發(fā)文機關國家互聯(lián)網(wǎng)信息辦公室,工業(yè)和信息化部,公安部
發(fā)文日期2026年06月18日
時效性2026年08月20日生效
發(fā)文字號國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部令第24號
施行日期2026年08月20日
效力級別部門規(guī)章
《網(wǎng)絡數(shù)據(jù)安全風險評估辦法》已經(jīng)2026年6月1日國家互聯(lián)網(wǎng)信息辦公室2026年第12次室務會會議審議通過,并經(jīng)中華人民共和國工業(yè)和信息化部、中華人民共和國公安部同意,現(xiàn)予公布,自2026年8月20日起施行。
國家互聯(lián)網(wǎng)信息辦公室主任 莊榮文
工業(yè)和信息化部部長 李樂成
公安部部長 王小洪
2026年6月18日
網(wǎng)絡數(shù)據(jù)安全風險評估辦法
第一章 總 則
第一條 為了規(guī)范網(wǎng)絡數(shù)據(jù)安全風險評估活動,保障網(wǎng)絡數(shù)據(jù)安全,促進網(wǎng)絡數(shù)據(jù)依法合理有效利用,根據(jù)《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國網(wǎng)絡安全法》、《網(wǎng)絡數(shù)據(jù)安全管理條例》等法律法規(guī),制定本辦法。
第二條 在中華人民共和國境內(nèi)開展網(wǎng)絡數(shù)據(jù)安全風險評估,應當遵守本辦法。
本辦法所稱網(wǎng)絡數(shù)據(jù)安全風險評估(以下簡稱風險評估),是指對網(wǎng)絡數(shù)據(jù)和網(wǎng)絡數(shù)據(jù)處理活動安全進行的風險識別、風險分析和風險評價等活動。
第三條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機制指導下,國家網(wǎng)信部門會同國務院電信、公安等有關部門建立網(wǎng)絡數(shù)據(jù)安全風險評估專項工作機制,指導、監(jiān)督風險評估工作。
第四條 有關主管部門應當按照誰管業(yè)務、誰管業(yè)務數(shù)據(jù)、誰管數(shù)據(jù)安全的原則,定期組織開展本行業(yè)、本領域風險評估,根據(jù)工作需要對本行業(yè)、本領域處理重要數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理者(以下簡稱重要數(shù)據(jù)處理者)開展風險評估情況進行檢查,并于每年1月底前將年度風險評估檢查計劃報送國家網(wǎng)信部門。國家網(wǎng)信部門通過國家數(shù)據(jù)安全工作協(xié)調(diào)機制將計劃與國務院電信、公安、國家安全等有關部門共享并進行協(xié)調(diào),避免不必要的檢查和交叉重復檢查。
有關主管部門開展檢查不得向被檢查的重要數(shù)據(jù)處理者收取費用。
第五條 重要數(shù)據(jù)處理者應當每年度開展風險評估。
重要數(shù)據(jù)安全狀態(tài)發(fā)生重大變化可能對數(shù)據(jù)安全造成不利影響的,應當及時對發(fā)生變化及其影響的部分開展風險評估。
鼓勵處理一般數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理者(以下簡稱一般數(shù)據(jù)處理者)至少每3年開展一次風險評估。
第六條 風險評估工作應當按照《中華人民共和國數(shù)據(jù)安全法》、《網(wǎng)絡數(shù)據(jù)安全管理條例》有關要求,參照數(shù)據(jù)安全風險評估有關國家標準開展。有關主管部門對本行業(yè)、本領域風險評估工作另有規(guī)定的,從其規(guī)定。
第七條 網(wǎng)絡數(shù)據(jù)處理者可以自行或者委托第三方評估機構(以下簡稱評估機構)開展風險評估。
網(wǎng)絡數(shù)據(jù)處理者自行開展風險評估,應當指定專人負責。網(wǎng)絡數(shù)據(jù)處理者委托評估機構開展風險評估,應當通過訂立合同或者其他具有法律效力的文件等方式明確雙方的權利、義務等。
第八條 鼓勵相關評估機構通過認證。評估機構的認證按照《中華人民共和國認證認可條例》的有關規(guī)定執(zhí)行。
第九條 在國家數(shù)據(jù)安全工作協(xié)調(diào)機制指導下,國家網(wǎng)信部門和國務院電信、公安等有關部門積極促進網(wǎng)絡數(shù)據(jù)安全風險評估服務的發(fā)展,培育評估機構。
第十條 評估機構開展風險評估應當遵守法律法規(guī),公正客觀地作出風險判斷,并對所出具的風險評估報告真實性、有效性、完整性負責。
第十一條 評估機構不得轉委托其他機構開展風險評估。
第十二條 同一評估機構及其關聯(lián)機構不得連續(xù)3次以上對同一網(wǎng)絡數(shù)據(jù)處理者開展年度風險評估。
