编者按
近年来,电力行业企业在“走出去”的国际合作过程中,除面临渐趋加强的地缘政治、公共安全、出口管制与制裁、社会、经济等多方面合规风险外,数据安全及跨境流动也逐渐成为包括欧、美、英及中国等全球各主要司法管辖区的监管新热点。
本文通过对数据合规在电力行业国际合作中的重要性及意义的分析,结合我们国家现行监管政策对国际合作数据合规的法定要求,对电力行业“走出去”企业在数据出境合规维度提出初步的合规建议,力求实现行稳致远的全球经营合规目标。
01.电力行业国际合作中数据合规的重要性和意义
全球加强对数据安全及跨境传输限制的监管趋势要求电力行业在国际合作中做到数据合规。全球经济数字化浪潮使得数据的跨境流动至关重要,为了确保数据跨境流动不损害一国的国家安全、社会稳定、公众利益和经济发展,众多国家和地区都在探索通过立法来限制数据跨境流动。
截至2023年,全球已有60多个国家和地区陆续制定并发布了规范数据本地化和跨境传输要求的相关法律法规。如欧盟的《通用数据保护条例》(GDPR),对数据的处理、存储和跨境传输设有严格的规定;美国新签发的《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》(第14117 号行政令),以限制或禁止美国境内的个人、公司或组织将特定类型的敏感数据传输给被认为是受关注的国家或实体,如中国、俄罗斯等;其他国家包括印度、俄罗斯、巴西、澳大利亚、阿根廷以及东南亚许多国家也纷纷出台与数据保护、数据隐私、网络安全相关的法律法规。
此背景下,中国的数据安全及跨境传输的监管机制也初步搭建成型,陆续出台《网络安全法》《数据安全法》《个人信息保护法》《电力行业网络安全管理办法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》《促进和规范数据跨境流动规定》等法律法规,来规范数据的全生命周期合规。电力行业国际合作中的数据合规对于保护我国国家安全具有重要意义。电力行业是我国重要基础行业,关乎国家繁荣发展与社会稳定,当前,针对大数据的攻击和数据泄露日益严重,对电力行业潜在的数据威胁将对我国能源安全带来重大不利影响。
电力行业的重要网络设施和信息系统(即“关键信息基础设施”)一旦遭到破坏、丧失功能或者数据泄露,可能严重危害我国国家安全、国计民生和公共利益;电力行业的重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害我国国家安全、经济运行、社会稳定、公共健康和安全;电力行业的核心数据一旦被非法使用或共享,可能直接影响我国政治安全。
此外,随着数字经济成为国际竞争的制高点,各行各业能够接触到的国家基础信息、国家核心数据日益成为境外情报窃密的重要目标,数据领域国家安全风险日益突出的这一形势使得电力行业国际合作中的数据合规迫在眉睫。
以我国另一重要行业——交通运输行业为例,2021年12月31日发生了我国自《数据安全法》实施以来的首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件。在该案件中,涉案企业接受境外公司委托,在境外公司规定的北京、上海等16个城市及相应高铁线路上采集了物联网、蜂窝、高铁移动通信专网敏感信号等我国铁路信号数据。此外,涉案企业还在数据采集设备上为境外公司开通了远程登录端口,使得境外公司可以实时获取相应的测试数据。经鉴定,该境外公司从事国际通信服务,但其长期合作的客户包括某西方大国间谍情报机关、国防军事单位以及多个政府部门,涉案企业为该境外公司搜集、提供的数据涉及铁路GSM-R 敏感信号。其中,GSM-R 是高铁移动通信专网,直接用于高铁列车运行控制和行车调度指挥,承载着高铁运行管理和指挥调度等各种指令。经审查认定,涉案企业的行为除了因构成违反《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为而负有行政责任,同时相关数据被有关部门鉴定为情报,涉案人员的行为也涉嫌为境外刺探、非法提供情报罪而负有刑事责任。该案件也表明了企业在国际合作的过程中,忽视了与数据处理合规密切关联的国家安全问题,将给企业、社会乃至国家带来严重后果。
为实现切实保护国家安全,适应全球对数据安全及跨境传输的监管日益加强的态势,并积极应对境外对我国情报窃密的严峻形势的目标,电力行业在国际合作中必须做到数据合规,严格遵守我国关于国家安全、国家秘密及敏感信息保护、数据安全、网络安全和个人信息保护等方面的监管要求,并进一步主动落实我国对数据分类分级、关键信息基础设施运营者以及数据跨境传输的合规义务。
02.我国数据合规现行监管体系和要求
我国已初步形成以《网络安全法》《数据安全法》《个人信息保护法》为总纲与原则基础,《电力行业网络安全管理办法》《关键信息基础设施安全保护条例》《数据出境安全评估办法》《促进和规范数据跨境流动规定》等法律法规多维度融合管理的数据安全及跨境传输监管体系。其中,对于电力行业的国际合作而言,数据分类分级保护制度、关键信息基础设施运营者的严格义务,以及数据跨境传输的合规这三个主要方面,最为值得关注。
