文章总结： 《数据安全风险评估办法》征求意见稿明确了数据安全风险评估的主管机构、基本原则、范围周期和实施要求。该办法强调避免重复评估，要求重要数据处理者每年开展一次风险评估，一般数据处理者每3年一次。评估可自行或委托第三方机构进行，但对评估机构有资质要求。文章还分析了该办法与传统信息安全风险评估的区别，指出数据安全风险评估应从业务入手，与业务密切相关。 综合评分： 88 文章分类： 政策法规,数据安全,安全建设

聊一聊《数据安全风险评估办法》征求意见稿

原创

草根老烦

老烦的草根安全观

2025年12月20日 13:46 新疆

本文非官方解读，仅代表个人观点。不喜勿看，请勿恶意举报

风险评估是一个通意概念，风险不仅局限于某个行业或者领域，一切事物皆有风险，基于风险的系统工程理论是现代工程体系中的最佳实践。将风险纳入在整个组织的有机管理之下，能够为组织提供一种前置危机的良性活动，及早辨识组织所面临的风险，能够让组织用最低的成本应对在风险发生后所产生的直接或间接经济损失或无形资产损失。数据安全风险评估工作的开展是从2021年我国《数据安全法》发布之后正式提出。从狭义数据安全风险评估的概念我们可以理解为传统网络安全风险评估的一个组件或活动；从广义数据安全风险评估角度而言，数据安全风险评估是一项专门针对数据处理活动产生的风险所进行的评价过程。根据《信息安全技术 数据安全风险评估方法》的定义，我们将数据安全风险评估描述为“数据安全风险评估（data security risk assessment）对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。”从笔者的角度理解数据安全风险评估与传统信息安全风险评估的区别在于：

1. 信息系统风险评估是针对组织整个网络资产建立评估活动，从传统的网络资产定义可参阅附录1GB/T 20984-2022《信息安全技术 信息安全风险评估方法》所示；数据安全风险评估应建立在数据处理活动过程 中所产生的数据安全风险；

2. 传统信息安全风险评估是针对网络资产所面临的威胁与脆弱性产生的风险评价过程；数据安全风险评估应针对数据自身在流经各个数据载体时所产生的数据处理风险的评价，在此过程基础上，数据自身的脆弱性成为一种独特的风险识别过程，如：数据标准、数据质量、数据流通活动等；

3. 由于传统的信息安全风险评估源自与CC（通用准则）体系，而CC从信息安全三元组出发，将机密性、完整性和可用性作为评价风险的主要因素，与业务松耦合，通常从系统入手开展评估工作；而数据安全风险评估与业务密切相关，数据的一举一动都可能造成业务的中断或异常，因此，数据安全风险评估工作更应该从业务入手。

2025年12月，中央网信办发布《网络数据安全风险评估办法》（以下简称评估办法）从行政管理角度将这项工作正式纳入立法管理之下。《数据安全法》第六条授予网信部门统筹协调网络数据安全和相关监管工作，在此职能下，发布了该评估办法。办法在第三条中也明确了国家网信部门在本项工作的职能“在国家数据安全工作协调机制指导下，统筹各地区、各部门开展风险评估，加强工作协调、信息共享。”指定本办法的目的是“为了规范网络数据安全风险评估活动，保障网络数据安全，促进网络数据依法合理有效利用，”《评估办法》依据《中华人民共和国数据安全法》第十八条、第二十二条、第三十条《中华人民共和国网络安全法》（修订版）第十八条、第二十八条、第五十五条、第六十五条《网络数据安全管理条例》第四十条、第四十八条等法律法规，制定本办法。

本文件是在即网络安全等级保护之后首次将风险评估工作通过行政立法的形式做出明确约定的行政管理文件。全文25条并附《网络数据安全风险评估报告》模板。从老烦的角度对该《评估办法》做出如下理解：

