- 数安观察 -
《网络数据安全风险评估法子》
沉点内容解读
提要
6月18日,国度网信办、工信部、公安部三部门结合颁布《网络数据安全风险评估法子》(第24呼吁,以下简称《法子》),《法子》自2026年8月20日起执行。这是我国首部专门针对数据安全风险评估活动的部门结合规章,标志取数据安全风险评估从司法准则走向操作落地。沉要数据处置者每年必须评估,评估机构不得“转包”......这些新规将若何影响数据处置者?
法子出台布景与总体框架
2026年6月18日,国度网信办、工信部、公安部结合颁布《网络数据安全风险评估法子》(第24呼吁),《法子》自2026年8月20日起执行。《法子》是继《网络安全法》、《数据安全法》、《幼我信息;しā贰ⅰ锻缡莅踩卫硖趵分,我国数据安全治理系统中的又一沉要造度性文件,也是首部专门针对数据安全风险评估活动的结合部门规章。
《法子》共25条,以“规范评估活动、保险数据安全、推进数据利用”为指标,构建了“分层分类使命—多元评估主体—强造触发机造—跨部门协同监督—司法责任兜底”的齐全造度链条。以沉要数据处置者为重要规造对象,以年度评估为常态化机造,以事务触发评估为应急伎俩,以认证评估机构为质量保险,以公安、网信、电信等部门协同为执行保险。《法子》的出台意味着我国数据安全治理从“准则性立法”向“操作性规程”迈出了关键一步。风险评估不再停顿在司法条文中的抽象要求,而是转化为拥有明确主体、时限、流程、尺度和司法后果的可执行造度。
主题造度重点解读
分层分类的评估使命系统
《法子》第五条确立了三级评估使命:
这一分层设计与《数据安全法》第二十一条的数据分类分级造度一脉相承,实现了监管资源与风险等级的精准匹配。
对沉要数据处置者的“年度评估+动态评估”双沉使命,在造度设计上借鉴了《网络安全法》第二十一条等级;つ甓炔馄赖木,但在评估内容和评估深度上提出了更高要求。出格是“安全状态沉大变动”的触发前提,涵盖数据量级骤增、处置主张调换、跨境传输场景变动、新技术利用(如引入AI模型训练)等多种情景,为动态风险评估提供了司法凭据。
评估机构治理与独立性保险
《法子》第七条至第十四条构建了评估机构治理造度。主题思造蕴含:
一是“自评+第三方”双轨造(第七条),网络数据处置者可自行或委托第三方机构发展评估,但自行评估须指定专人掌管;
二是评估轮换造度(第十二条),统一评估机构及其关联机构不得陆续3次以上对统一处置者发展年度风险评估,这是审计轮换造度在数据安全风险评估领域的实务使用,旨在预防评估机构与企业形成利益共同体,确保评估的独立性和客观性;
三是不容转委托(第十一条),直指当前安全评估市场“层层转包”的乱象;
四是激励评估机构通过认证(第八条),认证依照《中华人民共和国认证认可条例》执行。
五是评估机构的保密使命(第十四条)和数据删除使命,评估机构在评估实现后须实时删除或按合同约定妥善措置所获数据、贸易奥秘和保密商务信息。这对AI领域的评估尤为沉要——评估过程中评估人员可能接触到模型架构、训练步骤、参数配置等主题知识产权,因而提高对保密的要求。
监管强造评估的触发与法式
《法子》第十七条赋予省级以上网信、电信、公安等部门在三种情景下要求处置者委托通过认证的评估机构发展风险评估的权势:
一是数据处置活动存在较大安全风险,可能风险国度安全、公共利益的;
二是产生数据安全事务,导致沉要数据或大规模幼我信息泄露、被窃取的;
三是有关部门划定的其他情景。同时明确“对统一网络数据安全事务或者风险,不得沉复要求”,预防多头监管沉复法律。
此表,《法子》第十八条还划定了处置者在强造评估中的四项使命:
●提供必要的接见权限(蕴含网络数据设施、系统及操作日志纪录);
