제1장 총칙
제2장 데이터 안전 및 발전
제3장 데이터 안전 제도
제4장 데이터 안전 보호 의무
제5장 정무 데이터 안전 및 개방
제6장 법적 책임
제7장 부칙
제1장 총칙
제1조 데이터 처리 활동을 규범화하고, 데이터 안전을 보장하며, 데이터 개발 및 이용을 촉진하고, 개인과 조직의 합법적 권익을 보호하며, 국가의 주권과 안전 및 발전 이익을 지키기 위해 본 법을 제정한다.
제2조 중화인민공화국 경내에서 진행되는 데이터 처리 활동 및 그 안전 관리·감독은 본 법의 적용을
받는다. 중화인민공화국 외부에서 데이터 처리 활동을 진행하면서 중화인민공화국의 국가 안전, 공공 이익 또는 공민이나 조직의 합법적 권익을 해칠 경우 법에 따라 법적 책임을 추궁한다.
제3조 본 법에서 말하는 데이터는 전자 또는 기타 방식으로 정보를 기록하는 것을 가리킨다. 데이터 처리는 데이터의 수집, 저장, 사용, 가공, 전송, 제공, 공개 등을 포함한다. 데이터 안전은 필요한 조치를 통해 데이터를 효과적으로 보호하고, 합법적으로 이용하며, 계속 안전한
상태를 유지하는 능력을 가리킨다.
제4조 데이터 안전을 유지할 때 총체적 국가 안보관을 견지하고, 데이터 안전 관리 체계를 구축하며, 데이터 안전 보장 능력을 제고해야 한다.
제5조 중앙 국가 안전 지도 기관은 국가 데이터 안전 작업의 의사결정 및 업무 조정을 책임지고, 국가
데이터 안전 전략 및 중대 방침과 정책을 연구·제정·지도·시행하며, 국가 데이터 안전과 관련된 중대 사항 및 중요 업무를 통합적으로 조정하고, 국가 데이터 안전 업무 조정 메커니즘을 구축한다.
제6조 각 지역 및 각 부서는 본 지역과 본 부서의 업무에서 수집하거나 생성한 데이터 및 데이터 안전에 대해 책임을 진다. 공업, 전신, 교통, 금융, 자연 자원, 위생 건강, 교육, 과기 등의 주무부서는 본 업계 및 본 분야의 데이터 안전 관리·감독 직책을 담당한다.
공안 기관과 국가 안전 기관 등은 본 법 및 관련 법률과 행정 법규의 규정에 따라 각자의 직책 범위
내에서 데이터 안전 관리·감독의 직책을 담당한다. 국가 인터넷 정보 부서는 본 법과 관련 법률 및 행정 법규의 규정에 따라 네트워크 데이터 안전의 통합 조정 및 관련 관리·감독 업무를 책임진다.
제7조 국가에서는 데이터와 관련된 개인과 조직의 권익을 보호하고, 법에 따라 데이터를 합리적이고
효과적으로 이용하며, 데이터가 법에 따라 질서정연하고 자유롭게 유동하도록 보장하고, 데이터를 핵심
요소로 하는 디지털 경제 발전을 촉진한다.
제8조 데이터 처리 활동을 진행할 때 법률과 법규를 준수하고, 공중도덕과 윤리를 존중하며, 상도덕과 직업윤리를 준수하고, 신용을 존중하며, 데이터 안전 보호 의무를 이행하고, 사회적 책임을 부담해야 한다. 국가 안전과 공공 이익을 해치면 안 되고, 개인과 조직의 합법적 권익을 해치면 안 된다.
제9조 국가에서는 데이터 안전 지식의 보급 및 홍보를 진행하도록 지원하고, 사회의 데이터 안전 및
보호 의식과 수준을 높이며, 관련 부서, 업계 조직, 과학 연구 기관, 기업, 개인 등이 데이터 안전 보호
작업에 공동으로 참여하도록 유도하고, 전 사회가 공동으로 데이터 안전을 유지하고 발전을 촉진하는
양호한 환경을 조성한다.
