中華人民共和國數據安全法
(2021年6月10日第十三屆全國人民代表大會(huì )常務(wù)委員會(huì )第二十九次會(huì )議通過(guò))
2021年9月1日起施行
目 錄
第一章 總則
第二章 數據安全與發(fā)展
第三章 數據安全制度
第四章 數據安全保護義務(wù)
第五章 政務(wù)數據安全與開(kāi)放
第六章 法律責任
第七章 附則
第一章 總則
第一條 為了規范數據處理活動(dòng)���,保障數據安全��,促進(jìn)數據開(kāi)發(fā)利用����,保護個(gè)人�、組織的合法權益��,維護國家主權�����、安全和發(fā)展利益���,制定本法�。
第二條 在中華人民共和國境內開(kāi)展數據處理活動(dòng)及其安全監管���,適用本法�����。在中華人民共和國境外開(kāi)展數據處理活動(dòng)���,損害中華人民共和國國家安全��、公共利益或者公民�����、組織合法權益的���,依法追究法律責任��。
第三條 本法所稱(chēng)數據����,是指任何以電子或者其他方式對信息的記錄���。數據處理�,包括數據的收集��、存儲��、使用���、加工�、傳輸��、提供��、公開(kāi)等���。數據安全�����,是指通過(guò)采取必要措施�����,確保數據處于有效保護和合法利用的狀態(tài)����,以及具備保障持續安全狀態(tài)的能力���。
第四條 維護數據安全��,應當堅持總體國家安全觀(guān)��,建立健全數據安全治理體系���,提高數據安全保障能力��。
第五條 中央國家安全領(lǐng)導機構負責國家數據安全工作的決策和議事協(xié)調����,研究制定��、指導實(shí)施國家數據安全戰略和有關(guān)重大方針政策�����,統籌協(xié)調國家數據安全的重大事項和重要工作�����,建立國家數據安全工作協(xié)調機制�。
第六條 各地區�、各部門(mén)對本地區���、本部門(mén)工作中收集和產(chǎn)生的數據及數據安全負責��。工業(yè)�、電信�����、交通����、金融�����、自然資源����、衛生健康�����、教育��、科技等主管部門(mén)承擔本行業(yè)��、本領(lǐng)域數據安全監管職責����。公安機關(guān)��、國家安全機關(guān)等依照本法和有關(guān)法律���、行政法規的規定�,在各自職責范圍內承擔數據安全監管職責����。國家網(wǎng)信部門(mén)依照本法和有關(guān)法律���、行政法規的規定��,負責統籌協(xié)調網(wǎng)絡(luò )數據安全和相關(guān)監管工作�。
第七條 國家保護個(gè)人���、組織與數據有關(guān)的權益��,鼓勵數據依法合理有效利用�,保障數據依法有序自由流動(dòng)�����,促進(jìn)以數據為關(guān)鍵要素的數字經(jīng)濟發(fā)展���。
第八條 開(kāi)展數據處理活動(dòng)����,應當遵守法律��、法規�,尊重社會(huì )公德和倫理��,遵守商業(yè)道德和職業(yè)道德�,誠實(shí)守信���,履行數據安全保護義務(wù)�,承擔社會(huì )責任�����,不得危害國家安全����、公共利益���,不得損害個(gè)人��、組織的合法權益����。
第九條 國家支持開(kāi)展數據安全知識宣傳普及�����,提高全社會(huì )的數據安全保護意識和水平�����,推動(dòng)有關(guān)部門(mén)���、行業(yè)組織�、科研機構�����、企業(yè)��、個(gè)人等共同參與數據安全保護工作�,形成全社會(huì )共同維護數據安全和促進(jìn)發(fā)展的良好環(huán)境����。
第十條 相關(guān)行業(yè)組織按照章程�,依法制定數據安全行為規范和團體標準����,加強行業(yè)自律���,指導會(huì )員加強數據安全保護���,提高數據安全保護水平�,促進(jìn)行業(yè)健康發(fā)展�。
第十一條 國家積極開(kāi)展數據安全治理�、數據開(kāi)發(fā)利用等領(lǐng)域的國際交流與合作��,參與數據安全相關(guān)國際規則和標準的制定��,促進(jìn)數據跨境安全�、自由流動(dòng)����。
