网络数据安全法解读第三篇_处罚活动分为行政处罚(责令改正、警告、罚款、暂停相关业务)和 刑事追溯 两类

数据安全保护义务 第二十八条

本条旨在说明数据处理活动和新技术的前提是为人民造福：

• 数据的开发和处理是一个双刃剑，一方面能够更好地为人民 服务，一方面数据的滥用会造成资本对人民福利更大的掠夺。 在进行数据开发和处理的时候，优先要考虑社会的发展，更

第二十八条 开展数据处理活动以及研究开发数据 好地为人民服务，并且符合社会原有的道德认知。 新技术，应当有利于促进经济社会发展，增进人民 ◆ 《网络安全法》相关条款为第十八条 国家鼓励开发网络数据

安全保护和利用技术，促进公共数据资源开放，推动技术创 福祉，符合社会公德和伦理。

新和经济社会发展。国家支持创新网络安全管理方式，运用 网络新技术，提升网络安全保护水平。

数据安全保护义务 第二十九条

本条旨在说明所有的数据处理活动都需要加强风险管理：

• 和22条国家层面的风险管理要求不同，这条主要是讲一般个 人、企业、组织、单位的数据处理活动要进行风险管理。
• 个人、企业、组织、单位的数据处理活动的风险要能够有自

第二十九条 开展数据处理活动应当加强风险监测， 我发现的能力，安全厂商、服务商及软件开发商在提供产品、 发现数据安全缺陷、漏洞等风险时，应当立即采取 服务中能够及时对自己产品中所产生有关危害数据安全行为

的漏洞及时进行通告，并采取补救措施。工信部在《网络安 补救措施；发生数据安全事件时，应当立即采取处

全漏洞管理规定》 （征求意见稿）中明确了漏洞责任方应在 置措施，按照规定及时告知用户并向有关主管部门 限定时间内对漏洞进行修复。

报告。 ◆ 类似的相关法律条款为《网络安全法》五十四到五十六条，

说明了风险监测预警与应急处置的各项要求。

• 依据数据所有者类型的不同，主管部门也不一样。发生数据 安全事件时按照第六条要求对主管部门进行报告。

数据安全保护义务 第三十条

第三十条 重要数据的处理者应当按照规定对其数 据处理活动定期开展风险评估，并向有关主管部门 报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数 量，开展数据处理活动的情况，面临的数据安全风 险及其应对措施等。
本条旨在说明重要数据应该有加强的风险评估活动：

• 结合21条，重要数据目录来自国家数据安全工作协调机制统 筹协调有关部门制定。一般都和国家安全、关键基础设施相 关。
• 目前国内没有对数据进行风险评估和管理的标准，国际上的 《ISO 31000：2018风险管理指南》和国内《GB T 31509 - 2015 信息安全技术 信息安全风险评估实施指南》可以借鉴 指导。
• 根据以上标准要求，数据所有者应定期，通常为每年至少一 次，或者当组织发生重大变更时进行风险评估， 风险评估活 动以自评估为主，风险评估结果及时向上级主管机构上报。 同时，通过风险评估制定风险控制措施，并在指定的时间完 成风险控制，降低风险。

数据安全保护义务 第三十一条

第三十一条 关键信息基础设施的运营者在中华人 民共和国境内运营中收集和产生的重要数据的出境 安全管理，适用《中华人民共和国网络安全法》的 规定；其他数据处理者在中华人民共和国境内运营 中收集和产生的重要数据的出境安全管理办法，由 国家网信部门会同国务院有关部门制定。
本条旨在说明数据出境的安全管理：

• 对于重要数据的出境管理。由《中华人民共和国网络安全法》相关 规定进行处理，相关条款如下：

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营 中收集和产生的个人信息和重要数据应当在境内存储。因业务需要， 确需向境外提供的，应当按照国家网信部门会同国务院有关部门制 定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

• 另外，《个人信息和重要数据出境安全评估办法》相关规定， （一） 含有或累计含有 50 万人以上的个人信息； （二）数据量超过 1000GB； （三）包含核设施、化学生物、国防军工、人口健康等 领域数据，大型工程活动、海洋环境以及敏感地理信息数据等； （四）包含关键信息基础设施的系统
• 漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者 向境外提供个人信息和重要数据；（六）其他可能影响国家安全和 社会公共利益的数据离境必须经过国家网信部门评估
• 其他的非重要数据的处境安全，则在后期由网信部和其他部门出台 相关数据管理办法。

