为使网络数据安全风险评估活动得以规范,以保障网络数据的安全,进而促进网络数据能够依法、合理、有效利用,依据《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规,国家互联网信息办公室起草了《网络数据安全风险评估办法(征求意见稿)》,此刻向社会公开征求意见。公众能够通过以下途径以及方式提出反馈意见:
1.登录中国网信网(),进入首页“网信要闻”查看文稿。
2.通过电子邮件方式发送至:。
若要通过信函方式寄意见,需寄至这样的地址,那儿位于北京市海淀区阜成路15号,是国家互联网信息办公室网络数据管理局处,其邮编是100048,且要在信封上注明“网络数据安全风险评估办法征求意见”。
意见反馈截止时间为2026年1月5日。
附件:网络数据安全风险评估办法(征求意见稿)
国家互联网信息办公室
2025年12月6日
网络数据安全风险评估办法
(征求意见稿)
第一条,为规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法、合理、有效利用,依据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规,制定本办法。
位于中华人民共和国境内的开展网络数据安全风险评估这一行为,应遵循本办法,若法律、行政法规以及部门规章之中存在另外的规定,则按照那些规定来执行。
本办法所讲的网络数据安全风险评估,也就是以下简称为风险评估的,是针对网络数据,以及网络数据处理活动安全,展开的风险识别活动,还有风险分析活动,以及风险评价等活动。
在国家数据安全工作协调机制的指导下,展开统筹各地区、有关部门的行动,用以开展进行风险评估工作,并且为之加强增添工作方面的协调以及信息的共享。
第四条,各有关主管部门,应当依照“谁管业务、谁管业务数据、谁管数据安全”的原则,定期组织开展本行业、本领域的风险评估,能够依据工作需要,对本行业、本领域的重要数据处理者开展风险评估的情况进行检查,并且在每年1月底前向报送年度风险评估及检查计划。
省级网信部门,对省级有关部门进行统筹,进而制定本行政区域年度风险评估及检查计划,接着按照前款要求报送。
第五条,于国家数据安全工作协调机制作指导之际,对有关主管部门以及省级网信部门所呈送的年度风险评估计划,还有年度检查计划予以统筹,从而防止出现重复进行评估的情况,以及防止出现重复开展检查的状况。
各有关部门开展检查不得向被检查的网络数据处理者收取费用。
以下是改写后的内容:第六条,那些处理重要数据的网络数据处理者,也就是所谓的重要数据处理者,应当在每一年度,针对其网络数据处理活动,去开展风险评估。要是重要数据安全状态出现重大变化,并且这种变化有可能对数据安全造成不好的影响,那么就应该及时地,针对发生变化以及其产生影响的那些部分,开展风险评估。
针对那些鼓励处理一般数据的网络数据处理者,也就是以下简称为一般数据处理学者的群体,要求其至少每隔3年就开展一回风险评估。
第 七条,风险评估工作,应当依照《网络数据安全管理条例》相关要求,以及《数据安全技术 数据安全风险评估方法》(GB/T 45577)等相关国家标准来开展。若有关主管部门,对本行业、本领域风险评估工作,有着其他规定的,那么便依从其规定。
第八条,网络数据处理者能够自行,或者委托第三方评估机构,即以下简称的评估机构,去开展风险评估。
对于网络数据处理者自行开展风险评估这一情况,应当指定专人来负责。而当网络数据处理者是委托评估机构开展风险评估的时候,则应当优先去选择通过认证的评估机构,并且要通过订立合同或者其他具有法律效力的文件等方式,明确双方的权利、责任以及保密义务等。
第九条,有经依法批准具有数据安全服务认证资质的认证机构,此认证机构能够依照《数据安全技术 数据安全评估机构能力要求》(GB/T 45389)等相关国家标准、行业标准,针对评估机构展开认证,此认证机构可依据这些标准来开展认证,针对评估机构进行认证。
第十条,评估机构展开风险评估时,应当遵循法律法规,公正且客观地去作出风险判断,还要对所出具的风险评估报告的真实性、有效性以及完整性负责,不可以再次委托别的机构去开展风险评估。
第十一条,同一评估机构,以及其关联机构,不可以连续3次以上,对同一网络数据处理者,开展风险评估。
涉及第十二条,当评估机构于风险评估进程里察觉到网络数据处理活动存有重大数据安全风险时,其应当及时去通报网络数据处理者,同时还需依照有关规定朝着省级以上网信部门、有关主管部门进行报告。
风险评估时,评估机构和其工作人员,对于所获取的数据呀,还有商业秘密呢,以及保密商务信息等,要依照法律规定给予保密,不能去泄露,也不可以非法向他人提供,在风险评估工作结束之后,要及时把相关信息给删除掉。
