Undang-undang Keselamatan Data Republik Rakyat China
(Diterima pada Mesyuarat Jawatankuasa Tetap Kongres Rakyat Kebangsaan Ketiga Belas ke-29 pada 10 Jun 2021)
Bab I Peruntukan Am
Perkara 1 Undang-undang ini digubal untuk tujuan mengawal selia pemprosesan data, memastikan keselamatan data, menggalakkan pembangunan dan penggunaan data, melindungi hak dan kepentingan sah individu dan organisasi, dan menjaga kedaulatan, keselamatan, dan kepentingan pembangunan negara.
Perkara 2 Undang-undang ini hendaklah terpakai kepada aktiviti pemprosesan data dan penyeliaan keselamatan serta pengawalseliaan aktiviti tersebut di dalam wilayah Republik Rakyat China.
Apabila pemprosesan data di luar wilayah Republik Rakyat China memudaratkan keselamatan negara, kepentingan awam, atau hak dan kepentingan sah individu atau organisasi Republik Rakyat China, liabiliti undang-undang hendaklah disiasat mengikut undang-undang.
Perkara 3 Bagi tujuan Undang-undang ini, istilah “data” merujuk kepada sebarang rekod maklumat dalam bentuk elektronik atau apa-apa bentuk lain.
"Pemprosesan data" termasuk pengumpulan, penyimpanan, penggunaan, pemprosesan, penghantaran, penyediaan dan pendedahan data, antara lain.
“Keselamatan data” merujuk kepada memastikan bahawa data dilindungi dengan berkesan dan digunakan secara sah melalui penggunaan langkah-langkah yang perlu, dan memiliki keupayaan untuk menjamin keselamatan data yang berterusan.
Perkara 4 Dalam memelihara keselamatan data, pendekatan holistik terhadap keselamatan negara hendaklah diguna pakai, sistem tadbir urus keselamatan data yang kukuh hendaklah diwujudkan, dan keupayaan keselamatan dan perlindungan data hendaklah dipertingkatkan.
Perkara 5 Pihak berkuasa peneraju pusat untuk keselamatan negara hendaklah bertanggungjawab untuk membuat keputusan, perbincangan dan penyelarasan kerja keselamatan data negara; menyelidik, merumus dan membimbing pelaksanaan strategi keselamatan data negara dan garis panduan dan dasar utama yang berkaitan; menyelaraskan perkara-perkara utama dan kerja-kerja penting berkenaan dengan keselamatan data negara; dan mewujudkan mekanisme penyelarasan untuk keselamatan data negara.
Perkara 6 Semua kawasan dan jabatan hendaklah bertanggungjawab ke atas pengurusan data yang dikumpul atau dijana dalam kerja mereka serta untuk keselamatan datanya.
Jabatan industri yang berwibawa, telekomunikasi, pengangkutan, kewangan, sumber asli, kesihatan, pendidikan, teknologi dan jabatan kompeten lain yang berkaitan hendaklah memikul tanggungjawab menyelia dan mengawal selia keselamatan data dalam perdagangan dan sektor masing-masing.
Organ keselamatan awam dan organ keselamatan negara, dsb. hendaklah memikul tanggungjawab menyelia dan mengawal selia keselamatan data dalam skop tugas masing-masing mengikut peruntukan Undang-undang ini dan undang-undang lain serta peraturan pentadbiran.
Jabatan hal ehwal ruang siber negara hendaklah bertanggungjawab ke atas perancangan dan penyelarasan keseluruhan keselamatan data rangkaian dan penyeliaan dan peraturan berkaitan selaras dengan peruntukan Undang-undang ini dan undang-undang dan peraturan pentadbiran lain yang berkaitan.
Perkara 7 Negara hendaklah melindungi hak dan kepentingan berkaitan data individu dan organisasi, menggalakkan penggunaan data yang sah, munasabah dan berkesan, memastikan pengaliran bebas data dalam cara yang teratur dan mengikut undang-undang, dan menggalakkan pembangunan ekonomi digital dengan data sebagai faktor utama.
Perkara 8 Sesiapa yang memproses data hendaklah mematuhi undang-undang dan peraturan, menghormati moral dan etika sosial, mematuhi etika perniagaan dan profesional, menegakkan kejujuran dan kebolehpercayaan, memenuhi kewajipan perlindungan keselamatan data, dan melaksanakan tanggungjawab sosial; dan tidak boleh membahayakan keselamatan negara dan kepentingan awam, mahupun membahayakan hak dan kepentingan sah individu dan organisasi.
