為規(guī)范網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估活動(dòng)� ���,保障網(wǎng)絡(luò)數(shù)據(jù)安全�����,促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)依法合理有效利用�����,根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)�� ��,國(guó)家互聯(lián)網(wǎng)信息辦公室起草了《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法(征求意見稿)》�����,現(xiàn)向社會(huì)公開征求意見� ���。公眾可以通過以下途徑和方式提出反饋意見:
1.登錄中國(guó)網(wǎng)信網(wǎng)(www.cac.gov.cn)�����,進(jìn)入首頁“網(wǎng)信要聞�����”查看文稿�����。
2.通過電子郵件方式發(fā)送至:shujuju@cac.gov.cn�����。
3.通過信函方式將意見寄至:北京市海淀區(qū)阜成路15號(hào)國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)數(shù)據(jù)管理局��� �,郵編100048�����,并在信封上注明“網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法征求意見� ���”�� ��。
意見反饋截止時(shí)間為2026年1月5日�����。
附件:網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法(征求意見稿)
國(guó)家互聯(lián)網(wǎng)信息辦公室
2025年12月6日
網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法
(征求意見稿)
第一條 為了規(guī)范網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估活動(dòng)�����,保障網(wǎng)絡(luò)數(shù)據(jù)安全���� ,促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)依法合理有效利用�����,根據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》� ���、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》�����、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)�����,制定本辦法�����。
第二條 在中華人民共和國(guó)境內(nèi)開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估�����,應(yīng)當(dāng)遵守本辦法��� �。法律�����、行政法規(guī)�� ��、部門規(guī)章另有規(guī)定的 ����,依照其規(guī)定�����。
本辦法所稱網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估(以下簡(jiǎn)稱風(fēng)險(xiǎn)評(píng)估)�����,是指對(duì)網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安全進(jìn)行的風(fēng)險(xiǎn)識(shí)別�����、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)等活動(dòng)�����。
第三條 國(guó)家網(wǎng)信部門在國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制指導(dǎo)下�����,統(tǒng)籌各地區(qū)�����、各部門開展風(fēng)險(xiǎn)評(píng)估� ���,加強(qiáng)工作協(xié)調(diào)��� �、信息共享���� 。
第四條 各有關(guān)主管部門應(yīng)當(dāng)按照“誰管業(yè)務(wù)�����、誰管業(yè)務(wù)數(shù)據(jù)�����、誰管數(shù)據(jù)安全�����”的原則�����,定期組織開展本行業(yè)���� 、本領(lǐng)域風(fēng)險(xiǎn)評(píng)估�����,可以根據(jù)工作需要對(duì)本行業(yè)�����、本領(lǐng)域的重要數(shù)據(jù)處理者開展風(fēng)險(xiǎn)評(píng)估情況進(jìn)行檢查�� ��,并于每年1月底前向國(guó)家網(wǎng)信部門報(bào)送年度風(fēng)險(xiǎn)評(píng)估及檢查計(jì)劃�����。
省級(jí)網(wǎng)信部門統(tǒng)籌省級(jí)有關(guān)部門制定本行政區(qū)域年度風(fēng)險(xiǎn)評(píng)估及檢查計(jì)劃�����,按照前款要求報(bào)送國(guó)家網(wǎng)信部門�����。
