工业和信息化领域数据合规全生命周期治理方案

策略律师

2022-02-24 22:07

0

打开网易新闻 查看精彩图片

打开网易新闻 查看精彩图片

从《工业和信息化领域数据安全管理办法（试行）》

（公开征求意见稿）视角谈起

伴随工业互联网、物联网等新一代信息技术赋能工业和信息化领域，工业和信息化领域正由破壁走向开放，并由开放趋向共融，工业控制系统和设备在互联网上共同协作运行，形成了大量工业数据。与此同时，工业大数据在面临传统网络威胁和工业互联网安全风险“双重压力”。大数据是“新基建”的核心和灵魂，包括数据滥用、数据偷窃、数据越权使用、数据泄露等在内的数据安全问题都会影响到发展“新基建”的效果。因而，工业和信息化领域数据合规成为了企业新的不可回避的课题。

一、工业和信息化领域数据合规政策概况

全面推进网络空间法治化建设，完善网络安全法配套规定和标准体系，我国已经初步搭建起以《数据安全法》《个人信息保护法》《网络安全法》《民法典》为动静脉，以《关键信息基础设施安全保护条例》等数据和个人信息保护的部门规章、国家标准、行业标准为毛细血管的数据治理法律体系。

打开网易新闻 查看精彩图片

同时，数据治理相关政策、办法与时偕行、相继出台。2021年11月15日工信部印发《“十四五”大数据产业发展规划》，明确提出优化工业价值链，以制造业数字化转型为引领，构建多层次工业互联网平台。同时还提出，围绕数据全生命周期关键环节，加快数据“大体量”汇聚，强化数据“多样化”处理，推动数据“时效性”流动，加强数据“高质量”治理，促进数据“高价值”转化；筑牢数据安全保障防线，坚持安全与发展并重，加强数据安全管理，加大对重要数据、跨境数据安全的保护力度，提升数据安全风险防范和处置能力，做大做强数据安全产业，加强数据安全产品研发应用等六项重点任务；通过数据安全铸盾行动，加强数据安全管理能力、数据跨境安全管理能力和建设数据安全监测系统。

2022年2月10日，工业和信息化部在此前收集到的征求意见基础上修改并再次发布《工业和信息化领域数据安全管理办法（试行）》（公开征求意见稿）。该文件为规范工业和信息化领域数据处理活动，加强数据安全管理，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益提供了具体的行动指南。

随着工业和信息化领域数据合规的不断深化，工信领域最终必将走向数据合规发展的道路。

二、工业和信息化领域数据合规现状

‍‍‍‍‍‍‍‍‍据彭博社报道，2021年7月，亚马逊公司面临欧盟有史以来最大的数据隐私泄露罚款，欧盟数据保护监管机构对其违反严厉的数据保护法规进行 7.46 亿欧元（约 57.29 亿元人民币）的处罚。据俄罗斯卫星通讯社援引美国媒体的报道，大众汽车集团曾宣称，330万名客户的数据遭泄露。泄露发生的原因是一家供应商在2019年8月至2021年5月期间将客户数据“未经保护”地留在互联网上。大众汽车及其子公司奥迪以及位于美国和加拿大的官方经销商都使用这个供应商的服务。视线转换到国内，六安市市场监督管理局和宁国市市场监督管理局官网显示案例化解析医疗机构场景下的数据合规和个人信息保护要点，因违法采集人脸信息，科勒卫浴多地代理商被处以行政罚款。

据“数据观”（大数据产业观察机构）统计，企业每年因工业大数据质量低下影响数据分析结果而遭受的损失占据其整体收益的10%-20%，而因企业数据不合规运营而导致的消费权益受损，其损失更是无法具体估量。2021年2月5日，国家工业信息安全发展研究中心发布《2020年工业信息安全态势报告》，报告提及“工业领域因运营成本高、数据价值大、社会影响广成为攻击的首选目标，全年捕获恶意攻击超200万次”等内容。

打开网易新闻 查看精彩图片

工业和信息化领域数据正在进入几何式增长的新阶段，大量数据不断产生，数据涉及每一个人、每一个组织、每一个国家的方方面面。工信领域数据合规已经不仅是单纯某一公司的内部事务，而是关系每个人的切身利益，工信领域数据安全正从公司事项演变为个人事项、社会事项，乃至国家事项。‍‍‍‍‍‍‍‍‍

三、工业和信息化领域数据合规面临挑战

（一）数据固有属性带来的挑战

1. 数据量大。工业互联网平台连接设备种类繁多、数据条目数量庞大、涉及企业近千万家，其中关于安全边界的防护、数据分级分类处理、网络安全监管等问题亟待解决。

2. 数据质低。据“数据观”统计，企业每年因工业大数据质量低下影响数据分析结果而遭受的损失占据其整体收益的10%-20%。中国数据资产管理发展较晚，中国仅有30%的工业企业已开展数据治理，近51%的企业仍沿用文档等原始的数据管理方式，企业数据资产管理意识不强易导致有价值的数据流失，为企业收益带来风险。