第十二條 任何個(gè)人�、組織都有權對違反本法規定的行為向有關(guān)主管部門(mén)投訴�、舉報��。收到投訴���、舉報的部門(mén)應當及時(shí)依法處理����。有關(guān)主管部門(mén)應當對投訴�、舉報人的相關(guān)信息予以保密�����,保護投訴�����、舉報人的合法權益���。
第二章 數據安全與發(fā)展
第十三條 國家統籌發(fā)展和安全����,堅持以數據開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數據安全��,以數據安全保障數據開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展�。
第十四條 國家實(shí)施大數據戰略����,推進(jìn)數據基礎設施建設�,鼓勵和支持數據在各行業(yè)�����、各領(lǐng)域的創(chuàng )新應用���。省級以上人民政府應當將數字經(jīng)濟發(fā)展納入本級國民經(jīng)濟和社會(huì )發(fā)展規劃��,并根據需要制定數字經(jīng)濟發(fā)展規劃��。
第十五條 國家支持開(kāi)發(fā)利用數據提升公共服務(wù)的智能化水平��。提供智能化公共服務(wù)��,應當充分考慮老年人�����、殘疾人的需求�����,避免對老年人���、殘疾人的日常生活造成障礙���。
第十六條 國家支持數據開(kāi)發(fā)利用和數據安全技術(shù)研究�,鼓勵數據開(kāi)發(fā)利用和數據安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng )新���,培育���、發(fā)展數據開(kāi)發(fā)利用和數據安全產(chǎn)品���、產(chǎn)業(yè)體系�����。
第十七條 國家推進(jìn)數據開(kāi)發(fā)利用技術(shù)和數據安全標準體系建設�。國務(wù)院標準化行政主管部門(mén)和國務(wù)院有關(guān)部門(mén)根據各自的職責���,組織制定并適時(shí)修訂有關(guān)數據開(kāi)發(fā)利用技術(shù)���、產(chǎn)品和數據安全相關(guān)標準�。國家支持企業(yè)��、社會(huì )團體和教育���、科研機構等參與標準制定��。
第十八條 國家促進(jìn)數據安全檢測評估���、認證等服務(wù)的發(fā)展����,支持數據安全檢測評估��、認證等專(zhuān)業(yè)機構依法開(kāi)展服務(wù)活動(dòng)�。國家支持有關(guān)部門(mén)����、行業(yè)組織�、企業(yè)�、教育和科研機構���、有關(guān)專(zhuān)業(yè)機構等在數據安全風(fēng)險評估���、防范����、處置等方面開(kāi)展協(xié)作���。
第十九條 國家建立健全數據交易管理制度���,規范數據交易行為�����,培育數據交易市場(chǎng)��。
第二十條 國家支持教育��、科研機構和企業(yè)等開(kāi)展數據開(kāi)發(fā)利用技術(shù)和數據安全相關(guān)教育和培訓����,采取多種方式培養數據開(kāi)發(fā)利用技術(shù)和數據安全專(zhuān)業(yè)人才�����,促進(jìn)人才交流����。
第三章 數據安全制度
第二十一條 國家建立數據分類(lèi)分級保護制度���,根據數據在經(jīng)濟社會(huì )發(fā)展中的重要程度���,以及一旦遭到篡改����、破壞�、泄露或者非法獲取�、非法利用�,對國家安全�、公共利益或者個(gè)人�����、組織合法權益造成的危害程度����,對數據實(shí)行分類(lèi)分級保護��。國家數據安全工作協(xié)調機制統籌協(xié)調有關(guān)部門(mén)制定重要數據目錄�����,加強對重要數據的保護��。關(guān)系國家安全��、國民經(jīng)濟命脈�、重要民生�����、重大公共利益等數據屬于國家核心數據�����,實(shí)行更加嚴格的管理制度�。各地區�、各部門(mén)應當按照數據分類(lèi)分級保護制度����,確定本地區���、本部門(mén)以及相關(guān)行業(yè)�、領(lǐng)域的重要數據具體目錄���,對列入目錄的數據進(jìn)行重點(diǎn)保護����。
第二十二條 國家建立集中統一�����、高效權威的數據安全風(fēng)險評估����、報告�����、信息共享��、監測預警機制����。國家數據安全工作協(xié)調機制統籌協(xié)調有關(guān)部門(mén)加強數據安全風(fēng)險信息的獲取�����、分析�、研判���、預警工作����。
