为构建“双碳目标”的顶层设计并推动落地实施,国务院在2021年发布了《2030年前碳达峰行动方案》,表示将大力推动能源绿色低碳转型作为实现双碳目标的重点任务之一。电力行业一直是我国碳达峰与碳中和主要战场之一,发展新能源,全面推进风电、太阳能发电大规模开发和高质量发展,加快建设风电和光伏发电基地,成为尽快实现“双碳目标”的重要方式。结合我国数字经济蓬勃发展的现状,2030碳达峰方案在提出绿色低碳转型时,亦进一步要求加快构建新能源占比逐渐提高的新型电力系统,建设坚强智能电网。在双碳和数字经济的双重背景下,近几年中光伏、风电领域的收并购力度显著加大,新型电力系统和智能电网加速构建。同时,由于我国不断加强对数据安全、网络安全和个人信息保护的立法和执法,且电力行业网络安全工作的目标是建立健全网络安全保障体系和工作责任体系,提高网络安全防护能力,保障电力系统安全稳定运行和电力可靠供应,因此,新能源收并购项目中的网络安全、数据保护合规义务及风险也逐渐增加及扩大。

本文以风电和光伏新能源收并购项目为例,通过对我国现行有效的数据安全保护相关规定进行解读,从电力行业的关键信息基础设施、数据分类分级保护以及数据跨境传输这三个维度,初步提示新能源收并购项目中可能存在的数据安全保护及跨境传输合规义务及相关风险,旨在助力企业在此类新能源收并购项目的数据安全保护层面的合规运营,以力求避免项目中的数据合规风险。

一、 电力行业的关键信息基础设施

全球多起基础设施和重要信息系统遭受网络攻击事件频发,引发了全球各国对加强关键信息基础设施安全保护的思考【1】。2015年12月,乌克兰配电公司约60座变电站遭到网络攻击,其首都基辅和乌克兰西部的140万名居民遭遇数小时停电;2016年10月,美国域名服务器管理机构Dyn遭到Mirai病毒攻击,众多网站无法访问,美国大半个互联网瘫痪;2021年5月,美国最大成品油运输管道运营商Colonial Pipeline公司工控系统遭勒索病毒攻击导致停机,造成近100GB数据窃取及成品油运输管道运营中断。关键信息基础设施安全保护制度属于我国数据安全保护的重要制度之一。

01

我国现行法律监管体系关于电力行业关键信息基础设施的认定

为进一步加强对重要行业和领域的网络安全保护,2021年7月30日,国务院发布《关键信息基础设施安全保护条例》(以下简称“《条例》”)并于2021年9月1日正式生效。关键信息基础设施(critical information infrastructure, 以下简称“CII”),主要指重要行业和领域的重要网络设施、信息系统。《条例》划定的重要行业和领域包括:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等。除前述重要行业和领域的重要网络设施、信息系统等可能被认定为CII之外,其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等均有可能被认定为CII,从而需要履行更为严格的网络安全保护义务。

当前,我国正在加强对电力行业CII的认定工作。CII的认定由重要行业和领域的主管部门、监督管理部门负责制定认定规则并报国务院公安局备案【2】。对于被认定为CII的,相关主管部门应将认定结果通知CII的运营者(critical information infrastructure operator, 以下简称“CIIO”)。对于电力行业CII的认定,国家能源局于2022年11月16日发布实施的《电力行业网络安全管理办法》(国能发安全规〔2022〕100号)规定,国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门在各自职责范围内依法依规履行电力行业网络安全监督管理职责,包括组织认定电力行业的CII,制定CII的安全规划,建立CII的网络安全监测预警制度,组织开展CII的网络安全检查检测,和指导CIIO做好网络安全事件的应对处置。

电力行业企业因其所处能源行业的特性,被能源主管部门认定运营CII的可能性较大,因而作为CIIO则需要履行更为严格的网络安全保护义务。根据现行法律法规的监管要求,CII的认定以能源主管部门的通知结果作为依据。在实践中,若电力行业企业暂未收到能源主管部门关于认定为CII的结果通知,原则上其暂时不属于电力行业的CIIO。但是,随着能源行业CII相关认定规则的进一步制定与完善,以及能源主管部门加强对电力行业CII认定工作的趋势,我们理解,即便某些电力行业企业截至目前暂未收到能源主管部门的认定结果通知,从审慎角度出发,我们建议电力行业企业仍应了解CIIO的相关网络安全保护合规风险及法定义务,从而积极应对未来的监管变化。同时,电力行业企业也可以根据内部合规管控要求,开展并加强本企业是否会被认定为CIIO的初步分析,积极关注立法、执法的更新并保持与有关主管部门的持续有效沟通。

