文章总结： 《网络数据安全风险评估办法》于2026年6月18日由网信办、工信部、公安部联合发布，8月20日起实施。该办法明确重要数据处理者需每年开展风险评估，规定了评估流程、机构资质要求和跨部门协作机制，旨在通过科学风险评估促进数据要素合法利用，筑牢国家数据安全屏障。 综合评分： 85 文章分类： 政策法规,数据安全,安全建设,解决方案,网络安全

专家解读｜建立健全数据安全风险评估制度 筑牢国家数据安全屏障

NERCIS NERCIS

信息安全国家工程研究中心

2026年6月22日 17:00 北京

在小说阅读器读本章

去阅读

为了规范网络数据安全风险评估活动，加强重要数据安全保护，6月18日，国家互联网信息办公室、工业和信息化部、公安部三部门联合发布《网络数据安全风险评估办法》（以下简称《办法》）。《办法》的实施，标志着我国在数据安全风险评估制度建设方面迈出了坚实而重要的一步，是对我国数据安全制度的发展和完善，对指导网络数据安全风险评估、规范网络数据处理活动、促进数据要素依法合理有效利用具有重要意义。

一、深刻认识网络数据安全风险评估的重要意义

（一）网络数据安全风险评估是履行法律职责的基本要求

《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规相继出台，为数据安全保护提供了基本的法律框架与制度设计。其中，《中华人民共和国数据安全法》提出，国家建立集中统一、高效权威的数据安全风险评估机制，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。《网络数据安全管理条例》提出，重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，提供、委托处理、共同处理重要数据前，应当进行风险评估。《办法》对上位法中的原则性规定进行细化与落实，为网络数据安全风险评估工作提供了具体的制度保障和实施路径，进一步健全我国数据安全制度，推动数据分类分级保护工作走深走实。

（二）网络数据安全风险评估是应对数据安全风险的有力举措

《办法》所称的网络数据安全风险评估，是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。进入数字经济时代，数据泄露、损毁、破坏、滥用的风险日益突出，对国家安全、公共利益或者个人、组织合法权益造成严重威胁。数据安全事件案例表明，数据安全风险既来自于信息技术自身的脆弱性，也来自于安全管理体系的滞后；既来自于外部黑客的攻击入侵，也来自于内部人员的过大权限；既来自于传统网络安全风险引发的数据安全风险，也来自于人工智能、云计算等新技术带来的挑战。《办法》明确网络数据安全风险评估工作的方法、路径、流程等，为网络数据处理者提供科学的评估方法，为行业主管监管部门提供感知行业数据安全风险的制度保障，以实现全面地识别风险、科学地分析风险、精准地评价风险的效果，为有效应对数据安全风险提供有力保障。

（三）网络数据安全风险评估是促进数据要素合法利用的重要保障

促进数据要素依法有效合理利用是增强高质量发展动力的关键因素。在建设数据基础制度、推动数据要素流通利用的过程中，既面临数据主体“不愿流动”的意愿障碍，也面临“不会流动”的本领障碍，更面临“不敢流动”的风险障碍。数据处理者出于对未知风险的担忧，往往选择“烟囱式”的数据利用方案，造成了无法连通的数据孤岛，极大地阻碍数据要素的价值释放。网络数据安全风险评估工作采用有效的评估方法、科学的风险分析和评价手段，系统性识别未知风险与已知风险，用科学的风险管理支撑数据要素利用，必将推动以数据要素为基础的数字经济高质量发展。

二、准确把握网络数据安全风险评估工作的规律特点

网络数据处理者要落实网络数据安全风险评估工作，关键在于做好以下工作。

（一）牢牢把握网络数据安全风险评估工作的性质

网络数据安全风险评估有别于网络安全等级保护测评、云计算服务安全评估等符合性测评门类，本质上是一种风险评价活动，是对网络数据安全风险进行识别、分析、评价的有机结合。开展网络数据安全风险评估的总目标，是基于对网络数据安全风险客观规律的认识，通过科学的评估方法，回答好“本单位的网络数据和网络数据处理活动有没有风险、风险是什么、风险在哪里、风险有多大”等问题，为本单位决策层和行业主管监管部门做好风险管理提供参考依据。