第十三條 評估機構在風險評估過程中發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)處理活動存在重大數(shù)據(jù)安全風險的,應當及時通知網(wǎng)絡數(shù)據(jù)處理者。
第十四條 評估機構及其工作人員應當對在風險評估過程中獲得的數(shù)據(jù)、商業(yè)秘密、保密商務信息等依法予以保密,不得泄露或者非法向他人提供,在風險評估結束后及時刪除或者按照合同約定妥善處置相關信息。
第十五條 重要數(shù)據(jù)處理者開展年度風險評估,應當依法按照有關主管部門規(guī)定編制風險評估報告。有關主管部門對風險評估報告沒有規(guī)定的,可以參照數(shù)據(jù)安全風險評估有關國家標準編制風險評估報告。風險評估報告至少保存3年。
一般數(shù)據(jù)處理者可以參照前款要求編制風險評估報告。
第十六條 重要數(shù)據(jù)處理者應當在年度風險評估完成后的20個工作日內(nèi)按照有關主管部門要求向其報送風險評估報告。主管部門不明確的,向省級網(wǎng)信部門或者國家網(wǎng)信部門報送。
有關主管部門應當公開風險評估報告報送渠道和聯(lián)系方式,及時接收重要數(shù)據(jù)處理者報送的風險評估報告,自收到風險評估報告之日起的10個工作日內(nèi)將報告通報同級網(wǎng)信部門。國家網(wǎng)信部門匯總相關報告,并與國務院電信、公安、國家安全等有關部門共享。
省級以上網(wǎng)信部門、電信主管部門、公安機關、國家安全機關和其他有關部門可以對重要數(shù)據(jù)處理者的風險評估報告真實性、準確性進行檢查核驗,重要數(shù)據(jù)處理者應當配合開展檢查核驗。
第十七條 省級以上網(wǎng)信部門、電信主管部門、公安機關和其他有關部門在風險評估報告核驗、監(jiān)督檢查等工作中發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)處理者有以下情形之一的,可以要求其委托通過認證的評估機構開展風險評估:
(一)網(wǎng)絡數(shù)據(jù)處理活動存在較大安全風險,可能危害國家安全、公共利益的;
(二)發(fā)生網(wǎng)絡數(shù)據(jù)安全事件,導致重要數(shù)據(jù)或者大規(guī)模個人信息泄露、被竊取的;
(三)有關部門規(guī)定的其他情形。
對同一網(wǎng)絡數(shù)據(jù)安全事件或者風險,不得重復要求網(wǎng)絡數(shù)據(jù)處理者委托評估機構開展風險評估。
第十八條 網(wǎng)絡數(shù)據(jù)處理者按照有關部門要求委托評估機構開展風險評估的,應當履行下列義務:
(一)為評估機構開展風險評估提供必要支持,包括為風險評估人員提供必要的訪問網(wǎng)絡數(shù)據(jù)設施、網(wǎng)絡數(shù)據(jù)、系統(tǒng)及操作日志記錄權限等;
(二)在限定時間內(nèi)完成風險評估,情況復雜的,報有關部門批準后可以適當延長;
(三)在完成風險評估后將評估機構出具的風險評估報告報送有關部門,風險評估報告應當由評估機構主要負責人、風險評估負責人簽字并加蓋機構公章;
(四)按照有關部門要求對風險評估中發(fā)現(xiàn)的問題進行整改,在整改完成后15個工作日內(nèi),向有關部門報送整改情況報告。
網(wǎng)絡數(shù)據(jù)處理者不得以任何方式要求或者示意評估機構出具不實或者不當?shù)娘L險評估報告。
第十九條 有關部門在組織開展風險評估中發(fā)現(xiàn)重要數(shù)據(jù)處理者的重要數(shù)據(jù)處理活動可能危害國家安全、公共利益的,應當依據(jù)職責責令重要數(shù)據(jù)處理者進行整改;對拒不整改或者未達到整改要求的重要數(shù)據(jù)處理者,可以采取要求其停止處理重要數(shù)據(jù)等措施。
第二十條 有關主管部門應當加強風險信息共享和協(xié)同處置,及時處置風險評估中發(fā)現(xiàn)的安全風險和問題,并按照有關規(guī)定及時報告。
第二十一條 任何組織、個人有權對風險評估中的違法活動向有關部門進行投訴、舉報,收到投訴、舉報的部門應當依法及時處理。
第二十二條 省級以上網(wǎng)信部門、電信主管部門、公安機關、國家安全機關或者其他有關部門發(fā)現(xiàn)網(wǎng)絡數(shù)據(jù)處理者未按規(guī)定開展風險評估的,應當依據(jù)《中華人民共和國數(shù)據(jù)安全法》、《網(wǎng)絡數(shù)據(jù)安全管理條例》等有關法律、行政法規(guī)予以處理。
發(fā)現(xiàn)評估機構違反本辦法開展風險評估的,有關部門應當依法予以處理。
第二十三條 處理核心數(shù)據(jù)的網(wǎng)絡數(shù)據(jù)處理者的風險評估,按照國家有關規(guī)定執(zhí)行。
涉及重要數(shù)據(jù)加密等技術措施的,應當按照國家密碼相關法律、行政法規(guī)要求開展商用密碼應用安全性評估。
第二十四條 開展涉及國家秘密、工作秘密的風險評估活動,按照《中華人民共和國保守國家秘密法》等法律、行政法規(guī)及國家保密規(guī)定執(zhí)行。
第二十五條 本辦法自2026年8月20日起施行。

