中华人民(mín)共和國(guó)数据安全法

发文(wén)机关 ：全國(guó)人民(mín)代表大会常務(wù)委员会

发布日期 ：2021.06.10

生效日期 ：2021.09.01

时效性 ：现行有(yǒu)效

文(wén)号 ：主席令第八十四号

 

主席令第八十四号

《中华人民(mín)共和國(guó)数据安全法》已由中华人民(mín)共和國(guó)第十三届全國(guó)人民(mín)代表大会常務(wù)委员会第二十九次会议于2021年6月10日通过，现予公布，自2021年9月1日起施行。

中华人民(mín)共和國(guó)主席 习近平

2021年6月10日

（2021年6月10日第十三届全國(guó)人民(mín)代表大会常務(wù)委员会第二十九次会议通过）

第一章 总 则

第一条   為(wèi)了规范数据处理(lǐ)活动，保障数据安全，促进数据开发利用(yòng)，保护个人、组织的合法权益，维护國(guó)家主权、安全和发展利益，制定本法。

第二条   在中华人民(mín)共和國(guó)境内开展数据处理(lǐ)活动及其安全监管，适用(yòng)本法。

在中华人民(mín)共和國(guó)境外开展数据处理(lǐ)活动，损害中华人民(mín)共和國(guó)國(guó)家安全、公共利益或者公民(mín)、组织合法权益的，依法追究法律责任。

第三条   本法所称数据，是指任何以電(diàn)子或者其他(tā)方式对信息的记录。

数据处理(lǐ)，包括数据的收集、存储、使用(yòng)、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有(yǒu)效保护和合法利用(yòng)的状态，以及具备保障持续安全状态的能(néng)力。

第四条   维护数据安全，应当坚持总體(tǐ)國(guó)家安全观，建立健全数据安全治理(lǐ)體(tǐ)系，提高数据安全保障能(néng)力。

第五条   中央國(guó)家安全领导机构负责國(guó)家数据安全工作的决策和议事协调，研究制定、指导实施國(guó)家数据安全战略和有(yǒu)关重大方针政策，统筹协调國(guó)家数据安全的重大事项和重要工作，建立國(guó)家数据安全工作协调机制。

第六条   各地區(qū)、各部门对本地區(qū)、本部门工作中收集和产生的数据及数据安全负责。

工业、電(diàn)信、交通、金融、自然资源、卫生健康、教育、科(kē)技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、國(guó)家安全机关等依照本法和有(yǒu)关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

國(guó)家网信部门依照本法和有(yǒu)关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

第七条   國(guó)家保护个人、组织与数据有(yǒu)关的权益，鼓励数据依法合理(lǐ)有(yǒu)效利用(yòng)，保障数据依法有(yǒu)序自由流动，促进以数据為(wèi)关键要素的数字经济发展。

第八条   开展数据处理(lǐ)活动，应当遵守法律、法规，尊重社会公德和伦理(lǐ)，遵守商(shāng)业道德和职业道德，诚实守信，履行数据安全保护义務(wù)，承担社会责任，不得危害國(guó)家安全、公共利益，不得损害个人、组织的合法权益。

第九条   國(guó)家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有(yǒu)关部门、行业组织、科(kē)研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。

第十条   相关行业组织按照章程，依法制定数据安全行為(wèi)规范和团體(tǐ)标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。

第十一条   國(guó)家积极开展数据安全治理(lǐ)、数据开发利用(yòng)等领域的國(guó)际交流与合作，参与数据安全相关國(guó)际规则和标准的制定，促进数据跨境安全、自由流动。

第十二条   任何个人、组织都有(yǒu)权对违反本法规定的行為(wèi)向有(yǒu)关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理(lǐ)。

有(yǒu)关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。

第二章 数据安全与发展

第十三条   國(guó)家统筹发展和安全，坚持以数据开发利用(yòng)和产业发展促进数据安全，以数据安全保障数据开发利用(yòng)和产业发展。

第十四条   國(guó)家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新(xīn)应用(yòng)。

