2025年12月6日，国家互联网信息办公室（网信办）正式发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），并向社会公开征求意见，意见反馈截止时间为2026年1月5日。该《办法》是落实《中华人民共和国数据安全法》《网络数据安全管理条例》等上位法的关键配套制度，标志着我国数据安全治理从“原则性要求”迈向“可操作、可量化、可问责”的新阶段。

　　一、立法目的与定位

　　核心目标：

　　规范网络数据安全风险评估活动，防范和化解数据安全风险，保障数据依法合规处理。

　　制度定位：

　　不是新增义务，而是对现有法律中“风险评估”义务的细化、标准化和程序化。

　　适用范围：

　　所有在中华人民共和国境内开展网络数据处理活动的组织和个人（包括外资、合资、平台企业、车企、医疗、金融等重点行业）。

　　二、谁必须做风险评估？

　　三、“重要数据”如何界定？

　　虽然《办法》未直接列出清单，但结合《数据安全法》《网络数据分类分级指引（试行）》及行业实践，以下数据通常属于 "重要数据" ：

　　国家地理信息、高精地图、测绘数据；

　　能源、交通、水利、通信等关键基础设施运行数据；

　　超过100万人的用户行为轨迹、生物识别信息；

　　智能网联汽车采集的道路环境、驾驶行为数据;；

　　医疗健康、金融征信等敏感领域的大规模聚合数据。

　　企业需对照所属行业的《重要数据识别指南》进行自评，并报属地网信部门备案。

　　四、风险评估内容（五大核心维度）

　　《办法》第8条明确评估应覆盖以下方面：

　　数据处理活动合法性

　　是否取得用户同意？

　　是否超范围收集？

　　是否履行告知义务？

　　数据安全管理制度有效性

　　是否建立数据分类分级、访问控制、应急响应机制？

　　技术防护措施充分性

　　加密、脱敏、审计、防泄漏（DLP）、备份恢复能力是否达标？

　　第三方合作风险

　　云服务商、外包商、API调用方是否具备同等安全能力？

　　数据出境与跨境传输风险

　　是否履行出境评估、标准合同或认证程序？

　　五、谁可以做评估？——机构资质要求

　　鼓励自主评估，但涉及重要数据或高风险场景的，建议委托专业评估机构。

　　评估机构需具备：

　　网络安全或数据安全相关资质；

　　无违法违规记录；

　　评估人员持证上岗（如CISP-DSG、CDSP等）；

　　接受省级以上网信部门监督。

　　注意：评估报告需由法定代表人签字，并留存至少5年备查。

　　六、发现重大风险怎么办？

　　《办法》第15条设定“吹哨人”机制：

　　评估机构或内部人员发现重大数据安全风险（如系统漏洞可致百万级数据泄露），必须立即：

　　通报网络数据处理者；

　　向省级以上网信部门及行业主管部门报告；

　　必要时配合监管部门采取阻断、整改等措施。

　　隐瞒不报将承担法律责任。

　　七、监管与罚则

　　监督检查权：

　　网信部门可调阅评估报告、开展现场检查、约谈负责人。

　　违规后果：

　　未按规定开展评估 → 责令改正，警告，通报；

　　拒不改正或造成危害 → 罚款（最高100万元），暂停业务，吊销许可；

　　构成犯罪的 → 依法追究刑事责任。

　　八、对企业的影响与应对建议

　　1

　　影响：

　　数据安全从“软要求”变为“硬指标”；

　　年度评估将成为大型企业合规标配；

　　第三方合作生态面临“连带责任”压力；

　　为后续《数据安全认证》《数据保险》等制度铺路。

　　2

　　建议行动：

　　立即启动数据资产盘点，识别是否涉及“重要数据”；

　　建立年度评估计划，纳入内审或合规流程；

　　完善数据安全管理制度，尤其加强第三方管理；

　　培训法务与IT团队，理解评估标准与报告格式；

　　关注地方实施细则，部分省市可能出台更严要求。

　　总结：政策信号明确

　　《网络数据安全风险评估办法》的出台，释放三大信号：

　　常态化监管来临：数据安全不再是“运动式整治”，而是嵌入企业运营的日常动作；

　　责任压实到人：法定代表人、CIO、DPO（数据保护官）将承担直接责任；

　　合规即竞争力：具备健全风险评估机制的企业，将在融资、出海、政府采购中获得优势。

　　正如官方解读所言：“不做评估，就是最大的风险。”

　　任子行数据安全服务以数据安全风险评估与分类分级为基础，根据自身多年的经验积累，结合大量行业用户的最佳实践，提供包括体系建设、分类分级、数据安全风险评估、技术防护在内的一整套专业的数据安全服务，帮助用户提升数据风险防御能力，以及核心敏感数据安全可控，实现全方位构筑数据安全能力图谱，为客户数据安全建设提供持续的服务支撑。