《中华人民共和国数据安全法》是我国数据领域的第一部基础性法律,由第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过、自2021年9月1日起施行,现行有效,共7章55条。它管的是一切“数据处理活动”——数据的收集、存储、使用、加工、传输、提供、公开都在其中,核心是建立数据分类分级保护制度、划出重要数据和国家核心数据、给数据处理者设定全流程安全义务,并对数据出境、数据交易、国家安全审查作出安排。对做AI的团队而言,这部法是绕不开的坐标:语料采集、数据购买、清洗标注、构建训练语料库,每一步都落在“数据处理活动”里——训练数据从哪来、是不是窃取或以其他非法方式获取的、交易时有没有查来源验身份,都要按这部法来评价。数据合规负责人、AI创业者,以及处理数据非法获取与交易、爬虫、侵犯公民个人信息案件的法律人,都需要以它为基础展开工作。
- 发布机关:全国人民代表大会常务委员会
- 文号:中华人民共和国主席令第八十四号
- 公布日期:2021年6月10日
- 施行日期:2021年9月1日
- 官方原文:中国人大网
解读要点
- 数据分类分级保护是全法的制度基石(第二十一条):按数据在经济社会发展中的重要程度、以及遭篡改破坏泄露或非法获取利用后的危害程度分类分级,其中“关系国家安全、国民经济命脉、重要民生、重大公共利益”的数据属于国家核心数据、实行更严格管理,落地依据是2024年10月1日实施的国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》。
- 数据处理者的安全义务贯穿全流程(第二十七条、第二十九条、第三十条):建立健全全流程数据安全管理制度、开展教育培训、采取技术措施;发现漏洞立即补救、发生数据安全事件立即处置并告知用户、报告主管部门;重要数据的处理者还要明确安全负责人、定期开展风险评估并报送报告。
- 采集数据不得窃取或以其他非法方式获取(第三十二条),数据交易中介要“验来源、核身份、留记录”(第三十三条):这两条是AI语料采集与数据购买环节最硬的红线——违反前者可衔接非法获取计算机信息系统数据罪、侵犯公民个人信息罪,违反后者对交易中介机构可没收违法所得并处一倍以上十倍以下罚款。
- 数据出境分两条轨道、国家安全审查为最终决定(第二十四条、第三十一条):关键信息基础设施运营者收集产生的重要数据出境适用网络安全法,其他数据处理者的重要数据出境办法由网信部门制定;影响或可能影响国家安全的数据处理活动要过国家安全审查,审查决定为最终决定,可内链本站《网络安全审查办法》。
- 罚则采分层阶梯、顶格衔接刑责(第四十五条至第五十二条):一般安全义务违规处五万至五十万元罚款、严重后果处五十万至二百万元;违反国家核心数据管理制度危害国家主权安全的,处二百万至一千万元罚款,构成犯罪的追究刑事责任;违法向境外提供重要数据最高处一千万元罚款。
- 与个保法、网络数据安全管理条例形成体系(第五十三条等):数据安全法管“数据”这一整体,个人信息这一子集叠加适用《个人信息保护法》,网络数据的具体操作规则见《网络数据安全管理条例》——做数据合规要三部一起过。
法规全文
第一章 总 则
第一条 为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。
第二条 在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
条款解读:本法有域外效力。境内开展数据处理活动全部适用;即便在境外,只要损害了我国国家安全、公共利益或者公民、组织合法权益,同样依法追责。
对做出海产品、跨境调用数据、在境外部署模型的AI团队,这一条意味着“服务器在境外”不等于脱离本法——判断标准是数据处理活动与我国利益的关联,而不是机房位置。
第三条 本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
条款解读:本条给“数据”和“数据处理”下了极宽的定义——任何以电子或其他方式对信息的记录都是数据,收集、存储、使用、加工、传输、提供、公开都是数据处理。
对AI而言,爬取网页语料、买第三方数据集、清洗去重、人工标注、把语料喂进模型训练、再把处理后的数据对外提供,每一个动作都是本法意义上的“数据处理活动”,都要落到后面的安全义务和红线里。
第四条 维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
第五条 中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。
第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。
国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。
条款解读:本条是数据财产权益保护的宣示性条款,也是司法实践中法院认定“合法收集整理的数据集受法律保护”的规范依据。它与民法典第一百二十七条(法律对数据的保护有规定的依照其规定)配套,成为企业主张数据竞争性权益的法律基础。
