6月18日，國家網信辦、工業和信息化部、公安部聯合公布《網絡數據安全風險評估辦法》（以下簡稱《辦法》），自2026年8月20日起施行。

國家網信辦有關負責人表示，出臺《辦法》是貫徹落實黨中央、國務院關于數據安全治理工作部署的重要舉措，是落實《數據安全法》《網絡數據安全管理條例》等法律法規要求的有力措施。《辦法》旨在規范網絡數據安全風險評估活動，完善數據安全管理體制機制，以數據安全保障數據開發利用和產業發展。

《辦法》明確了適用范圍、評估機制和部門職責。規定在中華人民共和國境內開展網絡數據安全風險評估應當遵守本辦法。明確在國家數據安全工作協調機制指導下，國家網信部門會同國務院電信、公安等有關部門建立網絡數據安全風險評估專項工作機制，指導、監督風險評估工作。規定有關主管部門根據工作需要對本行業、本領域處理重要數據的網絡數據處理者（以下簡稱重要數據處理者）開展風險評估情況進行檢查。

《辦法》明確了風險評估的有關要求、依據和形式。規定重要數據處理者應當每年度開展風險評估。重要數據安全狀態發生重大變化可能對數據安全造成不利影響的，應當及時對發生變化及其影響的部分開展風險評估。鼓勵處理一般數據的網絡數據處理者至少每3年開展一次風險評估。明確風險評估工作應當按照法律法規要求，參照有關國家標準開展。規定網絡數據處理者可以自行或者委托第三方評估機構開展風險評估。

《辦法》明確了評估機構的認證、培育、重大風險通知等要求。規定國家網信部門和國務院電信、公安等有關部門積極促進網絡數據安全風險評估服務的發展，培育評估機構。明確評估機構開展風險評估應當遵守法律法規，公正客觀地作出風險判斷，不得轉委托其他機構開展風險評估。規定評估機構發現重大數據安全風險的，應當及時通知網絡數據處理者。鼓勵相關評估機構通過認證。

《辦法》明確了風險評估報告的編制、報送與檢查要求。規定重要數據處理者應當依法按照有關主管部門規定和要求編制并報送風險評估報告，有關主管部門將報告通報同級網信部門。明確國家網信部門匯總相關報告，并與國務院電信、公安、國家安全等有關部門共享。規定省級以上有關部門可以對重要數據處理者的風險評估報告進行檢查核驗。

《辦法》明確了監督管理要求。規定省級以上有關部門可以要求網絡數據處理者委托通過認證的評估機構開展風險評估。有關部門發現重要數據處理活動可能危害國家安全、公共利益的，應當依據職責責令重要數據處理者進行整改，對拒不整改或者未達到整改要求的重要數據處理者，可以采取要求其停止處理重要數據等措施。明確任何組織、個人有權對風險評估中的違法活動向有關部門進行投訴、舉報。規定省級以上有關部門發現網絡數據處理者未按規定開展風險評估的，應當依法予以處理。

《網絡數據安全風險評估辦法》答記者問

6月18日，國家網信辦、工業和信息化部、公安部聯合公布《網絡數據安全風險評估辦法》（以下簡稱《辦法》）。國家網信辦有關負責同志就《辦法》回答了記者提問。

問1：請介紹一下《辦法》的出臺背景？

答：《中華人民共和國國民經濟和社會發展第十五個五年規劃綱要》提出，實施數據分類分級管理，提升數據安全保護能力。《數據安全法》第三十條規定，重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。《網絡數據安全管理條例》第三十三條規定，重要數據的處理者應當每年度對其網絡數據處理活動開展風險評估。第四十八條規定，各有關主管部門承擔本行業、本領域網絡數據安全監督管理職責，定期組織開展本行業、本領域網絡數據安全風險評估。

出臺《辦法》，是落實黨中央、國務院關于數據安全治理工作部署和法律法規有關要求的重要舉措，旨在明確風險評估工作的方式方法、程序流程，加強各地區、各部門風險評估統籌協調，指導網絡數據處理者通過網絡數據安全風險評估提升數據安全保障能力，維護國家重要數據安全，以高水平安全促進數字經濟高質量發展。

問2：《辦法》的適用范圍是什么？

答：在中華人民共和國境內開展網絡數據安全風險評估，應當遵守《辦法》。

《辦法》所稱網絡數據安全風險評估（以下簡稱風險評估），是指對網絡數據和網絡數據處理活動安全進行的風險識別、風險分析和風險評價等活動。

問3：哪些主體需要開展風險評估？

答：根據《數據安全法》《網絡數據安全管理條例》等法律法規，《辦法》明確處理重要數據的網絡數據處理者（以下簡稱重要數據處理者）應當每年度開展風險評估，同時重要數據安全狀態發生重大變化可能對數據安全造成不利影響的，應當及時對發生變化及其影響的部分開展風險評估。

