從“大國制造”到“大國智造” ——工業(yè)數(shù)據(jù)若干合規(guī)問題研究
作者:吳衛(wèi)明 李榮榮 施瑞燕 2022-06-02以數(shù)字化驅(qū)動的新一輪工業(yè)革命正蓬勃興起,工業(yè)領(lǐng)域日益成為數(shù)字化轉(zhuǎn)轉(zhuǎn)型的重要領(lǐng)域。再人、機、物全面互聯(lián)的新模式下,工業(yè)數(shù)據(jù)成為本輪工業(yè)革命加速發(fā)展的重要要速。工業(yè)和信息化部(以下簡稱“工信部”)部長于肖亞慶于2022年5月26日在2022中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上提出:“大數(shù)據(jù)應(yīng)用從互聯(lián)網(wǎng)、金融、電信等領(lǐng)域逐步向智能制造等領(lǐng)域拓展,極大豐富了我國數(shù)據(jù)資源,催生一批新場景新模式新業(yè)態(tài)”[1]。
但是,相較金融數(shù)據(jù)、政務(wù)數(shù)據(jù)、健康醫(yī)療數(shù)據(jù)、汽車數(shù)據(jù)等領(lǐng)域,工業(yè)數(shù)據(jù)法律法規(guī)體系建設(shè)尚處于起步階段。工業(yè)數(shù)據(jù)在研發(fā)設(shè)計、生產(chǎn)控制、運營管理、應(yīng)用服務(wù)等各相關(guān)均有涉及,部分環(huán)節(jié)的數(shù)據(jù)安全事件,有可能引發(fā)企業(yè)工業(yè)生產(chǎn)經(jīng)營活動停滯,因而隱藏的安全風(fēng)險較大。本文將梳理工業(yè)數(shù)據(jù)法律法規(guī)現(xiàn)狀,闡釋工業(yè)數(shù)據(jù)的概念及內(nèi)涵,并提出合規(guī)建議。
一、 工業(yè)數(shù)據(jù)法律法規(guī)概覽
工業(yè)數(shù)據(jù)合規(guī)所涉及的法律法規(guī)主要包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《國家安全法》等數(shù)據(jù)安全方面的一般法律規(guī)則,以及工業(yè)數(shù)據(jù)領(lǐng)域的專門法律規(guī)則,前者為工業(yè)數(shù)據(jù)合規(guī)提供了基本原則,后者則構(gòu)成了工業(yè)數(shù)據(jù)合規(guī)的主體架構(gòu)。進一步而言,就工業(yè)數(shù)據(jù)領(lǐng)域的專門法律規(guī)則,目前形成了《國務(wù)院關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》為引領(lǐng),主管機關(guān)工信部出臺的多部部委規(guī)章為重要組成部分的格局,現(xiàn)梳理該等工業(yè)數(shù)據(jù)合規(guī)的專門法律規(guī)則并重點介紹如下:
2017年11月19日,國務(wù)院發(fā)布了《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,提出工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物,日益成為新工業(yè)革命的關(guān)鍵支撐和深化“互聯(lián)網(wǎng)+先進制造業(yè)”的重要基石,并將建立工業(yè)數(shù)據(jù)安全保護體系(如收集、存儲、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)的安全防護能力、分級分類管理制度、安全監(jiān)督檢查等)明確列為規(guī)范和發(fā)展工業(yè)互聯(lián)網(wǎng)的主要任務(wù)之一[2]。
2020年2月27日,工信部發(fā)布了《工業(yè)數(shù)據(jù)分類分級指南(試行)》( 工信廳信發(fā)〔2020〕6號),適用于工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺,界定了工業(yè)數(shù)據(jù)的定義,提出了工業(yè)數(shù)據(jù)分類分級的具體要求。
2020年4月28日,工信部發(fā)布了《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見》,規(guī)定了工業(yè)大數(shù)據(jù)的概念,并對工業(yè)數(shù)據(jù)的匯聚、共享、安全治理、安全管理體系等方面提出了方向性意見。
