2026年6月18日，国家互联网信息办公室、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》（以下简称《办法》），自2026年8月20日起施行。此番三部门联合亮剑，标志着我国数据安全风险评估制度建设迈入了系统化、规范化、法治化的新阶段，是落实《数据安全法》《网络数据安全管理条例》等上位法的关键一招，更是以高水平安全护航数字经济高质量发展的制度基石。

一、出台背景：数据安全治理的时代之需

数据，已成为数字经济时代最具战略价值的生产要素。然而，数据泄露、损毁、滥用的风险如影随形——既来自信息技术自身的脆弱性，也来自安全管理体系的滞后；既来自外部黑客的攻击入侵，也来自内部人员的权限失控；既源于传统网络安全风险，更叠加了人工智能、云计算等新技术带来的全新挑战。

《中华人民共和国国民经济和社会发展第十五个五年规划纲要》明确提出"实施数据分类分级管理，提升数据安全保护能力"。《数据安全法》第三十条规定重要数据的处理者应当定期开展风险评估并报送报告，《网络数据安全管理条例》亦要求重要数据处理者每年度开展风险评估。《办法》正是将这些原则性规定转化为可操作、可监督、可执行的具体制度，构建起"法律—行政法规—部门规章—国家标准"四位一体的风险评估实施路径。

二、核心框架：谁来评、评什么、怎么评

（一）适用范围：境内全覆盖

《办法》明确规定，在中华人民共和国境内开展网络数据安全风险评估，均应遵守本办法。所谓网络数据安全风险评估，是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。

（二）评估频率：分层分类、精准施策

《办法》对不同主体设定了差异化的评估频率：

重要数据处理者：应当每年度开展一次风险评估；当安全状态发生重大变化时，应及时对变化部分开展评估。

一般数据处理者：鼓励至少每3年开展一次风险评估。

这一分层设计，既抓住了重要数据这一"牛鼻子"，又兼顾了一般数据处理者的合规成本，体现了精准治理的智慧。

（三）评估方式：自行评估与委托评估并行

网络数据处理者可自行开展风险评估，但应指定专人负责；也可委托第三方评估机构开展，双方须通过合同等具有法律效力的文件明确权利义务。

值得关注的是，《办法》对第三方评估机构作出了严格的规范约束：

• 禁止转委托：评估机构不得将评估任务转交其他机构；
• 轮换机制：同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度评估；
• 保密义务：评估机构及工作人员须对评估过程中获取的数据、商业秘密等依法保密，评估结束后及时删除或按约定处置；
• 重大风险通知义务：发现重大数据安全风险时，应及时通知网络数据处理者。

（四）评估依据：国家标准为核心支撑

《办法》明确，风险评估工作应参照数据安全风险评估有关国家标准开展。目前两大核心标准已落地实施：

GB/T 45577-2025《数据安全技术 数据安全风险评估方法》（2025年11月1日实施）：规范了评估流程、评估内容、分析评价方法，涵盖数据安全管理、数据安全技术、数据处理活动安全、个人信息保护四大维度共401项评估内容。

GB/T 45389-2025《数据安全技术 数据安全评估机构能力要求》（2025年10月1日实施）：从基础条件、管理能力、技术能力、人力资源等方面设定105项能力要求，为机构认证提供依据。

三、制度创新：三大亮点值得关注

亮点一：统筹协调，告别"重复检查"

《办法》确立了"谁管业务、谁管业务数据、谁管数据安全"的原则，建立了国家数据安全工作协调机制下的专项工作机制。有关主管部门须于每年1月底前将年度检查计划报送国家网信部门，由国家网信部门统一协调，避免不必要的检查和交叉重复检查。检查不得向被检查对象收取费用——这一规定切实为企业减负。

亮点二：闭环管理，从"事后灭火"到"事前预警"

《办法》构建了"评估发现风险—报告呈现风险—整改化解风险"的完整闭环：

第一，评估报告报送。重要数据处理者应在年度评估完成后20个工作日内向有关主管部门报送风险评估报告，主管部门不明确的，向省级或国家网信部门报送。

第二，信息共享。国家网信部门汇总报告，与国务院电信、公安、国家安全等部门共享。

第三，检查核验。省级以上有关部门可对报告真实性、准确性进行核验。

第四，指定评估。发现存在较大安全风险的，可要求网络数据处理者委托通过认证的评估机构开展评估。

第五，整改与处罚。发现可能危害国家安全、公共利益的，责令整改；拒不整改的，可采取停止处理重要数据等措施。

亮点三：制度衔接，避免"各自为战"

《办法》明确，网络数据安全风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等制度相互衔接，结果可互相采信。这一设计有效避免了企业重复评估、重复认证的负担，让制度之间形成合力而非内耗。

四、法律责任：违法必究、执法必严

《办法》第二十二条明确：网络数据处理者未按规定开展风险评估的，依据《数据安全法》《网络数据安全管理条例》等予以处理；评估机构违反本办法的，有关部门依法予以处理。任何组织、个人均有权对违法活动进行投诉举报。

同时，《办法》第十九条划出了红线：有关部门发现重要数据处理活动可能危害国家安全、公共利益的，应责令整改；对拒不整改或未达标者，可要求其停止处理重要数据。这一措施力度之大，前所未有。

五、展望：以评估筑基，以安全促发展

《办法》的出台，绝非给企业套上"紧箍咒"，而是为数据要素的安全流通铺就"高速公路"。当风险可识别、可评估、可管控，数据才能真正从"不敢流动"走向"放心流动"，从"烟囱式孤岛"走向"全域协同"。

当前，距离《办法》正式施行尚有两个月窗口期（2026年8月20日）。各重要数据处理者应尽快对标自查，明确评估责任人，梳理评估流程，确保在规定时限内完成首次年度风险评估。同时，评估机构应加速推进认证工作，提升专业能力，为即将到来的市场需求做好充分准备。

数据安全，是数字经济的底座；风险评估，是守护底座的第一道防线。《办法》的施行，将为我国数据安全治理体系写下浓墨重彩的一笔。