建立數據分類分級保護制度

　　4月26日，十三屆全國人大常委會第二十八次會議聽取了憲法和法律委員會副主任委員徐輝作的關於數據安全法草案修改情況的匯報。十三屆全國人大常委會第二十次會議對數據安全法草案進行了初次審議，此次為二審。

　　全國人大常委會對數據安全法草案初次審議后，全國人大常委會法制工作委員會將草案印發各省（區、市）、中央有關部門和部分基層立法聯系點、人大代表、企業、研究機構等征求意見，在中國人大網全文公布草案征求社會公眾意見。憲法和法律委員會、法制工作委員會聯合召開座談會，聽取中央有關部門和部分專家、企業的意見，到北京、深圳、湖南調研，聽取地方意見，並就草案的有關問題與有關方面交換意見，共同研究。

　　一些常委委員和地方、部門、專家建議，與民法典等有關規定相銜接，對草案中的數據活動、數據安全等用語的含義予以完善。憲法和法律委員會經研究，建議將草案相關條款中的“開展數據活動”修改為“開展數據處理活動及其安全監管”，並對有關用語的含義作適當調整完善。

　　一審稿對地方、部門制定重要數據目錄作了規定。一些常委委員和地方、部門、企業、專家提出，應由國家層面確定重要數據目錄，再由地方、部門據此制定具體目錄。憲法和法律委員會經研究，建議在二審稿相關條款中規定，國家建立數據分類分級保護制度，確定重要數據目錄，加強對重要數據的保護﹔各地區、各部門按照規定確定本地區、本部門以及相關行業、領域的重要數據具體目錄。

　　有的部門提出，網絡安全法已要求網絡運營者按照網絡安全等級保護制度採取相應措施，保障數據安全，建議草案有關制度與網絡安全等級保護制度做好銜接。憲法和法律委員會經研究，建議在二審稿有關條款中增加規定，開展數據處理活動應當“在網絡安全等級保護制度的基礎上”建立健全全流程安全管理制度，加強數據安全保護。

　　有的地方、部門提出，網絡安全法關於重要數據出境的安全評估等要求限於關鍵信息基礎設施，應根據實踐發展和數據安全管理工作的需要，相應擴大范圍。憲法和法律委員會經研究，建議在二審稿中增加規定：關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境安全管理，適用網絡安全法的規定﹔其他數據處理者在我國境內運管中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。

　　根據草案規定，境外司法和執法機構要求調取境內數據的，未經主管機關批准，不得提供。有的部門、專家建議，增加未經批准擅自提供數據的處罰規定，為有關組織、個人拒絕外國不合理要求提供更為充分的法律依據。憲法和法律委員會經研究，建議採納上述意見，增加相應的處罰規定。