三部门发布《网络数据安全风险评估办法》

6月18日，国家网信办、工业和信息化部与公安部共同发布《网络数据安全风险评估办法》（简称《办法》），该办法将于2026年8月20日正式实施。

国家网信办相关负责人指出，《办法》的出台是落实党中央、国务院关于数据安全治理工作部署的关键举措，也是贯彻《数据安全法》《网络数据安全管理条例》等法律法规的具体行动。《办法》旨在规范网络数据安全风险评估活动，优化数据安全管理机制，以数据安全为支撑推动数据资源开发与产业进步。

《办法》界定了适用范围、评估机制及部门职责。规定在中华人民共和国境内开展网络数据安全风险评估须遵循本办法。明确在国家数据安全工作协调机制下，由国家网信部门牵头，联合国务院电信、公安等部门建立专项工作机制，负责指导与监督风险评估工作。同时，要求相关主管部门根据职责对本行业、本领域内处理重要数据的网络数据处理者（简称重要数据处理者）的评估情况进行检查。

《办法》设定了风险评估的具体要求、依据与形式。规定重要数据处理者需每年开展风险评估；若重要数据安全状态发生重大变化并可能影响数据安全，应及时对变化部分及其影响进行重新评估。鼓励处理一般数据的网络数据处理者至少每三年进行一次评估。明确评估工作须依法依规开展，并参照相关国家标准。网络数据处理者可自行或委托第三方评估机构实施风险评估。

《办法》对评估机构的认证、培育及重大风险通知等提出要求。规定国家网信部门会同国务院电信、公安等部门积极推动网络数据安全评估服务发展，培育专业评估机构。评估机构开展工作时须遵守法律法规，客观公正地作出风险判断，且不得转委托其他机构。若发现重大数据安全风险，评估机构应及时通知相关网络数据处理者。同时鼓励评估机构通过认证以提升专业水平。

《办法》明确了风险评估报告的编制、报送及检查要求。规定重要数据处理者须依法依规编制并报送风险评估报告，相关主管部门将报告通报同级网信部门。国家网信部门负责汇总报告，并与国务院电信、公安、国家安全等部门共享。省级以上有关部门可对重要数据处理者的风险评估报告进行核查。

《办法》规定了监督管理要求。省级以上有关部门可要求网络数据处理者委托经认证的评估机构开展评估。若发现重要数据处理活动可能危害国家安全或公共利益，相关部门应责令整改；对拒不整改或整改不达标的主体，可采取停止处理重要数据等措施。任何组织或个人均有权向有关部门投诉或举报风险评估中的违法行为。省级以上有关部门若发现网络数据处理者未按规定开展评估，将依法处理。