中国网络数据安全风险评估制度的构建，呈现出清晰的法律-行政法规-部门规章-国家标准-地方实践的演进路径，体现了立法与标准先行、行业实践跟进的系统性思维。

法律奠基与原则确立（2017-2021年）：以《网络安全法》（2017）、《数据安全法》（2021）和《个人信息保护法》（2021）为核心，奠定了数据安全保护的法治基石。这三部法律明确了数据分类分级、风险评估、重要数据保护等基本制度，确立了“合法、正当、必要和诚信”等处理原则，为开展风险评估提供了上位法依据。《数据安全法》第二十七条要求重要数据的处理者应当定期开展风险评估并向有关主管部门报送风险评估报告，首次在法律层面明确提出建立数据安全风险评估机制，为后续制度建设奠定了法律基础。

行政法规细化责任（2021年后）：《网络数据安全管理条例》（征求意见稿及后续动态）作为关键行政法规，进一步细化了重要数据处理者的定期风险评估义务、第三方评估机构的管理要求，以及风险评估报告的内容与报送机制，增强了制度的可操作性。2025年1月1日实施的《网络数据安全管理条例》作为行政法规，进一步细化了《数据安全法》的原则性规定。该条例明确重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，并将处理1000万人以上个人信息的网络数据处理者参照重要数据处理者进行管理。2025年12月，《网络数据安全风险评估办法（征求意见稿）》公开征求意见，标志着风险评估制度从原则要求向具体操作迈进关键一步。该办法旨在解决风险评估工作“干什么、怎么干、谁来干”的问题，构建系统化、规范化、标准化的工作体系。

国家标准提供方法论（2020-2025年）：国家标准是统一技术语言和操作范式的关键。特别是GB/T 45577-2025《数据安全技术 数据安全风险评估方法》，作为风险评估的核心方法论标准，系统定义了评估框架、流程（准备、调研、识别、分析、总结）和风险评价模型，为各类网络数据处理者开展评估提供了统一的工作流程、工作内容和工作方法。该标准从数据安全管理、数据安全技术、数据处理活动安全、个人信息保护四方面设计401项评估内容，解决了以往评估工作中存在的尺度不一、水平不齐、结果难互认等问题。

地方与行业指南精准落地（2025年及以后）：在国家标准基础上，结合地方监管需求与行业特殊性，产生了更具针对性的实践指南。以上海市卫健委等编制的《上海市卫生健康行业网络数据安全风险评估指导手册》（2025年）为典范，它将通用国家标准（如GB/T 45577-2025）与行业标准（如GB/T 39725-2020健康医疗数据安全指南）、地方标准（如DB31/T 1545-2025卫生健康数据分类分级要求）深度融合，针对医疗数据高敏感、业务零中断、AI应用广泛等行业特点，设计了全套可操作的评估表格、风险判定维度和场景化案例。

这一演进过程呈现出明显的金字塔结构，顶端是确立基本原则和底线的法律；中层是明确具体义务和程序的行政法规与国家标准，构成制度主干；底层则是结合地方实际与行业特性的操作指南，实现制度的精准落地与有效执行。这标志着中国的数据安全治理从宏观立法走向微观实操，从普适性要求走向差异化精准防控。

核心定义、适用范围与官方定位

核心定义：虽然不同层级文件表述略有侧重，但其核心内涵一致。

《网络数据安全风险评估办法（征求意见稿）》第二条明确定义，网络数据安全风险评估是指对网络数据处理者的网络数据处理活动是否存在安全风险、风险等级及防控措施有效性进行审查评价的监督活动。

综合来看，网络数据安全风险评估是指数据处理者或受委托的第三方机构，依据相关法律法规与标准，对其数据处理活动（涵盖收集、存储、使用、加工、传输、提供、公开、删除等全生命周期）进行系统性识别、分析与评价，以发现可能威胁数据保密性、完整性、可用性以及处理活动合法性、合规性的风险隐患，并为风险处置提供依据的管理活动。

