第一(yī / yì ／yí)章 總則

第一(yī / yì ／yí)條

爲(wéi / wèi)了(le／liǎo)規範數據處理活動，保障數據安全，促進數據開發利用，保護個(gè)人(rén)、組織的(de)合法權益，維護國(guó)家主權、安全和(hé / huò)發展利益，制定本法。

第二條

在(zài)中華人(rén)民共和(hé / huò)國(guó)境内開展數據處理活動及其安全監管，适用本法。

在(zài)中華人(rén)民共和(hé / huò)國(guó)境外開展數據處理活動，損害中華人(rén)民共和(hé / huò)國(guó)國(guó)家安全、公共利益或者公民、組織合法權益的(de)，依法追究法律責任。

第三條

本法所稱數據，是(shì)指任何以(yǐ)電子(zǐ)或者其他(tā)方式對信息的(de)記錄。

數據處理，包括數據的(de)收集、存儲、使用、加工、傳輸、提供、公開等。

數據安全，是(shì)指通過采取必要(yào / yāo)措施，确保數據處于(yú)有效保護和(hé / huò)合法利用的(de)狀态，以(yǐ)及具備保障持續安全狀态的(de)能力。

第四條

維護數據安全，應當堅持總體國(guó)家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。

第五條

中央國(guó)家安全領導機構負責國(guó)家數據安全工作的(de)決策和(hé / huò)議事協調，研究制定、指導實施國(guó)家數據安全戰略和(hé / huò)有關重大(dà)方針政策，統籌協調國(guó)家數據安全的(de)重大(dà)事項和(hé / huò)重要(yào / yāo)工作，建立國(guó)家數據安全工作協調機制。

第六條

各地(dì / de)區、各部門對本地(dì / de)區、本部門工作中收集和(hé / huò)産生的(de)數據及數據安全負責。

工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。

公安機關、國(guó)家安全機關等依照本法和(hé / huò)有關法律、行政法規的(de)規定，在(zài)各自職責範圍内承擔數據安全監管職責。

國(guó)家網信部門依照本法和(hé / huò)有關法律、行政法規的(de)規定，負責統籌協調網絡數據安全和(hé / huò)相關監管工作。

第七條

國(guó)家保護個(gè)人(rén)、組織與數據有關的(de)權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以(yǐ)數據爲(wéi / wèi)關鍵要(yào / yāo)素的(de)數字經濟發展。

第八條

開展數據處理活動，應當遵守法律、法規，尊重社會公德和(hé / huò)倫理，遵守商業道(dào)德和(hé / huò)職業道(dào)德，誠實守信，履行數據安全保護義務，承擔社會責任，不(bù)得危害國(guó)家安全、公共利益，不(bù)得損害個(gè)人(rén)、組織的(de)合法權益。

第九條

國(guó)家支持開展數據安全知識宣傳普及，提高全社會的(de)數據安全保護意識和(hé / huò)水平，推動有關部門、行業組織、科研機構、企業、個(gè)人(rén)等共同參與數據安全保護工作，形成全社會共同維護數據安全和(hé / huò)促進發展的(de)良好環境。

第十條

相關行業組織按照章程，依法制定數據安全行爲(wéi / wèi)規範和(hé / huò)團體标準，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展。

第十一(yī / yì ／yí)條

國(guó)家積極開展數據安全治理、數據開發利用等領域的(de)國(guó)際交流與合作，參與數據安全相關國(guó)際規則和(hé / huò)标準的(de)制定，促進數據跨境安全、自由流動。

第十二條

任何個(gè)人(rén)、組織都有權對違反本法規定的(de)行爲(wéi / wèi)向有關主管部門投訴、舉報。收到(dào)投訴、舉報的(de)部門應當及時(shí)依法處理。

