Loading
0

《网络数据安全风险评估办法(征求意见稿)》

知安全 2025年12月26日 国家互联网信息办公室 3 0

第一条 为了规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,根据《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《网络数据安全管理条例》等法律法规,制定本办法。

第二条 在中华人民共和国境内开展网络数据安全风险评估,应当遵守本办法。法律、行政法规、部门规章另有规定的,依照其规定。

本办法所称网络数据安全风险评估(以下简称风险评估),是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。

第三条 国家网信部门在国家数据安全工作协调机制指导下,统筹各地区、各部门开展风险评估,加强工作协调、信息共享。

第四条 各有关主管部门应当按照"谁管业务、谁管业务数据、谁管数据安全"的原则,定期组织开展本行业、本领域风险评估,可以根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查,并于每年1月底前向国家网信部门报送年度风险评估及检查计划。

省级网信部门统筹省级有关部门制定本行政区域年度风险评估及检查计划,按照前款要求报送国家网信部门。

第五条 国家网信部门在国家数据安全工作协调机制指导下,统筹有关主管部门和省级网信部门报送的年度风险评估及检查计划,避免重复评估、重复检查。

此内容查看价格9.9立即购买    升级VIP后免费

第十四条 重要数据处理者应当在年度风险评估完成后的10个工作日内按照有关主管部门要求报送评估报告。主管部门不明确的,向省级网信部门或者国家网信部门报送。

有关主管部门应当公开评估报告报送渠道和联系方式,及时接收重要数据处理者报送的评估报告,自收到评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告并报送国家数据安全工作协调机制。

省级以上网信部门和有关部门可对网络数据处理者的评估报告真实性、准确性进行抽查核验,网络数据处理者应当配合开展抽查核验。

第十五条 省级以上网信部门和有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的,应当要求其委托通过认证的评估机构开展风险评估:

(一)网络数据处理活动存在较大安全风险的;

(二)发生网络数据安全事件,导致重要数据或者大规模个人信息泄露、被窃取的;

(三)网络数据处理活动可能危害国家安全、公共利益的;

(四)国家网信部门或者有关部门规定的其他情形。

对同一网络数据安全事件或者风险,不得重复要求网络数据处理者委托评估机构开展风险评估。

第十六条 网络数据处理者按照有关部门要求委托评估机构开展风险评估的,应当履行下列义务:

(一)为评估机构开展风险评估工作提供必要支持,包括为风险评估人员提供访问网络数据设施、网络数据、系统及操作日志记录权限等;

(二)在限定时间内完成风险评估,承担评估费用,情况复杂的,报有关部门批准后可以适当延长;

(三)在完成风险评估后将评估机构出具的评估报告报送有关部门,评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章;

(四)按照有关部门要求对风险评估中发现的问题进行整改,在整改完成后15个工作日内,向有关部门报送整改情况报告。

网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的评估报告。

第十七条 有关部门在组织风险评估工作中发现存在可能危害国家安全、公共利益的网络数据处理活动,应当责令网络数据处理者进行整改;对整改不到位、拒不整改的网络数据处理者,可以采取要求其停止处理重要数据等措施。

第十八条 各地区、各部门应当加强风险信息共享和协同处置,及时处置风险评估工作中发现的安全风险和问题,并按照有关规定及时报告。

省级网信部门统筹协调本行政区域内风险信息共享和协同处置工作,于每年3月底前向国家网信部门报送上一年度风险信息处置情况,国家网信部门汇总相关情况报送国家数据安全工作协调机制。

第十九条 任何组织、个人有权对风险评估中的违法违规活动向有关部门进行投诉、举报,收到投诉、举报的部门应当依法及时处理。

第二十条 省级以上网信部门和有关部门发现网络数据处理者未按规定开展风险评估的,应当依据《中华人民共和国数据安全法》等法律法规予以处置处罚。

发现评估机构违反本办法开展风险评估的,省级以上网信部门和有关部门应当责令其进行整改;情节严重的,可以限制或者禁止其开展风险评估活动,追究相关人员责任,并予公布;构成犯罪的,依法追究刑事责任。

第二十一条 风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的,相关结果可以互相采信,避免重复评估、审计、认证。

第二十二条 重要数据处理者提供、委托处理、共同处理重要数据前进行风险评估,可以参照本办法有关规定执行。

第二十三条 核心数据处理者的风险评估,按照国家有关规定执行。

第二十四条 开展涉及国家秘密、工作秘密的风险评估活动,按照《中华人民共和国保守国家秘密法》等法律、行政法规及国家保密规定执行。

第二十五条 本办法自 年 月 日起生效。

附件:《网络数据安全风险评估报告模板》
下载链接:

此内容查看价格9.9立即购买    升级VIP后免费

声明:本文为原创,作者为 知安全,转载时请保留本声明及附带文章链接:https://www.safety-officer.cn/archives/490.html