為貫徹落實黨中央、國務(wù)院關(guān)于數(shù)據(jù)安全的決策部署,規(guī)范能源行業(yè)數(shù)據(jù)處理活動,加強數(shù)據(jù)安全管理,防范數(shù)據(jù)安全風(fēng)險,促進數(shù)據(jù)開發(fā)利用,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國能源法》《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī),國家能源局編制了《能源行業(yè)數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》,現(xiàn)向社會公開征求意見。文稿中涉及的配套制度、標(biāo)準(zhǔn)規(guī)范等,將另行制定印發(fā)。

歡迎有關(guān)單位和社會各界人士研提寶貴意見,自本通知發(fā)布之日起30日內(nèi)傳真至010-81929161,或發(fā)送電子郵件至gh@nea.gov.cn。

感謝您的參與和支持!

附件:能源行業(yè)數(shù)據(jù)安全管理辦法(試行)(征求意見稿)

國家能源局綜合司

2025年9月10日




附件

 

能源行業(yè)數(shù)據(jù)安全管理辦法(試行)

征求意見稿

 

第一章 總則

第一條 【目的】為規(guī)范能源行業(yè)數(shù)據(jù)處理活動,加強數(shù)據(jù)安全管理,防范數(shù)據(jù)安全風(fēng)險,促進數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權(quán)益,維護國家安全和發(fā)展利益,根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國能源法》《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī),制定本辦法。

第二條 【適用范圍】本辦法適用于在中華人民共和國境內(nèi)開展能源行業(yè)數(shù)據(jù)處理活動及其安全監(jiān)督管理。

開展涉及國家秘密或匯聚關(guān)聯(lián)后屬于國家秘密事項的能源行業(yè)數(shù)據(jù)處理活動,應(yīng)遵守《中華人民共和國保守國家秘密法》等法律、行政法規(guī)的規(guī)定。

第三條 定義】本辦法所稱數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄

本辦法所稱能源行業(yè)數(shù)據(jù),是指在開展能源活動中收集和產(chǎn)生的數(shù)據(jù)。能源活動主要包括與能源相關(guān)的規(guī)劃、建設(shè)、生產(chǎn)、儲運、消費等。與城市燃?xì)狻⒐?、加油站等能源活?/span>相關(guān)的數(shù)據(jù)應(yīng)遵守有關(guān)主管部門規(guī)定。

本辦法所稱能源數(shù)據(jù)處理者,是指開展能源行業(yè)數(shù)據(jù)處理活動的能源行業(yè)各類單位能源行業(yè)數(shù)據(jù)處理活動包括能源行業(yè)數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

本辦法所稱數(shù)據(jù)安全,是指通過采取必要措施,確保能源行業(yè)數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。

第四條 【定義】根據(jù)數(shù)據(jù)重要性、精度、規(guī)模、安全風(fēng)險等,能源行業(yè)數(shù)據(jù)分為一般、重要、核心三級。

能源行業(yè)重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的能源行業(yè)數(shù)據(jù),一旦被泄露或篡改、損毀,可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全。僅影響組織自身或公民個體的能源行業(yè)數(shù)據(jù),一般不作為能源行業(yè)重要數(shù)據(jù)。

能源行業(yè)核心數(shù)據(jù)是指對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、一定深度的能源行業(yè)重要數(shù)據(jù),一旦被非法使用或共享,可能直接影響政治安全。主要包括:關(guān)系國家安全重點領(lǐng)域的數(shù)據(jù),關(guān)系國民經(jīng)濟命脈、重要民生和重大公共利益的數(shù)據(jù),經(jīng)評估確定的其他能源行業(yè)數(shù)據(jù)。

能源行業(yè)一般數(shù)據(jù)是指能源行業(yè)重要數(shù)據(jù)、能源行業(yè)核心數(shù)據(jù)之外的其他能源行業(yè)數(shù)據(jù)。

第五條 促進數(shù)據(jù)利用鼓勵能源數(shù)據(jù)處理者積極開展能源行業(yè)數(shù)據(jù)創(chuàng)新應(yīng)用,在保障安全合規(guī)的情況下促進數(shù)據(jù)開發(fā)利用。

 

第二章 能源行業(yè)數(shù)據(jù)安全基本職責(zé)