Perkara 9 Negara menyokong penyebaran dan mempopularkan pengetahuan tentang keselamatan data untuk meningkatkan kesedaran awam dalam hal ini dan keupayaan untuk melindungi keselamatan data, dan menggalakkan penyertaan bersama oleh jabatan yang berkaitan, organisasi industri, institusi penyelidikan, perusahaan, dan individu dalam keselamatan data perlindungan, untuk mewujudkan persekitaran yang baik untuk ahli seluruh masyarakat untuk bersama-sama melindungi data, memastikan keselamatan data dan menggalakkan pembangunan industri yang berkaitan.
Perkara 10 Persatuan industri yang berkaitan hendaklah, mengikut artikel persatuan mereka, merumuskan kod tingkah laku dan piawaian untuk memastikan keselamatan data mengikut undang-undang, mengukuhkan peraturan kendiri dalam industri masing-masing, membimbing ahli untuk mengukuhkan perlindungan keselamatan data, meningkatkan mereka tahap perlindungan dan menggalakkan pembangunan industri yang sihat.
Perkara 11 Negara hendaklah secara aktif menjalankan pertukaran antarabangsa dan kerjasama dalam bidang seperti tadbir urus keselamatan data dan pembangunan dan penggunaan data, mengambil bahagian dalam penggubalan peraturan dan piawaian antarabangsa yang berkaitan untuk keselamatan data, dan menggalakkan pengaliran data yang selamat dan bebas merentas sempadan. .
Perkara 12 Mana-mana individu atau organisasi berhak untuk memfailkan aduan mengenai atau melaporkan pelanggaran Undang-undang ini kepada jabatan yang berwibawa. Jabatan yang menerima aduan atau laporan sedemikian hendaklah menanganinya tepat pada masanya mengikut undang-undang.
Jabatan yang berwibawa hendaklah merahsiakan maklumat berkaitan mereka yang membuat aduan atau laporan sedemikian, dan melindungi hak dan kepentingan mereka yang sah.
Bab II Keselamatan dan Pembangunan Data
Perkara 13 Negara hendaklah membuat rancangan keseluruhan untuk menyelaraskan pembangunan dan keselamatan, untuk menggalakkan keselamatan data melalui pembangunan dan penggunaan data dan melalui pembangunan perindustrian di satu pihak, dan di sisi lain, untuk memastikan keselamatan data memudahkan pembangunan dan penggunaan data juga. sebagai pembangunan perindustrian.
Perkara 14 Negara hendaklah melaksanakan strategi data besar, memajukan pembinaan infrastruktur data, dan menggalakkan serta menyokong aplikasi data yang inovatif dalam semua industri dan bidang.
Kerajaan rakyat di atau di atas peringkat wilayah hendaklah memasukkan pembangunan ekonomi digital ke dalam rancangan pembangunan ekonomi dan sosial negara mereka, dan merangka rancangan pembangunan untuk ekonomi digital mengikut keperluan.
Perkara 15 Negara menyokong pembangunan dan penggunaan data untuk menjadikan perkhidmatan awam lebih bijak. Dalam menyediakan perkhidmatan awam yang lebih bijak, keperluan warga emas dan OKU hendaklah diambil kira sepenuhnya bagi mengelak daripada menjadi halangan kepada kehidupan seharian mereka.
Perkara 16 Negara menyokong penyelidikan mengenai pembangunan dan penggunaan data dan teknologi berkaitan keselamatan data, menggalakkan pempopularan dan inovasi komersial teknologi dalam bidang terdahulu, dan memupuk dan membangunkan produk dan sistem perindustrian untuk pembangunan dan penggunaan data dan untuk keselamatan data.
Perkara 17 Negara hendaklah memajukan pembentukan piawaian untuk pembangunan data dan piawaian untuk teknologi penggunaan data dan keselamatan data. Jabatan yang bertanggungjawab dalam penyeragaman di bawah Majlis Negeri dan jabatan lain yang berkaitan di bawah Majlis Negeri hendaklah, dalam skop tugas dan fungsi masing-masing, mengatur penubuhan, dan membuat semakan pada masa yang sesuai kepada piawaian untuk teknologi dan produk untuk data. pembangunan dan penggunaan data dan piawaian untuk keselamatan data. Negara hendaklah menyokong perusahaan, kumpulan sosial, dan institusi pendidikan atau penyelidikan, dsb. dalam penyertaan mereka dalam penubuhan piawaian tersebut.
