用好《數據二十條》，中小制造業企業需數據合規

劉玉書

近期發布的《中共中央國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱“《意見》”）以數據產權、流通交易、收益分配、安全治理為重點，提出了二十條政策措施（以下簡稱“《數據二十條》”），旨在初步搭建起我國數據基礎制度體系，激活數據要素潛能、增強經濟發展新動能、構筑國家競爭新優勢。

《數據二十條》一經發布，引起了國內外媒體的廣泛關注，當前我國數字經濟已經進入了全面發展階段，數據要素在制造業領域逐漸顯現出基礎性作用。對于中小制造業而言，《數據二十條》的出臺，為其數字化轉型升級和分享相關政策紅利提供了全新的契機。但是，也要看到，當前我國已出臺數據相關立法百余部。2022年，我國進一步加強了對全國各行業數據合規的監管，合法使用數據要素，將會成為企業享受《數據二十條》政策紅利前提條件。而數據合規監管由于是一個相對較新的事物，對于我國數字化轉型升級起步相對較晚的中小制造業而言，需要引起高度重視。

中小制造業數字化進入深水區，數據合規問題浮現

過去三年是我國數字化轉型全面加速的三年。我國的中小制造業在過去三年以5G、物聯網、人工智能為代表的數字化、智能化轉型升級在不斷夯實，具備工業4.0智能制造特征的企業越來越多。其中“專精特新”企業的發展最為典型。據統計，截至2022年初，我國“專精特新”企業超過4萬家，其中“小巨人”企業達4762家，平均擁有50項以上專利，超六成集中在工業基礎領域，超七成深耕細分行業10年以上。

“專精特新”企業成功的數字化轉型升級為廣大中小制造業企業設立了標桿。綜合目前的發展趨勢看，當前中小企業制造業的“智能工廠+數改智改”和“工業互聯網+綠色智造”將會更加注重制造業全數據鏈的建設工作，會結合“數據二十條”，進一步強調數據驅動制造的發展，以數據驅動促制造業服務質量提升、以服務質量的提升倒逼企業進一步深入推進數字化轉型升級，不斷增強“服務型制造”的能力。這個過程將會進一步激活數據要素的市場潛能，并不斷形成全新的工業制造業新市場、新生態。但與此同時，隨著數據要素在中小制造業中所發揮作用越來越大，相關數據合規問題也會開始浮現。而數據合規問題涉及了國家安全、消費者權益，部分出口型企業還涉及了跨境數據流動等問題，事關企業在數字經濟時代的切身利益和合法、可持續發展，是需要高度重視的。

數據合規強監管是大勢所趨

長期以來，社會面對于數據合規問題關注度不高。“數據合規”問題真正引起社會面關注始于2022年3月15日前后。在此之前，數據合規這一概念在網絡大數據中的出現頻率是較低的。在2022年央視“3·15”晚會曝光的問題企業中，有十余家企業均不同程度涉及了數據合規問題。“3·15”晚會的巨大影響力讓消費者看到了數據權益的重要性，也讓企業明白了國家對數據合規的重視將會全面落實到各行各業的監管中去。

我國于2017年6月1日起施行《網絡安全法》，2021年9月1日起施行《數據安全法》，2021年11月1日起施行《個人信息保護法》。截至2021年底，我國數據合規的三部基本大法全部生效，因此，業界也稱2022年是數據合規建設的元年。據公開報道，截至2022年上半年，我國出臺了數據合規相關法律法規100余部，并組建了網絡執法與監督局，持續加大網絡執法力度，堅決查處各類違法違規案件。2022年上半年，累計依法約談網站平臺3491家，罰款處罰283家，暫停功能或更新419家，下架移動應用程序177款，會同電信主管部門取消違法網站許可或備案、關閉違法網站12292家。綜合目前中央和地方網信辦的情況看，數據合規強監管將會是大勢所趨，并且，隨著數字中國建設的不斷深入，未來將會進一步深入到各行業中去。

三個數據合規要點需中小制造業企業重視

一是要切實做好“3保1評”。“3保1評”指的是涉密信息系統分級保護（分保）、網絡安全等級保護（等保）、關健信息基礎設施保護（關保）以及商用密碼應用安全評估（密評）。目前，已有大量的公開的數據合規警示案例均與此有關。

二是企業在做個人信息保護合規建設時，容易遇到難以把握相關法律法規適用粒度的問題：太細則執行成本太高，太粗則面臨合規風險。因此，需要對信息安全事件進行一個比較清晰的細分。因為個人信息保護事實上是貫穿了所有數據合規體系的（因為信息系統最終都服務于人），所以如果不對相關安全事件進行細分，在相關法律法規適用粒度上將難以把握。

三是要注意數據出境合規工作的時間節點。2022年9月1日起施行《數據出境安全評估辦法》規定，不符合本辦法規定的，應當自本辦法施行之日起6個月內完成整改。這個預留的整改時間是相對比較緊張的，對于無法在2023年2月完成整改的企業應該怎么辦？這需要企業主動積極去與地方網信監管部門開展溝通，尋求妥善的解決辦法。

（作者系北京數規科技中心主任）