3. 数据控难。数据并非有形物，不易于控制，数据泄露、数据篡改、数据传输、非法访问等侵犯数据安全的方式多样且隐蔽性强。

(二）数据主体身份多元化带来的挑战

根据《数据安全法》《网络安全法》《个人信息保护法》等法律及相关文件规定，企业负有多重身份所带来的责任和义务，如重要数据处理者、网络运营者、个人信息处理者、关键信息基础设施运营者等。在身份认定尚不明晰的情况下，极易导致责任认定缺失。

(三）数据发展阶段带来的阶段性挑战

1.工信领域企业自身对于数据合规重要性的认识还处于初级阶段或者还停留在传统对于企业资产保护和使用的阶段，不能满足数据时代的新要求。

2.法律还不完善，尤其是数据确权、流通等基础性法律概念尚未得到立法确认，也给工信领域数据流通带来一定的困扰。同时，相关规定正处于跟进阶段，也给规范监管带来挑战。

四、工业和信息化领域数据合规治理方案

（一）数据盘点

通过开展数据盘点，厘清、清洗、整理和完善工信企业相关业务活动所产生的数据库、文件文档、字段代码等数据，同时将数据进行标签化和构建目录，提升数据可读性和可用性。从而为企业的科学决策和服务提升构建一个良好的数据中台，为企业的数据合规管理和网络安全打好基石。进行数据盘点主要分为以下几步：

1.数据收集

根据企业部门划分或数据范围制定《数据盘点收集表》，从而规范统一数据基本信息，便于构建数据标签化和构建目录。数据收集的主体可由企业数据合规部门、行政部门、技术部门以及外部律师或技术团队构成，数据收集时应当遵循合法、全面、真实、动态的原则。依据数据盘点收集表，将收集工具和具体的业务部门进行链接，并指定1-3名人员进行配合，主要采集对象包括系统数据库、文件文档、字段代码等。

2.数据识别

根据数据分类分级具体要求以及企业实际情况，将原始数据进行识别；原始数据包含大量无意义数据，比如：空白文件、错误代码、文件副本、部分过程性文件等，应对其进行识别和过滤；可以通过技术手段进行过滤，同时通过人工识别将其中涉及到法律法规和指南标准规定的数据内容进行有效识别，从而进行判断是否可以收集。同时应当注意，数据之间的合法性、关联性和有用性，保留注释信息、含义解读等。

3.数据标签

根据数据的各类原始数据信息和数据内容，进行深度剖析数据的各类特征，例如数据的法定分类、业务属性、安全等级、数据来源等进行标签化处理。从而帮助企业从法律视角、安全视角以及管理视角等维度立体化合规管理数据。

4.数据目录

根据数据的分类分级以及标签化处理后，将数据统一编制数据目录并规范编号，可结合企业情况建立数据资产目录。同时需要将数据目录的编辑、修改、访问、下载等权限进行设置。目录构建完毕后应进行穿透测试和评估，可聘请外部律师团队和技术团队针对数据目录的进行测试评估，以保障数据目录的合法性以及正常运营。

（二）数据分类分级管理

在数据清单的基础上，企业应建立数据分类分级管理制度案例化解析医疗机构场景下的数据合规和个人信息保护要点，数据分类分级的对象通常是数据项、数据集，针对不同类别、级别的数据进行不同的权限设置，从而达到针对性的管理与保护。

分类/级

类型

核心要点

依据

分类

分类

清单

工业企业结合生产制造模式、平台企业结合服务运营模式，分析梳理业务流程和系统设备，考虑行业要求、业务规模、数据复杂程度等实际情况，对工业数据进行分类梳理和标识，形成企业工业数据分类清单。

《工业数据分类分级指南（试行）》

第五条

分类方法

根据行业要求、特点、业务需求、数据来源和用途等因素的不同，工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。

《工业和信息化领域数据安全管理办法（试行）》（公开征求意见稿）第八条

数据种类

工业企业工业数据分类维度包括但不限于研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据域（与其他主体共享的数据等）。

平台企业工业数据分类维度包括但不限于平台运营数据域（物联采集数据、知识库模型库数据、研发数据等）和企业管理数据域（客户数据、业务合作数据、人事财务数据等）。

《工业数据分类分级指南（试行）》

第六条、第七条

分级

分级方法

根据不同类别工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、三级等3个级别。

《工业数据分类分级指南（试行）》第八条

数据级别

1、潜在影响符合下列条件之一的数据为三级数据：

（一）易引发特别重大生产安全事故或突发环境事件，或造成直接经济损失特别巨大；

（二）对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。

2、潜在影响符合下列条件之一的数据为二级数据：

（一）易引发较大或重大生产安全事故或突发环境事件，给企业造成较大负面影响，或直接经济损失较大；

（二）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或影响持续时间长，或可导致大量供应商、客户资源被非法获取或大量个人信息泄露；

