文章总结: 《网络数据安全风险评估办法》由三部门联合发布,自2026年8月20日起施行。该办法落实数据安全法要求,构建分级分类风险评估体系,明确重要数据年度评估义务及第三方评估机构制度。针对人工智能时代的数据安全风险,如模型反演攻击,提供了系统性识别框架。文章强调该办法推动数据治理从事后追惩向事前预防转型,鼓励企业将合规转化为竞争优势。 综合评分: 85 文章分类: 政策法规,数据安全,AI安全,安全建设,解决方案
强化网络数据安全风险评估,构筑人工智能时代数据治理新防线——从《网络数据安全风险评估办法》看数据安全治理的范式转型
原创
原浩 谢永红 原浩 谢永红
苏州信息安全法学所
2026年7月3日 16:36 江苏
在小说阅读器读本章
去阅读
2026年6月18日,国家互联网信息办公室、工业和信息化部、公安部联合发布《网络数据安全风险评估办法》(以下简称《办法》),自2026年8月20日起施行。《办法》作为《数据安全法》《网络安全法》《网络数据安全管理条例》在风险评估领域的具体化落地,标志着我国数据安全治理从“框架搭建”迈向“精细实施”的新阶段,对规范网络数据处理活动、防范化解数据安全风险具有重要意义。
01
深刻认识网络数据安全风险评估的时代意义
(一)落实数据安全法律法规的必然要求
《数据安全法》第二十一条确立了重要数据处理者定期开展风险评估的法定义务,《网络数据安全管理条例》进一步细化了年度评估及重要数据处理前的评估要求。《办法》对上位法的原则性规定予以系统化落实,将抽象法定义务转化为可操作的评估流程与标准,推动数据分类分级保护工作走深走实。
(二)应对人工智能时代数据安全风险的关键举措
大模型训练数据往往包含海量网络信息和用户交互记录,一旦涉及个人信息或重要行业,便天然落入“个人信息”或“重要数据”的规制范畴。“模型反演攻击”和“成员推理攻击”已多次证明,训练数据可从模型参数中被部分重建,模型本身的安全边界亟待厘清。数据安全风险既源自技术脆弱性和管理滞后,也来自外部攻击和内部疏漏,更面临云计算、人工智能等新技术带来的挑战。《办法》为系统性识别和评价上述风险提供了方法论框架。
(三)促进数据要素依法有效利用的重要保障
数据要素流通面临“不愿流动”“不会流动”“不敢流动”的三重障碍,核心根源在于对未知风险的忧虑。《办法》以风险识别、分析、处置、缓解和接受等科学风险管理手段为依据,消解数据流通的信任壁垒,打通数据孤岛,为数字经济高质量发展提供制度支撑。
02
准确把握《办法》的核心制度安排
(一)分级分类的风险评估义务体系
《办法》采取“分级分类、重点突出”的规制逻辑:重要数据处理者年度评估为强制义务(第五条),一般数据处理者以三年一次为鼓励性指引,核心数据风险评估另行规定(第二十三条)。这一层次化的义务配置体现了日益成熟的“比例原则”——监管强度与数据风险等级相匹配,既守住了安全底线,又避免“一刀切”式的合规成本溢出。
(二)强制评估的触发机制
《办法》第十七条规定了监管部门可要求网络数据处理者委托通过认证的评估机构开展风险评估的三种情形,其中“网络数据处理活动存在较大安全风险”及“发生网络数据安全事件,导致重要数据或者大规模个人信息泄露、被窃取的”两款,与人工智能系统安全态势高度关联。大语言模型的幻觉可能导致敏感信息泄露,对抗性提示词攻击可能绕过安全护栏,模型供应链攻击更直接构成数据安全事件。第十七条为监管部门提供了精准的“执法扳机”,同时以“不得重复要求”的但书条款保障企业程序性权利,防止多头执法对创新造成不必要的制度负担。
(三)第三方评估机构的制度设计
《办法》第七条至第十四条构建了涵盖资质认证(第八条)、独立性要求(第十二条轮换制度)、保密义务(第十四条)的完整评估机构管理制度。第十二条“同一评估机构及其关联机构不得连续三次以上对同一网络数据处理者开展年度风险评估”借鉴了上市公司审计轮换制度,旨在防止评估双方形成长期利益共生关系。第九条要求有关部门“积极促进网络数据安全风险评估服务的发展,培育评估机构”,标志着专业化评估服务市场在制度层面正式启航。
03
推动网络数据安全风险评估落地见效
(一)统筹协调监管合力
网络数据安全风险评估涉及网信、电信、公安、国安等多个部门。《办法》在国家数据安全工作协调机制指导下,建立风险评估专项工作机制,由国家网信部门协调年度检查计划,汇总共享评估报告,提升跨部门协同联动和风险处置能力,避免不必要的检查和交叉重复执法。
(二)构建人工智能安全审计生态
当前,人工智能安全评估仍处于技术标准碎片化、评估方法粗粝化的阶段。《办法》鼓励评估机构通过认证,推动评估服务向专门化方向发展。可以预期,未来将涌现针对训练数据安全、模型安全和推理服务安全的专业评估机构,风险评估报告将成为人工智能产品、服务上市审查和持续监管的核心工具。
(三)从合规负担迈向竞争优势
《办法》的出台代表着数据安全治理从“事后追惩”向“事前预防”、从“静态合规”向“动态风控”的深层转型。风险评估不再是静态的表格填写,而是持续嵌入业务流程的风险管理循环。对于有远见的人工智能企业而言,率先建立完善的数据安全风险评估体系,既是履行法定责任,也是在监管趋严时代获取市场信任、构筑竞争壁垒的战略性投资。正如《办法》第一条所揭示的立法宗旨——“保障网络数据安全”与“促进网络数据依法合理有效利用”是一体两面。风险评估作为法律工具,既是数据之盾,也是算法之眼——将让人工智能的发展在安全可控的轨道上行稳致远。
*文章所涉观点内容谨代表作者本人,不代表所在单位
*如需咨询、讨论或转载,请联系:
谢老师 13771998064(微信)
扫码关注
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:苏州信息安全法学所 原浩 谢永红 原浩 谢永红《强化网络数据安全风险评估,构筑人工智能时代数据治理新防线——从《网络数据安全风险评估办法》看数据安全治理的范式转型》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论