●在限按功夫内实现评估(情况复杂的经核准可耽搁);
●报送由机构重要掌管人和评估掌管人具名并加盖公章的汇报;
●按要求整改并在实现后15个工作日内报送整改汇报。
在第十八条第五款出格不容处置者“以任何方式要求或者示意评估机构出具不实或者不当的风险评估汇报”,直指“花钱买汇报”的行业顽疾。
汇报流转与跨部门协同机造
《
法子》第十六条构建了“纵向报送+横向传递+中央汇总”的信息流转架构:
沉要数据处置者在年度评估实现后20个工作日内→向主管部门报送汇报(主管部门不明确的,向省级或国度网信部门报送)→主管部门收到汇报后10个工作日内传递同级网信部门→国度网信部门汇总后与电信、公安、国安蹬仔关部门共享。
第四条确立了“谁管业务、谁管业务数据、谁管数据安全”的责任准则,主管部门每年1月底前向国度网信部门报送年度风险评估查抄打算,通过国度数据安全工作协调机造与公安、电信、国安等部门共享并协调,预防不用要的查抄和交叉沉复查抄。有关主管部门发展查抄不得向被查抄的沉要数据处置者收取用度。
第二十条进一步要求加强风险信息共享和协同措置,实时措置发现的安全风险和问题。
第十六条沉要数据处置者该当在年度风险评估实现后的20个工作日内依照有关主管部门要求向其报送风险评估汇报。主管部门不明确的,向省级网信部门或者国度网信部门报送。有关主管部门该当公开风险评估汇报报送渠路和联系方式,实时接管沉要数据处置者报送的风险评估汇报,自收到风险评估汇报之日起的10个工作日内将汇报传递同级网信部门。国度网信部门汇总有关汇报,并与国务院电信、公安、国度安全蹬仔关部门共享。
其中第十六条第三款赋予省级以上公安机关和其他有关部门对评估汇报“真实性、正确性进行查抄核验”的法定权势,这是公安机关深度染指数据安全治理的沉要造度接口。
司法责任
《法子》第十九条划定了渐进式法律措施。有关部门在组织发展风险评估中发现沉要数据处置者的沉要数据处置活动可能风险国度安全、公共利益的,该当凭据职责责令其进行整改;短谲不整改或者未达到整改要求的沉要数据处置者,有关部门能够采取要求其终场处置沉要数据等措施。“终场处置沉要数据”是内容性法律权势,对数据驱动型企业拥有极强的威慑力。同时,有关主管部门该当加强风险信息共享和协同措置,实时措置风险评估中发现的安全风险和问题,并依照有关划定实时汇报。
第二十二条明确了司法责任的合用凭据。省级以上网信部门、电信主管部门、公安机关、国度安全机关或者其他有关部门发现网络数据处置者未按划定发展风险评估的,该当凭据《中华人民共和国数据安全法》《网络数据安全治理条例》蹬仔关司法、行政律例予以处置。发显炖估机构违反本法子发展风险评估的,有关部门该当依法予以处置。
第二十一条划定了公家投诉举报的权势。任何组织、幼我有权对风险评估中的违法活动向有关部门进行投诉、举报,收到投诉、举报的部门该当依法实时处置,形成社会监督的补充机造。
此表,第二十三条明确处置主题数据的网络数据处置者的风险评估,依照国度有关划定执行;涉及沉要数据加密等技术措施的,该当依照国度密码有关司法、行政律例要求同步发展商用密码利用安全性评估。第二十四条明确发展涉及国度奥秘、工作奥秘的风险评估活动,依照《中华人民共和国守旧国度奥秘法》等司法、行政律例及国度保密划定执行,确保与国度奥秘;は低车南谓。
结语
对于数据处置者而言,8月20日执行在即,尽早成立内部评估机造落地风险评估工作,不仅是合规底线,更是提升数据安全治理能力的必由之路。
以安全促发展,以评估促治理。在数字经济加快演进、数据身分乘数效应日益凸显的布景下,《法子》的执行将为数据身分依法合理有效利用提供坚实的造度保险,护航数字经济高质量发展。
信息起源:三所数据安全公家号