数据安全评估方法
1 背景
1.1 法律法规驱动
为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,我国先后出台《网络安全法》《数据安全法》《个人信息保护法》等法律法规,明确提出建立数据安全风险评估机制要求。《数据安全法》第二十一条:要求建立数据分类分级保护制度,重要数据处理者需定期开展风险评估。《个人信息保护法》第五十五条:处理敏感个人信息或达到规定数量时需进行风险评估。
国家标准《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)于2025年4月25日发布,将于2025年11月1日正式实施,为数据处理者、第三方评估机构开展数据安全风险评估提供了标准化指导,同时工业、电信、金融、交通运输等行业已根据自身数据的特点制定了本行业数据处理规范要求。
1.2 数据安全现状
2024年行业统计,数据泄露事件年增长率超30%,金融、医疗、互联网领域为重灾区,数据泄露、篡改、滥用等安全事件频发,对国家安全、公共利益、企业运营构成及个人生活带来严峻挑战。通过数据安全风险评估机制,为数据处理者、第三方机构及监管部门提供可操作、可复现、可审计的评估指南,助力数据处理者实现从“被动合规”到“主动防御”的转型,为数字经济筑牢安全基座。
1.3 数据安全风险评估适用情形(GB/T45577—2025)
a. 重要数据处理者、核心数据处理者、处理1000万人以上个人信息的数据处理者,每年度对其网络数据处理活动开展数据安全风险评估。
b. 处理重要数据的大型网络平台服务提供者除依据本文件开展数据安全风险评估外,还应当充分说明关键业务和供应链网络数据安全等情况。
c. 重要数据的处理者提供、委托处理、共同处理重要数据前,开展数据安全风险评估。
d. 当数据范围、数据处理活动、环境、相关方等发生重大变更,被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生重大变化超出数据安全风险评估时效等情形的,应重新开展数据安全风险评估。
e. 重要数据处理者合并、分立、解散、被宣告破产、进行数据转移等情形。
f. 大型网络平台运营者、赴境外上市的数据处理者、党政机关,按照有关规定定期开展数据安全风险评估。
g. 法律、行政法规、部门规章、强制性国家标准等文件要求开展数据安全风险评估的情形。
2 数据安全风险评估的基本概念
1. 数据:是指任何以电子或者其他方式对信息的记录。
2. 数据安全:是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
3. 数据处理:数据的收集、存储、使用、加工、传输、提供、公开等生命周期。
4. 数据评估:风险识别、风险分析和风险评价的全过程。
5. 数据安全风险:数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的损害。
3 数据安全风险评估方法
3.1 评估原则
1. 全生命周期覆盖:覆盖数据从产生到销毁的全过程。
2. 合规驱动:以法律法规为最低基线,结合行业标准。
3. 全面摸排:确定数据安全风险评估范围后,对数据资产进行全面摸排,全面覆盖重要数据、核心数据,一般数据的种类、数量全面覆盖,形成《重要数据》、《核心数据》保护目录。
3.2 评估流程
3.3 评估方法
3.4 评估依据
3.4.1 通用
3.4.2 金融
监管最严,跨境合规为核心
3.4.3 医疗卫生
患者隐私保护为核心
行业痛点:60%医院存在内部人员权限滥用风险(2025年医疗安全白皮书)
3.4.4 电信与互联网
用户规模驱动强制评估
标准名称 | 发布机构 | 实施时间 | 核心要求 |
YD/T 3956-2024《电信领域数据安全风险评估规范》 | 工信部 | 2024年7月 | 超1000万用户数据强制评估;覆盖用户画像、精准营销、位置信息 |
YD/T 3801-2020《电信网和互联网数据安全风险评估实施方法》 | 工信部 | 2020年12月 | 首创“业务场景-数据类型-风险等级”三维评估模型 |
3.4.5 交通运输
标准名称 | 发布机构 | 实施时间 | 核心要求 |
JT/T 1547-2025《交通运输数据安全风险评估指南》 | 交通运输部 | 2025年5月1日 | 行业首部标准,覆盖智能网联汽车、物流调度、乘客信息;要求评估“数据-物理”联动风险 |
3.4.6 工业领域
标准名称 | 发布机构 | 实施时间 | 核心要求 |
YD/T 6415-2025《工业领域数据安全风险评估规范》 | 工信部 | 2025年8月1日 | 国内首个工业领域标准,强制评估工业核心数据(如控制指令、工艺参数) |
YD/T 4981-2024《工业领域重要数据识别指南》 | 工信部 | 2025年4月1日 | 明确工业数据分级规则(如能源消耗数据≥3级) |