有關主管部門應當對投訴、舉報人(rén)的(de)相關信息予以(yǐ)保密，保護投訴、舉報人(rén)的(de)合法權益。

第二章 數據安全與發展

第十三條

國(guó)家統籌發展和(hé / huò)安全，堅持以(yǐ)數據開發利用和(hé / huò)産業發展促進數據安全，以(yǐ)數據安全保障數據開發利用和(hé / huò)産業發展。

第十四條

國(guó)家實施大(dà)數據戰略，推進數據基礎設施建設，鼓勵和(hé / huò)支持數據在(zài)各行業、各領域的(de)創新應用。

省級以(yǐ)上(shàng)人(rén)民政府應當将數字經濟發展納入本級國(guó)民經濟和(hé / huò)社會發展規劃，并根據需要(yào / yāo)制定數字經濟發展規劃。

第十五條

國(guó)家支持開發利用數據提升公共服務的(de)智能化水平。提供智能化公共服務，應當充分考慮老年人(rén)、殘疾人(rén)的(de)需求，避免對老年人(rén)、殘疾人(rén)的(de)日常生活造成障礙。

第十六條

國(guó)家支持數據開發利用和(hé / huò)數據安全技術研究，鼓勵數據開發利用和(hé / huò)數據安全等領域的(de)技術推廣和(hé / huò)商業創新，培育、發展數據開發利用和(hé / huò)數據安全産品、産業體系。

第十七條

國(guó)家推進數據開發利用技術和(hé / huò)數據安全标準體系建設。國(guó)務院标準化行政主管部門和(hé / huò)國(guó)務院有關部門根據各自的(de)職責，組織制定并适時(shí)修訂有關數據開發利用技術、産品和(hé / huò)數據安全相關标準。國(guó)家支持企業、社會團體和(hé / huò)教育、科研機構等參與标準制定。

第十八條

國(guó)家促進數據安全檢測評估、認證等服務的(de)發展，支持數據安全檢測評估、認證等專業機構依法開展服務活動。

國(guó)家支持有關部門、行業組織、企業、教育和(hé / huò)科研機構、有關專業機構等在(zài)數據安全風險評估、防範、處置等方面開展協作。

第十九條

國(guó)家建立健全數據交易管理制度，規範數據交易行爲(wéi / wèi)，培育數據交易市場。

第二十條

國(guó)家支持教育、科研機構和(hé / huò)企業等開展數據開發利用技術和(hé / huò)數據安全相關教育和(hé / huò)培訓，采取多種方式培養數據開發利用技術和(hé / huò)數據安全專業人(rén)才，促進人(rén)才交流。

第三章 數據安全制度

第二十一(yī / yì ／yí)條

國(guó)家建立數據分類分級保護制度，根據數據在(zài)經濟社會發展中的(de)重要(yào / yāo)程度，以(yǐ)及一(yī / yì ／yí)旦遭到(dào)篡改、破壞、洩露或者非法獲取、非法利用，對國(guó)家安全、公共利益或者個(gè)人(rén)、組織合法權益造成的(de)危害程度，對數據實行分類分級保護。國(guó)家數據安全工作協調機制統籌協調有關部門制定重要(yào / yāo)數據目錄，加強對重要(yào / yāo)數據的(de)保護。

關系國(guó)家安全、國(guó)民經濟命脈、重要(yào / yāo)民生、重大(dà)公共利益等數據屬于(yú)國(guó)家核心數據，實行更加嚴格的(de)管理制度。

各地(dì / de)區、各部門應當按照數據分類分級保護制度，确定本地(dì / de)區、本部門以(yǐ)及相關行業、領域的(de)重要(yào / yāo)數據具體目錄，對列入目錄的(de)數據進行重點保護。

第二十二條

國(guó)家建立集中統一(yī / yì ／yí)、高效權威的(de)數據安全風險評估、報告、信息共享、監測預警機制。國(guó)家數據安全工作協調機制統籌協調有關部門加強數據安全風險信息的(de)獲取、分析、研判、預警工作。

第二十三條

國(guó)家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啓動應急預案，采取相應的(de)應急處置措施，防止危害擴大(dà)，消除安全隐患，并及時(shí)向社會發布與公衆有關的(de)警示信息。

