地下水管理条例
中华人民共和国国务院令
第748号
《地下水管理条例》已经2021年9月15日国务院第149次常务会议通过,现予公布,自2021年12月1日起施行。
总理 李克强
2021年10月21日
地下水管理条例
第一章 总 则
第一条 为了加强地下水管理,防治地下水超采和污染,保障地下水质量和可持续利用,推进生态文明建设,根据《中华人民共和国水法》和《中华人民共和国水污染防治法》等法律,制定本条例。
第二条 地下水调查与规划、节约与保护、超采治理、污染防治、监督管理等活动,适用本条例。
本条例所称地下水,是指赋存于地表以下的水。
第三条 地下水管理坚持统筹规划、节水优先、高效利用、系统治理的原则。
第四条 国务院水行政主管部门负责全国地下水统一监督管理工作。国务院生态环境主管部门负责全国地下水污染防治监督管理工作。国务院自然资源等主管部门按照职责分工做好地下水调查、监测等相关工作。
第五条 县级以上地方人民政府对本行政区域内的地下水管理负责,应当将地下水管理纳入本级国民经济和社会发展规划,并采取控制开采量、防治污染等措施,维持地下水合理水位,保护地下水水质。
县级以上地方人民政府水行政主管部门按照管理权限,负责本行政区域内地下水统一监督管理工作。地方人民政府生态环境主管部门负责本行政区域内地下水污染防治监督管理工作。县级以上地方人民政府自然资源等主管部门按照职责分工做好本行政区域内地下水调查、监测等相关工作。
第六条 利用地下水的单位和个人应当加强地下水取水工程管理,节约、保护地下水,防止地下水污染。
第七条 国务院对省、自治区、直辖市地下水管理和保护情况实行目标责任制和考核评价制度。国务院有关部门按照职责分工负责考核评价工作的具体组织实施。
第八条 任何单位和个人都有权对损害地下水的行为进行监督、检举。
对在节约、保护和管理地下水工作中作出突出贡献的单位和个人,按照国家有关规定给予表彰和奖励。
第九条 国家加强对地下水节约和保护的宣传教育,鼓励、支持地下水先进科学技术的研究、推广和应用。
第二章 调查与规划
第十条 国家定期组织开展地下水状况调查评价工作。地下水状况调查评价包括地下水资源调查评价、地下水污染调查评价和水文地质勘查评价等内容。
第十一条 县级以上人民政府应当组织水行政、自然资源、生态环境等主管部门开展地下水状况调查评价工作。调查评价成果是编制地下水保护利用和污染防治等规划以及管理地下水的重要依据。调查评价成果应当依法向社会公布。
第十二条 县级以上人民政府水行政、自然资源、生态环境等主管部门根据地下水状况调查评价成果,统筹考虑经济社会发展需要、地下水资源状况、污染防治等因素,编制本级地下水保护利用和污染防治等规划,依法履行征求意见、论证评估等程序后向社会公布。
地下水保护利用和污染防治等规划是节约、保护、利用、修复治理地下水的基本依据。地下水保护利用和污染防治等规划应当服从水资源综合规划和环境保护规划。
第十三条 国民经济和社会发展规划以及国土空间规划等相关规划的编制、重大建设项目的布局,应当与地下水资源条件和地下水保护要求相适应,并进行科学论证。
第十四条 编制工业、农业、市政、能源、矿产资源开发等专项规划,涉及地下水的内容,应当与地下水保护利用和污染防治等规划相衔接。
第十五条 国家建立地下水储备制度。国务院水行政主管部门应当会同国务院自然资源、发展改革等主管部门,对地下水储备工作进行指导、协调和监督检查。
县级以上地方人民政府水行政主管部门应当会同本级人民政府自然资源、发展改革等主管部门,根据本行政区域内地下水条件、气候状况和水资源储备需要,制定动用地下水储备预案并报本级人民政府批准。
除特殊干旱年份以及发生重大突发事件外,不得动用地下水储备。
第三章 节约与保护
第十六条 国家实行地下水取水总量控制制度。国务院水行政主管部门会同国务院自然资源主管部门,根据各省、自治区、直辖市地下水可开采量和地表水水资源状况,制定并下达各省、自治区、直辖市地下水取水总量控制指标。
第十七条 省、自治区、直辖市人民政府水行政主管部门应当会同本级人民政府有关部门,根据国家下达的地下水取水总量控制指标,制定本行政区域内县级以上行政区域的地下水取水总量控制指标和地下水水位控制指标,经省、自治区、直辖市人民政府批准后下达实施,并报国务院水行政主管部门或者其授权的流域管理机构备案。
第十八条 省、自治区、直辖市人民政府水行政主管部门制定本行政区域内地下水取水总量控制指标和地下水水位控制指标时,涉及省际边界区域且属于同一水文地质单元的,应当与相邻省、自治区、直辖市人民政府水行政主管部门协商确定。协商不成的,由国务院水行政主管部门会同国务院有关部门确定。
第十九条 县级以上地方人民政府应当根据地下水取水总量控制指标、地下水水位控制指标和国家相关技术标准,合理确定本行政区域内地下水取水工程布局。
第二十条 县级以上地方人民政府水行政主管部门应当根据本行政区域内地下水取水总量控制指标、地下水水位控制指标以及科学分析测算的地下水需求量和用水结构,制定地下水年度取水计划,对本行政区域内的年度取用地下水实行总量控制,并报上一级人民政府水行政主管部门备案。
第二十一条 取用地下水的单位和个人应当遵守取水总量控制和定额管理要求,使用先进节约用水技术、工艺和设备,采取循环用水、综合利用及废水处理回用等措施,实施技术改造,降低用水消耗。
对下列工艺、设备和产品,应当在规定的期限内停止生产、销售、进口或者使用:
(一)列入淘汰落后的、耗水量高的工艺、设备和产品名录的;
(二)列入限期禁止采用的严重污染水环境的工艺名录和限期禁止生产、销售、进口、使用的严重污染水环境的设备名录的。
第二十二条 新建、改建、扩建地下水取水工程,应当同时安装计量设施。已有地下水取水工程未安装计量设施的,应当按照县级以上地方人民政府水行政主管部门规定的期限安装。
单位和个人取用地下水量达到取水规模以上的,应当安装地下水取水在线计量设施,并将计量数据实时传输到有管理权限的水行政主管部门。取水规模由省、自治区、直辖市人民政府水行政主管部门制定、公布,并报国务院水行政主管部门备案。
