摘要:国家网信办、工业和信息化部、公安部公布《网络数据安全风险评估办法》,真正释放的信号不是多一项合规表格,而是重要数据处理进入年度评估、报告留存、部门协同检查和第三方评估规范化的新阶段。

6月18日,国家互联网信息办公室、工业和信息化部、公安部联合公布《网络数据安全风险评估办法》,第24号令,自2026年8月20日起施行。
这份文件看起来是一套数据安全评估规则,但它真正改变的,是数据进入AI训练、产业协同、公共服务和跨主体流通之前的基本门槛。
过去几年,数据要素市场讲得最多的是“流通”“入表”“交易”“高质量数据集”。现在,另一条线开始变得同样硬:你到底有没有能力证明这批数据的来源、处理、使用、共享和安全控制是可识别、可评估、可追溯的。
换句话说,数据开始有了“年检”。

一、为什么这份办法重要
《办法》的关键对象,是处理重要数据的网络数据处理者。文件明确,重要数据处理者应当每年度开展风险评估;重要数据安全状态发生重大变化、可能对数据安全造成不利影响的,还要及时对变化部分开展评估。一般数据处理者虽然不是强制年度评估,但文件也鼓励至少每3年开展一次。
这说明数据安全治理正在从“出了问题再处置”,转向“持续识别风险、定期形成报告、按要求报送和接受核验”。
对企业来说,这不是多填一张表那么简单。年度评估意味着企业要持续回答几类问题:数据是什么级别,谁在处理,流向哪里,是否涉及重要数据或大规模个人信息,使用场景有没有变化,系统和人员权限是否可控,外包和第三方服务是否留下盲区,发生安全事件后能不能追溯和整改。
对AI企业、工业互联网平台、数据交易服务商和大型制造企业来说,这个变化尤其重要。AI模型训练、行业高质量数据集建设、工业设备运维、供应链协同、能耗管理、金融风控、政务数据开发利用,本质上都要处理大量高价值数据。数据越有价值,越不能只靠“业务部门觉得没问题”来推动。
二、它给AI和数据要素市场补了一块底板
今年以来,政策一边在推动行业高质量数据集、数据产权登记、人工智能+行业应用,一边也在补数据安全、产权边界和责任链条。两条线必须放在一起看。
没有安全评估,很多数据流通只能停在概念上。企业不敢供数,平台不敢撮合,金融机构不敢认数据资产,AI企业拿到数据后也难以证明训练和使用过程可控。
《办法》的产业信号在于:数据要素市场不是简单把数据搬上平台,而是要形成一套可以被审计、被核验、被追责的基础秩序。
对AI落地来说,这一点很现实。大模型和智能体要进入工业、医疗、政务、人社、金融等场景,最大障碍往往不是模型能力,而是数据能不能进来、能不能合规使用、能不能持续更新。风险评估把“能不能用数据”这个问题前置了。
未来真正有竞争力的数据服务商,不只是会清洗标注、建库建模,还要能帮助客户梳理重要数据目录、建立访问控制、记录处理活动、形成风险评估报告、配合主管部门核验。这会把一部分“数据中介”逼成专业服务商,也会淘汰只会倒卖资源、讲故事的数据项目。
三、地方和行业主管部门要避免重复检查
文件里有一个很务实的设计:有关主管部门要按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展本行业、本领域风险评估,并于每年1月底前把年度检查计划报送国家网信部门,由国家网信部门通过国家数据安全工作协调机制共享协调,避免不必要的检查和交叉重复检查。
这句话很关键。
很多企业怕合规,不只是怕要求高,也怕多头检查、重复材料、口径不一。一个工业互联网平台可能同时面对工信、网信、公安、市场监管、数据管理等多个部门;一个城市公共数据运营平台可能同时涉及政务、交通、医疗、文旅、金融、应急等多个领域。如果每个部门都用一套材料、一套流程,企业会把大量精力耗在应付上。
《办法》试图把监管协同写进制度里。对地方政府来说,真正的能力不是把企业叫来反复填表,而是建立清晰的数据分类分级、重要数据识别、风险评估报送和协同检查机制。这样既能守住安全底线,也能减少对正常经营和创新应用的干扰。
四、第三方评估会成为一个新门槛
《办法》允许网络数据处理者自行评估,也可以委托第三方评估机构。对评估机构,文件提出了几条硬约束:不得转委托,不得连续3次以上对同一网络数据处理者开展年度风险评估,发现重大数据安全风险要及时通知网络数据处理者,对评估过程中获得的数据、商业秘密、保密商务信息等依法保密。
这意味着数据安全评估服务会成为一个新市场,但不是一个低门槛市场。
评估机构不能只做模板化报告。它要懂数据安全法、网络安全法、网络数据安全管理条例,也要懂行业数据形态、系统架构、权限管理、日志审计、加密和脱敏、第三方共享、应急处置。工业数据、医疗数据、金融数据、政务数据的风险点并不一样,套同一张检查表很难过关。
对企业来说,也不能把评估机构当作“代写报告”的外包商。文件明确,网络数据处理者不得要求或者示意评估机构出具不实或者不当的风险评估报告。也就是说,责任不能外包。

五、企业现在该抓什么
距离8月20日施行并不远。对可能涉及重要数据的企业,最该先做的不是临时找咨询公司,而是把内部数据账盘清楚。
第一,先做数据资源和处理活动清单。哪些数据来自用户、设备、供应链、公共接口、第三方合作、内部系统;哪些数据被汇聚、加工、共享、出境、训练模型或用于自动化决策,都要能说清。
第二,梳理重要数据识别和分类分级。很多企业最大的问题不是不知道要保护数据,而是不知道哪些数据一旦泄露、篡改、滥用会影响国家安全、公共利益、产业安全或大规模个人权益。
第三,把评估变成业务流程的一部分。新上AI应用、引入外部模型、建设行业数据集、开放API、做数据产品交易、接入工业互联网平台,都应该触发一次数据安全影响判断,而不是等年度评估时再回头补材料。
第四,管理第三方和外包链条。数据处理越来越依赖云服务、模型服务、标注服务、系统集成商和运维服务商。真正出问题的地方,往往不是企业自有系统,而是权限被外包链条放大、日志留存不完整、接口调用不可追溯。
六、边界也要讲清楚
《办法》不是要把数据利用按停。
它反复强调的底层逻辑,是保障网络数据安全,促进网络数据依法合理有效利用。安全和利用不是对立关系。没有安全边界,数据要素市场难以真正扩大;没有可用场景,安全治理也会变成空转。
真正的风险,是把政策误读成两种极端。
一种是只做纸面合规,年年出报告,但数据目录、权限、系统日志、外部共享和应急处置并没有实质改善。这样的评估经不起核验,也撑不起AI和数据要素的长期发展。
另一种是因为怕风险就不敢用数据,把所有数据都锁死。这样同样不符合政策方向。数据安全的目标不是让数据躺在库里,而是让它在可控、可审计、可追责的前提下被用起来。
所以,这份办法真正划出的边界是:未来的数据产业竞争,不再只是“谁有数据”,而是“谁能安全、合规、持续地组织数据”。这对AI企业、工业平台、地方数据集团和传统企业,都是一场基础能力考试。