제10조 관련 업계 조직은 정관 및 법에 따라 데이터 안전 행위 규범과 단체표준을 제정하고, 업계의
자율 규제를 강화하며, 회원들이 데이터 안전 보호를 강화하도록 지도하고, 데이터 안전 보호 수준을
제고하며, 업계의 건강한 발전을 촉진한다.
제11조 국가에서는 데이터 안전 관리 및 데이터 개발 이용 등의 분야에서 국제 교류와 협력을 적극적으로 진행하고, 데이터 안전과 관련된 국제 규칙 및 표준의 제정에 참여하며, 데이터의 안전한 국외 이전 및 자유로운 유동을 촉진한다.
제12조 모든 개인이나 조직은 본 법의 규정을 위반하는 행위에 대해 관련 주무부서로 신고하거나 제보할 권리가 있다. 신고나 제보를 받은 부서는 즉시 법에 따라 처리해야 한다. 주무부서는 신고자 및 제보자의 관련 정보에 대해 비밀을 지키고, 신고자 및 제보자의 합법적 권익을
보호해야 한다.
제2장 데이터 안전 및 발전
제13조 국가에서는 발전과 보안을 종합적으로 고려하고, 데이터 개발·이용과 산업 발전을 통해 데이터
안전을 촉진하며, 데이터 안전을 통해 데이터 개발·이용과 산업 발전을 보장한다.
제14조 국가에서는 빅데이터 전략을 시행하고, 데이터 인프라 건설을 추진하며, 데이터가 각 업계 및
각 분야에 혁신적으로 응용되도록 지원한다. 성급 이상 인민정부는 디지털 경제 발전을 국민경제 및 사회 발전 계획에 포함시키고, 아울러 수요에
근거해 디지털 경제 발전 계획을 제정해야 한다.
제15조 국가에서는 데이터의 개발 및 이용을 통해 공공 서비스의 스마트화 수준을 제고하도록 지원한다. 스마트화 공공 서비스를 제공할 때 노인이나 장애인의 수요를 충분히 고려해야 하고, 노인이나 장애인의 일상 생활에 불편을 초래하지 않아야 한다.
제16조 국가에서는 데이터 개발과 이용 및 데이터 안전 기술 연구를 지원하고, 데이터 개발과 이용
및 데이터 안전 등 분야의 기술 보급과 상업적 혁신을 장려하며, 데이터 개발·이용과 데이터 안전 제품
및 산업 체계를 발전시킨다.
제17조 국가에서는 데이터 개발과 이용 기술 및 데이터 안전 표준 체계의 구축을 추진한다. 국무원
표준화 행정 주무부서와 국무원 관련 부서는 각자의 직책에 근거해 관련 데이터 개발·이용 기술과 제품 및 데이터 안전 관련 표준을 제정하고, 아울러 적시에 개정한다. 국가에서는 기업, 사회 단체와 교육 및 과학 연구기관 등이 표준 제정에 참여하도록 지원한다.
제18조 국가에서는 데이터 안전 검측 평가와 인증 등 서비스의 발전을 촉진하고, 데이터 안전 검측
평가와 인증 등 전문 기관이 법에 따라 서비스 활동을 진행하도록 지원한다. 국가에서는 관련 부서, 업계 조직, 기업, 교육 기관과 과학 연구 기관, 관련 전문 기관 등이 데이터 안전 위험 평가, 예방, 처리 등의 분야에서 협력하도록 지원한다.
제19조 국가에서는 데이터 거래 관리 제도를 수립하고, 데이터 거래 행위를 규범화하며, 데이터 거래
시장을 육성한다.
제20조 국가에서는 교육 기관과 과학 연구 기관 및 기업 등이 데이터 개발·이용 기술 개발 및 데이터
안전 관련 교육과 훈련을 실시하도록 지원하고, 여러 가지 방식을 통해 데이터 개발·이용 기술과 데이터 안전 전문 인재를 육성하며, 인재 교류를 촉진한다.
