工信部此前印發的《工業和信息化領域數據安全管理辦法（試行）》（下稱《辦法》），今年1月1日起已正式施行。《辦法》重點解決了工信領域數據安全“誰來管、管什麼、怎麼管”的問題，為行業數據安全監管提供制度保障。

多位專家在接受人民網採訪時稱，工業領域數據涉及主體多、種類多、格式多，既有企業產生和收集的研發設計、生產制造等數據，也有工業互聯網平台企業的知識庫模型庫等數據。《辦法》提出數據分級保護的總體原則，重視對核心數據出境的安全評估，明確行業監管主體和責任，是對前期工信領域數據安全管理實踐經驗的固化總結，能夠有效規范行業對數據的全周期管理，以及在應對外部竊取攻擊等風險時實現快速聯動、迅速處置。

數據分類分級 識別保護重點

隨著全球數字經濟的蓬勃發展，數據已成為關鍵生產要素和核心戰略資源，數據安全的基礎保障作用和發展驅動效應日益突出，攸關國家安全、公共利益和個人權利。

在數字經濟和數據安全領域，我國出台了多部政策法規“護航”數字經濟行穩致遠。國務院《“十四五”數字經濟發展規劃》將研究完善行業數據安全管理政策作為提升國家總體數據安全保障水平的關鍵一環。《數據安全法》《個人信息保護法》等國家重大數據安全立法加速出台，進一步明確了數據安全行政監管的上位法依據和職責邊界。

工業和信息化領域是數字經濟發展的主陣地和先導區，是推進數字經濟做強做優做大的主力軍。工信部數據顯示，2021年，規模以上工業企業關鍵工序數控化率達到55.3%，數字化研發工具的普及率達到了74.7%。數字化新業態、新模式也不斷發展創新，開展網絡化協同和服務型制造的企業比例分別達到了38.8%和29.6%。

《辦法》對標《數據安全法》《網絡安全法》《個人信息保護法》中的數據安全保護義務，提出以數據分級保護為總體原則，一般數據加強全生命周期安全管理，重要數據在一般數據保護的基礎上進行重點保護，核心數據在重要數據保護的基礎上實施更加嚴格保護。對於不同級別數據同時被處理且難以分別採取保護措施的，採取“就高”原則，按照其中級別最高的要求實施保護。

“以數據分類分級識別數據保護重點，就是摸清家底、心中有數。”專家指出，工業領域涉及的行業眾多、應用場景豐富、業務環節復雜，相應的數據種類、形態也十分多樣，需要認真研究到底擁有哪些數據類型、哪些數據需要重點保護。

明確聯動機制 落實監管主體責任

2022年8月，工信部公布全國第四批“專精特新”小巨人企業全名單，入選企業多達4357家，眾所矚目，熱熱鬧鬧。11月，工信部又提出，在未來三年裡，圍繞100個細分行業，打算扶持和培育300家左右的數字化轉型服務平台，打造4000-6000家“小燈塔”工廠。

“數字化轉型離不開有為政府的支持，同時也需要與有效市場相結合。”北京師范大學經管學院副教授趙向陽指出，中央政府部委高屋建瓴進行政策設計，宏觀指引。地方政府根據當地的產業發展現狀，甄選潛力大的細分行業，而數字化服務平台自己主動挖掘有數字化轉型意願的試點企業。根據“市場有需求，平台有能力，企業有意願”的三結合原則來做數字化轉型，是一種有益探索。

針對市場實際情況，《辦法》構建了“部-地方-企業”三級聯動的數據安全工作機制，明確“工業和信息化部、地方行業監管部門”兩級監管機制。

具體來說，由工業和信息化部負責工信領域數據安全總體統籌與監督管理。在地方層面，地方工業和信息化主管部門、地方通信管理局、地方無線電管理機構分別負責對本地區工業數據處理者、電信數據處理者、無線電數據處理者的數據處理活動和安全保護進行監督管理。在企業層面，工業數據處理者、電信數據處理者、無線電數據處理者承擔本單位的數據安全主體責任，落實工信領域數據安全管理要求。

中國信息通信研究院院長余曉暉表示，這種條塊結合的監管組織架構既貫徹了《數據安全法》對於各地區、各行業、各領域數據安全監管的責任分工，也充分考慮了工信領域管理的共性需求與實踐差異。

豎起技術鐵甲 保障數據全生命周期安全

數字化的進程與風險相伴而生。2022年2月，全球航港巨頭瑞士空港遭遇一起勒索軟件攻擊，IT基礎設施與服務受到干擾。蘇黎世機場透露，這波網絡攻擊導致當天22架次航班發生延誤。此類數據泄漏、勒索軟件、黑客攻擊等網絡安全事件並不少見，每年的網絡安全事件盤點都有數十個版本。

在數據生產加工的各個環節，數據違規傳輸、非授權訪問、雲端數據大規模泄露、勒索攻擊、撞庫攻擊、黑產交易、網絡漏洞等事件的危害性不容忽視。

為保障數據安全，《辦法》圍繞數據收集、存儲、使用、加工、傳輸、提供、公開等全生命周期關鍵環節，分別針對一般數據、重要數據、核心數據細化明確了安全保護要求，主要包括明確細化了協議約束、安全評估、審批等管理要求，以及校驗與密碼技術使用、數據訪問控制等技術保護要求。同時，指導數據處理者健全數據安全管理和技術保護措施，履行安全保護主體責任。

業內專家指出，從技術角度來說，不僅要通過協議解析、流量分析等手段深度識別監測的數據內容，還需利用關聯分析、人工智能等技術分析數據處理安全措施是否到位（如重要數據未加密導致明文傳輸風險）、數據處理活動是否合法合規（如重要數據違規出境風險）等，更還應結合業務場景，通過深度學習等手段分析數據流量和操作行為是否正常、數據內容是否遭篡改等。

《辦法》還規定了數據安全風險評估、數據出境安全評估、數據安全風險監測預警、數據安全應急處置等的開展情形，並對中央企業提出督促所屬公司履行重要數據目錄備案，及時向工業和信息化部報送集團本部數據安全保護情況等要求。

專家指出，《辦法》出台后，應加快推進數據分類分級、分級防護、安全評估、應急處置等工作的有機融合。每一項工作的背后都需要更細化的制度標准作為“催化劑”，並在實踐中推動各項工作機制協調、統一、靈活地運轉起來，為保障工業數據安全、促進數字經濟和制造業高質量發展筑牢堅實根基。（實習生施懿芝對本文亦有貢獻）

分享讓更多人看到