工业数据安全新标解读与合规指引

近日，工信部公开了由国家工业信息安全发展研究中心数据安全所牵头编制的三项行业标准，包括《工业领域重要数据识别指南》（以下简称“《识别指南》”）、《工业企业数据安全防护要求》（以下简称“《防护要求》”）以及《工业领域数据安全风险评估规范》（以下简称“《评估规范》”）。

一、发布背景

此次公开的三项行业标准并非全新制定，而是已在内部经过一定时间的试行与验证。三项标准与现行法律法规及政策文件充分衔接，例如为《工业和信息化领域数据安全管理办法（试行）》（以下简称“《试行规定》”）中重要数据和核心数据处理者的数据安全风险评估提供了操作指引，同时也推动了《工业领域数据安全能力提升实施方案（2024-2026年）》所提出的数据分类分级任务的落实。

这三项标准针对工业数据构建从识别到防护、再到评估的管理体系，填补工业数据安全保护实操层面的空白。从法律效力上看，这三份文件推荐性行业标准，并不具有强制性法律约束力，但一定程度上为工业企业在处理、保护和管理工业数据方面提供了相对明确的指引。这些行业标准文件也可能未来为监管部门的执法提供一定的参考依据。

二、要点解读

《工业领域重要数据识别指南》（YD/T 4981-2024）

《识别指南》适用于工业数据处理者开展的工业领域重要数据识别工作。这里的工业数据处理者，是指工业数据处理活动中自主决定处理目的、处理方式的工业企业和软件信息技术服务企业等工业领域各类主体。工业领域包括钢铁、有色、稀土、石化、化工、建材、汽车、通用机械、专用机械、民用飞机、民用船舶、轻工、纺织、家电、食品、医药、电子、民爆、节能、软件和信息技术服务等细分行业。

根据《识别指南》，识别重要数据不应当过度识别，原则上应聚焦数据的安全影响，对于仅影响企业自身的数据不应当认定为是重要数据。识别时则要注意以定性与定量相结合，并定期进行复查，避免过度保护而影响数据的自由流通。

《识别指南》提出了重要数据识别的四阶段流程：

1. 数据资产梳理：对数据资产进行全面梳理是进行重要数据识别工作的前提，明确待分类分级的数据资产，为后续工作奠定基础。

2. 重要数据识别：对于相关部门、地区已经告知或者公开发布为重要数据的，数据处理者应当参照遵守。对于其他工业数据，数据处理者则应当参照工业领域重要数据识别维度开展识别工作，并形成重要数据清单。对于重要数据的识别，《识别指南》提出了多个识别维度，包括与国家秘密相关、与国家安全相关、与行业发展安全相关、与工业领域出口管制物项相关、与行业特色相关、与软件和信息技术服务业相关、处理个人信息达到一定数量等。

就国家安全来说，除了传统的与政治、国土、军事安全相关的话题之外，《识别指南》也将人工智能相关的数据列入了这一维度。如人工智能的控制程序、算法、源代码、训练模型数据、数据挖掘分析数据等，因其关乎国家核心竞争力与技术优势，一旦泄露可能造成严重影响、甚至引发行业震荡，因此也有可能被认定为是重要数据。

就行业特色相关的重要数据，《识别指南》指出与汽车行业竞争力相关的高价值敏感数据、未公开的食品安全重大事件信息等数据都属于重要数据。

在个人信息层面，10 万人以上敏感个人信息、和可能危害国家安全稳定的特定群体个人信息也将被认定为重要数据。《识别指南》还强调工业数据处理者需要对产生的1000万人以上个人信息进行识别，并向行业监管部门报送，以履行《网络数据安全管理条例》所规定的安全管理机构设立义务和报告义务。

3. 内部审批：工业数据处理者应就重要数据清单进行内部审批，通过后才能生成重要数据目录。

4. 重要数据目录备案：工业数据处理者应向行业监管部门报送重要数据目录，并在发生重大变化时及时更新重要数据目录并进行上报。该要求与《试行规定》第十二条的规定衔接。即，工业和信息化领域数据处理者应当将本单位重要数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况，不包括数据内容本身。

尽管《识别指南》已对重要数据提出了较为全面的识别维度，但该指南并非穷尽性的清单。工业领域数据存在高度的多样性和动态变化特征，而《识别指南》仅是提出了识别方法论的弹性框架，为企业和监管部门提供参考依据。《工业领域数据安全能力提升实施方案（2024-2026年）》提出，要分行业分领域研究制定重要数据和核心数据识别细则，形成“1+N”的工业领域数据分类分级规范体系，科学指导各行业落地实施。

