第一章 总则

适用范围、术语定义、保护要求、健全数据安全治理体系、责任任务、行业规范、行业自律等内容。

1.编制目的

为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。

2.适用范围

（1）境内开展数据处理活动及其安全监管，适用本法。

（2）境外开展数据处理活动，损害国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

3.术语定义

（1）本法所称数据，是指任何以电子或者其他方式对信息的记录。

（2）数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

（3）数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

4.保障能力

建立健全数据安全治理体系，提高数据安全保障能力。

5.监管职责

（1）工业、电信、交通、金融等主管部门承担本行业、本领域数据安全监管职责。

（2）公安机关、国家安全机关等承担数据安全监管职责。

（3）国家网信部门负责统筹协调网络数据安全监管工作。

6.数据合法利用

（1）国家鼓励数据依法合理有效利用，促进以数据为关键要素的数字经济发展。

（2）开展数据处理活动，应履行数据安全保护义务。

（3）开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平

7.行业自律

相关行业依法制定数据安全行为规范和团体标准，加强行业自律。

8.国家合作

国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作。

9.投诉举报

任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。

 

 

第二章  数据安全与发展

促进产业发展、推进数据基础设施建设、提供智能化公共服务、培养数据安全产业、健全数据交易管理制度等

 

（1）安全与发展

国家统筹发展和安全，坚持以数据发展促进数据安全，以数据安全保障数据发展。

（2）数据开发利用和数据安全技术

国家支持数据开发利用和数据安全技术研究。

（3）数据安全检测评估认证

国家支持数据安全检测评估、认证等专业机构依法开展服务活动。

（4）数据交易管理

国家建立健全数据交易管理制度，培育数据交易市场。

（5）数字经济发展

国家实施大数据战略，推进数据基础设施建设，鼓励数据的创新应用。

（6）适老化

提供智能化公共服务，应当充分考虑老年人、残疾人的需求。

（7）数据安全标准

国家推进数据开发利用技术和数据安全标准体系建设。

（8）数据安全教育培训

国家支持开展数据发展技术和数据安全相关教育和培训。

 

第三章 数据安全制度

数据分类分级保护、数据安全风险监测预警、数据安全应急处置、数据安全审查、数据出口管制等

1.数据分类分级保护

国家建立数据分类分级保护制度，根据数据的重要程度和影响程度实行分类分级保护。确定重要数据目录，加强对国家核心数据、重要数据进行重点保护。

2.数据安全风险监测预警

国家建立数据安全风险评估、报告、信息共享、监测预警机制，加强数据安全风险信息的获取、分析、预判、预警工作。

3.数据安全应急处置

国家建立数据安全应急处置机制。发生数据安全事件，应当依法启动应急预案和应急处置措施，消除安全隐患，并及时发布相关的警示信息。

4.数据安全审查

国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

5.数据出口管制

国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

6.数据对等反制措施

任何国家或者地区在与数据等有关的投资、贸易等方面对中国采取歧视性的禁止、限制类似措施的，中国可以采取对等采取措施。

 

第四章 数据安全保护义务

数据安全风险与事件处置、重要数据风险评估、重要数据出境管理、收集数据管理、数据交易管理等

1.总体义务

建立数据安全管理制度，落实数据安全负责人和管理机构，组织开展数据安全教育培训，在等保的基础上采取相应的技术措施对数据实行安全保护。

2.数据新技术发展

开展数据处理活动以及研究开发数据新技术，如多方安全技术、联邦学习、可信执行环境等。

3.数据安全风险与事件处置

应加强数据风险监测，当发现风险应立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，及时告知用户并向有关主管部门报告。

4.重要数据风险评估

重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

5.重要数据出境安全

关键运营者在境内收集和产生的重要数据出境安全管理，适用《网安法》规定；其他可参考如《网络安全审计办法》等条例进行。

6.收集数据合法正当

任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。

7.数据交易中介服务机构

从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。

8.数据处理行政许可

法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。

9.依法调取数据

公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

10.境外司法调取数据须审批

非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。

 

第五章 政务数据安全与开放

推进电子政务建设、保障政务数据安全、政务数据使用管理、政务数据开放利用等

1.政务数据应用

国家大力推进电子政务建设，提高政务数据的科学性、准确性、时效性，提升运用数据服务经济社会发展的能力。

2. 安全管理制度

国家机关为履行法定职责的需要收集、使用数据，应当依照法律法规进行；对在履行职责中知悉的数据应当依法予以保密，不得泄露或提供。

国家机关应建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

3.委托建设

国家机关委托他人建设系统和处理数据，应当监督受托方相应的数据安全保护义务。

受托方应履行数据安全保护义务，不得留存、泄露或提供政务数据。

4.政务数据公开

国家机关应当遵循公正、公平、便民的原则，按照规定及时、准确地公开政务数据。

国家制定政务数据开放目录，构建统一规范、互联互通、安全可控的政务数据开放平台，推动政务数据开放利用。

 

第六章 法律责任

最高由有关主管部门处两百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照

1.未建立数据安全管理制度、组织和责任体系，未开展数据保护（第27条）

2.发生数据安全事件未采取处置措施的（第29条）

3.未定期进行数据安全风险评估并上报主管部门的（第30条）

组织停业整顿，吊销业务许可和营业执照，组织被罚款200万元，关键人员处罚20万元；（第45条）

4.未遵守国家核心数据管理制度（第45条）

5.违法向境外提供重要数据的（第31条）

组织停业整顿，吊销业务许可和营业执照，组织被罚款1000万元，关键人员处罚100万元；（第45条、第46条）

6.数据交易中介服务机构未审核数据源和身份的（第33条）

机构停业整顿，吊销业务许可和营业执照，机构被被罚款100万元，关键人员处罚10万元；（第47条）

7.据不配合数据调取的（第35条）

组织被罚款50万元，关键人员处罚10万元；

8.未经主管机关批准给境外司法提供数据的（第36条）

组织停业整顿，吊销业务许可和营业执照，组织被罚款500万元，关键人员处罚50万元；（第48条）

9.国家机关不履行本法规定的数据安全保护义务的（第49条）

10.履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的（第50条）

关键人员依法给予处分（第49条、第50条）

11.窃取或以其他方式获取数据，损害个人、组织合法权益

依照有关法律法规处罚（第51条）

12.违法本法规定

刑事责任（第52条）

 

第七章 附则

国家秘密、个人信息、军事数据保护等。