第六條 【國家能源局職責(zé)】在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下,國家能源局負(fù)責(zé)能源行業(yè)數(shù)據(jù)安全監(jiān)督管理,督促指導(dǎo)各省、自治區(qū)、直轄市和新疆生產(chǎn)建設(shè)兵團能源主管部門(以下簡稱省級能源主管部門)開展數(shù)據(jù)安全監(jiān)督管理,督促指導(dǎo)國務(wù)院國資委管理的能源企業(yè)(以下簡稱能源央企)和國家能源局指導(dǎo)監(jiān)管的全國性能源行業(yè)協(xié)會依法依規(guī)履行能源數(shù)據(jù)處理者責(zé)任義務(wù),組織能源行業(yè)數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范,審核并確定能源行業(yè)重要數(shù)據(jù)目錄,向有關(guān)部門提出核心數(shù)據(jù)目錄建議并實動態(tài)管理,加強能源行業(yè)數(shù)據(jù)安全監(jiān)測預(yù)警和應(yīng)急處置能力建設(shè)

第七條 【省級能源主管部門職責(zé)】省級能源主管部門負(fù)責(zé)本地區(qū)能源行業(yè)數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理,督促指導(dǎo)本地區(qū)能源數(shù)據(jù)處理者(含能源央企本地區(qū)的各級子公司、控股企業(yè))依法依規(guī)履行能源數(shù)據(jù)處理者責(zé)任義務(wù),按照能源行業(yè)數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范,編制并按年度更新報送本地區(qū)能源行業(yè)重要數(shù)據(jù)目錄,開展本地區(qū)能源行業(yè)數(shù)據(jù)安全監(jiān)測預(yù)警、信息報送、制定應(yīng)急預(yù)案、開展應(yīng)急處置工作。

第八條 【能源數(shù)據(jù)處理者職責(zé)】能源數(shù)據(jù)處理者應(yīng)依法依規(guī)履行數(shù)據(jù)安全保護責(zé)任義務(wù)。能源行業(yè)重要數(shù)據(jù)和能源行業(yè)核心數(shù)據(jù)的處理者對自身的數(shù)據(jù)安全負(fù)主體責(zé)任,應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu),本單位法定代表人或者主要負(fù)責(zé)人是數(shù)據(jù)安全第一責(zé)任人,分管數(shù)據(jù)安全的領(lǐng)導(dǎo)是直接責(zé)任人。能源央企負(fù)責(zé)對其各級子公司、控股企業(yè)的數(shù)據(jù)處理活動和安全保護進行監(jiān)督管理。

第九條 【數(shù)據(jù)目錄報送】能源數(shù)據(jù)處理者應(yīng)依照能源行業(yè)數(shù)據(jù)分類分級標(biāo)準(zhǔn)規(guī)范,識別并編制本單位能源行業(yè)重要數(shù)據(jù)目錄,按照數(shù)據(jù)載體所在地省級能源主管部門要求報送重要數(shù)據(jù)目錄。能源央企各級子公司、控股企業(yè)編制的能源行業(yè)重要數(shù)據(jù)目錄,應(yīng)按照數(shù)據(jù)載體所在地省級能源主管部門和能源央企總部要求分別報送

第十條 【數(shù)據(jù)目錄審核】省級能源主管部門、能源央企分別負(fù)責(zé)匯總審核本地區(qū)、本企業(yè)的能源行業(yè)重要數(shù)據(jù)目錄,報送國家能源局。按程序確認(rèn)為能源行業(yè)重要數(shù)據(jù)和能源行業(yè)核心數(shù)據(jù)的,省級能源主管部門、能源央企應(yīng)及時告知能源數(shù)據(jù)處理者。

第十一條 目錄更新】上一報送重要數(shù)據(jù)目錄后,能源行業(yè)重要數(shù)據(jù)、核心數(shù)據(jù)的級別、責(zé)任主體情況、數(shù)據(jù)處理情況、數(shù)據(jù)安全情況內(nèi)容發(fā)生重大變化的,能源數(shù)據(jù)處理者應(yīng)在三個月內(nèi)重新按程序報送重要數(shù)據(jù)目錄。

