監督業務一體融合背景下電力交易機構敏感數據綜合管理研究

陳井銳 楊怡靜 高航 卜祺

摘要：作為網絡安全的基礎，數據安全的重要性已經引起廣泛重視，習近平總書記指出“沒有網絡安全就沒有國家安全”。在電力市場化改革背景下，為切實落實黨中央關于數據安全指示精神，面對電力市場的新型廉潔風險，文章基于電力交易機構數據安全合規領域的調查研究，以“監督+數據”為核心要點，結合國有企業合規管理體系和依法治企建設成果，圍繞“領導責任化、基礎清晰化、管理機制化、探索數字化”等四個方面構建電力交易機構敏感數據綜合管理機制，以此實現監督與電力交易業務在“工作機制、風險識別、管控措施、數字化支撐”四個方面的融合，發揮監督作用，提升監督效能和數據信息保密管理水平，為樹立公開公正公平的電力交易機構形象奠定基礎。

關鍵詞：電力交易機構；數據安全；敏感數據；監督+數據

中圖分類號：F49? ? 文獻標識碼：A? 文章編號：1005-6432（2023）26-0000-07

[DOI]10.13939/j.cnki.zgsc.2023.26.000

1 導論

1.1 研究背景

隨著全面從嚴治黨持續向縱深推進，依托黨內法規的科學治理邏輯、統一規范功能，以及高度的理論創新和實踐經驗的大監督體系已基本形成。同時，伴隨《民法典》《網絡安全法》《電子商務法》《數據安全法》《個人信息保護法》等法律相繼頒布實施，數據信息安全合規管理已提升到事關國家安全、經濟安全、社會穩定和人民群眾切實合法權益的高度。加之電力體制改革的不斷深入，市場健康有序運行被提到了關系電力市場安全的至關重要地位。基于此，電力交易機構應當持續加強監督管理工作，把敏感信息保護使用工作抓好，持續加強黨風廉潔建設，防范利用敏感信息進行利益輸送苗頭性風險問題。面對新形勢、新變化、新任務、新風險，要求電力交易機構監督方式與時俱進，進一步探索和改進數據管理領域監督工作，為保障電力交易機構數據和信息安全提供組織、制度和技術保障。

1.2 研究意義

面對復雜的電力供需形勢，電力市場的供需調節作用更加突出，作為市場的運營中心、信息中心，電力交易機構正處于“強管理、提質量、促發展”的關鍵時期。面對電力市場特有的新型廉潔風險，通過監督和業務融合加強電力交易機構敏感數據綜合管理，是建設“黨建引領型”電力交易機構的發展需要，是以制度化、體系化監督保障電力交易機構安全合規高效運營的關鍵舉措，是促進電力市場健康平穩運行和構建企業廉潔合規文化的重要抓手，對全面提升電力交易機構依法治企水平、實現國內一流電力交易機構的“十四五”發展目標具有重要的理論意義和現實意義。

2 敏感數據廉潔風險防控存在的問題

通過對法律法規和規章制度要求總結，以及電力交易機構數據信息管理實際分析，并根據問卷調查測評及數據分析結果，綜合評估電力交易機構敏感數據綜合管理現狀，認為電力交易機構在加強和改進合規管理體系建設和監督方面做了大量工作，并取得顯著成績，但也存在著許多短板和不足。當前針對電力交易機構數據安全管理方面存在的問題分析如圖1所示。

2.1 業務敏感數據監督尚未形成合力

在依托黨內監督的監督運作過程中，針對敏感數據合規管理監督領域的監督主體責任平均得分6.66分、協同效應平均得分5.66分。各部門之間的監督主體相互協調配合不夠，沒有真正形成合力。部分員工在思想認識上還存在誤區，認為監督工作是紀檢監督職責部門、公司領導，以及數據安全負責部門的事情，自我監督的意識缺乏，對監督工作重視程度不夠。同時，由于敏感數據合規管理屬于業務交叉領域，現有監督機制針對敏感數據的監督相對分散，沒有形成相關數據的監督協同，不利于敏感數據的合規應用，可操作性較弱。詳見圖2。

2.2 業務敏感數據的監督效能薄弱

在數據安全治理的實際工作開展中，電力交易機構敏感數據識別存在邊界不確定、人工梳理周期長、專業素質要求高等問題，并且識別過程主要依賴于主觀判斷，評判標準不統一，存在識別結果差異性較大的問題[1]。因此，針對敏感數據合規管理監督領域的敏感數據識別指標平均得分為6分，得分最低。基于上述原因，各監督主體針對敏感數據進行監督時整體監督效能薄弱。詳見圖3。

