“
随着海外新能源项目不断发展壮大,越来越多的企业开始重视数据合规问题。与互联网消费、金融、通讯等行业不同,储能、光伏等海外新能源项目的业务场景高度聚焦于设备运行、能源调度与项目运维,其数据收集与处理活动中,个人数据占比极低。这类项目涉及的个人数据多为少量现场运维人员的身份信息、云端数据端口的用户信息、联络方式或业主方对接人的基础信息,个人数据合规从欧盟GDPR 到中国《个人信息保护法》,再到东南亚国家的 PDPA 法案,个人数据的收集边界、知情同意程序、跨境传输路径等均有明确标准,可参考执行。
非个人数据尤其是工业数据领域合规应为新能源出海企业目前的数据合规重点。一方面,新能源项目的核心数据资产均为非个人数据;另一方面,工业数据兼具技术敏感性、产业关联性与国家安全属性,各国立法尚未形成统一标准,且针对新能源行业的专项合规指引较少。因此,本文聚焦海外新能源项目的非个人数据合规问题,结合各国法律与实务场景进行分析。
”
一、海外新能源项目涉及的非个人数据类型及性质界定
(一)核心非个人数据类型
海外新能源项目(涵盖光伏电站、储能系统、风光储一体化项目等)的非个人数据贯穿项目全生命周期,按业务场景可分为以下四大类,且与BMS(电池管理系统)、EMS等运行数据高度重合:
1.设备运行与状态数据:包括储能系统单体电池/ 电池簇的电压、电流、SOC(荷电状态)、SOH(健康状态)、温度等核心参数;光伏组件的发电量、转换效率、面板温度、故障告警信息;PCS(储能变流器)的功率、功率因数、频率等运行数据;以及风机、逆变器等各类设备的运行状态、维护记录、故障代码等。
2.系统调度与能源数据:涵盖EMS (能量管理系统)采集的全网负荷数据、能源供需平衡数据、充放电策略指令数据;项目日 / 月 / 年度发电量、上网电量、储能充放电量等统计数据;电网接入点的电压、频率、潮流分布等数据;以及响应电网调度的调频、调峰指令执行数据以及云端服务器整体采集和传输的数据。
3.项目设计与工程数据:包括项目选址勘测数据、地质数据、周边环境监测数据;电站/ 储能站的总平面布置图、设备安装图纸、电气接线图等工程技术文件;设备技术参数说明书、核心零部件规格型号数据;以及施工过程中的质量检测数据、竣工验收报告等。
4. 安全与环境数据:涉及电池舱/ 设备舱的消防告警信号、温湿度监测数据、门禁状态数据;储能系统的热失控预警数据、消防系统运行记录;项目运营期的噪声监测数据、生态影响监测数据、废弃物处理记录等。
(二)非个人数据的性质界定:为何不属于个人数据
根据全球主流数据立法的定义(如GDPR、中国《个人信息保护法》),个人数据是指 “以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,核心特征是 “可识别性”—— 即能够单独或与其他信息结合识别特定自然人。海外新能源项目的上述数据之所以被界定为非个人数据,核心原因如下:
1.数据主体不指向自然人:所有数据均围绕设备、系统、项目或能源网络产生,数据主体是新能源项目资产、设备厂商或能源系统本身,不涉及任何自然人的身份标识、行为记录或隐私信息。
2.不具备可识别性:此类数据无论单独使用还是与其他公开信息结合,均无法识别特定自然人。即使数据中包含设备编号、项目编号、系统用户(非自然人用户)等标识,也仅指向具体设备或项目,而非自然人。
3.数据用途与自然人权益无关:数据的核心用途是保障设备安全运行、优化能源调度效率、支撑项目运维管理,不涉及对自然人的画像、评估或权益影响。
需要特别说明的是,若工程数据或运维记录中偶然包含运维人员的姓名、工号等信息,应进行数据脱敏处理—— 剥离可识别自然人的信息后,剩余数据仍属于非个人数据;若需保留个人信息,则需单独遵循个人数据保护规则。
//////
二、主要国家/ 地区非个人数据合规的法律规定与适用
对于非个人数据的收集、处理、存储及跨境传输,首先应遵循所涉及国家当地法律法规的规定,同时也要考虑行业自律规范和标准、常规操作、合同义务等因素综合执行。
