國家互聯網信息辦公室

　　中華人民共和國工業和信息化部

　　中華人民共和國公安部

　　令

第24號

　　《網絡數據安全風險評估辦法》已經2026年6月1日國家互聯網信息辦公室2026年第12次室務會會議審議通過，并經中華人民共和國工業和信息化部、中華人民共和國公安部同意，現予公布，自2026年8月20日起施行。

國家互聯網信息辦公室主任 莊榮文

工業和信息化部部長 李樂成

公安部部長 王小洪

2026年6月18日

　　網絡數據安全風險評估辦法

　　第一章 總 則

　　第一條 為了規范網絡數據安全風險評估活動，保障網絡數據安全，促進網絡數據依法合理有效利用，根據《中華人民共和國數據安全法》、《中華人民共和國網絡安全法》、《網絡數據安全管理條例》等法律法規，制定本辦法。

　　第二條 在中華人民共和國境內開展網絡數據安全風險評估，應當遵守本辦法。

　　本辦法所稱網絡數據安全風險評估(以下簡稱風險評估)，是指對網絡數據和網絡數據處理活動安全進行的風險識別、風險分析和風險評價等活動。

　　第三條 在國家數據安全工作協調機制指導下，國家網信部門會同國務院電信、公安等有關部門建立網絡數據安全風險評估專項工作機制，指導、監督風險評估工作。

　　第四條 有關主管部門應當按照誰管業務、誰管業務數據、誰管數據安全的原則，定期組織開展本行業、本領域風險評估，根據工作需要對本行業、本領域處理重要數據的網絡數據處理者(以下簡稱重要數據處理者)開展風險評估情況進行檢查，并于每年1月底前將年度風險評估檢查計劃報送國家網信部門。國家網信部門通過國家數據安全工作協調機制將計劃與國務院電信、公安、國家安全等有關部門共享并進行協調，避免不必要的檢查和交叉重復檢查。

　　有關主管部門開展檢查不得向被檢查的重要數據處理者收取費用。

　　第五條 重要數據處理者應當每年度開展風險評估。

　　重要數據安全狀態發生重大變化可能對數據安全造成不利影響的，應當及時對發生變化及其影響的部分開展風險評估。

　　鼓勵處理一般數據的網絡數據處理者(以下簡稱一般數據處理者)至少每3年開展一次風險評估。

　　第六條 風險評估工作應當按照《中華人民共和國數據安全法》、《網絡數據安全管理條例》有關要求，參照數據安全風險評估有關國家標準開展。有關主管部門對本行業、本領域風險評估工作另有規定的，從其規定。

　　第七條 網絡數據處理者可以自行或者委托第三方評估機構(以下簡稱評估機構)開展風險評估。

　　網絡數據處理者自行開展風險評估，應當指定專人負責。網絡數據處理者委托評估機構開展風險評估，應當通過訂立合同或者其他具有法律效力的文件等方式明確雙方的權利、義務等。

　　第八條 鼓勵相關評估機構通過認證。評估機構的認證按照《中華人民共和國認證認可條例》的有關規定執行。

　　第九條 在國家數據安全工作協調機制指導下，國家網信部門和國務院電信、公安等有關部門積極促進網絡數據安全風險評估服務的發展，培育評估機構。

　　第十條 評估機構開展風險評估應當遵守法律法規，公正客觀地作出風險判斷，并對所出具的風險評估報告真實性、有效性、完整性負責。

　　第十一條 評估機構不得轉委托其他機構開展風險評估。

　　第十二條 同一評估機構及其關聯機構不得連續3次以上對同一網絡數據處理者開展年度風險評估。

　　第十三條 評估機構在風險評估過程中發現網絡數據處理活動存在重大數據安全風險的，應當及時通知網絡數據處理者。

　　第十四條 評估機構及其工作人員應當對在風險評估過程中獲得的數據、商業秘密、保密商務信息等依法予以保密，不得泄露或者非法向他人提供，在風險評估結束后及時刪除或者按照合同約定妥善處置相關信息。