第五條 國(guó)家網(wǎng)信部門在國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制指導(dǎo)下�����,統(tǒng)籌有關(guān)主管部門和省級(jí)網(wǎng)信部門報(bào)送的年度風(fēng)險(xiǎn)評(píng)估及檢查計(jì)劃��� �,避免重復(fù)評(píng)估�����、重復(fù)檢查�����。
各有關(guān)部門開展檢查不得向被檢查的網(wǎng)絡(luò)數(shù)據(jù)處理者收取費(fèi)用 ����。
第六條 處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者(以下簡(jiǎn)稱重要數(shù)據(jù)處理者)應(yīng)當(dāng)每年度對(duì)其網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)開展風(fēng)險(xiǎn)評(píng)估�����。重要數(shù)據(jù)安全狀態(tài)發(fā)生重大變化可能對(duì)數(shù)據(jù)安全造成不利影響的�����,應(yīng)及時(shí)對(duì)發(fā)生變化及其影響的部分開展風(fēng)險(xiǎn)評(píng)估�����。
鼓勵(lì)處理一般數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者(以下簡(jiǎn)稱一般數(shù)據(jù)處理者)至少每3年開展一次風(fēng)險(xiǎn)評(píng)估� ���。
第七條 風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)按照《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》有關(guān)要求和《數(shù)據(jù)安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》(GB/T 45577)等有關(guān)國(guó)家標(biāo)準(zhǔn)開展�����。有關(guān)主管部門對(duì)本行業(yè)�����、本領(lǐng)域風(fēng)險(xiǎn)評(píng)估工作另有規(guī)定的�����,從其規(guī)定�����。
第八條 網(wǎng)絡(luò)數(shù)據(jù)處理者可以自行或者委托第三方評(píng)估機(jī)構(gòu)(以下簡(jiǎn)稱評(píng)估機(jī)構(gòu))開展風(fēng)險(xiǎn)評(píng)估�� ��。
網(wǎng)絡(luò)數(shù)據(jù)處理者自行開展風(fēng)險(xiǎn)評(píng)估���� ,應(yīng)當(dāng)指定專人負(fù)責(zé)�����。網(wǎng)絡(luò)數(shù)據(jù)處理者委托評(píng)估機(jī)構(gòu)開展風(fēng)險(xiǎn)評(píng)估�����,應(yīng)當(dāng)優(yōu)先選擇通過認(rèn)證的評(píng)估機(jī)構(gòu)�����,并通過訂立合同或者其他具有法律效力的文件等方式明確雙方的權(quán)利 ����、責(zé)任和保密義務(wù)等�����。
第九條 經(jīng)國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門依法批準(zhǔn)的具有數(shù)據(jù)安全服務(wù)認(rèn)證資質(zhì)的認(rèn)證機(jī)構(gòu)�����,可按照《數(shù)據(jù)安全技術(shù)數(shù)據(jù)安全評(píng)估機(jī)構(gòu)能力要求》(GB/T 45389)等有關(guān)國(guó)家標(biāo)準(zhǔn)�����、行業(yè)標(biāo)準(zhǔn)對(duì)評(píng)估機(jī)構(gòu)開展認(rèn)證��� �。
第十條 評(píng)估機(jī)構(gòu)開展風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)遵守法律法規(guī) ����,公正客觀地作出風(fēng)險(xiǎn)判斷�����,并對(duì)所出具的風(fēng)險(xiǎn)評(píng)估報(bào)告真實(shí)性�����、有效性� ���、完整性負(fù)責(zé)�����,不得再委托其他機(jī)構(gòu)開展風(fēng)險(xiǎn)評(píng)估�����。
第十一條 同一評(píng)估機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)不得連續(xù)3次以上對(duì)同一網(wǎng)絡(luò)數(shù)據(jù)處理者開展風(fēng)險(xiǎn)評(píng)估�����。
第十二條 評(píng)估機(jī)構(gòu)在風(fēng)險(xiǎn)評(píng)估過程中發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)存在重大數(shù)據(jù)安全風(fēng)險(xiǎn)的� ���,應(yīng)當(dāng)及時(shí)通報(bào)網(wǎng)絡(luò)數(shù)據(jù)處理者�����,并按照有關(guān)規(guī)定向省級(jí)以上網(wǎng)信部門�����、有關(guān)主管部門報(bào)告���� 。
