12月12日�,國家能源局印發的《能源行業數據安全管理辦法(試行)》指出�����,能源數據處理者開展數據處理活動����,應建立健全數據安全管理製度��,明確數據全生命周期各環節的管理要求�;定期組織開展能源行業數據安全知識和技能教育培訓。能源行業重要數據���、能源行業核心數據的處理者應建立數據安全工作體係�����,加強人員和經費保障��,並配合有關部門開展監督檢查工作。
以下為原文
國家能源局關於印發《能源行業數據安全管理辦法(試行)》的通知
(國能發規劃規〔2025〕108號)
各有關單位:
為落實《中華人民共和國數據安全法》等法律法規����,我局製定了《能源行業數據安全管理辦法(試行)》����,現予印發�,自2026年7月1日起施行。
國家能源局
2025年12月8日
能源行業數據安全管理辦法(試行)
第一章 總 則
第一條 為規範能源行業數據處理活動���,加強數據安全管理��,防範數據安全風險���,促進數據開發利用����,保護個人�、組織的合法權益��,維護國家安全和發展利益�����,根據《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國能源法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規��,製定本辦法。
第二條 本辦法適用於在中華人民共和國境內開展能源行業數據處理活動及其安全監督管理。
能源數據處理者開展涉及國家秘密或由其彙聚關聯後屬於國家秘密事項的能源行業數據處理活動時���,應遵守《中華人民共和國保守國家秘密法》等法律�、行政法規的規定。
第三條 本辦法所稱數據����,是指任何以電子或者其他方式對信息的記錄。
本辦法所稱能源行業數據���,是指在開展能源活動中收集和產生的數據。能源活動主要包括與能源相關的規劃�、設計�、建設����、生產���、儲運���、消費�、科研等。與城市燃氣��、供熱��、加油站等能源活動相關的數據應遵守有關主管部門規定。
本辦法所稱能源數據處理者����,是指開展能源行業數據處理活動的能源行業各類單位。能源行業數據處理活動包括能源行業數據的收集�����、存儲��、使用����、加工����、傳輸���、提供���、公開���、刪除等。
本ben辦ban法fa所suo稱cheng數shu據ju安an全quan���,是shi指zhi通tong過guo采cai取qu必bi要yao措cuo施shi�,確que保bao能neng源yuan行xing業ye數shu據ju處chu於yu有you效xiao保bao護hu和he合he法fa利li用yong的de狀zhuang態tai�,以yi及ji具ju備bei保bao障zhang持chi續xu安an全quan狀zhuang態tai的de能neng力li。
第四條 根據數據重要性�����、精度�、規模���、安全風險等����,能源行業數據分為一般��、重要�����、核心三級。
能源行業重要數據是指特定領域����、特定群體����、特定區域或達到一定精度和規模的能源行業數據����,一旦被泄露或篡改��、損毀����,可能直接危害國家安全�����、經濟運行�、社會穩定�、公共健康和安全。僅影響組織自身或公民個體的能源行業數據���,一般不作為能源行業重要數據。
能源行業核心數據是指對領域�����、群體����、區域具有較高覆蓋度或達到較高精度���、較大規模�����、一定深度的能源行業重要數據���,一旦被非法使用或共享�,可能直接影響政治安全。主要包括:關係國家安全重點領域的數據��,關係國民經濟命脈����、重要民生和重大公共利益的數據�����,經評估確定的其他能源行業數據。
能源行業一般數據是指能源行業重要數據��、能源行業核心數據之外的其他能源行業數據。
第五條 鼓勵能源數據處理者積極開展能源行業數據創新應用�����,在保障安全合規的情況下促進數據開發利用。
第二章 能源行業數據安全基本職責
