标签:公司与并购-公司合规体系,数字经济,汽车、制造业及工业-工业及制造业
技术革新正以千帆竞发之势推动人类社会生产力的变革。从第一台数控机床的诞生到柔性制造(计算机辅助制造)的出现以及计算机集成制造数字化的发展,再到“互联网+”与制造业的碰撞,智能制造不断向数字化、网络化、智能化的方向深化。如今作为工业4.0时代核心的 “智能制造”更是我国推动新一代信息技术与制造技术融合发展的主攻方向。
智能制造是基于新一代信息通信技术与先进制造技术深度融合,贯穿于设计、生产、管理、服务等制造活动的各个环节,具有自感知、自学习、自决策、自执行、自适应等功能的新型生产方式。[1]2021年工信部等八部门发布的《“十四五”智能制造发展规划》指出,2035年规模以上制造业企业全面普及数字化网络化,重点行业骨干企业基本实现智能化。
如今快速迭代的5G技术、大数据、云计算、人工智能等新一代信息技术已逐步与制造业融合。随着人工智能大模型的发展,工业与数据之间的绑定将进一步加深。对于企业而言,智能制造是关乎长期生存和发展的必答题,工业数字化正在成为工业领域的必然选择。
一、为什么要重视工业数据的保护?
1. 满足企业自身发展的需求
智能制造利用数据的交互、计算、衍生带动人力、物力、技术、资本等生产要素的优化配置,从而降低生产企业内部摩擦成本,促进生产链一体化整合,优化生产的全周期协作,整体提升企业生产效率。但是,随着企业不断推进数字化转型、生产资料上云以及新产品或服务开发过程中加强对数据流转与计算的应用,企业原本相对隔离、静态的管理模块被快速流动的数据所打破,与数据相关的管理制度和流程更加复杂多变,传统的企业安全管理措施难以有效应对。
与此同时,随着企业核心生产资料或重要生产信息的不断数字化,企业将可能面临更多的数据安全事件。一旦数据泄露事件发生,不仅可能对企业及相关个人的合法权益造成损害,还有可能危害到国家和社会安全。
因此,守住数据安全的红线、建立企业内部工业数据安全管理体系是企业在推进智能制造、加速释放数据价值过程中的坚固基石和有力保障。
2. 履行工业数据法规的要求
《数据安全法》作为数据保护领域的核心法规,确立了数据分类分级、数据全生命周期安全管理、数据跨境流动监管、数据合法收集等数据处理者的主要法律义务。
2023年1月1日起正式实施的《工业和信息化领域数据安全管理办法(试行)》(“《工信数据管理办法》”)进一步明确了工业数据处理者的安全管理义务,包括但不限于:(1)建立工业数据分类分级制度并初步明确分类类型与分级级别;(2)建立对工业数据全生命周期(包括工业数据的收集、存储、使用、加工、传输、提供、公开、委托处理、销毁、转移、跨境、记录)的管理制度;(3)数据安全检测预警与应急管理制度;(4)履行重要数据目录备案义务与风险评估报送义务等。随着《工信数据管理办法》这一工信领域数据保护核心监管法规的落地,工业数据保护的立法监管体系也正在逐步完善。
实践中,目前针对工业数据保护的执法活动还未大规模出现。但可以预见,随着相关法规、国标体系的进一步完善,工业数据的监管活动也会逐渐活跃,工业数据保护合规将成为工业企业合规的重点内容。
二、什么是工业数据?
工业数据的范畴十分广泛,《工信数据管理办法》将工业数据定义为工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。工信部出台的《工业数据分类分级指南(试行)》将工业数据界定为工业领域产品和服务全生命周期产生和应用的数据,并进一步明确工业数据包括工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业在设备介入、平台运行、工业APP应用等过程中生成和使用的数据。
从《工业数据分类分级指南(试行)》的规定来看,工业数据主要由两类主体产生,即工业企业和工业互联网平台企业。工业企业主要是指从事采矿业、制造业、电力、热力、燃气及水生产和供应业[2]的企业。工业互联网平台是指面向制造业数字化、网络化、智能化需求,构建基于云平台的海量数据采集、汇聚和分析服务,支撑制造资源广泛链接、弹性供给、高效配置的系统。[3]《工业数据分类分级指南(试行)》从数据主体角度明确工业数据范围,对企业判断自身是否涉及工业数据提供了指引。我们在下文“表1-工业数据处理企业常见系统与数据类型”中梳理了常见工业数据类型。
三、企业开展工业数据保护工作可能会遇到哪些难点?
