政策发布与适用范围 - 国家能源局于2025年12月8日印发《能源行业数据安全管理办法（试行）》，该办法自2026年7月1日起施行，有效期5年 [2][3][28] - 本办法适用于在中华人民共和国境内开展的能源行业数据处理活动及其安全监督管理 [5] - 能源行业数据是指在能源相关活动中收集和产生的数据，包括规划、设计、建设、生产、储运、消费、科研等环节 [6] - 能源数据处理者是指开展能源行业数据处理活动的各类单位，其活动包括数据的收集、存储、使用、加工、传输、提供、公开、删除等 [6] 数据分类分级与管理职责 - 根据数据重要性、精度、规模、安全风险等，能源行业数据分为一般、重要、核心三级 [7] - 重要数据指一旦泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据 [7] - 核心数据指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接影响政治安全 [7] - 国家能源局负责能源行业数据安全的监督管理，组织制定分类分级标准，审核确定重要数据目录，提出核心数据目录建议 [10] - 省级能源主管部门负责本地区数据安全监督管理，编制并按年度更新报送本地区重要数据目录 [10] - 能源数据处理者需识别并编制本单位重要数据目录，按要求报送至省级能源主管部门或能源央企总部 [11] 数据处理者的核心责任与保护要求 - 重要数据和核心数据的处理者负主体责任，需明确数据安全负责人和管理机构，单位法定代表人或主要负责人是第一责任人 [11] - 能源数据处理者需建立健全数据安全管理制度，明确数据全生命周期管理要求，并定期开展安全教育培训 [13] - 存储处理重要数据的信息网络需落实三级及以上网络安全等级保护要求 [14] - 存储处理核心数据的信息网络，如涉及关键信息基础设施，需落实关键信息基础设施安全保护要求；不涉及的，需落实四级网络安全等级保护要求 [14] - 重要数据的处理者每年至少开展一次数据处理活动风险评估，并及时整改风险问题 [15] - 重要数据的处理者在数据处理各环节需综合运用加密、鉴权、认证、脱敏、校验、审计等技术手段进行安全保护 [17] - 重要数据的处理者需按照最小授权原则设定数据处理权限，控制数据接触范围 [17] - 委托处理重要数据时，委托方需提前告知受托方数据等级，并监督其履行保护义务，数据安全责任不因委托而改变 [19] - 未经委托方批准，涉及重要数据的信息系统建设、运维项目不得转包、分包 [20] - 重要数据处理活动需记录安全日志，涉及安全事件处置、溯源的日志留存不少于一年；涉及数据提供、委托处理的日志留存不少于三年 [21] - 核心数据的处理者跨法人主体提供、转移、共享核心数据，自当年1月1日起累计量可能达到上一年度末静态总量30%及以上的，需经国家能源局报有关部门组织风险评估；未达30%的，由省级能源主管部门提出初步评估意见报国家能源局评估 [20][21] - 核心数据的处理者可在重要数据保护要求基础上，对关键岗位人员等依法依规提交公安机关、国家安全机关进行国家安全背景审查 [21] 数据跨境与安全事件处置 - 在我国境内收集和产生的重要数据，确需向境外提供的，能源数据处理者应依法依规申报数据出境安全评估 [23] - 能源数据处理者发现数据安全缺陷、漏洞等风险时，应立即采取补救措施；发生数据安全事件时，应立即处置并按规定报告 [22] - 省级能源主管部门、能源央企发现可能直接危害国家安全等的重大或特别重大数据安全风险、事件，应于1个工作日内报送国家能源局 [23] - 完成重大或特别重大安全事件应急处置后，省级能源主管部门、能源央企需在3个工作日内形成处置情况报告，10个工作日内形成总结报告报送国家能源局 [23] 监督检查与合规鼓励 - 国家能源局和省级能源主管部门可对数据安全工作进行监督检查，发现较大安全风险时可约谈相关数据处理者要求整改 [24] - 对于违反本办法的行为，将依据《数据安全法》《网络安全法》等相关法律法规处理处罚；构成犯罪的，依法追究刑事责任 [24][25] - 鼓励能源数据处理者在保障安全合规的情况下积极开展数据创新应用，促进数据开发利用 [9]