重要数据处理者注意了！今后每年都要做网络数据安全风险评估

6月18日，国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》（以下简称《办法》），自2026年8月20日起施行。

《办法》提出，处理重要数据的网络数据处理者（以下简称“重要数据处理者”）应当每年度开展网络数据安全风险评估（以下简称“风险评估”），鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估；网络数据处理者可以根据自身能力、条件情况，选择自行或者委托第三方评估机构开展风险评估；有关部门将共享年度风险评估检查计划并进行协调，避免不必要的检查和交叉重复检查。

填补规范空白

我国《数据安全法》明确要求，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。《网络数据安全管理条例》也提出，重要数据的处理者应当每年度对其网络数据处理活动开展风险评估。然而，市面上的数据安全相关评估、检测、测评活动缺少指导和规范。

国家网信办有关负责同志表示，出台《办法》是落实《数据安全法》《网络数据安全管理条例》等法律法规的重要举措，旨在规范风险评估活动，以数据安全保障数据开发利用和产业发展。

国家互联网应急中心党委副书记、副主任刘博撰文指出，《办法》对上位法中的原则性规定进行细化与落实，明确风险评估工作的方法、路径、流程等，为网络数据处理者提供科学的评估方法，为行业主管监管部门提供感知行业数据安全风险的制度保障，以实现全面地识别风险、科学地分析风险、精准地评价风险的效果，为有效应对数据安全风险提供有力保障。

差异化安排评估活动

《办法》明确，网络数据安全风险评估，是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动，并对评估频次、评估方式做了差异化安排。

评估频次方面，《办法》明确，重要数据处理者应当每年度开展风险评估，同时重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应当及时对发生变化及其影响的部分开展风险评估。对于处理一般数据的网络数据处理者，《办法》鼓励其至少每3年开展一次风险评估。

中国法学会网络与信息法学研究会常务副秘书长周辉撰文表示，这种安排没有简单地把所有主体纳入同一强度的合规要求，而是根据风险程度配置不同义务，有助于将监管资源和合规资源集中到更需要关注的重点对象和重点场景。

北京航空航天大学法学院副教授、院长助理赵精武也撰文认为，此种义务规范设置方式本质上是对《数据安全法》的分类分级保护原则的契合，兼顾了数据安全与商业利益的双重目标。

评估方式方面，《办法》提出，网络数据处理者可以根据自身能力条件，选择自行开展或者委托第三方评估机构开展。自行开展的应当指定专人负责；委托第三方的，应当通过订立合同等方式明确双方权利义务。

培育健康评估生态

《办法》为评估机构设定了清晰的行为红线：评估机构不得转委托其他机构开展风险评估；同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。

赵精武表示，该制度设计与审计独立性保障较为类似，旨在防止评估过程陷入层层转包、责任悬空的失范状态；切断评估机构与客户之间因长期合作可能形成的利益固化和人情羁绊，从结构上确保评估结论的中立与公允，维系整个评估生态的纯洁性与公信力。

同时，《办法》鼓励相关评估机构通过认证。国家网信部门和国务院电信、公安等有关部门将积极促进网络数据安全风险评估服务的发展，培育评估机构。

评估标准方面，国家网信办有关负责同志表示，对于有关主管部门对本行业、本领域风险评估工作没有规定的，可以参照《数据安全技术 数据安全风险评估方法》（GB/T 45577-2025）、《数据安全技术 数据安全评估机构能力要求》（GB/T 45389-2025）开展风险评估、建设相应能力。对于有关主管部门另有规定的，可以按照相关规定，参照行业领域标准规范开展风险评估。

打通“一评多用”

多位专家指出，避免多头重复检查是《办法》的一大着力点。

按照《办法》要求，国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制，指导、监督风险评估工作。有关主管部门按照谁管业务、谁管业务数据、谁管数据安全的原则，组织开展本行业、本领域风险评估及相应检查，于每年1月底前将年度风险评估检查计划报送国家网信部门。国家网信部门将计划与国务院电信、公安、国家安全等有关部门共享并进行协调，避免不必要的检查和交叉重复检查。同时，《办法》规定对同一事件或者风险，不得重复要求网络数据处理者委托评估机构开展风险评估；明确有关主管部门开展检查不得向被检查的重要数据处理者收取费用。

中央网信办数据与技术保障中心主任张鹏撰文表示，《办法》在风险评估工作的统筹落实上既强调统筹又明确分工，是发挥数据安全治理统筹协调作用的重要体现，也是提升各部门抓数据、管安全工作质效的必然要求。

刘博也指出，此举有助于提高国家和行业层面的协同配合和风险联动处置能力，增强各行业领域网络数据安全风险评估效能。

赵精武表示，通过监管端的协同联动，将原本分散、平行的评估监管要求整合为“一评多用”的协同作业，企业不再需要就同一网络数据处理活动按照不同部门的要求反复填报、重复测评。行政资源得以有效节约，企业的制度性交易成本显著降低。

建立报送与监督闭环

在报告报送方面，《办法》提出，重要数据处理者应当在年度风险评估完成后的20个工作日内，按照有关主管部门要求向其报送风险评估报告。报告至少保存3年。有关主管部门自收到报告之日起的10个工作日内将报告通报同级网信部门。

省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对报告的真实性、准确性进行检查核验。有关部门在组织开展风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的，应当依据职责责令重要数据处理者进行整改；对拒不整改或者未达到整改要求的重要数据处理者，可以采取要求其停止处理重要数据等措施。

中国人民大学法学院副院长、教授丁晓东撰文表示，《办法》的出台，为网络数据处理者的网络数据安全保护提供了明确的指引，推动其实现数据安全从“外部约束”到“内生需求”的根本转变。

周辉也认为，《办法》有利于推动网络数据安全治理关口前移，把网络数据安全的隐蔽风险提前显性化，使监管和合规能够在风险演变之前介入，推动数据安全治理从事后补救转向事前预防、事中控制。

专家：评估是风险管理依据而非合规负担

多位专家撰文强调，应正确理解风险评估的规律特点和价值。

刘博指出，网络数据安全风险评估有别于网络安全等级保护测评、云计算服务安全评估等符合性测评门类，本质上是一种风险评价活动，总目标是回答好“有没有风险、风险是什么、风险在哪里、风险有多大”等问题，为本单位决策层和行业主管监管部门做好风险管理提供参考依据。

赵精武强调，《办法》的制定是为了督促网络数据处理者对整体业务的网络数据安全风险状况形成清晰、完整的认知，准确辨识不同数据处理环节中存在何种类型、何种等级的安全威胁，进而做到设置针对性的技术措施与管理流程，避免出现“高射炮打蚊子”式的过度防护或“稻草人”式的虚假安全。

张鹏表示，《办法》的出台是数据安全治理的大事，也是筑牢数字经济安全基础的要事，更是促进数据有效利用的好事。随着评估工作的落地见效、不断深入，必将对推动构建长效有序的数据安全治理生态带来深远影响。

出品：南都大数据研究院

采写：南都研究员 李伟锋