近日,国家互联网信息办公室发布《国家互联网信息办公室关于〈网络数据安全风险评估办法(征求意见稿)〉公开征求意见的通知》,面向社会公开征求意见,标志着我国在网络数据安全制度体系建设方面又迈出重要一步。
《办法》的出台,既是贯彻《中华人民共和国数据安全法》《网络数据安全管理条例》的重要配套举措,也是落实《中共中央关于制定国民经济和社会发展第十五个五年规划的建议》中“加强网络、数据等新兴领域国家安全能力建设”要求的具体体现,对提升我国网络数据安全治理能力具有重要意义。
本文将基于公开文件与权威解读,对《网络数据安全风险评估办法(征求意见稿)》进行系统梳理,帮助读者快速理解其制度定位、核心内容和现实意义。
一、《办法》以底线思维守牢国家数据安全防线
随着数字化、网络化、智能化深入发展,数据依赖度持续提升,网络数据安全风险呈现出系统性、关联性和放大效应。如何做到“防患于未然”,是当前国家数据安全治理面临的重要课题。
《办法》以底线思维为核心,通过明确责任主体、规范评估活动,构建起守牢国家数据安全底线的重要制度安排。
(一)明确主管部门责任,强化统筹与监督
《办法》坚持“谁主管业务、谁管业务数据、谁管数据安全”的原则,对主管部门责任作出系统规定:
明确国家网信部门在国家数据安全工作机制指导下,统筹开展网络数据安全风险评估工作,避免重复评估、重复检查;
要求各有关主管部门定期组织本业、本领域风险评估,并于每年1月底前向国家网信部门报送年度工作计划;
规定省级以上网信部门和有关部门可对风险评估报告的真实性、准确性进行抽查核验;
在发现较大安全风险等情形时,可要求网络数据处理者委托通过认证的评估机构开展指定评估;
对存在可能危害国家安全、公共利益的数据处理活动,依法责令整改,整改不到位的,可采取停止处理重要数据等措施;
要求加强风险信息共享和协同处置,及时发现、报告和化解风险。
(二)压实网络数据处理者主体责任
《办法》对网络数据处理者在风险评估中的责任作出明确要求:
明确评估组织方式,可自行开展,也可委托第三方评估机构;
要求评估内容应当符合相关法律法规和国家标准;
明确评估周期,重要数据处理者原则上每年开展一次风险评估,发生重大变化或不利影响时应当及时评估,并鼓励一般数据处理者至少每三年开展一次;
要求按照《办法》提供的模板编制风险评估报告;
明确评估报告报送要求,在年度评估完成后10个工作日内按规定报送;
对被要求开展指定评估的,应当履行提供必要支持等配合义务。
(三)规范第三方评估机构行为
针对第三方评估机构,《办法》从资质、行为规范和责任义务等方面作出系统规定:
明确具备数据安全服务认证资质的认证机构,依据相关国家标准和行业标准,对评估机构开展认证;
要求评估机构依法依规、公正客观开展评估,并对评估报告的真实性、有效性、完整性负责;
发现重大数据安全风险时,应当及时通报网络数据处理者,并按规定向有关部门报告;
严格履行保密义务,对评估过程中获取的数据、商业秘密和保密商务信息依法予以保护。
二、《办法》以系统思维完善数据安全合规体系
网络数据安全风险评估并非孤立存在,而是我国数据安全合规体系中的重要组成部分。
《办法》在制定过程中,充分考虑了与现有制度之间的衔接与协同。
(一)各类制度分工明确、各有侧重
当前,网络数据安全相关制度主要包括:
网络数据安全风险评估,聚焦数据处理全生命周期的风险识别与预判;网络安全等级保护测评,侧重网络和信息系统的安全防护能力;
数据安全管理认证,关注组织数据安全管理体系的建立与运行;
个人信息保护合规审计,监督个人信息处理活动的合法合规性;
