中国经济网版权所有 中国经济网新媒体矩阵 网络广播视听节目许可证（0107190）（京ICP040090） 数据网络安全风险评估程序公开征求意见 2025年12月06日 16:18 来源：“网络中国”微信公众号 国家互联网信息办公室发布《网络数据安全风险评估建议（征求意见稿）》公开征求意见的通知。为规范网络安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》《网络数据安全条例》等法律法规，现将网络安全风险评估（征求意见稿）并向社会公开征求意见。公众c可通过以下渠道和方式提出反馈意见： 1、登录国家互联网信息办公室（www.cac.gov.cn），进入首页“网络空间新闻”查看稿件。 2.通过电子邮件发送至：shujuju@cac.gov.cn。 3.将意见邮寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮编100048，并在信封上注明“网络数据风险评估方法征求意见”。反馈截止日期为 2026 年 1 月 5 日。 附件：网络数据风险评估建议（征求意见稿） 国家互联网信息办公室 2025 年 12 月 6 日 网络数据风险评估工作（保障网络数据安全，促进网络数据合理有效利用） 根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》，制定本办法第二条 在中华人民共和国境内进行数据安全风险评估，应当遵守本办法。法律、行政法规、部门规章另有规定的，依照其规定。本办法所称网络安全风险评估（以下简称风险评估），是指对网络数据安全和网络数据处理活动进行风险识别、风险分析、风险分析等活动。三、国家网信部门在国家安全数据安全协调机制指导下，协调各地区、各部门的风险评估，加强工作协调和信息共享。 第四条 各有关主管部门必须按照原则。按照“业务谁管、业务数据谁管、数据安全谁管”的原则，定期组织开展本行业、本领域的风险评估，并可根据工作需要对本领域重要数据处理者的风险评估进行审查，并于1月1日向国家网信司报送年度风险评估和检查计划。省级网信部门应当会同省级有关部门制定本行政区域的年度风险评估和检查计划，并按照前款要求报送国家网信部门。第五条 国家网信部门在国家数据安全安全协调机制的指导下，组织对相关企业报送的年度风险评估和检查。主管部门和省级网信部门避免重复评估和检查。有关部门在进行检查时不得向被评估的网络数据处理者收取费用。第六条 处理重要数据的网络数据处理者（以下简称重要数据处理者）必须每年对网络数据处理活动进行风险评估。如果重要数据的安全状态发生重大变化可能对数据安全产生不利影响，必须及时对变化及其影响进行风险评估。鼓励处理一般数据的网络数据处理者（以下简称一般数据处理者）至少每三年进行一次风险评估。第七条 风险评估应当按照《网络数据安全管理条例》和《网络数据安全管理程序》等相关国家标准的相关要求进行。《安全数据安全风险评估》（GB/T 45577）。有关主管部门对该行业或者领域的风险评估工作另有规定的，从其规定。第八条 网络数据处理者可以自行或者委托第三方评估机构（以下简称评估机构）进行风险评估。网络数据处理者必须自行进行风险评估，并指定专人负责。网络数据处理者委托评估机构进行风险评估时，应当第九条 国务院认证认可监督管理部门批准的具有数据安全服务资质的认证机构，必须优先选择经过认证的评估机构，并通过签订合同或者其他具有法律约束力的文件，明确当事人的权利、责任和保密义务。依照本法规定可以对评估机构进行认证”（GB/T 45389）等相关安全标准和行业标准。第十条评估机构开展风险评估必须遵守法律、法规的规定，公正、客观地进行风险判断，并对出具的风险评估报告的真实性、有效性、完整性负责，不得委托其他机构进行风险评估。第十一条同一评估机构及其附属机构不得在同一网络上进行风险评估。第十二条 评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当立即通知网络数据处理者，并按照规定向省级以上网信部门和有关主管部门报告。