为规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,国家网信办根据《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规,起草了《网络数据安全风险评估办法(征求意见稿)》,现正在征求意见。公众可通过以下渠道和方式提出意见: 1、登录中国网络空间问题网(www.cac.gov.cn),进入首页“网络空间新闻”查看稿件。 2、发送邮件至[email protected]。 3、将书面意见发送至国家互联网信息办公室网络数据管理办公室,邮编100048,北京市海淀区阜成路15号,并注明“网络数据安全征求意见函”。信封上写明《网络数据安全风险评估办法》。征求意见截止日期为2026年1月5日。 附:网络数据安全风险评估办法(征求意见稿)国家互联网信息办公室2025年12月6日网络数据安全风险评估办法(征求意见稿)第一条为了规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据网络依法合理、有效使用,根据《数据安全法》,制定本办法。我们将遵守中华人民共和国法律法规、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规。 第二条 在中华人民共和国境内进行网络数据安全风险评估,必须遵守本办法。l 法规另有规定的,从其规定。本办法所称网络数据安全风险评估(以下简称风险评估),是指对网络数据安全和网络数据处理活动进行识别和风险评估,是指风险分析、风险评估等活动。第三条 国家网信部门在国家数据安全工作协调机制领导下,协调各地区、各部门的风险评估,加强工作协调和信息共享。第四条 各有关主管部门可以按照“谁负责业务、谁负责业务数据、谁负责数据安全”的原则,定期组织开展本行业、本领域的风险评估,根据业务情况对本行业、本领域关键数据处理者的风险评估情况进行检查。并于每年1月底向国家网信部门提交年度检查和风险评估计划。地方网信部门会同地方相应部门按照前款要求制定本行政区域的年度风险评估和检查计划,报国家网信部门。第五条 国家网信部门在国家数据安全工作协调机制的指导下,协调有关主管部门和地方网信部门报送的年度风险评估和检查计划,避免重复评估和检查。有关部门在实施检查时,不得向被检查的网络数据处理者收取费用。文章6 处理敏感数据的网络数据处理者(以下简称“敏感数据处理者”)必须每年对网络数据处理活动进行风险评估。关键数据的安全状态 当状态发生重大变化可能对数据安全产生负面影响时,必须及时对变化及其影响进行风险评估。它笑地建议处理一般数据的网络数据处理者(以下简称“一般数据处理者”)至少每三年进行一次风险评估。第七条 风险评估工作应当按照《网络数据安全管理条例》和《数据安全技术数据安全风险评估方法》(GB/T 45577)等相关国家标准的相关要求开展。有关主管机关对该行业或领域的风险评估工作另有规定的,从其规定。阿尔蒂第八节 网络信息信息处理企业可以自行开展风险评估,也可以委托第三方评估机构(以下简称评估机构)进行风险评估。网络数据处理者将进行自己的风险评估,并设计他们将有一个专门的责任方。网络数据处理者聘请评估机构进行风险评估时,必须优先选择经认可的评估机构,并通过签订合同或其他具有法律约束力的文件,明确双方的权利、责任和保密义务。第九条 经国务院认证认可监督管理部门依法批准具有数据安全服务认证资质的认证机构,可以按照《数据安全技术数据安全评估机构资质要求》(GB/T 45389)等有关规定对评估机构进行认证。蚂蚁国家和行业标准。第十条 评估机构开展风险评估,应当遵守法律法规和发行人风险判断,公平、客观,对出具的风险评估报告的真实性、有效性和完整性负责,不得委托其他机构实施风险评估。第十一条 同一评估机构及其所属机构不得连续对同一网络数据处理设备进行三次以上风险评估。第十二条 风险评估过程中,评估机构发现网络数据处理活动存在重大数据安全风险的,应当立即通知网络数据处理者,并按照规定通报省级以上网络安全信息化部门和有关主管部门。