(五)法律、行政法规规定的其他义务。 第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全 的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供 者签订安全保密协议，明确安全和保密义务与责任。 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生 的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网 信部门会同国务院有关部门制定的办法进行安全评估：法律、行政法规另有规定的，依照其 规定。 第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其 网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施 报送相关负责关键信息基础设施安全保护工作的部门。 第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护 采取下列措施： (一)对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委 托网络安全服务机构对网络存在的安全风险进行检测评估： (二)定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安 全事件的水平和协同配合能力： (三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务 机构等之间的网络安全信息共享： (四)对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。 第四章网络信息安全 第四十条网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护 制度。 第四十一条网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则， 公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规 定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定， 处理其保存的个人信息。 第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息：未经被收集者同 意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信 息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即 采取补救措施，按照规定及时告知用户并向有关主管部门报告。 第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、 使用其个人信息的，有权要求网络运营者删除其个人信息：发现网络运营者收集、存储的其 个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者 更正。 第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法 出售或者非法向他人提供个人信息。 第四十五条依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职 责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。 第四十六条任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈 骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组，（五）法律、行政法规规定的其他义务。 第三十五条 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全 的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 第三十六条 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供 者签订安全保密协议，明确安全和保密义务与责任。 第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生 的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网 信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其 规定。 第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其 网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施 报送相关负责关键信息基础设施安全保护工作的部门。 第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护 采取下列措施： （一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委 托网络安全服务机构对网络存在的安全风险进行检测评估； （二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安 全事件的水平和协同配合能力； （三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务 机构等之间的网络安全信息共享； （四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。 第四章 网络信息安全 第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护 制度。 第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则， 公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规 定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定， 处理其保存的个人信息。 第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同 意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信 息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即 采取补救措施，按照规定及时告知用户并向有关主管部门报告。 第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、 使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其 个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者 更正。 第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法 出售或者非法向他人提供个人信息。 第四十五条 依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职 责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。 第四十六条 任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈 骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组