首先，明确数据安全风险评估工作的主管机构及基本原则。

实际上，从传统的网络风险评估到数据跨境风险评估、个人信息保护合规性审计、商用密码评估再到数据安全风险评估。各项工作所产生的评估活动涵盖了几乎完整的数字化产业。但是对于被评估机构而言却苦不堪言。九龙治水之下的不同评估规范，重复评估，评估准则不同造成的无所适从等等客观问题，导致各个机构被“评估”活动怨声载道。评估办法在第五条中提出“国家网信部门在国家数据安全工作协调机制指导下，统筹有关主管部门和省级网信部门报送的年度风险评估及检查计划，避免重复评估、重复检查。“同时，在第二十一条中进一步明确“风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估、审计、认证。”上述两条相互印证声明一个原则：基于计划开展风险评估工作，并对重复评估项产生的结果互认，避免产生重复评估问题，为被评估机构减压。从结果而言，这为不同领域的评估和测评团队带来一个操作的难题，重复是要解决明确的评估项的重复还是名称的重复还是评估点的重复？实际上，在操作的过程中，需要多个评估标准对数据安全评估内容进行标准化定义和评估项的深度和广度的磨合，才能形成合理性互认和降低争议。也就意味着，未来数据安全风险评估应为其他评估测评活动中针对“数据安全”评估的内容提供丰富的、可裁剪的以及弹性的评估基准，以适应在不同的测评和评估过程中产生的活动。

其次，《评估办法》明确约定了评估范围和评估周期

《评估办法》第二条明确评估的物理范围-中华人民共和国境内开展网络数据安全风险评估。《网络数据安全管理条例》第二条定义了网络数据的管辖规制范围“在中华人民共和国境内开展网络数据处理活动及其安全监督管理”，这也就意味着，《评估办法》所约定的评估范围将涵盖任何国家、地区、机构在中华人民共和国境内处理网络数据活动都应对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。通常风险评估工作应每年开展一次或者当组织发生重大变更或发生安全事件后开展风险评估工作。实际上，数据工作本身与业务相关性导致其产生变更的条件非常繁杂，比如：随着业务的增长，原有的用户数据和交易数据在一定的周期后从一般数据演化为超过1000万条的数据保护要求，依据《网络数据安全管理条例》规定，超过1000万个人信息应纳入重要数据保护，根据《评估办法》要求，重要数据需要每年开展一次风险评估，那么评估工作的启动是从构成1000万数据的时间节点开始还是以自然年度为时间线呢？实际上，我们在数据分级定义中，必然会面对不断波动的用户数据的增幅和降幅的问题。

在组织实际数据处理活动中产生的委托处理，数据共享以及数据流通工作中产生的数据合作方和数据供应链活动的评估，在第二十二条也给出里明确的要求“重要数据处理者提供、委托处理、共同处理重要数据前进行风险评估，可以参照本办法有关规定执行。”核心数据，涉密数据的风险评估不在本办法管理范围之内。

《评估办法》对于评估周期做出如下明确规定：第四条 ……定期组织开展本行业、本领域风险评估，可以根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查，并于每年1月底前向国家网信部门报送年度风险评估及检查计划。第六条进一步提出“处理重要数据的网络数据处理者（以下简称重要数据处理者）应当每年度对其网络数据处理活动开展风险评估。”这也就意味着针对重要数据的风险评估工作需要每年定期开展一次风险评估；第六条对一般数据的要求“鼓励处理一般数据的网络数据处理者（以下简称一般数据处理者）至少每3年开展一次风险评估。”鼓励不是一个强制性要求，秉承自主自愿的原则开展风险评估工作，每3年一次。

针对数据安全风险评估工作开展的前提又进一步给出要求：第六条 ……重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应及时对发生变化及其影响的部分开展风险评估。正如前文所述，数据在业务活动中不断发生增减过程，那么在实际组织面对数据的增量和减量过程中，需要对数据级别发生变化以及数据在形成海量聚合后产生的数据情报化的问题加剧后。这就需要组织和网信部门明确定义“不利影响”的条件和要求，以及数据发生变化的时间区间，如：当数据超过1000万条后一周内，发起数据安全风险评估工作；或数据海量聚合后（例如：合成数据）产生可能的个人隐私推论或者敏感信息泄露等条件后；