评估机构及其工作人员对风险评估过程中获得的数据、商业秘密、商业秘密等依法予以保密,不会泄露或非法提供,并在风险评估工作完成后及时删除。第十三条 关键信息控制者实施年度风险评估时,必须按照本办法所附模板编制评估报告。一般数据处理者可以参考这些措施所附的模板来准备评估报告。有关主管部门对风险评估报告模板另有规定的,从其规定。风险评估报告必须保存至少三年。第十四条 主要数据处理者应当在完成年度风险评估后10年内获准运营。报告 d 评估必须在相应主管部门要求的期限内提交权威。如果您不确定主管部门,请告知您所在国家的信息化和网络安全部门或国家信息化和网络安全部门。有关主管部门应当公布评估报告提交途径和联系方式,及时接收关键数据处理者的评估报告,并自收到评估报告之日起10个工作日内通报同行信息化和网络安全部门。国家网信部门汇总相关报告报国家数据安全协调机构。系统。省级以上网信部门和有关部门可以对网络数据处理者评估报告的可靠性和准确性进行抽查、核查,网络数据处理者应当配合抽查、核查。阿尔蒂第十五条 省级以上网络安全部门和有关部门在风险评估报告核查、监督检查等过程中发现网络数据处理者有下列情形之一的,将委托具有资质的评估机构进行风险评估: (一)网络数据处理活动存在较大安全风险的。 (二)发生网络数据安全事件,重要数据或者个人信息大规模泄露、被盗的。 (三)网络数据处理活动可能危害国家安全、公共利益的; (四)国家网信部门或者有关部门规定的其他情形。对于同一网络数据安全事件或风险,网络数据处理者无需重复聘请评估机构进行风险评估。第十六条 网络数据处理者委托评估机构进行评估时o 按照有关部门的要求开展风险评估,网络数据处理者必须履行以下义务: (一)为评估机构开展风险评估工作提供必要的协助,包括为风险评估人员提供网络数据设施、网络数据、系统和运行记录的访问权限; (二)在有限的时间内完成风险评估,并承担评估费用。情况复杂的,经相应部门批准可以不时扩大。 (三)完成风险评估后,将评估机构出具的评估报告报送有关部门。评估报告须由评估机构总经理、风险评估负责人签字并加盖机构公章。 (四)风险评估中发现的问题,按照要求进行整改。并在整改完成后15个工作日内向有关部门发送整改报告。网络数据处理器不会请求或以任何方式指示评级机构发布虚假或不适当的评级报告。第十七条 有关部门在组织风险评估时发现网络数据处理活动存在危害国家安全、公共利益的,责令网络数据处理者改正。我们可能会对未能纠正或拒绝纠正的网络数据处理者采取行动,包括要求他们停止处理敏感数据。第十八条 各地区、各部门应当加强风险信息共享和联合处理,及时处理风险评估工作中发现的风险和安全问题,并按照有关规定及时报告。网络安全与信息化省级风险管理部门协调本行政区域内的风险信息共享和联合处理,并于每年3月底向国家网信部门通报上一年度风险信息处置情况。国家网信部门汇总相关信息并报送国家数据安全协调机制。第十九条 任何组织和个人有权向有关部门投诉、举报风险评估中的违法行为。接到投诉、举报的部门必须依法及时处理。第二十条 省级以上网信部门和有关部门发现网络数据处理者未进行必要的风险评估的,依法给予处罚。符合《中华人民共和国数据安全法》等法律法规。如果认定评估机构违反本办法的。经评估存在风险的,由省级以上网信部门和有关部门责令改正。情节严重的,可以限制或者禁止风险评估活动的实施。相关各方将被追究责任并予以公布。构成犯罪的,依法追究刑事责任。第二十一条 风险评估、网络安全等级保护评估、数据安全管理认证、个人信息保护合规审核、商用密码应用安全评估等是否重叠,相关结果可以相互认可,避免重复评估、审核和认证。第二十二条 重要数据处理者可以向相关部门咨询。提供、委托处理或者共同处理重要数据前进行风险评估的,适用本办法。第二十三条 主要数据处理者的风险评估按照国家有关规定进行。第二十四条 涉及国家秘密、商业秘密的风险评估活动,依照《中华人民共和国保守国家秘密法》等法律、行政法规和保护国家秘密的规定执行。第二十五条 本办法自即日起施行。微信公众号截图 
