从《工业和信息化领域数据安全管理办法(试行)》
(公开征求意见稿)视角谈起
伴随工业互联网、物联网等新一代信息技术赋能工业和信息化领域,工业和信息化领域正由破壁走向开放,并由开放趋向共融,工业控制系统和设备在互联网上共同协作运行,形成了大量工业数据。与此同时,工业大数据在面临传统网络威胁和工业互联网安全风险“双重压力”。大数据是“新基建”的核心和灵魂,包括数据滥用、数据偷窃、数据越权使用、数据泄露等在内的数据安全问题都会影响到发展“新基建”的效果。因而,工业和信息化领域数据合规成为了企业新的不可回避的课题。
一、工业和信息化领域数据合规政策概况
全面推进网络空间法治化建设,完善网络安全法配套规定和标准体系,我国已经初步搭建起以《数据安全法》《个人信息保护法》《网络安全法》《民法典》为动静脉,以《关键信息基础设施安全保护条例》等数据和个人信息保护的部门规章、国家标准、行业标准为毛细血管的数据治理法律体系。
同时,数据治理相关政策、办法与时偕行、相继出台。2021年11月15日工信部印发《“十四五”大数据产业发展规划》,明确提出优化工业价值链,以制造业数字化转型为引领,构建多层次工业互联网平台。同时还提出,围绕数据全生命周期关键环节,加快数据“大体量”汇聚,强化数据“多样化”处理,推动数据“时效性”流动,加强数据“高质量”治理,促进数据“高价值”转化;筑牢数据安全保障防线,坚持安全与发展并重,加强数据安全管理,加大对重要数据、跨境数据安全的保护力度,提升数据安全风险防范和处置能力,做大做强数据安全产业,加强数据安全产品研发应用等六项重点任务;通过数据安全铸盾行动,加强数据安全管理能力、数据跨境安全管理能力和建设数据安全监测系统。
2022年2月10日,工业和信息化部在此前收集到的征求意见基础上修改并再次发布《工业和信息化领域数据安全管理办法(试行)》(公开征求意见稿)。该文件为规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益提供了具体的行动指南。
随着工业和信息化领域数据合规的不断深化,工信领域最终必将走向数据合规发展的道路。
二、工业和信息化领域数据合规现状
据彭博社报道,2021年7月,亚马逊公司面临欧盟有史以来最大的数据隐私泄露罚款,欧盟数据保护监管机构对其违反严厉的数据保护法规进行 7.46 亿欧元(约 57.29 亿元人民币)的处罚。据俄罗斯卫星通讯社援引美国媒体的报道,大众汽车集团曾宣称,330万名客户的数据遭泄露。泄露发生的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商都使用这个供应商的服务。视线转换到国内,六安市市场监督管理局和宁国市市场监督管理局官网显示,因违法采集人脸信息,科勒卫浴多地代理商被处以行政罚款。
据“数据观”(大数据产业观察机构)统计,企业每年因工业大数据质量低下影响数据分析结果而遭受的损失占据其整体收益的10%-20%,而因企业数据不合规运营而导致的消费权益受损,其损失更是无法具体估量。2021年2月5日,国家工业信息安全发展研究中心发布《2020年工业信息安全态势报告》,报告提及“工业领域因运营成本高、数据价值大、社会影响广成为攻击的首选目标,全年捕获恶意攻击超200万次”等内容。
工业和信息化领域数据正在进入几何式增长的新阶段,大量数据不断产生,数据涉及每一个人、每一个组织、每一个国家的方方面面。工信领域数据合规已经不仅是单纯某一公司的内部事务,而是关系每个人的切身利益,工信领域数据安全正从公司事项演变为个人事项、社会事项,乃至国家事项。
三、工业和信息化领域数据合规面临挑战
(一)数据固有属性带来的挑战
1. 数据量大。工业互联网平台连接设备种类繁多、数据条目数量庞大、涉及企业近千万家,其中关于安全边界的防护、数据分级分类处理、网络安全监管等问题亟待解决。
2. 数据质低。据“数据观”统计,企业每年因工业大数据质量低下影响数据分析结果而遭受的损失占据其整体收益的10%-20%。中国数据资产管理发展较晚,中国仅有30%的工业企业已开展数据治理,近51%的企业仍沿用文档等原始的数据管理方式,企业数据资产管理意识不强易导致有价值的数据流失,为企业收益带来风险。
