可信数据空间中数据加密的合规要求（对称/非对称加密）？

可信数据空间中，数据加密的合规要求需围绕“算法安全、密钥管控、场景适配、可审计性”核心逻辑，融合对称与非对称加密的技术特性及监管规则。

对于对称加密（如AES），需选用符合国家/行业标准的强算法（如AES-256替代DES等弱算法），密钥需全生命周期合规管理——生成需足够随机（避免可预测性）、存储需加密隔离（如硬件安全模块HSM）、轮换周期与数据敏感度匹配（敏感数据密钥每3-6个月更新）、销毁需不可逆（防止密钥泄露）；同时加密策略需与数据分类分级绑定（如核心敏感数据（个人隐私、商业秘密）必须端到端对称加密）。

对于非对称加密（如RSA、ECC），需保证证书可信性：采用权威CA签发的证书（禁止自签名证书用于关键业务），算法强度满足最低要求（RSA≥2048位、ECC≥P-256曲线），签名验签需符合《电子签名法》等法规（确保不可否认性，支持法律举证）；此外私钥需严格隔离存储（如HSM或专用加密设备），公钥分发需避免中间人攻击。整体还需满足可审计性——加密操作日志需完整记录（密钥使用、加密对象、操作人、时间），支持监管追溯；跨境场景下，加密算法需适配双方监管要求（如欧盟Schrems II要求加密不能导致密钥被第三国非法获取）。

最终，加密合规需平衡“安全强度”与“法规适配”，确保数据在可信空间内的机密性、完整性及法律有效性。

摘自《可信数据空间合规100问》