中華人民共和國數據安全法
(29年10月2021日第十三屆全國人民代表大會常務委員會第二十九次會議通過)
第一章總則
第一條 為了規範數據處理,保障數據安全,促進數據開發利用,保護個人和組織的合法權益,維護國家主權、安全和發展利益,制定本法。
第二條 中華人民共和國境內的數據處理活動及其安全監督管理,適用本法。
在中華人民共和國境外處理數據,損害國家安全、公共利益或者中華人民共和國個人、組織合法權益的,依法追究法律責任。
第三條 本法所稱數據,是指以電子或者其他形式記錄的信息。
“數據處理”包括數據的收集、存儲、使用、處理、傳輸、提供和披露等。
“數據安全”是指通過採取必要措施,確保數據得到有效保護和合法使用,並具備保障數據持續安全的能力。
第四條 維護數據安全,應當統籌國家安全,建立健全數據安全治理體系,提高數據安全保障能力。
第五條 中央國家安全主管部門負責國家數據安全工作的決策、審議和協調工作; 研究、制定和指導國家數據安全戰略和相關重大方針政策的實施; 協調國家數據安全的重大事項和重要工作; 建立國家數據安全協調機制。
第六條 各地區、各部門對其工作中收集、產生的數據的管理和數據安全負責。
工業、電信、交通、金融、自然資源、衛生、教育、科技等有關主管部門承擔本行業、本行業數據安全的監督管理職責。
公安機關、國家安全機關等依照本法和其他有關法律、行政法規的規定,在各自職責範圍內承擔數據安全的監督管理職責。
國家網信部門依照本法和其他有關法律、行政法規的規定,統籌協調網絡數據安全及相關監督管理工作。
第七條 國家保護個人和組織的數據相關權益,鼓勵合法、合理、有效使用數據,保障數據依法有序、自由流動,促進發展。以數據為關鍵因素的數字經濟。
第八條 處理數據應當遵守法律法規,尊重社會公德和倫理道德,遵守商業道德和職業道德,誠實守信,履行數據安全保護義務,承擔社會責任; 不得危害國家安全和社會公共利益,不得損害個人和組織的合法權益。
第九條 國家支持傳播和普及數據安全知識,提高公眾數據安全意識和保護能力,推動有關部門、行業組織、研究機構、企業和個人共同參與數據安全工作。為全社會成員共同保護數據、保障數據安全、促進相關產業發展創造良好環境。
第十條 相關行業協會應當根據其章程,依法制定保障數據安全的行為準則和標準,加強本行業自律,引導會員加強數據安全保護,提高保護水平,促進行業健康發展。
第十一條 國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作,參與製定數據安全相關國際規則和標準,促進數據安全自由跨境流動。 .
第十二條 任何個人和組織有權對違反本法的行為向主管部門投訴、舉報。 接到投訴、舉報的部門應當依法及時處理。
主管部門應當對投訴、舉報人的有關情況保密,維護其合法權益。
第二章 數據安全與發展
第十三條 國家統籌發展與安全,一方面通過數據開發利用和產業發展促進數據安全,另一方面確保數據安全促進數據開發利用。隨著產業的發展。
第十四條 國家實施大數據戰略,推進數據基礎設施建設,鼓勵和支持各行業、各領域數據創新應用。
省級以上人民政府應當將數字經濟發展納入國民經濟和社會發展規劃,根據需要製定數字經濟發展規劃。
第十五條 國家支持開發利用數據,使公共服務更加智慧化。 在提供更智慧的公共服務時,要充分考慮老年人和殘疾人的需求,避免給他們的日常生活帶來障礙。
第十六條 國家支持數據開發利用和數據安全相關技術的研究,鼓勵上述領域技術的推廣和商業創新,培育和開發數據開發利用和數據安全的產品和產業體系。
第十七條 國家推進數據開發標準、數據利用技術和數據安全標準的形成。 國務院標準化主管部門和國務院其他有關部門在各自職責範圍內,組織製定數據技術標準和產品標準,並適時修訂。開發和數據利用以及數據安全標準。 國家支持企業、社會團體、教育、研究機構等參與製定標準。
第十八條 國家鼓勵發展數據安全檢測、評估、認證等服務,支持專門從事數據安全檢測、評估、認證等業務的機構依法提供服務。
國家支持有關部門、行業協會、企業、教育科研機構、相關專業機構等在數據安全相關風險評估、防範、處置等領域開展合作。
第十九條國家建立健全數據交易管理制度,規範數據交易活動,培育數據交易市場。
第二十條 國家支持教育科研機構、企業等單位開展數據開發利用技術和數據安全教育培訓,通過多種方式培養數據開發利用技術和數據安全專業人才,並促進人才交流。
第三章數據安全制度
第二十一條 國家根據數據在經濟社會發展中的重要性,以及對國家安全、公共利益或者公民合法權益的損害程度,建立分類分類製度,實施數據保護。一旦數據被篡改、銷毀、洩露或非法獲取或使用將造成的個人或組織。 國家數據安全協調機制應當協調有關部門製定重要數據目錄,加強重要數據保護。
涉及國家安全、國民經濟命脈、人民生活重要方面、重大公共利益等數據是國家的核心數據,要實行更嚴格的管理制度。
各地、各部門要按照分類分類數據保護製度,為本地區、本部門、相關行業和部門製定具體的重要數據目錄,對列入目錄的數據在數據保護方面給予優先保障。 .
