重磅!《网络数据安全风险评估办法》8月20日起施行

admin 2026-06-30 09:05:35 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 《网络数据安全风险评估办法》由国家网信办等三部门联合发布,自2026年8月20日起施行。该办法旨在规范网络数据安全风险评估活动,要求重要数据处理者每年开展一次评估,一般数据处理者则鼓励至少每3年一次。企业可自行或委托第三方机构进行评估,并需在规定时限内向主管部门报送评估报告。办法还对第三方评估机构的独立性、保密义务等提出了明确要求,以确保评估过程的公正与报告的真实有效。 综合评分: 95 文章分类: 政策法规,数据安全,网络安全,安全建设,解决方案


cover_image

重磅!《网络数据安全风险评估办法》8月20日起施行

信安客

2026年6月29日 18:11 四川

在小说阅读器读本章

去阅读

【核心速览】

2026年6月18日,国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(以下简称《办法》),自2026年8月20日起施行。这是继《数据安全法》《网络数据安全管理条例》之后,数据安全治理领域的又一重要制度性文件,下附全文。

一、为什么出台这个《办法》?

《办法》的出台有三大背景:

  1. 法律明确要求:《数据安全法》第三十条规定,重要数据处理者应当定期开展风险评估并报送报告;《网络数据安全管理条例》第三十三条进一步明确”每年度”评估要求。
  2. “十五五”规划部署:《国民经济和社会发展第十五个五年规划纲要》提出,实施数据分类分级管理,提升数据安全保护能力。
  3. 治理体系完善需要:通过明确风险评估的方式方法、程序流程,加强各地区各部门统筹协调,以高水平安全促进数字经济高质量发展

二、哪些企业需要开展风险评估?

| 评估对象 | 评估频率 | 触发条件 | | — | — | — | | 重要数据处理者 | 每年度一次 | 安全状态发生重大变化时,需及时对变化部分开展评估 | | 一般数据处理者 | 鼓励至少每3年一次 | — | | 核心数据处理者 | 按国家有关规定执行 | — |

划重点:重要数据≠全部数据。《办法》明确,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

三、风险评估怎么开展?

方式灵活:可自评,也可委托第三方

  • 自行评估:需指定专人负责
  • 委托第三方:需通过合同明确双方权利义务

评估依据:有标可依

  • GB/T 45577-2025《数据安全技术 数据安全风险评估方法》(2025年11月1日实施):明确实施流程、评估内容、分析评价方法及报告模板
  • GB/T 45389-2025《数据安全技术 数据安全评估机构能力要求》(2025年10月1日实施):明确评估机构的基础条件、管理能力、技术能力等要求

行业主管部门另有规定的,按行业规定执行;没有规定的,参照上述国家标准。

四、第三方评估机构有哪些”紧箍咒”?

《办法》对评估机构提出了六大规范要求

  1. 能力认证:鼓励通过认证方式证明服务能力
  2. 独立公正:不得转委托其他机构
  3. 轮换机制:同一机构及其关联机构不得连续3次以上对同一处理者开展年度评估
  4. 风险通报:发现重大数据安全风险,必须及时通知数据处理者
  5. 保密义务:对获取的数据、商业秘密、保密商务信息等依法保密
  6. 报告责任:对风险评估报告的真实性、有效性、完整性负责

同时,国家网信部门和有关部门将积极培育评估机构,促进风险评估服务发展。

五、评估报告怎么报送?

| 环节 | 要求 | | — | — | | 报送时限 | 年度评估完成后20个工作日内 | | 报送对象 | 有关主管部门;主管部门不明确的,向省级或国家网信部门报送 | | 报告保存 | 至少保存3年 | | 共享机制 | 国家网信部门汇总报告,与有关部门共享 | | 核验检查 | 省级以上有关部门可对报告进行真实性、准确性检查核验 |

六、监管闭环:从”发现”到”处置”全链条

《办法》构建了完整的监管闭环:

事前预防

  • 有关主管部门定期组织开展本行业、本领域风险评估
  • 每年1月底前报送年度检查计划,国家网信部门协调共享,避免重复检查

事中处置

发现以下情形,省级以上有关部门可要求委托通过认证的评估机构开展评估:

  • 网络数据处理活动存在较大安全风险,可能危害国家安全、公共利益
  • 发生安全事件,导致重要数据或大规模个人信息泄露、被窃取
  • 有关部门规定的其他情形

事后追责

  • 发现重要数据处理活动危害国家安全、公共利益的,及时给予要求整改、暂停重要数据处理活动等行政指导
  • 拒不整改或整改不达标的,可采取停止处理重要数据等措施
  • 任何组织、个人有权投诉举报,有关部门应当及时处理

监管原则:”谁管业务、谁管业务数据、谁管数据安全”


七、企业应该怎么做?

| | | | — | — | | 即日起 | 梳理本企业是否涉及重要数据处理活动 | | 8月20日前 | 建立风险评估工作机制,明确责任人和流程 | | 2026年度内 | 完成首次风险评估(如适用) | | 持续 | 关注数据安全状态变化,及时启动专项评估 |

关键提醒

  1. 不要等”:8月20日施行后,重要数据处理者必须每年度开展评估
  2. 选对评估机构:如需委托第三方,注意核实机构资质,避免”连续3次以上”使用同一机构
  3. 报告质量是底线:报告真实性、准确性将接受主管部门核验,弄虚作假将面临法律后果
  4. 重视加密评估:涉及重要数据加密等技术措施的,需同步开展商用密码应用安全性评估

八、写在最后

《网络数据安全风险评估办法》的出台,标志着我国数据安全治理从”建制度”向”抓落实”迈出了关键一步。对企业而言,风险评估不是负担,而是发现隐患、补齐短板、提升竞争力的契机

在数字经济时代,数据安全就是企业生命线。合规经营、主动评估、持续改进,才能在数据驱动的浪潮中行稳致远。

本文基于国家网信办官方发布内容整理,仅供参考,具体执行请以正式法规文本为准。

—————————————————–

国家互联网信息办公室

中华人民共和国工业和信息化部

中华人民共和国公安部

第24号

《网络数据安全风险评估办法》已经2026年6月1日国家互联网信息办公室2026年第12次室务会会议审议通过,并经中华人民共和国工业和信息化部、中华人民共和国公安部同意,现予公布,自2026年8月20日起施行。

国家互联网信息办公室主任 庄荣文

工业和信息化部部长 李乐成

公安部部长 王小洪

2026年6月18日

网络数据安全风险评估办法

第一条 为了规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规,制定本办法。

第二条 在中华人民共和国境内开展网络数据安全风险评估,应当遵守本办法。

本办法所称网络数据安全风险评估(以下简称风险评估),是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。

第三条 在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作。

第四条 有关主管部门应当按照谁管业务、谁管业务数据、谁管数据安全的原则,定期组织开展本行业、本领域风险评估,根据工作需要对本行业、本领域处理重要数据的网络数据处理者(以下简称重要数据处理者)开展风险评估情况进行检查,并于每年1月底前将年度风险评估检查计划报送国家网信部门。国家网信部门通过国家数据安全工作协调机制将计划与国务院电信、公安、国家安全等有关部门共享并进行协调,避免不必要的检查和交叉重复检查。

有关主管部门开展检查不得向被检查的重要数据处理者收取费用。

第五条 重要数据处理者应当每年度开展风险评估。

重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。

鼓励处理一般数据的网络数据处理者(以下简称一般数据处理者)至少每3年开展一次风险评估。

第六条 风险评估工作应当按照《中华人民共和国数据安全法》、《网络数据安全管理条例》有关要求,参照数据安全风险评估有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的,从其规定。

第七条 网络数据处理者可以自行或者委托第三方评估机构(以下简称评估机构)开展风险评估。

网络数据处理者自行开展风险评估,应当指定专人负责。网络数据处理者委托评估机构开展风险评估,应当通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、义务等。

