中华人民共和国 数据 安全 法
(2021 6 月 10 第十 三届 全国 人民 代表 大会 常务委员会 第二 十九次 会议 通过)
第一 章 总 则
第一 条 为了 规范 数据 处理 活动 , 保障 数据 , 数据 开发 利用 , 保护 个人 、 的 合法 权益 , 维护 国家 主权 、 安全 和 利益 , 制定。
第二 条 在 中华人民共和国 境内 开展 数据 处理 活动 及其 安全 , 适用 本法。
在 中华人民共和国 境外 开展 数据 处理 活动 , 损害 中华人民共和国 国家 安全 、 公共 利益 或者 公民 、 组织 合法 权益 的 , 依法 追究 法律 责任。
第三 条 本法 所称 数据 , 是 指 任何 以 电子 或者 其他 方式 对 信息 的 记录。
数据 处理 , 包括 数据 的 收集 、 存储 、 使用 、 加工 、 传输 、 提供 、 公开 等。
数据 安全 , 是 指 通过 采取 必要 , 数据 处于 有效 保护 和 合法 利用 的 状态 , 以及 具备 持续 安全 状态 的 能力。
第四 条 维护 数据 安全 , 应当 坚持 总体 国家 安全 观 , 建立 健全 数据 安全 治理 体系 , 提高 数据 安全 保障 能力。
第五 条 中央 国家 安全 领导 机构 负责 国家 数据 安全 工作 的 决策 和 议事 协调 , 家 数据 安全 战略 大 方针工作 协调 机制。
第六 条 各 地区 、 各 部门 对 本 地区 、 本 部门 工作 中 收集 和 产生 的 数据 及 数据 安全 负责。
工业 、 电信 、 交通 、 金融 、 卫生 教育 、 科技 等 主管 部门 承担 行业 、 本 领域 数据 监管 职责。
公安 机关 、 国家 安全 机关 等 依照 本法 和 有关 、 行政 法规 的 规定 , 在 职责 范围 内 承担 数据 安全 监管 职责。
国家 网 信 部门 依照 本法 和 有关 法律 、 行政 法规 的 规定 , 负责 统筹 协调 网络 和 相关 工作。
第七 条 国家 保护 个人 、 组织 与 数据 有关 的 权益 , 鼓励 数据 依法 合理 有效 利用 保障 自由 流动 , 的 数字 经济 发展。
第八 条 开展 数据 处理 活动 , 应当 尊重 社会公德 和 伦理 , 遵守 业 道德 , 诚实 , 履行 数据 承担个人 、 组织 的 合法 权益。
第九条 国家 支持 开展 数据 安全 知识 宣传 普及 , 社会 的 数据 安全 保护 意识 和 有关部门 、 行业 组织 、 科研 机构 等 共同 参与 全安全 和 促进 发展 的 良好 环境。
第十 条 相关 行业 组织 按照 章程 , 规范 和 体 标准 , 加强 指导 会员 加强 数据 保护 保护 水平 , 促进 行业 健康 发展。
第十一条 国家 积极 开展 数据 安全 治理 、 开发 领域 的 国际 交流 与 合作 , 数据 国际 规则 和 标准 的 制定 , 促进 、 自由 流动。
第十二 条 任何 个人 、 组织 都 有权 本法 规定 的 行为 向 有关 主管 部门 投诉 、 举报 、 的 部门 应当 及时 处理。
有关 主管 部门 应当 对 投诉 、 举报人 的 相关 信息 予以 保密 , 保护 投诉 、 的 合法 权益。
第二 章 数据 安全 与 发展
第十三 条 国家 统筹 发展 和 安全 以 和 产业 发展 促进 数据 安全 数据 安全 保障 数据 和 发展。
第十四 条 国家 实施 大 数据 战略 , 推进 数据 建设 , 鼓励 和 支持 数据 的 创新 应用。
省级 以上 人民政府 应当 将 数字 经济 发展 本 级 社会 发展 规划 , 并 根据 需要 数字 经济 发展 规划。
第十五 条 国家 支持 开发 利用 提升 服务 的 智能化 水平。 提供 智能化 公共 服务 , 充分 老年人 、 残疾人 的 需求 , 避免 的 日常生活 造成 障碍。
第十六 条 国家 支持 数据 利用 和 安全 , 鼓励 数据 开发 利用 数据 等 的 技术 推广 和 业 开发 和 子 体系。
