Expert Interpretation: Regulating Network Data Security Risk Assessment to Effectively Build a Network Data Security Barrier

近日，国家互联网信息办公室公布《网络数据安全风险评估管理办法（征求意见稿）》（以下简称《办法》）。《办法》正式面向社会征求意见，标志着我国网络数据安全风险评估制度建设迈出关键一步，网络数据安全治理体系的进一步完善，对全面提升网络数据安全治理能力，促进数字经济健康发展意义重大。<br> 一、深刻认识《办法》的重要意义<br> 党中央、国务院高度重视数据安全工作，先后出台《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规。习近平总书记多次强调“要切实保障国家数据安全”“强化关键数据资源保护能力”。《办法》贯彻党中央决策部署，全面贯彻落实法规要求，立足总体国家安全观，坚持问题导向，聚焦网络数据安全风险治理。<br> （一）落实法律法规要求，夯实网络数据安全治理法治根基。《中华人民共和国数据安全法》《网络数据安全管理条例》明确提出建立数据安全风险评估机制，要求重要数据的处理者定期开展风险评估并报送报告。《办法》通过构建国家统筹、行业监管、地方协调、网络数据处理者主责的风险评估工作机制，要求网络数据处理者切实履行主体责任，指导相关部门开展网络数据安全风险治理、监督检查。《办法》将“建立数据安全风险评估机制”“重要数据的处理者定期组织开展网络风险评估”等原则性规定转化为可操作、可监督的具体制度，推动形成“法律—行政法规—部门规章—国家标准”四位一体的网络数据安全风险评估实施路径。<br> （二）指导安全风险治理，提供网络数据科学实践指引。开展网络数据安全风险评估，是贯彻落实总体国家安全观的重要实践，是推动“依法管网、依法治数”从制度设计走向具体实施的关键举措，也是数据处理者履行主体责任、实现合规运营的基本前提。《办法》构建了系统化、规范化、标准化的网络数据安全风险评估工作体系，为各方开展风险治理提供了科学指引。《办法》推动形成“评估发现风险、报告呈现风险、整改化解风险”的网络数据安全风险治理闭环，将网络数据安全风险防控关口前移，促进网络数据安全风险治理从被动应对向主动防控转变、从分散管理向系统治理提升。<br> （三）强化法规制度协同，促进网络数据依法合理利用。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确指出，要“以维护国家数据安全、保护个人信息和商业秘密为前提”，构建数据基础制度。《办法》通过建立规范化的网络数据安全风险评估机制，正是实现这一目标的关键举措，指导网络数据处理者全面、深入排查、处置数据处理活动各阶段的安全风险，为促进数据依法有序自由流动提供了制度保障。《办法》将网络数据安全风险评估，与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等工作进行了衔接，支持相关结果采信，强化了制度协同，切实为网络数据处理者松绑减负。<br> 二、《办法》明确了开展网络数据安全风险评估工作的要求<br> 《办法》压实各方主体责任，明确各方、各环节开展网络数据安全风险评估的基本要求，解决了网络数据安全风险评估工作“干什么、怎么干、谁来干”的问题。<br> （一）压实各方主体责任，风险协同治理。《办法》构建了权责清晰、运行高效的工作体系。在国家层面，明确网信部门统筹协调职责，加强对各地区、各部门风险评估工作的指导；在行业层面，压实有关主管部门监管责任，按照“谁管业务、谁管业务数据、谁管数据安全”原则，要求主管部门定期组织开展本行业、本领域风险评估，按需开展检查，并于每年1月底前向国家网信部门报送年度风险评估及检查计划；在地方层面，强化省级网信部门区域协调职能，形成上下联动的工作格局。《办法》要求处理重要数据的网络数据处理者每年度、处理一般数据的网络数据处理者至少每3年对其网络数据处理活动开展评估，按期完成评估报告编制和报送工作。通过建立分层级的工作体系，《办法》实现了跨地域、跨行业的网络数据安全风险协同治理模式，加强风险信息共享和协同处置，避免重复评估、重复检查，为构建全国“一盘棋”的网络数据安全风险治理新格局提供了制度保障。<br> （二）明确评估方式，规范机构管理。《办法》规定网络数据处理者可自行或委托评估机构开展风险评估。网络数据处理者委托评估机构开展风险评估时，《办法》要求优先选择通过认证的评估机构，并明确双方权责义务。省级以上网信部门和有关部门发现网络数据处理者存在较大安全风险的网络数据处理活动、网络数据安全事件、网络数据处理活动可能危害国家安全、公共利益等情形，能够要求网络数据处理者委托通过认证的评估机构开展风险评估。为加强评估机构管理，《办法》要求评估机构取得资质认证，要求评估机构遵守法规、公正客观、禁止转包、履行保密义务，要求同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估。明确了评估方式、评估机构的作用和管理要求，有力保障了评估过程的客观公正与结果的可信度。<br> （三）强化评估结果运用，发挥监督整改成效。《办法》配套给出指导性极强的评估报告模板，要求网络数据处理者按期开展风险评估，按规定编制和报送报告，并由省级以上网信部门和有关部门对报告真实性、准确性进行抽查核验。《办法》将风险评估作为开展网络数据安全风险治理、监督检查的重要抓手，帮助有关部门掌握网络数据安全风险底数，督促网络数据处理者完成风险处置。此外，《办法》还要求省级以上网信部门和有关部门对网络数据处理者落实风险评估责任义务情况、评估机构规范性等情况进行监督，对违规违法开展网络数据安全风险评估的予以处罚、责令整改等措施。这一系列制度安排，使得我国网络数据安全治理实现从事后处置向事前预警、事中管控的深刻转变，为强化网络数据安全防护体系提供了坚实的制度保障。<br> 三、国家标准为支撑《办法》落地发挥作用<br> 国家标准GB/T 45577、GB/T 45389支撑《办法》评估依据、评估机构认证等工作落实，为规范评估工作流程和内容，加强评估机构管理发挥了作用。<br> （一）国家标准GB/T 45577-2025《数据安全技术 数据安全风险评估方法》成为风险评估的主要依据。该标准规范了数据安全风险评估的工作流程、评估内容、评估方法，提出了数据识别、风险分析、风险评价方法，从数据安全管理、数据安全技术、数据处理活动安全、个人信息保护四方面设计了401项评估内容，为各类网络数据处理者开展网络数据安全风险评估提供了统一的工作流程、工作内容、工作方法。该标准解决了以往评估工作中存在的尺度不一、水平不齐、结果难互认等问题，为构建统一、科学规范、运行高效的风险评估体系奠定了技术基础。<br> （二）GB/T 45389-2025《数据安全技术 数据安全评估机构能力要求》支撑认证网络数据安全风险评估机构。《办法》第九条明确GB/T 45389-2025作为机构认证的基本依据。该标准从基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力等方面设计105项能力要求，指导评估机构进行能力建设。该标准明确评估机构工作公正性与独立性要求，规范评估过程与行为管理，要求对评估过程进行风险控制，明确评估人员能力、场地和设备等建设内容，为加强评估机构及人员专业性、规范性和可信度提供保障。<br> 全国网络安全标准化技术委员会作为网络和数据安全等领域国家标准的统一归口技术组织，将持续发挥对网络数据安全管理工作的支撑作用，加强风险评估标准研制、应用推广等工作，不断提升网络数据安全风险评估工作成效。（作者：范科峰，中国电子技术标准化研究院副院长）