12月6日,国家互联网信息办公室就《网络数据安全风险评估办法(征求意见稿)》(下称“《征求意见稿》”)向社会公开征求意见[1]。《数据安全法》最早规定“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”(第三十条第一款)。《网络数据安全管理条例》首次明确了数据安全风险评估的具体要求,《征求意见稿》首次对数据安全风险评估的内容、程序、报告义务等进行了详细规定。
一、如何理解数据安全风险评估?
《征求意见稿》设计了全面、完整的数据安全风险评估制度,对《数据安全法》《网络数据安全管理条例》有关数据安全风险评估制度作出了细化和完善性规定。准确把握《征求意见稿》的最新规定和合规要求,宜首先理解《征求意见稿》的制定背景和深层含义。
(一)数据安全风险评估关涉国家安全事项
《征求意见稿》由国家网信办制定,但其与《数据安全法》等相关联,关系国家安全义务。《征求意见稿》第十四条中规定,国家网信部门汇总相关报告并报送国家数据安全工作协调机制。根据《数据安全法》规定,国家数据安全工作协调机制由中央国家安全领导机构负责建立。不难理解,重要数据处理者的年度风险评估报告将最终报送至中央国家安全领导机构所建立的国家数据安全工作协调机制。这意味着,重要数据处理者需要从国家安全的角度落实数据安全义务,提升其合规义务的优先级,从国家安全的高度评估数据安全风险。
(二)重要数据处理者的典型义务
数据安全风险评估以重要数据为对象。《网络数据安全管理条例》首次明确了“网络数据处理者应当按照国家有关规定识别、申报重要数据”的义务,如果识别发现重要数据的,则应相应开展重要数据安全管理工作,包括设置专门机构和人员、开展风险评估(共享评估和年度评估)等。《网络数据安全管理条例》规定了两种风险评估义务:一个是特定事项即共享场景下的风险评估,要求重要数据处理者提供、委托处理、共同处理重要数据前进行风险评估(第三十一条);另一个是年度评估,即每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报告(第三十三条),这也是《征求意见稿》所进一步细化和规范的风险评估事项。
(三)数据安全领域的常态化执法
2025年,国家有关部门加大了在数据治理方面的常态化执法力度。自3月启动个人信息保护专项执法行动以来[2],工信部、公安部、中央网信办持续开展移动应用检测等执法活动,推动《个人信息保护法》及其配套规定落实落地。个人信息保护的具体要求和合规标准越来越清晰,个人信息保护水平明显提升。但是,数据安全领域常态化执法还没有形成系统的体系。时至岁末,四部委个人信息保护专项行动已经临近尾声,积累了丰富的经验,可以在其经验之上,在数据安全领域推进常态化执法。从企业的角度来说,在今年的个人信息保护专项行动中也积累了不少个人信息保护合规经验,未来可在数据安全合规中复制和运用,整体提高企业的数据合规能力,降低合规风险。
二、哪些企业需要开展数据安全风险评估?
