作者|陳川 宋潤政

責編|薛應(yīng)軍

正文共3089個字，預(yù)計閱讀需9分鐘▼

12月6日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全風險評估辦法（征求意見稿）》（以下簡稱《征求意見稿》），向社會公開征求意見，旨在規(guī)范網(wǎng)絡(luò)數(shù)據(jù)安全風險評估活動，保障網(wǎng)絡(luò)數(shù)據(jù)安全，促進網(wǎng)絡(luò)數(shù)據(jù)依法合理有效利用。意見反饋截止日期為2026年1月5日。

《征求意見稿》明確指出，處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者，應(yīng)當每年度對其網(wǎng)絡(luò)數(shù)據(jù)處理活動開展風險評估，而未按規(guī)定開展風險評估的，將面臨監(jiān)管部門的處置處罰。這是國家網(wǎng)絡(luò)數(shù)據(jù)安全法律體系走向精細化、實操化的關(guān)鍵步驟之一，也是落實國家數(shù)據(jù)安全的必然要求。

近年來，隨著信息技術(shù)的飛速發(fā)展，數(shù)據(jù)已躍升為第五大生產(chǎn)要素。網(wǎng)絡(luò)數(shù)據(jù)安全建設(shè)日益重要，傳統(tǒng)事后補救的模式無法應(yīng)對系統(tǒng)性風險。風險評估制度的核心就在于防患于未然，通過周期性、系統(tǒng)性的排查，主動發(fā)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)處理活動中的隱患，將風險控制在可接受的范圍內(nèi)。在此背景下，《征求意見稿》應(yīng)運而生。

《中華人民共和國數(shù)據(jù)安全法》第三十條雖確立了重要數(shù)據(jù)處理者的定期評估義務(wù)，但對評估頻率、具體內(nèi)容及評估報告要素等操作細節(jié)未作具體規(guī)定?！墩髑笠庖姼濉凡粌H對該條款進行了回應(yīng)，還進一步細化《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》中關(guān)于年度評估、觸發(fā)式評估的具體要求，明確了報送時限、機構(gòu)資質(zhì)認證及監(jiān)管協(xié)調(diào)機制，形成了完整的執(zhí)行閉環(huán)，亮點頗多。

主要亮點

統(tǒng)籌協(xié)調(diào)，職責清晰?！墩髑笠庖姼濉返谒臈l明確確立了“誰管業(yè)務(wù)、誰管業(yè)務(wù)數(shù)據(jù)、誰管數(shù)據(jù)安全”的原則。這一原則清晰地厘清了行業(yè)主管部門與網(wǎng)信部門的職責邊界，即行業(yè)部門負責本領(lǐng)域的具體監(jiān)管計劃的制定與執(zhí)行，網(wǎng)信部門負責宏觀統(tǒng)籌和跨部門協(xié)調(diào)。這可有效避免職責交叉與監(jiān)管空白，有助于解決實踐中多頭管理的問題，使監(jiān)管權(quán)責更加清晰。同時，《征求意見稿》第五條規(guī)定國家網(wǎng)信部門統(tǒng)籌有關(guān)主管部門和省級網(wǎng)信部門報送的年度風險評估及檢查計劃，有效避免重復(fù)評估、重復(fù)檢查。

聚焦重點，分級監(jiān)管?！墩髑笠庖姼濉凡捎貌町惢O(jiān)管策略，避免監(jiān)管資源平均用力。對于重要數(shù)據(jù)處理者，《征求意見稿》第六條強制要求實行嚴格的每年度評估制度，體現(xiàn)了風險越高、監(jiān)管越嚴的原則。而對于一般數(shù)據(jù)處理者，則鼓勵其至少每3年開展一次評估。同時，《征求意見稿》第二十三條、第二十四條規(guī)定，對于核心數(shù)據(jù)處理者及開展涉及國家秘密、工作秘密的風險評估活動因存在特別規(guī)定而不適用此辦法。這種風險分級、重點突出的監(jiān)管思路，將有限的資源集中在對國家安全和公共利益影響最大的“重要數(shù)據(jù)”上，既守住了安全底線，又切實減輕了中小微企業(yè)的合規(guī)負擔，體現(xiàn)了監(jiān)管的溫度與精度。