Perkara 18 Negara menggalakkan pembangunan perkhidmatan seperti ujian keselamatan data, penilaian dan akreditasi, dan menyokong agensi khusus dalam ujian keselamatan data, penilaian, akreditasi, dll untuk menyediakan perkhidmatan mengikut undang-undang.
Kerajaan negeri menyokong kerjasama antara jabatan yang berkaitan, persatuan industri, perusahaan, institusi pendidikan dan penyelidikan, agensi khusus yang berkaitan, dsb. dalam bidang seperti penilaian risiko berkaitan keselamatan data, pencegahan dan pelupusan .
Perkara 19 Negara hendaklah mewujudkan sistem yang kukuh untuk pengurusan perdagangan data, menyeragamkan aktiviti perdagangan data, dan memupuk pasaran perdagangan data.
Perkara 20 Negara menyokong institusi pendidikan dan penyelidikan, perusahaan, dan entiti lain dalam melaksanakan pendidikan dan latihan mengenai teknologi untuk pembangunan dan penggunaan data dan keselamatan data, memupuk profesional dalam pembangunan dan teknologi penggunaan data dan dalam keselamatan data dengan pelbagai cara, dan menggalakkan pertukaran bakat.
Bab III Sistem Keselamatan Data
Perkara 21 Negara hendaklah mewujudkan sistem yang dikategorikan dan diklasifikasikan dan melaksanakan perlindungan data berdasarkan kepentingan data dalam pembangunan ekonomi dan sosial, serta sejauh mana bahaya terhadap keselamatan negara, kepentingan umum, atau hak dan kepentingan yang sah dari segi undang-undang. individu atau organisasi yang akan disebabkan setelah data diubah, dimusnahkan, dibocorkan atau diperoleh atau digunakan secara haram. Mekanisme penyelarasan untuk keselamatan data negara hendaklah menyelaraskan jabatan berkaitan untuk merumuskan katalog data penting dan mengukuhkan perlindungan data penting.
Data mengenai keselamatan negara, talian hayat ekonomi negara, aspek penting dalam kehidupan rakyat, kepentingan awam utama, dsb., adalah data teras negara, yang mana sistem pengurusan yang lebih ketat akan dilaksanakan.
Semua kawasan dan jabatan hendaklah, mengikut sistem perlindungan data yang dikategorikan dan terperingkat, menyediakan katalog khusus data penting untuk wilayah, jabatan, dan industri serta sektor yang berkaitan, dan memberi keutamaan kepada data yang disenaraikan dalam katalog dari segi perlindungan data. .
Perkara 22 Negara hendaklah mewujudkan mekanisme berpusat, bersatu, sangat berkesan, dan berwibawa untuk menilai, melaporkan, berkongsi maklumat, memantau, dan makluman awal tentang risiko keselamatan data. Mekanisme penyelarasan untuk keselamatan data negara hendaklah membuat rancangan keseluruhan dan menyelaraskan jabatan berkaitan dalam mengukuhkan kerja tentang memperoleh, menganalisis, menyelidik dan menilai maklumat risiko keselamatan data dan kerja mengenai amaran awal risiko tersebut.
Perkara 23 Negara hendaklah mewujudkan mekanisme tindak balas kecemasan keselamatan data. Sekiranya insiden keselamatan data berlaku, jabatan kompeten yang berkaitan hendaklah memulakan tindak balas kecemasan mengikut pelan dan undang-undang, mengambil langkah yang sepadan untuk mencegah bahaya selanjutnya dan menghapuskan bahaya keselamatan, dan menghantar amaran kepada orang ramai dengan menerbitkan maklumat yang berkaitan dengannya dalam tepat pada masanya.
Perkara 24 Negara hendaklah mewujudkan sistem semakan untuk keselamatan data, menjalankan semakan keselamatan negara bagi pemprosesan data yang menjejaskan atau boleh menjejaskan keselamatan negara.
Keputusan semakan keselamatan yang dibuat mengikut undang-undang adalah keputusan muktamad.
Perkara 25 Negara hendaklah menggunakan kawalan eksport mengikut undang-undang ke atas data yang merupakan item terkawal dan berkenaan dengan keselamatan dan kepentingan negara serta pelaksanaan obligasi antarabangsa.
