China: 能源互联网关键信息基础设施网安数据合规要点梳理

导言

2022年3月22日，国家发展和改革委员会、国家能源局分别在其官网发布了关于印发《"十四五"现代能源体系规划》（"《十四五能源规划》"）的通知。《十四五能源规划》提出加快信息技术和能源产业融合发展，推动能源产业数字化升级，加强新一代信息技术、人工智能、云计算、区块链、物联网、大数据等新技术在能源领域的推广应用，建设智慧能源平台和数据中心。同时，《"十四五"数字经济发展规划》也提出加快能源领域数字化转型。推动能源产、运、储、销、用各环节设施的数字化升级，实施煤矿、油气田、油气管网、电厂、电网、油气储备库、终端用能等领域设备设施、工艺流程的数字化建设与改造。推进微电网等智慧能源技术试点示范应用。推动基于供需衔接、生产服务、监督管理等业务关系的数字平台建设，提升能源体系智能化水平。

自《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》的相继生效，网络和数据安全以及个人信息保护日趋受到关注。能源互联网基于海量数据并衍生至数据孪生，实现数字科技对绿色能源的赋能。而能源互联网所依赖和形成的网络效应及数据存储处理也产生了网络和数据安全保护问题。特别是2021年9月1日生效的《关键信息基础设施保护条例》（"《关保条例》"）和2022年2月15日生效的《网络安全审查办法》（"《网安办法》"），其中就关键信息基础设施的认定、运营者责任义务、监管体系和法律责任，以及网络安全审查程序等多方面监管要求予以明确。本文将从能源互联网领域关键信息基础设施的认定、运营者的义务和法律责任以及网络安全审查程序等方面对能源互联网领域关键信息基础设施的数据合规要点进行梳理。

一、现行法规政策框架下能源互联网的释义

综上，能源互联网可归纳为是能源生产、传输、存储、消费以及能源市场深度组合的能源产业发展新形态，具有设备智能、多能协同、信息对称、供需分散多元、系统扁平、交易开放等主要特征。 ²

二、法规政策体系中的能源互联网应用场景

《关于推进"互联网+"智慧能源发展的指导意见》提出有关智慧能源（即能源互联网）的重点任务包括：加强能源互联网基础设施建设，建设能源生产消费的智能化体系、多能协同综合能源网络、与能源系统协同的信息通信基础设施。营造开放共享的能源互联网生态体系，建立新型能源市场交易体系和商业运营平台，发展分布式能源、储能和电动汽车应用、智慧用能和增值服务、绿色能源灵活交易、能源大数据服务应用等新模式和新业态。

结合上述任务描述，从政府管理者视角来看，能源互联网是兼容传统电网的，可以充分、广泛和有效地利用分布式可再生能源的、满足用户多样化电力需求的一种新型能源体系结构；从运营者视角来看，能源互联网是能够与消费者互动的、存在竞争的一个能源消费市场；从消费者视角来看，能源互联网不仅具备传统电网所具备的供电功能，还为各类消费者提供了一个公共的能源交换与共享平台。 ³

能源互联网作为新兴业态，现行法规政策就其概念尚以概括性描述处理，具体应用场景也在技术赋能下不断调试、迭代和升级。但其应不会脱离对于数据应用、处理等底层技术的采用，鉴此从法规层面需关注对能源互联网涉及网络和数据安全方面的监管规则。

三、能源互联网场景中关键信息基础设施的认定

根据《关保条例》，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 ⁴

《关保条例》进一步规定，重要行业和领域的主管部门、监督管理部门作为负责关键信息基础设施安全保护工作的部门，结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。 ⁵制定认定规则应当主要考虑下列因素：（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。 ⁶

2020年8月10日，全国信息安全标准化技术委员会发布了《信息安全技术 关键信息基础设施边界确定方法》（征求意见稿）（"《确定方法》"）。其中规定了关键信息基础设施边界确定的四大基本原则（业务安全原则、整体性原则、重要性原则、动态识别原则）， ⁷并规定了关键信息基础设施边界的五步识别流程（关键业务基础情况梳理、关键业务信息化情况梳理、CII ⁸元素梳理、CII元素关键性评估、CII边界确定）。 ⁹

鉴于上述《确定方法》尚在征求意见稿阶段，尽管有相对具体的原则和流程，但也需依赖对技术术语的解释和理解，以明确关键信息基础设施的边界。

四、关键信息基础设施运营者的法律义务和责任

1. 适用法律

2. 监管部门

根据《关保条例》，关键信息基础设施的安全保护由国家网信部门统筹协调，国务院公安部门指导监督，国务院电信主管部门和其他有关部门在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依职责对关键信息基础设施实施安全保护和监督。 ¹⁰其中，《关保条例》规定的"其他有关部门"指重要行业和领域的主管部门、监督管理部门，即"保护工作部门"。 ¹¹

根据《网安办法》，在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。 ¹²

3. 义务及责任

• 《关保条例》规定了关键信息基础设施运营者的主要义务。同时，运营过程中涉及数据出境和商用密码的内容，也应遵守《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及《中华人民共和国密码法》的相关规定。 ¹³ 根据《关保条例》，关键信息基础设施保护义务如下表所列：

