為落實碳達峰、碳中和國家戰略目標,能源行業正加快構建以新能源為主體的新型電力系統,數字化成為電力系統轉型升級的必然方向。隨著各類數字化技術大量應用,在增強電力系統靈活性、開放性、交互性、經濟性和共享性的同時,也不可避免地帶來數據安全問題。數據在收集、存儲、使用、加工、傳輸、提供、公開等環節均可能存在安全隱患,數據安全成為新型電力系統建設過程中不可忽視的重要安全風險之一。
今年以來,數據要素市場建設明顯提速,能源企業開發利用能源數據的步伐不斷加快。在這種情況下,如何妥善處理數據開發和數據安全這兩個看似矛盾的問題就成為擺在能源企業面前的一道考題。9月1日起正式施行的《中華人民共和國數據安全法》(下稱《數據安全法》)明確了數據開發和數據安全的內在關系,有助于能源企業樹立正確的數據安全觀,妥善處理數據安全與數據開發的問題。
推動能源數據開發利用
目前,社會各界普遍對數據安全存在一定認知誤區,主要體現在三個方面:數據安全保護理念落后,認為傳統的信息安全保障思路仍能解決目前數據安全遇到的問題,忽視了數據作為一種新型的生產要素具有的增值性、流動性、權屬性等特征,缺乏以數據為中心的安全保護理念;窄化了數據安全保護目標,認為數據安全保護就是保障數據的機密性、完整性和可用性,忽視了數據的權屬性,保護數據相關角色的權益也是數據安全保護的目標之一;簡化了數據安全保護手段,認為數據安全保護就是區域邊界防護,只需在區域邊界采取身份鑒別、訪問控制等技術手段就可以確保數據安全,忽視了數據的流動性,在流動過程中更需通過數據脫敏、數據溯源、風險監測等技術措施確保數據安全。
《數據安全法》堅持數據開發與數據安全并重的基本原則,提出全生命周期管理的數據安全理念,將指引能源企業更好地推進能源電力數據資源開發利用。
樹立動態的數據安全觀。《數據安全法》明確提出堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展,力求在動態數據開發利用過程中促進數據安全,在確保數據安全的前提下開展數據的開發利用,實現數據開發利用和數據安全相互促進、共同發展。
提出全生命周期的數據安全理念。《數據安全法》認為,數據安全并不局限于以數據存儲安全為代表的靜態數據安全,數據處理的所有環節(包括數據的收集、存儲、使用、加工、傳輸、提供、公開等)都應當確保安全。能源企業必須構建以數據為中心,由理念、制度、機制、技術等多個要素共同組成的數據安全綜合防護體系。
鼓勵各行業對數據進行開發利用和數據安全技術研究、技術推廣和商業創新。能源企業培育和開發數據產品、開展數據增值服務符合國家的政策導向,要以《數據安全法》實施為契機,進一步加快數據資源開發利用的步伐,釋放能源數據的巨大價值。
支撐能源企業可持續發展
《數據安全法》確立了數據安全相關的基本制度、規范,建立、健全數據安全合規制度,履行法律義務將成為能源企業發展的應有之義。
一方面,能源企業需以《數據安全法》相關規定為指引,加快建立、健全包括數據分類分級保護、數據安全風險評估、信息共享、監測預警、應急處置等在內的數據安全管理制度、機制;另一方面,需積極承擔組織開展數據安全教育培訓及加強風險監測、定期開展風險評估、配合調查、發生數據安全事件時立即處置并告知用戶和向主管部門報告等方面的法律義務。
《數據安全法》要求加快推進數據交易市場建設,有助于督促能源企業加快突破數據資產定價的理論、方法,持續擴大能源數據交易規模,充分釋放能源數據的潛在價值。
近年來,數據資產化問題一直是學術研究和產業發展的熱點和難點,數據資源的潛在價值雖大但始終未能充分釋放,數據從資源到資產、再從資產到資本尚有漫長路程,需要各相關方繼續努力。
制約數據價值釋放的原因很多,主要包括:數據在交易過程中缺乏相關的法律法規、數據交易機制不完善;數據資產定價問題始終未能取得突破等。這導致數據市場化交易的規模偏小、頻次偏低,全社會的數據價值始終未能充分釋放。
《數據安全法》對數據交易行為進行了全面規范,有助于激勵相關主體參與數據交易活動。同時,《數據安全法》將督促能源企業加快突破數據資產定價理論、方法,選擇部分產權清晰的能源數據作為定價試點并盡快參與數據交易,充分釋放能源數據的價值。
需開展風險評估、理論攻關等工作
能源企業推動數據安全、利用等工作需從以下方面發力:
構建以數據為中心、由多維要素共同組成的數據安全綜合防護體系。能源企業可從全生命周期的角度掌握能源數據在收集、存儲、使用、加工、傳輸、提供、公開等環節的使用和流轉情況。同時,重視通過數據治理、風險識別等措施實現數據脫敏、數據溯源、風險監測,加快試點安全多方計算、聯邦學習等先進技術,確保數據在動態流動中實現安全。
加強數據安全風險評估、應急處置等機制建設。在數據安全風險評估方面,建議由業務主管部門牽頭建立數據安全風險評估機制,定期發布《能源數據安全風險評估報告》,及時向主管部門報告并選擇部分不敏感和非涉密的內容向社會公布。在數據應急處置方面,建議由業務主管部門和安全主管部門共同編制《能源數據應急處置方案》,明確企業在發生數據安全重大風險時及時啟動的工作流程和資源配置,并不定期開展數據安全綜合演練。
加大能源數據資產基礎理論攻關。能源企業可加大數據資產基礎理論攻關,在成本法、市場法、價值法等基礎定價方法的基礎上,結合具體的交易場景形成操作性強的數據資產組合定價方法,滿足企業開展數據交易的需要。
組織開展相關法律、法規宣貫和對比分析,開展數據安全相關教育、培訓。從理論、政策、技術、解決方案等不同角度對《數據安全法》及相關的《國家安全法》《網絡安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規進行集中宣貫和對比分析。同時,開展不同形式的數據安全教育、培訓。
