中華人民(mín)共和國(guó)數據安全法

（2021年(nián)6月(yuè)10日第十三屆全國(guó)人民(mín)代表大會(huì)常務委員(yuán)會(huì)第二十九次會(huì)議通(tōng)過，自(zì)2021年(nián)9月(yuè)1日起施行）

目錄

第一(yī)章　總則

第二章　數據安全與發展

第三章　數據安全制度

第四章　數據安全保護義務

第五章　政務數據安全與開(kāi)放(fàng)

第六章　法律責任

第七章　附則

第一(yī)章　總則

第一(yī)條　為(wèi)了規範數據處理活動，保障數據安全，促進數據開(kāi)發利用，保護個(gè)人、組織的合法權益，維護國(guó)家主權、安全和發展利益，制定本法。

第二條　在中華人民(mín)共和國(guó)境内開(kāi)展數據處理活動及其安全監管，适用本法。

在中華人民(mín)共和國(guó)境外開(kāi)展數據處理活動，損害中華人民(mín)共和國(guó)國(guó)家安全、公共利益或者公民(mín)、組織合法權益的，依法追究法律責任。

第三條　本法所稱數據，是指任何以電(diàn)子或者其他方式對信息的記錄。

數據處理，包括數據的收集、存儲、使用、加工(gōng)、傳輸、提供、公開(kāi)等。

數據安全，是指通(tōng)過采取必要措施，确保數據處于有效保護和合法利用的狀态，以及具備保障持續安全狀态的能(néng)力。

第四條　維護數據安全，應當堅持總體國(guó)家安全觀，建立健全數據安全治理體系，提高(gāo)數據安全保障能(néng)力。

第五條　中央國(guó)家安全領導機(jī)構負責國(guó)家數據安全工(gōng)作的決策和議事(shì)協調，研究制定、指導實施國(guó)家數據安全戰略和有關重大方針政策，統籌協調國(guó)家數據安全的重大事(shì)項和重要工(gōng)作，建立國(guó)家數據安全工(gōng)作協調機(jī)制。

第六條　各地區、各部門(mén)對本地區、本部門(mén)工(gōng)作中收集和産生(shēng)的數據及數據安全負責。

工(gōng)業(yè)、電(diàn)信、交通(tōng)、金融、自(zì)然資源、衛生(shēng)健康、教育、科技(jì)等主管部門(mén)承擔本行業(yè)、本領域數據安全監管職責。

公安機(jī)關、國(guó)家安全機(jī)關等依照(zhào)本法和有關法律、行政法規的規定，在各自(zì)職責範圍内承擔數據安全監管職責。

國(guó)家網信部門(mén)依照(zhào)本法和有關法律、行政法規的規定，負責統籌協調網絡數據安全和相(xiàng)關監管工(gōng)作。

第七條　國(guó)家保護個(gè)人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自(zì)由流動，促進以數據為(wèi)關鍵要素的數字經濟發展。

第八條　開(kāi)展數據處理活動，應當遵守法律、法規，尊重社會(huì)公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實守信，履行數據安全保護義務，承擔社會(huì)責任，不得危害國(guó)家安全、公共利益，不得損害個(gè)人、組織的合法權益。

第九條　國(guó)家支持開(kāi)展數據安全知識宣傳普及，提高(gāo)全社會(huì)的數據安全保護意識和水(shuǐ)平，推動有關部門(mén)、行業(yè)組織、科研機(jī)構、企業(yè)、個(gè)人等共同參與數據安全保護工(gōng)作，形成全社會(huì)共同維護數據安全和促進發展的良好環境。

第十條　相(xiàng)關行業(yè)組織按照(zhào)章程，依法制定數據安全行為(wèi)規範和團體标準，加強行業(yè)自(zì)律，指導會(huì)員(yuán)加強數據安全保護，提高(gāo)數據安全保護水(shuǐ)平，促進行業(yè)健康發展。

第十一(yī)條　國(guó)家積極開(kāi)展數據安全治理、數據開(kāi)發利用等領域的國(guó)際交流與合作，參與數據安全相(xiàng)關國(guó)際規則和标準的制定，促進數據跨境安全、自(zì)由流動。

第十二條　任何個(gè)人、組織都有權對違反本法規定的行為(wèi)向有關主管部門(mén)投訴、舉報(bào)。收到(dào)投訴、舉報(bào)的部門(mén)應當及時依法處理。

