Портал законов Китая - CJO

Найдите законы Китая и официальные публичные документы на английском языке

Английскийарабском Китайский (упрощенное письмо)ГолландскийФранцузскийНемецкийХиндиИтальянскийЯпонскийКорейскийПортугальскийРусскийИспанскийШведскийдревнееврейскийИндонезийскийВьетнамскийТайскийТурецкийMalay

Закон Китая о безопасности данных (2021 г.)

Закон о безопасности данных

Типы законов закон

Орган выдачи Постоянная комиссия Национального народного конгресса

Дата обнародования Июнь 10, 2021

Дата вступления в силу сентябрь 01, 2021

Статус действия Действительный

Сфера применения Общенациональный

Тема (ы) Защита персональных данных

Редактор (ы) CJ Observer

Закон Китайской Народной Республики о безопасности данных
(Принято на 29-м заседании Постоянного комитета Тринадцатого Всекитайского собрания народных представителей 10 июня 2021 г.)
Глава I Общие положения
Статья 1 Настоящий Закон принят с целью регулирования обработки данных, обеспечения безопасности данных, содействия развитию и использованию данных, защиты законных прав и интересов отдельных лиц и организаций, а также защиты суверенитета, безопасности и интересов государства в области развития.
Статья 2 Настоящий Закон применяется к деятельности по обработке данных, надзору за безопасностью и регулированию такой деятельности на территории Китайской Народной Республики.
Если обработка данных за пределами территории Китайской Народной Республики наносит ущерб национальной безопасности, общественным интересам или законным правам и интересам отдельных лиц или организаций Китайской Народной Республики, юридическая ответственность подлежит расследованию в соответствии с законом.
Статья 3 Для целей настоящего Закона термин «данные» относится к любой записи информации в электронной или любой другой форме.
«Обработка данных» включает, среди прочего, сбор, хранение, использование, обработку, передачу, предоставление и раскрытие данных.
«Безопасность данных» означает обеспечение эффективной защиты и законного использования данных посредством принятия необходимых мер, а также способность гарантировать постоянную безопасность данных.
Статья 4 При сохранении безопасности данных должен быть принят целостный подход к национальной безопасности, должны быть созданы надежные системы управления безопасностью данных, а возможности безопасности и защиты данных должны быть улучшены.
Статья 5 Главный центральный орган национальной безопасности несет ответственность за принятие решений, обсуждение и координацию работы по обеспечению национальной безопасности данных; исследование, формулирование и руководство реализацией национальной стратегии безопасности данных и соответствующих основных руководящих принципов и политик; координация основных вопросов и важной работы в отношении национальной безопасности данных; и создание механизма координации национальной безопасности данных.
Статья 6 Все населенные пункты и департаменты несут ответственность за управление данными, собранными или созданными в их работе, а также за их безопасность.
Компетентные ведомства промышленности, телекоммуникаций, транспорта, финансов, природных ресурсов, здравоохранения, образования, технологий и другие соответствующие компетентные ведомства берут на себя обязанности по надзору и регулированию безопасности данных в своих соответствующих отраслях и секторах.
Органы общественной безопасности, органы национальной безопасности и т. Д. Берут на себя ответственность по надзору и регулированию безопасности данных в рамках своих соответствующих обязанностей в соответствии с положениями настоящего Закона и других соответствующих законов и административных постановлений.
Национальный департамент по делам киберпространства отвечает за общее планирование и координацию безопасности сетевых данных, а также за соответствующий надзор и регулирование в соответствии с положениями настоящего Закона и другими соответствующими законами и административными постановлениями.
Статья 7 Государство должно защищать связанные с данными права и интересы отдельных лиц и организаций, поощрять законное, разумное и эффективное использование данных, обеспечивать свободный поток данных упорядоченным образом и в соответствии с законом, а также способствовать развитию. цифровой экономики с данными в качестве ключевого фактора.
Статья 8 Тот, кто обрабатывает данные, должен соблюдать законы и постановления, уважать социальную мораль и этику, соблюдать деловую и профессиональную этику, поддерживать честность и надежность, выполнять обязательства по защите данных и брать на себя социальные обязательства; и не должны угрожать национальной безопасности и общественным интересам, а также не наносить вред законным правам и интересам отдельных лиц и организаций.
