2026年6月18日,国家互联网信息办公室、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(以下简称《办法》)。该《办法》已经2026年6月1日国家互联网信息办公室2026年第12次室务会会议审议通过,并经工业和信息化部、公安部同意,自2026年8月20日起施行。
《办法》的出台,标志着我国网络数据安全风险评估制度从原则性规定迈入精细化、标准化的可操作阶段,对规范网络数据安全风险评估活动、完善数据安全管理体制机制具有重要意义。
一、制度定位:从原则规定到具体实施
《办法》是落实《数据安全法》第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”要求的关键配套规章,同时与《网络数据安全管理条例》的规定相衔接。它将上位法确立的风险评估原则转化为可执行、可监督的具体制度,解决了企业长期以来“谁来管、怎么评、如何用”的实践困惑。
《办法》共二十五条,围绕评估主体、评估方式、评估依据、报告报送、监督管理等关键环节作出系统规定。
二、适用范围与核心定义
《办法》明确,在中华人民共和国境内开展网络数据安全风险评估,应当遵守本办法。其将“网络数据安全风险评估”界定为“对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动”。
这一界定包含三个关键要素:其一,评估对象是“网络数据”,不限于个人信息或某一具体信息系统;其二,评估范围包括“网络数据处理活动”,即数据的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期环节;其三,评估内容是风险识别、分析和评价的系统过程。
三、差异化评估义务:按数据类型配置义务
《办法》根据处理数据类型的不同,设置了差异化的评估频次要求,体现了分类分级保护的原则。
重要数据处理者是《办法》约束的核心主体,应当每年度开展风险评估。此外,当重要数据安全状态发生重大变化,可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。这意味着重要数据处理者需要建立“年度全面评估+重大变化专项评估”的双轨机制。
一般数据处理者不承担与重要数据处理者同等的强制义务,但《办法》以鼓励的方式,建议至少每3年开展一次风险评估。这虽非强制性法律义务,但在实践中,定期评估有助于企业提前识别潜在风险,尤其是在业务重大调整时,主动评估更为稳妥。
四、评估方式与机构管理
《办法》为企业提供了两种评估路径:自行组织开展,或委托第三方评估机构进行。具备相应专业能力的企业可自行评估,但应指定专人负责;委托评估则需通过合同明确双方权利义务。
为确保评估独立客观,《办法》对评估机构设置了行为规范。评估机构不得转委托其他机构开展风险评估;同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估,通过强制轮换防止长期合作形成的利益绑定。评估机构发现重大数据安全风险的,应当及时通知网络数据处理者。
《办法》还明确国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展,培育评估机构,鼓励相关评估机构通过认证。
五、报告报送与整改闭环
《办法》构建了“评估—报告—报送—整改—核验”的闭环管理体系。
报告报送方面,重要数据处理者应在年度评估完成后的20个工作日内,按照有关主管部门要求报送评估报告,报告至少保存3年。有关主管部门将报告通报同级网信部门,国家网信部门汇总相关报告并与有关部门共享。
整改闭环方面,网络数据处理者必须严格落实监管部门的整改要求,在整改完成后15个工作日内报送整改情况报告。对于拒不整改或者未达到整改要求的重要数据处理者,有关部门可以采取要求其停止处理重要数据等措施。
报告核验方面,省级以上有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验。当发现网络数据处理活动存在较大安全风险、可能危害国家安全或公共利益等法定情形时,可以要求其委托通过认证的评估机构开展风险评估。
六、结果互认与协同监管
为减轻企业合规负担,《办法》贯彻了结果互认机制。根据《网络数据安全管理条例》相关规定,重要数据风险评估与网络安全等级保护测评、个人信息保护合规审计等内容重合的,相关结果可以互相采信,避免重复评估、审计。
在监管协同方面,《办法》要求各有关主管部门于每年1月底前将年度风险评估检查计划报送国家网信部门,由国家网信部门通过国家数据安全工作协调机制进行协调,避免不必要的检查和交叉重复检查。这有助于将原本分散的监管要求整合为协同作业,降低企业的制度性交易成本。
七、企业应对建议
距离《办法》2026年8月20日正式施行尚有一段时间,企业可利用窗口期做好以下准备:
第一,判断自身定位。 企业需明确是否处理“重要数据”。这不能仅凭直觉判断,而应依据数据分类分级规则、行业主管部门的重要数据目录进行识别。
第二,完成基础工作。 开展数据资产梳理、数据分类分级、重要数据识别和重要数据目录形成,这是有效评估的前提。未被相关部门告知或公开发布为重要数据的,原则上不需要将其作为重要数据管理,但企业仍需尽到识别义务。
第三,建立双轨机制。 对重要数据处理者而言,需将年度风险评估纳入固定合规安排,同时建立重大变化触发专项评估的响应机制。
第四,提前储备能力。 无论是培养内部评估人才,还是筛选合格的外部评估机构,均应提前准备。选择评估机构时需关注其认证资质,并注意利益冲突回避规则(同一机构不得连续3次以上服务同一企业)。
《办法》的出台将推动网络数据安全治理从事后补救转向事前预防、事中控制。对于企业而言,这既是合规义务的强化,也是提升自身数据治理能力、构建信任基础的重要契机。
颐卓咨询管理集团-广州总部
地 址:广州市海珠区琶洲数字科技产业园A15-2栋(总部)
广州市番禺区南村镇捷顺路9号2栋1101房
公司总机:020-38626755
业务咨询:134 3393 3194
邮 箱:liaojun@chinakec.com
公司官网:www.chinakec.com
集团分支机构:上海、重庆、成都、深圳、佛山、东莞、武汉、福建、杭州等