第三章 能源行業(yè)數(shù)據(jù)保護要求

第十二條 【制度要求】能源數(shù)據(jù)處理者開展數(shù)據(jù)處理活動,應(yīng)建立健全數(shù)據(jù)安全管理制度,明確數(shù)據(jù)全生命周期各環(huán)節(jié)的管理要求;定期組織開展能源行業(yè)數(shù)據(jù)安全知識和技能教育培訓(xùn)。能源行業(yè)重要數(shù)據(jù)、能源行業(yè)核心數(shù)據(jù)的處理者應(yīng)建立數(shù)據(jù)安全工作體系,明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu),加強人員和經(jīng)費保障,并配合有關(guān)部門開展監(jiān)督檢查工作。能源數(shù)據(jù)處理者應(yīng)建立信息發(fā)布審查制度,對外發(fā)布能源行業(yè)數(shù)據(jù)不得包含能源行業(yè)重要數(shù)據(jù)、能源行業(yè)核心數(shù)據(jù)。

第十三條 【網(wǎng)絡(luò)安全】利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展能源行業(yè)數(shù)據(jù)處理活動,應(yīng)落實網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護、密碼保護和保密等制度要求。

存儲處理能源行業(yè)重要數(shù)據(jù)的信息網(wǎng)絡(luò)應(yīng)落實三級及以上網(wǎng)絡(luò)安全等級保護要求;存儲處理能源行業(yè)核心數(shù)據(jù)的信息網(wǎng)絡(luò),如涉及關(guān)鍵信息基礎(chǔ)設(shè)施,應(yīng)在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上,落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求;不涉及關(guān)鍵信息基礎(chǔ)設(shè)施的,應(yīng)落實四級網(wǎng)絡(luò)安全等級保護要求。

法律法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進行保護的,還應(yīng)遵守商用密碼保護有關(guān)規(guī)定。

第十四條 【風(fēng)險評估】能源行業(yè)重要數(shù)據(jù)的處理者應(yīng)自行或者委托具有風(fēng)險評估能力的第三方評估機構(gòu),能源行業(yè)核心數(shù)據(jù)的處理者優(yōu)先使用第三方評估機構(gòu),對其數(shù)據(jù)處理活動每年至少開展一次風(fēng)險評估,及時整改風(fēng)險問題,并省級能源主管部門要求報送風(fēng)險評估報告。省級能源主管部門、能源央企應(yīng)將本地區(qū)、本企業(yè)數(shù)據(jù)安全風(fēng)險評估情況按年度報送至國家能源局。

第十五條 【安全技術(shù)】能源行業(yè)重要數(shù)據(jù)的處理者在重要數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等環(huán)節(jié),應(yīng)綜合運用加密、鑒權(quán)、認(rèn)證、脫敏、校驗、審計等技術(shù)手段進行安全保護。

第十六條 【處理權(quán)限】能源行業(yè)重要數(shù)據(jù)的處理者應(yīng)按照業(yè)務(wù)需要和最小授權(quán)原則,依據(jù)崗位職責(zé)設(shè)定數(shù)據(jù)處理權(quán)限,控制重要數(shù)據(jù)的接觸范圍,發(fā)生人員變動時應(yīng)及時調(diào)整權(quán)限。

第十七條 【管控共享調(diào)用】能源行業(yè)重要數(shù)據(jù)的處理者應(yīng)加強對數(shù)據(jù)共享、調(diào)用的安全管控,采取技術(shù)措施定期監(jiān)測數(shù)據(jù)共享、調(diào)用情況,并配備風(fēng)險隔離、認(rèn)證鑒權(quán)、威脅告警等安全保護措施。

第十八條 【委托責(zé)任】委托他人處理或者與他人共同處理能源行業(yè)重要數(shù)據(jù)的,數(shù)據(jù)安全責(zé)任不因委托而改變。委托方應(yīng)嚴(yán)格審批明確受托方的數(shù)據(jù)處理權(quán)限和保護責(zé)任,監(jiān)督受托方履行數(shù)據(jù)安全保護義務(wù)。受托方應(yīng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù),不得擅自留存、使用、泄露或者向他人提供能源行業(yè)重要數(shù)據(jù)。

涉及使用云計算服務(wù)處理能源行業(yè)重要數(shù)據(jù)的,可以選擇通過云計算服務(wù)安全評估的云計算服務(wù),并遵守本管理辦法有關(guān)要求。

第十九條 【建設(shè)運維管理】未經(jīng)委托方批準(zhǔn),涉及能源行業(yè)重要數(shù)據(jù)的信息系統(tǒng)建設(shè)、運維項目不得轉(zhuǎn)包、分包。

未經(jīng)委托方明確授權(quán),涉及能源行業(yè)重要數(shù)據(jù)信息系統(tǒng)建設(shè)、運維人員不得處理委托方的重要數(shù)據(jù)。

