络安全保护能力,实现网络、关键 信息基础设施、重要信息系统和数据的安全可控。 第十四条 县级以上网信、工业和信息化、公安、保密、密码管理等部门和国家安全机 关、省通信管理机构依照有关法律、行政法规的规定，在各自职责范围内负责网络安全、数 据安全、个人信息保护和相关监督管理工作。 第十五条 省人民政府对本省行政区域内未列入关键信息基础设施的重要信息系统，在 网络安全等级保护制度的基础上，实行重点保护。 重要信息系统的具体范围和识别指南由省网信部门会同公安等部门制定。 第十六条 重要信息系统的行业主管或者监督管理部门指导和监督本行业、本领域的重 要信息系统运行安全保护工作，负责编制和组织实施本行业、本领域重要信息系统安全规划， 建立健全网络安全监测预警和网络安全事件应急预案，定期组织开展网络安全检查监测、应 急演练，对重要信息系统进行识别并向省网信部门、公安机关报送识别结果。 第十七条 重要信息系统运营者应当履行下列安全保护义务： （一）明确专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行 安全背景审查； （二）对从业人员进行网络安全教育、职业道德教育和技术培训； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）法律、行政法规规定的其他义务。 第十八条 重要信息系统运营者应当采购安全可信的网络硬件、软件产品和服务，并与 网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任。 第十九条 省和设区的市、自治州网信部门应当统筹协调有关部门对重要信息系统的安 全保护采取下列措施： （一）建立网络安全信息共享机制，促进有关部门、运营者以及网络安全服务机构等之 间的网络安全信息共享； （二）对重要信息系统安全风险进行抽查检测，提出改进措施，必要时可以委托网络安 全服务机构对网络存在的安全风险进行检测评估； （三）定期组织重要信息系统运营者进行网络安全应急演练； （四）对网络安全事件应急处置与网络功能的恢复等，提供技术支持和协助。 第二十条 县级以上网信部门应当建立本行政区域网络安全监测预警和信息通报制度， 统筹协调有关部门定期开展网络安全检查，加强网络安全信息收集、分析和通报工作，协调 有关部门建立健全风险评估和网络安全应急工作机制，制定网络安全事件应急预案，组织网 络安全应急演练。 第二十一条 发生网络安全事件或者接到预警信息后，有关单位应当立即启动应急预案， 及时处置、消除隐患。发生较大以上网络安全事件，有关单位应当及时向同级网信、公安部 门报告。 省和设区的市、自治州网信部门会同有关部门对发生的较大以上网络安全事件开展调查。 能源、电信、交通等行业应当为网络安全事件应急处置与网络功能恢复提供电力供应、 网络通信、交通运输等方面的重点保障和支持。 第二十二条 县级以上网信部门和有关部门依法履行网络信息安全监督管理职责，发现 法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处 置措施，防止信息扩散，保存有关记录。 第二十三条 网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁 止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散， 保存有关记录，并向网信、公安、通信等有关部门报告。 第二十四条 网络运营者应用算法推荐技术提供互联网信息服务，应当落实算法安全主 体责任，建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测等管理制度， 不得利用算法推荐服务传播法律、行政法规禁止的信息，不得设置诱导用户沉迷或者高额消 费等违背公序良俗的算法模型。 第二十五条 省人民政府有关部门应当按照国家数据分类分级保护要求制定数据分类 分级指南，对本部门以及相关行业、领域的数据进行分类分级管理。 省人民政府有关部门应当按照国家有关要求和标准，组织制定本部门以及相关行业、领 域重要数据目录，对列入目录的数据进行重点保护。 本条例所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能 危害国家安全、公共利益的数据。 第二十六条 网络运营者开展数据处理活动应当按照网络安全等级保护制度的要求，履 行下列数据安全保护义务： （一）建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技 术措施和其他必要措施，保障数据安全； （二）加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发 生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向网信、公安等有关 部门报告； （三）法律、行政法规规定的其他义务。 第二十七条 开展重要数据处理的网络运营者应当明确数据安全负责人和管理机构，制 定实施数据安全保护方案和数据安全事件应急预案，自行或者委托数据安全服务机构每年开 展一次数据安全风险评估，并向网信、公安等有关部门报送风险评估报告。 第二十八条 实施数据收集、存储、加工、使用、提供、交易、公开等活动，有关单位 和个人应当落实数据安全保护责任，采取必要措施确保数据安全，不得实施以下行为： （一）窃取或者以其他非法方式获取数据； （二）泄露或者篡改收集、存储的个人数据； （三）未经相关权利人同意，向他人出售或者提供个人数据； （四）违反法律、行政法规或者约定的其他数据活动。 因数据开发利用需要，在合法收集个人数据后应当进行去标识化处理，并确保无法识别 到特定个人。但是，依法需要信息溯源的除外。 第二十九条 为应对紧急状态或者重大突发事件，需要收集、交换、共享个人数据的， 由突发事件处置部门按照有关法律法规处理，不得用于与应对紧急状态或者重大突发事件无 关的目的。 第三十条 互联网公众账号信息服务平台应当履行信息内容和公众账号管理主体责任， 配备与业务规模相适应的管理人员和技术能力，明确内容安全负责人岗位，建立健全并严格 落实账号注册、信息内容安全、应急处置等管理制度。 互联网公众账号生产运营者应当履行信息内容生产和公众账号运营管理主体责任，建立 健全全过程信息内容安全审核机制，维护网络传播秩序。 第三十一条 县级以上网信部门依法对互联网用户公众账号信息服务进行监督管理，管 辖范围包括公众账号信息服务平台的工商登记地、主营业地，以及公众账号生产运营者的账 号注册地、账号实际运营地位于本行政区域的所有信息服务提供者。 互联网用户公众账号生产运营者的账号注册地、账号实际运营地不一致的，按照相关规 定处理。 第三十二条 县级以上网信部门统筹协调有关部门完善个人信息保护投诉、举报工作机 制，接受、处理与个人信息保护有关的投诉、举报，开展个人信息保护宣传教育，指导、监 督个人信息处理者开展个人信息保护工作，组织对应用程序等个人信息保护情况进行测评， 调查、处理违法个人信息处理活动，支持有关机构开展个人信息保护评估、认证服务。 第三十三条 县级以上网信部门以及有关部门在履行网络安全和信息化监督管理职责 中，发现网络或者数据处理活动存在较大安全风险或者可能发生安全事件的，可以按照法定 的权限和程序对有关单位和个人进行约谈，指出存在的问题，提出整改要求。被约谈的单位 和个人应当及时整改。 第三章 信