数据安全保护义务 第三十一条

第三十一条 关键信息基础设施的运营者在中华人 民共和国境内运营中收集和产生的重要数据的出境 安全管理，适用《中华人民共和国网络安全法》的 规定；其他数据处理者在中华人民共和国境内运营 中收集和产生的重要数据的出境安全管理办法，由 国家网信部门会同国务院有关部门制定。
本条旨在说明数据出境的安全管理：

• 对于重要数据的出境管理。由《中华人民共和国网络安全法》相关规定进行处 理，相关条款如下：

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和 产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的， 应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、 行政法规另有规定的，依照其规定。

• 另外，《个人信息和重要数据出境安全评估办法》相关规定， （一）含有或 累计含有 50 万人以上的个人信息； （二）数据量超过 1000GB； （三）包 含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋 环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安 全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息 和重要数据；（六）其他可能影响国家安全和社会公共利益的数据离境必须经 过国家网信部门评估
• 存在以下情况之一的，数据不得出境：（一）个人信息出境未经个人信息主体 同意，或可能侵害个人利益；（二）数据出境给国家政治、经济、科技、国防 等安全带来风险，可能影响国家安全、损害社会公共利益；（三）其他经国家 网信部门、公安部门、安全部门等有关部门认定不能出境的
• 其他的非重要数据的处境安全，则在后期由网信部和其他部门出台相关数据管 理办法。

数据安全保护义务 第三十二条

第三十二条 任何组织、个人收集数据，应当采取 合法、正当的方式，不得窃取或者以其他非法方式 获取数据。 法律、行政法规对收集、使用数据的目的、范围有 规定的，应当在法律、行政法规规定的目的和范围 内收集、使用数据。
本条旨在说明数据收集不允许用非法方式进行收集和使用：

• 该条说明数据可以使用合法的方式进行收集，同时使 用的时候也必须合法。
• 《数据安全管理办法（征求意见稿）》公开征求意见 的通知。征求意见稿”对数据收集和使用提出了要求， 其分总则、数据收集、数据处理使用、数据安全监督 管理、附则五章，共包含四十条规定。“征求意见稿” 在个人信息收集、爬虫抓取、广告精准推送、APP过 度索取权限、账户注销难等经常涉及隐私的问题上均 做出了明确规定。
• 《网络安全法》 第 4 章第四十一条第二款中规定 “在网络运营者不得收集与其提供的服务无关的个人 信息，不得违反法律、行政法规的规定和双方的约定 收集、使用个人信息，并应当依照法律、行政法规的 规定和与用户的约定，处理其保存的个人信息。

数据安全保护义务 第三十三条

本条旨在说明征信行业数据必须可溯源，可审计：

• 数据提供方在收集数据时，必须有合法的来源，欧洲GDPR对此有明确要求，可 以借鉴：
• 1、处理是基于“同意”时，则数据控制者应能够证明数据主体已同意其对个人

第三十三条 从事数据交易中介服务的机构提供服 数据进行处理。

务，应当要求数据提供方说明数据来源，审核交易 ◆ 2、如果数据主体是通过书面声明的方式表示同意，且该声明还涉及到其他事项，

对“同意”的请求应以与其他事项明确区别、清晰且方便获取的形式，用清晰且 双方的身份，并留存审核、交易记录 简明的语言呈现。该声明中任何构成违反本条例的部分应不具有约束力。

• 3、数据主体有权随时撤回其“同意”。“同意”的撤回不影响撤回前基于“同 意”进行的数据处理的合法性。在做出“同意”之前，数据主体应被告知前述权 利。撤回“同意”和做出同意应一样容易。
• 4、当评估“同意”是否是自由做出时，应尽最大可能考量，包括但不限于，合 同的履行，服务的提供，依赖于对履行合同非必要的个人数据处理的“同意”。
• 另外，企业为了获得通知和明确的“同意”，必须至少通知数据主体数据控制者 的身份、将处理的数据类型、如何使用以及处理操作的目的，以防“功能潜变” 。 还必须告知数据主体他/她是否有权随时撤回“同意”。退出必须像给予“同意” 一样容易。在相关情况下，数据管制者还必须告知数据的使用情况，以便对由于 缺乏充分性决策或其他适当保障而可能存在的数据传输风险进行自动决策。

