【观点】构筑顶层设计 开创工业和信息化领域数据安全管理新格局******
近日,工业和信息化部出台了《工业和信息化领域数据安全管理办法(试行)》(以下简称“《管理办法》”)。《管理办法》作为工业和信息化领域(以下简称“工信领域”)数据安全管理顶层制度文件,是全面贯彻落实《数据安全法》等国家数据安全法律法规的重要举措,也是前期工信领域数据安全管理实践经验的固化总结。《管理办法》以安全发展理念为指引,建立健全了工信领域数据安全制度机制,搭建起工信领域数据安全管理的“四梁八柱”,细化明确了数据全生命周期安全保护要求,为工信领域企业落实数据安全管理和技术保护措施提供了明确指引,标志着工信领域数据安全管理工作迈出了具有里程碑意义的重要一步。
一、夯实数据安全根基,建立工信领域数据安全管理基本遵循
随着全球数字经济的蓬勃发展,数据已成为关键生产要素和核心战略资源,数据安全的基础保障作用和发展驱动效应日益突出,攸关国家安全、公共利益和个人权利。党和国家敏锐把握数字经济发展的战略机遇,将数据作为新型生产要素,加快培育数据要素市场,充分释放数据红利,同时,高度重视、不断推进数据安全保护工作。党的二十大报告立足中华民族伟大复兴战略全局和世界百年未有之大变局,做出“统筹发展与安全”的重要部署,要求“坚定不移贯彻总体国家安全观”,“以新安全格局保障新发展格局”,重点强化数据安全保障体系建设。
安全保障,制度先行。国务院《“十四五”数字经济发展规划》将研究完善行业数据安全管理政策作为提升国家总体数据安全保障水平的关键一环。《数据安全法》《个人信息保护法》等国家重大数据安全立法加速出台,进一步明确了数据安全行政监管的上位法依据和职责边界,对各行业、各领域承接落实也提出了新要求。
工信领域是我国数字化转型的排头兵和产业数字化的主阵地。信息通信网络覆盖社会千行百业,是经济社会运行的“神经中枢”,汇聚海量用户数据和关系国计民生的重要数据。工业数字化转型催生海量工业数据资源,且数据互联互通加快导致数据安全风险与威胁点增多,数据安全形势愈发严峻复杂,工信领域数据安全保护亟待强化。加速完善工信领域数据安全管理政策,夯实数据安全工作基石,是认真践行总体国家安全观,统筹发展和安全,护航工信领域数字化发展的必然要求,也是落实党和国家决策部署、提升国家总体数据安全保障水平的必担之责。
二、筑牢数字安全屏障,明确工信领域数据安全保护的规则指引
《管理办法》坚持安全与发展并重、鼓励与规范并举原则,推动建立健全安全可控、弹性包容的工信领域数据安全规则体系,一方面,明确数据安全管理关键制度要求,划定工信领域数据流通利用的安全基线,同时,构建多元主体协同共治格局,着力提升工信领域数字信任,为我国数字化转型保驾护航。具体来说,《管理办法》核心内容包括以下几个方面:
(一)明确管理体制,建立三级联动的数据安全工作机制
《管理办法》衔接国家数据安全工作协调机制,充分结合工信领域既成的监管体制,构建了“部-地方-企业”三级联动的数据安全工作机制:在部层面,由工业和信息化部负责工信领域数据安全总体统筹与监督管理。在地方层面,地方工业和信息化主管部门、地方通信管理局、地方无线电管理机构分别负责对本地区工业数据处理者、电信数据处理者、无线电数据处理者的数据处理活动和安全保护进行监督管理。在企业层面,工业数据处理者、电信数据处理者、无线电数据处理者承担本单位的数据安全主体责任,落实工信领域数据安全管理要求。这种条块结合的监管组织架构既贯彻了《数据安全法》对于各地区、各行业、各领域数据安全监管的责任分工,也充分考虑了工信领域管理的共性需求与实践差异。
(二)细化分类分级,建立涵盖事前事中事后的监管制度机制
《管理办法》承接细化《数据安全法》数据分类分级保护要求,以预防、控制和消除数据安全风险为核心,建立工信领域数据安全管理关键制度机制。一是明确工信领域数据分类参考因素及数据分级识别依据,建立重要数据和核心数据目录备案管理机制,为工信领域数据分类分级安全管理提供实操指引。二是建立工信领域数据安全风险监测机制及风险信息上报和共享机制,对数据安全风险进行监测、汇聚、分析、通报,加强工信领域数据安全风险的事前感知。三是明确应急处置机制流程,制定工信领域数据安全事件应急预案,预防和减少数据安全事件发生后造成的损失和危害。四是完善投诉举报机制,建立部省两级数据投诉举报渠道,充分发挥社会监督作用,广泛获取数据安全违法信息。五是建立数据安全检测、认证、评估管理制度,提升工信领域数据安全产品、服务质量及安全保障能力,推动数字安全产业发展。