第十七 条 国家 推进 数据 开发 利用 技术 和 数据 标准 体系 建设。 国务院 标准化 行政 根据 各自 的 职责 国 组织 有关 数据 开发 子 和 安全支持 企业 、 社会 团体 和 教育 、 科研 机构 等 参与 标准 制定。
第十八 条 国家 促进 数据 安全 检测 评估 、 认证 等 服务 的 发展 , 支持 数据 安全 检测 认证 机构 依法 开展 服务 活动。
国家 支持 有关部门 、 行业 组织 、 、 教育 机构 、 有关 专业 机构 等 在 风险 评估 、 防范 等 开展 协作。
第十九 条 国家 建立 健全 数据 交易 管理 制度 , 交易 行为 , 培育 数据 交易 市场。
第二十条 国家 支持 教育 、 科研 和 企业 等 利用 技术 和 数据 安全 相关 培训 , 采取 多种 方式 开发 利用 和 数据 安全 专业 人才 , 促进 交流。
第三 章 数据 安全 制度
第二十 一条 国家 建立 数据 分类 分级 保护 制度 在 经济 社会 发展 中 的 重要 程度 , 以及 一旦 遭到 篡改 、 破坏 、 泄露 、 非法 利用 , 对 家 安全 利益 或者合法 权益 造成 的 危害 程度 , 对 数据 分类 分级 保护。 国家 数据 安全 工作 协调 重要 数据 的 的 保护。
关系 国家 安全 、 国民经济 命脉 、 重要 、 重大 公共 利益 等 数据 属于 国家 核心 数据 更加 严格 的 管理 制度。
各 地区 、 各部门应 当 按照 数据 分类 分级 , 确定 本 地区 、 本 相关 行业 、 领域 的 重要 数据 具体 目录 , 对 列入 的 进行 重点 保护。
第二十 二条 国家 建立 集中 统一 、 高效 权威 的 数据 安全 风险 评估 、 报告 、 信息 共享 机制 家 数据 安全 工作 协调 协调 有关部门 加强 的工作。
第二十 三条 国家 建立 数据 安全 应急 处置 机制。 安全 事件 , 有关 主管 部门 应当 预案 采取 相应 的 应急 处置 措施 危害 扩大 , 消除 社会的 警示 信息。
第二十 四条 国家 建立 数据 安全 审查 制度 , 对 影响 可能 影响 家 安全 的 数据 处理 活动 国家 安全 审查。
依法 作出 的 安全 审查 决定 为 最终 决定。
第二十 五条 国家 对 与 维护 国家 安全 和 利益 、 国际 义务 相关 的 属于 管制 物 项 的 数据 依法 实施 出口 管制。
第二十 六条 任何 国家 或者 地区 在 与 和 利用 技术 等 有关 的 投资 、 贸易 中华人民共和国 采取 歧视 性 的 禁止 其他 措施 情况 对该 国家 或者 地区 对 等 采取 措施。
第四 章 数据 安全 保护 义务
第二 十七 条 开展 数据 处理 活动 应当 依照 法律 法规 的 规定 , 建立 健全 全 流程 数据 , 组织 开展 数据 安全 教育 培训 的 技术 措施 和 措施 数据 安全信息 网络 开展 数据 处理 活动 , 应当 在 网络 等级 保护 制度 的 基础 上 , 履行 安全 保护 义务。
重要 数据 的 处理 者 应当 明确 数据 安全 负责 人和 管理 机构 , 落实 数据 安全 保护 责任。
第二 十八 条 开展 数据 处理 活动 以及 数据 新 技术 , 应当 有 利于 促进 经济 社会 , 增进 福祉 社会公德 和 伦理。
第二 十九 条 开展 数据 处理 活动 应当 加强 风险 监测 安全 缺陷 、 漏洞 等 风险 应当 立即 采取 补救 ; 发生 数据 事件 时 应当 立即 处置 措施 规定 及时 告知 用户 并向 有关主管 部门 报告。
第三 十条 重要 数据 的 处理 者 应当 按照 规定 对其 数据 处理 活动 定期 开展 风险 评估 , 有关 主管 部门 风险 评估 报告。
风险 评估 报告 应当 包括 处理 的 重要 数据 的 种类 、 数量 , 开展 数据 处理 活动 的 情况 , 面临 的 数据 安全 风险 及其 应对 措施 等。