数据安全保护义务 第三十四条

本条旨在说明数据处理服务必须有相关牌照：

• 数据交易组织应由国家有关部门授权许可之后方可实施数据交易活动， 授权许可根据国家认证认可条例由有关责任部门依法授予
• 数据处理服务例如征信行业，对于个人数据服务应该获取个人征信牌

第三十四条 法律、行政法规规定提供数据处理相

照，对于企业数据应该获取企业征信牌照。 关服务应当取得行政许可的，服务提供者应当依法

取得许可。

数据安全保护义务 第三十五条

本条旨在说明国家暴力机关可以授权获取各类数据：

• 国家暴力机关可以在适当的时候，授权获取各类数据。所有组织和个 人都不允许阻扰和干扰。
• 相关的法律条例，

第三十五条 公安机关、国家安全机关因依法维护

《网络安全法》第二十八条 网络运营者应当为公安机关、国家安全机

国家安全或者侦查犯罪的需要调取数据，应当按照 关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。 国家有关规定，经过严格的批准手续，依法进行， 《网络安全法》第三十条 网信部门和有关部门在履行网络安全保护职

有关组织、个人应当予以配合 责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

数据安全保护义务 第三十六条

本条旨在说明国内数据不允许在国家未授权的情况下提供给外国暴力机关：

• 国家暴力机关可以在适当的时候，授权获取各类数据。所有组织和个 人都不允许阻扰和干扰。
• 该条法律不是特指重要数据以上级别的数据，而是国内存储的所有数

第三十六条 中华人民共和国主管机关根据有关法

据。

律和中华人民共和国缔结或者参加的国际条约、协 ◆ 以此相似的法律条文如下，但是数据安全法的违法范围不仅仅是关基 定，或者按照平等互惠原则，处理外国司法或者执 部门的数据，而是存储在国内的所有数据，这点非常重要。

法机构关于提供数据的请求。非经中华人民共和国 《网络安全法》第三十七条 关键信息基础设施的运营者在中华人民共

和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。 主管机关批准，境内的组织、个人不得向外国司法

因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院 或者执法机构提供存储于中华人民共和国境内的数 有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依

据。 照其规定。

第三十七条

本条旨在说明未来将大力推行智慧电子政务服务，更好地为民众造福：

• 电子政务外网和内网都会更加注重“数据化”、“智能化”、对各委 办局上传的数据的要求会更加精细，“准确性”、“时效性”将会作 为评估数据质量的手段，减少以前由于各委办局互相推诿上传数据的

第三十七条 国家大力推进电子政务建设，提高政

情况。 务数据的科学性、准确性、时效性，提升运用数据 ◆ 智慧城市和数字化城市的建设会更加依赖实时的政务数据，对于政务

服务经济社会发展的能力 数据的安全保护也会提升到一个新的层次。两者相辅相成，更好地为

经济社会的发展赋能。

第三十八条

本条旨在说明国家机关会对数据进行合理使用，并进行保密：

• 目前国内电子政务系统已经建成基于政务数据的服务系统，并部署到 各机关和社区。
• 政务数据的保护一直都是政务系统的重中之重，重要数据保存在政务

第三十八条 国家机关为履行法定职责的需要收集、

内网，不会上传至政务外网。政务外网的个人隐私、个人信息、商业 使用数据，应当在其履行法定职责的范围内依照法 秘密、保密商务信息数据无法被非授权访问行为所获取。同时该条法

