mg不朽情缘

84472_17022767220742

征询电话:400-6446-808

新闻动态

政策解读 | 《网络数据安全风险评估法子》正式颁布,沉要数据处置者迎来年度"必答题"
2026-06-25 14:56:39

2026年6月18日,国度互联网信息办公室、工业和信息化部、公安部结合颁布第24呼吁,正式颁布《网络数据安全风险评估法子》(以下简称《法子》),自2026年8月20日起执行。

图片

这是继《数据安全法》《网络安全法》《网络数据安全治理条例》之后,我国在网络数据安全领域又一部拥有操作指引意思的规范性文件。《法子》共25条,将"风险评估"从一项准则性要求,落地为一套有明确主体、有执行周期、有法式规范、有司法责任的具体造度铺排。

对于处置沉要数据的企业和机构而言,合规不再是选择题,而是一路必须按时交卷的必答题。

政策布景

风险评估为何成为立法沉点?

《数据安全法》第二十二条明确提出,国度成立数据安全风险评估机造。《网络数据安全治理条例》进一步要求沉要数据处置者定期发展风险评估。《法子》正是在此基础上,将风险评估“谁来评、怎么评、评什么、评完怎么办”逐一明确。

理解这部《法子》,有三个关键布景值得关注:

01数据身分市场化的安全底座

数据作为新型出产身分,只有在安全可控的前提下能力实现有序流动和价值开释。风险评估是数据安全治理的基础性工程。

02合规监管从"软约束"走向"硬要求"

从前的合规更多依赖企业自觉,而《法子》构建了“企业自评+主管部门查抄+多部门信息共享”的关环监管系统。

03与国际数据治理趋向降

风险评估造度在全球重要经济体的数据;ち⒎ㄖ芯季葜魈獾匚,《法子》的出台标志取我国数据安全治理的造度化水平迈上新台阶。

 

主题重点解读

五大关键条款值得关注

 

重点一:沉要数据处置者每年一次,必须执行

第五条划定:沉要数据处置者该当每年度发展风险评估。沉要数据安全状态产生沉大变动的,还该当实时对受影响部门沉新评估。

这意味着风险评估不是"做一次就完事",而是纳入年度常态化治理。对于尚未成立定期评估机造的企业,渣滓的筹备功夫已经不及。

同时,《法子》激励通常数据处置者至少每3年发展一次风险评估。这一"激励性条款"开释的信号值得关注:在监管趋向上,风险评估覆盖领域可能逐步扩大。

 

重点二:能够自行评估,也能够委托第三方机构

第七条明确,网络数据处置者能够自行发展风险评估,也能够委托第三方评估机构。

● 自行评估:必要指定专人掌管,这意味着企业内部需具备相应的专业能力和人员配置。

● 委托第三方:必要通过合一致方式明确双方权势使命,评估机构应对汇报真实性、有效性、齐全性掌管(第十条)。

《法子》同时激励第三方评估机构通过认证(第八条),并要求统一评估机构及其关联机构不得陆续3次以上对统一数据处置者发展年度评估(第十二条),这一划定既保险了评估的独立性,也为企业选择评估机构提供了明确的合规指引。

 

重点三:触发强造委托评估的三种情景

第十七条划定了有关部门能够要求企业委托通过认证的评估机构发展风险评估的三种情景:

1. 网络数据处置活动存在较大安全风险,可能风险国度安全、公共利益的;

2. 产生网络数据安全事务,导致沉要数据或大规模幼我信息泄露、被窃取的;

3. 有关部门划定的其他情景。

一旦触发强造委托评估,企业必要为评估机构提供必要的接见权限,在限按功夫内实现评估,并将由评估机构重要掌管人具名并加盖公章的评估汇报报送有关部门(第十八条)。

 

重点四:不评估有明确的司法后果

第十九条和第二十二条划定了未按划定发展风险评估的司法后果:

● 发现处置活动可能风险国度安全、公共利益的,责令整改;

● 拒不整改或未达到整改要求的,可要求终场处置沉要数据;

● 未按划定发展风险评估的,遵循《数据安全法》《网络数据安全治理条例》等司法律规予以处置。

“终场处置沉要数据”这一措施对企业的影响不言而喻——对于依赖数据处置发展主题业务的企业而言,这等同于业务停摆。

《法子》执行,必要做什么?

《法子》将于2026年8月20日正式执行。对于沉要数据处置者,建议尽快启动以下筹备工作:

第一步:

确认本单元是否属于“沉要数据处置者”

对照有关司法律规和国度尺度,梳理企业所处置的数据类型和规模,明确是否涉及沉要数据。这是判断合规使命领域的前提。

第二步:

成立或美满风险评估内部机造

明确风险评估的掌管部门和责任人;成立风险评估治理造度和操作规程;筹备评估所需的网络数据、系统日志等基础资料。

第三步:

确定评估执行方式

评估的两种蹊径:

● 自行评估——需确保内部团队具备专业知识、熟悉国度尺度、可能独立客观实现评估。适合数据安全团队配置较美满的大型企业。

● 委托第三方——能够借助专业机构的技术能力和评估经验,出具的汇报更具公信力。需把稳选择具备资质、通过认证的评估机构,并关注第十二条关于“不得陆续3次以上”的要求。

第四步:

成立评估汇报治理和报送流程

确保评估实现后能在20个工作日内向主管部门报送汇报,并成立汇报归档保留造度(至少保留3年)。

 

结    语:合规不是职守,是安全免疫力

《网络数据安全风险评估法子》的出台,表表上看是给数据处置者增长了一路合规法式,但更深层的意思在于:它援手单元成立常态化的数据安全“体检”机造。

一次真正有效的风险评估,不仅能满足监管要求,更能援试祗业发现数据安全治理中的盲区和缝隙,在风险演变为变乱之前实时过问。从这个角度看,合规投入性质上是对企业数据资产和业务陆续性的;ば酝蹲。

本文基于《网络数据安全风险评估法子》(国度互联网信息办公室·工业和信息化部·公安部 第24呼吁)原文进行分析解读,力求客观正确。

【网站地图】