微信公(gōng)众号
安(ān)全科(kē)普
专注于网络安(ān)全领域研究,為(wèi)用(yòng)户提供网络安(ān)全服務(wù)、
信创应用(yòng)软件开发和系统集成等专业化服務(wù)
安(ān)全科(kē)普
首页(yè) > 安(ān)全科(kē)普 > 网络安(ān)全法律法规 > 中(zhōng)华人民(mín)共和國(guó)数据安(ān)全法

中(zhōng)华人民(mín)共和國(guó)数据安(ān)全法

浏览次数:8,009 次

立法沿革

《中(zhōng)华人民(mín)共和國(guó)数据安(ān)全法》已由中(zhōng)华人民(mín)共和國(guó)第十三届全國(guó)人民(mín)代表大会常務(wù)委员会第二十九次会议于2021年6月10日通过,现予公(gōng)布,自2021年9月1日起施行。

中(zhōng)华人民(mín)共和國(guó)数据安(ān)全法

(2021年6月10日第十三届全國(guó)人民(mín)代表大会常務(wù)委员会第二十九次会议通过)

目录

第一章 总则

第二章 数据安(ān)全与发展

第三章 数据安(ān)全制度

第四章 数据安(ān)全保护义務(wù)

第五章 政務(wù)数据安(ān)全与开放

第六章 法律责任

第七章 附则

第一章 总则

第一条 為(wèi)了规范数据处理(lǐ)活动,保障数据安(ān)全,促进数据开发利用(yòng),保护个人、组织的合法权益,维护國(guó)家主权、安(ān)全和发展利益,制定本法。

第二条 在中(zhōng)华人民(mín)共和國(guó)境内开展数据处理(lǐ)活动及其安(ān)全监管,适用(yòng)本法。

在中(zhōng)华人民(mín)共和國(guó)境外开展数据处理(lǐ)活动,损害中(zhōng)华人民(mín)共和國(guó)國(guó)家安(ān)全、公(gōng)共利益或者公(gōng)民(mín)、组织合法权益的,依法追究法律责任。

第三条 本法所称数据,是指任何以電(diàn)子或者其他(tā)方式对信息的记录。

数据处理(lǐ),包括数据的收集、存储、使用(yòng)、加工(gōng)、传输、提供、公(gōng)开等。

数据安(ān)全,是指通过采取必要措施,确保数据处于有(yǒu)效保护和合法利用(yòng)的状态,以及具(jù)备保障持续安(ān)全状态的能(néng)力。

第四条 维护数据安(ān)全,应当坚持总體(tǐ)國(guó)家安(ān)全观,建立健全数据安(ān)全治理(lǐ)體(tǐ)系,提高数据安(ān)全保障能(néng)力。

第五条 中(zhōng)央國(guó)家安(ān)全领导机构负责國(guó)家数据安(ān)全工(gōng)作(zuò)的决策和议事协调,研究制定、指导实施國(guó)家数据安(ān)全战略和有(yǒu)关重大方针政策,统筹协调國(guó)家数据安(ān)全的重大事项和重要工(gōng)作(zuò),建立國(guó)家数据安(ān)全工(gōng)作(zuò)协调机制。

第六条 各地區(qū)、各部门对本地區(qū)、本部门工(gōng)作(zuò)中(zhōng)收集和产(chǎn)生的数据及数据安(ān)全负责。

工(gōng)业、電(diàn)信、交通、金融、自然资源、卫生健康、教育、科(kē)技(jì )等主管部门承担本行业、本领域数据安(ān)全监管职责。

公(gōng)安(ān)机关、國(guó)家安(ān)全机关等依照本法和有(yǒu)关法律、行政法规的规定,在各自职责范围内承担数据安(ān)全监管职责。

國(guó)家网信部门依照本法和有(yǒu)关法律、行政法规的规定,负责统筹协调网络数据安(ān)全和相关监管工(gōng)作(zuò)。

第七条 國(guó)家保护个人、组织与数据有(yǒu)关的权益,鼓励数据依法合理(lǐ)有(yǒu)效利用(yòng),保障数据依法有(yǒu)序自由流动,促进以数据為(wèi)关键要素的数字经济发展。

第八条 开展数据处理(lǐ)活动,应当遵守法律、法规,尊重社会公(gōng)德(dé)和伦理(lǐ),遵守商(shāng)业道德(dé)和职业道德(dé),诚实守信,履行数据安(ān)全保护义務(wù),承担社会责任,不得危害國(guó)家安(ān)全、公(gōng)共利益,不得损害个人、组织的合法权益。

第九条 國(guó)家支持开展数据安(ān)全知识宣传普及,提高全社会的数据安(ān)全保护意识和水平,推动有(yǒu)关部门、行业组织、科(kē)研机构、企业、个人等共同参与数据安(ān)全保护工(gōng)作(zuò),形成全社会共同维护数据安(ān)全和促进发展的良好环境。