第六條 在國家數據安全工作協調機製統籌協調下���,國家能源局負責能源行業數據安全監督管理�,督促指導各省�����、自治區�����、直轄市和新疆生產建設兵團能源主管部門(以下簡稱省級能源主管部門)開展數據安全監督管理����,督促指導國務院國資委管理的能源企業(以下簡稱能源央企)heguojianengyuanjuzhidaojianguandequanguoxingnengyuanxingyexiehuiyifayiguilvxingnengyuanshujuchulizhezerenyiwu���,zuzhizhidinghefabunengyuanxingyeshujufenleifenjibiaozhunguifan���,shenhebingquedingnengyuanxingyezhongyaoshujumulu�����,xiangyouguanbumentichuhexinshujumulujianyibingshixingdongtaiguanli��,jiaqiangnengyuanxingyeshujuanquanjianceyujingheyingjichuzhinenglijianshe。
第七條 省級能源主管部門負責對本地區能源行業數據處理活動和安全保護進行監督管理�,督促指導本地區能源數據處理者(含能源央企在本地區的各級子公司�����、控股企業)依(yi)法(fa)依(yi)規(gui)履(lv)行(xing)能(neng)源(yuan)數(shu)據(ju)處(chu)理(li)者(zhe)責(ze)任(ren)義(yi)務(wu)���,按(an)照(zhao)能(neng)源(yuan)行(xing)業(ye)數(shu)據(ju)分(fen)類(lei)分(fen)級(ji)標(biao)準(zhun)規(gui)範(fan)�����,編(bian)製(zhi)並(bing)按(an)年(nian)度(du)更(geng)新(xin)報(bao)送(song)本(ben)地(di)區(qu)能(neng)源(yuan)行(xing)業(ye)重(zhong)要(yao)數(shu)據(ju)目(mu)錄(lu)�,開(kai)展(zhan)本(ben)地(di)區(qu)能(neng)源(yuan)行(xing)業(ye)數(shu)據(ju)安(an)全(quan)監(jian)測(ce)預(yu)警(jing)��、信息報送�����、製定應急預案����、開展應急處置等工作。
第八條 能(neng)源(yuan)數(shu)據(ju)處(chu)理(li)者(zhe)應(ying)依(yi)法(fa)依(yi)規(gui)履(lv)行(xing)數(shu)據(ju)安(an)全(quan)保(bao)護(hu)責(ze)任(ren)義(yi)務(wu)。能(neng)源(yuan)行(xing)業(ye)重(zhong)要(yao)數(shu)據(ju)和(he)能(neng)源(yuan)行(xing)業(ye)核(he)心(xin)數(shu)據(ju)的(de)處(chu)理(li)者(zhe)對(dui)自(zi)身(shen)的(de)數(shu)據(ju)安(an)全(quan)負(fu)主(zhu)體(ti)責(ze)任(ren)���,應(ying)明(ming)確(que)數(shu)據(ju)安(an)全(quan)負(fu)責(ze)人(ren)和(he)管(guan)理(li)機(ji)構(gou)��,本(ben)單(dan)位(wei)法(fa)定(ding)代(dai)表(biao)人(ren)或(huo)者(zhe)主(zhu)要(yao)負(fu)責(ze)人(ren)是(shi)數(shu)據(ju)安(an)全(quan)第(di)一(yi)責(ze)任(ren)人(ren)����,分(fen)管(guan)數(shu)據(ju)安(an)全(quan)的(de)領(ling)導(dao)是(shi)直(zhi)接(jie)責(ze)任(ren)人(ren)。能(neng)源(yuan)央(yang)企(qi)負(fu)責(ze)對(dui)其(qi)各(ge)級(ji)子(zi)公(gong)司(si)�����、控股企業的數據處理活動和安全保護進行監督管理。
第九條 能neng源yuan數shu據ju處chu理li者zhe應ying依yi照zhao能neng源yuan行xing業ye數shu據ju分fen類lei分fen級ji標biao準zhun規gui範fan���,識shi別bie並bing編bian製zhi本ben單dan位wei能neng源yuan行xing業ye重zhong要yao數shu據ju目mu錄lu��,按an照zhao數shu據ju載zai體ti所suo在zai地di省sheng級ji能neng源yuan主zhu管guan部bu門men要yao求qiu報bao送song重zhong要yao數shu據ju目mu錄lu。能neng源yuan央yang企qi各ge級ji子zi公gong司si�、控股企業編製的能源行業重要數據目錄����,應按照數據載體所在地省級能源主管部門和能源央企總部要求分別報送。
