大数跨境

《网络数据安全风险评估办法》干货解读 |附解读PPT

《网络数据安全风险评估办法》干货解读 |附解读PPT 数达安全北京
2026-06-19
1
导读:摘要:2026 年 6 月 18 日出台的《网络数据安全风险评估办法》承接现有法律,无新增合规义务,统一评估实

摘要:2026 年 6 月 18 日出台的《网络数据安全风险评估办法》承接现有法律,无新增合规义务,统一评估实操标准。办法全域覆盖并实行长臂管辖,分级设置差异化评估要求,构建网信牵头多部门协同监管体系,明确监督、惩戒、整改及评估机构追责规则,形成完整风控闭环,推动数据安全评估规范化落地,部分配套细则有待补充。


一、办法发布背景与时间特征

《网络数据安全风险评估办法》于2026年06月18日17:00正式发布,在发布时间节点上,延续了《网络数据安全管理条例》的发布特征,均选择在长假前夕落地发布。这种发布惯例,既为市场主体预留了一定的政策学习、体系梳理和合规筹备缓冲期,也体现了我国网络数据安全治理“稳步落地、有序推进”的监管节奏,标志着我国数据安全合规体系从顶层立法搭建进入精细化、流程化、常态化落地的新阶段。

本次办法并非全新增设合规义务,而是对现有网络数据安全风险评估制度的细化补位,聚焦评估工作的流程、标准、监管、追责、机构管理等实操维度,补齐了长期以来数据安全评估“有法律要求、无落地细则”的行业短板。

二、核心概念革新:确立“网络数据安全”一体化法定概念

本次办法进一步夯实了国家级法律法规中“网络数据安全”一体化专属概念的法定地位。该概念首次正式确立于《网络数据安全管理条例》,本次办法的出台,彻底固化了这一全新监管认知,实现了行业监管的重大理念升级。

三、适用范围:全域覆盖+长臂管辖,突破主体与地域限制

根据办法第二条明确规定,在中华人民共和国境内开展网络数据安全风险评估活动,均适用本办法。结合国际通用监管规则和本次办法立法精神,该条款落地了数据安全长臂管理原则,适用范围实现无死角覆盖,不受主体注册地、资本属性、经营地域限制。

具体适用主体包含三类:一是境内注册、境内经营的本土企业与机构;二是境外注册但在境内开展数据收集、存储、传输、处理、使用等相关业务的国际企业、境外机构;三是无境内实体,但通过网络渠道面向境内主体开展数据处理活动的境外主体。只要数据处理行为落地于我国境内、涉及境内主体数据权益或国家安全、公共利益,均纳入本办法监管范畴,统一接受我国网络数据安全风险评估监管约束。

四、合规义务分级:差异化强制评估规则,精准匹配风险等级

本次办法最大的实操亮点是分级分类、差异化管控,打破了“一刀切”的评估要求,基于数据重要程度划分强制合规与柔性引导两类义务,同时明确特殊情形的兜底强制规则,兼顾监管精准性与企业合规成本。

(一)常规常态化评估要求

办法第五条明确基础评估周期:重要数据处理者适用强制年度评估,必须每年常态化开展网络数据安全风险评估;同时,若重要数据安全状态发生重大变化,可能引发安全风险的,需针对变化部分及时开展专项评估,无需等待年度周期。一般数据处理者为柔性引导,政策鼓励至少每3年开展一次风险评估,无强制性合规处罚约束,由企业自主把控合规节奏。

(二)特殊情形强制第三方评估(全员适用)

办法第十七条设置统一兜底强制规则,无论是否为重要数据处理者、无论常规评估周期是否届满,出现以下三类情形,必须委托通过国家认证的第三方评估机构开展专项风险评估:一是网络数据处理活动存在较大安全风险,可能危害国家安全、社会公共利益;二是发生网络数据安全事件,造成重要数据泄露、窃取、篡改,或大规模个人信息安全事故;三是法律法规及监管部门规定的其他情形。

同时办法明确禁止重复评估原则,针对同一网络数据安全事件或同一风险隐患,监管部门不得重复要求企业委托第三方机构评估,有效规避多头检查、重复检查,减轻企业合规负担。

五、立法定位:无新增合规义务,仅细化落地流程标准

市场普遍关注的合规增量问题,本次办法予以明确:未新增任何企业合规义务,完全承接《数据安全法》《网络数据安全管理条例》的法定要求,核心价值是统一评估流程、规范工作方式、明确监管链路、细化落地标准,解决长期以来评估工作“怎么做、谁监管、报哪里、怎么整改”的实操难题。

