湖南省网络安全和信息化条例 （2021年12月3日湖南省第十三届人民代表大会 常务委员会第二十七次会议通过） 第一章总则 第一条为了保障网络安全，促进信息化发展，提高数字化水平，推进经济社会高质量发 展，根据有关法律、行政法规，结合本省实际，制定本条例。 第二条本省行政区域内的网络安全保障和信息化促进等活动适用本条例。 第三条网络安全和信息化工作应当贯彻总体国家安全观，遵循统筹规划、创新引领、开 放共享、保障安全的原则。 第四条省网络安全和信息化议事协调机构负责研究制定本省网络安全和信息化发展战 略、宏观规划和重大政策，统筹协调本省网络安全和信息化重大事项和重要工作，推进本省 网络安全和信息化法治建设。 第五条县级以上负责网络安全和信息化工作的部门（以下简称网信部门）负责本行政区 域网络安全和信息化统筹协调、督促落实和相关监督管理工作。 县级以上人民政府工业和信息化、发展改革、科技、公安、财政、政务等部门和国家安 全机关、省通信管理机构按照各自职责做好网络安全和信息化相关工作。 第六条县级以上人民政府应当将网络安全和信息化发展纳入国民经济和社会发展规划， 安排网络安全和信息化专项资金，引导和支持社会资金投资网络安全和信息化建设。鼓励企业、科研机构、高等院校、行业组织和个人参与网络安全共同治理与信息化发展 工作。 第七条县级以上网信部门应当根据上一级网络安全和信息化发展规划以及本行政区域 国民经济和社会发展规划，编制本行政区域网络安全和信息化发展规划，经本级人民政府批 准后发布实施，并报上一级网信部门备案。 县级以上人民政府有关部门应当根据实际需要，编制本系统、本部门的网络安全和信息 化专项规划，并与本行政区域网络安全和信息化发展规划相衔接。 第八条编制网络安全和信息化发展规划、专项规划，应当组织专家论证，广泛征求意见， 坚持安全可控、合理前瞻、科学布局、绿色集约、开放共享的原则，防止重复建设和资源浪 费。 第九条省人民政府标准化部门应当会同有关部门制定完善本省网络安全和信息化地方 标准并监督实施。 鼓励有关单位参与制定修订网络安全和信息化国际标准、国家标准、行业标准、地方标 准，自主制定高于国家强制性标准的团体标准、企业标准。 第十条县级以上人民政府应当加强网信人才的培养和引进。 省人民政府及其有关部门应当支持高等院校建设计算机科学与技术、网络空间安全、集 成电路科学与工程等学科，建设重点网络安全和信息化研究基地，支持建设国家一流网络安 全学院和网信人才培养基地，加强高等院校与实务部门的人才交流。省人民政府人力资源和社会保障部门应当会同有关部门，建立健全网信人才职称评价制 度和职称评聘制度。 第十一条县级以上人民政府应当组织有关部门、教育机构、公众传媒、村（居）民委员 会开展网络安全和信息化宣传活动，提高全社会网络安全意识和信息技术应用能力。 县级以上人民政府及其有关部门应当将网络安全教育和信息化内容纳入国家工作人员 培训和普法考核，普及中小学信息技术教育，发展信息技术职业教育。 第十二条县级以上人民政府应当将网络安全和信息化工作纳入经济社会发展考核体系， 建立绩效评估指标，对本行政区域各部门和下级人民政府进行网络安全和信息化工作考核。 第二章网络安全保障 第十三条县级以上人民政府及其有关部门应当按照谁主管谁负责、属地管理原则，落实 网络安全责任制，建立健全网络安全保障体系，提升网络安全保护能力,实现网络、关键信 息基础设施、重要信息系统和数据的安全可控。 第十四条县级以上网信、工业和信息化、公安、保密、密码管理等部门和国家安全机关、 省通信管理机构依照有关法律、行政法规的规定，在各自职责范围内负责网络安全、数据安 全、个人信息保护和相关监督管理工作。 第十五条省人民政府对本省行政区域内未列入关键信息基础设施的重要信息系统，在网 络安全等级保护制度的基础上，实行重点保护。 重要信息系统的具体范围和识别指南由省网信部门会同公安等部门制定。第十六条重要信息系统的行业主管或者监督管理部门指导和监督本行业、本领域的重要 信息系统运行安全保护工作，负责编制和组织实施本行业、本领域重要信息系统安全规划， 建立健全网络安全监测预警和网络安全事件应急预案，定期组织开展网络安全检查监测、应 急演练，对重要信息系统进行识别并向省网信部门、公安机关报送识别结果。 第十七条重要信息系统运营者应当履行下列安全保护义务： （一）明确专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行 安全背景审查； （二）对从业人员进行网络安全教育、职业道德教育和技术培训； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）法律、行政法规规定的其他义务。 第十八条重要信息系统运营者应当采购安全可信的网络硬件、软件产品和服务，并与网 络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任。 