一、立法背景与定位

（一）法律体系的衔接与落地

《办法（征求意见稿）》的出台并非孤立立法，而是我国网络空间治理法律体系不断完善的关键环节。在“三法一条例”奠定的基础框架下，《数据安全法》明确提出建立数据安全风险评估机制的原则；《网数条例》作为数据安全领域的重要行政法规，进一步要求重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告。《办法（征求意见稿）》则通过细化评估主体、流程、标准等内容，将上述法律法规的原则性规定转化为具体制度，并通过其附件《网络数据安全风险评估报告》模板为企业履行具体义务提供了明确参考。这种层级化的制度设计，既确保了上位法的有效落地，又为实践操作提供了明确依据。

（二）风险治理的主动防控转型

当前数据依赖度提升导致系统性风险加剧，“事后处置”的治理模式已难以应对复杂的数据安全挑战。《办法（征求意见稿）》构建“评估发现风险、报告呈现风险、整改化解风险”的治理闭环，将风险防控关口前移，推动数据安全治理从被动应对向主动防控转变、从分散管理向系统治理提升。这种以底线思维为核心的立法导向，加强了对重要数据等关键对象的管理力度，为国家数据安全筑牢了坚实的“防火墙”。

二、核心条款解读

（一）适用范围

《办法（征求意见稿）》第二条明确界定，网络数据安全风险评估（以下简称“风险评估”），是指对网络数据处理者的网络数据处理活动是否存在安全风险、风险等级及防控措施有效性进行审查评价的监督活动。这一定义清晰勾勒出评估的核心要素，为企业开展工作划定了边界。关于风险评估适用的具体对象如下：

1. 评估主体：网络数据处理者[1]，包括重要数据处理者和一般数据处理者。网络数据处理者可自行开展风险评估，也可委托经认证的第三方评估机构进行。此外，国家网信部门统筹风险评估工作，各行业主管部门及省级网信部门按职责组织开展本行业、本区域的风险评估及检查工作。针对核心数据，以及涉及国家秘密、工作秘密数据的风险评估活动，则被《办法（征求意见稿）》明确排除，仍参照国家其他有关规定执行。

2. 评估客体：网络数据处理者在中华人民共和国境内开展的网络数据处理活动及相关网络数据。从评估范围来看，既涵盖重要数据处理者的全流程数据处理活动，也包括一般数据处理者的相关活动；既可以针对整体数据处理体系开展评估，也可在重要数据安全状态发生重大变化时，仅针对变化及影响部分进行专项评估。对于集团化运营主体，虽未明确提及多主体统一评估，但结合“避免重复评估”的原则，不排除母子公司、关联企业可在统筹协调下开展协同评估的可能性。

3. 评估标准：以网络数据及数据处理活动的安全风险可控性为核心评价目标，具体需依据《网数条例》有关要求和《数据安全技术 数据安全风险评估方法》（GB/T 45577-2025）等国家标准开展，行业主管部门有特殊规定的从其规定。评估需全面识别数据安全管理、技术防护、处理流程等方面的风险点，科学分析风险发生概率及影响程度，最终形成客观的风险评价结论，为风险处置提供依据。

（二）企业在什么情形下需要开展风险评估？

情形一：自行开展合规风险评估

根据《办法（征求意见稿）》第六条，处理重要数据的网络数据处理者（以下简称“重要数据处理者”）应当每年度对其网络数据处理活动开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应及时对发生变化及其影响的部分开展风险评估；同时鼓励处理一般数据的网络数据处理者（以下简称“一般数据处理者”）至少每3年开展一次风险评估。具体要求可参考下表：

情形二：依监管部门要求进行风险评估

根据《办法（征求意见稿）》第十五条，省级以上网信部门和有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者有以下情形之一的，应当要求其委托通过认证的评估机构开展风险评估：

1. 网络数据处理活动存在较大安全风险的；

2. 发生网络数据安全事件，导致重要数据或者大规模个人信息泄露、被窃取的；

3. 网络数据处理活动可能危害国家安全、公共利益的；

4. 国家网信部门或者有关部门规定的其他情形。

值得注意的是，《办法（征求意见稿）》从平衡监管效率、避免合规冗余的角度出发，规定“风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估、审计、认证”。同时，其第十五条第二款明确，“对同一网络数据安全事件或者风险，不得重复要求网络数据处理者委托评估机构开展风险评估”，这一规则与2025年2月12日发布的《个人信息保护合规审计管理办法》第五条“对同一个人信息安全事件或者风险，不得重复要求个人信息处理者委托评估机构开展个人信息保护合规审计”的要求核心要义一致。二者通过避免对同一风险事件的重复评估/审计要求，既强化制度协同，又为企业松绑减负，实现安全与发展的动态平衡。