基于我们的观察,涉及工业数据处理的企业在推进数字化转型的过程中,通常会面临以下难点:
1. 数据类型跨度较大、业务系统复杂
除一般企业通常具有的个人信息、财务数据、统计数据、管理数据等数据类型外,随着智能制造的不断推进,生产流程的数字化加深,工业数据处理企业在产品的设计阶段、生产阶段、物流阶段、销售阶段等各个阶段均会产生大量数据。
同时,随着工业数据处理企业信息化进程的深入,企业通常使用多套业务系统、如行政管理相关系统(OA系统,SAP系统,Workday系统,ADP系统等)、业务生产相关系统(MES系统、PCS系统等)、销售管理相关系统(CRM系统、SCM系统)等。企业内部多套系统存储数据往往互相重叠,系统之间可以相互访问和调取数据,这使得不同类别不同级别的数据在各系统中流转。企业难以针对不同级别数据采取不同的安全技术措施进行保护,进而增加合规风险敞口。
作为举例,我们在下表中梳理了工业数据处理企业主要生命周期中的常见系统与数据类型。[4]
表1-工业数据处理企业常见系统与数据类型
2. 同一数据涉及公司不同部门和主体
与以往企业间各部门相对静态的管理状态不同,如今智能制造使得企业各部门甚至各员工都有机会接触到彼此间的数据。针对数据级别建立访问控制机制,明确各部门间的数据传输路径对于企业防范内部数据安全风险十分重要。
同时,实践中企业为追求信息系统一体化,减少内部摩擦成本,公司内部不同主体会倾向于使用相同业务系统。而在公司内部不同主体使用相同业务系统时,将直接导致同一系统内的数据在公司内部各不同主体间流转,企业难以清晰梳理企业内部各主体间的数据处理关系(例如共享、委托处理)。这一问题在集团化的企业中尤为明显。
3. 重要数据保护不足
《工信数据管理办法》对重要数据在存储、使用、加工、传输、提供、委托处理、销毁、跨境中的安全管理义务均进行了明确,并规定重要数据目录的备案机制与风险评估报送制度。
实践中工业数据处理者可能掌握重要数据,例如工业数据处理者本身掌握的关系国家科技实力或涉及出口管制的设计原理、工艺流程、实验数据等;工业数据处理者可能通过产品获得的敏感区域地理位置信息,能源资源的储备和开发信息;工业数据处理者作为产品的提供方,向关键信息基础设施运营者等特定客户提供的设备的软硬件设计信息等。根据目前公开资料与相关实践,除了少量行业领域的特殊监管,大部分工业数据处理企业尚未与监管部门协同展开对企业内部重要数据的识别与管理工作。尽管如此,随着未来重要数据监管制度的不断推进,重要数据的识别与管理将成为企业合规工作的重点与难点任务。
四、企业该如何着手建设工业数据保护体系?
上文中提到,《工信数据管理办法》是工业数据保护体系的核心法规,其对工业数据的分类分级管理、全生命周期安全管理、数据安全检测预警与应急管理方面均作出规定,并着重体现工业数据处理者对重要数据的安全管理责任。
工信部在2023年5月22日发布的《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)从基础共性、安全管理等角度明确了监管机构对工业数据安全标准体系建设的思路(详见下图)。实践中,我们通常建议工业数据处理企业参考该安全标准体系思路,搭建企业内部工业数据保护合规体系。
表2工业数据安全标准体系
下文中我们将结合《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)的思路,分析企业搭建工业数据保护合规体系的若干重点内容。
1. 工业数据分类分级
工业数据处理企业对所掌握的数据进行盘点并进行分类分级是企业搭建数据合规保护体系的第一步。企业只有在全盘梳理内部数据,进行分类分级后,才能针对不同级别的数据提供不同级别的管理措施与技术保护措施。同时,数据分类分级也是《数据安全法》《工信数据管理办法》对企业明确提出的要求。工业数据分类分级既是企业应履行的法定义务,也是企业释放数据价值的基础工作。
《工业数据分类分级指南(试行)》对工业数据的分类与分级提出了基础要求,明确工业企业、平台企业的数据分类维度(如研发数据域、生产数据域、运维数据域、管理数据域、平台运营数据域、企业管理数据域),并明确工业数据分为三个级别。
《工信数据管理办法》进一步明确工业数据应基于行业要求、特点、业务需求、数据来源和用途等因素分类为研发数据、生产运行数据、管理数据、运维数据、业务服务数据;基于数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度分级为一般数据、重要数据、核心数据。
(1)工业数据分类