中国
安全优先、分级分类监管的工业数据合规体系
中国针对非个人数据的监管以工业数据为核心,通过法律、行政法规、部门规章共同监管,主要为:
·《能源行业数据安全管理办法(试行)(征求意见稿)》
2025年9月国家能源局发布《能源行业数据安全管理办法(试行)(征求意见稿)》,以《数据安全法》《网络安全法》《个人信息保护法》等为法律依据,根据数据重要性、精度、规模、安全风险等,能源行业数据分为一般、重要、核心三级。
法律框架方面,重要数据每年需至少一次风险评估,安全防护要求需满足三级以上网络安全等级,核心数据额外要求优先使用商用密码及委托第三方进行网络安全评估,关键岗位人员需要国家安全背景审查。分级分类制度给能源企业提供了明确的数据管理思路,能源企业需首先完成数据识别和分级,这是满足国内数据合规的前提。
责任主体方面,明确了能源数据处理者主体责任,特别强调了数据处理者法定代表人是第一责任人,分管领导为直接责任人。加大了能源企业的内部管理要求。光伏、储能、风电企业规模化发展,掌握大量电站、电网、业主端能源数据信息,更应结合自身业务,评估数据等级,对于可能纳入重要或核心能源数据范围的,严格管理。
运营管理方面,数据收集和存储需落实等级保护与密码保护,委托处理环节不得转嫁责任,共享调用环节需加强监测与风险隔离,重要核心数据出境环节需申报安全评估,日志留存环节重要数据至少1年、核心数据至少3年。这对电力企业的业主端项目维护,数据跨境传输通讯,电网数据共享、分包商合作(如储能委托运维)均构成强制性约束。
·《数据出境安全评估办法》
2022年9月,国家网信办发布并执行《数据出境安全评估办法》,对数据处理者向境外提供在中国运营收集和产生的重要数据和个人信息安全评估进行规范。
在数据出境传输方面,企业向境外传输重要数据需通过所在地省级网信部门向国家网信部门申报数据出境安全评估;评估结果有效期2年,有效期内数据出境目的、方式、范围等发生变化或延长境外保存期限的,需重新申报,要求企业主动履行申报义务/重新评估义务。
该办法和上述《能源行业数据安全管理办法(试行)(征求意见稿)》对能源企业的要求如出一辙,对于储能,光伏,风电企业在向境外提供系统服务时,可能涉及将国内的系统重要数据传输到海外项目,此时应注意符合该办法的申报义务。未按规定申报评估擅自向境外提供重要数据的,需承担法律责任。
·《工业和信息化领域数据安全管理办法(试行)》
2022年12月,工业和信息化部发布《工业和信息化领域数据安全管理办法(试行)》,规范工业数据处理,并加强数据安全管理。
运营义务方面,《工业和信息化领域数据安全管理办法(试行)》同样要求企业对工业数据进行分级分类,分为一般数据、重要数据和核心数据。同时需按工信部制定的标准形成本单位具体目录,对于重要数据和核心数据目录需向本地区行业监管部门备案,备案内容含数据来源、类别、级别、规模、跨境传输计划、安全保护措施等。
责任主体方面,比《能源行业数据安全管理办法(试行)(征求意见稿)》更加严格,数据处理者的法定代表人或主要负责人为数据安全第一责任人,领导团队中分管数据安全的成员为直接责任人。
数据跨境传输方面,要求境内收集产生的重要/ 核心数据,若法律、行政法规有境内存储要求,必须在境内存储。确需向境外提供的,需依法依规进行数据出境安全评估(无评估不得出境)。违反上述规定将可能面临没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等处罚。
总结:中国对非个人数据的立法遵循“安全优先、分级分类监管、风险可控” 的原则。监管原则包括三方面:一是保障国家能源安全与工业体系安全,防止核心工业数据出境导致技术优势丧失或能源系统被攻击;二是坚持分类分级保护、全生命周期管控、权责对等。明确工业和信息化领域数据的分级标准,对不同级别数据的收集、存储、出境等环节提出差异化要求;三是在安全前提下促进数据要素流通,降低企业合规成本,促进数据依法有序自由流动,为数字经济高质量发展提供保障。
