瀛泰见解
智能船舶领域的数据合规问题

出于应对运营成本增长、船舶操作复杂化以及环保法规日趋严格的需求,航运界不断增加对智能船舶的技术投入,同时在大数据时代背景下,船舶智能化已经成为船舶制造与航运领域发展的必然趋势。智能船舶是《中国制造2025》中明确重点发展的领域,在该领域通过突破自动化技术、计算机技术、网络通信技术、物联网技术等信息技术在船舶上的应用关键技术,实现船舶的机舱自动化、航行自动化、机械自动化、装载自动化,并实现航线规划、船舶驾驶、航姿调整、设备监控、装卸管理等,提高船舶的智能化水平[1]。智能船舶的发展与大数据技术的运用密切相关,其中必然需要考量数据安全与合规问题。

2022年12月13日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》(下称“《管理办法》”),旨在解决工业和信息化领域数据安全问题,该管理办法自2023年1月1日起施行。本文将简述《管理办法》对智能船舶领域的影响,以及相关数据处理者的合规义务。

一、《管理办法》的适用范围

根据《管理办法》,工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。
智能船舶系指利用传感器、通信、物联网、互联网等技术手段,自动感知和获得船舶自身、海洋环境、物流、港口等方面的信息和数据,并基于计算机技术、自动控制技术和大数据处理和分析技术,在船舶航行、管理、维护保养、货物运输等方面实现智能化运行的船舶,以使船舶更加安全、 更加环保、更加经济和更加高效。[2]智能船舶的使用要融合船上各个平台和系统,在运行过程中获得的数据包括船舶自身、 海洋环境、物流、港口等方面的信息和数据,显然这些数据属于《管理办法》中规定的工业数据,甚至还有无线电数据。因此,智能船舶有关企业(包括制造业和航运公司)应当是《管理办法》中的工业和信息和化领域数据处理者。

二、工业与信息化领域数据的监管主体和职责

《管理办法》构建了“工业和信息化部、地方行业监管部门”两级监管机制。工业和信息化部统筹工业和电信领域数据安全监管工作,包括组织制定行业数据安全管理政策制度和标准规范,编制行业重要数据和核心数据目录,建立重要数据目录备案、监测预警、风险信息报送和共享、应急处置等工作机制,指导地方行业监管部门开展属地监管,督促全行业数据处理者加强数据安全保护工作。
地方行业监管部门,包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,分别负责对本地区工业、电信、无线电领域数据处理者进行监督管理,包括审核重要数据目录备案,编制重要数据和核心数据具体目录,开展监测预警、风险信息报送和共享、应急处置、风险评估、投诉举报受理等工作,并可结合工作实际,建立更加细化完善的工作机制。
基于此,智能船舶有关企业应当密切关注工业和信息化部、地方行业监管部门制订的行业数据安全管理政策制度和标准规范,及所编制的行业重要数据和核心数据目录。

三、智能船舶有关企业的合规义务


1

数据分类分级管理

从分类管理要求上,智能船舶有关企业应当将智能船舶使用过程中获取的数据按研发数据、生产运行数据、管理数据、运维数据、业务服务数据等类别进行分类。同时,还应当对数据进行分级管理,即根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和信息化领域数据分为一般数据、重要数据和核心数据三级。《管理办法》还要求数据处理者将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。

2

围绕数据全生命周期实施相应的安全管理

《管理办法》以数据分级保护为总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。对在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
对于智能船舶领域的有关企业,应当密切关注是否发生了数据出境,以及是否触及了数据出境安全评估的底线。

3

制订数据安全检测预警、应急管理制度

《管理办法》明确工业和信息化领域数据处理者应当开展以下工作:数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险;及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告;在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况;对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。

4

风险评估制度

对重要数据和核心数据,每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。

5

央企上报制度

中央企业应当督促指导所属企业,在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况,并及时报送工业和信息化部。