2021年9月30日,工信部首次對《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》征求意見(以下簡稱“舊版《工信數(shù)據(jù)管理辦法(征求意見稿)》”),該管理辦法定位于工業(yè)和信息化數(shù)據(jù)安全管理的頂層設(shè)計,主要界定了工業(yè)數(shù)據(jù)的概念,提出了工業(yè)數(shù)據(jù)分類分級、安全管理等工作的具體要求,構(gòu)建了工業(yè)數(shù)據(jù)領(lǐng)域的監(jiān)管體系,明確了工業(yè)數(shù)據(jù)全生命周期安全保護要求等;2022年2月10日,工信部對《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》再次征求意見(以下簡稱“新版《工信數(shù)據(jù)管理辦法(征求意見稿)》”,新舊兩版《工信數(shù)據(jù)管理辦法(征求意見稿)》以下統(tǒng)稱“《工信數(shù)據(jù)管理辦法(征求意見稿)》”),調(diào)整了工業(yè)數(shù)據(jù)的概念,不再采用數(shù)據(jù)處理者應(yīng)當(dāng)堅持先分類后分級的表述,增加了何種情形下需要履行重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案變更手續(xù)等。
此外,中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟還發(fā)布了多部工業(yè)數(shù)據(jù)領(lǐng)域的行業(yè)指導(dǎo)文件,包括《工業(yè)互聯(lián)網(wǎng)平臺白皮書(2017)》《工業(yè)大數(shù)據(jù)技術(shù)與應(yīng)用白皮書》《工業(yè)互聯(lián)網(wǎng)平臺 安全防護要求》《工業(yè)互聯(lián)網(wǎng) 網(wǎng)絡(luò)安全數(shù)據(jù)采集裝置 技術(shù)要求》《工業(yè)大數(shù)據(jù)分析案例剖析》《可信工業(yè)數(shù)據(jù)空間系統(tǒng)架構(gòu)1.0 》等白皮書、技術(shù)標(biāo)準(zhǔn),在目前工業(yè)數(shù)據(jù)領(lǐng)域法律法規(guī)體系尚未健全的情況下,為工業(yè)數(shù)據(jù)安全管理的落地執(zhí)行提供了參考。
二、 工業(yè)數(shù)據(jù)的概念
法律文件名稱 | 工業(yè)數(shù)據(jù)的概念 |
《工業(yè)數(shù)據(jù)分類分級指南(試行)》 | 工業(yè)數(shù)據(jù)是工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期產(chǎn)生和應(yīng)用的數(shù)據(jù),包括但不限于工業(yè)企業(yè)在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運維服務(wù)等環(huán)節(jié)中生成和使用的數(shù)據(jù),以及工業(yè)互聯(lián)網(wǎng)平臺企業(yè)(以下簡稱平臺企業(yè))在設(shè)備接入、平臺運行、工業(yè)APP應(yīng)用等過程中生成和使用的數(shù)據(jù)。 |
《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見》 | 工業(yè)大數(shù)據(jù)是工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期數(shù)據(jù)的總稱,包括工業(yè)企業(yè)在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運維服務(wù)等環(huán)節(jié)中生成和使用的數(shù)據(jù),以及工業(yè)互聯(lián)網(wǎng)平臺中的數(shù)據(jù)等。 |
《工信數(shù)據(jù)管理辦法》第三條第一款 | 工業(yè)數(shù)據(jù)是指原材料工業(yè)、裝備工業(yè)、消費品工業(yè)、電子信息制造業(yè)、軟件和信息技術(shù)服務(wù)業(yè)、民爆等行業(yè)領(lǐng)域,在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運維服務(wù)、平臺運營、應(yīng)用服務(wù)等過程中收集和產(chǎn)生的數(shù)據(jù)。 |
新版《工信數(shù)據(jù)管理辦法》第三條第一款 | 工業(yè)數(shù)據(jù)是指工業(yè)各行業(yè)各領(lǐng)域在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運行維護、平臺運營等過程中產(chǎn)生和收集的數(shù)據(jù)。 |
結(jié)合上述相關(guān)法律及規(guī)范性文件中工業(yè)數(shù)據(jù)的概念,對工業(yè)數(shù)據(jù)的理解可從如下兩個方面入手:
1、工業(yè)數(shù)據(jù)的產(chǎn)生主體