(一)数据分类分级保护
1. 合规义务来源
现行《数据安全法》明确规定国家应当建立数据分类分级保护制度,对不同类别和级别的数据采取不同的安全保护措施。国家相关部门应当制定重要数据目录,加强对重要数据的保护。对关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据,实行更加严格的管理制度。《电力行业网络安全管理办法》规定,电力企业应当按照国家和行业重要数据目录及数据分类分级保护的相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。
2. 开展数据分类分级保护工作
自2024年10月1日起,由国家市场监督管理总局、国家标准化管理委员会发布的国家标准《数据安全技术 数据分类分级规则》(GB/T 43697—2024)将开始正式实施,也将为各行业领域主管(监管)部门在制定本行业本领域的数据分类分级标准规范、各地区和各部门在开展数据分类分级工作,以及数据处理者在进行数据分类分级时提供重要参考。
开展数据分类分级保护工作包括数据分类和数据分级两大主要步骤。
数据分类可以按照先行业领域、再业务属性分类的思路进行。除法律法规有专门管理要求的数据类别(如个人信息等)外,按照行业领域,可以将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。各行业领域主管(监管)部门可根据本行业本领域的业务属性,对本行业领域数据进行细化分类,如能源行业可根据流程环节这一业务属性,将能源数据进一步细分为勘探、开采、生产、加工、销售、使用等数据。此外,笔者认为电力行业数据也可以从发电(如火力、水力、核能)、输配电、电力设备制造、新能源(如风能、光伏能、生物能等)维度进行分类。
数据分级是指根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据分为核心数据、重要数据、一般数据三个级别(见表1):
-
核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据,核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,或经国家有关部门评估确定的其他数据。
-
重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
-
一般数据是指除核心数据、重要数据之外的其他数据。
当前电力行业主管部门尚未出台本行业的数据分类分级标准规范以及重要数据目录,但这并不意味着电力行业企业无法进行初步识别自身的重要数据并进行相应的数据合规管理工作。实际上,新发布的《数据安全技术—数据分类分级规则》提供了可供数据处理者开展分类分级工作的参考流程。
对于电力行业企业,尤其是国际合作较多的企业而言,《电力行业网络安全管理办法》在《关键信息基础设施安全保护条例》等法律规定的基础上进一步细化电力企业的责任义务,并特别规定电力企业在保护本单位网络安全时,还应当建立健全全流程数据安全管理和个人信息保护制度,按照国家和行业重要数据目录及数据分类分级保护相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。
根据《数据安全技术—数据分类分级规则》,针对目前所属行业领域暂未有官方公布的数据分类分级标准规范,或存在行业领域规范未覆盖的数据类型的情形下,电力行业企业可以通过数据资产梳理、制定符合自身企业特点的内部规则、初步分类及分级、审核上报目录,并对数据进行动态更新管理这些主要流程开展数据合规的管理,避免在电力企业国际合作的过程中因数据分类分级工作的缺失或不足,导致潜在的数据合规风险。
同时,在进行数据分类分级工作的重要数据识别时,也可参考《数据安全技术—数据分类分级规则》项下附录G中列举的考量因素。例如,在识别相关数据是否属于重要数据时,考量以下因素:相关电力行业数据是否关系我国科技实力、影响我国国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据,以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据;相关数据是否反映自然环境、生产生活环境基础情况,或可被利用造成环境安全事件,如未公开的与土壤、气象观测、环保监测有关的数据;相关数据是否反映核材料、核设施、核活动情况,或可被利用造成核破坏或其他核安全事件,如涉及核电站设计图、核电站运行情况的数据;反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密等。
此外,笔者认为,《数据安全技术—数据分类分级规则》在前述重要数据的识别因素中仅提供了较为原则性的指导,电力行业企业也可参考2017年5月27日,全国信息安全标准化技术委员会对外发布的《信息安全技术 数据出境安全评估指南(草案)》。虽然该国家推荐性标准仍还在征求意见阶段,未正式生效,但其附录 A《重要数据识别指南》采用了定义加列举的结构形式,在对电力、民用核设施等27个重要行业领域所涉及的“重要数据”的范围予以了详细的列举(见图 1)。
