《網(wǎng)絡安全法》下企業(yè)的網(wǎng)絡安全與數(shù)據(jù)合規(guī)責任義務大體分為四大方面：網(wǎng)絡運行安全、關鍵信息基礎設施保護、網(wǎng)絡信息保護與合規(guī)與數(shù)據(jù)出境合規(guī)。
 

一、網(wǎng)絡運行安全
 

       1. 落實網(wǎng)絡安全等級保護義務，保障企業(yè)網(wǎng)路運行安全。盡管法律沒有強制性要求，出于技術能力等因素考慮，企業(yè)宜聘請有資質(zhì)的專業(yè)評測機構協(xié)助實施。

       2. 網(wǎng)絡產(chǎn)品、服務以及網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品應當符合國家標準的強制性要求。

       3. 落實網(wǎng)絡實名制要求。為用戶辦理網(wǎng)絡接入、域名注冊服務，固定電話、移動電話等入網(wǎng)手續(xù)，或者提供信息發(fā)布、即時通訊等服務時，應當要求用戶提供真實身份并核實，否則不得為其提供服務。

       4. 制定應急預案。根據(jù)預案及時處置安全風險并按照規(guī)定向有關主管部門報告。

       5. 不得擅自發(fā)布網(wǎng)絡公共安全信息。開展安全認證、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等網(wǎng)絡安全信息應當遵守國家規(guī)定。

       6. 禁止危害網(wǎng)絡安全以及幫助他人危害網(wǎng)絡安全。

二、關鍵信息基礎設施保護[1]

       對于公共通信和信息服務等7個重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，國家在網(wǎng)絡安全等級保護制度的基礎上實行重點保護。關鍵信息基礎設施運營者（下稱“關基單位”或“CIIO”）的五個方面的特殊責任與義務為：
 

       1. 建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施規(guī)劃、建設、使用“三同步”。
 

       2. 在網(wǎng)絡安全等級保護基礎上，在責任主體界定、從業(yè)人員教育培訓、容災備份、應急預案等方面履行特別保護義務。
 

       3. 采購網(wǎng)絡產(chǎn)品和服務履行國家安全審查義務，并與提供者簽訂安全保密協(xié)議。
 

       4. 重要數(shù)據(jù)和個人信息境內(nèi)存儲，出境應當安全評估。
 

       5. 建立健全安全評測制度，定期檢測評估。

三、網(wǎng)絡信息保護與合規(guī)

       這一領域的義務包括網(wǎng)上信息保護與合規(guī)與個人信息保護。

(一)  網(wǎng)上信息保護與合規(guī)

       1. 管理用戶發(fā)布信息的義務。發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?，應當立即停止傳輸，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。
 

       2. 電子信息發(fā)送服務提供者和應用軟件下載服務提供者，管理用戶發(fā)送的電子信息、提供的應用軟件的義務。發(fā)現(xiàn)設置惡意程序，含有法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔?，應當立即停止傳輸，采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。
 

       3. 建立網(wǎng)絡信息安全投訴、舉報制度的義務。公布投訴、舉報方式等信息，及時受理并處理有關網(wǎng)絡信息安全的投訴和舉報。

(二)  個人信息保護

       1. 收集、使用個人信息應當遵循合法、正當、必要的原則。公開收集、使用規(guī)則，明示收集、使用目的、方式和范圍，并經(jīng)被收集者同意。
 

       2. 處理個人信息應當遵守法律法規(guī)和雙方約定。不得泄露、篡改、毀損；未經(jīng)被收集者同意，不得向他人提供，脫敏信息除外。
 

       3. 建立健全用戶信息保護制度。采取技術措施和其他必要措施，確保收集的個人信息安全。
 

       4. 將收集的個人信息向境外提供的，應當明確告知個人信息主體并獲得同意，并進行安全評估。
 

       5. 應個人信息主體要求刪除或者更正個人信息。

四、數(shù)據(jù)出境合規(guī)[2]

       1. 在中華人民共和國境內(nèi)收集的個人信息和重要數(shù)據(jù)向境外提供的應當進行安全評估。
 

       2. 對個人信息向境外提供的，應當告知個人信息主體并獲得同意。
 

       3. 在數(shù)據(jù)出境前應當進行自評估，且每年對數(shù)據(jù)出境情況進行一次評估。
 

       4. 符合條件的應當提請主管部門評估。

5. 存在以下情況之一的，數(shù)據(jù)不得出境：
 

       (1) 個人信息出境未經(jīng)個人信息主體同意，或可能侵害個人利益；
 

       (2) 數(shù)據(jù)出境給國家政治、經(jīng)濟、科技、國防等安全帶來風險，可能影響國家安全、損害社會公共利益；
 

       (3) 其他經(jīng)國家網(wǎng)信部門、公安部門、安全部門等有關部門認定不能出境的。
 

       (4) 不符合國家法律、行政法規(guī)、部門規(guī)章等有關規(guī)定的，不具備合法性不得出境。

       另外，企業(yè)在經(jīng)營中還須注意與《網(wǎng)絡安全法》相關領域的義務，如：網(wǎng)絡構架合規(guī)、增值電信業(yè)務許可與備案、互聯(lián)網(wǎng)群組信息服務提供者義務等。

您可能需要了解的設備：上網(wǎng)行為管理    第二代防火墻     堡壘機    數(shù)據(jù)庫審計