近日，國家互聯(lián)網(wǎng)信息辦公室公布《網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估管理辦法（征求意見稿）》（以下簡稱《辦法》）。《辦法》正式面向社會(huì)征求意見，標(biāo)志著我國網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估制度建設(shè)邁出關(guān)鍵一步，網(wǎng)絡(luò)數(shù)據(jù)安全治理體系的進(jìn)一步完善，對全面提升網(wǎng)絡(luò)數(shù)據(jù)安全治理能力，促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展意義重大。

一、深刻認(rèn)識(shí)《辦法》的重要意義

黨中央、國務(wù)院高度重視數(shù)據(jù)安全工作，先后出臺(tái)《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)。習(xí)近平總書記多次強(qiáng)調(diào)“要切實(shí)保障國家數(shù)據(jù)安全”“強(qiáng)化關(guān)鍵數(shù)據(jù)資源保護(hù)能力”?！掇k法》貫徹黨中央決策部署，全面貫徹落實(shí)法規(guī)要求，立足總體國家安全觀，堅(jiān)持問題導(dǎo)向，聚焦網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)治理。

（一）落實(shí)法律法規(guī)要求，夯實(shí)網(wǎng)絡(luò)數(shù)據(jù)安全治理法治根基。《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》明確提出建立數(shù)據(jù)安全風(fēng)險(xiǎn)評估機(jī)制，要求重要數(shù)據(jù)的處理者定期開展風(fēng)險(xiǎn)評估并報(bào)送報(bào)告。《辦法》通過構(gòu)建國家統(tǒng)籌、行業(yè)監(jiān)管、地方協(xié)調(diào)、網(wǎng)絡(luò)數(shù)據(jù)處理者主責(zé)的風(fēng)險(xiǎn)評估工作機(jī)制，要求網(wǎng)絡(luò)數(shù)據(jù)處理者切實(shí)履行主體責(zé)任，指導(dǎo)相關(guān)部門開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)治理、監(jiān)督檢查?！掇k法》將“建立數(shù)據(jù)安全風(fēng)險(xiǎn)評估機(jī)制”“重要數(shù)據(jù)的處理者定期組織開展網(wǎng)絡(luò)風(fēng)險(xiǎn)評估”等原則性規(guī)定轉(zhuǎn)化為可操作、可監(jiān)督的具體制度，推動(dòng)形成“法律—行政法規(guī)—部門規(guī)章—國家標(biāo)準(zhǔn)”四位一體的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施路徑。

（二）指導(dǎo)安全風(fēng)險(xiǎn)治理，提供網(wǎng)絡(luò)數(shù)據(jù)科學(xué)實(shí)踐指引。開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估，是貫徹落實(shí)總體國家安全觀的重要實(shí)踐，是推動(dòng)“依法管網(wǎng)、依法治數(shù)”從制度設(shè)計(jì)走向具體實(shí)施的關(guān)鍵舉措，也是數(shù)據(jù)處理者履行主體責(zé)任、實(shí)現(xiàn)合規(guī)運(yùn)營的基本前提。《辦法》構(gòu)建了系統(tǒng)化、規(guī)范化、標(biāo)準(zhǔn)化的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作體系，為各方開展風(fēng)險(xiǎn)治理提供了科學(xué)指引?！掇k法》推動(dòng)形成“評估發(fā)現(xiàn)風(fēng)險(xiǎn)、報(bào)告呈現(xiàn)風(fēng)險(xiǎn)、整改化解風(fēng)險(xiǎn)”的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)治理閉環(huán)，將網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)防控關(guān)口前移，促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)治理從被動(dòng)應(yīng)對向主動(dòng)防控轉(zhuǎn)變、從分散管理向系統(tǒng)治理提升。

（三）強(qiáng)化法規(guī)制度協(xié)同，促進(jìn)網(wǎng)絡(luò)數(shù)據(jù)依法合理利用。《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》明確指出，要“以維護(hù)國家數(shù)據(jù)安全、保護(hù)個(gè)人信息和商業(yè)秘密為前提”，構(gòu)建數(shù)據(jù)基礎(chǔ)制度?！掇k法》通過建立規(guī)范化的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估機(jī)制，正是實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵舉措，指導(dǎo)網(wǎng)絡(luò)數(shù)據(jù)處理者全面、深入排查、處置數(shù)據(jù)處理活動(dòng)各階段的安全風(fēng)險(xiǎn)，為促進(jìn)數(shù)據(jù)依法有序自由流動(dòng)提供了制度保障。《辦法》將網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估，與網(wǎng)絡(luò)安全等級保護(hù)測評、數(shù)據(jù)安全管理認(rèn)證、個(gè)人信息保護(hù)合規(guī)審計(jì)、商用密碼應(yīng)用安全性評估等工作進(jìn)行了銜接，支持相關(guān)結(jié)果采信，強(qiáng)化了制度協(xié)同，切實(shí)為網(wǎng)絡(luò)數(shù)據(jù)處理者松綁減負(fù)。