(三)落实主体责任,加强重要数据和核心数据重点保护
《管理办法》对标《数据安全法》《网络安全法》《个人信息保护法》中的数据安全保护义务,明确细化工信领域数据处理者的数据安全主体责任。一是要求建立数据全生命周期安全管理制度,制定各环节分级防护要求和操作规程,配备管理人员,加强权限管理,制定应急预案,定期开展教育培训以及其他必要措施。二是要求结合数据收集、存储、使用、加工、传输、提供、公开等环节特点设置针对性保护措施,有效加强数据安全保护。三是以一般数据、重要数据、核心数据三级数据划分为主线贯穿数据全生命周期安全管理,要求采取工作体系建设、内部登记审批、关键岗位管理、安全防护等管理及技术措施对重要数据和核心数据进行重点保护,切实保障国家安全和社会公共利益。
(四)引入多利益相关方,构建数据安全协同治理生态
数据安全保护涉及主体多元、场景复杂、环节众多,构建良好的数据安全治理生态需要开展多方协同。《管理办法》引入企业、研究机构、行业组织、安全服务机构等各类主体参与数据安全治理。一是推动数据安全产业发展,支持数据安全企业、研究和服务机构开展数据安全技术研发创新,结合行业数据安全需求培育、发展数据安全产品和服务,提升数据安全产品供给能力。二是组织企业、研究机构、高等院校、行业组织等各类主体开展相关标准的制修订及推广应用工作,增强标准制定参与主体的广泛性,通过标准促进数据应用规范化,提升数据处理活动的安全性。三是发挥安全服务机构、行业组织、科研机构数据安全能力,鼓励协同开展数据安全风险信息上报和共享,汇聚多方力量应对数据安全风险。四是发挥评估机构专业能力,辅助开展数据安全风险评估、出境评估等活动,助力企业持续提升数据安全保障水平。
三、凝聚多方合力,全面提升工信领域数据安全保障水平
在数据安全威胁和风险日益突出,国家数据安全管理要求亟需落地的大背景下,《管理办法》的出台正当其时。《管理办法》正式实施后,将开创工信领域数据安全保护工作新局面。为进一步推动其落地,有效提升工信领域数据安全治理能力,重点提出以下几方面思考:
(一)加强政策宣贯培训,全面提升数据安全保护意识和水平
《管理办法》发布是引导工信领域深入贯彻领会数据安全管理制度要求,加快推动数据安全管理工作制度化、规范化的良好契机。做好宣贯培训,采取部级示范培训和地方重点培训相结合的方式,针对性、分层次、有深度地设计行业数据安全宣贯培训内容,对《数据安全法》《管理办法》进行系统阐释和深入解读,统一理解认识,有助于行业监管部门推动管理制度要求有效落实与执行,打响“发令枪”。同时,数据处理者要定期开展数据安全管理培训,明确关键、重点岗位培训方案,确保数据安全从业人员全覆盖,及时评定培训效果,做好“冲锋者”。
(二)做好重要数据识别备案,有效夯实数据安全工作基础
重要数据保护已成为工信领域数据安全管理的重中之重。随着《管理办法》的推进实施,还需要行业监管部门结合工业、电信行业领域自身特点和实践需求,配套制定重要数据识别标准规范,建立完善备案审核及上报流程机制,为工信领域企业深化落实数据安全基线要求进一步提供细化规则。数据处理者也需要按照行业监管部门的工作要求,紧密结合自身数据安全工作实际,定期梳理数据资源,扎实开展重要数据识别和目录动态备案管理工作,切实履行好安全主体责任。
(三)抓好风险防范化解,切实增强数据安全保障能力
有效发现、抵御工信领域数据安全突出风险,是维护数据安全的发力点和核心战力。加强数据安全风险评估、报告、信息共享、监测预警工作部署,推进全国数据安全管理平台建设,加快打造工信领域数据安全风险态势感知能力,将成为下一步行业监管工作的重点。数据处理者应围绕数据安全保护需求,配合部、省两级主管部门开展风险监测排查,及时防范行业数据安全风险隐患;做好数据安全风险评估和数据出境安全评估,不断提升数据安全合规能力。安全服务机构、行业组织、科研机构要主动参与风险信息上报和共享,按照“及时、客观、准确、真实、完整”的原则报送掌握的风险信息。