第二十三條 國家建立數據安全應急處置機制���。發(fā)生數據安全事件�����,有關(guān)主管部門(mén)應當依法啟動(dòng)應急預案�,采取相應的應急處置措施���,防止危害擴大����,消除安全隱患����,并及時(shí)向社會(huì )發(fā)布與公眾有關(guān)的警示信息�����。
第二十四條 國家建立數據安全審查制度���,對影響或者可能影響國家安全的數據處理活動(dòng)進(jìn)行國家安全審查����。依法作出的安全審查決定為最終決定�����。
第二十五條 國家對與維護國家安全和利益����、履行國際義務(wù)相關(guān)的屬于管制物項的數據依法實(shí)施出口管制�。
第二十六條 任何國家或者地區在與數據和數據開(kāi)發(fā)利用技術(shù)等有關(guān)的投資�、貿易等方面對中華人民共和國采取歧視性的禁止�、限制或者其他類(lèi)似措施的��,中華人民共和國可以根據實(shí)際情況對該國家或者地區對等采取措施���。
第四章 數據安全保護義務(wù)
第二十七條 開(kāi)展數據處理活動(dòng)應當依照法律����、法規的規定���,建立健全全流程數據安全管理制度���,組織開(kāi)展數據安全教育培訓��,采取相應的技術(shù)措施和其他必要措施���,保障數據安全���。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò )開(kāi)展數據處理活動(dòng)�,應當在網(wǎng)絡(luò )安全等級保護制度的基礎上��,履行上述數據安全保護義務(wù)��。重要數據的處理者應當明確數據安全負責人和管理機構��,落實(shí)數據安全保護責任����。
第二十八條 開(kāi)展數據處理活動(dòng)以及研究開(kāi)發(fā)數據新技術(shù)����,應當有利于促進(jìn)經(jīng)濟社會(huì )發(fā)展��,增進(jìn)人民福祉��,符合社會(huì )公德和倫理�。
第二十九條 開(kāi)展數據處理活動(dòng)應當加強風(fēng)險監測���,發(fā)現數據安全缺陷�����、漏洞等風(fēng)險時(shí)�����,應當立即采取補救措施��;發(fā)生數據安全事件時(shí)���,應當立即采取處置措施�����,按照規定及時(shí)告知用戶(hù)并向有關(guān)主管部門(mén)報告�。
第三十條 重要數據的處理者應當按照規定對其數據處理活動(dòng)定期開(kāi)展風(fēng)險評估����,并向有關(guān)主管部門(mén)報送風(fēng)險評估報告����。風(fēng)險評估報告應當包括處理的重要數據的種類(lèi)�、數量����,開(kāi)展數據處理活動(dòng)的情況����,面臨的數據安全風(fēng)險及其應對措施等��。
第三十一條 關(guān)鍵信息基礎設施的運營(yíng)者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境安全管理����,適用《中華人民共和國網(wǎng)絡(luò )安全法》的規定����;其他數據處理者在中華人民共和國境內運營(yíng)中收集和產(chǎn)生的重要數據的出境
安全管理辦法��,由國家網(wǎng)信部門(mén)會(huì )同國務(wù)院有關(guān)部門(mén)制定�。
第三十二條 任何組織�����、個(gè)人收集數據��,應當采取合法�、正當的方式�����,不得竊取或者以其他非法方式獲取數據����。
法律���、行政法規對收集�、使用數據的目的�����、范圍有規定的��,應當在法律��、行政法規規定的目的和范圍內收集��、使用數據��。
第三十三條 從事數據交易中介服務(wù)的機構提供服務(wù)��,應當要求數據提供方說(shuō)明數據來(lái)源����,審核交易雙方的身份���,并留存審核����、交易記錄�����。
第三十四條 法律��、行政法規規定提供數據處理相關(guān)服務(wù)應當取得行政許可的���,服務(wù)提供者應當依法取得許可�。
第三十五條 公安機關(guān)���、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調取數據�����,應當按照國家有關(guān)規定�����,經(jīng)過(guò)嚴格的批準手續���,依法進(jìn)行�,有關(guān)組織��、個(gè)人應當予以配合��。
