Luật bảo mật dữ liệu của Cộng hòa Nhân dân Trung Hoa
(Thông qua tại Hội nghị lần thứ 29 Ủy ban Thường vụ Đại hội đại biểu nhân dân toàn quốc khóa XIII, ngày 10 tháng 2021 năm XNUMX)
Chương I Các quy định chung
Điều 1 Luật này được ban hành nhằm mục đích quy định việc xử lý dữ liệu, bảo đảm an toàn dữ liệu, thúc đẩy phát triển và sử dụng dữ liệu, bảo vệ quyền và lợi ích hợp pháp của cá nhân, tổ chức, bảo vệ chủ quyền, an ninh và lợi ích phát triển của Nhà nước.
Điều 2 Luật này sẽ áp dụng cho các hoạt động xử lý dữ liệu và giám sát an ninh và điều chỉnh các hoạt động đó trong lãnh thổ của Cộng hòa Nhân dân Trung Hoa.
Trong trường hợp việc xử lý dữ liệu bên ngoài lãnh thổ của Cộng hòa Nhân dân Trung Hoa gây tổn hại đến an ninh quốc gia, lợi ích công cộng hoặc quyền và lợi ích hợp pháp của cá nhân hoặc tổ chức của Cộng hòa Nhân dân Trung Hoa, trách nhiệm pháp lý sẽ bị truy cứu theo quy định của pháp luật.
Điều 3 Theo mục đích của Luật này, thuật ngữ “dữ liệu” đề cập đến bất kỳ bản ghi thông tin nào dưới dạng điện tử hoặc bất kỳ hình thức nào khác.
“Xử lý dữ liệu” bao gồm việc thu thập, lưu trữ, sử dụng, xử lý, truyền, cung cấp và tiết lộ dữ liệu, trong số những hoạt động khác.
“Bảo mật dữ liệu” đề cập đến việc đảm bảo rằng dữ liệu được bảo vệ hiệu quả và được sử dụng hợp pháp thông qua việc áp dụng các biện pháp cần thiết và có khả năng đảm bảo tính bảo mật liên tục của dữ liệu.
Điều 4 Trong việc duy trì bảo mật dữ liệu, phương pháp tiếp cận toàn diện đối với an ninh quốc gia sẽ được áp dụng, các hệ thống quản trị an ninh dữ liệu hợp lý sẽ được thiết lập và các khả năng bảo vệ và an ninh dữ liệu sẽ được cải thiện.
Điều 5. Cơ quan lãnh đạo trung ương về an ninh quốc gia chịu trách nhiệm ra quyết định, cân nhắc và điều phối công tác bảo đảm an ninh dữ liệu quốc gia; nghiên cứu, xây dựng và hướng dẫn thực hiện Chiến lược an toàn dữ liệu quốc gia và các chủ trương, chính sách lớn có liên quan; điều phối các vấn đề chính và công việc quan trọng liên quan đến an ninh dữ liệu quốc gia; và thiết lập cơ chế điều phối về an ninh dữ liệu quốc gia.
Điều 6 Tất cả các địa phương và các sở, ban, ngành phải chịu trách nhiệm về việc quản lý các dữ liệu được thu thập hoặc tạo ra trong công việc của mình cũng như việc bảo mật dữ liệu của chúng.
Các sở công nghiệp, viễn thông, giao thông vận tải, tài chính, tài nguyên, y tế, giáo dục, công nghệ và các sở có thẩm quyền khác có liên quan chịu trách nhiệm giám sát và quy định việc bảo mật dữ liệu trong ngành, nghề của mình.
Cơ quan công an, cơ quan an ninh quốc gia ... chịu trách nhiệm giám sát, quản lý việc bảo mật dữ liệu trong phạm vi nhiệm vụ của mình theo quy định của Luật này và các quy định hành chính, pháp luật khác có liên quan.
Cục quản lý không gian mạng quốc gia chịu trách nhiệm lập kế hoạch và điều phối tổng thể về an ninh dữ liệu mạng và giám sát, điều tiết có liên quan theo quy định của Luật này, pháp luật và quy định hành chính khác có liên quan.
