중화인민공화국 데이터 보안법
(29년 10월 2021일 제XNUMX기 전국인민대표대회 상무위원회 제XNUMX차 회의에서 채택됨)
제 XNUMX 장 총칙
제1조 이 법은 데이터 처리를 규제하고 데이터 보안을 보장하며 데이터의 개발 및 활용을 촉진하고 개인과 조직의 합법적인 권익을 보호하고 국가의 주권, 보안 및 발전 이익을 수호할 목적으로 제정됩니다.
제2조 이 법은 중화인민공화국 영역 내에서 데이터 처리 활동과 이러한 활동에 대한 보안 감독 및 규제에 적용됩니다.
중화인민공화국 영역 밖에서의 데이터 처리가 국가 안보, 공익 또는 중화인민공화국 개인 또는 조직의 합법적인 권리와 이익을 해칠 경우 법에 따라 법적 책임을 조사해야 합니다.
제3조 이 법에서 "데이터"라는 용어는 전자 또는 기타 형식의 정보 기록을 의미합니다.
"데이터 처리"에는 무엇보다도 데이터의 수집, 저장, 사용, 처리, 전송, 제공 및 공개가 포함됩니다.
"데이터 보안"이란 필요한 조치를 취하여 데이터를 효과적으로 보호하고 적법하게 사용하고 데이터의 지속적인 보안을 보장할 수 있는 능력을 보유하는 것을 의미합니다.
제4조 데이터 보안을 유지함에 있어 국가 보안에 대한 총체적인 접근 방식을 채택하고 건전한 데이터 보안 관리 시스템을 구축하며 데이터 보안 및 보호 기능을 개선해야 합니다.
제5조 국가 안보의 중앙 주도 기관은 국가 데이터 보안 업무의 의사 결정, 심의 및 조정을 책임진다. 국가 데이터 보안 전략 및 관련 주요 지침 및 정책의 연구, 공식화 및 구현을 지도합니다. 국가 데이터 보안과 관련하여 주요 문제 및 중요한 작업을 조정합니다. 국가 데이터 보안을 위한 조정 메커니즘을 구축합니다.
제6조 모든 지역 및 부서는 업무에서 수집 또는 생성된 데이터의 관리와 데이터 보안에 대한 책임을 집니다.
산업, 통신, 교통, 금융, 천연 자원, 보건, 교육, 기술 및 기타 관련 주관 부서의 관련 부서는 각자의 무역 및 부문에서 데이터 보안을 감독하고 규제하는 책임을 집니다.
공안기관, 국가안보기관 등은 이 법과 기타 관련 법률, 행정법규의 규정에 따라 각자의 직무 범위 내에서 자료 보안을 감독하고 규제하는 책임을 진다.
국가 사이버 공간 업무 부서는 이 법 및 기타 관련 법률 및 행정 규정의 규정에 따라 네트워크 데이터 보안 및 관련 감독 및 규제의 전반적인 계획 및 조정을 담당합니다.
제7조 국가는 개인 및 조직의 데이터 관련 권리와 이익을 보호하고 데이터의 합법적이고 합리적이며 효과적인 사용을 장려하며 법에 따라 질서 있는 방식으로 데이터의 자유로운 흐름을 보장하고 발전을 촉진해야 합니다. 데이터를 핵심 요소로 하는 디지털 경제.
제8조 데이터를 처리하는 사람은 법률 및 규정을 준수하고 사회 도덕과 윤리를 존중하며 비즈니스 및 직업 윤리를 준수하고 정직과 신뢰성을 유지하고 데이터 보안 보호 의무를 이행하고 사회적 책임을 수행해야 합니다. 국가 안보와 공공 이익을 위협하지 않으며 개인 및 조직의 합법적인 권리와 이익을 해치지 않습니다.
제9조 국가는 데이터 보안에 대한 대중의 인식과 데이터 보안 보호 능력을 높이기 위해 데이터 보안 지식의 보급 및 대중화를 지원하고 데이터 보안 관련 부서, 산업 조직, 연구 기관, 기업 및 개인의 공동 참여를 촉진합니다. 보호, 전 사회 구성원이 공동으로 데이터를 보호하고 데이터 보안을 보장하며 관련 산업의 발전을 촉진할 수 있는 좋은 환경을 조성합니다.
