文章总结： 《网络数据安全风险评估办法》是对《数据安全法》等法规的细化，旨在规范网络数据安全风险评估活动。其核心要点包括：确立谁管业务、谁管数据安全原则以避免多头监管；建立跨部门协同监管机制；对重要数据处理者、一般数据处理者和核心数据处理者实行分级分类评估要求；严格规范第三方评估机构，要求其对报告真实性负责、禁止转包并履行保密义务；明确企业在评估中的配合义务及禁止弄虚作假等。该《办法》自2026年8月20日起施行，标志着数据安全进入实质性合规深水区，企业需建立常态化数据风控体系以应对新要求123。 综合评分： 95 文章分类： 政策法规,数据安全,网络安全,解决方案,应用安全

《网络数据安全风险评估办法》全文 | 关键要点浅析与全文速览

中成信息 中成信息

中成信息

2026年6月22日 15:52 福建

在小说阅读器读本章

去阅读

近日，《网络数据安全风险评估办法》（下称《办法》）正式公布，该《办法》是对《中华人民共和国数据安全法》《网络安全法》及《网络数据安全管理条例》在“风险评估”这一具体落地环节的细化。以下是对该文件的深度浅析与核心解读：

一、 核心监管逻辑与机制

1. 明确“三管”原则，杜绝多头监管

   《办法》第四条明确了“谁管业务、谁管业务数据、谁管数据安全”的原则。为了解决过去企业面临的“多头检查、重复检查”痛点，《办法》规定各行业主管部门的检查计划需报国家网信部门汇总共享进行协调，且明确“开展检查不得收取费用”，这极大减轻了企业的制度性交易成本。

2. 建立“国家数据安全工作协调机制”

   网信部门统筹，工信、公安、国家安全等部门协同联动。从风险报告的报送（第十六条）、共享，到风险的协同处置（第二十条），形成了一个跨部门的数据安全监管闭环。

二、 风险评估的“分级分类”要求

《办法》根据数据的重要程度，对网络数据处理者实行了差异化的评估频次要求：

重要数据处理者（强监管）：实行“年度必检”（每年一次）。当安全状态发生重大变化时，需触发即时评估。报告需向主管部门报送，且至少保存3年。

一般数据处理者（弱监管/引导）：实行“鼓励机制”，鼓励至少每3年开展一次评估。

核心数据处理者（最高监管）：直接适用国家有关规定（第二十三条），通常要求更严格。

特殊要求：涉及重要数据加密等技术的，需同步开展“商用密码应用安全性评估”（密评）。

三、 对“第三方评估机构”的严格规范

《办法》对第三方评估机构（及相关联的认证机构）设定了极具实操性的执业红线，这是该文件的一大亮点：

真实性负责：必须对评估报告的真实性、有效性、完整性负责（第十条）。

严禁转包：不得转委托其他机构开展评估（第十一条）。

防范“熟人作案”/利益绑定：同一评估机构及其关联机构，不得连续3次以上对同一企业开展年度评估（第十二条）。

保密与删除义务：评估结束后需及时删除或按合同处置相关数据，严防评估过程成为数据泄露的源头（第十四条）。

四、 企业的合规义务与应对策略

如果企业被认定为“重要数据处理者”，或者触发了强制评估条件，将面临一系列硬性义务：

1. 触发强制第三方评估的情形（第十七条）：

• 存在较大安全风险，可能危害国安或公共利益；
• 发生重要数据或大规模个人信息泄露、被窃取等安全事件。 (注：为了防止部门间扯皮推诿，《办法》特别强调“对同一事件不得重复要求企业委托评估”。)

1. 企业的四大配合义务（第十八条）：

• 提供必要权限（访问数据设施、系统、日志）；
• 限时完成评估；
• 报告需“双签字+公章”（机构主要负责人+评估负责人）；限期整改（15个工作日内报送整改报告）。

1. 严禁弄虚作假：

企业“不得以任何方式要求或者示意评估机构出具不实或者不当的风险评估报告”。一旦发现违规，将依据《数据安全法》等予以处罚；拒不整改的，可能面临“停止处理重要数据”的严厉封禁措施（第十九条）。

五、 总结与前瞻影响

数据安全进入“实质性合规”深水区：

过去买个设备、写个制度就能应付检查的时代已经过去。现在的风险评估要求深达“数据设施、系统操作日志”，并且后续有核验和整改闭环。

带动第三方数据安全评估服务业的爆发：

《办法》明确鼓励评估机构通过认证，并积极培育评估机构。未来几年，具备认证资质、专业能力强的第三方数据安全评估机构将迎来巨大的市场空间。

企业需建立“常态化”数据风控体系：

既然重要数据必须每年评估，企业不能再依赖“临阵磨枪”，必须建立日常的数据分类分级、权限管理、日志审计和态势感知体系，以随时应对年度评估或突发事件后的强制核验。

国家互联网信息办公室

中华人民共和国工业和信息化部

中华人民共和国公安部

令

第24号

《网络数据安全风险评估办法》已经2026年6月1日国家互联网信息办公室2026年第12次室务会会议审议通过，并经中华人民共和国工业和信息化部、中华人民共和国公安部同意，现予公布，自2026年8月20日起施行。