Điều 7 Nhà nước sẽ bảo vệ các quyền và lợi ích liên quan đến dữ liệu của các cá nhân và tổ chức, khuyến khích việc sử dụng hợp pháp, hợp lý và hiệu quả dữ liệu, đảm bảo luồng dữ liệu tự do một cách có trật tự và phù hợp với pháp luật, và thúc đẩy sự phát triển của nền kinh tế kỹ thuật số với dữ liệu là yếu tố then chốt.
Điều 8 Bất kỳ ai xử lý dữ liệu phải tuân thủ luật pháp và quy định, tôn trọng đạo đức xã hội và đạo đức nghề nghiệp, tuân thủ đạo đức nghề nghiệp và kinh doanh, đề cao tính trung thực và đáng tin cậy, thực hiện nghĩa vụ bảo vệ an toàn dữ liệu và thực hiện các trách nhiệm xã hội; không gây nguy hiểm đến an ninh quốc gia, lợi ích công cộng, không xâm hại đến quyền và lợi ích hợp pháp của cá nhân, tổ chức.
Điều 9. Nhà nước hỗ trợ việc phổ biến và phổ biến kiến thức về bảo mật dữ liệu để nâng cao nhận thức của cộng đồng về vấn đề này và khả năng bảo vệ an toàn dữ liệu, đồng thời thúc đẩy sự tham gia chung của các ban, ngành, tổ chức, cơ quan nghiên cứu, doanh nghiệp và cá nhân có liên quan trong việc bảo mật dữ liệu bảo vệ, nhằm tạo môi trường tốt cho các thành viên trong toàn xã hội cùng nhau bảo vệ dữ liệu, đảm bảo an toàn dữ liệu và thúc đẩy sự phát triển của các ngành liên quan.
Điều 10 Các hiệp hội ngành có liên quan, phù hợp với các điều khoản của hiệp hội, xây dựng quy tắc ứng xử và tiêu chuẩn để đảm bảo an ninh dữ liệu theo luật, tăng cường tự điều chỉnh trong các ngành của mình, hướng dẫn các thành viên tăng cường bảo vệ an ninh dữ liệu, cải thiện mức độ bảo hộ và thúc đẩy sự phát triển lành mạnh của các ngành công nghiệp.
Điều 11 Nhà nước sẽ tích cực thực hiện trao đổi và hợp tác quốc tế trong các lĩnh vực như quản trị bảo mật dữ liệu, phát triển và sử dụng dữ liệu, tham gia vào việc xây dựng các quy tắc và tiêu chuẩn quốc tế có liên quan về bảo mật dữ liệu và thúc đẩy luồng dữ liệu an toàn và miễn phí xuyên biên giới .
Điều 12. Mọi cá nhân, tổ chức có quyền khiếu nại hoặc báo cáo các hành vi vi phạm Luật này lên các bộ phận có thẩm quyền. Các bộ phận nhận được khiếu nại hoặc báo cáo đó có trách nhiệm giải quyết kịp thời theo quy định của pháp luật.
Các bộ phận có thẩm quyền phải giữ bí mật thông tin liên quan của những người khiếu nại hoặc báo cáo, bảo vệ quyền và lợi ích hợp pháp của họ.
Chương II Bảo mật và Phát triển Dữ liệu
Điều 13 Nhà nước phải lập kế hoạch tổng thể để phối hợp phát triển và bảo mật, để thúc đẩy bảo mật dữ liệu thông qua phát triển và sử dụng dữ liệu và thông qua phát triển công nghiệp, mặt khác, để đảm bảo rằng an ninh dữ liệu cũng tạo điều kiện thuận lợi cho việc phát triển và sử dụng dữ liệu như phát triển công nghiệp.
Điều 14 Nhà nước sẽ thực hiện chiến lược dữ liệu lớn, thúc đẩy việc xây dựng cơ sở hạ tầng dữ liệu, khuyến khích và hỗ trợ việc ứng dụng đổi mới dữ liệu trong tất cả các ngành và lĩnh vực.
Chính quyền nhân dân cấp tỉnh trở lên phải đưa sự phát triển của nền kinh tế số vào kế hoạch phát triển kinh tế và xã hội của quốc gia mình và lập các kế hoạch phát triển cho nền kinh tế số khi cần thiết.
Điều 15 Nhà nước hỗ trợ phát triển và sử dụng dữ liệu để cung cấp các dịch vụ công cộng thông minh hơn. Để cung cấp các dịch vụ công thông minh hơn, nhu cầu của người cao tuổi và người tàn tật phải được xem xét đầy đủ để tránh gây trở ngại cho cuộc sống hàng ngày của họ.
