数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
来源:中电联法律分会 作者:国网四川省电力公司南充供电公司李彬彬
在国家实施大数据战略的背景下,数据已经成为与土地、资本、科技、劳动力等具有同等地位的新兴生产要素,是驱动社会经济发展的“新引擎”。数据开放共享下的数据流通也成为社会和学界愈发关注的问题。在市场经济条件下,数据交易是数据要素进行市场流通的基本方式,有效推动数据资产转变为数据资本,释放数据价值。
随着数字技术在电力行业的大规模应用,数据成为重要生产要素,数据交易价值也愈发凸显。数据产品的商业交易能给企业带来额外的效益,是企业进行数据应用的重点,也是开展数据合规的关键环节。有鉴于此,本文拟对电力数据交易合规治理问题作出初步研究,并提出相关合规治理的方法。
一、研究背景
(一)政策背景
2020年3月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,指出数据要素与劳动力、土地、资本技术等传统生产要素并列,需加快进行数据的市场化配置。
2022年10月,国务院国资委制定公布的《中央企业合规管理办法》正式生效施行,强调央企必须依法合规经营管理。
2022年12月出台的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”),对数据产权概念进行创新,不再强调所有权,转向强调数据使用权,为企业数据合规使用创造条件,有助于企业通过数据交易获取价值。
(二)法律背景
2017年《网络安全法》颁布,要求保障关键信息基础设施的安全运行,防止数据泄漏、数据篡改等数据安全问题的发生。
2021年9月,《数据安全法》正式生效,数据交易管理制度建立健全,推动数据交易行为有序开展。
2021年9月,《关键信息基础设施安全保护条例》施行,规定企业在数据安全保护上的责任,要求企业实施多种网络安全保护措施,防范应对可能出现的信息安全问题。
2021年11月,《个人信息保护法》施行,规定企业处理个人信息的办法,进而保障个人用户的信息安全。
(三)现实背景
电力企业是关键信息基础设施运营者,关系民生保障和经济发展。电力数据要素作为产品进行市场化交易时,必然存在一定的数据安全风险。为解决潜在的风险,电力企业应自主开展合规管理,有助于企业履行保护个人信息和数据安全的法律义务,实现良性经营。
同时,因我国建立了数据合规激励机制,企业可通过数据合规将企业经营风险降至最低。一方面,企业可通过建立数据合规体系,在出现数据安全事故时提出无罪抗辩,免于刑事责任的承担;另一方面,企业可结合案情和合规整改情况,申请检察机关的不起诉决定或从轻量刑建议。
二、电力数据的概念、特点和范围
(一)电力数据的概念
厘清电力数据概念是进行电力数据交易研究的基础和前提。有学者认为电力数据是通过视频音频设备、移动终端、传感器、智能设备等信息渠道收集的,相互间存在关联关系的海量业务数据集合。【1】电力数据是反映电网运行规律和社会整体效益,具有较强行业属性的数据。【2】
《南方电网数据资产管理体系白皮书》认为,电力数据要素是指在电力生产、储存、传输、交易、消费等生产经营环节投入,可与其他生产要素融合以提升效能的数据资源。
笔者结合电力企业的生产经营情况,认为电力数据是指于电力产生、储存、传输、交易、消费等生产经营环节产生,通过采集、存储、处理和分析,可获悉有关电力系统运行、设备状态、能源消耗、用电客户等方面信息的数据。
(二)电力数据的特点
电力作为国家和公众生活必需的重要能源,应用场景丰富,电力数据采集网络广泛覆盖家庭、楼宇、企业,涉及国计民生的方方面面。
电力数据具有的特征可概括为5个V(Volume,Variety,Velocity,Veracity,Value )。
