12月6日，国家网信办发布《网络数据安全风险评估办法（征求意见稿）》（下称《办法》），并提供评估报告模板，向社会公开征求意见，意见反馈截止时间为明年1月5日。该文件拟明确安全评估主管部门、数据处理者、第三方机构等主体在各个环节开展网络数据安全风险评估的具体责任和要求。

国家网信办发布《办法》征求意见稿。

南都N视频记者梳理发现，我国《数据安全法》《网络数据安全管理条例》明确提出建立数据安全风险评估机制，要求重要数据的处理者定期开展风险评估并报送报告，而《办法》便是二者所构建的数据安全基础法律框架的细化与落地。

中国电子技术标准化研究院副院长范科峰表示，《办法》将上位法的原则性规定转化为可操作、可监督的具体制度，推动形成“法律—行政法规—部门规章—国家标准”四位一体的网络数据安全风险评估实施路径。

《办法》拟明确，处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估。重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应及时对发生变化及其影响的部分开展风险评估。鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。风险评估工作应当按照《网络数据安全管理条例》有关要求和《数据安全技术 数据安全风险评估方法》（GB/T 45577）等有关国家标准开展。

同时，《办法》提出开展指定评估的情形，即省级以上网信部门和有关部门在风险评估报告核验、监督检查等工作中发现网络数据处理者存在较大安全风险的、发生重大网络数据安全事件的、其网络数据处理活动可能危害国家安全、公共利益等情形时，应当要求其委托通过认证的评估机构开展风险评估。

具体评估评估方式有哪些？根据《办法》，网络数据处理者可以自行或者委托第三方评估机构开展风险评估。自行开展风险评估应当指定专人负责；委托评估机构开展风险评估，应当优先选择通过认证的评估机构，并通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、责任和保密义务等。

值得注意的是，为了确保公正客观性，同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估。另外，评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通报网络数据处理者，并按照有关规定向省级以上网信部门、有关主管部门报告。

在主管机关方面，《办法》拟明确，各有关主管部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展风险评估，可以根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查，并于每年1月底前向国家网信部门报送年度风险评估及检查计划。省级网信部门统筹省级有关部门制定本行政区域年度风险评估及检查计划，按照前款要求报送国家网信部门。

《办法》还提出建立监管报送与协同机制。评估完成后，重要数据处理者应当在年度风险评估完成后的10个工作日内按照有关主管部门要求报送评估报告。主管部门不明确的，向省级网信部门或者国家网信部门报送。有关主管部门应当自收到评估报告之日起的10个工作日内将报告通报同级网信部门。国家网信部门汇总相关报告并报送国家数据安全工作协调机制。

《办法》还特别提到，风险评估、网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估、审计、认证。

范科峰表示，通过建立分层级的工作体系，《办法》实现了跨地域、跨行业的网络数据安全风险协同治理模式，加强风险信息共享和协同处置，避免重复评估、重复检查，为构建全国“一盘棋”的网络数据安全风险治理新格局提供了制度保障。

在惩处措施方面，《办法》拟明确，省级以上网信部门和有关部门发现网络数据处理者未按规定开展风险评估的，应当依据《数据安全法》等法律法规予以处置处罚。发现评估机构违反本办法开展风险评估的，省级以上网信部门和有关部门应当责令其进行整改；情节严重的，可以限制或者禁止其开展风险评估活动，追究相关人员责任，并予公布；构成犯罪的，依法追究刑事责任。

范科峰指出，这一系列制度安排，使得我国网络数据安全治理实现从事后处置向事前预警、事中管控的深刻转变，为强化网络数据安全防护体系提供了坚实的制度保障。

采写：南都N视频记者 樊文扬

编辑：黄莉玲