数据安全风险评估是防范数据安全风险,提升重要数据等保护能力的重要举措。6月18日,国家网信办、工信部、公安部联合公布《网络数据安全风险评估办法》(下称《办法》),自8月20日起施行。该文件就我国数据安全风险评估的组织实施、机构管理、报告报送、监督处置等作出系统规定,标志着网络数据安全治理全面迈入精细化、标准化的新阶段。
三部门联合发布《办法》
南都记者梳理发现,我国《数据安全法》《网络数据安全管理条例》明确提出建立数据安全风险评估机制,要求重要数据的处理者定期开展风险评估并报送报告,但“怎么评”“谁来评”“评完报给谁”“不评怎么办”……一直缺少一份可操作的细则,《办法》便是二者所构建的数据安全基础法律框架的细化与落地。
北京航空航天大学法学院副教授、院长助理赵精武撰文指出,《办法》将风险评估这一关键环节从一般性规范细化为可操作的实施细则。网络数据安全风险评估机制的重要意义在于,它将风险控制的端口前移,通过系统化、常态化的风险识别与研判,为网络数据安全保护提供了具有预见性的决策基础,对于维护国家数据主权、保障公共利益和促进数字经济健康发展具有里程碑式的制度价值。
《办法》明确,有关主管部门应当定期组织开展本行业、本领域风险评估,根据工作需要对本行业、本领域处理重要数据的网络数据处理者开展风险评估情况进行检查,并于每年1月底前将年度风险评估检查计划报送国家网信部门。国家网信部门通过国家数据安全工作协调机制将计划与国务院电信、公安、国家安全等有关部门共享并进行协调,避免不必要的检查和交叉重复检查。
值得关注的是,多久需要开展一次风险评估?《办法》规定,重要数据处理者应当每年度开展风险评估;重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。另外,鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。
中国法学会网络与信息法学研究会常务副秘书长周辉撰文提到,这种差异化、比例化的制度设计,没有简单地把所有主体纳入同一强度的合规要求,而是根据风险程度配置不同义务,有助于将监管资源和合规资源集中到更需要关注的重点对象和重点场景。
《办法》还提出以国家标准支撑风险评估规范化实施。中央网信办数据与技术保障中心主任张鹏指出,现有《数据安全技术数据安全风险评估方法》(GB/T 45577-2025)、《数据安全技术数据安全评估机构能力要求》(GB/T 45389-2025)等国家标准提出了开展数据安全风险评估的方法、流程、风险分析研判,以及开展评估所需的能力建设等内容。网络数据处理者可以参照上述标准实施评估、建设能力。
在评估方式上,网络数据处理者可以自行或者委托第三方评估机构开展风险评估。网络数据处理者自行开展风险评估,应当指定专人负责。网络数据处理者委托评估机构开展风险评估,应当通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、义务等。值得注意的是,同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。
《办法》提出建立监管报送与协同机制。重要数据处理者开展年度风险评估,应当依法按照有关主管部门规定编制风险评估报告。有关主管部门对风险评估报告没有规定的,可以参照数据安全风险评估有关国家标准编制风险评估报告。风险评估报告至少保存3年。重要数据处理者应当在年度风险评估完成后的20个工作日内按照有关主管部门要求向其报送风险评估报告。主管部门不明确的,向省级网信部门或者国家网信部门报送。
《办法》还明确了监督管理要求。有关部门在组织开展风险评估中,发现重要数据处理者的重要数据处理活动可能危害国家安全、公共利益的,应当依据职责责令重要数据处理者进行整改;对拒不整改或者未达到整改要求的重要数据处理者,可以采取要求其停止处理重要数据等措施。
在惩处机制方面,省级以上网信部门、电信主管部门、公安机关、国家安全机关或者其他有关部门发现网络数据处理者未按规定开展风险评估的,应当依据《数据安全法》《网络数据安全管理条例》等有关法律、行政法规予以处理。发现评估机构违反本办法开展风险评估的,有关部门应当依法予以处理。
赵精武指出,长期以来,实务界存在一种认知偏差,即将风险评估片面理解为监管层施加的经营负担或形式化的合规成本。但事实却是,缺乏合理、科学且必要的数据安全保护制度,非但不会为企业降本增效,反而会因为频繁的数据安全事件导致其无法正常开展经营活动。“《办法》基于风险精准画像的分级分类保护策略,不仅能够有效降低企业的合规成本,更能真正实现数据安全保障与商业利益合理实现的双向兼顾。”
(文章来源:南方都市报)
