(2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過)

目錄

第一章總則

第二章數(shù)據安全與發(fā)展

第三章數(shù)據安全制度

第四章數(shù)據安全保護義務

第五章政務數(shù)據安全與開放

第六章法律責任

第七章附則

第一章總則

第一條為了規(guī)范數(shù)據處理活動,保障數(shù)據安全,促進數(shù)據開發(fā)利用,保護個人、組織的合法權益,維護國家主權、安全和發(fā)展利益,制定本法。

第二條在中華人民共和國境內開展數(shù)據處理活動及其安全監(jiān)管,適用本法。

在中華人民共和國境外開展數(shù)據處理活動,損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的,依法追究法律責任。

第三條本法所稱數(shù)據,是指任何以電子或者其他方式對信息的記錄。

數(shù)據處理,包括數(shù)據的收集、存儲、使用、加工、傳輸、提供、公開等。

數(shù)據安全,是指通過采取必要措施,確保數(shù)據處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。

第四條維護數(shù)據安全,應當堅持總體國家安全觀,建立健全數(shù)據安全治理體系,提高數(shù)據安全保障能力。

第五條中央國家安全領導機構負責國家數(shù)據安全工作的決策和議事協(xié)調,研究制定、指導實施國家數(shù)據安全戰(zhàn)略和有關重大方針政策,統(tǒng)籌協(xié)調國家數(shù)據安全的重大事項和重要工作,建立國家數(shù)據安全工作協(xié)調機制。

第六條各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產生的數(shù)據及數(shù)據安全負責。

工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數(shù)據安全監(jiān)管職責。

公安機關、國家安全機關等依照本法和有關法律、行政法規(guī)的規(guī)定,在各自職責范圍內承擔數(shù)據安全監(jiān)管職責。

國家網信部門依照本法和有關法律、行政法規(guī)的規(guī)定,負責統(tǒng)籌協(xié)調網絡數(shù)據安全和相關監(jiān)管工作。

第七條國家保護個人、組織與數(shù)據有關的權益,鼓勵數(shù)據依法合理有效利用,保障數(shù)據依法有序自由流動,促進以數(shù)據為關鍵要素的數(shù)字經濟發(fā)展。

第八條開展數(shù)據處理活動,應當遵守法律、法規(guī),尊重社會公德和倫理,遵守商業(yè)道德和職業(yè)道德,誠實守信,履行數(shù)據安全保護義務,承擔社會責任,不得危害國家安全、公共利益,不得損害個人、組織的合法權益。

第九條國家支持開展數(shù)據安全知識宣傳普及,提高全社會的數(shù)據安全保護意識和水平,推動有關部門、行業(yè)組織、科研機構、企業(yè)、個人等共同參與數(shù)據安全保護工作,形成全社會共同維護數(shù)據安全和促進發(fā)展的良好環(huán)境。

第十條相關行業(yè)組織按照章程,依法制定數(shù)據安全行為規(guī)范和團體標準,加強行業(yè)自律,指導會員加強數(shù)據安全保護,提高數(shù)據安全保護水平,促進行業(yè)健康發(fā)展。

第十一條國家積極開展數(shù)據安全治理、數(shù)據開發(fā)利用等領域的國際交流與合作,參與數(shù)據安全相關國際規(guī)則和標準的制定,促進數(shù)據跨境安全、自由流動。

第十二條任何個人、組織都有權對違反本法規(guī)定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。

有關主管部門應當對投訴、舉報人的相關信息予以保密,保護投訴、舉報人的合法權益。

第二章數(shù)據安全與發(fā)展

第十三條國家統(tǒng)籌發(fā)展和安全,堅持以數(shù)據開發(fā)利用和產業(yè)發(fā)展促進數(shù)據安全,以數(shù)據安全保障數(shù)據開發(fā)利用和產業(yè)發(fā)展。

第十四條國家實施大數(shù)據戰(zhàn)略,推進數(shù)據基礎設施建設,鼓勵和支持數(shù)據在各行業(yè)、各領域的創(chuàng)新應用。

省級以上人民政府應當將數(shù)字經濟發(fā)展納入本級國民經濟和社會發(fā)展規(guī)劃,并根據需要制定數(shù)字經濟發(fā)展規(guī)劃。

第十五條國家支持開發(fā)利用數(shù)據提升公共服務的智能化水平。提供智能化公共服務,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。

