第40条：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第41条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第42条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第44条：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

英国网络安全法律的侧重点

英国早期的互联网立法，侧重保护关键性信息基础设施，随着网络的不断发展，英国在加强信息基础设施保护的同时，也强调网络信息的安全、加强对网络犯罪的打击。

2000年，英国制定了《通信监控权法》，规定在法定程序条件下，为维护公众的通信自由和安全以及国家利益，可以动用皇家警察和网络警察。该法规定了对网上信息的监控。为国家安全或为保护英国的经济利益等目的，可截收某些信息，或强制性公开某些信息。2001年实施的《调查权管理法》，要求所有的网络服务商均要通过政府技术协助中心发送数据。2014年7月，英国政府召开特别内阁会议，通过了《紧急通信与互联网数据保留法案》，该法案允许警察和安全部门获得电信及互联网公司用户数据的应急法案，旨在进一步打击犯罪与恐怖主义活动。

同时，随着英国对于整个网络空间安全所受到的危险的认识程度提高，英国政府全面推行网络安全战略，加强行业自律。2009年，英国成立网络安全与信息保障办公室，支持内阁部长和国家安全委员会来确定与网络空间安全相关的问题的优先权，联合为政府网络安全项目提供战略指引。

2010年10月，英国发布《战略防务与安全审查——在不确定的时代下建立一个安全的英国》，将恶意网络攻击与国际恐怖主义、重大事故或者自然灾害以及涉及英国的国际军事危机共同列入安全威胁的最高级别，界定了15种要优先考虑的危险类型。2011年11月，英国公布新的《网络安全战略》，表示将建立更加可信和适应性更强的数字环境，以实现经济繁荣，保护国家安全及公众的生活所需；并将加强政府与私有部门的合作，共同创造安全的网络环境和良好的商业环境。2014年，英国情报机构政府通讯总部授权六所英国大学提供训练未来网络安全专家的硕士文凭，这一特殊学位是英国2011年公布的网络安全战略的一部分。2015年，英国还按照国家网络安全计划推出网络安全学徒计划，鼓励年轻人加入网络安全事业。