数据作为数字经济时代的关键生产要素,不仅是支撑企业数字化转型的基础,更直接关系到国家关键行业领域的安全稳定运行。能源行业作为国民经济命脉,其数据具有规模庞大、敏感性强的特征,行业数字化转型进程中,类似加拿大新斯科舍电力公司用户信息泄露事件[1]的勒索软件攻击、数据窃取等新型风险频发,更凸显了能源数据安全保护和治理工作的紧迫性。
国家能源局于2025年12月8日印发《能源行业数据安全管理办法(试行)》(以下简称《办法》),于2026年7月1日正式生效。本文将结合能源行业特性与法律实践,系统解读《办法》的立法逻辑与核心内容,旨在为能源行业企业提供系统性合规指引并提出可行性建议,实现企业数据安全与业务发展的协同推进。
一、《办法》的立法定位——特定行业的专项规范
我国现阶段的数据安全治理规范性文件体系由“法律+行政法规+部门规章+政策”构建而成。《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等上位法律法规的出台,已经为能源数据安全治理打好了制度基础。按法律渊源适用规则,《办法》与上位法律法规的相关规定适用原则为:特殊场景(如核心数据跨主体流动、能源央企双重监管等)适用《办法》专项规定;而对于数据安全的一般性要求,如风险评估、应急处置、通用处罚、刑事责任等内容优先适用上位法律法规。
能源企业在合规实践中,亦需建立、遵守“上位规范性文件+专项行业规范+企业制度”的三层合规体系,确保数据处理活动均有明确依据和指向结果。
二、《办法》的章节结构与核心内容框架
《办法》共六章三十七条,构建了“定义—分类—责任—数据保护与管理—监督检查—法律责任”完整链条,各章节核心要点如下:
第一章 总则(第一至五条)
├─ 适用范围界定
├─ 核心概念定义
└─ 数据分类分级制度
第二章 数据安全基本职责(第六至十一条)
├─ 国家能源局职责
├─ 省级能源主管部门职责
├─ 能源数据处理者职责
└─ 重要数据目录管理机制
第三章 数据保护要求(第十二至二十六条)
├─ 基础保护要求(适用全部数据处理者)
├─ 重要数据保护要求
└─ 核心数据保护要求
第四章 数据安全监测预警和应急处置(第二十七至三十一条)
├─ 监测预警机制
├─ 应急处置程序
└─ 报告制度
第五章 监督检查和法律责任(第三十二至三十四条)
第六章 附则(第三十五至三十七条)
三、《办法》的核心规定解析
(一)数据分类分级的行业化界定
《办法》明确将能源行业数据按“一般、重要、核心”进行三级分类,与国家标准《数据安全技术 数据分类分级规则》(GB/T 43697-2024)及《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166号)思路保持一致。
数据分级的直接意义在于其与防护标准挂钩。如:存储处理重要数据的信息网络需落实三级及以上网络安全等级保护要求,核心数据则需达到四级网络安全等级保护或关键信息基础设施安全保护标准(《办法》第十三条),而一般数据适用基础性安全保护要求即可。这一规定将《数据安全法》规定的数据分类分级保护制度与《网络安全法》规定的网络安全等级保护制度进行了有机衔接,为企业明确了技术防护的底线要求。
值得注意的是,该分类标准强调了数据的覆盖度、精度、规模、深度等具体维度,而非仅依据数据类型进行判断。这意味着同一类型的数据,在不同规模和精度下可能属于不同级别。例如,单个电力用户的用电数据可能是一般数据,但汇聚全国范围内达到一定规模和精度的用电数据则可能构成核心数据。
(二)建立重要数据目录机制
《办法》建立了“重要数据目录机制”,通过“企业编制+分级报送+动态更新”对企业拥有的能源数据实现全流程管控。
编制和报送重要数据目录是《办法》赋予企业的核心合规义务(《办法》第九条)。编制义务覆盖所有能源数据处理者,所有能源行业企业均需依据分类分级标准编制并报送目录。并且,能源央企各级子公司、控股企业还需履行“双报送”义务——向数据载体所在地省级能源主管部门及央企总部分别进行报送。目录需按年度更新,若数据级别、责任主体、处理情况等发生重大变化,需在三个月内重新报送。
尽管机制名为“重要数据目录”,但目录内容并不仅限于三级分类中的“重要数据”。具体而言,目录内容需涵盖数据类别、级别、规模、精度、来源、载体、对外共享、跨境传输、责任单位等字段,但并不包含数据内容本身。
(三)要求企业建立数据安全管理制度
《办法》针对能源数据处理特点,围绕数据收集、存储、使用、加工、传输、提供、公开、删除等关键环节,提出了明确的数据保护制度要求。
- 在存储环节,要求根据存储数据的分级安排匹配相应的网络安全保护等级(《办法》第十三条)。
- 在传输环节,涉及数据出境的,应严格遵循《数据安全法》《网络数据安全管理条例》等要求,明确重要数据出境需通过安全评估,同时结合能源行业数据跨境需求,预留了合规出境的实操路径(《办法》第二十三条)。涉及核心数据跨主体流动的,年度累计流动量若达到上一年度该项核心数据静态总量的30%及以上,需报国家能源局及有关部门组织风险评估;未达阈值的,也需经省级能源主管部门初步评估后报国家能源局。(《办法》第二十四条)。