四、瀛泰建议

以制造强国、海洋强国、交通强国战略部署为指导,国家有关部门在2019年即已发布《智能船舶发展行动计划(2019-2021 年)》和《智能航运发展指导意见》,以此作为行动纲领,加快推进造船、航运智能化转型,并建立智能船舶标准体系。我们注意到,工信部已发布的《智能船舶标准体系建设指南》(征求意见稿)中提出了38个专业领域的标准体系建设构想[3],中国船级社《智能船舶规范 2020》分9章论述了智能船舶的各项技术规范要求,但是这些规范性文件中均未提到数据合规这一基础和共性问题。我们认为,作为工业领域之一,智能航运有关企业在发展和创新智能船舶技术的同时也应当牢记合规底线的重要性,依法履行合规义务,为行业的良性发展构筑安全基座。

注释

[1] 《中国制造2025》解读之:推动海洋工程装备及高技术船舶发展

http://www.gov.cn/zhuanti/2016-05/12/content_5072766.htm


[2] 中国船级社《智能船舶规范2020》

https://www.ccs.org.cn/ccswz/articleDetail?id=201900001000009739


[3] 工信部《智能船舶标准体系建设指南》(征求意见稿)

https://www.miit.gov.cn/cms_files/filemanager/oldfile/miit/n1146285/n1146352/n3054355/n7697926/n7697960/c7897865/part/7897871.pdf



文章所涉相关人员
文章所涉业务领域
文章所涉行业领域
智能船舶领域的数据合规问题

出于应对运营成本增长、船舶操作复杂化以及环保法规日趋严格的需求,航运界不断增加对智能船舶的技术投入,同时在大数据时代背景下,船舶智能化已经成为船舶制造与航运领域发展的必然趋势。智能船舶是《中国制造2025》中明确重点发展的领域,在该领域通过突破自动化技术、计算机技术、网络通信技术、物联网技术等信息技术在船舶上的应用关键技术,实现船舶的机舱自动化、航行自动化、机械自动化、装载自动化,并实现航线规划、船舶驾驶、航姿调整、设备监控、装卸管理等,提高船舶的智能化水平[1]。智能船舶的发展与大数据技术的运用密切相关,其中必然需要考量数据安全与合规问题。

2022年12月13日,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》(下称“《管理办法》”),旨在解决工业和信息化领域数据安全问题,该管理办法自2023年1月1日起施行。本文将简述《管理办法》对智能船舶领域的影响,以及相关数据处理者的合规义务。

一、《管理办法》的适用范围

根据《管理办法》,工业和信息化领域数据包括工业数据、电信数据和无线电数据等。工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。工业和信息化领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的工业企业、软件和信息技术服务企业、取得电信业务经营许可证的电信业务经营者和无线电频率、台(站)使用单位等工业和信息化领域各类主体。
智能船舶系指利用传感器、通信、物联网、互联网等技术手段,自动感知和获得船舶自身、海洋环境、物流、港口等方面的信息和数据,并基于计算机技术、自动控制技术和大数据处理和分析技术,在船舶航行、管理、维护保养、货物运输等方面实现智能化运行的船舶,以使船舶更加安全、 更加环保、更加经济和更加高效。[2]智能船舶的使用要融合船上各个平台和系统,在运行过程中获得的数据包括船舶自身、 海洋环境、物流、港口等方面的信息和数据,显然这些数据属于《管理办法》中规定的工业数据,甚至还有无线电数据。因此,智能船舶有关企业(包括制造业和航运公司)应当是《管理办法》中的工业和信息和化领域数据处理者。

二、工业与信息化领域数据的监管主体和职责

《管理办法》构建了“工业和信息化部、地方行业监管部门”两级监管机制。工业和信息化部统筹工业和电信领域数据安全监管工作,包括组织制定行业数据安全管理政策制度和标准规范,编制行业重要数据和核心数据目录,建立重要数据目录备案、监测预警、风险信息报送和共享、应急处置等工作机制,指导地方行业监管部门开展属地监管,督促全行业数据处理者加强数据安全保护工作。
地方行业监管部门,包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,分别负责对本地区工业、电信、无线电领域数据处理者进行监督管理,包括审核重要数据目录备案,编制重要数据和核心数据具体目录,开展监测预警、风险信息报送和共享、应急处置、风险评估、投诉举报受理等工作,并可结合工作实际,建立更加细化完善的工作机制。
基于此,智能船舶有关企业应当密切关注工业和信息化部、地方行业监管部门制订的行业数据安全管理政策制度和标准规范,及所编制的行业重要数据和核心数据目录。

