随着全球能源行业数字化的进程的加速推进,对于能源数据的安全需求日益递增,作为保障民生的重要行业,能源数据安全将会是数字化建设的重中之重。交能网整合国际上能源数据安全相关研究报告,为您献上与能源数据安全、数据加密、监管架构的【网络安全】新系列。关注公众号,持续获得该系列最新推送。
在本文写作的时候,华为在加拿大的风波暂时性地落幕,一切的纷纷扰扰,都与大数据安全的担忧密不可分。德国联邦总统施泰因迈尔于12月7日在我国四川大学演讲,谈及数据安全问题时也指出:
“.......我们德国人可能要比其他人更为谨慎。我们看到未来数字化的巨大机遇。我们希望并且我们将参与这一技术的发展。但我们也为数字化的伦理问题绞尽脑汁,尤其是如果涉及到个人数据和监管 ....... 问题在今天比任何时候都更为迫切:异化还是解放?更多的监控和管制?让少数人掌握更多权力,还是通过数字的、全世界范围内都触手可及的思想理念去创造更多平等机遇?...... " (德国印象译)
数据隐私为什么在欧盟、特别在德国一直受到重视?在能源大数据的框架下,我们又该如何应对?让我们从德国的历史开始讲起。
中世纪对于欧洲而言可谓是黑暗的一千年:罗马教廷利用拉丁文的圣经,以教义为绑架,以文字为壁垒,限制着欧洲老百姓的思想;打着扫除异教徒的名目,依靠卫道士监控着一切。欧洲能从中世纪走出,离不开一位名叫马丁路德的德国人。作为一名牧师,他公开在教堂前以九十五条论纲(Disputatio prodeclaratione virtutis indulgentiarum)质疑罗马教廷的纲领。为了方便教义在大众中的流传,他将圣经翻译成了现代德语。于是”上帝“对于德国人来说,不再是只能从教堂腐朽教士口中听说的故事,而是每个人都可以去了解、不受他人干预与监视、随时随地都能思考的概念。
那为什么现在德国的数据安全治理,和美国还是存在差异呢(德国与俄罗斯、我国一样,对于网络数据的储存地有着明确的规定)?话又要说到二战后东德的短短历史。面对着国内经济形势的不断恶化,以及处于冷战最前线的巨大压力,东德当局采取了纳粹党类似的做法——斯塔西(Ministerium fuer Staatssicherheit, Stasi)监视着普通百姓生活的方方面面,涵盖日常生活、工业生产、艺术创作、教会活动等等种种情报。一共积累了长达112公里的书写材料,47公里的胶片材料,140万张图片和幻灯片,16.9万份影像资料,碎片材料1.55万袋 。纽约时报甚至宣传,每6.5个东德人里就有一个告密者。这样高压的背景对几代德国人,无论是东德的直接受害者,还是他们在西德的血肉同胞,都产生了深远的影响。在德国统一之后,富有反思精神的德国人一直试图避免重蹈覆辙。让数据的安全,人的隐私、尊严,从制度层面就得到规范化的保护。
无论是否在能源领域,大数据框架中考虑的核心要素永远是个人数据的安全。这已经在欧盟信息保护条例(EU-DSGVO)中有着明确的规定。除了个人隐私以外,在能源经济中,匿名数据(无归属者)、工业设备信息也是需要统筹考虑的两大组成部分。
欧盟信息保护规定中考虑到个人信息,比我们日常想到的个人姓名、电话范围大了不少:
“......任何能直接或者间接确定到一个自然人的信息,特别直接与ID编号系统绑定,能确定自然人物理性、生物性、心理性、经济性、社会性、文化性特征的信息......”
