重要數(shù)據(jù)需“年檢”！網(wǎng)絡(luò)數(shù)據(jù)安全風險評估新規(guī)征求意見

2025年12月6日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全風險評估辦法（征求意見稿）》（以下簡稱《征求意見稿》），向社會公開征求意見。這份文件明確指出，處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者，應(yīng)當每年度對其網(wǎng)絡(luò)數(shù)據(jù)處理活動開展風險評估。而未按規(guī)定開展風險評估的，將面臨監(jiān)管部門的處置處罰。

明確風險評估主體責任 重要數(shù)據(jù)每年必評

《征求意見稿》明確，在境內(nèi)開展網(wǎng)絡(luò)數(shù)據(jù)安全風險評估需遵循本辦法，評估內(nèi)容包括對網(wǎng)絡(luò)數(shù)據(jù)及其處理活動的風險識別、分析和評價等。依據(jù)數(shù)據(jù)類型的不同，征求意見稿提出差異化評估要求：處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者須每年度進行風險評估，在數(shù)據(jù)安全狀態(tài)發(fā)生重大變化可能對數(shù)據(jù)安全導致不利影響時，還需及時開展專項評估；處理一般數(shù)據(jù)的處理者則鼓勵至少每3年開展一次評估。

在評估方式上，網(wǎng)絡(luò)數(shù)據(jù)處理者可自行或委托第三方評估機構(gòu)開展風險評估。自行評估的需指定專人負責；委托機構(gòu)的，應(yīng)優(yōu)先選擇通過認證的評估機構(gòu)，并通過合同或具法律效力的文件明確雙方責任和保密義務(wù)。評估機構(gòu)不得再委托其他機構(gòu)，并需對評估報告的真實性、有效性和完整性負責。同一機構(gòu)及其關(guān)聯(lián)機構(gòu)不得連續(xù)3次以上為同一網(wǎng)絡(luò)數(shù)據(jù)處理者開展評估，并在評估中發(fā)現(xiàn)重大數(shù)據(jù)安全風險時，應(yīng)及時通報數(shù)據(jù)處理者并向省級以上網(wǎng)信部門和有關(guān)主管部門報告。

強化部門統(tǒng)籌協(xié)調(diào)職責 計劃報送、報告核驗并行

《征求意見稿》要求，各行業(yè)主管部門需按照“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則，定期組織本行業(yè)、本領(lǐng)域風險評估，并于每年1月底前向國家網(wǎng)信部門報送風險評估及檢查計劃。省級網(wǎng)信部門負責統(tǒng)籌本地區(qū)計劃并按要求報送。國家網(wǎng)信部門則對計劃進行統(tǒng)籌協(xié)調(diào)，避免重復評估和檢查，同時明確各部門不得向被檢查對象收取費用。

在評估成果管理方面，重要數(shù)據(jù)處理者應(yīng)當在年度風險評估完成后10個工作日內(nèi)按主管部門要求報送評估報告。主管部門需公開報告報送渠道和聯(lián)系方式，及時接收并在10個工作日內(nèi)通報同級網(wǎng)信部門，國家網(wǎng)信部門再進行匯總。省級以上網(wǎng)信部門和有關(guān)主管部門可對評估報告的真實性、準確性開展抽查核驗，網(wǎng)絡(luò)數(shù)據(jù)處理者需配合，并按要求保存報告至少三年。

相關(guān)結(jié)果可互相采信 避免重復評估、審計、認證

《征求意見稿》提出，對在核驗評估報告或監(jiān)督檢查中發(fā)現(xiàn)存在較大安全風險、發(fā)生重要數(shù)據(jù)或大規(guī)模個人信息泄露事件，或可能危害國家安全、公共利益的網(wǎng)絡(luò)數(shù)據(jù)處理者，有關(guān)部門應(yīng)要求網(wǎng)絡(luò)數(shù)據(jù)處理者委托通過認證的評估機構(gòu)開展風險評估。處理者需為評估機構(gòu)提供必要支持，并按要求完成評估和整改，在整改完成后15個工作日內(nèi)報送整改情況。