強化責任，規(guī)范機構(gòu)?！墩髑笠庖姼濉访鞔_網(wǎng)絡(luò)數(shù)據(jù)處理者是風險評估的責任主體，可自行或委托第三方評估機構(gòu)開展。對于委托評估，《征求意見稿》提出了優(yōu)先選擇通過認證的機構(gòu)、簽訂權(quán)責協(xié)議等要求。創(chuàng)新性地規(guī)定，同一評估機構(gòu)及其關(guān)聯(lián)機構(gòu)不得連續(xù)3次以上對同一網(wǎng)絡(luò)數(shù)據(jù)處理者開展風險評估。這有利于防止評估機構(gòu)與企業(yè)之間形成利益捆綁，避免評估流于形式，可確保風險評估的客觀性和公正性。同時，《征求意見稿》對評估機構(gòu)設(shè)立了行為規(guī)范，要求其公正客觀、對報告負責、承擔保密義務(wù)及風險報告責任，并明確了違規(guī)后果。這進一步壓實數(shù)據(jù)處理者的安全主體責任，又通過規(guī)范第三方市場提升評估活動的專業(yè)性和公信力。

風險響應(yīng)，協(xié)同處置?！墩髑笠庖姼濉凡粌H關(guān)注常態(tài)化的年度評估，也要求對動態(tài)風險進行積極響應(yīng)，如第六條規(guī)定重要數(shù)據(jù)安全狀態(tài)發(fā)生重大變化可能對數(shù)據(jù)安全造成不利影響時應(yīng)及時開展評估；第十二條規(guī)定了評估機構(gòu)發(fā)現(xiàn)重大風險時向數(shù)據(jù)處理者及主管部門報告的義務(wù)。同時，《征求意見稿》建立了從企業(yè)報告、部門接收通報、網(wǎng)信部門匯總到國家協(xié)調(diào)機制的縱向信息流轉(zhuǎn)鏈條，以及跨地區(qū)、跨部門的橫向風險信息共享與協(xié)同處置要求。這種動態(tài)監(jiān)測、即時報告、上下聯(lián)動、部門協(xié)同的機制，有助于實現(xiàn)對數(shù)據(jù)安全風險的早發(fā)現(xiàn)、早預(yù)警、早處置，提升整體安全防護能力。

結(jié)果互認，減負增效。在數(shù)據(jù)處理者面臨多重合規(guī)義務(wù)的背景下，《征求意見稿》第二十一條明確提出結(jié)果互認原則，規(guī)定風險評估與網(wǎng)絡(luò)安全等級保護測評、數(shù)據(jù)安全管理認證、個人信息保護合規(guī)審計等內(nèi)容重合的，相關(guān)結(jié)果可以互相采信。這一規(guī)定打破不同合規(guī)體系之間的壁壘，避免數(shù)據(jù)風險重復(fù)評估、審計、認證，有利于降低企業(yè)合規(guī)成本，優(yōu)化營商環(huán)境，提升監(jiān)管效能。

完善建議

盡管《征求意見稿》在制度構(gòu)建上具有諸多亮點，但在具體落地執(zhí)行層面，還可以進一步完善，具體可從以下幾個方面著手：

建立預(yù)先咨詢機制，破解重要數(shù)據(jù)識別難題?！墩髑笠庖姼濉返诹鶙l規(guī)定，處理重要數(shù)據(jù)的網(wǎng)絡(luò)數(shù)據(jù)處理者應(yīng)當每年度開展風險評估。重要數(shù)據(jù)是觸發(fā)強制年度評估的核心開關(guān)，但在實踐中，重要數(shù)據(jù)的邊界往往具有動態(tài)性和模糊性，尤其是在相關(guān)行業(yè)重要數(shù)據(jù)目錄尚未完全落地的過渡期，數(shù)據(jù)處理者常常面臨無法確定自己是否掌握重要數(shù)據(jù)的困境，這可能導致漏評風險和過度合規(guī)的資源浪費。對此，建議在《征求意見稿》中增設(shè)預(yù)先咨詢與認定程序，明確規(guī)定：網(wǎng)絡(luò)數(shù)據(jù)處理者對所處理數(shù)據(jù)是否屬于重要數(shù)據(jù)存在重大異議或難以確定的，可以向有關(guān)主管部門申請預(yù)先咨詢或認定。有關(guān)主管部門應(yīng)當在收到申請之日起一定期限內(nèi)（如15個工作日）給予書面答復(fù)。通過賦予數(shù)據(jù)處理者程序性的權(quán)利，從源頭上解決“評什么”的認知偏差。