第二十三条 以地下水为灌溉水源的地区,县级以上地方人民政府应当采取保障建设投入、加大对企业信贷支持力度、建立健全基层水利服务体系等措施,鼓励发展节水农业,推广应用喷灌、微灌、管道输水灌溉、渠道防渗输水灌溉等节水灌溉技术,以及先进的农机、农艺和生物技术等,提高农业用水效率,节约农业用水。
第二十四条 国务院根据国民经济和社会发展需要,对取用地下水的单位和个人试点征收水资源税。地下水水资源税根据当地地下水资源状况、取用水类型和经济发展等情况实行差别税率,合理提高征收标准。征收水资源税的,停止征收水资源费。
尚未试点征收水资源税的省、自治区、直辖市,对同一类型取用水,地下水的水资源费征收标准应当高于地表水的标准,地下水超采区的水资源费征收标准应当高于非超采区的标准,地下水严重超采区的水资源费征收标准应当大幅高于非超采区的标准。
第二十五条 有下列情形之一的,对取用地下水的取水许可申请不予批准:
(一)不符合地下水取水总量控制、地下水水位控制要求;
(二)不符合限制开采区取用水规定;
(三)不符合行业用水定额和节水规定;
(四)不符合强制性国家标准;
(五)水资源紧缺或者生态脆弱地区新建、改建、扩建高耗水项目;
(六)违反法律、法规的规定开垦种植而取用地下水。
第二十六条 建设单位和个人应当采取措施防止地下工程建设对地下水补给、径流、排泄等造成重大不利影响。对开挖达到一定深度或者达到一定排水规模的地下工程,建设单位和个人应当于工程开工前,将工程建设方案和防止对地下水产生不利影响的措施方案报有管理权限的水行政主管部门备案。开挖深度和排水规模由省、自治区、直辖市人民政府制定、公布。
第二十七条 除下列情形外,禁止开采难以更新的地下水:
(一)应急供水取水;
(二)无替代水源地区的居民生活用水;
(三)为开展地下水监测、勘探、试验少量取水。
已经开采的,除前款规定的情形外,有关县级以上地方人民政府应当采取禁止开采、限制开采措施,逐步实现全面禁止开采;前款规定的情形消除后,应当立即停止取用地下水。
第二十八条 县级以上地方人民政府应当加强地下水水源补给保护,充分利用自然条件补充地下水,有效涵养地下水水源。
城乡建设应当统筹地下水水源涵养和回补需要,按照海绵城市建设的要求,推广海绵型建筑、道路、广场、公园、绿地等,逐步完善滞渗蓄排等相结合的雨洪水收集利用系统。河流、湖泊整治应当兼顾地下水水源涵养,加强水体自然形态保护和修复。
城市人民政府应当因地制宜采取有效措施,推广节水型生活用水器具,鼓励使用再生水,提高用水效率。
第二十九条 县级以上地方人民政府应当根据地下水水源条件和需要,建设应急备用饮用水水源,制定应急预案,确保需要时正常使用。
应急备用地下水水源结束应急使用后,应当立即停止取水。
第三十条 有关县级以上地方人民政府水行政主管部门会同本级人民政府有关部门编制重要泉域保护方案,明确保护范围、保护措施,报本级人民政府批准后实施。
对已经干涸但具有重要历史文化和生态价值的泉域,具备条件的,应当采取措施予以恢复。
第四章 超采治理
第三十一条 国务院水行政主管部门应当会同国务院自然资源主管部门根据地下水状况调查评价成果,组织划定全国地下水超采区,并依法向社会公布。
第三十二条 省、自治区、直辖市人民政府水行政主管部门应当会同本级人民政府自然资源等主管部门,统筹考虑地下水超采区划定、地下水利用情况以及地质环境条件等因素,组织划定本行政区域内地下水禁止开采区、限制开采区,经省、自治区、直辖市人民政府批准后公布,并报国务院水行政主管部门备案。
地下水禁止开采区、限制开采区划定后,确需调整的,应当按照原划定程序进行调整。
第三十三条 有下列情形之一的,应当划为地下水禁止开采区:
(一)已发生严重的地面沉降、地裂缝、海(咸)水入侵、植被退化等地质灾害或者生态损害的区域;
(二)地下水超采区内公共供水管网覆盖或者通过替代水源已经解决供水需求的区域;
(三)法律、法规规定禁止开采地下水的其他区域。
第三十四条 有下列情形之一的,应当划为地下水限制开采区:
(一)地下水开采量接近可开采量的区域;
(二)开采地下水可能引发地质灾害或者生态损害的区域;
(三)法律、法规规定限制开采地下水的其他区域。
第三十五条 除下列情形外,在地下水禁止开采区内禁止取用地下水:
(一)为保障地下工程施工安全和生产安全必须进行临时应急取(排)水;
(二)为消除对公共安全或者公共利益的危害临时应急取水;
(三)为开展地下水监测、勘探、试验少量取水。
除前款规定的情形外,在地下水限制开采区内禁止新增取用地下水,并逐步削减地下水取水量;前款规定的情形消除后,应当立即停止取用地下水。
第三十六条 省、自治区、直辖市人民政府水行政主管部门应当会同本级人民政府有关部门,编制本行政区域地下水超采综合治理方案,经省、自治区、直辖市人民政府批准后,报国务院水行政主管部门备案。
地下水超采综合治理方案应当明确治理目标、治理措施、保障措施等内容。
第三十七条 地下水超采区的县级以上地方人民政府应当加强节水型社会建设,通过加大海绵城市建设力度、调整种植结构、推广节水农业、加强工业节水、实施河湖地下水回补等措施,逐步实现地下水采补平衡。
国家在替代水源供给、公共供水管网建设、产业结构调整等方面,加大对地下水超采区地方人民政府的支持力度。
第三十八条 有关县级以上地方人民政府水行政主管部门应当会同本级人民政府自然资源主管部门加强对海(咸)水入侵的监测和预防。已经出现海(咸)水入侵的地区,应当采取综合治理措施。
第五章 污染防治
第三十九条 国务院生态环境主管部门应当会同国务院水行政、自然资源等主管部门,指导全国地下水污染防治重点区划定工作。省、自治区、直辖市人民政府生态环境主管部门应当会同本级人民政府水行政、自然资源等主管部门,根据本行政区域内地下水污染防治需要,划定地下水污染防治重点区。
第四十条 禁止下列污染或者可能污染地下水的行为:
(一)利用渗井、渗坑、裂隙、溶洞以及私设暗管等逃避监管的方式排放水污染物;
(二)利用岩层孔隙、裂隙、溶洞、废弃矿坑等贮存石化原料及产品、农药、危险废物、城镇污水处理设施产生的污泥和处理后的污泥或者其他有毒有害物质;
(三)利用无防渗漏措施的沟渠、坑塘等输送或者贮存含有毒污染物的废水、含病原体的污水和其他废弃物;
(四)法律、法规禁止的其他污染或者可能污染地下水的行为。
