作者|陳川 宋潤政

責編|薛應軍

正文共3089個字，預計閱讀需9分鐘▼

12月6日，國家互聯網信息辦公室發布《網絡數據安全風險評估辦法（征求意見稿）》（以下簡稱《征求意見稿》），向社會公開征求意見，旨在規范網絡數據安全風險評估活動，保障網絡數據安全，促進網絡數據依法合理有效利用。意見反饋截止日期為2026年1月5日。

《征求意見稿》明確指出，處理重要數據的網絡數據處理者，應當每年度對其網絡數據處理活動開展風險評估，而未按規定開展風險評估的，將面臨監管部門的處置處罰。這是國家網絡數據安全法律體系走向精細化、實操化的關鍵步驟之一，也是落實國家數據安全的必然要求。

近年來，隨著信息技術的飛速發展，數據已躍升為第五大生產要素。網絡數據安全建設日益重要，傳統事后補救的模式無法應對系統性風險。風險評估制度的核心就在于防患于未然，通過周期性、系統性的排查，主動發現網絡數據和網絡數據處理活動中的隱患，將風險控制在可接受的范圍內。在此背景下，《征求意見稿》應運而生。

《中華人民共和國數據安全法》第三十條雖確立了重要數據處理者的定期評估義務，但對評估頻率、具體內容及評估報告要素等操作細節未作具體規定?！墩髑笠庖姼濉凡粌H對該條款進行了回應，還進一步細化《網絡數據安全管理條例》中關于年度評估、觸發式評估的具體要求，明確了報送時限、機構資質認證及監管協調機制，形成了完整的執行閉環，亮點頗多。

主要亮點

統籌協調，職責清晰?！墩髑笠庖姼濉返谒臈l明確確立了“誰管業務、誰管業務數據、誰管數據安全”的原則。這一原則清晰地厘清了行業主管部門與網信部門的職責邊界，即行業部門負責本領域的具體監管計劃的制定與執行，網信部門負責宏觀統籌和跨部門協調。這可有效避免職責交叉與監管空白，有助于解決實踐中多頭管理的問題，使監管權責更加清晰。同時，《征求意見稿》第五條規定國家網信部門統籌有關主管部門和省級網信部門報送的年度風險評估及檢查計劃，有效避免重復評估、重復檢查。

聚焦重點，分級監管?！墩髑笠庖姼濉凡捎貌町惢O管策略，避免監管資源平均用力。對于重要數據處理者，《征求意見稿》第六條強制要求實行嚴格的每年度評估制度，體現了風險越高、監管越嚴的原則。而對于一般數據處理者，則鼓勵其至少每3年開展一次評估。同時，《征求意見稿》第二十三條、第二十四條規定，對于核心數據處理者及開展涉及國家秘密、工作秘密的風險評估活動因存在特別規定而不適用此辦法。這種風險分級、重點突出的監管思路，將有限的資源集中在對國家安全和公共利益影響最大的“重要數據”上，既守住了安全底線，又切實減輕了中小微企業的合規負擔，體現了監管的溫度與精度。

強化責任，規范機構。《征求意見稿》明確網絡數據處理者是風險評估的責任主體，可自行或委托第三方評估機構開展。對于委托評估，《征求意見稿》提出了優先選擇通過認證的機構、簽訂權責協議等要求。創新性地規定，同一評估機構及其關聯機構不得連續3次以上對同一網絡數據處理者開展風險評估。這有利于防止評估機構與企業之間形成利益捆綁，避免評估流于形式，可確保風險評估的客觀性和公正性。同時，《征求意見稿》對評估機構設立了行為規范，要求其公正客觀、對報告負責、承擔保密義務及風險報告責任，并明確了違規后果。這進一步壓實數據處理者的安全主體責任，又通過規范第三方市場提升評估活動的專業性和公信力。

風險響應，協同處置?！墩髑笠庖姼濉凡粌H關注常態化的年度評估，也要求對動態風險進行積極響應，如第六條規定重要數據安全狀態發生重大變化可能對數據安全造成不利影響時應及時開展評估；第十二條規定了評估機構發現重大風險時向數據處理者及主管部門報告的義務。同時，《征求意見稿》建立了從企業報告、部門接收通報、網信部門匯總到國家協調機制的縱向信息流轉鏈條，以及跨地區、跨部門的橫向風險信息共享與協同處置要求。這種動態監測、即時報告、上下聯動、部門協同的機制，有助于實現對數據安全風險的早發現、早預警、早處置，提升整體安全防護能力。

