《网络数据安全风险评估办法》是国家互联网信息办公室、工业和信息化部、公安部联合公布的部门规章(国家互联网信息办公室令第24号),2026年6月18日公布、自2026年8月20日起施行,现行有效,共25条。它是《数据安全法》第三十条、《网络数据安全管理条例》第三十三条和第四十八条在“风险评估”这一环节的落地细则,第一次把数据安全风险评估的方式方法、程序流程、报告报送和监督管理规定得可操作。核心一句话:处理重要数据的网络数据处理者应当每年度开展一次风险评估,鼓励一般数据处理者至少每3年评估一次,报告至少保存3年。对处理重要数据、动辄涉及百万级以上个人信息的AI数据平台、大模型训练方和大型互联网企业来说,这部办法把“年度风险评估”从纸面义务变成了必须常态化落地的合规动作。
- 发布机关:国家互联网信息办公室、工业和信息化部、公安部
- 文号:国家互联网信息办公室 工业和信息化部 公安部 令 第24号
- 公布日期:2026年6月18日
- 施行日期:2026年8月20日
- 官方原文:中国网信网发布《网络数据安全风险评估办法》
解读要点
- 义务主体和频次按数据分级“三档”设定(第五条、第二十三条):处理重要数据的网络数据处理者应当每年度开展一次风险评估、重大变化时对受影响部分及时评估,属强制义务;处理一般数据的鼓励至少每3年评估一次,属引导性规范;处理核心数据的按国家有关规定执行、要求更严。
- 评估形式二选一,且都有硬性要求(第七条):网络数据处理者可以自行评估,也可以委托第三方评估机构;自行评估的应当指定专人负责,委托第三方的应当通过订立合同等方式明确双方权利义务,两条路径的责任都落到了具体的人和文件上。
- 评估依据是“法律法规+国家标准”双轨(第六条):风险评估工作应当按照《数据安全法》《网络数据安全管理条例》要求,参照2025年11月1日实施的《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)等国家标准开展,评估机构能力则对照《数据安全技术 数据安全评估机构能力要求》(GB/T 45389-2025)。
- 对第三方评估机构划了四条执业红线(第十条至第十四条):对报告真实性、有效性、完整性负责;不得转委托;同一评估机构及其关联机构不得连续3次以上对同一处理者做年度评估(防利益固化);发现重大风险应及时通知处理者,评估结束后对相关数据依法保密、删除或妥善处置。
- 报告报送和强制评估各有明确时限与触发情形(第十六条、第十七条、第十八条):重要数据处理者应在年度评估完成后20个工作日内报送评估报告;发现存在较大安全风险可能危害国安公益、或发生重要数据及大规模个人信息泄露被窃取的,监管部门可要求其委托通过认证的评估机构评估,整改情况应在完成后15个工作日内报送。
- 罚则采转致模式,衔接上位法(第二十二条):本办法自身不设独立罚款条款,未按规定开展风险评估的,依据《数据安全法》《网络数据安全管理条例》等处理——《数据安全法》第四十五条对拒不履行数据安全义务的最高可处500万元罚款,并对直接责任人员处以罚款,这才是违法成本的落点。
法规全文
第一条 为了规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规,制定本办法。
第二条 在中华人民共和国境内开展网络数据安全风险评估,应当遵守本办法。
本办法所称网络数据安全风险评估(以下简称风险评估),是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。
条款解读:本办法采地域管辖——只要在中华人民共和国境内开展风险评估活动就要遵守,判断的是活动发生地,不是主体注册地。它是《数据安全法》第三十条、《网络数据安全管理条例》第三十三条“重要数据的处理者应当每年度对其网络数据处理活动开展风险评估”的落地实施细则,把上位法的原则性义务细化为可操作的流程规范。
第二款给出了风险评估的法定定义:风险识别、风险分析、风险评价三个动作,指向网络数据本身和网络数据处理活动两个对象。做AI训练数据平台、跨境数据传输、大规模用户画像的团队,先对照这个定义确认自己的数据处理活动是否落入评估射程,再谈频次和报告。
第三条 在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作。
第四条 有关主管部门应当按照谁管业务、谁管业务数据、谁管数据安全的原则,定期组织开展本行业、本领域风险评估,根据工作需要对本行业、本领域处理重要数据的网络数据处理者(以下简称重要数据处理者)开展风险评估情况进行检查,并于每年1月底前将年度风险评估检查计划报送国家网信部门。国家网信部门通过国家数据安全工作协调机制将计划与国务院电信、公安、国家安全等有关部门共享并进行协调,避免不必要的检查和交叉重复检查。
有关主管部门开展检查不得向被检查的重要数据处理者收取费用。
