構(gòu)筑頂層設計開創(chuàng)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理新格局

□ 文 余曉暉

近日，工業(yè)和信息化部出臺了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（以下簡稱“《管理辦法》”）?！豆芾磙k法》作為工業(yè)和信息化領(lǐng)域（以下簡稱“工信領(lǐng)域”）數(shù)據(jù)安全管理頂層制度文件，是全面貫徹落實《數(shù)據(jù)安全法》等國家數(shù)據(jù)安全法律法規(guī)的重要舉措，也是前期工信領(lǐng)域數(shù)據(jù)安全管理實踐經(jīng)驗的固化總結(jié)?！豆芾磙k法》以安全發(fā)展理念為指引，建立健全了工信領(lǐng)域數(shù)據(jù)安全制度機制，搭建起工信領(lǐng)域數(shù)據(jù)安全管理的“四梁八柱”，細化明確了數(shù)據(jù)全生命周期安全保護要求，為工信領(lǐng)域企業(yè)落實數(shù)據(jù)安全管理和技術(shù)保護措施提供了明確指引，標志著工信領(lǐng)域數(shù)據(jù)安全管理工作邁出了具有里程碑意義的重要一步。

一、夯實數(shù)據(jù)安全根基，建立工信領(lǐng)域數(shù)據(jù)安全管理基本遵循

隨著全球數(shù)字經(jīng)濟的蓬勃發(fā)展，數(shù)據(jù)已成為關(guān)鍵生產(chǎn)要素和核心戰(zhàn)略資源，數(shù)據(jù)安全的基礎保障作用和發(fā)展驅(qū)動效應日益突出，攸關(guān)國家安全、公共利益和個人權(quán)利。黨和國家敏銳把握數(shù)字經(jīng)濟發(fā)展的戰(zhàn)略機遇，將數(shù)據(jù)作為新型生產(chǎn)要素，加快培育數(shù)據(jù)要素市場，充分釋放數(shù)據(jù)紅利，同時，高度重視、不斷推進數(shù)據(jù)安全保護工作。黨的二十大報告立足中華民族偉大復興戰(zhàn)略全局和世界百年未有之大變局，做出“統(tǒng)籌發(fā)展與安全”的重要部署，要求“堅定不移貫徹總體國家安全觀”，“以新安全格局保障新發(fā)展格局”，重點強化數(shù)據(jù)安全保障體系建設。

安全保障，制度先行。習近平總書記在十九屆中央政治局第三十四次集體學習時講話指出，“要健全法律法規(guī)和政策制度，完善體制機制，提高我國數(shù)字經(jīng)濟治理體系和治理能力現(xiàn)代化水平”。國務院《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》將研究完善行業(yè)數(shù)據(jù)安全管理政策作為提升國家總體數(shù)據(jù)安全保障水平的關(guān)鍵一環(huán)?！稊?shù)據(jù)安全法》《個人信息保護法》等國家重大數(shù)據(jù)安全立法加速出臺，進一步明確了數(shù)據(jù)安全行政監(jiān)管的上位法依據(jù)和職責邊界，對各行業(yè)、各領(lǐng)域承接落實也提出了新要求。

工信領(lǐng)域是我國數(shù)字化轉(zhuǎn)型的排頭兵和產(chǎn)業(yè)數(shù)字化的主陣地。信息通信網(wǎng)絡覆蓋社會千行百業(yè)，是經(jīng)濟社會運行的“神經(jīng)中樞”，匯聚海量用戶數(shù)據(jù)和關(guān)系國計民生的重要數(shù)據(jù)。工業(yè)數(shù)字化轉(zhuǎn)型催生海量工業(yè)數(shù)據(jù)資源，且數(shù)據(jù)互聯(lián)互通加快導致數(shù)據(jù)安全風險與威脅點增多，數(shù)據(jù)安全形勢愈發(fā)嚴峻復雜，工信領(lǐng)域數(shù)據(jù)安全保護亟待強化。加速完善工信領(lǐng)域數(shù)據(jù)安全管理政策，夯實數(shù)據(jù)安全工作基石，是認真踐行總體國家安全觀，統(tǒng)籌發(fā)展和安全，護航工信領(lǐng)域數(shù)字化發(fā)展的必然要求，也是落實黨和國家決策部署、提升國家總體數(shù)據(jù)安全保障水平的必擔之責。

