專家解讀｜規范網絡數據安全風險評估 切實筑牢網絡數據安全屏障

近日，國家互聯網信息辦公室公布《網絡數據安全風險評估管理辦法（征求意見稿）》（以下簡稱《辦法》）。《辦法》正式面向社會征求意見，標志著我國網絡數據安全風險評估制度建設邁出關鍵一步，網絡數據安全治理體系的進一步完善，對全面提升網絡數據安全治理能力，促進數字經濟健康發展意義重大。

一、深刻認識《辦法》的重要意義

黨中央、國務院高度重視數據安全工作，先后出臺《中華人民共和國數據安全法》《網絡數據安全管理條例》等法律法規。習近平總書記多次強調“要切實保障國家數據安全”“強化關鍵數據資源保護能力”。《辦法》貫徹黨中央決策部署，全面貫徹落實法規要求，立足總體國家安全觀，堅持問題導向，聚焦網絡數據安全風險治理。

（一）落實法律法規要求，夯實網絡數據安全治理法治根基。《中華人民共和國數據安全法》《網絡數據安全管理條例》明確提出建立數據安全風險評估機制，要求重要數據的處理者定期開展風險評估并報送報告。《辦法》通過構建國家統籌、行業監管、地方協調、網絡數據處理者主責的風險評估工作機制，要求網絡數據處理者切實履行主體責任，指導相關部門開展網絡數據安全風險治理、監督檢查。《辦法》將“建立數據安全風險評估機制”“重要數據的處理者定期組織開展網絡風險評估”等原則性規定轉化為可操作、可監督的具體制度，推動形成“法律—行政法規—部門規章—國家標準”四位一體的網絡數據安全風險評估實施路徑。

（二）指導安全風險治理，提供網絡數據科學實踐指引。開展網絡數據安全風險評估，是貫徹落實總體國家安全觀的重要實踐，是推動“依法管網、依法治數”從制度設計走向具體實施的關鍵舉措，也是數據處理者履行主體責任、實現合規運營的基本前提。《辦法》構建了系統化、規范化、標準化的網絡數據安全風險評估工作體系，為各方開展風險治理提供了科學指引。《辦法》推動形成“評估發現風險、報告呈現風險、整改化解風險”的網絡數據安全風險治理閉環，將網絡數據安全風險防控關口前移，促進網絡數據安全風險治理從被動應對向主動防控轉變、從分散管理向系統治理提升。

（三）強化法規制度協同，促進網絡數據依法合理利用。《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》明確指出，要“以維護國家數據安全、保護個人信息和商業秘密為前提”，構建數據基礎制度。《辦法》通過建立規范化的網絡數據安全風險評估機制，正是實現這一目標的關鍵舉措，指導網絡數據處理者全面、深入排查、處置數據處理活動各階段的安全風險，為促進數據依法有序自由流動提供了制度保障。《辦法》將網絡數據安全風險評估，與網絡安全等級保護測評、數據安全管理認證、個人信息保護合規審計、商用密碼應用安全性評估等工作進行了銜接，支持相關結果采信，強化了制度協同，切實為網絡數據處理者松綁減負。

二、《辦法》明確了開展網絡數據安全風險評估工作的要求

《辦法》壓實各方主體責任，明確各方、各環節開展網絡數據安全風險評估的基本要求，解決了網絡數據安全風險評估工作“干什么、怎么干、誰來干”的問題。

（一）壓實各方主體責任，風險協同治理。《辦法》構建了權責清晰、運行高效的工作體系。在國家層面，明確網信部門統籌協調職責，加強對各地區、各部門風險評估工作的指導；在行業層面，壓實有關主管部門監管責任，按照“誰管業務、誰管業務數據、誰管數據安全”原則，要求主管部門定期組織開展本行業、本領域風險評估，按需開展檢查，并于每年1月底前向國家網信部門報送年度風險評估及檢查計劃；在地方層面，強化省級網信部門區域協調職能，形成上下聯動的工作格局。《辦法》要求處理重要數據的網絡數據處理者每年度、處理一般數據的網絡數據處理者至少每3年對其網絡數據處理活動開展評估，按期完成評估報告編制和報送工作。通過建立分層級的工作體系，《辦法》實現了跨地域、跨行業的網絡數據安全風險協同治理模式，加強風險信息共享和協同處置，避免重復評估、重復檢查，為構建全國“一盤棋”的網絡數據安全風險治理新格局提供了制度保障。

