摘要
2025年12月6日,国家互联网信息办公室发布《网络数据安全风险评估办法(征求意见稿)》(下称“《办法》”)[1],向社会公开征求意见,反馈截止时间为2026年1月5日。《办法》从主管部门、网络数据处理者、第三方评估机构三个不同主体的角度进行细化,标志着数据安全风险管控从原则性要求进入强制性、标准化、可操作的新阶段。
本法律提示旨在结合我们的实践经验,分析上述《办法》的关键合规要点,并为企业下一步工作提供建议。
为帮助企业把握《办法》以及本文的主要内容,我们特别梳理了以下思维导图供参考。
一
《办法》关注要点
《办法》将《中华人民共和国数据安全法》第30条 “重要数据处理者定期风险评估义务” 细化为可直接落地的操作标准,体现了监管侧的最新动态和未来的执法趋势。因此我们整理了以下新增的合规要点,请公司予以关注。
1、评估开展的频率要求
《办法》最实质的变化是明确了不同主体的评估义务及评估开展频率:
(1)重要数据处理者:必须每年度开展一次风险评估;若其重要数据安全状态发生重大变化,必须及时开展专项评估。
(2)一般数据处理者:鼓励至少每3年开展一次风险评估。
(3)触发式评估:监管部门在发现数据安全事件、较大风险或可能危害国家安全时,可要求企业委托指定机构进行风险评估。
为确定评估开展频率,企业需首先明确自己的主体类型,以履行不同的合规义务,建议企业考虑开展以下工作:
(1)身份自判:立即根据行业主管部门发布的重要数据目录及国家标准《数据安全技术 数据分类分级规则》(GB/T 43697),对企业数据资产进行盘点和分类,明确自身属于哪类数据处理者。
(2)规划周期:若属重要数据处理者,需将年度风险评估纳入公司固定合规安排;若属一般数据处理者,建议主动建立不低于3年的评估周期计划。
(3)预案准备:建立内部安全事件应急流程,因为一旦因特殊情况满足“触发式评估”的情形,时间将十分紧迫。
2、评估路径要求
《办法》为企业提供了实施路径选择,并对评估机构设立了明确规范:
(1)自行评估:应指定专人负责。
(2)委托评估:可委托第三方评估机构,应优先选择通过国家认证的机构。机构须具备相应的管理能力、技术能力以及符合条件的团队、场所和设备资源[2]。同一机构不得连续3次为同一企业服务。机构需独立客观,对报告真实性负责,并对知悉的信息保密。
对于评估路径选择的规定既保障了企业的选择权,又通过规范市场机构保障了评估质量。企业在路径选择的决策中应考虑以下因素:
(1)成本与能力权衡:若企业自身拥有较为专业完备的团队,数据处理场景简单,可考虑自行评估,但须确保过程严谨、文档完备(需保存至少3年)。否则,委托专业机构是更稳妥的选择。
(2)过程监督:即使是委托评估,企业也需指派内部专人(如法务、合规或信息安全负责人)全程对接与监督,确保评估范围全面、过程合规。
3、流程规定:报告、报送与结果互认
《办法》构建了“评估-报告-报送-整改”的完整管理流程,企业必须关注每个节点的时限与要求。
(1)报告编制:需按《办法》附件模板编制。重要数据处理者必须使用,一般数据处理者建议参照。有关主管部门对风险评估报告模板另有规定的,从其规定。
(2)报告报送:重要数据处理者需在评估完成后10个工作日内向主管部门报送;无明确主管部门的,报省级或国家网信部门。
(3)整改义务:针对评估发现的问题,须按监管部门要求整改,并在整改完成后15个工作日内报送整改报告。
(4)结果互认:与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计等工作重合部分,结果可互相采信。
此流程闭环是监管落地的抓手,企业需严控评估的时效与质量。建议企业在后续工作中关注以下要点:
(1)提前熟悉模板:立即下载《办法》附件中的报告模板[3],了解其框架与核心审查项,可提前进行内部预评估,查漏补缺。并可依照相关法律法规及国家标准[4],聚焦五大核心内容展开准备工作:数据流转合规性、安全风险识别、合作方管理、措施有效性及个人信息保护。
(2)明确报送路径:主动与行业主管部门沟通,确认报告接收的具体渠道和联系人。避免因报送对象不明而逾期。
(3)善用结果互认机制:这是本次《办法》的一大亮点。企业应系统规划年度合规工作,例如,在开展等保测评或个人信保合规审计时,同步覆盖数据安全风险评估的相关要求,由同一批人员(内部或外部)在同期执行,形成一份或多份可互相引证的工作成果,极大节省成本与时间。
