党的二十大报告设置专门章节对推进国家安全体系和能力现代化、坚决维护国家安全和社会稳定作出战略部署,特别要求“强化经济、重大基础设施、金融、网络、数据等安全保障体系建设”。2022年以来,国家数据安全工作协调机制正式成立,国家、行业层面的数据安全监管、产业发展等政策制度加速推进,数据安全工作愈发受到国家和各方重视。2022年12月13日,工业和信息化部正式印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),系《数据安全法》出台后我国数据安全领域首个公开发布的行业规范性文件,标志着我国工业和信息化领域数据安全管理迈出了重要一步,将有力指导推动工业领域数据安全工作不断开创新局面。

一、深刻认识《管理办法》出台的重大意义

(一)《管理办法》是落实国家数据安全治理体系顶层设计的重要制度。党的十八大以来,以习近平同志为核心的党中央高度重视数据安全工作,强调要切实保障国家数据安全,强化国家关键数据资源保护能力。2021年以来,《数据安全法》《个人信息保护法》相继颁布实施,数据安全成为国家“十四五”规划等多项战略规划部署的关键领域,并连续两年被写入政府工作报告,要求作为重要紧迫的工作任务予以推进。我国拥有41个工业大类、207个工业中类、666个工业小类,是全世界唯一拥有联合国产业分类中全部工业门类的国家,规上工业企业超40万家,是我国数据产量的第一方阵。工业领域作为《数据安全法》提及的行业领域之首,是当前强化数据安全保障的重要领域。《管理办法》的出台,是全面贯彻落实党中央、国务院决策部署,细化落实《数据安全法》要求,提升国家数据安全保障能力的实际行动,彰显行业监管的坚定信念与硬核力量。

(二)《管理办法》是筑牢数字安全屏障护航数字经济发展的必要之举。党的十八大以来,我国深入实施数字经济发展战略。党的二十大报告强调“加快发展数字经济,促进数字经济和实体经济深度融合”。工业数据包括工业各行业各领域在研发设计、生产制造、经营管理等过程中产生和收集的数据,是扎实推进数字经济高质量发展的“石油”和重要引擎。在此背景下,《管理办法》坚持统筹发展和安全,为加快打通工业领域数据流通壁垒、提升数据开发利用水平、护航数字经济发展等切实筑牢数字安全屏障。

(三)《管理办法》是推进国家安全体系和能力现代化的关键路径。党的二十大报告全文有29次提到“国家安全”,将国家安全工作摆在更加突出的位置,数据安全是总体国家安全观的重要组成。近年来,工业领域数据安全事件时有发生,数据安全形势将更为严峻,特别是重要数据愈发成为攻击破坏的标靶。《管理办法》重点强调重要数据和核心数据安全保护,提出了数据全生命周期安全防护措施,为构筑行业数据安全基石、牢牢守住行业健康有序发展的红线和底线等提供了政策指导。

(四)《管理办法》是结合行业实际推动国际国内双循环发展的生动实践。近年来,在习近平总书记关于网络强国重要思想的指引下,我国积极参与全球互联网治理体系建设,致力于提出数据安全治理的中国方案。2020年9月,我国发起《全球数据安全倡议》,阐述了数据安全国际合作的基本主张,呼吁各国合作加强数据保护。《管理办法》对工业和信息化领域数据出境安全设专门条款,明确重要数据和核心数据出境安全管理要求,推动数据要素在更大范围、更宽领域、更深层次融入全球经济发展,加速构建国际国内双循环发展格局,以高水平安全保障高质量发展。

二、准确把握《管理办法》明确的重点要求

《管理办法》构建了工业和信息化领域数据安全监管体系,明确了各方职责和义务,整体呈现以下四个特点:

一是坚持协同配合,强化责任落实。《管理办法》明确了工业领域数据安全保护对象和范围,并进一步压实责任,规定工业数据处理者应当对数据处理活动负安全主体责任,重要数据和核心数据处理者法定代表人或者主要负责人是数据安全第一责任人。同时规定工业和信息化部及地方工信主管部门的职责,构建“上下协同、多方联动”的数据安全监管格局,确保各项工作落到实处。