從上述相關(guān)法律及規(guī)范性文件的發(fā)布時間先后來看,工業(yè)數(shù)據(jù)涉及的主體范圍逐漸趨于寬泛,具體而言:
首先,《工業(yè)數(shù)據(jù)分類分級指南(試行)》《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見》明確規(guī)定,工業(yè)數(shù)據(jù)的主體涵蓋工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺企業(yè)兩種類型。其中:(1)工業(yè)企業(yè)比較容易理解,即從事工業(yè)各行業(yè)各領(lǐng)域的企業(yè);(2)工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的理解則較為復(fù)雜,法律法規(guī)層面尚未界定何為工業(yè)互聯(lián)網(wǎng)平臺,參考工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟發(fā)布的《工業(yè)互聯(lián)網(wǎng)平臺白皮書(2017)》,工業(yè)互聯(lián)網(wǎng)平臺是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求,構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系,支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺。工信部于2022年5月24日公布了《2022年跨行業(yè)跨領(lǐng)域工業(yè)互聯(lián)網(wǎng)平臺名單》,共計遴選了包括海爾卡奧斯物聯(lián)生態(tài)科技有限公司搭建的“卡奧斯COSMOPlat工業(yè)互聯(lián)網(wǎng)平臺”在內(nèi)的28家平臺。
其次,《工信數(shù)據(jù)管理(征求意見稿)》在《工業(yè)數(shù)據(jù)分類分級指南(試行)》《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見》基礎(chǔ)上,將工業(yè)數(shù)據(jù)范圍界定為在“工業(yè)各行業(yè)各領(lǐng)域”中,新版《工信數(shù)據(jù)管理辦法》在表述方式上進一步將工業(yè)數(shù)據(jù)產(chǎn)生、使用、收集的主體從原先逐一列舉的行業(yè)直接明確為“工業(yè)各行業(yè)各領(lǐng)域”。其中,對于“工業(yè)各行業(yè)各領(lǐng)域”的理解,結(jié)合《國民經(jīng)濟行業(yè)分類》和國家統(tǒng)計局發(fā)布的“2022年1—4月份全國規(guī)模以上工業(yè)企業(yè)利潤增長3.5%”中“行業(yè)”字段的統(tǒng)計口徑[3],“工業(yè)行業(yè)”包括B“采礦業(yè)”、C“制造業(yè)”、D“電力、熱力、燃?xì)饧八a(chǎn)和供應(yīng)業(yè)”三個門類及其下屬的煤炭開采和洗選業(yè)等41個大類。
實務(wù)中,除了工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺這兩種典型的主體類型外,還包括其他主體類型,比如,(1)工業(yè)數(shù)據(jù)交易場所:《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見》明確提出:“構(gòu)建工業(yè)大數(shù)據(jù)資產(chǎn)價值評估體系,研究制定公平、開放、透明的數(shù)據(jù)交易規(guī)則,加強市場監(jiān)管和行業(yè)自律,開展數(shù)據(jù)資產(chǎn)交易試點,培育工業(yè)數(shù)據(jù)市場” ,數(shù)據(jù)有序流動是挖掘其最大價值的有效途徑之一,工業(yè)數(shù)據(jù)也不例外,建設(shè)規(guī)范、可信的工業(yè)數(shù)據(jù)流通環(huán)境至關(guān)重要。(2)工業(yè)企業(yè)以外的上下游供應(yīng)鏈企業(yè):上下游供應(yīng)鏈企業(yè)不一定屬于工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺,比如,為某制造業(yè)廠商提供設(shè)備及生產(chǎn)線保養(yǎng)維護的企業(yè),其服務(wù)數(shù)據(jù)能夠反映該設(shè)備與生產(chǎn)線的運行狀況,也會被納入工業(yè)數(shù)據(jù)范疇。
2、工業(yè)數(shù)據(jù)的產(chǎn)生環(huán)節(jié)
