《數據安全法(草案)》公布,面向社會公衆征求意見(jiàn)
近日(rì),第十三屆全國(guó)人(rén)大(dà)常委會第二十次會議(yì)對《中華人(rén)民(mín)共和國(guó)數據安全法(草案)》進行了審議(yì)。将《中華人(rén)民(mín)共和國(guó)數據安全法(草案)》在中國(guó)人(rén)大(dà)網公布,面向社會公衆征求意見(jiàn)。
草案全文如(rú)下: 中華人(rén)民(mín)共和國(guó)數據安全法(草案)
目 錄
第一章(zhāng) 總 則
第二章(zhāng) 數據安全與發展
第三章(zhāng) 數據安全制度
第四章(zhāng) 數據安全保護義務
第五章(zhāng) 政務數據安全與開放(fàng)
第六章(zhāng) 法律責任
第七章(zhāng) 附 則
第一章(zhāng) 總 則
第一條 爲了保障數據安全,促進數據開發利用,保護公民(mín)、組織的合法權益,維護國(guó)家主權、安全和發展利益,制定本法。
第二條 在中華人(rén)民(mín)共和國(guó)境内開展數據活動,适用本法。
中華人(rén)民(mín)共和國(guó)境外的組織、個人(rén)開展數據活動,損害中華人(rén)民(mín)共和國(guó)國(guó)家安全、公共利益或者公民(mín)、組織合法權益的,依法追究法律責任。
第三條 本法所稱數據,是指任何以電子或者非電子形式對信息的記錄。
數據活動,是指數據的收集、存儲、加工(gōng)、使用、提供、交易、公開等行爲。
數據安全,是指通過采取必要措施,保障數據得(de)到有效保護和合法利用,并持續處于安全狀态的能力。
第四條 維護數據安全,應當堅持總體(tǐ)國(guó)家安全觀,建立健全數據安全治理(lǐ)體(tǐ)系,提高數據安全保障能力。
第五條 國(guó)家保護公民(mín)、組織與數據有關的權益,鼓勵數據依法合理(lǐ)有效利用,保障數據依法有序自(zì)由流動,促進以數據爲關鍵要素的數字經濟發展,增進人(rén)民(mín)福祉。
第六條 中央國(guó)家安全領導機(jī)構負責數據安全工(gōng)作(zuò)的決策和統籌協調,研究制定、指導實施國(guó)家數據安全戰略和有關重大(dà)方針政策。
第七條 各地區、各部門(mén)對本地區、本部門(mén)工(gōng)作(zuò)中産生(shēng)、彙總、加工(gōng)的數據及數據安全負主體(tǐ)責任。
工(gōng)業、電 信、自(zì) 然 資 源、 衛 生(shēng) 健 康、 教 育、 國(guó) 防 科(kē) 技 工(gōng)業、金融業等行業主管部門(mén)承擔本行業、本領域數據安全監管職責。
公安機(jī)關、國(guó)家安全機(jī)關等依照(zhào)本法和有關法律、行政法規的規定,在各自(zì)職責範圍内承擔數據安全監管職責。
國(guó)家網信部門(mén)依照(zhào)本法和有關法律、行政法規的規定,負責統籌協調網絡數據安全和相(xiàng)關監管工(gōng)作(zuò)。
第八條 開展數據活動,必須遵守法律、行政法規,尊重社會公德和倫理(lǐ),遵守商業道德,誠實守信,履行數據安全保護義務,承擔社會責任,不得(de)危害國(guó)家安全、公共利益,不得(de)損害公民(mín)、組織的合法權益。
第九條 國(guó)家建立健全數據安全協同治理(lǐ)體(tǐ)系,推動有關部門(mén)、行業組織、企業、個人(rén)等共同參與數據安全保護工(gōng)作(zuò),形成全社會共同維護數據安全和促進發展的良好環境。
第十條 國(guó)家積極開展數據領域國(guó)際交流與合作(zuò),參與數據安全相(xiàng)關國(guó)際規則和标準的制定,促進數據跨境安全、自(zì)由流動。