- 第一,体量大。随着信息化系统、智能电网和物联网的使用,电力数据量从PB级增长到EB级。
- 第二,种类多。不仅包括结构化、半结构化数据,还有非结构化数据。
- 第三,快速处理。能对电力数据实现实时处理,如智能电表采集频度可达分钟级。
- 第四,精度高。电力行业自动化水平较高,采集、传输和应用数据的基础设施齐备。
- 第五,价值高。电力数据能够反映社会经济发展状况,对辅助社会管理、商业活动和家庭节能有重要意义。
(三)电力数据的范围
电力数据来源于电力生产、使用的各个环节,按照业务领域的不同,可以分为三大类:
- 一是电网运行和设备检测或监测数据;
- 二是电力企业的营销数据,如客户用电信息、用户情感信息、用户服务数据、智能电表读数等数据;
- 三是电力企业管理数据,如PMS、协同办公等数据。
随着智能电网的发展,电力大数据中心已成为电力系统的核心节点,可获取覆盖发、输、变、配、用及调度等过程的实时全景数据,有效整合共享数据资源。
三、电力数据的可交易性和交易模式
数据产品是以数据资产为原料,基于特殊需求对数据加工后可发挥数据价值的可交付产品。即电力数据要成为产品必须具有可交易性,一是数据要素基于产权基础,可以在不同的经济主体之间进行转让,二是数据要素基于自身特点具有使用价值,可作为数据资源价值化的载体。随着我国数据要素市场的发展,数据交易模式也在不断变化。目前,我国形成了场内场外相结合的数据要素市场,进一步推动数据有序流动。
(一)电力数据的可交易性
1. 电力数据的确权
市场机制下,数据流通以数据交易为基本行为,实现数据交易的前提便是相关主体对数据权利有明显边界。数据资产不同于传统资产,在确权上与传统资产存在明显差异。电力数据的生成具有伴生性和多方参与性,难以确定谁是数据的所有者。若基于共同生产的事实,认定所有参与者为电力数据共同所有权人,对于数据的使用将碎片化,阻碍数据的流通。
数字技术的大力发展给现行法律体系带来了巨大冲击,学界和相关部门为此做出很多开创性的工作。有学者认为,数据是信息上形成的各种权利和利益的集合,用“权利束”来描述数据权更为合适。【3】若将数据作为排他性的对象进行规制,则会在不同主体间制造产权壁垒,妨碍利益划分和利益共享。【4】
近年来,国内对于数据权属的研究也从所有权转向使用权,“数据二十条”创造性提出“三权分置”的数据产权制度,包含数据资源持有权、数据加工使用权和数据产品经营权,打造出适合中国国情的数据产权制度体系。
数据产权难以完全归类于物权、债权、知识产权中的任何一种权利,正是由于这种客体范畴的难以归类性,运用产权这一概括性的功能概念不仅能够填补侵权法救济不足的缺陷,也符合法效性的民法解释方法。“数据二十条”只是数据基础制度的建构指南,至于这些权利的具体内涵和外延,有待法律进一步明确。但这项政策肯定了企业在数据价值生成链条中的重要作用,为企业的数据活动提供了制度保障和激励,有利于数据的流通和再利用。
电力数据是电力企业在提供服务过程中形成的附属品,对电力企业而言,权利根源更多来自数据持有权。企业基于技术手段对数据具有实际控制的事实,作为数据持有者,可以使用、许可他人使用数据并从中获取收益,但对数据本身不具有排他支配权,只有权禁止他人不当获取或使用数据侵害其合法权益。【5】
2. 电力数据的价值
只有当数据权利能够为权利主体带来经济或社会价值时,数据要素转化为产品才具备可行性。
- 企业层面。通过分析电力数据,交互上下游数据,帮助企业节能减排、防范金融信贷风险、分析市场前景、精益用户运营、精准市场营销等,推动企业高质量发展,助力产业链互动。
- 政府层面。电力数据与经济社会发展有紧密联系,政府从“电力数据视角”分析经济运行态势和市场主体生产经营情况,广泛运用在经济决策、应急管理、生态环保、城市建设、行业监管等场景,提升社会治理数字化水平,推动绿色低碳发展,服务国家“双碳”目标。
