一、何为网络安全?
网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
二、网络运营者应当履行哪些安全保护义务?
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
三、符合哪些情形,个人信息处理者方可处理个人信息?
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照《中华人民共和国个人信息保护法》其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
四、有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:
(一)处理目的已实现、无法实现或者为实现处理目的不再必要;
(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;
(三)个人撤回同意;
(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(五)法律、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
五、《中华人民共和国数据安全法》对国家建立数据分类分级保护制度是如何规定的?
国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
六、密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当怎么做?
密码管理部门根据工作需要会同有关部门建立核心密码、普通密码的安全监测预警、安全风险评估、信息通报、重大事项会商和应急处置等协作机制,确保核心密码、普通密码安全管理的协同联动和有序高效。
密码工作机构发现核心密码、普通密码泄密或者影响核心密码、普通密码安全的重大问题、风险隐患的,应当立即采取应对措施,并及时向保密行政管理部门、密码管理部门报告,由保密行政管理部门、密码管理部门会同有关部门组织开展调查、处置,并指导有关密码工作机构及时消除安全隐患。
七、电子商务平台经营者应当要求申请进入平台销售商品或者提供服务的经营者提交哪些信息?
电子商务平台经营者应当要求申请进入平台销售商品或者提供服务的经营者提交其身份、地址、联系方式、行政许可等真实信息,进行核验、登记,建立登记档案,并定期核验更新。
电子商务平台经营者为进入平台销售商品或者提供服务的非经营用户提供服务,应当遵守有关规定。
八、国家对哪些关键信息基础设施实行重点保护?
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
九、根据《网络安全审查办法》,网络安全审查重点评估相关对象或者情形的哪些国家安全风险因素?
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
十、国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取哪些措施?
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
十一、网络安全事件发生的风险增大时,应当采取哪些措施?
网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;
(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。
十二、网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务时,应注意哪些事项?
网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
十三、违反《全国人民代表大会常务委员会关于加强网络信息保护的决定》的单位或者个人会被给予什么处罚?
对于违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布。
构成违反治安管理行为的,依法给予治安管理处罚。构成违法犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
十四、网上的哪些行为会被认定为《刑法》第二百四十六条第一款规定的“捏造事实诽谤他人”?
(一)捏造损害他人名誉事实,在信息网络上散布,或者组织、指使人员在信息网络上散布的;
(二)将信息网络上涉及他人的原始信息内容篡改为损害他人名誉的事实,在信息网络上散布,或者组织、指使人员在信息网络上散布的;
(三)明知是捏造的损害他人名誉的事实,在信息网络上散布,情节恶劣的,以“捏造事实诽谤他人”论。
十五、《网络信息内容生态治理规定》中关于网络信息内容生产者有哪些要求?
(一)网络信息内容生产者应当遵守,遵循公序良俗,不得损害国家利益、公共利益和他人合法权益。
(二)鼓励网络信息内容生产者制作、复制、发布含有下列内容的信息:
1.宣传习近平新时代中国特色社会主义思想,全面准确生动解读中国特色社会主义道路、理论、制度、文化的;
2.宣传党的理论路线方针政策和中央重大决策部署的;
3.展示经济社会发展亮点,反映人民群众伟大奋斗和火热的;
4.弘扬社会主义核心价值观,宣传优秀道德文化和时代精神,充分展现中华民族昂扬向上精神风貌的;
5.有效回应社会关切,解疑释惑,析事明理,有助于引导群众形成共识的;
6.有助于提高中华文化国际影响力,向世界展现真实立体全面的中国的;
7.其他讲品味讲格调讲责任、讴歌真善美、促进团结稳定等的内容。
(三)网络信息内容生产者不得制作、复制、发布含有下列内容的违法信息:
1.反对宪法所确定的基本原则的;
2.危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
3.损害国家荣誉和利益的;
4.歪曲、丑化、亵渎、否定英雄烈士事迹和精神,以侮辱、诽谤或者其他方式侵害英雄烈士的姓名、肖像、名誉、荣誉的;
5.宣扬恐怖主义、极端主义或者煽动实施恐怖活动、极端主义活动的;
6.煽动民族仇恨、民族歧视,破坏民族团结的;
7.破坏国家宗教政策,宣扬邪教和封建迷信的;
8.散布谣言,扰乱经济秩序和社会秩序的;
9.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
10.侮辱或者诽谤他人,侵害他人名誉、隐私和其他合法权益的;
11.法律、行政法规禁止的其他内容。
(四)网络信息内容生产者应当采取措施,防范和抵制制作、复制、发布含有下列内容的不良信息:
1.使用夸张标题,内容与标题严重不符的;
2.炒作绯闻、丑闻、劣迹等的;
3.不当评述自然灾害、重大事故等灾难的;
4.带有性暗示、性挑逗等易使人产生性联想的;
5.展现血腥、惊悚、残忍等致人身心不适的;
6.煽动人群歧视、地域歧视等的;
7.宣扬低俗、庸俗、媚俗内容的;
8.可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等的;
9.其他对网络生态造成不良影响的内容。
十六、利用信息网络诽谤他人,在什么情形下,应当认定为《刑法》第二百四十六条第二款规定的“严重危害社会秩序和国家利益”?
