为规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,国家网信办根据《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规,起草了《网络数据安全风险评估办法(征求意见稿)》,现正在征求意见。公众可以通过以下渠道和方式提出意见:
2、发送邮件至shujuju@cac.gov.cn。
3、将您的意见以书面形式发送至国家网信办网络数据管理办公室,邮政编码100048,北京市海淀区阜成路15号,信封上注明“征求安全风险评估方法意见”、“网络数据安全”字样。
征求意见截止日期为2026年1月5日。
附加编:网络数据安全风险评估方法(征求意见稿)
国家互联网信息办公室
2025 年 12 月 6 日
网络数据安全风险评估方法。
(评论草案)
第一条 为了依法规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据合理有效利用,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规,制定本办法。
第二条 在中华人民共和国境内进行网络数据安全风险评估,必须遵守本办法。法律、行政法规、部门规章另有规定的,依照其规定。
《网络数据安全风险评估》(以下简称“风险评估”)本办法所称风险评估,是指与网络数据安全和网络数据处理活动相关的风险识别、风险分析、风险评估等活动。
第三条 国家网信部门在国家数据安全工作协调机制领导下,协调各部门开展风险评估,加强业务协调和信息共享。
第四条 各有关主管部门可以按照“谁管业务、谁管业务数据、谁管数据安全”的原则,定期组织开展本行业、本领域的风险评估,根据业务需要对本行业、本领域的重要数据处理者进行风险评估检查,并将年度检查和风险评估计划报送国家网信部门。每年一月底。
地方网信部门会同地方相应部门按照前款要求制定本行政区域的年度风险评估和检查计划,报国家网信部门。
第五条 国家网信部门在国家数据安全工作协调机制的指导下,协调有关主管部门和地方网信部门报送的年度风险评估和检查计划,避免重复评估和检查。
有关部门在实施检查时,不得向被检查的网络数据处理者收取费用。
第六条 处理重大数据的网络信息处理者(以下简称主要信息处理者)必须遵守以下规定:每年对网络信息处理活动进行风险评估。如果关键数据的安全环境发生重大变化,可能会对数据安全产生负面影响,则应及时对变化内容及其影响进行风险评估。
建议处理一般数据的网络数据处理者(以下简称“一般数据处理者”)至少每三年进行一次风险评估。
第七条 风险评估工作应当按照《网络数据安全管理条例》和《数据安全技术数据安全风险评估方法》(GB/T 45577)等相关国家标准的相关要求开展。有关主管机关对该行业或领域的风险评估工作另有规定的,从其规定。
第八条 网络数据处理者应当自行或者委托委托人进行风险评估。可以委托第三方评估机构(以下简称“评估机构”)。
网络数据处理者将进行自己的风险评估并指定专门的责任方。网络数据处理者聘请数据评估机构进行风险评估时,应当优先选择具有资质的评估机构,并通过签订合同或者其他具有法律约束力的文件,明确双方的权利、责任和保密义务。
第九条 经国务院认证认可监督管理部门依法批准具有数据安全服务认证资质的认证机构,可以按照《数据安全技术数据安全评估机构资质要求》(GB/T 45389)等相关国家标准和行业标准对评估机构进行认证。
第十条 进行风险评估时,评估机构应当遵守法律法规,公平、客观地作出风险判断,对出具的风险评估报告的真实性、有效性和完整性负责,不得委托其他机构实施风险评估。
第十一条 同一评估机构及其所属机构不得连续对同一网络数据处理设备进行三次以上风险评估。
第十二条 风险评估过程中,评估机构发现网络数据处理活动存在重大数据安全风险的,应当立即通知网络数据处理者,并按照规定通报省级以上网络安全信息化部门和有关主管部门。
评估机构及其工作人员应当对数据、商业秘密、经营秘密等保密。获得在依法进行风险评估过程,不会泄露或非法提供,并在风险评估工作完成后及时删除。
第十三条 关键信息处理者进行年度风险评估,应当按照本办法所附模板编制评估报告。一般数据处理人员可参照本办法所附模板编制评估报告。有关主管部门对风险评估报告模板另有规定的,从其规定。
风险评估报告必须保存至少三年。
