《网络数据安全风险评估办法》政策解读

发布时间 2026-07-10

一、政策背景

2026618日,国家互联网信息办公室、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》(以下简称《办法》),自2026820日起正式施行。

《办法》的出台,是落实《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规要求的重要举措,旨在进一步规范网络数据安全风险评估活动,完善数据安全管理机制,提升网络数据安全风险识别、分析和处置能力,以数据安全保障数据依法合理有效利用。

二、政策核心内容

《办法》明确,网络数据安全风险评估是对网络数据及网络数据处理活动开展风险识别、风险分析和风险评价的活动。

其中,重要数据处理者应当每年度开展网络数据安全风险评估;当重要数据安全状态发生重大变化,且可能对数据安全造成不利影响时,应及时针对相关变化及影响开展风险评估。

同时,《办法》鼓励一般数据处理者至少每3年开展一次网络数据安全风险评估,推动数据安全风险评估逐步实现常态化、制度化。

三、风险评估重点关注内容

网络数据安全风险评估重点关注以下方面:

1. 网络数据处理活动的基本情况及数据安全管理制度建设情况;

2. 数据分类分级及重要数据识别、管理情况;

3. 数据收集、存储、使用、加工、传输、提供、公开及删除等全生命周期安全管理情况;

4. 数据安全技术措施及安全防护能力建设情况;

5. 数据安全风险监测、漏洞隐患发现及整改情况;

6. 数据安全事件应急预案、事件处置及报告机制建设情况;

7. 数据委托处理、共同处理及向其他数据处理者提供数据等场景下的安全风险;

8. 其他可能影响网络数据安全的风险因素。

四、政策重点解读

此次《办法》的核心变化,是进一步推动网络数据安全管理由发生事件后处置事前主动识别风险转变。

对于重要数据处理者而言,风险评估已成为年度数据安全管理工作的重要组成部分。企业和单位不仅需要建立数据安全管理制度,还需要通过周期性风险评估,对自身数据资产、数据处理活动、安全防护措施及潜在风险进行系统梳理。

同时,《办法》进一步强调风险整改闭环。发现数据安全风险后,网络数据处理者应及时采取整改措施,持续跟踪风险处置情况,避免风险长期存在或进一步扩大。

五、对企业和单位的影响

《办法》实施后,涉及重要数据处理的企业、教育机构、医疗机构、金融机构及其他网络数据处理者,需要进一步加强数据安全管理体系建设。

相关单位应逐步建立数据资产清单,完善数据分类分级和重要数据识别机制,定期开展网络数据安全风险评估,并形成完整的评估报告、风险台账及整改记录。

网络数据安全管理将进一步从传统的设备安全、网络安全数据全生命周期安全管理转变,数据在哪里、如何流转、由谁使用、存在什么风险以及如何整改,将成为安全管理的重要关注内容。

六、企业落实建议

建议相关单位重点做好以下工作:

1. 全面梳理数据资产及数据处理活动,建立数据资产和数据处理活动清单;

2. 推进数据分类分级工作,识别重要数据及敏感数据;

3. 建立常态化网络数据安全风险评估机制;

4. 对数据全生命周期安全措施进行检查和评估;

5. 建立数据安全风险台账,明确风险责任人及整改期限;

6. 完善数据安全事件监测、报告及应急处置机制;

7. 加强第三方数据处理、数据共享及数据提供场景的安全管理;

8. 做好风险评估报告、整改记录及相关材料的归档留存。

七、总结

《网络数据安全风险评估办法》的出台,进一步明确了网络数据安全风险评估的制度要求和实施机制,标志着我国数据安全治理工作进一步向常态化、规范化和体系化方向发展。

对于各类网络数据处理者而言,应逐步从传统的被动安全防护模式,转向以数据资产梳理、风险识别、风险评估、整改处置和持续监测为核心的主动数据安全治理模式,通过建立常态化风险评估机制,不断提升网络数据安全风险防范和应急处置能力。