本报简介《网络数据安全风险评估办法(征求意见稿)》的主要亮点及完善建议
筑牢网络数据安全风险评估的制度基石
——《网络数据安全风险评估办法(征求意见稿)》的主要亮点及完善建议
12月6日,国家互联网信息办公室发布《网络数据安全风险评估办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见,旨在规范网络数据安全风险评估活动,保障网络数据安全,促进网络数据依法合理有效利用。意见反馈截止日期为2026年1月5日。
《征求意见稿》明确指出,处理重要数据的网络数据处理者,应当每年度对其网络数据处理活动开展风险评估,而未按规定开展风险评估的,将面临监管部门的处置处罚。这是国家网络数据安全法律体系走向精细化、实操化的关键步骤之一,也是落实国家数据安全的必然要求。
近年来,随着信息技术的飞速发展,数据已跃升为第五大生产要素。网络数据安全建设日益重要,传统事后补救的模式无法应对系统性风险。风险评估制度的核心就在于防患于未然,通过周期性、系统性的排查,主动发现网络数据和网络数据处理活动中的隐患,将风险控制在可接受的范围内。在此背景下,《征求意见稿》应运而生。
《中华人民共和国数据安全法》第三十条虽确立了重要数据处理者的定期评估义务,但对评估频率、具体内容及评估报告要素等操作细节未作具体规定。《征求意见稿》不仅对该条款进行了回应,还进一步细化《网络数据安全管理条例》中关于年度评估、触发式评估的具体要求,明确了报送时限、机构资质认证及监管协调机制,形成了完整的执行闭环,亮点颇多。
主要亮点
统筹协调,职责清晰。《征求意见稿》第四条明确确立了“谁管业务、谁管业务数据、谁管数据安全”的原则。这一原则清晰地厘清了行业主管部门与网信部门的职责边界,即行业部门负责本领域的具体监管计划的制定与执行,网信部门负责宏观统筹和跨部门协调。这可有效避免职责交叉与监管空白,有助于解决实践中多头管理的问题,使监管权责更加清晰。同时,《征求意见稿》第五条规定国家网信部门统筹有关主管部门和省级网信部门报送的年度风险评估及检查计划,有效避免重复评估、重复检查。
聚焦重点,分级监管。《征求意见稿》采用差异化监管策略,避免监管资源平均用力。对于重要数据处理者,《征求意见稿》第六条强制要求实行严格的每年度评估制度,体现了风险越高、监管越严的原则。而对于一般数据处理者,则鼓励其至少每3年开展一次评估。同时,《征求意见稿》第二十三条、第二十四条规定,对于核心数据处理者及开展涉及国家秘密、工作秘密的风险评估活动因存在特别规定而不适用此办法。这种风险分级、重点突出的监管思路,将有限的资源集中在对国家安全和公共利益影响最大的“重要数据”上,既守住了安全底线,又切实减轻了中小微企业的合规负担,体现了监管的温度与精度。
强化责任,规范机构。《征求意见稿》明确网络数据处理者是风险评估的责任主体,可自行或委托第三方评估机构开展。对于委托评估,《征求意见稿》提出了优先选择通过认证的机构、签订权责协议等要求。创新性地规定,同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估。这有利于防止评估机构与企业之间形成利益捆绑,避免评估流于形式,可确保风险评估的客观性和公正性。同时,《征求意见稿》对评估机构设立了行为规范,要求其公正客观、对报告负责、承担保密义务及风险报告责任,并明确了违规后果。这进一步压实数据处理者的安全主体责任,又通过规范第三方市场提升评估活动的专业性和公信力。
风险响应,协同处置。《征求意见稿》不仅关注常态化的年度评估,也要求对动态风险进行积极响应,如第六条规定重要数据安全状态发生重大变化可能对数据安全造成不利影响时应及时开展评估;第十二条规定了评估机构发现重大风险时向数据处理者及主管部门报告的义务。同时,《征求意见稿》建立了从企业报告、部门接收通报、网信部门汇总到国家协调机制的纵向信息流转链条,以及跨地区、跨部门的横向风险信息共享与协同处置要求。这种动态监测、即时报告、上下联动、部门协同的机制,有助于实现对数据安全风险的早发现、早预警、早处置,提升整体安全防护能力。
