汇业评论

企业方面，二审稿首次从法律层面，明确各类网络企业留存网络日志不得少于六个月；此外，在今年年初公布的《反恐怖主义法》的基础上，明确网络企业必须配合网信、安全等部门的监督检查。

个人方面，二审稿首次明确增加了对网络企业法定代表人或者主要负责人的约谈程序；法律责任方面，增加了对实施危害网络安全活动的人员处以行业终身禁入的处罚措施，同时还增加了记入信用档案的规定。

初稿从法律层面上，首次规定关键信息基础设施的运营者应当在境内存储公民个人信息。二审稿则在此基础上，扩大强制境内存储数据的范围，即除公民个人信息外，还包括“重要业务数据”。至于何为“重要业务数据”，立法并未明确规定。

值得注意的是，与初稿采取列举方式直接定义“关键信息基础设施”不同，二审稿则回避了从法律层面定义“关键信息基础设施”，规定关键信息基础设施的具体范围由国务院另行制定。

鉴于乌云等系统漏洞发布平台不定时发布网络安全信息对行业影响较大，二审稿新增规定，“向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定”， 意在收紧社会力量发布网络安全信息的渠道，这里的“国家有关规定”主要指公安部关于加强网络安全管理的系列部令。

在当前互联网全面实名制管理的大背景下，二审稿在初稿实名制要求的具体范围基础上，增加了“即时通讯服务”的实名制要求，并将可信身份战略上升到立法层面。

二审稿首次明确规定“国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放”，利好大数据产业发展。

具体规则方面，在初稿明确规定“未经被收集者同意，不得向他人提供公民个人信息”的基础上，二审稿增加了但书条款，“经过处理无法识别特定个人且不能复原的除外”。意即，鼓励经过数据清洗的个人信息使用、流通，甚至交易。