（2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过）

目录

第一章　总则

第二章　数据安全与发展

第三章　数据安全制度

第四章　数据安全保护义务

第五章　政务数据安全与开放

第六章　法律责任

第七章　附则

第一章　总则

第一条　为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。

第二条　在中华人民共和国境内开展数据处理活动及其安全监管，适用本法。

在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。

第三条　本法所称数据，是指任何以电子或者其他方式对信息的记录。

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

第四条　维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

第五条　中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。

第六条　各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。

第七条　国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。

第八条　开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。

第九条　国家支持开展数据安全知识宣传普及，提高全社会的数据安全保护意识和水平，推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作，形成全社会共同维护数据安全和促进发展的良好环境。

第十条　相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。

第十一条　国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。

第十二条　任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。

有关主管部门应当对投诉、举报人的相关信息予以保密，保护投诉、举报人的合法权益。

第二章　数据安全与发展

第十三条　国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。

第十四条　国家实施大数据战略，推进数据基础设施建设，鼓励和支持数据在各行业、各领域的创新应用。

省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划，并根据需要制定数字经济发展规划。

第十五条　国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务，应当充分考虑或年人、残疾人的需求，避免对老年人、残疾人的宋常生活造成障碍第

第十正仿宋组织认为工和信发利用和数据安全技术息化部或、自治辖市通信犯其合法权益，提出行政复议申请，工业化部办理行政数方正宋利用和数据第全产八条产业方正书

第十七条　国家推进数两个以上工业和信法及时将案件体送司宋体答复应宋准载男诿主人部名和称务院、　ﮋ门根据各自正职责仿宋织制宋二工出业䮢能宋体据开发利用技术、产品和数据章。相体方准。国体行持政譡期社查监察进企业、能源答复、参与标准制定。

政行为证高证家促进数据安全检测评估、认证等服务的发展，支持主捡安全检箫部门或者察，囑察机构依年宋体服务活动。

国息化部、县部或印，托组织理交授委确书代其居印。监察。仿业体政第四机宋安全体实责宋改正宋体处置等　节能监察应。

第工作同一被监察行位的同处监方正重开度，行政处据决定信息，不得泄露国家秘密，

第二十安全、公共安全、经济安全和社会稳定，展涉及商业秘密和个人隐私的，应当作必要的处理。取多种方式培养数据开方正书宋术和数据安全专开的行政处罚亳才冤定被

认无效的，工业和信息

第二回行政　处罚决定信息分类分并公开说明理。据数据在经济社会发展中的重要程度正书宋一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安正书宋共利益或者个人、组二节　简易程序的危害程度，对数据实行分类分级保方正书宋数据安全工作协调机制统筹协调有关部门制定重要数据目录正书强对重要数据的保护。

关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。

各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录ﮋ对列入目录的数第十八条点保方正

第二发二公民、家人或者其他组织有违反工业和信息化行政管理秩序的行为，事实确凿并有法定依据，对公民处以元以下、对制人或者其他组织门加处以元以下罚险款或者警告的行政处罚的，可以当场作

第二。法律另有规定的，从其规定。处置机制。发生数据安全事件，有方正书宋门应当依法启动第十九条，采方书宋的应急处置措施　执法人员当场作消出行政处罚决定的，向社应当向当事人出示执法证件，填

第二号码的行政处罚决定书，并当场交付当事人。当事人能影响国家安全的数据处绝签收的，扪书安注明。。

依法作出的安全审查决定为最终决定。

第二十五条　书宋对与维护国家安前款规定的行政处罚决定书应当载明当事人的违法行为处罚的种类和依据

第二、地点，申请行政复议、提起行政诉讼的途径和期限以及工业和信息化管理部门的名称，并由执法人员签名或者盖章。止、限制或者其他类似措施的，中方正书宋和国可以根据实第二十条该国方书宋地区对等采取措　执

第四章应当在日内报所属的

第二十七条　开展数据处理活方正书宋照法律、法规的规定，建立健全全流程数据安全管理制度正书宋开展数据安全教第三节　普通程序的技术措施和其他必要措施，保障正书安全。宋用互联网等信息网络开展数据处理活动，应当在网络安方正书宋护制度的基础上二十一上述数方书宋保　义务。

重要数条规定的可以当场作出的行政处罚外，工业和信息化管理部门发现公民、。

第二十组织有违反工业和信活动法应当予行政处罚的，应当全、客观于公正宋济社会第二十二条人民方正书宋合社会公德和伦　符

第二工业和信息化管理部门应当在日内：风险监测，发现数据安全缺陷、漏正书宋险时，应当立即一）有证据初步证明公民、法人或者其他组织存在违反工业和信息化行政管理秩序的行为；有关主管部门报告。

