近日，国家网信办、工信部、公安部三部门联合印发《网络数据安全风险评估办法》（以下简称《办法》），明确自8月20日起正式实施。新规落地后，所有重要数据处理者将强制落实年度数据安全风险评估义务，等同于企业数据资产每年一次法定 “安全年检”。不同于以往零散合规要求，本次《办法》统一了评估流程、报告规范、监管报送机制，监管检查力度将全面升级。

 

 

Part.1新规核心要点梳理

丨强制评估主体与周期（核心红线）

重要数据处理者 —— 强制义务

• 每年必须完成1次全维度网络数据安全风险评估，年度评估结束10个工作日内向行业主管、网信、公安部门报送标准化评估报告，报告留存不少于3年。
• 企业业务、数据存储、对外共享、合作外包等场景发生重大调整，导致重要数据安全状态变化时，需即时开展专项局部风险评估，不得等待年度年检。

一般数据处理主体——鼓励要求

无强制年检义务，但政策鼓励至少每3年开展一轮数据安全风险评估，提前规避监管抽查风险。

丨评估实施两种路径（监管约束）

自主评估

需设立专职数据安全负责人，留存完整评估台账、取证记录、整改闭环资料。

第三方评估

同一机构及关联主体不得连续 3 次为本单位提供评估服务；存在重大数据泄露、高风险数据处理、涉国家安全场景时，监管可强制要求企业委托持证第三方开展评估。

丨评估覆盖全生命周期（重点核查）

《办法》要求评估覆盖数据收集、存储、使用、加工、传输、提供、公开、销毁全流程，重点核查五大风险维度：

数据分类分级与重要数据目录完整性；

内部人员越权访问、数据泄露、篡改、丢失风险；

对外共享、委托加工、合作流转的数据安全约束；

加密、脱敏、审计、权限管控等技术防护落地情况；

应急处置、数据安全事件复盘、整改闭环机制有效性。

Part.2企业应对《办法》的合规准备

距离8月20日施行窗口期，各重要数据处理主体单位需分阶段完成基础治理，提前补齐年检所需全部材料，提前做好前置合规筹备工作：

>> 全面盘点数据资产，完成重要数据目录

风险评估首要核查项为重要数据识别与目录清单，无完整目录将直接判定评估不合格。企业可依托智能化的敏感数据识别工具，扫描终端、文档、接口快速定位重要数据，一次性完成目录建档，为年度年检提供原始数据底座。

>>完善组织架构与标准化合规制度体系

《办法》将治理体系完整性作为核心核查指标，无专职岗位、无配套制度会形成重大合规漏洞。企业需明确数据安全专职负责人，厘清业务、IT、法务各部门权责，补齐数据分级、权限管理、流转共享、风险评估、应急处置等核心制度，标准化自查、整改、复盘全流程，留存全套合规佐证资料。

>>补齐全链路技术防护能力

年度年检将逐项核验技术防护落地成效，静态漏洞、违规管控会直接导致评估不通过。企业需提前梳理闲置、超权、弱口令账号，落实最小权限原则；对核心重要数据实施存储加密、传输加密，针对测试、外包、外发场景做好数据脱敏；全覆盖数据操作审计日志，满足留存年限要求，实现数据风险可溯源、可管控。

>>规范第三方合作与数据对外流转合规管理

数据对外共享、外包加工是年检高频扣分场景。企业需全面梳理所有数据对外合作、流转、委托加工场景，核查合作方安全资质，完善合作安全协议，明确数据使用、存储、销毁、追责等约束条款，对高危合作场景提前开展专项风险研判，留存全套合规记录。

《网络数据安全风险评估办法》的落地，标志着重要数据安全监管从柔性要求转向标准化、强制化、常态化的年度合规考核。对于政务、金融、制造、医疗、能源等持有重要数据的主体，年度数据年检将成为常态化合规工作。

对企业而言，这既是合规要求，也是提升自身数据安全能力的契机。与其被动应对，不如主动出击，把数据安全风险评估纳入日常运营体系。在正式施行的窗口期，企业需要立即行动起来，对照新规做好合规应对准备。