工信领域数据安全怎么管?专家:全周期管理实现“精准防护”
工信部此前印发的《工业和信息化领域数据安全管理办法(试行)》(下称《办法》),今年1月1日起已正式施行。《办法》重点解决了工信领域数据安全“谁来管、管什么、怎么管”的问题,为行业数据安全监管提供制度保障。
多位专家在接受人民网采访时称,工业领域数据涉及主体多、种类多、格式多,既有企业产生和收集的研发设计、生产制造等数据,也有工业互联网平台企业的知识库模型库等数据。《办法》提出数据分级保护的总体原则,重视对核心数据出境的安全评估,明确行业监管主体和责任,是对前期工信领域数据安全管理实践经验的固化总结,能够有效规范行业对数据的全周期管理,以及在应对外部窃取攻击等风险时实现快速联动、迅速处置。
数据分类分级识别保护重点
随着全球数字经济的蓬勃发展,数据已成为关键生产要素和核心战略资源,数据安全的基础保障作用和发展驱动效应日益突出,攸关国家安全、公共利益和个人权利。
在数字经济和数据安全领域,我国出台了多部政策法规“护航”数字经济行稳致远。国务院《“十四五”数字经济发展规划》将研究完善行业数据安全管理政策作为提升国家总体数据安全保障水平的关键一环。《数据安全法》《个人信息保护法》等国家重大数据安全立法加速出台,进一步明确了数据安全行政监管的上位法依据和职责边界。
工业和信息化领域是数字经济发展的主阵地和先导区,是推进数字经济做强做优做大的主力军。工信部数据显示,2021年,规模以上工业企业关键工序数控化率达到55.3%,数字化研发工具的普及率达到了74.7%。数字化新业态、新模式也不断发展创新,开展网络化协同和服务型制造的企业比例分别达到了38.8%和29.6%。
《办法》对标《数据安全法》《网络安全法》《个人信息保护法》中的数据安全保护义务,提出以数据分级保护为总体原则,一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。
“以数据分类分级识别数据保护重点,就是摸清家底、心中有数。”专家指出,工业领域涉及的行业众多、应用场景丰富、业务环节复杂,相应的数据种类、形态也十分多样,需要认真研究到底拥有哪些数据类型、哪些数据需要重点保护。
明确联动机制落实监管主体责任
2022年8月,工信部公布全国第四批专精特新“小巨人”企业全名单,入选企业多达4357家,众所瞩目,热热闹闹。11月,工信部又提出,在未来三年里,围绕100个细分行业,打算扶持和培育300家左右的数字化转型服务平台,打造4000-6000家“小灯塔”工厂。
“数字化转型离不开有为政府的支持,同时也需要与有效市场相结合。”北京师范大学经管学院副教授赵向阳指出,中央政府部委高屋建瓴进行政策设计,宏观指引。地方政府根据当地的产业发展现状,甄选潜力大的细分行业,而数字化服务平台自己主动挖掘有数字化转型意愿的试点企业。根据“市场有需求,平台有能力,企业有意愿”的三结合原则来做数字化转型,是一种有益探索。
针对市场实际情况,《办法》构建了“部-地方-企业”三级联动的数据安全工作机制,明确“工业和信息化部、地方行业监管部门”两级监管机制。
具体来说,由工业和信息化部负责工信领域数据安全总体统筹与监督管理。在地方层面,地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构分别负责对本地区工业数据处理者、电信数据处理者、无线电数据处理者的数据处理活动和安全保护进行监督管理。在企业层面,工业数据处理者、电信数据处理者、无线电数据处理者承担本单位的数据安全主体责任,落实工信领域数据安全管理要求。
中国信息通信研究院院长余晓晖表示,这种条块结合的监管组织架构既贯彻了《数据安全法》对于各地区、各行业、各领域数据安全监管的责任分工,也充分考虑了工信领域管理的共性需求与实践差异。
竖起技术铁甲保障数据全生命周期安全
数字化的进程与风险相伴而生。2022年2月,全球航港巨头瑞士空港遭遇一起勒索软件攻击,IT基础设施与服务受到干扰。苏黎世机场透露,这波网络攻击导致当天22架次航班发生延误。此类数据泄漏、勒索软件、黑客攻击等网络安全事件并不少见,每年的网络安全事件盘点都有数十个版本。
在数据生产加工的各个环节,数据违规传输、非授权访问、云端数据大规模泄露、勒索攻击、撞库攻击、黑产交易、网络漏洞等事件的危害性不容忽视。
为保障数据安全,《办法》围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,主要包括明确细化了协议约束、安全评估、审批等管理要求,以及校验与密码技术使用、数据访问控制等技术保护要求。同时,指导数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任。
业内专家指出,从技术角度来说,不仅要通过协议解析、流量分析等手段深度识别监测的数据内容,还需利用关联分析、人工智能等技术分析数据处理安全措施是否到位(如重要数据未加密导致明文传输风险)、数据处理活动是否合法合规(如重要数据违规出境风险)等,更还应结合业务场景,通过深度学习等手段分析数据流量和操作行为是否正常、数据内容是否遭篡改等。
《办法》还规定了数据安全风险评估、数据出境安全评估、数据安全风险监测预警、数据安全应急处置等的开展情形,并对中央企业提出督促所属公司履行重要数据目录备案,及时向工业和信息化部报送集团本部数据安全保护情况等要求。
专家指出,《办法》出台后,应加快推进数据分类分级、分级防护、安全评估、应急处置等工作的有机融合。每一项工作的背后都需要更细化的制度标准作为“催化剂”,并在实践中推动各项工作机制协调、统一、灵活地运转起来,为保障工业数据安全、促进数字经济和制造业高质量发展筑牢坚实根基。