通信世界网消息(CWW)2021年9月30日,《工业和信息化领域数据安全管理办法(试行)》(以下简称“《管理办法》”)面向社会公开征求意见。作为工业和信息化领域贯彻落实国家《数据安全法》的重要举措,《管理办法》聚焦工业和电信行业,积极回应党中央、国务院关于充分释放数据生产要素经济价值的重要指示,紧密贴合工业和电信行业数据安全形势特点及管理需求,建立完善行业数据安全管理制度机制,明确数据保护要求,为工业和电信行业企业健全数据安全管理和技术保护措施提供了规则指引和基本遵循。
一、《管理办法》将为工业和电信行业应对内外部形势挑战提供关键的方向指引
(一)工业和电信行业是我国数字化转型的先导领域
在电信行业,电信和互联网企业数字化程度普遍较高,其提供的数据传输网络和数据处理技术赋能千行百业;在工业领域,工业企业数字化转型是我国产业数字化的关键动能和主要阵地。在推进数字产业化和传统产业数字化的过程中,数据都发挥着极为重要的作用,制定《管理办法》加强工业和电信行业数据安全管理,对加快工业和电信行业数字化发展,引领国家数字化战略实施具有至关重要的作用。《管理办法》将为数据要素加速大规模流动划上红线、标明底线,推动数据安全产业发展,为我国数字化转型保驾护航。
(二)工业和电信行业面临动态、复杂、多源的数据安全挑战
从电信行业看,我国拥有全球规模最大的网络信息设施和用户群体,汇聚大量个人信息以及与国计民生息息相关的重要数据,加之云计算、大数据、人工智能等新一代信息技术加速创新应用,不断衍生出新的数据形态和处理方式,带来数据安全风险的持续累积和动态变化。从工业领域看,工业数据具有数据形态格式丰富、多维异构、实时性强等特点,难以适用传统加密传输等安全技术,安全风险覆盖数据全生命周期,安全防护难度大。工业和电信行业急需从基础性制度层面,加快构建适应行业安全挑战特点的数据安全管理体系。《管理办法》拟通过建立完善数据分类分级、监测预警与应急管理、数据全生命周期安全管理等制度机制,实施重要数据和核心数据的重点保护,提升数据安全风险事前感知和事后处置能力,加强数据处理活动流程性安全管理。
(三)工业和电信行业是全球数据安全管理的重点领域
近年来,主要国家对数据安全重要性认识不断提升,纷纷结合自身国情制定完善相关立法,加强数据安全管理。据统计全球已有100多个国家和地区制定数据安全保护的专项立法,其中典型地区多部立法聚焦工业和电信行业数据安全保护与有效利用。例如欧盟修订《电子隐私条例》,着力强化通信行业数据安全保护,兼顾推动数据价值释放;制定《非个人数据在欧盟境内自由流动框架条例》,重点促进工业生产、运维等机器数据的自由流动与开发利用。工业和电信行业亟需借鉴国际先进经验,制定适应行业发展需求的数据安全规则,服务我国数字经济健康长远发展。《管理办法》立足保障数据安全,促进数据开发利用的双重目标,拟通过清晰界定工业数据、电信数据范围及监管机制,为加强工业和电信行业数据安全管理奠定坚实基础。
二、《管理办法》将为工业和电信行业企业落实数据安全基线要求提供重要的实践遵循
(一)数据分类分级管理规则进一步细化
数据分类分级是企业开展数据安全管理工作的基础和核心,亟需实操指引。《网络安全法》以及《数据安全管理办法(征求意见稿)》对企业数据分类要求均有涉及但未展开。《数据安全法》确立了国家数据分类分级保护制度,但数据分类分级具体参照标准、重要数据和核心数据识别及分级防防护、重要数据目录制定等仍需进一步明确细化。《管理办法》承接细化《数据安全法》数据分类分级保护要求,拟明确工业和电信行业企业数据分类参考因素及数据分级具体条件,建立“部-地方-企业”三级联动的工作机制,设置重要数据和核心数据备案管理制度,更为清晰勾勒出行业数据分类分级管理运行的全貌。就数据分类分级而言,拟要求工业和电信行业企业按照“先分类后分级”的原则,充分考虑行业要求、业务需求、数据来源和用途等因素对数据进行分类标识,依据分级条件进行数据分级,形成企业数据分类清单及重要数据和核心数据目录,作为行业重要数据具体目录制定的基础。可以预期,待《管理办法》出台后,将进一步制定完善工业、电信行业重要数据识别指南等配套政策标准,为企业数据分类分级工作提供实操性更强的明确指引。
(二)数据全生命周期安全管理基本要求进一步明确
划定数据全生命周期安全管理基线要求对工业和电信行业企业充分平衡数据安全保护和有效利用至关重要。数字经济时代,数据已成为企业的重要生产要素和战略资源,需要在安全的前提下加速流动促进经济价值的充分释放。《数据安全法》对全流程数据安全管理的规定较为概括,企业难以把握数据收集、存储、使用、加工、传输、提供、公开、销毁等各环节的安全基线要求。《管理办法》拟通过设置数据全生命周期安全管理专章,在明确一般数据安全保护要求的基础上,进一步设置重要数据和核心数据的重点要求,将为工业和电信行业企业加强数据全生命周期安全管理提供基本安全准则,促进数据开发利用。
(三)数据安全检测评估活动进一步有章可循
实施数据安全检测评估是提升工业和电信行业数据安全产品、服务质量及安全保障能力的重要措施。《管理办法》拟贯彻《数据安全法》促进检测评估、定期开展重要数据处理活动风险评估等相关要求,将电信行业“数据安全合规性评估”实践经验固化上升为规章制度,在部层面建立数据安全检测评估管理制度,制定数据安全评估规范,明确风险评估和合规评估具体要求,进一步规范、引导、鼓励行业数据安全检测评估活动,支撑服务工业和电信行业数据安全水平巩固提升。
三、《管理办法》将全面提升工业和电信行业数据安全保障水平
总的看,《管理办法》的制定全面贯彻了国家《数据安全法》基本思路与总体要求,奠定了行业应对数据要素加速大规模流动安全风险的制度基础,弥补了工业和电信行业数据安全基础性管理制度尚存的不足。《管理办法》未来发布,将指引工业和电信行业加速构建与数据生产要素相适应的安全保障体系与安全能力,全面提升工业和电信行业数据保障水平。期待在《管理办法》的指引下,充分调动行业企业、第三方机构、科研机构、高等院校、协会组织、行业专家等多方力量参与行业数据安全管理,营造行业多方协同治理的良好生态。