4、法律责任
未履行评估、报送义务或提供虚假报告,将直接依据《中华人民共和国数据安全法》等面临罚款、责令暂停业务、停业整顿等处罚。
二
后续工作展望
《办法》的出台,标志着我国网络数据安全风险评估工作将迈向“统一规范”的新阶段。随着《办法》后续正式生效,监管的标准会更加一致,执法检查也会更加频繁。网络数据安全风险评估已经成为所有网络数据处理者必须履行的核心法定义务。无论企业处理的数据规模大小,只要涉及网络数据处理活动,就需要建立与之风险等级相匹配的常态化评估机制。新规实施初期,监管部门可能会通过加强专项检查等方式推动制度落地。
在《办法》正式实施前的窗口期,企业应当把握时机,立即启动合规准备工作。征求意见稿不等于无限延期,根据安排,意见反馈截止时间为2026年1月5日,且其中核心条款已清晰体现监管方向,预计不会出现重大变动。为避免正式实施后匆忙应对可能产生的疏漏,建议企业尽早启动相关准备工作。
[1] 《网络数据安全风险评估办法(征求意见稿)》原文请见:
https://www.cac.gov.cn/2025-12/06/c_1766578179367262.htm
[2] 具体要求可见《数据安全技术 数据安全评估机构能力要求》(GB/T 45389)
[3] 报告模板下载链接:
https://www.cac.gov.cn/cms/pub/interact/downloadfile.jsp?filepath=NUtqEIwGiCjGm2Bhl20cvIbApPWXvovxhtrU0r4Rkcigbre7obN/rDSYjLSHuLxAMPDk7N1Xi/1SZZVx5Do/IjZS2/Bjnic3oqu3HpPj8kk=&fText=%E7%BD%91%E7%BB%9C%E6%95%B0%E6%8D%AE%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9%E8%AF%84%E4%BC%B0%E6%8A%A5%E5%91%8A
[4] 可以根据《网络数据安全管理条例》相关内容和《数据安全技术 数据安全风险评估方法》(GB/T 45577)作为评估开展依据。
作者介绍
戴健民
大成上海 合伙人
jianmin.dai@dentons.cn
戴律师是最早一批在中国数据与隐私保护以及网络安全领域进行实践的律师之一,自2012年开始就已在该领域为众多跨国公司和大型企业提供法律服务,目前已为近百家在华运营的企业提供了涉及数据生命周期各个阶段的法律服务,涉及医药与生命科学、汽车(包括零配件与自动驾驶)、化工、广告与传媒、时尚与奢侈品、大数据与互联网、物流与供应链等诸多行业,并获得了2024年名律堂联合法佬汇发起的《中国知名企业法总推荐的优秀律师律所》之年度客户尊选律师;2024年律新社数据合规领域品牌之星:领先律师;2024年《亚洲法律杂志》(ALB China)十五佳网络安全和数据保护律师;2024年LEGALBAND中国顶级律师排行榜:网络安全和数据合规推荐律师等众多荣誉。
邓志松
大成北京 合伙人
zhisong.deng@dentons.cn
邓律师是新兴的中国数据保护领域是为数不多的具有丰富经验的律师之一,曾为国内外诸多客户提供合规体系建设、商业模式设计以及应对行政调查和民事诉讼等方面的法律建议并获得高度评价。邓律师是国家工信安全中心数据合规标准专家,中国网络空间安全协会个人信息保护专家组成员,中国法学会网络与信息法学研究会会员。2021年,邓律师被ACE LEGALTECH AWARDS评选为“2021年度十五佳数据隐私律师”。
梁哲琛
大成上海 律师
zhechen.liang@dentons.cn
梁律师的主要执业领域为数据与隐私保护、网络安全。他为不同领域的多家行业头部企业提供数据合规相关的法律服务,包括但不限于实施个人信息保护影响评估、开展个人信息保护合规审计、协助企业出海落地数据跨境传输合规工作、帮助企业搭建并落地个人信息保护合规体系等。
向上滑动阅览,点击题目查看本文作者团队其他文章
特别声明:
本文仅代表作者个人观点,不代表大成律师事务所或其律师出具的任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请与我们取得联络,未经同意不得转载或使用。转载或引用时须注明出处。
%%知产%%