欧盟
自由流动与安全保障平衡的监管框架
欧盟针对非个人数据的监管以《非个人数据自由流动框架条例》(Regulation 2018/1807)为基础,结合《网络与信息系统安全指令》(Directive (EU) 2022/2555)和 GDPR 的相关补充,形成了全面体系:
·《非个人数据自由流动框架条例》(Regulation (EU) 2018/1807)
《非个人数据自由流动框架条例》属于欧盟法规(Regulation) 级别,具有直接适用、优先于成员国国内法的强法律效力。
条例适用于两类非个人数据处理活动:一是向欧盟境内用户提供数据处理服务(无论服务提供商是否在欧盟设立);二是欧盟境内的个人、企业或组织为自身需求开展的数据处理,境外仅为境外主体服务的数据处理活动不适用本条例。
其核心监管内容:一是禁止成员国设置无正当理由的数据本地化要求;二是明确混合数据集的适用规则,若数据集中个人数据与非个人数据不可分割,优先适用GDPR,仅非个人数据部分适用本条例;三是允许成员国仅在公共安全等特殊情形下限制非个人数据流动,且限制需有明确法律依据。
该条例的监管原则是不对非个人数据设置额外的“出境限制”(仅规范欧盟境内流动,不直接约束向欧盟境外的传输),但允许成员国以 “公共安全/公共卫生” 理由,限制数据流动,并要求数据处理者需向监管机构披露数据存储位置与处理目的。
条例虽然没有限制非个人数据的境内外流动,但是实务上,应尽量避免非个人数据跨区或跨境流动,对于海外公司项目或海外公司全资或控股的子公司在欧盟运营的项目,“公共安全”的例外反而成为监管非个人数据的手段。企业应设置数据保护机制及备案机制,以防应对权力机关(public authority)的审查。
·《网络与信息系统安全指令》(DIRECTIVE (EU) 2022/2555;NIS 2 Directive)
《网络与信息系统安全指令》是指令(Directive),不具备直接适用性,需成员国通过立法程序将其核心要求转化为国内法。但成员国必须制定严于本指令的国内法,所以本指令是欧盟网络信息安全的最低标准。
指令明确规定出高关键性行业(Sectors of High Criticality)也即公共基础设施(public infrustructure)行业, 包括能源(电力、输配电、供暖、油气)、交通(航运、铁路、水路、公路)、银行、金融市场基础设施、健康、饮水、数字基础设施等。 在高关键行业中会在定义出关键实体(Essential Entities)和重要实体(Important Entities),关键实体和重要实体承担网络安全风险管理责任,需建立全生命周期数据安全制度,覆盖风险评估、漏洞管理、事件处置、业务连续性计划(如数据备份、灾难恢复方案);并应采取技术措施:数据加密(如AES-256)、多因素认证、网络实时监控、定期软件更新,且需符合欧盟网络安全标准(如 ISO/IEC 27001)。
此外,关键实体还承担额外义务,需受成员国管机构的“事前 + 事后” 双重监管,包括定期现场检查、第三方安全审计(每年至少 1 次);需向监管机构提交年度 cybersecurity 合规报告,披露风险评估结果、整改措施及资源投入。
企业在欧洲境外提供高关键性行业服务的(如为欧盟能源企业提供云服务),无论总部所在地,均需遵守NIS2 指令;必须在欧盟指定 “授权代表”(Representative),代表需位于服务覆盖成员国境内,负责接收监管通知、提交报告。
企业子公司若在欧盟成员国注册为独立法人,视为“欧盟境内实体”,按其所在行业与规模认定为 “关键实体” 或 “重要实体”,与本土企业适用相同标准。
违反 NIS2 指令或成员国内法的将面临最高罚款为 1000 万欧元或全球年营业额 2%(取较高者),可暂停业务许可或禁止高管履职。