(二)关键信息基础设施运营者
1. 合规义务来源
《网络安全法》《关键信息基础设施安全保护条例》等现行法律法规均明确要求,被相关部门认定为关键信息基础设施运营者的企业严格遵守关键信息基础设施运营者所需履行的网络安全、数据安全等合规义务。其中,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2. 电力行业关键信息基础设施运营者的认定
电力行业企业所处的能源行业属于事关国家安全、能源安全的重要行业,因此,电力行业企业的重要网络设施、信息系统多被认定为关键信息基础设施,而享有关键信息基础设施的电力行业企业则相应被认定为关键信息基础设施运营者。
相关行业的关键信息基础设施由该行业的主管部门认定,对于被认定为关键信息基础设施的重要网络设施和信息系统,相关行业主管部门应将认定结果通知关键信息基础设施的运营者,以此确保关键信息基础设施运营者知悉其所有的重要网络设施和信息系统属于关基从而需严格履行关键信息基础设施运营者的合规义务。
对于电力行业而言,关键信息基础设施的认定根据现行法律法规的监管要求,以能源主管部门的通知结果作为依据。在实践中,若电力行业企业暂未收到能源主管部门关于将其所有的重要网络设施和信息系统认定为关键信息基础设施的结果通知,原则上其暂时不属于电力行业的关键信息基础设施运营者。
但是,笔者认为,随着能源行业关键信息基础设施相关认定规则的进一步制定与完善,以及能源主管部门加强对电力行业关键信息基础设施认定工作的趋势,即便某些电力行业企业截至目前暂未收到能源主管部门将其所有的重要网络设施和信息系统认定为关键信息基础设施的结果通知,从审慎角度出发,笔者仍建议电力行业企业积极开展并加强本企业是否会被认定为关键信息基础设施运营者的初步分析,积极了解关键信息基础设施运营者的数据和网络合规风险及法定义务,积极关注关键信息基础设施立法、执法方面的更新,并保持与能源主管部门的持续有效沟通,从而积极及时应对未来可能存在的监管变化。
3. 电力行业关键信息基础设施运营者的法定严格义务
如果关键信息基础设施遭到破坏、失去功能或数据泄露,可能会严重危及国家安全、国计民生和公共利益。因此,关键信息基础设施的运营者应当遵循严格的数据合规法定义务。对于电力行业的关键信息基础设施运营者,笔者认为其最主要的数据合规义务体现在境内存储和跨境传输合规两个方面。具体而言,电力行业的关键信息基础设施运营者,其在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储;因业务需要,确需向境外提供的,应当按照《数据出境安全评估办法》通过所在地省级网信部门向国家网信部门申报数据出境的安全评估。
因此,若国际合作较多的电力行业企业被认定为关键信息基础设施的运营者,其更应当关注如何完全遵守国家相应法律法规的要求、如何按照关键信息基础设施运营者的法定义务建立其国际合作相关的内部合规管理体系,以及如何加强与主管部门的沟通协作来确保其在国际合作中的商业行为合法、合规。除了关键信息基础设施运营者的普适性法定要求外,电力行业企业应当特别关注数据本地化存储,以确保数据安全和监管。同时,尽快对其国际合作中所涉及的数据进行分类分级,并根据法定要求申报数据出境的安全评估。
(三)数据出境
1. 合规义务来源
总体而言,从数据跨境传输的主动性及数据控制能力的维度,数据出境的行为主要包括主动出境和被动出境。数据处理者自主将在境内运营中收集和产生的数据传输至境外,即为“数据主动出境”;数据处理者收集和产生的数据虽存储在境内,但境外的机构、组织或者个人基于数据公开公示、国际合作、在中国境内交流等行为可以查询、调取、下载、导出,即为“数据被动出境”。
《数据出境安全评估办法》《促进和规范数据跨境流动规定》《数据出境安全评估申报指南(第二版)》等现行法律法规文件均明确要求,数据处理者向境外提供数据时,除例外规定,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
2. 数据出境的合规义务
-
数据出境安全评估义务
根据现行法律法规,法定需要申报数据出境安全评估的情形包括:关键信息基础设施运营者向境外提供个人信息或者重要数据;关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感 个人信息)或者1万人以上敏感个人信息。
-
其他数据出境义务
除数据出境安全评估外,对于国际合作较多的电力行业企业,在数据出境前,对确需在合作项目中传输至境外的数据,需根据拟出境数据的具体种类、数据规模等不同情形完成相应的监管程序,如完成数据出境安全评估前的风险自评估、个人信息保护影响评估、签订个人信息出境标准合同并备案,或获得个人信息保护认证等。
-
司法协助义务