律、行政法规规定的条件和程序进行；对在履行职 律背书保证这些数据不会进行外泄。 责中知悉的个人隐私、个人信息、商业秘密、保密

商务信息等数据应当依法予以保密，不得泄露或者

非法向他人提供。

政务数据安全与开放 第三十九条

本条旨在说明如何保障政务数据安全：

• 本条说明各国家机关应该在已有的法律、行政法规的基础下，健全完 善自身的数据安全管理制度。
• 应该建立内部的数据保护决策、管理和执行组织，履行和落实各级数

第三十九条 国家机关应当依照法律、行政法规的

据保护责任，政务数据的保护是重中之重。 规定，建立健全数据安全管理制度，落实数据安全

保护责任，保障政务数据安全。

政务数据安全与开放 第四十条

本条旨在说明电子政务数据的保存方责任：

• 目前全国各省市的电子政务保存服务方有三大类：一是政府专门成立 的大数据管理局；二是政府的电子政务中心或者信息中心；三是政府 的三产公司或者与社会力量合办的专业公司，例如珠海横琴政府下属

第四十条 国家机关委托他人建设、维护电子政务

的大横琴科技、广东省政府和腾讯合办的数字广东、广西政府和阿里 系统，存储、加工政务数据，应当经过严格的批准 合办的云宝宝等。

程序，并应当监督受托方履行相应的数据安全保护 ◆ 政务数据大部分为保密数据，存储、加工和使用必须在严格的管控下 义务。受托方应当依照法律、法规的规定和合同约 进行，监管机构一般是当地网信办和保密办。

• 对于政府系统的开发和维护，结合《网络安全审查管理办法》第二条

定履行数据安全保护义务，不得擅自留存、使用、

规定“关键信息基础设施运营者（以下简称运营者）采购网络产品和 泄露或者向他人提供政务数据。 服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审

查“。建设方的选择、实施、管理、验收、交付等活动应在《网络安

全审查管理办法》的指导下完成相关活动；同时受托方应通过保密协

议等法律文案约定保密范围、时间、方式以及责任追溯手段。

政务数据安全与开放 第四十一条

本条旨在说明电子政务数据的公示原则：

• 政务数据公开指的是两个层面：

-政务数据的统计和报告可以向公众公示。政府在收集和发布信息时，

应遵守有关法律，保证信息收集过程的正当性，信息内容的准确性， 第四十一条 国家机关应当遵循公正、公平、便民

获取公众的信任。 的原则，按照规定及时、准确地公开政务数据。依 -政务数据在国家机关中进行公开，以便通过信息技术连接政府各部

法不予公开的除外。 门，建立电子化的单一窗口，以全天候快速服务，尽可能给公众提供

政府服务的通道。

• 重要数据原则上还在政务内网，属于保密数据。不允许非授权向公众 或者国家机关进行公开。

政务数据安全与开放 第四十二条

本条旨在说明电子政务开放的前提：

• 政务数据在政府机关进行开放共享，前提是对政务数据分级分类。并 对不同委办局的数据格式提出要求。确保元数据统一，能够汇集到 SOA总线或者数据湖上。能够对不同来源的数据进行清洗、处理和统

第四十二条 国家制定政务数据开放目录，构建统

一格式的存储。以便更好地使用政务数据。 一规范、互联互通、安全可控的政务数据开放平台， ◆ 政务数据一体化是建立在具备数据安全保障能力的基础和前提下，实

推动政务数据开放利用 现打通最后一公里的综合化政务服务平台，并通过可开放性政府数据

实现数据化服务体系。

政务数据安全与开放 第四十三条

本条旨在说明电子政务其他使用单位一样受本章约束：

• 其他的使用政务数据的银行、酒店、宾馆、网吧、各社会组织等同样 适用与本章规定。

第四十三条 法律、法规授权的具有管理公共事务 职能的组织为履行法定职责开展数据处理活动，适 用本章规定。

法律责任 第四十四条

本条旨在说明数据处理风险的整改：

• 主管部门应组织相关监管或者设计团队，制定监管计划，定期履行数 据安全检查活动，并对存在数据风险的组织、个人进行约谈，依法要 求其限期进行相关整改活动，并在整改完成后履行跟踪检查，确认其

第四十四条 有关主管部门在履行数据安全监管职

满足控制要求。 责中，发现数据处理活动存在较大安全风险的，可

以按照规定的权限和程序对有关组织、个人进行约

谈，并要求有关组织、个人采取措施进行整改，消

除隐患。

法律责任第四十五条

第四十五条 开展数据处理活动的组织、个人不履行本法第二 本条旨在说明未履行数据保护的追责： 十七条、第二十九条、第三十条规定的数据安全保护义务的， ◆ 处罚活动分为行政处罚（责令改正、警告、罚款、暂停相关业 由有关主管部门责令改正，给予警告，可以并处五万元以上五 务、停业整顿、吊销许可及执照等活动）和刑事追溯两类。 十万元以下罚款，对直接负责的主管人员和其他直接责任人员 处罚主体为：直接负责的主管人员、直接责任人员