제10조 관련 산업 협회는 정관에 따라 데이터 보안을 보장하기 위한 행동 강령 및 표준을 제정하고, 해당 산업의 자율 규제를 강화하고, 회원을 지도하여 데이터 보안 보호를 강화하고, 데이터 보안을 개선해야 합니다. 보호 수준 및 산업의 건전한 발전을 촉진합니다.
제11조 국가는 데이터 보안 거버넌스, 데이터 개발 및 활용과 같은 분야에서 국제 교류와 협력을 적극적으로 수행하고 데이터 보안에 대한 관련 국제 규칙 및 표준 제정에 참여하며 국경을 초월한 데이터의 안전하고 자유로운 흐름을 촉진한다. .
제12조 개인 또는 조직은 이 법의 위반에 대해 불만을 제기하거나 주관 부서에 보고할 권리가 있습니다. 이러한 불만 또는 신고를 접수한 부서는 법률에 따라 적시에 처리해야 합니다.
관할 부서는 불만 또는 보고를 하는 사람의 관련 정보를 기밀로 유지하고 합법적인 권리와 이익을 보호해야 합니다.
제XNUMX장 데이터 보안 및 개발
제13조 국가는 개발 및 보안을 조정하고 한편으로는 데이터 개발 및 활용과 산업 발전을 통해 데이터 보안을 촉진하고 다른 한편으로는 데이터 보안이 데이터 개발 및 활용도 촉진하도록 보장하기 위한 전반적인 계획을 수립해야 합니다. 산업 발전으로.
제14조 국가는 빅데이터 전략을 실행하고 데이터 기반시설 건설을 추진하며 모든 산업 분야에서 데이터의 혁신적 활용을 장려하고 지원한다.
성급 이상 인민정부는 디지털 경제 발전을 국가 경제 사회 발전 계획에 포함시키고 필요에 따라 디지털 경제 발전 계획을 수립한다.
제15조 국가는 공공 서비스를 보다 스마트하게 만들기 위해 데이터의 개발 및 활용을 지원합니다. 보다 스마트한 공공 서비스를 제공할 때 노인과 장애인의 요구를 충분히 고려하여 일상 생활에 장애가 되지 않도록 해야 합니다.
제16조 국가는 데이터의 개발 및 활용 및 데이터 보안 관련 기술에 대한 연구를 지원하고, 전술한 분야의 기술 대중화 및 상업적 혁신을 장려하며, 데이터의 개발 및 활용 및 데이터 보안을 위한 제품 및 산업 시스템을 육성 및 개발합니다.
제17조 국가는 데이터 개발 표준, 데이터 활용 기술 및 데이터 보안 표준의 형성을 추진한다. 국무원 표준화 담당 부서와 국무원 기타 관련 부서는 각자의 직무와 기능 범위 내에서 데이터 기술 및 제품 표준의 제정을 조직하고 적시에 개정한다. 개발 및 데이터 활용 및 데이터 보안 표준. 국가는 기업·사회단체·교육·연구기관 등이 이 기준의 제정에 참여하도록 지원하여야 한다.
제18조 국가는 데이터 보안 테스트, 평가 및 인증과 같은 서비스의 발전을 장려하고 데이터 보안 테스트, 평가, 인증 등 전문 기관이 법률에 따라 서비스를 제공할 수 있도록 지원합니다.
국가는 데이터 보안 관련 위험 평가, 예방 및 폐기와 같은 분야에서 관련 부서, 산업 협회, 기업, 교육 및 연구 기관, 관련 전문 기관 간의 협력을 지원합니다.
제19조 국가는 데이터 거래 관리를 위한 건전한 시스템을 구축하고 데이터 거래 활동을 표준화하며 데이터 거래 시장을 육성해야 합니다.
제20조 국가는 교육 및 연구 기관, 기업 및 기타 기관이 데이터 개발 및 활용 기술 및 데이터 보안에 대한 교육 및 훈련을 수행하도록 지원하고 다양한 수단을 통해 데이터 개발 및 활용 기술 및 데이터 보안 전문가를 양성하며, 인재 교류를 촉진합니다.
