从能源企业的合规视角解读《网络数据安全管理条例（征求意见稿）》

2021-11-22

前言：

在网络安全日益严峻、数据泄露事件频发、个人信息滥用高发的形势下，2021年11月14日，国家互联网信息办公室发布了《网络数据安全管理条例（征求意见稿）》（以下简称《条例》）。这是网络安全与数据合规领域，三大基础性法律—《网络安全法》、《数据安全法》、《个人信息保护法》—陆续生效施行的背景下，国务院出台的一部全面性的行政法规。

其中专章规定了重要数据安全，第一次在法律、行政法规层面详细的提出重要数据处理者的具体合规义务。结合重要数据的定义，我们发现能源行业的生产、运行数据属于重要数据的范畴。作为国家重点企业，能源企业的安全关乎国家安全、社会稳定，毋庸置疑。包括电网、电力、新能源、环保等能源企业在长期发展过程中，积累了巨量的数据。其中大部分数据属于公共数据、个人信息、重要数据，甚至还包括核心数据。因此能源企业所存储的数据不仅数据量巨大，而且数据品质非常高。一旦遭遇网络攻击或者数据处理不当，易导致大规模的数据泄露，可能引发国家安全问题。因此监管部门对此非常重视，制定了更严苛的合规义务。我们将从合规的视角，来探究该部全面性行政法规对能源企业的特殊影响。本文试图回答以下问题：01.《条例》规定的特殊合规义务有哪些？02.《条例》可能给企业带来哪些合规风险？03.能源企业应当如何应对？

一、《条例》规定的特殊合规义务有哪些？

《条例》除规定一般数据处理者的合规义务外，还规定了特殊数据处理者的合规义务。特殊数据处理者包括重要数据处理者、一百万人以上个人信息处理者、关键信息基础设施经营者、互联网平台运营者、大型互联网平台运营者等。因概念不符，互联网平台运营者和大型互联网平台运营者基本可以排除在能源企业的适用范围内。因此能源企业需重点关注的是三类特殊数据处理者，即重要数据处理者、一百万人以上个人信息处理者、关键信息基础设施经营者。同时鉴于大部分能源企业不存在数据出境的问题，因此下列合规义务不考虑数据出境内容。

重要数据处理者。所谓重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。就能源企业来说，包括但不限于安全生产、运行的数据，关键系统组件、设备供应链数据。因此对于能源企业，首先需要完成重要数据的识别工作，之后完成限时的备案义务和培养企业自我修养，包括设置组织架构、定期开展数据合规培训、处理前须完成数据安全评估和取得行政许可等特殊的义务性合规规范。

一百万人以上个人信息处理者。所谓个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。其中身份证、居住证、人脸指纹等属于敏感个人信息。就电网企业来说，所存储的用电数据包括用户的档案数据，其中包括个人信息、敏感个人信息等。虽然上述用户档案数据也属于公共数据的定义范围，但是基于就高从严原则，用户档案数据同时属于个人信息、公共数据、法人数据的情况下，建议优先认定为个人信息。而从数据量上看，电网企业所掌握的用户基本超过100万以上，可以认为一百万人以上个人信息处理者。根据《条例》的规定，一百万以上个人信息处理者除赴国外上市前须满足国家安全审查的义务外，还须履行重要数据处理者的合规义务。当然一百万以上个人信息处理者也属于个人信息处理者，也需要满足个人信息的合规要求。

关键信息基础设施经营者。所谓关键信息基础设施，是指一些重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。而这些重要行业和领域包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等八个大类。根据《条例》，关键信息基础设施经营者在采购云计算服务时，应当通过国家网信部门会同国务院有关部门组织的安全评估。同时，对于关键信息基础设施经营者的合规义务需重点关注《关键信息基础设施安全保护条例》，在此不多赘述。

二、《条例》可能给企业带来哪些合规风险？

就能源企业而言，企业的合规风险可能多种多样，但是主要区分为两种，外部监管风险和自身数据泄露风险。外部监管风险，主要是指因自身未履行相应的合规义务导致行政处罚。自身数据泄露风险，主要是指以勒索攻击为代表的外部黑客事件和以删库跑路为代表的内部失职事件。当然自身数据泄露，也可能导致行政监管处罚，除非符合尽职合规免责情形。本文将从外部监管视角，侧指《条例》的合规要求，梳理能源企业的外部监管风险。