第三十一条 关键 信息 基础 设施 的 运营 者 在 中华人民共和国 境内 运营 中 收集 和 产生 的 重要 数据 的 出境 安全 管理 , 适用 中华人民共和国 网络 安全 中华人民共和国境内 运营 中 收集 和 产生 的 重要 数据 的 出境 安全 管理 办法 , 由 国家 网 信 部门 会同 国务院 有关部门 制定。
第三 十二 条 任何 组织 、 个人 收集 数据 , 应当 采取 、 正当 的 方式 , 不得 窃取 或者 以 其他 非法 方式 获取 数据。
法律 、 行政 法规 对 收集 、 使用 数据 的 目的 、 范围 有 规定 的 , 应当 在 法规 的 目的 和 范围 内 收集 、 使用 数据。
第三 十三 条 从事 数据 交易 中介 服务 的 机构 提供 服务 , 应当 要求 数据 提供 方 说明 审核 交易 的 身份 , 并 留存 、 交易 记录。
第三 十四 条 法律 、 行政 法规 规定 提供 数据 处理 相关 服务 应当 取得 行政 许可 的 , 服务 提供 者 应当 依法 取得 许可。
第三 十五 条 公安 机关 、 国家 安全 机关 因 国家 安全 或者 侦查 犯罪 的 需要 调 取 数据 , 应当 按照 家 有关 规定 , 的 批准 手续 ,
第三 十六 条 中华人民共和国 主管 机关 根据 有关 中华人民共和国 缔结 或者 参加 的 国际 条约 、 协定 , 或者 按照 平等互惠 的 的 处理 外国 或者 中华人民共和国 主管机关 批准 , 境内 的 组织 、 个人 不得 向 外国 司法 或者 执法 机构 提供 存储 于 中华人民共和国 境内 的 数据。
第五 章 政务 数据 安全 与 开放
第三 十七 条 国家 大力 推进 电子 政务 建设 , 政务 数据 的 科学 性 、 准确性 , 运用 数据 发展 的 能力。
第三 十八 条 国家 机关 为 履行 法定 职责 的 需要 收集 、 使用 数据 , 应当 其 法定 的 范围 内 依照 法律 、 法规 的 进行信息 、 的业 秘密 、 保密 的务 信息 等 数据 应当 依法 予以 保密 , 不得 泄露 或者 非法 他人 提供。
第三 十九 条 国家 机关 应当 依照 、 行政 法规 的 规定 , 建立 健全 数据 安全 管理 落实 保护 , 保障 数据 安全。
第四 十条 国家 机关 委托 建设 、 维护 电子 政务 系统 , 存储 、 加工 政务 的 批准 程序 , 并 应当 的 数据 安全 法规和 合同 约定 履行 数据 安全 保护 义务 擅自 使用 、 泄露 或者 向 他人 提供 政务 数据。
第四十一条 国家 机关 应当 遵循 公正 、 公平 、 便民 的 原则 , 按照 规定 及时 、 准确 地 公开 政务。 依法 不予 公开 的 除外。
第四 十二 条 国家 制定 政务 数据 开放 目录 , 规范 、 互联 互通 、 安全 可控 的 政务 数据 开放 平台 , 推动 政务 数据 开放 利用。
第四 十三 条 法律 、 法规 授权 的 具有 管理 公共 事务 职能 的 组织 为 履行 法定 职责 数据 活动 , 适用 本章 规定
第六 章 法律 责任
第四 十四 条 有关 主管 部门 在 履行 数据 安全 职责 中 , 发现 数据 处理 活动 较大 安全 风险 的 , 可以 按照 规定 的 权限 有关 组织 、 个人 约谈 要求 有关 组织 、 采取措施 进行 整改 , 消除 隐患。
第四 十五 条 开展 数据 处理 活动 的 组织 、 个人 不 本法 第二 十七 条 、 第二 十九 规定 的 数据 安全 保护 义务 的 , 由 有关 主管 部门 责令 改正 警告 ,可以 并处 五 万元 以上 五十 万元 以下 罚款 直接 负责 的 主管 人员 和 其他 直接 责任 以上 十 万元 以下 罚款 改正 或者 大量 数据 严重 后果 的 ,处 五十 万元 以上 二百 万元 以下 罚款 , 并 可以 责令 相关 业务 、 停业 整顿 、 吊销 吊销 营业 执照 , 对 直接 的 主管 人员 和 其他 直接 人员 处 五 万元 以上 二十 万元 以下 罚款。