- 民生层面。通过电力数据记录的用户消费行为和习惯,掌握民生社会运行规律,进行精准的用户刻画,服务基础民生,推动智慧社区、智慧用能、智慧养老,引导用户形成绿色低碳生活新方式,为特殊群体提供更多关爱,切实提升群众生活品质。
(二)电力数据的交易模式
过去,电力数据价值仅在系统内部实现。现在,电力数据的价值还应用于市场,电力数据开始作为一种产品进入市场流通。“数据二十条”提出,要进一步规范数据流通规则,构建场内场外相结合的交易制度体系,促进数据的使用和流通。
场外交易是“一对一”直接交易和“一对多”单边交易模式。在直接交易模式中,由交易双方自行确定数据类型、使用方式、转让条件等事项。这种交易方式灵活,但不利于市场监管,容易出现非法数据交易等黑市交易。对于“一对多”的交易模式,数据交易机构对收集到的数据进行初步处理,并将原始数据转换成可以交易的数据包或数据库,再进行出售。这种交易模式允许数据的大规模开发利用,但存在定价不透明、容易造成数据垄断,最终不利于数据要素流通的问题。
场内交易则是在依法设立的数据交易(所)平台进行的数据交易。数据交易机构作为数据交易的独立第三方,为数据提供方和需求方提供中介服务。这种模式下,会出现两种情况:
- 一种是平台对数据提供方和需求方提供匹配服务,只进行必要的数据清洗、脱敏、验证和安全测试等服务。
- 另一种是平台还会针对用户的不同需求对数据进行分析处理,提供制定化的产品和服务(如贵阳大数据交易、上海数据交易所、北京国家大数据交易所等)。这种交易模式有利于数据的开发和监管,但灵活性低、交易合约难以达成。【6】
近年来,国内外数据交易平台均呈现出综合化、服务化的发展形势,平台运营服务范围总体面比较广,涵盖政府、金融、医疗、交通、教育、人文等多个领域。
无论是场外交易还是场内交易,均有优劣势,可以模式互补,以满足不同的数据交易需求。
四、电力数据交易合规风险
电力数据基数庞大,并且流转过程涉及企业生产经营的各个环节,且基于电力行业的特殊性和重要性,一旦电力数据发生合规风险,则不仅会损害企业利益,还可能危及电力系统的安全可靠运行。只有明确电力数据所面临的种种合规风险,才能实现数据资源的合规利用。
创建一个有利的数据交易体系,必须满足三个条件:一是有可交易、安全、有价值的数据,并且市场对这些数据有强烈需求;二是数据控制者或处理者愿意共享数据;三是交易渠道通畅,有多方交易平台。【7】
据此,本文针对电力数据交易,将电力企业的合规风险大体分为三类,一是内容违规的数据滥用风险,二是安全和质量缺失的数据管理风险,三是开展数据场外交易的交易模式选择风险。
(一)数据滥用风险
开展数据交易的数据内容必须合规,若数据内容危及国家、社会安全或导致个人隐私的泄漏,则不得作为交易对象。当将上述数据作为数据产品进行交易时,这类数据交易风险被称为数据滥用风险。
由于电力企业通常直接从用户处直接采集,除数据采集阶段告知用户的处理目的和方式外,企业不会将个人数据用于任何其他目的和方式,如若超出范围,则视为授权变更需要再次告知并征得同意。同时,即使对原始数据进行清洗、匿名化处理,也不能当然豁免信息保护义务。因当对数据进行关联分析和深度挖掘时,难以保证数据应用的合规性。只有当处理的信息不能再识别到特定用户,才能在无需用户同意的情况下流转交易。
基于电力数据的特殊性,数据跨境流动往往影响国家数据安全,因此未经网信部门安全评估、不符合出境安全管理规定的数据,不得向境外提供。在数据被流通后,电力数据脱离电力行业的控制,由于数据的近乎零成本的可复制性、非法使用的隐蔽性以及高昂的额外排他成本,使得控制数据资产转售变得困难,可能损害数据资产合法权益人的正当利益,因此企业还应防止第三方将数据用于违法犯罪行为。【8】