条款解读:本条确立了“谁管业务、谁管业务数据、谁管数据安全”的三管原则,目的很直接——解决企业过去面临的多头检查、重复检查。各行业主管部门先各管一摊,但检查计划要在每年1月底前汇总到国家网信部门统筹协调,跨部门信息共享,避免同一处理活动被不同部门反复测评。
对企业的实际意义是制度性交易成本的下降:一次评估的结果在部门间共享,同一网络数据安全事件或者风险不得被重复要求委托评估(第十七条),而且主管部门检查不得收费。这与《办法》第二十一条“风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的,相关结果可以互相采信”是同一条“一评多用”的思路。
第五条 重要数据处理者应当每年度开展风险评估。
重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。
鼓励处理一般数据的网络数据处理者(以下简称一般数据处理者)至少每3年开展一次风险评估。
条款解读:本条是整部办法的义务核心,按数据分级把评估义务分成了明显的强弱两档。重要数据处理者的年度评估是强制性法定义务,“应当”二字没有商量余地,而且不是一年一次就够——重要数据安全状态发生重大变化(新增数据类型、启动跨境传输、系统架构重构等)可能造成不利影响的,还要对发生变化及受影响的部分及时补做评估。
对一般数据处理者,本条用的是“鼓励……至少每3年开展一次”的引导性表述,从文义看不是强制义务。但我给企业的建议是别把“鼓励”当成“可以不做”:一旦发生数据安全事件,有没有做过风险评估直接影响过错认定和责任大小;何况“重要数据”与“一般数据”的边界并不总是清晰,主动评估恰恰是厘清自己数据家底、避免落入被动强制评估的最好办法。
谁是“重要数据处理者”,标准在《网络数据安全管理条例》——处理1000万人以上个人信息的,也要一并遵守重要数据处理者的部分义务。处理海量个人信息的AI平台,很可能就直接落入了年度必检的范围。
第六条 风险评估工作应当按照《中华人民共和国数据安全法》、《网络数据安全管理条例》有关要求,参照数据安全风险评估有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的,从其规定。
条款解读:本条把评估的“怎么做”指向了国家标准。官方答记者问已经点名了两份推荐性国家标准:2025年11月1日实施的《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025),明确了评估的实施流程、评估内容、分析评价方法和评估报告模板;2025年10月1日实施的《数据安全技术 数据安全评估机构能力要求》(GB/T 45389-2025),明确了评估机构的能力条件。
实操上,一份合格的年度风险评估报告应当至少覆盖以下环节:
- 摸清数据家底:对数据资产做分类分级盘点,识别哪些属于重要数据、涉及多大规模个人信息。
- 逐环节识别风险:沿数据采集、存储、传输、加工、提供、共享、跨境的全生命周期识别安全风险点。
- 分析并评价风险:对识别出的风险做可能性和影响程度分析,参照 GB/T 45577 给出风险等级。
- 提出处置措施:针对高风险项提出技术与管理整改方案并落地闭环。
- 编制并留存报告:按主管部门要求或国家标准模板编制报告,至少保存3年(第十五条)。
第七条 网络数据处理者可以自行或者委托第三方评估机构(以下简称评估机构)开展风险评估。
网络数据处理者自行开展风险评估,应当指定专人负责。网络数据处理者委托评估机构开展风险评估,应当通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、义务等。
条款解读:本条给了两条评估路径,把选择权交给了企业。自行评估灵活、速度快、对自身业务熟,适合风险较低、场景单一、内部具备合规与技术能力的团队,但独立性和外部公信力有限;委托第三方能引入客观性、更被监管认可,适合重要数据规模大、业务复杂、平台型的处理者,但成本更高、需要磨合。
两条路都不是“做了就行”。自行评估要指定专人负责——把责任落到具体的人,不能挂个部门了事;委托第三方要靠合同明确双方权利义务,尤其是数据访问权限、保密义务和责任分担。我在给客户做数据合规时,第三方评估合同里的保密与数据删除条款是必须逐字审的——评估过程本身就是一次大规模数据接触,合同没写清楚,评估机构反而可能成为数据泄露的源头(对应第十四条的机构保密删除义务)。
第八条 鼓励相关评估机构通过认证。评估机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。
第九条 在国家数据安全工作协调机制指导下,国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展,培育评估机构。
