近日,工业和信息化部发布《工业和信息化领域数据安全管理办法》(以下简称《办法》),自2023年1月1日起施行。《办法》着力解决工业信息化领域数据安全“谁来管、管什么、怎么管”的问题,为行业数据安全监管提供了制度保障。
多位专家在接受人民网采访时表示,工业领域的数据涉及多学科、多类型、多格式,既有企业产生和收集的RD、设计制造等数据,也有工业互联网平台企业知识库模型库等数据。《办法》提出了数据分类保护的总体原则,重视核心数据出境的安全评估,明确了行业监管的主体和责任。是对以往工业和信息化领域数据安全管理实践经验的固化总结,能够有效规范行业内数据的全周期管理,在应对外部窃取攻击等风险时实现快速联动、快速处置。
数据的分类、归类、标识和保护重点
随着全球数字经济的蓬勃发展,数据已成为关键生产要素和核心战略资源。数据安全的基础保障作用和发展驱动效应日益凸显,事关国家安全、公共利益和个人权利。
在数字经济和数据安全领域,我国出台了多项政策法规,为数字经济“保驾护航”。国务院《“十四五”数字经济发展规划》将研究完善行业数据安全管理政策作为提升国家整体数据安全水平的关键环节。《数据安全法》、《个人信息保护法》等国家重大数据安全立法加快出台,进一步明确了数据安全行政监管的上位法依据和责任边界。
而工业信息化领域是数字经济发展的主阵地和主导领域,是推动数字经济做强做优做大的主要力量。工信部数据显示,2021年,规模以上工业企业关键工序数控化率达到55.3%,数字RD刀具普及率达到74.7%。数字化新业态、新模式不断发展创新,开展网络化协同和服务型制造的企业比例分别达到38.8%和29.6%。
《办法》对标了数据安全法、网络安全法、个人信息保护法中的数据安全保护义务,提出了分级数据保护的一般原则。一般数据要加强全生命周期安全管理,重要数据要在一般数据保护的基础上进行保护,核心数据要在重要数据保护的基础上进行更严格的保护。不同级别的数据同时处理,难以分别采取保护措施的,应当采取“就高”的原则,按照最高级别要求实施保护。
“通过数据分类分级来确定数据保护的重点,就是要摸清家底,心中有数。”专家指出,工业领域涉及行业众多,应用场景丰富,业务环节复杂,对应的数据类型和形式也非常多样。需要仔细研究拥有哪些数据类型,需要保护哪些数据。
明确联动机制,落实监管主体责任。
今年8月,工信部公布了全国第四批“专精特新”小巨人企业完整名单,入选企业多达4357家,备受公众关注,热闹非凡。11月,工信部提出,未来三年,围绕100个子行业,计划扶持培育300家左右数字化转型服务平台,建设4000-6000家“小灯塔”工厂。
“数字化转型离不开政府的支持,也需要结合高效的市场。”北京师范大学经济管理学院副教授赵向阳指出,中央政府各部委在政策设计和宏观指导方面具有战略地位。当地政府根据当地行业发展现状,选择潜力较大的细分行业,数字化服务平台自身积极发掘有数字化转型意愿的试点企业。按照“市场需求、平台能力、企业意愿”三位一体的原则进行数字化转型,是一种有益的探索。
《办法》根据市场实际情况,建立了“部-地方-企业”三级联动的数据安全工作机制,明确了“工信部和地方行业监管部门”两级监管机制。
具体来说,工业和信息化部负责工业和信息化领域数据安全的统筹规划和监督管理。在地方一级,地方工业和信息化主管部门、地方通信管理局和地方无线电管理局负责监督管理本地区工业数据处理器、电信数据处理器和无线电数据处理器的数据处理活动和安全保护。在企业层面,工业数据处理器、电信数据处理器、无线电数据处理器负责本单位的数据安全,落实工业和信息领域的数据安全管理要求。
中国信息通信研究院院长余晓辉表示,这种条块分割的监管组织架构,既落实了数据安全法对各地区、各行业、各领域数据安全监管的职责分工,又充分考虑了工业和信息化领域管理的共同需求和现实差异。
竖起技术盔甲,确保数据全生命周期的安全
数字化的过程伴随着风险。今年2月,全球机场巨头瑞士机场遭遇勒索软件攻击,导致IT基础设施和服务中断。苏黎世机场透露,这起网络攻击导致当天22个航班延误。数据泄露、勒索软件、黑客攻击等网络安全事件屡见不鲜。网络安全事件每年都有几十个版本。
在数据生产和处理的各个环节,数据非法传输、非授权访问、云数据大规模泄露、勒索攻击、数据库碰撞攻击、非法产权交易、网络漏洞等事件的危害性不容忽视。
为确保数据安全,《办法》聚焦数据采集、存储、使用、处理、传输、提供和披露全生命周期的关键环节,分别对一般数据、重要数据和核心数据规定了安全保护要求,主要包括协议约束、安全评估和审批等管理要求,以及验证和密码技术使用、数据访问控制等技术保护要求。同时,引导数据处理者完善数据安全管理和技术保护措施,履行安全保护主体责任。
业内专家指出,从技术角度来看,不仅要通过协议分析、流量分析等手段深度识别监控的数据内容,还要通过关联分析、人工智能等手段分析数据处理安全措施是否到位、数据处理活动是否合法合规(如重要数据非法出境的风险)。此外,还需要结合业务场景,通过深度学习的方式,分析数据流量和运营行为是否正常,数据内容是否被篡改。
《办法》还规定了开展数据安全风险评估、数据退出安全评估、数据安全风险监测预警、数据安全应急响应等工作。,并向中央企业提出督促所属企业履行重要数据目录备案,及时向工业和信息化部报送集团总部数据安全保护等要求。
专家指出,《办法》出台后,应加快推进数据分类分级、分级保护、安全评估和应急处置的有机融合。每一项工作的背后,都需要更加细化的制度标准作为“催化剂”,在实践中推动各种工作机制协调统一、灵活运作,为保障工业数据安全、推动数字经济和制造业高质量发展构筑坚实基础。