(二)数据管理风险
数据作为产品进行交易,若存在安全问题和质量问题,不仅交易目的难以达成,还可能影响个人利益、国家安全和整体经济发展,不利于数据产品交易市场的发展。我国法律为企业创设了保障数据安全和质量的合规管理义务,若企业怠于或不当履行义务,则有可能受到刑事或行政处罚。
- 一是内部合规治理风险。数据保护法律法规为企业履行数据安全保护义务制定了系列管理措施,但在企业内部,重业务轻安全的观念较为固化,安全防控水平往往落后于业务运营。若发生如未设立数据安全负责人和管理机构、未对重要数据从业者开展数据安全交易培训、未按要求开展数据安全评估、未定期审计数据处理情况等情形,则会给企业招致违法违规风险。
- 二是技术安全风险。随着数据价值的不断增长,对数据和应用程序的攻击行为就变得更加激烈。APT攻击、勒索软件、网络钓鱼、恶意应用、未经授权访问以及数据篡改、破坏、丢失等风险,都在威胁着企业数据安全。若企业没有采取保护数据安全所必需的技术措施,则会导致数据的泄露和失真,无法保证数据的真实性、准确性、完整性,最终使数据丧失价值。
(三)数据交易模式选择风险
我国虽形成场内场外数据交易模式,但基于场外交易的简单便捷、成本较低等原因,目前,场外交易较为活跃,违法的黑市数据交易随之也形成规模,主要涉及个人信息,特别是个人敏感隐私信息,严重侵犯公民的个人隐私。
“侵犯公民个人信息案”近年来增长态势明显,“常某等侵犯公民个人信息案”便是轰动一时的贩卖公民信息的案件,该案在2019年年初终审判决。根据检方起诉书,数据堂的员工在上级领导同意后,与金时科技达成数据买卖合同,随后数据堂向该公司交付包含未脱敏的公民个人信息数据共60万余条,金时科技共计向其客户发送公民个人数据168万余条,数据量特别巨大。
根据《中国政企机构数据安全风险分析报告》,2022年1月至10月,全球政企机构有180余起重大数据安全报道,数据泄露事件占半数,数据泄漏已超越数据破坏成为最大的数据安全风险。【9】
电力数据涉及国家能源支撑体系,掌握众多电力用户隐私信息。由于现有交易技术架构难以实现数据全生命周期监管,且电力企业自身的数据交易管理专业性不足,当电力数据用于交易时,对数据交易过程难以实现有效监管,包括数据交易主体的审查、数据合法使用情况的监督等。
五、电力数据交易合规治理
“数据二十条”明确提出“企业压实数据治理责任”,因此,对企业而言,必须履行数据合规义务。电力数据合规是电力行业防范数据领域的特定数据合规风险的治理行为,除应确保符合《数据安全法》和《网络安全法》的一般性规定,还应当遵守关键信息基础设施特殊安全制度。
(一)深化数据分级分类管理
电力数据作为一项关键基础数据,包含众多涉及国家安全、民生、重大公共利益的数据,要平衡好多方利益,实施数据分级分类管理已成为行业共识。虽然《数据安全法》规定了数据要实施分类分级保护,但电力行业尚未有对数据的行业级分类分级标准。
现有的数据分级分类方法较为单一,与业务关联程度不高,但电力数据类复杂、属性多样,应当基于电力公司自身数据架构基础,形成一套针对电力数据的分类分级方法。2022年底,国家能源局发布的《电力行业网络安全管理办法》第25条明确规定,电力企业应当按照国家和行业重要数据目录及数据分类分级保护相关要求,制定重要数据具体目录,并对相关数据进行重点保护。
笔者建议从业务出发,先进行业务细分,可同时确定对应业务的管理主体,方便后续合规管控。在业务细分的基础上,再根据管理对象进行归类,解决数据分类问题。当前,常规数据分级主要从涉及对象以及影响范围、程度三个方面考虑,还应当与数据敏感性、生产业务关联性、业务系统关联性相结合,划分极高、高、中、低四个等级,并以“就高原则”选择确定级别。数据分级分类工具能够促进企业数据的互通,让业务部门间、业务和技术之间统一认识,提升数据的使用合规性,实现数据在跨系统间流通。