提升重要數(shù)據(jù)評估要求，實行強制性認證委托?！墩髑笠庖姼濉返诎藯l規(guī)定，網(wǎng)絡(luò)數(shù)據(jù)處理者委托評估機構(gòu)開展風險評估，應(yīng)當優(yōu)先選擇通過認證的評估機構(gòu)。然而，重要數(shù)據(jù)關(guān)乎國家安全與公共利益，其風險評估的專業(yè)性與敏感性高于一般數(shù)據(jù)。僅規(guī)定“優(yōu)先選擇”，意味著企業(yè)在理論上仍可委托未獲認證的機構(gòu)進行評估，這給低質(zhì)量、非專業(yè)的評估服務(wù)留下了灰色空間，難以保障國家安全底線。對此，建議對重要數(shù)據(jù)處理者實行更嚴格的管理，修改相關(guān)表述為：網(wǎng)絡(luò)數(shù)據(jù)處理者委托評估機構(gòu)開展風險評估，應(yīng)當選擇通過認證的評估機構(gòu)。建議刪除“優(yōu)先”二字，確保涉及國家安全的評估工作全部由具備國家認可資質(zhì)的專業(yè)機構(gòu)承擔。

細化投訴舉報程序，構(gòu)建社會共治閉環(huán)。《征求意見稿》第十九條規(guī)定，任何組織、個人有權(quán)對風險評估中的違法違規(guī)活動向有關(guān)部門進行投訴、舉報，收到投訴、舉報的部門應(yīng)當依法及時處理。然而，該條款未明確受理的具體時限、反饋機制，缺乏量化的程序約束，這可能導致“及時處理”難以落實，使得社會監(jiān)督流于形式。對此，建議進一步細化該條款，明確有關(guān)部門在收到投訴舉報后的受理與反饋時限（如“在15個工作日內(nèi)反饋處理結(jié)果”），且加強對舉報人的保護措施，切實保障舉報人合法權(quán)益，真正激活社會監(jiān)督力量。

增設(shè)新技術(shù)適應(yīng)條款，應(yīng)對動態(tài)風險挑戰(zhàn)。目前，《征求意見稿》的條款多針對通用的網(wǎng)絡(luò)數(shù)據(jù)處理活動，對于新技術(shù)背景下的特殊風險關(guān)注不足。隨著生成式人工智能、大數(shù)據(jù)模型等新業(yè)態(tài)的興起，數(shù)據(jù)處理伴隨著算法偏見、模型黑箱、自動決策等特有的安全風險。傳統(tǒng)的評估方法可能難以完全覆蓋這些新興風險點。對此，建議在《征求意見稿》中增加原則性條款，要求對采用新技術(shù)、新業(yè)態(tài)的數(shù)據(jù)處理活動進行風險評估時，應(yīng)充分考慮其特有的安全風險。同時，授權(quán)國家網(wǎng)信部門會同有關(guān)部門，及時針對新興技術(shù)領(lǐng)域制定或更新風險評估的補充指引或最佳實踐，確保制度的前瞻性。

作為數(shù)據(jù)安全領(lǐng)域邁向精細化治理的關(guān)鍵一步，《征求意見稿》在強化國家安全底線的同時，充分釋放制度紅利，體現(xiàn)了統(tǒng)籌發(fā)展和安全的立法智慧。其通過持續(xù)完善細節(jié)，進一步筑牢數(shù)據(jù)安全防線，將保障數(shù)字中國建設(shè)行穩(wěn)致遠。

（作者單位：山西大學法學院）