02

电力行业关键信息基础设施运营者的义务

电力行业企业是网络安全的责任主体,负责本单位自身的网络安全工作。电力行业企业的主要负责人是本单位网络安全的第一责任人。根据现行法律法规,电力行业企业应当按照网络安全等级保护制度、CII安全保护制度(如适用)、数据安全制度、网络安全审查工作机制,以及电力监控系统安全防护规定的监管要求,对本单位的网络进行安全保护,并将网络安全纳入其安全生产管理体系。电力行业CIIO的法定义务主要包括:

1) “三同时”义务:安全保护措施应当与CII同步规划、同步建设、同步使用。

2) 责任制和专门安全管理机构义务:电力行业CIIO的主要负责人对运营的CII安全保护负总责,领导CII的安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。电力行业的CIIO要明确一名领导班子成员(非公有制经济组织运营者明确一名核心经营管理团队成员)作为首席网络安全官,专职管理或分管CII的安全保护工作;应当为每个CII明确一名安全管理责任人;设立专门安全管理机构,确定关键岗位及人员,并对机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。

3) 采购网络产品和服务的评估义务:电力行业的CIIO应当优先采购安全可信的网络产品和服务,并按照有关要求开展风险预判工作,评估投入使用后可能对CII安全、电力生产安全和国家安全的影响,形成评估报告。影响或者可能影响国家安全的,应当按照国家网络安全规定通过安全审查。电力行业CIIO采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。

4) 值班值守义务:电力行业CIIO应当建立7×24小时值班值守制度,建设网络安全态势感知平台,并与行业部门、公安机关等有关平台对接。

5) 年度专项总结报告义务:电力行业CIIO应当于每年11月1日前,将当年CII安全保护工作的专项总结报行业部门。总结内容应当包括但不限于:CII的运行情况、认定报送情况、安全监测预警情况、网络安全检测和风险评估情况(CIIO应当自行或者委托网络安全服务机构对CII每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况)、网络安全事件应对处置情况、应急预案及演练情况、网络产品和服务采购情况、密码使用情况、下一年度安全保护计划等。

6) 重大网络安全事件或特别重大网络安全威胁的报告义务:当电力行业CII发生重大网络安全事件或者发现重大网络安全威胁时,CIIO应当按照有关规定向保护工作部门(指重要行业和领域的主管部门、监督管理部门,电力行业的主管部门、网络安全监督管理部门即国家能源局及其派出机构、负有电力行业网络安全监督管理职责的地方能源主管部门)、公安机关报告。发生CII整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大的网络安全事件或者发现特别重大的网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。

7) 合并、分立、解散的报告义务:若电力行业CIIO发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对CII进行处置,确保安全。

二、 数据分类分级保护

我国《数据安全法》构建了以中央国家安全领导机构为统筹协调、地方各部门负责数据安全保护和监督管理的国家数据安全工作协调机制。此外,考虑到数字经济发展迅速、数据立法的滞后性、数据安全保护执法的复杂性和困难性,《数据安全法》亦重视发挥行业组织的自律性,加强行业组织的数据安全保护水平,以促进行业健康发展。其中,数据分类分级保护制度是我国《数据安全法》中确立的数据安全保护的重要制度之一。

01

重要数据重点保护

核心数据严格保护

数据分类分级保护制度是根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据进行分类分级保护,由中央进行重要数据目录制定的统筹协调工作、由地方各部门负责制定相关行业和领域的重要数据的具体目录并进行重点保护。此外,对于关系国家安全、国民经济命脉、重要民生、重大公共利益等属于国家核心数据的数据,实行更加严格的管理制度。

《电力行业网络安全管理办法》规定,电力企业应当按照国家有关规定,建立健全容灾备份制度,对重要系统和重要数据进行有效备份。电力企业应当建立健全全流程的数据安全管理和个人信息保护制度,按照国家和行业重要数据目录及数据分类分级保护的相关要求,确定本单位的重要数据具体目录,对列入目录的数据进行重点保护。《数据安全法》规定的重要数据的重点保护措施包括:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告,风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。

此外,重要数据重点保护、核心数据严格保护的原则同样体现在国家互联网信息办公室(简称“网信办”)于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》【3】中。在此征求意见稿中,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。

