2026年6月18日,国家互联网信息办公室、工业和信息化部、公安部三部门联合公布《网络数据安全风险评估办法》(以下简称《办法》),自2026年8月20日起施行。这是继《数据安全法》《网络数据安全管理条例》之后,数据安全治理领域落下的又一关键棋子。如果说此前的立法搭建了数据安全的“四梁八柱”,那么《办法》则是在为这栋大厦安装“风险探测仪”——它试图回答一个长期悬而未决的问题:数据安全风险评估,究竟该怎么评、谁来评、评完又如何?
一、从静态合规到动态治理:风险评估的制度逻辑
长期以来,企业对数据安全风险评估的理解往往停留在“完成作业”层面——提交一份报告、通过一次检查,便觉万事大吉。这种认知偏差恰恰是数据安全治理的最大隐患。
《办法》的核心转向在于,它将评估对象从“数据本身”拓展为“网络数据处理活动”。这意味着,评估不再是一张静态的数据清单,而是一幅动态的数据流转地图:数据在什么场景下被处理、由谁处理、如何流转、是否进入外部系统、是否产生新的安全影响——这些“过程性”问题成为风险识别的核心。正如有专家所言,风险评估的制度价值,就在于把隐藏在数据流向不清、权限配置不当、系统变更未评估等具体环节中的隐蔽风险提前显性化。
这一逻辑转变,推动数据安全治理从事后补救转向事前预防、事中控制。当企业能够清晰认知“本单位的数据和数据处理活动有没有风险、风险是什么、风险在哪里、风险有多大”时,安全措施才能真正做到“对症下药”,而非“高射炮打蚊子”式的过度防护或“稻草人”式的虚假安全。
二、分类分级与比例原则:差异化的义务配置
《办法》在制度设计上的一大亮点,是采取了差异化的义务配置,体现了比例原则的精准考量。
对于重要数据处理者,年度风险评估是强制性义务;当重要数据安全状态发生重大变化时,还需及时对变化部分开展评估。而对一般数据处理者,则采取“鼓励至少每3年开展一次”的柔性引导。这种安排没有搞“一刀切”,而是将监管资源和合规资源集中到风险更高的重点对象上。
这一差异化设计背后,是对《数据安全法》分类分级保护原则的延续与细化。企业首先要做的,是依据行业重要数据目录和国家标准,准确判断自身身份——是“重要数据处理者”还是“一般数据处理者”?身份认定决定了义务的“刻度”,误判可能带来合规风险。
三、制度协同与“一评多用”:为企业减负的制度智慧
企业在合规实践中常面临一个困境:等保测评、个人信息保护合规审计、数据出境安全评估、数据安全风险评估……各类评估名目繁多,若各自为政、重复开展,合规成本将不堪重负。
《办法》及配套国家标准对此作出了系统性回应。一方面,在国家层面建立跨部门协调机制,国家网信部门会同电信、公安等部门统筹年度检查计划,避免交叉重复检查。另一方面,在技术标准层面,《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)明确规定:对于已完成等保测评、个人信息保护合规审计或数据出境安全评估的领域,对应模块不再重复核查,直接采信有效结论。
这种“结果互认”机制有严格的前提条件:评估对象一致、报告时效有效、标准方法可比、证据材料可追溯。对于企业而言,这意味着合规工作需要进行系统规划——将各类评估放在同一时间窗口内统筹安排,由同一团队同步推进,实现“一次投入、多重产出”。
四、第三方评估的独立性与生态培育
高质量的评估离不开专业的评估服务市场。《办法》在培育评估机构的同时,设置了多重“防火墙”以确保独立性。
值得关注的是,同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展年度风险评估。这一规定借鉴了审计独立性的制度经验,旨在切断评估机构与客户之间因长期合作可能形成的利益固化和人情羁绊。同时,《办法》明确禁止评估机构转委托业务,防止评估过程陷入层层转包、责任悬空的失范状态。
对于评估机构而言,这既是机遇也是挑战。《数据安全技术 数据安全评估机构能力要求》(GB/T 45389-2025)从基础条件、管理能力、技术能力等维度设置了105项能力要求。市场将经历一轮“大浪淘沙”,专业能力不足的机构将被淘汰,而具备真正技术实力和职业操守的机构将获得发展空间。
结语
数据安全风险评估,本质上是让企业用“X光”审视自身的数据处理活动。它不是一项可以应付了事的行政任务,而是帮助企业看清风险边界、明确责任边界的治理工具。当安全要求被转化为可执行的评估路径,数据依法有序流动和有效利用才能获得稳定的制度支撑。对于企业而言,与其将其视为新增的合规负担,不如借此机会,重新梳理自己的数据资产和业务流程——毕竟,看清风险,才是管控风险的第一步。
颐卓咨询管理集团-广州总部
地 址:广州市海珠区琶洲数字科技产业园A15-2栋(总部)
广州市番禺区南村镇捷顺路9号2栋1101房
公司总机:020-38626755
业务咨询:134 3393 3194
邮 箱:liaojun@chinakec.com
公司官网:www.chinakec.com
集团分支机构:上海、重庆、成都、深圳、佛山、东莞、武汉、福建、杭州等