近日，国家互联网信息办公室公布《网络数据安全风险评估管理办法（征求意见稿）》（以下简称《办法》），正式向社会公开征求意见。这一举措标志着我国网络数据安全风险评估制度建设迈出关键一步，是落实《数据安全法》《网络数据安全管理条例》等上位法要求的重要举措，对于完善网络数据安全治理体系、提升治理能力、促进数字经济健康发展具有重大意义。《办法》立足总体国家安全观，坚持问题导向，呈现出三大核心亮点，构建起科学规范、高效协同的网络数据安全风险治理新格局。

亮点一：构建协同治理体系，压实各方主体责任

以往数据安全风险评估存在权责不清、多头管理、重复检查等问题，增加了企业合规负担，也影响了治理效能。《办法》针对性地构建了“国家统筹、行业监管、地方协调、网络数据处理者主责”的分层级工作体系，明确了各方权责边界。在国家层面，网信部门负责统筹协调，加强跨地区、跨部门指导；在行业层面，确立“谁管业务、谁管业务数据、谁管数据安全”原则，压实行业主管部门监管责任，要求其定期报送年度评估及检查计划；在企业层面，明确网络数据处理者是风险评估的责任主体，根据数据类型差异化履行评估义务——重要数据处理者每年评估，一般数据处理者至少每3年评估。这一体系实现了“全国一盘棋”的协同治理，既避免了监管空白和交叉，又通过风险信息共享和协同处置，提升了整体风险防控能力。

亮点二：规范评估全流程，兼顾专业性与公正性

《办法》围绕“干什么、怎么干、谁来干”的核心问题，对数据安全风险评估全流程进行了规范化设计。在评估方式上，赋予企业自行评估或委托评估的选择权，同时明确委托评估需优先选择认证机构，特殊情况下监管部门可要求强制委托认证机构，确保评估专业性；在机构管理上，设定严格的资质要求和行为红线，明确评估机构需公正客观、禁止转包、履行保密义务，尤其创新性地规定“同一评估机构及其关联机构不得连续3次以上对同一企业开展评估”，从制度上防范利益捆绑，保障评估结果的公正性；在结果运用上，配套提供评估报告模板，要求企业按时报送，监管部门开展抽查核验，形成“评估发现风险、报告呈现风险、整改化解风险”的闭环管理，推动数据安全治理从被动应对向主动防控转变。

亮点三：强化制度协同减负，促进数据合法利用

数据安全的最终目标是保障数据依法有序流动，赋能数字经济发展。《办法》深刻把握这一核心，在强化安全监管的同时，注重为企业松绑减负，促进制度协同。一方面，明确风险评估结果与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计等结果重合的，可互相采信，打破不同合规体系之间的壁垒，避免重复评估、重复投入，显著降低企业合规成本；另一方面，以两大国家标准为支撑，构建科学统一的评估体系——GB/T 45577-2025《数据安全技术 数据安全风险评估方法》提供统一的流程、内容和方法，解决了以往评估尺度不一、结果难互认的问题；GB/T 45389-2025《数据安全技术 数据安全评估机构能力要求》规范评估机构能力建设，保障评估专业性。这一系列制度设计，既守住了数据安全底线，又为数据要素合理利用提供了制度保障，实现了安全与发展的平衡。

✅ 数据安全核心：CCRC-DSO 数据安全官、CCRC-DSA 评估师、CCRC-DCO 合规官、CCRC-CDO 首席数据官

✅ 个人信息保护：CCRC-PIPP 专业人员、CCRC-PIPCA 合规审计、CCRC-PIPA 评估师

✅ 安全 / IT 体系：ISO27001、CISP、CISSP、软考、CISAW（应急 / 运维 / 电子取证 / 个信安全）

✅ 新兴领域：人工智能应用工程师、信创、数据安全相关认证

企业安全治理缺专业人才？个人职业提升需权威背书？

📞马老师：133-9150-9126

一站式办理，助力职场进阶 / 企业合规！

作为数据安全领域迈向精细化治理的关键举措，《办法》的出台填补了网络数据安全风险评估的操作层面制度空白，完善了“法律—行政法规—部门规章—国家标准”四位一体的实施路径。目前，《办法》正处于征求意见阶段（截止至2026年1月5日），社会各界可积极反馈意见建议，助力制度进一步完善。相信随着《办法》的落地实施，我国网络数据安全治理能力将得到显著提升，为数字经济高质量发展筑牢安全屏障。