重要數據目錄報送內容包括但不限於數據類別�����、級別�����、規模����、精度�����、來源����、載體�、適用範圍��、對外共享���、跨境傳輸�、安全情況及責任單位等數據字段信息�����,不包括數據內容本身。
第十條 省級能源主管部門�����、能源央企分別負責彙總審核本地區���、本企業的能源行業重要數據目錄����,並報送國家能源局。對按程序確認為能源行業重要數據和能源行業核心數據的���,省級能源主管部門��、能源央企應及時告知能源數據處理者。
第十一條 上一次報送重要數據目錄後�����,能源行業重要數據���、核心數據的級別�、責任主體情況�、數據處理情況��、數據安全情況內容發生重大變化的����,能源數據處理者應在三個月內重新按程序報送重要數據目錄。
第三章 能源行業數據保護要求
第十二條 能源數據處理者開展數據處理活動�,應建立健全數據安全管理製度�����,明確數據全生命周期各環節的管理要求��;定期組織開展能源行業數據安全知識和技能教育培訓。能源行業重要數據���、能源行業核心數據的處理者應建立數據安全工作體係����,加強人員和經費保障����,並配合有關部門開展監督檢查工作。
第十三條 利用互聯網等信息網絡開展能源行業數據處理活動的��,應落實網絡安全等級保護����、關鍵信息基礎設施安全保護���、密碼保護和保密等製度要求。
存儲處理能源行業重要數據的信息網絡應落實三級及以上網絡安全等級保護要求。
存(cun)儲(chu)處(chu)理(li)能(neng)源(yuan)行(xing)業(ye)核(he)心(xin)數(shu)據(ju)的(de)信(xin)息(xi)網(wang)絡(luo)��,如(ru)涉(she)及(ji)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)��,應(ying)在(zai)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)製(zhi)度(du)的(de)基(ji)礎(chu)上(shang)�,落(luo)實(shi)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)安(an)全(quan)保(bao)護(hu)要(yao)求(qiu)���;不涉及關鍵信息基礎設施的���,應落實四級網絡安全等級保護要求。
法律法規和國家有關規定要求使用商用密碼進行保護的���,還應遵守商用密碼保護有關規定。
第十四條 能(neng)源(yuan)行(xing)業(ye)重(zhong)要(yao)數(shu)據(ju)的(de)處(chu)理(li)者(zhe)應(ying)自(zi)行(xing)或(huo)者(zhe)委(wei)托(tuo)具(ju)有(you)風(feng)險(xian)評(ping)估(gu)能(neng)力(li)的(de)第(di)三(san)方(fang)評(ping)估(gu)機(ji)構(gou)���,對(dui)其(qi)數(shu)據(ju)處(chu)理(li)活(huo)動(dong)每(mei)年(nian)至(zhi)少(shao)開(kai)展(zhan)一(yi)次(ci)風(feng)險(xian)評(ping)估(gu)��,及(ji)時(shi)整(zheng)改(gai)風(feng)險(xian)問(wen)題(ti)���,並(bing)按(an)省(sheng)級(ji)能(neng)源(yuan)主(zhu)管(guan)部(bu)門(men)要(yao)求(qiu)報(bao)送(song)風(feng)險(xian)評(ping)估(gu)報(bao)告(gao)。省(sheng)級(ji)能(neng)源(yuan)主(zhu)管(guan)部(bu)門(men)�、能源央企應將本地區�、本企業數據安全風險評估情況按年度報送至國家能源局。
