吃瓜热门

《网络数据安全风险评估办法(征求意见稿)》现征求意见-新京报

留下你的评论 在 《网络数据安全风险评估办法(征求意见稿)》现征求意见-新京报

据新京报网通中国报道,为规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用,国家网信办依据《中华人民共和国数据安全法》、《网络数据安全管理条例》等法律法规,制定了《网络数据安全风险评估办法(征求意见稿)》,现向社会公开征求意见。公众可通过以下渠道和方式提出意见: 1、登录国家互联网信息办公室(www.cac.gov.cn),进入首页“网络空间新闻”查看稿件。 2、发送邮件至shujuju@cac.gov.cn。 3.将您的意见以书面形式发送至国家互联网信息办公室网络数据管理办公室,邮编100048,北京市海淀区府城路15号。信封上写着“网络数据安全风险评估方法征求意见”。征求意见截止日期为2026年1月5日。 附:网络数据安全风险评估办法(征求意见稿)国家互联网信息办公室2025年12月6日网络数据安全风险评估办法(征求意见稿)第一条为了规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据网络依法合理有效使用,根据《数据安全法》,制定本办法。我们将遵守中华人民共和国法律法规、《中华人民共和国网络安全法》、《R网络数据安全管理规定》等法律法规。第二条 在中华人民共和国境内进行网络数据安全风险评估,必须遵守本办法乌雷斯。法律、行政法规、部门规章另有规定的,依照其规定。本办法所称网络数据安全风险评估(以下简称风险评估)是指网络数据安全和网络安全。是指与工作数据处理活动相关的风险识别、风险分析、风险评估等活动。第三条 国家网信部门在国家数据安全工作协调组织领导下,协调各地区、各部门开展风险评估,加强工作协调和信息交流。第四条 各有关主管部门可以按照“谁负责业务、谁负责业务数据、谁负责数据安全”的原则,定期组织开展本行业、本领域的风险评估。根据业务需要对本行业、领域的关键数据处理者进行风险评估检查,并于每年1月底向国家网信部门报送年度风险评估检查计划。地方网信部门会同地方相应部门按照前款要求制定本行政区域的年度风险评估和检查计划,报送国家网信部门。第五条 国家网安信息化部门应当在国家数据安全工作协调机制的指导下,协调有关主管部门和地方网安信息化部门报送的年度风险评估和检查计划,避免重复评估和检查。有关部门不会实施检查时不得向被检查的网络数据处理者收取费用。第六条 有重大数据处理需求的网络数据处理者(以下简称关键数据处理者)应当每年对其网络数据处理活动进行风险评估。当关键数据的安全状态发生重大变化,可能对数据安全产生负面影响时,必须及时对变化及其影响进行风险评估。建议处理一般数据的网络数据处理者(以下简称“一般数据处理者”)至少每三年进行一次风险评估。第七条 风险评估工作应当按照《网络数据安全管理条例》和《数据安全技术数据安全风险评估方法》(GB/T 45577)等相关国家标准的相关要求开展。若有关主管机关另有规定对于该行业或部门的风险评估工作,此类法规优先。第八条 网络数据处理者可以自行进行风险评估,也可以委托第三方评估机构(以下简称评估机构)进行风险评估。网络数据处理者应当自行进行风险评估,并指定专门的责任人。网络数据处理者聘请评估机构进行风险评估时,必须优先选择经认可的评估机构,并通过签订合同或者其他具有法律约束力的文件,明确双方的权利、责任和保密义务。 第九条 数据安全服务认证的认证机构经国务院认证监督管理部门依法批准的资质,可以按照《数据安全技术能力要求》对评估机构进行认证《数据安全评估机构规范》(GB/T 45389)及其他相关国家和行业标准第十条评估机构进行风险评估时,应当遵守法律法规,公平、客观地作出风险判断,对出具的风险评估报告的真实性、有效性和完整性负责,不得委托其他机构实施风险评估。第十一条同一评估机构及其所属机构不得对同一网络信息处理进行风险评估。第十二条 风险评估过程中,评估机构发现网络数据处理活动存在重大数据安全风险的,应当立即通知网络数据处理者,并通报省级以上网信部门和有关主管部门。