三、智能船舶有关企业的合规义务


1

数据分类分级管理

从分类管理要求上,智能船舶有关企业应当将智能船舶使用过程中获取的数据按研发数据、生产运行数据、管理数据、运维数据、业务服务数据等类别进行分类。同时,还应当对数据进行分级管理,即根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和信息化领域数据分为一般数据、重要数据和核心数据三级。《管理办法》还要求数据处理者将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。

2

围绕数据全生命周期实施相应的安全管理

《管理办法》以数据分级保护为总体原则,要求一般数据加强全生命周期安全管理,重要数据在一般数据保护的基础上进行重点保护,核心数据在重要数据保护的基础上实施更加严格保护。对于不同级别数据同时被处理且难以分别采取保护措施的,采取“就高”原则,按照其中级别最高的要求实施保护。对在中华人民共和国境内收集和产生的重要数据和核心数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
对于智能船舶领域的有关企业,应当密切关注是否发生了数据出境,以及是否触及了数据出境安全评估的底线。

3

制订数据安全检测预警、应急管理制度

《管理办法》明确工业和信息化领域数据处理者应当开展以下工作:数据安全风险监测,及时排查安全隐患,采取必要的措施防范数据安全风险;及时将可能造成较大及以上安全事件的风险向本地区行业监管部门报告;在数据安全事件发生后,应当按照应急预案,及时开展应急处置,涉及重要数据和核心数据的安全事件,第一时间向本地区行业监管部门报告,事件处置完成后在规定期限内形成总结报告,每年向本地区行业监管部门报告数据安全事件处置情况;对发生的可能损害用户合法权益的数据安全事件,应当及时告知用户,并提供减轻危害措施。

4

风险评估制度

对重要数据和核心数据,每年至少完成一次数据安全风险评估,可以自行或委托第三方评估机构开展,及时整改风险问题,并向本地区行业监管部门报告。

5

央企上报制度

中央企业应当督促指导所属企业,在重要数据和核心数据目录备案、核心数据跨主体处理风险评估、风险信息上报、年度数据安全事件处置报告、重要数据和核心数据风险评估等工作中履行属地管理要求,还应当全面梳理汇总企业集团本部、所属公司的数据安全相关情况,并及时报送工业和信息化部。

四、瀛泰建议

以制造强国、海洋强国、交通强国战略部署为指导,国家有关部门在2019年即已发布《智能船舶发展行动计划(2019-2021 年)》和《智能航运发展指导意见》,以此作为行动纲领,加快推进造船、航运智能化转型,并建立智能船舶标准体系。我们注意到,工信部已发布的《智能船舶标准体系建设指南》(征求意见稿)中提出了38个专业领域的标准体系建设构想[3],中国船级社《智能船舶规范 2020》分9章论述了智能船舶的各项技术规范要求,但是这些规范性文件中均未提到数据合规这一基础和共性问题。我们认为,作为工业领域之一,智能航运有关企业在发展和创新智能船舶技术的同时也应当牢记合规底线的重要性,依法履行合规义务,为行业的良性发展构筑安全基座。

注释

[1] 《中国制造2025》解读之:推动海洋工程装备及高技术船舶发展

http://www.gov.cn/zhuanti/2016-05/12/content_5072766.htm


[2] 中国船级社《智能船舶规范2020》

https://www.ccs.org.cn/ccswz/articleDetail?id=201900001000009739


[3] 工信部《智能船舶标准体系建设指南》(征求意见稿)

https://www.miit.gov.cn/cms_files/filemanager/oldfile/miit/n1146285/n1146352/n3054355/n7697926/n7697960/c7897865/part/7897871.pdf