《网络数据安全风险评估办法》将于2026年8月20日起施行
国家网信办、工业和信息化部、公安部联合发布了《网络数据安全风险评估办法》(以下简称《办法》),该办法将于2026年8月20日起施行。《办法》旨在规范网络数据安全风险评估活动,保障网络数据安全,并促进网络数据依法合理有效利用。
《办法》规定,处理重要数据的网络数据处理者必须每年度开展风险评估,并且在重要数据安全状态发生重大变化可能对数据安全造成不利影响时,应及时对变化及其影响的部分开展风险评估。同时,《办法》鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。
风险评估工作机制
在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作。有关主管部门应按照“谁管业务、谁管业务数据、谁管数据安全”的原则,定期组织开展本行业、本领域风险评估,并于每年1月底前将年度风险评估检查计划报送国家网信部门。
《办法》还明确,对同一网络数据安全事件或风险,不得重复要求网络数据处理者委托评估机构开展风险评估。
风险评估的开展
网络数据处理者可以自行或委托第三方评估机构开展风险评估。自行开展风险评估的,应指定专人负责;委托第三方评估机构的,应通过订立合同或其他具有法律效力的文件明确双方的权利、义务等。
《办法》鼓励相关评估机构通过认证,评估机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。评估机构开展风险评估应遵守法律法规,公正客观地作出风险判断,并对所出具的风险评估报告的真实性、有效性、完整性负责。
重要数据处理者开展年度风险评估后,应在20个工作日内按照有关主管部门要求报送风险评估报告。省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验。
《办法》还规定了对网络数据处理者和评估机构的监管要求,以及对违法活动的投诉、举报处理机制。
《办法》的出台背景、适用范围、主体要求、避免重复检查的措施、风险评估的开展方式、参考标准或规范、第三方评估机构的培育和管理要求以及事前事中事后监管的具体要求等,均在《办法》中得到了详细阐述。