2.3 新型數據風險的監督手段較為傳統

傳統的監督手段以隨機抽查、現場核查、人工分析為主，存在監督重點不突出、監督效果不明顯等缺點。相比之下，隨著違規違紀行為趨于隱蔽化、復雜化、智能化，傳統監督方式手段落后、效率不高的問題已明顯凸顯。作為傳統行業的新興領域，電力交易機構已實現各業務流程的信息化，嘗試構建了“基礎技術平臺+核心業務系統+數據應用集群”的信息化整體架構，并持續引入大數據、區塊鏈技術促進信息化發展。如何在監督人手力量不足、監督內容寬泛繁雜的情況下，快速精準的發現敏感數據合規性問題成為當前監督工作亟待解決的一大難題。詳見圖4。

3 對策思考與實施路徑

3.1 整體思路

基于電力交易機構數據安全合規領域的調查研究，面對電力市場的新型廉潔風險，本文以“監督+數據”為核心要點，結合電力交易機構的合規管理體系和依法治企建設成果，圍繞“領導責任化、基礎清晰化、管理機制化、探索數字化”等四個方面重點構建電力交易機構敏感數據綜合管理機制，以實現監督與電力交易業務在“工作機制、風險識別、管控措施、數字化支撐”四個方面的融合，強化日常管理，發揮監督作用，增強電力交易機構員工保密責任意識，進一步提升電力交易機構數據信息保密管理水平，樹立電力交易機構公平公正公開形象。

3.2 應對措施和實施路徑

通過綜合相關文獻、問卷調查研究發現，本文創新定義敏感數據，建立“金字塔”監督模式，實現在原有合規管理組織體系合規職責范圍內，進一步細化及明確黨委（支部）、紀委（紀檢委員）、各相關黨小組的數據安全合規監督職責，提升敏感數據綜合管理能力。

第一，精準識別敏感數據，實現敏感數據分層分級監督。準確識別敏感數據一直以來都是數據合規管理的難點，因數據在不同的人（權限）管控、不同的應用場景、不同的國家法律制度規定下，其敏感性不同。為了有效解決上述難題，實現監督業務一體融合，本文緊緊圍繞敏感數據管理主要矛盾，以精準識別敏感數據為突破口，創新定義敏感數據方法，精準識別敏感數據，為敏感數據綜合管理打下基礎。

第二，以風險為導向開展“金字塔”模式監督。結合敏感數據合規管理和電力市場實際，以黨委（支部）為核心引擎，發揮紀檢委員監督職責，協同專業（職能）監督力量，從敏感數據合規規則收集、合規義務分析、合規風險識別、合規監督、合規自查和檢查、監督整改、監督文化等方面構建完整的敏感數據合規監督體系，并以監督體系“自律機制、約束機制、發現機制、懲戒機制、保障機制”為基礎，理清監督職責界面，實現“金字塔”監督模式。并在建立敏感數據分類分級管控標準和管控要求的基礎上，根據監督職責界面，構建分層分級監督機制，即一級敏感數據全生命監督管理由黨委（支部）研究決定執行；二級敏感數據全流程監督管理由紀檢委員與各業務部門黨小組研究決定后執行；三級敏感數據由各業務部門黨小組自行研究討論后執行。電力交易機構分層分級監督機制見圖5。

第三，實現敏感數據全流程監督。建立健全涉及敏感數據的業務合規管理相關標準、制度和規范，建立重大敏感數據合規審批清單、數據分類分級管理、權限管理、敏感數據合規風險評估及審計、重大敏感數據合規風險事件報告、應急處置機制、教育培訓等管理事項，并根據法律法規變化和監管動態，及時將外部合規要求落實到內部規章制度[2]。在敏感數據合規管理過程中，可對敏感數據采集、敏感數據傳輸、敏感數據儲存、敏感數據使用、數據開放共享、敏感數據銷毀等數據全生命周期管理的要素，制定必要的管控措施及標準，依法保護電力交易機構數據免受攻擊、侵入、干擾和破壞，防范敏感數據處理的違規風險，確保敏感數據合規。

第四，提高敏感數據數字化監督。黨的十九大提出，推動互聯網、大數據、人工智能和實體經濟深度融合，建設數字中國、智慧社會[3][4]。本文以牽住數字關鍵核心技術自主創新這個“牛鼻子”，高度重視合規數字化轉型，通過相關技術的應用及更新，提升電力交易機構在敏感數據識別、敏感信息保護、敏感數據操作審計、接口安全管理、敏感數據防泄露等方面的技術能力，提升敏感數據保障能力。