对AI公司,这一条有正反两面:你合法投入采集、清洗、标注形成的训练语料库,受法律保护、他人不得未经许可抓取转售;反过来,你去抓别人合法持有的数据集,同样可能被诉不正当竞争。下面两个判决把这条界线讲得很清楚。
案例参考:上海隐某科技公司与北京某某堂科技公司不正当竞争纠纷案((2024)京73民终546号,北京知识产权法院)——某某堂公司投入人力物力采集、标注形成一套1505小时中文普通话语音训练数据集(含70余万条可用于AI模型训练的声音条目),以CC BY-NC-ND开源协议仅供非商业使用;隐某公司作为数据服务平台,未经许可将其中200小时子集放上自家网站,以提供下载诱导用户注册。法院认定该数据集虽已开源公开、不构成商业秘密和汇编作品,但系合法收集、投入实质性的竞争性权益,隐某公司借开源之名行不正当竞争之实,判决赔偿经济损失10万元及维权支出2300元。
判决同时厘清了语料合规的几个关键点:采集时取得被采集人书面授权、做了去标识化处理即符合收集规定;开源数据也不能随便商用,使用前要看开源协议、拿不准就联系权利人确认。这几点正是AI训练语料库从采集到复用全链条要守的规矩。
案例参考:G软件公司、G云图公司与万某公司不正当竞争纠纷案((2024)京73民终1761号,北京知识产权法院)——G两公司依托海量电子地图数据、经专利算法生成“日级拥堵延时指数”衍生数据产品对外授权收费;万某公司变换IP、伪造浏览器标识绕过技术保护措施抓取该数据,存入自家金融终端向付费用户实时提供。法院援引本法第七条确认数据集合已成为重要财产权益,认定万某公司在权利人设置Robots协议等技术措施后仍爬取并有偿提供衍生数据,违背数据领域商业道德、构成不正当竞争,维持赔偿经济损失1200万元及维权开支50万元。
本案给“爬取公开数据”划了线:数据公开不等于可任意商用,持有者设了Robots协议、访问阈值等技术措施,就表明不允许爬取;未经授权直接有偿提供他人衍生数据,是本条要防止的对数据要素市场创新机制的破坏。
第八条 开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、组织的合法权益。
第九条 国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和促进发展的良好环境。
第十条 相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第十一条 国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相关国际规则和标准的制定,促进数据跨境安全、自由流动。
第十二条 任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、举报的部门应当及时依法处理。
有关主管部门应当对投诉、举报人的相关信息予以保密,保护投诉、举报人的合法权益。
第二章 数据安全与发展
第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。
第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
第十五条 国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
第十七条 国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国务院有关部门根据各自的职责,组织制定并适时修订有关数据开发利用技术、产品和数据安全相关标准。国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十八条 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
第十九条 国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
条款解读:本条为数据交易市场提供了顶层依据,各地数据交易所、数据流通规则由此展开,也是“数据要素市场化”的法律起点。
对AI团队,训练数据越来越多来自购买——这条支撑了合规的数据买卖,但配套的第三十三条给交易中介设了硬义务(验来源、核身份、留记录),买方也要留存授权链、来源台账,否则一旦上游数据是非法获取的,买方难以自证善意。
案例参考:上海隐某科技公司与北京某某堂科技公司不正当竞争纠纷案((2024)京73民终546号,北京知识产权法院)——本案审理中,法院明确合法收集整理、具有实质量数据条目的语料集,是数据交易市场上受保护的竞争性资产,未经许可的公开传播会抑制企业采集加工新数据集的积极性、降低数据交易市场的丰富程度。
这从反面印证了培育数据交易市场的规范目的:只有让合法投入形成的数据产品得到保护、交易才有基础。做数据买卖的双方都应以书面协议约定许可范围、价格与来源,这既是行业惯例,也是各地数据交易合规指引的要求。
