國家能源局關于印發《能源行業數據安全管理辦法(試行)》的通知
各有關單位:
為落實《中華人民共和國數據安全法》等法律法規,我局制定了《能源行業數據安全管理辦法(試行)》,現予印發,自2026年7月1日起施行。
國家能源局
2025年12月8日
能源行業數據安全管理辦法(試行)
第一章 總 則
第一條 為規范能源行業數據處理活動,加強數據安全管理,防范數據安全風險,促進數據開發利用,保護個人、組織的合法權益,維護國家安全和發展利益,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國能源法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規,制定本辦法。
第二條 本辦法適用于在中華人民共和國境內開展能源行業數據處理活動及其安全監督管理。
能源數據處理者開展涉及國家秘密或由其匯聚關聯后屬于國家秘密事項的能源行業數據處理活動時,應遵守《中華人民共和國保守國家秘密法》等法律、行政法規的規定。
第三條 本辦法所稱數據,是指任何以電子或者其他方式對信息的記錄。
本辦法所稱能源行業數據,是指在開展能源活動中收集和產生的數據。能源活動主要包括與能源相關的規劃、設計、建設、生產、儲運、消費、科研等。與城市燃氣、供熱、加油站等能源活動相關的數據應遵守有關主管部門規定。
本辦法所稱能源數據處理者,是指開展能源行業數據處理活動的能源行業各類單位。能源行業數據處理活動包括能源行業數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。
本辦法所稱數據安全,是指通過采取必要措施,確保能源行業數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
第四條 根據數據重要性、精度、規模、安全風險等,能源行業數據分為一般、重要、核心三級。
能源行業重要數據是指特定領域、特定群體、特定區域或達到一定精度和規模的能源行業數據,一旦被泄露或篡改、損毀,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全。僅影響組織自身或公民個體的能源行業數據,一般不作為能源行業重要數據。
能源行業核心數據是指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的能源行業重要數據,一旦被非法使用或共享,可能直接影響政治安全。主要包括:關系國家安全重點領域的數據,關系國民經濟命脈、重要民生和重大公共利益的數據,經評估確定的其他能源行業數據。
能源行業一般數據是指能源行業重要數據、能源行業核心數據之外的其他能源行業數據。
第五條 鼓勵能源數據處理者積極開展能源行業數據創新應用,在保障安全合規的情況下促進數據開發利用。
第二章 能源行業數據安全基本職責
第六條 在國家數據安全工作協調機制統籌協調下,國家能源局負責能源行業數據安全監督管理,督促指導各省、自治區、直轄市和新疆生產建設兵團能源主管部門(以下簡稱省級能源主管部門)開展數據安全監督管理,督促指導國務院國資委管理的能源企業(以下簡稱能源央企)和國家能源局指導監管的全國性能源行業協會依法依規履行能源數據處理者責任義務,組織制定和發布能源行業數據分類分級標準規范,審核并確定能源行業重要數據目錄,向有關部門提出核心數據目錄建議并實行動態管理,加強能源行業數據安全監測預警和應急處置能力建設。
第七條 省級能源主管部門負責對本地區能源行業數據處理活動和安全保護進行監督管理,督促指導本地區能源數據處理者(含能源央企在本地區的各級子公司、控股企業)依法依規履行能源數據處理者責任義務,按照能源行業數據分類分級標準規范,編制并按年度更新報送本地區能源行業重要數據目錄,開展本地區能源行業數據安全監測預警、信息報送、制定應急預案、開展應急處置等工作。
第八條 能源數據處理者應依法依規履行數據安全保護責任義務。能源行業重要數據和能源行業核心數據的處理者對自身的數據安全負主體責任,應明確數據安全負責人和管理機構,本單位法定代表人或者主要負責人是數據安全第一責任人,分管數據安全的領導是直接責任人。能源央企負責對其各級子公司、控股企業的數據處理活動和安全保護進行監督管理。
第九條 能源數據處理者應依照能源行業數據分類分級標準規范,識別并編制本單位能源行業重要數據目錄,按照數據載體所在地省級能源主管部門要求報送重要數據目錄。能源央企各級子公司、控股企業編制的能源行業重要數據目錄,應按照數據載體所在地省級能源主管部門和能源央企總部要求分別報送。