同時，《征求意見稿》要求各地區(qū)、各部門加強風險信息共享和協(xié)同處置，省級網(wǎng)信部門需在每年3月底前報送上一年度風險信息處置情況，由國家網(wǎng)信部門匯總報告。值得關(guān)注的是，風險評估、網(wǎng)絡(luò)安全等級保護測評、數(shù)據(jù)安全管理認證、個人信息保護合規(guī)審計、商用密碼應(yīng)用安全性評估等內(nèi)容重合的，征求意見稿提出相關(guān)結(jié)果可以互相采信，避免重復評估、審計、認證。對未按規(guī)定開展風險評估的處理者和違規(guī)開展評估的機構(gòu)，將依法追究責任；涉及國家秘密、工作秘密的風險評估活動則須依照國家保密法律法規(guī)執(zhí)行。

網(wǎng)絡(luò)數(shù)據(jù)安全風險評估辦法

（征求意見稿）

第一條 為了規(guī)范網(wǎng)絡(luò)數(shù)據(jù)安全風險評估活動，保障網(wǎng)絡(luò)數(shù)據(jù)安全，促進網(wǎng)絡(luò)數(shù)據(jù)依法合理有效利用，根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)，制定本辦法。

第二條 在中華人民共和國境內(nèi)開展網(wǎng)絡(luò)數(shù)據(jù)安全風險評估，應(yīng)當遵守本辦法。法律、行政法規(guī)、部門規(guī)章另有規(guī)定的，依照其規(guī)定。

本辦法所稱網(wǎng)絡(luò)數(shù)據(jù)安全風險評估（以下簡稱風險評估），是指對網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)處理活動安全進行的風險識別、風險分析和風險評價等活動。

第三條 國家網(wǎng)信部門在國家數(shù)據(jù)安全工作協(xié)調(diào)機制指導下，統(tǒng)籌各地區(qū)、各部門開展風險評估，加強工作協(xié)調(diào)、信息共享。

第四條 各有關(guān)主管部門應(yīng)當按照“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則，定期組織開展本行業(yè)、本領(lǐng)域風險評估，可以根據(jù)工作需要對本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)處理者開展風險評估情況進行檢查，并于每年1月底前向國家網(wǎng)信部門報送年度風險評估及檢查計劃。

省級網(wǎng)信部門統(tǒng)籌省級有關(guān)部門制定本行政區(qū)域年度風險評估及檢查計劃，按照前款要求報送國家網(wǎng)信部門。

第五條 國家網(wǎng)信部門在國家數(shù)據(jù)安全工作協(xié)調(diào)機制指導下，統(tǒng)籌有關(guān)主管部門和省級網(wǎng)信部門報送的年度風險評估及檢查計劃，避免重復評估、重復檢查。

各有關(guān)部門開展檢查不得向被檢查的網(wǎng)絡(luò)數(shù)據(jù)處理者收取費用。

第六條 處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者（以下簡稱重要數(shù)據(jù)處理者）應(yīng)當每年度對其網(wǎng)絡(luò)數(shù)據(jù)處理活動開展風險評估。重要數(shù)據(jù)安全狀態(tài)發(fā)生重大變化可能對數(shù)據(jù)安全造成不利影響的，應(yīng)及時對發(fā)生變化及其影響的部分開展風險評估。

鼓勵處理一般數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者（以下簡稱一般數(shù)據(jù)處理者）至少每3年開展一次風險評估。

第七條 風險評估工作應(yīng)當按照《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》有關(guān)要求和《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風險評估方法》（GB/T 45577）等有關(guān)國家標準開展。有關(guān)主管部門對本行業(yè)、本領(lǐng)域風險評估工作另有規(guī)定的，從其規(guī)定。