第十条 相关行业组织按照章程,依法制定数据安(ān)全行為(wèi)规范和团體(tǐ)标准,加强行业自律,指导会员加强数据安(ān)全保护,提高数据安(ān)全保护水平,促进行业健康发展。

第十一条 國(guó)家积极开展数据安(ān)全治理(lǐ)、数据开发利用(yòng)等领域的國(guó)际交流与合作(zuò),参与数据安(ān)全相关國(guó)际规则和标准的制定,促进数据跨境安(ān)全、自由流动。

第十二条 任何个人、组织都有(yǒu)权对违反本法规定的行為(wèi)向有(yǒu)关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理(lǐ)。

有(yǒu)关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。

第二章 数据安(ān)全与发展

第十三条 國(guó)家统筹发展和安(ān)全,坚持以数据开发利用(yòng)和产(chǎn)业发展促进数据安(ān)全,以数据安(ān)全保障数据开发利用(yòng)和产(chǎn)业发展。

第十四条 國(guó)家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新(xīn)应用(yòng)。

省级以上人民(mín)政府应当将数字经济发展纳入本级國(guó)民(mín)经济和社会发展规划,并根据需要制定数字经济发展规划。

第十五条 國(guó)家支持开发利用(yòng)数据提升公(gōng)共服務(wù)的智能(néng)化水平。提供智能(néng)化公(gōng)共服務(wù),应当充分(fēn)考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。

第十六条 國(guó)家支持数据开发利用(yòng)和数据安(ān)全技(jì )术研究,鼓励数据开发利用(yòng)和数据安(ān)全等领域的技(jì )术推广和商(shāng)业创新(xīn),培育、发展数据开发利用(yòng)和数据安(ān)全产(chǎn)品、产(chǎn)业體(tǐ)系。

第十七条 國(guó)家推进数据开发利用(yòng)技(jì )术和数据安(ān)全标准體(tǐ)系建设。國(guó)務(wù)院标准化行政主管部门和國(guó)務(wù)院有(yǒu)关部门根据各自的职责,组织制定并适时修订有(yǒu)关数据开发利用(yòng)技(jì )术、产(chǎn)品和数据安(ān)全相关标准。國(guó)家支持企业、社会团體(tǐ)和教育、科(kē)研机构等参与标准制定。

第十八条 國(guó)家促进数据安(ān)全检测评估、认证等服務(wù)的发展,支持数据安(ān)全检测评估、认证等专业机构依法开展服務(wù)活动。

國(guó)家支持有(yǒu)关部门、行业组织、企业、教育和科(kē)研机构、有(yǒu)关专业机构等在数据安(ān)全风险评估、防范、处置等方面开展协作(zuò)。

第十九条 國(guó)家建立健全数据交易管理(lǐ)制度,规范数据交易行為(wèi),培育数据交易市场。

第二十条 國(guó)家支持教育、科(kē)研机构和企业等开展数据开发利用(yòng)技(jì )术和数据安(ān)全相关教育和培训,采取多(duō)种方式培养数据开发利用(yòng)技(jì )术和数据安(ān)全专业人才,促进人才交流。

第三章 数据安(ān)全制度

第二十一条 國(guó)家建立数据分(fēn)类分(fēn)级保护制度,根据数据在经济社会发展中(zhōng)的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用(yòng),对國(guó)家安(ān)全、公(gōng)共利益或者个人、组织合法权益造成的危害程度,对数据实行分(fēn)类分(fēn)级保护。國(guó)家数据安(ān)全工(gōng)作(zuò)协调机制统筹协调有(yǒu)关部门制定重要数据目录,加强对重要数据的保护。

关系國(guó)家安(ān)全、國(guó)民(mín)经济命脉、重要民(mín)生、重大公(gōng)共利益等数据属于國(guó)家核心数据,实行更加严格的管理(lǐ)制度。

各地區(qū)、各部门应当按照数据分(fēn)类分(fēn)级保护制度,确定本地區(qū)、本部门以及相关行业、领域的重要数据具(jù)體(tǐ)目录,对列入目录的数据进行重点保护。

第二十二条 國(guó)家建立集中(zhōng)统一、高效权威的数据安(ān)全风险评估、报告、信息共享、监测预警机制。國(guó)家数据安(ān)全工(gōng)作(zuò)协调机制统筹协调有(yǒu)关部门加强数据安(ān)全风险信息的获取、分(fēn)析、研判、预警工(gōng)作(zuò)。

第二十三条 國(guó)家建立数据安(ān)全应急处置机制。发生数据安(ān)全事件,有(yǒu)关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安(ān)全隐患,并及时向社会发布与公(gōng)众有(yǒu)关的警示信息。