3.4.7 政务领域
标准名称 | 发布机构 | 实施时间 | 核心要求 |
GB/T 45396-2025《数据安全技术 政务数据处理安全要求》 | 国家标准委 | 2025年11月1日 | 要求政务数据共享前进行安全影响评估,明确开放数据脱敏等级 |
DB51/T 10012-2025《川渝政务数据风险评估指南》 | 川渝市场监管局 | 2025年6月 | 区域协同标准,统一成渝两地政务数据交换风险评估规则 |
3.4.8 能源电力
准名称 | 发布机构 | 实施时间 | 核心要求 |
《电力行业数据安全风险评估规范(征求意见稿)》 | 国家能源局 | 2025年征求意见 | 覆盖电网调度、负荷预测数据;要求评估“数据-物理系统”级联故障风险 |
3.4.9 个人信息合规
准名称 | 发布机构 | 实施时间 | 核心要求 |
GB/T 35273-2020《信息安全技术 个人信息安全规范》 | 国家标准委 | 2020-10-01 | 规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。 本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估 |
3.5 风险识别维度(通用)
3.6 风险分析
3.6.1 危害程度分析
风险危害程度分析,主要考虑数据价值、风险源严重程度等因素。将结合数据级别、规模、种类、处理目的、方式、范围等情况,综合分析数据安全风险一旦发生,对国家安全、公共利益,组织或者个人合法权益造成的危害程度。风险危害程度分析遵循就高从严、整体分析原则,如果该风险涉及多项数据,应进行累加判断,将涉及数据的风险按照最高危害等级判断。
风险源严重程度,主要考虑风险源对数据处理者带来的危害程度。
3.6.2 发生的可能性分析
风险发生可能性分析,主要考虑风险源发生频率,安全措施有效性和完备性,风险源关联性等因素分析方法如下:
风险源发生频率,可从被评估对象发生相关数据安全事件的次数及频率、同行业或业务模式相似的单位发生相关数据安全事件的次数及频率,相似数据安全事件发生次数及频率、轻微安全问题累计发生次数等方面,综合分析同类风险源发生可能性。一般风险源或安全事件发生频率越高,风险发生可能性越高。
安全措施有效性、完备性,主要通过识别数据安全措施应对风险源的有效性、全面性等。核心数据、重要数据及相关数据处理活动,需采取更严格的安全防护措施才能降低风险发生可能性。
风险源关联性,主要通过风险源清单关联分析,发现多个风险源组合后可能引发的数据安全风险,综合判断风险发生可能性。
3.7 数据安全风险评价
通过风险危害程度级风险发生的可能性进行数据安全风险评价,评价结果包含以下结果:
1)重大安全风险:一般指能直接影响国家安全的数据安全风险。
2)高安全风险:一般指可能直接影响经济运行、社会稳定、公共健康安全,以及较为广泛的公众权益,或对国家安全造成间接影响的数据安全风险。
3)中安全风险:一般指可能直接对单位合法权益造成较为严重的影响,或直接对自然人的人格尊严受到严重侵害或者人身、财产安全受到严重危害,或对经济运行、社会稳定、公众利益造成较为严重间接影响的数据安全风险。
4)低安全风险:一般指可能直接对单位合法权益造成一般影响,或直接对自然人的人格尊严受到侵害或者人身、财产安全受到危害,或对社会、公众权益有一定或较小影响的数据安全风险。
5)轻微安全风险:一般指可能直接对单位合法权益造成一般或较小影响,或对自然人人格尊严人身安全、财产安全不造成侵害或仅产生较轻微的危害,或对小范围的组织或公民个体权益造成影响的数据全风险。
4 案例
案例场景:某大型购物交易平台(注册用户数>1000w)
4.1 数据识别
识别到该平台收集到了大量的用户个人基础信息、个人敏感信息(身份证号码、地址)、生物识别信息、交易数据、商品数据
4.2 风险识别
数据处理识别:
风险1-数据收集:通过用户注册的方式收集到个人信息,在注册账户的时候具有用户告知协议,浏览协议并同一协议方可完成注册,用户注册完后可进行商品购买和收藏,如果用户拒绝注册,仍可以进行商品浏览。但在未满14岁用户注册账户时,未征得其监护人的单独同意选项。
风险2-数据提供行为:物流配送需要将用户的地址信息、授权给物流公司,但未查询到将委托处理协议、措施等告知给用户主体。但已采取脱敏的方式将用户的个人手机号进行处理。
风险3-售后投诉渠道:用户可以通过售后服务进行投诉,但未建立单独、明显的个人信息投诉渠道及处理结果和时效。
风险4-数据存储:用户的敏感信息未进行加密存储,用户注销时,未完全删除用户的个人信息。
4.3 风险评价
联系人:宋经理
座机:028-86677012
邮箱:cdjxgf@cdjxcm.com
地址:成都市武侯区长华路19号万科汇智中心30楼
