中華人民共和國數據安全法

（2021年6月10日第十三屆全國人民代表大會(hui) 常務委員會(hui) 第二十九次會(hui) 議通過）

目錄

第一章　總則

第二章　數據安全與(yu) 發展

第三章　數據安全製度

第四章　數據安全保護義(yi) 務

第五章　政務數據安全與(yu) 開放

第六章　法律責任

第七章　附則

第一章　總則

第一條　為(wei) 了規範數據處理活動，保障數據安全，促進數據開發利用，保護個(ge) 人、組織的合法權益，維護國家主權、安全和發展利益，製定本法。

第二條　在中華人民共和國境內(nei) 開展數據處理活動及其安全監管，適用本法。

在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

第三條　本法所稱數據，是指任何以電子或者其他方式對信息的記錄。

數據處理，包括數據的收集、存儲(chu) 、使用、加工、傳(chuan) 輸、提供、公開等。

數據安全，是指通過采取必要措施，確保數據處於(yu) 有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

第四條　維護數據安全，應當堅持總體(ti) 國家安全觀，建立健全數據安全治理體(ti) 係，提高數據安全保障能力。

第五條　中央國家安全領導機構負責國家數據安全工作的決(jue) 策和議事協調，研究製定、指導實施國家數據安全戰略和有關(guan) 重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機製。

第六條　各地區、各部門對本地區、本部門工作中收集和產(chan) 生的數據及數據安全負責。

工業(ye) 、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業(ye) 、本領域數據安全監管職責。

公安機關(guan) 、國家安全機關(guan) 等依照本法和有關(guan) 法律、行政法規的規定，在各自職責範圍內(nei) 承擔數據安全監管職責。

國家網信部門依照本法和有關(guan) 法律、行政法規的規定，負責統籌協調網絡數據安全和相關(guan) 監管工作。

第七條　國家保護個(ge) 人、組織與(yu) 數據有關(guan) 的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為(wei) 關(guan) 鍵要素的數字經濟發展。

第八條　開展數據處理活動，應當遵守法律、法規，尊重社會(hui) 公德和倫(lun) 理，遵守商業(ye) 道德和職業(ye) 道德，誠實守信，履行數據安全保護義(yi) 務，承擔社會(hui) 責任，不得危害國家安全、公共利益，不得損害個(ge) 人、組織的合法權益。

第九條　國家支持開展數據安全知識宣傳(chuan) 普及，提高全社會(hui) 的數據安全保護意識和水平，推動有關(guan) 部門、行業(ye) 組織、科研機構、企業(ye) 、個(ge) 人等共同參與(yu) 數據安全保護工作，形成全社會(hui) 共同維護數據安全和促進發展的良好環境。

第十條　相關(guan) 行業(ye) 組織按照章程，依法製定數據安全行為(wei) 規範和團體(ti) 標準，加強行業(ye) 自律，指導會(hui) 員加強數據安全保護，提高數據安全保護水平，促進行業(ye) 健康發展。

第十一條　國家積極開展數據安全治理、數據開發利用等領域的國際交流與(yu) 合作，參與(yu) 數據安全相關(guan) 國際規則和標準的製定，促進數據跨境安全、自由流動。

第十二條　任何個(ge) 人、組織都有權對違反本法規定的行為(wei) 向有關(guan) 主管部門投訴、舉(ju) 報。收到投訴、舉(ju) 報的部門應當及時依法處理。

有關(guan) 主管部門應當對投訴、舉(ju) 報人的相關(guan) 信息予以保密，保護投訴、舉(ju) 報人的合法權益。

第二章　數據安全與(yu) 發展

第十三條　國家統籌發展和安全，堅持以數據開發利用和產(chan) 業(ye) 發展促進數據安全，以數據安全保障數據開發利用和產(chan) 業(ye) 發展。

第十四條　國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業(ye) 、各領域的創新應用。

省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會(hui) 發展規劃，並根據需要製定數字經濟發展規劃。

第十五條　國家支持開發利用數據提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

第十六條　國家支持數據開發利用和數據安全技術研究，鼓勵數據開發利用和數據安全等領域的技術推廣和商業(ye) 創新，培育、發展數據開發利用和數據安全產(chan) 品、產(chan) 業(ye) 體(ti) 係。

第十七條　國家推進數據開發利用技術和數據安全標準體(ti) 係建設。國務院標準化行政主管部門和國務院有關(guan) 部門根據各自的職責，組織製定並適時修訂有關(guan) 數據開發利用技術、產(chan) 品和數據安全相關(guan) 標準。國家支持企業(ye) 、社會(hui) 團體(ti) 和教育、科研機構等參與(yu) 標準製定。

第十八條　國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專(zhuan) 業(ye) 機構依法開展服務活動。

國家支持有關(guan) 部門、行業(ye) 組織、企業(ye) 、教育和科研機構、有關(guan) 專(zhuan) 業(ye) 機構等在數據安全風險評估、防範、處置等方麵開展協作。

