河南省网络安全条例 （2022 年 11 月 26 日河南省第十三届人民代表大会常务委 员会第三十六次会议通过） 第一章 总则 第一条 为了保障网络安全，维护国家安全和社会公共利 益，保护自然人、法人和非法人组织的合法权益，促进经济 社会高质量发展，根据《中华人民共和国网络安全法》《中 华人民共和国数据安全法》《中华人民共和国个人信息保护 法》等有关法律、行政法规，结合本省实际，制定本条例。 第二条 本省行政区域内网络安全的建设、保障、监管， 以及网络使用、网络数据处理等活动，适用本条例。 涉密网络及其数据的安全保护，按照国家法律、行政法 规的规定执行。 第三条 网络安全工作应当贯彻总体国家安全观，坚持网 络安全与信息化发展并重，遵循统筹规划、综合治理、科学 发展、确保安全的原则。 第四条 县级以上人民政府应当将网络安全纳入国民经 济和社会发展规划，加大对网络安全建设维护的投入，建立 健全网络安全机构，加强网络安全执法队伍建设，完善网络 安全工作综合协调机制，解决网络安全重大问题，提升网络 安全保障能力。 第五条 县级以上网信部门是网络安全工作的主管部门， 负责统筹协调网络安全工作和相关监督管理工作。 县级以上工业和信息化、公安、保密管理、密码管理部 门和国家安全机关、省电信管理机构等，应当在各自职责范 围内负责网络安全保护和监督管理工作。 第六条 网络相关行业组织应当按照章程，加强行业自律， 指导会员落实国家网络安全制度，加强网络安全保护，促进 行业健康发展。 第七条 网络运营者、网络数据处理者和个人信息处理者 应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德 和职业道德，诚实守信，履行网络安全保护义务，承担社会 责任，接受政府和社会监督。 第八条 任何个人或者组织使用网络不得违反法律、法规， 不得危害网络安全，不得利用网络危害国家安全和社会公共 利益，不得利用网络扰乱经济秩序和社会秩序，不得利用网 络侵害他人合法权益。 任何个人或者组织对危害网络安全的行为，有权投诉、 举报。收到投诉、举报的部门应当及时处理。 第九条 国家机关、人民团体、企业事业单位、新闻媒体 应当以社会主义核心价值观为导向，倡导健康文明的网络行 为，引导全社会依法办网、文明上网、安全用网，提高网络 安全防范意识，营造共同维护网络安全的良好环境。 第十条 县级以上人民政府应当对在网络安全工作中做 出突出贡献的个人和组织，按照有关规定给予表彰和奖励。 第二章 网络安全建设 第十一条 县级以上网信部门应当会同有关部门，根据上 级网络安全规划以及本行政区域国民经济和社会发展规划， 编制网络安全规划，报同级网络安全和信息化委员会同意后 实施，并报上一级网信部门备案。 第十二条 省人民政府标准化部门和省网信、行政审批政 务信息管理等部门应当根据各自职责，组织网络安全标准的 宣传、推广和应用。 鼓励高等院校、科研机构、企业、行业组织等参与网络 安全国家标准、行业标准的制定工作。 第十三条 县级以上人民政府应当安排网络安全专项资 金，扶持重点网络安全技术产业和项目。 省人民政府设立的互联网产业发展基金，应当支持网络 安全建设运营。 鼓励金融机构支持网络安全技术创新和产业发展。 第十四条 省人民政府及有关部门应当支持省实验室和 省级以上工程技术研究中心、技术创新中心、重点实验室等， 开展网络安全技术研究，加强网络安全平台建设。 鼓励和支持高等院校、科研机构、企业参与网络安全技 术创新项目和网络安全平台建设。 第十五条 省人民政府应当支持网络安全技术的研发和 应用，重点支持安全芯片设计制造、网络安全态势感知、网 络安全自主防御等关键技术攻关；推动网络安全技术产品升 级，支持新技术在网络安全领域的应用，推广安全可信的网 络产品和服务。 省人民政府及有关部门应当支持网络安全相关企业、高 等院校、科研机构协同开展关键技术攻关，引导网络安全产 业集聚，推动网络安全技术应用与网络安全产业融合发展。 第十六条 省人民政府及有关部门应当指导支持高等院 校、职业学校开设网络安全相关专业、课程，建设国家一流 网络安全学院；鼓励高等院校、科研机构与企业共建网络安 全实训基地，加强人才交流。 县级以上人民政府及有关部门应当将网络安全高层次、 高技能以及紧缺人才纳入人才体系，在住房、职称评定以及 配偶就业、子女入学等方面提供支持。 第十七条 县级以上人民政府及有关部门应当组织开展 经常性网络安全宣传教育活动，指导支持教育机构、大众传 媒、行业组织、专业机构等做好网络安全宣传工作，提高全 社会网络安全意识和防护能力。 国家机关、人民团体、企业事业单位应当建立健全网络 安全培训制度。鼓励社会力量、网络安全企业开展网络安全 培训。 县级以上人民政府教育部门、学校应当加强青少年网络 安全教育，推进网络安全知识技能进校园、进课堂，增强青 少年网络安全意识。 第十八条 省、设区的市人民政府应当推进网络安全社会 化服务体系建设。 鼓励支持符合条件的企业、机构依法开展网络安全规划 咨询、安全集成、安全认证、产品检测、风险评估、应急响 应、容灾备份等网络安全服务。 第三章 网络安全保障 第十九条 县级以上网信、公安等有关部门应当指导督促 网络运营者落实关键信息基础设施安全保护、网络安全等级 保护、数据安全保护、个人信息保护、密码应用安全性评估、 云计算服务安全评估、网络信息安全投诉举报等制度，落实 相关国家标准的强制性要求，制定网络安全事件应急预案。 