2026-06-26 06:34:19 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 《网络数据安全风险评估办法》于2026年8月20日施行，要求重要数据处理者每年开展风险评估。办法明确了自行评估或委托第三方评估两种方式，规定了触发强制评估的三种情形及未合规的法律后果。建议企业确认自身是否属重要数据处理者，建立内部评估机制，选择评估方式并建立报告管理流程。 综合评分： 85 文章分类： 政策法规,数据安全,安全建设,解决方案,网络安全

cover_image

政策解读 | 《网络数据安全风险评估办法》正式发布，重要数据处理者迎来年度”必答题”

创信华通

2026年6月25日 18:03 四川

在小说阅读器读本章

去阅读

2026年6月18日，国家互联网信息办公室、工业和信息化部、公安部联合发布第24号令，正式公布《网络数据安全风险评估办法》（以下简称《办法》），自2026年8月20日起施行。

这是继《数据安全法》《网络安全法》《网络数据安全管理条例》之后，我国在网络数据安全领域又一部具有操作指引意义的规范性文件。《办法》共25条，将”风险评估”从一项原则性要求，落地为一套有明确主体、有执行周期、有程序规范、有法律责任的具体制度安排。

对于处理重要数据的企业和机构而言，合规不再是选择题，而是一道必须按时交卷的必答题。

政策背景

风险评估为何成为立法重点？

《数据安全法》第二十二条明确提出，国家建立数据安全风险评估机制。《网络数据安全管理条例》进一步要求重要数据处理者定期开展风险评估。《办法》正是在此基础上，将风险评估“谁来评、怎么评、评什么、评完怎么办”逐一明确。

理解这部《办法》，有三个关键背景值得关注：

数据要素市场化的安全底座

数据作为新型生产要素，只有在安全可控的前提下才能实现有序流动和价值释放。风险评估是数据安全治理的基础性工程。

合规监管从”软约束”走向”硬要求”

过去的合规更多依赖企业自觉，而《办法》构建了“企业自评+主管部门检查+多部门信息共享”的闭环监管体系。

与国际数据治理趋势接轨

风险评估制度在全球主要经济体的数据保护立法中均占据核心位置，《办法》的出台标志着我国数据安全治理的制度化水平迈上新台阶。

核心要点解读

五大关键条款值得关注

要点一：

重要数据处理者每年一次，必须执行

第五条规定：重要数据处理者应当每年度开展风险评估。重要数据安全状态发生重大变化的，还应当及时对受影响部分重新评估。

这意味着风险评估不是”做一次就完事”，而是纳入年度常态化管理。对于尚未建立定期评估机制的企业，剩余的准备时间已经不足。

同时，《办法》鼓励一般数据处理者至少每3年开展一次风险评估。这一”鼓励性条款”释放的信号值得关注：在监管趋势上，风险评估覆盖范围可能逐步扩展。

要点二：

可以自行评估，也可以委托第三方机构

第七条明确，网络数据处理者可以自行开展风险评估，也可以委托第三方评估机构。

● 自行评估：需要指定专人负责，这意味着企业内部需具备相应的专业能力和人员配置。

● 委托第三方：需要通过合同等方式明确双方权利义务，评估机构应对报告真实性、有效性、完整性负责（第十条）。

《办法》同时鼓励第三方评估机构通过认证（第八条），并要求同一评估机构及其关联机构不得连续3次以上对同一数据处理者开展年度评估（第十二条），这一规定既保障了评估的独立性，也为企业选择评估机构提供了明确的合规指引。

要点三：

触发强制委托评估的三种情形

第十七条规定了有关部门可以要求企业委托通过认证的评估机构开展风险评估的三种情形：

网络数据处理活动存在较大安全风险，可能危害国家安全、公共利益的；
发生网络数据安全事件，导致重要数据或大规模个人信息泄露、被窃取的；
有关部门规定的其他情形。

一旦触发强制委托评估，企业需要为评估机构提供必要的访问权限，在限定时间内完成评估，并将由评估机构主要负责人签字并加盖公章的评估报告报送有关部门（第十八条）。

要点四：

不评估有明确的法律后果

第十九条和第二十二条规定了未按规定开展风险评估的法律后果：

● 发现处理活动可能危害国家安全、公共利益的，责令整改；

● 拒不整改或未达到整改要求的，可要求停止处理重要数据；

● 未按规定开展风险评估的，依照《数据安全法》《网络数据安全管理条例》等法律法规予以处理。

“停止处理重要数据”这一措施对企业的影响不言而喻——对于依赖数据处理开展核心业务的企业而言，这等同于业务停摆。

《办法》施行，需要做什么？

《办法》将于2026年8月20日正式施行。对于重要数据处理者，建议尽快启动以下准备工作：

第一步

确认本单位是否属于“重要数据处理者”

对照相关法律法规和国家标准，梳理企业所处理的数据类型和规模，明确是否涉及重要数据。这是判断合规义务范围的前提。

第二步

建立或完善风险评估内部机制

明确风险评估的负责部门和责任人；建立风险评估管理制度和操作规程；准备评估所需的网络数据、系统日志等基础资料。

第三步

确定评估执行方式

评估的两种路径：

● 自行评估——需确保内部团队具备专业知识、熟悉国家标准、能够独立客观完成评估。适合数据安全团队配置较完善的大型企业。

● 委托第三方——可以借助专业机构的技术能力和评估经验，出具的报告更具公信力。需注意选择具备资质、通过认证的评估机构，并关注第十二条关于“不得连续3次以上”的要求。

第四步

建立评估报告管理和报送流程

确保评估完成后能在20个工作日内向主管部门报送报告，并建立报告归档保存制度（至少保存3年）。

结语

合规不是负担，是安全免疫力

《网络数据安全风险评估办法》的出台，表面上看是给数据处理者增加了一道合规程序，但更深层的意义在于：它帮助单位建立常态化的数据安全“体检”机制。

一次真正有效的风险评估，不仅能满足监管要求，更能帮助企业发现数据安全管理中的盲区和漏洞，在风险演变为事故之前及时干预。从这个角度看，合规投入本质上是对企业数据资产和业务连续性的保护性投资。

本文基于《网络数据安全风险评估办法》（国家互联网信息办公室·工业和信息化部·公安部第24号令）原文进行分析解读，力求客观准确。

政策原文来源：国家互联网信息办公室、工业和信息化部、公安部第24号令（2026年6月18日发布）

施行日期：2026年8月20日

供稿：林老师

编辑：小鱼

审核：王老师

点击回顾往期精彩

网络安全漏洞通告（2026年6月）

数据安全纳入等保核心，合规迈入新阶段

当创信人走近“来自星星的孩子”：守护网络安全，更守护童心

成都创信华通信息技术有限公司

成都创信华通信息技术有限公司是川内首家同时拥有“等保”与“密评”双资质的网络安全合规检测服务商，以“等保测评+密码测评+软件测试+信息系统工程监理+数据安全服务+网络安全服务”为主的“6+N”服务模式，已成功为党的二十大、中国共产党成立100周年、北京冬奥会、第31届世界大学生运动会、第12届世界运动会等大型活动提供等保、密评、网络安全应急保障服务。

公司以“竭尽全力为国家网络安全保驾护航”为使命，凭借多年积累荣获四川省“专精特新”企业、四川省新经济100强企业、四川省数字经济100强企业、成都市网络信息安全产业影响力TOP30企业等。

期待与您的合作！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：创信华通《政策解读 | 《网络数据安全风险评估办法》正式发布，重要数据处理者迎来年度”必答题”》