第十一條 任何組織、個人(rén)都(dōu)有權對違反本法規定的行爲向有關主管部門(mén)投訴、舉報。收到投訴、舉報的部門(mén)應當及時依法處理(lǐ)。
第二章(zhāng) 數據安全與發展
第十二條 國(guó)家堅持維護數據安全和促進數據開發利用并重,以數據開發利用和産業發展促進數據安全,以數據安全保障數據開發利用和産業發展。
第十三條 國(guó)家實施大(dà)數據戰略,推進數據基礎設施建設,鼓勵和支持數據在各行業、各領域的創新應用,促進數字經濟發展。
省級以上人(rén)民(mín)政府應當制定數字經濟發展規劃,并納入本級國(guó)民(mín)經濟和社會發展規劃。
第十四條 國(guó)家加強數據開發利用技術(shù)基礎研究,支持數據開發利用和數據安全等領域的技術(shù)推廣和商業創新,培育、發展數據開發利用和數據安全産品和産業體(tǐ)系。
第十五條 國(guó)家推進數據開發利用技術(shù)和數據安全标準體(tǐ)系建設。國(guó)務院标準化行政主管部門(mén)和國(guó)務院有關部門(mén)根據各自(zì)的職責,組織制定并适時修訂有關數據開發利用技術(shù)、産品和數據安全相(xiàng)關标準。國(guó)家支持企業、研究機(jī)構、高等學校(xiào)、相(xiàng)關行業組織等參與标準制定。
第十六條 國(guó)家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機(jī)構依法開展服務活動。
第十七條 國(guó)家建立健全數據交易管理(lǐ)制度,規範數據交易行爲,培育數據交易市場。
第十八條 國(guó)家支持高等學校(xiào)、中等職業學校(xiào)和企業等開展數據開發利用技術(shù)和數據安全相(xiàng)關教育和培訓,采取多種方式培養 數 據 開 發 利 用 技 術(shù) 和 數 據 安 全 專 業 人(rén) 才,促 進 人(rén) 才 交流。
第三章(zhāng) 數據安全制度
第十九條 國(guó)家根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國(guó)家安全、公共利益或者公民(mín)、組織合法權益造成的危害程度,對數據實行分(fēn)級分(fēn)類保護。
各地區、各部門(mén)應當按照(zhào)國(guó)家有關規定,确定本地區、本部門(mén)、本行業重要數據保護目錄,對列入目錄的數據進行重點保護。
第二十條 國(guó)家建立集中統一、高效權威的數據安全風(fēng)險評估、報告、信息共享、監測預警機(jī)制,加強數據安全風(fēng)險信息的獲取、分(fēn)析、研判、預警工(gōng)作(zuò)。
第二十一條 國(guó)家建立數據安全應急處置機(jī)制。
發生(shēng)數據安全事(shì)件(jiàn),有關主管部門(mén)應當依法啓動應急預案,采取相(xiàng)應的應急處置措施,消除安全隐患,防止危害擴大(dà),并及時向社會發布與公衆有關的警示信息。
第二十二條 國(guó)家建立數據安全審查制度,對影(yǐng)響或者可(kě)能影(yǐng)響國(guó)家安全的數據活動進行國(guó)家安全審查。
依法作(zuò)出的安全審查決定爲最終決定。
第二十三條 國(guó)家對與履行國(guó)際義務和維護國(guó)家安全相(xiàng)關的屬于管制物項的數據依法實施出口管制。
第二十四條 任何國(guó)家或者地區在與數據和數據開發利用技術(shù)等有關的投資、貿易方面對中華人(rén)民(mín)共和國(guó)采取歧視性的禁止、限制或者其他(tā)類似措施的,中華人(rén)民(mín)共和國(guó)可(kě)以根據實際情況對該國(guó)家或者地區采取相(xiàng)應的措施。