第十九条省和设区的市、自治州网信部门应当统筹协调有关部门对重要信息系统的安全 保护采取下列措施： （一）建立网络安全信息共享机制，促进有关部门、运营者以及网络安全服务机构等之 间的网络安全信息共享；（二）对重要信息系统安全风险进行抽查检测，提出改进措施，必要时可以委托网络安 全服务机构对网络存在的安全风险进行检测评估； （三）定期组织重要信息系统运营者进行网络安全应急演练； （四）对网络安全事件应急处置与网络功能的恢复等，提供技术支持和协助。 第二十条县级以上网信部门应当建立本行政区域网络安全监测预警和信息通报制度，统 筹协调有关部门定期开展网络安全检查，加强网络安全信息收集、分析和通报工作，协调有 关部门建立健全风险评估和网络安全应急工作机制，制定网络安全事件应急预案，组织网络 安全应急演练。 第二十一条发生网络安全事件或者接到预警信息后，有关单位应当立即启动应急预案， 及时处置、消除隐患。发生较大以上网络安全事件，有关单位应当及时向同级网信、公安部 门报告。 省和设区的市、自治州网信部门会同有关部门对发生的较大以上网络安全事件开展调查。 能源、电信、交通等行业应当为网络安全事件应急处置与网络功能恢复提供电力供应、 网络通信、交通运输等方面的重点保障和支持。 第二十二条县级以上网信部门和有关部门依法履行网络信息安全监督管理职责，发现法 律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置 措施，防止信息扩散，保存有关记录。第二十三条网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止 发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散， 保存有关记录，并向网信、公安、通信等有关部门报告。 第二十四条网络运营者应用算法推荐技术提供互联网信息服务，应当落实算法安全主体 责任，建立健全用户注册、信息发布审核、算法机制机理审核、安全评估监测等管理制度， 不得利用算法推荐服务传播法律、行政法规禁止的信息，不得设置诱导用户沉迷或者高额消 费等违背公序良俗的算法模型。 第二十五条省人民政府有关部门应当按照国家数据分类分级保护要求制定数据分类分 级指南，对本部门以及相关行业、领域的数据进行分类分级管理。 省人民政府有关部门应当按照国家有关要求和标准，组织制定本部门以及相关行业、领 域重要数据目录，对列入目录的数据进行重点保护。 本条例所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能 危害国家安全、公共利益的数据。 第二十六条网络运营者开展数据处理活动应当按照网络安全等级保护制度的要求，履行 下列数据安全保护义务： （一）建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技 术措施和其他必要措施，保障数据安全；（二）加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发 生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向网信、公安等有关 部门报告； （三）法律、行政法规规定的其他义务。 第二十七条开展重要数据处理的网络运营者应当明确数据安全负责人和管理机构，制定 实施数据安全保护方案和数据安全事件应急预案，自行或者委托数据安全服务机构每年开展 一次数据安全风险评估，并向网信、公安等有关部门报送风险评估报告。 第二十八条实施数据收集、存储、加工、使用、提供、交易、公开等活动，有关单位和 个人应当落实数据安全保护责任，采取必要措施确保数据安全，不得实施以下行为： （一）窃取或者以其他非法方式获取数据； （二）泄露或者篡改收集、存储的个人数据； （三）未经相关权利人同意，向他人出售或者提供个人数据； （四）违反法律、行政法规或者约定的其他数据活动。 因数据开发利用需要，在合法收集个人数据后应当进行去标识化处理，并确保无法识别 到特定个人。但是，依法需要信息溯源的除外。 第二十九条为应对紧急状态或者重大突发事件，需要收集、交换、共享个人数据的，由 突发事件处置部门按照有关法律法规处理，不得用于与应对紧急状态或者重大突发事件无关 的目的。第三十条互联网公众账号信息服务平台应当履行信息内容和公众账号管理主体责任，配 备与业务规模相适应的管理人员和技术能力，明确内容安全负责人岗位，建立健全并严格落 实账号注册、信息内容安全、应急处置等管理制度。 互联网公众账号生产运营者应当履行信息内容生产和公众账号运营管理主体责任，建立 健全全过程信息内容安全审核机制，维护网络传播秩序。 第三十一条县级以上网信部门依法对互联网用户公众账号信息服务进行监督管理，管辖 范围包括公众账号信息服务平台的工商登记地、主营业地，以及公众账号生产运