4 實踐及做法

4.1 構建“金字塔”監督模式，實現監督業務協同

第一，明確領導和工作機制。由于敏感數據管理的高度重要性、敏感性，電力交易機構黨委（支部）可以以書記項目形式統籌部署領導，細化及明確黨委（支部）、紀檢委員、各相關部門黨小組的數據安全合規監督職責。同時，面對數據合規規范性要求高的特點，充分發揮法治建設第一責任人工作機制優勢，可以建立全面依法治企委員會領導下的合規管理體系，構建“合規管理三道防線”，將敏感數據合規監督的職責納入現有合規管理組織體系，在業務層面構建電力交易機構敏感數據合規管理的領導機制。通過監督業務協同的領導工作機制，具體壓實“一崗雙責”責任。數據安全合規監督組織架構見圖6。

第二，發揮“金字塔”模式監督功能。在“金字塔”監督模式中，黨委（支部）是電力交易機構敏感數據合規工作的領導組織機構，負責全面組織領導公司敏感數據合規管理監督工作；紀檢委員是電力交易機構敏感數據合規管理監督責任人；各黨小組是本部門歸口業務及人員敏感數據合規管理的第一監督人。把監督職權融入崗位、融入業務、融入管理，形成事前、事中、事后全過程監督閉環管理，加大追責問責力度，全面發揮黨委（支部）監督職能作用，推動監督體系協同有效運轉，確保監督全覆蓋、無死角，持續提升監督治理效能。“金字塔”監督模式見圖7。

4.2 扎實做好敏感數據基礎管理工作，明確監督工作面

第一，以內控合規要求為基準，明確監督對象及內容。一是根據數據安全國家法律法規、行業內部控制指引、集團內部制度管理規定對電力交易機構各業務領域相關敏感數據事項進行梳理，編制形成覆蓋業務、企業集團數據安全內部制度規定[5]、企業數據安全內部控制指引、數據安全法律法規合規義務、數據安全合規風險、數據安全合規要求等要素的合規手冊，統一監督標準。二是合規評價手冊以合規手冊為對象，評價合規手冊是否存在設計缺陷，以及合規手冊是否得到有效執行，是為了監督合規手冊相關要求得到貫徹和執行，其中，評價檢查頻率分為每年、每半年、每季、每月、每周、每天、按需、不定期等，以此實施清單化監督。三是以電力交易機構組織架構、崗位設置為基礎，識別各部門、各崗位涉及敏感數據的內控事項和依據，包括法律法規、上級監管等涉及相關崗位審查、審核、審批等權限的強制性要求，在此基礎上，梳理不相容職務分離要求、發生頻率、工作輸出，實現崗位間的相互牽制，避免錯誤或舞弊行為發生，據此進一步提出各崗位對應業務事項的合規要求，編制崗位合規手冊，構建崗位協同。通過內控、合規的管理要求、評價要求和崗位要求，明確監督的對象和內容，為機制構建打牢基礎。詳見圖8。

第二，以數據資產為對象，明確敏感數據分類分級管理要求。對數據敏感特點分析后，本文認為敏感數據是人、數據、應用場景三者的有機結合和相互作用：人的因素主要體現在對數據擁有的權限上，超出權限擁有數據將導致一般數據變為敏感數據，或數據敏感性升級；其次是在不同場景（業務）下使用數據，當超范圍使用數據時，同樣將導致一般數據變為敏感數據，或數據敏感性升級。敏感數據分類分級的三大致因見圖9。

因此，針對敏感數據特性和數據來源，對敏感數據進行梳理步驟如下：一是以電力交易機構現有數據資產為基礎，基于人、場景（業務），以及現行法律法規、政策、標準、市場規則等文件認為具有相當的敏感度和風險性對數據資產進行分類分級，形成電力交易機構敏感數據基礎庫；二是結合電力交易機構員工職責權限、業務場景、業務鏈條，依照法律法規、政策、標準、市場規則等進行分析，進一步將電力交易機構涉及的數據分成外部獲取的市場成員個人敏感信息和企業敏感數據，以及電力交易機構內部員工個人敏感信息和企業敏感數據（包含市場運營產生的各類敏感數據）；三是在上述基礎上，按照數據的敏感性、隱私性等要求劃分，將電力交易機構敏感數據劃分為三級：一級是指高敏感數據，超范圍使用或泄露會造成市場成員利益嚴重損失、市場秩序嚴重影響，或者自然人人格尊嚴、人身、財產安全受到嚴重危害的數據；二級是指超范圍使用或泄露會造成市場成員利益一定損害、市場秩序不良影響，或者自然人人格尊嚴、人身、財產安全受到危害的數據；三級是指低敏感數據，按規則（制度）應該對外披露或可面向社會公開但還未到披露和公開時點的數據。