违反 国家 核心 数据 管理 制度 , 危害 国家 主权 、 安全 和 发展 利益 的 , 由 有关 主管 部门 处 万元 以上 一千 万元 以下 罚款 根据 情况 责令 暂停 相关 、 许可证或者 吊销 营业 执照 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第四 十六 条 违反 本法 第三十一条 规定 , 向 重要 数据 的 , 由 有关 主管 部门 责令 可以 并处 十 的 , 对 直接主管 人员 和 其他 直接 责任 人员 可以 处 一 万元 以上 十 万元 以下 罚款 ; 情节 的 , 处 一百 万元 以上 一千 万元 以下 罚款 , 暂停 相关 业务 、 整顿 、 吊销 相关 业务 许可证 或者 吊销 营业 执照 , 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 十 万元 一百 万元 以下 罚款。
第四 十七 条 从事 数据 交易 中介 服务 的 机构 本法 第三 十三 条 规定 的 义务 的 , 由 有关 主管 部门 责令 改正 , 没收 违法 违法 所得 一倍 , 没有 违法所得 或者 违法 所得 不足 十 万元 的 , 处 十 万元 以上 一百 万元 以下 罚款 , 并 可以 、 停业 整顿 、 的 相关 吊销 营业 执照 ; 人员 和直接 责任 人员 处 一 万元 以上 十 万元 以下 罚款。
第四 十八 条 违反 本法 第三 十五 条 规定 , 配合 数据 调 取 的 , 由 有关 主管 改正 , 的 警告 , 并处 五 万元 罚款 , 对 直接 负责主管 人员 和 其他 直接 责任 人员 处 一 万元 以上 万元 以下 罚款。
违反 本法 第三 十六 条 规定 , 未经 主管 向 司法 或者 执法 机构 提供 数据 的 , 由 有关 主管 部门 给予 警告 , 可以 并处 的 以下 罚款 对 负责 的主管 人员 和 其他 直接 责任 人员 可以 处 万元 以上 万元 以下 罚款 ; 造成 严重 后果 的 , 处 一百 万元 以上 五百 万元 以下 罚款 暂停 相关 业务 停业 、 吊销 相关 业务许可证 或者 吊销 营业 执照 , 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 处 五 万元 五十 万元 罚款。
第四 十九 条 国家 机关 不 履行 本法 规定 的 数据 安全 保护 义务 的 , 对 直接 负责 的 主管 人员 和 其他 直接 责任 人员 依法 处分。
第五 十条 履行 数据 安全 监管 职责 的 国家 工作 人员 玩忽职守 、 滥用职权 、 徇私舞弊 的 , 依法 给予 处分。
第五十一条 窃取 或者 以 其他 非法 方式 获取 数据 开展 数据 处理 活动 排除 、 限制 竞争 , 或者 权益 的 , 依照 有关 行政 法规 的 规定 处罚。
第五 十二 条 违反 本法 规定 , 给 他人 造成 损害 的 , 依法 承担 民事责任。
违反 本法 规定 , 构成 违反 治安 管理 行为 的 , 依法 给予 治安 管理 处罚 ; 构成 犯罪 的 , 依法 追究 刑事责任。
第七 章 附 则
第 五十 三条 开展 涉及 国家 秘密 的 数据 处理 活动 适用 《中华人民共和国 保守 国家 秘密 法》 等 法律 、 行政 法规 的 规定。
在 统计 、 档案 工作 中 开展 数据 处理 , 开展 涉及 个人 信息 的 数据 处理 活动 , 还 应当 遵守 行政 法规 的 规定。
第 五十 四条 军事 数据 安全 保护 的 办法 , 由 中央 军事 委员会 依据 本法 另行 制定。
第五 十五 条 本法 自 2021 自 9 月 1 日 起 施行。