三部门联袂发布《网络数据安全风险评估办法》

6月18日，国家网信办、工业和信息化部、公安部三部门共同发布《网络数据安全风险评估办法》（以下简称为《办法》），该办法将于2026年8月20日起正式施行。

国家网信办相关负责人指出，《办法》的制定出台，是践行党中央、国务院关于数据安全治理工作决策部署的关键行动，也是贯彻实施《数据安全法》《网络数据安全管理条例》等相关法律规范的有效手段。《办法》的核心目标在于健全网络数据安全风险评估机制，优化数据安全治理体系，通过筑牢数据安全防线来促进数据的开发利用与产业繁荣。

《办法》对适用范围、评估机制及部门职能作出清晰界定。明确在我国境内开展的网络数据安全风险评估活动均须遵循本办法。确立在国家数据安全工作协调机制统筹下，国家网信部门协同国务院电信、公安等主管机构构建网络数据安全风险评估专项工作体系，负责指导与监管评估事务。明确各主管部门可依实际工作需要，对本行业、本领域内处理重要数据的网络数据处理主体所开展的风险评估状况实施监督检查。

《办法》对风险评估的具体要求、依据标准及实施形式予以细化。要求重要数据处理主体须按年度实施风险评估。当重要数据的安全状况产生重大变动且可能对数据安全构成负面影响时，须及时针对变动部分及其影响范围开展评估。倡导处理一般数据的网络数据处理主体至少每3年进行一次风险评估。明确评估活动须依法依规进行，并参照相关国家标准执行。规定网络数据处理主体可自行组织实施评估，亦可委托专业第三方评估机构承担。

《办法》对评估机构的资质认证、行业培育及重大风险通报等作出规定。明确国家网信部门与国务院电信、公安等主管机构应积极推动网络数据安全风险评估服务产业的健康发展，着力培育专业评估机构。要求评估机构开展业务时须严格守法，秉持公平公正原则进行风险研判，禁止将评估业务转包给其他机构。规定评估机构发现重大数据安全风险隐患时，须第一时间告知网络数据处理主体。支持并鼓励符合条件的评估机构申请专业认证。

《办法》对风险评估报告的撰写、提交及审查提出明确要求。规定重要数据处理主体须依照有关主管部门的具体规定编制风险评估报告并按时报送，主管部门应将报告抄送同级网信部门。明确国家网信部门负责汇总各类报告，并与国务院电信、公安、国家安全等主管机构实现信息共享。（作者/苏晓）