Perkara 26 Jika mana-mana negara atau wilayah mengamalkan larangan diskriminasi, sekatan, atau langkah lain yang serupa terhadap Republik Rakyat China berkenaan dengan pelaburan, perdagangan atau mana-mana bidang lain yang berkaitan dengan pembangunan data dan teknologi serta penggunaan data, Republik Rakyat China boleh mengambil tindakan balas terhadap negara atau wilayah itu berdasarkan keadaan sebenar.
Bab IV Kewajipan Perlindungan Keselamatan Data
Perkara 27 Dalam pemprosesan data, undang-undang dan peraturan hendaklah dipatuhi, sistem pengurusan keselamatan data yang kukuh sepanjang keseluruhan proses hendaklah diwujudkan, pendidikan dan latihan keselamatan data hendaklah dianjurkan dan dijalankan, dan langkah-langkah teknikal yang sepadan dan langkah-langkah lain yang perlu hendaklah diterima pakai untuk memastikan keselamatan data. Dalam pemprosesan data dengan menggunakan internet atau mana-mana rangkaian maklumat lain, kewajipan keselamatan data yang dinyatakan di atas hendaklah dipenuhi berdasarkan sistem perlindungan terperingkat untuk keselamatan siber.
Pemproses data penting hendaklah jelas tentang orang mereka yang bertanggungjawab untuk keselamatan data dan badan pengurusan keselamatan data, dan memenuhi tanggungjawab untuk keselamatan data.
Perkara 28 Pemprosesan data serta penyelidikan dan pembangunan teknologi data baharu hendaklah kondusif untuk memajukan pembangunan ekonomi dan sosial, dan meningkatkan kesejahteraan rakyat, dan hendaklah mematuhi moral dan etika sosial.
Perkara 29 Pemantauan risiko yang lebih rapat hendaklah digunakan dalam pemprosesan data. Apabila kecacatan keselamatan data, pepijat atau risiko lain ditemui, langkah pembaikan hendaklah diambil dengan segera. Sekiranya insiden keselamatan data berlaku, langkah-langkah hendaklah diambil dengan segera untuk menanganinya, dan pengguna hendaklah dimaklumkan dan laporan dibuat kepada jabatan kompeten yang berkaitan tepat pada masanya mengikut peruntukan yang berkaitan.
Perkara 30 Pemproses data penting hendaklah, mengikut peruntukan yang berkaitan, menjalankan penilaian risiko pemprosesan data mereka secara tetap dan menyerahkan laporan penilaian risiko kepada jabatan kompeten yang berkaitan.
Laporan penilaian risiko hendaklah termasuk jenis dan jumlah data penting yang diproses, maklumat mengenai pemprosesan data, risiko keselamatan data dan langkah tindak balas untuknya.
Perkara 31 Peruntukan Undang-undang Keselamatan Siber Republik Rakyat China hendaklah terpakai kepada pengurusan keselamatan keluar bagi data penting yang dikumpul atau dihasilkan oleh pengendali infrastruktur maklumat kritikal semasa operasi mereka di dalam wilayah Republik Rakyat China, dan langkah-langkah untuk pengurusan keselamatan keluar bagi data penting yang dikumpul atau dihasilkan oleh pemproses data lain semasa operasi mereka di dalam wilayah Republik Rakyat China hendaklah dirumuskan oleh pihak berkuasa ruang siber negara bersama-sama dengan jabatan yang berkaitan di bawah Majlis Negara.
Perkara 32 Organisasi atau individu hendaklah mengumpul data dengan cara yang sah dan wajar, dan tidak boleh memperoleh data dengan kecurian atau dengan cara lain yang menyalahi undang-undang.
Jika undang-undang atau peraturan pentadbiran mempunyai peruntukan mengenai tujuan atau skop pengumpulan dan penggunaan data, data hendaklah dikumpul dan digunakan untuk tujuan dan dalam skop yang diperuntukkan oleh undang-undang dan peraturan pentadbiran tersebut.
Perkara 33 Apabila menyediakan perkhidmatan, pengantara urus niaga data hendaklah menghendaki penyedia data untuk menentukan sumber data, mengesahkan identiti kedua-dua pihak kepada urus niaga, dan mengekalkan rekod pengesahan dan transaksi.