第八条 鼓励相关评估机构通过认证。评估机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。

第九条 在国家数据安全工作协调机制指导下,国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展,培育评估机构。

第十条 评估机构开展风险评估应当遵守法律法规,公正客观地作出风险判断,并对所出具的风险评估报告真实性、有效性、完整性负责。

第十一条 评估机构不得转委托其他机构开展风险评估。

第十二条 同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。

第十三条 评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的,应当及时通知网络数据处理者。

第十四条 评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在风险评估结束后及时删除或者按照合同约定妥善处置相关信息。

第十五条 重要数据处理者开展年度风险评估,应当依法按照有关主管部门规定编制风险评估报告。有关主管部门对风险评估报告没有规定的,可以参照数据安全风险评估有关国家标准编制风险评估报告。风险评估报告至少保存3年。

一般数据处理者可以参照前款要求编制风险评估报告。

第十六条 重要数据处理者应当在年度风险评估完成后的20个工作日内按照有关主管部门要求向其报送风险评估报告。主管部门不明确的,向省级网信部门或者国家网信部门报送。

有关主管部门应当公开风险评估报告报送渠道和联系方式,及时接收重要数据处理者报送的风险评估报告,自收到风险评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告,并与国务院电信、公安、国家安全等有关部门共享。

省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验,重要数据处理者应当配合开展检查核验。

第十七条 省级以上网信部门、电信主管部门、公安机关和其他有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的,可以要求其委托通过认证的评估机构开展风险评估:

(一)网络数据处理活动存在较大安全风险,可能危害国家安全、公共利益的;

(二)发生网络数据安全事件,导致重要数据或者大规模个人信息泄露、被窃取的;

(三)有关部门规定的其他情形。

对同一网络数据安全事件或者风险,不得重复要求网络数据处理者委托评估机构开展风险评估。

第十八条 网络数据处理者按照有关部门要求委托评估机构开展风险评估的,应当履行下列义务:

(一)为评估机构开展风险评估提供必要支持,包括为风险评估人员提供必要的访问网络数据设施、网络数据、系统及操作日志记录权限等;

(二)在限定时间内完成风险评估,情况复杂的,报有关部门批准后可以适当延长;

(三)在完成风险评估后将评估机构出具的风险评估报告报送有关部门,风险评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章;

(四)按照有关部门要求对风险评估中发现的问题进行整改,在整改完成后15个工作日内,向有关部门报送整改情况报告。

网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的风险评估报告。

第十九条 有关部门在组织开展风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的,应当依据职责责令重要数据处理者进行整改;对拒不整改或者未达到整改要求的重要数据处理者,可以采取要求其停止处理重要数据等措施。

第二十条 有关主管部门应当加强风险信息共享和协同处置,及时处置风险评估中发现的安全风险和问题,并按照有关规定及时报告。

第二十一条 任何组织、个人有权对风险评估中的违法活动向有关部门进行投诉、举报,收到投诉、举报的部门应当依法及时处理。

第二十二条 省级以上网信部门、电信主管部门、公安机关、国家安全机关或者其他有关部门发现网络数据处理者未按规定开展风险评估的,应当依据《中华人民共和国数据安全法》、《网络数据安全管理条例》等有关法律、行政法规予以处理。

发现评估机构违反本办法开展风险评估的,有关部门应当依法予以处理。

第二十三条 处理核心数据的网络数据处理者的风险评估,按照国家有关规定执行。

涉及重要数据加密等技术措施的,应当按照国家密码相关法律、行政法规要求开展商用密码应用安全性评估。

第二十四条 开展涉及国家秘密、工作秘密的风险评估活动,按照《中华人民共和国保守国家秘密法》等法律、行政法规及国家保密规定执行。

第二十五条 本办法自2026年8月20日起施行。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:信安客 《重磅!《网络数据安全风险评估办法》8月20日起施行》

评论:0   参与:  0