（二）明確評估方式，規范機構管理。《辦法》規定網絡數據處理者可自行或委托評估機構開展風險評估。網絡數據處理者委托評估機構開展風險評估時，《辦法》要求優先選擇通過認證的評估機構，并明確雙方權責義務。省級以上網信部門和有關部門發現網絡數據處理者存在較大安全風險的網絡數據處理活動、網絡數據安全事件、網絡數據處理活動可能危害國家安全、公共利益等情形，能夠要求網絡數據處理者委托通過認證的評估機構開展風險評估。為加強評估機構管理，《辦法》要求評估機構取得資質認證，要求評估機構遵守法規、公正客觀、禁止轉包、履行保密義務，要求同一評估機構及其關聯機構不得連續3次以上對同一網絡數據處理者開展風險評估。明確了評估方式、評估機構的作用和管理要求，有力保障了評估過程的客觀公正與結果的可信度。

（三）強化評估結果運用，發揮監督整改成效。《辦法》配套給出指導性極強的評估報告模板，要求網絡數據處理者按期開展風險評估，按規定編制和報送報告，并由省級以上網信部門和有關部門對報告真實性、準確性進行抽查核驗。《辦法》將風險評估作為開展網絡數據安全風險治理、監督檢查的重要抓手，幫助有關部門掌握網絡數據安全風險底數，督促網絡數據處理者完成風險處置。此外，《辦法》還要求省級以上網信部門和有關部門對網絡數據處理者落實風險評估責任義務情況、評估機構規范性等情況進行監督，對違規違法開展網絡數據安全風險評估的予以處罰、責令整改等措施。這一系列制度安排，使得我國網絡數據安全治理實現從事后處置向事前預警、事中管控的深刻轉變，為強化網絡數據安全防護體系提供了堅實的制度保障。

三、國家標準為支撐《辦法》落地發揮作用

國家標準GB/T 45577、GB/T 45389支撐《辦法》評估依據、評估機構認證等工作落實，為規范評估工作流程和內容，加強評估機構管理發揮了作用。

（一）國家標準GB/T 45577-2025《數據安全技術 數據安全風險評估方法》成為風險評估的主要依據。該標準規范了數據安全風險評估的工作流程、評估內容、評估方法，提出了數據識別、風險分析、風險評價方法，從數據安全管理、數據安全技術、數據處理活動安全、個人信息保護四方面設計了401項評估內容，為各類網絡數據處理者開展網絡數據安全風險評估提供了統一的工作流程、工作內容、工作方法。該標準解決了以往評估工作中存在的尺度不一、水平不齊、結果難互認等問題，為構建統一、科學規范、運行高效的風險評估體系奠定了技術基礎。

（二）GB/T 45389-2025《數據安全技術 數據安全評估機構能力要求》支撐認證網絡數據安全風險評估機構。《辦法》第九條明確GB/T 45389-2025作為機構認證的基本依據。該標準從基礎條件、管理能力、技術能力、人力資源能力、場所與設備資源能力等方面設計105項能力要求，指導評估機構進行能力建設。該標準明確評估機構工作公正性與獨立性要求，規范評估過程與行為管理，要求對評估過程進行風險控制，明確評估人員能力、場地和設備等建設內容，為加強評估機構及人員專業性、規范性和可信度提供保障。

全國網絡安全標準化技術委員會作為網絡和數據安全等領域國家標準的統一歸口技術組織，將持續發揮對網絡數據安全管理工作的支撐作用，加強風險評估標準研制、應用推廣等工作，不斷提升網絡數據安全風險評估工作成效。

往期薦讀

●
● ●
● ● ●重要指示精神

責 編 | 吉 潔 編 輯 | 郭 靖

來 源：根據網信中國綜合整理