Điều 16 Nhà nước hỗ trợ nghiên cứu phát triển và sử dụng dữ liệu và các công nghệ liên quan đến bảo mật dữ liệu, khuyến khích phổ biến và đổi mới thương mại công nghệ trong các lĩnh vực nói trên, thúc đẩy và phát triển các sản phẩm và hệ thống công nghiệp để phát triển và sử dụng dữ liệu và bảo mật dữ liệu.
Điều 17. Nhà nước sẽ thúc đẩy việc hình thành các tiêu chuẩn phát triển dữ liệu và các tiêu chuẩn cho công nghệ sử dụng dữ liệu và bảo mật dữ liệu. Bộ phận phụ trách tiêu chuẩn hóa thuộc Quốc vụ viện và các bộ phận liên quan khác thuộc Quốc vụ viện, trong phạm vi nhiệm vụ và chức năng của mình, tổ chức thiết lập và sửa đổi kịp thời các tiêu chuẩn về công nghệ và sản phẩm dữ liệu. phát triển và sử dụng dữ liệu và các tiêu chuẩn về bảo mật dữ liệu. Nhà nước sẽ hỗ trợ các doanh nghiệp, các nhóm xã hội và các cơ sở giáo dục hoặc nghiên cứu, v.v. trong việc tham gia của họ vào việc xây dựng các tiêu chuẩn đó.
Điều 18 Nhà nước khuyến khích phát triển các dịch vụ như kiểm tra, đánh giá và công nhận bảo mật dữ liệu và hỗ trợ các cơ quan chuyên về kiểm tra, đánh giá, công nhận bảo mật dữ liệu, v.v. cung cấp các dịch vụ theo quy định của pháp luật.
Nhà nước hỗ trợ sự hợp tác giữa các ban ngành liên quan, hiệp hội ngành hàng, doanh nghiệp, cơ sở giáo dục và nghiên cứu, các cơ quan chuyên môn liên quan, v.v. trong các lĩnh vực như đánh giá, phòng ngừa và xử lý rủi ro liên quan đến bảo mật dữ liệu.
Điều 19. Nhà nước sẽ thiết lập hệ thống hợp lý để quản lý giao dịch dữ liệu, chuẩn hóa các hoạt động giao dịch dữ liệu và thúc đẩy thị trường giao dịch dữ liệu.
Điều 20. Nhà nước hỗ trợ các tổ chức giáo dục và nghiên cứu, các doanh nghiệp và các tổ chức khác trong việc giáo dục và đào tạo về công nghệ phát triển và sử dụng dữ liệu và về bảo mật dữ liệu, nâng cao chuyên môn trong công nghệ phát triển và sử dụng dữ liệu và bảo mật dữ liệu bằng nhiều phương tiện, và thúc đẩy giao lưu tài năng.
Chương III Hệ thống bảo mật dữ liệu
Điều 21 Nhà nước sẽ thiết lập một hệ thống được phân loại và phân loại và thực hiện việc bảo vệ dữ liệu dựa trên tầm quan trọng của dữ liệu đối với sự phát triển kinh tế và xã hội, cũng như mức độ tổn hại đến an ninh quốc gia, lợi ích công cộng hoặc các quyền và lợi ích hợp pháp của cá nhân hoặc tổ chức sẽ gây ra một khi dữ liệu bị thay đổi, phá hủy, bị rò rỉ hoặc lấy hoặc sử dụng bất hợp pháp. Cơ chế điều phối về an ninh dữ liệu quốc gia sẽ phối hợp các bộ phận liên quan xây dựng danh mục dữ liệu quan trọng và tăng cường bảo vệ dữ liệu quan trọng.
Dữ liệu liên quan đến an ninh quốc gia, huyết mạch của nền kinh tế quốc dân, các khía cạnh quan trọng của đời sống người dân, lợi ích công cộng lớn, v.v., là dữ liệu cốt lõi của nhà nước, để thực hiện một hệ thống quản lý chặt chẽ hơn.
Tất cả các địa phương và ban ngành, phù hợp với hệ thống bảo vệ dữ liệu được phân loại và phân loại, chuẩn bị danh mục cụ thể về dữ liệu quan trọng cho các khu vực, sở, ngành tương ứng và các ngành, lĩnh vực có liên quan và dành ưu tiên cho dữ liệu được liệt kê trong danh mục về mặt bảo vệ dữ liệu .
