T∕CAGX 002-2026 电力行业数据负面清单识别指南

ICS35.030CCSL6440电力行业数据负面清单识别指南Guidelinesforidentifyingthenegativelistofdataintheelectricpowerindustry2026-02-28发布T/CAGX002—2025前言 12规范性引用文件 13术语和定义 13.1负面清单NegativeList 13.2正面清单PositiveList 13.3无条件共享UnconditionalSharing 13.4有条件共享ConditionalSharing 13.5不予共享NonSharing 13.6无条件开放UnconditionalOpening 23.7有条件开放ConditionalOpening 23.8不予开放NonOpening 23.9数据资源目录DataResourceDirectory 23.10数据生命周期DataLifecycle 24基本原则 24.1科学实用原则 24.2边界清晰原则 24.3最小化原则 24.4共享原则 24.5持续改进原则 25数据负面清单识别规则 25.1电力数据负面清单识别框架 25.2数据开放识别框架 35.3电力数据负面清单识别方法 36数据负面清单识别流程 46.1数据资源梳理 46.2建立数据资源目录 46.3数据负面清单梳理 46.4建立数据负面清单 46.5数据负面清单更新 46.6建立数据负面清单组织保障体系 56.7建立数据负面清单制度保障 5参考文献 6ⅡT/CAGX002—2025本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由广西计算机学会提出并归口。本文件起草单位：广西电网有限责任公司、广西产业技术研究院人工智能与大数据应用研究所有限公司、桂林电子科技大学、广西壮族自治区信息中心、深圳昂楷科技有限公司、广西海轮科技有限公司、广西友邦永信网络技术有限公司。本文件主要起草人：张希翔、艾徐华、谭期文、李文战、申超胜、韦杰、王子民、徐华福、银源、韦宗慧、李俊、董贇、甘凯今、梁奔香、黄依婷、包乙春、吴鹏、甘东觉、周子煦、秦绍海、蒙颢文、林金智、兰杰、蒙剑强、黄鑫、梁全栋、黄燕燕、陈佳、万义飞、舒杰。本文件是首次制定。1T/CAGX002—2025电力行业数据负面清单识别指南本文件界定了电力行业数据负面清单识别的术语和定义，给出了基本原则、数据负面清单的识别规则、数据负面清单的识别流程的指导。本文件适用于电力行业的数据管理者、运营者等角色，包括电力公司、监管机构、数据安全专家等，旨在指导如何识别和管理电力数据负面清单。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069GB/T35273GB/T35295GB/T38667TCSEIA1003信息安全技术术语信息安全技术个人信息安全规范信息技术大数据术语信息技术大数据数据分类指南能源工业互联网平台发电侧电力数据的分类分级规范3术语和定义GB/T35295和GB/T25069界定的以及下列术语和定义适用于本文件.3.1负面清单NegativeList因为包含敏感信息、受到法律保护或可能影响国家安全、个人隐私和企业商业秘密的数据，不能直接共享或开放，需要经过特定审批流程和安全处理后才能使用的清单。3.2正面清单PositiveList可以无需额外审批即可在内部或外部共享或开放的数据清单，通常不包含敏感信息，且共享或开放不会带来安全风险。3.3无条件共享UnconditionalSharing指数据可以自由地在组织内部或与合作伙伴之间共享，无需任何附加条件或限制。3.4有条件共享ConditionalSharing指数据共享需要满足特定条件，如签署保密协议、限定使用范围或目的等，只有符合这些条件时才能进行共享。3.5不予共享NonSharing指因数据包含敏感信息或属于机密信息，出于安全和隐私保护的考虑，不允许在任何情况下共2T/CAGX002—2025享。3.6无条件开放UnconditionalOpening指数据可以向公众或指定群体完全公开，无需任何限制或附加条件。3.7有条件开放ConditionalOpening指数据开放需要遵守一定规则或条件，如注册账号、申请审批等，只有符合这些条件时才能访问数据。3.8不予开放NonOpening指数据由于其敏感性或保密性，不向外界发布，仅在严格的安全和隐私保护措施下内部使用。3.9数据资源目录DataResourceDirectory指对数据中有价值、可用于分析和应用的数据进行提炼形成的目录体系。3.10数据生命周期DataLifecycle指数据从创建到销毁的全过程，涵盖数据在组织内的采集、存储、使用和销毁等阶段。4基本原则4.1科学实用原则从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。4.2边界清晰原则数据共享和开放的边界清晰，对不同共享和开放要求的数据采取相应的保护措施。4.3最小化原则关键业务信息纳入负面清单的较少，符合电力数据“最小化”要求。4.4共享原则坚持“以共享为原则，不予共享为例外”，明确数据共享范围和要求。4.5持续改进原则鼓励定期审查和更新数据负面清单，以适应技术发展和业务变化。5数据负面清单识别规则5.1电力数据负面清单识别框架5.1.1常见业务分类根据行业领域特点，由相关业务主管和监管部门主导，基于业务属性对数据进行初步分类。细化分类依据如下：[1]业务领域：考虑业务范围、种类或功能；[2]责任部门：依据管理职责划分；3T/CAGX002—2025[3]描述对象：关注数据描述的具体实体；[4]流程环节：覆盖从生产到消费的全过程；[5]数据主体：区分不同数据的所有者；[6]内容主题：按数据表达的主题归类；[7]数据用途：明确数据的应用目的；[8]数据处理：涉及的数据操作类型及程度；[9]数据来源：指明数据获取的方式与渠道。5.1.2法律法规特别要求对于特定类别（如个人信息）的数据，需遵循相应的法律规范进行额外的识别与分类。