網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制面臨的問題與制度優(yōu)化措施

武丹/制圖

作者|周陳 王淑瑤

責(zé)編|薛應(yīng)軍

正文共3268個(gè)字，預(yù)計(jì)閱讀需10分鐘▼

網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估作為保障數(shù)據(jù)安全的核心環(huán)節(jié)，涉及數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸?shù)热芷?。隨著《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)相繼頒布，我國確立了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的制度框架。但實(shí)踐中，對網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)安全進(jìn)行的風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)等活動(dòng)缺少具體的實(shí)施細(xì)則。在此背景下，國家互聯(lián)網(wǎng)信息辦公室于2025年12月公布《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估管理辦法（征求意見稿）》（以下簡稱《征求意見稿》）明確網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估法律關(guān)系中的各方角色定位和權(quán)利義務(wù)，以進(jìn)一步規(guī)范網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，劃定網(wǎng)絡(luò)數(shù)據(jù)安全合規(guī)底線。

網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制面臨的問題

目前，我國網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度還存在內(nèi)容不明確、流程不通暢、主體責(zé)任不清晰等問題亟待解決。

第一，風(fēng)險(xiǎn)評(píng)估規(guī)則相對模糊，精準(zhǔn)治理效能受限。當(dāng)前，網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制存在核心數(shù)據(jù)范疇模糊、啟動(dòng)要件界定不清、特殊場景覆蓋不足等問題。其一，核心數(shù)據(jù)評(píng)估標(biāo)準(zhǔn)缺失。核心數(shù)據(jù)關(guān)乎國家主權(quán)、安全和發(fā)展利益，但現(xiàn)有制度未明確國家專項(xiàng)規(guī)定缺失時(shí)的兜底適用規(guī)則，這導(dǎo)致部分關(guān)鍵領(lǐng)域核心數(shù)據(jù)安全評(píng)估缺乏針對性內(nèi)容指引。其二，評(píng)估啟動(dòng)要件模糊?，F(xiàn)有規(guī)則中“重要數(shù)據(jù)安全狀態(tài)重大變化”等啟動(dòng)要件表述過于籠統(tǒng)，缺乏可量化、可操作的具體判定標(biāo)準(zhǔn)，且與國家標(biāo)準(zhǔn)的適用情形難以有效銜接，導(dǎo)致實(shí)踐中評(píng)估啟動(dòng)時(shí)機(jī)的認(rèn)定存在一定隨意性。其三，特殊場景覆蓋不足。跨境數(shù)據(jù)流動(dòng)的安全風(fēng)險(xiǎn)呈現(xiàn)疊加效應(yīng)，遠(yuǎn)高于境內(nèi)數(shù)據(jù)。當(dāng)前，跨境數(shù)據(jù)評(píng)估體系存在規(guī)則包容性失衡問題：一方面，包容性過度，企業(yè)自評(píng)估規(guī)則模糊、審查標(biāo)準(zhǔn)彈性較大，缺乏明確的量化判定標(biāo)準(zhǔn)；另一方面，包容性不足，數(shù)據(jù)出境安全評(píng)估的細(xì)節(jié)指引存在欠缺，未能充分適配不同類型企業(yè)的差異化合規(guī)需求。這不僅增加了企業(yè)合規(guī)的操作難度，還導(dǎo)致部分企業(yè)為降低合規(guī)成本簡化乃至規(guī)避評(píng)估程序，進(jìn)一步加劇跨境數(shù)據(jù)流動(dòng)的安全風(fēng)險(xiǎn)。