适用范围：该制度具有广泛的适用性，适用于在中华人民共和国境内开展的网络数据处理活动，其核心评估对象是网络数据处理活动及相关网络数据。并实施分级分类管理。

o 主体范围：主要包括数据处理者（尤其是重要数据处理者、处理超过100万人个人信息的处理者）、第三方评估机构（需符合GB/T 45389-2025等能力要求）以及主管监管部门（网信、卫健、工信等）。

o 对象与场景范围：可针对数据处理者的全部或部分（如特定业务、信息系统、部门）的数据处理活动进行评估。以上海医疗行业为例，明确将公立医疗卫生机构、区域医疗数据中心等列为重点评估对象，并特别覆盖临床诊疗、公共卫生、医疗AI应用、科研协作等核心业务场景。

o 具体要求：处理重要数据的网络数据处理者应当每年度对其网络数据处理活动开展风险评估；重要数据安全状态发生重大变化可能对数据安全造成不利影响的，应及时对发生变化及其影响的部分开展风险评估。鼓励处理一般数据的网络数据处理者至少每3年开展一次风险评估。

o 与其他制度协调：为形成监管合力，风险评估与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等内容重合的，相关结果可以互相采信，避免重复评估。

网络数据安全风险评估制度构建了权责清晰、运行高效的多层级工作机制。在国家层面，明确网信部门统筹协调职责；在行业层面，压实有关主管部门监管责任，按照“谁管业务、谁管业务数据、谁管数据安全”原则开展工作；在地方层面，强化省级网信部门区域协调职能。

风险评估的具体流程依据GB/T 45577-2025《数据安全技术 数据安全风险评估方法》展开，该标准将评估工作分为四个主要阶段。

第一阶段 信息调研，全面梳理评估对象的单位性质、业务范围、网络和信息系统架构以及数据资产情况。这一阶段需要详细调研数据处理者的单位性质、所属行业、资本构成，以及网络规模、拓扑结构、信息系统功能等。

第二阶段 数据处理活动调研，涵盖数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期环节。特别关注个人信息、重要数据和核心数据的处理活动，包括收集渠道、方式、目的、频率，存储方式、地点和安全措施等。

第三阶段 安全风险识别与分析，依据国家标准从数据安全管理、数据安全技术、数据处理活动安全和 个人信息保护四个维度，系统识别潜在风险点。这一阶段需要评估数据分类分级管理、安全管理制度建设、技术防护措施有效性等方面。

第四阶段 风险评价与报告编制，基于风险发生可能性和影响程度确定风险等级，提出针对性的整改建议，最终形成风险评估报告。评估报告需包含评估概述、工作开展情况、网络数据和网络数据处理活动情况、安全风险分析、风险评价和结论、整改建议等内容。

网络数据安全风险评估制度的建立，标志着我国数据安全治理从事后处置向事前预警、事中管控的深刻转变。这一制度的核心价值在于构建“评估发现风险、报告呈现风险、整改化解风险”的网络数据安全风险治理闭环。

从国家安全角度看，风险评估制度是贯彻落实总体国家安全观的重要实践，通过排查处置数据处理活动各阶段的安全风险，筑牢国家数据安全屏障。对数据处理者而言，定期开展风险评估是履行主体责任、实现合规运营的基本前提，有助于企业全面排查数据安全隐患。

从经济发展角度观察，规范化的风险评估机制为促进数据依法有序自由流动提供了制度保障，有助于平衡数据安全与数据利用之间的关系。风险评估制度还能通过结果互认机制，避免重复评估、重复检查，切实为网络数据处理者松绑减负。

境外法域的类似制度

全球范围内，数据安全风险评估已成为数字时代各法域监管的共识性工具，尽管具体实施路径各有特点。

欧盟通过《网络弹性法案》建立了覆盖数字元素产品全生命周期的网络安全风险评估框架。该法案要求制造商在产品投放市场前完成全面的网络安全风险评估，并在整个产品生命周期内持续提供安全支持，包括监测安全漏洞、定期发布安全更新。《通用数据保护条例》则要求企业在进行高风险数据处理活动前开展数据保护影响评估。

美国司法部于2025年发布了《数据安全计划合规指南》，要求美国主体建立并维护基于风险等级的书面数据合规计划。该计划要求美国主体核实受限交易中涉及的数据流，描述数据合规计划的书面政策需每年由负责合规的官员进行认证。

