首页 > 国内 > 网络数据安全风险评估新规解读
标签

网络数据安全风险评估新规解读

发布时间:2026-06-18 18:57阅读:1

中华人民共和国工业和信息化部

《网络数据安全风险评估办法》已于2026年6月1日经国家互联网信息办公室第12次室务会会议通过,并获工业和信息化部及公安部批准,现正式发布,自2026年8月20日起正式实施。

国家互联网信息办公室主任庄荣文

工业和信息化部部长李乐成

网络数据安全风险评估办法

第一条为规范网络数据安全风险评估工作,确保数据安全,推动数据依法合理利用,依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规,特制定本办法。

第二条凡在中华人民共和国境内从事网络数据安全风险评估活动,均须遵守本办法。

本办法所称网络数据安全风险评估(简称风险评估),是指对网络数据及其处理活动的安全性进行风险识别、分析与评价的过程。

第三条在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等部门建立专项工作机制,负责指导并监督风险评估工作。

第四条各主管部门应遵循“谁主管业务、谁管数据、谁负责安全”的原则,定期组织本行业、本领域的风险评估,并针对涉及重要数据处理的网络数据处理者(简称重要数据处理者)开展检查。每年1月底前,将年度检查计划报送国家网信部门。国家网信部门通过协调机制与国务院电信、公安、国家安全等部门共享计划,避免重复检查。

主管部门在检查过程中不得向被检查的重要数据处理者收取任何费用。

第五条重要数据处理者须每年开展一次风险评估。

若重要数据安全状态发生重大变化并可能影响数据安全,应及时对变化部分及其影响开展风险评估。

鼓励处理一般数据的网络数据处理者(简称一般数据处理者)至少每三年进行一次风险评估。

第六条风险评估工作应依据《中华人民共和国数据安全法》《网络数据安全管理条例》及相关国家标准进行。各主管部门对特定行业或领域另有规定的,从其规定。

第七条网络数据处理者可自行开展风险评估,也可委托第三方评估机构(简称评估机构)进行。

自行开展风险评估的,应指定专人负责;委托评估机构开展的,应通过合同或其他法律文件明确双方权利义务。

第八条鼓励评估机构通过认证。相关认证工作按《中华人民共和国认证认可条例》执行。

第九条在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等部门积极推动风险评估服务发展,培育专业评估机构。

第十条评估机构开展风险评估应遵守法律法规,公正客观地判断风险,并对报告真实性、有效性和完整性负责。

第十一条评估机构不得将风险评估工作转委托给其他机构。

第十二条同一评估机构及其关联机构不得连续三次以上对同一网络数据处理者开展年度风险评估。

第十三条评估机构在评估过程中发现重大数据安全风险的,应及时通知相关网络数据处理者。

第十四条评估机构及其工作人员应对评估中获取的数据、商业秘密和保密信息依法保密,不得泄露或非法提供。评估结束后,应按规定删除或妥善处理相关信息。

第十五条重要数据处理者应按规定编制年度风险评估报告。若无具体规定,可参照相关国家标准。报告保存期限不少于三年。

一般数据处理者可参照上述要求编制报告。

第十六条重要数据处理者应在年度评估完成后20个工作日内向主管部门报送报告。若主管部门不明确,可报送至省级或国家网信部门。

主管部门应公开报告报送渠道和联系方式,及时接收报告,并在收到后10个工作日内通报同级网信部门。国家网信部门将汇总报告并与国务院电信、公安、国家安全等部门共享。

省级以上网信、电信、公安、国家安全等部门可对报告真实性、准确性进行核查,重要数据处理者应予以配合。

第十七条省级以上网信、电信、公安等部门在检查中发现以下情形的,可要求网络数据处理者委托认证评估机构开展评估:

(一)存在较大安全风险,可能危害国家安全或公共利益的;

(二)发生数据安全事件,导致重要数据或大规模个人信息泄露、被窃取的;

(三)其他由有关部门规定的情形。

对同一事件或风险,不得重复要求委托评估。

第十八条网络数据处理者按要求委托评估机构开展评估时,应履行以下义务:

(一)为评估机构提供必要支持,包括访问权限、系统日志等;

(二)在限定时间内完成评估,情况复杂的可申请延期;

(三)评估完成后提交报告,报告须由评估机构负责人签字并加盖公章;

(四)按要求整改问题,并在整改完成后15个工作日内报送整改报告。

网络数据处理者不得以任何方式要求评估机构出具不实或不当报告。

第十九条有关部门在检查中发现重要数据处理活动可能危害国家安全或公共利益的,应责令整改。拒不整改或未达要求的,可采取停止处理重要数据等措施。

第二十条主管部门应加强风险信息共享与协同处置,及时处理评估中发现的问题,并按规定报告。

第二十一条任何组织或个人有权举报评估中的违法行为,相关部门应依法及时处理。

第二十二条省级以上网信、电信、公安等部门发现网络数据处理者未按规定开展评估的,应依据《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规处理。

发现评估机构违规开展评估的,也应依法处理。

第二十三条涉及核心数据的网络数据处理者风险评估,按国家有关规定执行。

涉及重要数据加密等技术的,应按国家密码法律法规开展商用密码应用安全性评估。

第二十四条涉及国家秘密、工作秘密的评估活动,按《中华人民共和国保守国家秘密法》等法律法规及保密规定执行。

第二十五条本办法自2026年8月20日起施行。

← 上一篇:网信办公开征询分布式数字身份互通应用规范意见 下一篇:海报设计揭秘:省级“十五五”规划要点 →