（二）深化对数据安全风险特点的认识

数据具有复制成本低、易扩散、非独占等特点，这决定了网络数据安全风险评估的范围应包括本单位所有承载数据副本的信息系统；承载数据的信息系统自身的网络安全风险可能带来的数据泄露、篡改、破坏等风险；数据聚合分析、开源数据泄露等数据公开环节的典型风险；人工智能技术的应用带来过度海量采集、数据投毒污染、模型记忆与隐私泄露等新的风险；数据的委托处理、共同处理等形式将受托方、共同处理者引入风险范围以及保护责任义务边界问题等。

（三）掌握科学的评估方法

《办法》规定“风险评估工作应当按照《中华人民共和国数据安全法》、《网络数据安全管理条例》有关要求，参照数据安全风险评估有关国家标准开展”。目前，我国已经发布国家标准《数据安全技术 数据安全风险评估方法》（GB/T 45577-2025）作为数据安全风险评估的通用方法。另外，数据安全风险又与行业的业务场景关联紧密，具有很强的行业特征。故《办法》又规定“有关主管部门对本行业、本领域风险评估工作有规定的，从其规定”，充分考虑采用灵活方法适用于不同行业特征下的网络数据安全风险评估工作。

三、推动网络数据安全风险评估落地见效

（一）统筹协调推动网络数据安全风险评估

网络数据安全风险评估是一项涉及网信、电信、公安、国安等部门和各行业主管部门的工作。《办法》规定“在国家数据安全工作协调机制指导下，国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制，指导、监督风险评估工作”。具体来说，《办法》在有关主管部门制定年度检查计划、报送共享风险评估报告等方面做出相关规定，由国家网信部门协调年度检查计划，避免不必要的检查和交叉重复检查；由国家网信部门汇总有关主管部门报送的风险评估报告，并与国务院电信、公安、国家安全等有关部门共享，提高国家和行业层面的协同配合和风险联动处置能力，增强各行业领域网络数据安全风险评估效能。

（二）有效组织实施网络数据安全风险评估

网络数据安全风险评估工作具有全面性、系统性、综合性的特点，涉及业务、管理、法务、合规、技术、运维、外包、采购等部门，需要通过有效的组织形式才可以有效实施评估工作。数据安全风险具有很强的业务场景特点，如判定网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要，需要业务、合规、技术等业务部门深度参与；分析以数据接口方式提供数据的风险，需要业务应用、系统维护、网络安全等岗位人员根据业务需要、接口日志等情况进行综合判定。《办法》规定，网络数据处理者可以自行或者委托第三方评估机构开展风险评估，自行开展风险评估应当指定专人负责，为网络数据处理者开展风险评估的组织形式提供了科学指引。

（三）加强人才培养，打造专业队伍

网络数据安全风险评估人员和评估机构的能力直接决定风险评估的质量水平。评估人员需要具备较高的综合能力，在技术方面具备传统网络安全评估能力的同时，在业务应用方面要熟悉了解业务场景和业务模式，并掌握相关行业数据处理规范。高水平、普及性的评估人员和专业机构是网络数据安全风险评估制度的重要支撑。当前，相比于复杂多样的数据业务场景和大量的重要数据处理场景，专业的评估人才和机构严重不足。《办法》规定“鼓励相关评估机构通过认证”“国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展，培育评估机构”，为网络数据安全风险评估的人才培养和机构建设提供了依据。下一步，行业主管部门和网络数据处理者要协同发力，着力培养一批高质量评估人才和机构队伍，有力支撑网络数据安全风险评估工作行稳致远。

（作者：刘博，国家互联网应急中心党委副书记、副主任）

附《网络数据安全风险评估办法》原文

网络数据安全风险评估办法

第一条　为了规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规，制定本办法。

第二条　在中华人民共和国境内开展网络数据安全风险评估，应当遵守本办法。

本办法所称网络数据安全风险评估（以下简称风险评估），是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。

第三条　在国家数据安全工作协调机制指导下，国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制，指导、监督风险评估工作。

第四条　有关主管部门应当按照谁管业务、谁管业务数据、谁管数据安全的原则，定期组织开展本行业、本领域风险评估，根据工作需要对本行业、本领域处理重要数据的网络数据处理者（以下简称重要数据处理者）开展风险评估情况进行检查，并于每年1月底前将年度风险评估检查计划报送国家网信部门。国家网信部门通过国家数据安全工作协调机制将计划与国务院电信、公安、国家安全等有关部门共享并进行协调，避免不必要的检查和交叉重复检查。