第十九條　國家建立健全數據交易管理製度，規範數據交易行為(wei) ，培育數據交易市場。

第二十條　國家支持教育、科研機構和企業(ye) 等開展數據開發利用技術和數據安全相關(guan) 教育和培訓，采取多種方式培養(yang) 數據開發利用技術和數據安全專(zhuan) 業(ye) 人才，促進人才交流。

第三章　數據安全製度

第二十一條　國家建立數據分類分級保護製度，根據數據在經濟社會(hui) 發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個(ge) 人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機製統籌協調有關(guan) 部門製定重要數據目錄，加強對重要數據的保護。

關(guan) 係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於(yu) 國家核心數據，實行更加嚴(yan) 格的管理製度。

各地區、各部門應當按照數據分類分級保護製度，確定本地區、本部門以及相關(guan) 行業(ye) 、領域的重要數據具體(ti) 目錄，對列入目錄的數據進行重點保護。

第二十二條　國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機製。國家數據安全工作協調機製統籌協調有關(guan) 部門加強數據安全風險信息的獲取、分析、研判、預警工作。

第二十三條　國家建立數據安全應急處置機製。發生數據安全事件，有關(guan) 主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，並及時向社會(hui) 發布與(yu) 公眾(zhong) 有關(guan) 的警示信息。

第二十四條　國家建立數據安全審查製度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

依法作出的安全審查決(jue) 定為(wei) 最終決(jue) 定。

第二十五條　國家對與(yu) 維護國家安全和利益、履行國際義(yi) 務相關(guan) 的屬於(yu) 管製物項的數據依法實施出口管製。

第二十六條　任何國家或者地區在與(yu) 數據和數據開發利用技術等有關(guan) 的投資、貿易等方麵對中華人民共和國采取歧視性的禁止、限製或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等采取措施。

第四章　數據安全保護義(yi) 務

第二十七條　開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理製度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護製度的基礎上，履行上述數據安全保護義(yi) 務。

重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

第二十八條　開展數據處理活動以及研究開發數據新技術，應當有利於(yu) 促進經濟社會(hui) 發展，增進人民福祉，符合社會(hui) 公德和倫(lun) 理。

第二十九條　開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶並向有關(guan) 主管部門報告。

第三十條　重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，並向有關(guan) 主管部門報送風險評估報告。

風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，麵臨(lin) 的數據安全風險及其應對措施等。

第三十一條　關(guan) 鍵信息基礎設施的運營者在中華人民共和國境內(nei) 運營中收集和產(chan) 生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定；其他數據處理者在中華人民共和國境內(nei) 運營中收集和產(chan) 生的重要數據的出境安全管理辦法，由國家網信部門會(hui) 同國務院有關(guan) 部門製定。

第三十二條　任何組織、個(ge) 人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。

法律、行政法規對收集、使用數據的目的、範圍有規定的，應當在法律、行政法規規定的目的和範圍內(nei) 收集、使用數據。

第三十三條　從(cong) 事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，並留存審核、交易記錄。

第三十四條　法律、行政法規規定提供數據處理相關(guan) 服務應當取得行政許可的，服務提供者應當依法取得許可。

第三十五條　公安機關(guan) 、國家安全機關(guan) 因依法維護國家安全或者偵(zhen) 查犯罪的需要調取數據，應當按照國家有關(guan) 規定，經過嚴(yan) 格的批準手續，依法進行，有關(guan) 組織、個(ge) 人應當予以配合。

第三十六條　中華人民共和國主管機關(guan) 根據有關(guan) 法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關(guan) 於(yu) 提供數據的請求。非經中華人民共和國主管機關(guan) 批準，境內(nei) 的組織、個(ge) 人不得向外國司法或者執法機構提供存儲(chu) 於(yu) 中華人民共和國境內(nei) 的數據。

第五章　政務數據安全與(yu) 開放

第三十七條　國家大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會(hui) 發展的能力。

第三十八條　國家機關(guan) 為(wei) 履行法定職責的需要收集、使用數據，應當在其履行法定職責的範圍內(nei) 依照法律、行政法規規定的條件和程序進行；對在履行職責中知悉的個(ge) 人隱私、個(ge) 人信息、商業(ye) 秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。

第三十九條　國家機關(guan) 應當依照法律、行政法規的規定，建立健全數據安全管理製度，落實數據安全保護責任，保障政務數據安全。

第四十條　國家機關(guan) 委托他人建設、維護電子政務係統，存儲(chu) 、加工政務數據，應當經過嚴(yan) 格的批準程序，並應當監督受托方履行相應的數據安全保護義(yi) 務。受托方應當依照法律、法規的規定和合同約定履行數據安全保護義(yi) 務，不得擅自留存、使用、泄露或者向他人提供政務數據。

第四十一條　國家機關(guan) 應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據。依法不予公開的除外。