二、筑牢數(shù)字安全屏障，明確工信領(lǐng)域數(shù)據(jù)安全保護的規(guī)則指引

《管理辦法》堅持安全與發(fā)展并重、鼓勵與規(guī)范并舉原則，推動建立健全安全可控、彈性包容的工信領(lǐng)域數(shù)據(jù)安全規(guī)則體系，一方面，明確數(shù)據(jù)安全管理關(guān)鍵制度要求，劃定工信領(lǐng)域數(shù)據(jù)流通利用的安全基線，同時，構(gòu)建多元主體協(xié)同共治格局，著力提升工信領(lǐng)域數(shù)字信任，為我國數(shù)字化轉(zhuǎn)型保駕護航。具體來說，《管理辦法》核心內(nèi)容包括以下幾個方面：

（一）明確管理體制，建立三級聯(lián)動的數(shù)據(jù)安全工作機制

《管理辦法》銜接國家數(shù)據(jù)安全工作協(xié)調(diào)機制，充分結(jié)合工信領(lǐng)域既成的監(jiān)管體制，構(gòu)建了“部-地方-企業(yè)”三級聯(lián)動的數(shù)據(jù)安全工作機制：在部層面，由工業(yè)和信息化部負責工信領(lǐng)域數(shù)據(jù)安全總體統(tǒng)籌與監(jiān)督管理。在地方層面，地方工業(yè)和信息化主管部門、地方通信管理局、地方無線電管理機構(gòu)分別負責對本地區(qū)工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者、無線電數(shù)據(jù)處理者的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。在企業(yè)層面，工業(yè)數(shù)據(jù)處理者、電信數(shù)據(jù)處理者、無線電數(shù)據(jù)處理者承擔本單位的數(shù)據(jù)安全主體責任，落實工信領(lǐng)域數(shù)據(jù)安全管理要求。這種條塊結(jié)合的監(jiān)管組織架構(gòu)既貫徹了《數(shù)據(jù)安全法》對于各地區(qū)、各行業(yè)、各領(lǐng)域數(shù)據(jù)安全監(jiān)管的責任分工，也充分考慮了工信領(lǐng)域管理的共性需求與實踐差異。

（二）細化分類分級，建立涵蓋事前事中事后的監(jiān)管制度機制

《管理辦法》承接細化《數(shù)據(jù)安全法》數(shù)據(jù)分類分級保護要求，以預防、控制和消除數(shù)據(jù)安全風險為核心，建立工信領(lǐng)域數(shù)據(jù)安全管理關(guān)鍵制度機制。一是明確工信領(lǐng)域數(shù)據(jù)分類參考因素及數(shù)據(jù)分級識別依據(jù)，建立重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案管理機制，為工信領(lǐng)域數(shù)據(jù)分類分級安全管理提供實操指引。二是建立工信領(lǐng)域數(shù)據(jù)安全風險監(jiān)測機制及風險信息上報和共享機制，對數(shù)據(jù)安全風險進行監(jiān)測、匯聚、分析、通報，加強工信領(lǐng)域數(shù)據(jù)安全風險的事前感知。三是明確應急處置機制流程，制定工信領(lǐng)域數(shù)據(jù)安全事件應急預案，預防和減少數(shù)據(jù)安全事件發(fā)生后造成的損失和危害。四是完善投訴舉報機制，建立部省兩級數(shù)據(jù)投訴舉報渠道，充分發(fā)揮社會監(jiān)督作用，廣泛獲取數(shù)據(jù)安全違法信息。五是建立數(shù)據(jù)安全檢測、認證、評估管理制度，提升工信領(lǐng)域數(shù)據(jù)安全產(chǎn)品、服務質(zhì)量及安全保障能力，推動數(shù)字安全產(chǎn)業(yè)發(fā)展。

