引言
《能源行业数据安全管理办法(试行)》(以下简称“《能源数安办法》”)于2025年12月8日由国家能源局正式印发,并将于2026年7月1日起施行。
能源是国民经济的基础,能源基础设施一旦遭受网络攻击,可能导致大面积停电、油气供应中断等重大安全事故,影响国计民生。而能源数据的敏感性与能源相关关键基础设施属性密切相关。例如电网运行数据、油气管道地理信息、核电站运行参数等,一旦泄露可能直接威胁国家安全。随着能源企业数字化转型加速,能源行业数据采集和使用范围扩大,能源数据对国家安全、经济运行和社会稳定的影响不断增强,能源数据安全风险也随之增加。在此背景下,作为能源行业落实《中华人民共和国数据安全法》(以下简称“《数据安全法》”)的首个规范性文件,《能源数安办法》的出台意味着我国能源数据安全监管正从分散化、普适性向行业化、精细化治理转型。本文将深入解读《能源数安办法》的核心内容、实施意义,并结合与金融、工信、汽车、自然资源等行业数据安全管理规范进行横向对比,以期为能源企业合规建设提供实务参考。
一、应势而生:《能源数安办法》的立法要旨和适用范围
《数据安全法》第六条第二款规定,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。此前,汽车、工业、金融、自然资源等领域的主管部门已相继出台数据安全管理办法,但除了电力行业印发了《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》等法律文件,能源行业整体的数据安全监管长期处于行业制度空白状态。
国家能源局有关负责人在答记者问中表示,为规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,国家能源局故制定了《能源数安办法》[1]。值得注意的是,该立法目的并非单纯限制数据流动,而是在保障安全的前提下,鼓励数据的创新应用,寻求发展与安全之间的平衡。这与当前我国数字经济发展的战略方向一致,体现了在能源安全与数字经济发展之间寻求平衡的立法考量。
《能源数安办法》适用于在中华人民共和国境内开展的能源行业数据处理活动及其安全监督管理。能源行业数据是指在开展能源活动中收集和产生的数据。能源活动的范围涵盖能源相关上下游的各个环节,包括与能源相关的规划、设计、建设、生产、储运、消费、科研等。但是,由于《能源数安办法》中的主管部门明确为国家能源局和省级能源主管部门,从国家能源局的职责范围出发,《能源数安办法》中的能源行业数据不包含城市燃气、供热、加油站等能源活动相关的数据,从事相关能源活动的企业应当遵守其行业主管部门的规定。
此外,《能源数安办法》规定“能源数据处理者,是指开展能源行业数据处理活动的能源行业各类单位”。开展包括能源行业数据的收集、存储、使用、加工、传输、提供、公开、删除等处理活动的各类单位(包括受委托处理单位),均应在处理活动中遵守《能源数安办法》的有关要求。
二、提纲挈领:《能源数安办法》核心内容深度剖析
《能源数安办法》共六章三十七条,其核心内容可概括为以下几个方面:
(一)能源行业数据的分类分级管理
1.能源行业数据的分类分级规范和识别工作
数据的分类分级是数据安全管理的基础。与《数据安全法》同样,《能源数安办法》将能源行业数据分为一般数据、重要数据和核心数据三级[2],并对重要数据和核心数据的保护提出特殊要求。值得注意的是,《能源数安办法》确立了以“数据重要性、精度、规模、安全风险等”[3]作为数据分级的基准,同时特别规定:“仅影响组织自身或公民个体的能源行业数据,一般不作为能源行业重要数据”,避免了数据分类分级扩大化,也体现了能源数据重在保护公共利益和国家安全的属性。
对于分类分级识别工作,《能源数安办法》规定“能源数据处理者应依照能源行业数据分类分级标准规范,识别并编制本单位能源行业重要数据目录”[4],而国家能源局有关负责人在答记者问中强调,国家能源局后续将组织制定和发布能源行业数据分类分级标准规范,便于能源数据处理者精准识别并保护能源行业重要数据和核心数据。因此,理论上能源数据处理者可以在国家能源局制定和发布能源行业数据分类分级标准规范的基础上进行识别。
2.重要数据目录的形成机制
根据《能源数安办法》的规定,我们理解重要数据目录形成机制包括识别和报送、汇总审核、确认及告知。
(1)识别和报送
能源数据处理者是识别和报送工作的责任主体,需依据能源行业数据分类分级标准规范,完成本单位重要数据目录的识别与编制。
在报送的对象上,《能源数安办法》遵循属地管理与分级负责相结合的原则,能源数据处理者应当按要求向数据载体所在地省级能源主管部门报送;其中能源央企各级子公司、控股企业需履行双重报送义务,在向数据载体所在地省级能源主管部门报送的同时,还需向能源央企总部报送。发生重大变化的,应在三个月内重新按程序报送。
报送内容包括但不限于数据类别、级别、规模、精度、来源、载体、适用范围、对外共享、跨境传输、安全情况及责任单位等字段,不得包含数据内容本身。
