根据27日提请全国人大常委会二次审议的网络安全法草案，拟加强对关键信息基础设施及其数据的安全保护，加大对危害网络安全行为的惩戒力度；增加多项促进网络安全的支持措施，进一步强化网络运营者的社会责任。

二审稿规定，国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

二审稿明确，关键信息基础设施的具体范围和安全保护办法由国务院制定。

二审稿还规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的除外。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系；国家网信部门和有关部门在关键信息基础设施保护中取得的信息，只能用于维护网络安全的需要，不得用于其他用途。

二审稿增加规定，对网络存在较大安全隐患或者发生安全事件的运营者，有关部门可以按照规定的权限和程序对其法定代表人或主要责任人进行约谈；对故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作；对有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

二审稿还增加规定：国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序；网络运营者留存网络日志不得少于六个月；网络运营者对有关部门依法实施的监督检查应当予以配合。

二审稿拟增加大数据应用必须对公民个人信息进行匿名化处理的规定，进一步明确公民个人信息使用规则。