深度解读｜《网络数据安全风险评估办法（征求意见稿）》发布：重要数据处理者每年必须做这件事！

2025年12月6日，国家互联网信息办公室正式发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），向社会公开征求意见至2026年1月5日。作为《数据安全法》《网络数据安全管理条例》的关键配套文件，《办法》首次系统性界定了网络数据安全风险评估的全流程规范，从评估主体、频次要求到第三方机构管理，构建了“责任明确、流程清晰、结果可溯”的评估体系，直接关系到所有网络数据处理者的合规建设方向。

本文将结合《办法》全文及配套国家标准，从技术合规视角拆解核心条款，厘清不同类型数据处理者的义务边界，并给出落地执行建议，帮助技术团队提前布局风险评估工作。

一、谁必须做？频率如何？

 强制要求：重要数据处理者

• 每年开展一次网络数据安全风险评估；
• 若重要数据安全状态发生重大变化（如新增数据类型、跨境传输、系统架构重构等），需立即对受影响部分重新评估。（第六条）

什么是“重要数据”？ 参照《网络数据分类分级指引》《重要数据识别指南》等行业标准，通常包括：

• 用户身份信息、生物特征、行踪轨迹；
• 平台运营核心数据（如推荐算法训练集、用户画像标签）；
• 涉及公共利益、经济运行、社会稳定的行业数据（如医疗、金融、交通、能源）。

 鼓励开展：一般数据处理者

• 建议至少每3年开展一次风险评估。（第六条）

二、评估怎么做？可以自己做吗？

《办法》明确允许两种方式（第八条）：

注：

• 同一评估机构不得连续3次以上为同一企业服务（第十一条）——防止“走过场”；
• 评估机构不得转包，且对报告真实性、完整性负法律责任（第十条）。

此外，评估方法需遵循国家标准：

• 《数据安全技术 数据安全风险评估方法》（GB/T 45577）
• 行业另有规定的，从其规定（第七条）

三、报告怎么写？交给谁？保存多久？

 报告模板

• 重要数据处理者：必须按《办法》附件模板编制；
• 一般数据处理者：可参照执行（第十三条）。

报送时限与路径

• 完成评估后10个工作日内报送；
• 报送对象：
  • 有明确主管部门的 → 报主管部门；
  • 无明确主管部门的 → 报省级或国家网信部门（第十四条）。

 保存要求

• 风险评估报告至少保存3年（第十三条）。

四、哪些情形会被“强制要求”做第三方评估？

即使你已自行完成年度评估，若出现以下情况，监管部门仍可责令你委托认证机构重新评估（第十五条）：

1. 数据处理活动存在较大安全风险；
2. 发生重要数据或大规模个人信息泄露/被窃取事件；
3. 数据处理活动可能危害国家安全或公共利益；
4. 其他法定情形。

 但《办法》也强调：不得就同一事件重复要求评估，避免企业负担过重。

五、不做的后果有多严重？

《办法》第二十条明确：

“省级以上网信部门和有关部门发现网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》等法律法规予以处置处罚。”

根据《数据安全法》第四十五条规定，拒不履行风险评估义务的，最高可处500万元罚款，并对直接责任人处10–100万元罚款。

此外，若评估机构出具虚假报告，将面临限制从业、公开通报甚至刑事责任（第二十条）。

六、与其他合规工作如何衔接？

《办法》第二十一条特别指出：

“风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估。”

这意味着：  如果你已完成等保测评或ISO 27001认证，其中涉及数据安全的部分，可作为风险评估的佐证材料，减少重复工作。

七、企业应对建议：从“被动应付”到“体系化治理”

立即行动清单：

1. 识别是否属于“重要数据处理者”
   • 梳理数据资产，对照《重要数据识别指南》进行分类分级；
2. 建立年度风险评估机制
   • 指定责任人，制定评估计划；
3. 优先对接认证评估机构
   • 查询国务院认证认可监督管理部门公布的数据安全服务认证机构名录；
4. 整合现有合规成果
   • 将等保、隐私影响评估（PIA）、算法备案等材料纳入风险评估框架；
5. 准备应急响应预案
   • 一旦发生数据泄露，需快速启动专项评估并整改。

附：关键条款原文摘录

第六条：处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估…… 第八条：网络数据处理者可以自行或者委托第三方评估机构开展风险评估…… 第十四条：重要数据处理者应当在年度风险评估完成后的10个工作日内……报送评估报告。 第二十条：未按规定开展风险评估的，依据《数据安全法》等予以处罚。 第二十一条：风险评估与其他安全评估结果可互相采信，避免重复评估。

全文详见：网信中国（2025年12月6日发布）