Статья 9 Государство поддерживает распространение и популяризацию знаний о безопасности данных для повышения осведомленности общественности в этом отношении и способности защищать безопасность данных, а также способствует совместному участию соответствующих департаментов, отраслевых организаций, исследовательских институтов, предприятий и отдельных лиц в обеспечении безопасности данных. защита, чтобы создать хорошую среду для членов всего общества для совместной защиты данных, обеспечения безопасности данных и содействия развитию соответствующих отраслей.
Статья 10 Соответствующие отраслевые ассоциации должны, в соответствии со своими уставами, сформулировать кодекс поведения и стандарты для обеспечения безопасности данных в соответствии с законом, усилить саморегулирование в своих соответствующих отраслях, направить членов по усилению защиты данных, улучшить их уровень защиты и способствовать здоровому развитию отраслей.
Статья 11 Государство должно активно осуществлять международный обмен и сотрудничество в таких областях, как управление безопасностью данных, разработка и использование данных, участвовать в формулировании соответствующих международных правил и стандартов безопасности данных и содействовать безопасному и свободному потоку данных через границы. .
Статья 12 Любое физическое или юридическое лицо имеет право подавать жалобы или сообщать о нарушениях настоящего Закона в компетентные ведомства. Департаменты, получающие такие жалобы или отчеты, должны рассматривать их своевременно в соответствии с законом.
Компетентные департаменты должны сохранять конфиденциальность соответствующей информации тех, кто подает такие жалобы или отчеты, и защищать их законные права и интересы.
Глава II Безопасность и развитие данных
Статья 13 Государство должно составить общий план для координации разработки и безопасности, для обеспечения безопасности данных посредством разработки и использования данных и промышленного развития, с одной стороны, и, с другой стороны, для обеспечения того, чтобы безопасность данных также способствовала разработке и использованию данных. как промышленное развитие.
Статья 14 Государство должно реализовывать стратегию больших данных, продвигать создание инфраструктуры данных, а также поощрять и поддерживать инновационное применение данных во всех отраслях и сферах.
Народные правительства на уровне провинций или выше должны включать развитие цифровой экономики в свои национальные планы экономического и социального развития и при необходимости формулировать планы развития цифровой экономики.
Статья 15 Государство поддерживает разработку и использование данных для более разумного предоставления государственных услуг. При предоставлении более разумных государственных услуг необходимо в полной мере учитывать потребности пожилых людей и инвалидов, чтобы не создавать препятствий в их повседневной жизни.
Статья 16 Государство поддерживает исследования в области разработки и использования данных и технологий, связанных с безопасностью данных, поощряет популяризацию и коммерческие инновации технологий в вышеупомянутых областях, а также поощряет и разрабатывает продукты и промышленные системы для разработки и использования данных, а также для обеспечения безопасности данных.
Статья 17 Государство должно способствовать формированию стандартов для разработки данных и стандартов для технологий использования данных и безопасности данных. Отдел стандартизации при Государственном совете и другие соответствующие ведомства при Государственном совете должны в рамках своих соответствующих обязанностей и функций организовать создание и своевременно вносить изменения в стандарты для технологий и продуктов для данных. разработка и использование данных, а также стандарты безопасности данных. Государство поддерживает предприятия, социальные группы, образовательные или исследовательские учреждения и т. Д. В их участии в установлении таких стандартов.
Статья 18 Государство поощряет развитие таких услуг, как тестирование, оценка и аккредитация безопасности данных, и поддерживает агентства, специализирующиеся на тестировании, оценке, аккредитации и т. Д., Для предоставления услуг в соответствии с законом.
Государство поддерживает сотрудничество между соответствующими ведомствами, отраслевыми ассоциациями, предприятиями, образовательными и исследовательскими учреждениями, соответствующими специализированными агентствами и т. Д. В таких областях, как оценка, предотвращение и удаление рисков, связанных с безопасностью данных.
Статья 19 Государство должно создать надежные системы для управления торговлей данными, стандартизировать деятельность по торговле данными и способствовать развитию рынка торговли данными.
