陈井锐 杨怡静 高航 卜祺

摘要：作为网络安全的基础，数据安全的重要性已经引起广泛重视，习近平总书记指出“没有网络安全就没有国家安全”。在电力市场化改革背景下，为切实落实党中央关于数据安全指示精神，面对电力市场的新型廉洁风险，文章基于电力交易机构数据安全合规领域的调查研究，以“监督+数据”为核心要点，结合国有企业合规管理体系和依法治企建设成果，围绕“领导责任化、基础清晰化、管理机制化、探索数字化”等四个方面构建电力交易机构敏感数据综合管理机制，以此实现监督与电力交易业务在“工作机制、风险识别、管控措施、数字化支撑”四个方面的融合，发挥监督作用，提升监督效能和数据信息保密管理水平，为树立公开公正公平的电力交易机构形象奠定基础。

关键词：电力交易机构；数据安全；敏感数据；监督+数据

中图分类号：F49    文献标识码：A  文章编号：1005-6432（2023）26-0000-07

[DOI]10.13939/j.cnki.zgsc.2023.26.000

1 导论

1.1 研究背景

随着全面从严治党持续向纵深推进，依托党内法规的科学治理逻辑、统一规范功能，以及高度的理论创新和实践经验的大监督体系已基本形成。同时，伴随《民法典》《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》等法律相继颁布实施，数据信息安全合规管理已提升到事关国家安全、经济安全、社会稳定和人民群众切实合法权益的高度。加之电力体制改革的不断深入，市场健康有序运行被提到了关系电力市场安全的至关重要地位。基于此，电力交易机构应当持续加强监督管理工作，把敏感信息保护使用工作抓好，持续加强党风廉洁建设，防范利用敏感信息进行利益输送苗头性风险问题。面对新形势、新变化、新任务、新风险，要求电力交易机构监督方式与时俱进，进一步探索和改进数据管理领域监督工作，为保障电力交易机构数据和信息安全提供组织、制度和技术保障。

1.2 研究意义

面对复杂的电力供需形势，电力市场的供需调节作用更加突出，作为市场的运营中心、信息中心，电力交易机构正处于“强管理、提质量、促发展”的关键时期。面对电力市场特有的新型廉洁风险，通过监督和业务融合加强电力交易机构敏感数据综合管理，是建设“党建引领型”电力交易机构的发展需要，是以制度化、体系化监督保障电力交易机构安全合规高效运营的关键举措，是促进电力市场健康平稳运行和构建企业廉洁合规文化的重要抓手，对全面提升电力交易机构依法治企水平、实现国内一流电力交易机构的“十四五”发展目标具有重要的理论意义和现实意义。

2 敏感数据廉洁风险防控存在的问题

通过对法律法规和规章制度要求总结，以及电力交易机构数据信息管理实际分析，并根据问卷调查测评及数据分析结果，综合评估电力交易机构敏感数据综合管理现状，认为电力交易机构在加强和改进合规管理体系建设和监督方面做了大量工作，并取得显著成绩，但也存在着许多短板和不足。当前针对电力交易机构数据安全管理方面存在的问题分析如图1所示。

2.1 业务敏感数据监督尚未形成合力

在依托党内监督的监督运作过程中，针对敏感数据合规管理监督领域的监督主体责任平均得分6.66分、协同效应平均得分5.66分。各部门之间的监督主体相互协调配合不够，没有真正形成合力。部分员工在思想认识上还存在误区，认为监督工作是纪检监督职责部门、公司领导，以及数据安全负责部门的事情，自我监督的意识缺乏，对监督工作重视程度不够。同时，由于敏感数据合规管理属于业务交叉领域，现有监督机制针对敏感数据的监督相对分散，没有形成相关数据的监督协同，不利于敏感数据的合规应用，可操作性较弱。详见图2。

2.2 业务敏感数据的监督效能薄弱

在数据安全治理的实际工作开展中，电力交易机构敏感数据识别存在边界不确定、人工梳理周期长、专业素质要求高等问题，并且识别过程主要依赖于主观判断，评判标准不统一，存在识别结果差异性较大的问题[1]。因此，针对敏感数据合规管理监督领域的敏感数据识别指标平均得分为6分，得分最低。基于上述原因，各监督主体针对敏感数据进行监督时整体监督效能薄弱。详见图3。

