（一）采购关键信息基础设施的安全审查

关键信息基础设施的运营者采购网络产品和服务的国家安全审查是为防止关键信息基础设施因使用的产品和服务存在安全缺陷或者其他隐患而受到攻击、破坏，或者其存储、处理的数据资源被窃取、泄露，危害国家安全，《网络安全法》依据世界贸易组织国家安全例外原则作了规定。需要说明的是，法律规定在进行国家安全审查时，只在存在可能影响国家安全的某些特殊情形下才可正式启动；另外在对产品和服务的安全性进行审查时，除一般因素审查外，还需要对影响国家安全的其他因素进行专门的审查。《网络安全法》授权国家网信部门会同国务院有关部门，将制定其具体的审查办法，从而明确审查的条件、审查的机制、审查的程序等基本规则。^[5]

另外，关键信息基础设施的运营者在采购相关网络产品和服务时，还应当与供应商签订相应的安全保密合同，从而明确各方的安全责任和保密义务。

（二）关键信息基础设施重要数据的跨境提供

随着网络的日益发展，信息网络将渗透到社会生活和公共服务管理的各项事务中，此一过程中将高度依赖关键信息基础设施。而关键信息基础设施因其本身的特性集聚了海量的公民个人信息及涉及国家安全、经济安全的重要信息数据。《网络安全法》第三十七条规定了关键信息基础设施的境外提供的规则，并确立了上报制度和安全评估制度。该项要求具体包含了以下四个方面内容：

（1）数据本地化要求，指的是关键信息基础设施的运营者在我国境内运营的过程中所收集和产生的公民个人信息及重要信息数据应当在我国境内服务器或其他介质中存储。

（2）针对关键信息基础设施运营者的跨境业务需要符合网络境外服务的特点和要求，我国允许该项数据在通过安全评估并获得信息主体的书面或其他形式的同意后方可向境外提供。不过，如一些类似拨打国际电话、通过互联网跨境购物、发送国际电子邮件以及其他个人主动行为等，可以作为例外，即可视为个人信息主体已同意、无需另外特别的意思表示。(www.daowen.com)

（3）关键信息基础设施数据涉及对外提供时，其必须遵循相应安全评估的具体操作规则，而《网络安全法》只对其做了原则性的表述，需要读者关注后续国家网信部门和国务院有关部门制定的相关实施条例。

（4）考虑到某些国际执法合作等需要，法律、行政法规也将对此作出特别规定。

（三）关键信息基础设施运营者的安全保护义务

在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护。关键信息基础设施运营者要承担更加严苛的安全保护义务：

“制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；采取数据分类、重要数据备份和加密等措施；设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练；法律、行政法规规定的其他义务。”^[6]