網絡數據安全風險評估機制面臨的問題與制度優化措施

武丹/制圖

作者|周陳 王淑瑤

責編|薛應軍

正文共3268個字，預計閱讀需10分鐘▼

網絡數據安全風險評估作為保障數據安全的核心環節，涉及數據收集、存儲、使用、加工、傳輸等全生命周期。隨著《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《網絡數據安全管理條例》等法律法規相繼頒布，我國確立了網絡數據安全風險評估的制度框架。但實踐中，對網絡數據和網絡數據處理活動安全進行的風險識別、風險分析和風險評價等活動缺少具體的實施細則。在此背景下，國家互聯網信息辦公室于2025年12月公布《網絡數據安全風險評估管理辦法（征求意見稿）》（以下簡稱《征求意見稿》）明確網絡數據安全風險評估法律關系中的各方角色定位和權利義務，以進一步規范網絡數據安全風險評估，劃定網絡數據安全合規底線。

網絡數據安全風險評估機制面臨的問題

目前，我國網絡數據安全風險評估制度還存在內容不明確、流程不通暢、主體責任不清晰等問題亟待解決。

第一，風險評估規則相對模糊，精準治理效能受限。當前，網絡數據安全風險評估機制存在核心數據范疇模糊、啟動要件界定不清、特殊場景覆蓋不足等問題。其一，核心數據評估標準缺失。核心數據關乎國家主權、安全和發展利益，但現有制度未明確國家專項規定缺失時的兜底適用規則，這導致部分關鍵領域核心數據安全評估缺乏針對性內容指引。其二，評估啟動要件模糊。現有規則中“重要數據安全狀態重大變化”等啟動要件表述過于籠統，缺乏可量化、可操作的具體判定標準，且與國家標準的適用情形難以有效銜接，導致實踐中評估啟動時機的認定存在一定隨意性。其三，特殊場景覆蓋不足。跨境數據流動的安全風險呈現疊加效應，遠高于境內數據。當前，跨境數據評估體系存在規則包容性失衡問題：一方面，包容性過度，企業自評估規則模糊、審查標準彈性較大，缺乏明確的量化判定標準；另一方面，包容性不足，數據出境安全評估的細節指引存在欠缺，未能充分適配不同類型企業的差異化合規需求。這不僅增加了企業合規的操作難度，還導致部分企業為降低合規成本簡化乃至規避評估程序，進一步加劇跨境數據流動的安全風險。

第二，評估流程有待完善，風險處置效率相對低下。當前，網絡數據安全風險評估流程存在周期設置僵化、處置時限缺失、結果互信不足等突出問題，導致數據安全風險處置的全鏈條流程銜接不暢。在評估周期方面，現有評估采用固定評估周期模式，未充分考量不同行業的數據風險差異，既無法滿足金融、能源等高危行業的高頻防控需求，也給中小企業增加不必要的合規負擔。在風險處置時限方面，現有制度雖然明確了評估機構的風險通報義務和數據處理者的整改義務，但由于缺乏全國統一的量化標準，評估機構的通報時限和數據處理者的整改周期存在原則性要求多、統一可操作標準少的問題，導致風險識別與處置之間存在較長時間差，易造成風險擴散蔓延。在結果互信方面，現行法律法規將結果互信范圍嚴格限定在“內容重合”范疇，缺乏跨地區、跨部門的數據評估結果互信互認的具體標準與流程，導致不同地區、不同監管部門間評估結果難以有效互認，企業需針對同一數據處理活動重復開展評估，合規成本大幅增加。

第三，主體責任落實存在短板，協同治理效能亟待提升。當前，數據處理者、評估機構、監管部門的三方責任體系中，部分主體責任履行不到位，跨主體協同聯動機制尚不健全，監督約束機制仍有欠缺，客觀上制約協同治理效能的充分發揮。在數據處理者層面，部分企業存在“重發展、輕安全”的觀念，對風險評估重視不足，未嚴格開展全生命周期評估，甚至存在規避評估、虛假整改等違法違規行為。在評估機構層面，部分機構獨立性不足，為迎合委托方需求出具失實報告，存在泄露評估過程中所獲取敏感數據的違規行為。在監管部門層面，“多頭監管”與“監管真空”現象并存，法定職責交叉導致數據流動過程的監管邊界模糊，而新興數據領域、數據跨境流動等場景突破傳統監管框架。這既造成監管資源錯位與浪費，又增加企業合規成本，抑制數據要素的自由流動。

