📌 三部门联合发布 · 2026年8月20日起施行
6月18日,国家网信办、工信部、公安部联合发布第24号令《网络数据安全风险评估办法》(以下简称《办法》),自8月20日起施行。这是《网络数据安全管理条例》出台后,数据安全领域又一项重磅配套制度。
直接捞干的——
一、先搞清楚:什么是”重要数据处理者”?
《办法》的核心义务主体是”重要数据处理者”——这事关你到底要不要每年强制评估。拆开看两层:
什么是”重要数据”?
根据《网络数据安全管理条例》第62条,重要数据是指:
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
不包括:国家秘密(另有法律管)、个人信息(有独立保护体系)
典型包括:
- 反映经济运行情况的重要行业数据
- 重要工业数据、自然资源数据
- 关键信息基础设施运行数据
- 重要领域统计数据、宏观调控数据
- 其他可能影响国家安全、公共利益的数据
“重要数据处理者”就是——处理这类数据的主体
判断标准不是企业规模,而是你处理的数据性质。一家小型征信机构如果处理的是金融领域重要数据,同样属于重要数据处理者。
实操三步判断:
| 步骤 | 问题 | 说明 |
|---|---|---|
| 1 | 你处理的数据中有没有”重要数据”? | 对照数据分类分级目录判断 |
| 2 | 行业主管部门有没有明确重要数据目录? | 金融行业参照JR/T 0197-2020,3级及以上通常可能落入重要数据范畴 |
| 3 | 地方有没有制定重要数据目录? | 部分省市已出台地方版目录 |
⚠️ 特别注意:识别和申报重要数据是主动义务——《网络数据安全管理条例》第11条要求重要数据处理者自行识别并申报,不是等监管部门告诉你。
二、谁必须评估?——两类主体,要求不同
| 主体类型 | 评估频次 | 是否强制 |
|---|---|---|
| 重要数据处理者 | 每年一次 | ✅ 强制 |
| 重要数据处理者(安全状态重大变化时) | 及时开展 | ✅ 强制 |
| 一般数据处理者 | 至少每3年一次 | 鼓励(非强制) |
划重点:《办法》对重要数据处理者是”硬要求”,对一般数据处理者是”软引导”。但”鼓励”不等于”可以不做”——行业主管部门另有规定的,从其规定。
三、评估怎么做?——三条路径
- 自行评估:指定专人负责即可
- 委托第三方评估机构:需签订合同明确权责
- 被要求委托认证机构评估:监管部门在特定情形下可强制要求(见下文)
四、什么情况会被”强制要求”找认证机构评估?
以下三种情形,监管部门可以要求你必须委托通过认证的评估机构:
⚠️ 数据处理活动存在较大安全风险,可能危害国家安全、公共利益的
⚠️ 发生数据安全事件,导致重要数据或大规模个人信息泄露、被窃取的
⚠️ 其他有关部门规定的情形
但有一条保护条款:对同一数据安全事件或风险,不得重复要求委托评估——防止多头检查、重复评估。
五、报告怎么报?——关键时限
| 环节 | 时限要求 |
|---|---|
| 重要数据处理者报送年度评估报告 | 评估完成后20个工作日内 |
| 主管部门通报同级网信部门 | 收到报告后10个工作日内 |
| 评估报告至少保存 | 3年 |
| 被要求整改的,报送整改情况 | 整改完成后15个工作日内 |
六、评估机构管理——四大红线
- 不得转委托——委托谁就是谁,不能再外包
- 不得连续3次以上评估同一对象——防止”利益绑定”
- 发现重大风险须及时通知被评估方
- 评估结束后须及时删除或按约处置获取的数据和商业秘密
评估机构对报告的真实性、有效性、完整性负责——这是签字画章的责任。
七、拒不整改的后果——最重可被”停掉”数据处理
第十九条直接写明:对拒不整改或未达整改要求的重要数据处理者,可以要求其停止处理重要数据。
这不是罚款了事,而是业务层面的”断供”——对于依赖重要数据运营的机构,这意味着业务停摆。
八、检查协调机制——避免”九龙治水”
- 主管部门年度检查计划须每年1月底前报国家网信部门
- 网信部门通过协调机制与多部门共享计划,避免不必要检查和交叉重复检查
- 检查不得向被检查者收取费用
九、两个特别衔接
- 核心数据处理者:不适用本办法,按国家有关规定执行——更严、更高层级
- 涉及密码技术措施的:须同时做商用密码应用安全性评估——两套评估并行
💡 银行机构重点关注清单
对于银行业金融机构,结合《办法》与行业监管要求,建议立即关注:
| # | 关注点 | 行动建议 |
|---|---|---|
| 1 | 是否属于重要数据处理者 | 对照《金融数据安全 数据安全分级指南》(JR/T 0197-2020)逐项梳理 |
| 2 | 年度风险评估机制是否就位 | 8月20日前完成制度搭建和流程设计 |
| 3 | 评估报告编制标准 | 参照数据安全风险评估国家标准+行业主管部门要求 |
| 4 | 报告报送渠道 | 确认主管部门报送渠道和联系方式(办法要求主管部门公开) |
| 5 | 第三方评估机构筛选 | 提前了解认证评估机构名录,建立备选库 |
| 6 | 整改闭环机制 | 建立”评估→发现问题→整改→15个工作日内报送”的闭环流程 |
| 7 | 商密评估联动 | 如涉及重要数据加密,同步启动商密应用安全性评估 |
⏰ 关键时间线
2026年6月18日
《办法》公布
2026年8月20日
《办法》施行
每年1月底前
主管部门报送年度检查计划
首次年度评估
2026年度(建议在8月20日前完成制度准备)
📖 法规来源:国家网信办《网络数据安全风险评估办法》(第24号令),2026年6月18日公布
🔗 原文链接:https://www.cac.gov.cn/2026-06/18/c_1783525609815499.htm
本文仅作政策解读参考,不构成法律意见。具体执行请以正式法规文本及主管部门要求为准。