数据合规涉及重要数据、个人信息等数据类型,企业可能是网络运营者、网络数据处理者、数据处理者、个人信息处理者或者关键信息基础设施运营者等不同的法律身份,对应不同的法律义务,可能存在相应的合规风险和承担法律责任。随着数据合规持续成为企业内部治理体系的重要内容,构建结构清晰、条理分明的合规机制变得非常重要。就《征求意见稿》而言,需要重点关注以下内容(步骤),从而明确是否需要开展数据安全风险评估。
(一)判断主体性质
《网络安全法》《数据安全法》《个人信息保护法》等规定了不同的义务主体,分别为网络运营者、数据处理者和个人信息处理者。《征求意见稿》与《网络数据安全管理条例》一致,其主体主要是“网络数据处理者”以及相应的重要数据处理者。我们理解,虽然不同的法律规定中对数据相关处理者的表述有差异,但是纵观整体网络安全与数据合规法规体系,最优先需要确定的是企业是否构成关键信息基础设施运营者。关键信息基础设施运营者不仅需要承担更高的法律义务,同时其掌握的数据可能因其身份而增加敏感程度或重要程度。判断是否是关键信息基础设施运营者并不复杂,根据《关键信息基础设施安全保护条例》,经主管部门通知为关键信息基础设施运营者的属于关键信息基础设施运营者。如未接到相关部门通知,则不是关键信息基础设施运营者。
(二)判断数据类型
根据《个人信息保护法》《数据安全法》及相关配套规定,需要满足合规义务的数据类型主要包括个人信息和重要数据两种,这正是数据分类分级制度的底层逻辑。从类别的角度,数据至少可以分为个人信息和非个人信息;从级别的角度,数据至少可以分为一般数据、重要数据和核心数据。《数据安全法》明确“国家建立数据分类分级保护制度”(第二十一条),企业只有在数据分类分级的基础上,才有可能落实数据合规相关义务。只有通过分类分级,才能识别个人信息、重要数据等数据并按照法律规定采取相应的保护措施。实践中,因为“未落实数据分类分级制度”而被处罚的案例不在少数,甚至对责任人员个人罚款。
数据分类分级可以参考GB/T 43697-2024《数据安全技术 数据分类分级规则》的方法,先分类再分级。从分类的角度而言,可以按照先行业领域分类、再业务属性分类的思路进行分类,我们建议至少要识别出企业所掌握的个人信息和重要数据。
就个人信息而言,应当按照国家有关规定和标准进行识别和分类,如GB/T 35273-2020《信息安全技术 个人信息安全规范》、GB/T 43697-2024《数据安全技术 数据分类分级规则》、GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》等。
就重要数据而言,我们希望提示的是识别动作本身就是一项法定义务,也是数据分类分级制度的重要目的之一,企业宜按照法定要求开展识别工作并留存相关合规证明。但是实践中,重要数据识别属于合规难点。对此,国家网信办作出了详细的解释说明[5],可以归纳为三个步骤:
- 第一步,参考官方目录进行识别。部分行业、领域数据分类分级标准规范和重要数据识别申报规则已经公开发布,如工业领域的《工业领域重要数据识别指南》、电信领域的《电信领域重要数据识别指南》、自然资源领域的《地理信息数据分类分级工作指南(试行)》、统计领域的《统计数据安全管理办法》等,还有的通过召开会议、制发文件、一对一通知等形式告知到数据处理者。
- 第二步,参考标准规范等进行识别。数据处理者应当按照相关标准规范、申报规则和有关主管部门的要求,及时做好重要数据识别、申报工作。GB/T 43697-2024《数据安全技术 数据分类分级规则》附录G《重要数据识别指南》提出了重要数据识别方法,数据处理者可依据相关法律法规、技术标准等识别申报重要数据。实践中,我们建议进一步参考相关自贸区的数据出境负面清单中所列的重要数据,亦可以作为重要数据识别的重要参考。截至目前,已有天津、北京、上海、海南、浙江、重庆、江苏、广西等自贸区发布了数据出境负面清单(详见前期文章:《三尺之律四海之人——数据出境监管政策体系结构及实务操作指南(含自贸区数据出境负面清单全量梳理),兼解读<个人信息出境认证办法>》)。
- 第三步,未通报或通知的不为重要数据。《网络数据安全管理条例》中明确,“未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估”。“数据出境安全管理政策问答(2025年5月)”中也明确,没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则,数据处理者也没有被有关部门告知应当进行重要数据识别申报的,未识别申报重要数据,未对相关数据进行重点保护,不会被认定为违反重要数据保护相关规定,不会因此受到行政处罚。
三、如何开展数据安全风险评估?
《征求意见稿》以《数据安全法》《网络数据安全管理条例》作为上位法依据,细化了数据安全风险评估的要求(详见下表)。就《征求意见稿》而言,需要厘清几个问题。
(一)一般数据处理者需不需要开展数据安全风险评估?
