《互联网安全保护技术措施规定》

将于2006年3月1日起实施

2005年11月24日，《互联网安全保护技术措施规定》（以下简称“规定”）已经公安部部长办公会审议通过，于12月13日正式颁布，并将于2006年3月1日起实施。

《规定》是与《计算机信息网络国际联网安全保护管理办法》（以下简称“管理办法”）配套的一部部门规章。《规定》从保障和促进我国互联网发展出发，根据《管理办法》的有关规定，对互联网服务单位和联网单位落实安全保护技术措施提出了明确、具体和可操作性的要求，保证了安全保护技术措施的科学、合理和有效的实施，有利于加强和规范互联网安全保护工作，提高互联网服务单位和联网单位的安全防范能力和水平，预防和制止网上违法犯罪活动。《规定》的颁布对于保障我国互联网安全将起到促进作用。

一、制定《规定》的必要性

随着我国互联网的发展和普及，互联网安全问题日益突现。目前，我国互联网上网用户已经突破1亿人，成为世界上第二大互联网用户国。网上论坛、电子邮件、网上短消息、网络游戏、电子商务和搜索引擎等网上服务已经成为人民群众工作学习、生活娱乐的重要工具，互联网在经济社会发展中的作用越来越突出。与此同时，互联网上淫秽色情、赌博等有害信息传播、垃圾电子邮件和垃圾短信息泛滥，计算机病毒传播和网络攻击破坏频繁发生，网上违法犯罪活动不断增多，严重危害了上网用户的合法权益和互联网服务单位的正常运营，人民群众反映强烈，对我国互联网的发展带来严重的负面影响。据统计，2000年我国互联网违法犯罪案件2700起,2004年达到1.4万起，并且还保持着较快的增长态势。网上淫秽色情、赌博和诈骗活动已经成为网上多发性违法犯罪案件，仅今年以来公安机关就依法关闭境内淫秽色情和赌博网站1800余个。近年来，公安机关的调查表明，每年我国有半数以上的联网单位发生各种信息网络安全事件，联网用户计算机病毒的感染率持续在80%以上的较高水平。同时，我国也已经成为国际上互联网垃圾电子邮件接收和发送大国，据有关单位统计，国内用户平均每天收到的垃圾电子邮件达到6000余万封。

有效防范打击网上违法犯罪和治理各种有害垃圾信息，需要“打防结合”，动员社会各界力量开展综合治理。当前，在防范打击和治理工作中，安全技术保护措施滞后和不落实的问题比较突出。目前，我国联网单位防范网络攻击和计算机病毒传播的安全保护技术措施使用率仅有25%左右，加上缺乏必要的管理维护，一些措施形同虚设。2004年，公安机关侦办的一起“僵尸网络”入侵案件中，犯罪嫌疑人利用一些联网单位安全保护技术措施不落实的漏洞，在一年时间内入侵并控制了国内6万余台联网主机。此外，因安全保护技术措施不落实造成的用户资料信息和帐号密码泄露等案、事件频繁发生，给上网用户和互联网服务单位造成了很大损失，也严重影响了电子商务等互联网应用服务的发展。

落实安全保护技术措施是有效防范、打击网上违法犯罪活动和治理网上有害信息的重要保障。1997年，经国务院批准、公安部颁布实施的《计算机信息网络国际联网安全保护管理办法》第十条明确规定，互联网服务单位和联网使用单位应当落实安全保护技术措施，保障本网络和运行安全和信息安全。但是，限于当时我国互联网发展和应用水平，对于互联网安全保护技术措施缺乏明确、具体的规定和要求，在实践中难以执行和落实。为了尽快改变互联网服务单位和联网单位安全保护技术措施滞后，不适应当前互联网安全保护工作要求的现状，使安全保护技术措施更加科学、合理、有效，公安部在广泛征求互联网服务单位、联网单位、相关专家和政府有关部门意见的基础上，制定、颁布了《互联网安全保护技术措施规定》。

二、《规定》的主要内容

《规定》包括立法宗旨、适用范围、互联网服务单位和联网使用单位及公安机关的法律责任、安全保护技术措施要求、措施落实与监督和相关名词术语解释等六个方面的内容，共19条2000余字。主要内容：

（一）明确了互联网安全保护技术措施是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术手段，并且规定了互联网安全保护技术措施负责落实的责任主体是互联网服务提供者和联网使用单位，负责实施监督管理工作的责任主体是各级公安机关公共信息网络安全监察部门。

（二）强调了互联网服务单位和联网使用单位要建立安全保护措施管理制度，保障安全保护技术措施的实施不得侵犯用户的通信自由和通信秘密，除法律和行政法规规定外，任何单位和个人未经用户同意不得泄露和公开用户注册信息。

（三）规定了互联网服务单位和联网使用单位应当落实的基本安全保护技术措施，并分别针对互联网接入服务单位、互联网信息服务单位、互联网数据中心服务单位和互联网上网服务单位规定了各自应当落实的安全保护技术措施。安全保护技术措施主要包括：防范计算机病毒、防范网络入侵攻击和防范有害垃圾信息传播，以及系统运行和用户上网登录时间和网络地址记录留存等技术措施要求。

（四）为了保证安全保护技术措施的科学合理和统一规范，规定安全保护技术措施应当符合国家标准，没有国家标准的应当符合公共安全行业标准。为了及时发现报警和预警防范网上计算机病毒、网络攻击和有害信息传播，规定了安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。

（五）为保证安全保护技术措施的正常运行，《规定》明确了互联网服务单位和联网单位不得实施故意破坏安全保护技术措施、擅自改变措施功能和擅自删除、篡改措施运行记录等行为。同时，《规定》作为《管理办法》的完善和补充，不再设立新的罚则，对违反《规定》的行为将依照《管理办法》第二十一条的规定予以处罚。