第四十一条 企业事业单位和其他生产经营者应当采取下列措施,防止地下水污染:
(一)兴建地下工程设施或者进行地下勘探、采矿等活动,依法编制的环境影响评价文件中,应当包括地下水污染防治的内容,并采取防护性措施;
(二)化学品生产企业以及工业集聚区、矿山开采区、尾矿库、危险废物处置场、垃圾填埋场等的运营、管理单位,应当采取防渗漏等措施,并建设地下水水质监测井进行监测;
(三)加油站等的地下油罐应当使用双层罐或者采取建造防渗池等其他有效措施,并进行防渗漏监测;
(四)存放可溶性剧毒废渣的场所,应当采取防水、防渗漏、防流失的措施;
(五)法律、法规规定应当采取的其他防止地下水污染的措施。
根据前款第二项规定的企业事业单位和其他生产经营者排放有毒有害物质情况,地方人民政府生态环境主管部门应当按照国务院生态环境主管部门的规定,商有关部门确定并公布地下水污染防治重点排污单位名录。地下水污染防治重点排污单位应当依法安装水污染物排放自动监测设备,与生态环境主管部门的监控设备联网,并保证监测设备正常运行。
第四十二条 在泉域保护范围以及岩溶强发育、存在较多落水洞和岩溶漏斗的区域内,不得新建、改建、扩建可能造成地下水污染的建设项目。
第四十三条 多层含水层开采、回灌地下水应当防止串层污染。
多层地下水的含水层水质差异大的,应当分层开采;对已受污染的潜水和承压水,不得混合开采。
已经造成地下水串层污染的,应当按照封填井技术要求限期回填串层开采井,并对造成的地下水污染进行治理和修复。
人工回灌补给地下水,应当符合相关的水质标准,不得使地下水水质恶化。
第四十四条 农业生产经营者等有关单位和个人应当科学、合理使用农药、肥料等农业投入品,农田灌溉用水应当符合相关水质标准,防止地下水污染。
县级以上地方人民政府及其有关部门应当加强农药、肥料等农业投入品使用指导和技术服务,鼓励和引导农业生产经营者等有关单位和个人合理使用农药、肥料等农业投入品,防止地下水污染。
第四十五条 依照《中华人民共和国土壤污染防治法》的有关规定,安全利用类和严格管控类农用地地块的土壤污染影响或者可能影响地下水安全的,制定防治污染的方案时,应当包括地下水污染防治的内容。
污染物含量超过土壤污染风险管控标准的建设用地地块,编制土壤污染风险评估报告时,应当包括地下水是否受到污染的内容;列入风险管控和修复名录的建设用地地块,采取的风险管控措施中应当包括地下水污染防治的内容。
对需要实施修复的农用地地块,以及列入风险管控和修复名录的建设用地地块,修复方案中应当包括地下水污染防治的内容。
第六章 监督管理
第四十六条 县级以上人民政府水行政、自然资源、生态环境等主管部门应当依照职责加强监督管理,完善协作配合机制。
国务院水行政、自然资源、生态环境等主管部门建立统一的国家地下水监测站网和地下水监测信息共享机制,对地下水进行动态监测。
县级以上地方人民政府水行政、自然资源、生态环境等主管部门根据需要完善地下水监测工作体系,加强地下水监测。
第四十七条 任何单位和个人不得侵占、毁坏或者擅自移动地下水监测设施设备及其标志。
新建、改建、扩建建设工程应当避开地下水监测设施设备;确实无法避开、需要拆除地下水监测设施设备的,应当由县级以上人民政府水行政、自然资源、生态环境等主管部门按照有关技术要求组织迁建,迁建费用由建设单位承担。
任何单位和个人不得篡改、伪造地下水监测数据。
第四十八条 建设地下水取水工程的单位和个人,应当在申请取水许可时附具地下水取水工程建设方案,并按照取水许可批准文件的要求,自行或者委托具有相应专业技术能力的单位进行施工。施工单位不得承揽应当取得但未取得取水许可的地下水取水工程。
以监测、勘探为目的的地下水取水工程,不需要申请取水许可,建设单位应当于施工前报有管辖权的水行政主管部门备案。
地下水取水工程的所有权人负责工程的安全管理。
第四十九条 县级以上地方人民政府水行政主管部门应当对本行政区域内的地下水取水工程登记造册,建立监督管理制度。
报废的矿井、钻井、地下水取水工程,或者未建成、已完成勘探任务、依法应当停止取水的地下水取水工程,应当由工程所有权人或者管理单位实施封井或者回填;所有权人或者管理单位应当将其封井或者回填情况告知县级以上地方人民政府水行政主管部门;无法确定所有权人或者管理单位的,由县级以上地方人民政府或者其授权的部门负责组织实施封井或者回填。
实施封井或者回填,应当符合国家有关技术标准。
第五十条 县级以上地方人民政府应当组织水行政、自然资源、生态环境等主管部门,划定集中式地下水饮用水水源地并公布名录,定期组织开展地下水饮用水水源地安全评估。
第五十一条 县级以上地方人民政府水行政主管部门应当会同本级人民政府自然资源等主管部门,根据水文地质条件和地下水保护要求,划定需要取水的地热能开发利用项目的禁止和限制取水范围。
禁止在集中式地下水饮用水水源地建设需要取水的地热能开发利用项目。禁止抽取难以更新的地下水用于需要取水的地热能开发利用项目。
建设需要取水的地热能开发利用项目,应当对取水和回灌进行计量,实行同一含水层等量取水和回灌,不得对地下水造成污染。达到取水规模以上的,应当安装取水和回灌在线计量设施,并将计量数据实时传输到有管理权限的水行政主管部门。取水规模由省、自治区、直辖市人民政府水行政主管部门制定、公布。
对不符合本条第一款、第二款、第三款规定的已建需要取水的地热能开发利用项目,取水单位和个人应当按照水行政主管部门的规定限期整改,整改不合格的,予以关闭。
第五十二条 矿产资源开采、地下工程建设疏干排水量达到规模的,应当依法申请取水许可,安装排水计量设施,定期向取水许可审批机关报送疏干排水量和地下水水位状况。疏干排水量规模由省、自治区、直辖市人民政府制定、公布。
为保障矿井等地下工程施工安全和生产安全必须进行临时应急取(排)水的,不需要申请取水许可。取(排)水单位和个人应当于临时应急取(排)水结束后5个工作日内,向有管理权限的县级以上地方人民政府水行政主管部门备案。
矿产资源开采、地下工程建设疏干排水应当优先利用,无法利用的应当达标排放。
第五十三条 县级以上人民政府水行政、生态环境等主管部门应当建立从事地下水节约、保护、利用活动的单位和个人的诚信档案,记录日常监督检查结果、违法行为查处等情况,并依法向社会公示。
