为规范网络安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》《网络数据安全条例》等法律法规，国家互联网信息办公室向社会公开征求意见。公众可通过以下渠道和方式提出反馈意见： 1、登录中国网络空间事务网（www.cac.gov.cn），进入首页“网络空间新闻”查看稿件。 2.通过电子邮件发送至：[email protected]。 3.将意见以信函形式寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮政编码100048，并在信封上注明“网络数据风险评估征求意见”反馈截止日期为2026年1月5日。 2025年12月6日国家互联网信息办公室网络数据风险评估办法（征求意见稿）第一条 为了规范网络数据风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，根据《中华人民共和国数据安全法》、《网络数据管理条例》第二条 在中华人民共和国境内进行数据安全风险评估，应当遵守本办法。法律、行政法规、部门规章另有规定的，从其规定。本步骤所称网络安全风险评估（以下简称风险评估），是指数据安全风险评估等活动。对网络数据安全和网络数据处理活动进行ISK识别、风险分析和风险分析。第三条 国家网信部门在国家安全数据安全协调机制指导下，协调各地区、各部门风险评估，加强工作协调和信息共享。第四条 各相关主管部门应当按照“业务谁管、业务数据谁管、数据完整性谁管”的原则，定期组织开展本行业、本领域的风险评估，并可根据工作需要对本领域重要数据处理者的风险评估进行审核，并于1月向国家网信部门报送年度风险评估和检查计划。省级网信部门要会同省级有关部门协调按照前款要求，制定本行政区域的年度风险评估和检查计划，报送国家网络安全和信息化主管部门。第五条 国家网信部门在国家安全数据安全协调机制指导下，组织有关主管部门和网信安全部门报送的年度风险评估和检查计划，避免重复评估和检查。有关部门进行检查时不得向被检查的网络数据处理者收取费用。第六条 处理重要数据的网络数据处理者（以下简称重要数据处理者）必须每年对网络数据处理活动进行风险评估。如果重要数据的安全状态发生重大变化可能对数据安全产生不利影响，必须立即采取行动。对变更及其影响进行风险评估。鼓励处理一般数据的网络数据处理者（以下定义为一般数据处理者）至少每三年进行一次风险评估。第七条 风险评估必须按照《网络数据安全管理规定》和《安全数据安全风险评估程序》（GB/T 45577）等相关国家标准的相关要求进行。有关主管部门对该行业、领域的风险评估工作另有规定的，从其规定。第八条 网络数据处理者可以自行或者委托第三方评估机构（以下简称评估机构）进行风险评估。网络数据处理者必须对自身进行风险评估，并指定专人负责e.网络数据处理者委托评估机构进行风险评估时，应当优先选择经认可的评估机构，并通过签订合同或者其他具有法律约束力的文件，明确双方的权利、责任和保密义务。第九条 国务院认证认可监督管理部门依法批准的具有数据安全服务资质的认证机构，可以对《机构评估机构》（GB/T 45389）等相关安全标准、行业标准进行认证。 第十条 评估机构进行风险评估，必须遵守法律法规，公平、客观地做出风险判断，并对出具的风险评估报告的真实性、有效性、完整性负责，不得委托他人进行风险评估。第十一条 同一评估机构及其下属机构进行风险评估。关联方不得对同一网络数据处理者连续进行三次以上风险评估。第十二条 评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，必须立即通知网络数据处理者，并按照规定向省级以上网信部门和有关主管部门报告。评估机构及其工作人员应当对风险评估过程中获取的数据、商业秘密、涉密商业信息等依法予以保密，不得泄露或者非法向他人提供，并应当在风险评估工作完成后及时删除相关信息。第十三条 重要数据处理者进行年度风险评估时，必须按照规定编制评估报告。这些措施附有模板。一般数据处理者可以参考这些步骤所附的模板来准备评估报告。有关主管部门对风险评估报告模板另有规定的，从其规定。风险评估报告保存并保存至少3年。第十四条 重要数据处理者必须在完成年度风险评估后10个工作日内按照有关主管部门的要求提交评估报告。主管部门不明确的，报告省级网信部门或者国家网信部门。有关主管部门应当公开提交评估报告的渠道和联系方式，及时接收重要数据处理者的评估报告，并在1年内通报同级网信部门。自收到评估报告之日起0个工作日。国家网信部门汇总相关报告并报送国家数据安全协调机制。省级以上网络安全部门及有关部门可以对网络数据处理者实施限制。评估报告的真实性、准确性应当接受抽查核实，网络数据处理者应当配合抽查核实。第十五条 省级以上网络安全部门及有关部门在风险评估报告审核、监督检查等过程中发现网络数据处理者有下列情形之一的： （二）发生网络数据安全事件，导致有价值数据或者大规模个人信息泄露、被盗的； (3)网络处理活动工作人员数据可能危害国家安全和公共利益； （四）国家网信部门或者有关部门规定的其他情形。对于同一网络数据安全事件或者风险，不得重复要求网络数据处理者委托评估机构进行风险评估。第十六条 网络数据处理者按照有关部门的要求委托评估机构进行风险评估的，应当履行下列义务： （一）为评估机构开展风险评估提供必要的支持，包括为风险评估人员提供网络数据设施、网络数据、管理日志记录和日志记录系统的访问权限； （二）在规定的时间内完成风险评估并承担评估费用。情况复杂的，经有关部门批准后可以适当扩大； (3)完成风险评估后，将评估机构出具的评估报告报送相关部门。评估报告须由评估机构负责人、风险评估负责人签署并加盖机构公章； （四）按照有关部门的要求对风险评估中发现的问题进行整改，整改完成后15个工作日内向有关部门提交整改报告。网络数据处理者不得以任何方式要求或者指示评估机构出具虚假或者不适当的评估报告。第十七条 有关部门在组织风险评估中发现存在危害国家安全、公共利益的网络数据处理活动的，必须责令网络数据处理者改正；构成犯罪的，依法追究刑事责任。对于不制作的网络数据处理者不改正或者拒绝改正的，可以采取要求其停止处理重要数据等措施。第十八条 各地区、各部门应当加强风险信息共享和处理协作，及时处理风险评估中发现的安全风险和问题，并按照有关规定及时报告。网信部门要组织本行政区域内风险信息处置共享与协作，并于每年3月底前向国家网信部门报送上一年度信息处置情况。国家网信部门汇总相关信息报国家数据安全协调机制。第十九条 任何组织和个人有权投诉、举报违法风险评估活动，并责令有关部门处理。nt部门。接到投诉、举报的部门必须依法及时处理。第二十条 省级以上网信部门和有关部门发现网络数据处理者未按照要求进行风险评估的，依照《中华人民共和国数据安全法》等法律法规的规定予以处罚。评估机构违反本办法规定进行风险评估的，由省级以上网信部门及有关部门责令进行风险评估。情节严重的，可以限制或者禁止开展风险评估活动，并对相关人员处决并予以公开；构成犯罪的，依法追究刑事责任。构成犯罪的，依法追究刑事责任。第二十一条 如果风险第二十二条 重要数据处理者在移交、委托处理、共同处理重要数据前进行风险评估，可以参照本办法的相关规定。第二十三条 主要数据处理者的风险评估按照国家有关规定进行。第二十四条 涉及国家秘密、工作秘密的风险评估活动，依照《中华人民共和国保守国家秘密法》等法律、行政法规和国家保密规定的规定执行。第二十五条 本办法自年、月、日起施行。 （央视记者 张刚）