省级以上人民(mín)政府应当将数字经济发展纳入本级國(guó)民(mín)经济和社会发展规划，并根据需要制定数字经济发展规划。

第十五条   國(guó)家支持开发利用(yòng)数据提升公共服務(wù)的智能(néng)化水平。提供智能(néng)化公共服務(wù)，应当充分(fēn)考虑老年人、残疾人的需求，避免对老年人、残疾人的日常生活造成障碍。

第十六条   國(guó)家支持数据开发利用(yòng)和数据安全技术研究，鼓励数据开发利用(yòng)和数据安全等领域的技术推广和商(shāng)业创新(xīn)，培育、发展数据开发利用(yòng)和数据安全产品、产业體(tǐ)系。

第十七条   國(guó)家推进数据开发利用(yòng)技术和数据安全标准體(tǐ)系建设。國(guó)務(wù)院标准化行政主管部门和國(guó)務(wù)院有(yǒu)关部门根据各自的职责，组织制定并适时修订有(yǒu)关数据开发利用(yòng)技术、产品和数据安全相关标准。國(guó)家支持企业、社会团體(tǐ)和教育、科(kē)研机构等参与标准制定。

第十八条   國(guó)家促进数据安全检测评估、认证等服務(wù)的发展，支持数据安全检测评估、认证等专业机构依法开展服務(wù)活动。

國(guó)家支持有(yǒu)关部门、行业组织、企业、教育和科(kē)研机构、有(yǒu)关专业机构等在数据安全风险评估、防范、处置等方面开展协作。

第十九条   國(guó)家建立健全数据交易管理(lǐ)制度，规范数据交易行為(wèi)，培育数据交易市场。

第二十条   國(guó)家支持教育、科(kē)研机构和企业等开展数据开发利用(yòng)技术和数据安全相关教育和培训，采取多(duō)种方式培养数据开发利用(yòng)技术和数据安全专业人才，促进人才交流。

第三章 数据安全制度

第二十一条   國(guó)家建立数据分(fēn)类分(fēn)级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用(yòng)，对國(guó)家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分(fēn)类分(fēn)级保护。國(guó)家数据安全工作协调机制统筹协调有(yǒu)关部门制定重要数据目录，加强对重要数据的保护。

关系國(guó)家安全、國(guó)民(mín)经济命脉、重要民(mín)生、重大公共利益等数据属于國(guó)家核心数据，实行更加严格的管理(lǐ)制度。

各地區(qū)、各部门应当按照数据分(fēn)类分(fēn)级保护制度，确定本地區(qū)、本部门以及相关行业、领域的重要数据具體(tǐ)目录，对列入目录的数据进行重点保护。

第二十二条   國(guó)家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。國(guó)家数据安全工作协调机制统筹协调有(yǒu)关部门加强数据安全风险信息的获取、分(fēn)析、研判、预警工作。

第二十三条   國(guó)家建立数据安全应急处置机制。发生数据安全事件，有(yǒu)关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有(yǒu)关的警示信息。

第二十四条   國(guó)家建立数据安全审查制度，对影响或者可(kě)能(néng)影响國(guó)家安全的数据处理(lǐ)活动进行國(guó)家安全审查。

依法作出的安全审查决定為(wèi)最终决定。

第二十五条   國(guó)家对与维护國(guó)家安全和利益、履行國(guó)际义務(wù)相关的属于管制物(wù)项的数据依法实施出口管制。

第二十六条   任何國(guó)家或者地區(qū)在与数据和数据开发利用(yòng)技术等有(yǒu)关的投资、贸易等方面对中华人民(mín)共和國(guó)采取歧视性的禁止、限制或者其他(tā)类似措施的，中华人民(mín)共和國(guó)可(kě)以根据实际情况对该國(guó)家或者地區(qū)对等采取措施。

第四章 数据安全保护义務(wù)

