2025年4月25日,国家市场监督管理总局发布《GB/T 45577-2025 数据安全技术 数据安全风险评估方法》(下文简称《方法》),并将于11月1日正式实施,文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。作为我国数据安全领域的重要国家标准,它为企事业单位数据安全风险评估提供了全流程指南,从合规的要求到技术落地,从风险识别到整改处置的要求,全面覆盖了数据的全部生命周期。
《方法》规定,数据安全风险评估主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理活动合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。
风险评估过程中,首先通过信息调研识别数据处理者、业务和信息系统、数据、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险,最后梳理风险源清单,分析数据安全风险、视情评价数据安全风险,并给出整改建议。数据安全风险评估的方式,主要包括自评估、委托第三方评估和检查评估。
该标准对于处理重要数据和个人信息的机构而言提出了较为严格的要求,它明确规定了4类应开展评估的刚性场景:
1.关键数据处理者(机构或企业):重要数据/核心数据处理者、处理超1000万个人信息的数据处理者,每年必须开展评估;
2.高风险数据活动:提供/委托/共同处理重要数据前、数据出境、系统重大变更(如并购、系统下线)时;
3.特殊主体:大型网络平台、政务数据处理者、境外上市企业,需额外关注供应链数据安全和跨境流动的合规性;
4.法律强制场景:违反数据安全法、个人信息保护法等规定时,评估将成为整改必备环节;
其中,高校目前在新技术应用(如生成式AI、物联网)、日常业务开展以及重要系统上线前,虽目前未被强制要求,但主动评估可以提前规避风险,逐步完善自身的数据安全合规和风险管控能力。
该评估方法对四个核心维度的严格把控,即“管理、技术、活动、个人信息保护”。
对于数据处理者(企业/机构)应满足的义务,要求其技术与管理双面驱动,切实提高安全防护能力。标准提供了风险危害程度(5个级别)、发生可能性(3个级别)的定性和定量分析方法,科学评估风险优先级。同时,提出了企业或机构需要明确的网络安全防护、数据脱敏、防泄漏、行为审计等技术要求,并且要求建立数据安全组织架构、人员培训、应急预案等制度。
对于“数据处理活动”(明确定义了处理活动包括:收集、存储、传输、使用和加工、共享、公开、删除、出境),从数据收集到删除的每个环节,都是评估的重点。 例如,收集环节的正当性、合法性,是否存在窃取和超范围收集,标准也将重点评估从外部机构收集数据的安全情况。
对于“个人信息保护”,该标准明确设定了“红线”:隐私政策是否清晰告知收集目的,撤回是否便捷。对于“敏感个人信息”,例如,生物特征数据(如人脸、指纹)使用权限的等问题都被着重要求。
GB/T 45577-2025的落地,标志着数据安全从“粗放管理”转向“精准治理”。对于高校而言,主动应对《方法》的要求意味着更早的进入安全护航环节,通过数据安全评估,及时自查自检,形成安全处理技术规范和数据治理优化升级,应对数据安全风险,推动形成安全与发展相互促进的良性循环。