保障网络安全：维护网络空间主权和国家安全。

保护权益：保障公民、法人和其他组织的合法权益。

促进发展：推动经济社会信息化健康发展。

适用于中国境内建设、运营、维护和使用网络的所有主体（包括个人、企业、机构等）。

关键信息基础设施（CII）的运营者需遵守更严格的规定。

1. 网络运营者的义务

等级保护制度：网络运营者需按网络安全等级保护制度要求，采取技术和管理措施。

数据保护：防止用户信息泄露、篡改、丢失；收集个人信息需明示并获同意。

内容管理：加强用户发布信息的管理，禁止传播违法内容。

安全事件响应：发生安全事件时立即处置，并按规定报告。

2. 关键信息基础设施（CII）保护

范围：包括能源、交通、金融、公共服务等重要行业。

额外义务：

数据本地化：CII运营者在中国境内收集的个人信息和重要数据需存储在境内。

安全审查：采购网络产品和服务可能影响国家安全的，需通过安全审查。

3. 个人信息保护

合法原则：收集、使用个人信息需合法、正当、必要，并公开规则。

用户权利：个人有权要求删除或更正错误信息。

跨境传输：CII运营者向境外提供个人信息需通过安全评估。

4. 网络产品与服务安全

不得设置恶意程序或未明示的功能。

提供安全维护服务，不得终止支持后门漏洞未修复的产品。

行政处罚：对违规行为可处以警告、罚款（最高100万元）、暂停业务等。

刑事责任：构成犯罪的行为（如危害国家安全）将依法追究刑责。

民事赔偿：侵害他人权益的需承担赔偿责任。

国家安全：首次以法律形式明确网络空间主权。

隐私保障：强化个人信息保护，规范数据流通。

企业合规：推动企业建立网络安全管理制度，防范风险。

《数据安全法》（2021年9月）

《个人信息保护法》（2021年11月）

《关键信息基础设施安全保护条例》（2021年9月）

Q：普通用户受哪些保护？

A：法律禁止网络诈骗、个人信息买卖，用户可举报违法行为并要求删除泄露信息。

Q：企业如何合规？

A：落实等级保护制度、完善数据管理流程、定期进行安全风险评估。