第二十七条   开展数据处理(lǐ)活动应当依照法律、法规的规定，建立健全全流程数据安全管理(lǐ)制度，组织开展数据安全教育培训，采取相应的技术措施和其他(tā)必要措施，保障数据安全。利用(yòng)互联网等信息网络开展数据处理(lǐ)活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义務(wù)。

重要数据的处理(lǐ)者应当明确数据安全负责人和管理(lǐ)机构，落实数据安全保护责任。

第二十八条   开展数据处理(lǐ)活动以及研究开发数据新(xīn)技术，应当有(yǒu)利于促进经济社会发展，增进人民(mín)福祉，符合社会公德和伦理(lǐ)。

第二十九条   开展数据处理(lǐ)活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用(yòng)户并向有(yǒu)关主管部门报告。

第三十条   重要数据的处理(lǐ)者应当按照规定对其数据处理(lǐ)活动定期开展风险评估，并向有(yǒu)关主管部门报送风险评估报告。

风险评估报告应当包括处理(lǐ)的重要数据的种类、数量，开展数据处理(lǐ)活动的情况，面临的数据安全风险及其应对措施等。

第三十一条   关键信息基础设施的运营者在中华人民(mín)共和國(guó)境内运营中收集和产生的重要数据的出境安全管理(lǐ)，适用(yòng)《中华人民(mín)共和國(guó)网络安全法》的规定；其他(tā)数据处理(lǐ)者在中华人民(mín)共和國(guó)境内运营中收集和产生的重要数据的出境安全管理(lǐ)办法，由國(guó)家网信部门会同國(guó)務(wù)院有(yǒu)关部门制定。

第三十二条   任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他(tā)非法方式获取数据。

法律、行政法规对收集、使用(yòng)数据的目的、范围有(yǒu)规定的，应当在法律、行政法规规定的目的和范围内收集、使用(yòng)数据。

第三十三条   从事数据交易中介服務(wù)的机构提供服務(wù)，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

第三十四条   法律、行政法规规定提供数据处理(lǐ)相关服務(wù)应当取得行政许可(kě)的，服務(wù)提供者应当依法取得许可(kě)。

第三十五条   公安机关、國(guó)家安全机关因依法维护國(guó)家安全或者侦查犯罪的需要调取数据，应当按照國(guó)家有(yǒu)关规定，经过严格的批准手续，依法进行，有(yǒu)关组织、个人应当予以配合。

第三十六条   中华人民(mín)共和國(guó)主管机关根据有(yǒu)关法律和中华人民(mín)共和國(guó)缔结或者参加的國(guó)际条约、协定，或者按照平等互惠原则，处理(lǐ)外國(guó)司法或者执法机构关于提供数据的请求。非经中华人民(mín)共和國(guó)主管机关批准，境内的组织、个人不得向外國(guó)司法或者执法机构提供存储于中华人民(mín)共和國(guó)境内的数据。

第五章 政務(wù)数据安全与开放

第三十七条   國(guó)家大力推进電(diàn)子政務(wù)建设，提高政務(wù)数据的科(kē)學(xué)性、准确性、时效性，提升运用(yòng)数据服務(wù)经济社会发展的能(néng)力。

第三十八条   國(guó)家机关為(wèi)履行法定职责的需要收集、使用(yòng)数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商(shāng)业秘密、保密商(shāng)務(wù)信息等数据应当依法予以保密，不得泄露或者非法向他(tā)人提供。

第三十九条   國(guó)家机关应当依照法律、行政法规的规定，建立健全数据安全管理(lǐ)制度，落实数据安全保护责任，保障政務(wù)数据安全。

第四十条   國(guó)家机关委托他(tā)人建设、维护電(diàn)子政務(wù)系统，存储、加工政務(wù)数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义務(wù)。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义務(wù)，不得擅自留存、使用(yòng)、泄露或者向他(tā)人提供政務(wù)数据。

