Law-lib.com 2024-3-1 14:09:46 法治日報-法治網
數據是數字經濟時代的關鍵新型生產要素,與國家經濟運行、社會治理、公共服務等方面密切相關,保障數據安全已成為事關國家安全與經濟社會發展的重大問題。
為加快提升工業領域數據安全保護能力,助力工業高質量發展,夯實新型工業化發展的安全基石,工業和信息化部近日印發《工業領域數據安全能力提升實施方案(2024—2026年)》(以下簡稱《實施方案》)。
《實施方案》提出,到2026年底,工業領域數據安全保障體系基本建立。數據安全保護意識普遍提高,重點企業數據安全主體責任落實到位,重點場景數據保護水平大幅提升,重大風險得到有效防控。數據安全政策標準、工作機制、監管隊伍和技術手段更加健全。數據安全技術、產品、服務和人才等產業支撐能力穩步提升。
建立工業領域數據安全保障體系
工業數據是指工業各行業各領域在研發設計、生產制造、經營管理、運行維護、平臺運營等過程中產生和收集的數據。浙江大學網絡空間安全學院雙聘教授王春暉告訴記者,工業數據日漸成為工業發展最寶貴的戰略資源,是推動制造業數字化、網絡化、智能化發展的關鍵生產要素。
北京航空航天大學法學院副教授趙精武認為,工業領域數據安全關系到實體經濟的正常運行,工業領域數據發生安全事件,不僅可能導致大范圍的企業業務中斷、生產能力下降,還有可能涉及國家安全和社會經濟安全。
“提升工業領域數據安全能力,對于構建完善工業領域數據安全保障體系,提高數據安全治理能力,促進數據要素安全有序流動和價值釋放具有重要的戰略意義,出臺《實施方案》將為加快推進新型工業化,建設制造強國、網絡強國和數字中國提供堅實支撐。”王春暉說。
“出臺《實施方案》的意義在于進一步細化我國數據安全監管的實施要求,保障工業領域的核心數據、重要數據安全;在明確工業領域數據安全的同時,還能夠為工業領域的數據要素市場化配置提供良好穩定的制度保障和交易環境。”趙精武說。
據工信部網絡安全管理局有關負責人介紹,《實施方案》是指導未來三年工業領域數據安全工作的綱領性規劃文件,以“到2026年底基本建立工業領域數據安全保障體系”為總體目標,分別從企業側、監管側、產業側等方面明確各工作目標,致力于實現企業保護水平大幅提升、監管能力和手段更加健全、產業供給穩步提升。
其中,關鍵指標包括:基本實現各工業行業規上企業數據安全要求宣貫全覆蓋;開展數據分類分級保護的企業超4.5萬家,至少覆蓋年營收在各省(區、市)行業排名前10%的規上工業企業;立項研制數據安全國家、行業、團體等標準規范不少于100項;遴選數據安全典型案例不少于200個,覆蓋行業不少于10個;數據安全培訓覆蓋3萬人次,培養工業數據安全人才超5000人。
提升工業企業數據保護能力
記者注意到,為實現上述目標,《實施方案》在重點任務方面,圍繞提升工業企業數據保護、數據安全監管、數據安全產業支撐“三類能力”,明確提出11項任務。
其中,關于提升工業企業數據保護能力,提出了增強安全意識、開展重要數據保護、強化重點企業管理、深化重點場景保護4項任務;關于提升數據安全監管能力,提出了完善政策標準、加強風險防控、推進技術手段建設、鍛造監管執法能力4項任務;關于提升數據安全產業支撐能力,提出了加大技術產品和服務供給、促進應用推廣和供需對接、健全人才培養體系3項任務。
工業企業是履行數據安全保護責任和義務的主體。王春暉認為,提升工業企業數據保護能力是“三類能力”的核心和基礎,首先,工信部要組織重點企業制定工業領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規范,指導開展數據分類分級管理工作,制定行業重要數據和核心數據具體目錄并實施動態管理;其次,要根據工業領域的特點、業務需求、數據來源和用途等因素,重點聚焦工業領域的研發數據、生產運行數據、管理數據、運維數據、業務服務五類數據的分類分級。在此基礎上,梳理和識別重要數據和核心數據,并形成目錄,實施全生命周期的動態保護。
談及此次《實施方案》重點任務的亮點,趙精武認為,一是提出“推進數據安全技術手段建設”,不同于以往在政策層面鼓勵和支持企業采用新型數據安全保障技術,《實施方案》直接明確“強化部-省-企業技術能力三級聯能”,打造囊括地方、行業、企業等主體在內的綜合性數據安全技術治理體系。
二是提出“深化重點場景數據安全保護”,特別是針對當下企業之間信息業務關聯性越發緊密的趨勢,明確將安全管理重心偏向“供應鏈上下游協作”“服務外包”“上云平臺”等典型業務場景,避免出現上游云服務提供商發生數據安全事件導致下游眾多企業同樣遭受數據安全損失。
充分發揮各方力量協同推進
根據我國數據安全法,“數據安全”是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。王春暉指出,該定義有兩個核心內容:一個是確保數據的“有效保護”,另一個是確保數據的“合法利用”,其中有效保護的措施不僅僅是技術的方式,更強調的是管理方式。
如何更好地落實《實施方案》,提升工業領域數據安全能力?王春暉建議,強化工業領域的數據分類分級管理,要統籌制定工業領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規范。
同時,聚焦數據全生命周期安全管理,尤其強調工業領域數據處理者應當對數據處理活動負安全主體責任,對各類數據實行分級防護,不同級別數據同時被處理且難以分別采取保護措施的,按照其中級別最高的要求實施保護,確保數據持續處于有效保護和合法利用的狀態。
此外,加強數據安全監測預警與應急管理,工業領域的主管部門應建立數據安全風險監測機制,并組織制定數據安全監測預警接口和標準,統籌建設數據安全監測預警技術手段,形成監測、預警、處置、溯源等能力,要與相關部門加強信息共享。
趙精武認為,可以采用清單方式列舉工業領域數據安全保障措施的典型范例,并根據安全技術發展趨勢,定期更新管理范例,以便相關企業能夠根據與自身業務情況最為貼近的典型范例采取恰當的數據安全保障管理措施。
在提升工業數據安全能力方面,還可以考慮引入諸如網絡安全保險等特殊險種,保險人在保險金理賠的經濟激勵模式下,也會主動協助相關數據處理者盡可能采取合理必要的安全保障措施,提升數據安全管理效果。
工信部網絡安全管理局有關負責人表示,下一步,要充分發揮部、省、企業、行業組織、專業機構、高等院校、安全企業等各方力量,協同扎實推進《實施方案》落實落細,要開展宣貫培訓、抓好組織實施、加強典型引領。
日期:2024-3-1 14:09:46 | 關閉 |