第二十条 国家支持教育、科研机构和企业等开展数据开发利用技术和数据安全相关教育和培训,采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
第三章 数据安全制度
第二十一条 国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
条款解读:本条是整部法的制度基石,把数据分成三个层级:一般数据、重要数据、国家核心数据。分级标准是双维度——数据的重要程度,加上遭破坏后对国家安全、公共利益或个人组织权益的危害程度。核心数据(关系国家安全、国民经济命脉、重要民生、重大公共利益)实行最严格管理,违反其管理制度的罚则高达一千万元并可追刑责(第四十五条第二款)。
落地怎么分级,看国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》(2024年10月1日实施),它给出了重要数据识别指南;“重要数据”更具体的定义见《网络数据安全管理条例》第六十二条。
实操上AI团队要做四步:
- 先对训练语料、用户数据、模型数据做分类,按行业主管部门目录识别是否含重要数据。
- 对照GB/T 43697-2024判定级别,重要数据、核心数据单独建台账、单独管控。
- 命中重要数据的,落实第二十七条第二款(明确安全负责人和管理机构)、第三十条(定期风险评估并报送)。
- 涉及数据出境的,重要数据先走出境安全评估(第三十一条),别默认“境内采集就能随便传境外”。
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第二十三条 国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。
第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
条款解读:本条确立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查,且审查决定是最终决定、不可诉。它与《网络安全审查办法》衔接——掌握大量数据的企业赴境外上市、可能影响国家安全的采购活动,都可能触发审查。
对处理海量用户数据、有出海或境外融资/上市计划的AI公司,这是上市和交易架构设计前必须评估的一道关口,触发标准要提前对照网络安全审查规则判断。
第二十五条 国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。
条款解读:本条把数据纳入出口管制的射程——属于管制物项的数据,依法实施出口管制,与《出口管制法》、《两用物项出口管制条例》相衔接。
涉及高精地图、基因、特定行业敏感技术数据的AI应用,向境外提供前要同时排查出口管制清单,不能只看数据出境安全评估这一条线。
第二十六条 任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。
第四章 数据安全保护义务
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
条款解读:本条是数据处理者安全义务的总纲:建立全流程数据安全管理制度、开展教育培训、采取技术和其他必要措施;用互联网开展数据处理的,还要在网络安全等级保护(等保)基础上履行义务。重要数据的处理者要额外明确安全负责人和管理机构。
“采取技术措施和其他必要措施”是可诉的实体义务,不是口号——不做等保、防火墙配置错误、日志不留存,都可能被认定未履行本条义务,罚则见第四十五条。下面这个网信办典型案例就是活教材。
案例参考:山东某医学检验有限公司数据泄露案(国家互联网信息办公室发布的近期网络安全、数据安全、个人信息保护相关执法典型案例)——该企业某系统开启目录浏览功能、存在目录遍历和未授权访问漏洞,未正确配置防火墙入侵防护策略,也未按规定留存网络日志,导致搜索引擎爬虫通过遍历请求爬取网站组织架构和文件、造成数据泄露。属地网信办认定其违反《网络安全法》《数据安全法》《网络数据安全管理条例》,未采取技术措施和其他必要措施保障数据安全,依法责令改正并予以警告、罚款处罚。
本案落点正是本条第一款的“技术措施和其他必要措施”:漏洞未修、防火墙未配、日志未留,就是没尽到数据安全保护义务。数据泄露即便是被爬虫“顺走”,处理者自身的安全短板也要担责。
第二十八条 开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
条款解读:本条是漏洞处置和事件报告义务。发现缺陷漏洞要立即补救,发生数据安全事件要立即处置、及时告知用户、向主管部门报告——三个动作都是法定义务,不做同样落入第四十五条的罚则。
AI产品上线前应把漏洞响应流程和数据事件应急预案写进制度,明确“发现—处置—告知—上报”的时限和责任人,避免事发后手忙脚乱、错过报告窗口。
