随着数字经济深入发展，数据在生产经营、公共服务、社会治理和科技创新中的基础性作用更加凸显。与此同时，数据处理规模持续扩大，数据流动链条更加复杂，网络数据安全风险也呈现出更强的隐蔽性、传导性和系统性。6月18日，国家互联网信息办公室等三部门公布《网络数据安全风险评估办法》（以下简称《办法》），对网络数据安全风险评估的组织实施、主体责任、机构管理、报告报送、结果运用和监督处置等作出系统规定，是我国网络数据安全治理制度进一步走向精细化、规范化的重要体现。

　　一、《办法》出台的重要意义

　　第一，《办法》推动数据安全法律制度从原则规定走向具体实施。《数据安全法》《网络数据安全管理条例》等法律法规已经确立了数据安全保护、风险评估等基本制度要求。《办法》在此基础上进一步明确评估主体、评估方式、评估依据、报告要求和监督管理要求，将上位法要求转化为可执行的具体规则。

　　第二，《办法》有利于推动网络数据安全治理关口前移。网络数据安全风险更多时候隐藏在数据流向不清、权限配置不当、系统变更未评估、重要数据识别不足等具体环节之中，风险评估的制度价值，就在于把这些隐蔽风险提前显性化，使监管和合规能够在风险演变之前介入，推动数据安全治理从事后补救转向事前预防、事中控制。

　　第三，《办法》有利于为行业发展提供稳定预期。通过风险评估报告、抽查核验和风险信息共享，主管部门能够更准确掌握重点行业、重点领域、重点主体的数据安全风险状况，提高监管资源配置和风险处置的针对性；网络数据处理者也可以在梳理数据资产、处理活动、安全措施和数据外部提供情况的过程中明确风险边界和责任边界。由此，安全要求被转化为可执行的评估路径，数据依法有序流动和有效利用也获得了更稳定的制度支撑。

　　二、《办法》的制度亮点

　　第一，《办法》把网络数据处理活动作为风险治理的核心对象。相比单纯关注数据本身，网络数据安全风险往往更取决于数据在什么场景下被处理、由谁处理、如何流转、是否进入外部系统以及是否形成新的安全影响。《办法》围绕网络数据和网络数据处理活动开展评估，体现了从静态数据保护向动态过程治理转变的思路。

　　第二，《办法》采取了差异化、比例化的制度设计。对重要数据处理者，《办法》设置年度评估和重大变化及时评估要求；对一般数据处理者，则采取鼓励定期评估的方式。这种安排没有简单地把所有主体纳入同一强度的合规要求，而是根据风险程度配置不同义务，有助于将监管资源和合规资源集中到更需要关注的重点对象和重点场景。

　　第三，《办法》以国家标准支撑风险评估规范化实施。网络数据安全风险评估既涉及法律合规判断，也涉及数据识别、风险分析和技术验证，需要相对统一的评估方法和能力要求。《办法》规定风险评估工作应当按照《数据安全法》《网络数据安全管理条例》有关要求，参照数据安全风险评估有关国家标准开展。其中，《数据安全技术 数据安全风险评估方法》（GB/T 45577-2025）为网络数据处理者提供了相关工作依据，有助于推动评估工作的标准化。

　　三、《办法》实施的建议

　　第一，进一步细化重要数据识别和重大变化触发评估的规则。风险评估能否及时启动，取决于网络数据处理者是否能够准确判断自身数据类型和风险状态。有关主管部门可结合行业特点，逐步明确典型场景和判断标准，避免企业因识别困难而出现漏评、迟评。

　　第二，推动结果互认机制落地。落实《网络数据安全管理条例》第五十二条第二款规定，个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。各类合规制度的结果互认还需要明确互认条件、互认范围和证明材料要求。可以围绕评估对象一致性、评估时间有效性、方法标准可比性、证据材料可追溯性等要素，逐步形成更具操作性的衔接规则。

　　第三，强化第三方评估的独立性和保密责任。评估机构的价值不只是提供报告，更在于提供客观、专业、可信的外部判断。下一步需通过认证管理、质量抽查、利益冲突防范和责任追究，防止评估流于形式。同时，也要保护评估过程中涉及的数据、系统信息、商业秘密和保密商务信息，避免评估活动本身带来新的安全风险。（作者：周辉　中国法学会网络与信息法学研究会常务副秘书长）