AI智能体专区
立即体验恒脑安全智能体 
立即解锁AI安服数字员工 
行业解决方案
技术解决方案
深度解读《网络数据安全风险评估办法》:数据安全从此要做“年检”
6月18日,国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(以下简称《办法》),自2026年8月20日起施行。
这是继《数据安全法》《网络数据安全管理条例》之后,数据安全治理“评估”环节的一块关键拼图——它把“风险评估”从一句原则要求,落成了一套有周期、有标准、有机构、有报送、有问责的完整制度。一句话概括:重要数据处理者,从此要做“年检”。
添加客服获取政策原文
《数据安全法》《网络数据安全管理条例》都提出了数据安全风险评估的要求,但谁来评、多久评一次、按什么标准评、评完报给谁、评不合格怎么办,此前缺少统一规则。
《办法》的核心价值,就是填补这套“操作层”空白:在国家数据安全工作协调机制指导下,由国家网信部门会同电信、公安等部门建立专项工作机制,统一指导监督风险评估工作。定位很清晰——以数据安全保障数据开发利用和产业发展,评估不是为了限制,而是为了让数据敢用、能用。
1、 两类处理者,两种力度(第五条)
2、“谁管业务、谁管业务数据、谁管数据安全”(第四条)
行业主管部门定期组织本行业评估,并按需检查;每年1月底前把年度检查计划报国家网信部门,由协调机制统一共享协调,避免交叉重复检查。同时明确——主管部门检查不得向被检查方收费。
1、依据(第六条):按《数据安全法》《网络数据安全管理条例》要求,参照数据安全风险评估有关国家标准开展;行业另有规定的从其规定。
2、 形式(第七条):可自行评估(须指定专人负责),也可委托第三方评估机构(须订立合同明确权责)。
3、 本质(第二条):风险评估 = 对网络数据和处理活动安全进行风险识别、风险分析、风险评价。
《办法》用大量篇幅约束评估机构,这是制度能不能“评得准、评得公”的关键:
同时给处理者也划了底线:不得以任何方式要求或示意评估机构出具不实、不当报告(第十八条)。
报告链条(第十五、十六条)——记牢几个时间点:
1、按主管部门规定编制报告,报告至少保存3年;
2、年度评估完成后20个工作日内报送(主管部门不明确的,报省级或国家网信部门);
3、主管部门收到后10个工作日内通报同级网信部门;国家网信部门汇总并与电信、公安、国家安全等部门共享;
4、省级以上部门可对报告真实性、准确性检查核验,处理者应配合。
监督与问责(第十七至二十二条)——这是关键:
1、出现三类情形(较大安全风险可能危害国家安全公共利益 / 发生重要数据或大规模个人信息泄露被窃取 / 部门规定的其他情形)时,可被要求委托通过认证的评估机构重新评估;同一事件或风险不得重复要求。
2、被要求委托评估的处理者须:提供必要访问权限、限期完成、报送签字盖章的报告、整改完成后15个工作日内报送整改情况。
3、可能危害国家安全、公共利益的,责令整改;拒不整改或不达标的,可责令停止处理重要数据。
4、任何组织、个人有权投诉举报评估中的违法活动;未按规定评估的,依法处理。
1、核心数据处理者的风险评估,按国家有关规定执行(第二十三条)——要求更高,另有规则。
2、涉及重要数据加密等技术措施的,须按密码法律法规开展商用密码应用安全性评估。
3、涉及国家秘密、工作秘密的评估,按保密法等执行(第二十四条)。
1、先做“数据分级”自查:明确自己是否属于重要数据处理者,决定是“每年必评”还是“鼓励三年一评”。
2、建立评估常态化机制:把年度评估、重大变化触发的临时评估、报告编制与报送(20个工作日)、报告留存(3年)写进内部流程。
3、选好评估路径与伙伴:自行评估配齐专人与能力;委托第三方优先考虑已通过认证的机构,并注意“同一机构连续3次”的限制。