　　第十五條 重要數據處理者開展年度風險評估，應當依法按照有關主管部門規定編制風險評估報告。有關主管部門對風險評估報告沒有規定的，可以參照數據安全風險評估有關國家標準編制風險評估報告。風險評估報告至少保存3年。

　　一般數據處理者可以參照前款要求編制風險評估報告。

　　第十六條 重要數據處理者應當在年度風險評估完成后的20個工作日內按照有關主管部門要求向其報送風險評估報告。主管部門不明確的，向省級網信部門或者國家網信部門報送。

　　有關主管部門應當公開風險評估報告報送渠道和聯系方式，及時接收重要數據處理者報送的風險評估報告，自收到風險評估報告之日起的10個工作日內將報告通報同級網信部門。國家網信部門匯總相關報告，并與國務院電信、公安、國家安全等有關部門共享。

　　省級以上網信部門、電信主管部門、公安機關、國家安全機關和其他有關部門可以對重要數據處理者的風險評估報告真實性、準確性進行檢查核驗，重要數據處理者應當配合開展檢查核驗。

　　第十七條 省級以上網信部門、電信主管部門、公安機關和其他有關部門在風險評估報告核驗、監督檢查等工作中發現網絡數據處理者有以下情形之一的，可以要求其委托通過認證的評估機構開展風險評估：

　　(一)網絡數據處理活動存在較大安全風險，可能危害國家安全、公共利益的；

　　(二)發生網絡數據安全事件，導致重要數據或者大規模個人信息泄露、被竊取的；

　　(三)有關部門規定的其他情形。

　　對同一網絡數據安全事件或者風險，不得重復要求網絡數據處理者委托評估機構開展風險評估。

　　第十八條 網絡數據處理者按照有關部門要求委托評估機構開展風險評估的，應當履行下列義務：

　　(一)為評估機構開展風險評估提供必要支持，包括為風險評估人員提供必要的訪問網絡數據設施、網絡數據、系統及操作日志記錄權限等；

　　(二)在限定時間內完成風險評估，情況復雜的，報有關部門批準后可以適當延長；

　　(三)在完成風險評估后將評估機構出具的風險評估報告報送有關部門，風險評估報告應當由評估機構主要負責人、風險評估負責人簽字并加蓋機構公章；

　　(四)按照有關部門要求對風險評估中發現的問題進行整改，在整改完成后15個工作日內，向有關部門報送整改情況報告。

　　網絡數據處理者不得以任何方式要求或者示意評估機構出具不實或者不當的風險評估報告。

　　第十九條 有關部門在組織開展風險評估中發現重要數據處理者的重要數據處理活動可能危害國家安全、公共利益的，應當依據職責責令重要數據處理者進行整改；對拒不整改或者未達到整改要求的重要數據處理者，可以采取要求其停止處理重要數據等措施。

　　第二十條 有關主管部門應當加強風險信息共享和協同處置，及時處置風險評估中發現的安全風險和問題，并按照有關規定及時報告。

　　第二十一條 任何組織、個人有權對風險評估中的違法活動向有關部門進行投訴、舉報，收到投訴、舉報的部門應當依法及時處理。

　　第二十二條 省級以上網信部門、電信主管部門、公安機關、國家安全機關或者其他有關部門發現網絡數據處理者未按規定開展風險評估的，應當依據《中華人民共和國數據安全法》、《網絡數據安全管理條例》等有關法律、行政法規予以處理。

　　發現評估機構違反本辦法開展風險評估的，有關部門應當依法予以處理。

　　第二十三條 處理核心數據的網絡數據處理者的風險評估，按照國家有關規定執行。

　　涉及重要數據加密等技術措施的，應當按照國家密碼相關法律、行政法規要求開展商用密碼應用安全性評估。

　　第二十四條 開展涉及國家秘密、工作秘密的風險評估活動，按照《中華人民共和國保守國家秘密法》等法律、行政法規及國家保密規定執行。

　　第二十五條 本辦法自2026年8月20日起施行。

　　來源：“網信中國”微信公眾號