(一)引发群体性事件的;
(二)引发公共秩序混乱的;
(三)引发民族、宗教冲突的;
(四)诽谤多人、造成恶劣社会影响的;
(五)损害国家形象,严重危害国家利益的;
(六)造成恶劣国际影响的;
(七)其他严重危害社会秩序和国家利益的情形;
十七、网上何种行为会被认定为寻衅滋事?
利用信息网络辱骂、恐吓他人,情节恶劣、破坏社会秩序的,依照刑法第二百九十三条第一款第(二)项的规定,以寻衅滋事罪定罪处罚。
编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使他人在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第二百九十三条第一款第(四)项的规定,以寻衅滋事罪定罪处罚。
十八、网上何种行为会被认定为敲诈勒索罪?
以在信息网络上发布、删除等方式处理网络信息为由,威胁、要挟他人,索取公私财物,数额较大,或者多次实施上述行为的,依照刑法第二百七十四条的规定,以敲诈勒索罪定罪处罚。
十九、《计算机信息网络国际联网安全保护管理办法》禁止从事哪些危害计算机信息网络安全的活动?
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
二十、按照《党委(党组)网络安全工作责任制实施办法》的规定,各级党委(党组)主要承担哪些网络安全责任?
(一)认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,贯彻落实网络安全法律法规,明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施;
(二)建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,明确工作机构,加大人力、财力、物力的支持和保障力度;
(三)统一组织领导本地区本部门网络安全保护和重大事件处置工作,研究解决重要问题;
(四)采取有效措施,为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障;
(五)组织开展经常性网络安全宣传教育,采取多种方式培养网络安全人才,支持网络安全技术产业发展。
二十一、移动互联网应用程序提供者的信息安全管理责任是什么?
按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证;
建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意;
建立健全信息内容审核管理机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施,保存记录并向有关主管部门报告;
依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序;
尊重和保护知识产权,不得制作、发布侵犯他人知识产权的应用程序;
记录用户日志信息,并保存六十日。
二十二、根据《移动互联网应用程序信息服务管理规定》,互联网应用商店服务提供者对应用程序提供者的管理责任是什么?
(一)对应用程序提供者进行真实性、安全性、合法性等审核,建立信用管理制度,并向所在地省、自治区、直辖市互联网信息办公室分类备案;
(二)督促应用程序提供者保护用户信息,完整提供应用程序获取和使用用户信息的说明,并向用户呈现;
(三)督促应用程序提供者发布合法信息内容,建立健全安全审核机制,配备与服务规模相适应的专业人员;
(四)督促应用程序提供者发布合法应用程序,尊重和保护应用程序提供者的知识产权。
(五)对违反前款规定的应用程序提供者,视情采取警示、暂停发布、下架应用程序等措施,保存记录并向有关主管部门报告。
二十三、根据《网络安全法》,企业的合规义务是什么?
(一)制定合规的、完善的内部网络安全制度;
(二)落实网络安全岗位及责任人员;
(三)建立网络平台信息内容审查机制;
(四)完善个人信息及隐私保护政策;
(五)建立网络用户实名验证机制;
(六)依法留存用户网络数据;
(七)重要网络产品和服务采购应经安全审查;
(八)个人信息和重要数据跨境转移应经安全评估。
二十四、即时通信工具(如微信、腾讯QQ 等)使用者注册账号时应承诺遵守哪些规定?
国家互联网信息办公室2014 年8 月7 日发布《即时通信工具公众信息服务发展管理暂行规定》,明确要求即时通信工具服务使用者注册账号时,应当与即时通信工具服务提供者签订协议,承诺遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等“七条底线”。
二十五、除哪些情形外,利用网络公开自然人个人隐私造成他人损害的,需承担侵权责任?
《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》明确以下情形除外:
(一)经自然人书面同意且在约定范围内公开。
(二)为促进社会公共利益且在必要范围内。
(三)学校、科研机构等基于公共利益为学术研究或者统计的目的,经自然人书面同意,且公开的方式不足以识别特定自然人。
(四)自然人自行在网络上公开的信息或者其他已合法公开的个人信息。
(五)以合法渠道获取的个人信息。
(六)法律或者行政法规另有规定。
二十六、在互联网信息服务中注册或使用的账号名称不得出现哪些情形?
2015 年2 月4 日,国家互联网信息办公室发布《互联网用户账号名称管理规定》,明确要求任何机构或个人注册和使用的互联网用户账号名称,不得有下列情形:
(一)违反宪法或法律法规规定的。
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的。
(三)损害国家荣誉和利益的,损害公共利益的。
(四)煽动民族仇恨、民族歧视,破坏民族团结的。
(五)破坏国家宗教政策,宣扬邪教和封建迷信的。
(六)散布谣言,扰乱社会秩序,破坏社会稳定的。
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的。
(八)侮辱或者诽谤他人,侵害他人合法权益的。
(九)含有法律、行政法规禁止的其他内容的。
二十七、《互联网新闻信息服务管理规定》所称新闻信息,包括哪些内容?