(二)强化企业数据安全治理
“数据安全三分靠技术,七分靠管理”。数据保护相关法律通过合规流程性条款,对关键信息基础设施运营者如电力企业,确立了更为严格的数据合规管理义务。
- 一是构建多层次电力数据安全组织架构。形成数据安全责任人制度,设置决策层、监督层、管理层、执行层,明确企业相关部门的数据安全层级及安全职责,推动电力数据有序高效合规管理。
- 二是制定公司内部数据安全管理体系。加强电力数据安全建设顶层设计,制定数据合规纲领性文件。现行法律中存在“关键信息基础设施运营者”“数据处理者”“网络运营者”等不同主体,相对应存在不同的数据安全保护义务,鉴于电力企业在处理相关数据时存在多重身份,应建立可供参照执行的统一指引性规范和操作规程。
- 三是加强数据安全技术措施。建立覆盖数据采集、处理、流通等所有环节的安全保护管理体系,实施技术安全防护措施,如密码访问控制、数据流量控制,防止外部恶意入侵系统;采取分类储存、备份、去标识化、数据加密等措施,防止用户信息被篡改、损毁、丢失;采用进程监控、日志分析和安全审计等技术工具监测和记录数据访问情况,建立风险预警防控机制。
(三)优化数据交易模式选择
我国数据资产交易尚处于培育期,场外交易还需诸多规范。对企业而言,由于数据交易平台在数据分析和处理、数据管理、可视化等高价值环节有强大的技术支撑和制度规范,通过数据交易平台进行数据产品交易,最有利于企业对数据的合规管理,能够有效缓解企业数据合规操作压力。
在数据交易过程中,数据交易平台负有主体责任。
- 一方面,数据交易平台提供市场主体准入审查,对交易数据的合法性合规性进行审核,并对交易数据进行清洗、匿名化等加工服务,依据《个人信息保护法》和《数据安全法》将数据转化为可供交易的状态,成为数据产品。
- 另一方面,数据交易平台积极发挥交易中介的作用,为数据买卖双方匹配交易对手或为买方提供个性化数据产品,根据数据资产的产品类型、成本构成等要素对数据资产进行价值评估定价,推动数据要素资本化。完成交易后,数据交易平台还负有监督职责,需对买方就数据产品的使用情况进行监督,防止数据产品的非法转售。
数据交易平台是数据交易市场的物理载体,可以大大降低供电企业与相关机构的对接成本,促进电力数据产业链深加工,拓宽电力数据应用场景,推动数据安全流动,繁荣电力数据开放生态。
六、结语
党的二十大报告提出,要加快发展数字经济,推进数字经济与实体经济深度融合,打造具有国际竞争力的数字产业集群。数据已经成为新生产要素,电力数据由于数量大、类型多、快速处理、精准度高、价值高的特点,对经济社会发展有重大意义。
让数据价值充分释放,数据需要进行流通和交易,必须先进行数据确权。结合“数据二十条”,国内采取暂时搁置数据所有权的争议,提出“三权分置”的产权运行模式,使得数据交易具有权利基础。在此基础上,通过场内加场外的交易模式,让数据在服务政府、企业、民生等方面发挥积极作用。
电力数据在促进数字经济发展的同时,也对企业合规治理提出新挑战。企业会面临数据滥用、管理不当、交易模式选择风险,因而在数据治理方面也需要从以上三方面着手。为适应数字时代发展需要,未来电力企业应当通过技术和规则进一步促进电力数据的开放利用,提升电力数据交易的合规性,以充分实现电力数据社会正外部性。(本文选自《中国电力企业法治合规建设论文集(2023)》)
注释:
[1]张沛、和怡、张大海等:《电力大数据应用的判断原则》,载《电力建设》2017年第38卷。[2]刘威、孙艺新、陈睿欣等:《基于区块链的电力数据交易方案设计》,载《中国电力》2021年第54卷。[3]王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022 年第 7 期。[4]梅夏英:《数据交易的法律范畴界定与实现路径》,载《比较法研究》2022年第6期。[5]李辉:《“数据二十条”打开企业数据合规空间》,载《法人》2023年第3期。[6]参见国务院发展研究中心:《以场景化数据服务促进数据交易》 ,https: / / www. chinathinktanks. org. cn / content / de- tail? id=rgcqrk35,最近访问时间[2023-05-02]。[7]Yochai Benkler,“ Sharing Nicely: On Shareable Goods and the Emergence of Sharing as a Modality of Economic Production” ,Yale Law Journal Vol.114, 2004.[8]杨东、高清纯:《加快建设全国统一大市场背景下数据交易平台规制研究》,载《法治研究》2023年第2期。[9]参见奇安信:《中国政企机构数据安全风险分析报告》 ,https://www.qianxin.com/threat/reportdetail?report_id=168,最近访问时间[2023-05-02]
参考文献:
[1]张莉.数据治理与数据安全[M].北京:人民邮电出版社,2019.[2]杨帆,张琴,刘捷,龚艳,王电钢,曾愚.国网四川电网大数据资产安全管体系构建研究[J].电力信息与通信技术,2018(1):93-94. [3]张兰,李向阳,李安然等.数据共享和交易——数据的质量、价值和价格[J].中国计算机学会通讯,2019,(2):69-77.[4]陈筱贞.数据共享风险类型化分析[J].新经济,2019(12):34-37.[5]陈瑞华.论企业合规的性质[J].浙江工商大学学报,2021,No.166(01):46-60.[6]龙卫球.数据新型财产权构建及其体系研究[J].政法论坛,2017,35(04):63-77.[7]程啸,栗长江.论大数据时代的个人数据权利(英文)[J].Social Sciences in China,2019,40(03):174-188.[8]崔国斌.大数据有限排他权的基础理论[J].法学研究,2019,41(05):3-24.[9]申卫星.论数据用益权[J].中国社会科学,2020,No.299(11):110-131+207.[10]李依怡.论企业数据流通制度的体系构建[J].环球法律评论,2023,45(02):150.[11]刘辉,夏菁.数据交易法律治理路径探析[J].海峡法学,2022,24(01):80-88.
声明:本文来自中电联法律分会,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网数据专题将关注数据治理、数据质量管理、数据架构、主数据管理、数据仓库、元数据管理、数据备份、数据挖掘、数据分析、数据安全、大数据、数据合规、等数据相关全产业链相关环节。
数字化转型网数据专题包含: 数字化转型网(www.szhzxw.cn)
1、数据相关外脑支持:100+数据相关专家、100+数据实践者、1000+相关资料
2、数据研习社:与全球数据相关专家、实践者共同探讨相关问题,推动产业发展!
3、国际认证培训:目前已引进DAMA国际认证CDMP,其他国内外认证也在逐步引进中
4、典型案例参考:与数字化转型网数据要素X研习社社员一起学习典型案例,共探企业数据落地应用
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于中电联法律分会 作者:国网四川省电力公司南充供电公司李彬彬;编辑/翻译:数字化转型网默然。