XNUMX장 데이터 보안 시스템
제21조 국가는 경제 및 사회 발전에서 데이터의 중요성과 국가 안보, 공공 이익 또는 합법적인 권리와 이익에 대한 피해 정도에 따라 분류 및 분류된 시스템을 구축하고 데이터 보호를 수행합니다. 데이터가 변경, 파기, 누출되거나 불법적으로 획득 또는 사용된 경우 발생하는 개인 또는 조직. 국가 데이터 보안을 위한 조정 메커니즘은 관련 부서를 조정하여 중요 데이터 목록을 작성하고 중요 데이터 보호를 강화해야 합니다.
국가안보, 국민경제의 생명선, 인민생활의 중요한 측면, 주요공익 등에 관한 자료는 국가의 핵심자료로서 보다 엄격한 관리체계를 시행하여야 한다.
모든 지역 및 부서는 분류 및 분류된 데이터 보호 시스템에 따라 해당 지역, 부서 및 관련 산업 및 부문에 대한 중요 데이터의 특정 카탈로그를 작성하고 데이터 보호 측면에서 카탈로그에 나열된 데이터를 우선적으로 적용해야 합니다. .
제22조 국가는 데이터 보안 위험에 대한 평가, 보고, 정보 공유, 모니터링 및 조기 경보를 위한 중앙 집중식, 통합형, 매우 효과적이고 권위 있는 메커니즘을 구축해야 합니다. 국가 데이터 보안을 위한 조정 메커니즘은 데이터 보안 위험 정보의 획득, 분석, 조사 및 평가 작업과 그러한 위험의 조기 경보 작업을 강화하는 데 있어 관련 부서에 대한 전반적인 계획을 수립하고 조정해야 합니다.
제23조 국가는 데이터 보안 비상 대응 메커니즘을 수립해야 한다. 데이터 보안 사고가 발생한 경우 관련 주무 부서는 계획 및 법률에 따라 비상 대응을 시작하고 추가 피해를 방지하고 보안 위험을 제거하기 위해 상응하는 조치를 취하며 관련 정보를 게시하여 대중에게 경고를 발송해야 합니다. 적시에.
제24조 국가는 데이터 보안에 대한 검토 시스템을 구축하고 국가 보안에 영향을 미치거나 영향을 미칠 수 있는 데이터 처리에 대한 국가 보안 검토를 수행해야 합니다.
법에 따라 내려진 보안 검토 결정은 최종 결정입니다.
제25조 국가는 국가안보와 이익, 국제의무 이행에 관련된 통제 품목 데이터에 관한 법률에 따라 수출 통제를 적용한다.
제26조 국가 또는 지역이 투자, 무역 또는 기타 데이터 및 데이터 개발 및 활용 기술과 관련된 분야에서 중화인민공화국에 대해 차별 금지, 제한 또는 기타 유사한 조치를 취하는 경우 중화인민공화국은 다음 조치를 취할 수 있습니다. 실제 상황에 비추어 해당 국가 또는 지역에 대한 대책.
제XNUMX장 데이터 보안 보호 의무
제27조 데이터 처리 시 법규를 준수하고, 전 과정에 걸쳐 건전한 데이터 보안 관리 시스템을 구축하고, 데이터 보안 교육 및 훈련을 조직 및 실시하고, 해당 기술 조치 및 기타 필요한 조치를 취해야 합니다. 데이터 보안을 보장하기 위해 채택되었습니다. 인터넷 또는 기타 정보 네트워크를 사용하여 데이터를 처리하는 경우 사이버 보안에 대한 분류된 보호 시스템을 기반으로 위에서 언급한 데이터 보안 의무를 이행해야 합니다.
중요 데이터 처리자는 데이터 보안 책임자 및 데이터 보안 관리 기관에 대해 명확하고 데이터 보안에 대한 책임을 이행해야 합니다.
제28조 데이터 처리와 새로운 데이터 기술의 연구 개발은 경제 사회 발전을 촉진하고 사람들의 복지를 향상시키는 데 이바지해야 하며 사회 도덕과 윤리에 부합해야 합니다.
