《网络数据安全风险评估办法(征求意见稿)》

来源: 任子行官微

  2025年12月6日,国家互联网信息办公室(网信办)正式发布《网络数据安全风险评估办法(征求意见稿)》(以下简称《办法》),并向社会公开征求意见,意见反馈截止时间为2026年1月5日。该《办法》是落实《中华人民共和国数据安全法》《网络数据安全管理条例》等上位法的关键配套制度,标志着我国数据安全治理从“原则性要求”迈向“可操作、可量化、可问责”的新阶段。

  一、立法目的与定位

  核心目标:

  规范网络数据安全风险评估活动,防范和化解数据安全风险,保障数据依法合规处理。

  制度定位:

  不是新增义务,而是对现有法律中“风险评估”义务的细化、标准化和程序化。

  适用范围:

  所有在中华人民共和国境内开展网络数据处理活动的组织和个人(包括外资、合资、平台企业、车企、医疗、金融等重点行业)。

  二、谁必须做风险评估?

  三、“重要数据”如何界定?

  虽然《办法》未直接列出清单,但结合《数据安全法》《网络数据分类分级指引(试行)》及行业实践,以下数据通常属于 "重要数据" :

  国家地理信息、高精地图、测绘数据;

  能源、交通、水利、通信等关键基础设施运行数据;

  超过100万人的用户行为轨迹、生物识别信息;

  智能网联汽车采集的道路环境、驾驶行为数据;;

  医疗健康、金融征信等敏感领域的大规模聚合数据。

  企业需对照所属行业的《重要数据识别指南》进行自评,并报属地网信部门备案。

  四、风险评估内容(五大核心维度)

  《办法》第8条明确评估应覆盖以下方面:

  数据处理活动合法性

  是否取得用户同意?

  是否超范围收集?

  是否履行告知义务?

  数据安全管理制度有效性

  是否建立数据分类分级、访问控制、应急响应机制?

  技术防护措施充分性

  加密、脱敏、审计、防泄漏(DLP)、备份恢复能力是否达标?

  第三方合作风险

  云服务商、外包商、API调用方是否具备同等安全能力?

  数据出境与跨境传输风险

  是否履行出境评估、标准合同或认证程序?

  五、谁可以做评估?——机构资质要求

  鼓励自主评估,但涉及重要数据或高风险场景的,建议委托专业评估机构。

  评估机构需具备:

  网络安全或数据安全相关资质;

  无违法违规记录;

  评估人员持证上岗(如CISP-DSG、CDSP等);

  接受省级以上网信部门监督。

  注意:评估报告需由法定代表人签字,并留存至少5年备查。

  六、发现重大风险怎么办?

  《办法》第15条设定“吹哨人”机制:

  评估机构或内部人员发现重大数据安全风险(如系统漏洞可致百万级数据泄露),必须立即:

  通报网络数据处理者;

  向省级以上网信部门及行业主管部门报告;

  必要时配合监管部门采取阻断、整改等措施。

  隐瞒不报将承担法律责任。

  七、监管与罚则

  监督检查权:

  网信部门可调阅评估报告、开展现场检查、约谈负责人。

  违规后果:

  未按规定开展评估 → 责令改正,警告,通报;

  拒不改正或造成危害 → 罚款(最高100万元),暂停业务,吊销许可;

  构成犯罪的 → 依法追究刑事责任。

  八、对企业的影响与应对建议

  1

  影响:

  数据安全从“软要求”变为“硬指标”;

  年度评估将成为大型企业合规标配;

  第三方合作生态面临“连带责任”压力;

  为后续《数据安全认证》《数据保险》等制度铺路。

  2

  建议行动:

  立即启动数据资产盘点,识别是否涉及“重要数据”;

  建立年度评估计划,纳入内审或合规流程;

  完善数据安全管理制度,尤其加强第三方管理;

  培训法务与IT团队,理解评估标准与报告格式;

  关注地方实施细则,部分省市可能出台更严要求。

  总结:政策信号明确

  《网络数据安全风险评估办法》的出台,释放三大信号:

  常态化监管来临:数据安全不再是“运动式整治”,而是嵌入企业运营的日常动作;

  责任压实到人:法定代表人、CIO、DPO(数据保护官)将承担直接责任;

  合规即竞争力:具备健全风险评估机制的企业,将在融资、出海、政府采购中获得优势。

  正如官方解读所言:“不做评估,就是最大的风险。”

  任子行数据安全服务以数据安全风险评估与分类分级为基础,根据自身多年的经验积累,结合大量行业用户的最佳实践,提供包括体系建设、分类分级、数据安全风险评估、技术防护在内的一整套专业的数据安全服务,帮助用户提升数据风险防御能力,以及核心敏感数据安全可控,实现全方位构筑数据安全能力图谱,为客户数据安全建设提供持续的服务支撑。

关注同花顺财经(ths518),获取更多机会

0

+1
  • 北信源
  • 兆易创新
  • 科森科技
  • 卓翼科技
  • 天融信
  • 吉视传媒
  • 御银股份
  • 中油资本
  • 代码|股票名称 最新 涨跌幅