网络数据安全风险评估方法公开征求意见
所有版权归中国经济网所有。
中国经济网新媒体矩阵
网络广播视听节目许可证(0107190)(京ICP040090)
网络数据安全风险评估方法公开征求意见
2025年12月6日 16:18 来源:微信公众号“网络中国”
国家互联网信息办公室现向社会公开征求《网络数据安全风险评估办法(征求意见稿)》意见。为规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,国家网信办根据《中华人民共和国网络数据安全风险评估》、《网络数据安全管理条例》等法律法规,制定了《网络数据安全风险评估办法(征求意见稿)》,目前正在研究制定中。听取公众意见。公众可通过以下渠道和方式提出意见: 1、登录国家互联网信息办公室(www.cac.gov.cn),进入首页“网络空间新闻”查看稿件。 2、发送邮件至shujuju@cac.gov.cn。 3、将您的意见以书面形式寄至国家互联网信息办公室网络数据管理办公室,邮政编码100048,北京市海淀区阜城路15号,信封上注明“网络数据安全风险评估方法征求意见”。意见须于 2026 年 1 月 5 日前提交。 附:《网络数据安全风险评估办法(征求意见稿)》 国家互联网信息办公室 2025 年 12 月 6 日 网络数据安全风险评估办法(征求意见稿) 第一条 依据本办法规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据合理有效利用。aw,本办法是根据《数据安全法》制定的。 《中华人民共和国》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规。第二条 在中华人民共和国境内进行网络数据安全风险评估,必须遵守本办法。法律、行政法规、部门规章另有规定的,依照其规定。本办法所称网络数据安全风险评估(以下简称网络数据安全风险评估“风险评估”),是指与网络数据安全和网络数据处理活动相关的风险识别、风险分析、风险评估等活动。 第三条 国家网信部门在国家数据安全工作协调机制领导下统筹风险评估工作。各地区、各部门加强工作协调和信息共享。第四条 各有关主管部门可以按照“谁负责业务、谁负责业务数据、谁负责数据安全”的原则,定期组织开展本行业、本领域的风险评估,按照规定对本行业、本领域的关键数据处理者的风险评估情况进行检查。业务需要,并于每年1月底向国家信息化和网络安全部门报送年度风险评估检查计划。地方信息化和网络安全部门会同地方有关部门按照前款要求制定各行政区域的年度检查和风险评估计划,报送国家信息化和网络安全部门。该部门拥有协调有关主管部门和地方网信部门报送的年度风险评估和检查计划,避免重复评估和检查。有关部门在实施检查时,不得向被检查的网络数据处理者收取费用。当关键数据的安全状态发生重大变化,可能对数据安全产生负面影响时。应及时评估变更风险及其对整个过程数据的影响。建议提供数据处理服务的网络数据处理运营者(以下简称一般数据处理运营者)至少每三年进行一次风险评估。第七条 风险评估工作应当按照《网络数据安全管理条例》和《数据安全技术规范》等相关国家标准的相关要求开展。《数据安全风险评估办法》(GB/T 45577)。有关主管部门对该行业、领域的风险评估工作另有规定的,从其规定。第八条 网络信息处理业务经营者可以自行开展风险评估,也可以委托外部评估机构(以下简称评估机构)进行风险评估。网络数据处理者自行开展风险评估,并指定专门负责人。网络信息处理者聘请评估机构进行风险评估时,第九条 国家认证认可监督管理部门批准的具有数据安全服务认证资质的认证机构应当优先选择经认可的评估机构,并通过签订合同或者其他具有法律约束力的文件,明确双方的权利、责任和保密义务。国务院信息安全委员会可以依据《数据安全技术 数据安全评估机构能力要求》(GB/T 45389)等相关国家标准和行业标准对评估机构进行认证。第十条 评估机构开展风险评估,应当遵守法律法规,公平、客观地做出风险判断,对出具的风险评估报告的真实性、有效性和完整性负责,不得委托其他机构实施风险评估。