国家能源局确实印发了《能源行业数据安全管理办法(试行)》的通知,该办法自2026年7月1日起施行,有效期5年。以下是对该办法的详细介绍:
一、出台背景与目的
背景:为落实《中华人民共和国数据安全法》等法律法规,规范能源行业数据处理活动,加强数据安全管理,防范数据安全风险,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益。
目的:明确国家能源主管部门、省级能源主管部门、能源数据处理者的基本职责和权利义务,对能源行业重要数据、核心数据的精准识别和安全保护提出明确要求,为做好能源行业数据安全工作奠定制度基础。
二、主要内容
适用范围:适用于在中华人民共和国境内开展能源行业数据处理活动及其安全监督管理。能源数据处理者开展涉及国家秘密或由其汇聚关联后属于国家秘密事项的能源行业数据处理活动时,应遵守《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
数据定义:能源行业数据是指在开展能源活动中收集和产生的数据,能源活动主要包括与能源相关的规划、设计、建设、生产、储运、消费、科研等。
数据分类分级:根据数据重要性、精度、规模、安全风险等,能源行业数据分为一般、重要、核心三级。能源行业重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的能源行业数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。能源行业核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的能源行业重要数据,一旦被非法使用或共享,可能直接影响政治安全。
职责分工:
国家能源局:负责能源行业数据安全监督管理,督促指导省级能源主管部门、能源央企和国家能源局指导监管的全国性能源行业协会依法依规履行能源数据处理者责任义务,组织制定和发布能源行业数据分类分级标准规范,审核并确定能源行业重要数据目录,向有关部门提出核心数据目录建议并实行动态管理,加强能源行业数据安全监测预警和应急处置能力建设。
省级能源主管部门:负责对本地区能源行业数据处理活动和安全保护进行监督管理,督促指导本地区能源数据处理者依法依规履行能源数据处理者责任义务,按照能源行业数据分类分级标准规范,编制并按年度更新报送本地区能源行业重要数据目录,开展本地区能源行业数据安全监测预警、信息报送、制定应急预案、开展应急处置等工作。
能源数据处理者:应依法依规履行数据安全保护责任义务,能源行业重要数据和能源行业核心数据的处理者对自身的数据安全负主体责任,应明确数据安全负责人和管理机构,本单位法定代表人或者主要负责人是数据安全第一责任人,分管数据安全的领导是直接责任人。
数据保护要求:
建立健全数据安全管理制度:能源数据处理者开展数据处理活动,应建立健全数据安全管理制度,明确数据全生命周期各环节的管理要求;定期组织开展能源行业数据安全知识和技能教育培训。能源行业重要数据、能源行业核心数据的处理者应建立数据安全工作体系,加强人员和经费保障,并配合有关部门开展监督检查工作。
落实网络安全等级保护等制度:利用互联网等信息网络开展能源行业数据处理活动的,应落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求。存储处理能源行业重要数据的信息网络应落实三级及以上网络安全等级保护要求。存储处理能源行业核心数据的信息网络,如涉及关键信息基础设施,应在网络安全等级保护制度的基础上,落实关键信息基础设施安全保护要求;不涉及关键信息基础设施的,应落实四级网络安全等级保护要求。法律法规和国家有关规定要求使用商用密码进行保护的,还应遵守商用密码保护有关规定。
开展数据安全风险评估:能源行业重要数据的处理者应自行或者委托具有风险评估能力的第三方评估机构,对其数据处理活动每年至少开展一次风险评估,及时整改风险问题,并按省级能源主管部门要求报送风险评估报告。省级能源主管部门、能源央企应将本地区、本企业数据安全风险评估情况按年度报送至国家能源局。
监测预警和应急处置:省级能源主管部门、能源央企应分别加强本地区、本企业能源行业数据安全监测预警和应急处置能力建设,指导本地区数据处理者和能源央企各级子公司、控股企业做好风险监测、事件处置和报告等工作,强化对新技术新应用的能源行业数据安全风险研究和评估,强化对公开渠道数据汇聚、关联后可能引发能源行业数据安全风险的监测能力。
