Leyes y regulaciones para mejorar la seguridad de los datos.

(Aprobada en la 29.ª reunión del Comité Permanente del 13.º Congreso Nacional Popular de la APN el 65 de junio de 2021)

Contenido

Capítulo 1 Disposiciones Generales

Capítulo 2 Seguridad y Desarrollo de los Datos

Capítulo 3 Sistema de Seguridad de los Datos

Capítulo 4 Obligaciones de Protección de la Seguridad de los Datos

Capítulo 5 Seguridad y apertura de los datos gubernamentales

Capítulo 6 Responsabilidades legales

Capítulo 7 Disposiciones complementarias

Capítulo 1 Disposiciones generales

Primero

Esta ley está formulada para regular las actividades de procesamiento de datos, garantizar la seguridad de los datos, promover el desarrollo y la utilización de los datos, proteger los derechos e intereses legítimos de individuos y organizaciones, y salvaguardar la soberanía y la seguridad nacionales. e intereses de desarrollo.

Segundo

La presente Ley se aplicará a las actividades de procesamiento de datos y supervisión de la seguridad dentro del territorio de la República Popular China.

Cualquier persona que realice actividades de procesamiento de datos en la República Popular China o fuera de China y perjudique la seguridad nacional y los intereses públicos de la República Popular China y China, o los derechos e intereses legítimos de ciudadanos y organizaciones, será investigado por responsabilidad legal de conformidad con la ley.

Artículo

Los datos a que se refiere esta Ley se refieren a la información registrada electrónicamente o por otros medios.

Procesamiento de datos, incluida la recopilación, almacenamiento, uso, procesamiento, transmisión, suministro y divulgación de datos.

La seguridad de los datos se refiere a tomar las medidas necesarias para garantizar que los datos estén efectivamente protegidos y legalmente utilizados, y tengan la capacidad de garantizar una seguridad continua.

Artículo 4

Para mantener la seguridad de los datos, debemos adherirnos al concepto general de seguridad nacional, establecer y mejorar el sistema de gobernanza de la seguridad de los datos y mejorar las capacidades de garantía de la seguridad de los datos.

Artículo 5

La agencia central de liderazgo en seguridad nacional es responsable de la toma de decisiones y la coordinación del trabajo, la investigación, la formulación y la orientación de la seguridad de datos nacionales sobre la implementación de estrategias nacionales de seguridad de datos. y los principales principios y políticas relevantes, y la coordinación de Para abordar los principales problemas de seguridad de datos y el trabajo importante, establecer un mecanismo nacional de coordinación del trabajo de seguridad de datos.

Artículo 6

Cada región y departamento será responsable de los datos recopilados y generados durante el trabajo de la región y departamento y de la seguridad de sus datos.

Los departamentos competentes de industria, telecomunicaciones, transporte, finanzas, recursos naturales, salud, educación, ciencia y tecnología, etc. asumen la responsabilidad de la supervisión de la seguridad de los datos en sus propias industrias y campos.

Los organismos de seguridad pública y los organismos de seguridad nacional asumirán responsabilidades de supervisión de la seguridad de los datos dentro de sus respectivos ámbitos de funciones de conformidad con lo dispuesto en esta Ley y las leyes y reglamentos administrativos pertinentes.

El departamento nacional de ciberseguridad e informatización será responsable de coordinar la seguridad de los datos de la red y el trabajo de supervisión relacionado de conformidad con esta Ley y las leyes y reglamentos administrativos pertinentes.

Artículo 7

El Estado protege los derechos e intereses relacionados con los datos de personas y organizaciones, fomenta el uso razonable y eficaz de los datos de conformidad con la ley, garantiza el uso ordenado y libre flujo de datos de acuerdo con la ley, y promueve los datos como elemento clave del desarrollo económico digital.

Artículo 8

Para realizar actividades de procesamiento de datos, debemos cumplir con las leyes y reglamentos, respetar la moral y la ética social, cumplir con la ética empresarial y la ética profesional, ser honestos y dignos de confianza, y cumplir con las obligaciones de protección de la seguridad de los datos. Para asumir responsabilidades sociales, no debemos poner en peligro la seguridad nacional, los intereses públicos ni dañar los derechos e intereses legítimos de individuos y organizaciones.