評(píng)估機(jī)構(gòu)及其工作人員應(yīng)當(dāng)對(duì)在風(fēng)險(xiǎn)評(píng)估過程中獲得的數(shù)據(jù)�����、商業(yè)秘密�� ��、保密商務(wù)信息等依法予以保密�����,不得泄露或者非法向他人提供�� ��,在風(fēng)險(xiǎn)評(píng)估工作結(jié)束后及時(shí)刪除相關(guān)信息�����。
第十三條 重要數(shù)據(jù)處理者開展年度風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)按照本辦法附件模板編制評(píng)估報(bào)告�����,一般數(shù)據(jù)處理者可以參照本辦法附件模板編制評(píng)估報(bào)告�����。有關(guān)主管部門對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告模板另有規(guī)定的�����,從其規(guī)定�����。
風(fēng)險(xiǎn)評(píng)估報(bào)告至少保存3年 ����。
第十四條 重要數(shù)據(jù)處理者應(yīng)當(dāng)在年度風(fēng)險(xiǎn)評(píng)估完成后的10個(gè)工作日內(nèi)按照有關(guān)主管部門要求報(bào)送評(píng)估報(bào)告�����。主管部門不明確的��� �,向省級(jí)網(wǎng)信部門或者國(guó)家網(wǎng)信部門報(bào)送�����。
有關(guān)主管部門應(yīng)當(dāng)公開評(píng)估報(bào)告報(bào)送渠道和聯(lián)系方式�����,及時(shí)接收重要數(shù)據(jù)處理者報(bào)送的評(píng)估報(bào)告�����,自收到評(píng)估報(bào)告之日起的10個(gè)工作日內(nèi)將報(bào)告通報(bào)同級(jí)網(wǎng)信部門� ���。國(guó)家網(wǎng)信部門匯總相關(guān)報(bào)告并報(bào)送國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制�����。
省級(jí)以上網(wǎng)信部門和有關(guān)部門可對(duì)網(wǎng)絡(luò)數(shù)據(jù)處理者的評(píng)估報(bào)告真實(shí)性�����、準(zhǔn)確性進(jìn)行抽查核驗(yàn)���� ,網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當(dāng)配合開展抽查核驗(yàn)�����。
第十五條 省級(jí)以上網(wǎng)信部門和有關(guān)部門在風(fēng)險(xiǎn)評(píng)估報(bào)告核驗(yàn)�����、監(jiān)督檢查等工作中發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理者有以下情形之一的�����,應(yīng)當(dāng)要求其委托通過認(rèn)證的評(píng)估機(jī)構(gòu)開展風(fēng)險(xiǎn)評(píng)估:
(一)網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)的;
(二)發(fā)生網(wǎng)絡(luò)數(shù)據(jù)安全事件�����,導(dǎo)致重要數(shù)據(jù)或者大規(guī)模個(gè)人信息泄露��� �、被竊取的;
(三)網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)可能危害國(guó)家安全�����、公共利益的;
(四)國(guó)家網(wǎng)信部門或者有關(guān)部門規(guī)定的其他情形�� ��。
對(duì)同一網(wǎng)絡(luò)數(shù)據(jù)安全事件或者風(fēng)險(xiǎn)�����,不得重復(fù)要求網(wǎng)絡(luò)數(shù)據(jù)處理者委托評(píng)估機(jī)構(gòu)開展風(fēng)險(xiǎn)評(píng)估�����。
第十六條 網(wǎng)絡(luò)數(shù)據(jù)處理者按照有關(guān)部門要求委托評(píng)估機(jī)構(gòu)開展風(fēng)險(xiǎn)評(píng)估的 ����,應(yīng)當(dāng)履行下列義務(wù):
(一)為評(píng)估機(jī)構(gòu)開展風(fēng)險(xiǎn)評(píng)估工作提供必要支持�����,包括為風(fēng)險(xiǎn)評(píng)估人員提供訪問網(wǎng)絡(luò)數(shù)據(jù)設(shè)施�����、網(wǎng)絡(luò)數(shù)據(jù)���� 、系統(tǒng)及操作日志記錄權(quán)限等;
(二)在限定時(shí)間內(nèi)完成風(fēng)險(xiǎn)評(píng)估�����,承擔(dān)評(píng)估費(fèi)用� ���,情況復(fù)雜的�����,報(bào)有關(guān)部門批準(zhǔn)后可以適當(dāng)延長(zhǎng);