2.3 新型数据风险的监督手段较为传统

传统的监督手段以随机抽查、现场核查、人工分析为主，存在监督重点不突出、监督效果不明显等缺点。相比之下，随着违规违纪行为趋于隐蔽化、复杂化、智能化，传统監督方式手段落后、效率不高的问题已明显凸显。作为传统行业的新兴领域，电力交易机构已实现各业务流程的信息化，尝试构建了“基础技术平台+核心业务系统+数据应用集群”的信息化整体架构，并持续引入大数据、区块链技术促进信息化发展。如何在监督人手力量不足、监督内容宽泛繁杂的情况下，快速精准的发现敏感数据合规性问题成为当前监督工作亟待解决的一大难题。详见图4。

3 对策思考与实施路径

3.1 整体思路

基于电力交易机构数据安全合规领域的调查研究，面对电力市场的新型廉洁风险，本文以“监督+数据”为核心要点，结合电力交易机构的合规管理体系和依法治企建设成果，围绕“领导责任化、基础清晰化、管理机制化、探索数字化”等四个方面重点构建电力交易机构敏感数据综合管理机制，以实现监督与电力交易业务在“工作机制、风险识别、管控措施、数字化支撑”四个方面的融合，强化日常管理，发挥监督作用，增强电力交易机构员工保密责任意识，进一步提升电力交易机构数据信息保密管理水平，树立电力交易机构公平公正公开形象。

3.2 应对措施和实施路径

通过综合相关文献、问卷调查研究发现，本文创新定义敏感数据，建立“金字塔”监督模式，实现在原有合规管理组织体系合规职责范围内，进一步细化及明确党委（支部）、纪委（纪检委员）、各相关党小组的数据安全合规监督职责，提升敏感数据综合管理能力。

第一，精准识别敏感数据，实现敏感数据分层分级监督。准确识别敏感数据一直以来都是数据合规管理的难点，因数据在不同的人（权限）管控、不同的应用场景、不同的国家法律制度规定下，其敏感性不同。为了有效解决上述难题，实现监督业务一体融合，本文紧紧围绕敏感数据管理主要矛盾，以精准识别敏感数据为突破口，创新定义敏感数据方法，精准识别敏感数据，为敏感数据综合管理打下基础。

第二，以风险为导向开展“金字塔”模式监督。结合敏感数据合规管理和电力市场实际，以党委（支部）为核心引擎，发挥纪检委员监督职责，协同专业（职能）监督力量，从敏感数据合规规则收集、合规义务分析、合规风险识别、合规监督、合规自查和检查、监督整改、监督文化等方面构建完整的敏感数据合规监督体系，并以监督体系“自律机制、约束机制、发现机制、惩戒机制、保障机制”为基础，理清监督职责界面，实现“金字塔”监督模式。并在建立敏感数据分类分级管控标准和管控要求的基础上，根据监督职责界面，构建分层分级监督机制，即一级敏感数据全生命监督管理由党委（支部）研究决定执行；二级敏感数据全流程监督管理由纪检委员与各业务部门党小组研究决定后执行；三级敏感数据由各业务部门党小组自行研究讨论后执行。电力交易机构分层分级监督机制见图5。

第三，实现敏感数据全流程监督。建立健全涉及敏感数据的业务合规管理相关标准、制度和规范，建立重大敏感数据合规审批清单、数据分类分级管理、权限管理、敏感数据合规风险评估及审计、重大敏感数据合规风险事件报告、应急处置机制、教育培训等管理事项，并根据法律法规变化和监管动态，及时将外部合规要求落实到内部规章制度[2]。在敏感数据合规管理过程中，可对敏感数据采集、敏感数据传输、敏感数据储存、敏感数据使用、数据开放共享、敏感数据销毁等数据全生命周期管理的要素，制定必要的管控措施及标准，依法保护电力交易机构数据免受攻击、侵入、干扰和破坏，防范敏感数据处理的违规风险，确保敏感数据合规。

第四，提高敏感数据数字化监督。党的十九大提出，推动互联网、大数据、人工智能和实体经济深度融合，建设数字中国、智慧社会[3][4]。本文以牵住数字关键核心技术自主创新这个“牛鼻子”，高度重视合规数字化转型，通过相关技术的应用及更新，提升电力交易机构在敏感数据识别、敏感信息保护、敏感数据操作审计、接口安全管理、敏感数据防泄露等方面的技术能力，提升敏感数据保障能力。