结果互认,减负增效。在数据处理者面临多重合规义务的背景下,《征求意见稿》第二十一条明确提出结果互认原则,规定风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计等内容重合的,相关结果可以互相采信。这一规定打破不同合规体系之间的壁垒,避免数据风险重复评估、审计、认证,有利于降低企业合规成本,优化营商环境,提升监管效能。
完善建议
尽管《征求意见稿》在制度构建上具有诸多亮点,但在具体落地执行层面,还可以进一步完善,具体可从以下几个方面着手:
建立预先咨询机制,破解重要数据识别难题。《征求意见稿》第六条规定,处理重要数据的网络数据处理者应当每年度开展风险评估。重要数据是触发强制年度评估的核心开关,但在实践中,重要数据的边界往往具有动态性和模糊性,尤其是在相关行业重要数据目录尚未完全落地的过渡期,数据处理者常常面临无法确定自己是否掌握重要数据的困境,这可能导致漏评风险和过度合规的资源浪费。对此,建议在《征求意见稿》中增设预先咨询与认定程序,明确规定:网络数据处理者对所处理数据是否属于重要数据存在重大异议或难以确定的,可以向有关主管部门申请预先咨询或认定。有关主管部门应当在收到申请之日起一定期限内(如15个工作日)给予书面答复。通过赋予数据处理者程序性的权利,从源头上解决“评什么”的认知偏差。
提升重要数据评估要求,实行强制性认证委托。《征求意见稿》第八条规定,网络数据处理者委托评估机构开展风险评估,应当优先选择通过认证的评估机构。然而,重要数据关乎国家安全与公共利益,其风险评估的专业性与敏感性高于一般数据。仅规定“优先选择”,意味着企业在理论上仍可委托未获认证的机构进行评估,这给低质量、非专业的评估服务留下了灰色空间,难以保障国家安全底线。对此,建议对重要数据处理者实行更严格的管理,修改相关表述为:网络数据处理者委托评估机构开展风险评估,应当选择通过认证的评估机构。建议删除“优先”二字,确保涉及国家安全的评估工作全部由具备国家认可资质的专业机构承担。
细化投诉举报程序,构建社会共治闭环。《征求意见稿》第十九条规定,任何组织、个人有权对风险评估中的违法违规活动向有关部门进行投诉、举报,收到投诉、举报的部门应当依法及时处理。然而,该条款未明确受理的具体时限、反馈机制,缺乏量化的程序约束,这可能导致“及时处理”难以落实,使得社会监督流于形式。对此,建议进一步细化该条款,明确有关部门在收到投诉举报后的受理与反馈时限(如“在15个工作日内反馈处理结果”),且加强对举报人的保护措施,切实保障举报人合法权益,真正激活社会监督力量。
增设新技术适应条款,应对动态风险挑战。目前,《征求意见稿》的条款多针对通用的网络数据处理活动,对于新技术背景下的特殊风险关注不足。随着生成式人工智能、大数据模型等新业态的兴起,数据处理伴随着算法偏见、模型黑箱、自动决策等特有的安全风险。传统的评估方法可能难以完全覆盖这些新兴风险点。对此,建议在《征求意见稿》中增加原则性条款,要求对采用新技术、新业态的数据处理活动进行风险评估时,应充分考虑其特有的安全风险。同时,授权国家网信部门会同有关部门,及时针对新兴技术领域制定或更新风险评估的补充指引或最佳实践,确保制度的前瞻性。
作为数据安全领域迈向精细化治理的关键一步,《征求意见稿》在强化国家安全底线的同时,充分释放制度红利,体现了统筹发展和安全的立法智慧。其通过持续完善细节,进一步筑牢数据安全防线,将保障数字中国建设行稳致远。
(作者单位:山西大学法学院)