浅析中国工业数据安全保护的法律法规*

刘 曼，洪 晟

(1.北京航空航天大学 法学院，北京 100083；2.北京航空航天大学 网络空间安全学院，北京 100083）

0 引言

数据已成为重要的生产要素之一[1]，中国视数据为经济的驱动力，数据业已融入各个行业领域的数字化转型进程。工业数据在支撑工业经济各要素、产业链、价值链中发挥重要作用，工业数据安全直接关系到工业经济安全。作为工业经济的“血液”，工业数据对于国家的重要性可谓不言自明。

工业数据是指在工业企业中各项工业流程环节、工业互联网连接运行中生成的数据的总和，也包括在工业领域中应用的数据[2]。工业数据具体主要由三部分构成：企业运营相关的业务数据、产线设备互联数据和企业外部数据。工业数据在工业互联网中位于举足轻重的地位[1]。

因为工业涉及的具体行业非常繁多，导致工业互联网会与诸多信息系统相联系，工业数据来源多、分布广、种类多、体量大等特点及工业数据地位的重要性使得工业数据广受关注，这也使得数据攻击事件从公共互联网向工业互联网转移[2]。国家有关部门发布的《2021年工业信息安全态势报告》显示，2021年全国工业信息安全指数为53.7，已经处于“中危”水平，并且安全风险威胁持续加剧，境外攻击有增无减，低防护联网设备总量继续上升，工控安全漏洞数量居高不下，工业信息安全防护与管理面临更大挑战。与传统的计算机信息系统安全需求不同，工业互联网数据信息系统需要兼顾特殊场景应用需求、管理需求以及成本运行控制等因素。因此工业数据安全保护不仅需要具体有效的工业安全防御技术支持，也需要全面完善明确的制度保障。

根据未来数据治理的发展趋势，有必要制定一部全面的、专业性的工业数据安全保护方面的法律，以适应数据时代变化并满足相应需求，对工业数据保护与利用问题进行规范，促进相关工业产业健康发展。

本文研究汇总了中国关于数据安全保护的主要法律法规，希望通过分析相关法律规定的发展历程、主要内容，窥探工业数据安全保护建设历程，以寻求工业数据安全保护的路径与方式。还通过对国外(以欧盟为代表)数据安全保护相关法律法规简要归纳分析与借鉴，提出了关于工业数据安全保护的建议，希望有助于中国工业数据安全保护的法律体系建设。

1 中国关于工业数据的法律法规体系与评价

截止到2022年2月份，通过中国法律检索系统以全文检索的方式检索“工业数据”字样，也只有于2021年9月27日公布，并于同年11月1日开始施行的《天津市促进智能制造发展条例》中第23条明确表明“加强对工业互联网以及数据中心的建设”。鉴于中国现在还并没有针对工业数据的比较全面的法律法规，本文将从对计算机数据的相关法律规定为起始点，探究分析对工业数据的法律规定。

表1是对中国关于计算机数据安全保护立法进程的大致回顾，主要汇总了各立法发展阶段具有代表性的法律法规。

表1 中国关于工业数据保护的简要立法历程

计算机数据安全保护始于1983年12月15日施行的《医学科学技术档案管理办法》(现已失效)，该办法中明确，医学科学技术档案包括计算机数据等科技文件资料。这是中国能够查询到的最早的、直接的关于计算机数据的规定。目前，虽然中国已有专门的《数据安全法》，但关于计算机数据安全的法律保护条文仍然散落在众多的规定、办法、条例、司法解释中。相对于西方发达国家来说，中国对数据安全的法律保护起步稍显滞后。通过表1分析可以看出中国关于工业数据的立法特点体现在以下几个方面：

(1)保护的内容与对象。立法伊始，对计算机数据的保护并不是首先保护数据本身，而是重视对计算机硬件的保护；后逐渐重视计算机软件系统的安全，体现在1991年公布的《计算机软件保护条例》；此后中国也开始重视自身发展与国际发展的接轨，1996年2月份公布《计算机信息网络国际联网管理暂行规定》；随着新世纪的到来，中国开始关注对互联网各项服务、功能的规范与约束；近几年立法规定直接表现为对计算机网络、数据本身的保护，例如《网络安全法》(2015年)、《数据安全法》(2021年)；由于近年来工业领域成为我国数字化转型的主阵地，开始对数据“分门别类”地进行保护，特别体现在工业数据分类分级、关键信息基础设施保护中。

续表

(2)数据保护的目的。最初对于计算机的保护多是出于加强信息安全保密工作的需要。发展至今，国家仍然高度重视与计算机相关的涉密安全防护，但同时重视发挥数据要素在经济与管理延伸中的作用，关注计算机数据本身属性与功能。

(3)对于数据本身的态度的变化。由单纯的保护态度发展为采取较为中立的态度，加强对数据的管理治理，数据保护更加细化、具体。

中国完成了网络法律体系的基本建设，为数据安全提供了法律制度方面的基础性支持，弥补了数字法律以及数据保护板块的空白，但是仍然缺少全面的、具有可执行性的工业数据法律法规。《数据安全法》作为上位法，其法条内容多为原则性、宣示性条款，例如对于违反法律后处以何种具体的惩罚仍语焉不详，无法满足社会对解决数据安全保护实际问题的期待，其法条规定内容也多与《网络安全法》存在重叠交叉。《工业数据分类分级指南(试行)》作为对工业数据进行分类分级保护的指南性文件，并不具备法律意义上的约束力。

