当前，以数据作为关键生产要素的数字经济时代已经到来，数据成为推动社会经济发展的核心动能，数据驱动的数字中国、数字政府和数字化转型等正在悄然重塑整个社会的社会活动和经济活动。《密码法》的颁布和实施使密码技术在法律层面上与数据产生了深度关联，且随着数据安全法律法规的逐步实施，密码技术在数据安全中扮演日益重要的角色，国家对密码技术和数据安全的高度重视，将推动密码技术在数据安全领域的深度应用。

一 数据安全合规形势将持续促进密码应用

2021年被称作数据安全元年，《数据安全法》与《个人信息保护法》先后于2021年9月1日和11月1日起正式施行，完善了我国在数据安全领域的顶层设计，与《国家安全法》《网络安全法》和《密码法》共同构建了我国网络空间安全法律框架，是我国数字经济时代重要法律基石。

数据安全法规标准体系的进一步完善，将从两方面促进密码产业的发展。

（一）法律法规的引导作用，为密码产业指明了市场发展模式。

2018年，国家下发重要文件，着重对基础信息网络、重要信息系统、重要工业控制系统和面向社会服务的政务信息系统等重要领域加强密码应用提出明确要求。2019年，进一步规范新建网络和信息系统应当采用国产密码进行保护，做到同步规划、同步建设、同步运行、定期评估，已建网络和信息系统应当进行密码国产化改造。2021年，国家又相继出台关键信息基础设施条例、等级保护条例等，进一步强化密码应用，收紧头部市场的监管力度。市场经过3年时间对合规要求的理解和消化，以商用密码应用安全性测评为抓手，密码和业务应用融合的趋势已基本确定，业务密码改造在各行业初步展开，密码作为数据安全的基石作用开始展现。

（二）法律法规及标准的配套完善，为密码应用框定了技术框架和发展方向。

首先，数据开发利用的促进为密码技术进步带来驱动力。数据安全法》第七条明确表示，“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展”。可见，数据开发利用为密码技术提供了主动创造价值的能力和革新的机会，密码技术为数据开发利用提供了基础的保障和稳固的底盘。这当中，密码技术作为促进数据流动的主要保障能力，能够促进法律监管制度的软着陆，实现数据价值挖掘和隐私保护的平衡，有助于数据流通共享和协同应用。借助于安全多方计算、同态加密、零知识证明、差分隐私和可信执行环境等为代表的现代密码技术，在保证原始数据安全隐私性的同时，可实现对数据的计算和分析，可为多数据流通融合场景提供安全、高效的合作模式。

其次，数据分类分级制度给密码技术提供了落地抓手。对于数据分类分级制度，《数据安全法》以危害程度作为标准之一，辅以该数据在经济社会发展中的重要程度，提出对数据进行分类分级保护的要求。信安标委正在制定《重要数据分类分级指南》，各行业也在研制本行业的数据分类分级标准，如金融行业颁布的《金融数据安全 数据安全分级指南》。数据的分类分级对于数据安全手段的落地有很好的指导意义，有了明确的数据分类分级，企业在开展业务的过程中就会针对数据的重要程度、敏感程度对数据优先进行区别，并施加不同力度的保护措施，例如很多银行都会参照上面提到的《金融数据安全 数据安全分级指南》的要求，识别业务数据的安全等级，并以3级或4级敏感数据作为保护对象。保护对象的识别是密码技术可落地的实际抓手。在第一步识别出敏感数据的基础上，根据企业内部的分类分级制度，从数据处理的全流程角度采取更细致化的密码技术手段，更符合可用性和安全性平衡需求的密码算法和密码协议，以及针对数据的产生、流转、存储、使用、销毁、备份等环节的密码解决方案。

再次，个人信息保护的巨大市场是密码技术的更大舞台。近年来，中国公司赴美上市的事情让我们关注到了网络安全审查，在《网络安全审查办法》中明确规定了掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查；2021年出台的《汽车数据安全管理若干规定（试行）》明确在汽车领域下的重要数据清单，其中也涉及到明确的数据量化指标，即个人信息主体超过10万人的个人信息。个人信息监管的量化门槛是行业个人信息保护的界定趋势，也使个人信息的保护责任更加明确，达到指标的个人信息的收集使用主体单位必然会将数据安全作为保障业务和实现企业战略目标的重要工作之一。密码技术因其数学可证的安全性，在去标识化、匿名化方面应用前景巨大，是未来最有可能为合规要求所接受的技术手段。

最后，数据跨境流动可能成为密码创新契机。随着《数据安全法》的施行，以及自贸区自贸港建设的逐步推进，数据跨境跨域流动将成为新的安全和合规焦点，密码技术作为最有效的数据保护手段，将发挥更大的价值。已有很多技术和监管的探索尝试，通过密码技术与其他安全技术和管理的结合，解决数据跨境问题，但目前，密码行业在面对国际国内密码标准、算法和协议混用时，还缺乏好的机制和手段，如何通过密码技术建立国际互信机制，维护数据主权完整，促进大数据的充分利用，是摆在每一个密码人面前的一项艰巨任务。

二 现阶段密码应用融合面临的挑战与机遇

密码是保障数据安全的基础支撑技术。但在目前的融合过程中也存在一些新的挑战，这些挑战既有外部因素，也有密码行业自身的内部因素。

从外因角度分析，密码技术应用最大的挑战来自于数据使用环境的变化。密码技术在数据安全领域主要用于满足数据的全生命周期的机密性、完整性保护，实现数据的存储、流通和应用过程中的安全性和可用性的平衡。相较于早期IT系统，当今基于云计算的IT模式无论是在承载数据的基础设施的形态上、数据流动体量和共享场景上，都呈现出更大的差异性和复杂性。与业务融合的过程中，信息系统的改造需求往往是综合性的，因此单点、孤立的堆产品已不能满足业务需要，要将密码产品的功能操作集成到业务流程中，并且要与统一身份管理和统一访问控制策略结合，实现基于场景的细粒度的加密效果联动。同时，基于密码技术提供平台化、集约化的产品，以此尝试统一对接应用，减少后期业主单位运维和管理的成本。随着实践的深入，密码服务类的平台产品也在逐步尝试与风控及测评服务、安全态势感知、数据安全治理等安全理念融合，形成密码的安全管控中心雏形，以此应对更大规模的安全风险挑战。

从内因角度分析，传统密码产品技术相对于市场需求存在较严重的滞后性，开发改造模式门槛高、周期长、风险大，用户面临“难用、难管”的问题，很难将密码能力深入融合到信息系统，在一段时间内，密码要用与业务可用的供需矛盾还将存在，这既是商用密码真正能够借合规获得更大发展必须要直面解决的问题，也是激发产业动能的另一个契机。

此外，数据安全带来的新需求将会在中长期持续影响密码技术的创新。一是密码技术的发展创新，如隐私增强计算技术的联邦学习、安全多方计算、机密计算、差分隐私和同态加密等，实现“数据可用不可见”；二是新兴信息技术的密码应用场景的创新，例如区块链，就是加密技术、分布式网络、智能合约等多种技术集成的新型数据库软件，通过数据透明、不易篡改、可追溯，有望解决数据生产要素化的信任和安全问题；三是传统密码技术和多种安全保密技术的融合创新，使数据在共享时实现“最少可用原则”和“最小权限原则”，让数据在业务系统中实现共享与安全兼得。

来源：商密君

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。