数安商用密码

数安法实施三年:哪些执法案例值得关注,政务机构风险在哪里

《数据安全法》自 2021 年 9 月 1 日施行,三年来执法逐步从"立规矩"走向"动真格"。对政务机构而言,风险不在于"会不会被罚天价",而在于数据分类分级没做、重要数据底数不清、数据共享和出境缺乏评估这些基础动作的缺失。本文梳理数安法的关键义务时间线、值得关注的执法方向,以及政务机构最该自查的风险点。文中执法案例仅引用已公开信息,具体数字与最新案例请以官方发布为准。

数安法三年:从立法到落地

《数据安全法》是我国数据领域的基础性法律,与《网络安全法》《个人信息保护法》共同构成"三法"框架。它确立了几项对所有数据处理者(含政务机构)都适用的核心义务:

核心义务要求
数据分类分级建立数据分类分级保护制度,按重要程度分级管理
重要数据保护识别并登记重要数据,指定负责人,定期做风险评估并报送
全流程安全数据收集、存储、使用、加工、传输、提供、公开全流程采取安全措施
数据出境重要数据出境需按规定做安全评估
政务数据国家机关委托处理政务数据应经审批,受托方不得擅自留存、使用、对外提供

一个标志性方向:数据领域的"顶格"处罚

数据领域影响最大的公开案例,是 2022 年 7 月国家网信办依据《网络安全法》《数据安全法》《个人信息保护法》对滴滴出行作出的处罚,罚款金额达人民币 80.26 亿元。这一案例释放的信号很明确:数据违规的代价可以非常高,且常常是三法叠加适用

💡
给合规团队的提醒:本文仅引用这一已被广泛报道的案例作为方向说明。建议贵单位合规部门以国家网信办、公安机关等官方渠道发布的最新通报为准,定期更新本行业的执法案例库。

执法关注的几类高风险行为

  • 超范围收集:收集与业务无关的数据,违反"最小必要"。
  • 数据"裸奔":重要数据、个人信息未加密、无访问控制即存储或传输。
  • 违规共享/出境:未评估即对外提供或跨境传输数据。
  • 底数不清:说不清自己有哪些数据、属于什么级别、谁能访问。
  • 事故处置不力:发生数据泄露后未及时处置、补救、上报。

政务机构的风险到底在哪里

政务机构掌握大量公民个人信息和重要数据,是监管重点,但风险往往集中在很基础的环节:

1
分类分级停在纸上
有制度文件,但没有真正落到每一类数据上,说不清哪些是重要数据。
2
数据共享缺评估
跨部门、跨层级共享频繁,但缺少安全评估和访问审计,数据流向不可控。
3
委托处理失管
把系统外包给第三方,但对受托方的数据留存、使用约束不足,责任边界不清。
4
技术措施不达标
重要数据未加密存储、关键操作无审计,和等保/密评要求脱节。

政务机构自查清单

  • 是否建立了数据分类分级制度,并真正落到了数据资产清单上
  • 是否识别、登记了重要数据,指定了负责人,做过风险评估?
  • 个人信息、重要数据是否做了加密存储和传输
  • 数据共享、对外提供是否有审批和评估记录?
  • 委托第三方处理时,合同是否明确了数据安全责任和留存限制?
  • 是否有数据安全事件应急预案,并演练过?

结论

数安法三年,监管越来越实。政务机构与其担心"会不会被顶格罚",不如先把分类分级、重要数据登记、加密保护、共享评估这几件基础事做扎实——这既是数安法的要求,也和等保、密评高度重合,可以一并推进。需要我们结合贵单位情况做一次数据安全合规差距梳理,可查看政务行业方案联系我们