相信自从上周网信办发布《网络数据安全风险评估办法》后,不少处理重要数据的企业或者主动想要展开数据安全评估的企业都在问同一个问题:一开始做网络安全等级保护测评;后来《个人信息保护法》实施后又开始做数据出境安全评估,还要开展个人信息保护合规审计;现在《网络数据安全风险评估办法》又来了。

很多企业的第一反应都是:是不是又多了一项新的合规工作?是不是所有评估都要重新做一遍?

实际上,从《网络数据安全管理条例》以及《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)(以下简称“GB/T 45577”)的要求来看,监管部门并不希望企业重复开展同样的评估工作。在以上法规和标准已经明确提出:能够复用的结果应当复用,能够互认的内容应当互认。换句话说,数据安全风险评估并不是推翻之前做过的等保测评、个人信息保护审计或数据出境安全评估,而是在已有工作的基础上进行整合和补充。

那么问题来了:

  • 哪些内容可以直接复用?

  • 哪些内容仍然需要重新评估?

  • 企业应该如何安排资源,避免重复投入?

本文尝试从法规要求和实操角度进行梳理。

一、评估工作衔接和核心互认条款原文解读

《网络数据安全管理条例》第五十二条第二款规定,个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。

而在网信办发布的《网络数据安全风险评估办法》的专家解读提到GB/T 45577将作为数据安全风险评估的通用方法。

具体来说,在GB/T 45577在第8.2 章节明确规定:被评估方已完成重要数据出境安全评估、网络安全等级保护测评、个人信息保护合规审计三类专项工作时,数据安全风险评估实施过程中对应重合模块不再重复核查,直接采信有效评估结论,从标准层面确立“不重复评估、结果互通” 的实施要求。

对应豁免重复评估的标准章节边界清晰划分:

1. 网络安全等级保护测评重合项:GB/T 45577 第8.5 数据安全技术章节内网络安全防护相关内容,无需复测;

2. 个人信息保护合规审计重合项:GB/T 45577 第8.6 个人信息保护章节内与审计内容完全一致的条款,直接复用底稿与结论;

3. 重要数据出境安全评估重合项:GB/T 45577 第 8.4 数据处理活动安全章节下数据出境全相关评估项,跳过重复核查。

二、四类评估定位差异

1. 网络安全等级保护测评

  • 核心对象:信息系统、网络基础设施,聚焦系统底层网络、主机、数据库、物理环境基础防护;

  • 核心目标:解决系统自身安全漏洞、边界防护、账号权限、运维管控等基础网络安全问题;

  • 与数据风险评估重合板块:GB/T 45577 第8.5 网络安全防护、身份鉴别、安全审计、漏洞管理、边界隔离等技术类核查项;

  • 不可替代独有内容:等保分级合规判定、机房安防、网络拓扑、设备基线、系统上线准入等纯系统维度内容。

2. 个人信息保护合规审计

  • 核心对象:全生命周期个人信息处理行为,对标《个人信息保护法》合规义务;

  • 核心目标:核查告知同意、主体权利、敏感信息、自动化决策、平台合规等个人信息合规性;

  • 与数据风险评估重合板块:GB/T 45577 第8.6 全部个人信息保护评估条目;

  • 不可替代独有内容:PIA 个人信息保护影响评估专项核验、个人主体权利响应、自动化决策等专项审计内容。

3. 数据出境安全评估

  • 核心对象:向境外提供重要数据/ 个人信息跨境流转场景;

  • 核心目标:论证出境必要性、境外接收方安全能力、跨境泄露危害与应急处置;

  • 与数据风险评估重合板块:GB/T 45577 第8.4 数据处理活动- 数据出境相关核查;

  • 不可替代独有内容:出境合规申报、境外主体资质核验、跨境风险专项研判、合同文件核查等内容。

4. 数据安全风险评估(GB/T 45577-2025)