4 实践及做法

4.1 构建“金字塔”监督模式，实现监督业务协同

第一，明确领导和工作机制。由于敏感数据管理的高度重要性、敏感性，电力交易机构党委（支部）可以以书记项目形式统筹部署领导，细化及明确党委（支部）、纪检委员、各相关部门党小组的数据安全合规监督职责。同时，面对数据合规规范性要求高的特点，充分发挥法治建设第一责任人工作机制优势，可以建立全面依法治企委员会领导下的合规管理体系，构建“合规管理三道防线”，将敏感数据合规监督的职责纳入现有合规管理组织体系，在业务层面构建电力交易机构敏感数据合规管理的领导机制。通过监督业务协同的领导工作机制，具体压实“一岗双责”责任。数据安全合规监督组织架构见图6。

第二，发挥“金字塔”模式监督功能。在“金字塔”监督模式中，党委（支部）是电力交易机构敏感数据合规工作的领导组织机构，负责全面组织领导公司敏感数据合规管理监督工作；纪检委员是电力交易机构敏感数据合规管理监督责任人；各党小组是本部门归口业务及人员敏感数据合规管理的第一监督人。把监督职权融入岗位、融入业务、融入管理，形成事前、事中、事后全过程监督闭环管理，加大追责问责力度，全面发挥党委（支部）监督职能作用，推动监督体系协同有效运转，确保监督全覆盖、无死角，持续提升监督治理效能。“金字塔”监督模式见图7。

4.2 扎实做好敏感数据基础管理工作，明确监督工作面

第一，以内控合规要求为基准，明确监督对象及内容。一是根据数据安全国家法律法規、行业内部控制指引、集团内部制度管理规定对电力交易机构各业务领域相关敏感数据事项进行梳理，编制形成覆盖业务、企业集团数据安全内部制度规定[5]、企业数据安全内部控制指引、数据安全法律法规合规义务、数据安全合规风险、数据安全合规要求等要素的合规手册，统一监督标准。二是合规评价手册以合规手册为对象，评价合规手册是否存在设计缺陷，以及合规手册是否得到有效执行，是为了监督合规手册相关要求得到贯彻和执行，其中，评价检查频率分为每年、每半年、每季、每月、每周、每天、按需、不定期等，以此实施清单化监督。三是以电力交易机构组织架构、岗位设置为基础，识别各部门、各岗位涉及敏感数据的内控事项和依据，包括法律法规、上级监管等涉及相关岗位审查、审核、审批等权限的强制性要求，在此基础上，梳理不相容职务分离要求、发生频率、工作输出，实现岗位间的相互牵制，避免错误或舞弊行为发生，据此进一步提出各岗位对应业务事项的合规要求，编制岗位合规手册，构建岗位协同。通过内控、合规的管理要求、评价要求和岗位要求，明确监督的对象和内容，为机制构建打牢基础。详见图8。

第二，以数据资产为对象，明确敏感数据分类分级管理要求。对数据敏感特点分析后，本文认为敏感数据是人、数据、应用场景三者的有机结合和相互作用：人的因素主要体现在对数据拥有的权限上，超出权限拥有数据将导致一般数据变为敏感数据，或数据敏感性升级；其次是在不同场景（业务）下使用数据，当超范围使用数据时，同样将导致一般数据变为敏感数据，或数据敏感性升级。敏感数据分类分级的三大致因见图9。

因此，针对敏感数据特性和数据来源，对敏感数据进行梳理步骤如下：一是以电力交易机构现有数据资产为基础，基于人、场景（业务），以及现行法律法规、政策、标准、市场规则等文件认为具有相当的敏感度和风险性对数据资产进行分类分级，形成电力交易机构敏感数据基础库；二是结合电力交易机构员工职责权限、业务场景、业务链条，依照法律法规、政策、标准、市场规则等进行分析，进一步将电力交易机构涉及的数据分成外部获取的市场成员个人敏感信息和企业敏感数据，以及电力交易机构内部员工个人敏感信息和企业敏感数据（包含市场运营产生的各类敏感数据）；三是在上述基础上，按照数据的敏感性、隐私性等要求划分，将电力交易机构敏感数据划分为三级：一级是指高敏感数据，超范围使用或泄露会造成市场成员利益严重损失、市场秩序严重影响，或者自然人人格尊严、人身、财产安全受到严重危害的数据；二级是指超范围使用或泄露会造成市场成员利益一定损害、市场秩序不良影响，或者自然人人格尊严、人身、财产安全受到危害的数据；三级是指低敏感数据，按规则（制度）应该对外披露或可面向社会公开但还未到披露和公开时点的数据。

