國家互聯(lián)網(wǎng)信息辦公室關(guān)于《網(wǎng)絡(luò )數據安全風(fēng)險評估辦法（征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的通知

為規范網(wǎng)絡(luò )數據安全風(fēng)險評估活動(dòng)，保障網(wǎng)絡(luò )數據安全，促進(jìn)網(wǎng)絡(luò )數據依法合理有效利用，根據《中華人民共和國數據安全法》《網(wǎng)絡(luò )數據安全管理條例》等法律法規，國家互聯(lián)網(wǎng)信息辦公室起草了《網(wǎng)絡(luò )數據安全風(fēng)險評估辦法（征求意見(jiàn)稿）》，現向社會(huì )公開(kāi)征求意見(jiàn)。公眾可以通過(guò)以下途徑和方式提出反饋意見(jiàn)：

1.登錄中國網(wǎng)信網(wǎng)（www.cac.gov.cn），進(jìn)入首頁(yè)“網(wǎng)信要聞”查看文稿。

2.通過(guò)電子郵件方式發(fā)送至：shujuju@cac.gov.cn。

3.通過(guò)信函方式將意見(jiàn)寄至：北京市海淀區阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )數據管理局，郵編100048，并在信封上注明“網(wǎng)絡(luò )數據安全風(fēng)險評估辦法征求意見(jiàn)”。

意見(jiàn)反饋截止時(shí)間為2026年1月5日。

附件：網(wǎng)絡(luò )數據安全風(fēng)險評估辦法（征求意見(jiàn)稿）

國家互聯(lián)網(wǎng)信息辦公室

2025年12月6日

網(wǎng)絡(luò )數據安全風(fēng)險評估辦法

（征求意見(jiàn)稿）

第一條 為了規范網(wǎng)絡(luò )數據安全風(fēng)險評估活動(dòng)，保障網(wǎng)絡(luò )數據安全，促進(jìn)網(wǎng)絡(luò )數據依法合理有效利用，根據《中華人民共和國數據安全法》、《中華人民共和國網(wǎng)絡(luò )安全法》、《網(wǎng)絡(luò )數據安全管理條例》等法律法規，制定本辦法。

第二條 在中華人民共和國境內開(kāi)展網(wǎng)絡(luò )數據安全風(fēng)險評估，應當遵守本辦法。法律、行政法規、部門(mén)規章另有規定的，依照其規定。

本辦法所稱(chēng)網(wǎng)絡(luò )數據安全風(fēng)險評估（以下簡(jiǎn)稱(chēng)風(fēng)險評估），是指對網(wǎng)絡(luò )數據和網(wǎng)絡(luò )數據處理活動(dòng)安全進(jìn)行的風(fēng)險識別、風(fēng)險分析和風(fēng)險評價(jià)等活動(dòng)。

第三條 國家網(wǎng)信部門(mén)在國家數據安全工作協(xié)調機制指導下，統籌各地區、各部門(mén)開(kāi)展風(fēng)險評估，加強工作協(xié)調、信息共享。

第四條 各有關(guān)主管部門(mén)應當按照“誰(shuí)管業(yè)務(wù)、誰(shuí)管業(yè)務(wù)數據、誰(shuí)管數據安全”的原則，定期組織開(kāi)展本行業(yè)、本領(lǐng)域風(fēng)險評估，可以根據工作需要對本行業(yè)、本領(lǐng)域的重要數據處理者開(kāi)展風(fēng)險評估情況進(jìn)行檢查，并于每年1月底前向國家網(wǎng)信部門(mén)報送年度風(fēng)險評估及檢查計劃。

省級網(wǎng)信部門(mén)統籌省級有關(guān)部門(mén)制定本行政區域年度風(fēng)險評估及檢查計劃，按照前款要求報送國家網(wǎng)信部門(mén)。

第五條 國家網(wǎng)信部門(mén)在國家數據安全工作協(xié)調機制指導下，統籌有關(guān)主管部門(mén)和省級網(wǎng)信部門(mén)報送的年度風(fēng)險評估及檢查計劃，避免重復評估、重復檢查。

各有關(guān)部門(mén)開(kāi)展檢查不得向被檢查的網(wǎng)絡(luò )數據處理者收取費用。

第六條 處理重要數據的網(wǎng)絡(luò )數據處理者（以下簡(jiǎn)稱(chēng)重要數據處理者）應當每年度對其網(wǎng)絡(luò )數據處理活動(dòng)開(kāi)展風(fēng)險評估。重要數據安全狀態(tài)發(fā)生重大變化可能對數據安全造成不利影響的，應及時(shí)對發(fā)生變化及其影響的部分開(kāi)展風(fēng)險評估。

