国度互联网信息办公室对于《汇聚数据安全风险评估主见（征求看法稿）》公开征求看法的见告

为轨范汇聚数据安全风险评估当作，保险汇聚数据安全，促进汇聚数据照章合理有用欺诈，凭证《中华东说念主民共和国数据安全法》《汇聚数据安全经管条例》等法律法例，国度互联网信息办公室草拟了《汇聚数据安全风险评估主见（征求看法稿）》，现向社会公开征求看法。公众不错通过以下阶梯和面貌提倡响应看法：

1.登录中国网信网（www.cac.gov.cn），插足首页“网信要闻”检察文稿。

2.通过电子邮件面貌发送至：shujuju@cac.gov.cn。

3.通过信函面貌将看法寄至：北京市海淀区阜成路15号国度互联网信息办公室汇聚数据经管局，邮编100048，并在信封上注明“汇聚数据安全风险评估主见征求看法”。

看法响应截止时间为2026年1月5日。

附件：汇聚数据安全风险评估主见（征求看法稿）

国度互联网信息办公室

2025年12月6日

汇聚数据安全风险评估主见

（征求看法稿）

第一条 为了轨范汇聚数据安全风险评估当作，保险汇聚数据安全，促进汇聚数据照章合理有用欺诈，凭证《中华东说念主民共和国数据安全法》、《中华东说念主民共和国汇聚安全法》、《汇聚数据安全经管条例》等法律法例，制定本主见。

第二条 在中华东说念主民共和国境内开展汇聚数据安全风险评估，应当遵命本主见。法律、行政法例、部门礼貌另有规定的，依照其规定。

本主见所称汇聚数据安全风险评估（以下简称风险评估），是指对汇聚数据和汇聚数据处理应作安全进行的风险识别、风险分析和风险评价等当作。

第三条 国度网信部门在国度数据安全使命合作机制教唆下，统筹各地区、各部门开展风险评估，加强使命合作、信息分享。

第四条 各关联主宰部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，按时组织开展本行业、身手域风险评估，不错凭证使命需要对本行业、身手域的报复数据处理者开展风险评估情况进行搜检，并于每年1月底前向国度网信部门报送年度风险评估及搜检计较。

省级网信部门统筹省级关联部门制定本行政区域年度风险评估及搜检计较，按照前款条目报送国度网信部门。

第五条 国度网信部门在国度数据安全使命合作机制教唆下，统筹关联主宰部门和省级网信部门报送的年度风险评估及搜检计较，幸免重迭评估、重迭搜检。

各关联部门开展搜检不得向被搜检的汇聚数据处理者收取用度。

第六条 处理报复数据的汇聚数据处理者（以下简称报复数据处理者）应当每年度对其汇聚数据处理应作开展风险评估。报复数据安全景色发生紧要变化可能对数据安全形成不利影响的，应实时对发生变化过甚影响的部分开展风险评估。

饱读舞处理一般数据的汇聚数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。

第七条 风险评估使命应当按照《汇聚数据安全经管条例》关联要乞降《数据安全技巧 数据安全风险评估时势》（GB/T 45577）等关联国度尺度开展。关联主宰部门对本行业、身手域风险评估使命另有规定的，从其规定。

第八条 汇聚数据处理者不错自行约略委派第三方评估机构（以下简称评估机构）开展风险评估。

汇聚数据处理者自行开展风险评估，应当指定专东说念主精致。汇聚数据处理者委派评估机构开展风险评估，应当优先遴荐通过认证的评估机构，并通过签订契约约略其他具有法律效劳的文献等面貌明确两边的权益、牵累和守密义务等。

第九条 经国务院认证招供监督经管部门照章批准的具少见据安全工作认证天禀的认证机构，可按照《数据安全技巧 数据安全评估机构能力条目》（GB/T 45389）等关联国度尺度、行业尺度对评估机构开展认证。

第十条 评估机构开展风险评估应当遵命法律法例，公平客不雅地作出风险判断，并对所出具的风险评估论说真正性、有用性、齐全性精致，不得再委派其他机构开展风险评估。

第十一条 统一评估机构过甚关联机构不得聚合3次以上对统一汇聚数据处理者开展风险评估。

第十二条 评估机构在风险评估经过中发现汇聚数据处理应作存在紧要数据安全风险的，应当实时通报汇聚数据处理者，并按照关联规定向省级以上网信部门、关联主宰部门论说。

评估机构过甚使命主说念主员应当对在风险评估经过中赢得的数据、生意心事、守密商务信息等照章给予守密，不得败露约略犯科向他东说念主提供，在风险评估使命终了后实时删除关连信息。