在工業(yè)數(shù)據(jù)的產(chǎn)生環(huán)節(jié),上述相關(guān)法律法規(guī)、規(guī)范均列舉了研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運行維護、平臺運營過程中產(chǎn)生的數(shù)據(jù)。同時,新版《工信數(shù)據(jù)管理辦法(征求意見稿)》剔除了舊版《工信數(shù)據(jù)管理辦法(征求意見稿)》列明的“應(yīng)用服務(wù)過程中收集和產(chǎn)生的數(shù)據(jù)”,結(jié)合《工業(yè)數(shù)據(jù)分類分級指南(試行)》中的工業(yè)數(shù)據(jù)概念,從字面上理解,“平臺運營”包括工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的“設(shè)備接入、平臺運行、工業(yè)APP應(yīng)用等過程”,“平臺運營”可囊括“應(yīng)用服務(wù)”環(huán)節(jié),故新版《工信數(shù)據(jù)管理辦法(征求意見稿)》未進一步列舉“應(yīng)用服務(wù)”環(huán)節(jié)。
三、 工業(yè)數(shù)據(jù)與其他行業(yè)數(shù)據(jù)的關(guān)系
1、電信數(shù)據(jù)
新舊兩版《工信數(shù)據(jù)管理辦法(征求意見稿)》均提及了電信數(shù)據(jù),電信數(shù)據(jù)是電信業(yè)務(wù)經(jīng)營活動中產(chǎn)生和收集的數(shù)據(jù)。如前所述,工業(yè)數(shù)據(jù)是工業(yè)各行業(yè)各領(lǐng)域相關(guān)活動中產(chǎn)生和收集的數(shù)據(jù),兩者產(chǎn)生和收集數(shù)據(jù)所在的行業(yè)領(lǐng)域不同。按照《國民經(jīng)濟行業(yè)分類》劃分的行業(yè)分類,電信業(yè)務(wù)被劃分至《國民經(jīng)濟行業(yè)分類》中的I門類“信息傳輸、軟件和信息技術(shù)服務(wù)業(yè)”,與工業(yè)行業(yè)分屬不同的行業(yè)門類。
根據(jù)《中華人民共和國電信條例》《電信業(yè)務(wù)分類目錄》,電信業(yè)務(wù)又分為基礎(chǔ)電信業(yè)務(wù)和增值電信業(yè)務(wù):(1)基礎(chǔ)電信業(yè)務(wù),是指提供公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施、公共數(shù)據(jù)傳送和基本話音通信服務(wù)的業(yè)務(wù),包括固定通信業(yè)務(wù)、蜂窩移動通信業(yè)務(wù)、第一類衛(wèi)星通信業(yè)務(wù)、第一類數(shù)據(jù)通信業(yè)務(wù)、IP電話業(yè)務(wù)等。(2)增值電信業(yè)務(wù),是指利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供的電信與信息服務(wù)的業(yè)務(wù),包括互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)、內(nèi)容分發(fā)網(wǎng)絡(luò)業(yè)務(wù)、互聯(lián)網(wǎng)接入服務(wù)業(yè)務(wù)、存儲轉(zhuǎn)發(fā)類業(yè)務(wù)、呼叫中心業(yè)務(wù)、信息服務(wù)業(yè)務(wù)等。截至2022年4月底,全國增值電信業(yè)務(wù)經(jīng)營許可企業(yè)共125006家,合計擁有176105個許可項目[4]。
雖然電信數(shù)據(jù)與工業(yè)數(shù)據(jù)分屬不同數(shù)據(jù)類型,但兩者在一定情況下會產(chǎn)生交集。比如通過云計算機構(gòu)搭建的工業(yè)互聯(lián)網(wǎng)平臺,如果服務(wù)方以公有云的方式搭建平臺或者為工業(yè)互聯(lián)網(wǎng)平臺提供云架構(gòu)的支持,則云服務(wù)商需要取得數(shù)據(jù)中心及互聯(lián)網(wǎng)資源協(xié)作的增值電信業(yè)務(wù)許可。在工業(yè)互聯(lián)網(wǎng)平臺上的數(shù)據(jù),一方面構(gòu)成工業(yè)數(shù)據(jù),另一方面也可能被認(rèn)定為電信數(shù)據(jù)。
2、汽車數(shù)據(jù)
根據(jù)《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》,汽車數(shù)據(jù)包括汽車設(shè)計、生產(chǎn)、銷售、使用、運維等過程中的涉及個人信息數(shù)據(jù)和重要數(shù)據(jù)。而汽車數(shù)據(jù)處理者,是指開展汽車數(shù)據(jù)處理活動的組織,包括汽車制造商、零部件和軟件供應(yīng)商、經(jīng)銷商、維修機構(gòu)以及出行服務(wù)企業(yè)等。