第四十二條　國家製定政務數據開放目錄，構建統一規範、互聯互通、安全可控的政務數據開放平台，推動政務數據開放利用。

第四十三條　法律、法規授權的具有管理公共事務職能的組織為(wei) 履行法定職責開展數據處理活動，適用本章規定。

第六章　法律責任

第四十四條　有關(guan) 主管部門在履行數據安全監管職責中，發現數據處理活動存在較大安全風險的，可以按照規定的權限和程序對有關(guan) 組織、個(ge) 人進行約談，並要求有關(guan) 組織、個(ge) 人采取措施進行整改，消除隱患。

第四十五條　開展數據處理活動的組織、個(ge) 人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義(yi) 務的，由有關(guan) 主管部門責令改正，給予警告，可以並處五萬(wan) 元以上五十萬(wan) 元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬(wan) 元以上十萬(wan) 元以下罰款；拒不改正或者造成大量數據泄露等嚴(yan) 重後果的，處五十萬(wan) 元以上二百萬(wan) 元以下罰款，並可以責令暫停相關(guan) 業(ye) 務、停業(ye) 整頓、吊銷相關(guan) 業(ye) 務許可證或者吊銷營業(ye) 執照，對直接負責的主管人員和其他直接責任人員處五萬(wan) 元以上二十萬(wan) 元以下罰款。

違反國家核心數據管理製度，危害國家主權、安全和發展利益的，由有關(guan) 主管部門處二百萬(wan) 元以上一千萬(wan) 元以下罰款，並根據情況責令暫停相關(guan) 業(ye) 務、停業(ye) 整頓、吊銷相關(guan) 業(ye) 務許可證或者吊銷營業(ye) 執照；構成犯罪的，依法追究刑事責任。

第四十六條　違反本法第三十一條規定，向境外提供重要數據的，由有關(guan) 主管部門責令改正，給予警告，可以並處十萬(wan) 元以上一百萬(wan) 元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬(wan) 元以上十萬(wan) 元以下罰款；情節嚴(yan) 重的，處一百萬(wan) 元以上一千萬(wan) 元以下罰款，並可以責令暫停相關(guan) 業(ye) 務、停業(ye) 整頓、吊銷相關(guan) 業(ye) 務許可證或者吊銷營業(ye) 執照，對直接負責的主管人員和其他直接責任人員處十萬(wan) 元以上一百萬(wan) 元以下罰款。

第四十七條　從(cong) 事數據交易中介服務的機構未履行本法第三十三條規定的義(yi) 務的，由有關(guan) 主管部門責令改正，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得或者違法所得不足十萬(wan) 元的，處十萬(wan) 元以上一百萬(wan) 元以下罰款，並可以責令暫停相關(guan) 業(ye) 務、停業(ye) 整頓、吊銷相關(guan) 業(ye) 務許可證或者吊銷營業(ye) 執照；對直接負責的主管人員和其他直接責任人員處一萬(wan) 元以上十萬(wan) 元以下罰款。

第四十八條　違反本法第三十五條規定，拒不配合數據調取的，由有關(guan) 主管部門責令改正，給予警告，並處五萬(wan) 元以上五十萬(wan) 元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬(wan) 元以上十萬(wan) 元以下罰款。

違反本法第三十六條規定，未經主管機關(guan) 批準向外國司法或者執法機構提供數據的，由有關(guan) 主管部門給予警告，可以並處十萬(wan) 元以上一百萬(wan) 元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬(wan) 元以上十萬(wan) 元以下罰款；造成嚴(yan) 重後果的，處一百萬(wan) 元以上五百萬(wan) 元以下罰款，並可以責令暫停相關(guan) 業(ye) 務、停業(ye) 整頓、吊銷相關(guan) 業(ye) 務許可證或者吊銷營業(ye) 執照，對直接負責的主管人員和其他直接責任人員處五萬(wan) 元以上五十萬(wan) 元以下罰款。

第四十九條　國家機關(guan) 不履行本法規定的數據安全保護義(yi) 務的，對直接負責的主管人員和其他直接責任人員依法給予處分。

第五十條　履行數據安全監管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的，依法給予處分。

第五十一條　竊取或者以其他非法方式獲取數據，開展數據處理活動排除、限製競爭(zheng) ，或者損害個(ge) 人、組織合法權益的，依照有關(guan) 法律、行政法規的規定處罰。

第五十二條　違反本法規定，給他人造成損害的，依法承擔民事責任。

違反本法規定，構成違反治安管理行為(wei) 的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第七章　附則

第五十三條　開展涉及國家秘密的數據處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

在統計、檔案工作中開展數據處理活動，開展涉及個(ge) 人信息的數據處理活動，還應當遵守有關(guan) 法律、行政法規的規定。

第五十四條　軍(jun) 事數據安全保護的辦法，由中央軍(jun) 事委員會(hui) 依據本法另行製定。

第五十五條　本法自2021年9月1日起施行。