中華人民共和國數據安全法(2021年9月1日起施行的法律)

《中華人民共和國數據安全法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議於2021年6月10日通過，現予公布，自2021年9月1日起施行。

中華人民共和國數據安全法

（2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過）

第一章　總則

第二章　數據安全與發展

第三章　數據安全制度

第四章　數據安全保護義務

第五章　政務數據安全與開放

第六章　法律責任

第七章　附則

第一條　為了規範數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益，制定本法。

第二條　在中華人民共和國境內開展數據處理活動及其安全監管，適用本法。

在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

第三條　本法所稱數據，是指任何以電子或者其他方式對信息的記錄。

數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

數據安全，是指通過採取必要措施，確保數據處於有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

第四條　維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。

第五條　中央國家安全領導機構負責國家數據安全工作的決策和議事協調，研究制定、指導實施國家數據安全戰略和有關重大方針政策，統籌協調國家數據安全的重大事項和重要工作，建立國家數據安全工作協調機制。

第六條　各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

公安機關、國家安全機關等依照本法和有關法律、行政法規的規定，在各自職責範圍內承擔數據安全監管職責。

國家網信部門依照本法和有關法律、行政法規的規定，負責統籌協調網路數據安全和相關監管工作。

第七條　國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發展。

第八條　開展數據處理活動，應當遵守法律、法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

第九條　國家支持開展數據安全知識宣傳普及，提高全社會的數據安全保護意識和水平，推動有關部門、行業組織、科研機構、企業、個人等共同參與數據安全保護工作，形成全社會共同維護數據安全和促進發展的良好環境。

第十條　相關行業組織按照章程，依法制定數據安全行為規範和團體標準，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展。

第十一條　國家積極開展數據安全治理、數據開發利用等領域的國際交流與合作，參與數據安全相關國際規則和標準的制定，促進數據跨境安全、自由流動。

第十二條　任何個人、組織都有權對違反本法規定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。

有關主管部門應當對投訴、舉報人的相關信息予以保密，保護投訴、舉報人的合法權益。

第十三條　國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展。

第十四條　國家實施大數據戰略，推進數據基礎設施建設，鼓勵和支持數據在各行業、各領域的創新套用。

省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃，並根據需要制定數字經濟發展規劃。

第十五條　國家支持開發利用數據提升公共服務的智慧型化水平。提供智慧型化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

第十六條　國家支持數據開發利用和數據安全技術研究，鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新，培育、發展數據開發利用和數據安全產品、產業體系。

第十七條　國家推進數據開發利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定並適時修訂有關數據開發利用技術、產品和數據安全相關標準。國家支持企業、社會團體和教育、科研機構等參與標準制定。

第十八條　國家促進數據安全檢測評估、認證等服務的發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。

國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防範、處置等方面開展協作。

第十九條　國家建立健全數據交易管理制度，規範數據交易行為，培育數據交易市場。

第二十條　國家支持教育、科研機構和企業等開展數據開發利用技術和數據安全相關教育和培訓，採取多種方式培養數據開發利用技術和數據安全專業人才，促進人才交流。

第二十一條　國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。

關係國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬於國家核心數據，實行更加嚴格的管理制度。

各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

第二十二條　國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。國家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。

第二十三條　國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，採取相應的應急處置措施，防止危害擴大，消除安全隱患，並及時向社會發布與公眾有關的警示信息。

第二十四條　國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

依法作出的安全審查決定為最終決定。

第二十五條　國家對與維護國家安全和利益、履行國際義務相關的屬於管制物項的數據依法實施出口管制。

第二十六條　任何國家或者地區在與數據和數據開發利用技術等有關的投資、貿易等方面對中華人民共和國採取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區對等採取措施。

第二十七條　開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，採取相應的技術措施和其他必要措施，保障數據安全。利用網際網路等信息網路開展數據處理活動，應當在網路安全等級保護制度的基礎上，履行上述數據安全保護義務。