第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。
条款解读:本条是重要数据处理者的定期风险评估和报送义务。评估报告要写清重要数据的种类数量、处理情况、面临的风险和应对措施。这与第二十七条第二款、第二十一条的分级识别形成一条完整链条——先识别出重要数据,再定期评估、报送。命中重要数据阈值的AI企业(如处理特定行业、特定规模数据的),这是一项持续性的合规动作,不是一次性备案。
第三十一条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
条款解读:本条把重要数据出境分成两条轨道:关键信息基础设施运营者(CIIO)收集产生的重要数据,出境适用《网络安全法》;其他数据处理者的重要数据出境,办法由网信部门另定(即数据出境安全评估、标准合同、认证三条路径的规则)。
对做出海、跨境部署的AI公司,重要数据出境不是“传出去”这么简单——先判断自己是不是CIIO,再判断出境数据是否含重要数据,命中的要走出境安全评估。默认“境内采集的语料随便传境外训练”是有法律风险的。
第三十二条 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
条款解读:本条是数据采集的核心红线——收集数据必须合法、正当,不得窃取或以其他非法方式获取。这是AI语料采集环节最硬的一条:绕过技术措施爬取、买来路不明的数据集、用非法手段破解权限拿数据,都踩这条线。
违反本条不只是行政责任。当采集手段侵入计算机信息系统、或获取的是公民个人信息时,会直接衔接刑法上的非法获取计算机信息系统数据罪、侵犯公民个人信息罪。下面这个判决把“非法采集数据+倒卖个人信息”的完整刑事后果讲透了。
案例参考:马某、刘某非法获取计算机信息系统数据、侵犯公民个人信息、掩饰隐瞒犯罪所得案((2024)沪0106刑初1418号,上海市静安区人民法院)——马某自行编写程序,用代理IP和接码平台绕过某公司单IP操作频次限制批量注册账号,再用从网络下载、与他人交换获得的公民个人信息批量实名认证,获得游戏账号密码11.3万余组、去重后含公民姓名身份证号6万余条;后将账号连同个人信息提供给刘某对外出售,刘某另将下载的14万余条公民个人信息提供给他人。法院认定马某构成非法获取计算机信息系统数据罪、侵犯公民个人信息罪,刘某构成掩饰隐瞒犯罪所得罪、侵犯公民个人信息罪,数罪并罚分别判处有期徒刑四年六个月、四年三个月,各并处罚金十八万元,并判令永久删除数据、公开赔礼道歉。
本案是本条红线的刑事映射:用非法手段获取数据、且涉及公民个人信息时,行政违规会升级为多个罪名并罚。法院特别指出,绕过系统频次限制、用他人信息批量实名的行为“危害计算机信息安全”、已违反国家规定——这正是本条“以其他非法方式获取数据”在刑事上的落点。
第三十三条 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
条款解读:本条给数据交易中介设了三项硬义务:要求数据提供方说明来源、审核交易双方身份、留存审核和交易记录,可概括为“验来源、核身份、留记录”。违反的罚则很重(第四十七条):没收违法所得,并处违法所得一倍以上十倍以下罚款。
数据交易平台、数据经纪机构,以及以撮合数据买卖为业务的AI数据服务商,这三项是必须内建的风控流程。对买方而言,虽然本条义务落在中介头上,但买入训练数据时同步索取来源说明、留存授权链,是自证善意、切断上游非法数据污染的关键。
第三十四条 法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
第三十五条 公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
第三十六条 中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
条款解读:本条是“数据阻断条款”——未经我国主管机关批准,境内组织和个人不得向外国司法或执法机构提供存储于境内的数据。跨国企业、有境外关联方的AI公司,面对境外监管机构、诉讼对手的数据调取请求时,不能直接交出境内数据,否则可能违反本条(罚则见第四十八条第二款,造成严重后果最高处五百万元罚款)。正确做法是走我国主管机关批准或国际司法协助渠道。
第五章 政务数据安全与开放
第三十七条 国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数据服务经济社会发展的能力。
第三十八条 国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第三十九条 国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第四十条 国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