제3장 데이터 안전 제도
제21조 국가에서는 데이터 유형 및 등급 분류 보호 제도를 구축하고, 데이터가 경제와 사회 발전에
미치는 영향의 정도 및 변조·파괴·누설되거나 불법적으로 획득·이용될 때 국가 안전, 공공 이익 또는 개인이나 조직의 합법적 권익에 초래하는 위해의 정도에 따라 데이터의 등급을 분류해 보호한다. 국가
데이터 안전 업무 조정 메커니즘 및 통합 조정 관련 부서는 중요 데이터 목록을 작성하고, 중요 데이터의 보호를 강화한다. 국가 보안, 국민경제, 중요 민생, 중대 공공 이익 등과 관련된 데이터는 국가 핵심 데이터에 속하고, 더욱 엄격한 관리 제도를 시행한다. 각 지역 및 각 부서는 데이터 유형 및 등급 분류 보호 제도에 따라 본 지역, 본 부서, 관련 업계 및 분야의 중요 데이터에 대해 구체적인 목록을 확정하고, 목록에 포함된 데이터를 중점적으로 보호해야 한다.
제22조 국가에서는 통일되고 집중적이며 효율적이고 권위가 있는 데이터 안전 위험 평가·보고·정보 공유·모니터링 조기 경보 메커니즘을 구축한다. 국가 데이터 안전 업무 조정 메커니즘 및 통합 조정 관련
부서는 데이터 안전 위험 정보의 획득, 분석, 연구·판단 및 조기 경보 업무를 강화한다.
제23조 국가에서는 데이터 안전 응급 처리 메커니즘을 구축한다. 데이터 안전 사건이 발생할 경우 관련 주무부서는 법에 따라 응급 대응 방안을 가동하고, 필요한 응급 처리 조치를 취하며, 위해가 확대되는 것을 방지하고, 보안 위험을 제거하며, 아울러 즉시 사회 대중에게 관련 경고 정보를 고시해야 한다.
제24조 국가에서는 데이터 안전 심사 제도를 수립하고, 국가 안전에 영향을 미치거나 미칠 수 있는
데이터 처리 활동에 대해 국가 안전 심사를 진행한다. 법에 따라 내리는 안전 심사 결정이 최종 결정이다.
제25조 국가에서는 국가의 안전과 이익 보호 및 국제 의무의 이행과 관련된 통제 데이터에 대해 법에
따라 수출 통제를 실시한다.
제26조 특정 국가 또는 지역이 데이터 및 데이터 개발·이용 기술 등과 관련된 투자 및 무역 등의 분
야에서 중화인민공화국에 차별적 금지, 제한 또는 이와 유사한 기타 조치를 취할 경우 중화인민공화국은 실제 상황에 근거해 해당 국가 또는 지역에 대등한 조치를 취할 수 있다.
제4장 데이터 안전 보호 의무
제27조 데이터 처리 활동을 진행할 때 법률과 법규의 규정에 따르고, 전 과정 데이터 안전 관리 제도를 구축하며, 데이터 안전 교육 훈련을 실시하고, 필요한 기술 조치 및 필요한 기타 조치를 취해 데이터 안전을 보장해야 한다. 인터넷 등 정보 네트워크를 이용해 데이터 처리 활동을 진행할 때 사이버
보안 등급 보호 제도를 기초로 삼아 상기 데이터 안전 보호 의무를 이행해야 한다. 중요 데이터의 처리자는 데이터 안전 책임자와 관리 기관을 명확하게, 데이터 안전 보호 책임을 명확히 해야 한다.
제28조 데이터 처리 활동 및 데이터 신기술의 연구·개발은 경제와 사회의 발전 및 복지 증진에 유리해야 하고, 공중도덕과 윤리에 부합해야 한다.
제29조 데이터 처리 활동을 진행할 때 위험 모니터링을 강화해야 한다. 데이터 안전 결함이나 허점
등의 위험을 발견할 경우 즉시 보완 조치를 취해야 한다. 데이터 안전 사건이 발생할 경우 즉시 처리
조치를 취하고, 규정에 따라 즉시 사용자에게 고지하며, 아울러 관련 주무부서에 보고해야 한다.
제30조 중요 데이터의 처리자는 규정에 따라 데이터 처리 활동에 대해 정기적으로 위험 평가를 실시하고, 아울러 관련 주무부서에 위험 평가 보고서를 제출해야 한다. 위험 평가 보고는 처리하는 중요 데이터의 종류, 수량, 데이터 처리 활동을 진행할 때의 상황, 데이터
안전 위험 및 그 대응 조치 등을 포함해야 한다.
제31조 핵심 정보 인프라의 운영자가 중화인민공화국 경내에서 운영하면서 수집하거나 생성한 중요
데이터의 국외 이전 안전 관리는 《중화인민공화국 사이버보안법》 규정의 적용을 받는다. 기타 데이터
처리자가 중화인민공화국 경내에서 운영하면서 수집하거나 생성한 중요 데이터의 국외 이전 안전 관리
방법은 국가 인터넷 정보 부서에서 국무원의 관련 부서와 함께 제정한다.
제32조 조직이나 개인은 데이터를 수집할 때 합법적이고 정당한 방식을 사용해야 한다. 도용 또는 불법적인 기타 방식으로 데이터를 수집하면 안 된다. 법률이나 행정 법규에 데이터의 수집·사용 목적 및 범위가 규정된 경우 법률이나 행정 법규에 규정된
목적과 범위 내에서 데이터를 수집·사용해야 한다.
제33조 데이터 거래 중개 서비스에 종사하는 기관은 서비스를 제공할 때 데이터 제공자에게 데이터
출처를 설명하도록 요구하고, 거래 쌍방의 신분을 심사하며, 아울러 심사 및 거래 기록을 보관해야 한다.
제34조 법률 및 행정 법규에서 데이터 처리 관련 서비스를 제공하려면 행정 허가를 취득해야 한다고
규정한 경우 서비스 제공자는 법에 따라 허가를 취득해야 한다.
제35조 공안 기관 및 국가 안전 기관은 법에 따라 국가 안전을 지키거나 범죄를 수사하기 위해 데이터를 수집해야 할 경우 관련 국가 규정에 근거해 엄격한 비준 수속을 거쳐 법에 따라 진행해야 한다. 관련 조직과 개인은 이에 협조해야 한다.
제36조 중화인민공화국 주무부서는 관련 법률 및 중화인민공화국이 체결하거나 참가한 국제 조약, 협정 또는 평등 및 상생의 원칙에 따라 외국 사법 기관 또는 행정 기관의 데이터 제공 요청을 처리한다. 중화인민공화국 주무부서의 비준을 받지 않는 한 경내의 조직이나 개인은 중화인민공화국 경내에 저장
된 데이터를 외국 사법 또는 행정 기관에 제공할 수 없다.
제5장 정무 데이터 안전 및 개방
제37조 국가에서는 전자 정무 시스템을 적극적으로 추진하고, 정무 데이터의 과학성과 정확성 및 실효성을 제고하며, 데이터를 운용해 경제 및 사회 발전에 기여하는 능력을 강화한다.
제38조 국가 기관이 법정 직책을 이행하기 위해 데이터를 수집·사용해야 할 경우 법정 직책을 이행하는 범위 내에서 법률과 행정 법규에 규정된 조건과 절차에 따라 진행해야 한다. 직책 이행 과정에서
알게 된 개인 프라이버시와 개인 정보 및 영업 기밀에 대해 비밀을 유지해야 하며, 이것을 유출하거나
또는 타인에게 제공할 수 없다.
제39조 국가 기관은 법률과 행정 법규의 규정에 따라 데이터 안전 관리 제도를 구축하고, 데이터 안전 보호 책임을 이행하며, 정무 데이터의 안전성을 보장해야 한다.
제40조 국가 기관이 타인에게 위탁해 전자 정무 시스템을 구축·유지하거나, 정무 데이터를 저장·가공할 경우 엄격한 비준 절차를 거쳐야 하고, 아울러 수탁자가 데이터 안전 보호 의무를 이행하도록 감독해야 한다. 수탁자는 법률·법규의 규정 및 계약의 약정에 따라 데이터 안전 보호 의무를 이행해야 하고, 정무 데이터를 임의로 보관하거나 사용하거나 누설하거나 타인에게 제공하면 안 된다.
제41조 국가 기관은 공정성과 공평성 및 편의성의 원칙을 준수해야 하고, 규정에 따라 정무 데이터를
적시에 정확하게 공개해야 한다. 법에 따라 공개하지 않는 경우는 제외한다.
제42조 국가에서는 정무 데이터 개방 목록을 제정하고, 통일되고 상호 연결되며 안전하고 제어할 수
있는 정무 데이터 개방 플랫폼을 구축하며, 정무 데이터의 개방적 이용을 추진한다.
제43조 법률 및 법규로부터 권한을 부여 받은, 공공 사무 관리 직능을 가진 조직이 법정 직책을 이행하기 위해 진행하는 데이터 처리 활동은 본 장 규정의 적용을 받는다.
제6장 법적 책임
제44조 관련 주무부서에서 데이터 안전 관리·감독 직책을 이행하는 과정에서 데이터 처리 활동에 비교적 큰 보안 위험이 존재한다는 것을 발견한 경우 규정된 권한과 절차에 따라 관련 조직 및 개인과
면담을 진행하고, 아울러 관련 조직과 개인이 시정 조치를 취해 위험을 제거하도록 요구할 수 있다.
제45조 데이터 처리 활동을 진행하는 조직이나 개인이 본 법 제27조, 제29조 및 제30조에 규정된 데이터 안전 보호 의무를 이행하지 않을 경우 관련 주무부서에서 시정 명령을 내리고 경고 처분을 부과한다. 이와 동시에 5만 위안 이상 50만 위안 이하의 벌금을 부과할 수 있다. 직접적으로 책임을 지는
주관 인원 및 직접적인 책임이 있는 기타 인원에 대해 1만 위안 이상 10만 위안 이하의 벌금을 부과할 수 있다. 시정을 거부하거나 대량의 데이터 유출 등 심각한 결과를 초래하는 경우 50만 위안 이상
200만 위안 이하의 벌금을 부과한다. 이와 동시에 관련 업무를 일시 정지하거나 영업을 정지하도록 명령하거나, 관련 업무 허가증을 취소하거나 사업자등록증을 말소할 수 있다. 직접적으로 책임을 지는 주관 인원 및 직접적인 책임이 있는 기타 인원에 대해 5만 위안 이상 20만 위안 이하의 벌금을 부과한다. 국가 핵심 데이터 관리 제도를 위반해 국가 주권, 보안 및 발전 이익을 해칠 경우 관련 주무부서에서
200만 위안 이상 1,000만 위안 이하의 벌금을 부과한다. 이와 동시에 위반 내용에 근거해 관련 업무를
일시 정지하거나, 영업을 정지하도록 명령하거나, 관련 업무 허가증을 취소하거나, 사업자등록증을 말소한다. 범죄를 구성할 경우 법에 따라 형사 책임을 추궁한다.
제46조 본 법 제31조의 규정을 위반하고 국외로 중요 데이터를 제공할 경우 관련 주무부서에서 시정
명령을 내리고 경고 처분을 부과한다. 이와 동시에 10만 위안 이상 100만 위안 이하의 벌금을 부과할
수 있다. 직접적으로 책임을 지는 주관 인원 및 직접적인 책임이 있는 기타 인원에 대해 1만 위안 이상 10만 위안 이하의 벌금을 부과할 수 있다. 위반 내용이 심각할 경우 100만 위안 이상 1,000만 위안
이하의 벌금을 부과한다. 이와 동시에 관련 업무를 일시 정지하거나 영업을 정지하도록 명령하거나, 관련 업무 허가증을 취소하거나 사업자등록증을 말소할 수 있다. 직접적으로 책임을 지는 주관 인원 및
직접적인 책임이 있는 기타 인원에 대해 10만 위안 이상 100만 위안 이하의 벌금을 부과한다.
