文章总结： 《网络数据安全风险评估办法》将于2026年8月20日实施，要求重要数据处理者每年进行数据安全风险评估。办法明确了评估标准、周期、机构资质及监督机制，建立分级管理和谁主管谁负责原则。企业需在实施前完成数据分级自查、建立评估机制并选择合规评估机构。评估报告需在20个工作日内报送，保存3年，违规将面临整改或停业处罚。 综合评分： 85 文章分类： 政策法规,数据安全,安全建设,解决方案,安全运营

深度解读《网络数据安全风险评估办法》：数据安全从此要做“年检”

安恒信息

2026年6月23日 09:04 浙江

在小说阅读器读本章

去阅读

6月18日，国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》（以下简称《办法》），自2026年8月20日起施行。

这是继《数据安全法》《网络数据安全管理条例》之后，数据安全治理“评估”环节的一块关键拼图——它把“风险评估”从一句原则要求，落成了一套有周期、有标准、有机构、有报送、有问责的完整制度。一句话概括：重要数据处理者，从此要做“年检”。

添加客服获取政策原文

一、为什么出台

把“原则要求”落成“可执行机制”

《数据安全法》《网络数据安全管理条例》都提出了数据安全风险评估的要求，但谁来评、多久评一次、按什么标准评、评完报给谁、评不合格怎么办，此前缺少统一规则。

《办法》的核心价值，就是填补这套“操作层”空白：在国家数据安全工作协调机制指导下，由国家网信部门会同电信、公安等部门建立专项工作机制，统一指导监督风险评估工作。定位很清晰——以数据安全保障数据开发利用和产业发展，评估不是为了限制，而是为了让数据敢用、能用。

二、管谁、谁来管

分级管理 + 谁主管谁负责

1、 两类处理者，两种力度（第五条）

2、“谁管业务、谁管业务数据、谁管数据安全”（第四条）

行业主管部门定期组织本行业评估，并按需检查；每年1月底前把年度检查计划报国家网信部门，由协调机制统一共享协调，避免交叉重复检查。同时明确——主管部门检查不得向被检查方收费。

三、核心要求

怎么评、按什么评、谁来评

1、依据（第六条）：按《数据安全法》《网络数据安全管理条例》要求，参照数据安全风险评估有关国家标准开展；行业另有规定的从其规定。

2、 形式（第七条）：可自行评估（须指定专人负责），也可委托第三方评估机构（须订立合同明确权责）。

3、 本质（第二条）：风险评估 = 对网络数据和处理活动安全进行风险识别、风险分析、风险评价。

四、给评估机构划的“红线”

这几条最值得划重点

《办法》用大量篇幅约束评估机构，这是制度能不能“评得准、评得公”的关键：

1、 公正客观，对报告负责（第十条）：对报告的真实性、有效性、完整性负责。

2、不得转委托（第十一条）：接了活不能再外包。

3、关联机构连续评估有上限（第十二条）：同一机构及其关联机构不得连续3次以上对同一处理者做年度评估——防止“既当裁判又当教练”。

4、 重大风险须及时通知（第十三条）：发现重大数据安全风险，第一时间告知处理者。

5、 严格保密义务（第十四条）：对评估中接触的数据、商业秘密、保密商务信息依法保密，评估结束后及时删除或妥善处置。

6、鼓励通过认证（第八条）：按《认证认可条例》执行，认证将成为“合规优先级”的硬通货。

同时给处理者也划了底线：不得以任何方式要求或示意评估机构出具不实、不当报告（第十八条）。

五、报告与监督

从“评完”到“报送、核验、问责”的闭环

报告链条（第十五、十六条）——记牢几个时间点：

1、按主管部门规定编制报告，报告至少保存3年；

2、年度评估完成后20个工作日内报送（主管部门不明确的，报省级或国家网信部门）；

3、主管部门收到后10个工作日内通报同级网信部门；国家网信部门汇总并与电信、公安、国家安全等部门共享；

4、省级以上部门可对报告真实性、准确性检查核验，处理者应配合。

监督与问责（第十七至二十二条）——这是关键：

1、出现三类情形（较大安全风险可能危害国家安全公共利益 / 发生重要数据或大规模个人信息泄露被窃取 / 部门规定的其他情形）时，可被要求委托通过认证的评估机构重新评估；同一事件或风险不得重复要求。

2、被要求委托评估的处理者须：提供必要访问权限、限期完成、报送签字盖章的报告、整改完成后15个工作日内报送整改情况。

3、可能危害国家安全、公共利益的，责令整改；拒不整改或不达标的，可责令停止处理重要数据。

4、任何组织、个人有权投诉举报评估中的违法活动；未按规定评估的，依法处理。

六、几类特殊情形

别漏了边界条款

1、核心数据处理者的风险评估，按国家有关规定执行（第二十三条）——要求更高，另有规则。

2、涉及重要数据加密等技术措施的，须按密码法律法规开展商用密码应用安全性评估。

3、涉及国家秘密、工作秘密的评估，按保密法等执行（第二十四条）。

七、给企业的落地建议

8月20日前，三件事先动起来

1、先做“数据分级”自查：明确自己是否属于重要数据处理者，决定是“每年必评”还是“鼓励三年一评”。

2、建立评估常态化机制：把年度评估、重大变化触发的临时评估、报告编制与报送（20个工作日）、报告留存（3年）写进内部流程。

3、选好评估路径与伙伴：自行评估配齐专人与能力；委托第三方优先考虑已通过认证的机构，并注意“同一机构连续3次”的限制。

安恒

观察

《办法》把数据安全评估推向了周期化、标准化、可核验的新阶段。评估不再是一次性的“过关”，而是贯穿数据全生命周期的持续动作——从数据底数与资产的摸清，到风险的识别、分析、研判，再到问题整改与闭环。这恰恰是企业数据安全能力建设的主线：把“看得见数据、查得出风险、改得掉问题”做成日常。

围绕“年检”落地的这条主线，安恒信息已在数据分类分级、API安全、数据库审计、数据安全运营等环节形成相应的产品与解决方案，可支撑企业把年度评估、报告报送与整改闭环常态化运转。我们也愿陪伴企业把“年检”做成“体检”，让合规真正转化为数据敢用、能用的底气。

点点赞

点分享

点喜欢

点击下方名片立即关注

不走丢哦！

往期精彩回顾

AI Agent 能独立打一场 CTF 吗?安恒全新赛制等你挑战

2026-06-22

Anthropic海外管制关不上AI造漏洞“魔盒”，人人都需要“零日雷达”

2026-06-18

华为与安恒信息签约，共建鸿蒙新世界

2026-06-17

法律声明

本文数据均来自内部统计、媒体报道、公开信息整理等，仅供信息分享，可能存在统计口径差异或误差，敬请理性看待，我们不对其准确性承担责任。股市有风险，投资需谨慎。阅读者在作出任何投资决定之前，应当咨询各自的顾问。本公众号发布内容仅代表内容创作视角，不构成任何投资建议或投资依据。在任何情况下，本公众号及运营主体不对任何人的投资结果承担法律责任。本公众号原创内容，欢迎合法合规复制、转载，转载时请务必注明出处，不得断章取义、以偏概全或进行有悖原意的引用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安恒信息 《深度解读《网络数据安全风险评估办法》：数据安全从此要做“年检”》