黨的二十大報告設定專門章節對推進國家安全體系和能力現代化、堅決維護國家安全和社會穩定作出戰略部署,特别要求“強化經濟、重大基礎設施、金融、網絡、資料等安全保障體系建設”。
2022年以來,國家資料安全工作協調機制正式成立,國家、行業層面的資料安全監管、産業發展等政策制度加速推進,資料安全工作愈發受到國家和各方重視。2022年12月13日,工業和資訊化部正式印發《工業和資訊化領域資料安全管理辦法(試行)》(以下簡稱《管理辦法》),系《資料安全法》出台後大陸資料安全領域首個公開釋出的行業規範性檔案,标志着大陸工業和資訊化領域資料安全管理邁出了重要一步,将有力指導推動工業領域資料安全工作不斷開創新局面。
一、深刻認識《管理辦法》出台的重大意義
(一)《管理辦法》是落實國家資料安全治理體系頂層設計的重要制度。黨的十八大以來,以習近平同志為核心的黨中央高度重視資料安全工作,強調要切實保障國家資料安全,強化國家關鍵資料資源保護能力。2021年以來,《資料安全法》《個人資訊保護法》相繼頒布實施,資料安全成為國家“十四五”規劃等多項戰略規劃部署的關鍵領域,并連續兩年被寫入政府工作報告,要求作為重要緊迫的工作任務予以推進。大陸擁有41個工業大類、207個工業中類、666個工業小類,是全世界唯一擁有聯合國産業分類中全部工業門類的國家,規上工業企業超40萬家,是大陸資料産量的第一方陣。工業領域作為《資料安全法》提及的行業領域之首,是目前強化資料安全保障的重要領域。《管理辦法》的出台,是全面貫徹落實黨中央、國務院決策部署,細化落實《資料安全法》要求,提升國家資料安全保障能力的實際行動,彰顯行業監管的堅定信念與硬核力量。
(二)《管理辦法》是築牢數字安全屏障護航數字經濟發展的必要之舉。黨的十八大以來,大陸深入實施數字經濟發展戰略。黨的二十大報告強調“加快發展數字經濟,促進數字經濟和實體經濟深度融合”。工業資料包括工業各行業各領域在研發設計、生産制造、經營管理等過程中産生和收集的資料,是紮實推進數字經濟高品質發展的“石油”和重要引擎。在此背景下,《管理辦法》堅持統籌發展和安全,為加快打通工業領域資料流通壁壘、提升資料開發利用水準、護航數字經濟發展等切實築牢數字安全屏障。
(三)《管理辦法》是推進國家安全體系和能力現代化的關鍵路徑。黨的二十大報告全文有29次提到“國家安全”,将國家安全工作擺在更加突出的位置,資料安全是總體國家安全觀的重要組成。近年來,工業領域資料安全事件時有發生,資料安全形勢将更為嚴峻,特别是重要資料愈發成為攻擊破壞的标靶。《管理辦法》重點強調重要資料和核心資料安全保護,提出了資料全生命周期安全防護措施,為構築行業資料安全基石、牢牢守住行業健康有序發展的紅線和底線等提供了政策指導。
(四)《管理辦法》是結合行業實際推動國際國内雙循環發展的生動實踐。近年來,在習近平總書記關于網絡強國重要思想的指引下,大陸積極參與全球網際網路治理體系建設,緻力于提出資料安全治理的中國方案。2020年9月,大陸發起《全球資料安全倡議》,闡述了資料安全國際合作的基本主張,呼籲各國合作加強資料保護。《管理辦法》對工業和資訊化領域資料出境安全設專門條款,明确重要資料和核心資料出境安全管理要求,推動資料要素在更大範圍、更寬領域、更深層次融入全球經濟發展,加速建構國際國内雙循環發展格局,以高水準安全保障高品質發展。
二、準确把握《管理辦法》明确的重點要求
《管理辦法》建構了工業和資訊化領域資料安全監管體系,明确了各方職責和義務,整體呈現以下四個特點:
一是堅持協同配合,強化責任落實。《管理辦法》明确了工業領域資料安全保護對象和範圍,并進一步壓實責任,規定工業資料處理者應當對資料處理活動負安全主體責任,重要資料和核心資料處理者法定代表人或者主要負責人是資料安全第一責任人。同時規定工業和資訊化部及地方工信主管部門的職責,建構“上下協同、多方關聯”的資料安全監管格局,確定各項工作落到實處。