(2)汇总审核
省级能源主管部门与能源央企分别承担本地区、本企业重要数据目录的汇总审核职责,审核完成后需报送国家能源局。
(3)确认和告知
国家能源局经程序确认的能源行业重要数据和核心数据,省级能源主管部门、能源央企应及时告知对应的能源数据处理者。
(二)构建数据安全责任体系
《能源数安办法》构建了“国家—省级—数据处理者”三级责任体系,明确了各主体的职责与权利义务。其中,能源行业重要数据和核心数据的处理者对自身的数据安全负主体责任,应明确数据安全负责人和管理机构,法定代表人或主要负责人是数据安全第一责任人,分管数据安全的领导是直接责任人。
此外,《能源数安办法》还特别规定能源央企负责对其各级子公司、控股企业的数据处理活动和安全保护进行监督管理,体现了能源行业垂直监管的特殊性。这一垂直监管体系是能源行业的特色制度设计,要求央企集团对子公司数据安全进行穿透式管理,确保全集团数据安全合规。
(三)明确数据安全保护义务
《能源数安办法》对能源数据处理者提出了具体数据安全保护义务,除前述分类分级管理和安全责任体系之外,还包括:
建立健全本单位数据安全管理制度,明确数据全生命周期各环节的管理要求,定期组织开展能源行业数据安全知识和技能教育培训等。
应采取必要数据安全技术手段,并落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求,确保能源行业重要数据、核心数据处于有效保护和合法利用的状态。
发现数据安全缺陷、漏洞等风险时,应立即采取补救措施;发生数据安全事件时,应立即采取处置措施,按照规定及时告知相关用户并向省级能源主管部门报告。
此外,针对能源行业的重要数据处理者、核心数据处理者,《能源数安办法》还提出了更高的合规要求,即能源行业重要数据处理者、核心数据处理者在数据安全保护中还应当:
建立数据安全工作体系,加强人员和经费保障,并配合有关部门开展监督检查工作。
存储处理能源行业重要数据的信息网络应落实三级及以上网络安全等级保护要求;存储处理能源行业核心数据的信息网络,如涉及关键信息基础设施,应在网络安全等级保护制度的基础上,落实关键信息基础设施安全保护要求;不涉及关键信息基础设施的,应落实四级网络安全等级保护要求。
自行或者委托具有风险评估能力的第三方评估机构,对本单位数据处理活动每年至少开展一次风险评估,及时整改风险问题,并按省级能源主管部门要求报送风险评估报告。
加强对数据共享、调用的安全管控,采取技术措施定期监测数据共享、调用情况,并配备风险隔离、认证鉴权、威胁告警等安全保护措施。
应按照业务需要和最小授权原则,依据岗位职责设定数据处理权限,控制重要数据的接触范围,发生人员变动时应及时调整权限。
委托他人处理或者与他人共同处理能源行业重要数据的,委托人应当提前告知受托人数据等级,数据安全责任不因委托而改变。能源行业重要数据信息系统建设、运维应遵守规定。
涉及安全事件处置、溯源的,相关日志留存时间不少于一年。涉及向他人提供、委托处理、共同处理能源行业重要数据的,相关日志留存时间不少于三年。
对涉及重要数据出境、核心数据跨主体转移,应按有关规定要求申请风险评估。
三、他山之石:能源行业与其他行业数据安全规则横向探析
为深入理解《能源数安办法》的特殊性和共性,本文将从数据分类分级、数据跨境流动、技术要求、责任体系的角度,将其与金融等行业数据安全管理办法进行对比梳理,以便更清晰地把握能源行业数据安全的特点和要求。
四、未雨绸缪:能源企业合规路径与风险防控策略
《能源数安办法》自2026年7月1日起施行,我们建议企业应抓住当前的窗口期,以分类分级为起点,系统性构建数据安全合规体系。具体如下:
(一)开展数据梳理与预分类分级工作
虽然如前所述,国家能源局尚未发布能源行业数据分类分级标准规范,但考虑到能源行业数据的重要程度,各地各级主管部门的管理口径差异和实施后要求落实的时间周期等因素,我们建议当前能源企业可以提前布署对自身的数据和处理活动的预梳理工作,明确数据的来源、类型、规模、精度、存储位置等关键信息,并参考《能源数安办法》的分级基准以及《数据安全技术 数据分类分级规则》(GB/T 43697-2024)中数据分类分级的普适性规则,对本企业可能涉及的重要数据、核心数据及其处理活动和管理状况等进行初步确认,为《能源数安办法》实施后的识别和报送工作做好准备。对于难以界定级别的数据,建议聘请专业机构或咨询监管部门,确保分类分级的准确性。同时,建立重要数据目录动态更新机制,及时跟踪数据级别和处理情况的变化,按要求完成目录报送。
(二)完善数据安全管理制度与组织架构
能源企业应根据《能源数安办法》要求,建立健全数据全生命周期安全管理制度,明确收集、存储、使用、加工、传输、提供、公开、删除等各环节的管理要求。同时,能源企业还需明确数据安全负责人和管理机构,配备专业人员,保障数据安全工作的经费投入,并定期组织开展数据安全知识和技能教育培训,提升员工的数据安全意识和操作水平。能源央企需特别加强对各级子公司、控股企业的监督管理,确保全集团数据安全管理标准统一、执行到位。
此外,能源企业还应当进行第三方合作风险管理。针对委托处理、共同处理重要数据场景,在合同中明确约定受托方安全义务、违约责任和监督审计权利,并对涉及重要数据的信息系统建设、运维项目未经批准转包或分包设置禁止性条件。
鉴于能源央企在能源产业链中通常涉及大量重要数据,为其上下游提供设备供应、运维服务等支撑的企业,均应结合《能源数安办法》等相关法规要求提前开展合规布局,其中能源活动的上下游境外企业或外资企业还需重点评估数据出境的合规性,具体包括数据出境的必要性论证、出境数据的本地存储义务履行、数据出境的技术安全保障措施落实等核心事项。需特别说明的是,此类上下游企业即便未作为独立的数据处理者,而仅处于委托处理关系中的受托方地位,仍应严格对照监管规定明确自身数据安全责任边界,提前完善合规管理体系与技术防护能力,确保全流程数据处理活动符合法律要求。
(三)强化技术防护能力建设
企业应根据数据级别落实相应的技术防护要求,存储处理重要数据的信息网络需完成三级及以上等保测评;存储处理核心数据的信息网络需按要求落实四级等保或关键信息基础设施安全保护要求。同时,企业还需加强数据加密、鉴权、认证、安全审计、漏洞扫描等技术手段的应用,定期开展技术防护设备的升级和维护,确保数据处于有效保护状态。
(四)数据传输合规
1. 数据跨境传输
《能源数安办法》第二十三条规定,重要数据出境需通过国家网信部门安全评估。能源企业应提前规划出境合规工作,评估是否存在非必要数据出境情况,如果涉及数据出境,企业应准备评估申报材料,包括数据出境目的、范围、方式、接收方安全保障能力等,并采用脱敏、匿名化等技术降低出境风险。
2. 核心数据跨主体流动管控
《能源数安办法》第二十四条设立了核心数据跨主体流动的分级评估机制:年度累计流动量达到上年静态总量30%及以上时,需报请国家能源局组织国家级风险评估;未达30%的,由省级能源主管部门评估。因此,企业在核心数据的管控上,可以建立核心数据流动台账管理制度,实时监控流动量,并提前规划重大数据共享项目,为风险评估预留时间。
(五)规范风险评估与应急处置流程
企业应建立常态化风险评估机制,每年至少开展一次重要数据、核心数据处理活动的风险评估,及时发现并整改风险隐患,按要求报送风险评估报告。同时,企业还需制定数据安全应急预案,明确应急处置流程、责任分工和保障措施,定期开展应急演练,提升应对数据安全事件的能力。若发生数据安全事件,需立即采取处置措施,及时告知相关用户并向省级能源主管部门报告。
(六)数据资源开发与利用
在能源数据资源开发与利用上,应坚持 “安全为先、权利保障、合规使用、资产赋能” 的导向,确保数据来源的合法性,以数据分类分级保护为基础,严格落实全生命周期安全管控措施,同时依法保障数据处理者、数据主体的合法权利,规范数据采集、共享、交易等流转行为,明确各方权利义务边界,防范数据权利纠纷。
在此前提下,能源企业可依托合法合规的流通机制挖掘数据价值,探寻数据资源产品化、资产化、资本化的路径,将合规可控的能源数据转化为可量化、可运营的数据资产,既实现数据安全与数据价值的动态平衡,又为行业数字化转型与高质量发展提供可持续的资产支撑。
五、行稳致远:总结与展望
《能源数安办法》的实施将重塑能源数据安全治理格局,为能源行业数据安全提供制度规范,同时也对能源企业的数据处理活动提出了明确要求。《能源数安办法》的实施将对能源企业产生深远影响,在能源数字化转型的背景下,数据安全既是底线要求,也是发展保障。只有实现安全与发展的有机平衡,才能充分释放能源数据的价值,推动能源行业高质量发展。能源企业应充分了解《能源数安办法》的监管导向,以分类分级为起点,构建全流程数据安全合规体系,切实履行数据安全主体责任。同时,企业需关注后续分类分级标准规范等配套文件的出台,及时调整合规策略。
注:文章首发于微信公众号“律商视点”
注释
[1] 国家能源局:国家能源局有关负责同志就《能源行业数据安全管理办法(试行)》答记者问,https://mp.weixin.qq.com/s/yXZEQlgRMzmsIyDyZVEmJw,访问日期:2025年12月22日。
[2] 能源行业重要数据是指特定领域、特定群体、特定区或达到一定精度和规模的能源行业数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的能源行业数据,一般不作为能源行业重要数据。
能源行业核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的能源行业重要数据,一旦被非法使用或共享,可能直接影响政治安全。主要包括:关系国家安全重点领域的数据,关系国民经济命脉、重要民生和重大公共利益的数据,经评估确定的其他能源行业数据。
能源行业一般数据是指能源行业重要数据、能源行业核心数据之外的其他能源行业数据。
[3] 《能源数安办法》第四条
[4] 《能源数安办法》第九条
