全国人大常委会二次审议的网络安全法草案，拟加强对关键信息基础设施及其数据的安全保护；进一步强化国家维护网络安全的措施；增加多项促进网络安全的支持措施，协同推进网络安全与发展；进一步强化网络运营者的社会责任，明确网络运营者留存网络日志的期限以及配合有关部门监督检查的义务；拟通过约谈、记入信用档案、从业禁止等惩戒措施进一步加大对危害网络安全行为的惩戒力度。

公民个人信息应在境内存储

全国人大法律委员会表示，一些常委会委员和地方、部门建议对关键信息基础设施的范围不作列举，可由国务院制定配套规定予以明确。

对此，二审稿规定，国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

二审稿还规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的除外。

二审稿增加规定，国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系；国家网信部门和有关部门在关键信息基础设施保护中取得的信息，只能用于维护网络安全的需要，不得用于其他用途。

运营者留存网络日志不得少于六个月

全国人大法律委员会表示，拟增加多项促进网络安全的支持措施，在维护网络安全的同时，促进发展。一是，国家推进网络安全社会化服务体系建设，鼓励企业、机构开展网络安全认证、检测和风险评估等服务。二是，国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展；支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。三是，增加大数据应用必须对公民个人信息进行匿名化处理的规定，进一步明确公民个人信息使用规则。

二审稿还增加规定，网络运营者留存网络日志不得少于六个月；网络运营者对有关部门依法实施的监督检查应当予以配合。

发生安全事件有关部门可约谈运营者

二审稿规定，对网络存在较大安全隐患或者发生安全事件的运营者，有关部门可以按照规定的权限和程序对其法定代表人或主要责任人进行约谈；对故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作；对有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。