国家能源局有关负责同志就《能源行业数据安全管理办法（试行）》答记者问

　　国家能源局近日印发《能源行业数据安全管理办法(试行)》(以下简称《管理办法》)。国家能源局有关负责同志接受采访，回答记者提问。

　　问：《管理办法》出台的背景和目的是什么?

　　答：2021年9月1日，《中华人民共和国数据安全法》正式施行，其中第六条提出“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。目前，工业、电信、自然资源等主管部门均已出台相应管理办法。为规范能源行业数据处理活动，加强数据安全管理，防范数据安全风险，促进数据开发利用，保护个人、组织的合法权益，维护国家安全和发展利益，国家能源局制定了《管理办法》。

　　问：《管理办法》出台的意义是什么?

　　答：《管理办法》是能源行业落实《中华人民共和国数据安全法》的首个规范性文件，明确了国家能源主管部门、省级能源主管部门、能源数据处理者的基本职责和权利义务，对能源行业重要数据、核心数据的精准识别和安全保护提出了明确要求，为做好能源行业数据安全工作奠定了制度基础。

　　问：《管理办法》的主要内容有哪些?

　　答：《管理办法》共六章37条。第一章总则，包括目的、适用范围、基本定义。第二章能源行业数据安全基本职责，明确国家能源局、省级能源管理部门、能源央企、数据处理者在数据安全工作领域的职责要求，以及在数据目录报送、审核、更新等环节职责要求。第三章能源行业数据保护要求，具体提出了能源行业重要数据、核心数据在处理、出境、跨主体提供等方面的保护要求。第四章能源行业数据安全监测预警和应急处置，包括对能力建设、预警报告、应急处理、事件报告和处置总结报告等方面的要求。第五章监督检查和法律责任，包括监督检查、约谈整改和处罚等。第六章附则，包括与个人信息保护相关要求相衔接，解释和施行时间等。

　　问：《管理办法》适用于哪些数据的管理?

　　答：《管理办法》适用于在中华人民共和国境内开展能源行业数据处理活动及其安全监督管理。一是聚焦能源行业数据，《管理办法》明确，能源行业数据是指在开展能源活动中收集和产生的数据。能源活动主要包括与能源相关的规划、设计、建设、生产、储运、消费、科研等。二是聚焦非密数据，《管理办法》明确，能源行业数据处理活动如涉及国家秘密或由其汇聚关联后属于国家秘密事项，相关能源数据处理者应遵守《中华人民共和国保守国家秘密法》等法律、行政法规的规定。三是聚焦能源行业主管部门职责，考虑城市燃气、供热、加油站等能源活动不在国家能源局职责范围内，《管理办法》明确，与这些领域相关的数据处理活动应遵守有关主管部门规定。

　　问：为加强能源行业数据安全管理，《管理办法》提出建立哪些制度机制?

　　答：一是建立能源行业数据分类分级保护制度，《管理办法》将不涉及国家秘密的能源行业数据分为三级：一般数据、重要数据、核心数据，并对重要数据、核心数据的保护提出相应技术要求。

　　二是建立重要数据目录机制，依据《中华人民共和国数据安全法》，在国家数据安全工作协调机制统筹协调下，国家能源局负责建立并动态更新能源行业重要数据目录，全面了解掌握重要数据基本信息、存储地点、安全防护等情况。

　　三是建立数据安全风险评估机制，《管理办法》要求重要数据、核心数据处理者每年至少开展一次风险评估，重要数据出境、核心数据跨主体转移等依法依规开展风险评估。

　　四是建立能源行业数据安全监测预警和应急处置机制，《管理办法》明确了国家能源主管部门、省级能源主管部门、数据处理者在监测预警和应急处置工作中的相应职责。

　　问：《管理办法》规定能源数据处理者有哪些责任义务?

　　答：能源行业重要数据和能源行业核心数据的处理者对自身的数据安全负主体责任，应依据《中华人民共和国数据安全法》和《管理办法》履行数据安全保护责任义务。一是依照能源行业数据分类分级标准规范，识别并编制本单位能源行业重要数据目录，按照数据载体所在地省级能源主管部门要求报送重要数据目录，发生重大变化的，应在三个月内重新按程序报送。二是建立健全本单位数据安全管理制度，明确数据全生命周期各环节的管理要求等。三是应采取必要数据安全技术手段，并落实网络安全等级保护、关键信息基础设施安全保护、密码保护和保密等制度要求，确保能源行业重要数据、核心数据处于有效保护和合法利用的状态。四是应自行或者委托具有风险评估能力的第三方评估机构，对本单位数据处理活动每年至少开展一次风险评估，及时整改风险问题，并按省级能源主管部门要求报送风险评估报告。五是对涉及重要数据出境、核心数据跨主体转移，应按有关规定要求申请风险评估。六是发现数据安全缺陷、漏洞等风险时，应立即采取补救措施;发生数据安全事件时，应立即采取处置措施，按照规定及时告知相关用户并向省级能源主管部门报告。

　　问：能源数据处理者如何识别重要数据和核心数据?

　　答：《管理办法》明确，能源行业重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的能源行业数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的能源行业数据，一般不作为能源行业重要数据。能源行业核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的能源行业重要数据，一旦被非法使用或共享，可能直接影响政治安全。主要包括：关系国家安全重点领域的数据，关系国民经济命脉、重要民生和重大公共利益的数据，经评估确定的其他能源行业数据。后续，国家能源局会根据《管理办法》规定，组织制定和发布能源行业数据分类分级标准规范，便于能源数据处理者精准识别并保护能源行业重要数据和核心数据。

　　问：《管理办法》施行时间有哪些考虑?

　　答：《管理办法》自2026年7月1日起施行，有效期5年。《管理办法》发布后，还将组织制定和发布能源行业数据分类分级标准规范，数据处理者应对照识别重要数据、核心数据并做好保护。考虑政策制定出台、提升数据安全保护水平需要一定时间，《管理办法》施行日期定为2026年7月1日。