落实密码应用与安全性评估要求 全力护航江西“数据二十三条”落地

　　江西“数据二十三条”主要包括五个方面23项任务。密码技术作为维护数据安全的关键核心技术，在降低数据流动安全风险、挖掘数据价值、推动数字经济健康发展中发挥着不可替代的重要作用。江西“数据二十三条”明确商用密码应用及安全性评估要求。

　　密评为数据全生命周期安全提供制度保障

　　江西“数据二十三条”要求建立健全密码应用与安全性评估等制度，加强数据全生命周期安全管理和技术防护，同时推动重点行业和领域制定重要数据具体目录，对列入目录的数据进行重点保护。

　　通过基于密码技术的身份鉴别、信任管理、访问控制、数据加密、可信计算、密文计算、数据脱敏等措施，可以有效解决数据产生、传输、存储、处理、分析、使用等全生命周期安全问题。同时，利用密码技术和数据标识、数字签名和网络身份的结合，在确保数据安全有序流动的同时，为数据溯源、行为追踪、私密信息保护提供有效支撑，为数字经济领域的监管提供司法证据，为部门监管和打击犯罪提供有力武器。

　　《中华人民共和国密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》等要求，重要网络和信息系统应当使用商用密码并每年至少开展一次商用密码应用安全性评估（简称“密评”）。密评有力保障了信息系统在物理和环境、网络和通信、设备和计算、‌应用和数据这四个技术层面，管理制度、人员管理、建设运行、应急处置这四个管理层面的密码应用合规性、正确性、有效性。可以说，密评为数据全生命周期安全提供了坚强制度保障。

　　与此同时，江西“数据二十三条”要求加快落实数据产权制度，加快公共数据、企业数据、个人数据的分类分级确权授权使用。国家及江西等也出台相关制度文件，强化数据分类分级保护中的密码核心关键支撑。

　　在公共数据方面，2022年3月1日起施行的《江西省公共数据管理办法》第三十一条要求公共管理和服务机构应当选择安全性能、防护级别与其安全等级相匹配的存储载体，对公共数据存储进行分域分级管理；对敏感个人数据和国家规定的重要数据还应当采取加密存储、加密传输、授权访问或者其他更加严格的安全保护措施，第三十五条要求公共数据平台运行维护单位应当建立安全管理制度，履行落实网络安全等级保护制度，健全密码保障体系，完善身份认证、访问控制和数据日志安全审计等安全防护措施等职责，保障公共数据平台安全可靠运行。

　　在企业数据方面，目前，工业、金融、科学、卫生健康、教育等重点行业和领域贯彻落实数据分类分级保护制度，并要求采用密码技术进行保护，发布了相关管理办法、政策文件等。《工业和信息化领域数据安全管理办法（试行）》要求工业和信息化领域数据处理者应当根据传输的数据类型、级别和应用场景，制定安全策略并采取保护措施。传输重要数据和核心数据的，应当采取校验技术、密码技术、安全传输通道或者安全传输协议等措施。《金融标准化“十四五”发展规划》要求推动金融数据分级、生命周期安全与评估、商用密码应用等标准供给与实施。《科学数据管理办法》要求科学数据中心负责科学数据的分级分类、加工整理和分析挖掘，法人单位和科学数据中心应完善数据管控、属性管理、身份识别、行为追溯、黑名单等管理措施，健全防篡改、防泄露、防攻击、防病毒等安全防护体系。《医疗卫生机构网络安全管理办法》要求各医疗卫生机构应每年对数据资产进行全面梳理，建立本单位数据分类分级标准，在网络建设过程中同步规划、同步建设、同步运行密码保护措施，使用符合相关要求的密码产品和服务。《教育部关于加强新时代教育管理信息化工作的通知》要求加强教育数据规范管理，开展数据分类分级工作，形成数据溯源图谱，明确各类数据的数据源，建立统一的教育系统密码基础设施和支撑平台。我省各重点行业和领域也出台了相关文件。同时，GB/T 43697—2024《数据安全技术 数据分类分级规则》、GB/T 38667—2020《信息技术　大数据　数据分类指南》、《工业数据分类分级指南（试行）》、JR/T 0158—2018《证券期货业数据分类分级指引》、JR/T 0197—2020《金融数据安全数据安全分类分级指南》、《网络安全标准实践指南—网络数据分类分级指引》等对企业进行数据分类分级管理具有重要意义。

　　在个人数据方面，《中华人民共和国个人信息保护法》要求个人信息处理者应当采取对个人信息实行分类管理以及采取相应的加密、去标识化等安全技术措施，确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

　　密码为数据流通基础设施提供信任基础

　　江西“数据二十三条”要求实现数据全方位、全生命周期汇聚治理、安全监管，支撑各地开展数据汇聚融合、共享开放和开发利用。

　　密码是网络空间价值和信任传递的重要手段。通过基于密码的数据标识、数字签名、数字内容和产权保护等技术，为数据资源确权、开放、流通、交易提供信任基础，构建起真实不可抵赖的“数字契约”，实现可信、可管、可控的互联互通，从而打通数据融通的信任瓶颈，实现数据资源按需共享、安全交互。

　　2024年11月13日，江西省政府新闻办、省发展改革委（省数据局）联合召开江西“数据二十三条”新闻发布会。会上阐述了我省数据流通基础设施方面现阶段基础及后期布局。