3. 数据控难。数据并非有形物,不易于控制,数据泄露、数据篡改、数据传输、非法访问等侵犯数据安全的方式多样且隐蔽性强。
(二)数据主体身份多元化带来的挑战
根据《数据安全法》《网络安全法》《个人信息保护法》等法律及相关文件规定,企业负有多重身份所带来的责任和义务,如重要数据处理者、网络运营者、个人信息处理者、关键信息基础设施运营者等。在身份认定尚不明晰的情况下,极易导致责任认定缺失。
(三)数据发展阶段带来的阶段性挑战
1.工信领域企业自身对于数据合规重要性的认识还处于初级阶段或者还停留在传统对于企业资产保护和使用的阶段,不能满足数据时代的新要求。
2.法律还不完善,尤其是数据确权、流通等基础性法律概念尚未得到立法确认,也给工信领域数据流通带来一定的困扰。同时,相关规定正处于跟进阶段,也给规范监管带来挑战。
四、工业和信息化领域数据合规治理方案
(一)数据盘点
通过开展数据盘点,厘清、清洗、整理和完善工信企业相关业务活动所产生的数据库、文件文档、字段代码等数据,同时将数据进行标签化和构建目录,提升数据可读性和可用性。从而为企业的科学决策和服务提升构建一个良好的数据中台,为企业的数据合规管理和网络安全打好基石。进行数据盘点主要分为以下几步:
1.数据收集
根据企业部门划分或数据范围制定《数据盘点收集表》,从而规范统一数据基本信息,便于构建数据标签化和构建目录。数据收集的主体可由企业数据合规部门、行政部门、技术部门以及外部律师或技术团队构成,数据收集时应当遵循合法、全面、真实、动态的原则。依据数据盘点收集表,将收集工具和具体的业务部门进行链接,并指定1-3名人员进行配合,主要采集对象包括系统数据库、文件文档、字段代码等。
2.数据识别
根据数据分类分级具体要求以及企业实际情况,将原始数据进行识别;原始数据包含大量无意义数据,比如:空白文件、错误代码、文件副本、部分过程性文件等,应对其进行识别和过滤;可以通过技术手段进行过滤,同时通过人工识别将其中涉及到法律法规和指南标准规定的数据内容进行有效识别,从而进行判断是否可以收集。同时应当注意,数据之间的合法性、关联性和有用性,保留注释信息、含义解读等。
3.数据标签
根据数据的各类原始数据信息和数据内容,进行深度剖析数据的各类特征,例如数据的法定分类、业务属性、安全等级、数据来源等进行标签化处理。从而帮助企业从法律视角、安全视角以及管理视角等维度立体化合规管理数据。
4.数据目录
根据数据的分类分级以及标签化处理后,将数据统一编制数据目录并规范编号,可结合企业情况建立数据资产目录。同时需要将数据目录的编辑、修改、访问、下载等权限进行设置。目录构建完毕后应进行穿透测试和评估,可聘请外部律师团队和技术团队针对数据目录的进行测试评估,以保障数据目录的合法性以及正常运营。
(二)数据分类分级管理
在数据清单的基础上,企业应建立数据分类分级管理制度,数据分类分级的对象通常是数据项、数据集,针对不同类别、级别的数据进行不同的权限设置,从而达到针对性的管理与保护。
(三)数据全生命周期安全管理
参考:
【1】 工业数据安全的合规与防护,载中国工业和信息化 2021年08期
【2】车伟 赵申《供电企业数据盘点与数据目录构建研究》,《机电信息》2019年第36期
【3】2021八大数据泄露案例盘点:企业如何实现数据安全与信息保护合规?
https://www.sohu.com/a/489817382_121123752
北京策略律师事务所数据合规项目组
策略数据合规项目组在数据合规及个人信息保护领域拥有丰富的人才储备和实践经验。截止目前,项目组拥有通过EXIN(国际信息科学考试协会)DPO认证的律师12名,通过EXIN ISO27001认证的律师2名。
项目组由律师事务所执行主任庞理鹏律师领衔,庞理鹏律师是国内较早从事数据合规和个人信息保护的律师,在该领域具有很高的知名度和影响力。项目组律师和顾问背景多元,既包括曾在跨国集团担任法务的公司律师,也包括世界500强企业尤其是高科技企业的产品经理、技术经理。项目组大部分律师精通该领域的国内外法律和实践,是企业在中国及全球业务运营中的可靠商业伙伴。
律师介绍:
特别声明:以上仅代表笔者个人观点,不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨,欢迎与本所联系!
