工信领域数据安全怎么管？专家：全周期管理实现“精准防护”

近日，工信部印发《工业和信息化领域数据安全管理办法（试行）》，（下称《办法》），自2023年1月1日起施行。《办法》重点解决了工信领域数据安全“谁来管、管什么、怎么管”的问题，为行业数据安全监管提供制度保障。

多位专家在接受人民网采访时称，工业领域数据涉及主体多、种类多、格式多，既有企业产生和收集的研发设计、生产制造等数据，也有工业互联网平台企业的知识库模型库等数据。《办法》提出数据分级保护的总体原则，重视对核心数据出境的安全评估，明确行业监管主体和责任，是对前期工信领域数据安全管理实践经验的固化总结，能够有效规范行业对数据的全周期管理，以及在应对外部窃取攻击等风险时实现快速联动、迅速处置。

数据分类分级 识别保护重点

随着全球数字经济的蓬勃发展，数据已成为关键生产要素和核心战略资源，数据安全的基础保障作用和发展驱动效应日益突出，攸关国家安全、公共利益和个人权利。

在数字经济和数据安全领域，我国出台了多部政策法规“护航”数字经济行稳致远。国务院《“十四五”数字经济发展规划》将研究完善行业数据安全管理政策作为提升国家总体数据安全保障水平的关键一环。《数据安全法》《个人信息保护法》等国家重大数据安全立法加速出台，进一步明确了数据安全行政监管的上位法依据和职责边界。

工业和信息化领域是数字经济发展的主阵地和先导区，是推进数字经济做强做优做大的主力军。工信部数据显示，2021年，规模以上工业企业关键工序数控化率达到55.3%，数字化研发工具的普及率达到了74.7%。数字化新业态、新模式也不断发展创新，开展网络化协同和服务型制造的企业比例分别达到了38.8%和29.6%。

《办法》对标《数据安全法》《网络安全法》《个人信息保护法》中的数据安全保护义务，提出以数据分级保护为总体原则，一般数据加强全生命周期安全管理，重要数据在一般数据保护的基础上进行重点保护，核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的，采取“就高”原则，按照其中级别最高的要求实施保护。

“以数据分类分级识别数据保护重点，就是摸清家底、心中有数。”专家指出，工业领域涉及的行业众多、应用场景丰富、业务环节复杂，相应的数据种类、形态也十分多样，需要认真研究到底拥有哪些数据类型、哪些数据需要重点保护。

明确联动机制 落实监管主体责任

今年8月，工信部公布全国第四批“专精特新”小巨人企业全名单，入选企业多达4357家，众所瞩目，热热闹闹。11月，工信部又提出，在未来三年里，围绕100个细分行业，打算扶持和培育300家左右的数字化转型服务平台，打造4000-6000家“小灯塔”工厂。

“数字化转型离不开有为政府的支持，同时也需要与有效市场相结合。”北京师范大学经管学院副教授赵向阳指出，中央政府部委高屋建瓴进行政策设计，宏观指引。地方政府根据当地的产业发展现状，甄选潜力大的细分行业，而数字化服务平台自己主动挖掘有数字化转型意愿的试点企业。根据“市场有需求，平台有能力，企业有意愿”的三结合原则来做数字化转型，是一种有益探索。

针对市场实际情况，《办法》构建了“部-地方-企业”三级联动的数据安全工作机制，明确“工业和信息化部、地方行业监管部门”两级监管机制。

具体来说，由工业和信息化部负责工信领域数据安全总体统筹与监督管理。在地方层面，地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构分别负责对本地区工业数据处理者、电信数据处理者、无线电数据处理者的数据处理活动和安全保护进行监督管理。在企业层面，工业数据处理者、电信数据处理者、无线电数据处理者承担本单位的数据安全主体责任，落实工信领域数据安全管理要求。