《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》（“《條例》”）將數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)普遍和常態(tài)的風(fēng)險(xiǎn)控制和管理手段，這體現(xiàn)在《條例》對(duì)評(píng)估的多條款規(guī)定上。

　　整體而言，《條例》的評(píng)估可以分為年度評(píng)估和日常評(píng)估（定期、非定期）兩大類(lèi)。在兩類(lèi)下又針對(duì)一般事項(xiàng)和特定事項(xiàng)，進(jìn)一步細(xì)化為若干評(píng)估。

　　當(dāng)然如果體系化，還可以依據(jù)實(shí)施評(píng)估的主體，將評(píng)估區(qū)分為數(shù)據(jù)處理者啟動(dòng)的評(píng)估和網(wǎng)信部門(mén)等監(jiān)管機(jī)構(gòu)發(fā)起的評(píng)估；以及《網(wǎng)絡(luò)安全法》以來(lái)就有所規(guī)定的自評(píng)估和外部第三方評(píng)估等等。一個(gè)初步細(xì)化后的評(píng)估分類(lèi)體系主要?dú)w納如下：

　　一、數(shù)據(jù)處理者基于業(yè)務(wù)需求發(fā)起的業(yè)務(wù)評(píng)估

　　此類(lèi)評(píng)估一般為處理者自行發(fā)起，主要包括：

　　1、在境外“分析、評(píng)估境內(nèi)個(gè)人、組織的行為” 的數(shù)據(jù)活動(dòng)，……適用本條例。

　　《條例》此規(guī)定的評(píng)估，是數(shù)據(jù)處理者為業(yè)務(wù)需要發(fā)起的經(jīng)營(yíng)活動(dòng)，非基于監(jiān)管的強(qiáng)制性評(píng)估。但在某些具體的業(yè)務(wù)場(chǎng)景中，此條的評(píng)估可以細(xì)化為若干具體的強(qiáng)制評(píng)估，如下。

　　2、“數(shù)據(jù)處理者在采用自動(dòng)化工具訪問(wèn)、收集數(shù)據(jù)時(shí)，應(yīng)當(dāng)評(píng)估對(duì)網(wǎng)絡(luò)服務(wù)的性能、功能帶來(lái)的影響，不得干擾網(wǎng)絡(luò)服務(wù)的正常功能”。

　　此即一種具體的業(yè)務(wù)評(píng)估活動(dòng)。即對(duì)于爬蟲(chóng)類(lèi)數(shù)據(jù)活動(dòng)，需進(jìn)行強(qiáng)制評(píng)估。盡管該評(píng)估不需直接報(bào)送監(jiān)管或主管機(jī)構(gòu)，但一般認(rèn)為應(yīng)在監(jiān)管機(jī)構(gòu)檢查中體現(xiàn)，并作為可能的年度評(píng)估（如為重要數(shù)據(jù)處理者）的重要組成部分。

　　3、“數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的，應(yīng)當(dāng)對(duì)必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式，以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息”。

　　此為企業(yè)針對(duì)生物特征收集必要性進(jìn)行的業(yè)務(wù)評(píng)估，與上段一樣為強(qiáng)制評(píng)估。

　　4、“互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者利用人工智能、虛擬現(xiàn)實(shí)、深度合成等新技術(shù)開(kāi)展數(shù)據(jù)處理活動(dòng)的，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定進(jìn)行安全評(píng)估”。

　　此為針對(duì)平臺(tái)新技術(shù)、新應(yīng)用的強(qiáng)制評(píng)估，例如目前《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》征求意見(jiàn)稿的算法評(píng)估要求，以及早先網(wǎng)信部門(mén)就新聞信息服務(wù)的評(píng)估規(guī)定。

　　二、數(shù)據(jù)處理者針對(duì)數(shù)據(jù)安全事件的調(diào)查評(píng)估

　　此評(píng)估規(guī)定主要指：“發(fā)生重要數(shù)據(jù)或者十萬(wàn)人以上個(gè)人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)處理者還應(yīng)當(dāng)履行以下義務(wù)：……在事件處置完畢后五個(gè)工作日內(nèi)向設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)和有關(guān)主管部門(mén)報(bào)告包括事件原因、危害后果、責(zé)任處理、改進(jìn)措施等情況的調(diào)查評(píng)估報(bào)告”。