02

重要数据和核心数据的认定

截至目前,电力行业尚未出台有关本行业的重要数据目录。

在统一的行业重要数据目录或认定标准出台之前,电力行业企业可以根据国家现行有关法律法规对数据分级制度的要求、有关国家标准、行业标准等做好企业内部的数据分类分级保护,识别并区分一般数据、重要数据、核心数据和个人信息(包括敏感个人信息),从而针对不同类型的数据采取不同的数据安全保护标准和措施,避免因数据合规管理不到位而导致潜在的数据安全保护合规风险或管理混乱的情况。

同时,电力行业企业也可参考借鉴尚在征求意见稿阶段的《信息安全技术 重要数据识别指南》【4】,在识别重要数据时可遵循以下六大原则:

1) 聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;

2) 突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值;

3) 衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接;

4) 综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性;

5) 定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法;和

6) 动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复查重要数据识别结果。

03

气象资料

近年来,我国新能源气象服务能力不断提升,通过精密监测、精准预报、精细服务,大自然的风、光变得可预测、可利用,源源不断转化为绿色电力【5】。气象的高质量发展,将有力保障能源产业的绿色低碳转型。在风电和光伏电站收并购项目的技术尽调中,涉及到风资源(风速、风向)、太阳能资源(太阳能辐射)、气温、降雨、地质情况(岩性)等一些特殊信息和数据的技术资料收资。其中,气象资料属于受我国特殊保护的数据信息,涉及到国家安全和国家保密信息,我国在确保气象数据安全的前提下,建设地球系统大数据平台,推进信息开放和共建共享【6】

2013年,为摸清我国风能资源分布状况,促进我国风能资源有序开发利用,中国气象局、国家能源局和财政部共同组织实施了全国风能资源详查和评价工作,取得了风能资源分布和特性的数据成果。针对风能资源详查工作成果的共享使用,国家能源局、中国气象局发布《关于做好风能资源详查和评价资料共享使用的通知》【7】,规定对需要使用风能资源详查评价成果开展风电规划和风电项目选址等工作的企业和单位,按照《气象资料共享管理办法》的有关规定办理;详查成果的提供和使用要严格遵守《涉外气象探测和资料管理办法》【8】的有关规定。

对于气象资料的使用、存储、传输等,我国现行法律法规有严格的监管要求。根据中国气象局于2001年1月7日发布生效的《气象资料共享管理办法》,用户对各级气象主管机构组织提供的气象资料,只享有有限的、不排他的使用权。用户不得直接将其从各级气象主管机构获得的气象资料,用作向外分发或供外部使用的数据库、产品和服务的一部分,也不得间接用作生成它们的基础。用户从各级气象主管机构获得气象资料,可以在内部分发;可以存放在仅供本单位使用的局域网上,但不得与广域网、互联网相连接。根据气象局、国家安全部、国家保密局于2022年6月15日发布并于2022年8月1日生效的《涉外气象探测和资料管理办法》,任何组织和个人不得向未经批准的外国组织或者个人提供气象探测场所和气象资料。

当前在新能源收并购项目中,技术尽调主要由技术顾问负责。虽然技术尽调和法律尽调顾问经常会一同参与对卖方和项目公司的问卷调查访谈,但由于技术专业的局限性以及技术和法律收资的分工,对于技术尽调收资过程中可能出现的气象数据等涉及我国国家安全、保密信息的资料的数据安全保护风险存在无法完全揭示和披露的问题。因此,我们建议在法律尽调中关注新能源收并购项目尽调收资过程中可能存在的关于气象资料的数据安全保护合规风险及合规义务,尤其是当交易一方为外资企业时,可能存在气象资料数据的涉外分享和跨境传输问题。

04

电站运营技术数据

新能源收并购项目中可能同时涉及与电站运营有关的技术数据,例如通过数据采集与监视控制系统(SCADA)获取的数据等。这些数据来自于新能源电站中的感知系统,包括电能质量、环境参数、设备健康状况等多方面信息,为评估电站的运维和经营状况提供多方面依据。

SCADA是一种工业控制系统。国家工信部门对工业控制系统的安全防护制定了一系列标准和指引,企业在开展相关业务活动时应当予以遵守。此外,由于部分电站运营数据与电网企业共享互通,而电网数据涉及更广泛的电力系统安全以及电网企业的数据权利。因此,发电企业和并购企业对于分享此类与电网企业互通的数据须更加谨慎。