有關主管部門(mén)應當對投訴、舉報(bào)人的相(xiàng)關信息予以保密，保護投訴、舉報(bào)人的合法權益。

第二章　數據安全與發展

第十三條　國(guó)家統籌發展和安全，堅持以數據開(kāi)發利用和産業(yè)發展促進數據安全，以數據安全保障數據開(kāi)發利用和産業(yè)發展。

第十四條　國(guó)家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業(yè)、各領域的創新應用。

省級以上(shàng)人民(mín)政府應當将數字經濟發展納入本級國(guó)民(mín)經濟和社會(huì)發展規劃，并根據需要制定數字經濟發展規劃。

第十五條　國(guó)家支持開(kāi)發利用數據提升公共服務的智能(néng)化水(shuǐ)平。提供智能(néng)化公共服務，應當充分考慮老年(nián)人、殘疾人的需求，避免對老年(nián)人、殘疾人的日常生(shēng)活造成障礙。

第十六條　國(guó)家支持數據開(kāi)發利用和數據安全技(jì)術(shù)研究，鼓勵數據開(kāi)發利用和數據安全等領域的技(jì)術(shù)推廣和商業(yè)創新，培育、發展數據開(kāi)發利用和數據安全産品、産業(yè)體系。

第十七條　國(guó)家推進數據開(kāi)發利用技(jì)術(shù)和數據安全标準體系建設。國(guó)務院标準化行政主管部門(mén)和國(guó)務院有關部門(mén)根據各自(zì)的職責，組織制定并适時修訂有關數據開(kāi)發利用技(jì)術(shù)、産品和數據安全相(xiàng)關标準。國(guó)家支持企業(yè)、社會(huì)團體和教育、科研機(jī)構等參與标準制定。

第十八條　國(guó)家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業(yè)機(jī)構依法開(kāi)展服務活動。

國(guó)家支持有關部門(mén)、行業(yè)組織、企業(yè)、教育和科研機(jī)構、有關專業(yè)機(jī)構等在數據安全風險評估、防範、處置等方面開(kāi)展協作。

第十九條　國(guó)家建立健全數據交易管理制度，規範數據交易行為(wèi)，培育數據交易市(shì)場。

第二十條　國(guó)家支持教育、科研機(jī)構和企業(yè)等開(kāi)展數據開(kāi)發利用技(jì)術(shù)和數據安全相(xiàng)關教育和培訓，采取多(duō)種方式培養數據開(kāi)發利用技(jì)術(shù)和數據安全專業(yè)人才，促進人才交流。

第三章　數據安全制度

第二十一(yī)條　國(guó)家建立數據分類分級保護制度，根據數據在經濟社會(huì)發展中的重要程度，以及一(yī)旦遭到(dào)篡改、破壞、洩露或者非法獲取、非法利用，對國(guó)家安全、公共利益或者個(gè)人、組織合法權益造成的危害程度，對數據實行分類分級保護。國(guó)家數據安全工(gōng)作協調機(jī)制統籌協調有關部門(mén)制定重要數據目錄，加強對重要數據的保護。

關系國(guó)家安全、國(guó)民(mín)經濟命脈、重要民(mín)生(shēng)、重大公共利益等數據屬于國(guó)家核心數據，實行更加嚴格的管理制度。

各地區、各部門(mén)應當按照(zhào)數據分類分級保護制度，确定本地區、本部門(mén)以及相(xiàng)關行業(yè)、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

第二十二條　國(guó)家建立集中統一(yī)、高(gāo)效權威的數據安全風險評估、報(bào)告、信息共享、監測預警機(jī)制。國(guó)家數據安全工(gōng)作協調機(jī)制統籌協調有關部門(mén)加強數據安全風險信息的獲取、分析、研判、預警工(gōng)作。

第二十三條　國(guó)家建立數據安全應急處置機(jī)制。發生(shēng)數據安全事(shì)件(jiàn)，有關主管部門(mén)應當依法啓動應急預案，采取相(xiàng)應的應急處置措施，防止危害擴大，消除安全隐患，并及時向社會(huì)發布與公衆有關的警示信息。

第二十四條　國(guó)家建立數據安全審查制度，對影響或者可能(néng)影響國(guó)家安全的數據處理活動進行國(guó)家安全審查。

依法作出的安全審查決定為(wèi)最終決定。

第二十五條　國(guó)家對與維護國(guó)家安全和利益、履行國(guó)際義務相(xiàng)關的屬于管制物(wù)項的數據依法實施出口管制。

第二十六條　任何國(guó)家或者地區在與數據和數據開(kāi)發利用技(jì)術(shù)等有關的投資、貿易等方面對中華人民(mín)共和國(guó)采取歧視性的禁止、限制或者其他類似措施的，中華人民(mín)共和國(guó)可以根據實際情況對該國(guó)家或者地區對等采取措施。

第四章　數據安全保護義務

第二十七條　開(kāi)展數據處理活動應當依照(zhào)法律、法規的規定，建立健全全流程數據安全管理制度，組織開(kāi)展數據安全教育培訓，采取相(xiàng)應的技(jì)術(shù)措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開(kāi)展數據處理活動，應當在網絡安全等級保護制度的基礎上(shàng)，履行上(shàng)述數據安全保護義務。