風險評估報告應當準確���、qingxidimiaoshupingguhuodongdezhuyaoneirong�����,jutibaokuodanbuxianyushujuchulizhejibenxinxi�����,pinggutuanduijibenqingkuang��,kaizhanshujuchulihuodongdeqingkuangjiqiheguixingpingjia����,chulidenengyuanxingyezhongyaoshujudezhonglei�����、數量�����,麵臨的數據安全風險及其應對措施����,風險評估結論和整改建議等要素。
第十五條 能源行業數據安全風險評估重點評估以下內容:
(一)能源行業重要數據和核心數據識別認定的基本情況�����、所處安全狀態及風險分析�����;
(二)數據處理活動是否合法�����、正當����、必要�;
(三)數據安全負責人����、管理機構�、崗位配備和職責履行情況���;
(四)全流程數據安全管理製度及保障機製的建立和落實情況����;
(五)數據處理活動相關人員管理和教育培訓情況�����;
(六)國家數據分類分級保護製度落實情況�,以及對能源行業重要數據和核心數據保護要求落實情況����;
(七)數據安全技術防護能力建設及應用情況���;
(八)已發生的數據安全案事件和處置情況��,以及數據安全風險監測預警工作落實情況��;
(九)涉及數據提供�、轉移�、委托處理��、共同處理的����,數據接收方的安全保障能力���、責任義務約束和履行情況�����;
(十)其他涉及數據安全的有關情況。
第十六條 能源行業重要數據的處理者在重要數據的收集�����、存儲�、使用����、加工�����、傳輸��、提供����、公開����、刪除等環節��,應綜合運用加密�、鑒權�����、認證����、脫敏��、校驗��、審計等技術手段進行安全保護。
第十七條 能(neng)源(yuan)行(xing)業(ye)重(zhong)要(yao)數(shu)據(ju)的(de)處(chu)理(li)者(zhe)����,應(ying)按(an)照(zhao)業(ye)務(wu)需(xu)要(yao)和(he)最(zui)小(xiao)授(shou)權(quan)原(yuan)則(ze)����,依(yi)據(ju)崗(gang)位(wei)職(zhi)責(ze)設(she)定(ding)數(shu)據(ju)處(chu)理(li)權(quan)限(xian)����,控(kong)製(zhi)重(zhong)要(yao)數(shu)據(ju)的(de)接(jie)觸(chu)範(fan)圍(wei)�����,發(fa)生(sheng)人(ren)員(yuan)變(bian)動(dong)時(shi)應(ying)及(ji)時(shi)調(tiao)整(zheng)權(quan)限(xian)。
第十八條 能源行業重要數據的處理者應加強對數據共享�、調用的安全管控�����,采取技術措施定期監測數據共享����、調用情況���,並配備風險隔離����、認證鑒權���、威脅告警等安全保護措施。
第十九條 委(wei)托(tuo)他(ta)人(ren)處(chu)理(li)或(huo)者(zhe)與(yu)他(ta)人(ren)共(gong)同(tong)處(chu)理(li)能(neng)源(yuan)行(xing)業(ye)重(zhong)要(yao)數(shu)據(ju)的(de)���,委(wei)托(tuo)人(ren)應(ying)當(dang)提(ti)前(qian)告(gao)知(zhi)受(shou)托(tuo)人(ren)數(shu)據(ju)等(deng)級(ji)�����,數(shu)據(ju)安(an)全(quan)責(ze)任(ren)不(bu)因(yin)委(wei)托(tuo)而(er)改(gai)變(bian)。委(wei)托(tuo)方(fang)應(ying)嚴(yan)格(ge)審(shen)批(pi)明(ming)確(que)受(shou)托(tuo)方(fang)的(de)數(shu)據(ju)處(chu)理(li)權(quan)限(xian)和(he)保(bao)護(hu)責(ze)任(ren)�,監(jian)督(du)受(shou)托(tuo)方(fang)履(lv)行(xing)數(shu)據(ju)安(an)全(quan)保(bao)護(hu)義(yi)務(wu)。受(shou)托(tuo)方(fang)應(ying)依(yi)照(zhao)法(fa)律(lv)����、法規的規定和合同約定履行數據安全保護義務��,不得擅自留存���、使用�����、泄露或者向他人提供能源行業重要數據。
