意昂2娱乐近年来，各行业都在数字化和智能化转型，能源化工行业也不可避免地与数据越来越密不可分，数据已经贯穿于能源化工产品的全生命周期。能源化工作为国家经济发展的基础和支柱，其数据合规至关重要。

　　一般来说，能源化工企业除了需要满足一般性数据合规要求外，还需要考量如下两个角度下，即：(1) 数据处理者角度；和 (2) 数据分级分类角度，是否有特别要求。能源化工企业往往体量大、价值高、对国计民生和国家安全影响重大，因此其作为数据处理者容易落入关键信息基础设运营者施范畴，能源化工企业处理的数据在数据分级分类时也很有可能被认定为重要数据和核心数据。

　　笔者团队结合服务过的客户，以能源化工企业为对象，就其在开展业务过程中如何符合数据合规要求，推出上中下三篇系列文章。本篇则首先从数据处理者的角度入手，分析关键信息基础设施运营者在数据合规中的义务。

　　依据《中华人民共和国网络安全法》（“《网安法》”）和《关键信息基础设施安全保护条例》（“《条例》”），一方面，关键信息基础设施具有明显的行业特征，集中在“能源、交通、金融”等关键领域；另一方面，关键信息基础设施遭到破坏的结果具有高度危害性，一旦丧失功能或数据泄露的，可能严重危害国家安全、影响公共利益。

　　明确了关键信息基础设施的定义，关键信息基础设施运营者就不难理解了。简言之，关键信息基础设施运营者是关键信息基础设施的所有者和管理者，也是建立健全数据安全保护制度、接受关键信息基础设施领域数据强监管的责任主体。

　　目前，关键信息基础设施还有待行业的主管部门、监督管理部门（统称“保护工作部门”）的进一步认定和通知。但能源化工企业可以依据《国家网络安全检查操作指南》（简称“《操作指南》”），从下述步骤入手，初步判断自己是否可能属于关键信息基础设施运营者，做到未雨绸缪。

　　能源化工企业可参考《操作指南》的《关键信息基础业务判定表》（“《判定表》”），初步判断自己的主营业务是否落入关键业务领域。我们将《判定表》中可能与能源化工有关的关键业务做出了筛选并罗列如下：

　　能源化工企业可依据前一步确定的关键业务，对支撑其关键业务运行或与关键业务相关的信息系统或工业控制系统进行逐一梳理，形成可能会被认定为关键信息基础设施的清单。

　　能源化工企业可依据步骤二生成的关键信息基础设施清单，参照附件一中所列标准进行初步自我判断。

　　关键信息基础设施运营者在履行一般网络须运营者履行的义务的基础上，还需要承担如下的义务和责任：

　　《网安法》和《条例》都规定了“三同步”制度，要求关键信息基础设施运营者应将保护网络和数据安全的措施与关键信息基础设施主体工程同步规划、同步建设、同步使用，尽量以技术手段减少潜在的网络和数据安全风险。因此，关键信息基础设施的运营者需要将数据和网络安全保护贯彻落实到关键信息基础设施主体工程建设的所有阶段。

　　关键信息基础设施运营者应当建立健全内部网络安全保护制度和责任制度，设置专门安全管理机构，并配备专门安全管理机构负责人和其他相应人员。

　　专门安全管理机构负责履行本单位关键信息基础设施的安全保护工作，履行的主要职能包括但不限于：（1）建立健全网络安全管理、评价考核制度，拟订关键信息基础设施安全保护计划；（2）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；（3）按照国家及行业网络安全事件应急预案，制定本单位应急预案，定期开展应急演练，处置网络安全事件；（4）组织网络安全教育、培训；以及（5）报告网络安全事件和重要事项。

　　关键信息基础设施运营者应定期对从业人员进行网络安全教育、技术培训和技能考核。对于专门安全管理机构负责人和关键岗位人员，还须进行安全背景审查。

　　一方面，关键信息基础设施运营者应对重要系统和数据库进行容灾备份，以防发生安全事件时，数据的永久性丢失或毁灭。另一方面，关键信息基础设施运营者应制定本单位的应急预案，定期开展应急演练，降低网络安全事件发生带来的损失和风险。

　　关键信息基础设施运营者的及时报告义务主要体现在：（1）关键信息基础设施发生较大变化，可能影响其认定结果的，关键信息基础设施运营者应当及时将相关情况报告保护工作部门；（2）运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并依据保护工作部门的要求及时报送；（3）关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，关键信息基础设施运营者应当按照有关规定向保护工作部门、公安机关报告；以及（4）关键信息基础设施运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。

　　关键信息基础设施运营者应优先采购安全可信的网络产品和服务。如采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。同时，关键信息基础设施运营者采购网络产品和服务时，须与网络产品或服务的供应商签署安全保密协议，以明确供应商的技术指支持和安全保密义务，并对供应商义务和责任的履行情况进行监督。

　　《网安法》明确规定，关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储，以便维护国家网络安全。如出于业务需要，关键信息基础设施运营者确需将向境外提供的，应经有关监管部门的安全评估后方可出境。

　　《网安法》和《条例》都规定了“双轨制”的处罚措施，即当关键信息基础设施运营者未履行其法定义务或责任，关键信息基础设施运营者和直接负责的主管人员都会面临被处罚的法律后果。我们现将有关法律后果以表格形式小结如下：

　　综上，能源化工企业在考虑数据合规时，可以先从数据处理者角度判断自己是否可能属于关键信息基础设施运营者，从而是否需要履行适用于关键信息基础设施运营者的额外合规义务。同时，能源化工企业还须从数据分级分类角度履行数据合规的义务。本系列文章的第二篇和第三篇文章将从数据分级分类角度对能源化工企业的数据合规义务进一步探讨，敬请期待！

　　以上内容属于作者个人观点，不代表其所在机构立场，亦不应当被视为出具任何形式的法律意见或建议。