第三、《评估办法》对评估组织和发起第四条明确指出“各有关主管部门应当按照‘谁管业务、谁管业务数据、谁管数据安全’的原则，定期组织开展本行业、本领域风险评估；”首先在此因明确两个“谁”的层次问题；第一个层次，从行业主管单位而言，哪个部门发起数据安全风险评估；第二个层次是哪个组织哪个部门发起数据安全风险评估工作；从传统的理解而言，安全风险评估工作应由安全部门发起，但是此处明确的第一个“谁”是业务管理方，也就是说，数据安全风险评估应由业务主管部门发起。但实际上在执行过程中，“谁”的争议导致发起方成为一个焦点。在前述文章中，也多次提到，数据本身属于业务范畴的重要组成，各个部门对数据确权关系不清，导致数据安全工作走入一个部门之间的迷局，不打通部门壁垒，数据安全始终会停留在表面。因此建议在《评估办法》中应进一步明确“谁”的问题；而各行业主管部门也应明确业务主管部门然后由业务主管部门落实业务数据责任权属，最后将数据安全工作基于业务属性落实到具体的部门之后，才能有效推动数据安全风险评估以及数据安全治理工作。

对于如何执行数据安全风险评估，为了充分体现行业主管部门对本行业本领域数据安全工作的自主性的原则，《评估办法》第七条指出“风险评估工作应当按照《网络数据安全管理条例》有关要求和《数据安全技术 数据安全风险评估方法》（GB/T 45577）等有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的，从其规定。”

第四、谁来具体实施数据安全风险评估以及实施要求

《评估办法》第八条对开展评估工作的执行方做出要求；“网络数据处理者可以自行或者委托第三方评估机构（以下简称评估机构）开展风险评估。”

首先在第八条第二款中明确允许“自行”开展评估工作，并要求“应当指定专人负责。”对委托评估则需要符合“应当优先选择通过认证的评估机构，并通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、责任和保密义务等。”，《评估办法》中没有明确要求必须选择认证评估机构，而是提出“优先选择”，这也就意味着鼓励有能力的社会技术力量参与到数据安全风险评估工作中，尤其是对行业业务有深入理解的机构和组织可以积极投身于数据安全风险评估工作，真正落实数据安全风险治理活动。《评估办法》可以进一步对未通过认证的评估机构给出明确的要求，比如：行业属性、案例、人员资质和能力等，以确保未通过认证的评估机构能够切实做好该项工作；但是，《评估办法》在第十五条中提出省级以上网信部门和有关部门对于“自行”评估或未委托认证评估机构开展评估活动后，对风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的，应当要求其委托通过认证的评估机构开展风险评估：（一）网络数据处理活动存在较大安全风险的；（二）发生网络数据安全事件，导致重要数据或者大规模个人信息泄露、被窃取的；（三）网络数据处理活动可能危害国家安全、公共利益的；（四）国家网信部门或者有关部门规定的其他情形。同时要求对同一网络数据安全事件或者风险，不得重复要求网络数据处理者委托评估机构开展风险评估。

对于认证评估机构的约定，在第九条中指出“经国务院认证认可监督管理部门依法批准的具有数据安全服务认证资质的认证机构，可按照《数据安全技术 数据安全评估机构能力要求》（GB/T 45389）等有关国家标准、行业标准对评估机构开展认证。”目前，我们可以看到的数据安全风险评估机构主要通过网信部门相关资质认可。

对于数据安全风险评估工作的开展，《评估办法》提出评估工作的基本要则和要求（第十条） 评估机构开展风险评估应当遵守法律法规，公正客观地作出风险判断，并对所出具的风险评估报告真实性、有效性、完整性负责，不得再委托其他机构开展风险评估。第十一条是历年来对网络和数据安全工作都未曾提出的要求，这一要求充分考虑了评估机构水平差异化可能对被评估机构可能产生的丧失客观性、不能持续有效的风险识别的能力以及行业评估差异化带来的风险识别不充分等问题，提出“同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估。”通过不同的风险评估机构可以从多角度多层面有效识别组织面临的数据安全风险。从网络数据事件管理而言，第十二条中要求评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通报网络数据处理者，并按照有关规定向省级以上网信部门、有关主管部门报告。