鼓勵處理一般數據的網(wǎng)絡(luò )數據處理者（以下簡(jiǎn)稱(chēng)一般數據處理者）至少每3年開(kāi)展一次風(fēng)險評估。

第七條 風(fēng)險評估工作應當按照《網(wǎng)絡(luò )數據安全管理條例》有關(guān)要求和《數據安全技術(shù) 數據安全風(fēng)險評估方法》（GB/T 45577）等有關(guān)國家標準開(kāi)展。有關(guān)主管部門(mén)對本行業(yè)、本領(lǐng)域風(fēng)險評估工作另有規定的，從其規定。

第八條 網(wǎng)絡(luò )數據處理者可以自行或者委托第三方評估機構（以下簡(jiǎn)稱(chēng)評估機構）開(kāi)展風(fēng)險評估。

網(wǎng)絡(luò )數據處理者自行開(kāi)展風(fēng)險評估，應當指定專(zhuān)人負責。網(wǎng)絡(luò )數據處理者委托評估機構開(kāi)展風(fēng)險評估，應當優(yōu)先選擇通過(guò)認證的評估機構，并通過(guò)訂立合同或者其他具有法律效力的文件等方式明確雙方的權利、責任和保密義務(wù)等。

第九條 經(jīng)國務(wù)院認證認可監督管理部門(mén)依法批準的具有數據安全服務(wù)認證資質(zhì)的認證機構，可按照《數據安全技術(shù) 數據安全評估機構能力要求》（GB/T 45389）等有關(guān)國家標準、行業(yè)標準對評估機構開(kāi)展認證。

第十條 評估機構開(kāi)展風(fēng)險評估應當遵守法律法規，公正客觀(guān)地作出風(fēng)險判斷，并對所出具的風(fēng)險評估報告真實(shí)性、有效性、完整性負責，不得再委托其他機構開(kāi)展風(fēng)險評估。

第十一條 同一評估機構及其關(guān)聯(lián)機構不得連續3次以上對同一網(wǎng)絡(luò )數據處理者開(kāi)展風(fēng)險評估。

第十二條 評估機構在風(fēng)險評估過(guò)程中發(fā)現網(wǎng)絡(luò )數據處理活動(dòng)存在重大數據安全風(fēng)險的，應當及時(shí)通報網(wǎng)絡(luò )數據處理者，并按照有關(guān)規定向省級以上網(wǎng)信部門(mén)、有關(guān)主管部門(mén)報告。

評估機構及其工作人員應當對在風(fēng)險評估過(guò)程中獲得的數據、商業(yè)秘密、保密商務(wù)信息等依法予以保密，不得泄露或者非法向他人提供，在風(fēng)險評估工作結束后及時(shí)刪除相關(guān)信息。

第十三條 重要數據處理者開(kāi)展年度風(fēng)險評估應當按照本辦法附件模板編制評估報告，一般數據處理者可以參照本辦法附件模板編制評估報告。有關(guān)主管部門(mén)對風(fēng)險評估報告模板另有規定的，從其規定。

風(fēng)險評估報告至少保存3年。

第十四條 重要數據處理者應當在年度風(fēng)險評估完成后的10個(gè)工作日內按照有關(guān)主管部門(mén)要求報送評估報告。主管部門(mén)不明確的，向省級網(wǎng)信部門(mén)或者國家網(wǎng)信部門(mén)報送。

有關(guān)主管部門(mén)應當公開(kāi)評估報告報送渠道和聯(lián)系方式，及時(shí)接收重要數據處理者報送的評估報告，自收到評估報告之日起的10個(gè)工作日內將報告通報同級網(wǎng)信部門(mén)。國家網(wǎng)信部門(mén)匯總相關(guān)報告并報送國家數據安全工作協(xié)調機制。

省級以上網(wǎng)信部門(mén)和有關(guān)部門(mén)可對網(wǎng)絡(luò )數據處理者的評估報告真實(shí)性、準確性進(jìn)行抽查核驗，網(wǎng)絡(luò )數據處理者應當配合開(kāi)展抽查核驗。

第十五條 省級以上網(wǎng)信部門(mén)和有關(guān)部門(mén)在風(fēng)險評估報告核驗、監督檢查等工作中發(fā)現網(wǎng)絡(luò )數據處理者有以下情形之一的，應當要求其委托通過(guò)認證的評估機構開(kāi)展風(fēng)險評估：

