党的二十大报告指出“加快建设网络强国、数字中国”“加快发展数字经济”。开展数据合规管理,保障数据安全合规流通,是落实数字中国建设的重要举措。国家电网有限公司大数据中心认真贯彻公司关于数据合规的部署和要求,着力构建“形势全跟踪、要求全落实、环节全嵌入、技防全覆盖”的数据合规管理体系,筑牢数据合规防线,为公司数字化转型和新型电力系统建设提供坚强保障。
落实国家战略
数据合规形势全跟踪
国网大数据中心作为国家电网公司数据管理专业机构,围绕业务开展数据合规分析,发挥数据安全合规的专业引领作用。
建立数据合规信息研究机制。跟进研究相关法律法规和政策文件,第一时间开展《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》及《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》等内容的解读研究,明确数据合规义务。聚焦热点事件,分析生成式人工智能的安全合规影响和风险,制订应对措施,形成专项报告。强化数据合规执法动态分析,明确易投诉及监管重点关注的业务场景,有针对性地发布数据合规预警。
营造数据合规文化氛围。将数据合规宣教纳入年度培训工作,建立覆盖全员及针对领导干部、重要岗位员工、新入职员工的多层次培训计划。丰富宣教形式,编制数据合规典型案例集,策划以案说法专题活动,提高全员数据合规意识。将数据合规内容纳入安规考试,让安全合规知识成为业务人员的必备技能,提高业务人员的数据合规能力。
明确刚性要求
数据合规要求全落实
国网大数据中心以数据合规“义务库”“风险库”“制度库”“指引库”为抓手,形成完备的数据合规管理制度规范,落实法律法规的刚性要求。
建立数据合规“义务库”和“风险库”。充分解读分析数据安全法、个人信息保护法等法律法规中的数据保护要求,识别数据主体、数据类型和数据处理场景,梳理26项数据合规义务,明确数据合规责任。在国家电网公司合规风险库的统一框架下,结合重点业务场景,制订数据合规风险评估要点。
建立数据合规“制度库”和“指引库”。结合数据接入、治理等业务特点,细化落实数据接入和使用合规要求、数据安全责任红线要求等,规范数据处理活动。对法律法规条款进行结构化、条目式梳理,编制数据业务安全合规作业指导书,形成业务“指引库”,保障业务合规操作。
服务业务发展
数据业务流程全嵌入
国网大数据中心将数据安全合规要求融入数据业务的全环节、全链条,形成跨部门的数据合规管理合力。
筑牢数据合规防线。业务部门开展数据处理活动时严格落实数据安全合规要求,建立数据合规“第一道防线”。数据合规管理部门审核数据安全合规要求落实情况及风险防控情况,建立数据合规“第二道防线”。监督执纪部门定期对业务部门和数据合规管理部门进行监督检查,建立数据合规“第三道防线”。
内嵌数据合规要求。梳理核心业务流程,分析数据处理关键业务节点和关键岗位。在关键业务节点,明确数据安全合规管理流程,明确关键岗位安全合规职责要求,促进业务工作流程和数据安全合规工作流程高效融合。上线数据安全合规管控平台,实现数据业务安全合规流程线上自动化流转。
多重机制防控数据合规风险。建立数据合规风险评估机制,在业务开展前提前识别和预警数据合规风险。建立数据合规审查审核机制,在产品发布、数据提供等业务重要环节,核查安全合规要求符合情况。建立数据合规监督检查机制,产品投运后,定期评估数据安全合规风险及安全合规体系有效性。
打造数据底座
安全技防措施全覆盖
国网大数据中心面向数据生命周期各环节业务场景,梳理数据资产,明确防护措施,加强流程管控和风险监测,防范数据泄露,打造数据业务的安全合规底座。
实施数据安全合规差异化防控策略。开展数据分类分级,围绕个人信息保护、公共利益保护和企业权益保护进行数据分类,根据数据重要性和泄露后的危害程度开展数据分级。重点针对核心数据、重要数据、用户个人信息,明确数据采、传、存、用各环节数据处理活动差异化、立体式安全要求和应对措施。
打造数据安全包容的安全技术生态。结合数据安全能力成熟度模型,研发应用针对数据处理各环节的数据安全技术装备,全面提升数据各环节风险应对能力,保障数据全生命周期安全。研究人工智能、区块链等技术在数据安全共享方面的应用。联合政务单位、金融机构,打造“供应链金融(数融e)”“数据资源目录区块链”等产品,对内助力数据贯通,对外面向政务需求及能源、金融等行业提供可信数据服务,助力电网数据价值释放。
(作者系 国家电网有限公司大数据中心主任、党委副书记)