从上述数据，我们可以发现《条例》实行的是双罚制，即若违反第一章所列举的特殊合规义务，均可能导致个人和单位的处罚，且个人最高处罚可达100万。这里的个人包括了直接负责的主管人员和其他直接责任人员。在贯彻网络安全领导责任制的情况下，公司决策层也完全有可能因数据不合规受到处罚，除非适用尽职合规免责。当然《条例》最后也兜底规定，若违反上述规定严重的情况下，个人和单位也可能受到刑事处罚。因此能源企业需特别重视数据合规管理工作。

三、能源企业应当如何应对？

根据信通院发布的《2020年中国数字经济发展白皮书》，我们发现数字经济的规模越来越高、数字经济的增速远高于GDP的增速、数字经济的占比也越来越高。2020年中国数字经济的总量接近40万亿，占GDP比重接近39%。而数据经济背后的基础支撑就是巨量的数据集。很多能源企业目前正在数字化转型，转型过程中必然会涉及大量数据的处理问题。这里面就涉及到数据治理的问题。数据治理包括两方面内容：数据的安全和数据的发展。企业一方面需要采取各种措施，来保障数据的安全。另一方面通过合规的数据处理活动，来促进数据流动，创造数据的价值。

从数据安全角度看，出于外部监管处罚风险和自身数据泄露风险，能源企业需要专门做好数据合规管理工作。同时随着数字化时代的来临，数据交易将成为可能，数据发展将迎来春天。日前，广东试点公共数据资产凭证，企业可通过用电数据来申请贷款。温州试点个人数据资产凭证，个人可通过其个人数据来申请贷款。同时各地的数据交易中心正在逐步落地结果。我们可以想象，在不远的未来，掌握大量数据的能源企业必将在数据交易市场上大有可为。但我们需要意识到，数据交易意味着数据需要流动，而数据流动的前提是数据需要合规的处理——包括数据的收集、存储、使用、共享、加工、删除等数据全生命周期的合规管控。因此不论是出于当下数据安全的考虑，还是着眼数据发展的未来，我们都强烈建议能源企业加强数据合规的管理工作。具体数据合规管理工作的开展可以考虑从组织架构、制度建设、机制保障、分级分类、操作规程、技术措施六个维度展开：

（一）建立公司数据合规组织架构

根据要求，明确数据安全负责人、成立数据安全管理机构。

数据安全负责人：应当在决策层中选择。同时具备数据安全专业知识和相关管理工作经历。领导数据安全管理机构。具有一定的独立性，允许其有权直接向网信部门和主管、监管部门反映数据安全情况。可考虑将网络安全负责人、个人信息保护负责人等的工作职责合并到数据安全负责人。

数据安全管理机构：受数据安全负责人领导。具体工作职责包括 1) 研究提出数据安全相关重大决策建议；2) 制定实施数据安全保护计划和数据安全事件应急预案；3) 开展数据安全风险监测，及时处置数据安全风险和事件；4) 定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动；5) 受理、处置数据安全投诉、举报；6) 按照要求及时向网信部门和主管、监管部门报告数据安全情况。

（二）建立公司数据合规管理制度

根据法律法规以及本行业的特殊要求，起草企业自身的《数据合规管理办法》或者《数据安全管理办法》。该办法作为纲领性的制度，概括式描述相应的网络安全、数据安全、个人信息保护、重要数据保护等定义、原则、数据分级分类、运行保障机制、数据提供第三方的合规要求、考核评价等内容。根据实际业务情况，该办法可考虑与企业目前已建立的合规管理体系相融合，包括办法和合规管理制度的必要融合。

（三）制定公司数据合规运行和保障机制

在运行机制层面，需建立数据安全监测预警机制、定期检测评估机制、数据安全事件应急机制、数据安全审查机制（包括应当优先采购安全可信的网络产品和服务）等。

在保障机制层面，需落实数据安全领导责任制、加强数据安全管理队伍建设、定期开展数据安全培训教育（管理技术人员不少于20小时）、履行限时的数据安全报告机制、建立数据保密机制和尽职合规免责机制、以及结合评价考核和举报机制，落实激励约束机制。

（四）实行数据分级分类管理

具体的管理措施可以参考以下步骤进行：1) 数据资产识别（数据资产的盘点工作是我们应当首先去开展的工作） 2) 数据分类确定 3) 数据定级判定 4) 审核标识管理 5) 数据分类分级保护

（五）制定公司数据处理操作规程

鉴于数据处理较为复杂的全生命周期，不同周期的合规义务不同，因此需制定数据的收集、存储、使用、共享、加工、删除等环节的具体操作流程，包括权限隔离、授权处理等。

（六）配套数据安全保护技术措施

常见技术手段包括建立防火墙、匿名化、加密、去标识化、数据库最小权限管理等，可通过赋能的方式，与上述数据合规管理制度等进行结合，以减少合规成本、便于公司管控。

本文作者：