近日,国家互联网信息办公室正式发布《网络数据安全风险评估办法(征求意见稿)》(以下简称《办法》),面向社会公开征求意见至2026年1月5日。作为《中华人民共和国数据安全法》《网络数据安全管理条例》的关键配套制度,该征求意见稿虽尚未正式生效,但已构建起数据安全风险评估的核心框架,其中数据脱敏作为防范数据泄露、支撑合规落地的关键技术防护措施,其法定合规地位与实践价值日益凸显。
一、新规立法导向:数据脱敏纳入风险评估法定范畴
《办法》第七条明确规定:“风险评估工作应当按照《网络数据安全管理条例》有关要求和《数据安全技术 数据安全风险评估方法》(GB/T 45577)等有关国家标准开展。” 值得注意的是,GB/T 45577已于2025年11月1日正式实施,其核心条款将“数据脱敏技术应用有效性”列为数据安全防护的关键评估指标,覆盖数据全生命周期处理场景。这一法规与标准的衔接表明,无论意见稿最终是否微调,数据脱敏已成为数据安全风险评估的法定内容,是企业满足合规要求的必备技术支撑。
从监管义务来看,《办法》第六条明确划分了两类数据处理者的评估频次要求:重要数据处理者需“每年度开展一次风险评估”,且在重要数据安全状态发生重大变化时需及时开展专项补评;一般数据处理者则被鼓励“至少每3年开展一次风险评估”。同时,《办法》第十三条、第十四条进一步明确,评估报告需详细载明技术防护措施的具体落实情况,且报告保存期限不得少于3年,并需按规定时限报送至相关主管部门。若企业未部署有效的数据脱敏等防护手段,根据《办法》第十五条、第二十条规定,可能被认定为“网络数据处理活动存在较大安全风险”,进而触发强制委托第三方机构评估的情形,情节严重的将依据《中华人民共和国数据安全法》相关规定面临行政处罚。
二、三大合规趋势下,数据脱敏的核心价值凸显
结合《办法》征求意见稿与GB/T 45577的刚性要求,数据安全合规已呈现清晰的法治化、技术化趋势,数据脱敏的核心价值主要体现在以下三方面:
1. 全生命周期防护:覆盖数据处理全场景合规需求《办法》明确要求风险评估需贯穿数据收集、存储、传输、使用、销毁全流程,而GB/T 45577进一步细化了“数据提供、测试、共享、出境等场景的脱敏应用评估要求”。数据脱敏通过对身份证号、手机号、银行卡号等敏感信息实施遮盖、加密、泛化等技术处理,既能保障数据在开发测试、第三方协作、数据分析等场景的正常使用,又能从源头阻断敏感信息泄露风险,是实现数据全生命周期安全防护的核心技术手段。
2. 风险可控可追溯:精准适配监管核心要求《办法》第十四条、第二十条强调,评估报告需具备真实性与可追溯性,企业需对数据处理活动全程留痕备查。专业的数据脱敏解决方案并非简单的“信息隐藏”,而是在实现敏感数据防护的同时,同步记录脱敏操作主体、时间、方式及数据流转轨迹,形成完整的安全审计链条,全面满足监管部门对风险可控、过程可追溯的合规要求。
3. 降本增效:优化合规资源配置《办法》第二十一条确立了“评估结果互认”原则,明确“风险评估与网络安全等级保护测评、个人信息保护合规审计、商用密码应用安全性评估等内容重合的,相关结果可以互相采信”,其核心目的在于降低企业合规成本。数据脱敏作为一项基础性、通用性技术防护措施,可同时支撑多类合规评估要求,避免企业为满足不同监管标准重复部署防护工具,实现合规投入的高效利用与价值最大化。
三、合规前置布局:全链路技术方案是核心支撑
《办法》处于征求意见阶段,正是企业完善数据安全防护体系、实现合规前置布局的黄金窗口期。对于各类数据处理者而言,单纯依赖零散工具已无法满足“全流程合规、全场景防护”的要求,亟需构建“政策对齐+技术落地+风险可控”的全链路解决方案,提前部署适配新规要求的技术防护体系,方能从容应对未来正式落地的监管要求,从根本上降低数据泄露风险,保障业务稳健发展。
雪诺浏览器安全工作空间的五大核心能力,深度契合《办法》及GB/T 45577标准要求,为企业合规落地提供全维度支撑:
1. 零信任动态策略访问:无需VPN部署,通过身份、设备、地点、时间四重动态验证机制,授予最小必要访问权限(适配《办法》“风险可控”要求及GB/T 45577“访问控制有效性”评估指标,符合数据 安全领域最小权限原则),在平衡业务效率与安全防护的同时,有效降低跨域数据泄露风险;
2. 免改造用户行为管控:精准阻断截屏、复制、打印、查看源代码等高危操作(响应《办法》“技术防护措施落实”要求及GB/T 45577对数据使用环节的安全管控要求,减少敏感信息外泄途径),从操作层面守护核心资产与敏感用户信息,降低合规风险暴露面;
3. 免改造数据泄露防护:支持敏感数据自动识别与自定义脱敏规则配置,提供模糊、泛化、加密等多样化脱敏模式,嵌入动态数字水印技术(完全匹配GB/T 45577“数据脱敏技术应用有效性”核心评估指标,契合《办法》对敏感数据防护的法定要求),强化数据全流程管控与溯源能力,从源头避免信息外泄;
4. 免改造文件不落地、不出域:支持各类文件在线查看与编辑,严格禁止本地下载、拷贝(适配《办法》对第三方协作、数据共享场景的安全要求,呼应GB/T 45577“第三方合作数据安全”风险防控要求),保障供应链协作、第三方数据交互等场景的商业机密安全;
5. 全视角AI智能日志审计:实时记录数据访问、脱敏操作、行为管控等全流程日志,通过AI算法实现异常操作即时预警(满足《办法》第十四条“全程留痕备查”及第二十条“评估报告可追溯”要求,符合《数据安全法》第三十三条“留存交易与 审核记录”的法定要求),建立全链路风险预警与追溯体系,有效规避违规处罚风险。
数据安全合规已进入“技术驱动合规”的新阶段,数据脱敏作为防范数据泄露的关键手段,既是合规要求的必然选择,也是企业数据安全治理的核心支撑。雪诺科技全维度防护体系,打破“隐私保护”与“数据价值”的对立困境,实现“合规落地不踩坑,数据安全能增值”的双重目标。
想了解国家互联网信息办公室关于《网络数据安全风险评估办法(征求意见稿)》公开征求意见的通知详情,可戳链接查看:https://www.cac.gov.cn/2025-12/06/c_1766578179367262.htm
合规路上少走弯路,可扫描下方二维码免费申请雪诺安全产品试用,解锁专属合规解决方案!
欢迎扫码联系客服
了解安全工作空间详情
关于雪诺科技
About Us
雪诺科技是网络安全领域独角兽企业,自主研发零信任安全接入平台与企业级安全浏览器,打造新一代智能安全工作空间,为数字经济时代的企业构建坚不可摧的数字资产护城河。
团队以零信任架构为核心,通过身份认证+动态防护体系,为企业提供远程安全接入、数据防泄密解决方案。企业安全浏览器,以轻量化的形式解决企业数据外泄的痛点问题,实现敏感数据不落地、操作全程可溯源,配合文档在线安全协作与智能脱敏技术,形成办公场景下的数据安全闭环防护。目前团队汇聚行业顶尖专家,以"打造安全访问入口,守护数据安全流动"为使命,服务金融、军工、制造等十余行业,赋能企业数字化转型。