数据安全法草案二审稿26日提请十三届全国人大常委会会议审议。草案提出,国家建立数据分类分级保护制度,确定重要数据目录,加强对重要数据的保护。
草案二审稿规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
去年6月举行的全国人大常委会会议对数据安全法草案进行了初次审议,并向社会公开征求意见。一些常委会委员和地方、部门、专家建议,与民法典等有关规定相衔接,对草案中的数据活动、数据安全等用语的含义予以完善。对此,草案二审稿将第二条中的“开展数据活动”修改为“开展数据处理活动及其安全监管”,并对有关用语的含义作适当调整完善。
草案二审稿对地方、部门制定重要数据目录作了规定,明确各地区、各部门按照规定确定本地区、本部门以及相关行业、领域的重要数据具体目录。
有的部门提出,网络安全法已要求网络运营者按照网络安全等级保护制度采取相应措施,保障数据安全,建议草案有关制度与网络安全等级保护制度做好衔接。对此,草案二审稿增加规定,开展数据处理活动应当“在网络安全等级保护制度的基础上”建立健全全流程安全管理制度,加强数据安全保护。
有的地方、部门提出,网络安全法关于重要数据出境的安全评估等要求限于关键信息基础设施,应根据实践发展和数据安全管理工作的需要,相应扩大范围。草案二审稿增加规定,关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据的出境安全管理,适用网络安全法的规定;其他数据处理者在我国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
此外,有的部门、专家建议,增加未经批准擅自提供数据的处罚规定,为有关组织、个人拒绝外国不合理要求提供更为充分的法律依据。草案二审稿采纳上述意见,增加相应的处罚规定。