（一）網(wǎng)絡(luò )數據處理活動(dòng)存在較大安全風(fēng)險的；

（二）發(fā)生網(wǎng)絡(luò )數據安全事件，導致重要數據或者大規模個(gè)人信息泄露、被竊取的；

（三）網(wǎng)絡(luò )數據處理活動(dòng)可能危害國家安全、公共利益的；

（四）國家網(wǎng)信部門(mén)或者有關(guān)部門(mén)規定的其他情形。

對同一網(wǎng)絡(luò )數據安全事件或者風(fēng)險，不得重復要求網(wǎng)絡(luò )數據處理者委托評估機構開(kāi)展風(fēng)險評估。

第十六條 網(wǎng)絡(luò )數據處理者按照有關(guān)部門(mén)要求委托評估機構開(kāi)展風(fēng)險評估的，應當履行下列義務(wù)：

（一）為評估機構開(kāi)展風(fēng)險評估工作提供必要支持，包括為風(fēng)險評估人員提供訪(fǎng)問(wèn)網(wǎng)絡(luò )數據設施、網(wǎng)絡(luò )數據、系統及操作日志記錄權限等；

（二）在限定時(shí)間內完成風(fēng)險評估，承擔評估費用，情況復雜的，報有關(guān)部門(mén)批準后可以適當延長(cháng)；

（三）在完成風(fēng)險評估后將評估機構出具的評估報告報送有關(guān)部門(mén)，評估報告應當由評估機構主要負責人、風(fēng)險評估負責人簽字并加蓋機構公章；

（四）按照有關(guān)部門(mén)要求對風(fēng)險評估中發(fā)現的問(wèn)題進(jìn)行整改，在整改完成后15個(gè)工作日內，向有關(guān)部門(mén)報送整改情況報告。

網(wǎng)絡(luò )數據處理者不得以任何方式要求或者示意評估機構出具不實(shí)或者不當的評估報告。

第十七條 有關(guān)部門(mén)在組織風(fēng)險評估工作中發(fā)現存在可能危害國家安全、公共利益的網(wǎng)絡(luò )數據處理活動(dòng)，應當責令網(wǎng)絡(luò )數據處理者進(jìn)行整改；對整改不到位、拒不整改的網(wǎng)絡(luò )數據處理者，可以采取要求其停止處理重要數據等措施。

第十八條 各地區、各部門(mén)應當加強風(fēng)險信息共享和協(xié)同處置，及時(shí)處置風(fēng)險評估工作中發(fā)現的安全風(fēng)險和問(wèn)題，并按照有關(guān)規定及時(shí)報告。

省級網(wǎng)信部門(mén)統籌協(xié)調本行政區域內風(fēng)險信息共享和協(xié)同處置工作，于每年3月底前向國家網(wǎng)信部門(mén)報送上一年度風(fēng)險信息處置情況，國家網(wǎng)信部門(mén)匯總相關(guān)情況報送國家數據安全工作協(xié)調機制。

第十九條 任何組織、個(gè)人有權對風(fēng)險評估中的違法違規活動(dòng)向有關(guān)部門(mén)進(jìn)行投訴、舉報，收到投訴、舉報的部門(mén)應當依法及時(shí)處理。

第二十條 省級以上網(wǎng)信部門(mén)和有關(guān)部門(mén)發(fā)現網(wǎng)絡(luò )數據處理者未按規定開(kāi)展風(fēng)險評估的，應當依據《中華人民共和國數據安全法》等法律法規予以處置處罰。

發(fā)現評估機構違反本辦法開(kāi)展風(fēng)險評估的，省級以上網(wǎng)信部門(mén)和有關(guān)部門(mén)應當責令其進(jìn)行整改；情節嚴重的，可以限制或者禁止其開(kāi)展風(fēng)險評估活動(dòng)，追究相關(guān)人員責任，并予公布；構成犯罪的，依法追究刑事責任。

第二十一條 風(fēng)險評估、網(wǎng)絡(luò )安全等級保護測評、數據安全管理認證、個(gè)人信息保護合規審計、商用密碼應用安全性評估等內容重合的，相關(guān)結果可以互相采信，避免重復評估、審計、認證。

第二十二條 重要數據處理者提供、委托處理、共同處理重要數據前進(jìn)行風(fēng)險評估，可以參照本辦法有關(guān)規定執行。

第二十三條 核心數據處理者的風(fēng)險評估，按照國家有關(guān)規定執行。

第二十四條 開(kāi)展涉及國家秘密、工作秘密的風(fēng)險評估活動(dòng)，按照《中華人民共和國保守國家秘密法》等法律、行政法規及國家保密規定執行。

第二十五條 本辦法自 年 月 日起生效。