国度互联网信息办公室对于《收罗数据安全风险评估主义（征求主见稿）》公开征求主见的告知

为轨范收罗数据安全风险评估当作，保险收罗数据安全，促进收罗数据照章合理有用诈欺，阐明《中华东说念主民共和国数据安全法》《收罗数据安全不断条例》等法律法例，国度互联网信息办公室草拟了《收罗数据安全风险评估主义（征求主见稿）》，现向社会公开征求主见。公众不错通过以下路线和形势提倡响应主见：

1.登录中国网信网（www.cac.gov.cn），干涉首页“网信要闻”稽查文稿。

2.通过电子邮件形势发送至：shujuju@cac.gov.cn。

3.通过信函形势将主见寄至：北京市海淀区阜成路15号国度互联网信息办公室收罗数据不断局，邮编100048，并在信封上注明“收罗数据安全风险评估主义征求主见”。

主见响应截止时刻为2026年1月5日。

附件：收罗数据安全风险评估主义（征求主见稿）

国度互联网信息办公室

2025年12月6日

收罗数据安全风险评估主义

（征求主见稿）

第一条 为了轨范收罗数据安全风险评估当作，保险收罗数据安全，促进收罗数据照章合理有用诈欺，阐明《中华东说念主民共和国数据安全法》、《中华东说念主民共和国收罗安全法》、《收罗数据安全不断条例》等法律法例，制定本主义。

第二条 在中华东说念主民共和国境内开展收罗数据安全风险评估，应当投诚本主义。法律、行政法例、部门划定另有章程的，依照其章程。

本主义所称收罗数据安全风险评估（以下简称风险评估），是指对收罗数据和收罗数据处理应作安全进行的风险识别、风险分析和风险评价等当作。

第三条 国度网信部门在国度数据安全使命互助机制结合下，统筹各地区、各部门开展风险评估，加强使命互助、信息分享。

第四条 各相关专揽部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，依期组织开展本行业、才智域风险评估，不错阐明使命需要对本行业、才智域的进攻数据处理者开展风险评估情况进行查抄，并于每年1月底前向国度网信部门报送年度风险评估及查抄计划。

省级网信部门统筹省级相关部门制定本行政区域年度风险评估及查抄计划，按照前款条款报送国度网信部门。

第五条 国度网信部门在国度数据安全使命互助机制结合下，统筹相关专揽部门和省级网信部门报送的年度风险评估及查抄计划，幸免调换评估、调换查抄。

各相关部门开展查抄不得向被查抄的收罗数据处理者收取用度。

第六条 处理进攻数据的收罗数据处理者（以下简称进攻数据处理者）应当每年度对其收罗数据处理应作开展风险评估。进攻数据安全情状发生要紧变化可能对数据安全形成不利影响的，应实时对发生变化相配影响的部分开展风险评估。

饱读舞处理一般数据的收罗数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。

第七条 风险评估使命应当按照《收罗数据安全不断条例》相关要乞降《数据安全技巧 数据安全风险评估样式》（GB/T 45577）等相关国度要领开展。相关专揽部门对本行业、才智域风险评估使命另有章程的，从其章程。

第八条 收罗数据处理者不错自行大致录用第三方评估机构（以下简称评估机构）开展风险评估。

收罗数据处理者自行开展风险评估，应当指定专东说念主细致。收罗数据处理者录用评估机构开展风险评估，应当优先取舍通过认证的评估机构，并通过签订契约大致其他具有法律遵循的文献等形势明确两边的权益、职守和守密义务等。

第九条 经国务院认证认同监督不断部门照章批准的具少见据安全奇迹认证禀赋的认证机构，可按照《数据安全技巧 数据安全评估机构能力条款》（GB/T 45389）等相关国度要领、行业要领对评估机构开展认证。

第十条 评估机构开展风险评估应当投诚法律法例，公说念客不雅地作出风险判断，并对所出具的风险评估敷陈信得过性、有用性、齐备性细致，不得再录用其他机构开展风险评估。

第十一条 团结评估机构相配关联机构不得纠合3次以上对团结收罗数据处理者开展风险评估。

第十二条 评估机构在风险评估经由中发现收罗数据处理应作存在要紧数据安全风险的，应当实时通报收罗数据处理者，并按影相关章程向省级以上网信部门、相关专揽部门敷陈。

评估机构相配使命主说念主员应当对在风险评估经由中赢得的数据、生意巧妙、守密商务信息等照章赐与守密，不得走漏大致作歹向他东说念主提供，在风险评估使命终了后实时删除相关信息。

