6月18日，国家网信办、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》（以下简称《办法》），自2026年8月20日起施行。

这是继《数据安全法》《网络数据安全管理条例》之后，数据安全治理“评估”环节的一块关键拼图——它把“风险评估”从一句原则要求，落成了一套有周期、有标准、有机构、有报送、有问责的完整制度。一句话概括：重要数据处理者，从此要做“年检”。

一、为什么出台

把“原则要求”落成“可执行机制”

《数据安全法》《网络数据安全管理条例》都提出了数据安全风险评估的要求，但谁来评、多久评一次、按什么标准评、评完报给谁、评不合格怎么办，此前缺少统一规则。

《办法》的核心价值，就是填补这套“操作层”空白：在国家数据安全工作协调机制指导下，由国家网信部门会同电信、公安等部门建立专项工作机制，统一指导监督风险评估工作。定位很清晰——以数据安全保障数据开发利用和产业发展，评估不是为了限制，而是为了让数据敢用、能用。

二、管谁、谁来管

分级管理   谁主管谁负责

1、 两类处理者，两种力度（第五条）

2、“谁管业务、谁管业务数据、谁管数据安全”（第四条）

行业主管部门定期组织本行业评估，并按需检查；每年1月底前把年度检查计划报国家网信部门，由协调机制统一共享协调，避免交叉重复检查。同时明确——主管部门检查不得向被检查方收费。

三、核心要求

怎么评、按什么评、谁来评

1、依据（第六条）：按《数据安全法》《网络数据安全管理条例》要求，参照数据安全风险评估有关国家标准开展；行业另有规定的从其规定。

2、 形式（第七条）：可自行评估（须指定专人负责），也可委托第三方评估机构（须订立合同明确权责）。

3、 本质（第二条）：风险评估 = 对网络数据和处理活动安全进行风险识别、风险分析、风险评价。

四、给评估机构划的“红线”

这几条最值得划重点

《办法》用大量篇幅约束评估机构，这是制度能不能“评得准、评得公”的关键：

同时给处理者也划了底线：不得以任何方式要求或示意评估机构出具不实、不当报告（第十八条）。

五、报告与监督

从“评完”到“报送、核验、问责”的闭环

报告链条（第十五、十六条）——记牢几个时间点：

1、按主管部门规定编制报告，报告至少保存3年；

2、年度评估完成后20个工作日内报送（主管部门不明确的，报省级或国家网信部门）；

3、主管部门收到后10个工作日内通报同级网信部门；国家网信部门汇总并与电信、公安、国家安全等部门共享；

4、省级以上部门可对报告真实性、准确性检查核验，处理者应配合。

监督与问责（第十七至二十二条）——这是关键：

1、出现三类情形（较大安全风险可能危害国家安全公共利益 / 发生重要数据或大规模个人信息泄露被窃取 / 部门规定的其他情形）时，可被要求委托通过认证的评估机构重新评估；同一事件或风险不得重复要求。

2、被要求委托评估的处理者须：提供必要访问权限、限期完成、报送签字盖章的报告、整改完成后15个工作日内报送整改情况。

3、可能危害国家安全、公共利益的，责令整改；拒不整改或不达标的，可责令停止处理重要数据。

4、任何组织、个人有权投诉举报评估中的违法活动；未按规定评估的，依法处理。

六、几类特殊情形

别漏了边界条款

1、核心数据处理者的风险评估，按国家有关规定执行（第二十三条）——要求更高，另有规则。

2、涉及重要数据加密等技术措施的，须按密码法律法规开展商用密码应用安全性评估。

3、涉及国家秘密、工作秘密的评估，按保密法等执行（第二十四条）。

七、给企业的落地建议

8月20日前，三件事先动起来

1、先做“数据分级”自查：明确自己是否属于重要数据处理者，决定是“每年必评”还是“鼓励三年一评”。

2、建立评估常态化机制：把年度评估、重大变化触发的临时评估、报告编制与报送（20个工作日）、报告留存（3年）写进内部流程。

3、选好评估路径与伙伴：自行评估配齐专人与能力；委托第三方优先考虑已通过认证的机构，并注意“同一机构连续3次”的限制。

安恒

观察

《办法》把数据安全评估推向了周期化、标准化、可核验的新阶段。评估不再是一次性的“过关”，而是贯穿数据全生命周期的持续动作——从数据底数与资产的摸清，到风险的识别、分析、研判，再到问题整改与闭环。这恰恰是企业数据安全能力建设的主线：把“看得见数据、查得出风险、改得掉问题”做成日常。

围绕“年检”落地的这条主线，安恒信息已在数据分类分级、API安全、数据库审计、数据安全运营等环节形成相应的产品与解决方案，可支撑企业把年度评估、报告报送与整改闭环常态化运转。我们也愿陪伴企业把“年检”做成“体检”，让合规真正转化为数据敢用、能用的底气。