Artículo 9

El Estado apoya la popularización del conocimiento sobre la seguridad de los datos, mejora la conciencia y el nivel de protección de la seguridad de los datos en toda la sociedad y promueve la participación de los departamentos y organizaciones industriales pertinentes. , instituciones de investigación científica, empresas e individuos en la protección de la seguridad de los datos, formando un buen entorno para que toda la sociedad mantenga la seguridad de los datos y promueva el desarrollo.

Artículo 10

Las organizaciones industriales relevantes formularán códigos de conducta de seguridad de datos y estándares grupales de acuerdo con la ley de acuerdo con sus estatutos, fortalecerán la autodisciplina de la industria y guiarán a los miembros para fortalecer protección de la seguridad de los datos y mejorar los niveles de protección de la seguridad de los datos, promover el desarrollo saludable de la industria.

Artículo 11

El Estado lleva a cabo activamente intercambios y cooperación internacionales en los campos de la gobernanza de la seguridad de los datos, el desarrollo y la utilización de los datos, participa en la formulación de reglas y estándares internacionales relacionados con los datos. seguridad y promueve la circulación libre y segura de datos transfronterizos.

Artículo 12

Cualquier individuo u organización tiene derecho a quejarse y denunciar violaciones de esta ley a las autoridades competentes pertinentes. El departamento que reciba una queja o informe deberá manejarlo con prontitud de conformidad con la ley.

Las autoridades competentes mantendrán confidencial la información relevante de los denunciantes y denunciantes, y protegerán los derechos e intereses legítimos de los denunciantes y denunciantes.

Capítulo 2 Seguridad y desarrollo de datos

Artículo 13

El estado coordina el desarrollo y la seguridad, insiste en promover la seguridad de los datos a través del desarrollo y la utilización de datos y el desarrollo industrial, Garantizar el desarrollo y utilización de datos y el desarrollo industrial con seguridad de datos.

Artículo 14

El Estado implementa la estrategia de big data, promueve la construcción de infraestructura de datos y fomenta y apoya la aplicación innovadora de datos en diversas industrias y campos.

Los gobiernos populares a nivel provincial o superior deben incorporar el desarrollo económico digital en sus planes nacionales de desarrollo económico y social y formular planes de desarrollo económico digital según sea necesario.

Artículo 15

El Estado apoya el desarrollo y utilización de datos para mejorar el nivel de inteligencia en los servicios públicos. Al proporcionar servicios públicos inteligentes, debemos tener plenamente en cuenta las necesidades de las personas mayores y discapacitadas y evitar poner obstáculos en su vida diaria.

Artículo 16

El Estado apoya el desarrollo y la utilización de datos y la investigación de tecnología de seguridad de los datos, fomenta la promoción de la tecnología y la innovación empresarial en los campos del desarrollo y la utilización de los datos y la seguridad de los datos, y cultiva y desarrolla el desarrollo y utilización de datos y productos de seguridad de datos y sistemas industriales.

Artículo 17

El Estado promueve la construcción de tecnologías de desarrollo y utilización de datos y sistemas estándar de seguridad de datos. El departamento administrativo de normalización del Consejo de Estado y los departamentos pertinentes del Consejo de Estado organizarán, de acuerdo con sus respectivas responsabilidades, la formulación y revisión oportuna de las normas pertinentes para el desarrollo y utilización de datos, tecnologías, productos y seguridad de los datos. El Estado apoya a empresas, grupos sociales e instituciones de investigación científica y educativa para que participen en la formulación de normas.

Artículo 18

El Estado promueve el desarrollo de pruebas, evaluaciones, certificaciones y otras industrias de servicios de seguridad de datos, y apoya las pruebas, evaluaciones y certificaciones de seguridad de datos y otras instituciones profesionales para llevar a cabo actividades de servicios de conformidad con la ley.

El Estado apoya a los departamentos relevantes, organizaciones industriales, empresas, instituciones educativas y de investigación científica e instituciones profesionales relevantes para cooperar en la evaluación, prevención y eliminación de riesgos de seguridad de datos.

Artículo 19

El Estado establecerá y mejorará un sistema de gestión de transacciones de datos, estandarizará el comportamiento de las transacciones de datos y cultivará un mercado de transacciones de datos.

Artículo 20

El Estado apoya a las instituciones y empresas de investigación científica y educativa para llevar a cabo educación y capacitación relacionadas con el desarrollo y la utilización de datos, la tecnología y la seguridad de los datos, y adopta varios métodos para cultivar los datos. desarrollo y utilización de tecnología y seguridad de datos a profesionales de la seguridad de datos y promoción del intercambio de talentos.

