开源AI渗入测试工具Z3r0部署与使用
2026-07-03
因数据安全等6项违规,中国银行孝感市分行被罚436万元!
2026-07-03
w66利来参编|GA/T 2390-2026《信息安全技术 数据脱敏产品安全技术要求》正式执行
2026-07-01
工信部等八部门结合印发《关于推动工业互联网高质量发展的执行定见》
2026-07-01
《网络数据安全风险评估法子》沉点内容解读
2026-06-30
存储域
数据库加密 诺亚防勒索接见域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API审计 API防控 医疗防统方运维服务
数据库运维服务 中央件运维服务 国产信创刷新服务 驻场运维服务 供数服务安全征询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理征询服务 数据分类分级征询服务 幼我信息风险评估服务 数据安全查抄服务
国度互联网信息办公室
中华人民共和国工业和信息化部
中华人民共和国公安部
令
第24号
《网络数据安全风险评估法子》已经2026年6月1日国度互联网信息办公室2026年第12次室务会会议审议通过,并经中华人民共和国工业和信息化部、中华人民共和国公安部赞成,现予颁布,自2026年8月20日起执行。
国度互联网信息办公室主任 庄荣文
工业和信息化部部长 李告成
公安部部长 王幼洪
2026年6月18日
网络数据安全风险评估法子
第一条 为了规范网络数据安全风险评估活动,保险网络数据安全,推进网络数据依法合理有效利用,凭据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全治理条例》等司法律规,造订本法子。
第二条 在中华人民共和国境内发展网络数据安全风险评估,该当遵守本法子。
本法子所称网络数据安全风险评估(以下简称风险评估),是指对网络数据和网络数据处置活动安全进行的风险鉴别、风险分析微风险评价等活动。
第三条 在国度数据安全工作协调机造领导下,国度网信部门会同国务院电信、公安蹬仔关部门成立网络数据安全风险评估专项工作机造,领导、监督风险评估工作。
第四条 有关主管部门该当依照谁管业务、谁管业务数据、谁管数据安全的准则,定期组织发展本行业、能力域风险评估,凭据工作必要对本行业、能力域处置沉要数据的网络数据处置者(以下简称沉要数据处置者)发展风险评估情况进行查抄,并于每年1月底前将年度风险评估查抄打算报送国度网信部门。国度网信部门通过国度数据安全工作协调机造将打算与国务院电信、公安、国度安全蹬仔关部门共享并进行协调,预防不用要的查抄和交叉沉复查抄。
有关主管部门发展查抄不得向被查抄的沉要数据处置者收取用度。
第五条 沉要数据处置者该当每年度发展风险评估。
沉要数据安全状态产生沉大变动可能对数据安全造成不利影响的,该当实时对产生变动及其影响的部门隔展风险评估。
激励处置通常数据的网络数据处置者(以下简称通常数据处置者)至少每3年发展一次风险评估。
第六条 风险评估工作该当依照《中华人民共和国数据安全法》、《网络数据安全治理条例》有关要求,参照数据安全风险评估有关国度尺度发展。有关主管部门对本行业、能力域风险评估工作还有划定的,从其划定。
第七条 网络数据处置者能够自行或者委托第三方评估机构(以下简称评估机构)发展风险评估。
网络数据处置者自行发展风险评估,该当指定专人掌管。网络数据处置者委托评估机构发展风险评估,该当通过订立合同或者其他拥有司法效力的文件等方式明确双方的权势、使命等。
第八条 激励有关评估机构通过认证。评估机构的认证依照《中华人民共和国认证认可条例》的有关划定执行。
第九条 在国度数据安全工作协调机造领导下,国度网信部门和国务院电信、公安蹬仔关部门积极推进网络数据安全风险评估服务的发展,造就评估机构。
第十条 评估机构发展风险评估该当遵守司法律规,公正客观地作出风险判断,并对所出具的风险评估汇报真实性、有效性、齐全性掌管。
第十一条 评估机构不得转委托其他机构发展风险评估。
