近日，国家互联网信息办公室正式发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《办法》），面向社会公开征求意见至2026年1月5日。作为《数据安全法》《网络数据安全管理条例》的重要配套文件，《办法》首次系统规范了网络数据安全风险评估的全流程要求，标志着我国网络数据安全风险评估制度建设迈出关键一步，为构建全方位、多层次、立体化的数据安全防护体系提供了制度支撑。

《办法》的制定以底线思维保障国家数据安全为核心目标，立足当前数据依赖度提升带来的系统性风险加剧现状，通过明确评估主体权责、规范评估流程标准、强化评估结果应用，推动形成“评估发现风险、报告呈现风险、整改化解风险”的治理闭环。其核心目的在于将网络数据安全风险防控关口前移，促进数据安全治理从被动应对向主动防控转变、从分散管理向系统治理提升，切实守牢国家数据安全底线，为数字经济健康发展保驾护航。

在核心内容方面，《办法》构建了清晰的责任体系与操作规范，明确了主管部门、数据处理者、第三方评估机构的三方权责边界。在主管部门层面，确立“谁管业务、谁管业务数据、谁管数据安全”原则，国家网信部门统筹协调全国风险评估工作，各行业主管部门需定期组织本领域评估并于每年1月底前报送年度计划，省级网信部门强化区域协调，形成上下联动的监管格局。同时，主管部门有权对评估报告真实性进行抽查核验，对存在重大风险的情形可要求委托第三方机构开展评估，对整改不到位的主体可采取停止处理重要数据等措施。

针对数据处理者，《办法》区分不同主体提出差异化评估要求。其中，处理重要数据的主体须每年开展一次风险评估，若重要数据状态发生重大变化（如新增数据类型、启动跨境传输等）需及时评估；一般数据处理者则被鼓励至少每三年开展一次。评估实施方式灵活多元，数据处理者可自行评估或委托第三方机构开展，自行评估需指定专人负责并按模板编制报告，委托评估则需选择通过认证的机构并签订保密协议。评估报告需在完成后10个工作日内报送对应主管部门，无明确主管部门的则报送省级或国家网信部门，且报告保存期限不少于三年。

对于第三方评估机构，《办法》明确其需经国务院认证认可监督管理部门批准的认证机构认证，遵循公正客观原则开展工作，对评估报告的真实性、有效性、完整性负责。若发现重大数据安全风险，机构需及时通报数据处理者并向监管部门报告，同时对评估过程中获取的各类敏感信息承担保密责任。为防范形式化操作，《办法》还规定同一评估机构不得连续三次以上为同一家企业提供服务，且不得转包评估项目。

值得关注的是，《办法》注重与现有安全合规制度的协同衔接，明确网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计等制度的评估结果可互相采信，避免重复评估带来的企业负担。这一设计使各类制度形成递进支撑、互补联动的有机整体，其中数据安全风险评估作为安全决策的核心依据，为其他测评工作提供风险导向，而等保测评、密码应用评估等则为数据安全提供基础防护与技术支撑。

《办法》的发布具有重大现实意义与长远战略价值。从国家层面看，作为落实“十四五”规划中“加强网络、数据等新兴领域国家安全能力建设”要求的重要举措，《办法》进一步完善了我国网络数据安全治理体系，通过制度创新实现授权、用权、制权相统一，为提升国家数据安全保障能力提供了关键制度抓手。从行业层面看，清晰的评估规范与责任要求为各类数据处理主体提供了明确的合规指引，有助于推动行业形成重视数据安全、主动防控风险的良好生态，尤其将引导医疗、金融、交通等关键领域的重要数据处理者强化安全管理。

从市场发展层面看，《办法》通过防范数据泄露、篡改、滥用等风险，能够增强社会公众对数字服务的信任度，为数据要素有序流动、高效利用创造安全环境，从而赋能数字经济高质量发展。专家表示，《办法》的实施将推动数据安全治理从技术层面上升到体系化治理层面，通过全生命周期的风险管控，实现数据安全与发展的动态平衡。目前，《办法》正处于公开征求意见阶段，社会各界可积极建言献策，共同推动制度体系不断完善，为筑牢国家网络数据安全屏障奠定坚实基础。