对于数据风险评估报告及要求，第十三条中指出“重要数据处理者开展年度风险评估应当按照本办法附件模板编制评估报告，一般数据处理者可以参照本办法附件模板编制评估报告。”如果各行业主管部门已经具备相关报告模板，《评估办法》明确“有关主管部门对风险评估报告模板另有规定的，从其规定。”但是第二款强调“风险评估报告至少保存3年。”

第五、如何管理数据安全风险评估工作

首先，《评估办法》在第十九条中，风险评估工作中，“任何组织、个人有权对风险评估中的违法违规活动向有关部门进行投诉、举报，收到投诉、举报的部门应当依法及时处理。”针对数据安全风险评估工作的管理主要在三个层面，一是针对数据安全风险评估活动中风险的管理要求；二是针对数据安全风险评估实施机构的管理，三是针对网络数据处理者的管理要求；

（一）《数据安全法》第二十九条规定“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。”《评估办法》对于在评估过程中发现重大网络数据安全问题，在第十七条中指出“有关部门在组织风险评估工作中发现存在可能危害国家安全、公共利益的网络数据处理活动，应当责令网络数据处理者进行整改；对整改不到位、拒不整改的网络数据处理者，可以采取要求其停止处理重要数据等措施。”也就意味着，在评估过程中对应及时针对被评估机构中所面临的重大安全事件需要及时向有关部门通报并实时整改；《评估办法》在第十八条中针对风险信息共享原则，需要通过区域协同、行业协同以及其他有效合法共享途径针对风险评估过程中发现的重大数据安全风险问题由“各地区、各部门应当加强风险信息共享和协同处置，及时处置风险评估工作中发现的安全风险和问题，并按照有关规定及时报告。”第二款中明确该项工作应由“省级网信部门统筹协调本行政区域内风险信息共享和协同处置工作，”并要求在“每年3月底前向国家网信部门报送上一年度风险信息处置情况，国家网信部门汇总相关情况报送国家数据安全工作协调机制。”

（二）针对数据安全风险评估机构《评估办法》第二十条第二款指出“发现评估机构违反本办法开展风险评估的，省级以上网信部门和有关部门应当责令其进行整改；情节严重的，可以限制或者禁止其开展风险评估活动，追究相关人员责任，并予公布；构成犯罪的，依法追究刑事责任。”

其中，违反本规定指：第十二条第二款中所规定“评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在风险评估工作结束后及时删除相关信息。”

（三）《评估办法》对网络数据处理者提出需要履行的义务和责任。在第十六条中，明确要求网络数据处理者按照有关部门要求委托评估机构开展风险评估的，应当履行下列义务：（一）为评估机构开展风险评估工作提供必要支持，包括为风险评估人员提供访问网络数据设施、网络数据、系统及操作日志记录权限等；（二）在限定时间内完成风险评估，承担评估费用，情况复杂的，报有关部门批准后可以适当延长；（三）在完成风险评估后将评估机构出具的评估报告报送有关部门，评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章；（四）按照有关部门要求对风险评估中发现的问题进行整改，在整改完成后15个工作日内，向有关部门报送整改情况报告。为了确保评估报告的准确性、客观性、公正性，第二款中进一步要求“网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的评估报告。”对于评估机构，也不应为用户所提的不当要求提供服务和便利。

对于重要数据处理者还应履行第十四条所规定的义务，即要求“重要数据处理者应当在年度风险评估完成后的10个工作日内按照有关主管部门要求报送评估报告。”当发生主管部门不明确的，则向省级网信部门或者国家网信部门报送。第二款也进一步明确报送途径与方法，“有关主管部门应当公开评估报告报送渠道和联系方式，及时接收重要数据处理者报送的评估报告，”，这也就意味着行业主管部门应提供安全、可靠的专属报送途径，接受来自于下属单位的数据安全风险评估报告，并按要求在“收到评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告并报送国家数据安全工作协调机制。”第三款是赋予监管机构要求，“省级以上网信部门和有关部门可对网络数据处理者的评估报告真实性、准确性进行抽查核验，网络数据处理者应当配合开展抽查核验。”

第二十条针对网络数据处理者不履行数据安全风险评估工作的行为明确“……网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》等法律法规予以处置处罚。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老烦的草根安全观 草根老烦《