Perkara 34 Jika undang-undang atau peraturan pentadbiran menghendaki kebenaran pentadbiran diperoleh untuk menyediakan perkhidmatan yang berkaitan dengan pemprosesan data, penyedia perkhidmatan hendaklah mendapatkan kebenaran pentadbiran tersebut mengikut peruntukan ini.
Perkara 35 Apabila organ keselamatan awam atau organ keselamatan negara perlu mendapatkan data demi keselamatan negara atau untuk menyiasat jenayah mengikut undang-undang, formaliti kelulusan yang ketat hendaklah dilengkapkan mengikut peruntukan negara yang berkaitan dan data diperolehi. mengikut undang-undang, dan organisasi serta individu yang berkaitan hendaklah bekerjasama.
Perkara 36 Pihak berkuasa Republik Rakyat China yang berwibawa hendaklah mengendalikan permintaan data yang dibuat oleh pihak berkuasa kehakiman atau penguatkuasa undang-undang asing, menurut undang-undang yang berkaitan dan perjanjian atau perjanjian antarabangsa yang dibuat atau dipersetujui oleh Republik Rakyat China, atau mengikut dengan prinsip kesaksamaan dan timbal balik. Tanpa kelulusan pihak berkuasa Republik Rakyat China yang berwibawa, organisasi atau individu di Republik Rakyat China tidak boleh memberikan data yang disimpan di dalam wilayah Republik Rakyat China kepada mana-mana badan kehakiman atau penguatkuasaan undang-undang di luar negara.
Bab V Keselamatan dan Keterbukaan Data Kerajaan
Perkara 37 Negara hendaklah berusaha keras untuk menggalakkan pembangunan e-kerajaan, menjadikan pangkalan data kerajaan lebih saintifik, tepat, dan cekap masa, dan meningkatkan keupayaan menggunakan data untuk melayani pembangunan ekonomi dan sosial.
Perkara 38 Apabila organ negara perlu mengumpul atau menggunakan data untuk melaksanakan tugas berkanun mereka, mereka hendaklah mengumpul atau menggunakan data dalam skop yang diperlukan untuk melaksanakan tugas berkanun mereka dan di bawah syarat dan prosedur yang disediakan oleh undang-undang dan peraturan pentadbiran. Mereka hendaklah, mengikut undang-undang, memelihara kerahsiaan data yang diakses semasa menjalankan tugas mereka, seperti privasi peribadi, maklumat peribadi, rahsia dagangan, dan maklumat perniagaan sulit, dan tidak akan mendedahkan data tersebut atau memberikannya secara haram. kepada orang lain.
Perkara 39 Organ negara hendaklah, mengikut peruntukan undang-undang dan peraturan pentadbiran, mewujudkan sistem pengurusan keselamatan data yang kukuh, memenuhi tanggungjawab perlindungan keselamatan data, dan memastikan keselamatan data kerajaan.
Perkara 40 Apabila organ negara mengamanahkan orang lain untuk membina atau menyelenggara sistem e-kerajaan, atau untuk menyimpan atau memproses data kerajaan, organ negara hendaklah melalui prosedur kelulusan yang ketat, dan hendaklah mengawasi pihak yang diamanahkan dalam melaksanakan kewajipan perlindungan keselamatan data. Pihak yang diamanahkan hendaklah melaksanakan kewajipan perlindungan keselamatan datanya mengikut peruntukan undang-undang, peraturan dan kontrak yang ditandatangani, dan tidak boleh menyimpan, menggunakan, mendedahkan atau memberikan data kerajaan kepada orang lain tanpa kebenaran.
Perkara 41 Organ negara hendaklah, di bawah prinsip keadilan, kesaksamaan dan kemudahan untuk rakyat, mendedahkan data kerajaan dengan cara yang tepat pada masanya dan tepat mengikut peruntukan, kecuali yang tidak boleh didedahkan mengikut undang-undang.
Perkara 42 Negara hendaklah merumuskan katalog data kerajaan terbuka, membina platform data kerajaan yang terbuka, seragam, piawai, saling berkaitan, selamat dan terkawal, dan mempromosikan pengeluaran dan penggunaan data kerajaan.
Perkara 43 Peruntukan Bab ini hendaklah terpakai bagi pemprosesan data yang dijalankan oleh organisasi dengan fungsi mentadbir hal ehwal awam sebagaimana yang dibenarkan oleh undang-undang dan peraturan bagi tujuan melaksanakan tugas berkanun mereka.