此外,电力行业企业在国际合作中因国际法律环境和合作国家的法律监管,可能会面临多种复杂的法律问题。若存在诉讼、境外执法机构调查及执法等情形,可能会涉及国际司法协助。根据现行法律法规,我国根据平等互惠等原则,处理外国司法或者执法机构向中国提出的关于提供数据的请求。在对外提供境内数据时,非经我国主管机关批准,在境内的中国企业和个人不得向外国司法或者执法机构提供存储于中国境内的数据。
03.合规建议
综上,电力行业企业在国际合作中应当全方位增强自身的数据安全和跨境传输合规理念,避免潜在的数据合规风险及可能引发的国家安全、能源安全风险等。因此,笔者初步建议:
一是电力企业在电力行业主管部门尚未出台电力行业数据分类分级标准规范、重要数据目录时,按照梳理电力企业的数据资产、制定企业内部数据分类分级的内部规则、实施数据分类与分级,并对数据进行动态更新管理的主要流程来开展数据分类分级工作,避免电力行业企业在国际合作的过程中因数据分类分级工作的缺失或不足,导致发生潜在的数据合规风险。
二是对于被认定为关键信息基础设施运营者的电力行业企业,在国际合作中应当关注充分遵守我国对于关键信息基础设施运营者的严格法定要求,特别是数据本地化存储和关键信息基础设施数据(包括重要数据和个人信息)出境安全评估的法定要求,以确保数据安全。对于目前暂未被认定为关键信息基础设施运营者的电力行业企业,建议开展并加强企业是否会被认定为关键信息基础设施运营者的分析、了解关键信息基础设施运营者的数据合规义务、关注关键信息基础设施立法和执法方面的更新,并保持与能源主管部门的持续有效沟通。
三是电力行业通常涉及跨国合作,如电力设备的进口、电力国际工程业务、跨境电力交易等,因此,电力企业在进行国际交流合作前,应启动企业内部数据跨境传输的合规管理工作。对于相关数据已出境的情形,若存在被企业审慎认定为重要数据的数据,以及达到一定数据规模的个人信息,笔者建议应当及时中断当前未经出境安全评估的主动出境行为,并及时在官方网址、公众号、公开发行的宣传资料等渠道中限制境外机构、组织或者个人进行查询、调取、下载的权限,甚至直接在官方网址、公众号、公开发行的宣传资料等渠道中予以删除。在电力行业主管部门出台电力行业数据分类分级标准规范、重要数据目录前,向能源主管单位发函对于拟出境的各类数据类型以获取官方确认和回复,并按照相应要求向国家网信部门申报数据出境的安全评估,履行相应的其他法定合规义务。
四是企业需要关注及建立与国际标准适配的数据合规管理体系,确保在各个主要司法管辖区的数据传输也同时符合项目或交易所涉国家的法律法规。例如,欧盟的电力或能源行业的数据跨境传输受到欧盟《通用数据保护条例》(GDPR)的限制,欧盟还颁布《网络与信息系统安全指令》(又称 NIS 指令)以提高欧盟的网络安全水平,并关注各个国家、跨境协作以及能源等关键行业的安全能力。俄罗斯颁布《俄罗斯联邦关键信息基础设施安全法》,要求能源行业的公司实施严格的网络安全措施,并报告可能影响关键基础设施的事件。该法还限制未经适当保护的数据传输到国外的行为。在北美,北美电力可靠性公司(NERC)实施了被称作 NERC 关键基础设施保护(CIP)标准的可靠性标准。NERC受到美国联邦能源管理委员会(FERC)和加拿大政府机构的监管。此标准要求所有大型电力系统所有者、运营者和用户都必须向NERC 注册,并遵守 NERC CIP 标准。但云服务提供商和第三方供应商(如 Microsoft)不受 NERC CIP 标准的约束。当然,除各国的数据跨境监管政策,双边或区域性条约也包含了有关数据跨境流动的安排,例如《区域全面经济伙伴关系协定》(RCEP)等。
五是电力行业中的AI 技术应用正在逐步增加,随之而来的数据安全问题也将会越发凸显。AI 系统生成和处理的数据往往需要跨境传输,这些数据传输也需要符合严格的合规要求,尤其是涉及国家安全的重要电力数据等。 (本文原载于《中国电力企业法治合规建设论文集(2024)》)
参考文献:
【1】中电联规划发展部 . 中国电力行业年度发展报告 2023(简版)[EB/OL],(2023-07-07)[2024-7-20]https: //www. cec.org.cn/detail/index.html?3-322625.
【2】央广网 . 国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件[EB/OL](2022-04-15)[2024-07-20].https://frjs.jschina.com.cn/31007/202204/t20220415_7504351.shtml.
【3】西交苏州信息安全法律研究中心 .《俄罗斯联邦关键信息基础设施安全法》全文翻译[EB/OL[(2020-05-17) [2024-07-20].https: //www.secrss.com/articles/19550.
【4】Microsoft 365,针对能源行业的关键合规性与安全性注意事项[EB/OL](2024-01-30)[2024-07-20].https: // learn.microsoft.com/zh-cn/microsoft-365/solutions/energy-secure-collaboration?view=o365-worldwide.