Статья 20 Государство поддерживает образовательные и исследовательские учреждения, предприятия и другие субъекты в проведении обучения и тренингов по технологиям разработки и использования данных и по безопасности данных, воспитывает специалистов в области технологий разработки и использования данных и в области безопасности данных различными способами. и способствует обмену талантами.
Глава III Системы защиты данных
Статья 21 Государство должно создать категоризированную и классифицированную систему и осуществлять защиту данных на основе важности данных для экономического и социального развития, а также степени ущерба национальной безопасности, общественным интересам или законным правам и интересам частные лица или организации, которые будут вызваны изменением, уничтожением, утечкой данных или незаконным получением или использованием данных. Механизм координации национальной безопасности данных должен координировать деятельность соответствующих отделов для составления каталога важных данных и усиления защиты важных данных.
Данные о национальной безопасности, жизненно важных направлениях национальной экономики, важных аспектах жизни людей, основных общественных интересах и т. Д. Являются основными данными государства, для которых должна применяться более строгая система управления.
Все населенные пункты и департаменты должны, в соответствии с категоризованной и классифицированной системой защиты данных, подготовить специальные каталоги важных данных для своих соответствующих регионов, департаментов и соответствующих отраслей и секторов, а также отдавать приоритет данным, перечисленным в каталогах, с точки зрения защиты данных. .
Статья 22 Государство должно создать централизованный, унифицированный, высокоэффективный и авторитетный механизм для оценки, отчетности, обмена информацией, мониторинга и раннего предупреждения о рисках безопасности данных. Координационный механизм национальной безопасности данных должен составить общий план и координировать соответствующие департаменты по усилению работы по сбору, анализу, исследованию и оценке информации о рисках безопасности данных и работе по раннему предупреждению о таких рисках.
Статья 23 Государство должно создать механизм реагирования на чрезвычайные ситуации, связанные с безопасностью данных. В случае инцидента, связанного с безопасностью данных, соответствующие компетентные департаменты должны инициировать экстренное реагирование в соответствии с планом и законом, принять соответствующие меры для предотвращения дальнейшего ущерба и устранения угроз безопасности, а также разослать предупреждения общественности путем публикации соответствующей информации в своевременно.
Статья 24 Государство должно создать систему проверки безопасности данных, проводя проверки национальной безопасности обработки данных, которая влияет или может повлиять на национальную безопасность.
Решения о проверке безопасности, принятые в соответствии с законом, являются окончательными.
Статья 25 Государство применяет экспортный контроль в соответствии с законом в отношении данных, которые являются контролируемыми объектами и касаются национальной безопасности и интересов, а также выполнения международных обязательств.
Статья 26 Если какая-либо страна или регион принимает дискриминационные запреты, ограничения или другие аналогичные меры против Китайской Народной Республики в отношении инвестиций, торговли или любой другой области, связанной с данными и технологиями разработки и использования данных, Китайская Народная Республика может принять контрмеры против этой страны или региона в свете реальных обстоятельств.
Глава IV Обязательства по защите данных
Статья 27 При обработке данных должны соблюдаться законы и постановления, должна быть создана надежная система управления безопасностью данных на протяжении всего процесса, должны быть организованы и проведены обучение и обучение в области безопасности данных, а также должны быть приняты соответствующие технические меры и другие необходимые меры. приняты для обеспечения безопасности данных. При обработке данных с использованием Интернета или любых других информационных сетей вышеупомянутые обязательства по безопасности данных должны выполняться на основе секретной системы защиты для кибербезопасности.
Обработчики важных данных должны четко обозначать своих лиц, ответственных за безопасность данных, и органы управления безопасностью данных, а также выполнять обязанности по обеспечению безопасности данных.
Статья 28 Обработка данных, а также исследования и разработки новых технологий обработки данных должны способствовать экономическому и социальному развитию и повышению благосостояния людей и должны соответствовать социальной морали и этике.