Bab VI Tanggungjawab Undang-Undang
Perkara 44 Jika jabatan yang berwibawa mendapati wujudnya risiko keselamatan utama dalam pemprosesan data apabila mereka melaksanakan tugas kawal selia mereka berkenaan keselamatan data, mereka boleh, mengikut had kuasa dan prosedur yang ditetapkan, menjalankan perbincangan kawal selia dengan organisasi yang berkaitan dan
Perkara 45 Sekiranya organisasi atau individu yang memproses data gagal melaksanakan kewajipan perlindungan keselamatan data yang diperuntukkan dalam Perkara 27, 29 dan 30 Undang-undang ini, organisasi atau individu itu hendaklah diperintahkan untuk membuat pembetulan dan diberi amaran, dan boleh secara serentak didenda tidak kurang daripada RMB 50,000 yuan tetapi tidak lebih daripada RMB 500,000 yuan oleh jabatan yang berwibawa, dan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung boleh didenda tidak kurang daripada RMB 10,000 yuan tetapi tidak melebihi RMB100,000 yuan. Jika organisasi atau individu enggan membuat pembetulan atau telah menyebabkan akibat yang serius seperti pelanggaran data besar-besaran, organisasi atau individu akan didenda tidak kurang daripada RMB 500,000 yuan tetapi tidak melebihi RMB 2 juta yuan, dan boleh diarahkan untuk menggantung perniagaan yang berkaitan atau menggantung operasi untuk pembetulan, atau mempunyai permit perniagaan yang berkaitan atau lesen perniagaan dibatalkan, dan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung akan didenda tidak kurang daripada RMB 50,000 yuan tetapi tidak melebihi RMB 200,000 yuan.
Sekiranya organisasi atau individu melanggar peraturan pengurusan data teras negara dan membahayakan kedaulatan negara, keselamatan atau kepentingan pembangunan negara, jabatan yang berwibawa hendaklah mengenakan ke atas organisasi atau individu itu denda tidak kurang daripada RMB 2 juta yuan tetapi tidak lebih daripada RMB 10 juta yuan, dan boleh, berdasarkan keadaan, memerintahkan penggantungan perniagaan yang berkaitan atau penggantungan operasi untuk pembetulan, atau membatalkan permit perniagaan yang berkaitan atau lesen perniagaan. Di mana jenayah diwujudkan, tanggungjawab jenayah hendaklah disiasat mengikut undang-undang.
Perkara 46 Sesiapa sahaja, yang melanggar peruntukan Perkara 31 Undang-undang ini, memberikan data penting di luar negara, hendaklah diperintahkan untuk membuat pembetulan dan diberi amaran oleh jabatan yang kompeten, dan boleh didenda serentak tidak kurang daripada RMB 100,000 yuan tetapi tidak lebih daripada RMB 1 juta yuan, dan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung boleh didenda tidak kurang daripada RMB 10,000 yuan tetapi tidak melebihi RMB 100,000 yuan. Di mana keadaannya serius, pelanggar hendaklah didenda tidak kurang daripada RMB 1 juta tetapi tidak lebih daripada RMB 10 juta yuan, dan juga boleh diarahkan untuk menggantung perniagaan yang berkaitan atau menggantung operasi untuk pembetulan, atau mempunyai permit perniagaan atau perniagaan yang berkaitan lesen dibatalkan, dan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung akan didenda tidak kurang daripada RMB 100,000 yuan tetapi tidak lebih daripada RMB 1 juta yuan.
Perkara 47 Sekiranya perantara transaksi data gagal melaksanakan kewajipan yang ditetapkan dalam Perkara 33 Undang-undang ini, jabatan yang berwibawa hendaklah diperintahkan untuk membuat pembetulan, keuntungan haramnya, jika ada, akan dirampas, dan ia juga akan didenda tidak kurang daripada jumlah tetapi tidak lebih daripada sepuluh kali ganda jumlah keuntungan haram; jika tiada keuntungan haram atau keuntungan haram itu kurang daripada RMB 100,000 yuan, ia akan didenda tidak kurang daripada RMB 100,000 yuan tetapi tidak melebihi RMB 1 juta yuan. Ia mungkin secara serentak diarahkan untuk menggantung perniagaan yang berkaitan atau menggantung operasi untuk pembetulan, atau mempunyai permit perniagaan yang berkaitan atau lesen perniagaan dibatalkan. Orang yang bertanggungjawab secara langsung dan orang yang bertanggungjawab secara langsung akan didenda tidak kurang daripada RMB 10,000 yuan tetapi tidak melebihi RMB 100,000 yuan.