• 义务事项	具体内容	法律责任
  建立网安保护制度和责任制	建立健全网络安全保护制度和责任制 14	由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款 15
  安全保护措施	关键信息基础设施与安全保护措施同步规划、同步建设、同步使用 16
  设置专门安全管理机构	设置专门安全管理机构，对专门安全管理机构负责人和关键岗位人员进行安全背景审查 17 安全管理机构应履行建立健全网络安全管理、评价考核制度，按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件，组织网络安全教育、培训，对关键信息基础设施设计、建设、运行、维护等服务实施安全管理等职责 18 安全管理机构人员参与开展与网络安全和信息化有关的决策 19
  网络安全检测和风险评估	每年至少进行一次网络安全检测和风险评估，对发现安全问题及时整改，并按照保护工作部门要求报送情况 20
  信息、情况变化之报告义务	关键信息基础设施发生较大变化，可能影响其认定结果的，应当及时将相关情况报告保护工作部门 21
  	发生合并、分立、解散等情况，及时报告保护工作部门 22
  	采购网络产品和服务时，按照国家有关规定与网络产品和服务提供者签订安全保密协议 23
  网络产品服务采购	优先采购安全可信的网络产品和服务；采购的网络产品和服务可能影响国家安全的，应向网络安全审查办公室申报网络安全审查 24	由国家网信部门等有关主管部门依据职责责令改正，处采购金额1倍以上10倍以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款 25
  重大网安事件报告义务	在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，按照有关规定向保护工作部门、公安机关报告 26	由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款 27
  配合监管进行网安检测工作	配合保护工作部门、公安、国家安全、保密行政管理、密码管理等有关部门开展的关键信息基础设施网络安全检测工作 28	由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任 29

• 《网安办法》要求关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的，应当进行网络安全审查。 ³⁰

• 义务事项	具体内容	法律责任
  网络产品服务采购环节的安全审查申报	预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查 31	使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款 32
  	对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等 33
  	当事人申报网络安全审查，应当提交以下材料： （一）申报书； （二）关于影响或者可能影响国家安全的分析报告； （三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件； （四）网络安全审查工作需要的其他材料。 34

此外，《中华人民共和国网络安全法》对关键信息基础设施运营者，除了规定设置专门安全管理机构和安全管理负责人和进行网络安全教育等义务外，还规定了"对重要系统和数据库进行容灾备份"的义务。 ³⁵ 关键信息基础设施运营者不履行该义务的法律责任为：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 ³⁶

《中华人民共和国密码法》要求依照法律规定使用商用密码对关键信息基础设施进行保护；自行或者委托商用密码检测机构开展商用密码应用安全性评估。 ³⁷ 未按照要求使用商用密码，或者未按照要求开展商用密码应用安全性评估的，由密码管理部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。 ³⁸

结语

如本文所述，现行法律法规对关键信息基础设施的释义采取了概括式的立法模式，实践中存在行业参与方对是否被认定为关键信息基础设施运营者并进而履行相关义务和承担相应责任的疑问。目前全国信息安全标准化技术委员会就关键信息基础设施的认定规则，关键信息基础设施安全保障指标体系、安全保护要求等配套标准和规则尚处于征求意见稿或报批稿阶段。我们会持续关注，后续就能源互联网涉及的网络安全和数据合规问题进一步细化探讨。

Footnotes

1.《国务院关于积极推进"互联网+"行动的指导意见》第二部分"重点行动"（四）"互联网+"智慧能源

2. 引自《2021国家能源互联网发展年度报告》

3. 查亚兵、张涛、谭树人、黄卓、王文广 关于能源互联网的认识与思考[J] 国防科技，2012, 33(5):1-6.

4.《关键信息基础设施安全保护条例》第二条

5.《关键信息基础设施安全保护条例》第八条、第九条

6.《关键信息基础设施安全保护条例》第九条

7.《信息安全技术 关键信息基础设施边界确定方法》（征求意见稿）第六部分关键信息基础设施边界识别基本原则

8. CII指关键信息基础设施（critical information infrastructure）

9.《信息安全技术 关键信息基础设施边界确定方法》（征求意见稿）第八部分 关键信息基础设施边界识别流程

10.《关键信息基础设施保护条例》第三条

11.《关键信息基础设施保护条例》第八条

12.《网络安全审查办法》第四条

13.《关键信息基础设施保护条例》第五十条

14.《关键信息基础设施保护条例》第十三条

15.《关键信息基础设施保护条例》第三十九条

16.《关键信息基础设施保护条例》第十二条

17.《关键信息基础设施保护条例》第十四条

18.《关键信息基础设施保护条例》第十五条

19.《关键信息基础设施保护条例》第十六条

20.《关键信息基础设施保护条例》第十七条

21.《关键信息基础设施保护条例》第十一条

22.《关键信息基础设施保护条例》第二十一条

23.《关键信息基础设施保护条例》第二十条

24.《关键信息基础设施保护条例》第十九条

25.《关键信息基础设施保护条例》第四十一条

26.《关键信息基础设施保护条例》第十八条

27.《关键信息基础设施保护条例》第四十条

28.《关键信息基础设施保护条例》第二十八条

29.《关键信息基础设施保护条例》第四十二条

30.《网络安全审查办法》第二条

31.《网络安全审查办法》第五条

32.《中华人民共和国网络安全法》第六十五条

33.《网络安全审查办法》第六条

34.《网络安全审查办法》第八条

35.《中华人民共和国网络安全法》第三十四条

36.《中华人民共和国网络安全法》第五十九条

37.《中华人民共和国密码法》第二十七条

38.《中华人民共和国密码法》第三十七条

参与撰写本文的律师为王璐莹、闵雨晨

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.