一、政策基础信息
发布主体:国家能源局,配套《能源行业数据安全管理办法(试行)》落地执行
生效时间:2026 年 7 月 1 日起全面实施
适用范围:国内能源行业非涉密数据全生命周期管理;涉密数据仍按保密法管理;覆盖煤炭、油气、电力、风电、光伏、储能、氢能、虚拟电厂、电网、电站、逆变器厂商等全产业链主体
文件框架:共 4 章 15 条,包含总则、分类分级规则、核心 / 重要数据识别清单、附则四大模块
四大核心原则
依据明确:按设施规模、用户体量、泄露风险分级
边界清晰:所有数据均有明确等级
就高从严:多维度风险叠加,按最高等级管控
动态更新:业务、规模变化后同步调整数据等级
二、两大数据分类体系(覆盖光伏 / 储能全场景)
1. 按能源品种一级分类
煤炭、石油、天然气、核能、水电、风能、太阳能(光伏)、储能、氢能、电力、生物质能等
2. 按能源活动二级分类
规划、设计、场站建设、生产发电、储能调度、储运、用户用电消费、设备科研运维、并网控制等;企业可自行细化三、四级分类(逆变器运行、光伏电站监控、PCS 储能控制均纳入)
三、三级分级标准(核心判定:泄露后的危害程度)
1. 一般数据
泄露仅影响企业自身经营、单个普通用户,无区域 / 国家安全风险。举例:普通散户零散发电量、公开宣传数据、无坐标普通设备运维日志、单户居民用电基础数据。防护要求:基础网络安全、内部台账管理即可。
2. 重要数据
泄露 / 篡改会危害区域能源稳定、地方经济、公共安全。典型清单(新能源重点):
单机 100MW 及以上光伏 / 风电场100 米精度场站坐标、750kV 及以上变电站 / 换流站位置数据
1000 万户及以上电力用户原始用电数据、特级 / 军工重要用户用电数据
光伏电站、储能 PCS、虚拟电厂实时调度控制指令、并网调节参数
区域风光出力预测、省级电网短期负荷调度数据强制合规义务:三级等保、年度风险评估、全链路加密、操作日志留存 1-3 年;对外共享、出境必须安全评估,建立重要数据目录上报监管
3. 核心数据
泄露直接冲击国家能源战略、政治安全、全国能源供应稳定。典型清单:
1 亿户及以上全国级用户用电原始数据
全国主干电网、国家级储能枢纽、大型风光基地全域实时调控数据
连续一年以上军工 / 特级重点用户完整用电数据集
国家油气 / 电网总调度中心控制系统、千万千瓦级风光大基地完整运行数据最高防护标准:四级等保 / 关键信息基础设施防护;跨主体共享需国家能源局专项评估;全员背景审查、商用密码全覆盖、日志留存≥3 年,严禁无审批跨境传输
四、关键特殊规则(光伏 / 逆变器企业高频踩坑点)
衍生数据就高管理光伏、储能平台聚合多场站、多用户数据形成的统计数据集,若可反向还原原始场站坐标、用户用电信息,统一按原最高等级管控,不得随意降级国家能源局。
脱敏可降级经不可逆脱敏、无法还原原始敏感信息:核心数据可降为重要 / 一般,重要数据可降为一般;仅模糊统计值、无定位、无用户标识的汇总数据可放宽管控国家能源局。
逆变器、储能设备数据全覆盖逆变器远程通信日志、储能 PCS 充放电控制策略、云端平台下发调节指令、分布式光伏集群出力数据,全部纳入分级判定,不可豁免。
五、对光伏、储能、逆变器、虚拟电厂行业的直接影响
1. 逆变器 / 储能设备厂商(阳光、锦浪、固德威、德业等)
整机内置云端通信、远程运维模块采集的电站坐标、实时功率、用户用电数据,必须先分级;
海外出口、海外云平台存储国内光伏数据,必须完成数据出境安全评估;
禁止未经脱敏直接向境外服务器传输国内集中式光伏、工商业储能完整运行数据,与美国逆变器进口禁令形成双向数据安全约束。
2. 集中式光伏 / 储能电站运营商
百兆瓦级风光基地精确坐标、调度实时数据划为重要数据,机房、云平台必须三级等保;
多区域电站聚合平台自动生成数据目录,每年提交能源局风险评估报告。
3. 虚拟电厂(VPP)核心门槛提升
虚拟电厂聚合千家万户户储、分布式光伏,一旦聚合用户规模突破 1000 万,平台数据直接认定为重要数据;聚合超 1 亿户则升级为核心数据,数据治理能力成为行业硬性准入门槛,中小轻量化 VPP 平台合规成本大幅抬升。
4. 电网、分布式售电平台
户用光伏、储能聚合用电数据规模是分级核心红线,企业必须建立用户数据分级台账,禁止无脱敏对外出售原始用电明细。
六、企业落地合规实施步骤
全业务数据梳理:光伏场站、逆变器、储能、用户用电、调度指令全量盘点;
按指南判定一般 / 重要 / 核心,编制《能源数据分级目录》留存备查;
差异化防护:核心数据四级等保、重要数据三级等保;
数据全生命周期管控:采集脱敏、加密存储、访问权限分级、操作日志留痕;
年度风险评估,跨企业共享、跨境传输提前开展安全评估;
动态更新:电站扩容、聚合用户规模上涨后,同步上调数据等级。
七、政策深层导向
补齐新型电力系统数据安全规则,针对风光储、虚拟电厂数字化监管空白出台统一标准;
防范境外通过逆变器、储能云平台窃取国内能源设施坐标、电网调控数据;
衔接《数据安全法》《关键信息基础设施安全保护条例》,形成 “能源行业专项分级 + 通用网络安全” 双重监管;
约束能源数据无序跨境流动,对冲海外对华新能源设备数据安全限制(美国逆变器禁令),构建国内能源数据安全闭环。





