国度互联网信息办公室对于《集结数据安全风险评估宗旨(征求认识稿)》公开征求认识的见告
为要领集结数据安全风险评估行径,保险集结数据安全,促进集结数据照章合理有用诈欺,证明《中华东说念主民共和国数据安全法》《集结数据安全看管条例》等法律国法,国度互联网信息办公室草拟了《集结数据安全风险评估宗旨(征求认识稿)》,现向社会公开征求认识。公众不错通过以下路线和风物建议响应认识:
1.登录中国网信网(www.cac.gov.cn),插足首页“网信要闻”稽察文稿。
2.通过电子邮件风物发送至:shujuju@cac.gov.cn。
3.通过信函风物将认识寄至:北京市海淀区阜成路15号国度互联网信息办公室集结数据看管局,邮编100048,并在信封上注明“集结数据安全风险评估宗旨征求认识”。
认识响应截止时候为2026年1月5日。
附件:集结数据安全风险评估宗旨(征求认识稿)
国度互联网信息办公室
2025年12月6日
集结数据安全风险评估宗旨
(征求认识稿)
第一条 为了要领集结数据安全风险评估行径,保险集结数据安全,促进集结数据照章合理有用诈欺,证明《中华东说念主民共和国数据安全法》、《中华东说念主民共和国集结安全法》、《集结数据安全看管条例》等法律国法,制定本宗旨。
第二条 在中华东说念主民共和国境内开展集结数据安全风险评估,应当治服本宗旨。法律、行政国法、部门国法另有规定的,依照其规定。
本宗旨所称集结数据安全风险评估(以下简称风险评估),是指对集结数据和集结数据处理行径安全进行的风险识别、风险分析和风险评价等行径。
第三条 国度网信部门在国度数据安全责任合营机制指令下,统筹各地区、各部门开展风险评估,加强责任合营、信息分享。
第四条 各议论旁边部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则,按期组织开展本行业、身手域风险评估,不错证明责任需要对本行业、身手域的遑急数据处理者开展风险评估情况进行搜检,并于每年1月底前向国度网信部门报送年度风险评估及搜检权略。
省级网信部门统筹省级议论部门制定本行政区域年度风险评估及搜检权略,按照前款条件报送国度网信部门。
第五条 国度网信部门在国度数据安全责任合营机制指令下,统筹议论旁边部门和省级网信部门报送的年度风险评估及搜检权略,幸免重叠评估、重叠搜检。
各议论部门开展搜检不得向被搜检的集结数据处理者收取用度。
第六条 处理遑急数据的集结数据处理者(以下简称遑急数据处理者)应当每年度对其集结数据处理行径开展风险评估。遑急数据安全情景发生要紧变化可能对数据安全形成不利影响的,应实时对发生变化过火影响的部分开展风险评估。
饱读吹处理一般数据的集结数据处理者(以下简称一般数据处理者)至少每3年开展一次风险评估。
第七条 风险评估责任应当按照《集结数据安全看管条例》议论要乞降《数据安全时代 数据安全风险评估方法》(GB/T 45577)等议论国度圭臬开展。议论旁边部门对本行业、身手域风险评估责任另有规定的,从其规定。
第八条 集结数据处理者不错自行概况交付第三方评估机构(以下简称评估机构)开展风险评估。
集结数据处理者自行开展风险评估,应当指定专东说念主慎重。集结数据处理者交付评估机构开展风险评估,应当优先采选通过认证的评估机构,并通过签订契约概况其他具有法律遵循的文献等风物明确两边的权益、牵扯和守秘义务等。
第九条 经国务院认证认同监督看管部门照章批准的具稀有据安全奇迹认证天资的认证机构,可按照《数据安全时代 数据安全评估机构身手条件》(GB/T 45389)等议论国度圭臬、行业圭臬对评估机构开展认证。
第十条 评估机构开展风险评估应当治服法律国法,公平客不雅地作出风险判断,并对所出具的风险评估论说果然性、有用性、竣工性慎重,不得再交付其他机构开展风险评估。
第十一条 合并评估机构过火关联机构不得连结3次以上对合并集结数据处理者开展风险评估。
第十二条 评估机构在风险评估经过中发现集结数据处理行径存在要紧数据安全风险的,应当实时通报集结数据处理者,并按照议论规定向省级以上网信部门、议论旁边部门论说。