（六）明确了公安机关监督管理责任和规范了公安机关监督检查行为。《规定》明确公安机关应当依法对辖区内互联网服务单位和联网使用单位安全保护技术措施落实情况进行指导、监督和检查。同时规定，公安机关在依法监督检查时，监督检查人员不得少于2人，并应当出示执法身份证件，互联网服务单位、联网单位应当派人参加。

三、认真学习、宣传和贯彻《规定》

《规定》的颁布实施有利于加强和规范互联网安全技术防范工作，保护互联网服务单位、联网使用单位和广大网民合法权益，维护国家安全、社会秩序和公共利益，促进互联网健康有序发展。《规定》的贯彻实施需要公安机关、政府有关部门、互联网服务单位、联网使用单位和社会各界的广泛支持和参与。《规定》经公安部部长办公会审议通过后，公安部公共信息网络安全监察部门立即下发通知，要求各级公安机关网监部门认真学习贯彻，落实互联网安全监督责任，强化服务意识，指导相关单位结合本地本单位实际情况，采取科学、合理、有效的安全保护技术措施，做好网上违法犯罪和有害信息传播的报警受理和预警防范工作。要求各级公安机关网监民警要熟练把握《规定》的具体内容，准确运用《规定》，牢固树立执法为民的思想，提高工作效率和执法水平，为促进社会信息化建设和互联网健康有序发展服务。同时，要通过广泛深入的宣传工作，使互联网服务单位和联网使用单位准确理解和把握《规定》的具体要求，提高履行法定义务和责任的自觉性，按照“谁主管谁负责、谁运营谁负责”的原则，认真落实安全保护技术措施要求，促进互联网健康有序的发展。

中华人民共和国公安部令

第82号

《互联网安全保护技术措施规定》已经2005年11月23日公安部部长办公会议通过，现予发布，自2006年平3月1日起施行。

公安部部长 周永康

二〇〇五年十二月十三日

互联网安全保护技术措施规定

第一条 为加强和规范互联网安全技术防范工作，保障互联网网络安全和信息安全，促进互联网健康、有序发展，维护国家安全、社会秩序和公共利益，根据《计算机信息网络国际联网安全保护管理办法》，制定本规定。

第二条 本规定所称互联网安全保护技术措施，是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。

第三条 互联网服务提供者、联网使用单位负责落实互联网安全保护技术措施，并保障互联网安全保护技术措施功能的正常发挥。

第四条 互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、法规另有规定的除外。

互联网服务提供者、联网使用单位应当依法使用互联网安全保护技术措施，不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密。

第五条 公安机关公共信息网络安全监察部门负责对互联网安全保护技术措施的落实情况依法实施监督管理。

第六条 互联网安全保护技术措施应当符合国家标准。没有国家标准的，应当符合公共安全行业技术标准。

第七条 互联网服务提供者和联网使用单位应当落实以下互联网安全保护技术措施：

（一）防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施；

（二）重要数据库和系统主要设备的冗灾备份措施；

（三）记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施；

（四）法律、法规和规章规定应当落实的其他安全保护技术措施。

第八条 提供互联网接入服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：

（一）记录并留存用户注册信息；

（二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；

（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。

第九条 提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：

（一）在公共信息服务中发现、停止传输违法信息，并保留相关记录；

（二）提供新闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间；

（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复；

（四）开办电子公告服务的，具有用户注册信息和发布信息审计功能；

（五）开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。

第十条 提供互联网数据中心服务的单位和联网使用单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：

（一）记录并留存用户注册信息；

（二）在公共信息服务中发现、停止传输违法信息，并保留相关记录；

（三）联网使用单位使用内部网络地址与互联网网络地址转换方式向用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系。

第十一条 提供互联网上网服务的单位，除落实本规定第七条规定的互联网安全保护技术措施外，还应当安装并运行互联网公共上网服务场所安全管理系统。

第十二条 互联网服务提供者依照本规定采取的互联网安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。

第十三条 互联网服务提供者和联网使用单位依照本规定落实的记录留存技术措施，应当具有至少保存六十天记录备份的功能。

第十四条 互联网服务提供者和联网使用单位不得实施下列破坏互联网安全保护技术措施的行为：

（一）擅自停止或者部分停止安全保护技术设施、技术手段运行；

（二）故意破坏安全保护技术设施；

（三）擅自删除、篡改安全保护技术设施、技术手段运行程序和记录；

（四）擅自改变安全保护技术措施的用途和范围；

（五）其他故意破坏安全保护技术措施或者妨碍其功能正常发挥的行为。

第十五条 违反本规定第七条至第十四条规定的，由公安机关依照《计算机信息网络国际联网安全保护管理办法》第二十一条的规定予以处罚。

第十六条 公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查。

公安机关在依法监督检查时，互联网服务提供者、联网使用单位应当派人参加。公安机关对监督检查发现的问题，应当提出改进意见，通知互联网服务提供者、联网使用单位及时整改。

公安机关在监督检查时，监督检查人员不得少于二人，并应当出示执法身份证件。

第十七条 公安机关及其工作人员违反本规定，有滥用职权，徇私舞弊行为的，对直接负责的主管人员和其他直接责任人员依法给予行政处分；构成犯罪的，依法追究刑事责任。

第十八条 本规定所称互联网服务提供者，是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位。

本规定所称联网使用单位，是指为本单位应用需要连接并使用互联网的单位。

本规定所称提供互联网数据中心服务的单位，是指提供主机托管、租赁和虚拟空间租用等服务的单位。

第十九条 本规定自2006年3月1日起施行。