2025年12月6日，国家互联网信息办公室发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），面向社会公开征求意见，截止时间为2026年1月5日。作为《数据安全法》和《网络数据安全管理条例》的重要配套文件，《办法》首次系统规范了网络数据安全风险评估的全流程要求，涵盖评估主体、执行频率、第三方机构管理等方面，构建起“责任清晰、流程明确、结果可追溯”的评估机制，直接影响各类网络数据处理者的合规路径。

本文结合《办法》全文及配套国家标准，从技术合规角度解析核心条款，厘清不同数据处理主体的责任边界，并提出可落地的实施建议，助力技术团队提前部署风险评估工作。

一、哪些主体必须开展评估？评估频次如何规定？

强制要求：

• 处理重要数据的单位应每年至少开展一次网络数据安全风险评估；
• 若重要数据的安全状态发生重大变化（如新增数据类型、启动跨境传输、系统架构调整等），需立即对受影响部分重新进行评估。（第六条）

[此处为图片1]

什么是“重要数据”？
根据《网络数据分类分级指引》《重要数据识别指南》等行业标准，通常包括以下几类：

• 用户身份信息、生物特征、行踪轨迹等敏感个人数据；
• 平台运营中的核心数据，例如推荐算法训练集、用户画像标签；
• 涉及公共利益、经济运行或社会稳定的关键行业数据，如医疗、金融、交通、能源等领域。

鼓励开展：
对于一般数据处理者，《办法》建议至少每三年开展一次风险评估。（第六条）

二、评估可以自行完成吗？具体方式有哪些？

《办法》允许采用两种方式进行评估（第八条）：

评估方式	核心要求	适用场景
自行评估	须指定专人负责，依据附件模板编制报告，报告保存不少于3年	适用于数据处理规模较小、具备完善安全团队的一般数据处理者
委托评估	优先选择通过认证的服务机构，签订保密协议并明确权责；评估报告需由机构负责人签字盖章	适用于重要数据处理者、曾发生安全事件的企业或自评能力不足的主体

注意事项：

• 同一评估机构不得连续三次以上为同一家企业提供服务（第十一条），以防止形式化操作；
• 评估机构不得将项目转包，且须对报告的真实性与完整性承担法律责任（第十条）。

此外，评估过程应遵循国家标准《数据安全技术 数据安全风险评估方法》（GB/T 45577）。若行业另有规定，则从其规定。（第七条）

三、评估报告如何撰写、提交与保存？

报告模板要求：

• 重要数据处理者：必须严格按照《办法》附件提供的模板编制报告；
• 一般数据处理者：可参照该模板执行。（第十三条）

报送时限与路径：

• 应在完成评估后的10个工作日内完成报送；
• 有主管部门的，报至相应主管部门；无明确主管部门的，报送至省级或国家网信部门。（第十四条）

保存期限：
风险评估报告应至少保存三年。（第十三条）

[此处为图片2]

四、在哪些情况下会被强制要求进行第三方评估？

即使企业已完成年度自评，出现下列情形时，监管部门仍可责令其委托认证机构重新开展评估（第十五条）：

• 数据处理活动存在较大安全风险；
• 发生重要数据或大规模个人信息泄露、被窃取事件；
• 数据处理行为可能危害国家安全或公共利益；
• 其他法律法规规定的特殊情况。

但《办法》也明确指出：不得就同一事项重复要求评估，避免增加企业负担。

五、未按规定开展评估将面临什么后果？

根据《办法》第二十条规定：

“省级以上网信部门及相关主管部门发现网络数据处理者未按规定开展风险评估的，应当依照《中华人民共和国数据安全法》等相关法律予以处置。”

依据《数据安全法》第四十五条，拒不履行风险评估义务的，最高可处500万元罚款，直接责任人处10万至100万元罚款。

同时，若评估机构出具虚假报告，将面临从业限制、公开通报，甚至追究刑事责任。（第二十条）

六、如何与其他合规工作协同推进？

《办法》第二十一条明确提出：

“风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估。”

这意味着：已取得等保测评、ISO 27001认证或其他合规成果的企业，其中涉及数据安全的部分内容，可作为本次风险评估的支持材料，有效减少重复投入。

七、企业应对策略：从被动应对转向体系化治理

建议企业立即启动以下行动：

• 识别是否属于“重要数据处理者”：梳理现有数据资产，对照《重要数据识别指南》完成分类分级；
• 建立年度评估机制：明确责任人，制定年度评估计划；
• 优先对接认证服务机构：查询国务院认证认可监督管理部门发布的“数据安全服务认证机构名录”；
• 整合已有合规成果：将等保材料、隐私影响评估（PIA）、算法备案等纳入风险评估框架；
• 准备应急响应预案：一旦发生数据泄露事件，能够快速启动专项评估并落实整改。

附：关键条款原文摘录

第六条：处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估……

第八条：网络数据处理者可以自行或者委托第三方评估机构开展风险评估……

第十四条：重要数据处理者应当在年度风险评估完成后的10个工作日内……报送评估报告。

第二十条：未按规定开展风险评估的，依据《数据安全法》等予以处罚。

第二十一条：风险评估与其他安全评估结果可互相采信，避免重复评估。