可以处一万元以上十万元以下罚款；拒不改正或者造成大量数 ◆ 处罚强度： 据泄露等严重后果的，处五十万元以上二百万元以下罚款，并 ➢ 未履行保护义务： 五万元以上五十万元以下罚款，对直接负责

的主管人员和其他直接责任人员可以处一万元以上十万元以下 可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者

➢ 拒不改正或造成严重后果： 处五十万元以上二百万元以下罚款;

吊销营业执照，对直接负责的主管人员和其他直接责任人员处

对直接负责的主管人员和其他直接责任人员处五万元以上二十 五万元以上二十万元以下罚款。 万元以下罚款

违反国家核心数据管理制度，危害国家主权、安全和发展利益 ➢ 违反国家核心数据管理制度，危害国家主权、安全和发展利益： 的，由有关主管部门处二百万元以上一千万元以下罚款，并根 处二百万元以上一千万元以下罚款 据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或 ➢ 构成犯罪行为：刑事责任参照《刑法》 二百八十四、二百八十 者吊销营业执照；构成犯罪的，依法追究刑事责任 五及二百八十六相关规定，同时在刑法修正案七、 九、 十一做

出更新规定

法律责任 第四十六条

第四十六条 违反本法第三十一条规定，向境外提供重要数据 的，由有关主管部门责令改正，给予警告，可以并处十万元以 上一百万元以下罚款，对直接负责的主管人员和其他直接责任 人员可以处一万元以上十万元以下罚款；情节严重的，处一百 万元以上一千万元以下罚款，并可以责令暂停相关业务、停业 整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的 主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

本条指出对境外提供重要数据的后果：

• 对境外提供重要数据的个人或者组织进行罚款或者吊销执照。
• 对于跨境电子商务、金融业务要特别小心，国外进行数据审计 时，不可避免会泄露重要数据。目前主流做法有三种：一是私 企可以购买中介服务，重要数据及隐私数据由中介进行保存， 比如谷歌。第二种是数据放回到国内，仅做中国人生意，比如 各大国内银行。第三种是国内数据和国外数据进行切割。
• 另外据《个人信息和重要数据出境安全评估办法》 第九条， 第 十一条规定国家 7 类重要领域数据及国家重要数据定义。 处罚主体：直接负责主管人员和直接责任人员； 处罚手段：罚款、责令暂停相关业务、停业整顿、吊销相关业 务许可证或者吊销营业执照

法律责任 第四十七条

第四十七条 从事数据交易中介服务的机构未履行本法第三十 三条规定的义务的，由有关主管部门责令改正，没收违法所得， 处违法所得一倍以上十倍以下罚款，没有违法所得或者违法所 得不足十万元的，处十万元以上一百万元以下罚款，并可以责 令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营 业执照；对直接负责的主管人员和其他直接责任人员处一万元 以上十万元以下罚款。

本条指出数据征信行业机构未合法获取数据的后果：

• 本条针对数据交易活动建立相关责任规定；首先数据交易活动 应该为授权许可的合法机构；其次，数据交易服务方应履行数 据来源合法证明以及确保数据安全性和可靠性的前提下开展数 据交易服务。

法律责任 第四十八条

第四十八条 违反本法第三十五条规定，拒不配合数据调取的， 由有关主管部门责令改正，给予警告，并处五万元以上五十万 元以下罚款，对直接负责的主管人员和其他直接责任人员处一 万元以上十万元以下罚款。 违反本法第三十六条规定，未经主管机关批准向外国司法或者 执法机构提供数据的，由有关主管部门给予警告，可以并处十 万元以上一百万元以下罚款，对直接负责的主管人员和其他直 接责任人员可以处一万元以上十万元以下罚款；造成严重后果 的，处一百万元以上五百万元以下罚款，并可以责令暂停相关 业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对 直接负责的主管人员和其他直接责任人员处五万元以上五十万 元以下罚款。