Điều 22 Nhà nước sẽ thiết lập một cơ chế tập trung, thống nhất, hiệu quả cao và có thẩm quyền để đánh giá, báo cáo, chia sẻ thông tin, giám sát và cảnh báo sớm các rủi ro về bảo mật dữ liệu. Cơ chế điều phối về an ninh dữ liệu quốc gia sẽ lập kế hoạch tổng thể và phối hợp các bộ phận liên quan trong việc tăng cường công tác thu thập, phân tích, nghiên cứu và đánh giá thông tin về các rủi ro an toàn dữ liệu và công tác cảnh báo sớm các rủi ro đó.
Điều 23 Nhà nước sẽ thiết lập một cơ chế ứng phó khẩn cấp về bảo mật dữ liệu. Khi có sự cố bảo mật dữ liệu xảy ra, các bộ phận có thẩm quyền liên quan sẽ bắt đầu ứng phó khẩn cấp theo kế hoạch và luật pháp, thực hiện các biện pháp tương ứng để ngăn ngừa tổn hại thêm và loại bỏ các nguy cơ bảo mật, đồng thời đưa ra cảnh báo cho công chúng bằng cách công bố thông tin liên quan trong một kịp thời.
Điều 24. Nhà nước sẽ thiết lập một hệ thống rà soát về bảo mật dữ liệu, tiến hành rà soát an ninh quốc gia về việc xử lý dữ liệu có ảnh hưởng hoặc có thể ảnh hưởng đến an ninh quốc gia.
Các quyết định xem xét bảo mật được thực hiện theo quy định của pháp luật là quyết định cuối cùng.
Điều 25 Nhà nước sẽ áp dụng việc kiểm soát xuất khẩu theo quy định của pháp luật về dữ liệu là mặt hàng được kiểm soát và liên quan đến an ninh và lợi ích quốc gia và việc thực hiện các nghĩa vụ quốc tế.
Điều 26 Trong trường hợp bất kỳ quốc gia hoặc khu vực nào áp dụng các lệnh cấm, hạn chế mang tính phân biệt đối xử hoặc các biện pháp tương tự khác đối với Cộng hòa Nhân dân Trung Hoa liên quan đến đầu tư, thương mại hoặc bất kỳ lĩnh vực nào khác liên quan đến dữ liệu và công nghệ phát triển và sử dụng dữ liệu, Cộng hòa Nhân dân Trung Hoa có thể thực hiện các biện pháp đối phó với quốc gia hoặc khu vực đó dựa trên hoàn cảnh thực tế.
Chương IV Nghĩa vụ Bảo vệ Bảo mật Dữ liệu
Điều 27 Trong quá trình xử lý dữ liệu, các luật và quy định phải được tuân thủ, một hệ thống quản lý an ninh dữ liệu tốt trong toàn bộ quá trình sẽ được thiết lập, giáo dục và đào tạo về bảo mật dữ liệu sẽ được tổ chức và tiến hành, đồng thời các biện pháp kỹ thuật tương ứng và các biện pháp cần thiết khác sẽ được được thông qua để đảm bảo an ninh dữ liệu. Trong xử lý dữ liệu bằng cách sử dụng internet hoặc bất kỳ mạng thông tin nào khác, các nghĩa vụ bảo mật dữ liệu nói trên sẽ được thực hiện trên cơ sở hệ thống bảo vệ đã được phân loại về an ninh mạng.
Người xử lý dữ liệu quan trọng phải rõ ràng về người của họ chịu trách nhiệm bảo mật dữ liệu và các cơ quan quản lý bảo mật dữ liệu, đồng thời hoàn thành các trách nhiệm về bảo mật dữ liệu.
Điều 28 Việc xử lý dữ liệu cũng như nghiên cứu và phát triển các công nghệ dữ liệu mới sẽ có lợi cho việc thúc đẩy hơn nữa sự phát triển kinh tế và xã hội, và cải thiện hạnh phúc của con người, đồng thời phải phù hợp với luân thường và đạo đức xã hội.
Điều 29 Việc giám sát rủi ro chặt chẽ hơn sẽ được áp dụng trong quá trình xử lý dữ liệu. Khi phát hiện ra các khiếm khuyết, lỗi hoặc rủi ro khác về bảo mật dữ liệu, các biện pháp khắc phục sẽ được thực hiện ngay lập tức. Khi sự cố bảo mật dữ liệu xảy ra, các biện pháp phải được thực hiện ngay lập tức để giải quyết và người dùng phải được thông báo và báo cáo kịp thời cho các bộ phận có thẩm quyền liên quan theo quy định có liên quan.
Điều 30 Người xử lý dữ liệu quan trọng, theo các quy định có liên quan, phải tiến hành đánh giá rủi ro trong quá trình xử lý dữ liệu của họ một cách thường xuyên và gửi báo cáo đánh giá rủi ro cho các bộ phận có thẩm quyền liên quan.
Báo cáo đánh giá rủi ro phải bao gồm các loại và lượng dữ liệu quan trọng được xử lý, thông tin về xử lý dữ liệu, rủi ro bảo mật dữ liệu và các biện pháp ứng phó với chúng.
Điều 31 Các quy định của Luật An ninh mạng của Cộng hòa Nhân dân Trung Hoa sẽ áp dụng đối với việc quản lý bảo mật ra bên ngoài của dữ liệu quan trọng do các nhà khai thác cơ sở hạ tầng thông tin quan trọng thu thập hoặc tạo ra trong quá trình hoạt động của họ trong lãnh thổ Cộng hòa Nhân dân Trung Hoa, và các biện pháp đối với việc quản lý an ninh ra bên ngoài đối với dữ liệu quan trọng do các bộ xử lý dữ liệu khác thu thập hoặc sản xuất trong quá trình hoạt động của họ trên lãnh thổ Cộng hòa Nhân dân Trung Hoa sẽ do cơ quan quản lý không gian mạng quốc gia kết hợp với các cơ quan liên quan thuộc Quốc vụ viện xây dựng.
Điều 32 Một tổ chức hoặc cá nhân phải thu thập dữ liệu bằng các phương tiện hợp pháp và thích hợp, và không được thu thập dữ liệu bằng cách đánh cắp hoặc theo các cách thức bất hợp pháp khác.
Trong trường hợp luật hoặc quy định hành chính có quy định về mục đích hoặc phạm vi thu thập và sử dụng dữ liệu, thì dữ liệu sẽ được thu thập và sử dụng cho các mục đích và trong phạm vi được quy định bởi các luật và quy định hành chính đó.
Điều 33 Khi cung cấp dịch vụ, trung gian giao dịch dữ liệu phải yêu cầu nhà cung cấp dữ liệu chỉ định nguồn dữ liệu, xác minh danh tính của cả hai bên tham gia giao dịch và lưu giữ hồ sơ xác minh và giao dịch.
Điều 34 Khi luật pháp hoặc quy định hành chính yêu cầu phải có các quyền quản trị để cung cấp các dịch vụ liên quan đến xử lý dữ liệu, các nhà cung cấp dịch vụ sẽ có được các quyền quản trị đó theo các quy định này.
Điều 35 Trong trường hợp cơ quan công an hoặc cơ quan an ninh quốc gia cần lấy dữ liệu vì mục đích an ninh quốc gia hoặc để điều tra tội phạm theo quy định của pháp luật, các thủ tục phê duyệt nghiêm ngặt phải được hoàn thành theo các quy định liên quan của nhà nước và dữ liệu được thu thập. theo quy định của pháp luật và các tổ chức, cá nhân có liên quan cùng hợp tác.
Điều 36 Các cơ quan có thẩm quyền của Cộng hòa Nhân dân Trung Hoa sẽ xử lý các yêu cầu cung cấp dữ liệu do các cơ quan tư pháp hoặc cơ quan hành pháp nước ngoài đưa ra, phù hợp với các luật liên quan và các hiệp ước hoặc hiệp định quốc tế mà Cộng hòa Nhân dân Trung Hoa đã ký kết hoặc tham gia, hoặc theo với các nguyên tắc bình đẳng và có đi có lại. Nếu không có sự chấp thuận của các cơ quan có thẩm quyền của Cộng hòa Nhân dân Trung Hoa, các tổ chức hoặc cá nhân ở Cộng hòa Nhân dân Trung Hoa sẽ không được cung cấp dữ liệu được lưu trữ trong lãnh thổ của Cộng hòa Nhân dân Trung Hoa cho bất kỳ cơ quan tư pháp hoặc thực thi pháp luật nào ở nước ngoài.