重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。

第二十八條　開展數據處理活動以及研究開發數據新技術，應當有利於促進經濟社會發展，增進人民福祉，符合社會公德和倫理。

第二十九條　開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即採取補救措施；發生數據安全事件時，應當立即採取處置措施，按照規定及時告知用戶並向有關主管部門報告。

第三十條　重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，並向有關主管部門報送風險評估報告。

風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。

第三十一條　關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網路安全法》的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。

第三十二條　任何組織、個人收集數據，應當採取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。

法律、行政法規對收集、使用數據的目的、範圍有規定的，應當在法律、行政法規規定的目的和範圍內收集、使用數據。

第三十三條　從事數據交易中介服務的機構提供服務，應當要求數據提供方說明數據來源，審核交易雙方的身份，並留存審核、交易記錄。

第三十四條　法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。

第三十五條　公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批准手續，依法進行，有關組織、個人應當予以配合。

第三十六條　中華人民共和國主管機關根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國司法或者執法機構關於提供數據的請求。非經中華人民共和國主管機關批准，境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。

第三十七條　國家大力推進電子政務建設，提高政務數據的科學性、準確性、時效性，提升運用數據服務經濟社會發展的能力。

第三十八條　國家機關為履行法定職責的需要收集、使用數據，應當在其履行法定職責的範圍內依照法律、行政法規規定的條件和程式進行；對在履行職責中知悉的個人隱私、個人信息、商業秘密、保密商務信息等數據應當依法予以保密，不得泄露或者非法向他人提供。

第三十九條　國家機關應當依照法律、行政法規的規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。

第四十條　國家機關委託他人建設、維護電子政務系統，存儲、加工政務數據，應當經過嚴格的批准程式，並應當監督受託方履行相應的數據安全保護義務。受託方應當依照法律、法規的規定和契約約定履行數據安全保護義務，不得擅自留存、使用、泄露或者向他人提供政務數據。

第四十一條　國家機關應當遵循公正、公平、便民的原則，按照規定及時、準確地公開政務數據。依法不予公開的除外。

第四十二條　國家制定政務數據開放目錄，構建統一規範、互聯互通、安全可控的政務數據開放平台，推動政務數據開放利用。

第四十三條　法律、法規授權的具有管理公共事務職能的組織為履行法定職責開展數據處理活動，適用本章規定。

第四十四條　有關主管部門在履行數據安全監管職責中，發現數據處理活動存在較大安全風險的，可以按照規定的許可權和程式對有關組織、個人進行約談，並要求有關組織、個人採取措施進行整改，消除隱患。

第四十五條　開展數據處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規定的數據安全保護義務的，由有關主管部門責令改正，給予警告，可以並處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重後果的，處五十萬元以上二百萬元以下罰款，並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

違反國家核心數據管理制度，危害國家主權、安全和發展利益的，由有關主管部門處二百萬元以上一千萬元以下罰款，並根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。

第四十六條　違反本法第三十一條規定，向境外提供重要數據的，由有關主管部門責令改正，給予警告，可以並處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；情節嚴重的，處一百萬元以上一千萬元以下罰款，並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款。

第四十七條　從事數據交易中介服務的機構未履行本法第三十三條規定的義務的，由有關主管部門責令改正，沒收違法所得，處違法所得一倍以上十倍以下罰款，沒有違法所得或者違法所得不足十萬元的，處十萬元以上一百萬元以下罰款，並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

第四十八條　違反本法第三十五條規定，拒不配合數據調取的，由有關主管部門責令改正，給予警告，並處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

違反本法第三十六條規定，未經主管機關批准向外國司法或者執法機構提供數據的，由有關主管部門給予警告，可以並處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；造成嚴重後果的，處一百萬元以上五百萬元以下罰款，並可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上五十萬元以下罰款。