此前,国家曾于2017年发布《信息安全技术 数据出境安全评估指南(征求意见稿)》,其中拟规定发电机组数据、变电站开关数据,以及一系列建设运维相关信息等电力有关信息为“重要数据”,进而纳入数据出境评估范围。尽管上述文件为征求意见稿,但其较为细致地规定了触发监管要求的具体数据类型,目前虽尚属少数,但对指导企业评估电站运营数据的合规义务有一定指导意义。

此外,从操作角度看,在新能源收并购项目中,交换电站运营技术数据仍然需要把握必要性、合规性、保护性的原则,即须研判是否需要分享特定的技术数据、数据的共享是否有合规要求和第三方潜在权利的限制、以及如何保障分享数据的安全传输和使用。这些问题都是收并购项目买卖双方需要探讨及博弈的主题。

三、 跨境流动规则

大数据环境下,大规模和复杂的数据跨境流动成为常态。数据跨境活动带来的风险成为许多国家实施数据跨境流动策略的正当性理由。当前在数据跨境流动方面并未建立拥有广泛国际共识的国际规则和标准【9】的情况下,各个国家和地区采取的数据跨境流动规则不尽相同,如对特定数据和国家采取不受限制的数据跨境流动规则和受限制的数据跨境流动规则。例如,欧盟通过“充分性认定”确定数据跨境自由流动白名单国家,认定为白名单的国家则不受欧盟个人数据跨境流动的限制;美国在信息通信产业和数字经济上具有全球领先优势,主张个人数据跨境自由流动,但对重要技术数据的出口进行限制,如根据美国《出口管制条例》(Export Administration Regulation,EAR),美国的出口管制并不限于硬件的出口,还包括具体的技术数据即受管制的技术数据“传输”到位于美国境外的服务器保存或处理,需要取得商务部产业与安全局(Bureau of Industry and Security,BIS)授权的出口许可。

我国对个人信息和数据的跨境传输采用限制性流动的规则。根据《数据安全法》和《个人信息保护法》的规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据和个人信息。

同时,根据国家网信部门于2022年7月7日发布并于2022年9月1日生效的《数据出境安全评估办法》,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息,应履行如下义务:

1) 数据出境风险自评估:重点评估以下事项:(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等;(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称“法律文件”)是否充分约定了数据安全保护责任义务;(六)其他可能影响数据出境安全的事项。

2) 数据出境安全评估:数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据【10】;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。

3) 与境外接收方订立的法律文件:明确约定数据安全保护责任义务,至少包括以下内容:(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等;(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求;(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施;(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式;(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。

4) 个人信息出境:根据《个人信息保护法》的相关规定,个人信息的出境应满足一定的要求,如通过国家网信部门组织的安全评估;按照国家网信部门的规定经专业机构进行个人信息保护认证;或按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。根据国家网信部门于2023年2月22日发布、2023年6月1日生效的《个人信息出境标准合同办法》,若可以订立标准合同的,标准合同生效后方可开展个人信息出境活动,并且个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案,备案应当提交标准合同和个人信息保护影响评估报告。

此外,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定。关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。

四、 合规建议

在新能源收并购项目中,为全面适当履行我国数据安全保护的法定合规义务,建议相关企业限缩个人信息和数据尽调收资范围;对必须要收资的信息和数据进行分级分类,区分个人信息、一般数据、重要数据和核心数据,对重要数据进行重点保护,对核心数据进行严格保护;对技术尽调收资过程中可能存在的气象资料的分享予以明确,确需分享的,履行相关部门手续;做好和相关部门的沟通,及时履行关键信息基础设施的数据安全保护义务。

【1】默安科技:《浅析关键信息基础设施安全保护体系建设》

【2】在制定认定规则时,应考虑相关网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;以及对其他行业和领域的关联性影响。

【3】该条例根据我国《网络安全法》《数据安全法》《个人信息保护法》等法律制定,虽当前仅在征求意见稿阶段,但在我国数据安全保护的三驾马车下,对我国规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益具有重要的借鉴和参考意义。

【4】http://centrum.hhp.com.cn/newlaw/20220120001.pdf

【5】 人民日报 李红梅 董丝雨《气象服务助力新能源产业发展(深度观察)》

【6】《国务院关于印发气象高质量发展纲要(2022—2035年)的通知》(国发〔2022〕11号)

【7】国能新能〔2013〕147号

【8】中国气象局、国家保密局令第13号

【9】龙卫球主编《中华人民共和国数据安全法释义》中国法治出版社

【10】此处所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。