　　按照上述表述，該評(píng)估指的是發(fā)生數(shù)據(jù)安全事件（“傳統(tǒng)”意義上也屬于網(wǎng)絡(luò)安全或者信息安全事件的一個(gè)類(lèi)別）后，就整個(gè)事件處置的調(diào)查報(bào)告。也正是從這個(gè)意義上，以及評(píng)估程序的前置性要求上，可以考慮避免使用評(píng)估字樣避免混淆。

　　三、企業(yè)和行業(yè)、領(lǐng)域?qū)嵤┑亩ㄆ谠u(píng)估（定期的頻率未規(guī)定）

　　盡管?chē)?yán)格講年度數(shù)據(jù)安全評(píng)估也屬于定期的評(píng)估，但不屬于本類(lèi)定期評(píng)估。主要包括兩種情況：

　　1、企業(yè)發(fā)起的定期評(píng)估，指：“重要數(shù)據(jù)的處理者，應(yīng)當(dāng)……定期組織開(kāi)展數(shù)據(jù)安全宣傳教育培訓(xùn)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急演練等活動(dòng)”。

　　這一類(lèi)定期評(píng)估，類(lèi)似于《網(wǎng)絡(luò)安全法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的額外義務(wù)要求。重要數(shù)據(jù)處理者通常會(huì)基于兩種緣由發(fā)起定期評(píng)估：（1）在企業(yè)數(shù)據(jù)安全的規(guī)章制度中明確風(fēng)險(xiǎn)評(píng)估的頻率和次數(shù)；（2）基于特定業(yè)務(wù)需要、監(jiān)管要求發(fā)起的定期評(píng)估。因此與年度數(shù)據(jù)安全評(píng)估不同，也不能相互替代。

　　2、行業(yè)發(fā)起的定期評(píng)估是《條例》規(guī)定的：“主管部門(mén)應(yīng)當(dāng)定期組織開(kāi)展本行業(yè)、本領(lǐng)域的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)處理者履行數(shù)據(jù)安全保護(hù)義務(wù)情況進(jìn)行監(jiān)督檢查，指導(dǎo)督促數(shù)據(jù)處理者及時(shí)對(duì)存在的風(fēng)險(xiǎn)隱患進(jìn)行整改”。

　　這一類(lèi)定期評(píng)估，在《網(wǎng)絡(luò)安全法》等中也有明確體現(xiàn)。實(shí)務(wù)中的對(duì)標(biāo)包括兩年一度的最新一期為歐盟“網(wǎng)絡(luò)歐洲2020”的演習(xí)，一般認(rèn)為是歐洲網(wǎng)絡(luò)與信息安全局（ENISA）牽頭，多行業(yè)參與。

　　四、針對(duì)平臺(tái)規(guī)則、云計(jì)算服務(wù)等的特定評(píng)估

　　主要包括兩類(lèi)：

　　1、“日活用戶超過(guò)一億的大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者平臺(tái)規(guī)則、隱私政策制定或者對(duì)用戶權(quán)益有重大影響的修訂的，應(yīng)當(dāng)經(jīng)國(guó)家網(wǎng)信部門(mén)認(rèn)定的第三方機(jī)構(gòu)評(píng)估，并報(bào)省級(jí)及以上網(wǎng)信部門(mén)和電信主管部門(mén)同意”。

　　之所以此條單列，主要是因?yàn)槠涮岢隽嗽u(píng)估應(yīng)當(dāng)由“網(wǎng)信部門(mén)認(rèn)定的第三方機(jī)構(gòu)”進(jìn)行，這就和認(rèn)證認(rèn)可條例等資質(zhì)認(rèn)證建立了聯(lián)系。換言之，企業(yè)通過(guò)聘請(qǐng)第三方協(xié)助進(jìn)行的自評(píng)估的絕大多數(shù)情形，并無(wú)強(qiáng)制的認(rèn)定資質(zhì)要求。

　　2、其他特定評(píng)估，主要包括“國(guó)家機(jī)關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的云計(jì)算服務(wù)，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)組織的安全評(píng)估”的情況，評(píng)估依據(jù)包括《云計(jì)算服務(wù)安全評(píng)估辦法》和其他可能適用的規(guī)定。

