第三十六條關(guān)鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，應當按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務與責任。

第三十七條關(guān)鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第三十八條關(guān)鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關(guān)負責關(guān)鍵信息基礎設施安全保護工作的部門。

第三十九條國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關(guān)部門對關(guān)鍵信息基礎設施的安全保護采取下列措施：

（一）對關(guān)鍵信息基礎設施的安全風險進行抽查檢測，提出改進措施，必要時可以委托網(wǎng)絡安全服務機構(gòu)對網(wǎng)絡存在的安全風險進行檢測評估；

（二）定期組織關(guān)鍵信息基礎設施的運營者進行網(wǎng)絡安全應急演練，提高應對網(wǎng)絡安全事件的水平和協(xié)同配合能力；

（三）促進有關(guān)部門、關(guān)鍵信息基礎設施的運營者以及有關(guān)研究機構(gòu)、網(wǎng)絡安全服務機構(gòu)等之間的網(wǎng)絡安全信息共享；

（四）對網(wǎng)絡安全事件的應急處置與網(wǎng)絡功能的恢復等，提供技術(shù)支持和協(xié)助。

第四章網(wǎng)絡信息安全

第四十條網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。

第四十一條網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。