中华人民共和国数据安全法 2021

开展数据处理活动应当依照法律、法规的 规定，建立健全全流程数据安全管理制度，组织开展数据安 全教育培训，采取相应的技术措施和其他必要措施，保障数 据安全。利用互联网等信息网络开展数据处理活动，应当在 网络安全等级保护制度的基础上，履行上述数据安全保护义 务。 重要数据的处理者应当明确数据安全负责人和管理机 构，落实数据安全保护责任。

开展数据处理活动以及研究开发数据新技 术，应当有利于促进经济社会发展，增进人民福祉，符合社 会公德和伦理。

开展数据处理活动应当加强风险监测，发 现数据安全缺陷、漏洞等风险时，应当立即采取补救措施； 发生数据安全事件时，应当立即采取处置措施，按照规定及 时告知用户并向有关主管部门报告。

重要数据的处理者应当按照规定对其数据处 理活动定期开展风险评估，并向有关主管部门报送风险评估 报告。 风险评估报告应当包括处理的重要数据的种类、数量， 开展数据处理活动的情况，面临的数据安全风险及其应对措 施等。

关键信息基础设施的运营者在中华人民共 和国境内运营中收集和产生的重要数据的出境安全管理，适 用《中华人民共和国网络安全法》的规定；其他数据处理者 在中华人民共和国境内运营中收集和产生的重要数据的出境 安全管理办法，由国家网信部门会同国务院有关部门制定。

任何组织、个人收集数据，应当采取合 法、正当的方式，不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定 的，应当在法律、行政法规规定的目的和范围内收集、使用 数据。

从事数据交易中介服务的机构提供服务， 应当要求数据提供方说明数据来源，审核交易双方的身份， 并留存审核、交易记录。

法律、行政法规规定提供数据处理相关服 务应当取得行政许可的，服务提供者应当依法取得许可。

公安机关、国家安全机关因依法维护国家 安全或者侦查犯罪的需要调取数据，应当按照国家有关规 定，经过严格的批准手续，依法进行，有关组织、个人应当 予以配合。

中华人民共和国主管机关根据有关法律和 中华人民共和国缔结或者参加的国际条约、协定，或者按照 平等互惠原则，处理外国司法或者执法机构关于提供数据的 请求。非经中华人民共和国主管机关批准，境内的组织、个 人不得向外国司法或者执法机构提供存储于中华人民共和国 境内的数据。 第五章 政务数据安全与开放