重要數據的處理者應當明确數據安全負責人和管理機(jī)構，落實數據安全保護責任。

第二十八條　開(kāi)展數據處理活動以及研究開(kāi)發數據新技(jì)術(shù)，應當有利于促進經濟社會(huì)發展，增進人民(mín)福祉，符合社會(huì)公德和倫理。

第二十九條　開(kāi)展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生(shēng)數據安全事(shì)件(jiàn)時，應當立即采取處置措施，按照(zhào)規定及時告知用戶并向有關主管部門(mén)報(bào)告。

第三十條　重要數據的處理者應當按照(zhào)規定對其數據處理活動定期開(kāi)展風險評估，并向有關主管部門(mén)報(bào)送風險評估報(bào)告。

風險評估報(bào)告應當包括處理的重要數據的種類、數量，開(kāi)展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

第三十一(yī)條　關鍵信息基礎設施的運營者在中華人民(mín)共和國(guó)境内運營中收集和産生(shēng)的重要數據的出境安全管理，适用《中華人民(mín)共和國(guó)網絡安全法》的規定；其他數據處理者在中華人民(mín)共和國(guó)境内運營中收集和産生(shēng)的重要數據的出境安全管理辦法，由國(guó)家網信部門(mén)會(huì)同國(guó)務院有關部門(mén)制定。

第三十二條　任何組織、個(gè)人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。

法律、行政法規對收集、使用數據的目的、範圍有規定的，應當在法律、行政法規規定的目的和範圍内收集、使用數據。

第三十三條　從(cóng)事(shì)數據交易中介服務的機(jī)構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。

第三十四條　法律、行政法規規定提供數據處理相(xiàng)關服務應當取得行政許可的，服務提供者應當依法取得許可。

第三十五條　公安機(jī)關、國(guó)家安全機(jī)關因依法維護國(guó)家安全或者偵查犯罪的需要調取數據，應當按照(zhào)國(guó)家有關規定，經過嚴格的批準手續，依法進行，有關組織、個(gè)人應當予以配合。

第三十六條　中華人民(mín)共和國(guó)主管機(jī)關根據有關法律和中華人民(mín)共和國(guó)締結或者參加的國(guó)際條約、協定，或者按照(zhào)平等互惠原則，處理外國(guó)司法或者執法機(jī)構關于提供數據的請求。非經中華人民(mín)共和國(guó)主管機(jī)關批準，境内的組織、個(gè)人不得向外國(guó)司法或者執法機(jī)構提供存儲于中華人民(mín)共和國(guó)境内的數據。

第五章　政務數據安全與開(kāi)放(fàng)

第三十七條　國(guó)家大力推進電(diàn)子政務建設，提高(gāo)政務數據的科學性、準确性、時效性，提升運用數據服務經濟社會(huì)發展的能(néng)力。

第三十八條　國(guó)家機(jī)關為(wèi)履行法定職責的需要收集、使用數據，應當在其履行法定職責的範圍内依照(zhào)法律、行政法規規定的條件(jiàn)和程序進行；對在履行職責中知悉的個(gè)人隐私、個(gè)人信息、商業(yè)秘密、保密商務信息等數據應當依法予以保密，不得洩露或者非法向他人提供。

第三十九條　國(guó)家機(jī)關應當依照(zhào)法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。

第四十條　國(guó)家機(jī)關委托他人建設、維護電(diàn)子政務系統，存儲、加工(gōng)政務數據，應當經過嚴格的批準程序，并應當監督受托方履行相(xiàng)應的數據安全保護義務。受托方應當依照(zhào)法律、法規的規定和合同約定履行數據安全保護義務，不得擅自(zì)留存、使用、洩露或者向他人提供政務數據。

第四十一(yī)條　國(guó)家機(jī)關應當遵循公正、公平、便民(mín)的原則，按照(zhào)規定及時、準确地公開(kāi)政務數據。依法不予公開(kāi)的除外。

第四十二條　國(guó)家制定政務數據開(kāi)放(fàng)目錄，構建統一(yī)規範、互聯互通(tōng)、安全可控的政務數據開(kāi)放(fàng)平台，推動政務數據開(kāi)放(fàng)利用。

第四十三條　法律、法規授權的具有管理公共事(shì)務職能(néng)的組織為(wèi)履行法定職責開(kāi)展數據處理活動，适用本章規定。

第六章　法律責任

第四十四條　有關主管部門(mén)在履行數據安全監管職責中，發現數據處理活動存在較大安全風險的，可以按照(zhào)規定的權限和程序對有關組織、個(gè)人進行約談，并要求有關組織、個(gè)人采取措施進行整改，消除隐患。

