近日，国家数据局局长刘烈宏在署名文章《加快推进数据科技创新 赋能数字中国建设》中指出，数据要素化发展催生了新的安全问题，亟需构建新形势下的数据安全保障体系。在这一背景下，可信数据空间作为实现数据安全可信流通的关键基础设施，其建设与运营必须遵循国家法规与标准体系，其中依从《网络数据安全管理条例》并通过基于《GB／T 41479－2022 信息安全技术 网络数据处理安全要求》等标准的认证，构成了其发展的核心合规路径。

一、可信数据空间依从《网络数据安全管理条例》的法定性

《网络数据安全管理条例》（以下简称《条例》）为数据处理活动确立了基本法律框架，可信数据空间的运营必然以其为准则。

1. 提供核心操作模式的法理基础：《条例》明确了数据共同处理和数据委托处理的规则。这两种模式正是可信数据空间实现多主体间数据协作的核心范式。《条例》为这些协作模式下的权责划分、义务履行提供了合法性依据。

2. 明确运营者的法定责任主体地位：《条例》统一并强化了“网络数据处理者”的安全管理责任。可信数据空间的运营者本质上即属于关键的网络数据处理者，必须依法履行包括建立安全管理制度、开展风险监测、制定应急预案、处置安全事件等在内的法定义务，这是其合法存续与运营的前提。

3. 与立法目标内在统一：《条例》旨在规范数据处理、保障数据安全、促进数据依法合理有效利用。可信数据空间的根本目标正是通过技术与管理手段，在安全、合规、可信的前提下促进数据流通与价值赋能，两者目标高度契合。

4. 指引“可信根”机制的构建：《条例》强调统筹发展与安全，鼓励在规范中创新。这与可信数据空间实践中探索引入政府或权威机构作为“可信根”提供初始公信力背书的思路相一致，符合“统筹协调”政府与市场作用的法规精神。

二、通过数据安全管理认证（DSM）的必要性与依据

将《条例》的原则性要求转化为可信数据空间可执行、可验证、可持续的管理实践，需要通过建立并认证一套体系化的数据安全技术与管理要求。其核心依据是国家标准《GB／T 41479－2022 信息安全技术 网络数据处理安全要求》（以下简称“GB／T 41479”）及国家认证认可监督管理委员会发布的《数据安全管理认证实施规则》。

1. 实现“可信”承诺的体系化工程：可信数据空间的“可信”超越了单一技术范畴，是技术安全、管理合规与社会信任的结合。GB／T 41479标准规定了覆盖数据识别、分类分级、风险防控、审计追溯的总体要求，以及数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期的具体安全技术要求与管理要求。通过认证，意味着可信数据空间运营者已建立一套系统化的技术与管理措施，能够持续保障数据全生命周期的合规与安全，从而夯实各方信任的基础。

2. 履行多元法律义务的有效路径：在可信数据空间涉及的共同处理、委托处理等复杂场景中，运营者需同时对数据来源者、合作伙伴和监管方承担法律责任。依据GB／T 41479建立的管理机制，是系统化履行《条例》《中华人民共和国个人信息保护法》等法规中安全保护义务、监督义务、告知同意义务的有效操作路径。该标准中的具体条款（如5.7关于数据提供和委托处理的要求、6.1关于数据安全责任人的要求）为落实法定义务提供了详细指引。

3. 支撑复杂生态架构的规范化基础：可信数据空间通常涉及多方参与、数据交错流通的生态。管理这种架构下的数据流转、权限控制与风险隔离，必须依赖标准化、规范化的流程。GB／T 41479标准中关于访问控制与审计（5.12）、第三方应用管理（5.4.2）、事件应急处置（6.3） 等要求，正是为管理此类复杂生态提供了必需的安全控制措施和管理规范框架。

4. 获得市场认可的权威凭证：依据《数据安全管理认证实施规则》通过的第三方认证，是由国家认证认可体系背书的权威评价。对于可信数据空间而言，是数据安全管理能力符合国家标准的有力证明。对于可信数据空间而言，认证证书能显著降低生态合作伙伴的信任成本，并成为提升其核心竞争力的关键要素。