尽管在生产生活中存在着许多表面看起来不含个人信息的数据,即所谓的无主匿名数据,比如匿名数据(Anonymen Daten)或者仅仅与昵称相关(假名数据,PseudonymisiertenDaten),但通过特定的数据技术分析与追逐的方法,依然可以追踪到个人的特征。这样的数据依然可以考虑存在于数据保护框架的范围内。而对于工业设备、企业生产方面的信息,因为不与自然人直接产生联系,欧盟也没有做出明确的规定,业界实际应用的数据保护规则也种类繁多。
图-1 数据安全的三个维度
除了EU-DSGVO外,在德国本土法律框架内原来还有德国联邦数据保护法(Bundesdatenschutgesetz,BDSG)和测量设备运行法(Messstellenbetriebs-gesetz, MSBG)。在2018年5月18日EU-DSGVO生效后,将成为BDSG的上位法,德国也及时对本国的法律做出了修订。从设计上,EU-DSGVO考虑到以下几点:
1. 数据保护的义务
2. 规则设置上保护数据隐私;规则默认保护隐私,而无需额外确认(Privacy by Design und Privacyby Default);
3. 数据保护效力的影响评估
4. 数据删除的权力
5. 数据转移的权力
除此以外,在EU-DSGVO的框架下,在特定领域(例如能源经济中)数据的安全保护可以用条例的形式单独公布。数据的使用,无一例外必须与明确的业务目的绑定,这与业界目前流行的大数据挖掘存在冲突,就是在欧洲参与能源经济的企业需要注意的问题。
测量设备运行法(Messstellenbetriebs-gesetz, MSBG)作为EU-DSGVO的下位法,同时与能源变革数字法(Gesetz zur Digitalisierungder Energiewende, GDEW) 紧密相连。这部法律直接指导着智能测量设备(如智能电表)的数据使用。对设备的信息技术安全、数据保护、数据操作交互提出了具体技术要求。所有涉及的测量设备,需在联邦信息技术安全署(BSI)认证通过。MSBG贯彻了之前提到的“规则设置上保护数据隐私”原则,即(Privacy by Design)。为了体现数据使用有业务需要为依据的支撑,在MSBG的第三部分——智能能源数据通讯规则中,对使用数据的对象、方式、类型、时间等都做出了规定。数据使用的对象不限于以下几种:
· 表计服务商
· 电网企业
· 结算平衡单元负责人
· 结算协调人
· 直接上网发电个人(据德国可再生能源法EEG)
· 能源供应商
数据的实际产权人(例如接入智能电表的电力用户)根据测量设备运行法可以向数据采集使用相关方要求提供数据使用情况、使用目的等信息。相关方提供这些信息的时候,不得向产权人收取任何费用。
图2-德国某数据使用方向客户提供的信息使用说明邮件
在实际实施的过程中,测量设备运行法的核心要素为以下几个方面:
1. 在能源经济相关的应用上,在测量设备运行法认可的数据服务商可以使用用户个人数据。
2. 数据的获取和使用,必须得到用户的同意。
3. 用户有对数据使用的知情权,并且使用过程可以被追溯及透明公布。
4. 能源数据服务商有义务配合监管当局。
相比与其它使用用户数据的工业领域,能源经济方面欧盟的立法与实施走在了前面。欧盟在数据保护条例的框架下,希望透过这一领域的例子,给通讯领域、智能家居、智能驾驶等领域数据保护的具体实施给出典范型的参考。
虽然能源大数据的安全框架,对于电表服务商之类的商业模式创新会或多或少产生阻碍,但这是数据时代大背景下的必然之路。尤其是对于德国这样一个对于个人信息高度重视,历史上有过经验和教训的国家而言,也可谓顺理成章。安全框架的实践,对于我国能源信息化建设,以及国内相关厂商开阔国外市场,都有不小的参考价值。
「参考资料」:
Steinmeier(2018): Besuch der Sichuan-Universitaet in China
Müller-EnbergsH. (993): IM-Statistik 1985–1989. In: BF informiert 3/93, BStU, Berlin 1993, S.55.
Wikipedia (2018): Ministerium fuer Staatssicherheit
Dena (2018): Datenschutz und Datensicherheit - Statusquo, Herausforderungen und Handlungsbedarf im Rahmen der Digitalisierung derEnergiewirtschaft, S.6-12.
BDSG(2018): Bundesdatenschutzgesetz,§ 71 Datenschutz durch Technikgestaltung.
MSBG(2018): Messstellenbetriebs-gesetz,§53 Informationsrechte des Anschlussnutzers
编辑:陈夏
作者:庄弘