제29조 데이터 처리에는 보다 철저한 위험 모니터링이 적용되어야 합니다. 데이터 보안 결함, 버그 또는 기타 위험이 발견된 경우 즉시 수정 조치를 취해야 합니다. 데이터 보안 사고가 발생한 경우 즉시 조치를 취하여 관련 규정에 따라 사용자에게 통지하고 적시에 관련 주관 부서에 보고해야 합니다.
제30조 중요 데이터 처리자는 관련 규정에 따라 정기적으로 데이터 처리에 대한 위험 평가를 실시하고 위험 평가 보고서를 관련 주관 부서에 제출해야 합니다.
위험 평가 보고서에는 처리되는 중요 데이터의 유형 및 양, 데이터 처리에 대한 정보, 데이터 보안 위험 및 이에 대한 대응 조치가 포함되어야 합니다.
제31조 중화인민공화국 사이버 보안법의 규정은 중화인민공화국 영역 내에서 중요한 정보 기반 시설 운영자가 운영하는 동안 수집 또는 생성한 중요 데이터의 아웃바운드 보안 관리 및 조치에 적용됩니다. 다른 데이터 처리자가 중화인민공화국 영역 내에서 운영하는 동안 수집하거나 생성한 중요한 데이터의 아웃바운드 보안 관리는 국가 사이버 공간 당국이 국무원 관련 부서와 함께 공식화해야 합니다.
제32조 조직 또는 개인은 적법하고 적절한 수단으로 데이터를 수집해야 하며 도용 또는 기타 불법적인 방법으로 데이터를 취득해서는 안 된다.
법률 또는 행정법규에 데이터 수집 및 사용의 목적 또는 범위에 대한 규정이 있는 경우 해당 법률 및 행정법규에서 제공하는 목적 및 범위 내에서 데이터를 수집 및 사용합니다.
제33조 데이터 거래 중개자는 서비스를 제공할 때 데이터 제공자에게 데이터 출처를 명시하고 거래 당사자의 신원을 확인하고 확인 및 거래 기록을 보관하도록 요구해야 합니다.
제34조 법률 또는 행정법규에서 데이터 처리와 관련된 서비스를 제공하기 위해 관리 허가를 받아야 하는 경우 서비스 제공자는 이 규정에 따라 관리 허가를 받아야 합니다.
제35조 공안기관 또는 국가안보기관이 국가안보를 위해 또는 법에 따라 범죄수사를 위해 자료를 입수해야 하는 경우 국가 관련 규정에 따라 엄격한 승인 절차를 거쳐 자료를 입수해야 한다. 법에 의거하여 관련 기관 및 개인이 협조하여야 한다.
제36조 중화인민공화국 주무당국은 관련 법률과 중화인민공화국이 체결하거나 가입한 국제조약 또는 협정에 따라 외국 사법당국 또는 법집행당국의 데이터 요청을 처리한다. 평등과 호혜의 원칙으로. 중화인민공화국 주무당국의 승인 없이 중화인민공화국의 조직 또는 개인은 중화인민공화국 영역 내에 저장된 데이터를 해외 사법 또는 법 집행 기관에 제공할 수 없습니다.
제XNUMX장 정부 데이터의 보안 및 개방성
제37조 국가는 전자정부의 발전을 촉진하고 정부 데이터베이스를 보다 과학적이고 정확하며 시간 효율적으로 만들며 경제 및 사회 발전을 위해 데이터를 사용하는 능력을 향상시키기 위해 많은 노력을 기울여야 합니다.
제38조 국가기관이 법정 직무를 수행하기 위해 데이터를 수집하거나 사용해야 하는 경우, 법률 및 행정법규가 규정한 조건과 절차에 따라 법적 의무를 수행하는 데 필요한 범위 내에서 데이터를 수집하거나 사용해야 합니다. 개인정보, 개인정보, 영업비밀, 영업비밀 등 업무상 접하는 정보는 법령에 따라 비밀을 유지하고 누설하거나 불법적으로 제공하여서는 아니 된다. 다른 사람에게.