主管部门按照有关部门的规定执行。评估机构及其工作人员应当对数据、商业秘密、经营秘密等保密。依法在风险评估过程中获得的信息,不会泄露或者非法提供,并在风险评估工作完成后及时删除。第十三条 关键信息处理者进行年度风险评估,应当按照本办法所附模板编制评估报告。一般数据处理人员可参照本办法所附模板编制评估报告。有关主管部门对风险评估报告模板另有规定的,从其规定。风险评估报告必须保存至少三年。第十四条 关键数据处理责任人: n、完成风险评估后10个工作日内,您必须提交有关主管部门要求的评估报告。如果您不确定主管部门,请告知您所在国家的信息化和网络安全部门或国家信息化和网络安全部门。相应主管部门应当公布评估报告提交途径,通报信息,及时接收关键数据处理负责人提交的评估报告,并自收到评估报告之日起10个工作日内通报同级网信部门。国家网信部门汇总相关报告后报国家数据安全协调机制。省级以上网信部门和有关部门可以对网络数据过程的可靠性、准确性进行抽查验证。essor的评估报告和网络数据处理者将配合进行抽查和验证。第十五条 省级以上网络安全部门和有关部门在风险评估报告核查、监督检查等过程中发现网络数据处理者有下列情形之一的,委托具有资质的评估机构进行风险评估: (一)网络数据处理活动涉及较大安全风险的。 (二)发生网络数据安全事件,重要数据或者个人信息大规模泄露、被盗的。 (三)网络数据处理活动可能危害国家安全、社会公共利益的; (四)国家网信部门或者有关部门认定的其他情形。对于同一网络数据安全事件或风险,网络数据处理者无需重复聘请评估机构进行评估。进行风险评估。第十六条 网络数据处理者按照有关部门的要求委托评估机构进行风险评估时,网络数据处理者必须履行下列义务: (一)为评估机构开展风险评估工作提供必要的协助,包括为风险评估者提供网络数据设施、网络数据、系统和运行记录的访问权限; (2)在规定的时间内完成风险评估,评估费用由我方承担。情况复杂的,报有关部门批准后可以适当扩大。 (三)完成风险评估后,将评估机构出具的评估报告报送有关部门。评估报告须由评估机构总经理、风险评估负责人签字并加盖公章该机构的。 (四)按照有关部门的要求对风险评估发现的问题进行整改,并在整改完成后15个工作日内向有关部门提交整改报告。网络数据处理器不会请求或以任何方式指示评级机构发布虚假或不适当的评级报告。第十七条:有关部门在组织风险评估时发现网络数据处理活动可能危害国家安全或者公共利益的,责令网络数据处理者改正。我们可能会对未能纠正或拒绝纠正的网络数据处理者采取行动,包括要求他们停止处理敏感数据。第十八条 各地区、各部门应当加强风险信息共享和联合处理,及时处理风险评估工作中发现的风险和安全问题,并及时报告按照相关规定。省级网信部门协调本行政区域内的风险信息交换和联合处理,并于每年3月底向国家网信部门报送上年风险信息消除情况。国家网信部门汇总相关信息并报送国家数据安全协调机制。第十九条 任何组织和个人有权向有关部门投诉、举报风险评估中的违法行为。受理投诉、举报的部门应当依法处理。请立即采取行动。第二十条 省级以上网信部门和有关部门发现网络数据处理行为未进行必要的风险评估的,按照《中华人民共和国数据安全法》等法律法规的规定进行处罚。认定评估机构违反本办法进行风险评估的,由省级以上网信部门和有关部门责令改正。情节严重的,可能会限制或禁止风险评估活动,并追究责任并予以通报。构成犯罪的,依法追究刑事责任。第二十一条 风险评估、网络安全等级保护评估、数据安全管理认证、个人信息保护合规审核、商用密码应用安全评估等是否重叠,相关结果可以相互认可,避免重复评估、审核和认证。离子。第二十二条 重要数据处理者在提供、委托处理或者共同处理重要数据前进行风险评估时,可以参照本办法相关规定。第二十三条 主要数据处理者的风险评估按照国家有关规定进行。第二十四条 涉及国家秘密、商业秘密的风险评估活动,依照《中华人民共和国保守国家秘密法》等法律、行政法规和保护国家秘密的规定执行。第二十五条 本办法自年、月、日起施行。陈艳婷编辑