《数据安全风险评估办法(试行)》

《数据安全风险评估办法(试行)》数据安全风险评估的责任主体为数据处理者，包括关键信息基础设施运营者、处理重要数据的网络运营者，以及法律、行政法规规定应当开展数据安全风险评估的其他数据处理者。数据处理者在以下情形应当开展风险评估：数据处理活动涉及重要数据或10万人以上个人信息的收集、存储、使用、共享、删除等全流程操作；数据向境外提供或转移；数据处理目的、方式、范围发生重大变更；发生数据安全事件可能影响用户权益或公共利益；法律、行政法规规定的其他需要评估的情形。评估内容覆盖数据处理全生命周期的风险点，具体包括：一是合法性与合规性审查，核查数据处理是否符合《数据安全法》《个人信息保护法》等法律法规要求，是否具备明确、合理的处理目的，是否遵循最小必要原则，个人信息处理是否取得有效同意或符合法定例外情形；二是数据安全风险识别，针对数据收集环节，评估是否存在过度收集、非法获取风险；存储环节，评估加密、访问控制、备份等技术措施的有效性，以及物理环境、存储介质的安全性；使用环节，评估数据脱敏处理、权限管理、误用或滥用风险；共享环节，评估接收方安全能力、共享协议合规性、数据泄露风险；删除环节，评估数据不可恢复性、介质安全清除措施的落实情况；三是对个人、组织或国家安全的影响分析，重点评估个人信息权益侵害可能性（如隐私泄露、精准诈骗）、企业商业秘密泄露对竞争优势的损害，以及重要数据出境对国家主权、安全、发展利益的潜在风险；四是安全措施有效性验证，检查技术措施（如加密算法强度、访问控制粒度）与管理措施（如安全管理制度、人员培训、应急演练）是否匹配风险等级，是否存在漏洞或执行不到位问题；五是应急响应能力评估，核查数据安全事件应急预案的完整性、演练频率及实际处置效果，包括事件发现、报告、处置、溯源、修复等环节的时效性和有效性。评估流程分为准备、实施、报告三个阶段。准备阶段，数据处理者需成立由数据安全负责人、技术专家、法律合规人员组成的评估小组，明确评估范围、目标和时间节点，收集数据处理活动的详细资料（如数据流向图、处理协议、安全措施文档等）。实施阶段，采用资产识别（编制数据资产清单，标注重要数据和敏感个人信息）、威胁分析（识别内部误操作、外部攻击、合作方泄露等威胁源）、脆弱性评估（通过渗透测试、漏洞扫描等技术手段检测系统弱点）、风险计算（结合威胁发生概率与潜在影响程度，运用定性与定量结合方法评定风险等级）等方法，全面识别并分析风险。报告阶段，形成包含数据处理活动概述、风险点明细（列明风险场景、影响对象、等级）、现有安全措施有效性评价、剩余风险分析的评估报告，并针对高风险项提出具体改进建议（如升级加密算法、完善访问控制策略、加强第三方合规管理等）。数据处理者可自行开展评估，也可委托具备相应资质和技术能力的第三方机构实施，但需对评估结果的真实性、准确性负责。委托评估时，应与受托方签订保密协议，明确评估范围和质量要求，不得干预评估过程的独立性。评估报告需由数据处理者主要负责人审核签字，自评估完成之日起10个工作日内留存备查；涉及重要数据处理或数据出境的，还需向设区的市级以上数据安全监管部门备案，备案材料包括评估报告摘要、风险改进计划等。数据处理者应根据业务发展和风险变化动态更新评估结果，出现以下情形需及时重新评估：数据处理规模扩大（如个人信息处理量增加50%以上或重要数据类型新增）、数据处理方式发生重大调整（如从本地存储转为云端存储）、数据安全事件造成较大影响（如泄露超过100