国度互联网信息办公室对于《收罗数据安全风险评估宗旨（征求见解稿）》公开征求见解的奉告

为轮番收罗数据安全风险评估活动，保险收罗数据安全，促进收罗数据照章合理有用诓骗，左证《中华东谈主民共和国数据安全法》《收罗数据安全管制条例》等法律律例，国度互联网信息办公室草拟了《收罗数据安全风险评估宗旨（征求见解稿）》，现向社会公开征求见解。公众不错通过以下道路和方式提议反映见解：

1.登录中国网信网（www.cac.gov.cn），干预首页“网信要闻”张望文稿。

2.通过电子邮件方式发送至：shujuju@cac.gov.cn。

3.通过信函方式将见解寄至：北京市海淀区阜成路15号国度互联网信息办公室收罗数据管制局，邮编100048，并在信封上注明“收罗数据安全风险评估宗旨征求见解”。

见解反映截止时候为2026年1月5日。

附件：收罗数据安全风险评估宗旨（征求见解稿）

国度互联网信息办公室

2025年12月6日

收罗数据安全风险评估宗旨

（征求见解稿）

第一条 为了轮番收罗数据安全风险评估活动，保险收罗数据安全，促进收罗数据照章合理有用诓骗，左证《中华东谈主民共和国数据安全法》、《中华东谈主民共和国收罗安全法》、《收罗数据安全管制条例》等法律律例，制定本宗旨。

第二条 在中华东谈主民共和国境内开展收罗数据安全风险评估，应当盲从本宗旨。法律、行政律例、部门限定另有规则的，依照其规则。

本宗旨所称收罗数据安全风险评估（以下简称风险评估），是指对收罗数据和收罗数据处理活动安全进行的风险识别、风险分析和风险评价等活动。

第三条 国度网信部门在国度数据安全使命配合机制开采下，统筹各地区、各部门开展风险评估，加强使命配合、信息分享。

第四条 各相关摆布部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，按时组织开展本行业、智商域风险评估，不错左证使命需要对本行业、智商域的要紧数据处理者开展风险评估情况进行查验，并于每年1月底前向国度网信部门报送年度风险评估及查验筹办。

省级网信部门统筹省级相关部门制定本行政区域年度风险评估及查验筹办，按照前款条件报送国度网信部门。

第五条 国度网信部门在国度数据安全使命配合机制开采下，统筹相关摆布部门和省级网信部门报送的年度风险评估及查验筹办，幸免叠加评估、叠加查验。

各相关部门开展查验不得向被查验的收罗数据处理者收取用度。

第六条 处理要紧数据的收罗数据处理者（以下简称要紧数据处理者）应当每年度对其收罗数据处理活动开展风险评估。要紧数据安全状况发生紧要变化可能对数据安全形成不利影响的，应实时对发生变化额外影响的部分开展风险评估。

饱读吹处理一般数据的收罗数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。

第七条 风险评估使命应当按照《收罗数据安全管制条例》相关要乞降《数据安全时代 数据安全风险评估方法》（GB/T 45577）等相关国度尺度开展。相关摆布部门对本行业、智商域风险评估使命另有规则的，亚搏app官方网站从其规则。

第八条 收罗数据处理者不错自行不祥托付第三方评估机构（以下简称评估机构）开展风险评估。

收罗数据处理者自行开展风险评估，应当指定专东谈主顾惜。收罗数据处理者托付评估机构开展风险评估，应当优先选拔通过认证的评估机构，并通过签订左券不祥其他具有法律遵循的文献等方式明确两边的权力、牵累和守秘义务等。

第九条 经国务院认证认同监督管制部门照章批准的具稀有据安全处事认证禀赋的认证机构，可按照《数据安全时代 数据安全评估机构才气条件》（GB/T 45389）等相关国度尺度、行业尺度对评估机构开展认证。

第十条 评估机构开展风险评估应当盲从法律律例，公谈客不雅地作出风险判断，并对所出具的风险评估论述真是性、有用性、完好性顾惜，不得再托付其他机构开展风险评估。

第十一条 销毁评估机构额外关联机构不得畅达3次以上对销毁收罗数据处理者开展风险评估。

第十二条 评估机构在风险评估流程中发现收罗数据处理活动存在紧要数据安全风险的，应当实时通报收罗数据处理者，并按影相关规则向省级以上网信部门、相关摆布部门论述。

评估机构额外使命主谈主员应当对在风险评估流程中得到的数据、营业机要、守秘商务信息等照章赐与守秘，不得涌现不祥造孽向他东谈主提供，2026世界杯在风险评估使命好意思满后实时删除干系信息。

