南方财经全媒体记者 吴立洋 21世纪经济报道 记者蔡姝越 实习生谭砚文 北京，上海报道

工业数据，作为数字经济发展过程中涉及产业最广、关联生产环节最深的数据类型之一，其安全管理一直是工业和信息化企业数字化转型过程中的重中之重。

12月14日，工信部印发《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》），共八章四十二条，从界定工业和信息化数据和数据处理者概念，确定数据分类分级管理等方面进一步明确了相关数据的安全管理要求。

据悉，《管理办法》将自2023年1月1日起施行。

新增无线电数据、个人信息保护、数据跨境等工作部署

21世纪经济报道记者注意到，相较于2021年12月公布的征求意见稿，在此次公布的《管理办法》中，新增了对无线电数据的解释和要求，并将对无线电业务造成损害的数据纳入核心数据。

北京航空航天大学法学院副教授、工业和信息化法治战略与管理重点实验室办公室主任赵精武向21世纪经济报道记者分析，无线电数据属于能够反映网络通信、频谱电波传递等无线电核心业务的具体参数，而无线电在日常生活中使用广泛，大到航空导航、气象监测、武器研发，小到GPS导航、通讯对话。

“一旦这些无线电数据发生泄露、损毁等安全事件，极有可能导致航空安全事故、通讯对话被监听等严重的安全后果，直接威胁到我国国家安全和社会稳定。”他说。

2020年6月，国家安全机关在反间谍专项行动中发现，有境外数据公司通过网络在境内私下招募“数据贡献员”。广东省湛江市国家安全局据此开展调查，在麻斜军港附近发现有可疑的无线电设备在持续搜集湛江港口舰船数据，并通过互联网实时传往境外。经查，事件起因系广东湛江一无线电爱好者在自家阳台架设境外自主的AIS陆基基站设备，因为其住宅位置与军港距离极佳，导致持续4年泄露我国重要机密信息。

北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括则告诉21记者，无线电数据原本就是工信领域中一种相当典型的数据类型，且在工信部的职权范围之内，本次公布的《管理办法》实际上是对这一数据类型做出了更加明确的规定。

此外，在个人信息保护方面，《管理办法》中也增添了相关要求。其中第三十八条提到，开展涉及个人信息的数据处理活动，还应当遵守有关法律、行政法规的规定。

吴沈括认为，当下监管部门在制定数据安全相关文件时，将个人信息保护作为考虑要素纳入是比较常见的做法。“这样的立法技巧，也有助于企业在合规的工作当中，将个人信息、重要数据、核心数据和一般数据做出一体化的合规管理。”

值得关注的是，数据传输中非常关键的跨境问题也在《管理办法》中被提及。第二十一条中指出，工业和信息化领域数据处理者在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估。

此外，文件中进一步指出，工业和信息化部根据有关法律和中华人民共和国缔结或者参加的国际条约、协定，或者按照平等互惠原则，处理外国工业、电信、无线电执法机构关于提供工业和信息化领域数据的请求。非经工业和信息化部批准，工业和信息化领域数据处理者不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据。

赵精武认为，此次工信部专门制定数据跨境的相关要求，主要有两方面的原因。一是确保核心数据和重要数据安全，避免包含我国前沿科技成果、社会运行状况等敏感内容的工业和信息化数据被外国敌对势力窃取，进而威胁到我国国家安全。二是保障数据安全流动，因为数据安全不等于数据本地化存储，对于可以跨境流动的数据类型，通过监管机构的授权许可或安全审查，与境外合作伙伴进行必要的数据合作，能够有效实现这些数据的经济价值。

“因此，《管理办法》第二十一条规定实际上有利于规范我国工信和信息化领域的数据处理者与境外机构的数据交互合作模式和安全保障标准。”他说。

企业需尽快识别重要数据

近年来，我国不断出台各领域数据安全相关的政策法规，作为主要面向产业端的工信数据，较之其他领域的数据有何不同，在安全建设中又有哪些值得关注的部分呢？

吴沈括认为，工信领域数据值得特别关注，主要是因为其具有较强的产业色彩，在我国目前的数据管理制度框架中，强调针对各领域、各部门专门的管理规则，作为本身跟人和产业融合度、关联度都很高的工信领域数据，自然也需要专门做出规定。

赵精武则表示，一方面，诸如电信数据、无线电数据等直接关系到我们日常生活中的通信联络、商务办公乃至接入互联网等基础信息服务；另一方面，工业数据等则能够反映我国经济社会运行状况、高精尖产业前沿成果等重要信息。

当这些数据与基础设施或国家安全高度绑定，一旦发生安全攻击或数据泄露等问题，势必极大程度上影响公众生活和企业运营。2021年美国成品油管道运营商科洛尼尔管道运输公司遭受了勒索软件的攻击，致使东海岸数州出现“油荒”；今年丰田汽车遭遇网络攻击，使得其全部日本工厂被迫关停，都体现出工信领域安全对于社会和产业的重要性。

赵精武强调，在工业和信息化数据的安全管理与保护上，数据处理者需要采用高严格的内部安全管理制度、更高安全标准的技术保障措施确保这些数据的安全；并且，对于符合《数据安全法》“核心数据”要求的特定数据，则需要采取严格的保密措施予以全流程安全管控。

事实上，在工业和信息化领域，数据安全的重要性正受到越来越多的关注与重视，除本次发布的《管理办法》外，《网络安全法》《数据安全法》等上位法，《网络安全等级保护条例》《关于加强工业互联网安全工作的指导意见》等政策也先后出台明确了工信领域数据安全建设的整体框架。

吴沈括指出，对企业而言，保障数据安全已成为基础的合规要求，需要落实到数据全生命周期安全管理中，也有助于企业系统性地全面建立自身的授权管理体系，引导其对委托处理、共同处理等重点场景和安全审查的工作加以重视。

“需要特别注意的是，企业要识别自身掌握的一般数据、重要数据和核心数据。”吴沈括表示，企业应尽快理解《管理办法》中对于数据划分的判断标准，并关注国家有关重要数据目录的制定情况，结合具体的行业部门重要数据目录指引来丰富和完善自身的识别标准，以充分满足数据的合规与安全要求。

赵精武则建议，行业协会等自律组织可以组织企业探讨和制定本行业的重要数据识别和备案参考标准，通过统一的识别标准高效帮助不同规模的企业，在短时间高效完成重要数据识别和备案。

更多内容请下载21财经APP