专业解读

引言

2026年的今天，能源行业正站在全球能源转型与数字化浪潮的十字路口。分布式能源、微电网、虚拟电厂等新业态的迅猛发展，使得能源系统的数字化程度达到前所未有的深度。与此同时，网络安全威胁正以前所未有的速度和复杂性向能源行业渗透——勒索软件攻击、供应链安全事件、IT与OT融合带来的新型风险……能源关键基础设施面临的网络安全挑战日益严峻。

与此同时，监管层面的“组合拳”也在密集出招。国家能源局于2025年12月8日正式印发《能源行业数据安全管理办法（试行）》（以下简称“《办法》”），定于2026年7月1日起施行，有效期五年；世界经济论坛与埃森哲联合发布《2026年全球网络安全展望》报告，揭示了全球网络安全形势的高度复杂性与联动性；奇安信发布的“2026网络安全十大趋势”也指出，合规监管将告别“一刀切”，向金融、能源、关键信息基础设施等重点行业深度渗透。

近日，毕马威中国举办“能源行业网络安全与数据隐私”线上专题研讨会，聚焦出海业务网络安全新挑战、供应链安全生态构建、IT与OT融合安全管理以及AI时代的能源安全等核心话题。这一系列动向无不表明：能源行业的网络安全与数据隐私已从“技术话题”全面升级为“战略议题”。

本文将从监管政策演进、行业风险图景、出海合规挑战、技术前沿趋势以及合规建议等多个维度，对能源行业网络安全与数据隐私领域的最新市场动态和重要趋势进行全景观察与研判，以期为能源企业及其法律顾问提供实务参考。

一、监管政策深化：能源数据安全进入“行业化、精细化”新阶段

 （一）《能源行业数据安全管理办法（试行）》的核心要义

《办法》作为能源行业落实《数据安全法》的首个规范性文件，其出台具有里程碑式的意义。在此之前，工业、电信、自然资源等主管部门已相继出台了各自领域的数据安全管理办法，而能源领域此前尚存在制度空白。《办法》的发布填补了这一空白，标志着能源数据安全监管正式迈入系统化实施阶段。《办法》共六章三十七条，其核心制度设计体现在以下四个方面：

其一，建立数据分类分级保护制度。《办法》将不涉及国家秘密的能源行业数据分为一般数据、重要数据和核心数据三级，并对重要数据和核心数据的保护提出特殊要求。值得注意的是，《办法》明确规定

“仅影响组织自身或公民个体”的能源行业数据一般不作为重要数据，这一设计避免了数据分级扩大化，体现了监管的精准聚焦。

其二，建立重要数据目录机制。国家能源局负责建立并动态更新能源行业重要数据目录，全面了解掌握重要数据的基本信息、存储地点、安全防护等情况。这一机制为能源数据的精细化管理奠定了基础。

其三，建立数据安全风险评估机制。重要数据、核心数据处理者每年至少开展一次风险评估，重要数据出境、核心数据跨主体转移等均须依法依规开展风险评估。这意味着能源企业的数据安全工作不再是“一次性”工程，而是需要建立常态化的评估与审查机制。

其四，建立监测预警和应急处置机制。《办法》明确了国家能源主管部门、省级能源主管部门、数据处理者在监测预警和应急处置中的相应职责，构建了三级监管体系。此外，《办法》还明确规定法定代表人或主要负责人是数据安全第一责任人，强化了“一把手”责任。

（二）多维度政策协同与法律框架升级

《办法》的出台并非孤立事件，而是我国数据安全法律框架不断完善的重要一环。当前，中国网络安全与数据保护的法律体系已形成以《网络安全法》《数据安全法》《个人信息保护法》为核心，以《网络数据安全管理条例》《关键信息基础设施安全保护条例》等行政法规为支撑，以各行业部门规章为补充的多层次立体化监管格局。

特别值得关注的是，2026年的合规监管呈现出“三个更”的显著特征：更强的实质化——监管导向从“分数考核”向“实效落地”转变，新修订的《网络安全法》加大了对关基运营者的处罚力度；更细的场景化——监管从“一套规则打天下”向场景治理转变；更深的链条化——供应链与跨境将继续成为高频审查点。能源企业必须充分认识到，合规工作已从“应对检查”升级为“战略必选”。