·《混合数据集处理中的适用边界的指引》《“Guidance on the interaction between Regulation (EU) 2018/1807 (Free Flow of Non-Personal Data) and Regulation (EU) 2016/679 (GDPR) regarding mixed datasets”》
《混合数据集处理中的适用边界的指引》是《欧盟非个人数据自由流动框架条例》和GDPR互动关系的说明性指引,尤其针对包含个人数据与非个人数据的数据集。
指引的核心作用是解决“混合数据集”(同时包含个人数据与非个人数据)的合规处理问题:若两类数据可拆分,非个人数据部分适用《非个人数据自由流动框架条例》;若不可拆分,则优先适用 GDPR。
指引明确区分两类数据的核心原则是“以 GDPR 个人数据定义为基准,通过‘是否可识别自然人’反向界定非个人数据”,即个人数据需符合 GDPR 的 “可识别性” 要求,非个人数据则是排除个人数据后的剩余数据,二者呈 “非此即彼” 的界定逻辑。
指引原则上鼓励数据自由流动,但是同样受制于公共安全/公共卫生方面的例外,可参考《非个人数据自由流动框架条例》部分。
总结:
欧盟关于非个人数据监管遵循“自由流动、安全保障、统一监管” 三大原则。核心目的是打破成员国间的数据壁垒,促进数字单一市场建设;同时通过强化公共基础设施的数据安全保护,防范网络攻击与数据泄露风险,保障能源安全与公共利益;此外,通过明确非个人数据与个人数据的监管边界,为企业提供清晰的合规指引。企业应秉持欧盟数据内部存储,严格执行数据保护,备案管理,并符合欧盟网络安全标准,以防范潜在风险。
美国
行业自律与安全审查结合的分散监管模式
美国未制定统一的非个人数据保护法,采用“联邦立法 + 州级立法 + 行业规则” 的分散监管模式,针对新能源行业的核心规定包括:
联邦层面:
·《计算机欺诈和滥用法案》(CFAA)
禁止非法获取或破坏工业数据系统;CFAA 通过界定“非法访问”“超授权访问”及“数据篡改”等犯罪行为,限制对非个人信息(如政府非涉密数据、金融机构行业数据、企业商业数据等)的违规处理。针对非个人信息的“处理”(如修改、删除),法案对“故意破坏计算机内信息”的行为设定刑事处罚,无论该信息是否关联个人身份。
对非个人信息“跨国传输”的要求:以“州际/外国通信”为管辖连接点,涉及州际或外国通信”的计算机纳入“受保护计算机”范围,间接对跨国传输的非个人信息设定访问限制,若非个人信息通过此类计算机跨国传输(如美国企业与境外机构共享跨州存储的行业数据),则对该信息的访问需符合传输前的授权要求,和传输后的用途限制,否则可能因“未经授权访问”触发 CFAA 责任。
·《2022 年关键基础设施网络事件报告法》(Cyber Incident Reporting for Critical Infrastructure Act of 2022,CIRCIA)
CIRCIA是《2022 年综合拨款法》(Consolidated Appropriations Act, 2022)的一个部分。CIRCIA规定能源基础设施服务提供方(如电网运营商、工业控制系统服务商等)属于 CIRCIA 定义的“覆盖实体”(covered entity),其运营的工业控制系统(如 数据采集与监控系统SCADA、分布式控制系统DCS)及相关数据受CIRCIA约束。
储能供应商在海外项目运行中会广泛使用SCADA收集关键数据,监控设备状态,储能企业应关注CIRCIA的数据合规要求。
CIRCIA 明确要求能源基础设施服务提供方保护工业数据的保密性、完整性和可用性,尤其针对工业控制系统相关数据。
网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA) 作为核心监管机构,有权通过“信息请求” 或 “传票” 调取能源服务提供方的工业数据,用于调查网络安全事件。违反CIRCIA或被CISA核查发现违规情况可面临项目停及整改处罚。