韩国个人信息保护委员会于2025年7月公布了《个人信息安全确保措施标准》修正案草案，引入了基于风险分级的差异化管控措施。修正案允许大规模数据处理者通过风险评估，对特定设备豁免互联网访问阻断措施，前提是识别风险显著较低或已采取充分的安全保障措施。

沙特阿拉伯数据与人工智能管理局于2025年2月发布了数据跨境传输风险评估指南，为企业进行跨境数据传输提供分步评估框架。该指南要求企业在依赖保障措施进行跨境数据传输，或持续、大规模向境外传输敏感数据时，必须开展风险评估。

拉丁美洲各国数据保护法普遍遵循数据保护影响评估机制，但执行力度存在差异。智利、乌拉圭和哥斯达黎加等国有较强的制度框架和法律可预测性，而区域整体面临“执法不足”的结构性问题。

中国的网络数据安全风险评估制度，既吸收了国际通行的“基于风险的管理”理念和隐私影响评估方法，又具有鲜明的中国特色：更强调国家与公共安全维度，更注重与现有网络安全体系的融合，并通过国家标准与行业指南的形式，实现了更高程度的标准化与可操作性，特别是在关键基础设施和重要行业领域的落地深度上，展现了独特的实践路径。

行业落地与地方实践：以上海卫生健康行业为范本

在全国性制度框架确立后，行业与地方的细化实施成为制度落地的关键。《上海市卫生健康行业网络数据安全风险评估指导手册》的出台，正是这一过程的典范。该手册在严格遵循《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》及国家标准GB/T 45577-2025等上位法规与标准的基础上，结合了上海市的地方监管要求（如《上海市数据条例》）以及医疗卫生行业的特殊性，构建了一套极具操作性的行业风险评估实施范式，标志着数据安全治理从通用原则向专业场景的纵深发展。

该手册的核心价值在于将宏观的、通用的数据安全风险评估要求，精准转化为适应医疗卫生机构业务逻辑、数据特征与风险场景的具体行动指南。其风险评估流程在遵循国家标准的基础上，进行了显著的行业化适配与细化，主要包含四个阶段：

1. 评估准备与启动：明确评估范围，特别圈定了诊疗数据、健康档案、临床研究数据、公共卫生监测数据、运营管理数据等医疗卫生核心数据资产。同时，组建由业务部门、信息部门、安全部门及法务部门共同参与的联合评估组，确保评估视角的全面性。

2. 数据资产与处理活动识别：指导机构对其数据处理活动进行全景式测绘。这不仅是技术盘点，更是业务关联分析，重点梳理从患者挂号、就诊、检验、用药到健康管理的全业务流程中的数据流转路径、存储位置、访问权限及共享场景，特别是涉及跨机构、跨区域或向科研机构、保险公司、互联网平台等第三方提供数据的情形。

3. 风险识别与分析评估：此阶段充分体现了行业特色。手册引导评估者依据医疗卫生数据的敏感度（如传染病报告、遗传信息、未成年人健康信息等）进行风险分级，并从行业视角聚焦于一系列特定高风险场景进行深入排查。例如：超范围采集患者信息、门诊病历数据批量泄露、临床研究数据跨境传输、医疗设备终端数据安全防护不足、与第三方合作中的数据安全责任界定不清等。风险分析不仅考虑技术漏洞，更综合评估对患者个人权益（如歧视、诈骗）、医疗机构正常运营（如业务中断、声誉受损）乃至公共卫生安全可能造成的后果。

4. 报告编制与整改管控：要求形成内容翔实、结论明确的风险评估报告，并提出具有可操作性的整改建议。手册特别强调风险的持续管理与闭环处置，要求建立风险整改跟踪台账，并将评估结果与机构的网络安全等级保护、个人信息保护合规审计等工作有机衔接，形成治理合力。

该手册在制度设计上展现出若干突出创新点与行业洞见：

· 风险场景高度聚焦：它不仅列出通用风险，更深度绑定医疗行业的典型业务（如远程医疗、临床数据中心、区域健康信息平台），设定了极具针对性的评估检查项。

· 责任体系明确具体：进一步细化了医疗机构内部的数据安全责任分工，强化了业务部门作为数据产生和使用者的“第一责任人”意识，改变了以往将数据安全责任仅仅归属于信息安全部门的观念。

