법적 근거: "중화 인민 공화국 네트워크 보안법".
제 21 조 국가는 사이버 보안 등급 보호 제도를 실시한다. 네트워크 운영자는 네트워크 보안 수준 보호 시스템의 요구 사항에 따라 다음과 같은 보안 의무를 이행하여 간섭, 파괴 또는 무단 액세스로부터 네트워크를 보호하고 네트워크 데이터가 유출, 도난 또는 변조되는 것을 방지해야 합니다.
(a) 내부 보안 관리 시스템 및 운영 절차 개발, 네트워크 보안 책임자 파악, 네트워크 보안 책임 이행
(2) 컴퓨터 바이러스와 사이버 공격, 네트워크 침입 등 네트워크 보안을 위태롭게하는 행위를 막기 위한 기술적 조치를 취한다.
(3) 네트워크 운영 상태 및 네트워크 보안 이벤트를 모니터링 및 문서화하고 관련 네트워크 로그를 6 개월 이상 보존하기 위한 기술적 조치를 취합니다.
(4) 데이터 분류, 중요한 데이터 백업 및 암호화 등의 조치를 취한다.
(5) 법률 및 행정 법규에 규정된 기타 의무.
제 22 조 인터넷 제품과 서비스는 관련 국가 표준의 의무적 요구 사항을 준수해야 한다. 네트워크 제품 및 서비스 공급자는 악성 프로그램을 설정해서는 안됩니다. 네트워크 제품 및 서비스에 보안 결함, 취약점 등의 위험이 있음을 발견하면 즉시 시정 조치를 취하고 규정에 따라 사용자에게 적시에 알리고 관련 주관 부서에 보고해야 합니다.
네트워크 제품 및 서비스 공급업체는 제품 및 서비스에 대한 지속적인 보안 유지 관리를 제공해야 합니다. 쌍방이 규정하거나 약속한 기한 내에 안전유지보수의 제공은 종결할 수 없다.
네트워크 제품 또는 서비스는 사용자 정보 수집 기능을 갖추고 있으며 해당 공급자는 사용자에게 명시하고 동의해야 합니다. 사용자 개인 정보와 관련된 경우 본 법과 관련 법률, 행정 법규의 개인 정보 보호에 관한 규정도 준수해야 합니다.
제 23 조 네트워크 핵심 장비 및 네트워크 보안 제품은 관련 국가 표준의 필수 요구 사항을 준수해야 하며 자격을 갖춘 기관 안전 인증 또는 안전 테스트가 요구 사항을 충족될 때까지 판매 또는 제공할 수 없습니다. 국가망신부는 국무원 관련 부서와 함께 네트워크 보안 중점 네트워크 장비 및 전용 제품 카탈로그를 개발 및 발표하고, 안전인증과 안전검사 결과를 상호 인정하고, 중복 인증과 테스트를 피해야 한다.
제 24 조 네트워크 운영자는 사용자를 위해 수신, 도메인 이름 등록 서비스, 유선 전화, 휴대폰 등 수신 수속을 처리하거나 사용자에게 정보 전파, 인스턴트 통신 등의 서비스를 제공할 때 사용자와 계약을 체결하거나 서비스 제공을 확인할 때 사용자에게 실제 ID 정보를 제공해야 합니다. 사용자가 실제 ID 정보를 제공하지 않는 경우 네트워크 운영자는 관련 서비스를 제공할 수 없습니다.
국가는 사이버 신빙성 신분 전략을 실시하여 안전하고 편리한 전자 인증 기술을 개발하여 서로 다른 전자 인증 간의 상호 인식을 촉진합니다.
제 25 조 네트워크 운영자는 시스템 취약성, 컴퓨터 바이러스, 사이버 공격, 사이버 침입 등 보안 위험에 대한 대응 방안을 마련해야 합니다. 사이버 안전을 위협하는 사건이 발생하면 즉시 응급계획을 시작하고 적절한 구제책을 취하고 규정에 따라 관련 주관부에 보고한다.
제 26 조 사이버 보안 인증, 검사, 위험 평가 등의 활동을 전개하여 사회에 시스템 허점, 컴퓨터 바이러스를 발표하다.