《网络数据安全风险评估办法》解读
企业视角 | 《网络数据安全风险评估办法》解读
6月18日,国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(以下简称《办法》)。自2026年8月20日起施行。
本《办法》共计25条,细致地涵盖了企业在数据安全风险评估工作中的全流程细节及特殊情况处置规则,清晰地为合规主体划定了监管红线并构建了可操作的实施框架。
下面从企业视角(以下称:数据处理者)来讲解面对即将实施的《办法》需要如何应对。
第一步 | 处理者定位
将所有数据处理者分成两档:
|
第一档 |
第二档 |
|
重要数据处理者 |
一般数据处理者 |
具体归属哪一档,数据处理者可自行依据对数据资产的盘点和分类分级报告,参照《数据安全法》和《网络数据安全管理条例》中对重要数据的定义来判断:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。
同时也可依据各行业主管部门正在陆续发布的本行业重要数据识别指南或目录,比如:
-
工信部 —— 《工业、电信领域重要数据目录》
-
中国人民银行 —— 《金融领域重要数据目录》
-
卫健委 —— 《健康医疗数据分类分级指南》
-
交通运输部 —— 《交通领域重要数据目录》
当不确定时,宁可按照"重要数据处理者"的标准来合规。
按一般数据处理者去做,若后期被认定为重要数据,将面临罚款50—200万的风险;
按重要数据处理者去做,即便后期发现属于一般数据,也只是多花了一些评估成本。
第二步 | 风险评估频率
根据数据重要性分级,适用不同的评估频次;同时,一旦出现触发情形,需及时开展专项评估。
重要数据处理者
每年一次。
《办法》第五条规定:重要数据处理者应当每年度开展风险评估。
一般数据处理者
鼓励至少每三年一次。
《办法》第五条规定:鼓励处理一般数据的网络数据处理者(以下简称一般数据处理者)至少每3年开展一次风险评估。
特殊情况
特殊情况立即开展风险评估。
《办法》第五条规定:重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。
第三步 | 风险评估方式
《办法》第七条规定:针对网络数据处理者可以自行或者委托第三方评估机构(以下简称评估机构)开展风险评估。
自行评估
数据处理者内部自行评估,但是需要指定专业负责,该人员往往也是企业的网络数据安全负责人。
《办法》第七条规定:网络数据处理者自行开展风险评估,应当指定专人负责。
同时根据《网络数据安全管理条例》第三十条规定:重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。
委托评估机构
数据处理者也可委托更为专业的第三方评估机构开展风险评估,特定情境下只能由评估机构进行风险评估。
《办法》第七条规定:网络数据处理者委托评估机构开展风险评估,应当通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、义务等。
推荐组合评估
-
第一年:找专业评估机构做,把体系和方法论搭起来;
-
后续年度:内部在第三方的框架下自行操作,第三方只做复核;
-
第四年:《办法》强制要求必须换评估机构或自行评估。
第四步 | 风险评估报告
报告编制
重要数据处理者必须按主管部门要求编写评估报告,一般数据处理者参照执行。
《办法》第十五条规定:重要数据处理者开展年度风险评估,应当依法按照有关主管部门规定编制风险评估报告。
一般数据处理者可以参照前款要求编制风险评估报告。
若无相关行业规定,可参照数据安全风险评估有关国家标准(《数据安全技术 数据安全风险评估方法》GB/T 45577-2025)进行编制,包括但不限于:评估概述、评估对象描述、数据资产识别、风险识别与分析、风险评价、整改建议,以及风险评估报告模板格式要求。
报告保存
最少3年。
《办法》第十五条规定:风险评估报告至少保存3年。
报告报送
评估完成后20个工作日内报送报告,找不到主管部门就报省级或国家级网信部门。
《办法》第十六条规定:重要数据处理者应当在年度风险评估完成后的20个工作日内按照有关主管部门要求向其报送风险评估报告。主管部门不明确的,向省级网信部门或者国家网信部门报送。
报告核验
报告报送不是结束,政府主管部门有权核验报告真实性,数据处理者必须配合。
《办法》第十六条规定:省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验,重要数据处理者应当配合开展检查核验。
第五步 | 评估机构注意事项
《办法》中针对评估机构的一些行为进行了必要的约束。
评估机构不能"外包"
《办法》第十一条规定:评估机构不得转委托其他机构开展风险评估。
一家机构最多做3年
《办法》第十二条规定:同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。
评估机构保密工作
《办法》第十四条规定:评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在风险评估结束后及时删除或者按照合同约定妥善处置相关信息。
不得隐瞒安全风险
《办法》第十三条规定:评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的,应当及时通知网络数据处理者。
第六步 | 风险处置机制
重大风险
发现危害国家安全或公共利益的行为,主管部门可责令整改,拒不整改的直接停止处理重要数据。
《办法》第十九条规定:有关部门在组织开展风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的,应当依据职责责令重要数据处理者进行整改;对拒不整改或者未达到整改要求的重要数据处理者,可以采取要求其停止处理重要数据等措施。
一般风险
各条例及管理办法均未对一般数据的风险处置作出具体规定,依据《数据安全法》规定发现风险立即补救即可。
《数据安全法》第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。
第七步 | 不评会怎么样
《办法》第二十二条规定:省级以上网信部门、电信主管部门、公安机关、国家安全机关或者其他有关部门发现网络数据处理者未按规定开展风险评估的,应当依据《中华人民共和国数据安全法》、《网络数据安全管理条例》等有关法律、行政法规予以处理。
不按规定评估,主管部门可依法处罚。《数据安全法》中第三十条约定了数据处理者应当定期开展风险评估,第四十五条约定了其处罚措施。
处罚措施
|
处罚细则一览 依据《数据安全法》等法律法规 |
||
|
一般情节 |
最高50万(企业)+ 最高10万(负责人) |
|
|
拒不整改 |
最高200万(企业)+ 最高20万(负责人) +责令暂停业务 / 停业整顿 / 吊销许可证 / 吊销营业执照 |
|
|
特别说明 |
企业处罚 + 直接负责人双罚,责任人个人也要掏钱 |
|
《数据安全法》第四十五条规定:开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。