· 强调供应链风险管理：鉴于医疗行业大量依赖外部信息系统服务商、云平台和医疗器械供应商，手册对第三方服务的数据安全管理和合同约束提出了明确要求，将风险评估范围延伸至整个生态链。

· 合规指引集成化：有效集成了卫生健康行业已有的相关规范（如健康医疗大数据标准、电子病历管理规范），帮助机构一次评估满足多重合规要求，提升了管理效率。

上海市的这一实践，其价值远超一地一业。它为国家层面“谁管业务、谁管业务数据、谁管数据安全”的原则提供了鲜活、可复制的样板。它证明，有效的风险评估绝非单纯的技术检测，而是一个深刻理解行业业务逻辑、厘清数据价值与风险脉络的治理过程。这一行业范本的成功经验，预计将为金融、交通、教育等其他关键信息基础设施行业制定本领域的风险评估实施细则提供重要参考，共同推动我国网络数据安全风险评估制度体系走向全面成熟与精细化运作的新阶段。

精准落实合规义务：医疗健康行业网络数据安全风险评估实践方案

在明晰了从国家立法到行业指引的网络数据安全风险评估制度体系后，对于医疗健康行业各机构而言，关键在于将这项明确合规义务转化为清晰、可执行、能闭环的管理实践。本部分旨在提供一份聚焦于如何有效履行风险评估义务的落地方案，帮助医院、药企、医疗器械公司、CRO等机构，系统性地完成从启动评估到结果运用的全过程。

启动前，机构决策层与管理层需确立一个根本认知：定期开展网络数据安全风险评估，是《数据安全法》《个人信息保护法》及《医疗卫生机构网络安全管理办法》等法律法规赋予数据处理者的法定责任。它并非一次性项目，而是一项需要常态化、制度化履行的合规管理活动。其核心输出——《网络数据安全风险评估报告》，是向监管机构证明已尽到安全义务的关键证据，也是驱动内部安全建设最权威的输入。

遵循PDCA策划-实施-检查-处置的合规路径逻辑，我们建议机构按以下四个步骤，构建标准化的风险评估工作闭环。

第一步：以风险为导向，精准定义评估范围与团队，核心动作如下：

1. 范围界定：采用“业务重要性”与“数据敏感性”双维度确定首次或本期评估重点。建议优先覆盖：①处理大量个人诊疗信息的核心系统（如HIS、EMR）；②涉及重要数据或敏感个人信息的业务（如临床研究、传染病直报）；③采用新技术的场景（如医疗AI应用、物联网设备数据接入）。确保评估聚焦关键风险，而非面面俱到。

2. 团队组建：明确评估负责人（通常为数据安全负责人）。根据能力，选择自行评估（需跨部门组建含业务、IT、法务的团队并接受培训）或委托合规第三方（需验证其具备GB/T 45389-2025资质及医疗行业经验）。无论何种模式，机构自身必须保有全程监督与审核的主体责任。

3. 方案制定：编制详细的评估工作计划，明确评估依据、方法（访谈、核查、测试）、时间表、应急预案及保密要求，并报管理层批准。

第二步：以标准为尺，系统识别与采集风险信息，核心动作如下：

1. 标准化信息调研：依据《指导手册》附录1的系列调研表，系统性地完成对评估范围内数据资产、数据处理活动、现有安全措施的盘点与信息采集，形成结构化的底数清单。

2. 多维风险识别：运用《指导手册》附录2（通用风险识别表）与附录3（医疗AI专项风险识别表，如涉及），通过人员访谈、文档审查、技术核查等手段，逐项识别数据安全管理、数据处理活动、安全技术及个人信息保护方面的不符合项与脆弱点。

3. 证据固化：对识别出的每个问题点，保留相应的访谈记录、配置截图、制度文件等作为支撑证据。

第三步：以影响为准，科学分析与评价风险等级，核心动作如下：

1. 风险分析与归类：将识别出的具体问题，归类到“数据泄露”、“数据篡改”、“违法违规处理”等典型风险类型（参考《指导手册》附录4.1），分析其可能造成的业务、合规及个人权益影响。

