中国政策档案 Governance Archive HOLDINGS 190,966 · FONDS 70
Record · 中国网信网 ACC. 900030645

Expert Interpretation: Using Risk Assessment as an Institutional Driver to Build a New Framework for Data Security Governance

专家解读|以风险评估为制度牵引 构建数据安全治理新格局

Issuer
中国网信网
Date
2026-06-18
Instrument
explainer
Cited by
0
This document provides an expert interpretation of the 'Measures for Network Data Security Risk Assessment' jointly issued by three departments, explaining how the measures operationalize risk assessment requirements under the Data Security Law and the Regulations on Network Data Security Management. It highlights the significance of the measures in establishing a systematic, normalized risk identification mechanism to enhance data security protection and reduce compliance costs.
Full text · 原文 1,812 字
6月18日,国家互联网信息办公室等三部门公布了《网络数据安全风险评估办法》(以下简称《办法》),进一步巩固和完善了数据安全制度体系。该《办法》既是《数据安全法》第三十条“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”的落地落实,亦与《网络数据安全管理条例》的规定相衔接,将风险评估这一关键环节从一般性规范细化为可操作的实施细则。网络数据安全风险评估机制的重要意义在于,它将风险控制的端口前移,通过系统化、常态化的风险识别与研判,为网络数据安全保护提供了具有预见性的决策基础,对于维护国家数据主权、保障公共利益和促进数字经济健康发展具有里程碑式的制度价值。<br> 网络数据安全风险评估机制是整个数据安全制度体系的基础制度,是决定网络数据处理者采取何种保护策略与管理措施的根本考量因素。长期以来,实务界存在一种认知偏差,即将风险评估片面理解为监管层施加的经营负担或形式化的合规成本。但事实却是,缺乏合理、科学且必要的数据安全保护制度,非但不会为企业降本增效,反而会因为频繁的数据安全事件导致其无法正常开展经营活动。因此,《办法》的制定是为了督促网络数据处理者对整体业务的网络数据安全风险状况形成清晰、完整的认知,准确辨识不同数据处理环节中存在何种类型、何种等级的安全威胁,进而做到设置针对性的技术措施与管理流程,避免出现“高射炮打蚊子”式的过度防护或“稻草人”式的虚假安全。这种基于风险精准画像的分级分类保护策略,不仅能够有效降低企业的合规成本,更能真正实现数据安全保障与商业利益合理实现的双向兼顾。具体而言,该《办法》的创新之处主要体现在以下三个方面。<br> 第一,统筹协调网络数据安全风险评估工作,避免重复评估、冗余评估。《办法》第三条、第四条明确,在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作;国家网信部门通过国家数据安全工作协调机制将计划与国务院电信、公安、国家安全等有关部门共享并进行协调,避免不必要的检查和交叉重复检查。其目的是通过监管端的协同联动,将原本分散、平行的评估监管要求整合为“一评多用”的协同作业,企业不再需要就同一网络数据处理活动按照不同部门的要求反复填报、重复测评。由此,行政资源得以有效节约,企业的制度性交易成本显著降低,网络数据风险评估机制的严肃性与权威性反而因统筹协调而得以提升。<br> 第二,理清理顺网络数据安全风险评估实施流程,突出重要数据的专项保护。在评估实施方式上,《办法》允许网络数据处理者根据自身技术能力、业务规模及风险状况,自行开展评估或者委托专业的第三方评估机构进行评估,其立法目的在于赋予网络数据处理者选择最适宜自身情况的评估路径的自主权,避免强制要求引入第三方机构给中小微企业带来过高的业务合规成本。更为重要的是,《办法》第五条特别凸显了重要数据的专项保护理念,明确重要数据处理者年度风险评估的强制性义务,规定重要数据安全状态发生重大变化可能对数据安全造成不利影响的,应当及时对发生变化及其影响的部分开展风险评估。相对地,对于一般数据处理者,该条款以鼓励性规范的方式,引导其至少每3年开展一次风险评估。此种义务规范设置方式本质上是对《数据安全法》的分类分级保护原则的契合,兼顾了数据安全与商业利益的双重目标。<br> 第三,推动培育数据安全评估生态,全面规范评估机构业务活动。高质量的网络数据安全风险评估离不开专业化、规范化、具有独立性的评估服务市场。《办法》第九条明确要求,国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展,培育评估机构。该条意在通过政策引导构建起专业、充足、有序竞争的数据安全服务供给体系。同时,《办法》为评估机构设定了清晰的行为红线,严防评估活动因利益冲突而丧失客观性。例如,第十一条明确禁止评估机构将承接的风险评估业务转委托给其他机构,以此防止评估过程陷入层层转包、责任悬空的失范状态;第十二条规定,同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。该制度设计与审计独立性保障较为类似,旨在切断评估机构与客户之间因长期合作可能形成的利益固化和人情羁绊,从结构上确保评估结论的中立与公允,维系整个评估生态的纯洁性与公信力。(作者:赵精武,北京航空航天大学法学院副教授、院长助理)