此外，《辦法》鼓勵處理一般數據的網絡數據處理者至少每3年開展一次風險評估。

問4：如何避免不必要的網絡數據安全相關檢查和交叉重復檢查？

答：按照《辦法》要求，在國家數據安全工作協調機制指導下，國家網信部門會同國務院電信、公安等有關部門建立網絡數據安全風險評估專項工作機制，指導、監督風險評估工作。有關主管部門按照誰管業務、誰管業務數據、誰管數據安全的原則，組織開展本行業、本領域風險評估及相應檢查，于每年1月底前將年度風險評估檢查計劃報送國家網信部門。國家網信部門將計劃與國務院電信、公安、國家安全等有關部門共享并進行協調，避免不必要的檢查和交叉重復檢查。

同時，《辦法》明確要求，對同一網絡數據安全事件或者風險，不得重復要求網絡數據處理者委托評估機構開展風險評估。

問5：風險評估是否可以自行開展或者委托第三方機構開展？

答：網絡數據處理者可以根據自身能力、條件情況，選擇自行或者委托第三方評估機構開展風險評估。《辦法》要求，對于網絡數據處理者自行開展風險評估的，應當指定專人負責；對于委托第三方評估機構開展風險評估的，應當通過訂立合同或者其他具有法律效力的文件等方式明確雙方的權利、義務等。

問6：網絡數據處理者開展風險評估可以參考哪些標準或規范？

答：2025年11月1日實施的推薦性國家標準《數據安全技術 數據安全風險評估方法》（GB/T 45577-2025），明確數據安全風險評估的實施流程、評估內容、分析評價方法以及評估報告模板等。2025年10月1日實施的推薦性國家標準《數據安全技術 數據安全評估機構能力要求》（GB/T 45389-2025），明確評估機構的基礎條件、管理能力、技術能力、人力資源能力、場所與設備資源能力等要求。

對于有關主管部門對本行業、本領域風險評估工作沒有規定的，可以參照上述標準開展風險評估、建設相應能力。對于有關主管部門另有規定的，可以按照相關規定，參照行業領域標準規范開展風險評估。

問7：《辦法》對于第三方評估機構的培育和管理提出了哪些要求？

答：《辦法》加強了對第三方評估機構的能力培育，以及開展風險評估活動的規范管理，具體要求包括：一是鼓勵相關評估機構通過認證方式，證明具有開展評估服務的能力。二是國家網信部門和國務院電信、公安等有關部門積極促進網絡數據安全風險評估服務的發展，培育評估機構。三是第三方評估機構開展風險評估應當遵守法律法規，公正客觀地作出風險判斷，并對所出具的風險評估報告真實性、有效性、完整性負責。四是評估機構不得轉委托其他機構開展風險評估，且同一評估機構及其關聯機構不得連續3次以上對同一網絡數據處理者開展年度風險評估。五是評估機構在風險評估過程中發現網絡數據處理活動存在重大數據安全風險的，應當及時通知網絡數據處理者。六是評估機構及其工作人員應當對在風險評估過程中獲得的數據、商業秘密、保密商務信息等依法予以保密。

問8：《辦法》如何加強風險評估的事前事中事后監管？

答：對于做好風險評估與處置的事前事中事后全鏈條、全領域監管，《辦法》提出了具體要求：一是有關主管部門定期組織開展本行業、本領域風險評估，及時發現和防范網絡數據安全風險。二是省級以上有關部門對重要數據處理者的評估報告進行檢查核驗，在監督核驗等工作中發現網絡數據處理活動存在安全風險情形，可以要求網絡數據處理者進行指定評估。三是有關部門組織評估過程中發現的重要數據處理活動危害國家安全、公共利益的，應當及時給予要求整改、暫停重要數據處理活動等行政指導，排除網絡數據安全風險。四是要求有關部門加強風險信息共享，并做好相應風險的協同處置。五是發揮社會監督作用，對于組織、個人進行投訴、舉報，有關部門應當及時處理。六是嚴格公正執法，《辦法》施行后，對于網絡數據處理者未按規定開展風險評估或者評估機構違反《辦法》開展風險評估的，依法予以處理。

《網絡數據安全風險評估辦法》全文

來源：網信中國