Capítulo 3 Sistema de Seguridad de Datos

Artículo 21

El Estado establece un sistema de clasificación y protección jerárquica de datos basado en la importancia de los datos en el desarrollo económico y social. y proteger los datos en la medida en que dañen la seguridad nacional, los intereses públicos o los derechos e intereses legítimos de individuos y organizaciones una vez que sean manipulados, destruidos, filtrados u obtenidos o utilizados ilegalmente. El mecanismo nacional de coordinación de seguridad de datos coordina a los departamentos pertinentes para formular catálogos de datos importantes y fortalecer la protección de datos importantes.

Los datos relacionados con la seguridad nacional, el sustento de la economía nacional, el sustento de personas importantes y los principales intereses públicos son datos básicos nacionales y están sujetos a un sistema de gestión más estricto.

Cada región y cada departamento debe determinar el catálogo específico de datos importantes en la región, departamento e industrias y campos relacionados de acuerdo con la clasificación de datos y el sistema de protección jerárquica, y llevar a cabo una protección clave para los datos enumerados. en el catálogo.

Artículo 22

El Estado establecerá un mecanismo centralizado, unificado, eficiente y autorizado de evaluación de riesgos de seguridad de datos, presentación de informes, intercambio de información, monitoreo y alerta temprana. El mecanismo nacional de coordinación de la seguridad de los datos coordina los departamentos pertinentes para fortalecer la adquisición, el análisis, el juicio y la alerta temprana de información sobre riesgos de seguridad de los datos.

Artículo 23

El Estado establecerá un mecanismo de emergencia para la seguridad de los datos. Cuando ocurre un incidente de seguridad de datos, las autoridades competentes pertinentes activarán planes de emergencia de acuerdo con la ley, tomarán las medidas de emergencia correspondientes para evitar la expansión del daño, eliminarán los riesgos de seguridad y divulgarán rápidamente a la sociedad información de alerta temprana relacionada con el público.

Artículo 24

El Estado establecerá un sistema de revisión de la seguridad de los datos para realizar una revisión de seguridad nacional de las actividades de procesamiento de datos que afecten o puedan afectar la seguridad nacional.

La decisión de revisión de seguridad tomada de conformidad con la ley es definitiva.

Artículo 25

El Estado implementa controles de exportación de acuerdo con la ley sobre datos sobre artículos controlados involucrados en la salvaguardia de la seguridad y los intereses nacionales y el cumplimiento de obligaciones internacionales.

Artículo 26

Cualquier país o región adopta prohibiciones, restricciones u otras medidas discriminatorias contra la República Popular China en términos de inversión y comercio relacionados con datos y tecnología de desarrollo y utilización de datos. Si se toman medidas similares, la República Popular China puede tomar medidas recíprocas contra el país o región según la situación real.

Capítulo 4 Obligaciones de Protección de la Seguridad de los Datos

Artículo 27

Para la realización de las actividades de tratamiento de datos se establecerán y mejorarán datos completos del proceso de acuerdo con lo establecido en leyes y regulaciones del sistema de gestión de seguridad, organizar educación y capacitación en seguridad de datos y tomar las medidas técnicas correspondientes y otras medidas necesarias para garantizar la seguridad de los datos. Cuando se utilizan redes de información como Internet para llevar a cabo actividades de procesamiento de datos, las obligaciones de protección de la seguridad de los datos antes mencionadas se cumplirán sobre la base del sistema de protección del nivel de seguridad de la red.

Los procesadores de datos importantes deben identificar a la persona responsable de la seguridad de los datos y la organización de gestión, e implementar responsabilidades de protección de la seguridad de los datos.

Artículo 28

La realización de actividades de procesamiento de datos y la investigación y desarrollo de nuevas tecnologías de datos deben conducir a la promoción del desarrollo económico y social, la mejora del bienestar de las personas y el cumplimiento de la ética social.

Artículo 29

Se debe fortalecer el monitoreo de riesgos en las actividades de procesamiento de datos. Cuando se descubren riesgos como fallas y vulnerabilidades de seguridad de los datos, se deben tomar medidas correctivas de inmediato; ocurre, se deben tomar medidas de inmediato, se debe notificar a los usuarios de manera oportuna y se deben presentar informes a las autoridades competentes pertinentes de acuerdo con las regulaciones.

Artículo 30

Los procesadores de datos importantes deberán realizar periódicamente evaluaciones de riesgos sobre sus actividades de procesamiento de datos de acuerdo con las regulaciones y presentar informes de evaluación de riesgos a las autoridades competentes pertinentes.

