《网络安全法》-第三章-第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下 列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:(4)采取数据分类、重要 数据备份和加密等措施;

《网络安全法》-第四章-第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

《网络安全等级保护条例(征求意见稿)》-第三章-第二十条【一般安全保护义务】网络运营者应当依法履行下列安全保护义务， 保障网络和信息安全:(六)落实数据分类、重要数据备份和加密等措施;(七)依法收集、使用、处理个人信息，并落实个人信 息保护措施，防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;

《网络安全等级保护条例(征求意见稿)》-第三章-第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个 人信息安全保护制度;采取保护措施，保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复 等技术措施，保障重要数据的完整性、保密性和可用性。未经允许或授权，网络运营者不得收集与其提供的服务无关的数据和个人 信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信 息;不得非授权访问、使用、提供数据和个人信息。