第七章 法律责任
第五十四条 县级以上地方人民政府,县级以上人民政府水行政、生态环境、自然资源主管部门和其他负有地下水监督管理职责的部门有下列行为之一的,由上级机关责令改正,对负有责任的主管人员和其他直接责任人员依法给予处分:
(一)未采取有效措施导致本行政区域内地下水超采范围扩大,或者地下水污染状况未得到改善甚至恶化;
(二)未完成本行政区域内地下水取水总量控制指标和地下水水位控制指标;
(三)对地下水水位低于控制水位未采取相关措施;
(四)发现违法行为或者接到对违法行为的检举后未予查处;
(五)有其他滥用职权、玩忽职守、徇私舞弊等违法行为。
第五十五条 违反本条例规定,未经批准擅自取用地下水,或者利用渗井、渗坑、裂隙、溶洞以及私设暗管等逃避监管的方式排放水污染物等违法行为,依照《中华人民共和国水法》、《中华人民共和国水污染防治法》、《中华人民共和国土壤污染防治法》、《取水许可和水资源费征收管理条例》等法律、行政法规的规定处罚。
第五十六条 地下水取水工程未安装计量设施的,由县级以上地方人民政府水行政主管部门责令限期安装,并按照日最大取水能力计算的取水量计征相关费用,处10万元以上50万元以下罚款;情节严重的,吊销取水许可证。
计量设施不合格或者运行不正常的,由县级以上地方人民政府水行政主管部门责令限期更换或者修复;逾期不更换或者不修复的,按照日最大取水能力计算的取水量计征相关费用,处10万元以上50万元以下罚款;情节严重的,吊销取水许可证。
第五十七条 地下工程建设对地下水补给、径流、排泄等造成重大不利影响的,由县级以上地方人民政府水行政主管部门责令限期采取措施消除不利影响,处10万元以上50万元以下罚款;逾期不采取措施消除不利影响的,由县级以上地方人民政府水行政主管部门组织采取措施消除不利影响,所需费用由违法行为人承担。
地下工程建设应当于开工前将工程建设方案和防止对地下水产生不利影响的措施方案备案而未备案的,或者矿产资源开采、地下工程建设疏干排水应当定期报送疏干排水量和地下水水位状况而未报送的,由县级以上地方人民政府水行政主管部门责令限期补报;逾期不补报的,处2万元以上10万元以下罚款。
第五十八条 报废的矿井、钻井、地下水取水工程,或者未建成、已完成勘探任务、依法应当停止取水的地下水取水工程,未按照规定封井或者回填的,由县级以上地方人民政府或者其授权的部门责令封井或者回填,处10万元以上50万元以下罚款;不具备封井或者回填能力的,由县级以上地方人民政府或者其授权的部门组织封井或者回填,所需费用由违法行为人承担。
第五十九条 利用岩层孔隙、裂隙、溶洞、废弃矿坑等贮存石化原料及产品、农药、危险废物或者其他有毒有害物质的,由地方人民政府生态环境主管部门责令限期改正,处10万元以上100万元以下罚款。
利用岩层孔隙、裂隙、溶洞、废弃矿坑等贮存城镇污水处理设施产生的污泥和处理后的污泥的,由县级以上地方人民政府城镇排水主管部门责令限期改正,处20万元以上200万元以下罚款,对直接负责的主管人员和其他直接责任人员处2万元以上10万元以下罚款;造成严重后果的,处200万元以上500万元以下罚款,对直接负责的主管人员和其他直接责任人员处5万元以上50万元以下罚款。
在泉域保护范围以及岩溶强发育、存在较多落水洞和岩溶漏斗的区域内,新建、改建、扩建造成地下水污染的建设项目的,由地方人民政府生态环境主管部门处10万元以上50万元以下罚款,并报经有批准权的人民政府批准,责令拆除或者关闭。
第六十条 侵占、毁坏或者擅自移动地下水监测设施设备及其标志的,由县级以上地方人民政府水行政、自然资源、生态环境主管部门责令停止违法行为,限期采取补救措施,处2万元以上10万元以下罚款;逾期不采取补救措施的,由县级以上地方人民政府水行政、自然资源、生态环境主管部门组织补救,所需费用由违法行为人承担。
第六十一条 以监测、勘探为目的的地下水取水工程在施工前应当备案而未备案的,由县级以上地方人民政府水行政主管部门责令限期补办备案手续;逾期不补办备案手续的,责令限期封井或者回填,处2万元以上10万元以下罚款;逾期不封井或者回填的,由县级以上地方人民政府水行政主管部门组织封井或者回填,所需费用由违法行为人承担。
第六十二条 违反本条例规定,构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章 附 则
第六十三条 本条例下列用语含义是:
地下水取水工程,是指地下水取水井及其配套设施,包括水井、集水廊道、集水池、渗渠、注水井以及需要取水的地热能开发利用项目的取水井和回灌井等。
地下水超采区,是指地下水实际开采量超过可开采量,引起地下水水位持续下降、引发生态损害和地质灾害的区域。
难以更新的地下水,是指与大气降水和地表水体没有密切水力联系,无法补给或者补给非常缓慢的地下水。
第六十四条 本条例自2021年12月1日起施行。
-
01
/25 -
商事调解条例
中华人民共和国国务院令
第827号
《商事调解条例》已经2025年12月19日国务院第75次常务会议通过,现予公布,自2026年5月1日起施行。
总理 李强
2025年12月31日
商事调解条例
第一条 为了规范商事调解活动,有效解决商事争议,保护当事人合法权益,促进商事调解行业发展,优化营商环境,制定本条例。
第二条 本条例所称商事调解活动,是指在商事调解组织主持下,当事人自愿友好协商解决贸易、投资、金融、运输、房地产、工程建设、知识产权等领域商事争议的活动。婚姻家庭、继承、监护、劳动人事、消费者权益争议以及依法应当以其他方式解决的争议,不适用商事调解。
本条例所称商事调解组织,是指依照本条例规定设立,不以营利为目的开展商事调解活动的组织。
第三条 商事调解行业发展贯彻落实党和国家路线方针政策、决策部署,坚持为民服务宗旨,服务国家高质量发展和高水平对外开放。
第四条 国务院司法行政部门负责指导、规范全国商事调解工作,统筹规划商事调解行业发展。
县级以上地方人民政府司法行政部门负责指导、规范本行政区域内商事调解工作,加强对商事调解组织开展商事调解活动的监督管理。