(四)加强正向激励引导,多措并举提升数据安全保护水平
坚持监督管理与正向引导相结合,有利于充分调动企业的自主性和积极性,更大程度激发企业提升自身数据安全管理水平的内生动力。行业监管部门在加强监督检查,通过执法、约谈等措施敦促企业责任落实的同时,可以综合运用行业自律、竞赛、优秀案例评选等多种方式加强示范引领,推进企业标准贯标达标工作,指引企业提升数据安全管理能力。数据处理者要充分发挥能动性,自动对标管理要求和最佳实践,自觉提升数据收集、存储、加工、传输、提供、公开、销毁等全环节安全保护水平。在业务系统上线、运营中,同步规划、同步建设、同步运行数据安全保障措施,进一步提升数据有效利用与安全保护平衡能力。
(作者:中国信通院院长 余晓晖)
心脏支架降价93% 巨量“水分”是如何挤出去的?******
重量仅约0.03克,却比黄金贵千余倍;均价高达上万元,却每年卖出约150万个。一枚小小的冠脉支架,撑开了百万患者的“生命之伞”,但也击中了百亿支出的“负担之痛”。
《中国心血管健康与疾病报告2019》推算,我国心血管病患病人数达3.3亿,十年间冠心病手术从23万例发展到超过100万例。据推算,每年要用掉150万个心脏支架,总费用约150亿元。
如今,随着“国家队”出手,这一痛点将成为历史。上个月,设在天津的国家组织高值医用耗材联合采购办公室(简称“联采办”)传出重大利好,首次国家高值医用耗材集中带量采购中,冠脉支架均价从1.3万元左右跳水至700元左右,降幅达93%。明年1月1日起,新价格将正式实施,预计每年可减少上百亿元支出。
如此多的“水分”是如何挤出去的?近日,记者走进联采办,走近冠脉支架集中带量采购谈判团队,探寻“灵魂砍价”幕后的故事,感受小支架背后的医改大民生。
一场惊心动魄的开标
“当天的开标,用惊心动魄来形容也不为过。”尽管时间过去一个多月,但回忆起上月初国家组织冠脉支架集中带量采购申报信息公开大会的现场情景,联采办集中采购组组长高雪依然眉头飞舞。
这是联采办正式成立不到两个月经历的第一场大考。11月5日上午,企业代表和工作人员早早进场,容纳百余人的会议室内,仿佛连空气中都氤氲着紧张的味道。
上午10时,仪式正式开始,联采办的工作人员按流程宣读采购申报流程,11家符合资格的中外生产企业带着26个支架产品公开投标,企业代表将装有已填写完冠脉支架集中带量采购申报价的密封信封,依次投入箱内。
会场之外,各企业人员也在焦灼地等待结果。“我们在外场设置了座椅,但几乎没人坐,大家来来回回踱步,等待着会场内传来的消息。”高雪回忆说。
全部企业的报价单放入箱内后,公证员走到箱前,在现场所有人的注目下将所有信封取出,联采办业务科科员张明慧在公证员的监督下,拿起第一个信封,打开一看,上面的数字有点出乎意料,她深深吸了一口气,将报价递给同事宣读。
“645元。”话音刚落,现场陷入短暂的沉寂,随后发出了一阵“哇”的惊叹声。
“第一家就报出低于千元的价格,而且还是医院需求相对较大的产品!一瞬间,我们觉得这事儿稳了!”高雪难掩内心激动,右手不由自主地拍了一下桌子,悬着的心一下放了下来,疲惫也一扫而光。
前一夜,高雪辗转反侧,几乎没怎么睡着,凌晨5点就起来,又挨个叮嘱企业竞价投标细节。
令高雪更为惊讶的是,紧接着又有企业报出了469元的“地板价”。“590元”“775.98元”……台上大屏幕上的数字不断跳动,产品报价由低到高的顺序确定排名,实时更换,场下企业也在拿笔记着同行报价,时不时发出不可置信的低呼。
待报价全部宣读完毕后,高值医用耗材全国集采“第一单”宣布成功。中选的10个产品中,最高报价为798元,最低报价为469元,包含6家国内企业的7个产品,以及2家进口企业的3个产品。
“10个中选产品有7个是原市场份额的前十名,还有1个是原市场份额的第11名。”联采办主任、天津市医疗保障局副局长张铁军说,中选产品和医疗机构报量的重叠度高达70%,这也保证了医生的使用感和临床选择习惯和过去相比差别很小。
半年锱铢必较的谈判
明年1月1日起,降价冠脉支架执行已近在眼前。为了能按时、按量、保质供应,不出岔子,联采办仍在紧锣密鼓地忙碌着。
