网络数据安全风险评估机制面临的问题与制度优化措施

　　网络数据安全风险评估作为保障数据安全的核心环节，涉及数据收集、存储、使用、加工、传输等全生命周期。随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规相继颁布，我国确立了网络数据安全风险评估的制度框架。但实践中，对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动缺少具体的实施细则。在此背景下，国家互联网信息办公室于2025年12月公布《网络数据安全风险评估管理办法（征求意见稿）》（以下简称《征求意见稿》）明确网络数据安全风险评估法律关系中的各方角色定位和权利义务，以进一步规范网络数据安全风险评估，划定网络数据安全合规底线。

　　网络数据安全风险评估机制面临的问题

　　目前，我国网络数据安全风险评估制度还存在内容不明确、流程不通畅、主体责任不清晰等问题亟待解决。

　　第一，风险评估规则相对模糊，精准治理效能受限。当前，网络数据安全风险评估机制存在核心数据范畴模糊、启动要件界定不清、特殊场景覆盖不足等问题。其一，核心数据评估标准缺失。核心数据关乎国家主权、安全和发展利益，但现有制度未明确国家专项规定缺失时的兜底适用规则，这导致部分关键领域核心数据安全评估缺乏针对性内容指引。其二，评估启动要件模糊。现有规则中“重要数据安全状态重大变化”等启动要件表述过于笼统，缺乏可量化、可操作的具体判定标准，且与国家标准的适用情形难以有效衔接，导致实践中评估启动时机的认定存在一定随意性。其三，特殊场景覆盖不足。跨境数据流动的安全风险呈现叠加效应，远高于境内数据。当前，跨境数据评估体系存在规则包容性失衡问题：一方面，包容性过度，企业自评估规则模糊、审查标准弹性较大，缺乏明确的量化判定标准；另一方面，包容性不足，数据出境安全评估的细节指引存在欠缺，未能充分适配不同类型企业的差异化合规需求。这不仅增加了企业合规的操作难度，还导致部分企业为降低合规成本简化乃至规避评估程序，进一步加剧跨境数据流动的安全风险。

　　第二，评估流程有待完善，风险处置效率相对低下。当前，网络数据安全风险评估流程存在周期设置僵化、处置时限缺失、结果互信不足等突出问题，导致数据安全风险处置的全链条流程衔接不畅。在评估周期方面，现有评估采用固定评估周期模式，未充分考量不同行业的数据风险差异，既无法满足金融、能源等高危行业的高频防控需求，也给中小企业增加不必要的合规负担。在风险处置时限方面，现有制度虽然明确了评估机构的风险通报义务和数据处理者的整改义务，但由于缺乏全国统一的量化标准，评估机构的通报时限和数据处理者的整改周期存在原则性要求多、统一可操作标准少的问题，导致风险识别与处置之间存在较长时间差，易造成风险扩散蔓延。在结果互信方面，现行法律法规将结果互信范围严格限定在“内容重合”范畴，缺乏跨地区、跨部门的数据评估结果互信互认的具体标准与流程，导致不同地区、不同监管部门间评估结果难以有效互认，企业需针对同一数据处理活动重复开展评估，合规成本大幅增加。

　　第三，主体责任落实存在短板，协同治理效能亟待提升。当前，数据处理者、评估机构、监管部门的三方责任体系中，部分主体责任履行不到位，跨主体协同联动机制尚不健全，监督约束机制仍有欠缺，客观上制约协同治理效能的充分发挥。在数据处理者层面，部分企业存在“重发展、轻安全”的观念，对风险评估重视不足，未严格开展全生命周期评估，甚至存在规避评估、虚假整改等违法违规行为。在评估机构层面，部分机构独立性不足，为迎合委托方需求出具失实报告，存在泄露评估过程中所获取敏感数据的违规行为。在监管部门层面，“多头监管”与“监管真空”现象并存，法定职责交叉导致数据流动过程的监管边界模糊，而新兴数据领域、数据跨境流动等场景突破传统监管框架。这既造成监管资源错位与浪费，又增加企业合规成本，抑制数据要素的自由流动。

