中華人民共和国のデータセキュリティ法
(29年10月2021日の第XNUMX回全国人民代表大会常任委員会第XNUMX回総会で採択)
第XNUMX章一般規定
第1条この法律は、データ処理の規制、データのセキュリティの確保、データの開発と利用の促進、個人と組織の合法的な権利と利益の保護、および国家の主権、セキュリティ、開発の利益の保護を目的として制定されています。
第2条この法律は、中華人民共和国の領土内でのデータ処理活動およびそのような活動のセキュリティ監督および規制に適用されるものとします。
中華人民共和国の領土外でのデータ処理が国家安全保障、公共の利益、または中華人民共和国の個人または組織の合法的な権利と利益を害する場合、法的責任は法律に従って調査されるものとします。
第3条この法律の目的上、「データ」という用語は、電子的またはその他の形式の情報の記録を指します。
「データ処理」には、とりわけ、データの収集、保存、使用、処理、送信、提供、および開示が含まれます。
「データのセキュリティ」とは、必要な措置を講じることにより、データが効果的に保護され、合法的に使用されることを保証し、データの継続的なセキュリティを保証する能力を備えていることを指します。
第4条データのセキュリティを保護するためには、国家安全保障への全体的なアプローチを採用し、健全なデータセキュリティガバナンスシステムを確立し、データのセキュリティと保護機能を向上させる必要があります。
第5条国家安全保障の中央指導機関は、国家データ安全保障業務の意思決定、審議および調整に責任を負うものとする。 国のデータセキュリティ戦略および関連する主要なガイドラインとポリシーの実施を調査、策定、および指導する。 国のデータセキュリティに関する主要な問題と重要な作業を調整する。 国家のデータセキュリティのための調整メカニズムを確立する。
第6条すべての地域および部門は、業務で収集または生成されたデータの管理、およびそのデータのセキュリティについて責任を負うものとします。
産業、電気通信、輸送、金融、天然資源、健康、教育、技術、およびその他の関連する有能な部門の管轄部門は、それぞれの業界およびセクターにおけるデータセキュリティを監督および規制する責任を負うものとします。
公安機関および国家安全保障機関等は、本法およびその他の関連法および行政規則の規定に従い、それぞれの職務の範囲内でデータセキュリティを監督および規制する責任を負うものとします。
国家サイバースペース局は、本法およびその他の関連法および行政規則の規定に従い、ネットワークデータセキュリティおよび関連する監督および規制の全体的な計画および調整を担当するものとします。
第7条国は、個人および組織のデータ関連の権利および利益を保護し、データの合法かつ合理的かつ効果的な使用を奨励し、規則的かつ法律に従ってデータの自由な流れを確保し、開発を促進するものとします。データを重要な要素とするデジタル経済の
第8条データを処理する者は、法律と規制を遵守し、社会的道徳と倫理を尊重し、ビジネスと職業倫理を遵守し、正直さと信頼性を守り、データセキュリティ保護義務を果たし、社会的責任を負うものとします。 また、国家の安全と公共の利益を危険にさらしたり、個人や組織の合法的な権利と利益を害したりしてはなりません。
第9条国は、データセキュリティに関する知識の普及と普及を支援し、この点に関する一般の認識とデータセキュリティを保護する能力を高め、関連部門、業界団体、研究機関、企業、および個人によるデータセキュリティへの共同参加を促進します。保護。これにより、社会全体のメンバーが共同でデータを保護し、データのセキュリティを確保し、関連業界の発展を促進するための良好な環境を構築します。
第10条関連業界団体は、協会の条文に従って、法律に従ってデータのセキュリティを確保するための行動規範と基準を策定し、それぞれの業界の自主規制を強化し、メンバーにデータのセキュリティ保護を強化するように指導し、保護レベルと産業の健全な発展を促進します。
第11条国は、データセキュリティガバナンスやデータの開発と利用などの分野で積極的に国際交流と協力を行い、データセキュリティに関する関連する国際規則と基準の策定に参加し、国境を越えたデータの安全で自由な流れを促進するものとする。 。