二、风险图景升级：能源行业面临的多重网络安全威胁

（一）地缘政治冲突向网络空间延伸

当前国际地缘政治的深刻变化已直接投射到网络空间。世界经济论坛《2026年全球网络安全展望》报告指出，安全威胁正加速向“信息域、物理域、认知域”三个维度同步渗透。能源基础设施作为国家关键基础设施的重要组成部分，历来是网络攻击的重点目标。据相关研究显示，能源企业每天遭受的网络攻击次数可达百万级别。

在地缘政治紧张局势下，能源行业面临的网络威胁具有明显的“政治化”特征。攻击者的动机已从单纯的经济勒索转向战略破坏和情报窃取，攻击手段也更加难以侦测。特别是随着AI技术赋能网络攻击，攻击呈现出低成本、多维度、高烈度、隐蔽性强等新特征，这对能源企业的安全防御能力提出了更高要求。

（二）IT与OT融合带来的结构性风险

新型电力系统的建设正在深刻改变能源行业的技术架构。传统电网正向包含直流电网、交直流混联大电网、微电网和可调负荷的能源互联网转变，电网结构更加复杂、交互更加频繁。信息技术（IT）与运营技术（OT）的深度融合，在提升运营效率的同时，也打破了传统的“物理隔离”安全边界。

这种融合带来的风险是多层面的。首先，风险暴露面不断扩大：随着分布式电源、储能等设备终端广泛接入，家庭光伏、小风电等终端也接入电网，能源企业的安全边界已从核心网络延伸至海量边缘设备。其次，数据安全隐患急剧增加：新型电力系统引入多元主体，数据交互由传统单向采集转变为双向互动，数据流通共享、交叉访问、协同分析的需求剧增，数据共享与隐私保护矛盾凸显。再次，第三方风险传导效应显著：各种“光伏云”“空调云”“充电云”等新型电力市场主体涌现，运营技术通信网络从封闭、可信转向开放、不可信，外部主体的弱安全防护能力可能将网络安全风险传导至电力系统的涉控核心区域。

（三）供应链安全的系统性风险

供应链安全已成为能源行业网络安全的“阿喀琉斯之踵”。世界经济论坛报告指出，当前供应链安全的核心风险主要包括“继承风险”——无法保障第三方软硬件的完整性、“可见性风险”——缺乏对延伸供应链的洞察、“集中度风险”——过度依赖关键供应商，以及“采购风险”等。尽管近66%的组织会评估供应商的安全成熟度，但仅有33%会详细绘制供应链生态风险地图，27%会与合作伙伴开展应急演练。多数组织仍将供应链安全视为合规任务，而非动态的风险管理过程。

同时，云技术的广泛应用加剧了集中度风险。据该报告显示，61%的受访者认为云技术将在未来十二个月对网络安全产生显著影响。近年来多次发生的云服务全球故障事件，暴露了数字供应链对少数服务商的依赖风险。对于能源企业而言，构建更具韧性的供应链安全生态已迫在眉睫。

三、出海合规新挑战：多法域监管叠加下的能源企业数据合规

（一）“中国合规+东道国合规”的双重枷锁

中国能源企业的出海已从“产品输出”迈向“全产业链与生态全球化”。然而，伴随国际地缘政治变化，企业的跨境合规挑战日益凸显。跨境业务的开展往往面临数据跨域流转带来的两重核心挑战：一重是中国侧的数据跨境合规路径规划与合规留痕管理，另一重是海外市场侧的数据回传合规问题。

在中国侧，《促进和规范数据跨境流动规定》实施一年以来取得了积极成效，数据出境安全评估项目月均受理数量下降约60%，平均用时少于30个工作日。但便利化并不意味着监管要求的降低。特别是对于能源行业而言，电网运行数据、油气管道地理信息、核电站运行参数等数据一旦泄露可能直接威胁国家安全，其数据出境合规将面临更为严格的审查。《办法》也明确要求，重要数据出境、核心数据跨主体转移等均须依法依规开展风险评估。