（三）落實主體責任，加強重要數(shù)據(jù)和核心數(shù)據(jù)重點保護

《管理辦法》對標《數(shù)據(jù)安全法》《網(wǎng)絡安全法》《個人信息保護法》中的數(shù)據(jù)安全保護義務，明確細化工信領(lǐng)域數(shù)據(jù)處理者的數(shù)據(jù)安全主體責任。一是要求建立數(shù)據(jù)全生命周期安全管理制度，制定各環(huán)節(jié)分級防護要求和操作規(guī)程，配備管理人員，加強權(quán)限管理，制定應急預案，定期開展教育培訓以及其他必要措施。二是要求結(jié)合數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)特點設置針對性保護措施，有效加強數(shù)據(jù)安全保護。三是以一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)三級數(shù)據(jù)劃分為主線貫穿數(shù)據(jù)全生命周期安全管理，要求采取工作體系建設、內(nèi)部登記審批、關(guān)鍵崗位管理、安全防護等管理及技術(shù)措施對重要數(shù)據(jù)和核心數(shù)據(jù)進行重點保護，切實保障國家安全和社會公共利益。

（四）引入多利益相關(guān)方，構(gòu)建數(shù)據(jù)安全協(xié)同治理生態(tài)

數(shù)據(jù)安全保護涉及主體多元、場景復雜、環(huán)節(jié)眾多，構(gòu)建良好的數(shù)據(jù)安全治理生態(tài)需要開展多方協(xié)同?！豆芾磙k法》引入企業(yè)、研究機構(gòu)、行業(yè)組織、安全服務機構(gòu)等各類主體參與數(shù)據(jù)安全治理。一是推動數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展，支持數(shù)據(jù)安全企業(yè)、研究和服務機構(gòu)開展數(shù)據(jù)安全技術(shù)研發(fā)創(chuàng)新，結(jié)合行業(yè)數(shù)據(jù)安全需求培育、發(fā)展數(shù)據(jù)安全產(chǎn)品和服務，提升數(shù)據(jù)安全產(chǎn)品供給能力。二是組織企業(yè)、研究機構(gòu)、高等院校、行業(yè)組織等各類主體開展相關(guān)標準的制修訂及推廣應用工作，增強標準制定參與主體的廣泛性，通過標準促進數(shù)據(jù)應用規(guī)范化，提升數(shù)據(jù)處理活動的安全性。三是發(fā)揮安全服務機構(gòu)、行業(yè)組織、科研機構(gòu)數(shù)據(jù)安全能力，鼓勵協(xié)同開展數(shù)據(jù)安全風險信息上報和共享，匯聚多方力量應對數(shù)據(jù)安全風險。四是發(fā)揮評估機構(gòu)專業(yè)能力，輔助開展數(shù)據(jù)安全風險評估、出境評估等活動，助力企業(yè)持續(xù)提升數(shù)據(jù)安全保障水平。

三、凝聚多方合力，全面提升工信領(lǐng)域數(shù)據(jù)安全保障水平

在數(shù)據(jù)安全威脅和風險日益突出，國家數(shù)據(jù)安全管理要求亟需落地的大背景下，《管理辦法》的出臺正當其時?！豆芾磙k法》正式實施后，將開創(chuàng)工信領(lǐng)域數(shù)據(jù)安全保護工作新局面。為進一步推動其落地，有效提升工信領(lǐng)域數(shù)據(jù)安全治理能力，重點提出以下幾方面思考：