州级层面:
加州《消费者隐私法》(CCPA)及《隐私权法案》(CPRA)虽侧重个人数据,但对非个人数据的匿名化处理提出要求;德州、佛罗里达州等能源大省通过行业规范要求新能源项目的数据存储需满足安全可控要求,部分项目明确数据本地化存储。
跨境传输方面:
美国无统一的非个人数据跨境传输限制,但针对涉及国家安全的新能源核心技术数据,通过《出口管制条例》(EAR)进行管控,若数据包含受管制的技术信息,跨境传输需获得商务部工业与安全局(BIS)的许可。
总结:
美国的立法遵循“市场导向、行业自律、安全优先” 原则。
美国对于公共基础设施数据监管严格,核心目的是保障国家能源安全和网络安全。数据跨州或跨境传输赋予联邦管辖权,同时各州对于数据保护也有相关法律法规规定。企业面临联邦集中监管和各州分化式监管,对于在美国的新能源项目,应尽量在项目所在地收集和处理非个人数据,避免跨境或跨州传输,并采取安全措施进行保护和保存,以便满足监管要求。
东南亚地区
借鉴国际经验、兼顾本地需求的差异化监管
东南亚是中国新能源企业出海的核心市场,各国非个人数据立法多借鉴GDPR 与新加坡 PDPA 框架,同时结合本国能源安全需求制定差异化规则,核心代表国家如下:
新加坡:
核心规定:《个人数据保护法》(PDPA)明确排除非个人数据的适用,非个人数据的收集与处理原则上不受限制,但《网络安全法》要求新能源等关键基础设施运营者保障工业数据的安全性与完整性;数据跨境传输无强制本地化要求,但需确保接收方具备同等安全保护水平,且需留存数据传输记录供监管机构审计。
印度尼西亚:
核心规定:《个人数据保护法》与《电子信息与交易法》构建了数据监管体系,要求涉及公共利益的新能源项目数据需在印尼本地存储(即数据本地化要求);非个人数据跨境传输需经通信与信息技术部批准,且需满足数据脱敏、安全评估等条件;企业需建立数据安全管理制度,定期提交合规报告。
马来西亚:
核心规定:《个人数据保护法》不适用非个人数据,但《网络安全法》将新能源项目列为关键基础设施,要求运营者采取必要措施保护工业数据;非个人数据跨境传输无强制本地化要求,但需通过监管机构认可的安全评估,且需向监管机构报备传输目的地与用途。
其他重点地区
阿联酋:
《数据法》强调境内数据中心的使用,要求新能源等关键行业的非个人数据需存储在本地数据中心,企业对数据的完整性与可控性负直接责任;跨境传输需确保出境数据的保密性、完整性、可用性,出境前必须实施适当的安全措施(如加密、访问控制、数据脱敏),需留存数据出境的完整记录(包括出境目的地、接收方、数据类型、传输目的、安全措施),留存期限至少为数据处理活动终止后2 年。其立法核心是维护数据主权与能源安全,强化本地数据管控能力。
日本:
《个人信息保护法》(APPI)明确区分个人数据与非个人数据,非个人数据的收集与处理原则上自由,但《网络安全基本法》要求新能源企业保障工业数据安全;跨境传输需披露数据存储国家及用途,且需经过受信机构认证,立法目的是平衡数据自由流动与网络安全保障。
//////
三、海外新能源项目数据本地存储的必要性
从实务操作角度,海外新能源项目的非个人数据“本地存储、避免跨境传输” 是兼顾合规要求与运营效率的最优选择:
(一)业主使用便利:保障项目运营效率
新能源项目的设备运行数据、调度指令数据需实时处理—— 储能系统的充放电策略调整、光伏电站的故障应急处置均依赖低延迟的数据访问。若数据跨境传输,可能因网络延迟导致调度指令执行滞后,或运维人员无法及时获取设备故障信息,影响项目运行效率甚至引发安全事故。本地存储可实现数据毫秒级响应,保障 EMS 与 BMS 系统的实时决策需求。
跨境数据传输需承担高额的网络带宽费用、数据中心租赁费用,且需投入额外资源搭建跨境数据安全传输通道(如加密专线)。本地存储可显著降低这些成本,同时减少因跨境传输故障导致的运维成本增加,提升项目整体经济效益。