Chương V Bảo mật và Tính công khai của Dữ liệu Chính phủ
Điều 37 Nhà nước sẽ nỗ lực hết sức để thúc đẩy sự phát triển của chính phủ điện tử, làm cho cơ sở dữ liệu của chính phủ khoa học hơn, chính xác hơn, tiết kiệm thời gian hơn và nâng cao khả năng sử dụng dữ liệu phục vụ phát triển kinh tế và xã hội.
Điều 38 Trong trường hợp các cơ quan nhà nước cần thu thập hoặc sử dụng dữ liệu để thực hiện các nhiệm vụ theo luật định của mình, họ sẽ thu thập hoặc sử dụng dữ liệu trong phạm vi cần thiết để thực hiện các nhiệm vụ theo luật định của mình và theo các điều kiện và thủ tục do luật và quy định hành chính quy định. Theo quy định của pháp luật, họ phải giữ bí mật của dữ liệu được truy cập trong quá trình thực hiện nhiệm vụ của mình, chẳng hạn như quyền riêng tư cá nhân, thông tin cá nhân, bí mật kinh doanh và thông tin kinh doanh bí mật và không được tiết lộ hoặc cung cấp bất hợp pháp những dữ liệu đó cho người khác.
Điều 39 Các cơ quan nhà nước, phù hợp với các quy định của pháp luật và quy định hành chính, thiết lập hệ thống quản lý an ninh dữ liệu tốt, thực hiện trách nhiệm bảo vệ an ninh dữ liệu và đảm bảo an ninh cho dữ liệu của chính phủ.
Điều 40 Trong trường hợp cơ quan nhà nước ủy thác cho người khác xây dựng hoặc duy trì hệ thống chính phủ điện tử hoặc lưu trữ hoặc xử lý dữ liệu của chính phủ, cơ quan nhà nước phải thực hiện các thủ tục phê duyệt nghiêm ngặt và sẽ giám sát bên được ủy thác trong việc thực hiện các nghĩa vụ bảo vệ an toàn dữ liệu. Bên được ủy thác sẽ thực hiện các nghĩa vụ bảo vệ an toàn dữ liệu của mình theo các quy định của pháp luật, quy định và hợp đồng đã ký, đồng thời không được lưu giữ, sử dụng, tiết lộ hoặc cung cấp cho người khác dữ liệu của chính phủ mà không được phép.
Điều 41 Các cơ quan nhà nước, theo nguyên tắc công bằng, bình đẳng và thuận tiện cho người dân, công bố dữ liệu của chính phủ một cách kịp thời và chính xác theo các quy định, trừ những dữ liệu không được tiết lộ theo quy định của pháp luật.
Điều 42 Nhà nước sẽ xây dựng danh mục dữ liệu mở của chính phủ, xây dựng một nền tảng dữ liệu chính phủ mở, thống nhất, tiêu chuẩn hóa, kết nối với nhau, an toàn và có thể kiểm soát, đồng thời thúc đẩy việc phát hành và sử dụng dữ liệu của chính phủ.
Điều 43 Các quy định của Chương này sẽ áp dụng cho việc xử lý dữ liệu do các tổ chức có chức năng quản lý công vụ thực hiện theo ủy quyền của pháp luật và các quy định nhằm thực hiện các nhiệm vụ theo luật định của họ.