  • 核心对象:全部数据资产+ 完整数据全生命周期处理活动(含重要数据、个人信息);

  • 核心目标:识别数据泄露、篡改、滥用、超范围收集、违规出境、不合规处理等风险,量化风险等级,处置数据合规隐患,侧重数据合规与数据资产风险。

  • 定位:覆盖范围最广的通用性评估,与等保、个保审计、出境安全评估均有重叠。

三、法定互认的前置硬性条件

仅持有专项报告不能直接复用,需同时满足四大条件方可采信结论,也是企业落地一体化评估的实操依据:

1. 评估对象一致

专项测评覆盖的业务、系统、数据范围,需与本次数据安全风险评估范围完全匹配;若新增业务、系统、数据,新增板块仍需补充评估。

2. 报告时效有效

等保、出境评估、个保审计均在法定有效期内;且周期内未发生系统架构、数据规模、出境业务、个人信息处理模式重大变更(发生重大变更需重新评估,原报告失效)。

3. 标准方法可比

三类专项评估均依据国家现行强制/ 推荐标准实施,评估手段(访谈、文档查验、技术测试、配置核查)与GB/T 45577 评估手段统一,结论具备横向对比、复用价值。

4. 证据材料可完整追溯

专项评估原始底稿、测试记录、问题整改台账、佐证材料完整留存,评估过程中可随时调阅核验,无缺失、篡改。

四、分场景实操衔接方案

《网络数据安全风险评估办法》第五条规定重要数据处理者应当每年度开展风险评估。鼓励处理一般数据的网络数据处理者(以下简称一般数据处理者)至少每3年开展一次风险评估。那么对于一般数据处理者,大家可以在本法规生效的三年内,安排好与其他评估义务的衔接——时间还是比较充裕的。

场景1:同步开展数据风险评估和等保测评

  • 统一开展业务、系统、网络、制度访谈,共用资产清单;

  • 网络边界、主机、数据库、权限、审计等重合技术项仅开展一轮技术测试,双方共用检测报告;

  • 数据风险评估报告“数据安全技术” 章节直接引用等保测评结论,不再重复记录;

  • 差异化内容单独实施:等保补充机房、网络基线等部分;数据评估补充数据资产梳理、分类分级、全生命周期流转风险等项目。

场景2:同步开展数据风险评估和个人信息合规审计

  • 统一梳理个人信息资产、收集/ 存储/ 使用/ 共享全流程台账;

  • 告知同意、主体权利、敏感信息、脱敏、访问控制等重合项成为可复用审计底稿;

  • 数据风险评估直接采信重合项审计底稿和审计结果,仅补充审计未覆盖8.6 章节部分(如有)。

场景3:同步开展数据风险评估和数据出境评估

  • 为数据出境评估梳理出境数据目录、跨境传输通道、境外合作方协议;

  • 另外,数据出境收集、传输、对外提供、存储管控等重合内容直接用于数据风险评估材料;

  • 数据风险评估仅补充境内数据全流程非出境场景风险识别。

场景4:已完成其他专项评估,单独开展年度数据风险评估

  • 按GB/T 45577 8.2 条款执行:调取三类专项完整报告与底稿,对应章节跳过重复核查,仅对未覆盖的数据、业务、系统开展补充调研、风险识别,大幅缩减评估周期与人力成本。

五、未按要求开展专项评估的处置规则

依据GB/T 45577 第8.2 后半段:若评估对象未实施或通过法律、行政法规、部门规章、强制性国家标准等文件要求的检测评估工作, 如网络安全等级保护测评、云计算服务安全评估、互联网信息服务算法推荐安全评估、数据出境安全评估等,则判定存在未按要求开展检测评估工作的安全风险。因此,从实践角度看,在引入第三方开展网络数据安全风险评估前,企业宜优先梳理自身是否已依法完成相关专项评估工作。否则,相关缺口可能直接被识别为数据安全风险,并纳入评估报告。

声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。