《中华人民共和国国民经济和社会发展第十五个五年规划纲要》对数据安全治理工作提出了具体要求,明确要“实施数据分类分级管理,提升数据安全保护能力”。数据安全风险评估是防范数据安全风险,提升重要数据等保护能力的重要举措。《数据安全法》《网络数据安全管理条例》等法律法规规定,重要数据的处理者应当每年度对其网络数据处理活动开展风险评估。6月18日,国家互联网信息办公室等三部门公布《网络数据安全风险评估办法》(以下简称《办法》),标志着网络数据安全风险评估制度更加细化,对健全我国网络数据安全管理,明确部门分工,平衡政府与市场关系,促进数据要素安全有序流动和高效利用具有重要意义。

一、《办法》注重网络数据安全风险评估工作协同,发挥统筹效能和部门作用

《办法》在数据安全风险评估工作的统筹落实上,既强调统筹又明确分工,进一步完善网络数据安全风险评估体制机制。

《办法》是发挥数据安全治理统筹协调作用的重要体现。数据安全治理是一项系统性工程,需要加强顶层设计,提高数据安全治理成效。《办法》明确,一是建立专门的工作机制,规定在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作;二是通过统筹行业领域年度评估检查计划,避免不必要的检查和交叉重复检查;三是强化信息共享和协同处置,规定国家网信部门汇总风险评估相关报告,并与国务院电信、公安、国家安全等有关部门共享,要求有关部门加强风险信息共享和协同处置,及时处置安全风险和问题。

《办法》是提升各部门抓数据、管安全工作质效的必然要求。数据的安全与发展如一体两翼、驱动双轮,应当一体考虑,促进数字经济的高质量、可持续发展。此前,《数据安全法》已明确规定各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。按此要求,《办法》进一步确定在网络数据安全风险评估工作中各有关部门的工作职责,强调有关部门应当按照谁管业务、谁管业务数据、谁管数据安全的原则,定期组织开展本行业、本领域风险评估,根据工作需要对本行业、本领域处理重要数据的网络数据处理者开展风险评估情况进行检查。

二、《办法》坚持有效市场和有为政府相结合原则,平衡治理成效和治理成本

党的二十届四中全会指出,“十五五”时期经济社会发展必须坚持有效市场和有为政府相结合。《办法》推动政府与市场在数据安全治理上实现优势互补、协同发力,力求以最小的治理成本实现最大的安全成效。

《办法》充分激发网络数据处理者、第三方评估机构、认证机构的市场活力。数据安全治理的市场生态对于提高合规能力和效率、发挥社会监督具有重要作用。为此,《办法》充分考虑数据处理者、第三方评估机构、认证机构三者之间的关系和作用,发挥相关主体的能动性,通过市场能力提高合规的能效,持续降低相应成本投入。对于数据处理者,要求重要数据处理者每年度开展风险评估,可以根据自身能力、条件选择自行开展或者委托第三方评估机构开展。对于第三方评估机构,鼓励其通过认证,明确开展风险评估应当遵守法律法规,公正客观地作出风险判断,并对所出具的风险评估报告真实性、有效性、完整性负责。对于认证机构,要求评估机构的认证按照《中华人民共和国认证认可条例》的有关规定执行。

《办法》更好发挥政府在数据安全治理上的培育监督作用。《办法》要求政府部门发挥培育、指导、监督、执法的作用,系统提高数据安全治理效能。在评估机构培育方面,要求有关部门积极促进网络数据安全风险评估服务的发展,培育评估机构。在评估指导方面,要求有关主管部门应当定期组织开展本行业、本领域风险评估,公开风险评估报告报送渠道和联系方式,及时接收重要数据处理者报送的风险评估报告。在评估监督方面,要求有关部门可以对风险评估报告的真实性、准确性进行检查核验,发现网络数据处理者存在相关情形的,可以要求其委托通过认证的评估机构开展风险评估。在追责执法方面,要求有关部门对于发现重要数据处理活动可能危害国家安全、公共利益的,应当依据职责责令重要数据处理者进行整改;对拒不整改或者未达到整改要求的重要数据处理者,可以采取要求其停止处理重要数据等措施;对于收到相关投诉、举报的,应当依法及时处理;对于发现未按规定开展风险评估的,依据有关法律、行政法规予以处理等。

三、《办法》坚持发展中固安全、安全中谋发展,统筹数据利用和风险防范

安全是发展的前提,发展是安全的保障。《办法》在数据安全与流通利用之间寻求动态平衡,实现安全与发展相辅相成、良性互动,促进数据要素安全有序流动和高效利用。

规范数据安全风险评估活动,促进数据高质量利用。数字经济时代,数据已经成为基础性、战略性、先导性资源,粗放式的数据流动,不仅不会促进经济发展,还可能危害国家安全、侵害个人信息权益。因此,通过定期开展风险评估等方式可以帮助网络数据处理者及时排查风险,引导数据资源在合规轨道上健康流动。然而,市面上的数据安全相关评估、检测、测评活动缺少指导和规范。《办法》明确了开展风险评估的规范指引,规定风险评估工作应当按照《数据安全法》《网络数据安全管理条例》有关要求,参照数据安全风险评估有关国家标准开展,并规定了评估机构不得转委托其他机构开展风险评估,同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估等管理要求,避免市场乱象。值得强调的是,现有《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)、《数据安全技术 数据安全评估机构能力要求》(GB/T 45389-2025)等国家标准提出了开展数据安全风险评估的方法、流程、风险分析研判,以及开展评估所需的能力建设等内容。网络数据处理者可以参照上述标准实施评估、建设能力。

明确数据安全风险评估情形,避免不必要的评估活动对数据利用带来影响。通过风险评估防范数据安全风险隐患,是推动数据要素流动与保障安全的兼顾方案。落实法律法规规定,《办法》明确重要数据处理者应当每年度开展风险评估,对于重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。对于一般数据处理者,《办法》鼓励其至少每3年开展一次风险评估。值得强调的是,为了避免重复检查评估,减轻企业迎检负担,对于有关部门在评估报告核验、监督检查等工作中发现的网络数据安全事件或者风险,《办法》规定对同一事件或者风险,不得重复要求网络数据处理者委托评估机构开展风险评估。同时,明确有关主管部门开展检查不得向被检查的重要数据处理者收取费用。

总之,《办法》的出台是数据安全治理的大事,也是筑牢数字经济安全基础的要事,更是促进数据有效利用的好事。随着评估工作的落地见效、不断深入,必将对推动构建长效有序的数据安全治理生态带来深远影响。(作者:张鹏,中央网信办数据与技术保障中心主任)