El informe de evaluación de riesgos debe incluir el tipo y la cantidad de datos importantes procesados, las actividades de procesamiento de datos, los riesgos de seguridad de los datos enfrentados y las contramedidas.

Artículo 31

La "Ley de Ciberseguridad de la República Popular China" se aplicará a la gestión de seguridad saliente de datos importantes recopilados y generados por operadores de infraestructura de información crítica dentro del territorio de la Reglamento de la República Popular China.

El Ministerio de Asuntos del Ciberespacio, junto con los departamentos pertinentes del Consejo de Estado, formulará medidas para la gestión de seguridad saliente de datos importantes recopilados y generados por otros procesadores de datos durante sus operaciones dentro del territorio de la República Popular China.

Artículo 32

Cualquier organización o individuo deberá recopilar datos de manera legal y adecuada, y no robará ni obtendrá datos a través de otros medios ilegales.

Si las leyes y reglamentos administrativos estipulan el propósito y el alcance de la recopilación y el uso de datos, los datos deben recopilarse y utilizarse dentro del propósito y alcance especificados por las leyes y reglamentos administrativos.

Artículo 33

Al prestar servicios, las instituciones que se dediquen a servicios de intermediación de transacciones de datos deberán exigir a los proveedores de datos que expliquen la fuente de los datos, verifiquen las identidades de ambas partes de la transacción y guarde los registros de auditoría y transacciones.

Artículo 34

Si las leyes y reglamentos administrativos estipulan que la prestación de servicios relacionados con el procesamiento de datos requiere una licencia administrativa, el proveedor del servicio deberá obtener la licencia de conformidad con la ley.

Artículo 35

Con el fin de salvaguardar la seguridad nacional o investigar delitos de conformidad con la ley, los órganos de seguridad pública y los órganos de seguridad nacional deberán, de conformidad con las normas nacionales pertinentes y mediante estrictas procedimientos de aprobación, obtener información, Las organizaciones e individuos relevantes deben cooperar.

Artículo 36

Las autoridades competentes de la República Popular de China manejarán los asuntos judiciales extranjeros de conformidad con las leyes pertinentes y los tratados y acuerdos internacionales celebrados o a los que se haya adherido la República Popular de China. , o de conformidad con el principio de igualdad y reciprocidad o solicitudes de datos a las autoridades encargadas de hacer cumplir la ley. Las organizaciones e individuos nacionales no pueden proporcionar datos almacenados en el territorio de la República Popular China a agencias judiciales o policiales extranjeras sin la aprobación de las autoridades competentes de la República Popular China.

Capítulo 5 Seguridad y apertura de los datos gubernamentales

Artículo 37

El Estado promueve vigorosamente la construcción del gobierno electrónico y mejora la cientificidad y precisión de los datos gubernamentales. precisión y puntualidad, y mejorar la capacidad de utilizar los datos al servicio del desarrollo económico y social.

Artículo 38

Los organismos estatales recopilarán y utilizarán datos para el desempeño de sus funciones estatutarias en el ámbito de sus funciones estatutarias y de conformidad con las condiciones y procedimientos establecidos en las leyes y reglamentos administrativos; La privacidad personal, la información personal, los secretos comerciales, los secretos comerciales y otra información adquirida en el desempeño de sus funciones se mantendrán confidenciales de acuerdo con la ley y no se divulgarán ni se proporcionarán ilegalmente a otros.

Artículo 39

Las agencias estatales deberán, de conformidad con las disposiciones de las leyes y reglamentos administrativos, establecer y mejorar los sistemas de gestión de seguridad de los datos, implementar responsabilidades de protección de la seguridad de los datos y garantizar la seguridad de datos del gobierno.

Artículo 40

Si una agencia estatal confía a otros la construcción y el mantenimiento de sistemas de gobierno electrónico, el almacenamiento y el procesamiento de datos gubernamentales, implementará estrictos procedimientos de aprobación y supervisará a la parte encargada para realizar correspondientes obligaciones de protección de la seguridad de los datos. La parte encargada deberá cumplir con las obligaciones de protección de la seguridad de los datos de acuerdo con las leyes, reglamentos y acuerdos contractuales, y no retendrá, utilizará, filtrará ni proporcionará datos gubernamentales a otros sin autorización.

Artículo 41

Las agencias estatales respetarán los principios de justicia, equidad y conveniencia para el pueblo y divulgarán con prontitud y precisión los datos gubernamentales de acuerdo con las regulaciones. Excepto aquellos que no sean divulgados conforme a la ley.