第三，以市场发展要求为边界，分析廉洁风险。结合电力市场的业务特点，结合各类敏感数据的特点，结合业务链条分析可能存在的廉洁风险情形，并将该类廉洁风险列为电力交易机构廉洁风险库的重点内容，将相关情形和事项作为电力交易机构党委（支部）党风廉政监督和关注重点，纳入网格化监督范围，与网格化监督协同防控市场新型廉洁风险。禁止数据信息出口和泄露的情形见图10。

4.3 全流程构建敏感数据监督工作机制，找准监督业务一体融合发力点

以推动、提升监督效能为出发点，电力交易机构党委（支部）制定了可制订相关实施方案，明确监督对象，按照“谁归口、谁管理”“谁接触、谁保密”“谁出口、谁报批”“谁泄密、谁负责”四项原则，建立敏感数据综合管理“六项机制”，从敏感数据管理全流程建立全方位监督网络，促进监督和业务融合充分发挥作用。

第一，敏感数据分级调整机制。在明确敏感数据范围后，进一步建立敏感数据分级调整机制。敏感数据事项、内容和明细的分级确定或调整，由数据归口部门根据数据敏感性、隐私性等要求统筹考虑，经相关党小组讨论研究后，报电力交易机构分管领导同意后确定或调整敏感数据级别。

第二，敏感数据共享机制。内部涉及敏感信息向外出口的，按照数据管理相关管理流程，遵循“谁出口、谁报批，谁泄密、谁负责”的原则履行数据信息出口审批程序。数据向公司内部部门之间共享的，三级、二级数据原则上由数据归口管理部门审核，一级数据还需由数据归口管理部门的公司分管领导审核。数据对外出口的，原则上由经办部门和经办人提出申请，按流程审核后提供，其中：二级、一级数据还需由数据归口管理部门的公司分管领导审批；三级数据由数据归口管理部门审批。敏感数据出口量特大、数据特别重要的事项，应提请公司总负责人审批。同时，信息管理相关部门通过信息化手段建立敏感数据出口审批电子化流程，自动形成审批管理台账，定期将台账提交支部纪检委员和合规部检查。数据共享审批流程见图11。

第三，敏感数据打听登记机制。发生敏感数据打听事项时，被打听人应在事件发生后尽快做好登记，并填写相关登记表，由部门负责人审核确认。具备条件的，被打听人应同步保存好文字、图片、录音、音像等相关资料，做到有据可查。如打听人是电力交易机构内部人员的，应确认是否履行敏感数据出口审批程序，未履行审批程序的如实登记。

第四，敏感数据打听报告机制。针对一级、二级敏感数据，被打听当事人应在登记后立即向公司合规管理部门报备，合规管理部门初步了解情况后立即向公司纪检委员报告。三级敏感数据，在数据尚未公开披露的情况下，被打听当事人应在登记后规定时间内向合规管理部门报备，合规管理部门初步了解情况在规定时间内向纪检委员报告。遇有出差等特殊情况不能及时报告的，可先通过电话、短信、公司许可的即时通讯工具等方式进行口头报告，在特殊情况消除后在规定时间内完成报备。敏感数据打听报告流程见图12。

第五，敏感数据打听检查机制。一是服务热线回听监督。通过定期对电力交易机构对外服务热线电话接听情况进行监督，对各业务部门坐席接听情况进行录音回听抽查，比例在5%～10%，其中，对业务重点部门的重点接听时段进行抽查，其余部门可随机抽查，并填写敏感数据打听监督情况登记表，在规定时间内向纪检委员报告。二是专项检查。根据敏感数据打听登记管理工作需要，经电力交易机构纪检委员同意，可由合规管理部门牵头开展合规专项检查。

第六，完善奖惩鼓励机制。电力交易机构各部门员工承担业务范围内敏感数据管理的主体责任，敏感数据打听登记事项纳入电力交易机构合规考核范围。对于严格遵守公司保密纪律的典型事迹和先进个人，予以表扬或表彰。对于违反电力交易机构敏感数据打听登记管理工作规定的人员，在日常数据处理中，部门或员工违反法律、行政法规规定，窃取或者以其他非法方式获取敏感数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，除依法承担相应法律责任外[6]，责令相关部门或个人整改，视情节轻重给予相应处理。