从企业层面来看，该条款精准回应了企业在合规实践中面临的“重复证明”痛点，能大幅降低中小微主体等各类网络数据处理者的合规成本。但同时，该条款也对其合规体系建设提出了针对性要求。企业需要建立动态化、前瞻性的数据安全与个人信息保护整合机制，不仅要整合网络安全等级保护测评、隐私影响评估等现有合规成果，还需确保单次评估的内容全面覆盖各类合规要点，满足不同监管场景的采信需求，从而凭借单次规范评估充分证明自身合规水平。

从监管层面而言，为切实落地这一条款，监管部门需依托《办法（征求意见稿）》构建的多层级协同机制强化跨域协作。一方面，国家网信部门统筹各地区、各部门的年度风险评估及检查计划，各行业主管部门按“谁管业务、谁管业务数据、谁管数据安全”的原则开展本领域评估，从源头避免重复检查；另一方面，需以《数据安全技术 数据安全风险评估方法》（GB/T 45577-2025）等国家标准为依托，构建统一的风险评估标准体系。这一系列举措能推动监管重心从程序合规转向实质风险防控，兼顾监管效能与企业合规便利性。

（三）企业自行开展还是委托评估机构开展风险评估？

自行评估与委托评估并行，数据处理者可根据自身情况选择自行或委托评估机构进行评估。网络数据处理者自行开展风险评估，应当指定专人负责；网络数据处理者委托评估机构开展风险评估，应当优先选择通过认证的评估机构，并通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、责任和保密义务等。提示企业注意，若属于上述依监管部门要求进行风险评估的情形，应当委托通过认证的评估机构开展风险评估。

（四）企业如何选择评估机构？

1. 认证机构优先原则：《办法（征求意见稿）》第八条与第九条引入了认证机构优先原则，要求网络数据处理者优先选择通过经国务院认证认可监督管理部门依法批准的具有数据安全服务认证资质的认证机构，同时明确《数据安全技术 数据安全评估机构能力要求》（GB/T 45389-2025）作为机构认证的基本依据。该标准从基础条件、管理能力、技术能力、人力资源能力、场所与设备资源能力等方面设计105项能力要求，指导评估机构进行能力建设。该标准明确评估机构工作公正性与独立性要求，规范评估过程与行为管理，要求对评估过程进行风险控制，明确评估人员能力、场地和设备等建设内容，为加强评估机构及人员专业性、规范性和可信度提供保障。此项规定与配套标准的协同实施，不仅为数据安全评估工作划定了清晰的资质门槛与操作规范，更有助于培育规范有序的专业服务市场，从源头提升数据安全风险评估的整体质量。

2. 利益冲突回避规则：《办法（征求意见稿）》第十一条规定了“同一评估机构及其关联机构不得连续3次以上对同一数据处理者开展风险评估”的要求。该条款通过引入竞争机制和外部监督压力，打破企业与评估机构之间通过长期合作可能形成的“合规共谋”，旨在保证风险评估的独立性。企业在选择评估机构时应主动核查合作机构的服务频次记录，避免与同一机构及其关联方形成超过3次的连续合作关系。

（五）对评估机构的工作要求

《办法（征求意见稿）》在第十条与第十二条中对评估机构开展工作提出如下要求：

1. 开展评估活动的核心行为规范：评估机构开展风险评估应当遵守法律法规，公正客观地作出风险判断，并对所出具的风险评估报告真实性、有效性、完整性负责，不得再委托其他机构开展风险评估。

2. 评估过程中的报告义务：评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通报网络数据处理者，并按照有关规定向省级以上网信部门、有关主管部门报告。

3. 信息安全与保密义务：评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在风险评估工作结束后及时删除相关信息。