第二，評(píng)估流程有待完善，風(fēng)險(xiǎn)處置效率相對低下。當(dāng)前，網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估流程存在周期設(shè)置僵化、處置時(shí)限缺失、結(jié)果互信不足等突出問題，導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)處置的全鏈條流程銜接不暢。在評(píng)估周期方面，現(xiàn)有評(píng)估采用固定評(píng)估周期模式，未充分考量不同行業(yè)的數(shù)據(jù)風(fēng)險(xiǎn)差異，既無法滿足金融、能源等高危行業(yè)的高頻防控需求，也給中小企業(yè)增加不必要的合規(guī)負(fù)擔(dān)。在風(fēng)險(xiǎn)處置時(shí)限方面，現(xiàn)有制度雖然明確了評(píng)估機(jī)構(gòu)的風(fēng)險(xiǎn)通報(bào)義務(wù)和數(shù)據(jù)處理者的整改義務(wù)，但由于缺乏全國統(tǒng)一的量化標(biāo)準(zhǔn)，評(píng)估機(jī)構(gòu)的通報(bào)時(shí)限和數(shù)據(jù)處理者的整改周期存在原則性要求多、統(tǒng)一可操作標(biāo)準(zhǔn)少的問題，導(dǎo)致風(fēng)險(xiǎn)識(shí)別與處置之間存在較長時(shí)間差，易造成風(fēng)險(xiǎn)擴(kuò)散蔓延。在結(jié)果互信方面，現(xiàn)行法律法規(guī)將結(jié)果互信范圍嚴(yán)格限定在“內(nèi)容重合”范疇，缺乏跨地區(qū)、跨部門的數(shù)據(jù)評(píng)估結(jié)果互信互認(rèn)的具體標(biāo)準(zhǔn)與流程，導(dǎo)致不同地區(qū)、不同監(jiān)管部門間評(píng)估結(jié)果難以有效互認(rèn)，企業(yè)需針對同一數(shù)據(jù)處理活動(dòng)重復(fù)開展評(píng)估，合規(guī)成本大幅增加。

第三，主體責(zé)任落實(shí)存在短板，協(xié)同治理效能亟待提升。當(dāng)前，數(shù)據(jù)處理者、評(píng)估機(jī)構(gòu)、監(jiān)管部門的三方責(zé)任體系中，部分主體責(zé)任履行不到位，跨主體協(xié)同聯(lián)動(dòng)機(jī)制尚不健全，監(jiān)督約束機(jī)制仍有欠缺，客觀上制約協(xié)同治理效能的充分發(fā)揮。在數(shù)據(jù)處理者層面，部分企業(yè)存在“重發(fā)展、輕安全”的觀念，對風(fēng)險(xiǎn)評(píng)估重視不足，未嚴(yán)格開展全生命周期評(píng)估，甚至存在規(guī)避評(píng)估、虛假整改等違法違規(guī)行為。在評(píng)估機(jī)構(gòu)層面，部分機(jī)構(gòu)獨(dú)立性不足，為迎合委托方需求出具失實(shí)報(bào)告，存在泄露評(píng)估過程中所獲取敏感數(shù)據(jù)的違規(guī)行為。在監(jiān)管部門層面，“多頭監(jiān)管”與“監(jiān)管真空”現(xiàn)象并存，法定職責(zé)交叉導(dǎo)致數(shù)據(jù)流動(dòng)過程的監(jiān)管邊界模糊，而新興數(shù)據(jù)領(lǐng)域、數(shù)據(jù)跨境流動(dòng)等場景突破傳統(tǒng)監(jiān)管框架。這既造成監(jiān)管資源錯(cuò)位與浪費(fèi)，又增加企業(yè)合規(guī)成本，抑制數(shù)據(jù)要素的自由流動(dòng)。

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的規(guī)范路徑

以總體國家安全觀為指引，立足數(shù)據(jù)安全治理的系統(tǒng)性、整體性、協(xié)同性要求，針對評(píng)估機(jī)制的現(xiàn)實(shí)梗阻，從制度規(guī)范、治理范式、責(zé)任體系三個(gè)維度構(gòu)建優(yōu)化路徑，推動(dòng)風(fēng)險(xiǎn)評(píng)估工作從“有形覆蓋”向“有效覆蓋”躍升。