第二十四条 國(guó)家建立数据安(ān)全审查制度,对影响或者可(kě)能(néng)影响國(guó)家安(ān)全的数据处理(lǐ)活动进行國(guó)家安(ān)全审查。

依法作(zuò)出的安(ān)全审查决定為(wèi)最终决定。

第二十五条 國(guó)家对与维护國(guó)家安(ān)全和利益、履行國(guó)际义務(wù)相关的属于管制物(wù)项的数据依法实施出口管制。

第二十六条 任何國(guó)家或者地區(qū)在与数据和数据开发利用(yòng)技(jì )术等有(yǒu)关的投资、贸易等方面对中(zhōng)华人民(mín)共和國(guó)采取歧视性的禁止、限制或者其他(tā)类似措施的,中(zhōng)华人民(mín)共和國(guó)可(kě)以根据实际情况对该國(guó)家或者地區(qū)对等采取措施。

第四章 数据安(ān)全保护义務(wù)

第二十七条 开展数据处理(lǐ)活动应当依照法律、法规的规定,建立健全全流程数据安(ān)全管理(lǐ)制度,组织开展数据安(ān)全教育培训,采取相应的技(jì )术措施和其他(tā)必要措施,保障数据安(ān)全。利用(yòng)互联网等信息网络开展数据处理(lǐ)活动,应当在网络安(ān)全等级保护制度的基础上,履行上述数据安(ān)全保护义務(wù)。

重要数据的处理(lǐ)者应当明确数据安(ān)全负责人和管理(lǐ)机构,落实数据安(ān)全保护责任。

第二十八条 开展数据处理(lǐ)活动以及研究开发数据新(xīn)技(jì )术,应当有(yǒu)利于促进经济社会发展,增进人民(mín)福祉,符合社会公(gōng)德(dé)和伦理(lǐ)。

第二十九条 开展数据处理(lǐ)活动应当加强风险监测,发现数据安(ān)全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安(ān)全事件时,应当立即采取处置措施,按照规定及时告知用(yòng)户并向有(yǒu)关主管部门报告。

第三十条 重要数据的处理(lǐ)者应当按照规定对其数据处理(lǐ)活动定期开展风险评估,并向有(yǒu)关主管部门报送风险评估报告。

风险评估报告应当包括处理(lǐ)的重要数据的种类、数量,开展数据处理(lǐ)活动的情况,面临的数据安(ān)全风险及其应对措施等。

第三十一条 关键信息基础设施的运营者在中(zhōng)华人民(mín)共和國(guó)境内运营中(zhōng)收集和产(chǎn)生的重要数据的出境安(ān)全管理(lǐ),适用(yòng)《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》的规定;其他(tā)数据处理(lǐ)者在中(zhōng)华人民(mín)共和國(guó)境内运营中(zhōng)收集和产(chǎn)生的重要数据的出境安(ān)全管理(lǐ)办(bàn)法,由國(guó)家网信部门会同國(guó)務(wù)院有(yǒu)关部门制定。

第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他(tā)非法方式获取数据。

法律、行政法规对收集、使用(yòng)数据的目的、范围有(yǒu)规定的,应当在法律、行政法规规定的目的和范围内收集、使用(yòng)数据。

第三十三条 从事数据交易中(zhōng)介服務(wù)的机构提供服務(wù),应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。

第三十四条 法律、行政法规规定提供数据处理(lǐ)相关服務(wù)应当取得行政许可(kě)的,服務(wù)提供者应当依法取得许可(kě)。

第三十五条 公(gōng)安(ān)机关、國(guó)家安(ān)全机关因依法维护國(guó)家安(ān)全或者侦查犯罪的需要调取数据,应当按照國(guó)家有(yǒu)关规定,经过严格的批准手续,依法进行,有(yǒu)关组织、个人应当予以配合。

第三十六条 中(zhōng)华人民(mín)共和國(guó)主管机关根据有(yǒu)关法律和中(zhōng)华人民(mín)共和國(guó)缔结或者参加的國(guó)际条约、协定,或者按照平等互惠原则,处理(lǐ)外國(guó)司法或者执法机构关于提供数据的请求。非经中(zhōng)华人民(mín)共和國(guó)主管机关批准,境内的组织、个人不得向外國(guó)司法或者执法机构提供存储于中(zhōng)华人民(mín)共和國(guó)境内的数据。

第五章 政務(wù)数据安(ān)全与开放

第三十七条 國(guó)家大力推进電(diàn)子政務(wù)建设,提高政務(wù)数据的科(kē)學(xué)性、准确性、时效性,提升运用(yòng)数据服務(wù)经济社会发展的能(néng)力。