第四十五條　開(kāi)展數據處理活動的組織、個(gè)人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門(mén)責令改正，給予警告，可以并處五萬元以上(shàng)五十萬元以下(xià)罰款，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)可以處一(yī)萬元以上(shàng)十萬元以下(xià)罰款；拒不改正或者造成大量數據洩露等嚴重後果的，處五十萬元以上(shàng)二百萬元以下(xià)罰款，并可以責令暫停相(xiàng)關業(yè)務、停業(yè)整頓、吊銷相(xiàng)關業(yè)務許可證或者吊銷營業(yè)執照(zhào)，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處五萬元以上(shàng)二十萬元以下(xià)罰款。

違反國(guó)家核心數據管理制度，危害國(guó)家主權、安全和發展利益的，由有關主管部門(mén)處二百萬元以上(shàng)一(yī)千萬元以下(xià)罰款，并根據情況責令暫停相(xiàng)關業(yè)務、停業(yè)整頓、吊銷相(xiàng)關業(yè)務許可證或者吊銷營業(yè)執照(zhào)；構成犯罪的，依法追究刑事(shì)責任。

第四十六條　違反本法第三十一(yī)條規定，向境外提供重要數據的，由有關主管部門(mén)責令改正，給予警告，可以并處十萬元以上(shàng)一(yī)百萬元以下(xià)罰款，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)可以處一(yī)萬元以上(shàng)十萬元以下(xià)罰款；情節嚴重的，處一(yī)百萬元以上(shàng)一(yī)千萬元以下(xià)罰款，并可以責令暫停相(xiàng)關業(yè)務、停業(yè)整頓、吊銷相(xiàng)關業(yè)務許可證或者吊銷營業(yè)執照(zhào)，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處十萬元以上(shàng)一(yī)百萬元以下(xià)罰款。

第四十七條　從(cóng)事(shì)數據交易中介服務的機(jī)構未履行本法第三十三條規定的義務的，由有關主管部門(mén)責令改正，沒收違法所得，處違法所得一(yī)倍以上(shàng)十倍以下(xià)罰款，沒有違法所得或者違法所得不足十萬元的，處十萬元以上(shàng)一(yī)百萬元以下(xià)罰款，并可以責令暫停相(xiàng)關業(yè)務、停業(yè)整頓、吊銷相(xiàng)關業(yè)務許可證或者吊銷營業(yè)執照(zhào)；對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處一(yī)萬元以上(shàng)十萬元以下(xià)罰款。

第四十八條　違反本法第三十五條規定，拒不配合數據調取的，由有關主管部門(mén)責令改正，給予警告，并處五萬元以上(shàng)五十萬元以下(xià)罰款，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處一(yī)萬元以上(shàng)十萬元以下(xià)罰款。

違反本法第三十六條規定，未經主管機(jī)關批準向外國(guó)司法或者執法機(jī)構提供數據的，由有關主管部門(mén)給予警告，可以并處十萬元以上(shàng)一(yī)百萬元以下(xià)罰款，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)可以處一(yī)萬元以上(shàng)十萬元以下(xià)罰款；造成嚴重後果的，處一(yī)百萬元以上(shàng)五百萬元以下(xià)罰款，并可以責令暫停相(xiàng)關業(yè)務、停業(yè)整頓、吊銷相(xiàng)關業(yè)務許可證或者吊銷營業(yè)執照(zhào)，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)處五萬元以上(shàng)五十萬元以下(xià)罰款。

第四十九條　國(guó)家機(jī)關不履行本法規定的數據安全保護義務的，對直接負責的主管人員(yuán)和其他直接責任人員(yuán)依法給予處分。

第五十條　履行數據安全監管職責的國(guó)家工(gōng)作人員(yuán)玩忽職守、濫用職權、徇私舞弊的，依法給予處分。

第五十一(yī)條　竊取或者以其他非法方式獲取數據，開(kāi)展數據處理活動排除、限制競争，或者損害個(gè)人、組織合法權益的，依照(zhào)有關法律、行政法規的規定處罰。

第五十二條　違反本法規定，給他人造成損害的，依法承擔民(mín)事(shì)責任。

違反本法規定，構成違反治安管理行為(wèi)的，依法給予治安管理處罰；構成犯罪的，依法追究刑事(shì)責任。

第七章　附則

第五十三條　開(kāi)展涉及國(guó)家秘密的數據處理活動，适用《中華人民(mín)共和國(guó)保守國(guó)家秘密法》等法律、行政法規的規定。

在統計、檔案工(gōng)作中開(kāi)展數據處理活動，開(kāi)展涉及個(gè)人信息的數據處理活動，還(hái)應當遵守有關法律、行政法規的規定。

第五十四條　軍事(shì)數據安全保護的辦法，由中央軍事(shì)委員(yuán)會(huì)依據本法另行制定。

第五十五條　本法自(zì)2021年(nián)9月(yuè)1日起施行。