网络安全法第三十八条明确

1. 中华人民共和国网络安全法规定关键信息基础设施的运营者在中华人民共和国境内

《中华人民共和国网络安全法》规定关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

《中华人民共和国网络安全法》第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

2. 网络安全法责任是怎么规定的

1、建立信息安全管理制度义务

网络运营者通常是通过公司章程、用户协议、网络管理制度等对网络平台、用户进行管理。网络运营者要落实安全管理责任，首先就需要建立健全内部安全管理制度。《网络安全法》第21条规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

2、用户身份信息审核义务

建立用户身份信息制度有助于构建诚信的网络空间。《网络安全法》第24条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

3、用户发布信息管理义务

网络运营者对其平台上的信息负有管理义务。《网络安全法》第47条规定，网络运营者应当加强对其用户发布的信息的管理。信息管理手段包括对网上公共信息进行巡查。工信部《通信短信息服务管理规定》、公安部《互联网危险物品信息发布管理规定》、国信办《互联网信息搜索服务管理规定》等规定均要求网络服务提供者对公共信息进行实时巡查。

4、保障个人信息安全义务

网络运营者在运营中会收集大量的个人信息，保障个人信息安全是网络运营者的基本义务。《网络安全法》第40—44条对网络运营者的个人信息保护义务做了较为具体的规定。

5、违法信息处置义务

网络运营者发现其用户发布的违法信息，应当立即进行处置。《网络安全法》第47条规定，网络运营者发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

3. 运营者违背网络安全法规会受到什么样的处罚

一、若网络运营者不履行《网络安全法》第二十一条和第二十五条所规定的网络安全保护义务，将由相关主管部门责令改正，给予警告。若拒不改正或导致网络安全危害等后果，将面临一万元以上十万元以下的罚款，直接负责的主管人员将面临五千元以上五万元以下的罚款。
二、关键信息基础设施的运营者，若未遵守《网络安全法》第三十三条、第三十四条、第三十六条和第三十八条的网络安全保护义务，将由相关主管部门责令改正，给予警告。若拒不改正或导致网络安全危害等后果，将面临十万元以上一百万元以下的罚款，直接负责的主管人员将面临一万元以上十万元以下的罚款。
三、网络运营者违反《网络安全法》规定，若有以下行为之一，将由相关主管部门责令改正；若拒不改正或情节严重，将面临五万元以上五十万元以下的罚款，直接负责的主管人员和其他直接责任人员将面临一万元以上十万元以下的罚款：
1. 不按照有关部门要求对禁止发布或传输的信息采取停止传输、消除等处置措施；
2. 拒绝、阻碍有关部门依法实施的监督检查；
3. 拒不向公安机关、国家安全机关提供技术支持和协助。
对于运营者违反网络安全法规的情况，网络运营者在接到公安机关告知后的30日内，必须落实互联网安全保护技术措施。否则，将停止接入互联网，或按照每台上网终端对应一个公网账号或公网IP地址的标准进行网络结构改造。拒不落实安全保护技术措施的单位，以及故意破坏或妨碍安全保护技术措施正常发挥的单位，将承担以下法律责任：
1. 对拒不落实安全保护技术措施的网络运营者，根据《中华人民共和国网络安全法》第五十九条，由公安机关责令改正，给予警告。若拒不改正或导致危害网络安全等后果，将面临一万元以上十万元以下的罚款，直接负责的主管人员将面临五千元以上五万元以下的罚款。
2. 对故意破坏或妨碍安全保护技术措施正常发挥的网络运营者，根据《计算机信息网络国际联网安全保护管理办法》第二十一条、《互联网安全保护技术措施规定》第十四条和第十五条，由公安机关责令限期改正，给予警告。有违法所得的，将没收违法所得。若在规定限期内未改正，对单位主管负责人员和其他直接责任人员可并处五千元以下的罚款，对单位可并处一万五千元以下的罚款。情节严重者，可给予六个月以内

4. 网络安全法第38条明确要求关键信息基础设施运营者应至少多久进行一次等级保护

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

《中华人民共和国网络安全法》第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

5. 任何组织和个人都有权对网络运营者的网络进行安全防御测试吗

任何组织和个人都有权对网络运营者的网络进行安全防御测试，这句话是错误的，只有法律规定的网络安全服务机构才可以进行测试。

根据《中华人民共和国网络安全法》第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

(5)网络安全法第三十八条明确扩展阅读：

《中华人民共和国网络安全法》第六十二条违反本法第二十六条规定，开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息的，由有关主管部门责令改正，给予警告；

拒不改正或者情节严重的，处一万元以上十万元以下罚款，并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。

6. 运营者违背网络安全法规会受到什么样的处罚

一、网络运营者不履行网络安全法第二十一条、第二十五条规定的网络安全保护义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

二、关键信息基础设施的运营者不履行网络安全法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

三、网络运营者违反网络安全法规定，有下列行为之一的，由有关主管部门责令改正；拒不改正或者情节严重的，处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员，处一万元以上十万元以下罚款：
1、不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息，采取停止传输、消除等处置措施的；
2、拒绝、阻碍有关部门依法实施的监督检查的；
3、拒不向公安机关、国家安全机关提供技术支持和协助的。