完善风险评估制度护航数字经济发展
法治日报
2026年07月13日
□ 黄道丽
国家互联网信息办公室、工业和信息化部、公安部近日联合发布《网络数据安全风险评估办法》(以下简称《办法》)。《办法》依据数据安全法、网络安全法、《网络数据安全管理条例》等法律法规要求,围绕评估主体、评估方式、机构管理、报告报送、部门协同等内容作出规定,对于压实数据安全主体责任、提升安全治理能力、护航数字经济高质量发展具有重要意义。
当前,数字经济快速发展,数据处理活动呈现规模化、链条化、复杂化特征,数据安全风险也更具隐蔽性、传导性和外溢性,传统的事后补救处置模式往往难以及时有效应对。数据安全风险评估作为防范化解数据安全风险的重要制度安排,可以通过常态化、系统化的风险识别与研判,推动数据安全防护关口前移,为数据安全治理提供预见性的决策基础。
具体而言,《办法》以风险评估为抓手,推动网络数据安全治理从一次性、静态化合规转向持续性、动态化安全治理。所谓风险评估,是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。这意味着风险评估不仅是对数据本身的静态清点,更是对数据收集、存储、使用、加工等处理行为的系统审视。并且,《办法》在重要数据年度风险评估之外,进一步要求重要数据安全状态发生重大变化、可能对数据安全造成不利影响的,应当及时开展风险评估。也就是说,风险评估应嵌入数据处理活动全过程。对于评估主体而言,《办法》采取分类分级的模式,明确重要数据处理者应当每年度开展风险评估,并鼓励一般数据处理者至少每3年开展一次风险评估。这一制度设计既突出安全底线,又兼顾发展需要。
在评估方式上,《办法》明确网络数据处理者既可以自行开展评估,也可以委托第三方评估机构开展评估。这一制度设计既尊重不同主体在规模、能力和风险水平上的差异,也为专业化评估服务发展预留空间。针对第三方评估机构,《办法》鼓励评估机构通过认证,并提出在开展风险评估时不得转委托、不得连续3次以上对同一网络数据机构开展年度风险评估,要履行保密义务等要求。这些规定旨在从制度层面防范利益冲突,确保评估活动的独立性与客观性,从而让评估机构真正成为数据安全治理体系中的专业支撑力量。
风险评估能否取得实效,关键不在于是否形成一份报告,而在于评估结果能否进入治理闭环。对此,《办法》要求,重要数据处理者应当按规定编制风险评估报告,并依法保存相关材料;报告应当在规定时限内报送有关主管部门;省级以上有关部门发现存在可能危害国家安全或者公共利益等情形的,可以要求网络数据处理者委托通过认证的评估机构开展评估。相关要求有助于推动风险评估从企业内部合规动作转化为监管协同工具。
数据安全监管既要有力度,也要有尺度。过度重复检查不仅会增加企业负担,也可能分散监管资源、降低治理效率。《办法》高度重视部门协同,一方面,明确在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作;另一方面,加强年度检查计划、风险评估报告和风险信息在多部门之间进行共享。应该看到,此次三部门联合发布《办法》,本身也体现了网络数据安全风险评估需要多部门协同推进。
为推动“十五五”时期数字经济高质量发展,《办法》的实施还需要在制度衔接、机构治理和新技术适配上持续深化,以实现高水平安全。例如,可以根据《网络数据安全管理条例》的相关要求,加强网络数据安全风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计等制度的衔接;进一步完善第三方评估机构监管规则,推动形成能力完备、责任明确、运行规范的评估服务体系;积极探索人工智能场景下的数据安全风险评估方法,增强制度对新技术、新业态、新场景的适应能力。
期待《办法》施行后,能够持续压实各方数据安全主体责任,不断织密网络数据安全防护网,以坚实的数据安全治理能力护航数字经济高质量发展,为建设网络强国、数字中国筑牢稳固根基。
(作者系公安部第三研究所研究员)