专题·数据安全流通 | 推动数据要素安全流通的机制与技术 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 中国信息通信研究院政策法规局闫树孙楠王娟王贺新呼娜英

数据作为新质生产力的优质生产要素，已快速融入生产、分配、流通、消费和社会服务管理等各个环节，通过其独特的价值增值方式促进科技革命和产业变革。在数据要素价值释放的过程中，流通环节起着至关重要的作用。数据安全流通在数据要素市场化配置中占据重要地位，是推动数字经济发展的关键动力。为了充分发挥数据要素的价值潜力，建议从机制创新与技术进步两个层面着手：在机制层面建立以匿名化为核心的数据要素安全流通机制；在技术层面建立以数据流通利用技术为核心的数据要素安全流通技术体系，从而充分激发数据要素的价值释放，为我国发展新质生产力、抢抓数字时代发展新机遇提供源源不断的动力。

一、我国数据要素安全流通需求迫切

数据已成为国家基础性战略资源和关键生产要素，我国高度重视数据事业发展。2020 年 4 月，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，首次把数据归为新型生产要素，要求推进数据的开放共享，释放其价值，强调数据的可用性。2022 年 12 月，《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）正式印发，确立了数据基础制度体系的“四梁八柱”。自 2023 年起至 2025 年，建设数据基础制度和数据资源开发利用相关内容已连续三年写入政府工作报告。随着国家数据局的成立以及一系列数据相关政策与改革举措的相继推出，我国数据要素市场的培育进展加速，数据要素的发展路径愈加清晰和完善。尤其是在人工智能和大模型加速演进的背景下，数据要素的战略地位进一步凸显。

数据安全流通是数据要素市场化配置的关键。党的二十届三中全会提出，“培育全国一体化技术和数据市场”。我国应当充分发挥海量数据资源优势和丰富应用场景优势，全面深化数据要素市场化配置改革，强化数据的高质量供给，推动数据的高水平应用，在数字与实体经济的深度融合中，充分释放数据要素的乘数效应。数据要素价值的充分释放依赖于安全、可信的流通环境。“数据二十条”提出要建立数据可信流通体系，并鼓励探索数据流通安全保障技术、标准和方案。通过规范数据流通机制、隐私计算等技术手段，既能保障数据主体的隐私权益与核心利益，又能打破“数据孤岛”，推动跨行业跨领域的资源整合与协同创新。只有构建安全可控的流通体系，才能实现数据要素“可用不可见、可控可计量”的目标，为构建现代化数据要素市场提供坚实保障。

当前，我国数据要素安全流通亟需进一步加强。一方面，发展是最大的安全，数据流通的使用能够深度赋能实体经济，推动国家实力增长，但数据流通过程中固有的信息暴露风险，可能对个人隐私安全构成威胁；另一方面，安全是发展的前提，维护国家安全、防范隐私泄露和数据滥用，将为经济活动和人民生活提供保障，但泄露、滥用等问题难以完全杜绝，过度严格的管控措施也可能阻碍数据流通和使用的可持续发展。我国已将数据增列为生产要素，这对数据要素价值的释放提出了更高要求。在数据管理体制机制、数据供给与应用、产业生态培育等方面，如何平衡发展与安全，仍然面临较长的探索之路。

二、建立以匿名化为核心的数据要素安全流通机制

个人信息作为数据要素安全流通的重要组成部分，其安全流通是数据要素安全流通的核心内容。个人信息数量大且价值高，如何平衡其安全保护和开发利用，是各国数据要素安全流通中面临的挑战。当前，业界普遍认为，个人信息的匿名化处理是平衡数据要素流通和数据合规安全利用的关键路径，专家学者围绕我国匿名化的概念界定、法律定性及实施标准等展开了广泛讨论。

