2022年11月,国内某省份的电力企业"北方电力"收到了来自省通信管理局的一封通知——有用户投诉其在某贷款App上收到精准推送的广告,广告内容涉及该用户家庭用电量的详细数据。更诡异的是,这些推送中不仅包括了该用户近三个月的月度用电量,还包括了工作日和周末的用电峰值时段的对比分析,广告文案精准到"贵户周末日间用电量比工作日高38%,这段空调用电量,或许说明您的家庭对电气设备负担有一定压力"。
这个广告推送背后的贷款App,通过分析用户的用电习惯来判断其经济状况和还款能力。而提供这些用户用电数据的,正是北方电力在一项"电力大数据分析服务"中委托的第三方分析公司"智电科技"。
北方电力作为一家省级电网企业,掌握着省内超过五百万户居民和企业的智能电表数据。这些数据包括每15分钟采集一次的用电量、峰值功率、用电时段分布等,通过这些数据可以反推居民的家庭人数、作息习惯、家用电器配置甚至经济收入水平。北方电力在2019年启动了一项"智慧用电大数据分析"项目,将部分脱敏后的用电数据提供给智电科技,委托其进行居民用电行为分析,目的是优化电网负荷调度和制定分时电价策略。双方签署了保密协议,明确约定数据仅用于协议规定的分析用途,智电科技不得将数据用于任何其他目的或提供给任何第三方。
然而,智电科技内部的数据管理体系存在严重漏洞。该公司数据部门的一名数据工程师陈某,在参与北方电力项目时发现了一个"商机"——居民用电数据的分析价值远远超出电价优化范畴,完全可以用于消费金融、保险定价和社会信用评估等商业场景。陈某利用自己在智电科技的高权限,将北方电力的脱敏数据与从其他渠道获取的实名信息进行关联匹配,重新识别出了数据主体的身份。之后,他通过一家注册在外的空壳公司,将这些包含身份信息在内的用电数据包装成"用户信用评估数据包",分别出售给了多家消费金融公司和网络贷款平台。
更值得关注的是,陈某的违规行为持续了整整一年半,北方电力对此一无所知。智电科技虽然每个月都会向北方电力提交数据分析报告,但报告只包含经过汇聚处理后的统计结果,不涉及底层数据的去向核查。北方电力也没有在合同中要求智电科技接受独立的第三方数据使用审计。双方的合作建立在"信任"而非"可验证"的基础上。
事情败露后,省通信管理局对北方电力处以了300万元的行政罚款,并要求其对所有外包数据项目进行专项整改。智电科技被责令停业整顿,相关责任人被依法追究刑事责任。陈某因侵犯公民个人信息罪被判处有期徒刑三年,并处罚金。然而,经济损失可以计算,用户信任的损失却是难以衡量的。北方电力在事件曝光后,社交媒体上的负面舆情持续了数周,大量用户质疑电网企业将敏感用电数据用于商业目的,尽管事实上北方电力并没有主动违规。
这起案件揭示了能源数据安全中的一个核心矛盾——数据的所有者和数据的实际控制者是分离的。北方电力作为数据的法定拥有者,有责任保护用户数据的隐私和安全,但数据交给智电科技分析后,实际控制权就转移到了合作方手中。如果合作方的内部管理不到位,数据所有者就要承担连带的法律风险和声誉损失。据中国信息通信研究院2023年发布的报告,超过45%的数据泄露事件涉及第三方数据处理方,其中能源行业的数据外包风险尤为突出。
智能电表数据的敏感性被许多企业低估。很多人认为用电量数据是"低敏感"信息,不像身份证号、银行账户那样直接关乎财产安全。但事实上,用电行为数据是高度个性化的,通过机器学习模型可以反推出极其丰富的生活信息——独居还是合住、是否有老人小孩、作息规律、是否外出远行、经济条件等。这些信息的商业价值极高,同时也意味着隐私风险极高。
电力企业在推进大数据应用的同时,应当对外包数据分析建立更严格的管控机制。首先,应坚持"数据可用不可见"原则,采用联邦学习、多方安全计算等隐私计算技术,让合作方在不接触原始数据的情况下完成分析任务。其次,应当在合同中设立独立的第三方数据审计条款,定期核查合作方的数据使用情况,确保数据没有被超出授权范围使用。第三,建立用户数据使用的透明化机制,向用户清晰说明哪些数据被收集、用于何种目的、与哪些第三方共享。
北京企密安信息安全技术有限公司
/ 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