二、《辦法》明確了開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作的要求

《辦法》壓實(shí)各方主體責(zé)任，明確各方、各環(huán)節(jié)開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估的基本要求，解決了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作“干什么、怎么干、誰來干”的問題。

（一）壓實(shí)各方主體責(zé)任，風(fēng)險(xiǎn)協(xié)同治理。《辦法》構(gòu)建了權(quán)責(zé)清晰、運(yùn)行高效的工作體系。在國家層面，明確網(wǎng)信部門統(tǒng)籌協(xié)調(diào)職責(zé)，加強(qiáng)對各地區(qū)、各部門風(fēng)險(xiǎn)評估工作的指導(dǎo)；在行業(yè)層面，壓實(shí)有關(guān)主管部門監(jiān)管責(zé)任，按照“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”原則，要求主管部門定期組織開展本行業(yè)、本領(lǐng)域風(fēng)險(xiǎn)評估，按需開展檢查，并于每年1月底前向國家網(wǎng)信部門報(bào)送年度風(fēng)險(xiǎn)評估及檢查計(jì)劃；在地方層面，強(qiáng)化省級網(wǎng)信部門區(qū)域協(xié)調(diào)職能，形成上下聯(lián)動(dòng)的工作格局?！掇k法》要求處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者每年度、處理一般數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者至少每3年對其網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)開展評估，按期完成評估報(bào)告編制和報(bào)送工作。通過建立分層級的工作體系，《辦法》實(shí)現(xiàn)了跨地域、跨行業(yè)的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)協(xié)同治理模式，加強(qiáng)風(fēng)險(xiǎn)信息共享和協(xié)同處置，避免重復(fù)評估、重復(fù)檢查，為構(gòu)建全國“一盤棋”的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)治理新格局提供了制度保障。

（二）明確評估方式，規(guī)范機(jī)構(gòu)管理。《辦法》規(guī)定網(wǎng)絡(luò)數(shù)據(jù)處理者可自行或委托評估機(jī)構(gòu)開展風(fēng)險(xiǎn)評估。網(wǎng)絡(luò)數(shù)據(jù)處理者委托評估機(jī)構(gòu)開展風(fēng)險(xiǎn)評估時(shí)，《辦法》要求優(yōu)先選擇通過認(rèn)證的評估機(jī)構(gòu)，并明確雙方權(quán)責(zé)義務(wù)。省級以上網(wǎng)信部門和有關(guān)部門發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)處理者存在較大安全風(fēng)險(xiǎn)的網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)、網(wǎng)絡(luò)數(shù)據(jù)安全事件、網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)可能危害國家安全、公共利益等情形，能夠要求網(wǎng)絡(luò)數(shù)據(jù)處理者委托通過認(rèn)證的評估機(jī)構(gòu)開展風(fēng)險(xiǎn)評估。為加強(qiáng)評估機(jī)構(gòu)管理，《辦法》要求評估機(jī)構(gòu)取得資質(zhì)認(rèn)證，要求評估機(jī)構(gòu)遵守法規(guī)、公正客觀、禁止轉(zhuǎn)包、履行保密義務(wù)，要求同一評估機(jī)構(gòu)及其關(guān)聯(lián)機(jī)構(gòu)不得連續(xù)3次以上對同一網(wǎng)絡(luò)數(shù)據(jù)處理者開展風(fēng)險(xiǎn)評估。明確了評估方式、評估機(jī)構(gòu)的作用和管理要求，有力保障了評估過程的客觀公正與結(jié)果的可信度。