第三十六條 中華人民共和國主管機關(guān)根據有關(guān)法律和中華人民共和國締結或者參加的國際條約����、協(xié)定����,或者按照平等互惠原則��,處理外國司法或者執法機構關(guān)于提供數據的請求�����。非經(jīng)中華人民共和國主管機關(guān)批準�����,境內的組織�、個(gè)
人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據���。
第五章 政務(wù)數據安全與開(kāi)放
第三十七條 國家大力推進(jìn)電子政務(wù)建設��,提高政務(wù)數據的科學(xué)性���、準確性���、時(shí)效性����,提升運用數據服務(wù)經(jīng)濟社會(huì )發(fā)展的能力�。
第三十八條 國家機關(guān)為履行法定職責的需要收集��、使用數據����,應當在其履行法定職責的范圍內依照法律����、行政法規規定的條件和程序進(jìn)行����;對在履行職責中知悉的個(gè)人隱私�����、個(gè)人信息�����、商業(yè)秘密��、保密商務(wù)信息等數據應當依法予以保密�,不得泄露或者非法向他人提供��。
第三十九條 國家機關(guān)應當依照法律��、行政法規的規定�����,建立健全數據安全管理制度�,落實(shí)數據安全保護責任����,保障政務(wù)數據安全�。
第四十條 國家機關(guān)委托他人建設��、維護電子政務(wù)系統�,存儲�、加工政務(wù)數據�����,應當經(jīng)過(guò)嚴格的批準程序�����,并應當監督受托方履行相應的數據安全保護義務(wù)�����。受托方應當依照法律�、法規的規定和合同約定履行數據安全保護義務(wù)��,不得擅自留存����、使用�����、泄露或者向他人提供政務(wù)數據��。
第四十一條 國家機關(guān)應當遵循公正����、公平��、便民的原則�����,按照規定及時(shí)��、準確地公開(kāi)政務(wù)數據�。依法不予公開(kāi)的除外�����。
第四十二條 國家制定政務(wù)數據開(kāi)放目錄���,構建統一規范�、互聯(lián)互通�����、安全可控的政務(wù)數據開(kāi)放平臺�,推動(dòng)政務(wù)數據開(kāi)放利用�����。
第四十三條 法律���、法規授權的具有管理公共事務(wù)職能的組織為履行法定職責開(kāi)展數據處理活動(dòng)���,適用本章規定�����。
第六章 法律責任
第四十四條 有關(guān)主管部門(mén)在履行數據安全監管職責中���,發(fā)現數據處理活動(dòng)存在較大安全風(fēng)險的��,可以按照規定的權限和程序對有關(guān)組織�、個(gè)人進(jìn)行約談��,并要求有關(guān)組織����、個(gè)人采取措施進(jìn)行整改����,消除隱患�。
第四十五條 開(kāi)展數據處理活動(dòng)的組織����、個(gè)人不履行本法第二十七條����、第二十九條�、第三十條規定的數據安全保護義務(wù)的���,由有關(guān)主管部門(mén)責令改正��,給予警告�,可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款��,對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款����;拒不改正或者造成大量數據泄露等嚴重后果的�����,處五十萬(wàn)元以上二百萬(wàn)元以下罰款�,并可以責令暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓��、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照�����,對直接負責的主管人員和其他直接責任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款���。違反國家核心數據管理制度�����,危害國家主權�����、安全和發(fā)展利益的�����,由有關(guān)主管部門(mén)處二百萬(wàn)元以上一千萬(wàn)元以下罰款�����,并根據情況責令暫停相關(guān)業(yè)務(wù)��、停業(yè)整頓����、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照��;構成犯罪的��,依法追究刑事責任����。