在匿名化制度建设方面，有观点指出，匿名化制度的目标不是完全规避再识别风险，而是在合理努力下，基于过程导向将再识别风险降至可接受范围；同时，也有观点认为，匿名化信息中“不能复原”的要求应当解释为：通过事前风险评估，复原的技术难度和时间成本远超一般主体所能接受的范围。在匿名化法律规则方面，一些观点认为，法律应进一步明确匿名化的定义和标准，避免“匿名化迷思”，即误认为匿名化处理后的信息完全不可识别；一些观点认为，匿名化的判断标准、技术操作以及法律责任等方面应做更具体的立法设计；也有观点认为，法律上应加强对匿名化处理过程的监督，确保数据控制者在流通过程中持续监控匿名化效果，并在发生隐私泄露时承担相应责任。

在机制方面，应重点建立以匿名化为核心的数据要素安全流通体系。《中华人民共和国个人信息保护法》对匿名化进行了明确定义，即“匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程”，并明确个人信息不包括匿名化处理后的信息。虽然我国在立法层面已明确匿名化的定义，但法律文本中并未定义匿名化的前置条件。我国匿名化制度仍面临一些挑战，如边界不明导致定义难以判定、标准不清导致制度难以落地、配套制度缺失导致风险难以控制等问题，国家制度层面对“匿名化”尚未建立起有保障和可操作的匿名化落地机制。研究认为，建立事前“推定匿名”与事后“判定匿名”相结合的模式，或采用受控匿名化方案，可以作为建立以匿名化为核心的数据要素安全流通机制的有效途径。

（一）事前推定与事后判定相结合的匿名化制度

从匿名化相关方的不同立场来看，个人信息处理者既担心匿名化措施难以达到法律要求而无效，又担心标准过高使匿名化信息丧失利用价值；用户担心匿名化是个人信息处理者的虚假承诺，匿名化会造成个人权益受损；监管机构则担心匿名化成为个人信息处理者规避监管的工具。建立事前推定与事后判定相结合的匿名化制度，可以充分化解各方疑虑，平衡各方利益。

1. 事前推定匿名制度

事前推定匿名需要具体确认个人信息处理者实施哪些实践举措，就可以推定为满足匿名要求。总的来说，推定匿名要求处理者在遵守我国对于数据保护，尤其是个人信息处理相关要求的基础上，采取有效的技术手段并通过常态化的管控机制辅助和监督匿名化的实施。

一是遵守一般法律要求。推定匿名的基础和前提，个人信息的匿名化处理符合我国现有法律的相关要求。需要注意的是，经过匿名化处理后的信息才被排除在个人信息范畴之外，无须遵守相关法定义务。但在此之前，对于个人信息的收集、处理、存储等各环节，都需严格遵守相关法律要求。

二是采用有效的技术路径。匿名化技术主要包括假名化、泛化、加噪、抑制、统计和群体标识、差分隐私、隐私计算技术（包括可信执行环境、可信密态计算、多方安全计算与联邦学习等）、支持密文运算的加密算法、算法受控匿名化等。由于单纯的匿名化技术是中立的，且个人信息处理者的信息处理能力、对匿名化技术的需求、所处的个人信息处理环境以及所控制和持有的个人信息并不一致，各种技术的采纳成本也存在差异，导致很难对何为最佳技术实践界定适当范围。因此，只要匿名化技术能够满足行业普遍的技术标准和实践要求，就可以认为信息处理者满足了匿名化处理技术的要求。

三是建立常态化管控体系。除了匿名化技术和处理本身，匿名化还应嵌入组织制度建设、策略制定、风险评估管理、监控改进、法律法规遵从等内容，建立常态化管控体系。

2. 事后判定匿名制度

判定匿名化失效的主要依据是发生具体的真实风险，主要包含以下两种情形。一种是技术缺陷引发风险。如采用了存在漏洞的非通用匿名化技术手段处理个人信息，或仅进行了“去标识化”处理，但以“匿名化信息”的名义转让个人信息。另一种是管理漏洞引发风险。在技术路径选择没有问题的前提下，由于个人信息处理者内部发生了未经授权的再识别行为，或对流通的匿名化信息管理失策，使数据接收方进行了不合理的识别行为。匿名化的判定主要需要明确判定主体、触发条件和判定标准。

