【智库观点·聚焦数据流通安全治理】强化治理机制与安全技术融合 完善数据流通安全治理

编者按：近期，《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》由国家发展改革委、国家数据局、中央网信办、工业和信息化部、公安部、市场监管总局联合印发。中国经济信息社数字经济研究中心策划推出系列解读，从业界视角解读文件精神，搭建思想交流平台，助力促进数据要素合规高效流通利用，释放数据价值。

新华财经北京1月26日电 数据流通是构筑数据要素市场关键的一环，数据只有通过跨主体、跨行业等充分流通、充分开发利用才能高效释放数据价值，发挥数据要素的乘数效应。然而，数据的跨主体流通与使用也伴随着一系列安全风险，如个人信息泄露、数据滥用、违规使用等，阻碍了数字经济高质量发展。因此，统筹发展和安全至关重要。

近期国家发展改革委、国家数据局等部门发布《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》（以下简称《方案》），对数据流通安全治理提出了总体要求、部署了七项主要任务，包括明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人数据流通保障、完善数据流通安全责任界定机制、加强数据流通安全技术应用、丰富数据流通安全服务供给、防范数据滥用风险等，同时明确了阶段目标，即到2027年底，规则明晰、产业繁荣、多方协同的数据流通安全治理体系基本构建，这将为数据市场的繁荣和数据价值的释放提供坚强保障。

一、明确数据流通安全治理规则，有效促进数据高质量的利用和流通

首先，《方案》聚焦的数据流通安全治理，有别于通常在单一主体、相对封闭的环境开展的传统数据安全治理。数据流通交易涉及多方主体、开放环境，涉及到多方权益保护和责任界定机制，传统的数据安全治理无法满足，因此需要制定跨主体流通的安全治理规则。

其次，《方案》强调统筹发展和安全，通过完善规则，充分利用数据流通安全技术等方式，促进数据高质量的开发利用和合规高效流通使用。

二、加强数据流通安全技术应用，为数据高效合规流通提供重要的支撑

充分利用数据流通安全技术，促进数据进行分类流通、分级保护。通常数据经过收集、清洗、治理等一系列的数据治理活动后，形成数据资源，并进行编目；依据不同行业数据分类分级的要求，对数据进行分类分级，以便于对数据进行高效的开发利用。

《方案》明确提出，将安全贯穿数据供给、流通、使用的全过程，落实国家数据分类分级保护制度，根据数据保护级别不同，采取不同的安全技术开展数据流通活动。分类流通原则可以总结为：一般数据，充分流通；重要数据，受控流通；个人数据，合规流通。

（一）对于一般数据，企业数据中通常存在大量的一般数据，在不影响商业秘密的前提下，鼓励通过多种方式对这些一般数据进行开发利用，采取必要安全措施后，可以充分开发利用和流通交易。

（二）对于重要数据，在维护国家安全、保护个人信息和商业秘密的前提下，需要对数据进行受控的流通和利用，一种方式是通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式，依法依规实现数据价值开发；常用的技术方案有隐私计算、密态计算、联邦学习、数据沙箱等。以数据沙箱为例，数据沙箱是一种可信管控技术，通过隔离和管控技术，构建一个安全可控环境，确保数据使用方在安全和受控的区域内，对数据进行分析处理，整个使用过程确保“数据可用不可见”，在数据处理和分析之后，通过数据管控技术只允许数据使用者获得分析结果，不能带走原始数据，进而实现“原始数据不出域”，确保既能有效的保护数据，又能释放数据价值。另一种方式是通过将重要数据进行脱敏等技术处理后，生成新的数据，对新生成的数据依据所属行业领域的分类分级标准规范，重新进行识别和认定，降级为一般数据后，再进行流通利用。

（三）对于个人数据，在个人数据权益保障的前提下，通过匿名化等技术处理后，依法依规开展个人数据的处理活动。有效的匿名化既可以保护个人隐私，又可以将数据用于研究、分析和决策，使数据价值得到释放。匿名化可以通过多种方式实现，如数据脱敏、数据泛化、数据假名化、K-匿名性、差分隐私等技术，但在实际操作过程中，匿名化还面临以下挑战：

一是在隐私保护和数据效用之间取得平衡。过度匿名化可能导致数据失去价值，而不足的匿名化可能无法有效保护隐私；二是重新识别风险。随着数据量和数据源的增加，即使数据经过匿名化处理，仍然可能通过各种技术手段将其重新识别，与特定的个人或实体关联起来。例如，通过将匿名化后的数据与其他公开数据（如人口统计数据、社交媒体信息等）进行比对和关联，可能推断出数据的原始所有者。因此，需要不断优化匿名化技术，并不断评估和更新匿名化策略，以应对新的重新识别技术。

综上，制定可实施的匿名化标准规范是个人数据合规流通利用的基本要求。需要制定一套切合于实际业务场景并可以指导实施的匿名化标准规范，选择合适的技术和操作规范，详细描述数据匿名化的程度，才可以在有效保护个人隐私的前提下，实现数据在研究、分析和决策中的价值。

三、明确数据安全责任界定机制，是数据流通安全的关键举措

《方案》中对数据流通安全责任界定做出了明确的指示，数据提供方应当确保数据来源合法，数据接收方应严格按照要求使用数据，防止超范围使用；同时在“加强公共数据流通安全管理”章节明确要求，数据提供方按照“谁主管、谁提供、谁负责”的原则，承担数据提供前的安全管理责任；数据接收方按照“谁经手、谁使用、谁管理、谁负责”的原则，承担数据接收后的安全管理责任。在实际操作中，这一原则同样不仅适用于公共数据流通场景，也同样适用于其他数据流通场景。

建设一套完善的数据流通安全审计和溯源机制是非常必要的，将“数字水印、数据指纹、区块链”等技术融合在数据开发利用和流通的相应环节，通过技术手段，高效支撑流通过程中的取证和定责。只有明确各参与主体在数据流通中的责任和权利，数据才能“供得出、流得动、用的好、保安全”，才能激发数据市场的活力。

四、构建系统性数据风险防控能力，营造创新与协同的治理环境

在总体国家安全观指导下，《方案》还强调依法打击数据黑灰产业，强化敏感个人信息保护，防范数据滥用，维护市场公平竞争秩序，防范系统性、大范围数据安全风险。通过完善数据安全风险监测、事件处置机制，提升风险应对能力，强化部门执法协同与监管效能，推动数据安全有序流通。

总之，数据流通安全治理规则是数据基础制度的重要内容，也是数据跨主体高效合规安全流通的关键保障。数据流通安全治理以数据跨主体流通安全治理规则、技术创新和多方协同为核心，将治理机制与创新技术深度融合，明确企业数据、公共数据和个人数据的流通规范与责任界定，有利于提升数据安全治理能力，促进数据要素合规高效流通使用，充分释放数据价值。

本文作者系奇安信集团副总裁、数据安全首席科学家刘前伟

编辑：冯蕊

版权声明：未经新华财经书面授权许可，严禁任何个人或机构以任何形式复制、引用本文内容或观点。

免责声明：新华财经为新华社承建的国家金融信息平台。任何情况下，本平台所发布的信息均不构成投资建议。如有问题，请联系客服：400-6123115