第十三条,重要数据处理者开展年度风险评估,应当依照本办法附件模板来编制评估报告,一般数据处理者呢,可以参照本办法附件模板编制评估报告。若是有关主管部门对风险评估报告模板有着另外的规定,那就依从其规定。
风险评估报告至少保存3年。
按照有关主管部门的要求,重要数据处理者应当在年度风险评估完成后的10个工作日内报送评估报告,这是第十四条所规定的。若主管部门不明确,那么就向省级网信部门报送,或者进行报送。
应公开评估报告报送渠道以及联系方式的有关主管部门,要及时接收重要数据处理者送来的评估报告,在自收到评估报告那一日起的10个工作日里面,把报告通报给同级网信部门,还要汇总相关报告,而后报送至国家数据安全工作协调机制。
省级以上的网信部门,以及有关部门,能够针对网络数据处理者的评估报告,对其体现出的真实性、准确性展开抽查核验,而网络数据处理者,应当配合去开展抽查核验。
省级以上网信部门,以及有关部门,在风险评估报告核验工作中,发现网络数据处理者存在特定情形之一时,需要要求其委托通过认证的评估机构开展风险评估,在监督检查等工作里,情况同样如此。
(一)网络数据处理活动存在较大安全风险的;
二来呢,出现了网络数据安全方面的事件,致使重要数据,或者大规模个人信息,出现了泄密,被窃取的情况。
(三)网络数据处理活动可能危害国家安全、公共利益的;
(四)或者有关部门规定的其他情形。
针对于同一网络数据安全事件,以及风险,是不可以重复去要求网络数据处理者,委托评估机构去开展风险评估的。
网络数据处理者,在依照有关部门要求,委托评估机构去开展风险评估之时,应当履行如下这些义务:
(一)给评估机构展开的风险评估项目予以必需的支撑,涵盖为从事风险评估的人员给予访问网络数据设施的权限,提供网络数据,准予查看系统以及操作日志记录权限等。
㈡于限定时间以内达成风险评估,担负评估所需费用,若情况繁杂,在报经有关部门予以批准后能够适度予以延长。
三、完成风险评估之后,将评估机构出具的评估报告报送给有关部门,该评估报告需由评估机构主要负责人、风险评估负责人签字,并且加盖上机构公官方印章的哟。
面临有关部门要求,首先针对风险评估当中所发现的问题展开整改,整改完毕之后,于15个工作日的时间段里,朝着有关部门递送整改状况的报告。
网络数据处理者,不行采取任何方法,去要求,或者示意评估机构,出具不实的,或者不当的评估报告。
第十七条,有关部门于组织风险评估工作期间,察觉到有存在可能危害国家安全、公共利益的网络数据处理活动的情况,此时应当责令网络数据处理者作出整改;对于整改未达要求、拒不进行整改的网络数据处理者,是可以采取要求其停止处理重要数据此类措施的。
第十八条规定,各个地区,以及各个部门,都理应强化有关风险信息的共享工作,还有协同处置工作,要及时去处置在风险评估工作期间所发现的安全风险,以及问题,并且要依照相关规定,及时进行报告。
省级网信部门,对本行政区域内风险信息共享以及协同处置工作,进行统筹协调,在每年3月底之前,把上一年度风险信息处置情况予以报送,将相关情况进行汇总,报送至国家数据安全工作协调机制。
第十九条,任何的组织,以及个人,是拥有权利的,针对风险评估过程当中出现的违法违规之类的活动,朝着有关部门去进行投诉,还有举报的行为,那个收到这投诉以及举报的部门,应当依照法律规定,及时地去进行处理。
省级以上的网信部门,以及有关部门,当发现网络数据处理者,没有按照规定开展风险评估时,应当依照《中华人民共和国数据安全法》等法律法规,予以处置处罚。
若发现评估机构违反这部办法去开展风险评估,省级以上的网信部门以及有关部门,应当责令它进行整改,情节严重的状况下呢,可以对它开展风险评估的活动实行限制或者禁止,能够追究相关人员的责任呀,还要予以公布,一旦构成犯罪了,则依法去追究刑事责任。
第二十一条,存在风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的情况,其相关结果能够互相采信,以此避免重复评估、审计、认证。
第二十二条,重要数据处理者,在进行提供重要数据前,在进行委托处理重要数据前,在进行共同处理重要数据前,要开展风险评估,其可参照本办法有关规定来执行的。
第二十三条,核心数据处理者的风险评估,要依照国家有关规定去执行。
第二十四条,开展那种涉及国家秘密、工作秘密的风险评估活动,得按照《中华人民共和国保守国家秘密法》这类法律,以及行政法规,还有国家保密规定去执行。
第二十五条 本办法自 年 月 日起生效。
网络数据安全风险评估报告
暂无评论内容