第五条 商事调解行业自律组织依照法律法规和章程开展行业自律,接受司法行政部门的指导、监督。
第六条 国家培育有国际影响力的商事调解组织,提升商事调解组织的国际竞争力。
司法行政部门会同有关部门加强对商事调解的宣传,推广运用调解方式解决商事争议。
鼓励有条件的地区和部门结合本地区、本领域实际情况,在人才、信息、技术、资金等方面对商事调解行业发展给予支持。
第七条 国家完善商事调解与诉讼、仲裁、公证等制度的衔接机制,畅通商事争议解决途径。
第八条 设立商事调解组织,应当符合下列条件:
(一)发起人为非营利法人;
(二)有规范的名称,名称中含有“商事调解”字样;
(三)有自己的住所和章程;
(四)有30万元以上的资产;
(五)有5名以上商事调解员和适当数量的专职工作人员。
第九条 设立商事调解组织,应当向所在地设区的市级人民政府司法行政部门提出申请,提交设立申请书及相关材料。申请人应当对申请材料的真实性负责。
受理申请的部门应当自受理之日起20个工作日内予以审查,并将初步审查意见和全部申请材料报送省、自治区、直辖市人民政府司法行政部门。省、自治区、直辖市人民政府司法行政部门应当自收到报送材料之日起20个工作日内予以审查,作出是否准予设立的决定。20个工作日内不能作出决定的,经本部门负责人批准,可以延长10个工作日,并应当将延长期限的理由告知申请人。准予设立的,向申请人颁发执业证书;不准予设立的,向申请人书面说明理由。
第十条 商事调解组织变更名称、住所、章程等事项的,应当依法办理执业证书的变更手续。
商事调解组织有下列情形之一的,应当依法办理执业证书的注销手续:
(一)不能保持本条例规定的设立条件,经限期整改仍不符合条件;
(二)终止商事调解业务活动;
(三)法律、行政法规规定应当注销的其他情形。
第十一条 省、自治区、直辖市人民政府司法行政部门应当编制本行政区域内的商事调解组织名册,并向社会公布。
第十二条 商事调解组织聘任的商事调解员应当公道正派,具备良好的专业素质。商事调解员应当符合下列条件之一:
(一)通过国家统一法律职业资格考试取得法律职业资格,从事调解工作满3年;
(二)从事律师、仲裁、公证工作满3年或者曾任法官、检察官满3年;
(三)具有法律、经济、科学技术等相关专业知识,从事法律、经济贸易等专业工作,并具有中级以上职称或者具有同等专业水平;
(四)本条例施行前已从事商事调解工作满3年,并具有大学本科以上学历。
公职人员兼任商事调解员的,应当遵守法律、行政法规和国家有关规定。
商事调解组织可以从具有专业影响力和公信力的境外人士中聘任商事调解员,并依照国务院司法行政部门的规定向所在地省、自治区、直辖市人民政府司法行政部门备案。
第十三条 商事调解组织应当建立业务管理、利益冲突审查、投诉处理等内部管理制度。
商事调解组织的章程、商事调解员名册、调解规则及设立、变更、注销等信息,应当及时向社会公开。
第十四条 商事调解活动应当遵循自愿、合法、诚信、保密的原则。
第十五条 发生商事争议的,当事人可以向商事调解组织申请调解。当事人一方明确拒绝调解的,不得调解。
当事人可以从商事调解组织的商事调解员名册中共同选定商事调解员进行调解,或者由当事人共同委托商事调解组织推荐商事调解员进行调解。
第十六条 商事调解组织可以收取商事调解费用。
商事调解组织应当按照公平、合理的原则制定商事调解费用标准,并向社会公开。
第十七条 商事调解员开展调解活动应当依照法律法规,可以适用行业规则、商业惯例、交易习惯等。
商事调解员在调解过程中应当保持中立,勤勉尽责,遵守职业道德和执业行为规范,不得与当事人串通进行虚假调解活动。
第十八条 鼓励商事调解组织运用人工智能、大数据等技术手段,提高商事调解质量和效率。
商事调解员与当事人协商采取在线方式进行调解的,与线下调解活动具有同等法律效力。
第十九条 商事调解不公开进行。当事人约定公开的,可以公开进行,但涉及国家秘密、他人的商业秘密或者个人隐私的除外。
商事调解组织和商事调解员对在调解过程中知悉的信息负有保密义务,但当事人均书面同意披露或者有其他依法应当披露情形的除外。
第二十条 商事调解员与争议事项有利害关系,或者存在其他可能导致当事人对其中立性、公正性产生合理怀疑情形的,该商事调解员应当及时向当事人披露,并退出调解。当事人均同意由该商事调解员继续调解的,应当以书面形式约定。
在与争议事项有关的诉讼或者仲裁中,商事调解员存在依法应当回避情形的,应当回避。
第二十一条 经商事调解无法达成协议,当事人不同意继续调解,或者存在当事人意图利用调解达到非法目的等情形的,应当终止调解。
第二十二条 经商事调解达成协议的,除当事人另有约定外,应当制作商事调解协议,载明主要事实、争议事项和当事人达成协议的主要内容、履行方式与期限等。商事调解员应当在商事调解协议上签名并加盖商事调解组织的印章。
商事调解协议的内容不得损害国家利益、社会公共利益和他人合法权益,不得违反法律、行政法规的强制性规定,不得违背公序良俗。
商事调解协议具有法律约束力,当事人应当履行。
第二十三条 当事人可以就商事调解协议申请司法确认,具体依照《中华人民共和国民事诉讼法》有关规定办理。
商事调解协议涉及在中华人民共和国领域外执行的,当事人可以依照有关国际条约向有管辖权的外国主管机关申请执行。
第二十四条 支持商事调解组织到境外设立业务机构,开展商事调解活动。
根据经济社会发展和改革开放需要,可以允许境外商事调解组织在国务院批准设立的自由贸易试验区、海南自由贸易港等区域内依照国家有关规定设立业务机构,开展涉外商事调解活动。
在自由贸易试验区、海南自由贸易港等区域内,有关地方可以试点建立商事调解员独立开展涉外商事调解活动的相关制度。
第二十五条 鼓励商事调解组织、商事调解行业自律组织与境外商事调解组织、国际组织开展交流合作,积极参与国际商事调解规则制定,加强国际商事调解人才培养。
商事调解行业自律组织、商事调解组织按照有关规定组织开展商事调解员培训。
全国性商事调解行业自律组织负责推动商事调解员能力水平国际互认。
第二十六条 支持粤港澳大湾区商事调解规则衔接、机制对接,促进粤港澳大湾区商事调解协同发展。
第二十七条 县级以上地方人民政府司法行政部门对商事调解组织开展商事调解活动进行监督管理,可以采取现场检查、查阅和复制有关资料、对有关情况进行调查、对有关人员进行约谈等措施。
