当前,我国正全面推进网络强国建设,数字经济持续健康发展,日益成为驱动高质量发展的关键引擎。随着信息化迈向数字化、网络化、智能化全面跃升的新阶段,网络数据规模稳步增长,网络空间安全形势更趋复杂,这对网络数据治理体系建设提出了更高要求。统筹发展和安全,是数字经济行稳致远的前提。正如习近平总书记在中共中央政治局第二十三次集体学习时所强调的,既“要鼓励网信领域新技术发展,促进研发成果转化和应用场景落地”,又“要完善分级分类的安全监管机制,筑牢网络安全和数据安全防线”。在《数据安全法》《网络数据安全管理条例》等法律法规确立网络数据风险评估宏观框架的基础上,亟须通过配套规章将原则性要求转化为具象化的操作规范。

6月18日,国家互联网信息办公室等三部门公布《网络数据安全风险评估办法》(以下简称《办法》),实质上为新技术与新业态的合规应用进一步优化了数字经济法治生态,为有效解决企业网络数据安全风险评估“谁来管、怎么评、如何用”的实践难题提供了指引。《办法》细化评估规则,在遵守分级分类监管要求的同时,优化了市场主体的合规路径与资源投入,标志着我国网络数据安全治理全面迈入精细化、标准化的新阶段。

一、细化评估规则,压实主体责任

《办法》正文总共二十五条,为既有法律体系中的网络数据安全风险评估制度搭建了全景式操作框架,旨在将宏观的法律规定转化为微观操作规范,明晰了网络数据处理者与第三方评估机构的合规与责任边界。一是明确评估频次。《办法》规定,重要数据处理者应当每年度开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。同时,鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。二是规范机构管理。《办法》明确,评估机构开展风险评估应当遵守法律法规,公正客观地作出风险判断,并对所出具的风险评估报告真实性、有效性、完整性负责;评估机构不得转委托其他机构开展风险评估;同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。通过禁止转委托与强制更换防范利益绑定,确保评估独立客观。

二、强化穿透监管,筑牢法治屏障

《办法》明确了在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作,有助于进一步构建完善跨部门协同监管体系。一是强化穿透监管。《办法》明确,省级以上网信部门、电信主管部门、公安机关、国家安全机关和其他有关部门可以对重要数据处理者的风险评估报告真实性、准确性进行检查核验,当发现网络数据处理活动存在较大安全风险,可能危害国家安全、公共利益等法定情形时,可以要求其委托通过认证的评估机构开展风险评估。此时,网络数据处理者应当履行为风险评估人员提供必要的访问网络数据设施、网络数据、系统及操作日志记录权限等配合义务。对于拒不整改或者未达到整改要求的重要数据处理者,有关部门可以采取要求其停止处理重要数据等措施。这为监管部门提供了实质审查与底线管控的刚性手段。二是压实整改闭环。《办法》要求重要数据处理者应当在年度风险评估完成后的20个工作日内,按照有关主管部门要求报送风险评估报告,并至少保存3年。同时,网络数据处理者必须严格落实监管部门的整改要求,对风险评估中发现的问题进行整改,并在整改完成后15个工作日内报送整改情况报告。通过明确时限与路径,建立严密的风险整改闭环机制,防范数据安全事件发生。

三、构建安全底座,激发数字活力

《办法》的出台,是统筹网络数据安全与数字经济发展的关键举措,为网络数据处理者的网络数据安全保护提供了明确的指引,推动其实现数据安全从“外部约束”到“内生需求”的根本转变。通过构建体系化、包容性的合规规范,《办法》在现有法律法规的框架要求下,实现了合规资源优化配置与高水平风险防范的有机统一。《办法》的出台将督促广大网络数据处理者将数据安全风险防控关口前移,从而进一步加强网络数据保护,为释放数据潜能保驾护航,保障我国数字经济高质量发展。(作者:丁晓东,中国人民大学法学院副院长、教授