第二十四條

國(guó)家建立數據安全審查制度，對影響或者可能影響國(guó)家安全的(de)數據處理活動進行國(guó)家安全審查。

依法作出(chū)的(de)安全審查決定爲(wéi / wèi)最終決定。

第二十五條

國(guó)家對與維護國(guó)家安全和(hé / huò)利益、履行國(guó)際義務相關的(de)屬于(yú)管制物項的(de)數據依法實施出(chū)口管制。

第二十六條

任何國(guó)家或者地(dì / de)區在(zài)與數據和(hé / huò)數據開發利用技術等有關的(de)投資、貿易等方面對中華人(rén)民共和(hé / huò)國(guó)采取歧視性的(de)禁止、限制或者其他(tā)類似措施的(de)，中華人(rén)民共和(hé / huò)國(guó)可以(yǐ)根據實際情況對該國(guó)家或者地(dì / de)區對等采取措施。

第四章 數據安全保護義務

第二十七條

開展數據處理活動應當依照法律、法規的(de)規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的(de)技術措施和(hé / huò)其他(tā)必要(yào / yāo)措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在(zài)網絡安全等級保護制度的(de)基礎上(shàng)，履行上(shàng)述數據安全保護義務。

重要(yào / yāo)數據的(de)處理者應當明确數據安全負責人(rén)和(hé / huò)管理機構，落實數據安全保護責任。

第二十八條

開展數據處理活動以(yǐ)及研究開發數據新技術，應當有利于(yú)促進經濟社會發展，增進人(rén)民福祉，符合社會公德和(hé / huò)倫理。

第二十九條

開展數據處理活動應當加強風險監測，發現數據安全缺陷、漏洞等風險時(shí)，應當立即采取補救措施；發生數據安全事件時(shí)，應當立即采取處置措施，按照規定及時(shí)告知用戶并向有關主管部門報告。

第三十條

重要(yào / yāo)數據的(de)處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。

風險評估報告應當包括處理的(de)重要(yào / yāo)數據的(de)種類、數量，開展數據處理活動的(de)情況，面臨的(de)數據安全風險及其應對措施等。

第三十一(yī / yì ／yí)條

關鍵信息基礎設施的(de)運營者在(zài)中華人(rén)民共和(hé / huò)國(guó)境内運營中收集和(hé / huò)産生的(de)重要(yào / yāo)數據的(de)出(chū)境安全管理，适用《中華人(rén)民共和(hé / huò)國(guó)網絡安全法》的(de)規定；其他(tā)數據處理者在(zài)中華人(rén)民共和(hé / huò)國(guó)境内運營中收集和(hé / huò)産生的(de)重要(yào / yāo)數據的(de)出(chū)境安全管理辦法，由國(guó)家網信部門會同國(guó)務院有關部門制定。

第三十二條

任何組織、個(gè)人(rén)收集數據，應當采取合法、正當的(de)方式，不(bù)得竊取或者以(yǐ)其他(tā)非法方式獲取數據。

法律、行政法規對收集、使用數據的(de)目的(de)、範圍有規定的(de)，應當在(zài)法律、行政法規規定的(de)目的(de)和(hé / huò)範圍内收集、使用數據。

第三十三條

從事數據交易中介服務的(de)機構提供服務，應當要(yào / yāo)求數據提供方說(shuō)明數據來(lái)源，審核交易雙方的(de)身份，并留存審核、交易記錄。

第三十四條

法律、行政法規規定提供數據處理相關服務應當取得行政許可的(de)，服務提供者應當依法取得許可。

第三十五條

公安機關、國(guó)家安全機關因依法維護國(guó)家安全或者偵查犯罪的(de)需要(yào / yāo)調取數據，應當按照國(guó)家有關規定，經過嚴格的(de)批準手續，依法進行，有關組織、個(gè)人(rén)應當予以(yǐ)配合。