第二十八条 未经司法行政部门批准,擅自以商事调解组织名义开展本条例规定的商事调解活动的,由省、自治区、直辖市或者设区的市级人民政府司法行政部门责令改正,处10万元以上30万元以下的罚款;有违法所得的,没收违法所得。
第二十九条 商事调解组织未按照本条例规定办理变更、注销手续,公开相关信息的,由县级以上人民政府司法行政部门责令改正,给予警告;拒不改正的,责令停业整顿,可以并处1万元以上5万元以下的罚款。
商事调解组织违反本条例规定开展业务或者以不正当手段承揽业务的,由县级以上人民政府司法行政部门责令改正,给予警告,并处5万元以上10万元以下的罚款;情节严重的,依法吊销执业证书,并处10万元以上30万元以下的罚款,对其负责人给予警告,并处1万元以上5万元以下的罚款;有违法所得的,没收违法所得。
第三十条 商事调解员未履行保密义务造成严重后果,或者与当事人串通进行虚假调解活动,损害国家利益、社会公共利益和他人合法权益的,由县级以上人民政府司法行政部门责令改正,给予警告,并处1万元以上10万元以下的罚款;情节严重的,责令暂停1年以上3年以下商事调解业务;有违法所得的,没收违法所得。
第三十一条 国务院司法行政部门依照本条例制定商事调解组织管理的具体办法。
本条例施行前已经成立的从事商事调解的组织,继续开展商事调解活动的,应当自本条例施行之日起1年内,依照本条例的规定办理执业手续。
第三十二条 行业协会商会等开展公益性调解活动,不适用本条例。
第三十三条 本条例自2026年5月1日起施行。
-
06
/19 -
国家互联网信息办公室】关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知
为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,我办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见:
1.通过电子邮件将意见发送至:shujuju@cac.gov.cn。
2.通过信函将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络数据管理局,邮编:100044,并在信封上注明“网络数据安全管理条例征求意见”。
意见反馈截止时间为2021年12月13日。
附件:《网络数据安全管理条例(征求意见稿)》
国家互联网信息办公室
2021年11月14日
网络数据安全管理条例
(征求意见稿)
第一章 总则
第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
第三条 国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。
第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。
国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
第六条 数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。
数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。
第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
第二章 一般规定
第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:
(一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;
(二)侵害他人名誉权、隐私权、著作权和其他合法权益等;
(三)通过窃取或者以其他非法方式获取数据;
(四)非法出售或者非法向他人提供数据;
(五)制作、发布、复制、传播违法信息;
(六)法律、行政法规禁止的其他行为。
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。
第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
数据处理者应当使用密码对重要数据和核心数据进行保护。
第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。
第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
第十五条 数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。
第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。
第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。
第三章 个人信息保护
第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;
(六)个人信息安全风险及保护措施;
(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(七)不得超出个人授权同意的范围处理个人信息;
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。
对个人同意行为有效性存在争议的,数据处理者负有举证责任。
第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。
第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
法律、行政法规另有规定的从其规定。
第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
法律、行政法规另有规定的从其规定。