二是堅持需求導向,明晰防護要求。《管理辦法》全面細化資料收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求,通過2022年工業領域資料安全管理試點工作的實踐驗證,可有效指導工業資料處理者依法依規開展資料處理活動。需要特别指出的是,《管理辦法》釋放了資料安全違法違規的行政處罰信号,行業監管部門可對存在較大安全風險或違反規定行為的資料處理者采取約談或行政處罰措施,警示資料處理者切勿觸碰法律紅線。
三是堅持關口前移,提升技術能力。《管理辦法》落實“以技術對技術、以技術管技術”的原則,指導工業資料處理者加強自身資料安全監測預警、風險防範、應急處置等技術能力提升,并逐漸根據細化的标準規範等進一步強化技術保障能力建設,從源頭上防範化解資料安全風險隐患。
四是堅持産業供給,完善産業生态。《管理辦法》鼓勵資料開發利用和資料安全技術研究,支援推廣資料安全産品和服務,培育資料安全企業、研究和服務機構,充分釋放資料安全市場需求和潛力,大力推動資料安全産業蓬勃、可持續發展。
三、新形勢下做好工業領域資料安全管理工作的思考
黨的二十大報告強調,“推進新型工業化,加快建設制造強國、品質強國、航天強國、交通強國、網絡強國、數字中國”,指出“以新安全格局保障新發展格局”,展現了統籌發展和安全的根本要求,明确了建構新安全格局的戰略任務。《管理辦法》标志着工業和資訊化領域資料安全工作已按下全面深入推進的“啟動鍵”,開啟資料安全管理工作新征程。立足新形勢新要求,建議從“建制度、強手段、增服務、促産業”出發,紮實推進工業領域資料安全保障體系建設,努力建構完善工業領域資料安全新格局。
(一)政府監管層面,以《管理辦法》為基石,持續完善優化工業資料安全管理體系。一是持續健全資料安全政策與标準體系,加強資料安全法律政策宣貫和标準貫标達标。二是在重要資料識别備案、安全防護、風險評估、風險資訊報送與共享等重點工作過程中,進一步加強頂層設計,強化工作指導,加快督促落實,實作科學有效監管。三是加快建立工業領域資料安全執法監督隊伍,适時開展資料安全風險排查或監督檢查等專項行動,提高工業領域資料安全風險發現、防範與處置等能力。
(二)資料處理者層面,以《管理辦法》為遵循,切實提升工業資料安全保護水準。一是貫徹落實資料安全責任制,明确責任人及責任部門,定期開展資料安全教育教育訓練,提高資料安全意識和技能。二是在資訊化、數字化發展過程中同步加大資料安全建設投入,建立完善資料安全管理和防護體系,加強資料全生命周期分級防護。三是積極開展資料安全風險評估,強化以評促防,通過“對标評估診斷”等方式不斷提升資料安全保護能力。
(三)行業自律方面,以《管理辦法》為指引,增強行業數字化轉型資料安全保障能力。一是在重點行業内組織開展《管理辦法》落地普及等工作,全面推動重點行業内工業企業掌握資料安全“為什麼要做”“做什麼”“怎麼做”。二是結合行業特征,積極推進工業領域資料安全行業标準試驗驗證和應用推廣等工作,打造行業内資料安全示範企業。三是面向重點行業開展資料安全行業自律工作,引導工業企業自覺嚴格遵守國家有關法律法規以及政策标準,推動行業資料安全工作走深向實。
(四)産業發展方面,以《管理辦法》為導向,加大資料安全産業供給能力。一是結合工業領域資料開發利用和安全産業鍊緊缺急需現狀,鼓勵産學研用合作開展資料安全關鍵技術和産品攻關、典型案例遴選和宣傳推廣,完善資料安全産業生态。二是推動發展資料安全評估、檢測、認證、咨詢等服務,培育資料安全領域“專精特新”小巨人企業等。三是統籌推進工業和資訊化領域資料安全人才培養,豐富工業領域資料安全職業能力教育訓練方式,加快培養複合型、專業型資料安全人才。
工業領域資料安全工作責任重大、使命光榮。國家工業資訊安全發展研究中心作為國家級工業領域資訊安全研究與推進機構,将全面貫徹落實黨中央、國務院重大決策部署,切實把黨的二十大精神内化于心、外化于行、轉化為果,堅持總體國家安全觀,堅持統籌發展和安全,勇擔工業領域資料安全保障主責主業,以《管理辦法》為抓手,高水準支撐政府管理和服務行業發展,踔厲奮發、勇毅前行,為制造強國、網絡強國和數字中國建設提供堅強保障。