　　数据安全风险评估机制的规范路径

　　以总体国家安全观为指引，立足数据安全治理的系统性、整体性、协同性要求，针对评估机制的现实梗阻，从制度规范、治理范式、责任体系三个维度构建优化路径，推动风险评估工作从“有形覆盖”向“有效覆盖”跃升。

　　第一，健全风险评估制度规范体系，增强评估规则的适配性。立足数据全生命周期的风险防控需求，通过规则细化、场景拓展与标准衔接，填补风险评估内容空白，厘清风险评估制度边界。一是明确风险评估的适用情形。风险评估规则应对接国家标准《数据安全技术数据安全风险评估方法》（GB/T 45577—2025），将数据处理系统重大升级、业务范围调整导致数据类型新增、数据量显著增长、发生数据安全事件、跨境数据流动方案变更等因素纳入风险评估制度的启动情形，制定可量化、可操作的判定标准。二是细化核心数据风险评估的具体标准。建立核心数据评估的兜底适用规则。明确当国家无相关专项规定时，适用网络数据安全风险评估的统一规范，确保核心数据评估有章可循。三是引入风险评估周期弹性机制。依据不同行业的数据风险等级，赋予行业主管部门灵活调整权限，对金融、能源等高危行业实行高频评估机制；对低风险行业适当延长评估周期，报国家网信部门备案后实施，实现风险防控与合规成本的动态平衡。四是健全跨境数据评估体系。新增重要数据出境专项风险评估制度，依据国家标准重点评估接收方法律环境、数据保护水平、跨境技术措施有效性等内容。

　　第二，构建技术与法律互动融合机制，推动风险评估提质增效。以技术赋能与法律规制的双向联动为核心，构建协同治理范式，破解流程僵化与效率低下的难题，提升数据安全治理效能。一是建立评估报告摘要的强制披露机制。明确重要数据处理者的评估报告摘要披露义务（涉密信息除外），由主管部门制定统一的摘要模板，以公开报告摘要披露的方式倒逼企业提升数据安全和评估工作质量，强化社会监督。二是明确风险处置时限标准。规范评估机构的风险通报义务，要求发现重大风险后，在特定时限内及时通报数据处理者并报告监管部门。明确数据处理者接收通报后的整改方案提交期限，以提高风险处置效率。三是完善风险评估相关结果互信机制。扩大结果互信的适用范围，以“实质内容重合”作为标准，确立省级网信部门为评估结果的权威采信主体，实现不同地区、不同部门间的评估结果互认，避免重复评估，减轻企业合规负担。四是优化跨境评估操作流程。细化数据出境评估的申请、审核、备案等环节的操作指引，明确各环节的办理时限与责任主体，降低企业合规操作难度，治理规避评估的违规行为。

　　第三，完善多元协同责任体系，压实风险评估三方主体责任。一是压实数据处理者的主体责任。强化企业的数据安全主体责任意识，树立全生命周期安全理念，开展常态化风险评估，如实报送评估报告，对规避评估、虚假整改等行为依法追究法律责任。二是压实评估机构的主体责任。明确评估机构的独立性要求，建立利益冲突防范机制，确保评估报告独立、专业、客观。强化评估机构的数据保密义务，对评估过程中获取的敏感数据严格保密，对出具失实报告的行为设定严厉的法律责任。三是压实监管部门的主体责任。厘清各监管部门的职责边界，破解“多头监管”与“监管真空”的困境，构建协同高效的监管格局。赋予省级以上网信部门和有关主管部门强制委托评估权，即在评估报告核验、监督等工作阶段发现存在较大安全风险等情形时，有权要求数据处理者及时委托经认证的评估机构开展评估，防范系统性风险。

　　网络数据安全风险评估机制是践行总体国家安全观、统筹数据发展和安全的关键抓手，也是契合国家战略导向、服务数字中国建设长远目标的重要制度支撑。当前，亟须通过制度规范细化、技术法律融合、多元责任协同破解面临的问题，为数据赋能新质生产力发展、推动实体经济与数字经济深度融合筑牢法治根基，护航数字经济高质量发展。

　　本文为上海市教育委员会人工智能促进科研范式改革赋能学科跃升计划一般项目“人工智能协同金融监管的规范化进路”的阶段性研究成果。

　　（作者单位：上海政法学院上海司法研究所、中国政法大学民商经济法学院）