（一）加強政策宣貫培訓，全面提升數(shù)據(jù)安全保護意識和水平

《管理辦法》發(fā)布是引導工信領(lǐng)域深入貫徹領(lǐng)會數(shù)據(jù)安全管理制度要求，加快推動數(shù)據(jù)安全管理工作制度化、規(guī)范化的良好契機。做好宣貫培訓，采取部級示范培訓和地方重點培訓相結(jié)合的方式，針對性、分層次、有深度地設計行業(yè)數(shù)據(jù)安全宣貫培訓內(nèi)容，對《數(shù)據(jù)安全法》《管理辦法》進行系統(tǒng)闡釋和深入解讀，統(tǒng)一理解認識，有助于行業(yè)監(jiān)管部門推動管理制度要求有效落實與執(zhí)行，打響“發(fā)令槍”。同時，數(shù)據(jù)處理者要定期開展數(shù)據(jù)安全管理培訓，明確關(guān)鍵、重點崗位培訓方案，確保數(shù)據(jù)安全從業(yè)人員全覆蓋，及時評定培訓效果，做好“沖鋒者”。

（二）做好重要數(shù)據(jù)識別備案，有效夯實數(shù)據(jù)安全工作基礎

重要數(shù)據(jù)保護已成為工信領(lǐng)域數(shù)據(jù)安全管理的重中之重。隨著《管理辦法》的推進實施，還需要行業(yè)監(jiān)管部門結(jié)合工業(yè)、電信行業(yè)領(lǐng)域自身特點和實踐需求，配套制定重要數(shù)據(jù)識別標準規(guī)范，建立完善備案審核及上報流程機制，為工信領(lǐng)域企業(yè)深化落實數(shù)據(jù)安全基線要求進一步提供細化規(guī)則。數(shù)據(jù)處理者也需要按照行業(yè)監(jiān)管部門的工作要求，緊密結(jié)合自身數(shù)據(jù)安全工作實際，定期梳理數(shù)據(jù)資源，扎實開展重要數(shù)據(jù)識別和目錄動態(tài)備案管理工作，切實履行好安全主體責任。

（三）抓好風險防范化解，切實增強數(shù)據(jù)安全保障能力

有效發(fā)現(xiàn)、抵御工信領(lǐng)域數(shù)據(jù)安全突出風險，是維護數(shù)據(jù)安全的發(fā)力點和核心戰(zhàn)力。加強數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警工作部署，推進全國數(shù)據(jù)安全管理平臺建設，加快打造工信領(lǐng)域數(shù)據(jù)安全風險態(tài)勢感知能力，將成為下一步行業(yè)監(jiān)管工作的重點。數(shù)據(jù)處理者應圍繞數(shù)據(jù)安全保護需求，配合部、省兩級主管部門開展風險監(jiān)測排查，及時防范行業(yè)數(shù)據(jù)安全風險隱患；做好數(shù)據(jù)安全風險評估和數(shù)據(jù)出境安全評估，不斷提升數(shù)據(jù)安全合規(guī)能力。安全服務機構(gòu)、行業(yè)組織、科研機構(gòu)要主動參與風險信息上報和共享，按照“及時、客觀、準確、真實、完整”的原則報送掌握的風險信息。

（四）加強正向激勵引導，多措并舉提升數(shù)據(jù)安全保護水平

堅持監(jiān)督管理與正向引導相結(jié)合，有利于充分調(diào)動企業(yè)的自主性和積極性，更大程度激發(fā)企業(yè)提升自身數(shù)據(jù)安全管理水平的內(nèi)生動力。行業(yè)監(jiān)管部門在加強監(jiān)督檢查，通過執(zhí)法、約談等措施敦促企業(yè)責任落實的同時，可以綜合運用行業(yè)自律、競賽、優(yōu)秀案例評選等多種方式加強示范引領(lǐng)，推進企業(yè)標準貫標達標工作，指引企業(yè)提升數(shù)據(jù)安全管理能力。數(shù)據(jù)處理者要充分發(fā)揮能動性，自動對標管理要求和最佳實踐，自覺提升數(shù)據(jù)收集、存儲、加工、傳輸、提供、公開、銷毀等全環(huán)節(jié)安全保護水平。在業(yè)務系統(tǒng)上線、運營中，同步規(guī)劃、同步建設、同步運行數(shù)據(jù)安全保障措施，進一步提升數(shù)據(jù)有效利用與安全保護平衡能力。