第一，健全風(fēng)險(xiǎn)評(píng)估制度規(guī)范體系，增強(qiáng)評(píng)估規(guī)則的適配性。立足數(shù)據(jù)全生命周期的風(fēng)險(xiǎn)防控需求，通過規(guī)則細(xì)化、場景拓展與標(biāo)準(zhǔn)銜接，填補(bǔ)風(fēng)險(xiǎn)評(píng)估內(nèi)容空白，厘清風(fēng)險(xiǎn)評(píng)估制度邊界。一是明確風(fēng)險(xiǎn)評(píng)估的適用情形。風(fēng)險(xiǎn)評(píng)估規(guī)則應(yīng)對接國家標(biāo)準(zhǔn)《數(shù)據(jù)安全技術(shù)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方法》（GB/T 45577—2025），將數(shù)據(jù)處理系統(tǒng)重大升級(jí)、業(yè)務(wù)范圍調(diào)整導(dǎo)致數(shù)據(jù)類型新增、數(shù)據(jù)量顯著增長、發(fā)生數(shù)據(jù)安全事件、跨境數(shù)據(jù)流動(dòng)方案變更等因素納入風(fēng)險(xiǎn)評(píng)估制度的啟動(dòng)情形，制定可量化、可操作的判定標(biāo)準(zhǔn)。二是細(xì)化核心數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的具體標(biāo)準(zhǔn)。建立核心數(shù)據(jù)評(píng)估的兜底適用規(guī)則。明確當(dāng)國家無相關(guān)專項(xiàng)規(guī)定時(shí)，適用網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的統(tǒng)一規(guī)范，確保核心數(shù)據(jù)評(píng)估有章可循。三是引入風(fēng)險(xiǎn)評(píng)估周期彈性機(jī)制。依據(jù)不同行業(yè)的數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)，賦予行業(yè)主管部門靈活調(diào)整權(quán)限，對金融、能源等高危行業(yè)實(shí)行高頻評(píng)估機(jī)制；對低風(fēng)險(xiǎn)行業(yè)適當(dāng)延長評(píng)估周期，報(bào)國家網(wǎng)信部門備案后實(shí)施，實(shí)現(xiàn)風(fēng)險(xiǎn)防控與合規(guī)成本的動(dòng)態(tài)平衡。四是健全跨境數(shù)據(jù)評(píng)估體系。新增重要數(shù)據(jù)出境專項(xiàng)風(fēng)險(xiǎn)評(píng)估制度，依據(jù)國家標(biāo)準(zhǔn)重點(diǎn)評(píng)估接收方法律環(huán)境、數(shù)據(jù)保護(hù)水平、跨境技術(shù)措施有效性等內(nèi)容。

第二，構(gòu)建技術(shù)與法律互動(dòng)融合機(jī)制，推動(dòng)風(fēng)險(xiǎn)評(píng)估提質(zhì)增效。以技術(shù)賦能與法律規(guī)制的雙向聯(lián)動(dòng)為核心，構(gòu)建協(xié)同治理范式，破解流程僵化與效率低下的難題，提升數(shù)據(jù)安全治理效能。一是建立評(píng)估報(bào)告摘要的強(qiáng)制披露機(jī)制。明確重要數(shù)據(jù)處理者的評(píng)估報(bào)告摘要披露義務(wù)（涉密信息除外），由主管部門制定統(tǒng)一的摘要模板，以公開報(bào)告摘要披露的方式倒逼企業(yè)提升數(shù)據(jù)安全和評(píng)估工作質(zhì)量，強(qiáng)化社會(huì)監(jiān)督。二是明確風(fēng)險(xiǎn)處置時(shí)限標(biāo)準(zhǔn)。規(guī)范評(píng)估機(jī)構(gòu)的風(fēng)險(xiǎn)通報(bào)義務(wù)，要求發(fā)現(xiàn)重大風(fēng)險(xiǎn)后，在特定時(shí)限內(nèi)及時(shí)通報(bào)數(shù)據(jù)處理者并報(bào)告監(jiān)管部門。明確數(shù)據(jù)處理者接收通報(bào)后的整改方案提交期限，以提高風(fēng)險(xiǎn)處置效率。三是完善風(fēng)險(xiǎn)評(píng)估相關(guān)結(jié)果互信機(jī)制。擴(kuò)大結(jié)果互信的適用范圍，以“實(shí)質(zhì)內(nèi)容重合”作為標(biāo)準(zhǔn)，確立省級(jí)網(wǎng)信部門為評(píng)估結(jié)果的權(quán)威采信主體，實(shí)現(xiàn)不同地區(qū)、不同部門間的評(píng)估結(jié)果互認(rèn)，避免重復(fù)評(píng)估，減輕企業(yè)合規(guī)負(fù)擔(dān)。四是優(yōu)化跨境評(píng)估操作流程。細(xì)化數(shù)據(jù)出境評(píng)估的申請、審核、備案等環(huán)節(jié)的操作指引，明確各環(huán)節(jié)的辦理時(shí)限與責(zé)任主體，降低企業(yè)合規(guī)操作難度，治理規(guī)避評(píng)估的違規(guī)行為。