第四章(zhāng) 數據安全保護義務
第二十五條 開展數據活動應當依照(zhào)法律、行政法規的規定和國(guó)家标準的強制性要求,建立健全全流程數據安全管理(lǐ)制度,組織開展數據安全教育培訓,采取相(xiàng)應的技術(shù)措施和其他(tā)必要措施,保障數據安全。
重要數據的處理(lǐ)者應當設立數據安全負責人(rén)和管理(lǐ)機(jī)構,落實數據安全保護責任。
第二十六條 開展數據活動以及研究開發數據新技術(shù),應當有利于促進經濟社會發展,增進人(rén)民(mín)福祉,符合社會公德和倫理(lǐ)。
第二十七條 開展數據活動應當加強風(fēng)險監測,發現數據安全缺陷、漏洞等風(fēng)險時,應當立即采取補救措施;發生(shēng)數據安全事(shì)件(jiàn)時,應當按照(zhào)規定及時告知用戶并向有關主管部門(mén)報告。
第二十八條 重要數據的處理(lǐ)者應當按照(zhào)規定對其數據活動定期開展風(fēng)險評估,并向有關主管部門(mén)報送風(fēng)險評估報告。
風(fēng)險評估報告應當包括本組織掌握的重要數據的種類、數量,收集、存儲、加工(gōng)、使用數據的情況,面臨的數據安全風(fēng)險及其應對措施等。
第二十九條 任何組織、個人(rén)收集數據,必須采取合法、正當的方式,不得(de)竊取或者以其他(tā)非法方式獲取數據。
法律、行政法規對收集、使用數據的目的、範圍有規定的,應當在法律、行政法規規定的目的和範圍内收集、使用數據,不得(de)超過必要的限度。
第三十條 從(cóng)事(shì)數據交易中介服務的機(jī)構在提供交易中介服務時,應當要求數據提供方說(shuō)明數據來(lái)源,審核交易雙方的身(shēn)份,并留存審核、交易記錄。
第三十一條 專門(mén)提供在線數據處理(lǐ)等服務的經營者,應當依法取得(de)經營業務許可(kě)或者備案。具體(tǐ)辦法由國(guó)務院電信主管部門(mén)會同有關部門(mén)制定。
第三十二條 公安機(jī)關、國(guó)家安全機(jī)關因依法維護國(guó)家安全或者偵查犯罪的需要調取數據,應當按照(zhào)國(guó)家有關規定,經過嚴格的批準手續,依法進行,有關組織、個人(rén)應當予以配合。
第三十三條 境外執法機(jī)構要求調取存儲于中華人(rén)民(mín)共和國(guó)境内的數據的,有關組織、個人(rén)應當向有關主管機(jī)關報告,獲得(de)批準後方可(kě)提供。中華人(rén)民(mín)共和國(guó)締結或者參加的國(guó)際條約、協定 對 外 國(guó) 執 法 機(jī) 構 調 取 境 内 數 據 有 規 定 的,依 照(zhào) 其 規定。
第五章(zhāng) 政務數據安全與開放(fàng)
第三十四條 國(guó)家大(dà)力推進電子政務建設,提高政務數據的科(kē)學性、準确性、時效性,提升運用數據服務經濟社會發展的能力。
第三十五條 國(guó)家機(jī)關爲履行法定職責的需要收集、使用數據,應當在其履行法定職責的範圍内依照(zhào)法律、行政法規規定的條件(jiàn)和程序進行。
第三十六條 國(guó)家機(jī)關應當依照(zhào)法律、行政法規的規定,建立健全數據安全管理(lǐ)制度,落實數據安全保護責任,保障政務數據安全。
第三十七條 國(guó)家機(jī)關委托他(tā)人(rén)存儲、加工(gōng)政務數據,或者向他(tā)人(rén)提供政務數據,應當經過嚴格的批準程序,并應當監督接收方履行相(xiàng)應的數據安全保護義務。
第三十八條 國(guó)家機(jī)關應當遵循公正、公平、便民(mín)的原則,按照(zhào)規定及時、準确地公開政務數據。依法不予公開的除外。