一是明确判定主体。为保护个人信息主体相关权利，判定主体可以确定为《个人信息保护法》中规定的个人信息主管部门或司法机关。为稳定预期，判定主体不应随意启动判定匿名程序。因为一旦匿名化被判定为失效，个人信息处理者可能面临监管处罚或个人信息主体的索赔。

二是明确判定匿名的触发条件。判定者需法律规定的条件满足后，才能启动判定匿名程序。以下内容作为启动判定程序的触发条件：第一，发生了合理怀疑匿名化失效的情形；第二，合理怀疑匿名化失效的情形已造成不良影响；第三，这些不良影响已引起利益相关方的注意。当个人或监管机构确有理由怀疑匿名化的真实效果时，可以通过举报、诉讼、执法检查等法律程序，提请判定主体全面审查个人信息处理者的匿名化处理行为，并作出匿名化是否有效的判断。

3. 事前“推定匿名”与事后“判定匿名”优势

一是事前采用推定匿名制度有利于稳定预期，促进个人信息的合理使用和流动。作为一种事前的行为治理，推定匿名制度从源头开始参与系统风险治理，明确哪些既定事实可以被认定为匿名化的推定条件，为市场主体划定红线，有助于稳定各方预期并促进数据要素市场的发展。

二是事前采用推定匿名制度适用举证责任倒置原则，可以缓解个人信息处理者的顾虑。依循证据法的原理，推定匿名是客观举证责任的倒置，个人信息处理者只需证明其采取了合格的匿名化设计，就能获得对匿名化结果的确认。

三是事后采用判定匿名制度为匿名化的落地提供后续保障。判定匿名的重点在于出现匿名化失效情形时，如何对信息处理者施加责任。匿名化应当以风险“最小化”而不是“无风险”为目标，因此在判定时，只要风险在特定流通环境内持续控制在可接受范围内，即可认定匿名化有效。

（二）受控匿名化方案

结合匿名化相关技术的发展现状及挑战，当前业内提出了一种既能充分保障个人隐私、又能在精度、性能、成本等多个维度满足产业需求的个体信息匿名化方案——受控匿名化。与其他技术相比，受控匿名对抗重识别风险效果更好，适用范围更广，同时能够充分保障个人隐私，并在精度、性能、成本等多个维度满足产业需求。

受控匿名化通过技术手段将数据限制在特定管理域内，并确保结合域内的所有信息，“无法识别特定自然人且不能复原”。其中，特定管理域可以是由系统安全技术构建的系统边界，也可以是由密码技术构建的由多个系统空间组成的逻辑边界，最重要的是保证数据能够被限制在域内，不被恶意人员移到域外。结合域内的所有信息是指不需要考虑攻击者利用特定域外的信息，即开放域中的数据。在该条件下，一般可以通过假名化等技术满足“无法识别特定自然人且不能复原”。受控匿名化的核心技术思想在于将数据限制在特定管理域内，在评估攻击风险时，只需关注所有可能进入该管理域的数据所引发的安全威胁。由于攻击者能够利用的数据范围大幅缩减，进而数据防护难度也随之降低。具体而言，受控匿名化具备如下优势。

一是能够抵御常见的安全威胁，即限定管理域能够抵御外部黑客和机构内个别人员的破坏。限定管理域会使用独立管控环境，仅允许机构内少量人员访问，并通过审计等事后监督手段避免这些人员不规范操作；或者使用基于硬件的防护方法，使得任何人员（包括机构内的人员）都无法接触其内部数据。