重要數據目錄報送內容包括但不限于數據類別、級別、規模、精度、來源、載體、適用范圍、對外共享、跨境傳輸、安全情況及責任單位等數據字段信息,不包括數據內容本身。
第十條 省級能源主管部門、能源央企分別負責匯總審核本地區、本企業的能源行業重要數據目錄,并報送國家能源局。對按程序確認為能源行業重要數據和能源行業核心數據的,省級能源主管部門、能源央企應及時告知能源數據處理者。
第十一條 上一次報送重要數據目錄后,能源行業重要數據、核心數據的級別、責任主體情況、數據處理情況、數據安全情況內容發生重大變化的,能源數據處理者應在三個月內重新按程序報送重要數據目錄。
第三章 能源行業數據保護要求
第十二條 能源數據處理者開展數據處理活動,應建立健全數據安全管理制度,明確數據全生命周期各環節的管理要求;定期組織開展能源行業數據安全知識和技能教育培訓。能源行業重要數據、能源行業核心數據的處理者應建立數據安全工作體系,加強人員和經費保障,并配合有關部門開展監督檢查工作。
第十三條 利用互聯網等信息網絡開展能源行業數據處理活動的,應落實網絡安全等級保護、關鍵信息基礎設施安全保護、密碼保護和保密等制度要求。
存儲處理能源行業重要數據的信息網絡應落實三級及以上網絡安全等級保護要求。
存儲處理能源行業核心數據的信息網絡,如涉及關鍵信息基礎設施,應在網絡安全等級保護制度的基礎上,落實關鍵信息基礎設施安全保護要求;不涉及關鍵信息基礎設施的,應落實四級網絡安全等級保護要求。
法律法規和國家有關規定要求使用商用密碼進行保護的,還應遵守商用密碼保護有關規定。
第十四條 能源行業重要數據的處理者應自行或者委托具有風險評估能力的第三方評估機構,對其數據處理活動每年至少開展一次風險評估,及時整改風險問題,并按省級能源主管部門要求報送風險評估報告。省級能源主管部門、能源央企應將本地區、本企業數據安全風險評估情況按年度報送至國家能源局。
風險評估報告應當準確、清晰地描述評估活動的主要內容,具體包括但不限于數據處理者基本信息,評估團隊基本情況,開展數據處理活動的情況及其合規性評價,處理的能源行業重要數據的種類、數量,面臨的數據安全風險及其應對措施,風險評估結論和整改建議等要素。
第十五條 能源行業數據安全風險評估重點評估以下內容:
(一)能源行業重要數據和核心數據識別認定的基本情況、所處安全狀態及風險分析;
(二)數據處理活動是否合法、正當、必要;
(三)數據安全負責人、管理機構、崗位配備和職責履行情況;
(四)全流程數據安全管理制度及保障機制的建立和落實情況;
(五)數據處理活動相關人員管理和教育培訓情況;
(六)國家數據分類分級保護制度落實情況,以及對能源行業重要數據和核心數據保護要求落實情況;
(七)數據安全技術防護能力建設及應用情況;
(八)已發生的數據安全案事件和處置情況,以及數據安全風險監測預警工作落實情況;
(九)涉及數據提供、轉移、委托處理、共同處理的,數據接收方的安全保障能力、責任義務約束和履行情況;
(十)其他涉及數據安全的有關情況。
第十六條 能源行業重要數據的處理者在重要數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等環節,應綜合運用加密、鑒權、認證、脫敏、校驗、審計等技術手段進行安全保護。
第十七條 能源行業重要數據的處理者,應按照業務需要和最小授權原則,依據崗位職責設定數據處理權限,控制重要數據的接觸范圍,發生人員變動時應及時調整權限。
第十八條 能源行業重要數據的處理者應加強對數據共享、調用的安全管控,采取技術措施定期監測數據共享、調用情況,并配備風險隔離、認證鑒權、威脅告警等安全保護措施。
第十九條 委托他人處理或者與他人共同處理能源行業重要數據的,委托人應當提前告知受托人數據等級,數據安全責任不因委托而改變。委托方應嚴格審批明確受托方的數據處理權限和保護責任,監督受托方履行數據安全保護義務。受托方應依照法律、法規的規定和合同約定履行數據安全保護義務,不得擅自留存、使用、泄露或者向他人提供能源行業重要數據。
涉及使用云計算服務處理能源行業重要數據的,可以選擇通過云計算服務安全評估的云計算服務,并遵守本管理辦法有關要求。
第二十條 未經委托方批準,涉及能源行業重要數據的信息系統建設、運維項目不得轉包、分包。
未經委托方明確授權,涉及能源行業重要數據信息系統建設、運維人員不得處理委托方的重要數據。
對涉及能源行業重要數據的信息系統建設、運維過程中收集、產生的數據,不得用于其他用途,服務完成后按照與委托方約定處理或者及時刪除。
第二十一條 能源行業重要數據處理活動應記錄維護數據安全所需的日志,涉及安全事件處置、溯源的,相關日志留存時間不少于一年。涉及向他人提供、委托處理、共同處理能源行業重要數據的,相關日志留存時間不少于三年。
