文 | 万波

数据安全风险评估，是对数据和数据处理活动安全进行风险识别、风险分析和风险评价的一个过程。

《数据安全法》要求：“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。”

《网络数据安全管理条例》要求：“重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告，有关主管部门应当及时通报同级网信部门、公安机关”、“重要数据的处理者提供、委托处理、共同处理重要数据前，应当进行风险评估，但是属于履行法定职责或者法定义务的除外。”

因此，数据安全风险评估的主体，应当是重要数据的处理者。

虽然《数据安全法》《网络数据安全管理条例》规定重要数据的处理者是数据安全风险评估的主体，但并不代表数据安全风险评估一定不评估个人信息，这还与行业主管部门的行业性规定有关。譬如：

1、工业和信息化部印发的《工业和信息化领域数据安全风险评估实施细则（试行）》就将数据安全风险评估的对象限于核心数据、重要数据，而完全未涉及个人信息。

2、但是，在国家金融监督管理总局印发的《银行保险机构数据安全管理办法》中则将个人信息纳入数据安全风险评估的范围内。《中国人民银行业务领域数据安全管理办法》亦有类似规定。

事实上，数据安全风险评估与个人信息合规审计呈现融合趋势，《网络数据安全管理条例》就专门规定：“个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接，避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的，相关结果可以互相采信。”

《网络数据安全管理条例》要求：重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告，有关主管部门应当及时通报同级网信部门、公安机关。

《工业和信息化领域数据安全风险评估实施细则（试行）》要求：重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。

《银行保险机构数据安全管理办法》要求：银行保险机构应当于每年1月15日前向国家金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告，报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等。

同样，《中国人民银行业务领域数据安全管理办法》亦规定：重要数据的处理者应当自行或者委托第三方评估机构，每年对业务数据开展一次风险评估，并于每年1月15日前向中国人民银行或者住所地中国人民银行省级分支机构报送上一年度风险评估报告。

由此可见，数据安全风险评估的周期均为一年一次。

该标准作为《数据安全法》《网络数据安全管理条例》的配套规范，较为系统地构建了数据安全风险评估的框架、方法，提供了一个科学、可操作的技术指引，一定程度上填补了之前因为缺乏统一的方法论，导致各行各业实践碎片化的问题。

作为推荐性国家标准，其定位是提供普适性风险评估框架，适用于三类主体：

1、数据处理者（如企业、政务机构）；

2、第三方评估机构（如安全服务商、认证机构、律师）；

3、监管部门（如网信办、行业主管单位）。

本标准将数据安全风险评估流程划分为五个阶段，形成“规划-识别-分析-处置-复盘”的闭环框架：

1、评估准备：明确范围（如覆盖哪些业务系统、数据类型）、组建跨部门团队（需包含业务、安全、法务人员），并制定方案。值得注意的是，标准要求大型平台企业额外评估供应链安全风险。

2、信息调研：通过访谈、文档查验、技术测试等手段，输出数据资产清单（含分类分级结果）、数据处理活动图谱（如数据跨境路径）、现有安全措施清单。这一阶段强调对数据“保密性、完整性、可用性及处理合理性”四类属性的全面梳理3。

3、风险识别：从四个维度展开，分别是：（1）数据安全管理（如制度体系、分类分级）；（2）数据处理活动（收集、存储、传输等7个环节）；（3）数据安全技术（访问控制、脱敏等8类措施）；（4）个人信息保护（告知同意、敏感信息处理等）。

标准附录A提供了83项具体评估项，例如“数据共享是否签订安全协议”即属于数据处理活动中的必检项28。

4、风险分析与评价：采用“危害程度-可能性”矩阵（见表1），其中：（1）危害程度（分5级）取决于数据价值（如核心数据＞一般数据）和潜在影响（如国家安全/个人权益损害）；（2）可能性（分3级）综合威胁频率（如黑客攻击频次）和措施有效性（如加密强度）判断。

5、评估总结：输出报告需包含风险处置优先级建议（如立即整改高风险项），且重要数据处理者须额外披露数据出境、委托处理等专项分析。

风险等级划分矩阵

相较于传统标准，GB/T 45577-2025在方法论上主要可归纳为三大创新：

1、“场景+要素”双维度模型

标准要求根据业务场景（如跨境传输、AI训练）和技术应用（如区块链、云计算）定制评估方案。例如，政务数据开放场景需重点评估敏感信息错误公开风险，而金融风控模型训练则需关注数据偏见引发的合规风险。

2、数据安全属性影响分析

创新性引入“数据处理合理性”评估维度，不仅关注技术漏洞（如数据库未加密），还审查数据使用是否符合法律（如《个人信息保护法》的最小必要原则）和伦理（如算法歧视）。例如，某平台若利用用户健康数据推送广告，即使技术防护完备，仍可能被判定为高风险。

3、动态风险适配机制

标准允许企业根据数据流动特点选择全面评估或重点抽样（如仅查核心系统），并可结合实时监测工具（如数据流动审计系统）更新风险状态。这一设计尤其适合云环境下的弹性评估需求。

1、从企业视角：标准为《数据安全法》《网络数据安全管理条例》以及行业主管部门的相关规定提供了可参考的具体落地路径。同时，通过风险量化（如某数据接口风险值=高），企业可更精准分配安全预算。另外，标准要求评估第三方供应链风险（如云服务商数据落地位置），推动全链条安全协作。

2、从监管视角：标准化报告模板（附录E）解决了以往“各家自说自话”的问题，便于格式统一，横向比对行业风险。例如，监管部门可快速识别某地区金融机构的共性漏洞。金融、医疗、电信等关键行业被强制要求全面评估，而中小企业可简化流程，体现“分类施策”思路。

3、从国际对标视角：标准的部分条款（如数据出境评估）参考了欧盟《通用数据保护条例》（GDPR）的数据保护影响评估（DPIA）要求，同时与ISO 27005风险评估标准保持兼容，有助于跨国企业“一套流程满足多国合规”。

尽管GB/T 45577-2025这套标准具有显著的先进性，但落地仍面临不少挑战，譬如：

1、数据分类分级基础薄弱

标准要求评估基于数据资产的分类分级，但约60%的中小企业尚未建立数据分类分级体系，导致风险评估“无的放矢”。

2、复合型评估人才短缺

风险评估需同时掌握数据技术（如数据库安全）、法律（如跨境传输规则）和业务知识（如金融数据流），能够专业、精准、高效的数据安全风险评估人才缺口较大。

3、新兴技术风险覆盖不足

生成式AI、量子计算等技术的应用可能引发新型风险（如训练数据污染），但标准尚未提供针对性评估指引。未来，标准可能需要通过行业细则（如金融数据风险评估指南）和动态更新机制持续完善。此外，自动化工具（如基于AI的风险感知系统）的集成将成趋势，以应对海量数据场景的实时评估需求。