2 国外有关工业数据的法律法规

2.1 欧盟关于工业数据的主要法律法规与评价

相比较而言，国外对数据保护的研究历史更加久远。其中，欧盟关于数据的立法研究具有代表性、前沿性，本文主要汇总了欧盟在数据方面的主要法律规定，如表2所示。

通过表2分析，欧盟关于数据安全方面的立法发展变化主要体现在以下方面：

表2 欧盟关于数据安全保护的主要立法发展过程

(1)关注重点的变化。立法初期，欧盟国家对工业数据安全的保护较少重视，但随着数字经济发展，欧盟逐渐加强了对数据的保护与治理，着力发挥数据对经济的正向价值。

(2)对数据态度的变化。与西方国家重视隐私保护的观念传统相关，起初对数据持有环节持保护、支持的态度。为了加强科技监管、减少互联网垄断，欧盟之后的立法态度开始倾向于加强数据规制与数据治理，意图打破数据壁垒，并且在制定法律的过程注重数据共享原则的贯彻体现[3]。

(3)对美国态度的变化。鉴于美国与欧盟之间的密切关系，欧盟的多项立法涉及两者之间的数据流动。世纪之交时，在处理与美国数据争端时采取让步折衷态度，“安全港决定”有相应体现；之后呈现为中立态度，体现在“欧盟——美国隐私盾协议”；近两年来，随着数据要素价值的凸显，欧盟对美国大型互联网平台公司多采取“遏制”态度[4]。

2.2 数据安全保护的法律法规的主要内容

1980年9月2日，经济合作与发展组织(OECD)发布《隐私保护与个人数据跨国流通指南》，该指南的第二部分规定了国家层面数据安全保护适用的七个原则：

(1)限制原则：即最小数据原则，数据收集、使用、利用、存储的类型、范围、期间应当是适当的、相关的和必要的。

(2)数据质量原则：数据收集与处理应当保障质量，做到完整性、准确性、一致性、及时性的统一。

(3)特定目的原则：要求对数据的收集、处理应当遵循具体明确的、正当的目的。

(4)数据安全原则：承担数据收集、利用等相关程序过程的数据控制者或者组织者、利用者要采取充分的、适当的措施，来保证数据的安全，严禁故意泄露个人数据。

(5)数据开放原则：数据收集、处理、发布，应公开规则，明示目的、方式和范围，尊重和保护公众知情权。

(6)个人参与原则：即公开数据、数据收集与处理利用都应该得到数据主体的同意。

(7)安全事故责任原则：发生数据泄露事故后，数据收据控制者、受益者以及相关责任者应当承担责任[5]。

总体而言，其他国家或国际组织制定的数据保护原则，基本都是以七项原则为模板确立、施行的。

3 工业数据安全保护立法建议

通过对国内外公布施行的法律法规进行分析，综合考虑社会现实发展状况，国家现行对工业数据安全保护与管理可以从以下两个思路进行考虑：

3.1 细化工业数据安全保护的立法建设

首先，数据权属是数据治理的基础问题，是解决数据安全的首要问题。因此对于工业数据安全保护也先要从解决工业数据的权属问题开始。关于工业数据权属问题，法学界已有不少研究。有学者从知识产权角度分析企业数据的安全保护[2]；有的学者从《民法》的财产权角度分析企业数据的安全保护[6]；还有学者从《反不正当竞争法》的角度分析数据保护[7]。主流观点认为，因为数据控制者对于其控制的数据是通过长期的合法经营，并投入大量的人力、物力和财力得到的，故应当根据《反不正当竞争法》第2条第2款的规定，承认并保护数据控制者对数据的合法利益[8]。

同时，应建立完整完善的数据安全保护风险法律提示与预防机制。要“防范于未然”，法律制度的建设要有统筹意识，引导建立整个工业领域的数据安全防护网。针对不同行业领域的数据安全问题，进行数据分级分类和建立重要数据重点保护制度。近年来，《工业数据分类分级指南(试行)》等相关文件的发布，对于特定行业的帮助作用非常显著，利于整合数据资源与集中利用[9]。设置恰当的违法惩治规范法律条款，严格细化数据稽查方面的法律规定，使法律具有实实在在的执行力。同时，可以借鉴外国的数据治理经验，例如美国的“蓝绿按钮”应用[10]、英国“Midata”项目[10]等，以项目的形式实现数据的转移，将数据转移至官方来掌握，以加强对数据的监管。

3.2 培养具有法学和技术双背景复合型人才

法律制度的制定完善需要高素质的复合型人才，工业数据安全保护涉及国家经济发展战略的实现，同样需要人才的支持。因此，国家应该根据社会需求变化而不断调整、改革、发展、创新人才培养模式，培养具有法学与计算机等双专业背景的复合型人才，以满足未来发展需要。

现行法律多为框架性建议，出于立法谨慎的态度，法律制度建设本身不可避免地具有某些方面的滞后性，不能很好地适应技术发展所带来的数据安全保护问题。具有法学专业与技术双背景的人才能够更深层、本质性地了解技术风险，增强数据治理的针对性、精确性，做到有的放矢。同时，熟知法律的技术人才不仅可以在研发、运用技术的过程中以法律规束自己的行为，减少企业法律风险，还可以在相关权利受到侵害时及时运用法律维护权益，降低损害程度。

4 结论

数字化时代，作为国民经济主要支柱的工业，其数据治理的价值与未来战略意义毋庸赘述。虽然工业数据治理研究可以借鉴国外的经验，但是基于不同的经济社会基础会具备迥然不同的现实应用场景。因此，加快与具体国情相适应的法律研究与法律制度建设，探索培养具有法学和技术双背景复合型人才，才可以为工业数据保护提供切实可行的理论与实践指导，促成工业数据领域的“有法可依”局面的形成。