Статья 29 При обработке данных применяется более тщательный мониторинг рисков. При обнаружении дефектов безопасности данных, ошибок или других рисков незамедлительно должны быть приняты меры по исправлению положения. В случае возникновения инцидента, связанного с безопасностью данных, должны быть немедленно приняты меры по его устранению, и пользователи должны быть своевременно уведомлены и отчеты в соответствующие компетентные ведомства согласно соответствующим положениям.
Статья 30 Обработчики важных данных должны, в соответствии с соответствующими положениями, проводить оценку рисков своей обработки данных на регулярной основе и представлять отчеты об оценке рисков в соответствующие компетентные департаменты.
Отчеты об оценке рисков должны включать типы и количество важных обрабатываемых данных, информацию об обработке данных, рисках безопасности данных и мерах реагирования на них.
Статья 31 Положения Закона о кибербезопасности Китайской Народной Республики применяются к управлению исходящей безопасностью важных данных, собираемых или производимых операторами критически важной информационной инфраструктуры во время их работы на территории Китайской Народной Республики, а также к мерам. для исходящего управления безопасностью важных данных, собранных или произведенных другими обработчиками данных во время их работы на территории Китайской Народной Республики, должно быть сформулировано национальным органом власти в области киберпространства совместно с соответствующими департаментами при Государственном совете.
Статья 32 Организация или физическое лицо должны собирать данные законными и надлежащими способами и не должны получать данные путем кражи или другими незаконными способами.
Если законы или административные постановления содержат положения о целях или объеме сбора и использования данных, данные должны собираться и использоваться для целей и в пределах, предусмотренных этими законами и административными постановлениями.
Статья 33 При предоставлении услуг посредники по транзакциям с данными должны требовать от поставщиков данных указывать источники данных, проверять личности обеих сторон транзакций и сохранять записи проверки и транзакции.
Статья 34 Если законы или административные постановления требуют получения административных разрешений для предоставления услуг, связанных с обработкой данных, поставщики услуг должны получать такие административные разрешения в соответствии с этими положениями.
Статья 35 Если органу общественной безопасности или органу национальной безопасности необходимо получить данные в интересах национальной безопасности или для расследования преступлений в соответствии с законом, должны быть выполнены строгие формальности утверждения в соответствии с соответствующими положениями государства и данные должны быть получены. в соответствии с законом, и соответствующие организации и частные лица должны сотрудничать.
Статья 36 Компетентные органы Китайской Народной Республики должны обрабатывать запросы данных, сделанные иностранными судебными или правоохранительными органами, в соответствии с соответствующими законами и международными договорами или соглашениями, заключенными Китайской Народной Республикой или к которым она присоединилась, или в соответствии с с принципами равноправия и взаимности. Без одобрения компетентных органов Китайской Народной Республики организации или отдельные лица в Китайской Народной Республике не должны предоставлять данные, хранящиеся на территории Китайской Народной Республики, каким-либо зарубежным судебным или правоохранительным органам.
Глава V Безопасность и открытость государственных данных
Статья 37 Государство должно прилагать большие усилия для содействия развитию электронного правительства, сделать правительственные базы данных более научными, точными и эффективными по времени, а также улучшить возможности использования данных для экономического и социального развития.
Статья 38 Если государственным органам необходимо собирать или использовать данные для выполнения своих уставных обязанностей, они должны собирать или использовать данные в объеме, необходимом для выполнения своих уставных обязанностей, и в соответствии с условиями и процедурами, предусмотренными законами и административными постановлениями. Они должны, в соответствии с законом, сохранять конфиденциальность данных, к которым осуществляется доступ в ходе выполнения своих обязанностей, таких как личная неприкосновенность частной жизни, личная информация, коммерческая тайна и конфиденциальная деловая информация, и не должны разглашать такие данные или предоставлять их незаконно. другим.
Статья 39 Государственные органы должны, в соответствии с положениями законов и административных положений, создавать надежные системы управления безопасностью данных, выполнять обязанности по защите данных и обеспечивать безопасность правительственных данных.
