中華人民共和國數據安全法（2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過）

  目錄

  第一章 總則

  第二章 數據安全與發(fā)展

  第三章 數據安全制度

  第四章 數據安全保護義務

  第五章 政務數據安全與開放

  第六章 法律責任

  第七章 附則

  第一章 總則

  第一條 為了規(guī)范數據處理活動，保障數據安全，促進數據開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益，制定本法。

  第二條 在中華人民共和國境內開展數據處理活動及其安全監(jiān)管，適用本法。

  在中華人民共和國境外開展數據處理活動，損害中華人民共和國國家安全、公共利益或者公民、組織合法權益的，依法追究法律責任。

  第三條 本法所稱數據，是指任何以電子或者其他方式對信息的記錄。

  數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

  數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

  第四條 維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。

  第五條 中央國家安全領導機構負責國家數據安全工作的決策和議事協(xié)調，研究制定、指導實施國家數據安全戰(zhàn)略和有關重大方針政策，統(tǒng)籌協(xié)調國家數據安全的重大事項和重要工作，建立國家數據安全工作協(xié)調機制。

  第六條 各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產生的數據及數據安全負責。

  工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門承擔本行業(yè)、本領域數據安全監(jiān)管職責。

  公安機關、國家安全機關等依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內承擔數據安全監(jiān)管職責。

  國家網信部門依照本法和有關法律、行政法規(guī)的規(guī)定，負責統(tǒng)籌協(xié)調網絡數據安全和相關監(jiān)管工作。

  第七條 國家保護個人、組織與數據有關的權益，鼓勵數據依法合理有效利用，保障數據依法有序自由流動，促進以數據為關鍵要素的數字經濟發(fā)展。

  第八條 開展數據處理活動，應當遵守法律、法規(guī)，尊重社會公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠實守信，履行數據安全保護義務，承擔社會責任，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。

  第九條 國家支持開展數據安全知識宣傳普及，提高全社會的數據安全保護意識和水平，推動有關部門、行業(yè)組織、科研機構、企業(yè)、個人等共同參與數據安全保護工作，形成全社會共同維護數據安全和促進發(fā)展的良好環(huán)境。

  第十條 相關行業(yè)組織按照章程，依法制定數據安全行為規(guī)范和團體標準，加強行業(yè)自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業(yè)健康發(fā)展。

  第十一條 國家積極開展數據安全治理、數據開發(fā)利用等領域的國際交流與合作，參與數據安全相關國際規(guī)則和標準的制定，促進數據跨境安全、自由流動。

  第十二條 任何個人、組織都有權對違反本法規(guī)定的行為向有關主管部門投訴、舉報。收到投訴、舉報的部門應當及時依法處理。

  有關主管部門應當對投訴、舉報人的相關信息予以保密，保護投訴、舉報人的合法權益。

  第二章 數據安全與發(fā)展

  第十三條 國家統(tǒng)籌發(fā)展和安全，堅持以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全，以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展。

  第十四條 國家實施大數據戰(zhàn)略，推進數據基礎設施建設，鼓勵和支持數據在各行業(yè)、各領域的創(chuàng)新應用。

  省級以上人民政府應當將數字經濟發(fā)展納入本級國民經濟和社會發(fā)展規(guī)劃，并根據需要制定數字經濟發(fā)展規(guī)劃。

  第十五條 國家支持開發(fā)利用數據提升公共服務的智能化水平。提供智能化公共服務，應當充分考慮老年人、殘疾人的需求，避免對老年人、殘疾人的日常生活造成障礙。

  第十六條 國家支持數據開發(fā)利用和數據安全技術研究，鼓勵數據開發(fā)利用和數據安全等領域的技術推廣和商業(yè)創(chuàng)新，培育、發(fā)展數據開發(fā)利用和數據安全產品、產業(yè)體系。

  第十七條 國家推進數據開發(fā)利用技術和數據安全標準體系建設。國務院標準化行政主管部門和國務院有關部門根據各自的職責，組織制定并適時修訂有關數據開發(fā)利用技術、產品和數據安全相關標準。國家支持企業(yè)、社會團體和教育、科研機構等參與標準制定。

  第十八條 國家促進數據安全檢測評估、認證等服務的發(fā)展，支持數據安全檢測評估、認證等專業(yè)機構依法開展服務活動。

  國家支持有關部門、行業(yè)組織、企業(yè)、教育和科研機構、有關專業(yè)機構等在數據安全風險評估、防范、處置等方面開展協(xié)作。

  第十九條 國家建立健全數據交易管理制度，規(guī)范數據交易行為，培育數據交易市場。

  第二十條 國家支持教育、科研機構和企業(yè)等開展數據開發(fā)利用技術和數據安全相關教育和培訓，采取多種方式培養(yǎng)數據開發(fā)利用技術和數據安全專業(yè)人才，促進人才交流。

  第三章 數據安全制度

  第二十一條 國家建立數據分類分級保護制度，根據數據在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數據目錄，加強對重要數據的保護。

  關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。

  各地區(qū)、各部門應當按照數據分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。

  第二十二條 國家建立集中統(tǒng)一、高效權威的數據安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數據安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。

  第二十三條 國家建立數據安全應急處置機制。發(fā)生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發(fā)布與公眾有關的警示信息。

  第二十四條 國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

  依法作出的安全審查決定為最終決定。

  第二十五條 國家對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。

  第二十六條 任何國家或者地區(qū)在與數據和數據開發(fā)利用技術等有關的投資、貿易等方面對中華人民共和國采取歧視性的禁止、限制或者其他類似措施的，中華人民共和國可以根據實際情況對該國家或者地區(qū)對等采取措施。

  第四章 數據安全保護義務

  第二十七條 開展數據處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，采取相應的技術措施和其他必要措施，保障數據安全。利用互聯(lián)網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。