對涉及能源行業(yè)重要數(shù)據(jù)的信息系統(tǒng)建設(shè)、運維過程中收集、產(chǎn)生的數(shù)據(jù),不得用于其他用途,服務(wù)完成后按照與委托方約定處理或者及時刪除。

第二十條 【日志留存】能源行業(yè)重要數(shù)據(jù)處理活動應(yīng)記錄維護數(shù)據(jù)安全所需的日志,涉及安全事件處置、溯源的,相關(guān)日志留存時間不少于一年。涉及向他人提供、委托處理、共同處理能源行業(yè)重要數(shù)據(jù)的,相關(guān)日志留存時間不少于三年。

能源行業(yè)重要數(shù)據(jù)的處理者在組織數(shù)據(jù)安全風(fēng)險評估時,應(yīng)對其數(shù)據(jù)查詢、下載、修改、刪除等重點操作的日志開展審計分析,發(fā)現(xiàn)違規(guī)或者異常行為應(yīng)采取相應(yīng)處置措施。

第二十一條 【處理者變動】能源行業(yè)重要數(shù)據(jù)的處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移、銷毀能源行業(yè)重要數(shù)據(jù)的,應(yīng)采取必要的安全保護措施,并事前向省級能源主管部門報告數(shù)據(jù)處置方案。引起重要數(shù)據(jù)目錄變化的,應(yīng)及時向數(shù)據(jù)載體所在地省級能源主管部門報備。

第二十二條 【出境管理】在我國境內(nèi)收集和產(chǎn)生的能源行業(yè)重要數(shù)據(jù),確需向境外提供的,能源行業(yè)數(shù)據(jù)處理者應(yīng)依法依規(guī)申報數(shù)據(jù)出境安全評估。

第二十三條 【核心數(shù)據(jù)流動能源行業(yè)核心數(shù)據(jù)處理者跨不同法人主體提供、轉(zhuǎn)移、共享核心數(shù)據(jù)的,應(yīng)采取必要的安全保護措施,并告知數(shù)據(jù)接收方按照對應(yīng)級別進行分類分級保護自當(dāng)年度11日起可能累計達到該項核心數(shù)據(jù)總量30%及以上,應(yīng)經(jīng)國家能源局報有關(guān)部門組織風(fēng)險評估;未達到30%,省級能源主管部門提出初步評估意見,報國家能源局開展評估。涉及國家機關(guān)依法履職、國家機關(guān)或企事業(yè)單位內(nèi)部流動的能源行業(yè)核心數(shù)據(jù)除外。

第二十四條 【核心數(shù)據(jù)保護】能源行業(yè)核心數(shù)據(jù)的處理者在落實以上能源行業(yè)重要數(shù)據(jù)保護要求的基礎(chǔ)上,可以采取以下措施加強對能源行業(yè)核心數(shù)據(jù)保護:

(一)優(yōu)先使用商用密碼進行保護;

(二)優(yōu)先使用安全可信的產(chǎn)品和服務(wù);

(三)優(yōu)先使用第三方評估機構(gòu)開展風(fēng)險評估;

(四)涉及核心數(shù)據(jù)安全事件處置、溯源的相關(guān)日志,留存時間不少于三年;

(五)對相關(guān)關(guān)鍵崗位人員、涉及核心數(shù)據(jù)信息系統(tǒng)建設(shè)和運維單位等,依法依規(guī)提交公安機關(guān)、國家安全機關(guān)進行國家安全背景審查。

第二十五條 【管理級別】不同類別、級別數(shù)據(jù)同時被處理且難以分別采取保護措施的,應(yīng)按照其中級別最高的要求實施保護,確保數(shù)據(jù)集整體持續(xù)處于有效保護和合法利用的狀態(tài)。

第四章 能源行業(yè)數(shù)據(jù)安全監(jiān)測預(yù)警和應(yīng)急處置

第二十六條 【能力建設(shè)】省級能源主管部門、能源央企應(yīng)分別加強本地區(qū)、本企業(yè)能源行業(yè)數(shù)據(jù)安全監(jiān)測預(yù)警和應(yīng)急處置能力建設(shè),指導(dǎo)本地區(qū)數(shù)據(jù)處理者和能源央企各級子公司、控股企業(yè)做好風(fēng)險監(jiān)測、事件處置和報告等工作,強化對新技術(shù)新應(yīng)用的能源行業(yè)數(shù)據(jù)安全風(fēng)險研究和評估