国家互联网信息办公室主任　庄荣文

工业和信息化部部长　李乐成

公安部部长　王小洪

2026年6月18日

网络数据安全风险评估办法

第一条　为了规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规，制定本办法。

第二条　在中华人民共和国境内开展网络数据安全风险评估，应当遵守本办法。

本办法所称网络数据安全风险评估（以下简称风险评估），是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。

第三条　在国家数据安全工作协调机制指导下，国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制，指导、监督风险评估工作。

第四条　有关主管部门应当按照谁管业务、谁管业务数据、谁管数据安全的原则，定期组织开展本行业、本领域风险评估，根据工作需要对本行业、本领域处理重要数据的网络数据处理者（以下简称重要数据处理者）开展风险评估情况进行检查，并于每年1月底前将年度风险评估检查计划报送国家网信部门。国家网信部门通过国家数据安全工作协调机制将计划与国务院电信、公安、国家安全等有关部门共享并进行协调，避免不必要的检查和交叉重复检查。

有关主管部门开展检查不得向被检查的重要数据处理者收取费用。

第五条　重要数据处理者应当每年度开展风险评估。

重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应当及时对发生变化及其影响的部分开展风险评估。

鼓励处理一般数据的网络数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。

第六条　风险评估工作应当按照《中华人民共和国数据安全法》、《网络数据安全管理条例》有关要求，参照数据安全风险评估有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的，从其规定。

第七条　网络数据处理者可以自行或者委托第三方评估机构（以下简称评估机构）开展风险评估。

网络数据处理者自行开展风险评估，应当指定专人负责。网络数据处理者委托评估机构开展风险评估，应当通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、义务等。

第八条　鼓励相关评估机构通过认证。评估机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。

第九条　在国家数据安全工作协调机制指导下，国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展，培育评估机构。

第十条　评估机构开展风险评估应当遵守法律法规，公正客观地作出风险判断，并对所出具的风险评估报告真实性、有效性、完整性负责。

第十一条　评估机构不得转委托其他机构开展风险评估。

第十二条　同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。

第十三条　评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通知网络数据处理者。

第十四条　评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在风险评估结束后及时删除或者按照合同约定妥善处置相关信息。

第十五条　重要数据处理者开展年度风险评估，应当依法按照有关主管部门规定编制风险评估报告。有关主管部门对风险评估报告没有规定的，可以参照数据安全风险评估有关国家标准编制风险评估报告。风险评估报告至少保存3年。

一般数据处理者可以参照前款要求编制风险评估报告。

第十六条　重要数据处理者应当在年度风险评估完成后的20个工作日内按照有关主管部门要求向其报送风险评估报告。主管部门不明确的，向省级网信部门或者国家网信部门报送。

有关主管部门应当公开风险评估报告报送渠道和联系方式，及时接收重要数据处理者报送的风险评估报告，自收到风险评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告，并与国务院电信、公安、国家安全等有关部门共享。

省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验，重要数据处理者应当配合开展检查核验。

第十七条　省级以上网信部门、电信主管部门、公安机关和其他有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的，可以要求其委托通过认证的评估机构开展风险评估：

（一）网络数据处理活动存在较大安全风险，可能危害国家安全、公共利益的；

（二）发生网络数据安全事件，导致重要数据或者大规模个人信息泄露、被窃取的；

（三）有关部门规定的其他情形。

对同一网络数据安全事件或者风险，不得重复要求网络数据处理者委托评估机构开展风险评估。

第十八条　网络数据处理者按照有关部门要求委托评估机构开展风险评估的，应当履行下列义务：

（一）为评估机构开展风险评估提供必要支持，包括为风险评估人员提供必要的访问网络数据设施、网络数据、系统及操作日志记录权限等；

（二）在限定时间内完成风险评估，情况复杂的，报有关部门批准后可以适当延长；

（三）在完成风险评估后将评估机构出具的风险评估报告报送有关部门，风险评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章；

（四）按照有关部门要求对风险评估中发现的问题进行整改，在整改完成后15个工作日内，向有关部门报送整改情况报告。

网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的风险评估报告。

第十九条　有关部门在组织开展风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的，应当依据职责责令重要数据处理者进行整改；对拒不整改或者未达到整改要求的重要数据处理者，可以采取要求其停止处理重要数据等措施。

第二十条　有关主管部门应当加强风险信息共享和协同处置，及时处置风险评估中发现的安全风险和问题，并按照有关规定及时报告。

第二十一条　任何组织、个人有权对风险评估中的违法活动向有关部门进行投诉、举报，收到投诉、举报的部门应当依法及时处理。

第二十二条　省级以上网信部门、电信主管部门、公安机关、国家安全机关或者其他有关部门发现网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》、《网络数据安全管理条例》等有关法律、行政法规予以处理。

发现评估机构违反本办法开展风险评估的，有关部门应当依法予以处理。

第二十三条　处理核心数据的网络数据处理者的风险评估，按照国家有关规定执行。

涉及重要数据加密等技术措施的，应当按照国家密码相关法律、行政法规要求开展商用密码应用安全性评估。

第二十四条　开展涉及国家秘密、工作秘密的风险评估活动，按照《中华人民共和国保守国家秘密法》等法律、行政法规及国家保密规定执行。

第二十五条　本办法自2026年8月20日起施行。

来源： 中国网信网

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中成信息 中成信息 中成信息《《网络数据安全风险评估办法》全文 | 关键要点浅析与全文速览》