(二)合规风险控制:满足各国监管要求
规避数据本地化违规风险:如前文所述,印度尼西亚、阿联酋等国明确要求关键行业,如新能源项目的重要或核心数据本地存储,欧盟、美国部分州也通过行业规范间接要求关键基础设施数据本地化。若企业强行将数据跨境传输,可能直接违反当地立法,面临高额罚款,或被责令停止数据处理活动,导致项目停运。
简化跨境传输合规流程:即使在无强制本地化要求的国家,关键行业核心数据跨境传输也需满足安全评估、接收方资质审核、传输记录留存等要求,合规流程复杂。本地存储可直接规避跨境传输环节,减少合规审核成本与时间成本,降低因流程疏漏导致的合规风险。
防范数据安全与监管审查风险:跨境数据传输过程中,数据被窃取、篡改的风险显著增加,且可能面临传输路径沿线国家的监管审查。本地存储可通过私有化部署(如部署在项目所在地的IDC 数据中心)实现数据隔离与安全管控,满足当地对数据 “可控、可查、可追溯” 的监管要求,同时降低数据泄露的安全风险。避免各国因政策不稳定,或国家安全因素,对企业进行突袭,影响企业项目运行。
//////
四、各国非个人数据合规要点总结与企业操作建议
主要国家/ 地区合规要点总结
|
国家 / 地区 |
核心合规要点 |
数据存储要求 |
跨境传输规则 |
|
中国 |
分类分级保护(核心工业数据严格管控);建立数据安全管理制度;重要数据出境需安全评估 |
一般工业数据无强制本地化,核心工业数据原则上本地存储 |
重要数据需经国家网信部门安全评估,核心数据禁止出境 |
|
欧盟 |
遵循《非个人数据自由流动框架条例》;关键基础设施数据需满足NIS2指令安全要求 |
无强制本地化,但允许成员国以“公共安全/公共卫生” 理由,限制数据流动,并要求数据处理者需向监管机构披露数据存储位置与处理目的 |
涉及公共安全/公共卫生的非个人数据,限制数据流动 |
|
美国 |
遵守CFAA与能源行业网络安全规则;受EAR管制的技术类数据需出口许可 |
无统一强制要求,CFAA主要打击非法访问行为 |
一般数据自由流动,涉国家安全的技术类数据需BIS许可 |
|
东南亚 (印尼) |
公共利益类数据强制本地存储;跨境传输需监管机构批准 |
核心数据须本地存储 |
需经通信与信息技术部批准,满足数据脱敏要求 |
|
东南亚 (新加坡) |
关键基础设施数据需保障安全完整性;传输记录留存 |
无强制本地化要求 |
需确保接收方安全保护水平,留存传输记录 |
|
阿联酋 |
关键行业数据需存储在本地数据中心 |
核心数据须本地存储 |
需获得监管机构批准,仅限合法特定目的 |
//////
五、结语
海外新能源项目的非个人数据合规核心逻辑是在保障国家能源安全与数据主权的前提下,实现数据安全与运营效率的平衡。各国立法虽存在差异,但均呈现出“分类分级监管、安全优先、重要核心数据本地管控” 的趋势,数据本地化存储已成为最稳妥的合规选择。
企业要实现非个人数据合规,需首先了解自身项目和数据在项目地的性质和定位,并提高非个人数据合规风险意识,从整体合规技术难度上看,非个人数据合规比个人数据合规整体难度小,成本低,从项目开展前期就进行整体部署,将减少很多合规风险。需将合规需求嵌入项目全流程,才能在全球新能源市场竞争中实现“稳扎稳打”,既保障项目合法运营,又为企业长期发展奠定基础。
未来,随着全球数据治理体系的完善与新能源行业的技术迭代,非个人数据的合规边界将进一步清晰。企业需持续提升合规能力,加强国际合规合作,在遵循当地法律的同时,积极参与行业合规标准制定,为海外新能源项目的合规化、规模化发展提供支撑。
//////
本文转自:微信公众号“能源出海合规观察”
本文作者:申浩(北京)律师事务所合伙人武禹燊律师
如您需要法律意见或其他专家意见,应当向具有相关资格的专业人士寻求专业的法律帮助。
往期回顾:
申浩官网:
www.sunhold.com.cn
官方微信:
