网络数据安全评估新规征求意见，CCRC-PIPCA PIPA PIPP法治化进程加速

2025-12-16 10:54:24 | 发布者: admin1 | 查看: 11 | 评论: 0

为规范网络数据安全风险评估活动，筑牢数据安全防护屏障，促进数据要素合法有序利用，国家互联网信息办公室于 2025 年 12 月 6 日正式发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），面向社会公开征求意见至 2026 年 1 月 5 日。该《办法》的出台标志着我国网络数据安全风险评估工作将进入标准化、常态化、法治化新阶段，为数字经济高质量发展提供坚实制度保障。

差异化评估周期落地重要数据年度评估成硬性要求

《办法》立足数据安全风险的差异性特征，构建了分级分类的风险评估周期体系。其中，处理重要数据的网络数据处理者需履行年度评估义务，每年对其数据处理活动开展全面风险评估；若重要数据安全状态发生重大变化并可能产生不利影响，需及时针对变化部分补充评估。对于处理一般数据的主体，《办法》鼓励至少每 3 年开展一次风险评估，形成 “重点管控 + 普遍引导” 的科学管控格局。

这一制度设计与 2025 年 11 月 1 日起正式实施的国家标准《数据安全技术数据安全风险评估方法》（GB/T 45577）形成有效衔接。该国标明确了风险评估的实施流程、内容与评价方法，为《办法》的落地提供了技术支撑，确保评估工作有标可依、有章可循。

全链条规范评估行为构建 “自主评估 + 第三方监督” 机制

《办法》对评估实施机制进行了系统性规范，明确网络数据处理者可自主开展评估或委托第三方机构实施。自主评估需指定专人负责，委托评估则应优先选择通过认证的机构，并通过合法文件明确双方权利义务与保密责任。为保障评估客观性，《办法》特别规定，同一评估机构及其关联机构不得连续 3 次以上为同一处理者提供评估服务。

在评估机构管理方面，《办法》要求评估机构需经国务院认证认可监督管理部门批准，具备数据安全服务认证资质，并严格遵守《数据安全技术数据安全评估机构能力要求》（GB/T 45389）等标准。评估机构在工作中发现重大数据安全风险的，需及时通报处理者并向监管部门报告，同时对评估报告的真实性、有效性、完整性承担法律责任，严守保密义务。

报告报送与监管核验闭环强化合规刚性约束

为确保评估工作不走过场，《办法》建立了 “报告报送 + 抽查核验” 的全流程监管机制。重要数据处理者需在年度评估完成后 10 个工作日内，按要求向主管部门或网信部门报送评估报告，报告需参照统一模板编制并至少保存 3 年。有关主管部门收到报告后，需在 10 个工作日内通报同级网信部门，形成监管信息共享。

针对特定情形，《办法》明确要求网络数据处理者必须委托认证评估机构开展评估，包括存在较大安全风险、发生重大数据泄露事件、处理活动可能危害国家安全或公共利益等四类情况。处理者需为评估提供必要支持，包括开放设施访问权限、承担评估费用，并在规定时限内完成问题整改并报送整改报告。对于未按规定开展评估的主体，将依据《数据安全法》等法律法规予以处置处罚。

多方协同共治筑牢数据安全治理体系

《办法》确立了 “国家网信部门统筹协调、各主管部门分工负责、地方网信部门属地管理” 的工作机制，明确各部门按照 “谁管业务、谁管业务数据、谁管数据安全” 的原则开展行业领域内评估工作，避免重复评估与检查。同时，要求各地区各部门加强风险信息共享与协同处置，每年 3 月底前报送风险处置情况，形成全国一盘棋的治理格局。

业内专家表示，《办法》的出台填补了网络数据安全风险评估领域的专项制度空白，通过明确评估责任、规范评估流程、强化监管措施，既为企业合规提供了清晰指引，也为监管执法提供了有力支撑。随着《办法》的正式落地与配套标准的实施，我国数据安全治理将从被动应对向主动预防转变，推动数据安全与数据利用的良性互动，为数字经济健康发展保驾护航。