《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》（“《條例》”）將數(shù)據(jù)安全的風險評估作為一項普遍和常態(tài)的風險控制和管理手段，這體現(xiàn)在《條例》對評估的多條款規(guī)定上。

　　整體而言，《條例》的評估可以分為年度評估和日常評估（定期、非定期）兩大類。在兩類下又針對一般事項和特定事項，進一步細化為若干評估。

　　當然如果體系化，還可以依據(jù)實施評估的主體，將評估區(qū)分為數(shù)據(jù)處理者啟動的評估和網(wǎng)信部門等監(jiān)管機構(gòu)發(fā)起的評估；以及《網(wǎng)絡安全法》以來就有所規(guī)定的自評估和外部第三方評估等等。一個初步細化后的評估分類體系主要歸納如下：

　　一、數(shù)據(jù)處理者基于業(yè)務需求發(fā)起的業(yè)務評估

　　此類評估一般為處理者自行發(fā)起，主要包括：

　　1、在境外“分析、評估境內(nèi)個人、組織的行為” 的數(shù)據(jù)活動，……適用本條例。

　　《條例》此規(guī)定的評估，是數(shù)據(jù)處理者為業(yè)務需要發(fā)起的經(jīng)營活動，非基于監(jiān)管的強制性評估。但在某些具體的業(yè)務場景中，此條的評估可以細化為若干具體的強制評估，如下。

　　2、“數(shù)據(jù)處理者在采用自動化工具訪問、收集數(shù)據(jù)時，應當評估對網(wǎng)絡服務的性能、功能帶來的影響，不得干擾網(wǎng)絡服務的正常功能”。

　　此即一種具體的業(yè)務評估活動。即對于爬蟲類數(shù)據(jù)活動，需進行強制評估。盡管該評估不需直接報送監(jiān)管或主管機構(gòu)，但一般認為應在監(jiān)管機構(gòu)檢查中體現(xiàn)，并作為可能的年度評估（如為重要數(shù)據(jù)處理者）的重要組成部分。

　　3、“數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息”。

　　此為企業(yè)針對生物特征收集必要性進行的業(yè)務評估，與上段一樣為強制評估。

　　4、“互聯(lián)網(wǎng)平臺運營者利用人工智能、虛擬現(xiàn)實、深度合成等新技術(shù)開展數(shù)據(jù)處理活動的，應當按照國家有關(guān)規(guī)定進行安全評估”。

　　此為針對平臺新技術(shù)、新應用的強制評估，例如目前《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》征求意見稿的算法評估要求，以及早先網(wǎng)信部門就新聞信息服務的評估規(guī)定。

　　二、數(shù)據(jù)處理者針對數(shù)據(jù)安全事件的調(diào)查評估

　　此評估規(guī)定主要指：“發(fā)生重要數(shù)據(jù)或者十萬人以上個人信息泄露、毀損、丟失等數(shù)據(jù)安全事件時，數(shù)據(jù)處理者還應當履行以下義務：……在事件處置完畢后五個工作日內(nèi)向設區(qū)的市級網(wǎng)信部門和有關(guān)主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調(diào)查評估報告”。

　　按照上述表述，該評估指的是發(fā)生數(shù)據(jù)安全事件（“傳統(tǒng)”意義上也屬于網(wǎng)絡安全或者信息安全事件的一個類別）后，就整個事件處置的調(diào)查報告。也正是從這個意義上，以及評估程序的前置性要求上，可以考慮避免使用評估字樣避免混淆。

　　三、企業(yè)和行業(yè)、領域?qū)嵤┑亩ㄆ谠u估（定期的頻率未規(guī)定）

　　盡管嚴格講年度數(shù)據(jù)安全評估也屬于定期的評估，但不屬于本類定期評估。主要包括兩種情況：

　　1、企業(yè)發(fā)起的定期評估，指：“重要數(shù)據(jù)的處理者，應當……定期組織開展數(shù)據(jù)安全宣傳教育培訓、風險評估、應急演練等活動”。

　　這一類定期評估，類似于《網(wǎng)絡安全法》對關(guān)鍵信息基礎設施運營者的額外義務要求。重要數(shù)據(jù)處理者通常會基于兩種緣由發(fā)起定期評估：（1）在企業(yè)數(shù)據(jù)安全的規(guī)章制度中明確風險評估的頻率和次數(shù)；（2）基于特定業(yè)務需要、監(jiān)管要求發(fā)起的定期評估。因此與年度數(shù)據(jù)安全評估不同，也不能相互替代。