2023年7月1日实施的《GB/T 42128-2022 智能制造 工业数据 分类原则》从生命周期、系统层级和智能特征三个维度对智能制造所涉及的工业数据进行分类。生命周期的分类维度包括设计阶段、生产阶段、物流阶段、销售阶段、服务阶段;系统层级分类维度包括设备层、单元层、车间层、企业层、协同层;智能特征分类维度包括资源要素、互联互通、融合共享、系统集成、新兴业态。该国标同时对常见的生命周期分类维度与系统层级分类维度包含的具体数据类型进行示例(例如,生命周期分类维度设计阶段的数据类型具体包括:产品BOM数据、产品配方数据、工艺产能数据、工艺设计数据[5]),企业可以依据该示例在彻底盘点内部数据情况的基础上对企业内部数据进行分类。例如企业产品生产相关数据可以以生命周期维度进行分类,企业管理相关数据可以系统层级维度进行分类。
(2)工业数据分级
目前现有法规仅明确工业数据分为一般数据、重要数据与核心数据三级,前述工业数据的三个级别是相关法规从国家数据安全角度明确的数据分级基本框架。但如上文所述,由于一般情况下企业所掌握的数据范围较广,因此仅采用前述三个级别框架的安全级别保护可能无法满足不同数据的安全需求(例如一般数据中可能同时包括一般个人信息和敏感个人信息两类需要不同级别安全需求的数据)。因此,我们建议企业优先按照基本框架进行定级,在基本框架定级的基础上结合自身生产经营需求,对工业数据进行细化分级。同时,由于重要数据和核心数据的确定需依据行业内目录执行,企业可先着重细化一般数据的分级。
依据我们的观察,目前尚未有国家标准或相关文件专门明确工业数据分级方法。作为各领域通行的指引文件, 2021年发布的《网络安全标准实践指南——网络数据分类分级指引》、 2022年发布的《信息安全技术 网络数据分类分级要求》(征求意见稿)均可作为工业数据分级工作的初步参考。
对于企业数据分级流程而言,通常可分为如下步骤:(1)企业盘点内部数据情况后,结合重要数据目录、核心数据目录(或结合重要数据识别相关指引、核心数据识别相关指引)识别企业内部重要数据、核心数据与其他数据(即一般数据);(2)企业明确一般数据分级级别;(3)企业依据一般数据级别对企业内部一般数据进行分级;(4)动态更新企业内部一般数据级别。
同时,对于一般数据的分级又可细化流程为:(1)明确企业内部一般数据数据项、数据集等;(2)明确分级要素,包括数据的领域、群体、区域、精度、规模、深度、重要性、安全风险等;(3)分析数据影响,即分析数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享对社会稳定、公共利益、组织合法权益、公民合法权益造成的影响程度(一般危害、严重危害、特别严重危害)。
下表是我们梳理的工业数据处理企业数据分级的基本流程:
表3-企业数据分级的基本流程
企业内部数据分类分级后,即需搭建与数据级别对应的管理制度,针对级别不同的数据采取不同的管控措施与技术保护措施,以搭建完整的企业内部工业数据合规体系。
2. 工业数据安全管理制度
从体系构建思路的角度来看,一般工业数据的安全管理体系是企业数据安全体系的基础,企业若掌握重要数据,则需在一般工业数据合规管理体系的基础上,针对重要数据的特殊保护要求,进一步履行特定安全管理义务(请见下文分析)。
一般工业数据的合规管理体系包括人员与制度管理、工业数据全生命周期管理等。
(1)人员与制度管理
人员与制度管理是企业内部搭建工业数据合规管理体系的组织基础。通常而言,企业需形成工业数据保护管理制度、重要数据保护管理制度等文件确立企业内部工业数据保护方向,具体内容包括如建立企业内部数据安全工作体系框架,明确数据安全负责人与管理机构并建立常态化沟通与协作机制。各企业的内部管理体系和方式可能存在差异,但一般而言,工业数据保护管理制度是企业内部搭建工业数据合规体系的基础性文件,后续企业内部具体的管控措施与流程都将基于此文件展开。
《工信数据管理办法》对企业内部的人员管理主要提出两方面的要求,其一为明确谁负责数据安全;其二为明确谁可以处理数据。对于第一点,企业内部需明确数据安全管理人员与机构以统筹数据安全管理活动,同时需明确在具体数据处理活动中由谁(业务负责人、合规负责人等)负责数据处理安全,例如部分企业确立“谁处理数据即由谁负责数据”的数据处理责任制度;对于第二点,企业内部需建立数据处理活动操作权限,依据数据级别进行权限管理。明确数据安全责任人是企业内部推进数据安全管理,压实数据处理责任的有力保障。
(2)工业数据全生命周期管理制度
全生命周期管理是工业数据管理制度中最为重要的一环。企业需针对不同级别数据、制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。同时,由于工业数据全生命周期的处理活动与企业业务流程紧密关联,企业需将数据合规管控嵌入业务流程中,在业务流程中实现数据合规管控。