从立法衔接来看,《数据安全法》第三十条确立了重要数据处理者定期风险评估、报送评估报告的法定基本义务;《网络数据安全管理条例》第三十三条明确重要数据处理者需按年度开展评估,第四十八条划定了行业主管部门的领域评估监管职责。本次办法是对上述法条的具象化落地,将顶层法律条文转化为可执行、可核查、可追责的标准化工作体系,实现“上位法定义务、本办法定流程”的合规闭环。

六、监管机制革新:首创多部门协同共管体系,解决监管乱象

本次办法首次确立网信部门牵头、多部门协同的专项共管工作机制,彻底改变过往数据安全监管权责分散、交叉重叠、监管空白并存的乱象,是本次制度革新的核心亮点。

办法明确,在国家数据安全工作协调机制指导下,由国家网信部门会同国务院电信、公安、国家安全等相关部门,统一搭建网络数据安全风险评估专项工作机制,统筹指导、全国监督整体评估工作。同时彻底厘清监管归口:各行业、各领域主管部门收集本行业评估报告、开展日常监管后,统一汇总通报至同级网信部门,再由网信部门统一同步电信、公安、国安等部门,实现信息共享、协同监管、联合施策,从制度层面杜绝重复检查、多头监管、权责不清的问题。

七、行业属地监管:谁主管谁负责,明确报告流转时限

办法延续“管行业必须管安全、管业务必须管数据安全”的属地行业监管原则,各行业主管部门负责本行业、本领域重要数据处理者的日常风险评估检查、合规督导工作,守住“自扫门前雪”的行业监管底线。

同时首次标准化、时限化规范评估报告报送与流转流程:各行业主管部门需主动公开本行业评估报告报送渠道、联系方式,常态化接收企业报送的年度评估报告;自收到评估报告之日起10个工作日内,必须将报告通报同级网信部门;最终由国家网信部门完成全国报告汇总,统一与电信、公安、国安等部门共享,形成“企业报送-行业初审-网信汇总-多部门共享”的标准化监管链路。此外,办法明确主管部门开展合规检查不得向企业收取任何费用,杜绝违规监管收费行为。

八、多维监督体系:官方核验+社会监督,强化合规严肃性

本次办法搭建了行政专项核验+社会全民监督的双重监督体系,全方位保障风险评估工作真实、有效、合规。

(一)行政监督核验

省级以上网信、电信主管、公安、国家安全机关及相关监管部门,有权对重要数据处理者提交的风险评估报告的真实性、准确性、完整性开展专项检查核验,企业必须无条件配合核查工作,不得拒绝、隐瞒、谎报。

(二)社会公众监督

办法明确赋予所有组织、个人监督举报权,任何单位和个人发现网络数据安全风险评估过程中存在违法违规行为、虚假评估、利益输送等问题,均可向监管部门投诉举报,构建全民共治的治理格局。

九、违规惩戒与整改机制:明确刚性处罚与整改底线

办法细化了违规处置规则,明确监管追责依据与整改强制措施,形成“违规查处-限期整改-拒不惩戒”的刚性闭环。对于未按规定开展风险评估、虚假评估、逾期报送报告的网络数据处理者,省级以上监管部门将严格依据《数据安全法》《网络数据安全管理条例》等上位法规定,依法予以行政处罚、合规警示、约谈整改。

针对高风险场景,办法设置了顶格管控措施:监管部门发现企业重要数据处理活动可能危害国家安全、公共利益的,可依法责令限期整改;对于拒不整改、整改不达标、风险隐患未消除的企业,可直接采取停止重要数据处理活动的强制措施,从业务源头阻断安全风险。

十、评估实施方式:自主评估与强制第三方评估双轨并行

办法明确了灵活且严谨的评估实施模式,区分常规场景与特殊场景,适配不同合规需求:常规常态化评估中,企业可自主选择自行评估委托第三方认证机构评估,充分尊重企业合规自主权;但第十七条规定的三类特殊高风险场景,必须委托通过国家认证的专业评估机构开展评估,企业自主评估结果无效,确保高风险场景评估的专业性、客观性、权威性。

同时办法补充细节要求,企业完成评估后,需在规定时限内报送评估报告,且评估报告需由评估机构主要负责人、项目负责人签字并加盖公章,全程留痕、终身追责。企业不得以任何形式干预评估机构工作,不得示意、胁迫机构出具虚假、不实的合规评估报告。

十一、核心治理目标:构建“发现-整改-防范”全流程风控闭环

本次办法落地的核心目的,并非形式化的合规检查,而是通过常态化评估机制,构建风险排查发现-问题限期整改-长效防范化解的动态风控闭环,从源头治理网络数据安全风险。

办法明确刚性整改时限要求:企业对评估发现的安全隐患、合规问题,必须严格落实整改措施,整改完成后15个工作日内向主管部门报送整改情况报告;同时企业需妥善留存评估报告及整改台账,存档期限不少于3年,形成完整合规追溯链条。对于排查出的重大国家安全、公共利益风险,监管部门可直接介入督导整改,彻底杜绝“只评估、不整改、走过场”的形式化合规问题。

