《能源行业数据安全管理办法（试行）》解读

2025年12月8日，国家能源局发布《能源行业数据安全管理办法（试行）》[1]（以下简称“《管理办法》”），《管理办法》共六章三十七条，自2026年7月1日起施行，有效期5年。《管理办法》是《中华人民共和国数据安全法》和《网络数据安全管理条例》在能源行业的细化落实，适用于在中国境内开展能源行业数据处理活动及其安全监督管理。

依据《管理办法》第三条第二款，能源行业数据，是指在开展能源活动中收集和产生的数据。能源活动主要包括与能源[2]相关的规划、设计、建设、生产、储运、消费、科研等。例如，电网、充电基础设施等的规划、建设、运维、管理等活动。与城市燃气、供热、加油站等能源活动相关的数据，则应遵守有关主管部门规定。

《管理办法》规范能源数据处理者开展非涉密能源行业数据处理活动。能源数据处理者，是指开展能源行业数据处理活动的能源行业各类单位，其在相关数据处理活动中自主决定数据处理目的和处理方式。能源行业数据处理活动包括能源行业数据的收集、存储、使用、加工、传输、提供、公开、删除等。能源数据处理者开展涉及国家秘密或由其汇聚关联后属于国家秘密事项的能源行业数据处理活动时，应遵守《中华人民共和国保守国家秘密法》等法律、行政法规的规定。

开展能源行业数据安全保护工作，遵循数据分类分级保护基本制度框架。根据数据重要性、精度、规模、安全风险等，能源行业数据分为一般、重要、核心三级。国家能源局负责全国能源工作，其负责组织制定和发布能源行业数据分类分级标准规范，审核并确定能源行业重要数据目录，向有关部门提出核心数据目录建议并实行动态管理，加强能源行业数据安全监测预警和应急处置能力建设。

能源数据处理者负有识别、申报重要数据的法定义务。省级能源主管部门负责对本地区能源行业数据处理活动和安全保护进行监督管理。国务院国资委管理的能源企业（简称“能源央企”）负责对其各级子公司、控股企业的数据处理活动和安全保护进行监督管理，能源央企各级子公司、控股企业接受总部与所在地省级能源主管部门的“双重监管”。根据《管理办法》第九条，能源数据处理者依照能源行业数据分类分级标准规范，识别并编制本单位能源行业重要数据目录，按照数据载体所在地省级能源主管部门要求报送重要数据目录。能源央企各级子公司、控股企业编制的能源行业重要数据目录，应按照数据载体所在地省级能源主管部门和能源央企要求分别报送（“双报送”）。办法并未对“数据载体”进行定义，我们理解，“数据载体”应当是指“存储处理数据的物理载体（介质）和信息系统”，能源行业重要数据目录申报工作并未按照机构所在地确定唯一接收部门，而是按照“数据载体所在地”，这有利于能源主管部门有效掌握“物理层面”的属地重要数据处理情况。

根据《管理办法》，重要数据目录报送内容包括但不限于数据类别、级别、规模、精度、来源、载体、适用范围、对外共享、跨境传输、安全情况及责任单位等数据字段信息，不包括数据内容本身。省级能源主管部门、能源央企分别负责汇总审核本地区、本企业的能源行业重要数据目录，并报送国家能源局。对确认为重要数据和核心数据的，省级能源主管部门、能源央企应及时告知能源数据处理者。我们理解，中央网信办《数据出境安全管理政策问答（2025年5月）》有关数据处理者重要数据保护责任免除的相关说明同样适用于能源行业，即，没有发布行业、领域的数据分类分级标准规范和重要数据识别申报规则，数据处理者也没有被有关部门告知应当进行重要数据识别申报的，未识别申报重要数据，未对相关数据进行重点保护，不会被认定为违反重要数据保护相关规定，不会因此受到行政处罚。

能源数据处理者若被告知涉及处理能源行业重要数据、核心数据，应依法依规履行重要数据和核心数据处理者数据安全保护责任义务，包括但不限于：

（1）明确数据安全负责人和管理机构。本单位法定代表人或者主要负责人是数据安全第一责任人（“直接负责的主管人员”），分管数据安全的领导是直接责任人。在数据法领域，长期以来，“双罚制”贯穿《网络安全法》《数据安全法》等适用的数据安全保护法律法规，一定程度上促使企业管理层重视本单位数据保护合规工作，《管理办法》亦特别明确要求“能源行业重要数据、能源行业核心数据的处理者应建立数据安全工作体系，加强人员和经费保障”。

（2）自行或委托第三方开展每年至少一次的能源行业数据安全风险评估[3]，并报送风险评估报告。风险评估报告应当准确、清晰地描述评估活动的主要内容，具体包括但不限于数据处理者基本信息，评估团队基本情况，开展数据处理活动的情况及其合规性评价，处理的能源行业重要数据的种类、数量，面临的数据安全风险及其应对措施，风险评估结论和整改建议等要素。

（3）数据处理全生命周期安全管控。数据处理者应按照“业务需要”和“最小授权”原则设定数据处理权限，综合采取加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护，并做好数据安全风险监测预警、数据安全事件应急处置和报告等工作。特别是对于“数据共享”“数据调用”等高敏感行为，应进行定期监测，并配备风险隔离、认证鉴权、威胁告警等安全保护措施。委托他人处理或者与他人共同处理能源行业重要数据的，委托人应当提前告知受托人数据等级，数据安全责任不因委托而改变，应与受托方通过合同等形式约定数据安全保护义务责任，监督其履行数据安全保护义务。