（二）欧盟GDPR与美国数据安全规则的叠加影响

在海外市场侧，中国能源企业同样面临复杂的合规环境。欧盟对跨境传输与平台责任监管的持续演进，美国数据安全规则与出口管制政策的联动，使得中企出海面临更复杂的合规组合题。

在欧盟方面，GDPR的域外管辖效力已经通过多个执法案例得到了充分体现。值得关注的是，欧盟监管机构已明确，只要境外团队能够远程访问欧洲经济区内的个人数据，即可触发跨境传输合规要求。这对于在欧洲市场开展能源项目运营的中国企业而言，必须重新审视其数据访问架构和跨境传输机制。

在美国方面，其数据隐私立法呈现快速发展态势，已有14个州实施了全面的数据隐私法，另有6个州的法律在近期生效。这种分散化的立法模式使得企业需要同时应对联邦与各州的不同要求。此外，美国的数据安全规则与出口管制政策的联动效应也在增强，能源企业在数据跨境传输、敏感数据保护等方面面临更加严格的审查。

（三）能源企业出海合规实务建议

面对多法域监管叠加的复杂局面，能源企业应当采取系统化的合规策略。首先，应全面梳理所有从中国向境外传输个人信息的业务流，明确数据出境路径。其次，应识别不同法域的监管规则，建立与企业业务相匹配的数据出境、个人信息保护合规管理体系。再次，对于利用SCCs作为跨境传输工具的场景，应构建可复核、能自证的完整推理链，包括数据类别与敏感度、访问路径与主体、接收国法律风险、控制措施与补充保障措施等关键要素。

四、AI时代的能源安全：双刃剑效应与法律应对

（一）AI赋能网络安全的机遇与挑战

人工智能技术在能源网络安全领域的应用呈现出明显的双重属性。在防御端，AI技术在预测性维护、实时威胁检测及自动化响应中展现出强大潜力。据世界经济论坛报告显示，能源部门在AI安全应用方面侧重异常检测，约69%的能源企业已将AI用于安全异常识别。

然而，AI同样也是攻击者的利器。AI赋能的网络攻击具有更强的针对性和隐蔽性，可以实现自动化渗透测试、智能化社会工程攻击等。这种“攻守不平衡”正在加剧，安全防御的人机协同进入深水区。此外，AI技术的应用还带来了新的合规边界问题，包括训练数据来源合规、数据脱敏处理、个人信息保护影响评估、生成内容标识与滥用防控等。

（二）AI合规的法律框架与实务要求

在AI治理方面，监管框架正在加速形成。《人工智能全球治理行动计划》提出了开展人工智能安全治理的重要方向，包括及时开展AI风险研判、探索分类分级管理、建立风险测试评估体系、推进威胁信息共享和应急处置机制建设、完善数据安全和个人信息保护规范等。

对于能源企业而言，AI应用的合规要求是多层次的。企业需要将训练数据来源合规、数据脱敏处理、个人信息保护影响评估、生成内容标识与滥用防控等措施嵌入模型训练与上线流程，形成可解释、可证明的全链路证据。特别是在能源行业，AI的应用场景包括电力调度优化、设备预测性维护、能源交易预测等，这些场景涉及大量敏感的运营数据，其AI合规要求也相应更为严格。

五、量子计算、信创安全与前沿技术趋势

（一）后量子密码的前瞻性布局

量子计算对网络安全的潜在威胁已引起全球关注。据世界经济论坛报告显示，37%的受访者认为量子技术将在未来十二个月对网络安全产生影响，到2030年前量子计算可能对传统加密体系构成实质性威胁。对于能源企业而言，电力调度、油气管道控制等关键系统的加密机制可能面临被破解的风险，企业应当提前开展后量子密码迁移的技术评估和规划。

国内“密评”服务的逐步普及正在推动企业强化密码合规和管理。《关键信息基础设施商用密码使用管理规定》正在推动密码安全进入强制合规阶段。能源企业作为关键基础设施的重要运营者，应当将密码合规纳入整体安全战略。