十二、主体界定:沿用原有标准,明确重要数据处理者范围

本次办法未重新定义重要数据及重要数据处理者,完全沿用《网络数据安全管理条例》的法定界定标准,保持政策延续性,避免企业合规适配混乱。

(一)认定两类核心情形

一是目录认定:企业处理各行业、各地方主管部门发布的重要数据目录列明数据,经企业自查申报、主管部门确认后,自动认定为重要数据处理者;二是阈值视同:企业处理1000万人以上大规模个人信息,无论是否纳入行业目录,均视同重要数据处理者,强制适用年度评估义务。

(二)典型重点监管主体

主要涵盖六大类高风险主体:能源、电网、水利、铁路、民航等国民经济运行关键领域运营商;三甲医院、疾控机构等公共健康数据处理机构;测绘、地理信息、卫星运营等空间敏感数据企业;大型金融、支付、征信机构;用户规模超千万的政务平台、互联网平台、通信运营商;军工、国防配套单位、关键信息基础设施运营者。

十三、评估机构规范化:终结资质模糊乱象,完善行业培育体系

本次办法首次明确了数据安全评估机构的认证规则,彻底解决长期以来评估机构资质标准模糊、行业乱象丛生、评估质量参差不齐的行业痛点。

办法第八条、第九条明确,评估机构认证严格参照《中华人民共和国认证认可条例》执行,国家网信部门联合电信、公安等部门,在国家数据安全工作协调机制指导下,统筹培育规范化、专业化的风险评估服务机构,推动评估行业标准化发展。同时压实机构主体责任,评估机构需公正客观开展评估,对出具报告的真实性、有效性、完整性终身负责,不得转包评估业务,关联机构不得连续为同一企业提供评估服务,保障评估独立性与公正性。

十四、多重机制兜底,保障评估工作严谨规范

为杜绝形式化评估、虚假评估,办法搭建多维度约束机制,筑牢评估工作严肃性:一是机构责任兜底,评估机构独立履职、公正评估,对报告质量终身追责;二是流程留痕兜底,正式评估报告必须双人签字、机构盖章,合规资料长期存档;三是企业行为兜底,严禁企业干预、胁迫、利诱机构出具不实报告;四是监管核查兜底,监管部门随机核验报告真实性,对违规主体依法追责。多重约束并行,彻底扭转过往评估“重形式、轻实质”的问题。

十五、行业待明确问题与合规趋势研判

结合办法全文及现有监管规则,本次政策落地后仍有两项核心细节待后续细则补充明确,也是行业合规关注的重点:

第一,执法分工细则待落地。目前办法明确网信、电信、公安、国安等省级以上部门均具备监督核查、执法追责权限,但未细化各部门的具体执法分工、管辖边界、案件移送机制。多部门协同监管不会全域重叠覆盖所有市场主体,后续大概率会出台分工细则,按行业、数据类型、风险场景划分各部门执法权责,实现精准监管。

第二,评估机构认证主体待明确。办法仅明确评估机构依据《认证认可条例》认证,未指定具体认证主管部门。结合监管机制、牵头单位及行业惯例推断,后续大概率由国家网信部门主导统筹,联合相关部门开展机构资质认证、名录管理、动态考核,建立统一的合规评估机构库。

十六、整体合规总结

《网络数据安全风险评估办法》的发布,标志着我国网络数据安全风险评估制度从“原则性要求”迈入“标准化、流程化、常态化、可追责”的精细化治理阶段。政策核心逻辑为不新增义务、只规范落地、分级管控、协同监管、闭环风控,既压实了重要数据处理者的核心安全主体责任,也兼顾了中小微企业的合规压力,同时通过多部门协同机制、第三方机构规范化、全民监督机制,构建了全方位的网络数据安全治理体系,为数据要素安全、合规、有序流转提供了坚实的制度保障。

管理办法解读:《网络数据安全风险评估办法》干货解读PPT 领取,请按以下指引操作👇 复制时请勿添加空格


关注公众号,私聊发送“ 数安合规就找数达安全DTS_04 ”下载全文。

本文来源:数达安全公众号


监制:数达安全(北京)科技有限公司
商务:400-113-3015
网址:www.datatosec.com

【声明】内容源于网络
0
0
数达安全北京
用AI让数据更安全。
内容 6
粉丝 0
数达安全北京 用AI让数据更安全。
总阅读0
粉丝0
内容6