제39조 국가기관은 법률, 행정법규의 규정에 따라 건전한 데이터 보안 관리 시스템을 구축하고 데이터 보안 보호 책임을 완수하며 정부 데이터의 보안을 보장해야 한다.
제40조 국가기관이 다른 사람에게 전자정부 시스템의 구축 또는 유지관리, 정부 데이터의 저장 또는 처리를 위탁하는 경우 국가기관은 엄격한 승인 절차를 거쳐 데이터 보안 보호 의무 이행을 감독해야 한다. 수탁자는 법률, 규정 및 서명된 계약의 규정에 따라 데이터 보안 보호 의무를 수행해야 하며 승인 없이 정부 데이터를 보유, 사용, 누설 또는 다른 사람에게 제공하지 않습니다.
제41조 국가기관은 공평, 평등, 인민편의의 원칙에 따라 법률에 따라 공개하지 않는 경우를 제외하고 규정에 따라 시기적절하고 정확한 방법으로 정부자료를 공개하여야 한다.
제42조 국가는 공개된 정부 데이터 목록을 작성하고 공개적이고 균일하며 표준화되고 상호 연결되고 안전하며 통제 가능한 정부 데이터 플랫폼을 구축하며 정부 데이터의 공개 및 활용을 촉진해야 합니다.
제43조 이 장의 규정은 법적 의무를 수행할 목적으로 법률과 규정에 의해 승인된 공무 관리 기능을 가진 조직이 수행하는 데이터 처리에 적용됩니다.
제 XNUMX 장 법적 책임
제44조 관할 부서는 데이터 보안에 관한 규제 의무를 수행할 때 데이터 처리에 중대한 보안 위험이 있음을 발견한 경우 규정된 권한 및 절차의 한계에 따라 관련 조직과 규제 논의를 수행할 수 있으며,
제45조 데이터를 처리하는 조직 또는 개인이 이 법 제27조, 제29조 및 제30조에 규정된 데이터 보안 보호 의무를 이행하지 않을 경우 조직 또는 개인은 시정을 명령하고 경고를 받으며 동시에 경고를 받을 수 있습니다. 주무부서에서 50,000위안 이상 500,000위안 이하의 벌금을 부과하고, 직접 책임이 있는 담당자 및 기타 직접 책임자가 10,000위안 이상 100,000위안 이하의 벌금을 부과할 수 있습니다. 조직 또는 개인이 시정을 거부하거나 대규모 데이터 유출과 같은 심각한 결과를 초래한 경우 조직 또는 개인에게 500,000만 위안 이상 2만 위안 이하의 벌금을 부과하고 업무 정지를 명령할 수 있습니다. 관련 사업을 중단하거나 시정을 위해 운영을 중단하거나 관련 사업 허가증 또는 사업 허가증을 취소하고 직접 책임이 있는 담당자 및 기타 직접 책임이 있는 사람은 50,000만 위안 이상 200,000만 위안 이하의 벌금에 처한다.
조직 또는 개인이 국가 핵심 데이터 관리 규칙을 위반하고 국가 주권, 보안 또는 국가의 발전 이익을 위협하는 경우 주무 부서는 조직 또는 개인에게 2만 위안 이상 10만 위안 이하의 벌금을 부과합니다. XNUMX만 위안, 상황에 따라 시정을 위해 해당 업무의 정지 또는 업무 정지를 명하거나 관련 영업 허가증 또는 영업 허가증을 취소할 수 있다. 범죄를 구성한 경우 법에 따라 형사책임을 추궁한다.
제46조 이 법 제31조의 규정을 위반하여 중요한 자료를 해외에 제공한 자는 시정을 명하고 주무부서로부터 경고를 받아야 하며 100,000만 위안 이상의 벌금을 병과할 수 있다. 1만 위안 이상, 직접 책임을 지는 책임자 및 기타 직접 책임자는 10,000 위안 이상 100,000 위안 이하의 벌금에 처할 수 있습니다. 정황이 엄중한 경우 위반자에게 1만 위안 이상 10만 위안 이하의 벌금을 부과하고 해당 사업을 중단하거나 시정을 위해 운영을 중단하도록 명령하거나 관련 사업 허가 또는 사업을 허가할 수 있다. 면허를 취소하고 직접 책임이 있는 책임자 및 기타 직접 책임이 있는 사람은 100,000만 위안 이상 1만 위안 이하의 벌금에 처한다.