第十四条 重要数据处理者应当在年度风险评估完成后10个工作日内按照有关主管部门的要求提交评估报告。必须是。如果您不确定主管部门,请通知您所在国家的信息化和网络安全部门主管部门或国家信息化和网络安全部门。
有关主管部门应当公布评估报告提交途径和联系方式,及时接收关键数据处理者的评估报告,并自收到评估报告之日起10个工作日内通报同行信息化和网络安全部门。国家网信部门汇总相关报告报国家数据安全协调机构。系统。
省级以上网信部门和有关部门可以对网络数据处理者评价报告的可靠性、准确性进行抽查核实,网络数据处理者配合开展抽查核实。
第十五条 省级以上网信部门及有关部门发现网络数据处理者在风险评估、监督检查报告等核查过程中有下列情形之一的,应当委托具有资质的评估机构进行风险评估:
(一)网络数据处理活动存在重大安全风险的。
(二)发生网络数据安全事件,重要数据或者个人信息大规模泄露、被盗的。
(三)网络数据处理活动可能危害国家安全、公共利益的。
(四)国家网信部门或者有关部门规定的其他情形。
对于同一网络数据安全事件或风险,网络数据处理者无需重复聘请评估机构进行风险评估。
第十六条 网络数据处理者按照有关部门的要求委托评估机构进行风险评估时,应当遵守以下义务:
(一)为评估机构开展风险评估工作提供必要的支持,例如为风险评估人员提供网络数据设施、网络数据、系统、运行记录等的访问权限。
(二)在有限的时间内完成风险评估并承担评估费用。情况复杂的,通知相应部门并经批准后可以酌情扩大。
(三)完成风险评估后,将评估机构出具的评估报告报送有关部门。评估报告须由评估机构总经理、风险评估负责人签字并加盖机构公章。
(四)对风险评估发现的问题,按照有关部门的要求进行整改,并向有关部门发送整改报告整改完成后15个工作日内进行细化。
网络数据处理器不会请求或以任何方式指示评级机构发布虚假或不适当的评级报告。
第十七条 相关部门在组织风险评估时发现红色数据处理活动存在危害国家安全、公共利益的,责令网络数据处理者改正。我们可能会对未能纠正或拒绝纠正的网络数据处理者采取行动,包括要求他们停止处理敏感数据。
第十八条 各地区、各部门应当加强风险信息共享和联合处理,及时处理风险评估工作中发现的风险和安全问题,并按照有关规定及时报告。
省级网信部门统筹共享、联合处理每年3月底将上一年度风险信息处置情况报送国家网信部门。国家网信部门汇总相关信息并报送国家数据安全协调机制。
第十九条 任何组织和个人有权向有关部门投诉、举报风险评估中的违法行为。接到投诉、举报的部门必须依法及时处理。
第二十条 省级以上网信部门和有关部门发现网络数据处理者未进行必要的风险评估的,将采取下列措施: 依照《中华人民共和国证券法》等法律法规的规定予以处罚。
如果它评估机构违反本办法规定进行风险评估的,由省级以上网信部门和有关部门责令改正。如果情况严重,必须进行风险评估活动。活动可能受到限制或禁止,相关人员将被追究责任并予以公布。构成犯罪的,依法追究刑事责任。
第二十一条 风险评估、网络安全等级保护评估、数据安全管理认证、个人信息保护合规审核、商用密码应用安全评估等是否重叠,相关结果可以相互认可,避免重复评估、审核和认证。
第二十二条 关键数据处理者在提供数据前可以进行风险评估并参照本办法相关规定。自行、委托处理或共同处理关键数据。
第二十三条 主要数据处理者的风险评估按照国家有关规定进行。
第二十四条 涉及国家秘密、商业秘密的风险评估活动,依照《中华人民共和国保守国家秘密法》等法律、行政法规和保护国家秘密的规定执行。
第二十五条 本办法自即日起施行。 【编辑:李润泽】
大雪天为什么要喝红薯粥?
马克龙就读的大学真是一座宝藏!
购买机票后,您仍然需要“付费选座”。飞机上大多数“座位堵塞”引发激烈争论
雪假和春假即将到来。学生们将如何度过他们的“新”假期?
未经许可,请勿使用未知接入点。记得连接公共 Wi-Fi-Fi规避风险。
百岁“美食主”喝奶茶、叫外卖、玩电脑游戏,发现老年人的长寿秘诀。
冰箱门封条发霉超标准值!家里这个卫生角落被忽视了
别在家抽烟了!二手烟正在“改变”儿童的 DNA
基于微表情的“读心术”可靠吗?请告诉我一些有用的东西
一生中一定要来光德看看!
法国总统马克龙访华期间向中方赠送这份礼物
三大外卖企业相继发文自愿执行“新国标”
年轻人热衷于“旅行”,沉浸在当地文化中。
新国标电动自行车正式上市 官方澄清网络误区
中国制造业呈现从价格竞争到价值竞争的结构性跨越
浙江省的变化第一大贸易伙伴,凸显区域合作新动能
流感病毒是否“出现耐药性”?听听专家的说法
第一次,第一次!我国在许多领域取得了科技进步。