第四十九條　國家機關不履行本法規定的數據安全保護義務的，對直接負責的主管人員和其他直接責任人員依法給予處分。

第五十條　履行數據安全監管職責的國家工作人員玩忽職守、濫用職權、徇私舞弊的，依法給予處分。

第五十一條　竊取或者以其他非法方式獲取數據，開展數據處理活動排除、限制競爭，或者損害個人、組織合法權益的，依照有關法律、行政法規的規定處罰。

第五十二條　違反本法規定，給他人造成損害的，依法承擔民事責任。

違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

第五十三條　開展涉及國家秘密的數據處理活動，適用《中華人民共和國保守國家秘密法》等法律、行政法規的規定。

在統計、檔案工作中開展數據處理活動，開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。

第五十四條　軍事數據安全保護的辦法，由中央軍事委員會依據本法另行制定。

第五十五條　本法自2021年9月1日起施行。

（一）關於《中華人民共和國數據安全法（草案）》的說明

關於《中華人民共和國數據安全法（草案）》的說明

——2020年6月28日在第十三屆全國人民代表大會常務委員會第二十次會議上

全國人大常委會法制工作委員會副主任　劉俊臣

委員長、各位副委員長、秘書長、各位委員：

我受委員長會議的委託，作關於《中華人民共和國數據安全法（草案）》的說明。

一、關於制定本法的必要性

隨著信息技術和人類生產生活交匯融合，各類數據迅猛增長、海量聚集，對經濟發展、社會治理、人民生活都產生了重大而深刻的影響。數據安全已成為事關國家安全與經濟社會發展的重大問題。黨中央對此高度重視，習近平總書記多次作出重要指示批示，提出加快法規制度建設、切實保障國家數據安全等明確要求。黨的十九大報告提出，推動網際網路、大數據、人工智慧和實體經濟深度融合。黨的十九屆四中全會決定明確將數據作為新的生產要素。按照黨中央部署和貫徹落實總體國家安全觀的要求，制定一部數據安全領域的基礎性法律十分必要：一是，數據是國家基礎性戰略資源，沒有數據安全就沒有國家安全。因此，應當按照總體國家安全觀的要求，通過立法加強數據安全保護，提升國家數據安全保障能力，有效應對數據這一非傳統領域的國家安全風險與挑戰，切實維護國家主權、安全和發展利益。二是，當前，各類數據的擁有主體多樣，處理活動複雜，安全風險加大，必須通過立法建立健全各項制度措施，切實加強數據安全保護，維護公民、組織的合法權益。三是，發揮數據的基礎資源作用和創新引擎作用，加快形成以創新為主要引領和支撐的數字經濟，更好服務我國經濟社會發展，必須通過立法規範數據活動，完善數據安全治理體系，以安全保發展、以發展促安全。四是，為適應電子政務發展的需要，提升政府決策、管理、服務的科學性和效率，應當通過立法明確政務數據安全管理制度和開放利用規則，大力推進政務數據資源開放和開發利用。

二、關於起草工作和把握的幾點

按照黨中央部署，制定數據安全法列入了十三屆全國人大常委會立法規劃和年度立法工作計畫。2018年10月，全國人大常委會法工委會同有關方面成立工作專班，抓緊草案研究起草工作。在起草過程中，多次召開座談會，認真聽取有關部門、企業和專家學者的意見；整理國內外有關立法資料，開展專題研究；併到有關地方和部門調研，深入了解數據安全領域存在的突出問題，聽取立法意見建議。形成數據安全法草案稿後，又徵求了中央有關部門和部分企業、專家的意見，經反覆修改完善後，形成了《中華人民共和國數據安全法（草案）》。

起草工作注意把握以下幾點：一是，把握正確政治方向，貫徹落實總體國家安全觀，堅持黨對數據安全工作的領導。二是，立足數據安全工作實際，著力解決數據安全領域突出問題，同時堅持包容審慎原則，鼓勵和促進數據依法合理有效利用。三是，數據安全法作為數據領域的基礎性法律，重點是確立數據安全保護管理各項基本制度，並與網路安全法、正在制定的個人信息保護法等做好銜接。