《数据安全法》和《网络数据安全管理条例》都把风险评估作为重要数据处理者的一项义务,《征求意见稿》第六条第二款明确鼓励一般数据处理者至少每3年开展一次风险评估。从文义理解,对于一般数据处理者而言,风险评估显然不是强制性义务。但是,我们建议一般数据处理者综合考虑相关因素后决定是否开展数据安全风险评估,避免不必要的法律理解层面的合规风险和现实的数据安全风险等。
(1)潜在重要数据因素
企业宜结合自身的数据处理情况,综合判断数据安全风险,对于确定存在重要数据的,当然要开展数据安全风险评估。而对于不能确定是否存在重要数据的,则要综合相关因素进行考虑。重要数据属于典型的“目录管理”事项,监管机构通过发布目录的方式确定管理范围。但是实践中很多行业、领域都还没有相关重要数据目录,对此不可轻易认为没有目录就没有重要数据[6]。《网络数据安全管理条例》[7]及相关标准等都对重要数据采取了定性方式进行定义, 企业宜在自识别的基础上,判断数据泄露等对国家、经济、社会等造成影响的可能性和程度大小,以决定是否需要通过数据安全风险评估的方式识别和应对风险。
(2)避免强制评估
《征求意见稿》第十五条规定了强制风险评估的要求,明确在特定情形下[8],省级以上网信部门和有关部门应当要求网络数据处理者委托通过认证的评估机构开展风险评估。不难理解,强制评估可能会使企业陷入比较被动的局面,相信无论是监管部门还是企业都不太希望强制评估的发生。虽然从企业的角度无法左右监管部门是否会要求强制评估,但是可以通过主动风险评估的方式,知道自身可能存在的数据安全风险,避免发生网络数据安全事件和被要求强制评估的可能性。
(3)个人信息因素
《征求意见稿》以重要数据为主要对象,但是个人信息保护与数据安全存在交叉,建议网络数据处理者处理1000万人以上个人信息的,也要考虑开展数据安全风险评估。《网络数据安全管理条例》要求网络数据处理者处理1000万人以上个人信息的,还要遵守有关重要数据保护的义务[9],其中包括定期开展网络数据安全风险评估的义务(第三十条第一款第二项),同时根据《个人信息保护合规审计管理办法》,处理超过1000万人个人信息的个人信息处理者,应当每两年至少开展一次个人信息保护合规审计。因此,如果企业不涉及重要数据,但是处理个人信息超过1000万人的,也需要按照要求开展数据安全风险评估。
(二)共享场景下需不需要开展数据安全风险评估?
所谓的共享场景,是指通过提供、委托处理、共同处理等方式转移或者由他人使用数据的情形。《网络数据安全管理条例》要求共享重要数据的,应当事前进行风险评估(第三十一条)。《征求意见稿》也规定了,重要数据处理者提供、委托处理、共同处理重要数据前进行风险评估,可以参照本办法有关规定执行(第二十二条)。我们理解,重要数据共享前的风险评估属于法定义务,因此必须遵守,而其评估的方法和内容可以参考《征求意见稿》,如可以自行或者委托第三方机构开展,评估内容可以参考《网络数据安全风险评估报告》中的内容。
(三)自行开展还是委托第三方机构开展数据安全风险评估?
