數字化與網絡安全系列
隨著全球能源行業數字化的進程的加速推進,對於能源數據的安全需求日益遞增,作為保障民生的重要行業,能源數據安全將會是數字化建設的重中之重。交能網整合國際上能源數據安全相關研究報告,為您獻上與能源數據安全、數據加密、監管架構的【網絡安全】新系列。關注公眾號,持續獲得該系列最新推送。
在本文寫作的時候,華為在加拿大的風波暫時性地落幕,一切的紛紛擾擾,都與大數據安全的擔憂密不可分。德國聯邦總統施泰因邁爾於12月7日在我國四川大學演講,談及數據安全問題時也指出:
“.......我們德國人可能要比其他人更為謹慎。我們看到未來數字化的巨大機遇。我們希望並且我們將參與這一技術的發展。但我們也為數字化的倫理問題絞盡腦汁,尤其是如果涉及到個人數據和監管 ....... 問題在今天比任何時候都更為迫切:異化還是解放?更多的監控和管制?讓少數人掌握更多權力,還是通過數字的、全世界範圍內都觸手可及的思想理念去創造更多平等機遇?...... " (德國印象譯)數據隱私為什麼在歐盟、特別在德國一直受到重視?在能源大數據的框架下,我們又該如何應對?讓我們從德國的歷史開始講起。
數據安全起源:黑暗中世紀
中世紀對於歐洲而言可謂是黑暗的一千年:羅馬教廷利用拉丁文的聖經,以教義為綁架,以文字為壁壘,限制著歐洲老百姓的思想;打著掃除異教徒的名目,依靠衛道士監控著一切。歐洲能從中世紀走出,離不開一位名叫馬丁路德的德國人。作為一名牧師,他公開在教堂前以九十五條論綱(Disputatio prodeclaratione virtutis indulgentiarum)質疑羅馬教廷的綱領。為了方便教義在大眾中的流傳,他將聖經翻譯成了現代德語。於是”上帝“對於德國人來說,不再是隻能從教堂腐朽教士口中聽說的故事,而是每個人都可以去了解、不受他人干預與監視、隨時隨地都能思考的概念。
德國數據安全:二戰之後的反思
那為什麼現在德國的數據安全治理,和美國還是存在差異呢(德國與俄羅斯、我國一樣,對於網絡數據的儲存地有著明確的規定)?話又要說到二戰後東德的短短歷史。面對著國內經濟形勢的不斷惡化,以及處於冷戰最前線的巨大壓力,東德當局採取了納粹黨類似的做法——斯塔西(Ministerium fuer Staatssicherheit, Stasi)監視著普通百姓生活的方方面面,涵蓋日常生活、工業生產、藝術創作、教會活動等等種種情報。一共積累了長達112公里的書寫材料,47公里的膠片材料,140萬張圖片和幻燈片,16.9萬份影像資料,碎片材料1.55萬袋 。紐約時報甚至宣傳,每6.5個東德人裡就有一個告密者。這樣高壓的背景對幾代德國人,無論是東德的直接受害者,還是他們在西德的血肉同胞,都產生了深遠的影響。在德國統一之後,富有反思精神的德國人一直試圖避免重蹈覆轍。讓數據的安全,人的隱私、尊嚴,從制度層面就得到規範化的保護。
數據安全核心:個人數據的隱私權
無論是否在能源領域,大數據框架中考慮的核心要素永遠是個人數據的安全。這已經在歐盟信息保護條例(EU-DSGVO)中有著明確的規定。除了個人隱私以外,在能源經濟中,匿名數據(無歸屬者)、工業設備信息也是需要統籌考慮的兩大組成部分。
歐盟信息保護規定中考慮到個人信息,比我們日常想到的個人姓名、電話範圍大了不少:
“......任何能直接或者間接確定到一個自然人的信息,特別直接與ID編號系統綁定,能確定自然人物理性、生物性、心理性、經濟性、社會性、文化性特徵的信息......”儘管在生產生活中存在著許多表面看起來不含個人信息的數據,即所謂的無主匿名數據,比如匿名數據(Anonymen Daten)或者僅僅與暱稱相關(假名數據,PseudonymisiertenDaten),但通過特定的數據技術分析與追逐的方法,依然可以追蹤到個人的特徵。這樣的數據依然可以考慮存在於數據保護框架的範圍內。而對於工業設備、企業生產方面的信息,因為不與自然人直接產生聯繫,歐盟也沒有做出明確的規定,業界實際應用的數據保護規則也種類繁多。
圖-1 數據安全的三個維度
除了EU-DSGVO外,在德國本土法律框架內原來還有德國聯邦數據保護法(Bundesdatenschutgesetz,BDSG)和測量設備運行法(Messstellenbetriebs-gesetz, MSBG)。在2018年5月18日EU-DSGVO生效後,將成為BDSG的上位法,德國也及時對本國的法律做出了修訂。從設計上,EU-DSGVO考慮到以下幾點:
1. 數據保護的義務
2. 規則設置上保護數據隱私;規則默認保護隱私,而無需額外確認(Privacy by Design und Privacyby Default);
3. 數據保護效力的影響評估
4. 數據刪除的權力
5. 數據轉移的權力
除此以外,在EU-DSGVO的框架下,在特定領域(例如能源經濟中)數據的安全保護可以用條例的形式單獨公佈。數據的使用,無一例外必須與明確的業務目的綁定,這與業界目前流行的大數據挖掘存在衝突,就是在歐洲參與能源經濟的企業需要注意的問題。
測量設備運行法(Messstellenbetriebs-gesetz, MSBG)作為EU-DSGVO的下位法,同時與能源變革數字法(Gesetz zur Digitalisierungder Energiewende, GDEW) 緊密相連。這部法律直接指導著智能測量設備(如智能電錶)的數據使用。對設備的信息技術安全、數據保護、數據操作交互提出了具體技術要求。所有涉及的測量設備,需在聯邦信息技術安全署(BSI)認證通過。MSBG貫徹了之前提到的“規則設置上保護數據隱私”原則,即(Privacy by Design)。為了體現數據使用有業務需要為依據的支撐,在MSBG的第三部分——智能能源數據通訊規則中,對使用數據的對象、方式、類型、時間等都做出了規定。數據使用的對象不限於以下幾種:
· 表計服務商
· 電網企業
· 結算平衡單元負責人
· 結算協調人
· 直接上網發電個人(據德國可再生能源法EEG)
· 能源供應商
數據的實際產權人(例如接入智能電錶的電力用戶)根據測量設備運行法可以向數據採集使用相關方要求提供數據使用情況、使用目的等信息。相關方提供這些信息的時候,不得向產權人收取任何費用。
圖2-德國某數據使用方向客戶提供的信息使用說明郵件
在實際實施的過程中,測量設備運行法的核心要素為以下幾個方面:
1. 在能源經濟相關的應用上,在測量設備運行法認可的數據服務商可以使用用戶個人數據。
2. 數據的獲取和使用,必須得到用戶的同意。
3. 用戶有對數據使用的知情權,並且使用過程可以被追溯及透明公佈。
4. 能源數據服務商有義務配合監管當局。
相比與其它使用用戶數據的工業領域,能源經濟方面歐盟的立法與實施走在了前面。歐盟在數據保護條例的框架下,希望透過這一領域的例子,給通訊領域、智能家居、智能駕駛等領域數據保護的具體實施給出典範型的參考。
雖然能源大數據的安全框架,對於電錶服務商之類的商業模式創新會或多或少產生阻礙,但這是數據時代大背景下的必然之路。尤其是對於德國這樣一個對於個人信息高度重視,歷史上有過經驗和教訓的國家而言,也可謂順理成章。安全框架的實踐,對於我國能源信息化建設,以及國內相關廠商開闊國外市場,都有不小的參考價值。
Steinmeier(2018): Besuch der Sichuan-Universitaet in China
Müller-EnbergsH. (993): IM-Statistik 1985–1989. In: BF informiert 3/93, BStU, Berlin 1993, S.55.
Wikipedia (2018): Ministerium fuer Staatssicherheit
Dena (2018): Datenschutz und Datensicherheit - Statusquo, Herausforderungen und Handlungsbedarf im Rahmen der Digitalisierung derEnergiewirtschaft, S.6-12.
BDSG(2018): Bundesdatenschutzgesetz,§ 71 Datenschutz durch Technikgestaltung.
MSBG(2018): Messstellenbetriebs-gesetz,§53 Informationsrechte des Anschlussnutzers
聯繫作者: [email protected]
交能網諮詢團隊提供能源電力領域專業的 數據分析 | 行業諮詢 | 中歐對接
請聯繫本文作者瞭解更多詳情
版權說明交能網訂閱號原創內容包括能源電力行業資訊焦點挖掘、新興技術分析與市場動態研究 等內容,轉載需註明原作者及來源,請在後臺留言或聯繫小編。本文部分圖片及內容提煉、摘取或翻譯自其它參考來源,版權歸原作者所有
閱讀更多 交能網 的文章