评估机构过火责任主说念主员应当对在风险评估经过中赢得的数据、买卖奥妙、守秘商务信息等照章赐与守秘,不得走漏概况造孽向他东说念主提供,在风险评估责任完毕后实时删除议论信息。
第十三条 遑急数据处理者开展年度风险评估应当按照本宗旨附件模板编制评估论说,一般数据处理者不错参照本宗旨附件模板编制评估论说。议论旁边部门对风险评估论说模板另有规定的,从其规定。
风险评估论说至少保存3年。
第十四条 遑急数据处理者应当在年度风险评估完成后的10个责任日内按照议论旁边部门条件报送评估论说。旁边部门不解确的,向省级网信部门概况国度网信部门报送。
议论旁边部门应当公开评估论说报送渠说念和议论风物,实时接纳遑急数据处理者报送的评估论说,自收到评估论说之日起的10个责任日内将论说通报同级网信部门。国度网信部门汇总议论论说并报送国度数据安全责任合营机制。
省级以上网信部门和议论部门可对集结数据处理者的评估论说果然性、准确性进行抽查核验,集结数据处理者应当配合开展抽查核验。
第十五条 省级以上网信部门和议论部门在风险评估论说核验、监督搜检等责任中发现集结数据处理者有以下情形之一的,应当条件其交付通过认证的评估机构开展风险评估:
(一)集结数据处理行径存在较大安全风险的;
(二)发生集结数据安全事件,导致遑急数据概况大界限个东说念主信息走漏、被窃取的;
(三)集结数据处理行径可能危害国度安全、人人利益的;
(四)国度网信部门概况议论部门规定的其他情形。
对合并集结数据安全事件概况风险,不得重叠条件集结数据处理者交付评估机构开展风险评估。
第十六条 集结数据处理者按照议论部门条件交付评估机构开展风险评估的,应当执行下列义务:
(一)为评估机构开展风险评估责任提供必要搭救,包括为风险评估东说念主员提供看望集结数据样貌、集结数据、系统及操作日记记载权限等;
(二)在甩手时候内完成风险评估,承担评估用度,情况复杂的,报议论部门批准后不错相宜蔓延;
(三)在完成风险评估后将评估机构出具的评估论说报送议论部门,评估论说应当由评估机构主要慎重东说念主、风险评估慎重东说念主署名并加盖机构公章;
(四)按照议论部门条件对风险评估中发现的问题进行整改,在整改完成后15个责任日内,向议论部门报送整改情况论说。
集结数据处理者不得以任何风物条件概况暗意评估机构出具子虚概况不妥的评估论说。
第十七条 议论部门在组织风险评估责任中发现有在可能危害国度安全、人人利益的集结数据处理行径,应当责令集结数据处理者进行整改;对整改不到位、拒不整改的集结数据处理者,不错接管条件其住手处理遑急数据等措施。
第十八条 各地区、各部门应当加强风险信息分享和协同科罚,实时科罚风险评估责任中发现的安全风险和问题,并按照议论规定实时论说。
省级网信部门统筹合营本行政区域内风险信息分享和协同科罚责任,于每年3月底前向国度网信部门报奉上一年度风险信息科罚情况,国度网信部门汇总议论情况报送国度数据安全责任合营机制。
第十九条 任何组织、个东说念主有权对风险评估中的犯科违章行径向议论部门进行投诉、举报,收到投诉、举报的部门应当照章实时处理。
第二十条 省级以上网信部门和议论部门发现集结数据处理者未按规定开展风险评估的,应当依据《中华东说念主民共和国数据安全法》等法律国法赐与科罚处罚。
发现评估机构违犯本宗旨开展风险评估的,省级以上网信部门和议论部门应当责令其进行整改;情节严重的,不错限定概况退却其开展风险评估行径,精良议论东说念主员牵扯,并予公布;组成违警的,照章精良处分。
第二十一条 风险评估、集结安全等第保护测评、数据安全看管认证、个东说念主信息保护合规审计、商用密码应用安全性评估等本体重合的,议论恶果不错相互采信,幸免重叠评估、审计、认证。
第二十二条 遑急数据处理者提供、交付处理、共同处理遑急数据前进行风险评估,不错参照本宗旨议论规定推论。
第二十三条 中枢数据处理者的风险评估,按照国度议论规定推论。
第二十四条 开展波及国度奥妙、责任奥妙的风险评估行径,按照《中华东说念主民共和国保守国度奥妙法》等法律、行政国法及国度守秘规定推论。
第二十五条 本宗旨自 年 月 日起收效。
更多热门速报、泰斗资讯、深度分析尽在北京日报App