第二十条 本省对国家关键信息基础设施按照有关法律、 行政法规，予以重点保护。 县级以上人民政府应当在网络安全等级保护制度的基 础上，对本行政区域内未列入国家关键信息基础设施的重要 信息系统加强保护。重要信息系统的范围和识别指南由省网 信部门会同公安等部门制定。省人民政府行业主管部门负责 制定本行业、本领域的重要信息系统认定规则，根据认定规 则识别本行业、本领域的重要信息系统，通知网络运营者， 并向省网信、公安部门报送识别结果。 第二十一条 网信部门应当统筹协调有关部门建立重要 信息系统网络安全信息共享机制，会同行业主管部门检查、 检测重要信息系统安全风险，对重要信息系统领域的网络安 全事件应急处置与网络功能恢复等，提供技术支持和指导。 行业主管部门负责指导和监督本行业、本领域重要信息 系统安全保护工作，建立健全网络安全监测预警机制和网络 安全事件应急预案，定期组织开展网络安全检查监测、应急 演练。 第二十二条 重要信息系统建设应当确保具有支持业务 稳定、持续运行的性能；网络安全技术措施应当与重要信息 系统同步规划、同步设计、同步建设、同步验收、同步使用， 确保网络安全、数据安全和信息安全。 第二十三条 重要信息系统运营者应当履行下列安全保 护义务： （一）建立健全网络安全管理制度，明确安全管理负责 人； （二）对重要信息系统设计、建设、运行、维护等服务 实施安全管理； （三）对重要信息系统和数据库采取容灾备份和加密等 措施； （四）编制网络安全事件应急预案，定期开展应急演练； （五）法律、法规规定的其他义务。重要信息系统运营 者应当履行网络安全保护主体责任。运营者采购网络产品和 服务，应当按照规定与提供者签订协议，明确提供者的技术 支持、网络安全运行维护和安全保密责任，并对其履行监督 责任。 第二十四条 省人民政府有关部门应当根据国家数据分 类分级保护制度要求，对本行业、本领域的网络数据实行分 类分级管理，确定本行业、本领域重要数据具体目录，对列 入目录的网络数据进行重点保护。 省人民政府行业主管部门确定的重要数据具体目录应 当报省网信部门备案。省网信部门应当及时和公安、国家安 全等有关部门共享备案信息。 第二十五条 网络数据处理者开展网络数据处理活动应 当履行下列安全保护义务： （一）制定管理制度和操作规程，合理确定网络数据处 理的操作权限； （二）采取安全技术措施和其他必要措施保障网络数据 安全以及网络数据处理系统、存储环境等安全； （三）加强风险监测，发现存在网络数据安全缺陷、漏 洞时，应当立即采取补救措施； （四）发生网络数据安全事件时，应当立即采取处置措 施，及时告知利害关系人，并按照规定向设区的市级以上行 业主管部门和网信、公安部门报告； （五）法律、法规规定的其他义务。 第二十六条 网络运营者应当加强对用户发布信息内容 的管理，建立健全用户注册、信息发布审核机制，发现法律、 行政法规禁止发布或者传输的信息，应当立即停止传输，采 取消除等处置措施，防止信息扩散，保存有关记录，并向属 地网信、公安等有关部门报告。 网络运营者应用算法推荐技术提供互联网信息服务，应 当履行算法安全主体责任，不得利用算法推荐服务传播法律、 行政法规禁止的信息，不得设置违反法律、行政法规或者违 背公序良俗、公平竞争的算法模型。 第二十七条 提供平台服务的网络运营者应当建立保障 数据安全的平台规则和隐私保护制度，不得损害公平竞争， 不得侵害用户合法权益。 第二十八条 任何个人或者组织应当对其使用网络的行 为负责，在网络上发布信息应当遵守法律法规、社会公德和 公序良俗，不得利用网络制作、发布、传播法律、行政法规 禁止发布或者传输的信息。 第二十九条 利用网络收集、使用个人信息，应当遵循合 法、正当、必要和诚信等原则，明示收集、使用信息的目的、 方式和范围等事项，履行告知义务，并取得本人或者监护人 同意；法律、行政法规另有规定的除外。 处理的个人信息应当为履行法定职责或者提供服务、产 品所必需，不得过度收集个人信息；不得因个人不同意提供 非必需的个人信息，拒绝提供服务或者产品。 第三十条 利用网络处理个人信息应当采取下列措施，确 保个人信息处理活动符合法律、行政法规的规定： （一）制定管理制度和操作规程； （二）对个人信息实行分类管理； （三）采取相应的加密、去标识化、匿名化等安全技术 措施； （四）发生个人信息泄露、篡改、丢失的，应当立即采 取补救措施，通知当事人，并向设区的市级以上行业主管部 门和网信、公安部门报告； （五）法律、行政法规规定的其他措施。 第三十一条 任何个人或者组织不得非法侵入、干扰、攻 击、破坏网络，不得实施窃取、泄露、篡改以及非法获取、 公开、交易网络数据等危害网络安全的行为。 第四章 网络安全监管 第三十二条 县级以上网信部门和有关部门依法在各自 职责范围内负责网络运行安全、网络数据安全、网络信息安 全工作。 第三十三条 县级以上网信部门负责统筹协调本行政区 域内网络安全保障体系建设、网络安全监测预警和应急处置 工作；统筹协调关键信息基础设施和重要信息系统安全保护、 网络数据和个人信息安全保护工作；依法组织开展网络运行 安全、网络数据安全、网络信息安全的监督管理和执法工作。 县级以上网信部门根据需要，可以会同有关部