第十三条 报复数据处理者开展年度风险评估应当按照本主见附件模板编制评估论说，一般数据处理者不错参照本主见附件模板编制评估论说。关联主宰部门对风险评估论说模板另有规定的，从其规定。

风险评估论说至少保存3年。

第十四条 报复数据处理者应当在年度风险评估完成后的10个使命日内按照关联主宰部门条目报送评估论说。主宰部门不解确的，向省级网信部门约略国度网信部门报送。

关联主宰部门应当公开评估论说报送渠说念和考虑面貌，实时接管报复数据处理者报送的评估论说，自收到评估论说之日起的10个使命日内将论说通报同级网信部门。国度网信部门汇总关连论说并报送国度数据安全使命合作机制。

省级以上网信部门和关联部门可对汇聚数据处理者的评估论说真正性、准确性进行抽查核验，汇聚数据处理者应当配合开展抽查核验。

第十五条 省级以上网信部门和关联部门在风险评估论说核验、监督搜检等使命中发现汇聚数据处理者有以下情形之一的，应当条目其委派通过认证的评估机构开展风险评估：

（一）汇聚数据处理应作存在较大安全风险的；

（二）发生汇聚数据安全事件，导致报复数据约略大限制个东说念主信息败露、被窃取的；

（三）汇聚数据处理应作可能危害国度安全、全球利益的；

（四）国度网信部门约略关联部门规定的其他情形。

对统一汇聚数据安全事件约略风险，不得重迭条目汇聚数据处理者委派评估机构开展风险评估。

第十六条 汇聚数据处理者按照关联部门条目委派评估机构开展风险评估的，应当履行下列义务：

（一）为评估机构开展风险评估使命提供必要赞助，包括为风险评估东说念主员提供拜谒汇聚数据体式、汇聚数据、系统及操作日记记载权限等；

（二）在适度时间内完成风险评估，承担评估用度，情况复杂的，报关联部门批准后不错相宜延伸；

（三）在完成风险评估后将评估机构出具的评估论说报送关联部门，评估论说应当由评估机构主要精致东说念主、风险评估精致东说念主署名并加盖机构公章；

（四）按照关联部门条目对风险评估中发现的问题进行整改，在整改完成后15个使命日内，向关联部门报送整改情况论说。

汇聚数据处理者不得以任何面貌条目约略暗意评估机构出具装假约略欠妥的评估论说。

第十七条 关联部门在组织风险评估使命中发现有在可能危害国度安全、全球利益的汇聚数据处理应作，应当责令汇聚数据处理者进行整改；对整改不到位、拒不整改的汇聚数据处理者，不错接管条目其罢手处理报复数据等步调。

第十八条 各地区、各部门应当加强风险信息分享和协同处分，实时处分风险评估使命中发现的安全风险和问题，并按照关联规定实时论说。

省级网信部门统筹合作本行政区域内风险信息分享和协同处单干作，于每年3月底前向国度网信部门报奉上一年度风险信息处分情况，国度网信部门汇总关连情况报送国度数据安全使命合作机制。

第十九条 任何组织、个东说念主有权对风险评估中的犯科非法当作向关联部门进行投诉、举报，收到投诉、举报的部门应当照章实时处理。

第二十条 省级以上网信部门和关联部门发现汇聚数据处理者未按规定开展风险评估的，应当依据《中华东说念主民共和国数据安全法》等法律法例给予处分处罚。

发现评估机构违背本主见开展风险评估的，省级以上网信部门和关联部门应当责令其进行整改；情节严重的，不错戒指约略辞让其开展风险评估当作，精致关连东说念主员牵累，并予公布；组成造孽的，照章精致责罚。

第二十一条 风险评估、汇聚安全品级保护测评、数据安全经管认证、个东说念主信息保护合规审计、商用密码应用安全性评估等践诺重合的，关连效率不错相互采信，幸免重迭评估、审计、认证。

第二十二条 报复数据处理者提供、委派处理、共同处理报复数据前进行风险评估，不错参照本主见关联规定实践。

第二十三条 中枢数据处理者的风险评估，按照国度关联规定实践。

第二十四条 开展触及国度心事、使命心事的风险评估当作，按照《中华东说念主民共和国保守国度心事法》等法律、行政法例及国度守密规定实践。

第二十五条 本主见自 年 月 日起成功。

更多热门速报、泰斗资讯、深度分析尽在北京日报App

• 公开
• 汇聚数据安全风险评估主见
• 征求
• 看法