從行業(yè)角度分析,汽車數(shù)據(jù)與工業(yè)數(shù)據(jù)之間屬于交叉關(guān)系,具體而言,結(jié)合《國民經(jīng)濟行業(yè)分類》,汽車相關(guān)的行業(yè)包括“C制造業(yè)”門類下的“汽車制造業(yè)”(第36大類),“G交通運輸、倉儲和郵政業(yè)”門類下的“道路運輸業(yè)”(第54大類),以及“O居民服務(wù)、修理和其他服務(wù)業(yè)”門類下的“機動車、電子產(chǎn)品和日用品產(chǎn)品修理業(yè)(第81大類)”,以及車聯(lián)網(wǎng)等領(lǐng)域。如新版《工信數(shù)據(jù)管理辦法(征求意見稿)》生效,前述“汽車制造業(yè)”產(chǎn)生和收集的數(shù)據(jù)將被納入工業(yè)數(shù)據(jù),而“道路運輸業(yè)”和“機動車、電子產(chǎn)品和日用品產(chǎn)品修理業(yè)”產(chǎn)生和收集的數(shù)據(jù)將不被納入工業(yè)數(shù)據(jù)范疇。兩者的關(guān)系示意圖如下:
四、 工業(yè)數(shù)據(jù)安全管理合規(guī)建議
1、建立和完善工業(yè)數(shù)據(jù)分類分級制度
建議企業(yè)根據(jù)《數(shù)據(jù)安全法》《工信數(shù)據(jù)管理辦法》《工業(yè)數(shù)據(jù)分類分級指南(試行)》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》等法律文件,建立符合法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和契合企業(yè)自身情況的分類分級標(biāo)準(zhǔn)。
就工業(yè)數(shù)據(jù)分類而言,相關(guān)標(biāo)準(zhǔn)和指引提出了一些可行的做法,具體包括:(1)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》等一般法律規(guī)則提出了數(shù)據(jù)分類的基本原則,即在遵循國家和行業(yè)數(shù)據(jù)分類要求的基礎(chǔ)上,從多個維度進行分類[5];(2)新版《工信數(shù)據(jù)管理辦法》結(jié)合工業(yè)數(shù)據(jù)的概念,從工業(yè)數(shù)據(jù)產(chǎn)生環(huán)節(jié)角度,提出了工業(yè)數(shù)據(jù)的基本類型,即研發(fā)設(shè)計數(shù)據(jù)、生產(chǎn)制造數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、運行維護數(shù)據(jù)、平臺運營數(shù)據(jù)等;(3)《工業(yè)數(shù)據(jù)分類分級指南(試行)》第六條、第七條從工業(yè)企業(yè)、互聯(lián)網(wǎng)平臺企業(yè)的主體和工業(yè)數(shù)據(jù)產(chǎn)生環(huán)節(jié)相結(jié)合的角度,提出了工業(yè)數(shù)據(jù)更為詳細(xì)的分類維度,即工業(yè)企業(yè)工業(yè)數(shù)據(jù)分類維度包括但不限于研發(fā)數(shù)據(jù)域(研發(fā)設(shè)計數(shù)據(jù)、開發(fā)測試數(shù)據(jù)等)、生產(chǎn)數(shù)據(jù)域(控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志等)、運維數(shù)據(jù)域(物流數(shù)據(jù)、產(chǎn)品售后服務(wù)數(shù)據(jù)等)、管理數(shù)據(jù)域(系統(tǒng)設(shè)備資產(chǎn)信息、客戶與產(chǎn)品信息、產(chǎn)品供應(yīng)鏈數(shù)據(jù)、業(yè)務(wù)統(tǒng)計數(shù)據(jù)等)、外部數(shù)據(jù)域(與其他主體共享的數(shù)據(jù)等);平臺企業(yè)工業(yè)數(shù)據(jù)分類維度包括但不限于平臺運營數(shù)據(jù)域(物聯(lián)采集數(shù)據(jù)、知識庫模型庫數(shù)據(jù)、研發(fā)數(shù)據(jù)等)和企業(yè)管理數(shù)據(jù)域(客戶數(shù)據(jù)、業(yè)務(wù)合作數(shù)據(jù)、人事財務(wù)數(shù)據(jù)等)。