第三，完善多元協(xié)同責(zé)任體系，壓實(shí)風(fēng)險(xiǎn)評(píng)估三方主體責(zé)任。一是壓實(shí)數(shù)據(jù)處理者的主體責(zé)任。強(qiáng)化企業(yè)的數(shù)據(jù)安全主體責(zé)任意識(shí)，樹立全生命周期安全理念，開展常態(tài)化風(fēng)險(xiǎn)評(píng)估，如實(shí)報(bào)送評(píng)估報(bào)告，對規(guī)避評(píng)估、虛假整改等行為依法追究法律責(zé)任。二是壓實(shí)評(píng)估機(jī)構(gòu)的主體責(zé)任。明確評(píng)估機(jī)構(gòu)的獨(dú)立性要求，建立利益沖突防范機(jī)制，確保評(píng)估報(bào)告獨(dú)立、專業(yè)、客觀。強(qiáng)化評(píng)估機(jī)構(gòu)的數(shù)據(jù)保密義務(wù)，對評(píng)估過程中獲取的敏感數(shù)據(jù)嚴(yán)格保密，對出具失實(shí)報(bào)告的行為設(shè)定嚴(yán)厲的法律責(zé)任。三是壓實(shí)監(jiān)管部門的主體責(zé)任。厘清各監(jiān)管部門的職責(zé)邊界，破解“多頭監(jiān)管”與“監(jiān)管真空”的困境，構(gòu)建協(xié)同高效的監(jiān)管格局。賦予省級(jí)以上網(wǎng)信部門和有關(guān)主管部門強(qiáng)制委托評(píng)估權(quán)，即在評(píng)估報(bào)告核驗(yàn)、監(jiān)督等工作階段發(fā)現(xiàn)存在較大安全風(fēng)險(xiǎn)等情形時(shí)，有權(quán)要求數(shù)據(jù)處理者及時(shí)委托經(jīng)認(rèn)證的評(píng)估機(jī)構(gòu)開展評(píng)估，防范系統(tǒng)性風(fēng)險(xiǎn)。

網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制是踐行總體國家安全觀、統(tǒng)籌數(shù)據(jù)發(fā)展和安全的關(guān)鍵抓手，也是契合國家戰(zhàn)略導(dǎo)向、服務(wù)數(shù)字中國建設(shè)長遠(yuǎn)目標(biāo)的重要制度支撐。當(dāng)前，亟須通過制度規(guī)范細(xì)化、技術(shù)法律融合、多元責(zé)任協(xié)同破解面臨的問題，為數(shù)據(jù)賦能新質(zhì)生產(chǎn)力發(fā)展、推動(dòng)實(shí)體經(jīng)濟(jì)與數(shù)字經(jīng)濟(jì)深度融合筑牢法治根基，護(hù)航數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。

本文為上海市教育委員會(huì)人工智能促進(jìn)科研范式改革賦能學(xué)科躍升計(jì)劃一般項(xiàng)目“人工智能協(xié)同金融監(jiān)管的規(guī)范化進(jìn)路”的階段性研究成果。

（作者單位：上海政法學(xué)院上海司法研究所、中國政法大學(xué)民商經(jīng)濟(jì)法學(xué)院）