제47조 데이터 거래 중개 서비스에 종사하는 기관이 본 법 제33조에 규정된 의무를 이행하지 않을 경우 관련 주무부서에서 시정 명령을 내리고, 불법 소득을 몰수하며, 불법 소득 1배 이상 10배 이하의 벌금을 부과한다. 불법 소득이 없거나 10만 위안 미만일 경우 10만 위안 이상 100만 위안 이하의 벌금을
부과한다. 이와 동시에 관련 업무를 일시 정지하거나 영업을 정지하도록 명령하거나, 관련 업무 허가증을 취소하거나 사업자등록증을 말소할 수 있다. 직접적으로 책임을 지는 주관 인원 및 직접적인 책임이 있는 기타 인원에 대해 1만 위안 이상 10만 위안 이하의 벌금을 부과한다.
제48조 본 법 제35조의 규정을 위반하고 데이터 수집에 협조하지 않을 경우 관련 주무부서에서 시정
명령을 내리고 경고 처분을 부과한다. 이와 동시에 5만 위안 이상 50만 위안 이하의 벌금을 부과한다. 직접적으로 책임을 지는 주관 인원 및 직접적인 책임이 있는 기타 인원에 대해 1만 위안 이상 10만
위안 이하의 벌금을 부과한다. 본 법 제36조의 규정을 위반하고 주무부서의 비준을 받지 않고 외국 사법 기관 또는 행정 기관에 데이터를 제공할 경우 관련 주무부서에서 경고 처분을 부과한다. 이와 동시에 10만 위안 이상 100만 위안
이하의 벌금을 부과할 수 있다. 직접적으로 책임을 지는 주관 인원 및 직접적인 책임이 있는 기타 인원에 대해 1만 위안 이상 10만 위안 이하의 벌금을 부과할 수 있다. 심각한 결과를 초래하는 경우 100
만 위안 이상 500만 위안 이하의 벌금을 부과한다. 이와 동시에 관련 업무를 일시 정지하거나 영업을
정지하도록 명령하거나, 관련 업무 허가증을 취소하거나 사업자등록증을 말소할 수 있다. 직접적으로
책임을 지는 주관 인원 및 직접적인 책임이 있는 기타 인원에 대해 5만 위안 이상 50만 위안 이하의
벌금을 부과한다.
제49조 국가 기관에서 본 법에 규정된 데이터 안전 보호 의무를 이행하지 않을 경우 직접적으로 책임을 지는 주관 인원 및 직접적인 책임이 있는 기타 인원에게 법에 따라 처분을 부과한다.
제50조 데이터 안전 관리·감독 직책을 이행하는 국가 근무 인원이 직권을 남용하거나, 직무를 소홀히
하거나, 사익을 추구할 경우 법에 따라 처리한다.
제51조 도용 또는 불법적인 기타 방식으로 데이터를 수집하거나, 데이터 처리 활동을 통해 경쟁을 배제·제한하거나, 개인이나 조직의 합법적 권익을 해칠 경우 관련 법률과 행정 법규의 규정에 따라 처벌한다
제52조 본 법의 규정을 위반하고 타인에게 손해를 초래할 경우 법에 따라 민사 책임을 진다. 본 법의 규정에 대한 위반이 치안 관리 위반 행위가 되는 경우 법에 따라 치안 관리 처벌을 부과한다. 범죄를 구성할 경우 법에 따라 형사 책임을 추궁한다.
제7장 부칙
제53조 국가 기밀과 관련된 데이터 처리 활동은 《중화인민공화국 국가기밀법》 등 법률 및 행정 법규의 규정이 적용된다.
통계 및 파일 업무에서 데이터 처리 활동을 진행하거나 개인 정보와 관련된 데이터 처리 활동을 진행할 때 관련 법률과 행정 법규의 규정을 준수해야 한다. .