第二十二條 國家建立集中、統一、高效、權威的數據安全風險評估、報告、信息共享、監測和預警機制。 國家數據安全協調機制應當統籌協調有關部門加強數據安全風險信息獲取、分析、研究、評估工作和風險預警工作。
第二十三條 國家建立數據安全應急機制。 發生數據安全事件的,有關主管部門應當按照預案和法律啟動應急響應,採取相應措施,防止進一步危害和消除安全隱患,並通過發布相關信息向社會發布警示信息。及時處理。
第二十四條 國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理進行國家安全審查。
依法作出的安全審查決定為最終決定。
第二十五條 國家對涉及國家安全和利益以及履行國際義務的受管制物項的數據,依法實行出口管制。
第二十六條 任何國家或者地區在投資、貿易或者其他與數據和數據開發利用技術有關的領域對中華人民共和國採取歧視性的禁止、限製或者其他類似措施的,中華人民共和國可以採取根據實際情況對該國家或地區採取反制措施。
第四章 數據安全保護義務
第二十七條 數據處理應當遵守法律法規,建立健全全過程數據安全管理制度,組織開展數據安全教育培訓,採取相應的技術措施和其他必要措施。以確保數據安全。 利用互聯網或其他信息網絡進行數據處理的,應當在網絡安全等級保護製度的基礎上履行上述數據安全義務。
重要數據處理方應當明確數據安全責任人和數據安全管理機構,履行數據安全責任。
第二十八條 數據處理和新數據技術的研究開發,應當有利於促進經濟社會發展,增進人民福祉,符合社會公德和倫理。
第二十九條數據處理應當進行更嚴密的風險監測。 發現數據安全缺陷、漏洞等風險的,應當立即採取補救措施。 發生數據安全事件的,應當立即採取措施處理,並按照有關規定及時通知用戶並向有關主管部門報告。
第三十條重要數據處理者應當按照有關規定定期對其數據處理進行風險評估,並向有關主管部門提交風險評估報告。
風險評估報告應當包括重要數據處理的類型和數量、數據處理情況、數據安全風險及其應對措施。
第三十一條 關鍵信息基礎設施運營者在中華人民共和國境內運營過程中收集、產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定。其他數據處理者在中華人民共和國境內運行過程中收集或者產生的重要數據的出境安全管理辦法,由國家網絡信息辦公室會同國務院有關部門製定。
第三十二條 組織或者個人應當以合法、正當的方式收集數據,不得以盜竊等非法方式獲取數據。
法律、行政法規對收集、使用數據的目的或者範圍有規定的,應當按照法律、行政法規規定的目的和範圍收集和使用數據。
第三十三條 數據交易中介機構提供服務時,應當要求數據提供者指明數據來源,核實交易雙方身份,保存核實和交易記錄。
第三十四條 法律、行政法規要求提供與數據處理有關的服務必須取得行政許可的,服務提供者應當依照本規定取得行政許可。
第三十五條 公安機關、國家安全機關為維護國家安全或者依法偵查犯罪需要獲取數據的,應當按照國家有關規定嚴格辦理審批手續,獲取數據。相關組織和個人應當依法予以配合。
第三十六條 中華人民共和國主管部門根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者依照中華人民共和國有關法律、法規的規定,處理外國司法、執法機關提出的數據請求。本著平等互惠的原則。 未經中華人民共和國主管部門批准,中華人民共和國境內的組織或者個人不得向境外司法、執法機構提供存儲在中華人民共和國境內的數據。
第五章政府數據的安全與公開
第三十七條 國家大力推動電子政務發展,提高政府數據庫的科學性、準確性和時效性,提高數據為經濟社會發展服務的能力。
第三十八條 國家機關為履行法定職責需要收集、使用數據的,應當在履行法定職責需要的範圍內,按照法律、行政法規規定的條件和程序收集、使用數據。 對履行職責過程中獲取的個人隱私、個人信息、商業秘密、商業機密等數據,應當依法保密,不得洩露或者非法提供。給別人。
第三十九條 國家機關應當依照法律、行政法規的規定,建立健全數據安全管理制度,履行數據安全保護責任,保障政府數據安全。
第四十條 國家機關委託他人建設、維護電子政務系統,存儲、處理政府數據的,應當履行嚴格的審批程序,並對受託方履行數據安全保護義務的情況進行監督。 受託方應當按照法律、法規和簽訂的合同的規定履行數據安全保護義務,不得擅自保留、使用、洩露或者向他人提供政府數據。