有关主管部门开展检查不得向被检查的重要数据处理者收取费用。

第五条　重要数据处理者应当每年度开展风险评估。

重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应当及时对发生变化及其影响的部分开展风险评估。

鼓励处理一般数据的网络数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。

第六条　风险评估工作应当按照《中华人民共和国数据安全法》、《网络数据安全管理条例》有关要求，参照数据安全风险评估有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的，从其规定。

第七条　网络数据处理者可以自行或者委托第三方评估机构（以下简称评估机构）开展风险评估。

网络数据处理者自行开展风险评估，应当指定专人负责。网络数据处理者委托评估机构开展风险评估，应当通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、义务等。

第八条　鼓励相关评估机构通过认证。评估机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。

第九条　在国家数据安全工作协调机制指导下，国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展，培育评估机构。

第十条　评估机构开展风险评估应当遵守法律法规，公正客观地作出风险判断，并对所出具的风险评估报告真实性、有效性、完整性负责。

第十一条　评估机构不得转委托其他机构开展风险评估。

第十二条　同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。

第十三条　评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通知网络数据处理者。

第十四条　评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在风险评估结束后及时删除或者按照合同约定妥善处置相关信息。

第十五条　重要数据处理者开展年度风险评估，应当依法按照有关主管部门规定编制风险评估报告。有关主管部门对风险评估报告没有规定的，可以参照数据安全风险评估有关国家标准编制风险评估报告。风险评估报告至少保存3年。

一般数据处理者可以参照前款要求编制风险评估报告。

第十六条　重要数据处理者应当在年度风险评估完成后的20个工作日内按照有关主管部门要求向其报送风险评估报告。主管部门不明确的，向省级网信部门或者国家网信部门报送。

有关主管部门应当公开风险评估报告报送渠道和联系方式，及时接收重要数据处理者报送的风险评估报告，自收到风险评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告，并与国务院电信、公安、国家安全等有关部门共享。

省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验，重要数据处理者应当配合开展检查核验。

第十七条　省级以上网信部门、电信主管部门、公安机关和其他有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的，可以要求其委托通过认证的评估机构开展风险评估：

（一）网络数据处理活动存在较大安全风险，可能危害国家安全、公共利益的；

（二）发生网络数据安全事件，导致重要数据或者大规模个人信息泄露、被窃取的；

（三）有关部门规定的其他情形。

对同一网络数据安全事件或者风险，不得重复要求网络数据处理者委托评估机构开展风险评估。

第十八条　网络数据处理者按照有关部门要求委托评估机构开展风险评估的，应当履行下列义务：

（一）为评估机构开展风险评估提供必要支持，包括为风险评估人员提供必要的访问网络数据设施、网络数据、系统及操作日志记录权限等；

（二）在限定时间内完成风险评估，情况复杂的，报有关部门批准后可以适当延长；

（三）在完成风险评估后将评估机构出具的风险评估报告报送有关部门，风险评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章；

（四）按照有关部门要求对风险评估中发现的问题进行整改，在整改完成后15个工作日内，向有关部门报送整改情况报告。

网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的风险评估报告。

第十九条　有关部门在组织开展风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的，应当依据职责责令重要数据处理者进行整改；对拒不整改或者未达到整改要求的重要数据处理者，可以采取要求其停止处理重要数据等措施。

第二十条　有关主管部门应当加强风险信息共享和协同处置，及时处置风险评估中发现的安全风险和问题，并按照有关规定及时报告。

第二十一条　任何组织、个人有权对风险评估中的违法活动向有关部门进行投诉、举报，收到投诉、举报的部门应当依法及时处理。

第二十二条　省级以上网信部门、电信主管部门、公安机关、国家安全机关或者其他有关部门发现网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》、《网络数据安全管理条例》等有关法律、行政法规予以处理。

发现评估机构违反本办法开展风险评估的，有关部门应当依法予以处理。

第二十三条　处理核心数据的网络数据处理者的风险评估，按照国家有关规定执行。

涉及重要数据加密等技术措施的，应当按照国家密码相关法律、行政法规要求开展商用密码应用安全性评估。

第二十四条　开展涉及国家秘密、工作秘密的风险评估活动，按照《中华人民共和国保守国家秘密法》等法律、行政法规及国家保密规定执行。

第二十五条　本办法自2026年8月20日起施行。

来源：中国网信网

往期阅读

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全国家工程研究中心 NERCIS NERCIS《专家解读｜建立健全数据安全风险评估制度 筑牢国家数据安全屏障》