《网络数据安全风险评估办法》权威解读

6月18日，网信办、工信部及公安部联合发布了《网络数据安全风险评估办法》（简称《办法》）。国家网信办相关负责人就该《办法》接受了媒体采访。

问1：请简述《办法》的出台背景？

答：《十四五规划纲要》提出实施数据分类分级，增强安全防护。《数据安全法》第三十条要求重要数据处理者定期评估并向主管部门报送报告。《网络数据安全管理条例》第三十三条则规定重要数据处理者每年需开展一次风险评估。此外，第四十八条明确各主管部门应负责本领域监管，定期组织风险评估。

制定《办法》是落实国家数据安全治理部署的关键步骤，旨在厘清评估流程与规范，强化各部门间的统筹协调。这有助于引导数据处理者通过评估提升安全水平，保障国家重要数据安全，从而以高水平安全推动数字经济的高质量发展。

问2：《办法》适用于哪些情形？

答：凡是在中国境内开展网络数据安全风险评估，都必须遵守该《办法》。

所谓网络数据安全风险评估，即对网络数据及处理活动的安全性进行识别、分析与评价的过程。

问3：哪些单位需进行风险评估？

答：依据相关法规，《办法》规定处理重要数据的企业（重要数据处理者）必须每年评估一次。此外，若重要数据安全状况发生重大变化可能带来风险，也需及时对相关部分进行评估。

同时，《办法》也鼓励处理一般数据的企业每3年至少开展一次评估。

问4：怎样防止不必要及重复的检查？

答：根据《办法》，在国家数据安全协调机制下，网信部门联合电信、公安等部门建立了专项机制。各主管部门依据“谁主管谁负责”的原则，制定年度检查计划并于1月底前报送网信部门。网信部门将计划与相关部门共享协调，从而规避重复检查。

同时，《办法》还规定，对于同一安全事件或风险，不得要求数据处理者委托机构进行重复评估。

问5：评估可自行或委托第三方进行吗？

答：数据处理者可依自身条件选择自行评估或委托第三方。若自行评估，须指定专人负责；若委托第三方，则需通过合同或法律文件明确双方权利义务。

问6：评估可参考哪些标准？

答：2025年11月1日实施的GB/T 45577-2025标准明确了评估流程、内容及报告模板；同年10月1日实施的GB/T 45389-2025标准则规定了评估机构在基础、管理、技术、人力及设备方面的能力要求。

对于主管部门未作规定的领域，可参照上述标准开展评估及能力建设。若有特别规定，则按其要求并参照行业规范执行。

问7：《办法》对第三方机构有何管理要求？

答：《办法》强化了对第三方评估机构的能力培育与规范管理，要求包括：一是鼓励机构通过认证证明服务能力；二是网信、公安等部门积极培育评估市场；三是机构需依法公正评估，并对报告的真实性、有效性、完整性负责；四是机构不得转委托，且同一机构及其关联方不得连续3次以上为同一数据处理者做年度评估；五是发现重大风险需及时通知；六是机构及人员需对获取的数据、商业秘密等严格保密。

问8：《办法》如何强化评估监管？

答：为确保全链条监管，《办法》要求：一是主管部门定期组织评估，防范风险；二是省级以上部门核查重要数据处理者的评估报告，发现问题可要求指定评估；三是发现危害国安公益的行为，应及时责令整改或暂停处理；四是加强风险信息共享与协同处置；五是畅通社会监督，及时处理投诉举报；六是严格执法，对未按规定评估或违规操作的机构依法惩处。