Статья 40 Если государственный орган поручает другим создавать или поддерживать системы электронного правительства или хранить или обрабатывать правительственные данные, государственный орган должен пройти строгие процедуры утверждения и контролировать доверенную сторону в выполнении обязательств по защите данных. Доверенная сторона должна выполнять свои обязательства по защите данных в соответствии с положениями законов, постановлений и подписанных контрактов и не должна сохранять, использовать, разглашать или предоставлять другим правительственные данные без разрешения.
Статья 41 Государственные органы должны, в соответствии с принципами справедливости, равенства и удобства для людей, своевременно и точно раскрывать правительственные данные в соответствии с положениями, за исключением тех, которые не должны разглашаться в соответствии с законом.
Статья 42 Государство должно составить каталог открытых правительственных данных, создать открытую, единообразную, стандартизированную, взаимосвязанную, безопасную и контролируемую платформу правительственных данных, а также способствовать выпуску и использованию правительственных данных.
Статья 43 Положения настоящей главы применяются к обработке данных, осуществляемой организациями, выполняющими функции управления государственными делами, как это разрешено законами и нормативными актами, с целью выполнения своих уставных обязанностей.
Глава VI Юридическая ответственность
Статья 44 Если компетентные департаменты обнаруживают наличие серьезных рисков безопасности при обработке данных, когда они выполняют свои регулирующие обязанности в отношении безопасности данных, они могут в соответствии с предписанными пределами полномочий и процедурами проводить нормативные переговоры с соответствующими организациями и
Статья 45. Если организация или физическое лицо, обрабатывающее данные, не выполняет обязательства по защите данных, предусмотренные статьями 27, 29 и 30 настоящего Закона, то организации или физическому лицу должно быть приказано внести исправления и дано предупреждение, и они могут одновременно быть оштрафован компетентным отделом на сумму не менее 50,000 500,000 юаней, но не более 10,000 100,000 юаней, а непосредственно ответственные лица и другие непосредственно ответственные лица могут быть оштрафованы на сумму не менее 500,000 2 юаней, но не более 50,000 200,000 юаней. Если организация или физическое лицо отказываются вносить исправления или вызвали серьезные последствия, такие как серьезная утечка данных, организация или физическое лицо должны быть оштрафованы на сумму не менее XNUMX XNUMX юаней, но не более XNUMX млн юаней, и может быть приказано приостановить действие соответствующий бизнес или приостановить операции для исправления, или иметь соответствующие разрешения на ведение бизнеса или отозвать бизнес-лицензию, а непосредственно ответственные лица и другие непосредственно ответственные лица должны быть оштрафованы на сумму не менее XNUMX XNUMX юаней, но не более XNUMX XNUMX юаней.
Если организация или физическое лицо нарушает национальные правила управления основными данными и ставит под угрозу национальный суверенитет, безопасность или интересы развития государства, компетентный департамент должен наложить на организацию или отдельное лицо штраф в размере не менее 2 миллионов юаней, но не более 10 миллионов юаней, и может, в зависимости от обстоятельств, приказать приостановить соответствующий бизнес или приостановить операции для исправления или отозвать соответствующие разрешения на ведение бизнеса или бизнес-лицензию. В случае совершения преступления уголовная ответственность подлежит расследованию в соответствии с законом.
Статья 46. Лицо, которое в нарушение положений статьи 31 настоящего Закона предоставляет важные данные за границу, должно быть приказано внести исправления и получить предупреждение от компетентного ведомства и одновременно может быть оштрафовано на сумму не менее 100,000 1 юаней, но не более 10,000 миллиона юаней, а ответственные лица с прямой ответственностью и другие лица с прямой ответственностью могут быть оштрафованы на сумму не менее 100,000 1 юаней, но не более 10 100,000 юаней. Если обстоятельства серьезны, нарушитель должен быть оштрафован на сумму не менее 1 миллиона юаней, но не более XNUMX миллионов юаней, а также может быть приказано приостановить соответствующий бизнес или приостановить операции для исправления или иметь соответствующие разрешения на ведение бизнеса или бизнес. лицензия отозвана, и ответственные лица, несущие прямую ответственность, и другие лица, несущие прямую ответственность, будут оштрафованы на сумму не менее XNUMX XNUMX юаней, но не более XNUMX млн. юаней.
