2026年6月30日,国家能源局发布《能源行业数据分类分级指南(2026年版)》,7月1日起施行。
它是《中华人民共和国数据安全法》的配套制度,和《能源行业数据安全管理办法(试行)》一起,构成了能源行业数据安全的基本管理框架。
对电力企业来说,这件事不只关乎合规——发电、输电、配电、用电,每个环节的数据资产怎么识别、怎么分级、怎么保护,都绕不开这份指南。
这篇文章把指南讲清楚:它管什么、哪些数据和电力企业直接相关、下一步怎么准备。
一、政策重点是什么?
指南共4章15条,核心就两件事:数据怎么分类,分完怎么定级。
分类。 两个维度。按能源品种分,一级分类覆盖煤炭、石油、天然气、核能、水能、风能、太阳能、电力、氢能等12个品类。按能源活动分,二级分类覆盖规划、设计、建设、生产、储运、消费、科研等7个阶段。企业还可以根据自身数据特点,继续往下细分到三级、四级。
分级。 按数据的重要性、精度、规模和安全风险,分为一般、重要、核心三个等级。分级不是一次性的。判定因素变了,数据等级可以动态调整。
调整。 两条关键规则:加工产生的衍生数据如果还能还原出原始等级,原则上按原等级管;脱敏处理后无法恢复的数据,核心数据可以降为重要或一般,重要数据可以降为一般。
举个例子:某电网公司对1000万用户的用电数据进行脱敏处理,去掉精确地址和户号后,这些数据从重要降为一般;但如果只是做了统计汇总,还能还原出单个用户的用电规律,那就不能降级。
二、和电力企业有什么关系?
指南覆盖整个能源行业,电力是其中最大的板块之一。以下几个识别规则,电力企业得一条一条对。
基础设施地理坐标数据。 以下设施的精确坐标(精度优于100米)及含这些坐标的规划图纸、设计图纸、施工图纸,列为重要数据:
——单机容量100万千瓦及以上、总装机300万千瓦及以上的火力发电站; ——装机120万千瓦及以上或水库总库容10亿立方米及以上的水电站; ——核电站; ——750千伏以上的变电站、开关站、换流站。
什么意思?某核电站的施工图纸,以前可能只是内部保密资料,现在要纳入重要数据管理制度——从图纸的存储、流转到接触人员的权限审查,都得合规。
生产运行实时指令数据。 以下设施的实时指令数据列为重要数据:
——装机120万千瓦及以上或水库总库容10亿立方米及以上的水电站; ——750千伏以上的变电站、开关站、换流站。
电网调度中心的日常操作会直接受影响。某省级电网公司的调度员给750千伏变电站下发倒闸操作指令,这条指令从生成到传输到执行,每个环节的安全管控都需要重新审视。
电力消费数据。 覆盖面最广的一条:
——特级重要电力用户的消费原始数据; ——国防军事类一级、二级重要电力用户的消费原始数据; ——1000万个及以上电力用户的消费原始数据。
数据量达到1亿个及以上用户,或者特级重要电力用户的连续1年以上消费数据,升为核心数据。
对一家用户规模超过1000万的省级供电公司来说,这意味着用户数据的安全防护等级要提前对标——备份策略、访问控制、加密标准,都得重新评估。
三、哪些场景会受到影响?
指南的影响不只在合规部门。运维、调度、规划、信息系统,全都会涉及。
场景一:新建大型电厂,选址阶段的图纸就是重要数据。 某火电厂要上马一台100万千瓦机组,选址阶段的坐标数据、规划资料和设计图纸,从项目启动那天起就得按重要数据管理。不是等建好了再来分类,而是开工前就要落位。
场景二:750千伏以上变电站,调度指令不能裸传。 某500kV枢纽变电站升级为750kV后,调度中心下发的每条实时指令数据都被划入重要数据范围。加密传输、操作日志、审批追溯,一个都不能少。
场景三:千万级用户数据,不是你想存就能存。 某供电企业的大数据平台存了1200万用户的历史用电记录。按指南分级,这批数据属于重要数据。备份策略、数据加密、权限管控,全得按重要数据的要求重新配置。如果用户数突破1亿,还要升级为核心数据,安全要求再上一个台阶。
场景四:加工后的数据能不能降级,要看能不能还原。 企业对用户数据做统计汇总,衍生数据还能还原到单个用户的用电模式——不能降级。脱敏处理去掉了可识别的身份信息,无法恢复——可以降级。
场景五:重要数据跨主体转移或出境,得先过风险评估。 涉及重要数据、核心数据换手或传给境外主体的,按规定申请风险评估后才能操作。
四、企业接下来可以怎么做
指南明确了能源数据处理者的主体责任。下面六件事,建议尽早启动。
第一件事:对照指南,把重要数据和核心数据认出来。 编制本单位的重要数据目录,这是所有合规动作的起点。
第二件事:把目录报上去。 指南要求目录报送数据载体所在地的省级能源主管部门。情况有重大变化的,三个月内重新报送。
第三件事:把数据安全管理制度建起来。 从采集、存储、使用到删除,数据全生命周期的每个环节都要有制度管着。
第四件事:技术防护措施跟上。 网络安全等级保护、关键信息基础设施安全保护、密码保护、保密制度,同步落实。
第五件事:每年做一次风险评估。 可以自己做,也可以委托第三方。每年至少一次,评估报告报送省级能源主管部门。
第六件事:做好应急准备。 发现数据安全缺陷、漏洞,立即补救。发生安全事件,立即处置,告知受影响用户并报告主管部门。
五、写在最后
电力行业的数据安全,不光是技术部门的事,也不光是合规部门的事。
从一座大型机组的坐标数据,到千家万户的用电记录——每一个数据节点都在分类分级框架下有自己的位置。
对电力企业来说,真正重要的不是应付一份指南,而是把数据安全能力嵌进制度、流程和日常运维里。这样,不管后续规则怎么调,企业都能接得住。
声明: 本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。如涉及到版权问题,请及时和我们联系,核实后协商处理或删除。

