《网络安全法》二审稿的关键修改

全国人大常委会公布了经第十二届全国人大常委会第21次会议审议的《网络安全法》的二审稿全文（以下简称“二审稿”），并于2016年7月5日至2016年8月5日期间向社会公开征求意见。相较2015年7月公布的《网络安全法》一审稿（以下简称“一审稿”），二审稿有以下主要修改。

一、提高了网络运营者的义务

二审稿进一步细化或增加了网络运营者的特定义务，包括：
（1） 网络运营者必须遵守法律、行政法规，遵守社会公德、商业道德，诚实信用，履行网络安全保护义务，接受政府和社会公众的监督，承担社会责任（第9条）；
（2） 网络运营者网络日志不少于六个月（第20条）；
（3） 提供即时通讯服务的网络运营者被明确要求对用户身份进行验证（第21条）；
（4） 网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合（第47条）。

二、涉及关键信息基础设施定义和保护措施的修改

与一审稿相比，二审稿对关键信息基础设施的含义和保护措施做了一些关键修改。第一，二审稿删除了对关键信息基础设施列举式的定义，并将关键信息基础设施的具体范围和保护办法留待国务院确定（第29条）。第二，二审稿将关键信息基础设施运营者需要在中国境内存储的数据的范围由一审稿中规定的“公民个人信息等重要数据”改为“公民个人信息和重要业务数据”（第35条）。第三，二审稿增加了“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系”的规定（第29条）。第四，二审稿规定，国家网信部门和有关部门在关键信息基础设施保护中获取的信息，只能用于维护网络安全的需要，不得用于其他用途（第38条）。

三、一些其他的修改

二审稿还进行了一些其他的修改。例如，二审稿对擅自向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息进行了限制（第25条）；对大数据的利用必须建立在数据匿名化的基础上（第41条）；国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放（第17条）。此外，二审稿增加了对违法行为的处罚力度。

上述修改对不同行业和领域的企业的影响还需要进一步观察评估。