涉及使用雲計算服務處理能源行業重要數據的��,可以選擇通過雲計算服務安全評估的雲計算服務���,並遵守本管理辦法有關要求。
第二十條 未經委托方批準����,涉及能源行業重要數據的信息係統建設����、運維項目不得轉包�、分包。
未經委托方明確授權���,涉及能源行業重要數據信息係統建設���、運維人員不得處理委托方的重要數據。
對涉及能源行業重要數據的信息係統建設���、運維過程中收集��、產生的數據���,不得用於其他用途��,服務完成後按照與委托方約定處理或者及時刪除。
第二十一條 能源行業重要數據處理活動應記錄維護數據安全所需的日誌�,涉及安全事件處置�����、溯源的�����,相關日誌留存時間不少於一年。涉及向他人提供��、委托處理����、共同處理能源行業重要數據的��,相關日誌留存時間不少於三年。
能源行業重要數據的處理者在組織數據安全風險評估時�����,應對其數據查詢���、下載�����、修改���、刪除等重點操作的日誌開展審計分析��,發現違規或者異常行為應采取相應處置措施。
第二十二條 能源行業重要數據的處理者因合並�、分立�����、解散���、被宣告破產等原因需要轉移��、銷xiao毀hui能neng源yuan行xing業ye重zhong要yao數shu據ju的de��,應ying采cai取qu必bi要yao的de安an全quan保bao護hu措cuo施shi�����,並bing事shi前qian向xiang省sheng級ji能neng源yuan主zhu管guan部bu門men報bao告gao數shu據ju處chu置zhi方fang案an。引yin起qi重zhong要yao數shu據ju目mu錄lu變bian化hua的de�,應ying及ji時shi向xiang數shu據ju載zai體ti所suo在zai地di省sheng級ji能neng源yuan主zhu管guan部bu門men報bao備bei。
第二十三條 在我國境內收集和產生的能源行業重要數據���,確需向境外提供的����,能源數據處理者應依法依規申報數據出境安全評估。
第二十四條 能源行業核心數據的處理者跨不同法人主體提供���、轉移���、共享核心數據的����,應采取必要的安全保護措施�,並告知數據接收方按照對應級別進行分類分級保護。自當年度1月1日起可能累計達到上一年度末該項核心數據靜態總量30%及以上的��,應經國家能源局報有關部門組織風險評估����;未達到30%的���,由省級能源主管部門提出初步評估意見���,報國家能源局開展評估。涉及國家機關依法履職�、國家機關或企事業單位內部流動的能源行業核心數據除外。
第二十五條 能源行業核心數據的處理者在落實以上能源行業重要數據保護要求的基礎上�����,可以采取以下措施加強對能源行業核心數據的保護:
(一)優先使用商用密碼進行保護�����;
(二)優先使用安全可信的產品和服務���;
(三)優先使用第三方評估機構開展風險評估����;
(四)涉及核心數據安全事件處置��、溯源的相關日誌���,留存時間不少於三年�����;
(五)對相關關鍵崗位人員��、涉及核心數據信息係統建設和運維單位等���,依法依規提交公安機關����、國家安全機關進行國家安全背景審查。
第二十六條 不同類別�、jibieshujutongshibeichuliqienanyifenbiecaiqubaohucuoshide��,yinganzhaoqizhongjibiezuigaodeyaoqiushishibaohu����,quebaoshujujizhengtichixuchuyuyouxiaobaohuhehefaliyongdezhuangtai。
第四章 能源行業數據安全監測預警和應急處置
第二十七條 省級能源主管部門��、能源央企應分別加強本地區��、本企業能源行業數據安全監測預警和應急處置能力建設���,指導本地區數據處理者和能源央企各級子公司����、控股企業做好風險監測�����、事件處置和報告等工作���,強化對新技術新應用的能源行業數據安全風險研究和評估�����,強化對公開渠道數據彙聚�����、關聯後可能引發能源行業數據安全風險的監測能力。
第二十八條 能源數據處理者發現數據安全缺陷��、漏洞等風險時����,應立即采取補救措施�;發生數據安全事件時����,應立即采取處置措施����,按照規定及時告知相關用戶並向省級能源主管部門報告���,其中���,能源央企各級子公司�����、控股企業應同步向能源央企總部報告。