第12条個人または組織は、この法律の違反について苦情を申し立てたり、管轄部門に報告したりする権利を有するものとします。 そのような苦情や報告を受けた部門は、法律に従って適時にそれらに対処しなければなりません。
管轄部門は、そのような苦情または報告を行う者の関連情報を秘密に保ち、彼らの合法的な権利と利益を保護するものとします。
第II章データのセキュリティと開発
第13条国は、開発と安全保障を調整し、データの開発と利用および産業開発を通じてデータの安全保障を促進し、他方でデータの安全保障がデータの開発と利用も促進することを保証するための全体的な計画を立てなければならない。産業開発として。
第14条国は、ビッグデータ戦略を実施し、データインフラストラクチャの構築を進め、すべての産業および分野におけるデータの革新的な適用を奨励および支援するものとします。
州レベル以上の人民政府は、デジタル経済の発展を国の経済的および社会的発展計画に組み込み、必要に応じてデジタル経済の発展計画を策定するものとする。
第15条州は、公共サービスをよりスマートにするためのデータの開発と利用を支援しています。 よりスマートな公共サービスを提供する際には、高齢者や障害者のニーズを十分に考慮して、日常生活に支障をきたさないようにする必要があります。
第16条国は、データの開発と利用およびデータセキュリティ関連技術に関する研究を支援し、前述の分野における技術の普及と商業的革新を奨励し、データの開発と利用およびデータセキュリティのための製品と産業システムを育成および開発する。
第17条国は、データ開発の基準とデータ利用技術およびデータセキュリティの基準の形成を進めるものとする。 州議会の標準化を担当する部門および州議会のその他の関連部門は、それぞれの職務および機能の範囲内で、データの技術および製品の基準の確立を組織し、適時に改訂するものとします。開発とデータ利用およびデータセキュリティの基準。 国家は、企業、社会団体、教育機関または研究機関などがそのような基準の確立に参加することを支援するものとします。
第18条国は、データセキュリティのテスト、評価、認定などのサービスの開発を奨励し、データセキュリティのテスト、評価、認定などを専門とする機関が法律に従ってサービスを提供することを支援します。
州は、データセキュリティ関連のリスク評価、予防、廃棄などの分野で、関連部門、業界団体、企業、教育研究機関、関連専門機関などの間のコラボレーションをサポートしています。
第19条国は、データ取引管理のための健全なシステムを確立し、データ取引活動を標準化し、データ取引市場を育成するものとする。
第20条国は、教育研究機関、企業、その他の団体がデータの開発と利用のための技術とデータのセキュリティに関する教育と訓練を実施することを支援し、データの開発と利用の技術とデータのセキュリティの専門家をさまざまな手段で育成し、人材交換を促進します。
第III章データセキュリティシステム
第21条国は、分類および分類されたシステムを確立し、経済的および社会的発展におけるデータの重要性、ならびに国家安全保障、公益、またはの合法的な権利および利益に対する危害の程度に基づいてデータ保護を実施するものとする。データが変更、破壊、漏洩、または違法に取得または使用された場合に発生する個人または組織。 国のデータセキュリティの調整メカニズムは、重要なデータのカタログを作成し、重要なデータの保護を強化するために、関連する部門を調整するものとします。
国家安全保障、国民経済のライフライン、人々の生活の重要な側面、主要な公共の利益などに関するデータは、より厳格な管理システムが実装されるべき国家のコアデータです。
すべての地域および部門は、分類および分類されたデータ保護システムに従って、それぞれの地域、部門、および関連する業界およびセクターの重要なデータの特定のカタログを作成し、データ保護の観点からカタログにリストされているデータを優先するものとします。 。
第22条国は、データのセキュリティリスクを評価、報告、情報共有、監視、および早期に警告するための、一元化され、統一された、非常に効果的で信頼できるメカニズムを確立するものとします。 国のデータセキュリティの調整メカニズムは、データセキュリティリスクの情報の取得、分析、調査、評価に関する作業と、そのようなリスクの早期警戒に関する作業を強化するために、関連部門の全体的な計画を立て、調整するものとします。
第23条国は、データセキュリティ緊急対応メカニズムを確立するものとする。 データセキュリティインシデントが発生した場合、関連する管轄部門は、計画および法律に従って緊急対応を開始し、さらなる危害を防止し、セキュリティハザードを排除するための対応する措置を講じ、それに関連する情報を公開することによって一般に警告を送信するものとします。タイムリーに。
第24条国家は、データセキュリティのレビューシステムを確立し、国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理の国家安全保障レビューを実施するものとする。
法律に従って行われたセキュリティレビューの決定は最終決定です。
第25条国は、管理品目であり、国家の安全と利益および国際的義務の履行に関係するデータに関する法律に従って輸出管理を適用するものとする。
第26条いずれかの国または地域が、投資、貿易、またはデータおよびデータの開発および利用技術に関連するその他の分野に関して、中華人民共和国に対して差別的な禁止、制限、またはその他の同様の措置を採用する場合、中華人民共和国はこれを行うことができます。実際の状況に照らして、その国または地域に対する対策。
第IV章データセキュリティ保護の義務
第27条データ処理においては、法令を遵守し、全過程を通じて健全なデータセキュリティ管理システムを確立し、データセキュリティの教育訓練を組織し、実施し、対応する技術的措置およびその他の必要な措置を講じる。データのセキュリティを確保するために採用されました。 インターネット等の情報ネットワークを利用したデータ処理においては、サイバーセキュリティの機密保護制度に基づき、上記のデータセキュリティ義務を履行するものとします。
重要なデータの処理者は、データセキュリティの責任者とデータセキュリティ管理機関について明確にし、データセキュリティの責任を果たす必要があります。
第28条データ処理ならびに新しいデータ技術の研究開発は、経済的および社会的発展を促進し、人々の幸福を改善するのに役立ち、社会的道徳および倫理に準拠するものとする。
第29条より厳密なリスク監視は、データ処理に適用されるものとします。 データのセキュリティ上の欠陥、バグ、またはその他のリスクが発見された場合は、ただちに是正措置を講じる必要があります。 データセキュリティインシデントが発生した場合は、直ちに対処するための措置を講じ、関連する規定に従って、ユーザーに通知し、関連する管轄部門に適時に報告するものとします。
第30条重要なデータの処理者は、関連規定に従い、定期的にデータ処理のリスク評価を実施し、関連する管轄部門にリスク評価報告書を提出しなければならない。
リスクアセスメントレポートには、処理される重要なデータの種類と量、データ処理に関する情報、データセキュリティリスク、およびそれらに対する対応策を含める必要があります。
第31条中華人民共和国のサイバーセキュリティ法の規定は、中華人民共和国の領土内での運用中に重要な情報インフラストラクチャ事業者によって収集または生成された重要なデータのアウトバウンドセキュリティ管理、および対策に適用されるものとします。中華人民共和国の領域内での運用中に他のデータ処理者によって収集または生成された重要なデータのアウトバウンドセキュリティ管理については、国家評議会の下の関連部門と協力して国家サイバースペース当局によって策定されるものとします。
第32条組織または個人は、合法かつ適切な手段でデータを収集し、盗難またはその他の違法な方法でデータを取得してはならない。
法律または行政規則にデータの収集および使用の目的または範囲に関する規定がある場合、データはそれらの法律および行政規則によって提供される目的および範囲内で収集および使用されるものとします。
第33条サービスを提供する場合、データ取引仲介者は、データ提供者に対し、データの出所を特定し、取引の両当事者の身元を確認し、確認および取引記録を保持することを要求するものとします。
第34条法律または行政規則により、データ処理に関連するサービスを提供するために管理上の許可を取得することが義務付けられている場合、サービスプロバイダーはこれらの規定に従ってそのような管理上の許可を取得するものとします。