第四十一条   國(guó)家机关应当遵循公正、公平、便民(mín)的原则，按照规定及时、准确地公开政務(wù)数据。依法不予公开的除外。

第四十二条   國(guó)家制定政務(wù)数据开放目录，构建统一规范、互联互通、安全可(kě)控的政務(wù)数据开放平台，推动政務(wù)数据开放利用(yòng)。

第四十三条   法律、法规授权的具有(yǒu)管理(lǐ)公共事務(wù)职能(néng)的组织為(wèi)履行法定职责开展数据处理(lǐ)活动，适用(yòng)本章规定。

第六章 法律责任

第四十四条   有(yǒu)关主管部门在履行数据安全监管职责中，发现数据处理(lǐ)活动存在较大安全风险的，可(kě)以按照规定的权限和程序对有(yǒu)关组织、个人进行约谈，并要求有(yǒu)关组织、个人采取措施进行整改，消除隐患。

第四十五条   开展数据处理(lǐ)活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义務(wù)的，由有(yǒu)关主管部门责令改正，给予警告，可(kě)以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他(tā)直接责任人员可(kě)以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照，对直接负责的主管人员和其他(tā)直接责任人员处五万元以上二十万元以下罚款。

违反國(guó)家核心数据管理(lǐ)制度，危害國(guó)家主权、安全和发展利益的，由有(yǒu)关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

第四十六条   违反本法第三十一条规定，向境外提供重要数据的，由有(yǒu)关主管部门责令改正，给予警告，可(kě)以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他(tā)直接责任人员可(kě)以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照，对直接负责的主管人员和其他(tā)直接责任人员处十万元以上一百万元以下罚款。

第四十七条   从事数据交易中介服務(wù)的机构未履行本法第三十三条规定的义務(wù)的，由有(yǒu)关主管部门责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款，没有(yǒu)违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款，并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照；对直接负责的主管人员和其他(tā)直接责任人员处一万元以上十万元以下罚款。

第四十八条   违反本法第三十五条规定，拒不配合数据调取的，由有(yǒu)关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他(tā)直接责任人员处一万元以上十万元以下罚款。

违反本法第三十六条规定，未经主管机关批准向外國(guó)司法或者执法机构提供数据的，由有(yǒu)关主管部门给予警告，可(kě)以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他(tā)直接责任人员可(kě)以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可(kě)以责令暂停相关业務(wù)、停业整顿、吊销相关业務(wù)许可(kě)证或者吊销营业执照，对直接负责的主管人员和其他(tā)直接责任人员处五万元以上五十万元以下罚款。

第四十九条   國(guó)家机关不履行本法规定的数据安全保护义務(wù)的，对直接负责的主管人员和其他(tā)直接责任人员依法给予处分(fēn)。

第五十条   履行数据安全监管职责的國(guó)家工作人员玩忽职守、滥用(yòng)职权、徇私舞弊的，依法给予处分(fēn)。

第五十一条   窃取或者以其他(tā)非法方式获取数据，开展数据处理(lǐ)活动排除、限制竞争，或者损害个人、组织合法权益的，依照有(yǒu)关法律、行政法规的规定处罚。

第五十二条   违反本法规定，给他(tā)人造成损害的，依法承担民(mín)事责任。

违反本法规定，构成违反治安管理(lǐ)行為(wèi)的，依法给予治安管理(lǐ)处罚；构成犯罪的，依法追究刑事责任。

第七章 附 则

第五十三条   开展涉及國(guó)家秘密的数据处理(lǐ)活动，适用(yòng)《中华人民(mín)共和國(guó)保守國(guó)家秘密法》等法律、行政法规的规定。

在统计、档案工作中开展数据处理(lǐ)活动，开展涉及个人信息的数据处理(lǐ)活动，还应当遵守有(yǒu)关法律、行政法规的规定。

第五十四条   军事数据安全保护的办法，由中央军事委员会依据本法另行制定。

第五十五条   本法自2021年9月1日起施行。