二是坚持需求导向,明晰防护要求。《管理办法》全面细化数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求,通过2022年工业领域数据安全管理试点工作的实践验证,可有效指导工业数据处理者依法依规开展数据处理活动。需要特别指出的是,《管理办法》释放了数据安全违法违规的行政处罚信号,行业监管部门可对存在较大安全风险或违反规定行为的数据处理者采取约谈或行政处罚措施,警示数据处理者切勿触碰法律红线。

三是坚持关口前移,提升技术能力。《管理办法》落实“以技术对技术、以技术管技术”的原则,指导工业数据处理者加强自身数据安全监测预警、风险防范、应急处置等技术能力提升,并逐步根据细化的标准规范等进一步强化技术保障能力建设,从源头上防范化解数据安全风险隐患。

四是坚持产业供给,完善产业生态。《管理办法》鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,充分释放数据安全市场需求和潜力,大力推动数据安全产业蓬勃、可持续发展。

三、新形势下做好工业领域数据安全管理工作的思考

党的二十大报告强调,“推进新型工业化,加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”,指出“以新安全格局保障新发展格局”,体现了统筹发展和安全的根本要求,明确了构建新安全格局的战略任务。《管理办法》标志着工业和信息化领域数据安全工作已按下全面深入推进的“启动键”,开启数据安全管理工作新征程。立足新形势新要求,建议从“建制度、强手段、增服务、促产业”出发,扎实推进工业领域数据安全保障体系建设,努力构建完善工业领域数据安全新格局。

(一)政府监管层面,以《管理办法》为基石,持续完善优化工业数据安全管理体系。一是持续健全数据安全政策与标准体系,加强数据安全法律政策宣贯和标准贯标达标。二是在重要数据识别备案、安全防护、风险评估、风险信息报送与共享等重点工作过程中,进一步加强顶层设计,强化工作指导,加快督促落实,实现科学有效监管。三是加快建立工业领域数据安全执法监督队伍,适时开展数据安全风险排查或监督检查等专项行动,提高工业领域数据安全风险发现、防范与处置等能力。

(二)数据处理者层面,以《管理办法》为遵循,切实提升工业数据安全保护水平。一是贯彻落实数据安全责任制,明确责任人及责任部门,定期开展数据安全教育培训,提高数据安全意识和技能。二是在信息化、数字化发展过程中同步加大数据安全建设投入,建立完善数据安全管理和防护体系,加强数据全生命周期分级防护。三是积极开展数据安全风险评估,强化以评促防,通过“对标评估诊断”等方式不断提升数据安全保护能力。

(三)行业自律方面,以《管理办法》为指引,增强行业数字化转型数据安全保障能力。一是在重点行业内组织开展《管理办法》落地普及等工作,全面推动重点行业内工业企业掌握数据安全“为什么要做”“做什么”“怎么做”。二是结合行业特征,积极推进工业领域数据安全行业标准试验验证和应用推广等工作,打造行业内数据安全示范企业。三是面向重点行业开展数据安全行业自律工作,引导工业企业自觉严格遵守国家有关法律法规以及政策标准,推动行业数据安全工作走深向实。

(四)产业发展方面,以《管理办法》为导向,加大数据安全产业供给能力。一是结合工业领域数据开发利用和安全产业链紧缺急需现状,鼓励产学研用合作开展数据安全关键技术和产品攻关、典型案例遴选和宣传推广,完善数据安全产业生态。二是推动发展数据安全评估、检测、认证、咨询等服务,培育数据安全领域“专精特新”小巨人企业等。三是统筹推进工业和信息化领域数据安全人才培养,丰富工业领域数据安全职业能力培训方式,加快培养复合型、专业型数据安全人才。

工业领域数据安全工作责任重大、使命光荣。国家工业信息安全发展研究中心作为国家级工业领域信息安全研究与推进机构,将全面贯彻落实党中央、国务院重大决策部署,切实把党的二十大精神内化于心、外化于行、转化为果,坚持总体国家安全观,坚持统筹发展和安全,勇担工业领域数据安全保障主责主业,以《管理办法》为抓手,高水平支撑政府管理和服务行业发展,踔厉奋发、勇毅前行,为制造强国、网络强国和数字中国建设提供坚强保障。

 

  来源:国家工业信息安全发展研究中心

赵岩:以系统观念深化工业领域数据安全管理以新安全格局保障新发展格局