第十条 评估机构开展风险评估应当遵守法律法规,公正客观地作出风险判断,并对所出具的风险评估报告真实性、有效性、完整性负责。
第十一条 评估机构不得转委托其他机构开展风险评估。
第十二条 同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。
条款解读:第十条至第十四条给第三方评估机构划了一整套执业红线,逻辑上很像会计师事务所的审计独立性要求。三条最硬的规矩是:对报告真实性、有效性、完整性负责(第十条,出假报告要担责);不得转委托(第十一条,禁止层层转包导致责任悬空);同一机构及其关联机构不得连续3次以上对同一处理者做年度评估(第十二条)。
第十二条的“连续3次”限制是这部办法的一个亮点,本质是强制轮换。监管想切断的是评估机构与客户之间因长期合作可能形成的人情羁绊和利益固化——评估久了变成走过场、甚至替客户“美化”报告,独立性就没了。企业选评估机构时要把这条纳入排期,别到第4年才发现原来的机构不能再用。
第十三条 评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的,应当及时通知网络数据处理者。
第十四条 评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密,不得泄露或者非法向他人提供,在风险评估结束后及时删除或者按照合同约定妥善处置相关信息。
第十五条 重要数据处理者开展年度风险评估,应当依法按照有关主管部门规定编制风险评估报告。有关主管部门对风险评估报告没有规定的,可以参照数据安全风险评估有关国家标准编制风险评估报告。风险评估报告至少保存3年。
一般数据处理者可以参照前款要求编制风险评估报告。
条款解读:本条给评估报告设了两个刚性要求:一是编制标准——主管部门有规定的从其规定,没有规定的参照 GB/T 45577 等国家标准的报告模板;二是保存期限——至少保存3年。这个3年保存义务很关键:它意味着监管部门事后核验(第十六条)时会追溯往年的报告,报告不是做完报送就完事,而是要留档备查、经得起回溯检查。
第十六条 重要数据处理者应当在年度风险评估完成后的20个工作日内按照有关主管部门要求向其报送风险评估报告。主管部门不明确的,向省级网信部门或者国家网信部门报送。
有关主管部门应当公开风险评估报告报送渠道和联系方式,及时接收重要数据处理者报送的风险评估报告,自收到风险评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告,并与国务院电信、公安、国家安全等有关部门共享。
省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验,重要数据处理者应当配合开展检查核验。
条款解读:本条把报送规则讲得很具体。时限是硬的:年度评估完成后20个工作日内报送(征求意见稿原为10个工作日,正式稿放宽到20个,给企业多留了缓冲);主管部门不明确的,兜底向省级或国家网信部门报送,别拿“不知道报给谁”当不报的理由。
值得重点关注的是报告的最终流向。企业报给行业主管部门,主管部门再通报同级网信部门,国家网信部门汇总后与电信、公安、国家安全等部门共享。也就是说,重要数据处理者的年度风险评估报告最终会进入国家数据安全工作协调机制——按《数据安全法》,该机制由中央国家安全领导机构负责建立。这意味着重要数据的年度评估已经不是普通的行业合规,而是要从国家安全的高度来对待,报告真实性、准确性会被省级以上多部门核验,弄虚作假的空间很小。
第十七条 省级以上网信部门、电信主管部门、公安机关和其他有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的,可以要求其委托通过认证的评估机构开展风险评估:
(一)网络数据处理活动存在较大安全风险,可能危害国家安全、公共利益的;
(二)发生网络数据安全事件,导致重要数据或者大规模个人信息泄露、被窃取的;
(三)有关部门规定的其他情形。
对同一网络数据安全事件或者风险,不得重复要求网络数据处理者委托评估机构开展风险评估。
条款解读:本条是“强制第三方评估”的触发开关。即使企业已经自行完成年度评估,一旦落入两种情形之一——存在较大安全风险可能危害国安公益,或者已经发生了重要数据、大规模个人信息泄露被窃取的安全事件——监管部门就可以要求企业另行委托通过认证的评估机构重做评估。也就是说,自行评估的自主权不是绝对的,出了事就要接受外部专业机构的“复核”。
从企业角度看,强制评估通常意味着自己已经处于比较被动的局面,成本、时间和监管信任度都要付代价。避免它的最好办法就是把日常的自行评估做扎实、真正管住风险,别让“较大安全风险”和“泄露事件”发生。末段的“同一事件不得重复要求委托评估”是给企业的保护条款,防止部门间扯皮推诿导致重复测评。