(三)在完成風(fēng)險(xiǎn)評(píng)估后將評(píng)估機(jī)構(gòu)出具的評(píng)估報(bào)告報(bào)送有關(guān)部門�����,評(píng)估報(bào)告應(yīng)當(dāng)由評(píng)估機(jī)構(gòu)主要負(fù)責(zé)人�����、風(fēng)險(xiǎn)評(píng)估負(fù)責(zé)人簽字并加蓋機(jī)構(gòu)公章;
(四)按照有關(guān)部門要求對(duì)風(fēng)險(xiǎn)評(píng)估中發(fā)現(xiàn)的問題進(jìn)行整改�� ��,在整改完成后15個(gè)工作日內(nèi)�����,向有關(guān)部門報(bào)送整改情況報(bào)告�����。
網(wǎng)絡(luò)數(shù)據(jù)處理者不得以任何方式要求或者示意評(píng)估機(jī)構(gòu)出具不實(shí)或者不當(dāng)?shù)脑u(píng)估報(bào)告��� �。
第十七條 有關(guān)部門在組織風(fēng)險(xiǎn)評(píng)估工作中發(fā)現(xiàn)存在可能危害國(guó)家安全�����、公共利益的網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)�����,應(yīng)當(dāng)責(zé)令網(wǎng)絡(luò)數(shù)據(jù)處理者進(jìn)行整改;對(duì)整改不到位�����、拒不整改的網(wǎng)絡(luò)數(shù)據(jù)處理者��� �,可以采取要求其停止處理重要數(shù)據(jù)等措施�����。
第十八條 各地區(qū) ����、各部門應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)信息共享和協(xié)同處置�����,及時(shí)處置風(fēng)險(xiǎn)評(píng)估工作中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)和問題�����,并按照有關(guān)規(guī)定及時(shí)報(bào)告�����。
省級(jí)網(wǎng)信部門統(tǒng)籌協(xié)調(diào)本行政區(qū)域內(nèi)風(fēng)險(xiǎn)信息共享和協(xié)同處置工作���� ,于每年3月底前向國(guó)家網(wǎng)信部門報(bào)送上一年度風(fēng)險(xiǎn)信息處置情況�����,國(guó)家網(wǎng)信部門匯總相關(guān)情況報(bào)送國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制���� 。
第十九條 任何組織�����、個(gè)人有權(quán)對(duì)風(fēng)險(xiǎn)評(píng)估中的違法違規(guī)活動(dòng)向有關(guān)部門進(jìn)行投訴�����、舉報(bào)�����,收到投訴� ���、舉報(bào)的部門應(yīng)當(dāng)依法及時(shí)處理�����。
第二十條 省級(jí)以上網(wǎng)信部門和有關(guān)部門發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理者未按規(guī)定開展風(fēng)險(xiǎn)評(píng)估的�����,應(yīng)當(dāng)依據(jù)《中華人民共和國(guó)數(shù)據(jù)安全法》等法律法規(guī)予以處置處罰�����。
發(fā)現(xiàn)評(píng)估機(jī)構(gòu)違反本辦法開展風(fēng)險(xiǎn)評(píng)估的 ����,省級(jí)以上網(wǎng)信部門和有關(guān)部門應(yīng)當(dāng)責(zé)令其進(jìn)行整改;情節(jié)嚴(yán)重的�����,可以限制或者禁止其開展風(fēng)險(xiǎn)評(píng)估活動(dòng)�����,追究相關(guān)人員責(zé)任� ���,并予公布;構(gòu)成犯罪的�����,依法追究刑事責(zé)任�����。
第二十一條 風(fēng)險(xiǎn)評(píng)估�����、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)�����、數(shù)據(jù)安全管理認(rèn)證�� ��、個(gè)人信息保護(hù)合規(guī)審計(jì)�����、商用密碼應(yīng)用安全性評(píng)估等內(nèi)容重合的�����,相關(guān)結(jié)果可以互相采信�� ��,避免重復(fù)評(píng)估�����、審計(jì)��� �、認(rèn)證 ����。
第二十二條 重要數(shù)據(jù)處理者提供�����、委托處理�����、共同處理重要數(shù)據(jù)前進(jìn)行風(fēng)險(xiǎn)評(píng)估�����,可以參照本辦法有關(guān)規(guī)定執(zhí)行�����。
第二十三條 核心數(shù)據(jù)處理者的風(fēng)險(xiǎn)評(píng)估�����,按照國(guó)家有關(guān)規(guī)定執(zhí)行�����。
第二十四條 開展涉及國(guó)家秘密���� 、工作秘密的風(fēng)險(xiǎn)評(píng)估活動(dòng)��� �,按照《中華人民共和國(guó)保守國(guó)家秘密法》等法律�����、行政法規(guī)及國(guó)家保密規(guī)定執(zhí)行� ���。
第二十五條 本辦法自年月日起生效�����。
(文章來源:新華社)
