大成研究 | 孙庆南等：能源化工领域数据合规不得不关注的事儿（中） - 大成文章 - 大成研究

在上篇文章中，我们从数据处理者的角度梳理了能源化工企业如何判断自己是否可能属于关键信息基础设施运营者，以及如果被认定为关键信息基础设施运营者时需要额外履行的数据合规义务。本篇文章将从我国数据合规体系的核心之一——数据分类分级角度出发，探讨能源化工企业应该如何履行数据合规义务。

早在《中华人民共和国网络安全法》（“《网安法》”）于2017年开始实施时，便提出了“重要数据”这一概念，但数据分级的体系并未确立。直至2021年9月1日《中华人民共和国数据安全法》（“《数安法》”）生效，才正式提出了数据分类分级保护制度。此外，数据分类分级保护制度亦在2021年9月30日发布的《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》（“《工信数安管理办法》（征求意见稿）”）以及2021年11月14日颁布的《网络数据安全管理条例（征求意见稿）》等文件中被多次强调，可以预见我国后续将围绕这一核心制度出台相关数据生命全周期的具体合规要求。为此，能源化工企业势必需要了解如何进行数据分类分级。

目前能源化工领域的各行业主管部门尚未对本行业的数据分类分级出台相应的法律法规。根据联合国制定的《所有经济活动的国际标准产业分类》（《国际标准产业分类》），能源化工相关的产业均属于工业类别，因此在行业主管部门出台专门针对本行业的数据分类分级规则之前，能源化工企业应遵守工业领域的数据合规要求。

一、能源化工企业应如何进行数据分类？

根据现行的《工业数据分类分级指南（试行）》（“《工业数据分类分级指南》”）规定，工业企业工业数据分类维度包括但不限于研发数据域（研发设计数据、开发测试数据等）、生产数据域（控制信息、工况状态、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、管理数据域（系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等）、以及外部数据域（与其他主体共享的数据等）。同时，《工信数安管理办法》（征求意见稿）还提出了企业可以根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识。因此，能源化工企业可以参照上述规定，结合本企业内部生产经营的需要和惯例对数据进行分类梳理，以提高生产经营效率，并为数据分级打好基础。

二、能源化工企业应如何进行数据分级？

目前能源化工企业的数据分级适用《工业数据分类分级指南》中规定的要求，即根据不同类别数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响分为一级、二级和三级。但是新发布的《工信数安管理办法》（征求意见稿）在保持了该分级标准的同时沿用了《网安法》和《数安法》中的“重要数据”这一概念，并将工业和电信数据分为一般数据、重要数据和核心数据三级，要求对重要数据进行重点保护，对核心数据在重要数据保护基础上实施更严格的管理和保护。除此之外，《工信数安管理办法》（征求意见稿）还明确，不同级别数据同时被处理且难以分别采取保护措施的情形下，企业应当按照其中级别最高的要求对数据实施保护。

（一）重要数据和核心数据认定的流程是什么？

根据《工信数安管理办法》（征求意见稿）的规定，重要数据和核心数据的认定首先应由工业和信息化部组织制定重要数据和核心数据识别认定的规范，再由地方的工业和信息化主管部门、通信管理局组织开展重要数据和核心数据识别认定工作。能源化工企业作为数据处理者应建立自身的数据分类分级管理制度，根据工业和信息化部制定的重要数据和核心数据识别认定规范，进行重要数据和核心数据识别工作，并形成重要数据和核心数据目录报送地方工业和信息化主管部门或通信管理局，地方工业和信息化主管部门、通信管理局形成本地区行业重要数据和核心数据具体目录并上报工业和信息化部，工业和信息化部形成行业重要数据和核心数据具体目录并实施动态管理。具体认定流程如下图所示。

（二）重要数据和核心数据认定的规则是什么？

2021年12月10日，工业和信息化部办公厅发布了《关于组织开展工业领域数据安全管理试点工作的通知》，成立工业领域数据安全管理试点工作组遴选试点省份，在试点企业试点工业领域数据安全管理，数据安全防护和数据安全评估。通知中要求试点企业按照《工业数据分类分级指南（试行）》和《工业领域重要数据和核心数据识别规则（草案）》开展数据分类分级，制定重要数据清单，并向主管部门报备。

从该通知可见，目前工业和信息化部并未正式确立工业领域的重要数据和核心数据识别规范，相关规则尚在准备试点阶段。通知中所提到的《工业领域重要数据和核心数据识别规则（草案）》也并未对公众发布，因此我们无从参考。但我们可以从全国信息安全标准化技术委员会制定的标准中对能源化工企业的重要数据的认定窥知一二。

早在2017年8月30日，全国信息安全标准化技术委员会出台的《信息安全技术数据出境安全评估指南》（征求意见稿）附录A《重要数据识别指南》便通过列举式方法规定了各行各业的重要数据类别。2021年9月23日，全国信息安全标准化技术委员会又颁布了《信息安全技术重要数据识别指南（征求意见稿）》，但这些征求意见稿最终都没能生效。

2022年1月14日，全国信息安全标准化技术委员会出台了新的《信息安全技术重要数据识别指南（征求意见稿）》（“《重要数据识别指南（征求意见稿）》”），新的指南没有沿用2017年和2021年指南中的重要数据识别标准，而是归纳了识别重要数据时可以考虑的因素。虽然目前该标准尚在征求意见中，但是该标准的起草单位包括国家工业信息安全发展研究中心、中国网络安全审查技术与认证中心、中国信息安全测评中心、国家信息中心等权威机构，对能源化工企业了解立法趋势是大有裨益的。根据《重要数据识别指南（征求意见稿）》中的规定，我们结合能源化工企业的行业性质及其往往与国家经济、社会公共利益等有高度紧密联系这一特点筛选了一些能源化工企业在识别重要数据时可考虑的因素，主要包括以下几个方面：

被认定为关键信息基础设施运营者的能源化工企业所掌握的反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据、未公开的采购产品和服务情况；
重点领域工业企业所拥有的支撑其生产的数据；
生产、加工出口管制物的企业所拥有的描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告；
重要生产企业的施工图、内部结构、安防等情况相关的数据；
涉及敏感物项生产交易以及重要装备配备、使用的企业所持有的金融交易数据、重要装备生产制造信息；
其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

虽然《重要数据识别指南（征求意见稿）》并未涉及对核心数据的认定规则，但根据数据分类分级制度的相关规定，相较于重要数据，核心数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成更严重的危害，因此核心数据理应也满足上述有关于重要数据的认定要素。能源化工企业可以根据《重要数据识别指南（征求意见稿）》所体现的分级原则提前甄别自身可能拥有哪些重要数据或核心数据，以便在未来工信部的重要数据和核心数据认定规则落地后及时做好数据分级，完成数据管理体系的升级转型，以适应数据合规领域的新要求。

综上，能源化工企业在制订数据合规制度时，应将数据分类分级保护制度考虑其中，提前做好相关规划。本系列文章的下篇将介绍能源化工企业在数据全生命周期的具体合规义务，敬请期待！

特别声明：

以上内容属于作者个人观点，不代表其所在机构立场，亦不应当被视为出具任何形式的法律意见或建议。