就工業(yè)數(shù)據(jù)的分級而言,(1)《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》《工信數(shù)據(jù)管理辦法》規(guī)定的分級標(biāo)準(zhǔn)基本一致,根據(jù)數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益或工業(yè)生產(chǎn)、經(jīng)濟效益等方面造成的危害程度,將工業(yè)數(shù)據(jù)的等級從低到高分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)等3個級別;(2)《工業(yè)數(shù)據(jù)分類分級指南(試行)》第三章規(guī)定,根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后,可能對工業(yè)生產(chǎn)、經(jīng)濟效益等帶來的潛在影響,將工業(yè)數(shù)據(jù)從低到高分為一級、二級、三級等3個級別。
2、重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案
《數(shù)據(jù)安全法》《工業(yè)數(shù)據(jù)分類分級指南(試行)》等現(xiàn)行法律法規(guī)并未規(guī)定重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案機制,該機制系《工信數(shù)據(jù)管理辦法(征求意見稿)》首次提出,要求涉及工業(yè)數(shù)據(jù)的企業(yè)主動將本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄向地方主管工業(yè)和信息化主管部門備案。備案內(nèi)容包括但不限于數(shù)據(jù)類別、級別、規(guī)模、處理目的和方式、使用范圍、責(zé)任主體、對外共享、跨境傳輸、安全保護措施等基本情況,不包括數(shù)據(jù)內(nèi)容本身。重要數(shù)據(jù)和核心數(shù)據(jù)的類別或規(guī)模變化30%以上的,或者其它備案內(nèi)容發(fā)生重大變化的,企業(yè)還應(yīng)當(dāng)在發(fā)生變化的三個月內(nèi)履行備案變更手續(xù)。
該等列入重要數(shù)據(jù)和核心數(shù)據(jù)級別的工業(yè)數(shù)據(jù)可能會關(guān)乎到國民經(jīng)濟、行業(yè)發(fā)展、公共利益、社會秩序乃至國家安全,備案機制有助于國家加強對數(shù)據(jù)安全的管控。
3、工業(yè)數(shù)據(jù)全生命周期安全防護
建議企業(yè)針對不同類別級別的工業(yè)數(shù)據(jù),從收集、存儲、加工、傳輸、提供、公開、銷毀、跨境、承接、委托處理等各環(huán)節(jié)落實安全防護要求。結(jié)合《數(shù)據(jù)安全法》《工信數(shù)據(jù)管理辦法(征求意見稿)》《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》《工業(yè)控制系統(tǒng)信息安全防護指南》等相關(guān)法律法規(guī),工業(yè)數(shù)據(jù)全生命周期的安全防護的要求主要如下:
一般數(shù)據(jù) | 重要數(shù)據(jù) | 核心數(shù)據(jù) | ||
數(shù)據(jù)收集 | ? 合法、正當(dāng)、必要的原則。 ? 直接采集:根據(jù)數(shù)據(jù)安全級別采取相應(yīng)的安全措施,加強重要數(shù)據(jù)和核心數(shù)據(jù)收集人員、設(shè)備的管理,并對收集時間、類型、數(shù)量、頻度、流向等進行記錄。 ? 間接獲取:與數(shù)據(jù)提供方通過簽署相關(guān)協(xié)議、承諾書等方式,明確雙方法律責(zé)任【協(xié)議方式等】。 | |||
數(shù)據(jù)存儲 | 依據(jù)法律規(guī)定或者與用戶約定的方式和期限存儲數(shù)據(jù)。 | 還需采用校驗技術(shù)、密碼技術(shù)等措施進行安全存儲,不得直接提供存儲系統(tǒng)的公共信息網(wǎng)絡(luò)訪問,并實施數(shù)據(jù)容災(zāi)備份和存儲介質(zhì)安全管理,定期開展數(shù)據(jù)恢復(fù)測試。 | 還需實施異地容災(zāi)備份。 | |
數(shù)據(jù)使用加工 | ? 利用數(shù)據(jù)進行自動化決策的,保證決策的透明度和結(jié)果公平合理。 ? 取得電信業(yè)務(wù)經(jīng)營許可(如需)。 | 還需加強訪問控制,建立登記、審批機制并留存記錄。 | ||
數(shù)據(jù)傳輸 | 根據(jù)傳輸?shù)臄?shù)據(jù)類型、級別和應(yīng)用場景,制定安全策略并采取保護措施。 | 還需采取校驗技術(shù)、密碼技術(shù)、安全傳輸通道或者安全傳輸協(xié)議等措施。 | ||
數(shù)據(jù)提供 | 明確提供的范圍、類別、條件、程序等,并與數(shù)據(jù)獲取方簽訂數(shù)據(jù)安全協(xié)議。 | 還需對數(shù)據(jù)獲取方數(shù)據(jù)安全保護能力進行評估或核實,采取必要的安全保護措施。 | 核心數(shù)據(jù)跨主體處理還需評估安全風(fēng)險,采取必要的安全保護措施,并經(jīng)由地方監(jiān)管部門報工信部。 | |
