《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法(征求意見稿)》發(fā)布 筑牢數(shù)據(jù)安全治理防線

發(fā)布時(shí)間 2025-12-25

近日,國(guó)家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估辦法(征求意見稿)》(以下簡(jiǎn)稱《辦法》),面向社會(huì)公開征求意見至2026年1月5日。作為《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》的重要配套文件,《辦法》首次系統(tǒng)規(guī)范了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的全流程要求,標(biāo)志著我國(guó)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度建設(shè)邁出關(guān)鍵一步,為構(gòu)建全方位、多層次、立體化的數(shù)據(jù)安全防護(hù)體系提供了制度支撐。

《辦法》的制定以底線思維保障國(guó)家數(shù)據(jù)安全為核心目標(biāo),立足當(dāng)前數(shù)據(jù)依賴度提升帶來的系統(tǒng)性風(fēng)險(xiǎn)加劇現(xiàn)狀,通過明確評(píng)估主體權(quán)責(zé)、規(guī)范評(píng)估流程標(biāo)準(zhǔn)、強(qiáng)化評(píng)估結(jié)果應(yīng)用,推動(dòng)形成“評(píng)估發(fā)現(xiàn)風(fēng)險(xiǎn)、報(bào)告呈現(xiàn)風(fēng)險(xiǎn)、整改化解風(fēng)險(xiǎn)”的治理閉環(huán)。其核心目的在于將網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)防控關(guān)口前移,促進(jìn)數(shù)據(jù)安全治理從被動(dòng)應(yīng)對(duì)向主動(dòng)防控轉(zhuǎn)變、從分散管理向系統(tǒng)治理提升,切實(shí)守牢國(guó)家數(shù)據(jù)安全底線,為數(shù)字經(jīng)濟(jì)健康發(fā)展保駕護(hù)航。

在核心內(nèi)容方面,《辦法》構(gòu)建了清晰的責(zé)任體系與操作規(guī)范,明確了主管部門、數(shù)據(jù)處理者、第三方評(píng)估機(jī)構(gòu)的三方權(quán)責(zé)邊界。在主管部門層面,確立“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”原則,國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)全國(guó)風(fēng)險(xiǎn)評(píng)估工作,各行業(yè)主管部門需定期組織本領(lǐng)域評(píng)估并于每年1月底前報(bào)送年度計(jì)劃,省級(jí)網(wǎng)信部門強(qiáng)化區(qū)域協(xié)調(diào),形成上下聯(lián)動(dòng)的監(jiān)管格局。同時(shí),主管部門有權(quán)對(duì)評(píng)估報(bào)告真實(shí)性進(jìn)行抽查核驗(yàn),對(duì)存在重大風(fēng)險(xiǎn)的情形可要求委托第三方機(jī)構(gòu)開展評(píng)估,對(duì)整改不到位的主體可采取停止處理重要數(shù)據(jù)等措施。

針對(duì)數(shù)據(jù)處理者,《辦法》區(qū)分不同主體提出差異化評(píng)估要求。其中,處理重要數(shù)據(jù)的主體須每年開展一次風(fēng)險(xiǎn)評(píng)估,若重要數(shù)據(jù)狀態(tài)發(fā)生重大變化(如新增數(shù)據(jù)類型、啟動(dòng)跨境傳輸?shù)龋┬杓皶r(shí)評(píng)估;一般數(shù)據(jù)處理者則被鼓勵(lì)至少每三年開展一次。評(píng)估實(shí)施方式靈活多元,數(shù)據(jù)處理者可自行評(píng)估或委托第三方機(jī)構(gòu)開展,自行評(píng)估需指定專人負(fù)責(zé)并按模板編制報(bào)告,委托評(píng)估則需選擇通過認(rèn)證的機(jī)構(gòu)并簽訂保密協(xié)議。評(píng)估報(bào)告需在完成后10個(gè)工作日內(nèi)報(bào)送對(duì)應(yīng)主管部門,無明確主管部門的則報(bào)送省級(jí)或國(guó)家網(wǎng)信部門,且報(bào)告保存期限不少于三年。