本条指出如何配合国家暴力机关调取数据的后果：

• 国家执法机关在维护国家安全、社会秩序、公共安全、公民法 人合法权益过程中依法依规向数据托管方或数据持有人提取数 据的行为受到法律保护，当事人应在核验必要手续后依法配合， 拒不配合的由本条款第一款规定办理。
• 对于外国暴力机关的调取数据要求，必须要先由主管机关同意 审批以后才允许提供。

法律责任 第四十九条

本条指出未对数据安全进行保护的国家机关责任人的后果：

• 国家机关数据责任人不履行数据安全保护义务的由其上级机关 或有关机关责令整改，同时应追究负责的主管人员和其他直接 责任人员的责任。由任免机构或监察机关安全管理权限，根据 违法行为的性制、情节及危害程度，决定给予行政处分或处罚。

第四十九条 国家机关不履行本法规定的数据安全保护义务的， 对直接负责的主管人员和其他直接责任人员依法给予处分。

法律责任 第五十条

本条指出未对数据安全进行有效监管的后果：

• 国家机关数据责任人不履行数据安全保护义务的由其上级机关 或有关机关责令整改，同时应追究负责的主管人员和其他直接 责任人员的责任。由任免机构或监察机关安全管理权限，根据 违法行为的性制、情节及危害程度，决定给予行政处分或处罚。

第五十条 履行数据安全监管职责的国家工作人员玩忽职守、 ◆ 本法针对第三十八条中履行数据安全监管职责的相关部门渎职

行为的处罚规定。 滥用职权、徇私舞弊的，依法给予处分。

责任主体：承担数据安全监管职责的国家工作人员 行为约定：“玩忽职守”严重不负责任，不履行或不认真履行 职责；“滥用职权”超越职权，违法决定、处理其无权决定、

处理的事项；“徇私舞弊”为了私情或牟取私利，玩忽职守、 滥用职权的行为。 处分：不构成犯罪的，由任免机构或监察机关安全管理权限， 根据违法行为的性制、情节及危害程度，决定给予行政处分或 处罚；构成犯罪，根据相关法律法规由检察机关依法提请诉讼。

法律责任 第五十一条

本条指出扰乱正当数据处理的后果：

• 窃取或非法方式获取数据行为：适用《刑法》 二百八十五条第 二款相关规定数据活动排除、限制竞争：适用《反不正当竞争 法》
• 损害个人、组织合法权益： 适用《民法典》

第五十一条 窃取或者以其他非法方式获取数据，开展数据处 理活动排除、限制竞争，或者损害个人、组织合法权益的，依 照有关法律、行政法规的规定处罚。

法律责任 第五十二条

本条指出给他人造成损害的后果：

• 《民法典》 在第六章 隐私权和个人信息保护中所描述的有关个 人隐私侵权责任，本法有关民事责任可参考相关条款形成裁判。
• 本法与民法典、治安管理处罚法、刑法构成衔接。

第五十二条 违反本法规定，给他人造成损害的，依法承担民 事责任。 违反本法规定，构成违反治安管理行为的，依法给予治安管理 处罚；构成犯罪的，依法追究刑事责任。

附则 第五十四条

本条指出国家秘密数据的执行守则：

• 涉及国家秘密的数据处理，和本法无关，由《中华人民共和国 保守国家秘密法》的规定进行执行。
• 统计、档案工作有关涉及个人信息数据处理除适用本法，还需 要遵循《民法典》、《网络安全法》、《刑法》、《个人信息

第五十三条 开展涉及国家秘密的数据处理活动，适用《中华 保护条例》等相关立法规范。 人民共和国保守国家秘密法》等法律、行政法规的规定。

在统计、档案工作中开展数据处理活动，开展涉及个人信息的

数据处理活动，还应当遵守有关法律、行政法规的规定

本条指出军事数据安全保护不属于本法管辖：

• 军事数据和本法无关，由军事委员会另外制定相关军事法律。

第五十四条 军事数据安全保护的办法，由中央军事委员会依 据本法另行制定。

第五十五条

本条指出执行时间：

第五十五条 本法自 2021 年 9 月 1 日起施行。

参考资料

2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南