第三，以市場發展要求為邊界，分析廉潔風險。結合電力市場的業務特點，結合各類敏感數據的特點，結合業務鏈條分析可能存在的廉潔風險情形，并將該類廉潔風險列為電力交易機構廉潔風險庫的重點內容，將相關情形和事項作為電力交易機構黨委（支部）黨風廉政監督和關注重點，納入網格化監督范圍，與網格化監督協同防控市場新型廉潔風險。禁止數據信息出口和泄露的情形見圖10。

4.3 全流程構建敏感數據監督工作機制，找準監督業務一體融合發力點

以推動、提升監督效能為出發點，電力交易機構黨委（支部）制定了可制訂相關實施方案，明確監督對象，按照“誰歸口、誰管理”“誰接觸、誰保密”“誰出口、誰報批”“誰泄密、誰負責”四項原則，建立敏感數據綜合管理“六項機制”，從敏感數據管理全流程建立全方位監督網絡，促進監督和業務融合充分發揮作用。

第一，敏感數據分級調整機制。在明確敏感數據范圍后，進一步建立敏感數據分級調整機制。敏感數據事項、內容和明細的分級確定或調整，由數據歸口部門根據數據敏感性、隱私性等要求統籌考慮，經相關黨小組討論研究后，報電力交易機構分管領導同意后確定或調整敏感數據級別。

第二，敏感數據共享機制。內部涉及敏感信息向外出口的，按照數據管理相關管理流程，遵循“誰出口、誰報批，誰泄密、誰負責”的原則履行數據信息出口審批程序。數據向公司內部部門之間共享的，三級、二級數據原則上由數據歸口管理部門審核，一級數據還需由數據歸口管理部門的公司分管領導審核。數據對外出口的，原則上由經辦部門和經辦人提出申請，按流程審核后提供，其中：二級、一級數據還需由數據歸口管理部門的公司分管領導審批；三級數據由數據歸口管理部門審批。敏感數據出口量特大、數據特別重要的事項，應提請公司總負責人審批。同時，信息管理相關部門通過信息化手段建立敏感數據出口審批電子化流程，自動形成審批管理臺賬，定期將臺賬提交支部紀檢委員和合規部檢查。數據共享審批流程見圖11。

第三，敏感數據打聽登記機制。發生敏感數據打聽事項時，被打聽人應在事件發生后盡快做好登記，并填寫相關登記表，由部門負責人審核確認。具備條件的，被打聽人應同步保存好文字、圖片、錄音、音像等相關資料，做到有據可查。如打聽人是電力交易機構內部人員的，應確認是否履行敏感數據出口審批程序，未履行審批程序的如實登記。

第四，敏感數據打聽報告機制。針對一級、二級敏感數據，被打聽當事人應在登記后立即向公司合規管理部門報備，合規管理部門初步了解情況后立即向公司紀檢委員報告。三級敏感數據，在數據尚未公開披露的情況下，被打聽當事人應在登記后規定時間內向合規管理部門報備，合規管理部門初步了解情況在規定時間內向紀檢委員報告。遇有出差等特殊情況不能及時報告的，可先通過電話、短信、公司許可的即時通訊工具等方式進行口頭報告，在特殊情況消除后在規定時間內完成報備。敏感數據打聽報告流程見圖12。

第五，敏感數據打聽檢查機制。一是服務熱線回聽監督。通過定期對電力交易機構對外服務熱線電話接聽情況進行監督，對各業務部門坐席接聽情況進行錄音回聽抽查，比例在5%～10%，其中，對業務重點部門的重點接聽時段進行抽查，其余部門可隨機抽查，并填寫敏感數據打聽監督情況登記表，在規定時間內向紀檢委員報告。二是專項檢查。根據敏感數據打聽登記管理工作需要，經電力交易機構紀檢委員同意，可由合規管理部門牽頭開展合規專項檢查。

第六，完善獎懲鼓勵機制。電力交易機構各部門員工承擔業務范圍內敏感數據管理的主體責任，敏感數據打聽登記事項納入電力交易機構合規考核范圍。對于嚴格遵守公司保密紀律的典型事跡和先進個人，予以表揚或表彰。對于違反電力交易機構敏感數據打聽登記管理工作規定的人員，在日常數據處理中，部門或員工違反法律、行政法規規定，竊取或者以其他非法方式獲取敏感數據，開展數據處理活動排除、限制競爭，或者損害個人、組織合法權益的，除依法承擔相應法律責任外[6]，責令相關部門或個人整改，視情節輕重給予相應處理。