數(shù)據(jù)轉(zhuǎn)移 | 轉(zhuǎn)出方:因兼并、重組、破產(chǎn)等原因需要轉(zhuǎn)移數(shù)據(jù)的,明確數(shù)據(jù)轉(zhuǎn)移方案,并通過電話、短信、郵件、公告等方式通知受影響用戶。 | 還需及時向所在地監(jiān)管部門更新備案。 | ||
委托處理 | 通過簽訂合同協(xié)議等方式,明確委托方與被委托方的數(shù)據(jù)安全責(zé)任和義務(wù)。 | 還需對被委托方的數(shù)據(jù)安全保護能力、資質(zhì)進行評估或核實 | ||
數(shù)據(jù)公開 | 在數(shù)據(jù)公開前分析研判可能對公共利益、國家安全產(chǎn)生的影響,存在重大影響的不得公開。 | |||
數(shù)據(jù)銷毀 | ? 建立數(shù)據(jù)銷毀制度,明確銷毀對象、規(guī)則、流程和技術(shù)等要求,對銷毀活動進行記錄和留存。 ? 個人、組織依據(jù)法律規(guī)定、合同約定等請求銷毀的,應(yīng)當(dāng)銷毀 | ? 還需及時向地方工業(yè)和信息化主管部門(工業(yè)領(lǐng)域)或通信管理局(電信領(lǐng)域)或無線電管理機構(gòu)(無線電領(lǐng)域)更新備案; ? 還需不得以任何理由、任何方式對銷毀數(shù)據(jù)進行恢復(fù)。 | ||
數(shù)據(jù)出境 | 雖然《工信數(shù)據(jù)管理辦法(征求意見稿)》規(guī)定重要數(shù)據(jù)、核心數(shù)據(jù)應(yīng)在境內(nèi)存儲和數(shù)據(jù)出境安全評估要求,未明確規(guī)定一般數(shù)據(jù)是否也應(yīng)遵照執(zhí)行[6],但工業(yè)歷來是國家最主要的物質(zhì)生產(chǎn)部門,對國民經(jīng)濟發(fā)展至關(guān)重要,工業(yè)企業(yè)、互聯(lián)網(wǎng)平臺企業(yè)等涉及產(chǎn)生工業(yè)數(shù)據(jù)的主體被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運營者的可能性較大,建議仍嚴(yán)格按照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等關(guān)于數(shù)據(jù)出境的要求,在中華人民共和國境內(nèi)收集和產(chǎn)生的工業(yè)數(shù)據(jù),履行在境內(nèi)存儲義務(wù),確需向境外提供的,依法依規(guī)進行工業(yè)數(shù)據(jù)的出境安全評估。 | |||
日志留存 | 在數(shù)據(jù)全生命周期處理過程中,記錄數(shù)據(jù)處理、權(quán)限管理、人員操作等日志。日志留存時間不少于六個月。 | |||
4、數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理
結(jié)合《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《工信數(shù)據(jù)管理辦法(征求意見稿)》等相關(guān)法律法規(guī),建議企業(yè)建立安全監(jiān)測預(yù)警與應(yīng)急管理機制,主要義務(wù)內(nèi)容如下:
序號 | 管理要求 | 內(nèi)容 | 要點摘要 |
1 | 監(jiān)測預(yù)警機制 | 應(yīng)監(jiān)管部門發(fā)布的預(yù)警通知應(yīng)對處理; 開展數(shù)據(jù)安全風(fēng)險監(jiān)測,及時排查安全隱患,采取必要的措施防范數(shù)據(jù)安全風(fēng)險。 | 風(fēng)險監(jiān)測+防范措施 |
2 | 信息上報和共享 | 及時將自身數(shù)據(jù)安全風(fēng)險情況向所在地監(jiān)管部門報告。 | 安全風(fēng)險報告義務(wù) |
3 | 應(yīng)急處置 | 在數(shù)據(jù)安全事件發(fā)生后,按照應(yīng)急預(yù)案,及時開展應(yīng)急處置,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件,應(yīng)當(dāng)?shù)谝粫r間向地方監(jiān)管部門報告。事件處置完成后在規(guī)定期限內(nèi)形成總結(jié)報告,每年向地方監(jiān)管部門報告數(shù)據(jù)安全事件處置情況。 對可能損害用戶合法權(quán)益的數(shù)據(jù)安全事件,及時告知用戶,并提供減輕危害措施。 | 應(yīng)急處置+重要數(shù)據(jù)/核心數(shù)據(jù)發(fā)生報告+處置情況定期報告+用戶告知 |