제47조 데이터 거래 중개자가 이 법 제33조에 규정된 의무를 이행하지 않을 경우 주무부서가 시정을 명령하고 불법 이익이 있는 경우 이를 몰수하고 벌금을 부과하지 않는다. 불법소득금액의 100,000배 이하, 100,000배 이하 불법소득이 없거나 불법소득이 1만 위안 미만인 경우 10,000만 위안 이상 100,000만 위안 이하의 벌금에 처한다. 시정을 위하여 해당 업무의 정지 또는 업무의 정지를 동시에 명하거나 해당 영업허가 또는 영업허가를 취소할 수 있다. 직접 책임을 지는 책임자 및 기타 직접 책임이 있는 사람은 XNUMX만 위안 이상 XNUMX만 위안 이하의 벌금에 처한다.
제48조 이 법 제35조를 위반하여 공공기관 또는 국가안전보장이사회가 데이터에 접근할 필요가 있을 때 협조를 거부하는 경우 주무부서에서 시정을 명령하고 경고를 주며 동시에 벌금을 부과한다. 50,000위안 이상 500,000위안 이하, 직접 책임이 있는 책임자 및 기타 직접 책임자가 10,000위안 이상 100,000위안 이하의 벌금을 부과할 수 있습니다.
누구든지 이 법 제36조를 위반하여 주관기관의 승인 없이 해외 사법기관 또는 법집행기관에 자료를 제공한 경우 주관부서로부터 경고를 받고 동시에 100,000만 위안 이상의 벌금을 부과할 수 있다. 단, 1만 위안 이하, 직접 책임을 지는 책임자 및 기타 직접 책임자는 10,000 위안 이상 100,000 위안 이하의 벌금을 부과할 수 있습니다. 엄중한 결과를 초래한 경우 위반자는 1만 위안 이상 5만 위안 이하의 벌금을 부과하고 해당 사업을 중단하거나 시정을 위해 운영을 중단하도록 명령하거나 관련 사업 허가 또는 사업을 허가할 수 있다. 라이센스가 취소되었습니다. 직접 책임을 지는 책임자 및 기타 직접 책임이 있는 사람은 50,000만 위안 이상 500,000만 위안 이하의 벌금에 처한다.
제49조 국가기관이 이 법에서 규정한 데이터 보안 의무를 이행하지 않을 경우 직접 책임을 지는 책임자 및 기타 직접 책임을 지는 사람은 법에 따라 제재를 받는다.
제50조 데이터 보안 관련 규정 규정을 수행하는 국가 공무원이 직무를 태만히 하거나, 권한을 남용하거나, 사익을 위해 부정 행위를 하는 경우 법에 따라 처벌을 받습니다.
제51조 절도 또는 기타 불법적인 방법으로 데이터를 획득하거나 데이터 처리 경쟁을 제거 또는 제한하거나 개인 또는 조직의 합법적인 권익을 침해한 경우 관련 법률 및 행정법규의 규정에 따라 처벌합니다.
제52조 이 법을 위반하여 타인에게 손해를 입힌 자는 법에 따라 민사책임을 져야 한다.
이 법의 규정을 위반하는 것이 공안행정을 위반하는 경우 법에 따라 공안행정처벌을 한다. 범죄를 구성한 경우 법에 따라 형사책임을 추궁한다.
제 XNUMX 장 보충 조항
제53조 국가기밀과 관련된 데이터 처리에는 중화인민공화국 국가비밀보호법 및 기타 관련 법률 및 행정법규의 규정을 적용한다.
통계 또는 기록의 업무, 개인정보에 관한 데이터의 처리에 있어서도 관계법령 및 행정법규의 규정에 따릅니다.
제54조 중앙군사위원회는 이 법에 의거하여 군사자료의 안전과 보호를 위한 조치를 별도로 제정한다.
제55조 이 법은 1년 2021월 XNUMX일부터 시행한다.