网络数据安全风险评估办法（征求意见稿）核心内容 - 国家网信办就《网络数据安全风险评估办法（征求意见稿）》公开征求意见，旨在规范评估活动、保障数据安全、促进数据依法合理有效利用 [1] 风险评估的责任主体与频率要求 - 处理重要数据的网络数据处理者（重要数据处理者）应当每年度对其网络数据处理活动开展风险评估 [1][3] - 重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应及时对发生变化及其影响的部分开展风险评估 [1][3] - 鼓励处理一般数据的网络数据处理者（一般数据处理者）至少每3年开展一次风险评估 [4] 风险评估的组织与实施 - 网络数据处理者可以自行或者委托第三方评估机构开展风险评估 [5] - 自行开展风险评估应当指定专人负责 [5] - 委托评估机构开展风险评估，应当优先选择通过认证的评估机构，并通过合同等方式明确双方权责和保密义务 [5] - 同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估 [6] - 评估机构在风险评估过程中发现存在重大数据安全风险的，应当及时通报网络数据处理者，并按规定向省级以上网信部门、有关主管部门报告 [6] 评估报告与报送要求 - 重要数据处理者开展年度风险评估应按照附件模板编制评估报告，一般数据处理者可以参照 [6] - 风险评估报告至少保存3年 [6] - 重要数据处理者应当在年度风险评估完成后的10个工作日内按照有关主管部门要求报送评估报告，主管部门不明确的，向省级网信部门或者国家网信部门报送 [7] - 有关主管部门应在收到报告后10个工作日内通报同级网信部门 [7] 监管、检查与违规处置 - 省级以上网信部门和有关部门可对评估报告真实性、准确性进行抽查核验，网络数据处理者应当配合 [7] - 发现网络数据处理活动存在较大安全风险、发生导致重要数据或大规模个人信息泄露的安全事件等情形，应要求其委托通过认证的评估机构开展风险评估 [7] - 对同一网络数据安全事件或者风险，不得重复要求委托评估 [8] - 网络数据处理者按有关部门要求委托评估时，需为评估提供必要支持、承担评估费用、报送报告并按要求整改，不得要求或示意评估机构出具不实报告 [9] - 发现可能危害国家安全、公共利益的网络数据处理活动，应责令整改；对整改不到位、拒不整改的，可采取要求其停止处理重要数据等措施 [10] - 省级以上网信部门和有关部门发现网络数据处理者未按规定开展风险评估的，应依据《数据安全法》等法律法规予以处置处罚 [10] - 发现评估机构违规开展风险评估的，应责令整改；情节严重的，可限制或禁止其开展活动，追究责任并予公布；构成犯罪的，依法追究刑事责任 [10] 工作协调与结果互认 - 国家网信部门统筹各地区、各部门开展风险评估，加强工作协调、信息共享 [1] - 各有关主管部门定期组织开展本行业、本领域风险评估，并于每年1月底前向国家网信部门报送年度风险评估及检查计划 [2] - 国家网信部门统筹年度计划，避免重复评估、重复检查 [2] - 各有关部门开展检查不得向被检查的网络数据处理者收取费用 [3] - 风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估、审计、认证 [11]