第二十七条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

 

第二十八条 除本法第十七条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

 

(一)设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

 

(二)定期对从业人员进行网络安全教育、技术培训和技能考核；

 

(三)对重要系统和数据库进行容灾备份；

 

(四)制定网络安全事件应急预案，并定期组织演练；

 

(五)法律、行政法规规定的其他义务。

 

第二十九条 关键信息基础设施的运营者采购网络产品和服务，应当与提供者签订安全保密协议，明确安全和保密义务与责任。

 

第三十条 关键信息基础设施的运营者采购网络产品或者服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的安全审查。具体办法由国务院规定。

 

第三十一条 关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据；因业务需要，确需在境外存储或者向境外的组织或者个人提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的从其规定。

 

第三十二条 关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并对检测评估情况及采取的改进措施提出网络安全报告，报送相关负责关键信息基础设施安全保护工作的部门。

 

第三十三条 国家网信部门应当统筹协调有关部门，建立协作机制。对关键信息基础设施的安全保护可以采取下列措施：

 

(一)对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托专业检验检测机构对网络存在的安全风险进行检测评估；

 

(二)定期组织关键信息基础设施的运营者进行网络安全应急演练，提高关键信息基础设施应对网络安全事件的水平和协同配合能力；

 

(三)促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享；

 

(四)对网络安全事件的应急处置与恢复等，提供技术支持与协助。

 

第四章 网络信息安全

 

第三十四条 网络运营者应当建立健全用户信息保护制度，加强对用户个人信息、隐私和商业秘密的保护。

 

第三十五条 网络运营者收集、使用公民个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

 

网络运营者不得收集与其提供的服务无关的公民个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用公民个人信息，并应当依照法律、行政法规的规定或者与用户的约定，处理其保存的公民个人信息。