工业和信息化部此前发布的《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法》)自今年1月1日起正式实施,《办法》重点解决工业和信息化领域的数据安全问题“谁来管,管什么,怎么管,怎么管,”为行业数据安全监管提供制度保障。
许多专家在接受《人民日报》采访时表示,工业领域的数据涉及到许多主题、类型和格式,包括企业生产和收集的研发设计、制造和其他数据,以及工业互联网平台企业的知识库模型库。本办法提出了数据分级保护的总体原则,重视核心数据出境的安全评价,明确行业监管主体和责任,是工业和信息化领域早期数据安全管理实践经验的固化总结,能有效规范行业数据全周期管理,实现快速联动,快速处理外部盗窃攻击等风险。
数据分类分级识别保护重点
随着全球数字经济的蓬勃发展,数据已成为关键生产要素和核心战略资源,数据安全的基本保障和发展驱动作用日益突出,与国家安全、公共利益和个人权利有关。
在数字经济和数据安全领域,我国出台了多项政策法规“护航”数字经济稳步发展。国务院《国务院》“十四五”《数字经济发展规划》将研究和完善行业数据安全管理政策作为提高国家整体数据安全水平的关键环节。《数据安全法》、《个人信息保护法》等国家重大数据安全立法加快出台,进一步明确了数据安全行政监督的上级法律依据和边界。
工业和信息化领域是数字经济发展的主要阵地和先导区域,是推动数字经济做强做大的主力军。工业和信息化部数据显示,2021年,规模以上工业企业关键工序数控化率达到55.3%,数字研发工具普及率达到74.7%。数字化新业态、新模式不断发展创新,网络协作和服务型制造企业比例分别达到38.8%和29.6%。
根据《数据安全法》、《网络安全法》和《个人信息保护法》中的数据安全保护义务,提出以数据分级保护为总体原则,加强一般数据全生命周期安全管理,在一般数据保护的基础上重点保护重要数据,在重要数据保护的基础上实施更严格的核心数据保护。同时处理不同级别数据,难以分别采取保护措施的,采取保护措施“就高”原则上,根据最高级别的要求进行保护。
“数据分类分类识别数据保护的重点,就是找出家底,心中有数。”专家指出,工业领域涉及的行业很多,应用场景丰富,业务环节复杂,相应的数据类型和形式也非常多样化。需要仔细研究哪些数据类型,哪些数据需要重点保护。
2022年8月,工信部宣布全国第四批“专精特新”小巨人企业全名单入选企业4357家,备受关注。11月,工业和信息化部提出,未来三年,围绕100个细分行业,计划支持和培育约300个数字转型服务平台,建设4000-6000个“小灯塔”工厂。
“数字化转型离不开政府的支持,也需要与有效市场相结合。”北京师范大学经济管理学院副教授赵向阳指出,中央政府部委从战略角度进行政策设计和宏观指导。地方政府根据当地产业发展现状,选择潜力巨大的细分产业,数字服务平台积极探索愿意转型的试点企业。“市场需求,平台能力,企业愿意”数字化转型的三结合原则是一种有益的探索。
根据市场实际情况,建立了《办法》“部-地方-企业”三级联动数据安全工作机制明确,“工业和信息化部、地方行业监管部门”两级监管机制。
具体来说,工业和信息化部负责工业和信息化领域数据安全的总体规划和监督管理。在地方层面,地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构分别负责监督管理地区工业数据处理者、电信数据处理者、无线电数据处理者的数据处理活动和安全保护。在企业层面,工业数据处理者、电信数据处理者、无线电数据处理者承担本单位数据安全的主要责任,落实工业和信息化领域数据安全管理的要求。
中国信息通信研究院院长余晓辉表示,这种结合的监管组织结构不仅贯彻了《数据安全法》对各地区、各行业、各领域数据安全监管的责任分工,而且充分考虑了工业和信息化领域管理的共同需求和实践差异。
数字化的过程伴随着风险。2022年2月,全球机场巨头瑞士机场遭遇勒索软件攻击,IT基础设施和服务受到干扰。苏黎世机场透露,这一波网络攻击导致当天22架航班延误。此类数据泄露、勒索软件、黑客攻击等网络安全事件并不少见,每年都有数十个版本的网络安全事件。
在数据生产加工的各个环节,数据非法传输、非授权访问、云数据大规模泄露、勒索攻击、数据库碰撞攻击、黑生产交易、网络漏洞等事件的危害不容忽视。
为确保数据安全,本办法围绕数据收集、存储、使用、加工、传输、提供、披露等全生命周期关键环节,对一般数据、重要数据、核心数据详细明确了安全保护要求,主要包括协议约束、安全评估、审批管理要求、验证密码技术使用、数据访问控制等技术保护要求。同时,指导数据处理器完善数据安全管理和技术保护措施,履行安全保护的主要责任。
业内专家指出,从技术角度看,不仅要通过协议分析、流量分析等手段深入识别监控的数据内容,还要利用相关分析、人工智能等技术分析数据处理的安全措施是否到位(如重要数据未加密导致明文传输风险),数据处理活动是否合法合规(如重要数据违规出境风险)等,还要结合业务场景,分析数据流量和操作行为是否正常,数据内容是否被篡改。
本办法还规定了数据安全风险评估、数据出境安全评估、数据安全风险监测预警、数据安全应急响应等,并督促中央企业履行重要数据目录备案,及时向工业和信息化部提交集团总部数据安全保护要求。
专家指出,本办法出台后,应加快数据分类、分级保护、安全评估、应急响应等工作的有机整合。每项工作背后都需要更详细的制度标准“催化剂”,促进实践中各项工作机制的协调、统一、灵活运行,为保障工业数据安全、促进数字经济和制造业高质量发展奠定坚实基础。