《工业企业数据安全防护要求》（YD/T 4982-2024）

《防护要求》适用于所有工业企业，其提出了双层防护体系，包括基础性要求和全生命周期要求；又提出三级防护要求，针对一般数据、重要数据、核心数据提出了不同的防护等级要求。

1. 基础性数据安全保护要求：《防护要求》提出工业企业在数据安全管理方面的通用义务，包括建立健全数据安全管理制度，明确数据安全责任；开展人员安全培训，提升员工的数据安全意识；实施访问控制等。

2. 数据全生命周期安全防护要求：该要求针对数据的采集、传输、存储、使用、销毁等各个环节，制定详细的数据安全防护细则。例如在数据采集环节，要求企业明确采集目的和范围，遵循合法、正当、必要的原则；在数据传输过程中，要采用加密等安全技术，防止数据被窃取或篡改等。

《防护要求》整体为工业企业提供了全面且实用的数据安全防护框架，企业应结合自身实际情况逐项清点，以落实合规要求。

《工业领域数据安全风险评估规范》（YD/T 6415-2025）

《评估规范》主要适用于工业领域重要数据和核心数据处理者在中国境内开展数据处理活动的数据安全风险评估，一般数据的工业领域处理者也可以参照执行该文件。工业企业应当先依据《识别指南》判断自身是否属于重要数据或核心数据处理者，再适用该文件。

根据《评估规范》，工业领域数据评估分为两大板块，分别是合规性评估和安全风险评估。前者判断数据处理活动本身是否合规，后者则指在数据处理活动过程中进行风险识别、分析、评价的过程。

在合规性评估的评估要点中，《评估规范》特别指出针对重要数据和核心数据，工业领域数据处理者应当每年至少展开一次定期评估，并向本地区行业监管部门报送评估报告。而在发生收购或资产剥离、重大流程或系统变更、或涉及数据迁移、数据出境、数据提供、委托处理等过程前，则会触发额外的数据安全风险评估工作。

安全风险评估应当在重要数据和核心数据处理者在完成合规性评估后进行。风险安全等级可分为极高、高、中、低，数据处理者应当根据风险评估结果编制形成《工业领域数据安全风险评估报告》，并相应采取风险缓释措施。

三、企业合规提示及未来展望

基于这三份标准文件项下的工业数据安全合规要求，我们建议企业可考虑通过如下阶段和方式开展相关合规工作：

第一阶段：基础建设和差距分析

企业可全面梳理数据资产，明确自身数据处理的情形以及数据管理的现状，并建立数据资产清单。在了解自身数据处理情况的基础上，依据《防护要求》中对于一般数据的要求逐条对比现有制度、技术保护措施、数据处理全生命周期流程、人员和组织配备等，检查自身数据处理的合规情况，形成重大问题清单。

第二阶段：重要数据识别

企业根据《识别指南》进行重要数据识别，需注意应当具体场景具体分析，避免过度识别或遗漏，输出重要数据清单并向属地行业监管部门备案。若企业处理的数据中包含重要数据和核心数据，则还需要依据《防护要求》中对于重要数据和核心数据的要求进行逐项对比清点，并相应形成重大问题清单。

第三阶段：整改措施与开展评估

企业应当依据之前步骤中形成的重大问题清单逐项进行整改和追踪，确保数据处理安全措施的全面合规。整改后企业应当开展数据安全风险评估，就合规性和安全风险进行分析，形成《工业领域数据安全风险评估报告》。

四、结语

本次发布的三项标准文件作为行业推荐性标准，目前的首要定位是为工业领域企业开展数据安全建设提供一套科学、系统的参考依据和实施路径指南。该文件在经过内部试点工作后选择公开发布，标志着工业数据安全的监管框架和合规路径正在从原则性要求走向具体化、操作化，为工业企业的合规工作提供了具体参考。

根据《工业领域数据安全能力提升实施方案（2024-2026年）》，总体目标包括多项指标，例如，到2026 年底，工业领域数据安全保障体系基本建立；数据安全保护意识普遍提高，重点企业数据安全主体责任落实到位，重点场景数据保护水平大幅提升，重大风险得到有效防控；另外，基本实现各工业行业规上企业数据安全要求宣贯全覆盖，以及开展数据分类分级保护的企业超4.5 万家，至少覆盖年营收在各省（区、市）行业排名前10%的规上工业企业。

尽管三项标准文件暂无强制力，但遵循推荐性标准仍然有助于企业提升数据安全能力，降低未来潜在的合规风险，更可借此通过有效的数据安全保护来提升自身的核心竞争力。

我们建议企业，特别是涉及关键基础设施、或处理重要数据、核心数据的工业企业，应高度重视并主动参照这些标准启动相关的合规工作，主动规划和推进自身的数据安全管理的建设，以更好应对未来逐步深入的法律要求。

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。