第35条公安機関または国家安全保障機関が国家安全保障のため、または法律に従って犯罪を調査するためにデータを取得する必要がある場合、国の関連規定に従って厳格な承認手続きを完了し、データを取得するものとする。法令に従い、関係機関及び個人が協力するものとします。
第36条中華人民共和国の管轄当局は、中華人民共和国が締結または締結した関連法および国際条約または協定に従って、または以下に従って、外国の司法当局または法執行当局によるデータの要求を処理するものとします。平等と互恵の原則で。 中華人民共和国の管轄当局の承認なしに、中華人民共和国の組織または個人は、中華人民共和国の領土内に保存されているデータを海外の司法機関または法執行機関に提供してはなりません。
第V章政府データのセキュリティと公開性
第37条国は、電子政府の発展を促進し、政府のデータベースをより科学的、正確かつ時間効率の良いものにし、経済的および社会的発展に役立つデータを使用する能力を向上させるために多大な努力を払うものとする。
第38条国の機関が法定義務を遂行するためにデータを収集または使用する必要がある場合、州の機関は、法定義務の遂行に必要な範囲内で、法律および行政規則によって提供される条件および手順の下でデータを収集または使用するものとする。 彼らは、法律に従い、個人のプライバシー、個人情報、企業秘密、機密のビジネス情報など、職務を遂行する過程でアクセスされるデータの機密性を保持し、そのようなデータを漏らしたり、違法に提供したりしてはなりません。他の人に。
第39条国の機関は、法律および行政規則の規定に従い、健全なデータセキュリティ管理システムを確立し、データセキュリティ保護の責任を果たし、政府データのセキュリティを確保するものとします。
第40条国家機関が他者に電子政府システムの構築または維持、あるいは政府データの保存または処理を委託する場合、国家機関は厳格な承認手続きを経て、データセキュリティ保護義務の履行について委託当事者を監督するものとする。 委託当事者は、署名された法律、規制、および契約の規定に従ってデータセキュリティ保護義務を履行するものとし、許可なく他者に政府データを保持、使用、漏えい、または提供してはなりません。
第41条国の機関は、国民の公平、平等および利便性の原則に基づき、法律に従って開示されないものを除き、規定に従って適時かつ正確な方法で政府のデータを開示するものとする。
第42条国は、公開された政府データのカタログを作成し、公開され、統一され、標準化され、相互接続され、安全で制御可能な政府データプラットフォームを構築し、政府データの公開と利用を促進するものとします。
第43条この章の規定は、法定の職務を遂行する目的で、法令で認められた公務を管理する機能を有する組織が行うデータ処理に適用されるものとする。
第VI章法的責任
第44条管轄部門は、データセキュリティに関する規制義務を遂行する際に、データ処理に重大なセキュリティリスクが存在することを発見した場合、所定の権限と手順の制限に従って、関連組織と規制協議を行うことができます。
第45条データを処理する組織または個人が本法第27条、第29条、および第30条に規定されているデータセキュリティ保護義務を履行しない場合、組織または個人は、是正を命じられ、警告を与えられるものとし、同時に管轄部門から50,000万元以上500,000万元以下の罰金が科せられ、直接責任者およびその他の直接責任者は10,000万元以上100,000万元以下の罰金が科せられる場合があります。 組織または個人が是正を拒否した場合、または大規模なデータ侵害などの重大な結果を引き起こした場合、組織または個人は500,000元以上2万元以下の罰金を科され、停止を命じられる場合があります。関連事業または是正のための事業停止、または関連事業許可または事業免許の取消し、直接責任者およびその他の直接責任者は、50,000元以上200,000元以下の罰金を科されるものとします。
組織または個人が国のコアデータ管理規則に違反し、国の主権、安全保障、または開発の利益を危険にさらす場合、管轄部門は組織または個人に2万元以上10万元以下の罰金を科すものとします。 XNUMX万元。状況に応じて、関連事業の停止または是正のための事業停止を命じたり、関連事業許可または事業許可を取り消す場合があります。 犯罪が構成されている場合、刑事責任は法律に従って調査されるものとします。