第十六條國家支持數(shù)據開發(fā)利用和數(shù)據安全技術研究,鼓勵數(shù)據開發(fā)利用和數(shù)據安全等領域的技術推廣和商業(yè)創(chuàng)新,培育、發(fā)展數(shù)據開發(fā)利用和數(shù)據安全產品、產業(yè)體系。

第十七條國家推進數(shù)據開發(fā)利用技術和數(shù)據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責,組織制定并適時修訂有關數(shù)據開發(fā)利用技術、產品和數(shù)據安全相關標準。國家支持企業(yè)、社會團體和教育、科研機構等參與標準制定。

第十八條國家促進數(shù)據安全檢測評估、認證等服務的發(fā)展,支持數(shù)據安全檢測評估、認證等專業(yè)機構依法開展服務活動。

國家支持有關部門、行業(yè)組織、企業(yè)、教育和科研機構、有關專業(yè)機構等在數(shù)據安全風險評估、防范、處置等方面開展協(xié)作。

第十九條國家建立健全數(shù)據交易管理制度,規(guī)范數(shù)據交易行為,培育數(shù)據交易市場。

第二十條國家支持教育、科研機構和企業(yè)等開展數(shù)據開發(fā)利用技術和數(shù)據安全相關教育和培訓,采取多種方式培養(yǎng)數(shù)據開發(fā)利用技術和數(shù)據安全專業(yè)人才,促進人才交流。

第三章數(shù)據安全制度

第二十一條國家建立數(shù)據分類分級保護制度,根據數(shù)據在經濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數(shù)據實行分類分級保護。國家數(shù)據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據目錄,加強對重要數(shù)據的保護。

關系國家安全、國民經濟命脈、重要民生、重大公共利益等數(shù)據屬于國家核心數(shù)據,實行更加嚴格的管理制度。

各地區(qū)、各部門應當按照數(shù)據分類分級保護制度,確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據具體目錄,對列入目錄的數(shù)據進行重點保護。

第二十二條國家建立集中統(tǒng)一、高效權威的數(shù)據安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數(shù)據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門加強數(shù)據安全風險信息的獲取、分析、研判、預警工作。

第二十三條國家建立數(shù)據安全應急處置機制。發(fā)生數(shù)據安全事件,有關主管部門應當依法啟動應急預案,采取相應的應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關的警示信息。

第二十四條國家建立數(shù)據安全審查制度,對影響或者可能影響國家安全的數(shù)據處理活動進行國家安全審查。

依法作出的安全審查決定為最終決定。

第二十五條國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數(shù)據依法實施出口管制。

第二十六條任何國家或者地區(qū)在與數(shù)據和數(shù)據開發(fā)利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的,中華人民共和國可以根據實際情況對該國家或者地區(qū)對等采取措施。

第四章數(shù)據安全保護義務

第二十七條開展數(shù)據處理活動應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據安全管理制度,組織開展數(shù)據安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據安全。利用互聯(lián)網等信息網絡開展數(shù)據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數(shù)據安全保護義務。

重要數(shù)據的處理者應當明確數(shù)據安全負責人和管理機構,落實數(shù)據安全保護責任。

第二十八條開展數(shù)據處理活動以及研究開發(fā)數(shù)據新技術,應當有利于促進經濟社會發(fā)展,增進人民福祉,符合社會公德和倫理。

第二十九條開展數(shù)據處理活動應當加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據安全缺陷、漏洞等風險時,應當立即采取補救措施;發(fā)生數(shù)據安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向有關主管部門報告。

第三十條重要數(shù)據的處理者應當按照規(guī)定對其數(shù)據處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。

風險評估報告應當包括處理的重要數(shù)據的種類、數(shù)量,開展數(shù)據處理活動的情況,面臨的數(shù)據安全風險及其應對措施等。

第三十一條關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理,適用《中華人民共和國網絡安全法》的規(guī)定;其他數(shù)據處理者在中華人民共和國境內運營中收集和產生的重要數(shù)據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。

第三十二條任何組織、個人收集數(shù)據,應當采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據。

法律、行政法規(guī)對收集、使用數(shù)據的目的、范圍有規(guī)定的,應當在法律、行政法規(guī)規(guī)定的目的和范圍內收集、使用數(shù)據。

第三十三條從事數(shù)據交易中介服務的機構提供服務,應當要求數(shù)據提供方說明數(shù)據來源,審核交易雙方的身份,并留存審核、交易記錄。

第三十四條法律、行政法規(guī)規(guī)定提供數(shù)據處理相關服務應當取得行政許可的,服務提供者應當依法取得許可。

第三十五條公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數(shù)據,應當按照國家有關規(guī)定,經過嚴格的批準手續(xù),依法進行,有關組織、個人應當予以配合。