數據安全風險評估機制的規范路徑

以總體國家安全觀為指引，立足數據安全治理的系統性、整體性、協同性要求，針對評估機制的現實梗阻，從制度規范、治理范式、責任體系三個維度構建優化路徑，推動風險評估工作從“有形覆蓋”向“有效覆蓋”躍升。

第一，健全風險評估制度規范體系，增強評估規則的適配性。立足數據全生命周期的風險防控需求，通過規則細化、場景拓展與標準銜接，填補風險評估內容空白，厘清風險評估制度邊界。一是明確風險評估的適用情形。風險評估規則應對接國家標準《數據安全技術數據安全風險評估方法》（GB/T 45577—2025），將數據處理系統重大升級、業務范圍調整導致數據類型新增、數據量顯著增長、發生數據安全事件、跨境數據流動方案變更等因素納入風險評估制度的啟動情形，制定可量化、可操作的判定標準。二是細化核心數據風險評估的具體標準。建立核心數據評估的兜底適用規則。明確當國家無相關專項規定時，適用網絡數據安全風險評估的統一規范，確保核心數據評估有章可循。三是引入風險評估周期彈性機制。依據不同行業的數據風險等級，賦予行業主管部門靈活調整權限，對金融、能源等高危行業實行高頻評估機制；對低風險行業適當延長評估周期，報國家網信部門備案后實施，實現風險防控與合規成本的動態平衡。四是健全跨境數據評估體系。新增重要數據出境專項風險評估制度，依據國家標準重點評估接收方法律環境、數據保護水平、跨境技術措施有效性等內容。

第二，構建技術與法律互動融合機制，推動風險評估提質增效。以技術賦能與法律規制的雙向聯動為核心，構建協同治理范式，破解流程僵化與效率低下的難題，提升數據安全治理效能。一是建立評估報告摘要的強制披露機制。明確重要數據處理者的評估報告摘要披露義務（涉密信息除外），由主管部門制定統一的摘要模板，以公開報告摘要披露的方式倒逼企業提升數據安全和評估工作質量，強化社會監督。二是明確風險處置時限標準。規范評估機構的風險通報義務，要求發現重大風險后，在特定時限內及時通報數據處理者并報告監管部門。明確數據處理者接收通報后的整改方案提交期限，以提高風險處置效率。三是完善風險評估相關結果互信機制。擴大結果互信的適用范圍，以“實質內容重合”作為標準，確立省級網信部門為評估結果的權威采信主體，實現不同地區、不同部門間的評估結果互認，避免重復評估，減輕企業合規負擔。四是優化跨境評估操作流程。細化數據出境評估的申請、審核、備案等環節的操作指引，明確各環節的辦理時限與責任主體，降低企業合規操作難度，治理規避評估的違規行為。

第三，完善多元協同責任體系，壓實風險評估三方主體責任。一是壓實數據處理者的主體責任。強化企業的數據安全主體責任意識，樹立全生命周期安全理念，開展常態化風險評估，如實報送評估報告，對規避評估、虛假整改等行為依法追究法律責任。二是壓實評估機構的主體責任。明確評估機構的獨立性要求，建立利益沖突防范機制，確保評估報告獨立、專業、客觀。強化評估機構的數據保密義務，對評估過程中獲取的敏感數據嚴格保密，對出具失實報告的行為設定嚴厲的法律責任。三是壓實監管部門的主體責任。厘清各監管部門的職責邊界，破解“多頭監管”與“監管真空”的困境，構建協同高效的監管格局。賦予省級以上網信部門和有關主管部門強制委托評估權，即在評估報告核驗、監督等工作階段發現存在較大安全風險等情形時，有權要求數據處理者及時委托經認證的評估機構開展評估，防范系統性風險。

網絡數據安全風險評估機制是踐行總體國家安全觀、統籌數據發展和安全的關鍵抓手，也是契合國家戰略導向、服務數字中國建設長遠目標的重要制度支撐。當前，亟須通過制度規范細化、技術法律融合、多元責任協同破解面臨的問題，為數據賦能新質生產力發展、推動實體經濟與數字經濟深度融合筑牢法治根基，護航數字經濟高質量發展。

本文為上海市教育委員會人工智能促進科研范式改革賦能學科躍升計劃一般項目“人工智能協同金融監管的規范化進路”的階段性研究成果。

（作者單位：上海政法學院上海司法研究所、中國政法大學民商經濟法學院）