電網(wǎng)企業(yè)應做好 數(shù)據(jù)安全保護與合規(guī)工作

　　6月10日，《中華人民共和國數(shù)據(jù)安全法》（簡稱“數(shù)據(jù)安全法”）審議通過，將于今年9月1日施行。從國內來看，數(shù)據(jù)安全法的出臺進一步完善了我國數(shù)據(jù)安全基礎法律體系，解決了我國數(shù)據(jù)安全領域長期沒有獨立且融貫的法律體系的問題。從國際來看，數(shù)據(jù)安全法為我國構建起一道全新的數(shù)據(jù)安全法律保障體系屏障，將對重塑國際數(shù)據(jù)規(guī)則具有重要影響。

　　將數(shù)據(jù)安全上升到國家安全層面

　　數(shù)據(jù)安全法將數(shù)據(jù)安全上升到國家安全層面，對管轄地域、行為和對象進行了明確和規(guī)范。

　　從地域來看，數(shù)據(jù)安全法的管轄范圍包含境內和境外兩個層面。我國境內開展數(shù)據(jù)處理活動及其安全監(jiān)管，適用數(shù)據(jù)安全法；損害國家安全、公共利益或者公民、組織合法權益的境外的數(shù)據(jù)處理行為同樣可依據(jù)本法律進行規(guī)制。

　　從約束行為來看，數(shù)據(jù)安全法的管轄范圍包括數(shù)據(jù)處理活動和數(shù)據(jù)安全監(jiān)管活動。開展數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理活動，應依照本法律相關規(guī)定；有關主管部門的數(shù)據(jù)安全監(jiān)管同樣應依照數(shù)據(jù)安全法開展。

　　從數(shù)據(jù)處理活動的對象來看，數(shù)據(jù)安全法適用于針對“數(shù)據(jù)”的處理活動，適用范圍非常廣泛。數(shù)據(jù)安全法在法律層面明確了“數(shù)據(jù)”的概念，涵蓋任何以電子或者其他方式對信息的記錄。

　　數(shù)據(jù)安全法明確了我國數(shù)據(jù)安全領域采取“中央統(tǒng)籌+地方與部門分治”的基本監(jiān)管架構。中央層面，國家安全領導機構是數(shù)據(jù)安全工作的領導機構。執(zhí)行層面，地區(qū)與行業(yè)部門對各自工作中收集和產(chǎn)生的數(shù)據(jù)安全負責并承擔安全監(jiān)管責任。國家網(wǎng)信部門負責對網(wǎng)絡數(shù)據(jù)安全和監(jiān)管工作進行統(tǒng)籌協(xié)調。

　　構建我國數(shù)據(jù)安全基本制度

　　數(shù)據(jù)安全法第三章構建了我國的數(shù)據(jù)安全基本制度，包括數(shù)據(jù)分類分級、重要數(shù)據(jù)保護等7個方面。

　　數(shù)據(jù)分類分級保護制度。數(shù)據(jù)安全法規(guī)定，“國家建立數(shù)據(jù)分類分級保護制度”。數(shù)據(jù)分類分級是以風險程度為導向，以數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度以及數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度作為原則性標準。電網(wǎng)企業(yè)應遵循國家建立的分類分級路徑，健全數(shù)據(jù)分類分級管理，將已有的分類分級體系與國家行將出臺的分類分級保護制度進行有機銜接。

　　重要數(shù)據(jù)重點保護制度。數(shù)據(jù)安全法規(guī)定，“國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護”“各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護”。電網(wǎng)企業(yè)開展業(yè)務的過程涉及大量電力數(shù)據(jù)。此類數(shù)據(jù)對國家安全與社會公共利益有重大影響，很可能被相關主管部門認定為重要數(shù)據(jù)。建議重點關注重要數(shù)據(jù)保護制度和重要數(shù)據(jù)處理者的相關義務。

　　國家核心數(shù)據(jù)嚴格保護制度。數(shù)據(jù)安全法對國家核心數(shù)據(jù)實施更加嚴格的管理制度：監(jiān)管部門對相關主體的罰款最高可達人民幣1000萬元，并可以根據(jù)情況責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；構成犯罪的，追究刑事責任。電力數(shù)據(jù)事關國計民生，有可能被認定為國家核心數(shù)據(jù)。電網(wǎng)企業(yè)應持續(xù)關注立法進度，做好合規(guī)規(guī)劃。

　　數(shù)據(jù)安全風險機制。數(shù)據(jù)安全法建立數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警和應急處置機制，通過對數(shù)據(jù)安全風險信息的獲取、分析、研判、預警以及數(shù)據(jù)安全事件發(fā)生后的應急處置，實現(xiàn)數(shù)據(jù)安全事前、事中和事后的全流程保障。相關企業(yè)應加強相應機制建設，落實防護措施和策略，完善應急預案，強化數(shù)據(jù)安全的事前評估、事中監(jiān)測、事后處置等全流程風險管控能力。