条款解读:本条约束政务数据的委托处理。承接政府电子政务系统建设、运维的技术公司(包括为政务场景提供数据服务的AI企业)是本条的“受托方”:不得擅自留存、使用、泄露或向他人提供政务数据,且要经严格批准程序。承接政务AI项目时,数据使用边界、留存与销毁义务必须在合同里写死,超范围使用政务数据即为违约兼违法。
第四十一条 国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。
第四十二条 国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。
第四十三条 法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动,适用本章规定。
第六章 法律责任
第四十四条 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。
第四十五条 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
条款解读:本条是核心罚则,罚款分层递进:违反第二十七、二十九、三十条一般安全义务,处五万至五十万元;拒不改正或造成大量数据泄露等严重后果,处五十万至二百万元并可停业整顿、吊销执照;违反国家核心数据管理制度危害国家主权安全的,直接跳到二百万至一千万元,构成犯罪的追刑责。对直接负责的主管人员和其他直接责任人员还有单独的个人罚款。
数额阶梯说明监管逻辑:数据级别越高、后果越严重,处罚越重,核心数据违规与刑责直接挂钩。AI企业做合规预算时,应把“数据泄露—大量泄露—核心数据违规”三档风险分别算账。
案例参考:山东某医学检验有限公司数据泄露案(国家互联网信息办公室发布的执法典型案例)——该企业未采取技术措施和其他必要措施保障数据安全、涉事系统未依法留存网络日志,造成数据泄露,网信办认定其违反《网络安全法》《数据安全法》《网络数据安全管理条例》,依法责令改正并予以警告、罚款处罚。
本案是第四十五条第一款在行政执法中的落地:未尽第二十七条安全义务、造成数据泄露,即触发责令改正加警告、罚款。它也提示——数据安全的处罚多以网信办等主管部门的行政执法方式集中推进,不必等到诉讼。
第四十六条 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第四十七条 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第四十九条 国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接责任人员依法给予处分。
第五十条 履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处分。
第五十一条 窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。
条款解读:本条是转致条款——窃取或以其他非法方式获取数据、以数据处理活动排除限制竞争、损害个人组织合法权益的,依照其他法律、行政法规处罚。它把数据违法行为连接到反垄断法、反不正当竞争法、刑法等外部规范。
前面第七条项下的两个不正当竞争判决(隐某案、G软件案),走的正是本条指向的反不正当竞争法路径;而第三十二条项下的马某刘某案,走的是本条指向的刑法路径。这条是理解“数据违法后果散落在多部法里”的枢纽。
第五十二条 违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
条款解读:本条把数据违法的责任贯通为民事、行政、刑事三个层次:造成损害的担民责,构成违反治安管理的受治安处罚,构成犯罪的追刑责。数据安全法的独立罚则集中在行政层面,真正的重责往往通过本条衔接到刑法——非法获取计算机信息系统数据罪、侵犯公民个人信息罪、破坏计算机信息系统罪等,是数据滥用在司法实践中最常落入的罪名。
第七章 附 则
第五十三条 开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。
条款解读:本条厘清了数据安全法与相邻法律的分工。涉国家秘密的数据适用保密法;涉及个人信息的数据处理,在数据安全法之外还要叠加适用《个人信息保护法》。
换句话说,数据安全法管“数据”这个大集合,个人信息是其中受个保法特别保护的子集。AI训练语料里既有一般数据也有个人信息,合规要两部法一起看,网络数据的操作细则再叠加《网络数据安全管理条例》。
第五十四条 军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
第五十五条 本法自2021年9月1日起施行。
参考来源
- 《中华人民共和国数据安全法》官方全文,中国人大网
- GB/T 43697-2024《数据安全技术 数据分类分级规则》,国家标准全文公开系统(2024年10月1日实施,含重要数据识别指南)
- 《网络数据安全管理条例》,中国政府网(其第六十二条给出重要数据的定义)
- 案例检索:经过中国裁判文书网检索,共引用4个案例