黨的二十大報告設置專門章節對推進國家安全體系和能力現代化、堅決維護國家安全和社會穩定作出戰略部署,特別要求“強化經濟、重大基礎設施、金融、網絡、數據等安全保障體系建設”。2022年以來,國家數據安全工作協調機制正式成立,國家、行業層面的數據安全監管、產業發展等政策制度加速推進,數據安全工作愈發受到國家和各方重視。2022年12月13日,工業和信息化部正式印發《工業和信息化領域數據安全管理辦法(試行)》(以下簡稱《管理辦法》),系《數據安全法》出臺后我國數據安全領域首個公開發布的行業規范性文件,標志著我國工業和信息化領域數據安全管理邁出了重要一步,將有力指導推動工業領域數據安全工作不斷開創新局面。

一、深刻認識《管理辦法》出臺的重大意義

(一)《管理辦法》是落實國家數據安全治理體系頂層設計的重要制度。黨的十八大以來,國家高度重視數據安全工作,強調要切實保障國家數據安全,強化國家關鍵數據資源保護能力。2021年以來,《數據安全法》《個人信息保護法》相繼頒布實施,數據安全成為國家“十四五”規劃等多項戰略規劃部署的關鍵領域,并連續兩年被寫入政府工作報告,要求作為重要緊迫的工作任務予以推進。我國擁有41個工業大類、207個工業中類、666個工業小類,是全世界唯一擁有聯合國產業分類中全部工業門類的國家,規上工業企業超40萬家,是我國數據產量的第一方陣。工業領域作為《數據安全法》提及的行業領域之首,是當前強化數據安全保障的重要領域。《管理辦法》的出臺,是全面貫徹落實黨中央、國務院決策部署,細化落實《數據安全法》要求,提升國家數據安全保障能力的實際行動,彰顯行業監管的堅定信念與硬核力量。

(二)《管理辦法》是筑牢數字安全屏障護航數字經濟發展的必要之舉。黨的十八大以來,我國深入實施數字經濟發展戰略。黨的二十大報告強調“加快發展數字經濟,促進數字經濟和實體經濟深度融合”。工業數據包括工業各行業各領域在研發設計、生產制造、經營管理等過程中產生和收集的數據,是扎實推進數字經濟高質量發展的“石油”和重要引擎。在此背景下,《管理辦法》堅持統籌發展和安全,為加快打通工業領域數據流通壁壘、提升數據開發利用水平、護航數字經濟發展等切實筑牢數字安全屏障。

(三)《管理辦法》是推進國家安全體系和能力現代化的關鍵路徑。黨的二十大報告全文有29次提到“國家安全”,將國家安全工作擺在更加突出的位置,數據安全是總體國家安全觀的重要組成。近年來,工業領域數據安全事件時有發生,數據安全形勢將更為嚴峻,特別是重要數據愈發成為攻擊破壞的標靶。《管理辦法》重點強調重要數據和核心數據安全保護,提出了數據全生命周期安全防護措施,為構筑行業數據安全基石、牢牢守住行業健康有序發展的紅線和底線等提供了政策指導。

(四)《管理辦法》是結合行業實際推動國內國際雙循環發展的生動實踐。2020年9月,我國發起《全球數據安全倡議》,闡述了數據安全國際合作的基本主張,呼吁各國合作加強數據保護。《管理辦法》對工業和信息化領域數據出境安全設專門條款,明確重要數據和核心數據出境安全管理要求,推動數據要素在更大范圍、更寬領域、更深層次融入全球經濟發展,加速構建國內國際雙循環新發展格局,以高水平安全保障高質量發展。

二、準確把握《管理辦法》明確的重點要求

《管理辦法》構建了工業和信息化領域數據安全監管體系,明確了各方職責和義務,整體呈現以下四個特點:

一是堅持協同配合,強化責任落實。《管理辦法》明確了工業領域數據安全保護對象和范圍,并進一步壓實責任,規定工業數據處理者應當對數據處理活動負安全主體責任,重要數據和核心數據處理者法定代表人或者主要負責人是數據安全第一責任人。同時規定工業和信息化部及地方工信主管部門的職責,構建“上下協同、多方聯動”的數據安全監管格局,確保各項工作落到實處。

