一方面，数字技术的引入，将优化电力系统的能量流与业务流，电力系统的灵活性、开放性、交互性和共享性显著增强，电力系统将呈现更加智能、安全、可靠和高效的趋势。另一方面，随着数字技术与电力业务的逐渐融合，将不可避免对电力系统带来更为严峻的数据安全挑战。数据在收集、存储、使用、加工、传输、提供、公开等环节流通时均可能存在安全风险，数据安全将成为新型电力系统建设过程中不可忽视的重要安全风险。

        2021年6月10日，《中华人民共和国数据安全法》（以下简称“《数据安全法》”）由十三届全国人大常委会第二十九次会议审议通过，并已于9月1日起正式施行。在建设新型电力系统的背景下，这部法律将对能源企业平衡数据安全与数据开发利用等问题提出新的要求，有助于能源企业树立新的“数据安全观”。

        一是《数据安全法》提出“动态”的数据安全观，明确了数据安全与数据开发利用的内在关系。《数据安全法》提出的基本原则是，“坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展”，即坚持“发展”与“安全”并重，力求在动态的数据开发利用过程中促进数据安全，在确保数据安全的前提下开展数据的开发利用，从而实现数据开发利用和数据安全相互促进。

        二是《数据安全法》确立了数据安全相关的各项基本制度。《数据安全法》提出建立数据分类分级保护、数据安全风险评估、全流程数据安全管理、数据交易管理以及应急处置、信息共享、监测预警等方面的机制，并对数据跨境流动等行为进行了规范，力求通过建立健全各项制度提升我国数据安全领域全方位、全过程的保障能力。其中，数据分级分类管理制度的提出，是《数据安全法》的一大亮点和重点。在一般数据之外，《数据安全法》特别区分了“重要数据”和“核心数据”的概念，并要求加强对“重要数据”的保护，同时对“核心数据”实行更加严格的管理制度。

        三是《数据安全法》将数据安全问题提升至国家安全层面，并建立了责罚相适应、宽严相济的法律政策框架。《数据安全法》以法律的形式正式将数据安全上升到国家安全高度，并与《国家安全法》和《网络安全法》共同构成了我国国家安全的三大基础性法律。相比之前的草案，正式版本的《数据安全法》对违法行为的范围和处罚力度进行了调整，下调了一般违反情形下的罚金上限，减轻了一般违反情形对应的法律责任，有助于激励数据要素的开发利用。同时，与草案相比，《数据安全法》增设了对危及国家核心数据安全、向境外提供重要数据等重点违法情形的严苛责任条款，有利于形成差异化的法律责任配置，更好地划清业务红线。

        一是《数据安全法》提出“数据开发利用”与“数据安全”并重的基本原则，以及“全生命周期管理”的数据安全理念，为能源企业深入推进电力数据资源的开发利用和价值挖掘指明了方向。

目前外界普遍对数据安全问题存在一定认知误区，主要体现在：

        （1）数据安全保护理念落后。这类误区认为，传统的信息安全保障思路，仍然能够解决目前数据安全遇到的问题。这忽视了数据作为一种新型的生产要素在流通过程中能够创造的价值，缺乏以数据为中心的安全保护理念。（2）窄化数据安全保护目标。这类误区认为，数据安全保护就是保障数据的机密性、完整性和可用性，忽视了数据的产权问题。保护数据相关主体的权益也是数据安全保护的重要目标。（3）简化数据安全保护手段。这类误区认为，数据安全保护就是区域边界防护，只需要在区域边界采取身份鉴别、访问控制等技术手段就可以确保数据安全。这一认知忽视了数据具有流动性，需要通过数据脱敏、数据溯源、风险监测等技术手段，确保流通过程中数据安全可信。

        《数据安全法》坚持“安全”与“发展”并重的原则，鼓励各行各业对数据进行开发利用的商业创新，以及数据安全技术的研究与推广。能源企业开发数据产品、开展数据增值服务符合国家的政策导向。以《数据安全法》出台为契机，能源企业应当加快推进数据资源开发利用的步伐，积极释放能源数据的潜在价值。

        此外，《数据安全法》认为，数据安全并不局限于以数据存储安全为代表的静态数据安全，进而提出了“全生命周期管理”的数据安全理念，即在数据处理的所有环节（收集、存储、使用、加工、传输、提供、公开等）都应当确保数据安全。能源企业应当构建以数据为中心，由理念、制度、机制、技术等多个要素共同组成的数据安全综合防护体系。

        二是《数据安全法》为数据开发利用设立了规章制度和行为准则，建立健全数据安全合规制度、履行法律义务，成为能源企业在数字经济时代发展的应有之义。

        一方面，能源企业应当以《数据安全法》中的相关规定为指引，加快建立健全包括数据分类分级保护、数据安全风险评估、信息共享、监测预警、应急处置等在内的数据安全管理制度机制；另一方面，能源企业需要明确“重要数据”的安全负责人和管理机构，同时加强风险监测、定期开展风险评估、合法收集数据等工作，发生数据安全事件时需立即处理、告知用户，并向主管部门报告。

        三是《数据安全法》提出推进数据交易市场建设，有助于倒逼能源企业加快突破数据资产定价理论与方法，不断扩大能源数据交易规模，充分释放能源数据价值。

        数据资产化是近年来的热点话题，然而数据红利始终未能充分释放。原因之一是，数据在交易过程中缺乏相关的法律法规，数据交易机制不完善、中介服务商运营不规范、职责不清晰等问题长期存在；原因之二是，数据资产定价这一关键问题始终未能取得理论突破。上述两大因素的存在导致数据市场化交易的规模长期偏小、市场化交易的频次较低，全社会的数据要素价值始终未能充分释放。

        《数据安全法》对数据交易行为进行了全面规范，有助于激励相关主体参与到数据交易活动中。同时，也将倒逼能源企业加快突破数据资产定价理论与方法，选择部分产权清晰的能源数据作为定价试点，尽快参与数据交易活动，充分释放能源数据的价值。

        第一，构建以“数据”为中心，由理念、制度、机制、技术等多个维度共同组成的数据安全防护体系。

        从全生命周期管理的角度，掌握能源数据在收集、存储、使用、加工、传输、提供、公开等环节的流转情况。重视通过数据治理、风险识别等手段，实现数据脱敏、数据溯源及相应的风险监测。同时加快试点安全多方计算、联邦学习等先进技术，确保数据在动态流通过程中的安全可信。

        第二，加快建立数据安全风险评估机制和数据应急处置机制。

        在数据安全风险评估方面，虽然具体评估机制的主管机构、适用范围、评估审查模式等配套制度尚未明确，但能源企业仍有必要提早部署数据安全风险评估工作。建议由业务主管部门牵头并协调其他部门，建立数据安全风险评估机制，同时定期发布《能源数据安全风险评估报告》，并及时向主管部门报告相关数据安全风险情况，并选择部分不敏感和非涉密内容向社会公布。在数据应急处置方面，建议参考《生产安全事故应急预案管理办法》等法规，由业务主管部门和安全主管部门共同编制《能源数据应急处置方案》，明确企业在发生数据安全重大风险时，及时启动相应工作流程和资源配置。

        第三，加大能源数据资产定价理论、方法攻关。

        由于数据资产具有无形化、虚拟化等特性，传统单一维度的资产价值评估方法（如：市场法、收益法、成本法等）对于数据资产定价的指导作用有限。建议能源企业加大数据资产基础理论研究，在成本法、市场法、价值法等基础定价方法的基础之上，结合具体的交易场景形成一套操作性强的数据资产组合定价方法，以满足企业开展数据交易的需要。