结合《工信数据管理办法》,我们将工业数据全生命周期管理制度要点梳理如下:
表4-工业数据全生命周期管理制度要点
3. 重要数据识别与管理
重要数据的识别与管理是工业数据处理企业需要面对的又一重点问题。相对于处理一般工业数据,重要数据处理者需搭建更严格的数据处理管理制度,履行更为严格的法定义务。
(1)重要数据识别
重要数据识别是重要数据管理的基础。实际上,无论企业是否识别到重要数据,识别结果本身对于企业而言都是强有力的定心剂:若发现企业内部掌握重要数据或发现企业内部掌握重要数据的可能性较高,企业则需针对这部分数据搭建重要数据全生命周期管理制度并履行重要数据目录备案与风险评估报告报送义务;若发现企业内部暂未掌握重要数据,企业则仅需针对一般的工业数据搭建相关管控制度。
从定义而言,《工信数据管理办法》目前明确了四类重要数据的范围:
表5-重要数据定义
仅从上述内容而言,企业较难对企业内部重要数据进行有效识别。2022年《信息安全技术 重要数据识别规则》(征求意见稿)发布,该征求意见稿对企业重要数据识别提供了一定的指引。
《信息安全技术 重要数据识别规则》(征求意见稿)明确了“直接影响国家主权、政权安全、政治制度、意识形态安全,如用以实施社会动员的数据等属于重要数据”等19类重要数据的识别因素,企业在识别重要数据时可结合前述识别要素与数据对国家安全、经济运行、社会稳定、公共健康和安全的影响及其他考量因素,依据数据类型定性定量的识别是否构成重要数据。
部分行业领域(例如汽车行业)已经提出了重要数据的典型类型,这为相关行业领域内的企业识别重要数据提供了进一步指引。同时,我们观察到一些地方网信办推出重要数据识别案例分享,这些案例在实践中亦有很大的参考价值。如上海网信办在2023年公布的相关案例提出通过分场景量化的方法分析是否构成重要数据的思路:首先识别数据集所属场景,其次结合对数据规模、数据时效性、数据类型和数据时间精度维度的判定确定重要数据集。[6]工业数据处理企业可吸收上述优秀案例的经验,探索企业内部重要数据识别路径。
(2)重要数据管理
《工信数据管理办法》同样明确了工业数据处理者对于重要数据的安全管理义务,包括重要数据备案义务,全生命周期安全管理、风险评估报送义务等。
目前,特定地区特定行业已经开始推进重要数据目录备案工作,随着相关法规的进一步落地,监管部门可能会全面落实企业重要数据管理义务。因此,我们建议企业未雨绸缪,尽早开展重要数据识别工作,一旦发现企业内部掌握重要数据或掌握重要数据的可能性较高,提前搭建企业内部重要数据合规管理体系。
2023年8月25日《信息安全技术 重要数据处理安全要求》(征求意见稿)发布,该征求意见稿在《工信数据管理办法》的基础上对重要数据的安全管理要求进行细化规定。部分规定和要求尤为值得关注,例如明确处理重要数据的系统需通过网络安全等级保护三级及以上测评,并对处理重要数据系统的采购管理、供应商进行管理等。
结合《工信数据管理办法》与《信息安全技术 重要数据处理安全要求》(征求意见稿),我们将工业数据处理企业对重要数据的备案义务、应急响应义务、风险评估报告义务及全生命周期管理义务的主要内容梳理如下:
表6-重要数据管理义务要点
表7-重要数据全生命周期管理制度要点
结语
在数字化转型的时代浪潮中,智能制造帮助企业提高生产效率的同时,也对企业工业数据保护能力提出要求与挑战。
从总体趋势来看,数据合规领域立法逐渐完善,执法不断加强。在行业层面,工业领域数据保护执法活动也逐步展开,尤其针对重要数据的保护责任,相关工作正紧锣密鼓的推进。未来,随着技术不断变革,工业与数据的融合将进一步加深,不论是从促进企业释放数据价值的角度,还是帮助企业面对将要到来的工业数据及重要数据监管活动的角度,搭建工业数据合规体系对于企业而言都是重要且紧迫的任务。宜未雨绸缪,勿临渴掘井,我们建议涉及工业数据处理的企业尽早开展相关工作,为企业迈入数字化未来提供强有力的支撑。
感谢实习生郭思雨、王宇璇对本文做出的贡献。
扫码订阅“金杜律师事务所”,了解更多业务资讯
《智能制造发展规划(2016-2020年)》
国家统计局:《2022年全国规模以上工业企业利润下降4.0%》http://www.stats.gov.cn/sj/zxfb/202302/t20230203_1901735.html
《GB/T 42569-2023工业互联网平台 开放应用编程接口功能要求》,2023年12月1日实施。
数据来源《GB/T 42128-2022智能制造 工业数据 分类原则》。
《GB/T 42128-2022智能制造 工业数据 分类原则》附录B 按生命周期分类的工业数据示例
网信上海:数据分类分级、制定重要数据目录试点成果分享(5)——优秀案例:《重要数据识别规则》