4.4 合規信息平臺助力監督增效，提升監督數字化水平

基于“監督+”工作要求，一體整合監督、合規、內控和風險管理構建合規管理平臺，將監督和業務從傳統線下管理進一步向在線監督轉型，關注電力市場化業務的廉潔風險，提升監督數字化水平。

第一，構建數據合規監督業務模型。基于敏感數據合規風險的量化分析，合規管理平臺側重于數據安全——敏感數據業務的合規風險管控，對相關合規義務和合規風險逐一分析，構建覆蓋注冊、交易、結算等關鍵合規風險的關鍵業務合規模型。在業務模型分析基礎上，提煉業務和管理流程，形成可執行、可量化、可開發的合規指標庫，為敏感數據數字化合規監測、合規分析判定和合規監督奠定基礎。

第二，敏感數據實時監測。結合綠色能源數據中心建設，合規管理平臺堅持前置預警、源頭防范，從數據中心、業務系統獲取歷史關鍵時點交易數據、結算數據、市場主體基礎數據、計量數據、管理數據等，基于敏感數據合規規則、合規風險點等與現有敏感數據（個人敏感數據、企業敏感數據）進行對照、核驗，根據業務頻率設置自動監測時點，自動掃描完成業務數據向敏感數據的分類分級，以及既定的合規風險。基于合規風險閾值、合規風險點和交易規則等與業務系統現有實時數據進行對照、計算、核驗。

第三，加強系統信息權限管控。在實現信息化方式實時監測系統人員賬號對應的權限配置清單基礎上，公司紀檢委員、合規管理部門可通過登陸系統進行權限配置合規性檢查。

第四，開展系統日志檢查。在實現通過信息化方式自動收集匯總電力交易機構業務系統、數據電力交易機構等系統運行日志基礎上，可通過日志分析實時監測業務部門人員數據訪問及下載情況。公司紀檢委員、合規管理部門可通過登陸系統對數據訪問情況進行檢查監督。針對電力交易機構信息化程度高、創新能力強的特點，依托用戶行為監督系統建設，增加“用戶訪問權限監測”“用戶行為特征識別和異常監測”“異常監測任務和告警提示”等功能界面，通過對特征指標設置相應監測規則并實現異常行為的監測，采用信息化方式強化敏感數據的管控。

第五，敏感數據在線管理。基于合規管理平臺大數據、精準、高效的監測信息反饋，將監督融入業務、崗位權限、現行法律法規等文件要求，合理區分合規預警事項和合規告警事項，對存在可能超權限、超范圍、超法律規范規定查詢、下載、分析等觸及數據安全的行為進行提煉，設置預警事項，對已經產生相關違規違法行為，進行告警，及時通知紀檢委員和合規管理部門加強管控。已經形成的合規事件，及時報告黨委（支部）嚴肅調查和處置，實現風險的動態監督、評價與糾正。

5 結束語

本文通過監督業務一體融合的電力交易機構敏感數據綜合管理研究，在調查研究基礎上，發現問題，抓住主要矛盾，結合電力交易機構組織架構實際情況，將敏感數據合規監督的職責納入現有合規管理組織體系，構建了“金字塔”監督模式；以此為基礎，綜合分析人、場景（業務），以及現行法律法規、政策、標準、市場規則等文件對數據敏感性的影響，對電力交易機構數據資產進行分類分級，形成電力交易機構敏感數據庫，為建立分層分級、全流程監督機制奠定基礎；并以合規為目標，積極探索敏感數據合規、監督數字化轉型，實施監督“低感”“無感”，提高監督效率。

參考文獻

[1] 焦罡.大數據環境下敏感數據資產梳理研究[J].中國科技信息，2020（18）：76-79.

[2] 余塵.企業合規方案及合規制度構建[J].中國律師，2022（1）：53-55.

[3] 黃莼.加快數字國企建設 實現高質高效發展[J].國資報告，2022（4）：36-39.

[4] 習近平.不斷做強做優做大我國數字經濟[J].先鋒，2022（03）：5-7.

[5] 吳瓊.論數據流通的民法調整[D].哈爾濱：黑龍江大學，2021.

[6] 中華人民共和國數據安全法[J].中華人民共和國全國人民代表大會常務委員會公報，2021（5）：951-956.

[作者簡介]陳井銳（1986-），男，碩士研究生，研究方向：電力系統、電力市場等；楊怡靜（1986-），女，碩士研究生，研究方向：經濟學、電力市場等。