《征求意见稿》与《个人信息保护合规审计管理办法》类似,明确了自行开展和委托第三方机构开展的方式。《征求意见稿》要求,自行开展风险评估,应当指定专人负责;委托第三方机构开展风险评估,应当优先选择通过认证的评估机构,并通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、责任和保密义务等(第八条)。比较而言,自行开展的方式较为灵活但缺乏外部公信力,委托第三方的方式能够引入外部公信力但灵活性有限。自行开展的方式适合风险较低、场景相对单一且内部具备合规与技术能力的团队;优势是速度快、对业务熟悉,但是独立性与专业深度可能不足;委托第三方的方式适合重要数据规模大、业务场景复杂、平台型或复杂技术栈的业务,能够提升客观性与被监管认可度,但可能增加业务理解成本和协作成本。
我们建议,企业选择自行开展或者委托第三方机构开展风险评估时,宜考虑以下因素:
(1)组织能力
对于数据规模大、数据处理场景丰富或者数据敏感程度高的企业而言,数据安全风险评估需要全面、准确识别风险并采取有效的缓释措施。这需要充足的人力、技术、时间等资源,且必须具备风险识别能力和系统性组织能力。企业可以根据自身组织架构、人才和技术储备情况,选择由内部组织或者委托第三方机构开展数据安全风险评估。
(2)风险程度
随着数字化发展日趋成熟,特别是人工智能发展过程中数据利用场景愈发丰富,企业创新过程中可能面临经验空白、风险不确定等实际困难,这对风险识别和评估带来挑战。此时,第三方机构可以借助专业力量对相关数据处理风险进行更为准确、客观的评估,提升数据安全风险评估的效果。
(3)预期效果
开展数据安全风险评估诚然是相关企业的法定义务,但开展风险评估前也最好考虑清楚评估目的。如果评估目的仅为完成法定义务,实现“心中有数”,则以自行开展为宜;如果评估目的还包括取得第三方的认定,客观呈现风险状况及采取措施的有效性等,实现“外部感知”,甚至向上下游市场、社会公众等展示数据安全水平的可信程度,则显然委托第三方机构开展评估的效果更佳。
(4)联合评估
从实践出发,也可以考虑采取内部团队与第三方协作的方式,既保证业务理解又引入外部专业能力,具体操作中可以对关键系统、高风险场景做深度评估,对低风险系统、场景采用抽样或轻量评估。
(四)网络数据处理者委托第三方机构开展数据安全风险评估时有哪些配合义务?
《征求意见稿》明确,省级以上网信部门和有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有特定情形的,应当要求其委托通过认证的评估机构开展风险评估(第十五条)。同时,《征求意见稿》规定了网络数据处理者应当配合委托评估机构开展风险评估,具体义务包括:
- 为评估机构开展风险评估工作提供必要支持,包括为风险评估人员提供访问网络数据设施、网络数据、系统及操作日志记录权限等;
- 在限定时间内完成风险评估,承担评估费用,情况复杂的,报有关部门批准后可以适当延长;
- 在完成风险评估后将评估机构出具的评估报告报送有关部门,评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章;
- 按照有关部门要求对风险评估中发现的问题进行整改,在整改完成后15个工作日内,向有关部门报送整改情况报告。
值得注意的是,虽然这是在强制评估场景下的配合义务,但对于委托第三方机构评估的场景,也应同样适用。
四、对企业合规的启示
(一)综合的网络安全与数据合规体系
数据安全风险属于系统性风险,反映出企业在网络安全、数据治理等方面的综合合规水平,需要从企业级层面统筹部署,以数据安全为核心构建完善的网络安全与数据合规体系。
- 建立“统一治理、分层负责”的合规架构,由董事会/高管层确立数据安全与个人信息保护的总体方针;设立数据安全负责人(或数据保护官)与跨部门工作机制,联动法务、信息安全、业务、产品、采购、内审与应急团队。
- 构建制度矩阵并与业务流程深度嵌入,涵盖数据资产管理、数据分类分级与重要数据识别、数据共享/出境管理、第三方与委托处理管理、最小必要与访问控制、加密与脱敏、水印与泄露溯源、日志审计与留痕、事件通报与应急响应、年度与事件触发的风险评估机制等,,做到制度不止“有文件”,还要“有流程、有工具、有证据”。
- 建立评估触发与闭环整改机制,按照征求意见稿的要求,形成“至少每年一次”的常规评估与“重大变更/重大风险事件/新技术应用/数据跨境/新共享场景”等即时评估触发清单,明确风险分级、责任人、整改时限、复核与复评等关键节点内容。
