公安机关和国家安全机关查处违法行为时,互联网服务提供者和联网使用单位应当如实提供有关数据文件、原始记录等信息资料。
第二十三条 互联网服务提供者和联网使用单位不得利用互联网安全保护技术措施侵犯用户的通信自由和通信秘密,未经用户同意,不得公开、泄露用户注册信息。
第二十四条 计算机信息系统安全等级测评机构和从事计算机信息系统安全保护工作的人员,应当保守用户秘密,不得泄露用户信息,不得擅自占有、使用用户的信息资源。
第五章 安全管理
第二十五条 公安机关、国家安全机关、保密行政管理部门、密码管理部门及其他有关部门,应当依法对计算机信息系统运营、使用单位信息系统的安全保护工作进行监督检查;对发现的泄密、失密行为,应当依法查处。
实施监督检查时不得妨碍运营、使用单位的正常工作秩序。能够联合进行监督检查的,应当联合进行。
第二十六条 设区的市以上公安机关应当对第三级以上计算机信息系统的运营、使用单位的信息安全等级保护工作情况定期进行检查。
设区的市以上公安机关应当对计算机信息系统安全等级测评工作进行监督管理。
第二十七条 保密行政管理部门应当对秘密级、机密级信息系统每年至少进行一次保密检查,每两年进行一次保密系统测评;对绝密级信息系统每年至少进行一次保密检查或者系统测评。
第二十八条 公安机关、国家安全机关和保密行政管理部门,发现计算机信息系统的安全保护、保密等级和安全措施不符合国家信息安全等级保护、保密管理规范和技术标准,或者存在安全隐患的,应当通知运营、使用单位限期进行整改。运营、使用单位应当按照整改通知书要求进行整改,并将整改情况向监管部门报告。
第二十九条 发生危及国家安全、公共安全及社会稳定的重大信息网络安全事故,计算机信息系统运营、使用单位应当立即报告公安机关和国家安全机关,并启动应急预案。公安机关可以对运营、使用单位采取二十四小时内停机检查、暂停联网、备份数据等应急措施。