第十八条 网络数据处理者按照有关部门要求委托评估机构开展风险评估的,应当履行下列义务:
(一)为评估机构开展风险评估提供必要支持,包括为风险评估人员提供必要的访问网络数据设施、网络数据、系统及操作日志记录权限等;
(二)在限定时间内完成风险评估,情况复杂的,报有关部门批准后可以适当延长;
(三)在完成风险评估后将评估机构出具的风险评估报告报送有关部门,风险评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章;
(四)按照有关部门要求对风险评估中发现的问题进行整改,在整改完成后15个工作日内,向有关部门报送整改情况报告。
网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的风险评估报告。
条款解读:本条是被要求强制评估后企业的四项配合义务,可操作性很强。一是开权限——要给评估人员访问数据设施、系统、操作日志的必要权限,评估已经深达日志层级,靠“买个设备、写个制度”应付检查的时代过去了;二是限时完成;三是双签盖章——报告要由评估机构主要负责人和风险评估负责人签字并加盖公章,责任落到人头;四是限期整改——发现的问题整改完成后15个工作日内报送整改情况报告,形成“评估—整改—报送”的闭环。
最后一款是给企业的禁令:不得以任何方式要求或者示意评估机构出具不实报告。这与第十条评估机构的真实性责任对应,堵的是委托方和评估方合谋造假的口子——一旦查实,双方都要担责(第二十二条第二款对评估机构、第一款对处理者)。
第十九条 有关部门在组织开展风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的,应当依据职责责令重要数据处理者进行整改;对拒不整改或者未达到整改要求的重要数据处理者,可以采取要求其停止处理重要数据等措施。
条款解读:本条给了监管部门最重的一记处置手段——要求“停止处理重要数据”。对以重要数据为核心资产的业务来说,被责令停止处理重要数据几乎等于业务停摆,威慑力远大于罚款。触发路径是:发现可能危害国安公益→责令整改→拒不整改或整改不到位→停止处理重要数据。留给企业的空间就在“整改”这一步,认真整改是避免业务被叫停的唯一出口。
第二十条 有关主管部门应当加强风险信息共享和协同处置,及时处置风险评估中发现的安全风险和问题,并按照有关规定及时报告。
第二十一条 任何组织、个人有权对风险评估中的违法活动向有关部门进行投诉、举报,收到投诉、举报的部门应当依法及时处理。
第二十二条 省级以上网信部门、电信主管部门、公安机关、国家安全机关或者其他有关部门发现网络数据处理者未按规定开展风险评估的,应当依据《中华人民共和国数据安全法》、《网络数据安全管理条例》等有关法律、行政法规予以处理。
发现评估机构违反本办法开展风险评估的,有关部门应当依法予以处理。
条款解读:本条是罚则,采转致模式——本办法自身不设独立罚款条款,未按规定开展风险评估的,回到上位法处理。落到《数据安全法》,其第四十五条规定:重要数据处理者不履行数据安全保护义务、拒不履行风险评估等义务的,由主管部门责令改正、给予警告,可以并处罚款;拒不改正或者造成大量数据泄露等严重后果的,最高可处500万元罚款,并对直接负责的主管人员和其他直接责任人员处以罚款,情节严重的还可责令暂停相关业务、停业整顿、吊销相关业务许可证或者营业执照。
所以别被“本办法没有罚款条款”误导——违法成本不低,只是罚在《数据安全法》这部上位法上。评估机构违规(如转委托、出假报告、违反保密义务)的,同样依法处理。做重要数据处理的AI企业,把年度风险评估当成500万元级别的合规红线来对待,是稳妥的定位。
第二十三条 处理核心数据的网络数据处理者的风险评估,按照国家有关规定执行。
涉及重要数据加密等技术措施的,应当按照国家密码相关法律、行政法规要求开展商用密码应用安全性评估。
条款解读:本条处理两类特殊情形。一是核心数据——它是数据分级中最高一档(关系国家安全、国民经济命脉、重要民生、重大公共利益等),其风险评估按“国家有关规定”单独执行,通常要求比重要数据更严;本办法主要管的是重要数据和一般数据这两档。二是涉及重要数据加密等技术措施的,还要按国家密码法律法规同步开展商用密码应用安全性评估(俗称“密评”),这是数据安全评估之外另加的一道合规动作,别漏。
第二十四条 开展涉及国家秘密、工作秘密的风险评估活动,按照《中华人民共和国保守国家秘密法》等法律、行政法规及国家保密规定执行。
第二十五条 本办法自2026年8月20日起施行。
参考来源
- 国家网信办等三部门联合公布《网络数据安全风险评估办法》,中国网信网
- 《网络数据安全风险评估办法》答记者问,中国网信网
- 专家解读|以风险评估为制度牵引 构建数据安全治理新格局,中国网信网
- 网络数据安全风险评估办法(全文),广东网信网(来源:中国网信网)