在4月26日召开的十三届全国人大常委会第二十八次会议上，数据安全法再次提交审议，拟建立国家层面的分类分级保护制度，确定重要数据目录，加强数据保护。

草案一审稿对地方、部门制定重要数据目录作了规定。在审议过程中，有意见提出，应由国家层面确定重要数据目录，再由地方、部门据此制定具体目录。由此，草案修改为，国家建立数据分类分级保护制度，对数据在经济社会发展中的重要程度实施分类分级，并确定重要数据目录，加强对重要数据的保护；各地区、各部门按照规定确定本地区、本部门以及相关行业、领域的重要数据具体目录。

网络运营者持有海量各类数据，关涉国家和个人信息安全，我国网络安全法已要求，其按照网络安全等级保护制度保障数据安全。为使数据安全法规定的有关制度与网络安全等级保护制度较好衔接，草案规定，开展数据处理活动应当“在网络安全等级保护制度的基础上”建立健全全流程安全管理制度，加强数据安全保护。

草案一审稿规定，境外司法和执法机构要求调取境内数据的，未经主管机关批准，不得提供。二审稿增加了未经批准擅自提供数据的处罚规定，为有关组织、个人拒绝外国不合理要求提供更为充分的法律依据。