5.2数据开放识别框架[1]无条件开放：向公众或指定群体完全公开的数据，无需任何限制；[2]有条件开放：需要遵守一定规则（如注册账号、申请审批）后方可访问的数据；[3]不予开放：不向外界发布的机密性极高的数据。5.3电力数据负面清单识别方法5.3.1数据分类识别方法[1]明确数据范围：按照行业领域主管（监管）部门职责，明确本行业本领域管理的数据范围；[2]细化业务分类：结合部门职责分工，明确行业领域或业务条线的分类。可按照业务范围、运营模式、业务流程等，细化行业领域或明确各业务条线的关键业务分类，也业务属性分类，选择合适的业务属性，对关键业务的数据进行细化分类；[3]确定分类规则：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则。例如，可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则；也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。5.3.2数据共享识别方法[1]评估共享影响：深入探讨不同类型数据共享后的正面效果以及潜在风险；[2]确立共享原则：结合业务需求、法律要求等因素，为每种类型的数据设定清晰的共享类别；[3]实施审核机制：针对“有条件共享”的数据设立专门的审查机制，确保符合既定标准；[4]定期复审更新：随着环境变化和技术进步，定期回顾并调整数据共享政策，保证其始终有效且合理。5.3.3数据开放识别方法[1]评估开放影响：深入探讨不同类型数据开放后的社会价值以及潜在风险。[2]确立开放策略：结合公共利益、用户需求等因素，为每种类型的数据设定清晰的开放类别；[3]实施审核机制：针对“有条件开放”的数据设立专门的审查机制，确保符合既定标准；[4]建立反馈渠道：设立反馈渠道以调整开放策略，同时监测潜在的安全威胁；[5]定期复审更新：随着环境变化和技术进步，定期回顾并调整数据开放政策，保证其始终有效且合理。5.3.4数据负面清单识别方法电力数据负面清单的判定基于数据分类分级管理体系，通过共享开放双维度进行综合评估，具4T/CAGX002—2025体实施流程如下：[1]分类前置处理：在完成数据分类管理的基础上，分别采用数据共享识别矩阵与数据开放识别模型对数据属性进行双重验证；[2]负面清单判定标准：若数据同时被判定为不可共享与不可开放，则自动纳入负面清单数据库。该类型数据实施全流程管控，禁止对外传输及开发利用。[3]正面清单管理机制：未列入负面清单的数据自动归入正面清单，可依据其共享开放属性在授权范围内进行合规应用。系统将根据数据安全级别动态匹配相应级别的共享开放策略。6数据负面清单识别流程6.1数据资源梳理牵头部门应牵头全面梳理企业内部的所有数据资源，业务部门和技术部门配合数据梳理工作，梳理的内容包括以物理或电子形式记录的数据表、数据项、数据文件等，明确数据梳理的要求，包括数据内容描述、数据量、保存位置、保存期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对内共享情况（数据接口、数据中台、数据传输）、数据对外开放情况（开放转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等内容。[1]应对电力行业重要的业务流程进行分析，绘制业务流程图；[2]应根据业务流程，梳理每个业务节点所产生的数据资源；[3]应明确业务节点的数据资源的访问对象、访问权限、处理单元、存储单元、传输单元等。6.2建立数据资源目录应对每个部门的所有数据资源进行逻辑汇聚，对所有部门的数据集合，进行合并然后统一列表，形成数据资源列表。根据电力行业数据自身管理特点，按照树形结构，建立数据资源分类目录树。6.3数据负面清单梳理应根据数据负面清单识别方法，采用人工与技术手段相结合的方法，实现数据资源的梳理与分类、共享、开放判定，并针对数据进行数据负面清单标识。表1数据共享、开放与负面清单和正面清单的对照关系6.4建立数据负面清单应根据数据负面清单梳理情况对数据资源进行负面清单标识后，输出企业或组织的数据负面清单。清单内容至少包括所属部门、所在系统、数据类型、负面清单标识、数据开放状态、数据共享状态等。且应建设必要的网络数据资源清单管理技术手段，确保网络数据资源清单内容覆盖全面、信息真实完整。6.5数据负面清单更新5T/CAGX002—2025数据负面清单应根据预定的计划进行定期审核和更新，以确保其反映最新的业务需求和法律法规变化。负面清单的更新应遵循如下机制：[1]定期审核与更新：数据负面清单必须依据既定的时间间隔进行系统性审核，以确保其能够反映最新的业务需求和法律法规的变动。应制定一个明确的定期更新计划，该计划应符合行业监管部门的要求，并适应组织自身的业务需求；[2]灵活调整：定期更新计划应保持灵活性，以便根据业务发展和外部环境的实际变化进行必要的调整。任何业务流程的变更、数据处理活动的变化或数据管理系统的更新都应触发对数据负面清单的及时审查和更新；[3]例行更新执行：按照预定的更新计划，执行例行的数据负面清单更新，确保清单内容的准确性和完整性。每次更新均应详细记录，包括更新的内容、执行人员和变更原因，以备未来审计和合规性检查之用。6.6建立数据负面清单组织保障体系数据负面清单识别工作的开展应有组织保障，应明确：[1]数据负面清单的决策机构和最高责任人。决策机构负统筹和决策职责，决策数据负面清单识别管理工作的目标、内容、标准规范等。决策机构的最高责任人对数据负面清单识别管理工作负全面领导责任；[2]数据负面清单的牵头部门。牵头部门负责牵头推动数据负面清单工作的开展，牵头部门负责按照决策机构议定的工作目标和要求开展数据负面清单工作，牵头制定企业数据负面清单管理办法、制度、流程、标准规范，协调解决负面清单工作中的问题，牵头进行数据负面清单工作的评价；[3]数据负面清单管理的实施部门，实施部门负责本部门数据负面清单的具体实施工作，具体包括：按照牵头部门制定的制度、流程、规范等梳理本部门的数据资源，并提交给牵头部门。6.7建