第十三条 进攻数据处理者开展年度风险评估应当按照本主义附件模板编制评估敷陈，一般数据处理者不错参照本主义附件模板编制评估敷陈。相关专揽部门对风险评估敷陈模板另有章程的，从其章程。

风险评估敷陈至少保存3年。

第十四条 进攻数据处理者应当在年度风险评估完成后的10个使命日内按影相关专揽部门条款报送评估敷陈。专揽部门不解确的，向省级网信部门大致国度网信部门报送。

相关专揽部门应当公开评估敷陈报送渠说念和计划形势，实时禁受进攻数据处理者报送的评估敷陈，自收到评估敷陈之日起的10个使命日内将敷陈通报同级网信部门。国度网信部门汇总相关敷陈并报送国度数据安全使命互助机制。

省级以上网信部门和相关部门可对收罗数据处理者的评估敷陈信得过性、准确性进行抽查核验，收罗数据处理者应当配合开展抽查核验。

第十五条 省级以上网信部门和相关部门在风险评估敷陈核验、监督查抄等使命中发现收罗数据处理者有以下情形之一的，应当条款其录用通过认证的评估机构开展风险评估：

（一）收罗数据处理应作存在较大安全风险的；

（二）发生收罗数据安全事件，导致进攻数据大致大范围个东说念主信息走漏、被窃取的；

（三）收罗数据处理应作可能危害国度安全、人人利益的；

（四）国度网信部门大致相关部门章程的其他情形。

对团结收罗数据安全事件大致风险，不得调换条款收罗数据处理者录用评估机构开展风险评估。

第十六条 收罗数据处理者按影相关部门条款录用评估机构开展风险评估的，应当履行下列义务：

（一）为评估机构开展风险评估使命提供必要营救，包括为风险评估东说念主员提供看望收罗数据要领、收罗数据、系统及操作日记记载权限等；

（二）在禁止时刻内完成风险评估，承担评估用度，情况复杂的，报相关部门批准后不错相宜延迟；

（三）在完成风险评估后将评估机构出具的评估敷陈报送相关部门，评估敷陈应当由评估机构主要细致东说念主、风险评估细致东说念主署名并加盖机构公章；

（四）按影相关部门条款对风险评估中发现的问题进行整改，在整改完成后15个使命日内，向相关部门报送整改情况敷陈。

收罗数据处理者不得以任何形势条款大致潜入评估机构出具乌有大致不当的评估敷陈。

第十七条 相关部门在组织风险评估使命中发现有在可能危害国度安全、人人利益的收罗数据处理应作，应当责令收罗数据处理者进行整改；对整改不到位、拒不整改的收罗数据处理者，不错采选条款其罢手处理进攻数据等措施。

第十八条 各地区、各部门应当加强风险信息分享和协同解决，实时解决风险评估使命中发现的安全风险和问题，并按影相关章程实时敷陈。

省级网信部门统筹互助本行政区域内风险信息分享和协同解决使命，于每年3月底前向国度网信部门报奉上一年度风险信息解决情况，国度网信部门汇总相关情况报送国度数据安全使命互助机制。

第十九条 任何组织、个东说念主有权对风险评估中的监犯非法当作向相关部门进行投诉、举报，收到投诉、举报的部门应当照章实时处理。

第二十条 省级以上网信部门和相关部门发现收罗数据处理者未按章程开展风险评估的，应当依据《中华东说念主民共和国数据安全法》等法律法例赐与解决处罚。

发现评估机构违背本主义开展风险评估的，省级以上网信部门和相关部门应当责令其进行整改；情节严重的，不错禁止大致回绝其开展风险评估当作，细致相关东说念主员职守，并予公布；组成不法的，照章细致处分。

第二十一条 风险评估、收罗安全等第保护测评、数据安全不断认证、个东说念主信息保护合规审计、商用密码应用安全性评估等践诺重合的，相关效果不错相互采信，幸免调换评估、审计、认证。

第二十二条 进攻数据处理者提供、录用处理、共同处理进攻数据前进行风险评估，不错参照本主义相关章程践诺。

第二十三条 中枢数据处理者的风险评估，按照国度相关章程践诺。

第二十四条 开展触及国度巧妙、使命巧妙的风险评估当作，按照《中华东说念主民共和国保守国度巧妙法》等法律、行政法例及国度守密章程践诺。

第二十五条 本主义自 年 月 日起成效。

更多热门速报、巨擘资讯、深度分析尽在北京日报App