第46条この法律の第31条の規定に違反して、海外で重要なデータを提供する者は、修正を行うように命令され、管轄部門から警告を受けるものとし、同時に100,000万元以上の罰金を科せられる。 1万元以上、直接責任者およびその他の直接責任者は、10,000元以上100,000万元以下の罰金を科される場合があります。 状況が深刻な場合、違反者は1万人民元以上10万元以下の罰金を科されるものとし、関連事業の停止または是正のための事業の停止、あるいは関連事業許可または事業の停止を命じられる場合があります。ライセンスが取り消され、直接責任者およびその他の直接責任者は、100,000万元以上1万元以下の罰金を科されるものとします。
第47条データ取引仲介人が本法第33条に定める義務を履行しなかった場合は、所管官庁から是正を命じられ、違法な利益があった場合は没収され、罰金が科せられない。違法な利益の額より少なく、100,000倍以下。 違法な利益がない場合、または違法な利益が100,000万元未満の場合は、1万元以上10,000万元以下の罰金が科せられる。 同時に、関連する事業を停止するか、是正のために事業を停止するか、関連する事業許可または事業免許を取り消すように命じられる場合があります。 直接責任者およびその他の直接責任者は、100,000元以上XNUMX万元以下の罰金を科されるものとします。
第48条この法律の第35条に違反する者は、公的機関または国家安全保障機関がデータにアクセスする必要がある場合に協力を拒否し、管轄部門から是正を命じられ、警告を与えられ、同時に罰金を科されるものとする。 50,000元以上500,000元以下、および直接責任者およびその他の直接責任者は、10,000元以上100,000元以下の罰金を科される場合があります。
この法律の第36条に違反して、管轄当局の承認なしに海外の司法機関または法執行機関にデータを提供する者は、管轄部門から警告を受け、同時に100,000万元以上の罰金を科される場合があります。ただし、1万元以下であり、直接責任者およびその他の直接責任者は、10,000元以上100,000万元以下の罰金を科せられる場合があります。 重大な結果が生じた場合、違反者は1万元以上5万元以下の罰金を科され、関連事業の停止または是正のための事業の停止、あるいは関連事業許可または事業の停止を命じられる場合があります。ライセンスが取り消されました。 直接責任者およびその他の直接責任者は、50,000元以上500,000元以下の罰金を科されるものとします。
第49条国の機関が本法に定めるデータの安全義務を履行しなかった場合、直接責任者およびその他の直接責任者は、法律に従って制裁を科されるものとする。
第50条データセキュリティ関連の規制規制を実施する州の機能者は、その義務を怠ったり、権力を乱用したり、個人的な利益のために不正行為を行ったりした場合、法律に従って制裁を科されるものとします。
第51条盗難その他の違法な手段によりデータを取得したり、データ処理の競争を排除または制限したり、個人または組織の合法的な権利および利益を害したりした者は、関連する法律および行政規則の規定に従って罰せられるものとします。
第52条この法律に違反して他人に損害を与えた者は、法律に従って民事責任を負うものとします。
この法律の規定の違反が公安行政の違反を構成する場合、公安行政の罰則は法律に従って与えられるものとします。 犯罪が構成されている場合、刑事責任は法律に従って調査されるものとします。
第XNUMX章補足規定
第53条国家機密の保護に関する中華人民共和国の法律およびその他の関連法および行政規則の規定は、国家機密を含むデータ処理に適用されるものとします。
データが統計またはアーカイブ作業で処理される場合、および個人情報を含むデータ処理で処理される場合も、関連する法律および行政規則の規定を遵守する必要があります。
第54条軍事データの安全と保護のための措置は、この法律に従って中央軍事委員会によって別個に策定されるものとする。
第55条この法律は、1年2021月XNUMX日から施行される。