为轨范网罗数据安全风险评估行径，保险网罗数据安全，促进网罗数据照章合理灵验诓骗溧水修车群，左证《中华东说念主民共和国数据安全法》《网罗数据安全不休条例》等法律王法，国度互联网信息办公室草拟了《网罗数据安全风险评估主义（征求宗旨稿）》，现向社会公开征求宗旨。公众不错通过以下阶梯和形状提议响应宗旨：

1.登录中国网信网（www.cac.gov.cn），干涉首页“网信要闻”稽查文稿。

2.通过电子邮件形状发送至：shujuju@cac.gov.cn。

3.通过信函形状将宗旨寄至：北京市海淀区阜成路15号国度互联网信息办公室网罗数据不休局，邮编100048，并在信封上注明“网罗数据安全风险评估主义征求宗旨”。

宗旨响应截止时候为2026年1月5日。

附件：网罗数据安全风险评估主义（征求宗旨稿）

国度互联网信息办公室

2025年12月6日

网罗数据安全风险评估主义

（征求宗旨稿）

第一条 为了轨范网罗数据安全风险评估行径，保险网罗数据安全，促进网罗数据照章合理灵验诓骗，左证《中华东说念主民共和国数据安全法》、《中华东说念主民共和国网罗安全法》、《网罗数据安全不休条例》等法律王法，制定本主义。

第二条 在中华东说念主民共和国境内开展网罗数据安全风险评估，应当投降本主义。法律、行政王法、部门章程另有规定的，依照其规定。

本主义所称网罗数据安全风险评估（以下简称风险评估），是指对网罗数据和网罗数据处理行径安全进行的风险识别、风险分析和风险评价等行径。

第三条 国度网信部门在国度数据安全使命协作机制带领下，统筹各地区、各部门开展风险评估，加强使命协作、信息分享。

第四条 各相关主宰部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，按时组织开展本行业、才略域风险评估，不错左证使命需要对本行业、才略域的繁难数据处理者开展风险评估情况进行查验，并于每年1月底前向国度网信部门报送年度风险评估及查验运筹帷幄。

省级网信部门统筹省级相关部门制定本行政区域年度风险评估及查验运筹帷幄，按照前款条目报送国度网信部门。

第五条 国度网信部门在国度数据安全使命协作机制带领下，统筹相关主宰部门和省级网信部门报送的年度风险评估及查验运筹帷幄，幸免肖似评估、肖似查验。

各相关部门开展查验不得向被查验的网罗数据处理者收取用度。

第六条 处理繁难数据的网罗数据处理者（以下简称繁难数据处理者）应当每年度对其网罗数据处理行径开展风险评估。繁难数据安全景色发生紧要变化可能对数据安全形成不利影响的，应实时对发生变化极端影响的部分开展风险评估。

荧惑处理一般数据的网罗数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。

第七条 风险评估使命应当按照《网罗数据安全不休条例》相关要乞降《数据安全手艺 数据安全风险评估方法》（GB/T 45577）等相关国度轨范开展。相关主宰部门对本行业、才略域风险评估使命另有规定的，从其规定。

第八条 网罗数据处理者不错自行大约委派第三方评估机构（以下简称评估机构）开展风险评估。

网罗数据处理者自行开展风险评估，应当指定专东说念主认真。网罗数据处理者委派评估机构开展风险评估，应当优先弃取通过认证的评估机构，并通过顽强条约大约其他具有法律效用的文献等形状明确两边的职权、株连和守秘义务等。

第九条 经国务院认证认同监督不休部门照章批准的具罕有据安全做事认证天禀的认证机构，可按照《数据安全手艺 数据安全评估机构身手条目》（GB/T 45389）等相关国度轨范、行业轨范对评估机构开展认证。

第十条 评估机构开展风险评估应当投降法律王法，平允客不雅地作出风险判断，并对所出具的风险评估陈说着实性、灵验性、完竣性认真，不得再委派其他机构开展风险评估。

第十一条 团结评估机构极端关联机构不得畅通3次以上对团结网罗数据处理者开展风险评估。

第十二条 评估机构在风险评估历程中发现网罗数据处理行径存在紧要数据安全风险的，应当实时通报网罗数据处理者，并按影相关规定向省级以上网信部门、相关主宰部门陈说。

评估机构极端使命主说念主员应当对在风险评估历程中获取的数据、买卖机密、守秘商务信息等照章赐与守秘，不得涌现大约罪人向他东说念主提供，菲律宾修车群在风险评估使命已毕后实时删除相关信息。

