第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者没有经过授权的访问，防止网络数据泄露或者被窃取、篡改：

  （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

  （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

  （三）采取监测、记录网络运作时的状态、网络安全事件的技术措施，并依规定留存相关的网络日志不少于六个月；

  第二十二条网络产品、服务应当符合有关国家标准的强制性要求。网络产品、服务的提供者不可以设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，依规定及时告知用户并向有关主管部门报告。

  网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

  网络产品、服务具有收集用户个人信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人隐私信息的，还应当遵守本法和有关法律、行政法规关于个人隐私信息保护的规定。

  第二十三条网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检查符合标准要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

  第二十四条网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户更好的提供信息发布、即时通讯等服务，在与用户签署协议或者确认提供服务时，应当要求用户更好的提供实际身份信息。用户不提供实际身份信息的，网络运营者不得为其提供相关服务。

  国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

  第二十五条网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取对应的补救措施，并依规定向有关主管部门报告。

  第二十六条开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家相关规定。

  第二十七条任何个人和组织不可以从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及保护措施、窃取网络数据等危害网络安全活动的程序、工具；明知别人从事危害网络安全的活动的，不得为其提供技术上的支持、广告推广、支付结算等帮助。

  第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术上的支持和协助。

  第二十九条国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面做合作，提高网络运营者的安全保障能力。

  有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。

  第三十条网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。