需要說明的是，按照全國人大常委會立法規劃和年度立法工作計畫的安排，全國人大常委會法工委會同中央網信辦正在抓緊個人信息保護法草案起草工作，爭取儘早提請全國人大常委會審議。

三、關於草案的主要內容

草案共七章五十一條，主要內容包括：

（一）關於本法的適用範圍

草案明確在我國境內開展的數據活動適用本法，其中數據是任何以電子或者非電子形式對信息的記錄，數據活動是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。同時，草案賦予本法必要的域外適用效力，規定：中華人民共和國境外的組織、個人開展數據活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

（二）關於支持、促進數據安全與發展的措施

草案堅持安全與發展並重，設專章對支持促進數據安全與發展的措施作了規定，保護個人、組織與數據有關的權益，提升數據安全治理和數據開發利用水平，促進以數據為關鍵要素的數字經濟發展。包括：實施大數據戰略，制定數字經濟發展規劃；支持數據相關技術研發和商業創新；推進數據相關標準體系建設，促進數據安全檢測評估、認證等服務的發展；培育數據交易市場；支持採取多種方式培養專業人才等。

（三）關於數據安全制度

為有效應對境內外數據安全風險，有必要建立健全國家數據安全管理制度，完善國家數據安全治理體系。對此，草案主要作了以下規定：一是，建立數據分級分類管理制度，確定重要數據保護目錄，對列入目錄的數據進行重點保護。二是，建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制，加強數據安全風險信息的獲取、分析、研判、預警工作。三是，建立數據安全應急處置機制，有效應對和處置數據安全事件。四是，與相關法律相銜接，確立數據安全審查制度和出口管制制度。五是，針對一些國家對我國的相關投資和貿易採取歧視性等不合理措施的做法，明確我國可以根據實際情況採取相應的措施。

（四）關於數據安全保護義務

保障數據安全，關鍵是要落實開展數據活動的組織、個人的主體責任。對此，草案主要作了以下規定：一是，開展數據活動必須遵守法律法規，尊重社會公德和倫理，有利於促進經濟社會發展，增進人民福祉，不得違法收集、使用數據，不得危害國家安全、公共利益，不得損害公民、組織的合法權益。二是，開展數據活動應當按照規定建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，採取相應的技術措施和其他必要措施，保障數據安全。三是，開展數據活動應當加強數據安全風險監測、定期開展風險評估，及時處置數據安全事件，並履行相應的報告義務。四是，對數據交易中介服務和線上數據處理服務等作出規範。五是，對公安機關和國家安全機關因依法履行職責需要調取數據以及境外執法機構調取境內數據時，有關組織和個人的相關義務作了規定。

（五）關於政務數據安全與開放

為保障政務數據安全，並推動政務數據開放利用，草案主要作了以下規定：一是，對推進電子政務建設，提升運用數據服務經濟社會發展的能力提出要求。二是，規定國家機關收集、使用數據應當在其履行法定職責的範圍內依照法律、行政法規規定的條件和程式進行，並落實數據安全保護責任，保障政務數據安全。三是，對國家機關委託他人存儲、加工或者向他人提供政務數據的審批要求和監督義務作出規定。四是，要求國家機關按照規定及時準確公開政務數據，制定政務數據開放目錄，構建政務數據開放平台，推動政務數據開放利用。

（六）關於數據安全工作職責

數據安全涉及各行業各領域，涉及多個部門的職責，草案明確中央國家安全領導機構對數據安全工作的決策和統籌協調等職責，加強對數據安全工作的組織領導；同時對有關行業部門和有關主管部門的數據安全監管職責作了規定。

此外，草案還對違反本法規定的法律責任等作了規定。

數據安全法草案和以上說明是否妥當，請審議。