Статья 47 Если посредник по операциям с данными не выполняет обязанности, предусмотренные статьей 33 настоящего Закона, компетентный департамент должен приказать ему внести исправления, его незаконные доходы, если таковые имеются, должны быть конфискованы, и он также не должен быть оштрафован. меньше суммы, но не более чем в десять раз превышающей сумму незаконных доходов; если незаконные доходы отсутствуют или незаконные доходы составляют менее 100,000 100,000 юаней, на него налагается штраф в размере не менее 1 10,000 юаней, но не более 100,000 миллиона юаней. Одновременно может быть приказано приостановить соответствующий бизнес или приостановить операции для исправления, либо у него могут быть отозваны соответствующие разрешения на ведение бизнеса или лицензия на ведение бизнеса. Ответственные лица, несущие прямую ответственность, и другие лица, несущие прямую ответственность, будут оштрафованы на сумму не менее XNUMX XNUMX юаней, но не более XNUMX XNUMX юаней.
Статья 48. Лицо, которое в нарушение статьи 35 настоящего Закона отказывается сотрудничать, когда государственному органу или органу национальной безопасности требуется доступ к данным, должно быть приказано компетентным отделом внести исправления и быть предупреждено, а также должно быть одновременно оштрафовано. не менее 50,000 500,000 юаней, но не более 10,000 100,000 юаней, и лица, несущие прямую ответственность, и другие лица, несущие прямую ответственность, могут быть оштрафованы на сумму не менее XNUMX XNUMX юаней, но не более XNUMX XNUMX юаней.
Тот, кто в нарушение статьи 36 настоящего Закона предоставляет данные зарубежному судебному или правоохранительному органу без разрешения компетентных органов, должен быть предупрежден компетентным органом и одновременно оштрафован на сумму не менее 100,000 1 юаней. но не более 10,000 миллиона юаней, и ответственные лица с прямой ответственностью и другие лица с прямой ответственностью могут быть оштрафованы на сумму не менее 100,000 1 юаней, но не более 5 50,000 юаней. В случае возникновения серьезных последствий нарушитель должен быть оштрафован на сумму не менее 500,000 миллиона юаней, но не более XNUMX миллионов юаней, и ему может быть приказано приостановить соответствующий бизнес или приостановить операции для исправления или иметь соответствующие разрешения на ведение бизнеса или бизнес. лицензия отозвана. Ответственные лица, несущие прямую ответственность, и другие лица, несущие прямую ответственность, будут оштрафованы на сумму не менее XNUMX XNUMX юаней, но не более XNUMX XNUMX юаней.
Статья 49 В случае невыполнения государственным органом обязательств по обеспечению безопасности данных, предусмотренных настоящим Законом, к ответственным лицам с прямой ответственностью и другим лицам с прямой ответственностью применяются санкции в соответствии с законом.
Статья 50. Любой государственный служащий, выполняющий нормативные акты, связанные с безопасностью данных, пренебрегает своими обязанностями, злоупотребляет властью или допускает злоупотребления служебным положением в целях личной выгоды, подлежит наказанию в соответствии с законом.
Статья 51. Тот, кто получает данные путем кражи или любым другим незаконным способом, устраняет или ограничивает конкуренцию при обработке данных, или наносит ущерб законным правам и интересам отдельных лиц или организаций, подлежит наказанию в соответствии с положениями соответствующих законов и административных положений.
Статья 52 Кто в нарушение настоящего Закона причиняет ущерб другим, несет гражданскую ответственность в соответствии с законом.
Если нарушение положений настоящего Закона составляет нарушение администрации общественной безопасности, в соответствии с законом налагается административное наказание в отношении общественной безопасности. В случае совершения преступления уголовная ответственность подлежит расследованию в соответствии с законом.
Глава VII Дополнительные положения
Статья 53 Положения Закона Китайской Народной Республики о защите государственной тайны и других соответствующих законов и административных постановлений применяются к обработке данных, которые составляют государственную тайну.
Положения соответствующих законов и административных правил также должны соблюдаться при обработке данных в статистической или архивной работе, а также при обработке данных, связанных с личной информацией.
Статья 54 Меры по обеспечению безопасности и защиты военных данных должны быть отдельно сформулированы Центральной военной комиссией в соответствии с настоящим Законом.
Статья 55. Настоящий Закон вступает в силу с 1 сентября 2021 года.

Этот английский перевод взят с официального сайта Всекитайского собрания народных представителей КНР. В ближайшем будущем более точная переведенная нами английская версия будет доступна на портале China Laws Portal.