第十三条 繁难数据处理者开展年度风险评估应当按照本主义附件模板编制评估陈说，一般数据处理者不错参照本主义附件模板编制评估陈说。相关主宰部门对风险评估陈说模板另有规定的，从其规定。

风险评估陈说至少保存3年。

第十四条 繁难数据处理者应当在年度风险评估完成后的10个使命日内按影相关主宰部门条目报送评估陈说。主宰部门不解确的，向省级网信部门大约国度网信部门报送。

相关主宰部门应当公开评估陈说报送渠说念和谋划形状，实时采纳繁难数据处理者报送的评估陈说，自收到评估陈说之日起的10个使命日内将陈说通报同级网信部门。国度网信部门汇总相关陈说并报送国度数据安全使命协作机制。

省级以上网信部门和相关部门可对网罗数据处理者的评估陈说着实性、准确性进行抽查核验，网罗数据处理者应当配合开展抽查核验。

第十五条 省级以上网信部门和相关部门在风险评估陈说核验、监督查验等使命中发现网罗数据处理者有以下情形之一的，应当条目其委派通过认证的评估机构开展风险评估：

（一）网罗数据处理行径存在较大安全风险的；

（二）发生网罗数据安全事件，导致繁难数据大约大限制个东说念主信息涌现、被窃取的；

（三）网罗数据处理行径可能危害国度安全、环球利益的；

（四）国度网信部门大约相关部门规定的其他情形。

对团结网罗数据安全事件大约风险，不得肖似条目网罗数据处理者委派评估机构开展风险评估。

第十六条 网罗数据处理者按影相关部门条目委派评估机构开展风险评估的，应当履行下列义务：

（一）为评估机构开展风险评估使命提供必要支持，包括为风险评估东说念主员提供走访网罗数据要领、网罗数据、系统及操作日记纪录权限等；

（二）在已毕时候内完成风险评估，承担评估用度，情况复杂的，报相关部门批准后不错符合延伸；

（三）在完成风险评估后将评估机构出具的评估陈说报送相关部门，评估陈说应当由评估机构主要认真东说念主、风险评估认真东说念主署名并加盖机构公章；

（四）按影相关部门条目对风险评估中发现的问题进行整改，在整改完成后15个使命日内，向相关部门报送整改情况陈说。

网罗数据处理者不得以任何形状条目大约暗示评估机构出具空幻大约不当的评估陈说。

第十七条 相关部门在组织风险评估使命中发现有在可能危害国度安全、环球利益的网罗数据处理行径，应当责令网罗数据处理者进行整改；对整改不到位、拒不整改的网罗数据处理者，不错弃取条目其住手处理繁难数据等法子。

第十八条 各地区、各部门应当加强风险信息分享和协同搞定，实时搞定风险评估使命中发现的安全风险和问题，并按影相关规定实时陈说。

省级网信部门统筹协作本行政区域内风险信息分享和协同搞定使命，于每年3月底前向国度网信部门报奉上一年度风险信息搞定情况，国度网信部门汇总相关情况报送国度数据安全使命协作机制。

第十九条 任何组织、个东说念主有权对风险评估中的坐法违章行径向相关部门进行投诉、举报，收到投诉、举报的部门应当照章实时处理。

第二十条 省级以上网信部门和相关部门发现网罗数据处理者未按规定开展风险评估的，应当依据《中华东说念主民共和国数据安全法》等法律王法赐与搞定处罚。

发现评估机构违背本主义开展风险评估的，省级以上网信部门和相关部门应当责令其进行整改；情节严重的，不错限定大约退却其开展风险评估行径，讲究相关东说念主员株连，并予公布；组成犯警的，照章讲究责罚。

第二十一条 风险评估、网罗安全品级保护测评、数据安全不休认证、个东说念主信息保护合规审计、商用密码应用安全性评估等骨子重合的，相关成果不错彼此采信，幸免肖似评估、审计、认证。

第二十二条 繁难数据处理者提供、委派处理、共同处理繁难数据前进行风险评估，不错参照本主义相关规定推行。

第二十三条 中枢数据处理者的风险评估，按照国度相关规定推行。

第二十四条 开展波及国度机密、使命机密的风险评估行径，按照《中华东说念主民共和国保守国度机密法》等法律、行政王法及国度守秘规定推行。

第二十五条 本主义自 年 月 日起奏凯溧水修车群。