《数据安全法》自 2021 年 9 月 1 日施行,三年来执法逐步从"立规矩"走向"动真格"。对政务机构而言,风险不在于"会不会被罚天价",而在于数据分类分级没做、重要数据底数不清、数据共享和出境缺乏评估这些基础动作的缺失。本文梳理数安法的关键义务时间线、值得关注的执法方向,以及政务机构最该自查的风险点。文中执法案例仅引用已公开信息,具体数字与最新案例请以官方发布为准。
📚 本文属于专题:等保 · 密评 · 数据合规
数安法三年:从立法到落地
《数据安全法》是我国数据领域的基础性法律,与《网络安全法》《个人信息保护法》共同构成"三法"框架。它确立了几项对所有数据处理者(含政务机构)都适用的核心义务:
| 核心义务 | 要求 |
|---|---|
| 数据分类分级 | 建立数据分类分级保护制度,按重要程度分级管理 |
| 重要数据保护 | 识别并登记重要数据,指定负责人,定期做风险评估并报送 |
| 全流程安全 | 数据收集、存储、使用、加工、传输、提供、公开全流程采取安全措施 |
| 数据出境 | 重要数据出境需按规定做安全评估 |
| 政务数据 | 国家机关委托处理政务数据应经审批,受托方不得擅自留存、使用、对外提供 |
一个标志性方向:数据领域的"顶格"处罚
数据领域影响最大的公开案例,是 2022 年 7 月国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》对滴滴出行作出的处罚,罚款金额达人民币 80.26 亿元。这一案例释放的信号很明确:数据违规的代价可以非常高,且常常是三法叠加适用。
给合规团队的提醒:本文仅引用这一已被广泛报道的案例作为方向说明。建议贵单位合规部门以国家网信办、公安机关等官方渠道发布的最新通报为准,定期更新本行业的执法案例库。
执法关注的几类高风险行为
- 超范围收集:收集与业务无关的数据,违反"最小必要"。
- 数据"裸奔":重要数据、个人信息未加密、无访问控制即存储或传输。
- 违规共享/出境:未评估即对外提供或跨境传输数据。
- 底数不清:说不清自己有哪些数据、属于什么级别、谁能访问。
- 事故处置不力:发生数据泄露后未及时处置、补救、上报。
政务机构的风险到底在哪里
政务机构掌握大量公民个人信息和重要数据,是监管重点,但风险往往集中在很基础的环节:
1
分类分级停在纸上
有制度文件,但没有真正落到每一类数据上,说不清哪些是重要数据。
2
数据共享缺评估
跨部门、跨层级共享频繁,但缺少安全评估和访问审计,数据流向不可控。
3
委托处理失管
把系统外包给第三方,但对受托方的数据留存、使用约束不足,责任边界不清。
4
技术措施不达标
重要数据未加密存储、关键操作无审计,和等保/密评要求脱节。
政务机构自查清单
- 是否建立了数据分类分级制度,并真正落到了数据资产清单上?
- 是否识别、登记了重要数据,指定了负责人,做过风险评估?
- 个人信息、重要数据是否做了加密存储和传输?
- 数据共享、对外提供是否有审批和评估记录?
- 委托第三方处理时,合同是否明确了数据安全责任和留存限制?
- 是否有数据安全事件应急预案,并演练过?
结论
数安法三年,监管越来越实。政务机构与其担心"会不会被顶格罚",不如先把分类分级、重要数据登记、加密保护、共享评估这几件基础事做扎实——这既是数安法的要求,也和等保、密评高度重合,可以一并推进。需要我们结合贵单位情况做一次数据安全合规差距梳理,可查看政务行业方案或联系我们。