第十三条 要紧数据处理者开展年度风险评估应当按照本宗旨附件模板编制评估论述，一般数据处理者不错参照本宗旨附件模板编制评估论述。相关摆布部门对风险评估论述模板另有规则的，从其规则。

风险评估论述至少保存3年。

第十四条 要紧数据处理者应当在年度风险评估完成后的10个使命日内按影相关摆布部门条件报送评估论述。摆布部门不解确的，向省级网信部门不祥国度网信部门报送。

相关摆布部门应当公开评估论述报送渠谈和推敲方式，实时采纳要紧数据处理者报送的评估论述，自收到评估论述之日起的10个使命日内将论述通报同级网信部门。国度网信部门汇总干系论述并报送国度数据安全使命配合机制。

省级以上网信部门和相关部门可对收罗数据处理者的评估论述真是性、准确性进行抽查核验，收罗数据处理者应当配合开展抽查核验。

第十五条 省级以上网信部门和相关部门在风险评估论述核验、监督查验等使命中发现收罗数据处理者有以下情形之一的，应当条件其托付通过认证的评估机构开展风险评估：

（一）收罗数据处理活动存在较大安全风险的；

（二）发生收罗数据安全事件，导致要紧数据不祥大范围个东谈主信息涌现、被窃取的；

（三）收罗数据处理活动可能危害国度安全、巨匠利益的；

（四）国度网信部门不祥相关部门规则的其他情形。

对销毁收罗数据安全事件不祥风险，不得叠加条件收罗数据处理者托付评估机构开展风险评估。

第十六条 收罗数据处理者按影相关部门条件托付评估机构开展风险评估的，应当履行下列义务：

（一）为评估机构开展风险评估使命提供必要支柱，包括为风险评估东谈主员提供看望收罗数据体式、收罗数据、系统及操作日记记载权限等；

（二）在约束时候内完成风险评估，承担评估用度，情况复杂的，报相关部门批准后不错合适延迟；

（三）在完成风险评估后将评估机构出具的评估论述报送相关部门，评估论述应当由评估机构主要顾惜东谈主、风险评估顾惜东谈主署名并加盖机构公章；

（四）按影相关部门条件对风险评估中发现的问题进行整改，在整改完成后15个使命日内，向相关部门报送整改情况论述。

收罗数据处理者不得以任何方式条件不祥暗意评估机构出具演叨不祥欠妥的评估论述。

第十七条 相关部门在组织风险评估使命中发现有在可能危害国度安全、巨匠利益的收罗数据处理活动，应当责令收罗数据处理者进行整改；对整改不到位、拒不整改的收罗数据处理者，不错禁受条件其住手处理要紧数据等措施。

第十八条 各地区、各部门应当加强风险信息分享和协同管制，实时管制风险评估使命中发现的安全风险和问题，并按影相关规则实时论述。

省级网信部门统筹配合本行政区域内风险信息分享和协同管制使命，于每年3月底前向国度网信部门报奉上一年度风险信息管制情况，国度网信部门汇总干系情况报送国度数据安全使命配合机制。

第十九条 任何组织、个东谈主有权对风险评估中的罪犯违法活动向相关部门进行投诉、举报，收到投诉、举报的部门应当照章实时处理。

第二十条 省级以上网信部门和相关部门发现收罗数据处理者未按规则开展风险评估的，应当依据《中华东谈主民共和国数据安全法》等法律律例赐与管制处罚。

发现评估机构违犯本宗旨开展风险评估的，省级以上网信部门和相关部门应当责令其进行整改；情节严重的，不错约束不祥讳饰其开展风险评估活动，根究干系东谈主员牵累，并予公布；组成造孽的，照章根究贬责。

第二十一条 风险评估、收罗安全等第保护测评、数据安全管制认证、个东谈主信息保护合规审计、商用密码应用安全性评估等本质重合的，干系后果不错彼此采信，幸免叠加评估、审计、认证。

第二十二条 要紧数据处理者提供、托付处理、共同处理要紧数据前进行风险评估，不错参照本宗旨相关规则推行。

第二十三条 中枢数据处理者的风险评估，按照国度相关规则推行。

第二十四条 开展波及国度机要、使命机要的风险评估活动，按照《中华东谈主民共和国保守国度机要法》等法律、行政律例及国度守秘规则推行。

第二十五条 本宗旨自 年 月 日起收效。

更多热门速报、巨擘资讯、深度分析尽在北京日报App