第三十九條 國(guó)家制定政務數據開放(fàng)目錄,構建統一規範、互聯互通、安全可(kě)控的政務數據開放(fàng)平台,推動政務數據開放(fàng)利用。
第四十條 具有公共事(shì)務管理(lǐ)職能的組織爲履行公共事(shì)務管理(lǐ)職能開展數據活動,适用本章(zhāng)規定。
第六章(zhāng) 法律責任
第四十一條 有關主管部門(mén)在履行數據安全監管職責中,發現數據活動存在較大(dà)安全風(fēng)險的,可(kě)以按照(zhào)規定的權限和程序對有關組織和個人(rén)進行約談。有關組織和個人(rén)應當按照(zhào)要求采取措施,進行整改,消除隐患。
第四十二條 開展數據活動的組織、個人(rén)不履行本法第二十五條、第二十七條、第二十八條、第二十九條規定的數據安全保護義務或者未采取必要的安全措施的,由有關主管部門(mén)責令改正,給予警告,可(kě)以并處一萬元以上十萬元以下罰款,對直接負責的主管人(rén)員(yuán)可(kě)以處五千元以上五萬元以下罰款;拒不改正或者造成大(dà)量數據洩漏等嚴重後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人(rén)員(yuán)和其他(tā)直接責任人(rén)員(yuán)處一萬元以上十萬元以下罰款。
第四十三條 數據交易中介機(jī)構未履行本法第三十條規定的義務,導緻非法來(lái)源數據交易的,由有關主管部門(mén)責令改正,沒收違法所得(de),處違法所得(de)一倍以上十倍以下罰款,沒有違法所得(de)的,處十萬元以上一百萬元以下罰款,并可(kě)以由有關主管部門(mén)吊銷相(xiàng)關業務許可(kě)證或者吊銷營業執照(zhào);對直接負責的主管人(rén)員(yuán)和其他(tā)直接責任人(rén)員(yuán)處一萬元以上十萬元以下罰款。
第四十四條 未取得(de)許可(kě)或者備案,擅自(zì)從(cóng)事(shì)本法第三十一條規定業務的,由有關主管部門(mén)責令改正或者予以取締,沒收違法所得(de),處違法所得(de)一倍以上十倍以下罰款;沒有違法所得(de)的,處十萬元以上一百萬元以下罰款;對直接負責的主管人(rén)員(yuán)和其他(tā)直接責任人(rén)員(yuán)處一萬元以上十萬元以下罰款。
第四十五條 國(guó)家機(jī)關不履行本法規定的數據安全保護義務的,對直接負責的主管人(rén)員(yuán)和其他(tā)直接責任人(rén)員(yuán)依法給予處分(fēn)。
第四十六條 履行數據安全監管責任的國(guó)家工(gōng)作(zuò)人(rén)員(yuán)玩忽職守、濫用職權、徇私舞弊,尚不構成犯罪的,依法給予處分(fēn)。
第四十七條 通過數據活動危害國(guó)家安全、公共利益,或者損害公民(mín)、組織合法權益的,依照(zhào)有關法律、行政法規的規定處罰。
第四十八條 違反本法規定,給他(tā)人(rén)造成損害的,依法承擔民(mín)事(shì)責任。違反本法規定,構成違反治安管理(lǐ)處罰行爲的,依法給予治安管理(lǐ)處罰;構成犯罪的,依法追究刑事(shì)責任。
第七章(zhāng) 附 則
第四十九條 涉及國(guó)家秘密的數據活動,适用 《中華人(rén)民(mín)共和國(guó)保守國(guó)家秘密法》等法律、行政法規的規定。開展涉及個人(rén)信息的數據活動,應當遵守有關法律、行政法規的規定。
第五十條 軍事(shì)數據安全保護的辦法,由中央軍事(shì)委員(yuán)會另行制定。
第五十一條 本法自(zì) 年(nián) 月 日(rì)起施行。内容轉載自(zì):全國(guó)人(rén)大(dà)公衆号及網站(zhàn)