對(duì)于第三方評(píng)估機(jī)構(gòu),《辦法》明確其需經(jīng)國(guó)務(wù)院認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)的認(rèn)證機(jī)構(gòu)認(rèn)證,遵循公正客觀原則開展工作,對(duì)評(píng)估報(bào)告的真實(shí)性、有效性、完整性負(fù)責(zé)。若發(fā)現(xiàn)重大數(shù)據(jù)安全風(fēng)險(xiǎn),機(jī)構(gòu)需及時(shí)通報(bào)數(shù)據(jù)處理者并向監(jiān)管部門報(bào)告,同時(shí)對(duì)評(píng)估過程中獲取的各類敏感信息承擔(dān)保密責(zé)任。為防范形式化操作,《辦法》還規(guī)定同一評(píng)估機(jī)構(gòu)不得連續(xù)三次以上為同一家企業(yè)提供服務(wù),且不得轉(zhuǎn)包評(píng)估項(xiàng)目。

值得關(guān)注的是,《辦法》注重與現(xiàn)有安全合規(guī)制度的協(xié)同銜接,明確網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、數(shù)據(jù)安全管理認(rèn)證、個(gè)人信息保護(hù)合規(guī)審計(jì)等制度的評(píng)估結(jié)果可互相采信,避免重復(fù)評(píng)估帶來的企業(yè)負(fù)擔(dān)。這一設(shè)計(jì)使各類制度形成遞進(jìn)支撐、互補(bǔ)聯(lián)動(dòng)的有機(jī)整體,其中數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估作為安全決策的核心依據(jù),為其他測(cè)評(píng)工作提供風(fēng)險(xiǎn)導(dǎo)向,而等保測(cè)評(píng)、密碼應(yīng)用評(píng)估等則為數(shù)據(jù)安全提供基礎(chǔ)防護(hù)與技術(shù)支撐。

《辦法》的發(fā)布具有重大現(xiàn)實(shí)意義與長(zhǎng)遠(yuǎn)戰(zhàn)略價(jià)值。從國(guó)家層面看,作為落實(shí)“十四五”規(guī)劃中“加強(qiáng)網(wǎng)絡(luò)、數(shù)據(jù)等新興領(lǐng)域國(guó)家安全能力建設(shè)”要求的重要舉措,《辦法》進(jìn)一步完善了我國(guó)網(wǎng)絡(luò)數(shù)據(jù)安全治理體系,通過制度創(chuàng)新實(shí)現(xiàn)授權(quán)、用權(quán)、制權(quán)相統(tǒng)一,為提升國(guó)家數(shù)據(jù)安全保障能力提供了關(guān)鍵制度抓手。從行業(yè)層面看,清晰的評(píng)估規(guī)范與責(zé)任要求為各類數(shù)據(jù)處理主體提供了明確的合規(guī)指引,有助于推動(dòng)行業(yè)形成重視數(shù)據(jù)安全、主動(dòng)防控風(fēng)險(xiǎn)的良好生態(tài),尤其將引導(dǎo)醫(yī)療、金融、交通等關(guān)鍵領(lǐng)域的重要數(shù)據(jù)處理者強(qiáng)化安全管理。

從市場(chǎng)發(fā)展層面看,《辦法》通過防范數(shù)據(jù)泄露、篡改、濫用等風(fēng)險(xiǎn),能夠增強(qiáng)社會(huì)公眾對(duì)數(shù)字服務(wù)的信任度,為數(shù)據(jù)要素有序流動(dòng)、高效利用創(chuàng)造安全環(huán)境,從而賦能數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展。專家表示,《辦法》的實(shí)施將推動(dòng)數(shù)據(jù)安全治理從技術(shù)層面上升到體系化治理層面,通過全生命周期的風(fēng)險(xiǎn)管控,實(shí)現(xiàn)數(shù)據(jù)安全與發(fā)展的動(dòng)態(tài)平衡。目前,《辦法》正處于公開征求意見階段,社會(huì)各界可積極建言獻(xiàn)策,共同推動(dòng)制度體系不斷完善,為筑牢國(guó)家網(wǎng)絡(luò)數(shù)據(jù)安全屏障奠定堅(jiān)實(shí)基礎(chǔ)。