2. 风险定量评价：采用“危害程度”与“发生可能性”二维矩阵（参考《指导手册》附录4.2至4.4），对每个风险进行等级判定（如重大、高、中、低）。应特别关注医疗行业特性：凡涉及患者生命安全、大规模敏感信息泄露、重大公共卫生数据安全的，原则上应从严判定危害程度。

3. 形成风险清单：产出包含风险描述、类型、等级、关联资产与问题的《数据安全风险清单》，作为管理决策的直观依据。

第四步：以效用为果，驱动风险处置与报告合规，核心动作如下：

1. 编制与报送评估报告：严格依据规范（参考《指导手册》附录7）编制《网络数据安全风险评估报告》，清晰陈述评估过程、发现及风险评价结果。报告需经评估团队确认，并按要求报送相关主管监管部门。

2. 制定并执行整改计划：报告的核心价值在于驱动整改。必须基于风险等级，制定详细的《整改方案》，明确“重大/高风险”项的立即处置措施、“中/低风险”项的整改计划与时限，并将责任落实到部门与人员。

3. 闭环跟踪与复审：建立整改跟踪机制，确保各项措施落实。应将风险评估发现及整改情况，纳入机构日常安全管理考核。在下一次定期评估（通常为一年）时，需对前期风险处置效果进行复审。

通过执行上述聚焦风险评估的方案，不仅仅是为了满足一张合规答卷，更能切实收获三大管理效能：

1. 履行法定义务，降低合规风险：系统化的评估过程与规范的报告产出，是应对监管检查、证明已尽勤勉尽责义务的最有力证据，能显著降低因数据安全事件引发的行政处罚、民事赔偿及声誉损失风险。

2. 摸清风险底数，实现精准投入：告别安全投入的“模糊地带”。基于风险评估结果，企业或机构管理层可以清晰知道风险在哪里、等级有多高，从而将有限的安全资源（预算、人力）精准投入到最需要的地方，实现投资效益最大化。

3. 建立管理基线，赋能业务发展：一次扎实的风险评估，是建立机构数据安全治理体系的起点。它输出的不仅是问题清单，更是未来开展数据分类分级、建设防护体系、审核新项目上线的权威基线。安全的确定性，正是开展数据驱动型临床研究、创新医疗服务、智慧药械研发等业务的信心与基石。

以安全合规为基石开启医疗数据价值新篇章

对于医疗健康行业而言，系统的网络数据安全风险评估与治理，已从“可选项”变为“必选项”。这不仅是应对监管的合规之举，更是机构在数字化时代构筑核心竞争力的战略投资。

从理解国家制度框架，到应用行业实践指南，再到执行本方案所勾勒的实践路径，医疗机构及相关企业能够一步步将抽象的法律要求，转化为具体的管理动作和技术屏障。一个成熟可靠的数据安全治理体系，将成为行业信赖的基石，在充分保障患者权益与公共安全的前提下安全、有序地释放医疗健康数据的巨大潜能，赋能精准医疗、加速新药研发、提升公共卫生效率。

这条从合规到发展的道路，需要决心，更需要科学的路径。现在正是迈出第一步的最佳时机。从《网络数据安全管理条例》的宏观构思，到GB/T 45577-2025的国家立标，再到《上海市卫生健康行业网络数据安全风险评估指导手册》的精细耕作，中国网络数据安全风险评估制度已展现出清晰的“金字塔”式实施路径。这一路径既体现了与国际通行规则（如GDPR的DPIA）在风险治理理念上的接轨，更融入了对国家核心数据安全、重点行业特殊保护的深刻考量。

上海在医疗健康领域的先行先试，为全国提供了极具价值的范本。它证明，通过标准化的工具、场景化的指引和闭环式的流程，高度复杂的医疗数据安全合规要求，能够被转化为可管理、可执行、可验证的具体动作。

制度与指南的生命力在于执行。对于医疗健康行业的参与者而言，主动、系统、常态化地开展网络数据安全风险评估，已远不止于满足合规底线。它是一次对自身数据资产与安全脆弱性的深度“体检”，是构建内生安全免疫力的起点，更是赢得患者信任、保障业务永续、拥抱数据驱动型未来的战略投资。