第十一条 评估机构及其所属机构不得对同一网络数据处理设备连续进行三次以上风险评估 第十二条 风险评估过程中,评估机构发现网络数据处理活动存在重大数据安全风险的,评估机构应当立即通知网络数据处理者并按照规定通报省级以上电算化、网络安全部门和有关主管部门。评估机构及其工作人员应当对数据、商业秘密、经营秘密等保密。依法在风险评估过程中获得的信息,不会泄露或者非法提供,并在风险评估工作完成后及时删除。第十三条 关键信息控制者实施年度风险评估时,必须按照本办法所附模型编制评估报告。一般数据处理者可以参考这些措施所附的模板来准备评估报告。有关主管部门对风险评估报告模板另有规定的,从其规定。风险评估报告应当保存至少三年。第十四条 主要数据处理者必须在完成年度风险评估后10个工作日内遵守相关规定。有关主管部门要求提交评估报告。如果您不确定主管部门,请告知您所在国家的信息化和网络安全部门或国家信息化和网络安全部门。有关主管部门应当公布评估报告提交途径和联系方式,及时接收关键数据处理者的评估报告,并自收到评估报告之日起10个工作日内通报同行信息化和网络安全部门。国家网信部门将相关报告汇总后报送国家数据安全协调机制。省级以上网信部门和有关部门可以对网络数据处理者评估报告的可靠性和准确性,网络数据处理者应当配合进行抽查和验证。第十五条 省级以上网络安全部门和有关部门在风险评估报告核查、监督检查等过程中发现网络数据处理者有下列情形之一的,应当委托具有资质的评估机构进行风险评估: (一)网络数据处理活动存在较大安全风险的。 (二)发生网络数据安全事件,重要数据或者个人信息大规模泄露、被盗的。 (三)网络数据处理活动可能危害国家安全、公共利益的; (四)国家网信部门或者有关部门认定的其他情形。对于同一事件或网络数据安全风险,网络数据处理者不会重复需要将其评估工作外包给评估机构。第十六条 网络数据处理者按照有关部门的要求委托评估机构进行风险评估时,网络数据处理者必须履行下列义务: (一)为评估机构开展风险评估工作提供必要的协助,包括为风险评估人员提供网络数据设施、网络数据、系统和运行记录的访问权限; (二)在有限的时间内完成风险评估并承担评估费用。情况复杂的,请向有关部门报告。经部门批准后可酌情扩大。 (三)完成风险评估后,将评估机构出具的评估报告报送有关部门。评估报告须由总经理及负责人签字负责评估机构的风险评估并加盖评估机构公章。 (四)对风险评估发现的问题,按照有关部门的要求进行整改,整改完成后15个工作日内向有关部门发出整改报告。数据处理器网络成员不得要求或以任何方式指示评级机构发布虚假或不适当的评级报告。第十七条 有关部门在组织风险评估时发现网络数据处理活动存在危害国家安全、公共利益的,应当责令网络数据处理者改正。我们可能会对未能纠正或拒绝纠正的网络数据处理者采取行动,包括要求他们停止处理敏感数据。第十八条 各地区、各部门应当加强风险信息共享,共同参与。处理,及时处理风险评估工作中发现的风险和安全问题,并按照有关规定及时报告。省级网信部门统筹本行政区域内风险信息共享和联合处理,并于每年3月底向国家网信部门报送上一年度风险信息处置情况。国家网信部门汇总相关信息并报送国家数据安全协调机制。第十九条 任何组织和个人都有权进行风险评估。如有违法、违规行为,请向有关部门投诉。请这样做并报告。接到投诉、举报的部门必须依法及时处理。北极第二十条 省级以上网信部门及有关部门发现网络数据处理者未进行必要的风险评估的,依照《中华人民共和国数据安全法》等法律法规的规定予以处罚。认定评估机构违反本办法进行风险评估的,由省级以上网信部门和有关部门责令改正。情节严重的,可以限制或者禁止风险评估活动的实施,并追究相关当事人的责任并予以公布。构成犯罪的,依法追究刑事责任。第二十一条 是否存在风险评估、网络安全等级保护评估、数据安全管理认证、个人信息保护补偿等联盟审核、安全应用安全评估、商业碎片等重叠,相关结果可以互相认可,避免重复评估、审核和认证。第二十二条 重要数据处理者在提供、委托处理或者共同处理重要数据前进行风险评估时,可以参照本办法相关规定。第二十三条 主要数据处理者的风险评估按照国家有关规定进行。第二十四条 涉及国家秘密、商业秘密的风险评估活动,依照《中华人民共和国保守国家秘密法》等法律、行政法规和保护国家秘密的规定执行。第二十五条 本办法自即日起施行。
(编辑:王菊盆)