Chương VI Trách nhiệm pháp lý
Điều 44 Trường hợp các bộ phận có thẩm quyền phát hiện ra sự tồn tại của các rủi ro bảo mật lớn trong xử lý dữ liệu khi họ thực hiện các nhiệm vụ quản lý của mình liên quan đến bảo mật dữ liệu, họ có thể, theo các giới hạn quy định về thẩm quyền và thủ tục, tiến hành các cuộc đàm phán theo quy định với các tổ chức liên quan và
Điều 45 Trường hợp tổ chức, cá nhân xử lý dữ liệu không thực hiện nghĩa vụ bảo vệ an toàn dữ liệu quy định tại các Điều 27, 29 và 30 của Luật này thì tổ chức, cá nhân đó sẽ được yêu cầu khắc phục, cảnh cáo, đồng thời có thể bị Bộ phận có thẩm quyền bị phạt không dưới 50,000 NDT nhưng không quá 500,000 NDT và những người chịu trách nhiệm trực tiếp và những người chịu trách nhiệm trực tiếp khác có thể bị phạt không dưới 10,000 NDT nhưng không quá 100,000 NDT. Trong trường hợp tổ chức hoặc cá nhân từ chối cải chính hoặc đã gây ra hậu quả nghiêm trọng như vi phạm dữ liệu lớn, tổ chức hoặc cá nhân đó sẽ bị phạt không dưới 500,000 nhân dân tệ nhưng không quá 2 triệu nhân dân tệ và có thể bị ra lệnh đình chỉ kinh doanh có liên quan hoặc đình chỉ hoạt động để chấn chỉnh, hoặc có giấy phép kinh doanh liên quan hoặc giấy phép kinh doanh bị thu hồi, và những người chịu trách nhiệm trực tiếp liên quan và những người chịu trách nhiệm trực tiếp khác sẽ bị phạt không dưới 50,000 nhân dân tệ nhưng không quá 200,000 nhân dân tệ.
Trong trường hợp tổ chức hoặc cá nhân vi phạm các quy tắc quản lý dữ liệu cốt lõi của quốc gia và gây nguy hiểm đến chủ quyền quốc gia, an ninh quốc gia hoặc lợi ích phát triển của nhà nước, bộ phận có thẩm quyền sẽ phạt tổ chức hoặc cá nhân đó không dưới 2 triệu NDT nhưng không quá RMB 10 triệu nhân dân tệ, và tùy theo tình hình có thể ra lệnh đình chỉ hoạt động kinh doanh có liên quan hoặc đình chỉ hoạt động để chấn chỉnh, hoặc thu hồi giấy phép kinh doanh liên quan hoặc giấy phép kinh doanh. Trường hợp cấu thành tội phạm thì truy cứu trách nhiệm hình sự theo quy định của pháp luật.
Điều 46 Bất kỳ ai, vi phạm các quy định tại Điều 31 của Luật này, cung cấp dữ liệu quan trọng ra nước ngoài, sẽ bị ra lệnh cải tạo và bị cảnh cáo bởi bộ phận có thẩm quyền, đồng thời có thể bị phạt tiền không dưới 100,000 NDT nhưng không hơn 1 triệu RMB nhân dân tệ, và những người chịu trách nhiệm trực tiếp và những người chịu trách nhiệm trực tiếp khác có thể bị phạt không dưới 10,000 NDT nhưng không quá 100,000 NDT. Trong trường hợp nghiêm trọng, người vi phạm sẽ bị phạt không dưới 1 triệu NDT nhưng không quá 10 triệu NDT, đồng thời có thể bị ra lệnh đình chỉ hoạt động kinh doanh liên quan hoặc đình chỉ hoạt động để chấn chỉnh, hoặc có giấy phép kinh doanh hoặc cơ sở kinh doanh có liên quan. bị thu hồi giấy phép và những người chịu trách nhiệm trực tiếp và những người chịu trách nhiệm trực tiếp khác sẽ bị phạt không dưới 100,000 NDT nhưng không quá 1 triệu NDT.
Điều 47 Trường hợp trung gian giao dịch dữ liệu không thực hiện các nghĩa vụ theo quy định tại Điều 33 của Luật này, thì sẽ bị bộ phận có thẩm quyền ra lệnh cải tạo, nếu có sẽ bị tịch thu các khoản thu lợi bất hợp pháp, nếu có sẽ bị tịch thu. nhỏ hơn nhưng không quá mười lần số tiền thu lợi bất chính; nếu không thu lợi bất hợp pháp hoặc thu lợi bất hợp pháp dưới 100,000 nhân dân tệ RMB thì sẽ bị phạt không dưới 100,000 nhân dân tệ nhưng không quá 1 triệu nhân dân tệ. Có thể đồng thời ra lệnh đình chỉ hoạt động kinh doanh có liên quan hoặc đình chỉ hoạt động để chấn chỉnh, hoặc có giấy phép kinh doanh liên quan hoặc giấy phép kinh doanh bị thu hồi. Người chịu trách nhiệm trực tiếp và những người chịu trách nhiệm trực tiếp khác sẽ bị phạt không dưới 10,000 nhân dân tệ nhưng không quá 100,000 nhân dân tệ.