　　五、重要數(shù)據(jù)處理者等的實(shí)施并報(bào)送的年度數(shù)據(jù)安全評(píng)估

　　盡管《條例》對(duì)年度評(píng)估的主體和事項(xiàng)規(guī)定為：“處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者，應(yīng)當(dāng)自行或者委托數(shù)據(jù)安全服務(wù)機(jī)構(gòu)每年開(kāi)展一次數(shù)據(jù)安全評(píng)估，并在每年1月31日前將上一年度數(shù)據(jù)安全評(píng)估報(bào)告報(bào)設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)……”

　　但在該條第4款，對(duì)“重點(diǎn)評(píng)估”內(nèi)容的表述的主體是“數(shù)據(jù)處理者”，這可能會(huì)產(chǎn)生是否所有的數(shù)據(jù)處理者都需要年度評(píng)估的疑惑。在我們?nèi)匀患俣ù颂幍臄?shù)據(jù)處理者指的是處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者的前提下，更關(guān)注的是其增加規(guī)定的重點(diǎn)評(píng)估的額外事項(xiàng)，并明確“評(píng)估認(rèn)為可能危害國(guó)家安全、經(jīng)濟(jì)發(fā)展和公共利益，數(shù)據(jù)處理者不得共享、交易、委托處理、向境外提供數(shù)據(jù)”——這里就可能隱含了一個(gè)對(duì)年度數(shù)據(jù)安全評(píng)估報(bào)告的監(jiān)管“評(píng)價(jià)”活動(dòng)。

　　六、網(wǎng)信部門(mén)實(shí)施的出境安全評(píng)估

　　出境評(píng)估屬于針對(duì)專(zhuān)門(mén)事項(xiàng)的特定評(píng)估，但立法者給與了更多條款關(guān)注?！皵?shù)據(jù)處理者因業(yè)務(wù)等需要，確需向中華人民共和國(guó)境外提供數(shù)據(jù)的，應(yīng)當(dāng)具備下列條件之一：（一）通過(guò)國(guó)家網(wǎng)信部門(mén)組織的數(shù)據(jù)出境安全評(píng)估……并規(guī)定了在涉及重要數(shù)據(jù)、關(guān)鍵信息基礎(chǔ)設(shè)施、一百萬(wàn)以上用戶的情形下，應(yīng)當(dāng)適用數(shù)據(jù)出境安全評(píng)估，而不能選擇”個(gè)人信息保護(hù)認(rèn)證“或”標(biāo)準(zhǔn)合同“的方式。

　　值得注意的是，出境評(píng)估條款中還針對(duì)個(gè)人信息和重要數(shù)據(jù)區(qū)分規(guī)定了兩類(lèi)”評(píng)估“，這體現(xiàn)出個(gè)人信息和重要數(shù)據(jù)在適用數(shù)據(jù)出境安全評(píng)估時(shí)的不同：

　?。?）”數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)履行以下義務(wù)：（一）不得超出報(bào)送網(wǎng)信部門(mén)的個(gè)人信息保護(hù)影響評(píng)估報(bào)告中明確的目的、范圍、方式和數(shù)據(jù)類(lèi)型、規(guī)模等向境外提供個(gè)人信息……“，此條的評(píng)估指向《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)影響評(píng)估。

　　（2）”數(shù)據(jù)處理者向境外提供數(shù)據(jù)應(yīng)當(dāng)履行以下義務(wù)：……（二）不得超出網(wǎng)信部門(mén)安全評(píng)估時(shí)明確的出境目的、范圍、方式和數(shù)據(jù)類(lèi)型、規(guī)模等向境外提供個(gè)人信息和重要數(shù)據(jù)“。

　　七、結(jié)論

　　評(píng)估作為風(fēng)險(xiǎn)控制、管理的機(jī)制，一般理解為事前、事中的前置或過(guò)程機(jī)制，而非事后報(bào)告機(jī)制，這在《條例》也得到體現(xiàn)。例如對(duì)出境事項(xiàng)，在事后提交的是”數(shù)據(jù)出境安全報(bào)告“而非評(píng)估報(bào)告。把握這一點(diǎn)，也有利于識(shí)別和準(zhǔn)確應(yīng)用《條例》規(guī)定的各類(lèi)評(píng)估。