　　2、行業(yè)發(fā)起的定期評估是《條例》規(guī)定的：“主管部門應當定期組織開展本行業(yè)、本領域的數(shù)據(jù)安全風險評估，對數(shù)據(jù)處理者履行數(shù)據(jù)安全保護義務情況進行監(jiān)督檢查，指導督促數(shù)據(jù)處理者及時對存在的風險隱患進行整改”。

　　這一類定期評估，在《網(wǎng)絡安全法》等中也有明確體現(xiàn)。實務中的對標包括兩年一度的最新一期為歐盟“網(wǎng)絡歐洲2020”的演習，一般認為是歐洲網(wǎng)絡與信息安全局（ENISA）牽頭，多行業(yè)參與。

　　四、針對平臺規(guī)則、云計算服務等的特定評估

　　主要包括兩類：

　　1、“日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運營者平臺規(guī)則、隱私政策制定或者對用戶權(quán)益有重大影響的修訂的，應當經(jīng)國家網(wǎng)信部門認定的第三方機構(gòu)評估，并報省級及以上網(wǎng)信部門和電信主管部門同意”。

　　之所以此條單列，主要是因為其提出了評估應當由“網(wǎng)信部門認定的第三方機構(gòu)”進行，這就和認證認可條例等資質(zhì)認證建立了聯(lián)系。換言之，企業(yè)通過聘請第三方協(xié)助進行的自評估的絕大多數(shù)情形，并無強制的認定資質(zhì)要求。

　　2、其他特定評估，主要包括“國家機關(guān)和關(guān)鍵信息基礎設施運營者采購的云計算服務，應當通過國家網(wǎng)信部門會同國務院有關(guān)部門組織的安全評估”的情況，評估依據(jù)包括《云計算服務安全評估辦法》和其他可能適用的規(guī)定。

　　五、重要數(shù)據(jù)處理者等的實施并報送的年度數(shù)據(jù)安全評估

　　盡管《條例》對年度評估的主體和事項規(guī)定為：“處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者，應當自行或者委托數(shù)據(jù)安全服務機構(gòu)每年開展一次數(shù)據(jù)安全評估，并在每年1月31日前將上一年度數(shù)據(jù)安全評估報告報設區(qū)的市級網(wǎng)信部門……”

　　但在該條第4款，對“重點評估”內(nèi)容的表述的主體是“數(shù)據(jù)處理者”，這可能會產(chǎn)生是否所有的數(shù)據(jù)處理者都需要年度評估的疑惑。在我們?nèi)匀患俣ù颂幍臄?shù)據(jù)處理者指的是處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者的前提下，更關(guān)注的是其增加規(guī)定的重點評估的額外事項，并明確“評估認為可能危害國家安全、經(jīng)濟發(fā)展和公共利益，數(shù)據(jù)處理者不得共享、交易、委托處理、向境外提供數(shù)據(jù)”——這里就可能隱含了一個對年度數(shù)據(jù)安全評估報告的監(jiān)管“評價”活動。

　　六、網(wǎng)信部門實施的出境安全評估

　　出境評估屬于針對專門事項的特定評估，但立法者給與了更多條款關(guān)注?！皵?shù)據(jù)處理者因業(yè)務等需要，確需向中華人民共和國境外提供數(shù)據(jù)的，應當具備下列條件之一：（一）通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估……并規(guī)定了在涉及重要數(shù)據(jù)、關(guān)鍵信息基礎設施、一百萬以上用戶的情形下，應當適用數(shù)據(jù)出境安全評估，而不能選擇”個人信息保護認證“或”標準合同“的方式。

　　值得注意的是，出境評估條款中還針對個人信息和重要數(shù)據(jù)區(qū)分規(guī)定了兩類”評估“，這體現(xiàn)出個人信息和重要數(shù)據(jù)在適用數(shù)據(jù)出境安全評估時的不同：

　?。?）”數(shù)據(jù)處理者向境外提供數(shù)據(jù)應當履行以下義務：（一）不得超出報送網(wǎng)信部門的個人信息保護影響評估報告中明確的目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息……“，此條的評估指向《個人信息保護法》規(guī)定的個人信息保護影響評估。

　?。?）”數(shù)據(jù)處理者向境外提供數(shù)據(jù)應當履行以下義務：……（二）不得超出網(wǎng)信部門安全評估時明確的出境目的、范圍、方式和數(shù)據(jù)類型、規(guī)模等向境外提供個人信息和重要數(shù)據(jù)“。

　　七、結(jié)論

　　評估作為風險控制、管理的機制，一般理解為事前、事中的前置或過程機制，而非事后報告機制，這在《條例》也得到體現(xiàn)。例如對出境事項，在事后提交的是”數(shù)據(jù)出境安全報告“而非評估報告。把握這一點，也有利于識別和準確應用《條例》規(guī)定的各類評估。