（三）強(qiáng)化評估結(jié)果運(yùn)用，發(fā)揮監(jiān)督整改成效。《辦法》配套給出指導(dǎo)性極強(qiáng)的評估報(bào)告模板，要求網(wǎng)絡(luò)數(shù)據(jù)處理者按期開展風(fēng)險(xiǎn)評估，按規(guī)定編制和報(bào)送報(bào)告，并由省級以上網(wǎng)信部門和有關(guān)部門對報(bào)告真實(shí)性、準(zhǔn)確性進(jìn)行抽查核驗(yàn)?！掇k法》將風(fēng)險(xiǎn)評估作為開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)治理、監(jiān)督檢查的重要抓手，幫助有關(guān)部門掌握網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)底數(shù)，督促網(wǎng)絡(luò)數(shù)據(jù)處理者完成風(fēng)險(xiǎn)處置。此外，《辦法》還要求省級以上網(wǎng)信部門和有關(guān)部門對網(wǎng)絡(luò)數(shù)據(jù)處理者落實(shí)風(fēng)險(xiǎn)評估責(zé)任義務(wù)情況、評估機(jī)構(gòu)規(guī)范性等情況進(jìn)行監(jiān)督，對違規(guī)違法開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估的予以處罰、責(zé)令整改等措施。這一系列制度安排，使得我國網(wǎng)絡(luò)數(shù)據(jù)安全治理實(shí)現(xiàn)從事后處置向事前預(yù)警、事中管控的深刻轉(zhuǎn)變，為強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)體系提供了堅(jiān)實(shí)的制度保障。

三、國家標(biāo)準(zhǔn)為支撐《辦法》落地發(fā)揮作用

國家標(biāo)準(zhǔn)GB/T 45577、GB/T 45389支撐《辦法》評估依據(jù)、評估機(jī)構(gòu)認(rèn)證等工作落實(shí)，為規(guī)范評估工作流程和內(nèi)容，加強(qiáng)評估機(jī)構(gòu)管理發(fā)揮了作用。

（一）國家標(biāo)準(zhǔn)GB/T 45577-2025《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評估方法》成為風(fēng)險(xiǎn)評估的主要依據(jù)。該標(biāo)準(zhǔn)規(guī)范了數(shù)據(jù)安全風(fēng)險(xiǎn)評估的工作流程、評估內(nèi)容、評估方法，提出了數(shù)據(jù)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評價(jià)方法，從數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)處理活動(dòng)安全、個(gè)人信息保護(hù)四方面設(shè)計(jì)了401項(xiàng)評估內(nèi)容，為各類網(wǎng)絡(luò)數(shù)據(jù)處理者開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估提供了統(tǒng)一的工作流程、工作內(nèi)容、工作方法。該標(biāo)準(zhǔn)解決了以往評估工作中存在的尺度不一、水平不齊、結(jié)果難互認(rèn)等問題，為構(gòu)建統(tǒng)一、科學(xué)規(guī)范、運(yùn)行高效的風(fēng)險(xiǎn)評估體系奠定了技術(shù)基礎(chǔ)。

（二）GB/T 45389-2025《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全評估機(jī)構(gòu)能力要求》支撐認(rèn)證網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估機(jī)構(gòu)。《辦法》第九條明確GB/T 45389-2025作為機(jī)構(gòu)認(rèn)證的基本依據(jù)。該標(biāo)準(zhǔn)從基礎(chǔ)條件、管理能力、技術(shù)能力、人力資源能力、場所與設(shè)備資源能力等方面設(shè)計(jì)105項(xiàng)能力要求，指導(dǎo)評估機(jī)構(gòu)進(jìn)行能力建設(shè)。該標(biāo)準(zhǔn)明確評估機(jī)構(gòu)工作公正性與獨(dú)立性要求，規(guī)范評估過程與行為管理，要求對評估過程進(jìn)行風(fēng)險(xiǎn)控制，明確評估人員能力、場地和設(shè)備等建設(shè)內(nèi)容，為加強(qiáng)評估機(jī)構(gòu)及人員專業(yè)性、規(guī)范性和可信度提供保障。

全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)作為網(wǎng)絡(luò)和數(shù)據(jù)安全等領(lǐng)域國家標(biāo)準(zhǔn)的統(tǒng)一歸口技術(shù)組織，將持續(xù)發(fā)揮對網(wǎng)絡(luò)數(shù)據(jù)安全管理工作的支撐作用，加強(qiáng)風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)研制、應(yīng)用推廣等工作，不斷提升網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作成效。

往期薦讀

●
● ●
● ● ●重要指示精神

責(zé) 編 | 吉 潔 編 輯 | 郭 靖

來 源：根據(jù)網(wǎng)信中國綜合整理