2025年12月6日,国家互联网信息办公室正式发布《网络数据安全风险评估办法(征求意见稿)》(以下简称《办法》征)。该《办法》(征)旨在全面规范网络数据安全风险评估活动,通过明确评估主体、范围、流程、标准及结果应用等关键环节,构建科学、系统、可操作的风险评估体系,有效提升网络数据安全防护能力,切实保障网络数据安全,维护国家安全、公共利益和个人合法权益。
贯彻落实新兴领域安全战略,筑牢数据风险法治基石。《办法》(征)是对“十五五”规划建议中关于“加强网络、数据、人工智能等新兴领域国家安全能力建设”战略的具体落实和积极响应。从宏观战略层面来看,数据作为新型关键生产要素,其安全状况直接关系到国家主权、安全和发展利益。在全球范围内,数据跨境流动、平台垄断以及武器化等趋势,已使数据安全成为大国战略博弈的核心议题。与此同时,云计算、人工智能等技术的深度融合推动数据规模呈指数级增长,数据处理场景高度复杂,导致数据泄露、篡改、勒索攻击等安全事件频繁发生,传统的静态防护模式难以应对动态、交织的新型风险。从法治进程角度审视,尽管以《网络安全法》《数据安全法》《个人信息保护法》为核心的法律框架已初步构建,但原则性规定亟需配套细则来落地实施。《办法》正是对《数据安全法》所明确要求的风险评估机制进行的关键“填空”和“细化”,旨在推动数据安全治理从“有法可依”迈向“有章可循”的新高度。
构建风险评估制度体系,推动数据治理模式转型。《办法》(征)的内容,第一,明确制度定位和法定触发情形,将风险评估确立为数据处理者的常态化合规义务,并具体规定处理重要数据与核心数据、数据出境、发生重大安全事件等必须启动评估的法定场景,清晰划定监管红线。第二,系统规范评估内容和方法流程,要求评估全面覆盖数据处理活动的合法性、必要性、保护措施有效性、出境风险以及供应链安全等关键维度,鼓励采用定性与定量相结合的科学方法,确保评估工作的规范性和科学性。第三,确立风险评估结果的闭环管理机制,强制要求形成书面报告并依据结果采取风险消减措施,实现对残余风险的持续监控,并将报告与处置情况作为履行法定义务的证明,形成“识别-分析-处置-验证”的完整管理闭环。第四,强化监督问责和法律责任,明确网信部门的监督管理职责,并对未依法开展评估、评估流于形式、隐瞒真实情况或未有效处置高风险等行为设定相应罚则,形成有力的监管威慑。第五,推动治理模式实现深刻转型,筑牢数字经济健康发展的安全根基。通过强制要求数据处理者定期开展主动式风险评估并依据结果进行持续改进,该《办法》(征)致力于推动数据安全治理模式从侧重事后补救的被动应对,全面转向强调事前预防与事中控制的主动治理。其实施预期将显著提升关键信息基础设施运营者、大型平台企业及其他重要数据处理者的内生安全能力和合规管理水平。
一图胜千言。立足国家数据安全治理需求,炼石本次对《网络数据安全风险评估办法(征求意见稿)》解读,进一步聚焦政府、金融、交通、电信、医疗、教育、工业等重点行业,图解了GB/T45577 - 2025 《数据安全技术数据安全风险评估方法》、工业和信息化领域数据安全风险评估、电信行业数据安全风险评估,交通领域JT/T 1547 - 2025《交通运输数据安全风险评估指南》,金融行业数据安全风险评估、政务行业数据安全风险评估、《教育部机关及直属事业单位教育数据管理办法》《“十四五”全民健康信息化规划》等18项政策标准。由于作者水平有限,欢迎业界同仁共同探讨完善。
原创声明:北京炼石网络技术有限公司对本文的内容拥有受法律保护的著作权,未经授权许可,任何人不得将全部或部分内容以转让、出售等方式用于商业目的使用。转载使用本文文字和图片的应注明来源。文中所载的材料和信息,包括但不限于文本、图片等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。如需转载请关注公众号回复“转载”,或在文章下方留言。
注:全部内容请进入“公众号:炼石网络CipherGateway”查看或下载
京ICP备16012549号 Copyright © CipherGateway. 版权所有
