南方財經全媒體記者 吳立洋 21世紀經濟報道 記者蔡姝越 實習生譚硯文 北京，上海報道

工業數據，作為數字經濟發展過程中涉及產業最廣、關聯生產環節最深的數據類型之一，其安全管理一直是工業和信息化企業數字化轉型過程中的重中之重。

12月14日，工信部印發《工業和信息化領域數據安全管理辦法（試行）》（以下簡稱《管理辦法》），共八章四十二條，從界定工業和信息化數據和數據處理者概念，確定數據分類分級管理等方面進一步明確了相關數據的安全管理要求。

據悉，《管理辦法》將自2023年1月1日起施行。

新增無線電數據、個人信息保護、數據跨境等工作部署

21世紀經濟報道記者注意到，相較于2021年12月公布的征求意見稿，在此次公布的《管理辦法》中，新增了對無線電數據的解釋和要求，并將對無線電業務造成損害的數據納入核心數據。

北京航空航天大學法學院副教授、工業和信息化法治戰略與管理重點實驗室辦公室主任趙精武向21世紀經濟報道記者分析，無線電數據屬于能夠反映網絡通信、頻譜電波傳遞等無線電核心業務的具體參數，而無線電在日常生活中使用廣泛，大到航空導航、氣象監測、武器研發，小到GPS導航、通訊對話。

“一旦這些無線電數據發生泄露、損毀等安全事件，極有可能導致航空安全事故、通訊對話被監聽等嚴重的安全后果，直接威脅到我國國家安全和社會穩定。”他說。

2020年6月，國家安全機關在反間諜專項行動中發現，有境外數據公司通過網絡在境內私下招募“數據貢獻員”。廣東省湛江市國家安全局據此開展調查，在麻斜軍港附近發現有可疑的無線電設備在持續搜集湛江港口艦船數據，并通過互聯網實時傳往境外。經查，事件起因系廣東湛江一無線電愛好者在自家陽臺架設境外自主的AIS陸基基站設備，因為其住宅位置與軍港距離極佳，導致持續4年泄露我國重要機密信息。

北京師范大學互聯網發展研究院院長助理、中國互聯網協會研究中心副主任吳沈括則告訴21記者，無線電數據原本就是工信領域中一種相當典型的數據類型，且在工信部的職權范圍之內，本次公布的《管理辦法》實際上是對這一數據類型做出了更加明確的規定。

此外，在個人信息保護方面，《管理辦法》中也增添了相關要求。其中第三十八條提到，開展涉及個人信息的數據處理活動，還應當遵守有關法律、行政法規的規定。

吳沈括認為，當下監管部門在制定數據安全相關文件時，將個人信息保護作為考慮要素納入是比較常見的做法。“這樣的立法技巧，也有助于企業在合規的工作當中，將個人信息、重要數據、核心數據和一般數據做出一體化的合規管理。”

值得關注的是，數據傳輸中非常關鍵的跨境問題也在《管理辦法》中被提及。第二十一條中指出，工業和信息化領域數據處理者在中華人民共和國境內收集和產生的重要數據和核心數據，法律、行政法規有境內存儲要求的，應當在境內存儲，確需向境外提供的，應當依法依規進行數據出境安全評估。

此外，文件中進一步指出，工業和信息化部根據有關法律和中華人民共和國締結或者參加的國際條約、協定，或者按照平等互惠原則，處理外國工業、電信、無線電執法機構關于提供工業和信息化領域數據的請求。非經工業和信息化部批準，工業和信息化領域數據處理者不得向外國工業、電信、無線電執法機構提供存儲于中華人民共和國境內的工業和信息化領域數據。

趙精武認為，此次工信部專門制定數據跨境的相關要求，主要有兩方面的原因。一是確保核心數據和重要數據安全，避免包含我國前沿科技成果、社會運行狀況等敏感內容的工業和信息化數據被外國敵對勢力竊取，進而威脅到我國國家安全。二是保障數據安全流動，因為數據安全不等于數據本地化存儲，對于可以跨境流動的數據類型，通過監管機構的授權許可或安全審查，與境外合作伙伴進行必要的數據合作，能夠有效實現這些數據的經濟價值。

“因此，《管理辦法》第二十一條規定實際上有利于規范我國工信和信息化領域的數據處理者與境外機構的數據交互合作模式和安全保障標準。”他說。

企業需盡快識別重要數據

近年來，我國不斷出臺各領域數據安全相關的政策法規，作為主要面向產業端的工信數據，較之其他領域的數據有何不同，在安全建設中又有哪些值得關注的部分呢？

吳沈括認為，工信領域數據值得特別關注，主要是因為其具有較強的產業色彩，在我國目前的數據管理制度框架中，強調針對各領域、各部門專門的管理規則，作為本身跟人和產業融合度、關聯度都很高的工信領域數據，自然也需要專門做出規定。

趙精武則表示，一方面，諸如電信數據、無線電數據等直接關系到我們日常生活中的通信聯絡、商務辦公乃至接入互聯網等基礎信息服務；另一方面，工業數據等則能夠反映我國經濟社會運行狀況、高精尖產業前沿成果等重要信息。

當這些數據與基礎設施或國家安全高度綁定，一旦發生安全攻擊或數據泄露等問題，勢必極大程度上影響公眾生活和企業運營。2021年美國成品油管道運營商科洛尼爾管道運輸公司遭受了勒索軟件的攻擊，致使東海岸數州出現“油荒”；今年豐田汽車遭遇網絡攻擊，使得其全部日本工廠被迫關停，都體現出工信領域安全對于社會和產業的重要性。

趙精武強調，在工業和信息化數據的安全管理與保護上，數據處理者需要采用高嚴格的內部安全管理制度、更高安全標準的技術保障措施確保這些數據的安全；并且，對于符合《數據安全法》“核心數據”要求的特定數據，則需要采取嚴格的保密措施予以全流程安全管控。

事實上，在工業和信息化領域，數據安全的重要性正受到越來越多的關注與重視，除本次發布的《管理辦法》外，《網絡安全法》《數據安全法》等上位法，《網絡安全等級保護條例》《關于加強工業互聯網安全工作的指導意見》等政策也先后出臺明確了工信領域數據安全建設的整體框架。

吳沈括指出，對企業而言，保障數據安全已成為基礎的合規要求，需要落實到數據全生命周期安全管理中，也有助于企業系統性地全面建立自身的授權管理體系，引導其對委托處理、共同處理等重點場景和安全審查的工作加以重視。

“需要特別注意的是，企業要識別自身掌握的一般數據、重要數據和核心數據。”吳沈括表示，企業應盡快理解《管理辦法》中對于數據劃分的判斷標準，并關注國家有關重要數據目錄的制定情況，結合具體的行業部門重要數據目錄指引來豐富和完善自身的識別標準，以充分滿足數據的合規與安全要求。

趙精武則建議，行業協會等自律組織可以組織企業探討和制定本行業的重要數據識別和備案參考標準，通過統一的識別標準高效幫助不同規模的企業，在短時間高效完成重要數據識別和備案。

更多內容請下載21財經APP