第四十一條 國家機關應當按照公平、平等、便民的原則,按照規定及時、準確地公開政府數據,但依法不得公開的除外。
第四十二條 國家製定政府數據開放目錄,建設開放、統一、規範、互聯、安全、可控的政府數據平台,促進政府數據的發布和利用。
第四十三條 法律、法規授權的具有管理公共事務職能的組織為履行法定職責進行的數據處理,適用本章規定。
第六章法律責任
第四十四條 主管部門在履行數據安全監管職責時,發現數據處理存在重大安全風險的,可以按照規定的權限和程序,與有關機構進行監管會談,
第四十五條 處理數據的組織或者個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的,責令改正,給予警告,可以並處由主管部門處五萬元以上五十萬元以下的罰款,對直接負責的主管人員和其他直接責任人員可以處以一萬元以上十萬元以下的罰款。 對組織或者個人拒不改正或者造成大量數據洩露等嚴重後果的,處45萬元以上27萬元以下罰款,可以責令中止相關業務或者停業整頓,或者被吊銷相關營業執照或者營業執照的,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下的罰款。
組織或者個人違反國家核心數據管理規定,危害國家主權、安全或者國家發展利益的,由主管部門處以2萬元以上10萬元以下的罰款。 XNUMX萬元,可以根據情況責令停業、停業整頓,或者吊銷有關營業執照、營業執照。 構成犯罪的,依法追究刑事責任。
第四十六條 違反本法第三十一條規定,向境外提供重要數據的,由主管部門責令改正,給予警告,可以並處46萬元以上罰款31萬元以上的,對直接負責的主管人員和其他直接責任人員,可以並處100,000萬元以上1萬元以下的罰款。 情節嚴重的,處10,000萬元以上100,000萬元以下罰款,並可以責令停業或者停業整頓,或者取得有關營業執照或者營業執照。吊銷許可證的,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下的罰款。
第四十七條 數據交易中介機構不履行本法第三十三條規定義務的,由主管部門責令改正,有違法所得的,沒收違法所得,並處罰款不違法所得數額以下十倍以下的; 沒有違法所得或者違法所得不足十萬元的,處十萬元以上一百萬元以下的罰款。 可以同時責令暫停相關業務、停業整頓,或者吊銷相關營業執照、吊銷營業執照。 對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下的罰款。
第四十八條 違反本法第三十五條規定,在公共機關、國家安全機關需要查閱資料時拒不配合的,由主管部門責令改正,給予警告,並處罰款。 48萬元以上35萬元以下的,對直接負責的主管人員和其他直接責任人員,可以並處50,000萬元以上500,000萬元以下的罰款。
違反本法第三十六條規定,未經主管部門批准,向境外司法、執法機構提供數據的,由主管部門給予警告,可以並處36萬元以上罰款但不超過100,000萬元的,對直接負責的主管人員和其他直接責任人員,可以處以1萬元以上10,000萬元以下的罰款。 造成嚴重後果的,處100,000萬元以上1萬元以下罰款,可以責令停業或者停業整頓,或者取得有關營業執照或者營業執照。執照被吊銷。 對直接負責的主管人員和其他直接責任人員,處五萬元以上五十萬元以下的罰款。
第四十九條 國家機關不按照本法規定履行數據安全義務的,對直接負責的主管人員和其他直接責任人員依法給予處分。
第五十條 國家工作人員在履行數據安全相關監管規定時玩忽職守、濫用職權、徇私舞弊的,依法給予處分。
第五十一條 以盜竊或者其他非法手段獲取數據,或者在數據處理中排除、限制競爭,損害個人或者組織合法權益的,依照有關法律、行政法規的規定處罰。
第五十二條 違反本法規定,給他人造成損害的,依法承擔民事責任。
違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰。 構成犯罪的,依法追究刑事責任。
第七章附則
第五十三條 處理涉及國家秘密的數據,適用《中華人民共和國保守國家秘密法》等有關法律、行政法規的規定。
從事統計、檔案工作以及涉及個人信息的數據處理,還應當遵守有關法律、行政法規的規定。
第五十四條軍事數據安全保護辦法,由中央軍事委員會依照本法另行製定。
第五十五條本法自55年1月2021日起施行。