第三十六條

中華人(rén)民共和(hé / huò)國(guó)主管機關根據有關法律和(hé / huò)中華人(rén)民共和(hé / huò)國(guó)締結或者參加的(de)國(guó)際條約、協定，或者按照平等互惠原則，處理外國(guó)司法或者執法機構關于(yú)提供數據的(de)請求。非經中華人(rén)民共和(hé / huò)國(guó)主管機關批準，境内的(de)組織、個(gè)人(rén)不(bù)得向外國(guó)司法或者執法機構提供存儲于(yú)中華人(rén)民共和(hé / huò)國(guó)境内的(de)數據。

第五章 政務數據安全與開放

第三十七條

國(guó)家大(dà)力推進電子(zǐ)政務建設，提高政務數據的(de)科學性、準确性、時(shí)效性，提升運用數據服務經濟社會發展的(de)能力。

第三十八條

國(guó)家機關爲(wéi / wèi)履行法定職責的(de)需要(yào / yāo)收集、使用數據，應當在(zài)其履行法定職責的(de)範圍内依照法律、行政法規規定的(de)條件和(hé / huò)程序進行；對在(zài)履行職責中知悉的(de)個(gè)人(rén)隐私、個(gè)人(rén)信息、商業秘密、保密商務信息等數據應當依法予以(yǐ)保密，不(bù)得洩露或者非法向他(tā)人(rén)提供。

第三十九條

國(guó)家機關應當依照法律、行政法規的(de)規定，建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。

第四十條

國(guó)家機關委托他(tā)人(rén)建設、維護電子(zǐ)政務系統，存儲、加工政務數據，應當經過嚴格的(de)批準程序，并應當監督受托方履行相應的(de)數據安全保護義務。受托方應當依照法律、法規的(de)規定和(hé / huò)合同約定履行數據安全保護義務，不(bù)得擅自留存、使用、洩露或者向他(tā)人(rén)提供政務數據。

第四十一(yī / yì ／yí)條

國(guó)家機關應當遵循公正、公平、便民的(de)原則，按照規定及時(shí)、準确地(dì / de)公開政務數據。依法不(bù)予公開的(de)除外。

第四十二條

國(guó)家制定政務數據開放目錄，構建統一(yī / yì ／yí)規範、互聯互通、安全可控的(de)政務數據開放平台，推動政務數據開放利用。

第四十三條

法律、法規授權的(de)具有管理公共事務職能的(de)組織爲(wéi / wèi)履行法定職責開展數據處理活動，适用本章規定。

第六章 法律責任

第四十四條

有關主管部門在(zài)履行數據安全監管職責中，發現數據處理活動存在(zài)較大(dà)安全風險的(de)，可以(yǐ)按照規定的(de)權限和(hé / huò)程序對有關組織、個(gè)人(rén)進行約談，并要(yào / yāo)求有關組織、個(gè)人(rén)采取措施進行整改，消除隐患。

第四十五條

開展數據處理活動的(de)組織、個(gè)人(rén)不(bù)履行本法第二十七條、第二十九條、第三十條規定的(de)數據安全保護義務的(de)，由有關主管部門責令改正，給予警告，可以(yǐ)并處五萬元以(yǐ)上(shàng)五十萬元以(yǐ)下罰款，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員可以(yǐ)處一(yī / yì ／yí)萬元以(yǐ)上(shàng)十萬元以(yǐ)下罰款；拒不(bù)改正或者造成大(dà)量數據洩露等嚴重後果的(de)，處五十萬元以(yǐ)上(shàng)二百萬元以(yǐ)下罰款，并可以(yǐ)責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員處五萬元以(yǐ)上(shàng)二十萬元以(yǐ)下罰款。

違反國(guó)家核心數據管理制度，危害國(guó)家主權、安全和(hé / huò)發展利益的(de)，由有關主管部門處二百萬元以(yǐ)上(shàng)一(yī / yì ／yí)千萬元以(yǐ)下罰款，并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的(de)，依法追究刑事責任。