第三十六條中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國司法或者執(zhí)法機構關于提供數(shù)據的請求。非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據。

第五章政務數(shù)據安全與開放

第三十七條國家大力推進電子政務建設,提高政務數(shù)據的科學性、準確性、時效性,提升運用數(shù)據服務經濟社會發(fā)展的能力。

第三十八條國家機關為履行法定職責的需要收集、使用數(shù)據,應當在其履行法定職責的范圍內依照法律、行政法規(guī)規(guī)定的條件和程序進行;對在履行職責中知悉的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數(shù)據應當依法予以保密,不得泄露或者非法向他人提供。

第三十九條國家機關應當依照法律、行政法規(guī)的規(guī)定,建立健全數(shù)據安全管理制度,落實數(shù)據安全保護責任,保障政務數(shù)據安全。

第四十條國家機關委托他人建設、維護電子政務系統(tǒng),存儲、加工政務數(shù)據,應當經過嚴格的批準程序,并應當監(jiān)督受托方履行相應的數(shù)據安全保護義務。受托方應當依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據安全保護義務,不得擅自留存、使用、泄露或者向他人提供政務數(shù)據。

第四十一條國家機關應當遵循公正、公平、便民的原則,按照規(guī)定及時、準確地公開政務數(shù)據。依法不予公開的除外。

第四十二條國家制定政務數(shù)據開放目錄,構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數(shù)據開放平臺,推動政務數(shù)據開放利用。

第四十三條法律、法規(guī)授權的具有管理公共事務職能的組織為履行法定職責開展數(shù)據處理活動,適用本章規(guī)定。

第六章法律責任

第四十四條有關主管部門在履行數(shù)據安全監(jiān)管職責中,發(fā)現(xiàn)數(shù)據處理活動存在較大安全風險的,可以按照規(guī)定的權限和程序對有關組織、個人進行約談,并要求有關組織、個人采取措施進行整改,消除隱患。

第四十五條開展數(shù)據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據安全保護義務的,由有關主管部門責令改正,給予警告,可以并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;拒不改正或者造成大量數(shù)據泄露等嚴重后果的,處五十萬元以上二百萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

違反國家核心數(shù)據管理制度,危害國家主權、安全和發(fā)展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;構成犯罪的,依法追究刑事責任。

第四十六條違反本法第三十一條規(guī)定,向境外提供重要數(shù)據的,由有關主管部門責令改正,給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;情節(jié)嚴重的,處一百萬元以上一千萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

第四十七條從事數(shù)據交易中介服務的機構未履行本法第三十三條規(guī)定的義務的,由有關主管部門責令改正,沒收違法所得,處違法所得一倍以上十倍以下罰款,沒有違法所得或者違法所得不足十萬元的,處十萬元以上一百萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第四十八條違反本法第三十五條規(guī)定,拒不配合數(shù)據調取的,由有關主管部門責令改正,給予警告,并處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

違反本法第三十六條規(guī)定,未經主管機關批準向外國司法或者執(zhí)法機構提供數(shù)據的,由有關主管部門給予警告,可以并處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款;造成嚴重后果的,處一百萬元以上五百萬元以下罰款,并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照,對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。

第四十九條國家機關不履行本法規(guī)定的數(shù)據安全保護義務的,對直接負責的主管人員和其他直接責任人員依法給予處分。

第五十條履行數(shù)據安全監(jiān)管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的,依法給予處分。

第五十一條竊取或者以其他非法方式獲取數(shù)據,開展數(shù)據處理活動排除、限制競爭,或者損害個人、組織合法權益的,依照有關法律、行政法規(guī)的規(guī)定處罰。

第五十二條違反本法規(guī)定,給他人造成損害的,依法承擔民事責任。

違反本法規(guī)定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

第七章附則

第五十三條開展涉及國家秘密的數(shù)據處理活動,適用《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

在統(tǒng)計、檔案工作中開展數(shù)據處理活動,開展涉及個人信息的數(shù)據處理活動,還應當遵守有關法律、行政法規(guī)的規(guī)定。

第五十四條軍事數(shù)據安全保護的辦法,由中央軍事委員會依據本法另行制定。

第五十五條本法自2021年9月1日起施行。