文章总结： 网信办发布网络数据安全风险评估办法征求意见稿，细化数据安全评估义务，规定企业需从合规性、制度及技术等五大维度自查。重点涉及重要数据识别与出境风险，违规将面临高额罚款。建议企业立即启动资产盘点，建立年度评估机制，完善第三方管理，落实常态化监管下的合规要求。 综合评分： 90 文章分类： 政策法规,数据安全

一文解读 |《网络数据安全风险评估办法（征求意见稿）》

任子行

2026年1月20日 18:08 广东

2025年12月6日，国家互联网信息办公室（网信办）正式发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），并向社会公开征求意见，意见反馈截止时间为2026年1月5日。该《办法》是落实《中华人民共和国数据安全法》《网络数据安全管理条例》等上位法的关键配套制度，标志着我国数据安全治理从“原则性要求”迈向“可操作、可量化、可问责”的新阶段。

一、立法目的与定位

核心目标：

规范网络数据安全风险评估活动，防范和化解数据安全风险，保障数据依法合规处理。

制度定位：

不是新增义务，而是对现有法律中“风险评估”义务的细化、标准化和程序化。

适用范围：

所有在中华人民共和国境内开展网络数据处理活动的组织和个人（包括外资、合资、平台企业、车企、医疗、金融等重点行业）。

二、谁必须做风险评估？

三、“重要数据”如何界定？

虽然《办法》未直接列出清单，但结合《数据安全法》《网络数据分类分级指引（试行）》及行业实践，以下数据通常属于 “重要数据”：

  ▶ 国家地理信息、高精地图、测绘数据；

  ▶ 能源、交通、水利、通信等关键基础设施运行数据；

  ▶ 超过100万人的用户行为轨迹、生物识别信息；

  ▶ 智能网联汽车采集的道路环境、驾驶行为数据;；

  ▶ 医疗健康、金融征信等敏感领域的大规模聚合数据。

企业需对照所属行业的《重要数据识别指南》进行自评，并报属地网信部门备案。

四、风险评估内容（五大核心维度）

《办法》第8条明确评估应覆盖以下方面：

• 数据处理活动合法性

  是否取得用户同意？

  是否超范围收集？

  是否履行告知义务？

• 数据安全管理制度有效性

  是否建立数据分类分级、访问控制、应急响应机制？

• 技术防护措施充分性

  加密、脱敏、审计、防泄漏（DLP）、备份恢复能力是否达标？

• 第三方合作风险

  云服务商、外包商、API调用方是否具备同等安全能力？

• 数据出境与跨境传输风险

  是否履行出境评估、标准合同或认证程序？

五、谁可以做评估？——机构资质要求

鼓励自主评估，但涉及重要数据或高风险场景的，建议委托专业评估机构。

➡ 评估机构需具备：

• 网络安全或数据安全相关资质；
• 无违法违规记录；
• 评估人员持证上岗（如CISP-DSG、CDSP等）；
• 接受省级以上网信部门监督。

注意：评估报告需由法定代表人签字，并留存至少5年备查。

六、发现重大风险怎么办？

《办法》第15条设定“吹哨人”机制：

评估机构或内部人员发现重大数据安全风险（如系统漏洞可致百万级数据泄露），必须立即：

• 通报网络数据处理者；
• 向省级以上网信部门及行业主管部门报告；
• 必要时配合监管部门采取阻断、整改等措施。

隐瞒不报将承担法律责任。

七、监管与罚则

监督检查权：

网信部门可调阅评估报告、开展现场检查、约谈负责人。

违规后果：

• 未按规定开展评估 → 责令改正，警告，通报；
• 拒不改正或造成危害 → 罚款（最高100万元），暂停业务，吊销许可；
• 构成犯罪的 → 依法追究刑事责任。

八、对企业的影响与应对建议

1

影响：

• 数据安全从“软要求”变为“硬指标”；
• 年度评估将成为大型企业合规标配；
• 第三方合作生态面临“连带责任”压力；
• 为后续《数据安全认证》《数据保险》等制度铺路。

2

建议行动：

• 立即启动数据资产盘点，识别是否涉及“重要数据”；
• 建立年度评估计划，纳入内审或合规流程；
• 完善数据安全管理制度，尤其加强第三方管理；
• 培训法务与IT团队，理解评估标准与报告格式；
• 关注地方实施细则，部分省市可能出台更严要求。

总结：政策信号明确

《网络数据安全风险评估办法》的出台，释放三大信号：

• 常态化监管来临：数据安全不再是“运动式整治”，而是嵌入企业运营的日常动作；
• 责任压实到人：法定代表人、CIO、DPO（数据保护官）将承担直接责任；
• 合规即竞争力：具备健全风险评估机制的企业，将在融资、出海、政府采购中获得优势。

正如官方解读所言：“不做评估，就是最大的风险。”

任子行数据安全服务以数据安全风险评估与分类分级为基础，根据自身多年的经验积累，结合大量行业用户的最佳实践，提供包括体系建设、分类分级、数据安全风险评估、技术防护在内的一整套专业的数据安全服务，帮助用户提升数据风险防御能力，以及核心敏感数据安全可控，实现全方位构筑数据安全能力图谱，为客户数据安全建设提供持续的服务支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：任子行 《一文解读 |《网络数据安全风险评估办法（征求意见稿）》》