　　会上指出，近年来，我省在数据流通基础设施建设方面开展了积极探索，取得了初步成效，为统筹建设一体化数据流通利用基础设施建设打下了良好基础。如在技术创新应用方面，我省建设了“赣信链”平台，通过区块链技术为12个政府部门25个业务系统提供数据可信流通。同时，我省还探索了隐私计算技术的创新应用，依托省隐私计算平台为省人社厅公共就业服务系统等应用场景提供技术支撑。特别是在国家数据局关心支持下，我省数据汇聚流通基础设施平台项目获得中央预算内资金支持，南昌市和赣州市入选首批国家数据基础设施建设试点城市，分别承担数据空间、数联网方向试点任务，我省成为全国3个“双试点”省份之一。

　　按照国家有关数据基础设施建设要求，当前我省正在统筹谋划推进一体化数据流通利用基础设施，用以支撑全省各地数据汇聚融合、共享开放和开发利用。全省一体化数据流通利用基础设施重点要提供以下三个方面服务支撑。

　　一是提供可信安全的数据流通环境。通过区块链、隐私计算、数据脱敏、数据沙箱等技术，实现数据在不同主体间“可用不可见”“可控可计量”，为不同行业、不同地区、不同机构提供可信的数据汇聚、共享、开放环境，有效提升数据流通环节的安全可靠水平。

　　二是提供全流程的数据开发利用服务。通过建设数据登记系统、数据授权运营系统、安全监管系统等，为全社会数据资源的确权登记、授权运营、汇聚治理、开发利用、安全监管等应用场景提供服务支撑。

　　三是提供体系化的标准规范。围绕数据流通利用基础设施建设，加快构建我省数据标准体系，重点从数据基础设施标准、数据资源标准、数据技术标准、数据流通标准等方面，制定一批数据领域相关地方标准，为全省数据开发利用提供标准遵循。

　　会上表示，下一步我省将积极与国家数据局对接沟通，进一步落实国家对数据流通基础设施建设的各项要求，加快推进我省一体化数据流通利用基础设施建设，为充分释放数据要素潜能、激活数据要素价值提供强有力支撑。

　　新阶段新形势下要坚决落实密码应用及密评

　　江西“数据二十三条”明确了商用密码应用及安全性评估要求。相关方需审慎关注以下三个方面密码动向，积极做好后续密码应用与密评工作，坚决落实好我省“数据二十三条”密码安全保障要求。

　　一是项目立项密码严格落地，申报、批复等环节均涉及密码要求。去年发布的《江西省数字化项目建设管理办法》对全省各级行政机关以及法律法规授权的具有管理公共事务职能的组织等使用财政性资金建设、运维的数字化项目申报、审批、验收、运维等诸多环节均明确密码应用及安全性评估要求。例如，省发改委批复2024年江西省应急管理厅智慧应急建设项目、江西省水利厅省2024年度智慧水利项目、江西省自然资源厅省自然资源一体化平台项目等可行性研究报告均明确要求根据国家相关规定，落实信创产品、国产密码、IPv6的应用。可以说，无密码、不立项。

　　二是重要系统密评严格落地，11月11日起密评试点工作正式结束。国家密码管理局公告（第49号）于2024年11月11日发布了《商用密码检测机构（商用密码应用安全性评估业务）目录》并指出，即日起，商用密码应用安全性评估试点工作正式结束，未取得商用密码检测机构（商用密码应用安全性评估业务）资质的机构不得面向社会开展商用密码应用安全性评估业务。全国112家密评机构进入该目录，其中我省3家机构入选，包括江西神舟信息安全评估中心有限公司、江西省网络安全研究院、江西智慧云测安全检测中心股份有限公司（排名不分先后）。这也标志着密评工作进入新阶段。更多密评机构获批开展密评业务，有力保障关键信息基础设施、政务信息系统、网络安全等级保护三级及以上系统每年至少开展一次密评这项工作落实。

　　三是密码监管执法严格落地，随机抽查、违法投诉举报等有力震慑。我国强化商用密码行政执法队伍建设，推动构建以信用监管为基础、以“双随机、一公开”监管和“互联网+监管”为基本手段、以重点监管为补充的新型商用密码监管体系。其中，“双随机、一公开”方式是指随机抽取检查对象、随机选派执法检查人员、抽查情况及查处结果及时向社会公开。2024年7月19日，国家密码管理局公告（第47号）发布《国家密码管理局商用密码随机抽查事项清单（2024年版）》，其中针对法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统运营者使用商用密码技术、产品和服务的合规性、正确性、有效性进行商用密码应用随机抽查。同时，国家密码管理局印发的《商用密码领域违法线索投诉举报处理办法（试行）》也已于2024年6月1日起施行。国家密码管理局主管全国投诉举报处理工作，指导并监督地方各级密码管理部门的投诉举报处理工作。县级以上地方各级密码管理部门负责本行政区域内的投诉举报处理工作。

　　江西“数据二十三条”印发实施，标志着我省在数据基础制度建设方面迈出关键一步。作为江西数字集团旗下专责“密码服务+信创支撑”的子公司，云上（江西）密码服务科技有限公司将锚定“密码服务、信创支撑、数据安全”三大业务板块，充分发挥商用密码应用技术及服务核心优势，凝聚信创密码生态力量，通过密码自主创新、信创加速应用、筑牢数据底座，全力护航我省“数据二十三条”落地。

　　参考资料

　　[1]江西“数据二十三条”激活数据要素价值 助数字经济高质量发展.江西省人民政府微信公众号.2024-11-14

　　[2]何良生：依法加强密码治理 推动数字经济发展.国家密码管理局网站.2019-12-04

　　[3]《江西省关于落实数据基础制度激活数据要素价值促进数字经济高质量发展的实施意见》新闻发布会在南昌举行.2024-11-14

　　[4]商用密码管理条例释义.刘东方 张耀明.法律出版社.2023年12月第1版第89页