Perkara 48 Sesiapa yang melanggar Perkara 35 Undang-undang ini, enggan bekerjasama apabila organ awam atau organ keselamatan negara perlu mengakses data, hendaklah diperintahkan oleh jabatan yang berwibawa untuk membuat pembetulan dan diberi amaran, dan hendaklah didenda serentak tidak kurang daripada RMB 50,000 yuan tetapi tidak lebih daripada RMB 500,000 yuan, dan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung boleh didenda tidak kurang daripada RMB 10,000 yuan tetapi tidak melebihi RMB 100,000 yuan.
Sesiapa yang melanggar Perkara 36 Undang-undang ini, memberikan data kepada badan kehakiman atau penguatkuasa undang-undang luar negara tanpa kelulusan pihak berkuasa yang berwibawa, hendaklah diberi amaran oleh jabatan yang berwibawa, dan boleh didenda serentak tidak kurang daripada RMB 100,000 yuan tetapi tidak lebih daripada RMB 1 juta yuan, dan orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung boleh didenda tidak kurang daripada RMB 10,000 yuan tetapi tidak melebihi RMB 100,000 yuan. Jika akibat yang serius ditimbulkan, pelanggar hendaklah didenda tidak kurang daripada RMB 1 juta yuan tetapi tidak melebihi RMB 5 juta yuan, dan boleh diarahkan untuk menggantung perniagaan yang berkaitan atau menggantung operasi untuk pembetulan, atau mempunyai permit perniagaan atau perniagaan yang berkaitan lesen dibatalkan. Orang yang bertanggungjawab secara langsung dan orang yang bertanggungjawab secara langsung akan didenda tidak kurang daripada RMB 50,000 yuan tetapi tidak melebihi RMB 500,000 yuan.
Perkara 49 Apabila organ negara gagal melaksanakan kewajipan keselamatan data seperti yang diperuntukkan dalam Undang-undang ini, orang yang bertanggungjawab secara langsung dan orang lain yang bertanggungjawab secara langsung hendaklah diberi sanksi mengikut undang-undang.
Perkara 50 Mana-mana pegawai negeri yang melaksanakan peraturan peraturan berkaitan keselamatan data mengabaikan tugasnya, menyalahgunakan kuasa, atau terlibat dalam penyelewengan untuk kepentingan peribadi, hendaklah diberi sanksi mengikut undang-undang.
Perkara 51 Sesiapa yang memperoleh data melalui pencurian atau dengan cara lain yang menyalahi undang-undang, atau menghapuskan atau menyekat persaingan dalam pemprosesan data, atau memudaratkan hak dan kepentingan sah individu atau organisasi, hendaklah dihukum mengikut peruntukan undang-undang dan peraturan pentadbiran yang berkaitan.
Perkara 52 Sesiapa yang melanggar Undang-undang ini, menyebabkan kerosakan kepada orang lain hendaklah menanggung liabiliti sivil mengikut undang-undang.
Jika pelanggaran peruntukan Undang-undang ini merupakan pelanggaran pentadbiran keselamatan awam, penalti pentadbiran keselamatan awam hendaklah diberikan mengikut undang-undang. Di mana jenayah diwujudkan, tanggungjawab jenayah hendaklah disiasat mengikut undang-undang.
Bab VII Peruntukan Tambahan
Perkara 53 Peruntukan Undang-undang Republik Rakyat China mengenai Menjaga Rahsia Negara dan undang-undang lain serta peraturan pentadbiran hendaklah terpakai bagi pemprosesan data yang melibatkan rahsia negara.
Peruntukan undang-undang dan peraturan pentadbiran yang berkaitan juga hendaklah dipatuhi apabila data diproses dalam kerja statistik atau arkib dan dalam pemprosesan data yang melibatkan maklumat peribadi.
Perkara 54 Langkah-langkah untuk keselamatan dan perlindungan data ketenteraan hendaklah dirumuskan secara berasingan oleh Suruhanjaya Tentera Pusat mengikut Undang-undang ini.
Perkara 55 Undang-undang ini mulai berlaku pada 1 September 2021.