为落实碳达峰、碳中和国家战略目标,能源行业正加快构建以新能源为主体的新型电力系统,数字化成为电力系统转型升级的必然方向。随着各类数字化技术大量应用,在增强电力系统灵活性、开放性、交互性、经济性和共享性的同时,也不可避免地带来数据安全问题。数据在收集、存储、使用、加工、传输、提供、公开等环节均可能存在安全隐患,数据安全成为新型电力系统建设过程中不可忽视的重要安全风险之一。
今年以来,数据要素市场建设明显提速,能源企业开发利用能源数据的步伐不断加快。在这种情况下,如何妥善处理数据开发和数据安全这两个看似矛盾的问题就成为摆在能源企业面前的一道考题。9月1日起正式施行的《中华人民共和国数据安全法》(下称《数据安全法》)明确了数据开发和数据安全的内在关系,有助于能源企业树立正确的数据安全观,妥善处理数据安全与数据开发的问题。
推动能源数据开发利用
目前,社会各界普遍对数据安全存在一定认知误区,主要体现在三个方面:数据安全保护理念落后,认为传统的信息安全保障思路仍能解决目前数据安全遇到的问题,忽视了数据作为一种新型的生产要素具有的增值性、流动性、权属性等特征,缺乏以数据为中心的安全保护理念;窄化了数据安全保护目标,认为数据安全保护就是保障数据的机密性、完整性和可用性,忽视了数据的权属性,保护数据相关角色的权益也是数据安全保护的目标之一;简化了数据安全保护手段,认为数据安全保护就是区域边界防护,只需在区域边界采取身份鉴别、访问控制等技术手段就可以确保数据安全,忽视了数据的流动性,在流动过程中更需通过数据脱敏、数据溯源、风险监测等技术措施确保数据安全。
《数据安全法》坚持数据开发与数据安全并重的基本原则,提出全生命周期管理的数据安全理念,将指引能源企业更好地推进能源电力数据资源开发利用。
树立动态的数据安全观。《数据安全法》明确提出坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展,力求在动态数据开发利用过程中促进数据安全,在确保数据安全的前提下开展数据的开发利用,实现数据开发利用和数据安全相互促进、共同发展。
提出全生命周期的数据安全理念。《数据安全法》认为,数据安全并不局限于以数据存储安全为代表的静态数据安全,数据处理的所有环节(包括数据的收集、存储、使用、加工、传输、提供、公开等)都应当确保安全。能源企业必须构建以数据为中心,由理念、制度、机制、技术等多个要素共同组成的数据安全综合防护体系。
鼓励各行业对数据进行开发利用和数据安全技术研究、技术推广和商业创新。能源企业培育和开发数据产品、开展数据增值服务符合国家的政策导向,要以《数据安全法》实施为契机,进一步加快数据资源开发利用的步伐,释放能源数据的巨大价值。
支撑能源企业可持续发展
《数据安全法》确立了数据安全相关的基本制度、规范,建立、健全数据安全合规制度,履行法律义务将成为能源企业发展的应有之义。
一方面,能源企业需以《数据安全法》相关规定为指引,加快建立、健全包括数据分类分级保护、数据安全风险评估、信息共享、监测预警、应急处置等在内的数据安全管理制度、机制;另一方面,需积极承担组织开展数据安全教育培训及加强风险监测、定期开展风险评估、配合调查、发生数据安全事件时立即处置并告知用户和向主管部门报告等方面的法律义务。
《数据安全法》要求加快推进数据交易市场建设,有助于督促能源企业加快突破数据资产定价的理论、方法,持续扩大能源数据交易规模,充分释放能源数据的潜在价值。
近年来,数据资产化问题一直是学术研究和产业发展的热点和难点,数据资源的潜在价值虽大但始终未能充分释放,数据从资源到资产、再从资产到资本尚有漫长路程,需要各相关方继续努力。
制约数据价值释放的原因很多,主要包括:数据在交易过程中缺乏相关的法律法规、数据交易机制不完善;数据资产定价问题始终未能取得突破等。这导致数据市场化交易的规模偏小、频次偏低,全社会的数据价值始终未能充分释放。
《数据安全法》对数据交易行为进行了全面规范,有助于激励相关主体参与数据交易活动。同时,《数据安全法》将督促能源企业加快突破数据资产定价理论、方法,选择部分产权清晰的能源数据作为定价试点并尽快参与数据交易,充分释放能源数据的价值。
需开展风险评估、理论攻关等工作
能源企业推动数据安全、利用等工作需从以下方面发力:
构建以数据为中心、由多维要素共同组成的数据安全综合防护体系。能源企业可从全生命周期的角度掌握能源数据在收集、存储、使用、加工、传输、提供、公开等环节的使用和流转情况。同时,重视通过数据治理、风险识别等措施实现数据脱敏、数据溯源、风险监测,加快试点安全多方计算、联邦学习等先进技术,确保数据在动态流动中实现安全。
加强数据安全风险评估、应急处置等机制建设。在数据安全风险评估方面,建议由业务主管部门牵头建立数据安全风险评估机制,定期发布《能源数据安全风险评估报告》,及时向主管部门报告并选择部分不敏感和非涉密的内容向社会公布。在数据应急处置方面,建议由业务主管部门和安全主管部门共同编制《能源数据应急处置方案》,明确企业在发生数据安全重大风险时及时启动的工作流程和资源配置,并不定期开展数据安全综合演练。
加大能源数据资产基础理论攻关。能源企业可加大数据资产基础理论攻关,在成本法、市场法、价值法等基础定价方法的基础上,结合具体的交易场景形成操作性强的数据资产组合定价方法,满足企业开展数据交易的需要。
组织开展相关法律、法规宣贯和对比分析,开展数据安全相关教育、培训。从理论、政策、技术、解决方案等不同角度对《数据安全法》及相关的《国家安全法》《网络安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等法律法规进行集中宣贯和对比分析。同时,开展不同形式的数据安全教育、培训。
(作者供职于国网能源研究院有限公司)