第八條 網(wǎng)絡(luò)數(shù)據(jù)處理者可以自行或者委托第三方評估機構(gòu)（以下簡稱評估機構(gòu)）開展風險評估。

網(wǎng)絡(luò)數(shù)據(jù)處理者自行開展風險評估，應(yīng)當指定專人負責。網(wǎng)絡(luò)數(shù)據(jù)處理者委托評估機構(gòu)開展風險評估，應(yīng)當優(yōu)先選擇通過認證的評估機構(gòu)，并通過訂立合同或者其他具有法律效力的文件等方式明確雙方的權(quán)利、責任和保密義務(wù)等。

第九條 經(jīng)國務(wù)院認證認可監(jiān)督管理部門依法批準的具有數(shù)據(jù)安全服務(wù)認證資質(zhì)的認證機構(gòu)，可按照《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全評估機構(gòu)能力要求》（GB/T 45389）等有關(guān)國家標準、行業(yè)標準對評估機構(gòu)開展認證。

第十條 評估機構(gòu)開展風險評估應(yīng)當遵守法律法規(guī)，公正客觀地作出風險判斷，并對所出具的風險評估報告真實性、有效性、完整性負責，不得再委托其他機構(gòu)開展風險評估。

第十一條 同一評估機構(gòu)及其關(guān)聯(lián)機構(gòu)不得連續(xù)3次以上對同一網(wǎng)絡(luò)數(shù)據(jù)處理者開展風險評估。

第十二條 評估機構(gòu)在風險評估過程中發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理活動存在重大數(shù)據(jù)安全風險的，應(yīng)當及時通報網(wǎng)絡(luò)數(shù)據(jù)處理者，并按照有關(guān)規(guī)定向省級以上網(wǎng)信部門、有關(guān)主管部門報告。

評估機構(gòu)及其工作人員應(yīng)當對在風險評估過程中獲得的數(shù)據(jù)、商業(yè)秘密、保密商務(wù)信息等依法予以保密，不得泄露或者非法向他人提供，在風險評估工作結(jié)束后及時刪除相關(guān)信息。

第十三條 重要數(shù)據(jù)處理者開展年度風險評估應(yīng)當按照本辦法附件模板編制評估報告，一般數(shù)據(jù)處理者可以參照本辦法附件模板編制評估報告。有關(guān)主管部門對風險評估報告模板另有規(guī)定的，從其規(guī)定。

風險評估報告至少保存3年。

第十四條 重要數(shù)據(jù)處理者應(yīng)當在年度風險評估完成后的10個工作日內(nèi)按照有關(guān)主管部門要求報送評估報告。主管部門不明確的，向省級網(wǎng)信部門或者國家網(wǎng)信部門報送。

有關(guān)主管部門應(yīng)當公開評估報告報送渠道和聯(lián)系方式，及時接收重要數(shù)據(jù)處理者報送的評估報告，自收到評估報告之日起的10個工作日內(nèi)將報告通報同級網(wǎng)信部門。國家網(wǎng)信部門匯總相關(guān)報告并報送國家數(shù)據(jù)安全工作協(xié)調(diào)機制。

省級以上網(wǎng)信部門和有關(guān)部門可對網(wǎng)絡(luò)數(shù)據(jù)處理者的評估報告真實性、準確性進行抽查核驗，網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當配合開展抽查核驗。

第十五條 省級以上網(wǎng)信部門和有關(guān)部門在風險評估報告核驗、監(jiān)督檢查等工作中發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理者有以下情形之一的，應(yīng)當要求其委托通過認證的評估機構(gòu)開展風險評估：

（一）網(wǎng)絡(luò)數(shù)據(jù)處理活動存在較大安全風險的；

（二）發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安全事件，導致重要數(shù)據(jù)或者大規(guī)模個人信息泄露、被竊取的；

（三）網(wǎng)絡(luò)數(shù)據(jù)處理活動可能危害國家安全、公共利益的；

（四）國家網(wǎng)信部門或者有關(guān)部門規(guī)定的其他情形。

對同一網(wǎng)絡(luò)數(shù)據(jù)安全事件或者風險，不得重復要求網(wǎng)絡(luò)數(shù)據(jù)處理者委托評估機構(gòu)開展風險評估。

第十六條 網(wǎng)絡(luò)數(shù)據(jù)處理者按照有關(guān)部門要求委托評估機構(gòu)開展風險評估的，應(yīng)當履行下列義務(wù)：

（一）為評估機構(gòu)開展風險評估工作提供必要支持，包括為風險評估人員提供訪問網(wǎng)絡(luò)數(shù)據(jù)設(shè)施、網(wǎng)絡(luò)數(shù)據(jù)、系統(tǒng)及操作日志記錄權(quán)限等；

（二）在限定時間內(nèi)完成風險評估，承擔評估費用，情況復雜的，報有關(guān)部門批準后可以適當延長；

（三）在完成風險評估后將評估機構(gòu)出具的評估報告報送有關(guān)部門，評估報告應(yīng)當由評估機構(gòu)主要負責人、風險評估負責人簽字并加蓋機構(gòu)公章；

（四）按照有關(guān)部門要求對風險評估中發(fā)現(xiàn)的問題進行整改，在整改完成后15個工作日內(nèi)，向有關(guān)部門報送整改情況報告。

網(wǎng)絡(luò)數(shù)據(jù)處理者不得以任何方式要求或者示意評估機構(gòu)出具不實或者不當?shù)脑u估報告。

第十七條 有關(guān)部門在組織風險評估工作中發(fā)現(xiàn)存在可能危害國家安全、公共利益的網(wǎng)絡(luò)數(shù)據(jù)處理活動，應(yīng)當責令網(wǎng)絡(luò)數(shù)據(jù)處理者進行整改；對整改不到位、拒不整改的網(wǎng)絡(luò)數(shù)據(jù)處理者，可以采取要求其停止處理重要數(shù)據(jù)等措施。

第十八條 各地區(qū)、各部門應(yīng)當加強風險信息共享和協(xié)同處置，及時處置風險評估工作中發(fā)現(xiàn)的安全風險和問題，并按照有關(guān)規(guī)定及時報告。

省級網(wǎng)信部門統(tǒng)籌協(xié)調(diào)本行政區(qū)域內(nèi)風險信息共享和協(xié)同處置工作，于每年3月底前向國家網(wǎng)信部門報送上一年度風險信息處置情況，國家網(wǎng)信部門匯總相關(guān)情況報送國家數(shù)據(jù)安全工作協(xié)調(diào)機制。

第十九條 任何組織、個人有權(quán)對風險評估中的違法違規(guī)活動向有關(guān)部門進行投訴、舉報，收到投訴、舉報的部門應(yīng)當依法及時處理。

第二十條 省級以上網(wǎng)信部門和有關(guān)部門發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理者未按規(guī)定開展風險評估的，應(yīng)當依據(jù)《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)予以處置處罰。

發(fā)現(xiàn)評估機構(gòu)違反本辦法開展風險評估的，省級以上網(wǎng)信部門和有關(guān)部門應(yīng)當責令其進行整改；情節(jié)嚴重的，可以限制或者禁止其開展風險評估活動，追究相關(guān)人員責任，并予公布；構(gòu)成犯罪的，依法追究刑事責任。

第二十一條 風險評估、網(wǎng)絡(luò)安全等級保護測評、數(shù)據(jù)安全管理認證、個人信息保護合規(guī)審計、商用密碼應(yīng)用安全性評估等內(nèi)容重合的，相關(guān)結(jié)果可以互相采信，避免重復評估、審計、認證。

第二十二條 重要數(shù)據(jù)處理者提供、委托處理、共同處理重要數(shù)據(jù)前進行風險評估，可以參照本辦法有關(guān)規(guī)定執(zhí)行。

第二十三條 核心數(shù)據(jù)處理者的風險評估，按照國家有關(guān)規(guī)定執(zhí)行。

第二十四條 開展涉及國家秘密、工作秘密的風險評估活動，按照《中華人民共和國保守國家秘密法》等法律、行政法規(guī)及國家保密規(guī)定執(zhí)行。

第二十五條 本辦法自 年 月 日起生效。

采寫：南都N視頻見習記者 張文嘉