《政务数据共享条例》（中华人民共和国国务院令第809号）于2025年5月9日公布，其中第十三条规定，政府部门编制政务数据目录，应当依法开展保密风险、个人信息保护影响等评估。那么保密风险、个人信息保护影响等评估由谁来评估，怎么评估，合格标准是什么？

一、评估责任主体

1. 编制目录的政府部门

根据809号文第十三条，部门负责人是评估的责任主体，明确了内部工作机构负责目录编制及安全评估。

2. 第三方机构的参与

《个人信息保护法》（第91号令）第五十八条规定，按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督；《互联网政务应用安全管理规定》（2024年5月15日发布）中第十八条明确，机关事业单位应当自行或者委托具有相应资质的第三方网络安全服务机构，对互联网政务应用网络和数据安全每年至少进行一次安全检测评估。

第三方机构资质经过我们在中国政府采购网上公开的信息调研发现，企业一般需要具备中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质认证证书、信息技术服务管理体系证书和信息安全管理体系标准证书以及质量管理体系认证证书；而项目团队人员一般需要具备信息安全保障人员认证 （CISAW ）安全集成（专业级）证书、人力资源和社会保障部、工业和信息化部颁发的信息安全工程师证书并具备等级测评师证书（中级及以上）以及相关的注册信息安全专业人员证书。

二、评估内容

1. 法律依据

《个人信息保护法》（第91号）五十六条规定，个人信息保护影响评估应当包括个人信息的处理目的、处理方式等是否合法、正当、必要；对个人权益的影响及安全风险；所采取的保护措施是否合法、有效并与风险程度相适应等内容。

2. 国家标准

《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）提供了评估流程、内容及方法，如风险识别、影响分析、保护措施有效性评估等。

3. 其他法规

如《中华人民共和国数据安全法》《网络数据安全管理条例》等，需在评估中落实数据分类分级、安全管理制度等要求。

三、具体评估流程

（参考《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020））。

1. 风险识别

分析数据目录中涉及的个人信息类型、敏感程度、使用场景，识别可能存在的泄露、滥用风险。

2. 影响分析

评估数据处理对个人权益的影响，如限制自主决定权、引发差别待遇等。

3. 措施制定

针对风险提出防护措施，如数据脱敏、访问控制、加密技术等，并确保措施与风险程度相适应。

4. 专家评审

可能需通过内部或外部专家评审，验证评估结果的准确性和措施的有效性。

四、合格标准

1. 合规性要求

评估需符合《个人信息保护法》《数据安全法》等法律法规，以及《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）等国家标准。保密风险评估需确保数据不涉及国家秘密、商业秘密，符合《保守国家秘密法》等规定。

2. 风险控制标准

风险等级判定：通过定性或定量分析，将风险分为低、中、高等级，确保高风险数据得到严格管控。

防护措施有效性：评估提出的技术和管理措施（如加密、访问控制）是否能有效降低风险，达到可接受水平。

文档与记录：评估报告需包含风险分析、措施建议及结论，需建立评估记录和争议解决机制，确保过程可追溯。并且根据《个人信息保护法》（第91号令）第五十六条规定，个人信息保护影响评估报告和处理情况记录应当至少保存三年。

政府部门在编制政务数据目录时，需通过内部或第三方评估，遵循法律和国家标准，确保风险可控、合规性达标，并通过全流程监管和技术手段保障数据安全与个人信息权益。具体实施中，可参考《个人信息保护法》、《数据安全法》、《信息安全技术 个人信息安全影响评估指南》（GB/T 39335-2020）等政策文件。