二是堅持需求導向,明晰防護要求。《管理辦法》全面細化數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求,通過2022年工業領域數據安全管理試點工作的實踐驗證,可有效指導工業數據處理者依法依規開展數據處理活動。需要特別指出的是,《管理辦法》釋放了數據安全違法違規的行政處罰信號,行業監管部門可對存在較大安全風險或違反規定行為的數據處理者采取約談或行政處罰措施,警示數據處理者切勿觸碰法律紅線。

三是堅持關口前移,提升技術能力。《管理辦法》落實“以技術對技術、以技術管技術”的原則,指導工業數據處理者加強自身數據安全監測預警、風險防范、應急處置等技術能力提升,并逐步根據細化的標準規范等進一步強化技術保障能力建設,從源頭上防范化解數據安全風險隱患。

四是堅持產業供給,完善產業生態。《管理辦法》鼓勵數據開發利用和數據安全技術研究,支持推廣數據安全產品和服務,培育數據安全企業、研究和服務機構,充分釋放數據安全市場需求和潛力,大力推動數據安全產業蓬勃、可持續發展。

三、新形勢下做好工業領域數據安全管理工作的思考

黨的二十大報告強調,“推進新型工業化,加快建設制造強國、質量強國、航天強國、交通強國、網絡強國、數字中國”,指出“以新安全格局保障新發展格局”,體現了統籌發展和安全的根本要求,明確了構建新安全格局的戰略任務。《管理辦法》標志著工業和信息化領域數據安全工作已按下全面深入推進的“啟動鍵”,開啟數據安全管理工作新征程。立足新形勢新要求,建議從“建制度、強手段、增服務、促產業”出發,扎實推進工業領域數據安全保障體系建設,努力構建完善工業領域數據安全新格局。

(一)政府監管層面,以《管理辦法》為基石,持續完善優化工業數據安全管理體系。一是持續健全數據安全政策與標準體系,加強數據安全法律政策宣貫和標準貫標達標。二是在重要數據識別備案、安全防護、風險評估、風險信息報送與共享等重點工作過程中,進一步加強頂層設計,強化工作指導,加快督促落實,實現科學有效監管。三是加快建立工業領域數據安全執法監督隊伍,適時開展數據安全風險排查或監督檢查等專項行動,提高工業領域數據安全風險發現、防范與處置等能力。

(二)數據處理者層面,以《管理辦法》為遵循,切實提升工業數據安全保護水平。一是貫徹落實數據安全責任制,明確責任人及責任部門,定期開展數據安全教育培訓,提高數據安全意識和技能。二是在信息化、數字化發展過程中同步加大數據安全建設投入,建立完善數據安全管理和防護體系,加強數據全生命周期分級防護。三是積極開展數據安全風險評估,強化以評促防,通過“對標評估診斷”等方式不斷提升數據安全保護能力。

(三)行業自律方面,以《管理辦法》為指引,增強行業數字化轉型數據安全保障能力。一是在重點行業內組織開展《管理辦法》落地普及等工作,全面推動重點行業內工業企業掌握數據安全“為什么要做”“做什么”“怎么做”。二是結合行業特征,積極推進工業領域數據安全行業標準試驗驗證和應用推廣等工作,打造行業內數據安全示范企業。三是面向重點行業開展數據安全行業自律工作,引導工業企業自覺嚴格遵守國家有關法律法規以及政策標準,推動行業數據安全工作走深向實。

(四)產業發展方面,以《管理辦法》為導向,加大數據安全產業供給能力。一是結合工業領域數據開發利用和安全產業鏈緊缺急需現狀,鼓勵產學研用合作開展數據安全關鍵技術和產品攻關、典型案例遴選和宣傳推廣,完善數據安全產業生態。二是推動發展數據安全評估、檢測、認證、咨詢等服務,培育數據安全領域“專精特新”小巨人企業等。三是統籌推進工業和信息化領域數據安全人才培養,豐富工業領域數據安全職業能力培訓方式,加快培養復合型、專業型數據安全人才。

工業領域數據安全工作責任重大、使命光榮。國家工業信息安全發展研究中心作為國家級工業領域信息安全研究與推進機構,將全面貫徹落實黨中央、國務院重大決策部署,切實把黨的二十大精神內化于心、外化于行、轉化為果,堅持總體國家安全觀,堅持統籌發展和安全,勇擔工業領域數據安全保障主責主業,以《管理辦法》為抓手,高水平支撐政府管理和服務行業發展,踔厲奮發、勇毅前行,為制造強國、網絡強國和數字中國建設提供堅強保障。(趙巖 作者系國家工業信息安全發展研究中心主任)