商用密码应用安全性评估,验证密码技术应用的合规性与有效性。
各项制度在目标和侧重点上有所不同,共同构成网络数据安全合规的制度体系。
(二)制度之间递进支撑、互为补充
在实际运行中,上述制度并非相互割裂,而是形成有机联动:
数据安全风险评估为安全决策提供基础依据和风险导向;
网络安全等级保护测评是数据安全工作的基础前提;
数据安全管理认证将技术要求转化为制度化、体系化管理机制;
个人信息保护合规审计为风险评估提供个人信息合规风险校验;
商用密码应用安全性评估为数据安全防护提供加密支撑。
值得关注的是,《办法》明确提出,在制度实施过程中内容重合的,相关结果可以互相采信,有效避免重复评估、审计和认证,进一步提升治理效率。
三、《办法》以创新思维提升数据治理能力
在总结既有实践经验的基础上,《办法》围绕新技术、新业态带来的数据安全挑战,在制度设计、监督方式和评估对象上进行了系统创新。
(一)构建“授权—用权—制权”制度闭环
《办法》通过精准授权、规范用权、有效制权,实现评估权力配置运行的制衡:
明确监管权限和评估主体,确保评估行为依法开展;
规范评估流程和方法,要求依据相关法规和国家标准实施;
建立评估结果应用和责任追溯机制,对风险整改和履责情况进行监督。
(二)形成“内部自控+外部监督”双重机制
在监督机制上,《办法》强调内外结合:
要求网络数据处理者建立内部质量管控体系,明确专人负责;
要求按统一模板报送评估报告,接受主管部门抽查核验;
畅通投诉举报渠道,强化社会监督。
通过内外联动,提升评估结果的规范性和可信度。
(三)实现全生命周期、多要素覆盖
《办法》通过评估报告模板,将风险评估嵌入数据处理全流程,覆盖:
数据收集、存储、使用、加工、传输、提供、公开、删除等各环节;
技术、管理、人员、制度等多个维度。
这种“全周期+多要素”的评估模式,有助于系统识别和防控网络数据安全风险。
四、结语
总体来看,《网络数据安全风险评估办法(征求意见稿)》的发布,标志着我国网络数据安全管理进入系统部署、多方协同的新阶段。
通过明确责任分工、强化制度协同、推动方法创新,《办法》为提升数据安全治理能力、促进数据要素安全有序利用提供了重要制度保障,也为网络数据处理活动划定了更加清晰、可操作的合规路径。
目前,《办法》正面向社会公开征求意见,意见反馈截止时间为2026年1月5日。相关单位和个人可通过中国网信网、电子邮件或信函方式参与反馈,共同推动网络数据安全制度不断完善。
免责声明
本文发布于上海数字安全科技有限公司(以下简称“数安科技”)微信公众号,内容系基于国家互联网信息办公室公开发布的《国家互联网信息办公室关于〈网络数据安全风险评估办法(征求意见稿)〉公开征求意见的通知》及相关权威解读文章进行整理汇编,仅用于法律法规和政策文件的科普传播、学习交流与研究参考之目的。
文中所涉政策背景、制度要点及条款内容,均来源于公开资料,不代表数安科技对相关法律法规条款的最终解释、具体适用意见或监管立场。文中内容不构成任何形式的法律意见、合规承诺、技术保证或业务建议,亦不应作为单位或个人开展具体数据处理活动、合规判断、风险评估实施或决策依据的唯一参考。
《网络数据安全风险评估办法》目前仍处于征求意见阶段,后续正式发布文本及配套规定可能存在调整。因政策变化、理解差异或具体适用情形不同而产生的任何风险或后果,数安科技不承担相关责任。
如涉及具体合规义务履行、风险评估组织实施、监管报送或法律责任认定等事项,建议以正式生效的法律法规、监管部门最新要求为准,并在必要时咨询具备相应资质的法律、合规或数据安全专业机构。