第四十六條

違反本法第三十一(yī / yì ／yí)條規定，向境外提供重要(yào / yāo)數據的(de)，由有關主管部門責令改正，給予警告，可以(yǐ)并處十萬元以(yǐ)上(shàng)一(yī / yì ／yí)百萬元以(yǐ)下罰款，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員可以(yǐ)處一(yī / yì ／yí)萬元以(yǐ)上(shàng)十萬元以(yǐ)下罰款；情節嚴重的(de)，處一(yī / yì ／yí)百萬元以(yǐ)上(shàng)一(yī / yì ／yí)千萬元以(yǐ)下罰款，并可以(yǐ)責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員處十萬元以(yǐ)上(shàng)一(yī / yì ／yí)百萬元以(yǐ)下罰款。

第四十七條

從事數據交易中介服務的(de)機構未履行本法第三十三條規定的(de)義務的(de)，由有關主管部門責令改正，沒收違法所得，處違法所得一(yī / yì ／yí)倍以(yǐ)上(shàng)十倍以(yǐ)下罰款，沒有違法所得或者違法所得不(bù)足十萬元的(de)，處十萬元以(yǐ)上(shàng)一(yī / yì ／yí)百萬元以(yǐ)下罰款，并可以(yǐ)責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照；對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員處一(yī / yì ／yí)萬元以(yǐ)上(shàng)十萬元以(yǐ)下罰款。

第四十八條

違反本法第三十五條規定，拒不(bù)配合數據調取的(de)，由有關主管部門責令改正，給予警告，并處五萬元以(yǐ)上(shàng)五十萬元以(yǐ)下罰款，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員處一(yī / yì ／yí)萬元以(yǐ)上(shàng)十萬元以(yǐ)下罰款。

違反本法第三十六條規定，未經主管機關批準向外國(guó)司法或者執法機構提供數據的(de)，由有關主管部門給予警告，可以(yǐ)并處十萬元以(yǐ)上(shàng)一(yī / yì ／yí)百萬元以(yǐ)下罰款，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員可以(yǐ)處一(yī / yì ／yí)萬元以(yǐ)上(shàng)十萬元以(yǐ)下罰款；造成嚴重後果的(de)，處一(yī / yì ／yí)百萬元以(yǐ)上(shàng)五百萬元以(yǐ)下罰款，并可以(yǐ)責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員處五萬元以(yǐ)上(shàng)五十萬元以(yǐ)下罰款。

第四十九條

國(guó)家機關不(bù)履行本法規定的(de)數據安全保護義務的(de)，對直接負責的(de)主管人(rén)員和(hé / huò)其他(tā)直接責任人(rén)員依法給予處分。

第五十條

履行數據安全監管職責的(de)國(guó)家工作人(rén)員玩忽職守、濫用職權、徇私舞弊的(de)，依法給予處分。

第五十一(yī / yì ／yí)條

竊取或者以(yǐ)其他(tā)非法方式獲取數據，開展數據處理活動排除、限制競争，或者損害個(gè)人(rén)、組織合法權益的(de)，依照有關法律、行政法規的(de)規定處罰。

第五十二條

違反本法規定，給他(tā)人(rén)造成損害的(de)，依法承擔民事責任。

違反本法規定，構成違反治安管理行爲(wéi / wèi)的(de)，依法給予治安管理處罰；構成犯罪的(de)，依法追究刑事責任。

第七章 附則

第五十三條

開展涉及國(guó)家秘密的(de)數據處理活動，适用《中華人(rén)民共和(hé / huò)國(guó)保守國(guó)家秘密法》等法律、行政法規的(de)規定。

在(zài)統計、檔案工作中開展數據處理活動，開展涉及個(gè)人(rén)信息的(de)數據處理活動，還應當遵守有關法律、行政法規的(de)規定。

第五十四條

軍事數據安全保護的(de)辦法，由中央軍事委員會依據本法另行制定。

第五十五條

本法自2021年9月1日起施行。