数据是数字经济时代的关键新型生产要素,与国家经济运行、社会治理、公共服务等方面密切相关,保障数据安全已成为事关国家安全与经济社会发展的重大问题。
为加快提升工业领域数据安全保护能力,助力工业高质量发展,夯实新型工业化发展的安全基石,工业和信息化部近日印发《工业领域数据安全能力提升实施方案(2024—2026年)》(以下简称《实施方案》)。
《实施方案》提出,到2026年底,工业领域数据安全保障体系基本建立。数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。数据安全政策标准、工作机制、监管队伍和技术手段更加健全。数据安全技术、产品、服务和人才等产业支撑能力稳步提升。
建立工业领域数据安全保障体系
工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。浙江大学网络空间安全学院双聘教授王春晖告诉记者,工业数据日渐成为工业发展最宝贵的战略资源,是推动制造业数字化、网络化、智能化发展的关键生产要素。
北京航空航天大学法学院副教授赵精武认为,工业领域数据安全关系到实体经济的正常运行,工业领域数据发生安全事件,不仅可能导致大范围的企业业务中断、生产能力下降,还有可能涉及国家安全和社会经济安全。
“提升工业领域数据安全能力,对于构建完善工业领域数据安全保障体系,提高数据安全治理能力,促进数据要素安全有序流动和价值释放具有重要的战略意义,出台《实施方案》将为加快推进新型工业化,建设制造强国、网络强国和数字中国提供坚实支撑。”王春晖说。
“出台《实施方案》的意义在于进一步细化我国数据安全监管的实施要求,保障工业领域的核心数据、重要数据安全;在明确工业领域数据安全的同时,还能够为工业领域的数据要素市场化配置提供良好稳定的制度保障和交易环境。”赵精武说。
据工信部网络安全管理局有关负责人介绍,《实施方案》是指导未来三年工业领域数据安全工作的纲领性规划文件,以“到2026年底基本建立工业领域数据安全保障体系”为总体目标,分别从企业侧、监管侧、产业侧等方面明确各工作目标,致力于实现企业保护水平大幅提升、监管能力和手段更加健全、产业供给稳步提升。
其中,关键指标包括:基本实现各工业行业规上企业数据安全要求宣贯全覆盖;开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业;立项研制数据安全国家、行业、团体等标准规范不少于100项;遴选数据安全典型案例不少于200个,覆盖行业不少于10个;数据安全培训覆盖3万人次,培养工业数据安全人才超5000人。
提升工业企业数据保护能力
记者注意到,为实现上述目标,《实施方案》在重点任务方面,围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑“三类能力”,明确提出11项任务。
其中,关于提升工业企业数据保护能力,提出了增强安全意识、开展重要数据保护、强化重点企业管理、深化重点场景保护4项任务;关于提升数据安全监管能力,提出了完善政策标准、加强风险防控、推进技术手段建设、锻造监管执法能力4项任务;关于提升数据安全产业支撑能力,提出了加大技术产品和服务供给、促进应用推广和供需对接、健全人才培养体系3项任务。
工业企业是履行数据安全保护责任和义务的主体。王春晖认为,提升工业企业数据保护能力是“三类能力”的核心和基础,首先,工信部要组织重点企业制定工业领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理;其次,要根据工业领域的特点、业务需求、数据来源和用途等因素,重点聚焦工业领域的研发数据、生产运行数据、管理数据、运维数据、业务服务五类数据的分类分级。在此基础上,梳理和识别重要数据和核心数据,并形成目录,实施全生命周期的动态保护。
谈及此次《实施方案》重点任务的亮点,赵精武认为,一是提出“推进数据安全技术手段建设”,不同于以往在政策层面鼓励和支持企业采用新型数据安全保障技术,《实施方案》直接明确“强化部-省-企业技术能力三级联能”,打造囊括地方、行业、企业等主体在内的综合性数据安全技术治理体系。
二是提出“深化重点场景数据安全保护”,特别是针对当下企业之间信息业务关联性越发紧密的趋势,明确将安全管理重心偏向“供应链上下游协作”“服务外包”“上云平台”等典型业务场景,避免出现上游云服务提供商发生数据安全事件导致下游众多企业同样遭受数据安全损失。
充分发挥各方力量协同推进
根据我国数据安全法,“数据安全”是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。王春晖指出,该定义有两个核心内容:一个是确保数据的“有效保护”,另一个是确保数据的“合法利用”,其中有效保护的措施不仅仅是技术的方式,更强调的是管理方式。
如何更好地落实《实施方案》,提升工业领域数据安全能力?王春晖建议,强化工业领域的数据分类分级管理,要统筹制定工业领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范。
同时,聚焦数据全生命周期安全管理,尤其强调工业领域数据处理者应当对数据处理活动负安全主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,按照其中级别最高的要求实施保护,确保数据持续处于有效保护和合法利用的状态。
此外,加强数据安全监测预警与应急管理,工业领域的主管部门应建立数据安全风险监测机制,并组织制定数据安全监测预警接口和标准,统筹建设数据安全监测预警技术手段,形成监测、预警、处置、溯源等能力,要与相关部门加强信息共享。
赵精武认为,可以采用清单方式列举工业领域数据安全保障措施的典型范例,并根据安全技术发展趋势,定期更新管理范例,以便相关企业能够根据与自身业务情况最为贴近的典型范例采取恰当的数据安全保障管理措施。
在提升工业数据安全能力方面,还可以考虑引入诸如网络安全保险等特殊险种,保险人在保险金理赔的经济激励模式下,也会主动协助相关数据处理者尽可能采取合理必要的安全保障措施,提升数据安全管理效果。
工信部网络安全管理局有关负责人表示,下一步,要充分发挥部、省、企业、行业组织、专业机构、高等院校、安全企业等各方力量,协同扎实推进《实施方案》落实落细,要开展宣贯培训、抓好组织实施、加强典型引领。
文/刘欣
编辑/倪家宁