第三十二条按照国务院的职责分工,负责关键信息基础设施安全工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全工作。
第三十建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并安全技术措施同步规划、同步建设、同步使用。
第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响的,应当通过国家网信部门会同国务院有关部门组织的审查。
第三十六条关键信息基础设施的运营者采购网络产品和服务,应当与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十七条关键信息基础设施的运营者在中华人民国境内运营中收集和产生的个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行规另有的,依照其。
第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全工作的部门。
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
第四十一条网络运营者收集、使用个人信息,应当遵循、正当、必要的原则,收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行规的和双方的约定收集、使用个人信息,并应当依照法律、行规的或者与用户的约定,处理其保存的个人信息。 网络运营者收集、使用个人信息,应当公开其收集、使用规则。
第四十二条网络运营者不得泄露、、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照及时告知用户并向有关主管部门报告。