風險監測預警的內容應包括:風險基本情況��、可能產生的危害和程度����、風險演化發展態勢�����、可能影響的範圍���、處置風險的對策建議及其他應報告的情況。
事件情況報告的內容應包括:事件發生時間��、事件簡要經過����、造成的危害和影響��、已采取的措施��、下一步對策建議及其他應報告的情況。
第二十九條 本地區�、本企業發生能源行業數據安全事件時����,省級能源主管部門���、nengyuanyangqiyinggenjushijianjibieyifaqidongyingjiyuan�����,caiquxiangyingyingjichuzhicuoshi���,fangzhiweihaikuoda�����,xiaochuanquanyinhuan����,bingjishixiangshehuifabuyugongzhongyouguandejingshixinxi。
第三十條 省級能源主管部門���、能源央企發現可能直接危害國家安全����、經濟運行�����、社會穩定�、公共健康和安全�,以及直接影響政治安全的重大或者特別重大的能源行業數據安全風險�、事件�����,應於發現或者得知後1個ge工gong作zuo日ri內nei將jiang有you關guan情qing況kuang報bao送song國guo家jia能neng源yuan局ju���,並bing按an要yao求qiu進jin行xing續xu報bao。緊jin急ji情qing況kuang下xia可ke以yi通tong過guo電dian話hua聯lian係xi方fang式shi及ji時shi報bao告gao��,隨sui後hou補bu報bao書shu麵mian報bao告gao。國guo家jia能neng源yuan局ju負fu責ze按an規gui定ding向xiang有you關guan部bu門men報bao告gao相xiang關guan情qing況kuang。
第三十一條 省級能源主管部門�、能源央企完成重大或者特別重大能源行業數據安全應急處置工作後�����,應及時總結提煉經驗��,並於3個工作日內形成處置情況報告����,於10個工作日內形成總結報告���,分別報送國家能源局。國家能源局負責按規定向有關部門報送總結報告。
第五章 監督檢查和法律責任
第三十二條 國家能源局和省級能源主管部門應當依照《網絡數據安全管理條例》有關規定�����,對能源行業數據安全工作進行監督檢查。
第三十三條 國(guo)家(jia)能(neng)源(yuan)局(ju)和(he)省(sheng)級(ji)能(neng)源(yuan)主(zhu)管(guan)部(bu)門(men)在(zai)履(lv)行(xing)數(shu)據(ju)安(an)全(quan)監(jian)督(du)管(guan)理(li)職(zhi)責(ze)中(zhong)���,發(fa)現(xian)數(shu)據(ju)處(chu)理(li)活(huo)動(dong)存(cun)在(zai)較(jiao)大(da)安(an)全(quan)風(feng)險(xian)的(de)����,可(ke)以(yi)按(an)照(zhao)規(gui)定(ding)權(quan)限(xian)和(he)程(cheng)序(xu)約(yue)談(tan)相(xiang)關(guan)能(neng)源(yuan)數(shu)據(ju)處(chu)理(li)者(zhe)��,要(yao)求(qiu)采(cai)取(qu)措(cuo)施(shi)進(jin)行(xing)整(zheng)改(gai)�����,消(xiao)除(chu)隱(yin)患(huan)�����,並(bing)將(jiang)問(wen)題(ti)線(xian)索(suo)及(ji)時(shi)移(yi)送(song)有(you)關(guan)主(zhu)管(guan)部(bu)門(men)。
第三十四條 對於違反本辦法規定的行為����,有關主管部門按照《中華人民共和國數據安全法》《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《網絡數據安全管理條例》等法律法規規定予以處理處罰�;構成犯罪的���,移送司法機關依法追究刑事責任。
第六章 附 則
第三十五條 開展涉及個人信息的數據處理活動����,還應遵守有關法律法規的規定。
第三十六條 本辦法由國家能源局負責解釋。
第三十七條 本辦法自2026年7月1日起施行��,有效期5年。