（二）信创安全与自主可控

在中美科技博弈的大背景下，信息技术应用创新（信创）工程正在加速推进。政策层面要求央国企2027年底前实现所有信息化系统安全可控。能源行业作为国家关键基础设施，其信创替代进程尤为关键。然而，信创替代不仅是简单的产品替换，更涉及安全体系的重建。信创安全正从“合规替代”向体系化、规模化安全保障跃迁，能源企业应当以信创替代为契机，系统性地提升整体安全能力。

（三）零信任架构与数据安全技术创新

在技术层面，零信任架构正在成为能源行业网络安全的重要参考框架。与传统的边界防御模式不同，零信任架构假设任何访问请求都可能是不可信的，要求对每一次访问进行验证和授权。这种架构特别适合当前能源行业“开放化、多元化”的网络环境。同时，隐私计算技术为解决能源数据“可用不可见”的安全共享需求提供了新思路。这些技术在能源数据分类分级、智能动态加密和跨域可信溯源等方面的应用正在加速探索。

六、能源企业合规建设实务建议

（一）抢抓《办法》施行前的窗口期

《办法》将于2026年7月1日正式施行，目前正处于关键的准备窗口期。能源企业应抢抓这一时间窗口，系统性地推进合规建设。

第一、开展全面的数据盘点与分类分级。企业应全面梳理内部数据资产，依据《办法》的“一般-重要-核心”三级体系进行分类分级，建立并动态维护“重要数据目录”。特别要注意的是，能源行业的数据分级基准包括数据重要性、精度、规模和安全风险等多个维度，企业应建立与之匹配的内部评估标准。

第二、明确数据安全责任体系。根据《办法》的要求，法定代表人或主要负责人是数据安全第一责任人，还应设立专职数据安全管理机构。企业应快速制定覆盖数据全生命周期的安全管理制度，包括分类分级细则、目录管理流程、年度风险评估机制以及应急预案。

第三、建立常态化的风险评估与审计机制。《办法》要求重要数据、核心数据处理者每年至少开展一次风险评估。企业应将风险评估与日常安全运营紧密结合，建立“评估-整改-复测”全流程闭环管理机制。同时，应关注即将与《办法》配套发布的能源行业数据分类分级标准规范，及时对照调整内部管理措施。

（二）构建“合规+安全+业务”三位一体的网络安全体系

能源企业应当超越纯粹合规视角，将网络安全作为业务连续性、可靠性和完整性的重要保障。具体而言，应当在以下方面重点着力：在战略层面，将网络安全纳入企业战略规划，保障董事会对网络安全事务的深度参与。据研究显示，具有高度韧性的组织中，99%拥有深度参与网络安全事务的董事会。在技术层面，建设统一的安全管控中心，实现IT与OT的跨域统一监控；在运营层面，通过数字化手段实现网络安全工作的数字化管理和风险量化。

（三）重视外部专业支持与合规能力建设

能源行业网络安全与数据隐私合规的复杂性，决定了企业往往需要借助外部专业力量。在法律层面，企业应建立专业的法律合规团队或外部法律顾问体系，特别是在数据跨境、个人信息保护、AI合规等新兴领域，需要精通法律、技术与国际规则的复合型人才。在技术层面，应引入专业的网络安全服务机构，开展定期的安全评估和渗透测试。在培训层面，应加强全员网络安全意识培训，特别是针対IT与OT融合场景的专项培训。

结语

2026年是能源行业网络安全与数据隐私的关键之年。从《能源行业数据安全管理办法（试行）》的即将施行，到全球网络安全威胁的持续升级，再到多法域监管叠加下的出海合规挑战，能源企业正面临前所未有的复合型风险。

网络安全已不再是单纯的IT技术问题，而是数智化时代的核心业务经营需求。能源企业应当以《办法》的施行为契机，将合规建设从“成本项”转化为“竞争力”，将网络安全投资转化为业务价值，在确保安全合规的前提下抢占数字化转型的先机。

道可特网络安全和数据保护团队将持续跟踪能源行业网络安全与数据隐私领域的最新发展，为企业提供及时、专业的法律服务与合规建议。

声明

本文仅代表作者个人观点，不构成道可特律师事务所或其律师的正式法律意见。如需进一步咨询或讨论，请联系道可特律师事务所网络安全和数据保护法律服务团队。