4 | 舉報投訴處理 | 鼓勵建立用戶投訴處理機制。 | 舉報投訴處理機制+提供有效渠道 |
五、 小結(jié)
目前我國正處于“大國制造”邁向“大國智造”的關(guān)鍵轉(zhuǎn)型時期,《國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》也在國家戰(zhàn)略層面明確提出要積極穩(wěn)妥發(fā)展工業(yè)互聯(lián)網(wǎng),工業(yè)數(shù)據(jù)既是維系工業(yè)互聯(lián)網(wǎng)穩(wěn)定運行的基礎(chǔ),業(yè)務(wù)制造業(yè)數(shù)字化轉(zhuǎn)型的保障,可以預(yù)見,工業(yè)數(shù)據(jù)相關(guān)的法律法規(guī)數(shù)量將逐步增多、法律體系將更加完善、合規(guī)監(jiān)管也將趨于嚴(yán)格。
[1] 網(wǎng)易,工信部部長肖亞慶:要加快建設(shè)數(shù)字基礎(chǔ)設(shè)施,查詢網(wǎng)址:https://www.163.com/dy/article/H89PH8G20539AP40.html。
[2] 《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》三、主要任務(wù)(六)強化安全保障 建立數(shù)據(jù)安全保護體系。建立工業(yè)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈數(shù)據(jù)安全管理體系,明確相關(guān)主體的數(shù)據(jù)安全保護責(zé)任和具體要求,加強數(shù)據(jù)收集、存儲、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)的安全防護能力。建立工業(yè)數(shù)據(jù)分級分類管理制度,形成工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)流動管理機制,明確數(shù)據(jù)留存、數(shù)據(jù)泄露通報要求,加強工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)督檢查。
[3] 國家統(tǒng)計局,2022年1—4月份全國規(guī)模以上工業(yè)企業(yè)利潤增長3.5%,查詢網(wǎng)址:http://www.stats.gov.cn/tjsj/zxfb/202205/t20220527_1857748.html。
[4] 中國信息通信研究院,《國內(nèi)增值電信業(yè)務(wù)許可情況報告(2022.04)》,查詢網(wǎng)址:http://www.caict.ac.cn/kxyj/qwfb/qwsj/202205/P020220516441534931186.pdf。
[5] 《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》4.1數(shù)據(jù)分類框架 數(shù)據(jù)分類具有多種視角和維度,其主要目的是便于數(shù)據(jù)管理和使用……數(shù)據(jù)分類框架數(shù)據(jù)處理者進行數(shù)據(jù)分類時,可在遵循國家和行業(yè)數(shù)據(jù)分類要求的基礎(chǔ)上,采用面分類法從多個維度進行分類,對不同維度的數(shù)據(jù)類別進行標(biāo)識,每個維度的數(shù)據(jù)分類也可采用線分類法進行細(xì)分。
[6] 新版《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》(征求意見)第二十一條【數(shù)據(jù)出境】工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)和核心數(shù)據(jù),法律、行政法規(guī)有境內(nèi)存儲要求的,應(yīng)當(dāng)在境內(nèi)存儲,確需向境外提供的,應(yīng)當(dāng)依法依規(guī)進行數(shù)據(jù)出境安全評估。
工業(yè)和信息化部根據(jù)有關(guān)法律和中華人民共和國締結(jié)或者參加的國際條約、協(xié)定,或者按照平等互惠原則,處理外國工業(yè)、電信、無線電執(zhí)法機構(gòu)關(guān)于提供工業(yè)和信息化領(lǐng)域數(shù)據(jù)的請求。非經(jīng)工業(yè)和信息化部批準(zhǔn),工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者不得向外國工業(yè)、電信、無線電執(zhí)法機構(gòu)提供存儲于中華人民共和國境內(nèi)的工業(yè)和信息化領(lǐng)域數(shù)據(jù)。