第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。
第四章 重要数据安全
第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。
第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:
(一)研究提出数据安全相关重大决策建议;
(二)制定实施数据安全保护计划和数据安全事件应急预案;
(三)开展数据安全风险监测,及时处置数据安全风险和事件;
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(五)受理、处置数据安全投诉、举报;
(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。
第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
(三)国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
依据部门职责分工,网信部门与有关部门共享备案信息。
第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。
第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(一)处理重要数据的情况;
(二)发现的数据安全风险及处置措施;
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
(四)落实国家数据安全法律、行政法规和标准情况;
(五)发生的数据安全事件及其处置情况;
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
(七)数据安全相关的投诉及处理情况;
(八)国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工,网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:
(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;
(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;
(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;
(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
第三十三条 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。
第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。
第五章 数据跨境安全管理
第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
(一)出境数据中包含重要数据;
(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
(三)国家网信部门规定的其它情形。
法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
第三十九条 数据处理者向境外提供数据应当履行以下义务:
(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
(四)接受和处理数据出境所涉及的用户投诉;
(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
(六)存留相关日志记录和数据出境审批记录三年以上;
(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
(九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
(一)全部数据接收方名称、联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、存储期限、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)发生的数据安全事件及其处置情况;
(六)数据出境后再转移的情况;
(七)国家网信部门明确向境外提供数据需要报告的其他事项。
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
第六章 互联网平台运营者义务
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。
第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
移动通信终端预装第三方产品适用本条前两款规定。
第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。
第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动:
(一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
(三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
第四十七条 提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。
第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:
(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;