Điều 48 Người nào vi phạm Điều 35 của Luật này, từ chối hợp tác khi cơ quan công quyền hoặc cơ quan an ninh quốc gia cần truy cập dữ liệu, sẽ bị cơ quan có thẩm quyền ra lệnh cải tạo, cảnh cáo, đồng thời bị phạt tiền. không dưới 50,000 nhân dân tệ nhưng cũng không quá 500,000 nhân dân tệ và những người chịu trách nhiệm trực tiếp về tội phạm và những người chịu trách nhiệm trực tiếp khác có thể bị phạt không dưới 10,000 nhân dân tệ nhưng không quá 100,000 nhân dân tệ.
Bất kỳ ai, vi phạm Điều 36 của Luật này, cung cấp dữ liệu cho cơ quan tư pháp hoặc hành pháp ở nước ngoài mà không có sự chấp thuận của các cơ quan có thẩm quyền, sẽ bị cảnh cáo bởi cơ quan có thẩm quyền và đồng thời có thể bị phạt tiền không dưới 100,000 NDT nhưng không quá 1 triệu nhân dân tệ RMB và những người chịu trách nhiệm trực tiếp và những người chịu trách nhiệm trực tiếp khác có thể bị phạt không dưới 10,000 nhân dân tệ nhưng không quá 100,000 nhân dân tệ. Nếu gây ra hậu quả nghiêm trọng, người vi phạm sẽ bị phạt tiền không dưới 1 triệu NDT nhưng không quá 5 triệu NDT, và có thể bị ra lệnh đình chỉ hoạt động kinh doanh có liên quan hoặc đình chỉ hoạt động để chấn chỉnh, hoặc phải có giấy phép kinh doanh hoặc cơ sở kinh doanh có liên quan. bị thu hồi giấy phép. Người chịu trách nhiệm trực tiếp và những người chịu trách nhiệm trực tiếp khác sẽ bị phạt không dưới 50,000 nhân dân tệ nhưng không quá 500,000 nhân dân tệ.
Điều 49 Trường hợp cơ quan nhà nước không thực hiện nghĩa vụ bảo mật dữ liệu theo quy định của Luật này thì người chịu trách nhiệm trực tiếp và người chịu trách nhiệm trực tiếp khác sẽ bị xử phạt theo quy định của pháp luật.
Điều 50 Bất kỳ nhà nước nào có chức năng thực hiện các quy định liên quan đến bảo mật dữ liệu, bỏ qua nhiệm vụ của mình, lạm dụng quyền lực hoặc tham gia vào các sơ suất vì lợi ích cá nhân, sẽ bị xử phạt theo quy định của pháp luật.
Điều 51 Bất kỳ ai lấy được dữ liệu thông qua hành vi trộm cắp hoặc bằng bất kỳ phương thức bất hợp pháp nào khác, triệt tiêu, hạn chế cạnh tranh trong xử lý dữ liệu hoặc xâm hại đến quyền và lợi ích hợp pháp của cá nhân, tổ chức sẽ bị trừng phạt theo quy định của pháp luật và quy định hành chính có liên quan.
Điều 52 Người nào vi phạm Luật này mà gây thiệt hại cho người khác thì phải chịu trách nhiệm dân sự theo quy định của pháp luật.
Trường hợp vi phạm quy định của Luật này là vi phạm quản lý công an nhân dân thì xử phạt vi phạm hành chính về công an nhân dân theo quy định của pháp luật. Trường hợp cấu thành tội phạm thì truy cứu trách nhiệm hình sự theo quy định của pháp luật.
Chương VII Các điều khoản bổ sung
Điều 53 Các quy định của Luật Bảo vệ bí mật nhà nước của Cộng hòa Nhân dân Trung Hoa và các luật và quy định hành chính khác có liên quan sẽ được áp dụng đối với việc xử lý dữ liệu liên quan đến bí mật nhà nước.
Các quy định của pháp luật và quy định hành chính có liên quan cũng phải được tuân thủ khi dữ liệu được xử lý trong công tác thống kê hoặc lưu trữ và trong quá trình xử lý dữ liệu liên quan đến thông tin cá nhân.
Điều 54 Các biện pháp bảo vệ, an toàn dữ liệu quân sự do Quân ủy Trung ương xây dựng riêng phù hợp với quy định của Luật này.
Điều 55 Luật này có hiệu lực thi hành kể từ ngày 1 tháng 2021 năm XNUMX.