从“大国制造”到“大国智造” —工业数据若干合规问题研究

2022-07-12 15:26


以下文章来源于锦天城律师事务所 ,作者吴卫明 李荣荣等


作者:吴卫明 李荣荣 施瑞燕




以数字化驱动的新一轮工业革命正蓬勃兴起,工业领域日益成为数字化转转型的重要领域。再人、机、物全面互联的新模式下,工业数据成为本轮工业革命加速发展的重要要速。工业和信息化部(以下简称“工信部”)部长于肖亚庆于2022年5月26日在2022中国国际大数据产业博览会上提出:“大数据应用从互联网、金融、电信等领域逐步向智能制造等领域拓展,极大丰富了我国数据资源,催生一批新场景新模式新业态”[1]。




但是,相较金融数据、政务数据、健康医疗数据、汽车数据等领域,工业数据法律法规体系建设尚处于起步阶段。工业数据在研发设计、生产控制、运营管理、应用服务等各相关均有涉及,部分环节的数据安全事件,有可能引发企业工业生产经营活动停滞,因而隐藏的安全风险较大。本文将梳理工业数据法律法规现状,阐释工业数据的概念及内涵,并提出合规建议。




一、 工业数据法律法规概览




工业数据合规所涉及的法律法规主要包括《网络安全法》《数据安全法》《国家安全法》等数据安全方面的一般法律规则,以及工业数据领域的专门法律规则,前者为工业数据合规提供了基本原则,后者则构成了工业数据合规的主体架构。进一步而言,就工业数据领域的专门法律规则,目前形成了《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》为引领,主管机关工信部出台的多部部委规章为重要组成部分的格局,现梳理该等工业数据合规的专门法律规则并重点介绍如下:





2017年11月19日,国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,提出工业互联网作为新一代信息技术与制造业深度融合的产物,日益成为新工业革命的关键支撑和深化“互联网+先进制造业”的重要基石,并将建立工业数据安全保护体系(如收集、存储、处理、转移、删除等环节的安全防护能力、分级分类管理制度、安全监督检查等)明确列为规范和发展工业互联网的主要任务之一[2]。




2020年2月27日,工信部发布了《工业数据分类分级指南(试行)》( 工信厅信发〔2020〕6号),适用于工业企业、工业互联网平台,界定了工业数据的定义,提出了工业数据分类分级的具体要求。




2020年4月28日,工信部发布了《关于工业大数据发展的指导意见》,规定了工业大数据的概念,并对工业数据的汇聚、共享、安全治理、安全管理体系等方面提出了方向性意见。




2021年9月30日,工信部首次对《工业和信息化领域数据安全管理办法(试行)》征求意见(以下简称“旧版《工信数据管理办法(征求意见稿)》”),该管理办法定位于工业和信息化数据安全管理的顶层设计,主要界定了工业数据的概念,提出了工业数据分类分级、安全管理等工作的具体要求,构建了工业数据领域的监管体系,明确了工业数据全生命周期安全保护要求等;




2022年2月10日,工信部对《工业和信息化领域数据安全管理办法(试行)》再次征求意见(以下简称“新版《工信数据管理办法(征求意见稿)》”,新旧两版《工信数据管理办法(征求意见稿)》以下统称“《工信数据管理办法(征求意见稿)》”),调整了工业数据的概念,不再采用数据处理者应当坚持先分类后分级的表述,增加了何种情形下需要履行重要数据和核心数据目录备案变更手续等。




此外,中国工业互联网产业联盟还发布了多部工业数据领域的行业指导文件,包括《工业互联网平台白皮书(2017)》《工业大数据技术与应用白皮书》《工业互联网平台 安全防护要求》《工业互联网 网络安全数据采集装置 技术要求》《工业大数据分析案例剖析》《可信工业数据空间系统架构1.0 》等白皮书、技术标准,在目前工业数据领域法律法规体系尚未健全的情况下,为工业数据安全管理的落地执行提供了参考。




二、 工业数据的概念







结合上述相关法律及规范性文件中工业数据的概念,对工业数据的理解可从如下两个方面入手:




1、工业数据的产生主体




从上述相关法律及规范性文件的发布时间先后来看,工业数据涉及的主体范围逐渐趋于宽泛,具体而言:




首先,《工业数据分类分级指南(试行)》《关于工业大数据发展的指导意见》明确规定,工业数据的主体涵盖工业企业和工业互联网平台企业两种类型。其中:(1)工业企业比较容易理解,即从事工业各行业各领域的企业;(2)工业互联网平台企业的理解则较为复杂,法律法规层面尚未界定何为工业互联网平台,参考工业互联网产业联盟发布的《工业互联网平台白皮书(2017)》,工业互联网平台是面向制造业数字化、网络化、智能化需求,构建基于海量数据采集、汇聚、分析的服务体系,支撑制造资源泛在连接、弹性供给、高效配置的工业云平台。工信部于2022年5月24日公布了《2022年跨行业跨领域工业互联网平台名单》,共计遴选了包括海尔卡奥斯物联生态科技有限公司搭建的“卡奥斯COSMOPlat工业互联网平台”在内的28家平台。




其次,《工信数据管理(征求意见稿)》在《工业数据分类分级指南(试行)》《关于工业大数据发展的指导意见》基础上,将工业数据范围界定为在“工业各行业各领域”中,新版《工信数据管理办法》在表述方式上进一步将工业数据产生、使用、收集的主体从原先逐一列举的行业直接明确为“工业各行业各领域”。其中,对于“工业各行业各领域”的理解,结合《国民经济行业分类》和国家统计局发布的“2022年1—4月份全国规模以上工业企业利润增长3.5%”中“行业”字段的统计口径[3],“工业行业”包括B“采矿业”、C“制造业”、D“电力、热力、燃气及水生产和供应业”三个门类及其下属的煤炭开采和洗选业等41个大类。




实务中,除了工业企业、工业互联网平台这两种典型的主体类型外,还包括其他主体类型,比如,(1)工业数据交易场所:《关于工业大数据发展的指导意见》明确提出:“构建工业大数据资产价值评估体系,研究制定公平、开放、透明的数据交易规则,加强市场监管和行业自律,开展数据资产交易试点,培育工业数据市场” ,数据有序流动是挖掘其最大价值的有效途径之一,工业数据也不例外,建设规范、可信的工业数据流通环境至关重要。(2)工业企业以外的上下游供应链企业:上下游供应链企业不一定属于工业企业、工业互联网平台,比如,为某制造业厂商提供设备及生产线保养维护的企业,其服务数据能够反映该设备与生产线的运行状况,也会被纳入工业数据范畴。




2、工业数据的产生环节




在工业数据的产生环节,上述相关法律法规、规范均列举了研发设计、生产制造、经营管理、运行维护、平台运营过程中产生的数据。同时,新版《工信数据管理办法(征求意见稿)》剔除了旧版《工信数据管理办法(征求意见稿)》列明的“应用服务过程中收集和产生的数据”,结合《工业数据分类分级指南(试行)》中的工业数据概念,从字面上理解,“平台运营”包括工业互联网平台企业的“设备接入、平台运行、工业APP应用等过程”,“平台运营”可囊括“应用服务”环节,故新版《工信数据管理办法(征求意见稿)》未进一步列举“应用服务”环节。




三、 工业数据与其他行业数据的关系




1、电信数据




新旧两版《工信数据管理办法(征求意见稿)》均提及了电信数据,电信数据是电信业务经营活动中产生和收集的数据。如前所述,工业数据是工业各行业各领域相关活动中产生和收集的数据,两者产生和收集数据所在的行业领域不同。按照《国民经济行业分类》划分的行业分类,电信业务被划分至《国民经济行业分类》中的I门类“信息传输、软件和信息技术服务业”,与工业行业分属不同的行业门类。




根据《中华人民共和国电信条例》《电信业务分类目录》,电信业务又分为基础电信业务和增值电信业务:(1)基础电信业务,是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务,包括固定通信业务、蜂窝移动通信业务、第一类卫星通信业务、第一类数据通信业务、IP电话业务等。(2)增值电信业务,是指利用公共网络基础设施提供的电信与信息服务的业务,包括互联网数据中心业务、内容分发网络业务、互联网接入服务业务、存储转发类业务、呼叫中心业务、信息服务业务等。截至2022年4月底,全国增值电信业务经营许可企业共125006家,合计拥有176105个许可项目[4]。




虽然电信数据与工业数据分属不同数据类型,但两者在一定情况下会产生交集。比如通过云计算机构搭建的工业互联网平台,如果服务方以公有云的方式搭建平台或者为工业互联网平台提供云架构的支持,则云服务商需要取得数据中心及互联网资源协作的增值电信业务许可。在工业互联网平台上的数据,一方面构成工业数据,另一方面也可能被认定为电信数据。




2、汽车数据




根据《汽车数据安全管理若干规定(试行)》,汽车数据包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。而汽车数据处理者,是指开展汽车数据处理活动的组织,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。




从行业角度分析,汽车数据与工业数据之间属于交叉关系,具体而言,结合《国民经济行业分类》,汽车相关的行业包括“C制造业”门类下的“汽车制造业”(第36大类),“G交通运输、仓储和邮政业”门类下的“道路运输业”(第54大类),以及“O居民服务、修理和其他服务业”门类下的“机动车、电子产品和日用品产品修理业(第81大类)”,以及车联网等领域。如新版《工信数据管理办法(征求意见稿)》生效,前述“汽车制造业”产生和收集的数据将被纳入工业数据,而“道路运输业”和“机动车、电子产品和日用品产品修理业”产生和收集的数据将不被纳入工业数据范畴。两者的关系示意图如下:







四、 工业数据安全管理合规建议




1、建立和完善工业数据分类分级制度




建议企业根据《数据安全法》《工信数据管理办法》《工业数据分类分级指南(试行)》《网络安全标准实践指南——网络数据分类分级指引》等法律文件,建立符合法律法规、行业标准和契合企业自身情况的分类分级标准。




就工业数据分类而言,相关标准和指引提出了一些可行的做法,具体包括:(1)《网络安全标准实践指南——网络数据分类分级指引》等一般法律规则提出了数据分类的基本原则,即在遵循国家和行业数据分类要求的基础上,从多个维度进行分类[5];(2)新版《工信数据管理办法》结合工业数据的概念,从工业数据产生环节角度,提出了工业数据的基本类型,即研发设计数据、生产制造数据、经营管理数据、运行维护数据、平台运营数据等;(3)《工业数据分类分级指南(试行)》第六条、第七条从工业企业、互联网平台企业的主体和工业数据产生环节相结合的角度,提出了工业数据更为详细的分类维度,即工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等);平台企业工业数据分类维度包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。




就工业数据的分级而言,(1)《数据安全法》《网络安全标准实践指南——网络数据分类分级指引》《工信数据管理办法》规定的分级标准基本一致,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益或工业生产、经济效益等方面造成的危害程度,将工业数据的等级从低到高分为一般数据、重要数据和核心数据等3个级别;(2)《工业数据分类分级指南(试行)》第三章规定,根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据从低到高分为一级、二级、三级等3个级别。




2、重要数据和核心数据目录备案




《数据安全法》《工业数据分类分级指南(试行)》等现行法律法规并未规定重要数据和核心数据目录备案机制,该机制系《工信数据管理办法(征求意见稿)》首次提出,要求涉及工业数据的企业主动将本单位重要数据和核心数据目录向地方主管工业和信息化主管部门备案。备案内容包括但不限于数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。重要数据和核心数据的类别或规模变化30%以上的,或者其它备案内容发生重大变化的,企业还应当在发生变化的三个月内履行备案变更手续。




该等列入重要数据和核心数据级别的工业数据可能会关乎到国民经济、行业发展、公共利益、社会秩序乃至国家安全,备案机制有助于国家加强对数据安全的管控。




3、工业数据全生命周期安全防护




建议企业针对不同类别级别的工业数据,从收集、存储、加工、传输、提供、公开、销毁、跨境、承接、委托处理等各环节落实安全防护要求。结合《数据安全法》《工信数据管理办法(征求意见稿)》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全防护指南》等相关法律法规


4、数据安全监测预警与应急管理




结合《网络安全法》《数据安全法》《工信数据管理办法(征求意见稿)》等相关法律法规,建议企业建立安全监测预警与应急管理机制



五、 小结




目前我国正处于“大国制造”迈向“大国智造”的关键转型时期,《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》也在国家战略层面明确提出要积极稳妥发展工业互联网,工业数据既是维系工业互联网稳定运行的基础,业务制造业数字化转型的保障,可以预见,工业数据相关的法律法规数量将逐步增多、法律体系将更加完善、合规监管也将趋于严格。


推荐新闻
会员升级
会员升级