結果互認，減負增效。在數據處理者面臨多重合規義務的背景下，《征求意見稿》第二十一條明確提出結果互認原則，規定風險評估與網絡安全等級保護測評、數據安全管理認證、個人信息保護合規審計等內容重合的，相關結果可以互相采信。這一規定打破不同合規體系之間的壁壘，避免數據風險重復評估、審計、認證，有利于降低企業合規成本，優化營商環境，提升監管效能。

完善建議

盡管《征求意見稿》在制度構建上具有諸多亮點，但在具體落地執行層面，還可以進一步完善，具體可從以下幾個方面著手：

建立預先咨詢機制，破解重要數據識別難題?！墩髑笠庖姼濉返诹鶙l規定，處理重要數據的網絡數據處理者應當每年度開展風險評估。重要數據是觸發強制年度評估的核心開關，但在實踐中，重要數據的邊界往往具有動態性和模糊性，尤其是在相關行業重要數據目錄尚未完全落地的過渡期，數據處理者常常面臨無法確定自己是否掌握重要數據的困境，這可能導致漏評風險和過度合規的資源浪費。對此，建議在《征求意見稿》中增設預先咨詢與認定程序，明確規定：網絡數據處理者對所處理數據是否屬于重要數據存在重大異議或難以確定的，可以向有關主管部門申請預先咨詢或認定。有關主管部門應當在收到申請之日起一定期限內（如15個工作日）給予書面答復。通過賦予數據處理者程序性的權利，從源頭上解決“評什么”的認知偏差。

提升重要數據評估要求，實行強制性認證委托?！墩髑笠庖姼濉返诎藯l規定，網絡數據處理者委托評估機構開展風險評估，應當優先選擇通過認證的評估機構。然而，重要數據關乎國家安全與公共利益，其風險評估的專業性與敏感性高于一般數據。僅規定“優先選擇”，意味著企業在理論上仍可委托未獲認證的機構進行評估，這給低質量、非專業的評估服務留下了灰色空間，難以保障國家安全底線。對此，建議對重要數據處理者實行更嚴格的管理，修改相關表述為：網絡數據處理者委托評估機構開展風險評估，應當選擇通過認證的評估機構。建議刪除“優先”二字，確保涉及國家安全的評估工作全部由具備國家認可資質的專業機構承擔。

細化投訴舉報程序，構建社會共治閉環?！墩髑笠庖姼濉返谑艞l規定，任何組織、個人有權對風險評估中的違法違規活動向有關部門進行投訴、舉報，收到投訴、舉報的部門應當依法及時處理。然而，該條款未明確受理的具體時限、反饋機制，缺乏量化的程序約束，這可能導致“及時處理”難以落實，使得社會監督流于形式。對此，建議進一步細化該條款，明確有關部門在收到投訴舉報后的受理與反饋時限（如“在15個工作日內反饋處理結果”），且加強對舉報人的保護措施，切實保障舉報人合法權益，真正激活社會監督力量。

增設新技術適應條款，應對動態風險挑戰。目前，《征求意見稿》的條款多針對通用的網絡數據處理活動，對于新技術背景下的特殊風險關注不足。隨著生成式人工智能、大數據模型等新業態的興起，數據處理伴隨著算法偏見、模型黑箱、自動決策等特有的安全風險。傳統的評估方法可能難以完全覆蓋這些新興風險點。對此，建議在《征求意見稿》中增加原則性條款，要求對采用新技術、新業態的數據處理活動進行風險評估時，應充分考慮其特有的安全風險。同時，授權國家網信部門會同有關部門，及時針對新興技術領域制定或更新風險評估的補充指引或最佳實踐，確保制度的前瞻性。

作為數據安全領域邁向精細化治理的關鍵一步，《征求意見稿》在強化國家安全底線的同時，充分釋放制度紅利，體現了統籌發展和安全的立法智慧。其通過持續完善細節，進一步筑牢數據安全防線，將保障數字中國建設行穩致遠。

（作者單位：山西大學法學院）