此次国家集中带量采购的冠脉支架首年意向采购量超过107万个。按最终协议采购量计算,年采购金额为6.70亿元,每年可节省采购费用117.25亿元。
半个多小时的竞标开标,令人满意的价格,背后却是“国家队”大半年锱铢必较的“灵魂砍价”。
“我们从今年5月开始就着手开发了数据平台,对全国2400多家医疗机构过去一年的冠脉支架采购量、使用品牌等进行数据采集,并对国内外生产企业进行反复调研。”高雪说。
9月14日,联采办在天津成立,明确由天津市医药采购中心具体承担国家组织高值医用耗材联合采购办公室日常工作,组织实施采购任务,冠脉支架成了要啃的第一块“硬骨头”。
虽然手握采购量这个筹码,覆盖医疗机构意向采购量的80%以上,但与企业谈判依然是一场艰难的博弈。
“我们邀请企业一对一座谈沟通,但每个企业都打着自己的算盘。”高雪皱了皱眉头。
为了在谈判中掌握主动权,团队又对国内外“行情”进行了细致摸底。国内市场冠脉支架的平均价格为1.3万元,最便宜的也要7500元以上,此前江苏冠脉支架试点集采的最低谈判价格达到2850元。而在国外,2020年3月,印度政府规定药物洗脱支架天花板价调整为756元,德国一些冠脉支架价格在100欧元左右。
高雪直言,自己像是一个谈判官,用着《孙子兵法》里的招数,随机应变,见招拆招,在一对一企业面谈中字斟句酌,一遍遍触摸企业可能报价的底线,试图突破他们的价格防线。
在前期的企业座谈中,不少企业还在互相询问着对方心理价以及支架产品的最新发展,但到了后期,企业都不愿意再亮出自己的任何底牌,见面只是寒暄。
10月份,联采办发布了《国家组织冠脉支架集中带量采购文件》,明确了申报语言、计量单位和医用耗材名称、医用耗材规格型号表示、申报报价填写等内容。仅这一份材料,团队成员就改了30余次,甚至还模拟“角色扮演”,站在企业和医疗机构立场上寻找文件漏洞。
“请教了多少专家、律师,开了多少次企业面谈会,预演了多少次,真的已经记不得了。”高雪说。
千亿降费大单的期待
“集中带量采购,就是要通过市场竞价机制,给高值医用耗材‘挤挤水分’。冠脉支架不是终点,而是起点!”高雪笑着说,“接下来还有1350亿高值医用耗材等着我们去推动、去解决,未来还会有惊喜!”
高值医用耗材,指的是直接作用于人体、对安全性有严格要求、临床使用量大、价格相对较高、群众费用负担重的医用耗材,例如髋关节假体、耳内假体、颅骨矫形器械等,全国市场规模达1500亿元。它们对于许多患者的生命健康至关重要,但高昂的价格让不少人望而却步,例如髋关节假体的价格基本都在万元以上。
此次国家组织冠脉支架集中带量采购,为治理高值医用耗材价格虚高、流通乱象打响了“第一枪”,这一枪不仅打得响,而且打得准。
“全国老百姓都关注这事儿,说明我们真正从老百姓的利益出发,方向走对了。”高雪说,“8岁的闺女看到我出现在电视上后,给我买了根冰棍吃,她也知道爸爸干了件大事儿。”
冠脉支架降价的消息上了“热搜”,高雪和团队成员美滋滋地看着网民对此的评价,但其中也有网友有疑问:一分价钱一分货,为什么支架能有这么多水分,与降价一起降的会不会还有质量?
高雪解释说,高值医用耗材里的价格水分大,从厂家、中间流通商、医药代表等,每个流通环节上都存在水分。
国家医疗保障局医药价格和招标采购司司长钟东波说,对于这样的降价幅度不必太过惊讶,更不用担心企业报价是否已经低于成本,因为经过前期一系列的成本测算、财务报表分析等,这个报价其实是在合理范围内的。
钟东波介绍说:“通过带量采购,我们明确了采购数量,把中间销售费用全部节省,相当于直接还给社会、还给老百姓。这创造了公平的竞争环境,也给产业健康和高质量发展奠定了制度环境和基础。”
冠脉支架的价格降下来了,最受益的还是老百姓。北京安贞医院心内一科主任宋现涛说:“我国冠心病的发病人群非常高,且逐年增长,这次价格大幅下降后,让很多原来看不起病、做不起手术的患者,也有更多机会能够得到及时有效的救治。”
“老百姓所关切的,就是我们要努力的。”高雪和同事们脚步并没有停下,一个又一个造福患者的项目正在稳步推进,“无论是冠脉支架还是后续其他高值医用耗材的谈判,都是造福患者的事,我们要一块一块地砍!”高雪说。
本报记者:宋瑞、张宇琪、栗雅婷、张建新
(文图:赵筱尘 巫邓炎)