(二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;
(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。
第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。
第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。
第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。
互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。
第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。
第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。
第七章 监督管理
第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。
第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查:
(一)要求数据处理者相关人员就监督检查事项作出说明;
(二)查阅、调取与数据安全有关的文档、记录;
(三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;
(四)核验数据出境类型、范围等;
(五)法律、行政法规、规章规定的其他必要方式。
有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。
数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。
第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。
第五十九条 国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
国家支持成立个人信息保护行业组织,开展以下活动:
(一)接受个人信息保护投诉举报并进行调查、调解;
(二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼;
(三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督;
(四)向有关部门反映个人信息保护情况、提供咨询、建议;
(五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。
第八章 法律责任
第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。
第六十三条 关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。
第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定,由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第六十五条 违反本条例第三十九条第二款的规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第六十六条 个人和组织违反第四十一条的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。
第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。
第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定,由有关主管部门责令改正,予以警告;拒不改正,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
第七十条 数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七十一条 国家机关不履行本法规定的数据安全保护义务的,由其上级机关或者履行数据安全管理职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十二条 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第九章 附则
第七十三条 本条例下列用语的含义:
(一)网络数据(简称数据)是指任何以电子方式对信息的记录。
(二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
(五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
(六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。
(七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。
(八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
(九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
(十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
(十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
(十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。
第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。
第七十五条 本条例自 年 月 日起施行。