近日，国家网信办发布《网络数据安全风险评估办法（征求意见稿）》（以下简称《评估办法》），我们以问答形式对《评估办法》梳理如下：

Q1:什么是“网络数据安全风险评估”？（第2条）

A1:网络数据安全风险评估指对网络数据和网络数据处理活动进行的风险识别、风险分析和风险评价等活动。

Q2:由哪些部门进行负责网络数据安全风险评估的统筹、开展工作？（第3、4、5、18条）

A2:由国家网信部门统筹有关主管部门和省级网信部门开展风险评估工作。

（1）国家网信部门统筹各地区、各部门开展风险评估，统筹有关主管部门和省级网信部门报送的年度风险评估及检查计划，避免重复评估、重复检查。

（2）各有关主管部门应当按照“谁管业务、谁管业务数据、谁管数据安全”的原则，定期组织开展本行业、本领域风险评估，可以根据工作需要对本行业、本领域的重要数据处理者开展风险评估情况进行检查，并于每年1月底前向国家网信部门报送年度风险评估及检查计划。

（3）省级网信部门统筹省级有关部门制定本行政区域年度风险评估及检查计划，按照前款要求报送国家网信部门。省级网信部门统筹协调本行政区域内风险信息共享和协同处置工作，于每年3月底前向国家网信部门报送上一年度风险信息处置情况，国家网信部门汇总相关情况报送国家数据安全工作协调机制。

（4）各有关部门开展检查不得向被检查的网络数据处理者收取费用。

Q3:哪些数据处理者必须每年开展风险评估？（第6、22条）

A3:可以分成两类主体进行讨论。

（1）重要数据处理者：应当每年度对其网络数据处理活动开展风险评估。当重要数据安全状态发生重大变化可能带来不利影响时，还应及时对变化部分开展评估。

重要数据处理者提供、委托处理、共同处理重要数据前进行风险评估，可以参照本办法有关规定执行。

（2）一般数据处理者：鼓励至少每3年开展一次风险评估。

Q4:风险评估工作的开展依据是什么？（第7条）

A4:应当按照《网络数据安全管理条例》有关要求和《数据安全技术 数据安全风险评估方法》（GB/T 45577）等有关国家标准开展。有关主管部门对本行业、本领域风险评估工作另有规定的，从其规定。

Q5:如何开展风险评估工作？数据处理者能否自行开展评估？（第8条）

A5:可以自行或者委托第三方评估机构开展风险评估。

（1）自行开展风险评估，应当指定专人负责。

（2）委托评估机构开展风险评估，应当优先选择通过认证的评估机构，并通过订立合同或者其他具有法律效力的文件等方式明确双方的权利、责任和保密义务等。

Q6:《评估办法》针对评估机构有哪些规定？（第9-12条）

A6:评估机构需具备官方认证资质，对评估报告负责且不得转委托，同时遵守不重复性评估、重大风险上报和保密删除等相关义务。

（1）经认证部门认证：经国务院认证认可监督管理部门依法批准的具有数据安全服务认证资质的认证机构，可按照《数据安全技术数据安全评估机构能力要求》（GB/T 45389）等有关国家标准、行业标准对评估机构开展认证。（第9条）

（2）对评估报告的真实有效和完整性负责，且不得转委托：评估机构开展风险评估应当遵守法律法规，公正客观地作出风险判断，并对所出具的风险评估报告真实性、有效性、完整性负责，不得再委托其他机构开展风险评估。（第10条）

（3）同一评估机构及其关联机构不得连续3次以上对同一网络数据处理者开展风险评估。（第11条）

（4）发现重大风险应及时上报网信部门：评估机构在风险评估过程中发现网络数据处理活动存在重大数据安全风险的，应当及时通报网络数据处理者，并按照有关规定向省级以上网信部门、有关主管部门报告。（第12条第1款）

（5）履行保密义务：评估机构及其工作人员应当对在风险评估过程中获得的数据、商业秘密、保密商务信息等依法予以保密，不得泄露或者非法向他人提供，在风险评估工作结束后及时删除相关信息。（第12条第2款）

Q7:重要数据处理者在编制风险评估报告时有哪些注意事项？（第13、14条）

A7:按照《评估办法》附件模板编制评估报告，一般数据处理者可以参照本办法附件模板编制评估报告。有关主管部门对风险评估报告模板另有规定的，从其规定。

提示：风险评估报告至少保存3年。

重要数据处理者应当在年度风险评估完成后的10个工作日内按照有关主管部门要求报送评估报告。主管部门不明确的，向省级网信部门或者国家网信部门报送。

Q8:何种情形下，有关部门可要求网络数据处理者委托通过认证的评估机构开展风险评估？（第15条）

A8:当数据安全面临重大风险或已被严重危害时，有关部门可要求网络数据处理者进行第三方评估。

（1）网络数据处理活动存在较大安全风险；

（2）发生数据安全事件导致重要数据或大规模个人信息泄露、被窃取；

（3）网络数据处理活动可能危害国家安全、公共利益；

（4）国家网信部门或有关部门规定的其他情形。

Q9:网络数据处理者按照有关部门要求，委托评估机构开展评估的，需履行哪些义务？（第16条）

A9:网络数据处理者需全程配合评估工作并支付费用，按时提交正式报告，根据结果完成整改与反馈，且不得干预评估的客观性。

（1）提供必要支持，包括访问权限、日志等；

（2）在限定时间内完成评估并承担费用（复杂情况可报批延长）；

（3）提交由评估机构主要负责人、风险评估负责人签字并加盖机构公章的评估报告；

（4）按部门要求整改，并在整改完成后15个工作日内报送整改情况报告；

（5）不得要求或示意评估机构出具不实或不当报告。

Q10:未按规定开展风险评估的，将面临什么法律后果？（第17、20条）

A10:被评估者和评估者需承担相应责任。

（1）网络数据处理者未按规定开展风险评估的，应当依据《中华人民共和国数据安全法》等法律法规予以处置处罚。有关部门在组织风险评估工作中发现存在可能危害国家安全、公共利益的网络数据处理活动，应当责令网络数据处理者进行整改；对整改不到位、拒不整改的网络数据处理者，可以采取要求其停止处理重要数据等措施。

（2）评估机构违反本办法开展风险评估的，省级以上网信部门和有关部门应当责令其进行整改；情节严重的，可以限制或者禁止其开展风险评估活动，追究相关人员责任，并予公布；构成犯罪的，依法追究刑事责任。

Q11:风险评估与等保测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估内容重合时如何处理？（第21条）

A11:相关结果可以互相采信，避免重复评估、审计、认证。

以上内容基于征求意见稿归纳整理，仅供参考

点击微信公众号原文末【阅读原文】获取【评估报告模板】

作者：

陈焕，北京市隆安(广州)律师事务所律师、隆安全国合规委副主任、隆安湾区人工智能法律研究中心主任、广东省人工智能产业协会法律专业委员会主任、广州市律协协会数据与数字经济委秘书长、广东财经大学法学院人工智能法研究中心兼职研究员、广州数据交易所入库数据合规辅导师、广州市涉外律师领军人才。

李琪瑶，北京市隆安（广州）律师事务所律师，广州数据交易所入库数据合规辅导师、隆安湾区人工智能法律研究中心研究员、隆安广州制裁和双反专业委员会专家顾问。

来源：微信公众号“AI合规圈”