第四十六條 違反本法第三十一條規定��,向境外提供重要數據的�,由有關(guān)主管部門(mén)責令改正�����,給予警告���,可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款�����,對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款���;情節嚴重的����,處一百萬(wàn)元以上一千萬(wàn)元以下罰款�,并可以責令暫停相關(guān)業(yè)務(wù)�����、停業(yè)整頓����、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照��,對直接負責的主管人員和其他直接責任人員處十萬(wàn)元以上一百萬(wàn)元以下罰款�。
第四十七條 從事數據交易中介服務(wù)的機構未履行本法第三十三條規定的義務(wù)的�,由有關(guān)主管部門(mén)責令改正��,沒(méi)收違法所得���,處違法所得一倍以上十倍以下罰款��,沒(méi)有違法所得或者違法所得不足十萬(wàn)元的�����,處十萬(wàn)元以上一百萬(wàn)元以下罰款�,并可以責令暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓�����、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照����;對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款��。
第四十八條 違反本法第三十五條規定��,拒不配合數據調取的�,由有關(guān)主管部門(mén)責令改正��,給予警告�,并處五萬(wàn)元以上五十萬(wàn)元以下罰款����,對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款����。違反本法第三十六條規定�����,未經(jīng)主管機關(guān)批準向外國司法或者執法機構提供數據的���,由有關(guān)主管部門(mén)給予警告�����,可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款�����,對直接負責的主管人員和其他直接責任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款��;造成嚴重后果的����,處一百萬(wàn)元以上五百萬(wàn)元以下罰款�,并可以責令暫停相關(guān)業(yè)務(wù)����、停業(yè)整頓��、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執照���,對直接負責的主管人員和其他直接責任人員處五萬(wàn)元以上五十萬(wàn)元以下罰款�。
第四十九條 國家機關(guān)不履行本法規定的數據安全保護義務(wù)的�,對直接負責的主管人員和其他直接責任人員依法給予處分���。
第五十條 履行數據安全監管職責的國家工作人員玩忽職守����、濫用職權�、徇私舞弊的���,依法給予處分��。
第五十一條 竊取或者以其他非法方式獲取數據�����,開(kāi)展數據處理活動(dòng)排除���、限制競爭����,或者損害個(gè)人�����、組織合法權益的����,依照有關(guān)法律����、行政法規的規定處罰�����。
第五十二條 違反本法規定��,給他人造成損害的����,依法承擔民事責任����。違反本法規定����,構成違反治安管理行為的��,依法給予治安管理處罰���;構成犯罪的�����,依法追究刑事責任��。
第七章 附則
第五十三條 開(kāi)展涉及國家秘密的數據處理活動(dòng)�,適用《中華人民共和國保守國家秘密法》等法律�、行政法規的規定��。在統計���、檔案工作中開(kāi)展數據處理活動(dòng)�����,開(kāi)展涉及個(gè)人信息的數據處理活動(dòng)���,還應當遵守有關(guān)法律�����、行政法規的規定����。
第五十四條 軍事數據安全保護的辦法����,由中央軍事委員會(huì )依據本法另行制定�。
第五十五條 本法自 2021 年 9 月 1 日起施行�。