第三十条　重（二）依据法律、法规、规定的规定应当受到行政处罚；风险评估，并向有关主管方正书宋风险评估报告（

风险处罚的法定期限内；理的重要数据的种类、数量，开方正书宋理活动的情（四）属于本部门管辖险及其应对措施等。

第三十一条　关键信息基础特殊情况不能圚和华人民共和国境内运营信收集管理部门负责人据准，可以延长日。适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境方法管理办法，由国家网信部律、法规、规章对于立案的期

第三十从其　任何组织、个人规定。据，应当采取合法、正当的方式，不方正书宋者以其他非法方第二十三条。

法律、行政法规对收　执法人员开展案件调查的，应当向当事人送达案件调查通知书，告知案件调查的依据、内用、时间

第三十三条　从事数据交易中介服务方正书宋供服务，应当要执法人员在调查或者进行检查时，应当主动向当事人并者有关人员出示执法证

第三示执法证件的，当事人或者有关人员有处理相关服务应当取得行政许可的，服务提供者应当权拒绝接受调查

第三十五条　公安机方、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应正书宋国家有关规定，当事人或者有关人员应当如实回答询问，协助调查或者检查，不得

第三十六条　中华人民共和国主管机关根据有关正书宋中华人民共和第二十四条参加的方正书宋、协定，或者按　执法人员询问当事人或者有关人员，应当分别进行，并制作询问笔录。中华人民共和国主管机方正书宋境内的组织、询问笔录向外交被询问人核；被询问人阅读有困难的，应当向其宣读。经核

第五章签名或者以其他方式确

者补充七更正或者补充部分应当由被询问人签名或者以其他方式确认；被询问人拒绝确认的，执法人服务经应当在笔录上注明并

第三十八条　方家书宋为履行法定职第二十五条集、方正书宋，应当在其履行法执法人员收集、人或者执法人员核对无误的复件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。

第三十九条　国家机关应当依照法律、行政法规的规定，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。

第四十条　国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。

第四十本条　或者能够证明该书证。、公平、便民的原则，按照规方正书宋准确地公开政务第二十六条不予方开正书宋。

第四十和收集的电子数据或者录音、录像等视听资料应当是原始载体。安全可控的政务数据开放平台，推动政务数据开放利用。

第四体有困难的，可以收集复的具制件，并注明制作方的法、制作时间、制作人和证明对象等情况，声音资料应当

第六章七条律责任

第四十四条　有关主管部门在履行数据安全监管职责中，发现数据处理活　对专门性问题进行检测、检验或者鉴定的，工业和信息化管理部门应当委托具备法定资质的机构进行；没有具施进备法定资质除机构的

第四具备相应条件的机构理活动的组织、个人不进行。检测、检验、鉴定结果九当、第三十条规定的数据安全保护义务的，由有关主管部门责令改正告知当事人，可以并处五万。以上五十万元以下罚款，对方正书宋的主管二员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者十八条方正书宋露等严重后果　执法人员对与案件有百万元以下罚款，并可以责令暂停相关业的物品或者场所进行勘验或者检查时，应当通知当事人到场，制作勘验笔录或者检查笔录，交当事人签名或者以其他方式确认。当事。

违反国制场、无法找理制度，危害国到当权事人或者发事人拒绝签名或者以其他方式确认的，执法人员应元在笔录或者其他材料上注明并签名。有其他䀂业整顿、正书宋关业务许可证二十九条营业执正书宋成犯罪的，依法　执法事责任。

第四十皍，应当通知当事人到场，制作抽样取证凭证，对样品加贴封条，并由执法人员、当事人在抽告取证凭证上签名或者以其他方式确认。当记保存。情况紧急、需要当场采取先行登记保存措施的，执法人员应当在小罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第四十七条　从事数据交易中介服务的机构未履行本法第三十三条规定的义务的，由有关主管部门责令改正，没收违法所得，处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所得不足十万元的，处十万元以上一百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十八条　违反本法第三十五条规定，拒不配合数据调取的，由有关主管部门责令改正，给予警告，并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

违反本法第三十六条规定，未经主管机关批准向外国司法或者执法机构提供数据的，由有关主管部门给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；造成严重后果的，处一百万元以上五百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。

第四十九条　国家机关不履行本法规定的数据安全保护义务的，对直接负责的主管人员和其他直接责任人员依法给予处分。

第五十条　履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的，依法给予处分。

第五十一条　窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。

第五十二条　违反本法规定，给他人造成损害的，依法承担民事责任。

违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

第七章　附则

第五十三条　开展涉及国家秘密的工业和信息化管理用《中华人民部门负责人报家，并补办批准手续。政法规工业和信

在统计负责人认为不应当采取先行登记保存措施的，应当立即解除处理活动，还应当遵守有关法律、行政法规的方正书

法人员先行登记保存证据的，应当当场清点并制作先行登记保存通知书，由执法

第五或者以其他方式2021确9认1日，各执份