《互联网新闻信息服务管理规定》所称新闻信息,包括有关政治、经济、军事、外交等社会公共事务的报道、评论,以及有关社会突发事件的报道、评论。
二十八、《互联网新闻信息服务管理规定》关于新闻信息提供者有哪些要求?
(一)互联网新闻信息服务提供者应当设立总编辑,总编辑对互联网新闻信息内容负总责。总编辑人选应当具有相关从业经验,符合相关条件,并报国家或省、自治区、直辖市互联网信息办公室备案。
互联网新闻信息服务相关从业人员应当依法取得相应资质,接受专业培训、考核。互联网新闻信息服务相关从业人员从事新闻采编活动,应当具备新闻采编人员职业资格,持有国家新闻出版广电总局统一颁发的新闻记者证。
(二)互联网新闻信息服务提供者应当健全信息发布审核、公共信息巡查、应急处置等信息安全管理制度,具有安全可控的技术保障措施。
(三)互联网新闻信息服务提供者为用户提供互联网新闻信息传播平台服务,应当按照《中华人民共和国网络安全法》的规定,要求用户提供真实身份信息。用户不提供真实身份信息的,互联网新闻信息服务提供者不得为其提供相关服务。
互联网新闻信息服务提供者对用户身份信息和日志信息负有保密的义务,不得泄露、篡改、毁损,不得出售或非法向他人提供。
互联网新闻信息服务提供者及其从业人员不得通过采编、发布、转载、删除新闻信息,干预新闻信息呈现或搜索结果等手段谋取不正当利益。
(四)互联网新闻信息服务提供者提供互联网新闻信息传播平台服务,应当与在其平台上注册的用户签订协议,明确双方权利义务。
对用户开设公众账号的,互联网新闻信息服务提供者应当审核其账号信息、服务资质、服务范围等信息,并向所在地省、自治区、直辖市互联网信息办公室分类备案。
(五)互联网新闻信息服务提供者转载新闻信息,应当转载中央新闻单位或省、自治区、直辖市直属新闻单位等国家规定范围内的单位发布的新闻信息,注明新闻信息来源、原作者、原标题、编辑真实姓名等,不得歪曲、篡改标题原意和新闻信息内容,并保证新闻信息来源可追溯。
互联网新闻信息服务提供者转载新闻信息,应当遵守著作权相关法律法规的规定,保护著作权人的合法权益。
(六)互联网新闻信息服务提供者和用户不得制作、复制、发布、传播法律、行政法规禁止的信息内容。
互联网新闻信息服务提供者提供服务过程中发现含有违反本规定第三条或前款规定内容的,应当依法立即停止传输该信息、采取消除等处置措施,保存有关记录,并向有关主管部门报告。
(七)互联网新闻信息服务提供者变更主要负责人、总编辑、主管单位、股权结构等影响许可条件的重大事项,应当向原许可机关办理变更手续。
互联网新闻信息服务提供者应用新技术、调整增设具有新闻舆论属性或社会动员能力的应用功能,应当报国家或省、自治区、直辖市互联网信息办公室进行互联网新闻信息服务安全评估。
(八)互联网新闻信息服务提供者应当在明显位置明示互联网新闻信息服务许可证编号。
互联网新闻信息服务提供者应当自觉接受社会监督,建立社会投诉举报渠道,设置便捷的投诉举报入口,及时处理公众投诉举报。
二十九、《计算机信息网络国际联网安全保护管理办法》规定,禁止从事哪些危害计算机信息网络安全的活动?
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的。
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的。
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的。
(四)故意制作、传播计算机病毒等破坏性程序的。
(五)其他危害计算机信息网络安全的。
三十、根据《信息网络传播权保护条例》,通过信息网络提供他人作品,在什么情形下,可以不经著作权人许可,不向其支付报酬:
(一)为介绍、评论某一作品或者说明某一问题,在向公众提供的作品中适当引用已经发表的作品;
(二)为报道时事新闻,在向公众提供的作品中不可避免地再现或者引用已经发表的作品;
(三)为学校课堂教学或者科学研究,向少数教学、科研人员提供少量已经发表的作品;
(四)国家机关为执行公务,在合理范围内向公众提供已经发表的作品;
(五)将中国公民、法人或者其他组织已经发表的、以汉语言文字创作的作品翻译成的少数民族语言文字作品,向中国境内少数民族提供;
(六)不以营利为目的,以盲人能够感知的独特方式向盲人提供已经发表的文字作品;
(七)向公众提供在信息网络上已经发表的关于政治、经济问题的时事性文章;
(八)向公众提供在公众集会上发表的讲话。