第十二条 统一评估机构及其关联机构不得陆续3次以上对统一网络数据处置者发展年度风险评估。
第十三条 评估机构在风险评估过程中发现网络数据处置活动存在沉大数据安全风险的,该当实时通知网络数据处置者。
第十四条 评估机构及其工作人员该当对在风险评估过程中获得的数据、贸易奥秘、保密商务信息等依法予以保密,不得泄露或者犯法向他人提供,在风险评估实现后实时删除或者依照合同约定妥善措置有关信息。
第十五条 沉要数据处置者发展年度风险评估,该当依法依照有关主管部门划定假造风险评估汇报。有关主管部门对风险评估汇报没有划定的,能够参照数据安全风险评估有关国度尺度假造风险评估汇报。风险评估汇报至少保留3年。
通常数据处置者能够参照前款要求假造风险评估汇报。
第十六条 沉要数据处置者该当在年度风险评估实现后的20个工作日内依照有关主管部门要求向其报送风险评估汇报。主管部门不明确的,向省级网信部门或者国度网信部门报送。
有关主管部门该当公开风险评估汇报报送渠路和联系方式,实时接管沉要数据处置者报送的风险评估汇报,自收到风险评估汇报之日起的10个工作日内将汇报传递同级网信部门。国度网信部门汇总有关汇报,并与国务院电信、公安、国度安全蹬仔关部门共享。
省级以上网信部门、电信主管部门、公安机关、国度安全机关和其他有关部门能够对沉要数据处置者的风险评估汇报真实性、正确性进行查抄核验,沉要数据处置者该当共同发展查抄核验。
第十七条 省级以上网信部门、电信主管部门、公安机关和其他有关部门在风险评估汇报核验、监督查抄等工作中发现网络数据处置者有以下情景之一的,能够要求其委托通过认证的评估机构发展风险评估:
(一)网络数据处置活动存在较大安全风险,可能风险国度安全、公共利益的;
(二)产生网络数据安全事务,导致沉要数据或者大规模幼我信息泄露、被窃取的;
(三)有关部门划定的其他情景。
对统一网络数据安全事务或者风险,不得沉复要求网络数据处置者委托评估机构发展风险评估。
第十八条 网络数据处置者依照有关部门要求委托评估机构发展风险评估的,该当推广下列使命:
(一)为评估机构发展风险评估提供必要支持,蕴含为风险评估人员提供必要的接见网络数据设施、网络数据、系统及操作日志纪录权限等;
(二)在限按功夫内实现风险评估,情况复杂的,报有关部门核准后能够适当耽搁;
(三)在实现风险评估后将评估机构出具的风险评估汇报报送有关部门,风险评估汇报该当由评估机构重要掌管人、风险评估掌管人具名并加盖机构公章;
(四)依照有关部门要求对风险评估中发现的问题进行整改,在整改实现后15个工作日内,向有关部门报送整改情况汇报。
网络数据处置者不得以任何方式要求或者示意评估机构出具不实或者不当的风险评估汇报。
第十九条 有关部门在组织发展风险评估中发现沉要数据处置者的沉要数据处置活动可能风险国度安全、公共利益的,该当凭据职责责令沉要数据处置者进行整改;短谲不整改或者未达到整改要求的沉要数据处置者,能够采取要求其终场处置沉要数据等措施。
第二十条 有关主管部门该当加强风险信息共享和协同措置,实时措置风险评估中发现的安全风险和问题,并依照有关划定实时汇报。
第二十一条 任何组织、幼我有权对风险评估中的违法活动向有关部门进行投诉、举报,收到投诉、举报的部门该当依法实时处置。
第二十二条 省级以上网信部门、电信主管部门、公安机关、国度安全机关或者其他有关部门发现网络数据处置者未按划定发展风险评估的,该当凭据《中华人民共和国数据安全法》、《网络数据安全治理条例》蹬仔关司法、行政律例予以处置。
发显炖估机构违反本法子发展风险评估的,有关部门该当依法予以处置。
第二十三条 处置主题数据的网络数据处置者的风险评估,依照国度有关划定执行。
涉及沉要数据加密等技术措施的,该当依照国度密码有关司法、行政律例要求发展商用密码利用安全性评估。
第二十四条 发展涉及国度奥秘、工作奥秘的风险评估活动,依照《中华人民共和国守旧国度奥秘法》等司法、行政律例及国度保密划定执行。
第二十五条 本法子自2026年8月20日起执行。
信息起源:公安部网安局公家号