- 在风险评估环节,要求重要数据处理者每年至少开展一次风险评估,并按省级能源主管部门要求报送风险评估报告(《办法》第十四条)。
- 在转移、销毁环节,应采取必要的安全保护措施,并履行事先报告程序(《办法》第二十二条)。
- 在风险防控预警与应急处置方面,《办法》要求企业发现数据安全缺陷、漏洞等风险时,应立即采取补救措施;在发生数据安全事件时,应立即采取处置措施,告知相关用户并向省级能源主管部门报告(能源央企下属企业同步报告总部);同时,《办法》还衔接了2025年11月1日生效的《国家网络安全事件报告管理办法》,要求企业完整留存处置记录与总结报告(《办法》第二十七条至三十一条)。
四、能源企业面临的合规挑战与应对路径
(一)合规挑战
当前我国能源企业数据资产管理工作在宏观方面的挑战,可以总结为以下两方面:
- 能源企业对于数据资产的精细化合规需求,与能源行业数据分类分级标准规范和重要数据识别申报规则尚未出台之间的结构性矛盾。在国家层面,各行业的数据分类分级标准规范和重要数据识别申报规则正在陆续出台中,已经发布规范、规则的有金融、医疗、通信、自然资源等行业,但并不包括能源行业。在缺乏明确指引的情况下,能源企业对于数据可能出现分类、分级不准确的情况[2]。
- 能源企业对于数据资产识别与保护的刚性需求,与能源企业数据管理能力不足之间的失衡。一是技术与管理能力双薄弱,部分企业在数据安全技术储备不足,缺乏数据专业设备与人才,难以满足《办法》提出的技术防护要求;部分企业的数据安全管理与业务流程脱节,制度执行流于形式,进一步加剧合规与保护的落地难度。二是企业在数据管理方面经验不足,导致数据合规成本与业务效率难以平衡:防护不足则易触碰合规红线;过度强化数据安全防护会增加成本,同时也可能导致数据共享流转受限,影响业务开展。
(二)合规应对路径
《办法》的公布实施,将推动能源企业能源数据安全治理实现体系化治理。在制度层面,《办法》搭建了“国家-地方-企业”三级合规体系框架。能源企业需要尽早形成“合规即业务、安全即价值”的理念,对数据要素价值、数据安全合规意义要有充分认知,从容应对《办法》提出的合规要求。当前距离《办法》正式施行尚有一段准备期,建议能源企业充分利用这一窗口,尽早启动并系统推进以下合规工作:
1.开展数据资产盘点与分类分级
数据盘点与分类分级是所有合规工作的基础。能源企业应提前梳理内部数据,待行业数据分级分类标准出台后,及时将数据按“一般、重要、核心”进行三级分类,并据此建立并动态维护本单位的“重要数据目录”。
2.建立健全组织与管理制度
能源企业应制定覆盖数据全生命周期的制定数据分类分级管理办法、重要数据目录编制规范、风险评估操作规程、应急预案等配套制度,形成覆盖全流程的制度体系。同时,落实数据安全责任制,企业法定代表人或主要负责人对数据安全负总责,设立数据安全负责人和管理机构,组建专业合规团队,具体负责数据安全合规工作。
3.加强数据安全技术储备投入
在技术层面,能源企业加大数据安全投入,部署数据脱敏、加密存储、访问控制、安全审计等技术工具,搭建数据安全监测平台,实现技术手段与制度要求的深度融合。
4.构建常态化风控与应急能力
能源企业须将数据安全风险管控升级为“常态化”运营。完善日常监测,开展定期培训与演练:对员工进行数据安全知识培训,提升合规意识;定期开展风险评估与应急演练,检验合规体系有效性;建立合规自查机制:定期对数据处理活动进行合规自查,及时发现并整改问题,形成自查报告留存备查。
5.强化外部协同与沟通
加强与监管部门的对接,主动向能源主管部门咨询合规疑问,及时报送相关材料,积极配合监管检查;推动行业协同,参与行业协会组织的合规交流活动;建立第三方服务商筛选体系,规范第三方合作,与第三方服务商在合作过程中共同成长。
五、结论
《能源行业数据安全管理办法(试行)》的发布,为能源行业建立了一套完整的数据安全治理框架。对能源企业而言,这一新规既是必须遵守的合规基线,也是提升数据治理能力的战略机遇。
在能源革命与数字技术深度融合的背景下,确保数据安全已成为推动行业高质量发展的基础条件。随着配套标准细则的不断完善、安全技术的持续创新以及行业协同机制的深化,能源行业有望在保障数据安全的前提下充分释放数据价值,实现安全与发展的良性互动,为构建新型电力系统和推进能源数字化转型提供坚实支撑。
注释:
[1] 360安全云《【突发】28万用户数据遭泄!加拿大电力巨头拒付赎金反遭黑客报复》
https://mp.weixin.qq.com/s/wQmTBrrAwEZO-AA1-9p79A
[2] 不过,根据中央网信办《数据出境安全管理政策问答(2025年5月)》规定,没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则,数据处理者也没有被有关部门告知应当进行重要数据识别申报的,未识别申报重要数据,未对相关数据进行重点保护,不会被认定为违反重要数据保护相关规定,不会因此受到行政处罚。
- 相关领域
- 新能源与碳中和