第二十七條 【預(yù)警報告】能源數(shù)據(jù)處理者發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時,應(yīng)立即采取補救措施;發(fā)生數(shù)據(jù)安全事件時,應(yīng)立即采取處置措施,按照規(guī)定及時告知相關(guān)用戶并向省級能源主管部門報告,其中,能源央企各級子公司、控股企業(yè)應(yīng)同步向能源央企總部報告。

風(fēng)險監(jiān)測預(yù)警的內(nèi)容應(yīng)包括:風(fēng)險基本情況、可能產(chǎn)生的危害和程度、風(fēng)險演化發(fā)展態(tài)勢、可能影響的范圍、處置風(fēng)險的對策建議及其他應(yīng)報告的情況。

事件情況報告的內(nèi)容應(yīng)包括:事件發(fā)生時間、事件簡要經(jīng)過、造成的危害和影響、已采取的措施、下一步對策建議及其他應(yīng)報告的情況。

第二十八條 【應(yīng)急處理】本地區(qū)、本企業(yè)發(fā)生能源行業(yè)數(shù)據(jù)安全事件時,省級能源主管部門、能源央企應(yīng)根據(jù)事件級別依法啟動應(yīng)急預(yù)案,采取相應(yīng)應(yīng)急處置措施,防止危害擴大,消除安全隱患,并及時向社會發(fā)布與公眾有關(guān)的警示信息。

第二十九條 【事件報告】省級能源主管部門、能源央企發(fā)現(xiàn)可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全,以及直接影響政治安全的重大或者特別重大的能源行業(yè)數(shù)據(jù)安全風(fēng)險、事件,應(yīng)于發(fā)現(xiàn)或者得知后2個工作日內(nèi)將有關(guān)情況報送國家能源局,并按要求進行續(xù)報緊急情況下可以通過電話聯(lián)系方式及時報告,隨后補報書面報告。國家能源局負(fù)責(zé)按規(guī)定向有關(guān)部門報告相關(guān)情況。

第三十條 【處置總結(jié)報告】省級能源主管部門、能源央企完成重大或者特別重大能源行業(yè)數(shù)據(jù)安全應(yīng)急處置工作后,應(yīng)及時總結(jié)提煉經(jīng)驗,并于3個工作日內(nèi)形成處置情況報告,于10個工作日內(nèi)形成總結(jié)報告,分別報送國家能源局。國家能源局負(fù)責(zé)按規(guī)定向有關(guān)部門報送總結(jié)報告。

第五章 監(jiān)督檢查和法律責(zé)任

第三十一條 【監(jiān)督檢查】國家能源局和省級能源主管部門依法履行監(jiān)督檢查職責(zé),可以采取下列措施:

(一)進入能源企業(yè)、調(diào)度機構(gòu)、能源市場交易機構(gòu)、能源用戶等單位實施現(xiàn)場檢查,進行技術(shù)檢測、調(diào)查取證;

(二)詢問與檢查事項有關(guān)的人員,要求其對有關(guān)事項作出說明;

(三)查閱、復(fù)制與檢查事項有關(guān)的文件、資料、電子數(shù)據(jù);

(四)法律、法規(guī)規(guī)定的其他措施。

對依法實施的監(jiān)督檢查,被檢查單位及其有關(guān)人員應(yīng)予以配合,不得拒絕、阻礙。

第三十二條 【約談?wù)摹繃夷茉淳趾?/span>省級能源主管部門在履行數(shù)據(jù)安全監(jiān)督管理職責(zé)中,發(fā)現(xiàn)數(shù)據(jù)處理活動存在較大安全風(fēng)險的,可以按照規(guī)定權(quán)限和程序約談相關(guān)能源數(shù)據(jù)處理者,并要求采取措施進行整改,消除隱患。

第三十三條 【處罰】對于違反本辦法規(guī)定的行為,有關(guān)主管部門按照《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》法律法規(guī)規(guī)定予以處理處罰;構(gòu)成犯罪的,移送司法機關(guān)依法追究刑事責(zé)任。

第六章 附則

第三十四條 個人信息保護開展涉及個人信息的數(shù)據(jù)處理活動,還應(yīng)遵守有關(guān)法律法規(guī)的規(guī)定。

第三十五條 【解釋】本辦法由國家能源局負(fù)責(zé)解釋。

第三十六條 【施行時間】本辦法自 2025 日起施行,有效期5。