相关法规。评估机构及其工作人员应当对风险评估过程中获取的数据、商业秘密、涉密商业信息等依法予以保密，不得泄露或者非法向他人提供，并在获取风险评估工作完成后及时删除相关信息。第十三条 重要数据处理者进行年度风险评估时，必须按照本办法所附模板编制评估报告。一般数据处理者可以参考这些步骤所附的模板来准备评估报告。有关主管部门对风险评估报告模板另有规定的，从其规定。风险评估报告须保存至少3年。第十四条 重要数据处理者必须在完成年度风险评估后10个工作日内遵守相关规定ent.有关主管部门要求提交评估报告。主管部门不明确的，报告省网信部门或者国家网信部门。有关主管部门应当公开提交评估报告的渠道和联系方式，及时接收重要数据处理者的评估报告，并自收到评估报告之日起10个工作日内通报同级网信部门。国家网信部门汇总相关报告并报送国家数据安全协调机制。省级以上网信部门和有关部门可以对网络数据处理者评估报告的真实性、准确性进行抽查、核实，网络数据处理者必须配合e 执行随机检查和验证。第十五条 省级以上网络安全部门和有关部门在风险评估报告核查、监督检查等过程中发现网络数据处理者有下列情形之一的，应当委托有资质的评估机构进行风险评估： （一）网络数据处理活动存在较高安全风险的； （二）发生网络数据安全事件，导致有价值数据或者大规模个人信息泄露或者被盗的； （三）网络数据处理活动可能危害国家安全、公共利益的； （四）国家网信部门或者有关部门规定的其他情况。对于同一网络数据安全事件或者风险，不得重复要求网络数据处理者委托评估机构进行风险评估。第十六条 如果网络数据处理者按照有关部门的要求委托评估机构开展风险评估的，应当履行以下义务： （一）为评估机构开展风险评估提供必要的支持，包括为风险评估人员提供网络数据设施、网络数据、日志记录系统和日志记录的访问权限； （二）在规定的时间内完成风险评估并承担评估费用。情况复杂的，报有关部门批准后可适当扩大； （三）完成风险评估后，将评估机构出具的评估报告报送有关部门。评估报告须由评估机构负责人、风险评估负责人签署并加盖机构公章； （四）对风险评估中发现的问题进行整改按照有关部门的要求进行整改，并在整改完成后15个工作日内向有关部门提交整改报告。网络数据处理者不得以任何方式要求、指示评估机构出具虚假或者不适当的评估报告。第十七条 有关部门在组织风险评估中发现网络数据处理错误存在可能危害国家安全、公共利益的行为时，必须责令网络数据处理者改正；构成犯罪的，依法追究刑事责任。对于不改正或者拒绝改正的网络数据处理者，可以采取要求其停止处理重要数据等措施。第十八条 各地区、各部门应当加强风险信息共享和处理协作，及时处理风险评估中发现的安全风险和问题，并按照规定及时报告。凡特法规。网信部门应当组织本行政区域内风险信息处置共享协作，并于每年3月底前将上一年度信息处置情况报送国家网信部门。国家网信部门汇总相关信息报国家数据安全协调机制。第十九条 任何组织和个人有权进行风险评估，对违法违规行为进行投诉和举报。接到投诉、举报的部门必须依法及时处理。第二十条 省级以上网信部门及有关部门发现网络数据处理者未按照要求进行风险评估的，依照《中华人民共和国数据安全条例》等法律法规的规定予以处罚。评估机构违反本办法规定进行风险评估的，由省级以上网信部门及有关部门责令改正；构成犯罪的，依法追究刑事责任。情节严重的，可以限制或者禁止开展风险评估活动，相关人员必须履行并向社会公开；构成犯罪的，依法追究刑事责任。第二十一条 风险评估、网络安全等级保护评估、数据安全管理认证、个人信息保护合规审核、密码应用安全评估等。 第二十二条 重要数据处理者在提供、委托处理、联合处理前未进行风险评估的，f重要数据可参照本办法的相关规定。第二十三条 主要数据处理者的风险评估按照国家有关规定进行。第二十四条 涉及国家秘密、工作秘密的风险评估活动，依照《中华人民共和国保守国家秘密法》等法律、行政法规和国家保密规定的规定执行。第二十五条 本办法自年、月、日起施行。 （编辑：王巨鹏）