（六）企业委托评估机构开展风险评估时应当履行的义务

根据《办法（征求意见稿）》第十六条，网络数据处理者按照有关部门要求委托评估机构开展风险评估的，应当履行下列义务：

1. 提供评估必要支持：企业应为评估机构开展风险评估工作提供必要支持，包括为风险评估人员提供访问网络数据设施、网络数据、系统及操作日志记录权限等。

2. 配合评估及承担费用：在限定时间内完成风险评估，承担评估费用，情况复杂的，报有关部门批准后可以适当延长。

3. 报送合规评估报告：在完成风险评估后将评估机构出具的评估报告报送有关部门，评估报告应当由评估机构主要负责人、风险评估负责人签字并加盖机构公章。

4. 完成整改并报送整改报告：按照有关部门要求对风险评估中发现的问题进行整改，在整改完成后15个工作日内，向有关部门报送整改情况报告。

5. 禁止干预评估报告真实性：网络数据处理者不得以任何方式要求或者示意评估机构出具不实或者不当的评估报告。

（七）评估报告应如何编制？报送与存档有什么要求？

评估报告是企业合规的核心证明文件，《办法（征求意见稿）》及其附件对报告的编制、报送、存档作出全流程规定，旨在避免“报告形式化”问题。具体要求如下。

1. 报告编制的要求：

• 内容完整性：需包含以下8项核心内容：评估概述（包括目的、依据、对象和范围、结论）、工作开展情况、网络数据和网络数据处理活动识别、网络数据安全风险识别（包括个人信息保护风险识别）、提供/委托处理/共同处理重要数据的风险评估情况（选填）、关键业务和供应链网络数据安全情况（选填）、风险分析与评价、风险处置，具体参考《办法（征求意见稿）》附件模板。
   

• 佐证材料支撑：评估报告结论需附技术检测报告、制度文件等佐证材料，确保可追溯；省级以上网信部门和有关部门对网络数据处理者的评估报告真实性、准确性进行抽查核验时，网络数据处理者应当配合开展抽查核验。

2. 报告报送与存档要求：

• 报送要求：重要数据处理者需在年度风险评估完成后的10个工作日内，按有关主管部门要求报送评估报告；主管部门不明确的，向省级网信部门或国家网信部门报送。有关主管部门收到报告后，需在10个工作日内通报同级网信部门，最终由国家网信部门汇总报送国家数据安全工作协调机制。
   

• 存档要求：风险评估报告至少保存3年。

三、合规路径：企业应对的实践要点

（一）开展数据分类分级，识别风险评估义务

数据分类分级保护是企业落实数据安全主体责任的核心前提，企业首先应当依据《数据安全法》《网数条例》等法律法规的要求，结合所属行业、领域主管部门发布的重要数据具体目录，对自身数据资产开展全面、精准的盘点与分类分级工作。在数据盘点过程中，企业需重点依据《数据安全法》第二十一条“国家建立数据分类分级保护制度，对数据实行分类分级保护”的核心规定，以及《网数条例》对重要数据的界定标准——即“一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、法人合法权益的数据”，并积极与有关主管部门沟通，精准判断自身是否属于重要数据处理者及所处理数据的类型，进而明确对应的合规评估义务。

若经识别确认处理重要数据，企业需严格履行《网数条例》规定的多项法定义务，包括但不限于建立健全数据安全管理制度、落实数据安全保护责任、采取必要的技术措施保障数据安全等；此外，需参照《办法（征求意见稿）》及《数据安全技术 数据安全风险评估方法》（GB/T 45577-2025）的相关标准，依据所确立的数据安全管理、数据处理活动安全、数据安全技术、个人信息保护四个核心维度，构建覆盖数据全生命周期的内部评估指标体系。

企业可利用风险矩阵或风险地图等科学方法，建立“年度常规评估+重大变化专项评估”的双重风险评估机制，精准梳理并识别数据在收集、存储、传输、使用、加工、提供、交易、公开等各环节的安全风险。对于不涉及处理重要数据的企业，也应结合自身业务实际与数据安全需求，建议制定至少每3年开展一次风险评估的计划，确保评估内容全面覆盖数据安全风险点，评估流程与结果符合法律法规及国家标准的合规要求。

（二）规范评估实施流程，构建企业内部风险评估管理制度

从合规实操层面，企业应提前规划并建立健全内部风险评估管理制度。该制度不仅需明确评估流程、责任主体及合作规范，更应全面融合《网数条例》规定的重要数据保护义务，形成“风险评估+全流程保护”的一体化制度体系，确保数据安全工作有章可循、全面合规。

从评估实施方式来看，企业可根据自身能力选择自行评估或委托第三方评估：自行评估的，需在制度中明确指定专人作为评估负责人，明晰其职责权限，并要求建立完整的评估过程档案，涵盖评估方案、风险清单、整改记录等全流程资料；委托第三方评估的，制度中应明确优先选择通过国家认可的认证机构认证的专业评估机构，同时要求签订规范的服务合同，明确双方在评估质量、保密义务、责任划分等方面的权利义务，尤其需约定因评估机构违规操作导致企业遭受损失时的赔偿责任，从源头规避合作风险。在评估报告管理环节，制度需强制要求评估报告严格按照《办法（征求意见稿）》附件规定的模板编制，确保报告内容真实准确、要素完整，同时明确报告报送时限与存档要求——年度评估完成后需在规定时限内通过监管部门指定的公开渠道报送，并将评估报告及相关佐证材料做好至少3年的存档工作，以备监管检查。