Artículo 42

El Estado formula un proyecto de catálogo abierto de datos gubernamentales, construye una plataforma abierta de datos gubernamentales unificada, estandarizada, interconectada, segura y controlable y promueve la utilización abierta de datos gubernamentales. .

Artículo 43

Las disposiciones de este capítulo se aplicarán a las organizaciones autorizadas por las leyes y reglamentos para gestionar asuntos públicos y realizar actividades de procesamiento de datos con el fin de cumplir funciones legales.

Capítulo 6 Responsabilidades Legales

Artículo 44

Al desempeñar las responsabilidades de supervisión de la seguridad de los datos, las autoridades competentes pertinentes podrán realizar nombramientos de conformidad con la autoridad y los procedimientos prescritos. Hable con organizaciones e individuos relevantes y exígales que tomen medidas para rectificar y eliminar peligros ocultos.

Artículo 45

Las organizaciones o personas físicas que realicen actividades de procesamiento de datos no cumplan con los requisitos de datos establecidos en los artículos 27, 29 y 30 de esta Ley, quienes tengan obligaciones de protección de la seguridad. Los departamentos competentes pertinentes le ordenarán que haga correcciones y le darán una advertencia, y también podrá recibir una multa de no menos de 50.000 yuanes pero no más de 500.000 yuanes. La persona directamente responsable a cargo y otro personal directamente responsable podrán recibir una multa de no menos de 10.000 yuanes. yuanes pero no más de 100.000 yuanes se impondrá una multa de no más de 500.000 RMB; aquellos que se nieguen a realizar correcciones o causen consecuencias graves, como la filtración de datos a gran escala, se les impondrá una multa de no menos de 500.000 RMB pero no más de RMB. 2 millones, y se le puede ordenar suspender negocios, suspender negocios para rectificación, revocar licencias comerciales relevantes o revocar licencias comerciales. Aquellos que directamente La persona responsable a cargo y otro personal directamente responsable serán multados con no menos de 50.000 yuanes pero no más. de 200.000 yuanes.

Cualquier persona que viole el sistema nacional de gestión de datos básicos y ponga en peligro la soberanía nacional, la seguridad y los intereses de desarrollo será multado con no menos de 20.000 yuanes pero no más de 100.000 yuanes por parte de las autoridades competentes pertinentes, y se le ordenará suspender negocios, suspender el negocio para su rectificación, o La licencia comercial o licencia comercial correspondiente será revocada si se constituye un delito, la responsabilidad penal se perseguirá de conformidad con la ley;

Artículo 46

Quien viole lo dispuesto en el artículo 31 de esta Ley al proporcionar datos importantes en el extranjero, será ordenado a realizar correcciones por las autoridades competentes correspondientes, advertido y podrá ser castigado con diez años. Se puede imponer una multa de no menos de 10.000 RMB pero no más de 1.000.000 RMB a la persona directamente responsable a cargo y a otro personal directamente responsable. Se puede imponer una multa de no menos de 10.000 RMB pero no más de 100.000 RMB. si las circunstancias son graves, se podrá imponer una multa de no menos de 1 millón de RMB pero no más de 10.000.000 de RMB, y se podrá ordenar la suspensión de operaciones, la suspensión de operaciones para rectificación, la revocación de licencias comerciales pertinentes o la revocación de negocios. licencias e imponer una multa de no menos de 1 millón de yuanes pero no más de 100.000 yuanes a la persona directamente responsable a cargo y a otro personal directamente responsable.

Artículo 47

Si una institución que se dedique a servicios de intermediación en transacciones de datos no cumple con sus obligaciones conforme al artículo 33 de esta Ley, las autoridades competentes correspondientes le ordenarán corregir y confiscar sus ganancias ilegales, e imponer una multa de no menos de 1 vez pero no más de 10 veces el ingreso ilegal. Si no hay ingresos ilegales o los ingresos ilegales son inferiores a 100.000 yuanes, se impondrá una multa de no menos de 100.000 yuanes pero no más de 1 millón de yuanes, y se podrá ordenar a la empresa que suspenda el negocio correspondiente, suspenda el negocio por rectificación, revocar la licencia comercial correspondiente o revocar la licencia comercial. La persona a cargo directamente responsable y otro personal directamente responsable serán multados con una multa no inferior a 10.000 RMB pero no superior a 100.000 RMB.

Artículo 48

&n