　　數(shù)據(jù)活動國家安全審查制度。數(shù)據(jù)安全法規(guī)定，國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。企業(yè)應健全數(shù)據(jù)活動審查管理，并按照要求配合數(shù)據(jù)活動國家審查。

　　數(shù)據(jù)出口管制。數(shù)據(jù)安全法把屬于管制物項的數(shù)據(jù)納入了出口管制對象范圍。相關企業(yè)應主動密切跟蹤出口管制清單有關內容，加強跨境數(shù)據(jù)管理。

　　企業(yè)應圍繞法律規(guī)定構建合規(guī)體系

　　數(shù)據(jù)安全法第四章規(guī)范了數(shù)據(jù)處理者對數(shù)據(jù)的安全保護義務。安全保護義務是數(shù)據(jù)處理者最為直接的合規(guī)義務。第六章“法律責任”大部分條款則規(guī)定了違反安全保護義務后應承擔的責任。

　　● 一般數(shù)據(jù)處理者的義務

　　一是明確數(shù)據(jù)處理活動的安全要求。數(shù)據(jù)安全法規(guī)定了一般數(shù)據(jù)處理者的安全保護義務，包括建立健全全流程數(shù)據(jù)安全管理制度、組織開展數(shù)據(jù)安全教育培訓、采取相應的技術措施和其他必要措施、落實網(wǎng)絡安全等級保護制度等。同時，數(shù)據(jù)安全法針對重要的數(shù)據(jù)處理活動環(huán)節(jié)提出安全要求，明確收集數(shù)據(jù)“采取合法、正當?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)”，“非經(jīng)中華人民共和國主管機關批準，境內的組織、個人不得向外國司法或者執(zhí)法機構提供存儲于中華人民共和國境內的數(shù)據(jù)”。

　　二是開展數(shù)據(jù)安全風險的監(jiān)測、安全事件報告。數(shù)據(jù)安全法規(guī)定，“開展數(shù)據(jù)處理活動應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告”。

　　三是明確特殊的數(shù)據(jù)活動參與主體的合規(guī)要求。數(shù)據(jù)安全法規(guī)定，“從事數(shù)據(jù)交易中介服務的機構提供服務，應當要求數(shù)據(jù)提供方說明數(shù)據(jù)來源，審核交易雙方的身份，并留存審核、交易記錄”“法律、行政法規(guī)規(guī)定提供數(shù)據(jù)處理相關服務應當取得行政許可的，服務提供者應當依法取得許可”。

　　數(shù)據(jù)處理者應落實基本數(shù)據(jù)安全保護要求，開展包括建立健全數(shù)據(jù)安全管理制度、開展安全教育培訓、采取技術措施等在內的相關安全工作。

　　● 重要數(shù)據(jù)處理者的義務

　　數(shù)據(jù)安全法在一般數(shù)據(jù)處理者的基礎上，對重要數(shù)據(jù)的處理者規(guī)定了“增強型”的保護義務。

　　一是明確數(shù)據(jù)安全負責人和管理機構責任。數(shù)據(jù)安全法規(guī)定，重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構。電網(wǎng)企業(yè)可綜合考慮業(yè)務及數(shù)據(jù)職責、合規(guī)責任等，明確負責人和管理機構。

　　二是定期開展風險評估并報送風險評估報告的責任。重要數(shù)據(jù)處理者應對重要數(shù)據(jù)處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。重要數(shù)據(jù)處理者不僅要履行數(shù)據(jù)安全保護義務，更要積極地向監(jiān)管部門說明內部風險的識別和應對情況，體現(xiàn)了“合規(guī)與自證合規(guī)并重”的理念。建議相關企業(yè)開展重要數(shù)據(jù)處理活動風險評估活動，并保存評估活動記錄以作為自證合規(guī)的證據(jù)。

　　三是數(shù)據(jù)出境的相關義務。數(shù)據(jù)安全法一方面強調了關鍵信息基礎設施的運營者產(chǎn)生的重要數(shù)據(jù)出境問題按照《中華人民共和國網(wǎng)絡安全法》進行處理；另一方面，彌補了《中華人民共和國網(wǎng)絡安全法》的規(guī)則空白，明確了非關鍵信息基礎設施運營者跨境傳輸重要數(shù)據(jù)將適用另行制定的規(guī)則。相關企業(yè)應在重要數(shù)據(jù)出境方面按照法律規(guī)定采取嚴格的合規(guī)措施。

　　數(shù)據(jù)安全法作為基礎性法律，將通過配套法律法規(guī)予以細化和落地，根據(jù)《國務院2021年度立法工作計劃》，《數(shù)據(jù)安全管理條例》已被列入擬制定、修訂的行政法規(guī)。

　　數(shù)據(jù)安全法是數(shù)據(jù)安全與合規(guī)的基礎規(guī)則之一。對于企業(yè)而言，圍繞數(shù)據(jù)安全法及其配套相關規(guī)定，構建自身的合規(guī)體系將是未來兩三年內數(shù)據(jù)合規(guī)工作的重點內容，也是緊迫的現(xiàn)實需求。

　　（作者單位：國家電網(wǎng)有限公司大數(shù)據(jù)中心）