（4）核心数据的处理者跨不同法人主体提供、转移、共享核心数据的，应采取必要的安全保护措施，并告知数据接收方按照对应级别进行分类分级保护，根据自当年度1月1日所提供核心数据是否可能累计达到“上一年度末该项核心数据静态总量的30%”的标准，报国家能源局及有关部门组织风险评估。

（5）落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。网络安全是数据安全的基石，数据处理者应采取必要措施，使网络处于稳定可靠运行的状态，保障数据的完整性、保密性、可用性。依据《管理办法》，存储处理能源行业重要数据的信息网络应落实三级及以上网络安全等级保护要求。存储处理能源行业核心数据的信息网络，如涉及关键信息基础设施，应在网络安全等级保护制度的基础上，落实关键信息基础设施安全保护要求；不涉及关键信息基础设施的，应落实四级网络安全等级保护要求。根据《网络安全法》《关键信息基础设施安全保护条例》等法律法规，关键信息基础设施运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。于2026年1月1日生效施行的《网络安全法》，强化了关键信息基础设施的运营者网络安全保护义务，运营企业不履行网络安全保护义务，造成关键信息基础设施丧失主要功能等特别严重危害网络安全后果的，将面临最高一千万元罚款。

（6）涉及能源行业重要数据的信息系统供应商管理。数据处理者涉及使用云计算服务处理能源行业重要数据的，可以选择通过云计算服务安全评估的云计算服务。第三方受托开展涉及能源行业重要数据的信息系统建设、运维项目的，未经委托方批准，不得将项目转包、分包，未经委托方明确授权，受托方不得处理委托方重要数据。对受托方在涉及能源行业重要数据的信息系统建设、运维过程中收集、产生的数据，不得用于其他用途，服务完成后应按照与委托方约定处理或者及时删除。能源行业核心数据的处理者，可以对涉及核心数据信息系统建设和运维单位等，依法依规提交公安机关、国家安全机关进行国家安全背景审查，加强核心数据保护。

目前，工业、电信、金融、自然资源等主管部门已出台本行业、本领域数据管理办法，随着国家数据治理经验的丰富，相关行业、领域数据分类分级标准规范和重要数据识别申报规则也将陆续出台，建议相关数据处理者及时了解和跟进行业主管部门数据处理监管动态，开展机构内部的数据分类分级工作，做好合规准备。

注释

[1]https://www.nea.gov.cn/20251212/f8ee9d3f829641cb9cc4f1e9405e794a/c.html

[2]根据《中华人民共和国能源法》（2024年11月8日公布，2025年1月1日生效）第二条规定，能源，是指直接或者通过加工、转换而取得有用能的各种资源，包括煤炭、石油、天然气、核能、水能、风能、太阳能、生物质能、地热能、海洋能以及电力、热力、氢能等。

[3]根据《管理办法》第十五条规定，能源行业数据安全风险评估重点评估以下内容：（一）能源行业重要数据和核心数据识别认定的基本情况、所处安全状态及风险分析；（二）数据处理活动是否合法、正当、必要；（三）数据安全负责人、管理机构、岗位配备和职责履行情况；（四）全流程数据安全管理制度及保障机制的建立和落实情况；（五）数据处理活动相关人员管理和教育培训情况；（六）国家数据分类分级保护制度落实情况，以及对能源行业重要数据和核心数据保护要求落实情况；（七）数据安全技术防护能力建设及应用情况；（八）已发生的数据安全案事件和处置情况，以及数据安全风险监测预警工作落实情况；（九）涉及数据提供、转移、委托处理、共同处理的，数据接收方的安全保障能力、责任义务约束和履行情况；（十）其他涉及数据安全的有关情况。

作者介绍

周杨律师曾任职于国内著名互联网企业法律合规部，于2014年开始聚焦于网络安全和数据保护领域，受托处理了包括金融、房地产、能源、游戏、电子商务、零售和人工智能在内诸多行业领域的数据合规专项法律服务。

在数十家企业的专项数据合规服务项目中，周律师为客户提供了高效且贴合实际的解决方案，以其专业、勤勉的工作态度，以及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评。

在钱伯斯2024和2025年度的大中华区榜单中，客户对周律师的服务态度和服务质量作出了高度评价，“周杨律师非常擅长处理复杂的数据合规事务，有能力对复杂法律问题的长期、跨领域影响进行考虑和规划。”“她拥有很强的专业能力，对行业和监管动态非常敏感”“周杨律师很灵活，从意想不到的角度看待问题，这对我们解决难题非常有帮助”。

目前，周杨律师担任的社会职务包括：中国通信学会第一届网络空间安全战略与法律委员会委员、中国网络空间安全协会人工智能安全治理专业委员会委员、中国法学会会员及中国行为法学会数据要素专班成员、北京市律协数字经济与人工智能领域法律专业委员会委员、北京市朝阳区律师协会科技创新与数字经济研究会委员和南财经政法大学硕士生校外导师。

刘瑞华毕业于外交学院，取得法律硕士学位，于2022年取得中国法律职业资格，2024年加入竞天公诚律师事务所北京办公室，业务领域为网络安全与数据保护合规。

声明：本文来自北京市竞天公诚律师事务所，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。