（三）强化评估结果复用，构建合规联动机制

企业应建立风险评估与其他合规工作相衔接的机制，以实现结果互认，减少重复合规投入。《办法（征求意见稿）》附件中的评估报告模板为上述衔接工作提供了关键支撑，例如：评估报告模板的“网络数据和处理活动识别”章节中涉及个人信息的处理情况梳理，可直接根据《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）的要求，基于个人信息保护影响评估（PIA）工作成果开展，避免重复盘点；其“个人信息保护风险识别”模块的结论，与PIA的风险评估维度可形成互补关系，两者可共同形成个人信息处理全场景风险清单。另如企业在已开展的网络安全等级保护测评中对核心数据库访问权限管控、账户权限分级管理、数据存储及传输加密措施进行了全面核验；在后续开展数据安全风险评估时，也可直接复用网络安全等级保护测评技术控制项的核查数据与结论，无需对相同内容进行重复测试。

整体来看，评估报告模板以全生命周期为核心框架，覆盖数据识别、风险评估、合规整改等关键环节，与企业PIA、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等工作存在内容重叠与逻辑关联。从目标上看，风险评估聚焦网络数据安全风险识别与处置，PIA聚焦个人信息处理的合法性与风险防控，审计聚焦合规义务的落地验证，其本质均服务于《网络安全法》《数据安全法》《个人信息保护法》《网数条例》等法律法规的落地执行；从数据上看，各项工作均需依托数据资产盘点、数据处理活动梳理等基础信息，可共用数据分类分级结果、数据流转路径等关键工作成果；从流程上看，评估模板的风险识别可为审计提供重点方向，PIA的评估结论可补充风险评估的个人信息维度，整改结果可同步纳入各合规工作的跟踪体系，形成全流程联动。

为落实上述相互衔接、全流程联动的机制，建议企业：

• 优化数据合规管理体系：结合自身数据处理角色，明确数据安全管理的统筹机制，从流程层面明确风险评估、PIA、审计等工作的开展方式，制定统一的数据分类分级标准、风险分级方法、整改跟踪流程，实现数据合规工作全流程规范化、一体化管控。
   

• 提前规划合规工作：根据数据处理实际场景，提前规划并开展网络安全测评与合规认证工作，并将风险评估报告、PIA报告、审计底稿、整改记录等内容集中管理，实现数据实时更新、数据资源共享、责任全程追溯。

四、对《办法（征求意见稿）》的思考及建议

从完善制度衔接与实操性的角度，结合当前《办法（征求意见稿）》内容，我们也提供以下几点思考及建议：

首先，《办法（征求意见稿）》第六条对“重要数据安全状态发生重大变化”并未明确定义，从企业角度判断难度较大，可考虑在原文或其附件中将“重大变化”进一步明确，例如：（1）数据处理目的、范围、方式、类型发生根本改变；（2）数据系统架构重大调整或迁移至新的平台或系统；（3）发生涉及重要数据的安全事件；（4）法律规定的其他情形。

此外，《办法（征求意见稿）》第二十一条明确内容重合的合规工作结果可互相采信，这一规定有助于避免重复评估、减轻企业负担。为使其更具操作性，建议在原文中或通过另行发布指南文件，进一步细化相关实施细则，明确合规结果互认的具体边界、技术标准与证明材料要求。当前“互相采信”的原则性表述，在实际执行中可能面临范围模糊、标准不一、证明责任不清等问题。例如，企业的网络安全等级保护测评、个人信息保护影响评估等报告，其结论在何种条件下可直接用于数据安全风险评估，尚未形成统一判断依据。这可能导致评估机构因谨慎而要求重复工作，或企业因理解偏差而准备不足，影响制度实施的效率与一致性。

五、结语：以专业合规筑牢数据安全屏障，把握发展机遇

《办法（征求意见稿）》的发布，是我国数据安全治理体系走向成熟的重要标志。其通过清晰的权责划分、科学的评估标准、高效的结果运用，构建起全方位的风险防控网络，既为监管部门提供了执法依据，也为企业合规运营指明了方向。

在数字经济蓬勃发展的今天，数据安全是发展的前提，风险评估则是安全的基石。企业应积极参与意见反馈，主动构建合规体系。当前的意见征求期，既是新规落地前的“缓冲带”，更是企业提前布局合规的“黄金窗口期”。建议企业抓住这一关键节点，主动联合专业力量有序推进风险评估工作：既要通过规范评估规避监管处罚、业务中断等风险，更要以合规管理为基石，构建数据安全与业务发展协同推进的良性机制。

与此同时，企业需高度关注后续正式版本的发布动向，持续跟进政策要求的更新与调整，确保合规准备工作始终与监管导向保持一致，将合规建设从风险规避的被动应对，转化为提升核心竞争力、实现可持续发展的主动战略布局。

注释：

[1] 根据《网络数据安全管理条例》第六十二条（三），网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。

[2] 根据《网络数据安全管理条例》第六十二条（四），重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。