第三十八条 國(guó)家机关為(wèi)履行法定职责的需要收集、使用(yòng)数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中(zhōng)知悉的个人隐私、个人信息、商(shāng)业秘密、保密商(shāng)務(wù)信息等数据应当依法予以保密,不得泄露或者非法向他(tā)人提供。

第三十九条 國(guó)家机关应当依照法律、行政法规的规定,建立健全数据安(ān)全管理(lǐ)制度,落实数据安(ān)全保护责任,保障政務(wù)数据安(ān)全。

第四十条 國(guó)家机关委托他(tā)人建设、维护電(diàn)子政務(wù)系统,存储、加工(gōng)政務(wù)数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安(ān)全保护义務(wù)。受托方应当依照法律、法规的规定和合同约定履行数据安(ān)全保护义務(wù),不得擅自留存、使用(yòng)、泄露或者向他(tā)人提供政務(wù)数据。

第四十一条 國(guó)家机关应当遵循公(gōng)正、公(gōng)平、便民(mín)的原则,按照规定及时、准确地公(gōng)开政務(wù)数据。依法不予公(gōng)开的除外。

第四十二条 國(guó)家制定政務(wù)数据开放目录,构建统一规范、互联互通、安(ān)全可(kě)控的政務(wù)数据开放平台,推动政務(wù)数据开放利用(yòng)。

第四十三条 法律、法规授权的具(jù)有(yǒu)管理(lǐ)公(gōng)共事務(wù)职能(néng)的组织為(wèi)履行法定职责开展数据处理(lǐ)活动,适用(yòng)本章规定。
第六章 法律责任

第四十四条 有(yǒu)关主管部门在履行数据安(ān)全监管职责中(zhōng),发现数据处理(lǐ)活动存在较大安(ān)全风险的,可(kě)以按照规定的权限和程序对有(yǒu)关组织、个人进行约谈,并要求有(yǒu)关组织、个人采取措施进行整改,消除隐患。

第四十五条 开展数据处理(lǐ)活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安(ān)全保护义務(wù)的,由有(yǒu)关主管部门责令改正,给予警告,可(kě)以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他(tā)直接责任人员可(kě)以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照,对直接负责的主管人员和其他(tā)直接责任人员处五万元以上二十万元以下罚款。

违反國(guó)家核心数据管理(lǐ)制度,危害國(guó)家主权、安(ān)全和发展利益的,由有(yǒu)关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有(yǒu)关主管部门责令改正,给予警告,可(kě)以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他(tā)直接责任人员可(kě)以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照,对直接负责的主管人员和其他(tā)直接责任人员处十万元以上一百万元以下罚款。

第四十七条 从事数据交易中(zhōng)介服務(wù)的机构未履行本法第三十三条规定的义務(wù)的,由有(yǒu)关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有(yǒu)违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照;对直接负责的主管人员和其他(tā)直接责任人员处一万元以上十万元以下罚款。

第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有(yǒu)关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他(tā)直接责任人员处一万元以上十万元以下罚款。

违反本法第三十六条规定,未经主管机关批准向外國(guó)司法或者执法机构提供数据的,由有(yǒu)关主管部门给予警告,可(kě)以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他(tā)直接责任人员可(kě)以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照,对直接负责的主管人员和其他(tā)直接责任人员处五万元以上五十万元以下罚款。

第四十九条 國(guó)家机关不履行本法规定的数据安(ān)全保护义務(wù)的,对直接负责的主管人员和其他(tā)直接责任人员依法给予处分(fēn)。

第五十条 履行数据安(ān)全监管职责的國(guó)家工(gōng)作(zuò)人员玩忽职守、滥用(yòng)职权、徇私舞弊的,依法给予处分(fēn)。

第五十一条 窃取或者以其他(tā)非法方式获取数据,开展数据处理(lǐ)活动排除、限制竞争,或者损害个人、组织合法权益的,依照有(yǒu)关法律、行政法规的规定处罚。

第五十二条 违反本法规定,给他(tā)人造成损害的,依法承担民(mín)事责任。

违反本法规定,构成违反治安(ān)管理(lǐ)行為(wèi)的,依法给予治安(ān)管理(lǐ)处罚;构成犯罪的,依法追究刑事责任。

第七章 附  则

第五十三条 开展涉及國(guó)家秘密的数据处理(lǐ)活动,适用(yòng)《中(zhōng)华人民(mín)共和國(guó)保守國(guó)家秘密法》等法律、行政法规的规定。

在统计、档案工(gōng)作(zuò)中(zhōng)开展数据处理(lǐ)活动,开展涉及个人信息的数据处理(lǐ)活动,还应当遵守有(yǒu)关法律、行政法规的规定。

第五十四条 军事数据安(ān)全保护的办(bàn)法,由中(zhōng)央军事委员会依据本法另行制定。

第五十五条 本法自2021年9月1日起施行。