能源行業重要數據的處理者在組織數據安全風險評估時,應對其數據查詢、下載、修改、刪除等重點操作的日志開展審計分析,發現違規或者異常行為應采取相應處置措施。
第二十二條 能源行業重要數據的處理者因合并、分立、解散、被宣告破產等原因需要轉移、銷毀能源行業重要數據的,應采取必要的安全保護措施,并事前向省級能源主管部門報告數據處置方案。引起重要數據目錄變化的,應及時向數據載體所在地省級能源主管部門報備。
第二十三條 在我國境內收集和產生的能源行業重要數據,確需向境外提供的,能源數據處理者應依法依規申報數據出境安全評估。
第二十四條 能源行業核心數據的處理者跨不同法人主體提供、轉移、共享核心數據的,應采取必要的安全保護措施,并告知數據接收方按照對應級別進行分類分級保護。自當年度1月1日起可能累計達到上一年度末該項核心數據靜態總量30%及以上的,應經國家能源局報有關部門組織風險評估;未達到30%的,由省級能源主管部門提出初步評估意見,報國家能源局開展評估。涉及國家機關依法履職、國家機關或企事業單位內部流動的能源行業核心數據除外。
第二十五條 能源行業核心數據的處理者在落實以上能源行業重要數據保護要求的基礎上,可以采取以下措施加強對能源行業核心數據的保護:
(一)優先使用商用密碼進行保護;
(二)優先使用安全可信的產品和服務;
(三)優先使用第三方評估機構開展風險評估;
(四)涉及核心數據安全事件處置、溯源的相關日志,留存時間不少于三年;
(五)對相關關鍵崗位人員、涉及核心數據信息系統建設和運維單位等,依法依規提交公安機關、國家安全機關進行國家安全背景審查。
第二十六條 不同類別、級別數據同時被處理且難以分別采取保護措施的,應按照其中級別最高的要求實施保護,確保數據集整體持續處于有效保護和合法利用的狀態。
第四章 能源行業數據安全監測預警和應急處置
第二十七條 省級能源主管部門、能源央企應分別加強本地區、本企業能源行業數據安全監測預警和應急處置能力建設,指導本地區數據處理者和能源央企各級子公司、控股企業做好風險監測、事件處置和報告等工作,強化對新技術新應用的能源行業數據安全風險研究和評估,強化對公開渠道數據匯聚、關聯后可能引發能源行業數據安全風險的監測能力。
第二十八條 能源數據處理者發現數據安全缺陷、漏洞等風險時,應立即采取補救措施;發生數據安全事件時,應立即采取處置措施,按照規定及時告知相關用戶并向省級能源主管部門報告,其中,能源央企各級子公司、控股企業應同步向能源央企總部報告。
風險監測預警的內容應包括:風險基本情況、可能產生的危害和程度、風險演化發展態勢、可能影響的范圍、處置風險的對策建議及其他應報告的情況。
事件情況報告的內容應包括:事件發生時間、事件簡要經過、造成的危害和影響、已采取的措施、下一步對策建議及其他應報告的情況。
第二十九條 本地區、本企業發生能源行業數據安全事件時,省級能源主管部門、能源央企應根據事件級別依法啟動應急預案,采取相應應急處置措施,防止危害擴大,消除安全隱患,并及時向社會發布與公眾有關的警示信息。
第三十條 省級能源主管部門、能源央企發現可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全,以及直接影響政治安全的重大或者特別重大的能源行業數據安全風險、事件,應于發現或者得知后1個工作日內將有關情況報送國家能源局,并按要求進行續報。緊急情況下可以通過電話聯系方式及時報告,隨后補報書面報告。國家能源局負責按規定向有關部門報告相關情況。
第三十一條 省級能源主管部門、能源央企完成重大或者特別重大能源行業數據安全應急處置工作后,應及時總結提煉經驗,并于3個工作日內形成處置情況報告,于10個工作日內形成總結報告,分別報送國家能源局。國家能源局負責按規定向有關部門報送總結報告。
第五章 監督檢查和法律責任
第三十二條 國家能源局和省級能源主管部門應當依照《網絡數據安全管理條例》有關規定,對能源行業數據安全工作進行監督檢查。
第三十三條 國家能源局和省級能源主管部門在履行數據安全監督管理職責中,發現數據處理活動存在較大安全風險的,可以按照規定權限和程序約談相關能源數據處理者,要求采取措施進行整改,消除隱患,并將問題線索及時移送有關主管部門。
第三十四條 對于違反本辦法規定的行為,有關主管部門按照《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規規定予以處理處罰;構成犯罪的,移送司法機關依法追究刑事責任。
第六章 附 則
第三十五條 開展涉及個人信息的數據處理活動,還應遵守有關法律法規的規定。
第三十六條 本辦法由國家能源局負責解釋。
第三十七條 本辦法自2026年7月1日起施行,有效期5年。
