治大国若烹小鲜。2月10日,工信部再次面向行业内外公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见,进一步彰显了国家对数据安全的重视程度和谨慎小心。前一次意见征集,是2021年9月30日,工信部对《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》公开征求意见,政府部门对行业反馈的意见进行吸收使用后,形成此次征求意见文本,必将较之以往更为精准有效。
工信部公开征求《工业和信息化领域数据安全管理办法(试行)》的意见
两次意见征求都指出,工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式收集数据,工业和电信数据处理者未经个人、单位等同意,不得使用数据挖掘、关联分析等技术手段针对特定主体进行精准画像、数据复原等加工处理活动,对工业和电信数据的生产使用进一步扎牢法规机制“篱笆”。
其实,政府部门对数据安全管理多次征集意见,是国家从政策法规和实践试点两个层面进行数据安全布局的实际体现。
随着大数据、人工智能等新技术新业态不断深化发展,数智时代逐渐浮出水面,对于各种应用、各种设备间的数据交互过程,以及外部设备采集、存储、处理、分发、利用和处置数据的过程,政府在积极发挥主导角色,持续推动立法程序,细化落实监测预警等制度,努力改变以往的数据安全失之于宽、失之于管的弊端,充分保障数据安全,此前某滴被调查国外上市就是例证,为互联网行业敲响了数据安全的警钟。
早在2015年,《国家安全法》便已对“数据的安全可控”作出原则性规定。2021年颁布施行的《数据安全法》作为我国数据领域的基础性法律,系统性聚焦数据安全领域的风险隐患,加强国家数据安全工作的统筹协调,确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度。其中,该法于第四章专门规定了数据处理者应当遵循一系列的“数据安全保护义务”。对于开展数据处理业务的公司而言,应当思想上主动认清现实,改变过去那种无视、忽视,或轻视数据隐私安全的旧思维,国家也将引导企业在法律合规、数据管理、新技术应用等领域完善自律机制,进一步明确企业主体责任和义务,推进行业服务标准建设和行业自律,防范数据安全风险。
《互联网信息服务算法推荐管理规定》
《数据出境安全评估办法(征求意见稿)》
同时,在《数据安全法》之外,政府也在大力推进数据安全的配套立法和发展规划。2021年,工业和信息化部、国家互联网信息办公室等部门先后发布了《数据出境安全评估办法(征求意见稿)》、《网络数据安全管理条例(征求意见稿)》、《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》、《互联网信息服务算法推荐管理规定》等。对于开展数据处理业务的公司而言,需要及时关注跟进相关数据安全立法,建立健全平台数据合规体系,严格落实平台治理的相关政策法规,持续强化自身的合规治理体系,避免出现违反数据安全法规问题。
此外,政府部门以《数据安全法》为基础,稳步推进相关试点工作。比如2021年12月10日工业和信息化部办公厅发布《关于组织开展工业领域数据安全管理试点工作的通知》,致力于通过试点工作探索构建工业领域数据安全管理体系,有效保障数据安全,推动数字经济高质量发展。2021年和2022年两次对《工业和信息化领域数据安全管理办法(试行)》征求意见,就是工业领域数据安全管理试点的内容之一,为试点工作构建全面的数据安全法律法规,目的也是为了更好地促进工业和信息化领域数据的有效生产使用。
在此次征求意见中,《工业和信息化领域数据安全管理办法(试行)》对工业和信息化领域的数据类型进行了明确。工业和信息化领域数据主要包括工业数据、电信数据和无线电数据。其中,工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据;电信数据是指在电信业务经营活动中产生和收集的数据;无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。这就涵盖了工业和信息化领域所产生和使用的各类数据,并根据行业要求、特点、业务需求、数据来源和用途等因素,强调了工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等,并根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和信息化领域数据分为一般数据、重要数据和核心数据三级。
同时,《工业和信息化领域数据安全管理办法(试行)》对数据的存储备份、加工使用、流转公开、收据收集的方式原则、数据全生命周期安全管理、数据安全监测预警与应急管理等内容进行了明确,指出了针对不同数据安全级别要采取相应的安全措施,细化了数据安全管理内容,突出了数据的审批备案监管,强调了数据生产使用对公共利益、国家安全不能造成危害这一红线底线。
此外,《工业和信息化领域数据安全管理办法(试行)》鼓励数据开发利用和数据安全技术研究,支持推广数据安全产品和服务,培育数据安全企业、研究和服务机构,发展数据安全产业,提升数据安全保障能力,促进数据的创新应用。并指出,工业和信息化领域数据处理者研究、开发、使用数据新技术、新产品、新服务,应当有利于促进经济社会和行业发展,符合社会公德和伦理。这些政策为网络安全行业的飞速发展提供了理想的政策空间。
国务院印发《“十四五”数字经济发展规划》
此前,2021年12月12日国务院印发《“十四五”数字经济发展规划》,部署了八方面重点任务,其中之一是着力强化数字经济安全体系,强调要强化落实网络安全技术措施同步规划、同步建设、同步使用的要求,加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,健全完善网络安全应急事件预警通报机制,提升网络安全态势感知、威胁发现、应急指挥、协同处置和攻击溯源能力,确保重要系统和设施安全有序运行。同时,《“十四五”数字经济发展规划》指出,国家将建立完善政府、平台、企业、行业组织和社会公众多元参与、有效协同的数字经济治理新格局,要强化针对新技术、新应用的安全研究管理,为新产业新业态新模式健康发展提供保障。
在信息产业不断升级,云计算、大数据、物联网不断渗透到各个行业的情况下,云安全、数据安全与物联网安全领域等需求正在超越传统安全产品赛道,安全行业也将从存量市场进入增量市场,早有规划、提前介入的企业将会在新的机遇中拔得头筹,促进行业组织、政府、平台形成数据安全治理合力。国家也会针对不同类型数据特点,支持市场主体依法合规开展数据采集,聚焦数据的标注、清洗、脱敏、脱密、聚合、分析等环节,提升数据资源处理能力,培育壮大数据服务产业,探索建立多样化的数据开发利用机制,鼓励市场力量挖掘商业数据价值,推动数据价值产品化、服务化,促进数据、技术、场景深度融合,在确保数据安全、保障用户隐私的前提下,调动行业协会、科研院所、企业等多方参与数据价值开发,同时,严厉打击数据黑市交易,营造安全有序的市场环境。
数据资源化框架图(资料来源:中国信息通信研究院)
这是国内数据安全布局带来的新机遇,同样,这样的数据安全布局,也给网络安全企业带来国际机遇。国家大力推进“十四五”数字经济发展,其中,有效拓展数字经济国际合作是重要组成,未来将依托自由贸易试验区、数字服务出口基地和海南自由贸易港,针对跨境寄递物流、跨境支付和供应链管理等典型场景,构建安全便利的国际互联网数据专用通道和国际化数据信息专用通道,同时,围绕数据跨境流动、市场准入、反垄断、数字人民币、数据隐私保护等重大问题,探索建立治理规则,依托双边和多边合作机制,开展数字经济标准国际协调和数字经济治理合作。这些政策的号召,为网络安全公司打开了通往国际数据安全蓝海的红利之门。
文:万壑传 / 数据猿