- 对标法律与标准形成控制库,将《网络安全法》《数据安全法》《个人信息保护法》及数据出境、安全评估相关规定逐条映射为内部控制项,并参考ISO/IEC 27001、ISO/IEC 27701、NIST CSF、GB/T 35273、GB/T 43697-2024等形成企业控制库与证据台账,便于审计与监管检查。
- 强化供应链与平台型责任,把合作方、委托处理方、云服务商纳入统一管理框架,基于合同等约定双方数据安全保障的权利义务,必要时要求其参与或配合风险评估;平台型与大规模用户企业宜考虑增加重点数据处理场景的专项风险评估。
(二)开展数据分类分级和重要数据识别工作
数据分类分级方面,建议制定贴合业务的分类分级标准,参考国家与行业标准(如GB/T 43697-2024),结合自身数据类型与用途,至少区分一般数据、重要数据、核心数据,并细化个人信息与敏感个人信息的判定与处理规则。建立“盘点—分级—打标—应用—更新”的闭环流程,开展全量数据资产盘点与数据流梳理(系统、表、字段、接口、共享与出境路径)。同时,将分级结果与技术和管理控制绑定:分级访问控制、强加密与密钥管理、脱敏与最小化、细粒度审计、水印与泄露追踪、备份与灾备差异化。
重要数据识别方面,建议结合国家、地方与行业发布的重要数据目录与指南,综合“对国家安全、公共利益、关键行业运行、社会稳定、个人合法权益造成显著影响”的判定。同时,结合企业场景,如生产运营指标、地理与设施信息、车联网/工业控制数据、金融交易与清算数据、大型平台运营数据等,形成内部识别规则与审批流程。
(三)评估内部资源选择合适的评估方式
虽然《征求意见稿》仍在立法起草过程中,但其代表了数据安全风险评估的未来方向,且数据安全风险评估属于系统性合规工程,建议企业提前评估自身情况及合规要点,明确评估的适用性及开展频率,选择适合企业的风险评估方式,考虑合规性评估、技术性评估、场景专项评估等比例及结合程度,相应制定年度预算与资源计划,设定可量化指标,充分做好新法出台前的合规准备。
总体而言,企业宜把风险评估视为贯穿数据全生命周期的“常态化治理动作”,以分类分级与重要数据识别为基础,结合自身资源与风险状况选择合适的评估路径,形成可持续的合规与风险防控能力。
脚注:
[1] 参见:国家互联网信息办公室关于《网络数据安全风险评估办法(征求意见稿)》公开征求意见的通知_中央网络安全和信息化委员会办公室
[2] 参见:中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告_中央网络安全和信息化委员会办公室
[3] 参见:两家公司违反《数据安全法》被郑州市网信办行政处罚
[4] 参见:亮剑浦江丨上海网信部门处罚一批医疗服务类互联网企业,三大类问题值得关注_澎湃质量观_澎湃新闻-The Paper
[5] 参见:数据出境安全管理政策问答(2025年5月)_中央网络安全和信息化委员会办公室
[6] 注:前述《网络数据安全管理条例》第三十七条中所规定的“未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估”,仅适用于跨境场景。
[7] 《网络数据安全管理条例》第六十二条第四项明确,重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
[8] 情形包括:(一)网络数据处理活动存在较大安全风险的;(二)发生网络数据安全事件,导致重要数据或者大规模个人信息泄露、被窃取的;(三)网络数据处理活动可能危害国家安全、公共利益的;(四)国家网信部门或者有关部门规定的其他情形。
[9] 《网络数据安全管理条例》第二十八条 网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。
(原标题:夫未战而庙算胜者——解读《网络数据安全风险评估办法(征求意见稿)》)
来源:金杜研究院,https://www.kwm.com/cn/zh/home.html
作者:
- 宁宣凤,金杜律师事务所合伙人,合规业务部;业务领域:反垄断与反不正当竞争,以及网络安全与数据合规;联系方式:邮箱:susan.ning@cn.kwm.com
- 吴涵,金杜律师事务所合伙人,合规业务部;业务领域:网络安全、数据合规与治理;联系方式:邮箱:wuhan@cn.kwm.com
- 方禹,金杜律师事务所顾问,合规业务部
特别声明:本篇文章的所有内容仅供参考与交流,不代表金杜律师事务所的法律意见以及对法律的解读。