4.4 合规信息平台助力监督增效，提升监督数字化水平

基于“监督+”工作要求，一体整合监督、合规、内控和风险管理构建合规管理平台，将监督和业务从传统线下管理进一步向在线监督转型，关注电力市场化业务的廉洁风险，提升监督数字化水平。

第一，构建数据合规监督业务模型。基于敏感数据合规风险的量化分析，合规管理平台侧重于数据安全——敏感数据业务的合规风险管控，对相关合规义务和合规风险逐一分析，构建覆盖注册、交易、结算等关键合规风险的关键业务合规模型。在业务模型分析基础上，提炼业务和管理流程，形成可执行、可量化、可开发的合规指标库，为敏感数据数字化合规监测、合规分析判定和合规监督奠定基础。

第二，敏感数据实时监测。结合绿色能源数据中心建设，合规管理平台坚持前置预警、源头防范，从数据中心、业务系统获取历史关键时点交易数据、结算數据、市场主体基础数据、计量数据、管理数据等，基于敏感数据合规规则、合规风险点等与现有敏感数据（个人敏感数据、企业敏感数据）进行对照、核验，根据业务频率设置自动监测时点，自动扫描完成业务数据向敏感数据的分类分级，以及既定的合规风险。基于合规风险阈值、合规风险点和交易规则等与业务系统现有实时数据进行对照、计算、核验。

第三，加强系统信息权限管控。在实现信息化方式实时监测系统人员账号对应的权限配置清单基础上，公司纪检委员、合规管理部门可通过登陆系统进行权限配置合规性检查。

第四，开展系统日志检查。在实现通过信息化方式自动收集汇总电力交易机构业务系统、数据电力交易机构等系统运行日志基础上，可通过日志分析实时监测业务部门人员数据访问及下载情况。公司纪检委员、合规管理部门可通过登陆系统对数据访问情况进行检查监督。针对电力交易机构信息化程度高、创新能力强的特点，依托用户行为监督系统建设，增加“用户访问权限监测”“用户行为特征识别和异常监测”“异常监测任务和告警提示”等功能界面，通过对特征指标设置相应监测规则并实现异常行为的监测，采用信息化方式强化敏感数据的管控。

第五，敏感数据在线管理。基于合规管理平台大数据、精准、高效的监测信息反馈，将监督融入业务、岗位权限、现行法律法规等文件要求，合理区分合规预警事项和合规告警事项，对存在可能超权限、超范围、超法律规范规定查询、下载、分析等触及数据安全的行为进行提炼，设置预警事项，对已经产生相关违规违法行为，进行告警，及时通知纪检委员和合规管理部门加强管控。已经形成的合规事件，及时报告党委（支部）严肃调查和处置，实现风险的动态监督、评价与纠正。

5 结束语

本文通过监督业务一体融合的电力交易机构敏感数据综合管理研究，在调查研究基础上，发现问题，抓住主要矛盾，结合电力交易机构组织架构实际情况，将敏感数据合规监督的职责纳入现有合规管理组织体系，构建了“金字塔”监督模式；以此为基础，综合分析人、场景（业务），以及现行法律法规、政策、标准、市场规则等文件对数据敏感性的影响，对电力交易机构数据资产进行分类分级，形成电力交易机构敏感数据库，为建立分层分级、全流程监督机制奠定基础；并以合规为目标，积极探索敏感数据合规、监督数字化转型，实施监督“低感”“无感”，提高监督效率。

参考文献

[1] 焦罡.大数据环境下敏感数据资产梳理研究[J].中国科技信息，2020（18）：76-79.

[2] 余尘.企业合规方案及合规制度构建[J].中国律师，2022（1）：53-55.

[3] 黄莼.加快数字国企建设 实现高质高效发展[J].国资报告，2022（4）：36-39.

[4] 习近平.不断做强做优做大我国数字经济[J].先锋，2022（03）：5-7.

[5] 吴琼.论数据流通的民法调整[D].哈尔滨：黑龙江大学，2021.

[6] 中华人民共和国数据安全法[J].中华人民共和国全国人民代表大会常务委员会公报，2021（5）：951-956.

[作者简介]陈井锐（1986-），男，硕士研究生，研究方向：电力系统、电力市场等；杨怡静（1986-），女，硕士研究生，研究方向：经济学、电力市场等。