（三）恢复工业数据或消除负面影响所需付出的代价较大。

3、潜在影响符合下列条件之一的数据为一级数据：

（一）对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小；

（二）给企业造成负面影响较小，或直接经济损失较小；

（三）受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短；

（四）恢复工业数据或消除负面影响所需付出的代价较小。

《工业数据分类分级指南（试行）》第九、十、十一条

（三）数据全生命周期安全管理

类别

核心要求

建立数据全生命周期安全管理制度

针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。

配备数据安全

管理人员

根据需要配备数据安全管理人员，统筹负责数据处理活动的安全监督管理，协助行业(领域)监管部门开展工作；

合理确定数据处理活动的操作权限，严格实施人员权限管理;

制定预案、进行演练、教育培训

根据应对数据安全事件的需要，制定应急预案，并定期进行演练;

定期对从业人员开展数据安全教育和培训;

特殊主体要求

工业和信息化领域重要数据和核心数据处理者，还应当:

(1)建立覆盖本单位相关部门的数据安全工作体系，明确数据安全负责人和管理机构，建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人，领导团队中分管数据安全的成员是直接责任人;

(2)明确数据处理关键岗位和岗位职责，并要求关键岗位人员签署数据安全责任书;

(3)建立内部登记、审批机制，对重要数据和核心数据的处理活动进行严格管理并留存记录。

数据收集

工业和信息化领域数据处理者收集数据应当遵循合法、正当的原则，不得窃取或者以其他非法方式收集数据。

数据收集过程中，应当根据数据安全级别采取相应的安全措施，加强重要数据和核心数据收集人员、设备的管理，并对收集时间、类型、数量、频度、流向等进行记录。

通过间接途径获取重要数据和核心数据的，工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式，明确双方法律责任。

数据存储

工业和信息化领域数据处理者应当依据法律规定或者与用户约定的方式和期限存储数据。存储重要数据和核心数据的，应当采用校验技术、密码技术等 措施进行安全存储，不得直接提供存储系统的公共信息网络访问，并实施数据容灾备份和存储介质安全管理，定期开展数据恢复测试。存储核心数据的，还应当实施异地容灾备份。

数据使用加工

工业和信息化领域数据处理者利用数据进行自动化决策分析的，应当保证决策分析的透明度和结果公平合理。使用、加工重要数据和核心数据的，还应当加强访问控制。工业和信息化领域数据处理者提供数据处理服务，涉及经营电信业务的，应当按照相关法律、行政法规规定取得电信业务经营许可。

数据传输

工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。

数据提供

工业和信息化领域数据处理者提供数据，应当明确提供的范围、类别、条件、程序等，并与数据获取方签订数据安全协议。提供重要数据和核心数据的，应当对数据获取方数据安全保护能力进行评估或核实，采取必要的安全保护措施。

数据公开

工业和信息化领域数据处理者应当在数据公开前分析研判可能对公共利益、国家安全产生的影响，存在重大影响的不得公开。

数据销毁

工业和信息化领域数据处理者应当建立数据销毁制度，明确销毁对象、规则、流程和技术等要求，对销毁活动进行记录和留存。个人、组织依据法律规定、合同约定等请求销毁的，工业和信息化领域数据处理者应当销毁相应数据。

销毁重要数据和核心数据的，应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案，不得以任何理由、任何方式对销毁数据进行恢复。

数据出境

工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。

数据转移

工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的，应当明确数据转移方案，并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据的，应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域) 或无线电管理机构(无线电领域)更新备案。

参 考

【1】 工业数据安全的合规与防护，载中国工业和信息化 2021年08期

【2】车伟 赵申《供电企业数据盘点与数据目录构建研究》，《机电信息》2019年第36期

【3】2021八大数据泄露案例盘点：企业如何实现数据安全与信息保护合规？

·北京策略律师事务所数据合规项目组

策略数据合规项目组在数据合规及个人信息保护领域拥有丰富的人才储备和实践经验。截止目前，项目组拥有通过EXIN（国际信息科学考试协会）DPO认证的律师12名，通过EXIN 认证的律师2名。

项目组由律师事务所执行主任庞理鹏律师领衔，庞理鹏律师是国内较早从事数据合规和个人信息保护的律师，在该领域具有很高的知名度和影响力。项目组律师和顾问背景多元，既包括曾在跨国集团担任法务的公司律师，也包括世界500强企业尤其是高科技企业的产品经理、技术经理。项目组大部分律师精通该领域的国内外法律和实践，是企业在中国及全球业务运营中的可靠商业伙伴。

·律师介绍

打开网易新闻 查看精彩图片

庞理鹏

策略律所数据合规项目组负责人

北京策略律师事务所党支部书记、执行主任；

中国信息通信研究院个人信息保护合规审计推进小组成员；

国际信息科学考试学会（EXIN）数据保护官（DPO）&信息安全官、（ISO）双认证律师、并担任该考试协会数据保护官（DPO）授权培训讲师；

北海国际仲裁院仲裁员；

北京多元调解发展促进会策略区块链与数字经济争议调解中心负责人

孙亮

策略律所数据合规项目组成员

清华大学法律硕士，曾在法院系统具有近七年的民商事、行政、执行审判实践经验；参与多个国家级科研项目并公开发表多篇专业文章；近年来专注数据合规方面法律研究和实践应用。