《网络数据安全风险评估办法》重点内容解读

6月18日，国家网信办、工信部、公安部三部门联合公布《网络数据安全风险评估办法》（第24号令，以下简称《办法》），《办法》自2026年8月20日起施行。这是我国首部专门针对数据安全风险评估活动的部门联合规章，标志着数据安全风险评估从法律原则走向操作落地。重要数据处理者每年必须评估，评估机构不得“转包”......这些新规将如何影响数据处理者？

办法出台背景与总体框架

2026年6月18日，国家网信办、工信部、公安部联合公布《网络数据安全风险评估办法》（第24号令），《办法》自2026年8月20日起施行。《办法》是继《网络安全法》、《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》之后，我国数据安全治理体系中的又一重要制度性文件，也是首部专门针对数据安全风险评估活动的联合部门规章。

《办法》共25条，以“规范评估活动、保障数据安全、促进数据利用”为目标，构建了“分层分类义务—多元评估主体—强制触发机制—跨部门协同监督—法律责任兜底”的完整制度链条。以重要数据处理者为主要规制对象，以年度评估为常态化机制，以事件触发评估为应急手段，以认证评估机构为质量保障，以公安、网信、电信等部门协同为执行保障。《办法》的出台意味着我国数据安全治理从“原则性立法”向“操作性规程”迈出了关键一步。风险评估不再停留在法律条文中的抽象要求，而是转化为具有明确主体、时限、流程、标准和法律后果的可执行制度。

核心制度要点解读

分层分类的评估义务体系

《办法》第五条确立了三级评估义务：

这一分层设计与《数据安全法》第二十一条的数据分类分级制度一脉相承，实现了监管资源与风险等级的精准匹配。

对重要数据处理者的“年度评估+动态评估”双重义务，在制度设计上借鉴了《网络安全法》第二十一条等级保护年度测评的经验，但在评估内容和评估深度上提出了更高要求。特别是“安全状态重大变化”的触发条件，涵盖数据量级骤增、处理目的变更、跨境传输场景变化、新技术应用（如引入AI模型训练）等多种情形，为动态风险评估提供了法律依据。

评估机构管理与独立性保障

《办法》第七条至第十四条构建了评估机构管理制度。核心机制包括：

一是“自评+第三方”双轨制（第七条），网络数据处理者可自行或委托第三方机构开展评估，但自行评估须指定专人负责；

二是评估轮换制度（第十二条），同一评估机构及其关联机构不得连续3次以上对同一处理者开展年度风险评估，这是审计轮换制度在数据安全风险评估领域的实务运用，旨在防止评估机构与企业形成利益共同体，确保评估的独立性和客观性；

三是禁止转委托（第十一条），直指当前安全评估市场“层层转包”的乱象；

四是鼓励评估机构通过认证（第八条），认证按照《中华人民共和国认证认可条例》执行。

五是评估机构的保密义务（第十四条）和数据删除义务，评估机构在评估结束后须及时删除或按合同约定妥善处置所获数据、商业秘密和保密商务信息。这对AI领域的评估尤为重要——评估过程中评估人员可能接触到模型架构、训练方法、参数配置等核心知识产权，因此提高对保密的要求。

监管强制评估的触发与程序

《办法》第十七条赋予省级以上网信、电信、公安等部门在三种情形下要求处理者委托通过认证的评估机构开展风险评估的权力：

一是数据处理活动存在较大安全风险，可能危害国家安全、公共利益的；

二是发生数据安全事件，导致重要数据或大规模个人信息泄露、被窃取的；

三是有关部门规定的其他情形。同时明确“对同一网络数据安全事件或者风险，不得重复要求”，避免多头监管重复执法。

此外，《办法》第十八条还规定了处理者在强制评估中的四项义务：

●提供必要的访问权限（包括网络数据设施、系统及操作日志记录）；

●在限定时间内完成评估（情况复杂的经批准可延长）；

●报送由机构主要负责人和评估负责人签字并加盖公章的报告；

●按要求整改并在完成后15个工作日内报送整改报告。

在第十八条第五款特别禁止处理者“以任何方式要求或者示意评估机构出具不实或者不当的风险评估报告”，直指“花钱买报告”的行业顽疾。

报告流转与跨部门协同机制

《办法》第十六条构建了“纵向报送+横向通报+中央汇总”的信息流转架构：

重要数据处理者在年度评估完成后20个工作日内→向主管部门报送报告（主管部门不明确的，向省级或国家网信部门报送）→主管部门收到报告后10个工作日内通报同级网信部门→国家网信部门汇总后与电信、公安、国安等有关部门共享。

第四条确立了“谁管业务、谁管业务数据、谁管数据安全”的责任原则，主管部门每年1月底前向国家网信部门报送年度风险评估检查计划，通过国家数据安全工作协调机制与公安、电信、国安等部门共享并协调，避免不必要的检查和交叉重复检查。有关主管部门开展检查不得向被检查的重要数据处理者收取费用。

第二十条进一步要求加强风险信息共享和协同处置，及时处置发现的安全风险和问题。

第十六条重要数据处理者应当在年度风险评估完成后的20个工作日内按照有关主管部门要求向其报送风险评估报告。主管部门不明确的，向省级网信部门或者国家网信部门报送。有关主管部门应当公开风险评估报告报送渠道和联系方式，及时接收重要数据处理者报送的风险评估报告，自收到风险评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告，并与国务院电信、公安、国家安全等有关部门共享。

其中第十六条第三款赋予省级以上公安机关和其他有关部门对评估报告“真实性、准确性进行检查核验”的法定权力，这是公安机关深度介入数据安全治理的重要制度接口。

法律责任

《办法》第十九条规定了渐进式执法措施。有关部门在组织开展风险评估中发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的，应当依据职责责令其进行整改；对拒不整改或者未达到整改要求的重要数据处理者，有关部门可以采取要求其停止处理重要数据等措施。“停止处理重要数据”是实质性执法权力，对数据驱动型企业具有极强的威慑力。同时，有关主管部门应当加强风险信息共享和协同处置，及时处置风险评估中发现的安全风险和问题，并按照有关规定及时报告。

第二十二条明确了法律责任的适用依据。省级以上网信部门、电信主管部门、公安机关、国家安全机关或者其他有关部门发现网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》《网络数据安全管理条例》等有关法律、行政法规予以处理。发现评估机构违反本办法开展风险评估的，有关部门应当依法予以处理。

第二十一条规定了公众投诉举报的权利。任何组织、个人有权对风险评估中的违法活动向有关部门进行投诉、举报，收到投诉、举报的部门应当依法及时处理，形成社会监督的补充机制。

此外，第二十三条明确处理核心数据的网络数据处理者的风险评估，按照国家有关规定执行；涉及重要数据加密等技术措施的，应当按照国家密码相关法律、行政法规要求同步开展商用密码应用安全性评估。第二十四条明确开展涉及国家秘密、工作秘密的风险评估活动，按照《中华人民共和国保守国家秘密法》等法律、行政法规及国家保密规定执行，确保与国家秘密保护体系的衔接。

结语

对于数据处理者而言，8月20日施行在即，尽早建立内部评估机制落地风险评估工作，不仅是合规底线，更是提升数据安全治理能力的必由之路。

以安全促发展，以评估促治理。在数字经济加速演进、数据要素乘数效应日益凸显的背景下，《办法》的实施将为数据要素依法合理有效利用提供坚实的制度保障，护航数字经济高质量发展。

声明：本文来自三所数据安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。