二是通过技术手段严格限制个人信息的流入和流出限定管理域。流入的个人信息要满足依据管理域内的全部信息都无法恢复出个人身份，或者满足能够有限恢复的个人信息，而流出的个人信息要满足结合外部信息无法恢复出个人身份的条件。

三是受控匿名方案在维护匿名效果的同时，也会考虑整个处理流程的安全问题。

三、建立以数据流通利用技术为核心的数据要素安全流通技术体系

在技术方面，应重点建立以数据流通利用技术为核心的数据要素安全流通体系。可信安全的数据流通利用技术是数据能够自由安全流通，实现数据价值转移的关键保障。当前，关于数据要素安全流通技术方面的研究主要存在以下观点：一是认为隐私计算、机密计算等新技术在数据要素安全流通中具有重要作用，既能有效保护数据隐私，又能促进数据的合规流通和有效利用。二是认为区块链技术通过增强数据的可用性、可信性和可追溯性来保障数据流通安全。三是认为数据空间作为一种新的数据组织和管理模式，能够解决非可信环境下多方数据融合的问题，为跨组织场景的数据共享、数据分析以及数据服务提供新途径。

（一）数据流通利用技术分级

数据流通利用技术体系旨在合规的前提下挖掘数据价值，并促进数据要素安全流通。通过对当前数据流通利用技术进行研究分析，根据安全管控程度和数据流通价值的损失，数据流通利用技术体系通常可被划分为 L0 至 L3 四个等级。

L0级别，即明文交换，涉及数据提供方直接通过文件包或 API 将原始数据或处理结果提供给需求方。该模式下数据的二次利用和滥用风险高，隐私泄露风险大，难以满足法规要求，不利于数据要素的安全流通。

L1级别，即明文可控，数据在受控环境下流通计算，旨在保护数据并确保使用方如约使用数据。这一级别主要通过数据使用控制技术实现，支持复杂的策略控制，适用于数据保护程度一般的流通场景，有效提升了数据要素的安全流通。

L2级别，即密态计算，在密态环境下完成多方数据的联合计算，使数据需求方在不接触原始数据的情况下获得数据的增值价值，降低数据泄露风险。这种方式在保护数据保密性和可控性方面表现较强，但成本较高，适用于数据保密性要求高且实时性要求较低的场景，进一步加强了数据要素的安全流通。

L3级别，即密态可控，融合了明文主权和密态计算的优点，通过数据使用控制技术和隐私计算技术，保障流通数据的可控性，并确保内容不被泄露。此级别适用于数据安全管控程度极高的流通场景，提供了更高级别的数据要素安全流通保障。

数据流通利用技术体系为数据要素的安全流通提供了分级的技术解决方案，从低到高逐步增强数据的安全管控，保障数据安全流通，支撑数据要素市场的健康发展。

（二）隐私计算技术

隐私计算技术致力于在保护数据隐私的同时进行数据分析和计算，实现数据的增值利用而不泄露原始数据，确保数据在流转过程中的安全性。随着数据安全需求的增长，隐私计算在数据流通领域变得至关重要。

隐私计算技术主要包括安全多方计算、联邦学习、可信执行环境和密态计算等。安全多方计算允许多个参与方在不泄露各自隐私数据的前提下，协同完成计算任务，适用于无可信第三方的场景，并能提供严格的安全性证明。联邦学习是多个参与方在不共享原始数据的情况下协作完成机器学习任务的方法，相较于安全多方计算，可以容忍部分信息熵的泄露。可信执行环境通过硬件级的系统隔离和可信根，保护在安全区域内加载的代码和数据的保密性与完整性。密态计算则是综合利用密码学、可信硬件和系统安全，其计算过程实现数据“可用不可见”，计算结果保持密态化，支持复杂组合计算，实现计算全链路保障，防止数据泄漏和滥用。

隐私计算的底层技术包括混淆电路、不经意传输、秘密分享和同态加密等。这些技术为隐私计算提供了坚实的安全基础，使得数据在产生、存储、计算、应用、销毁等各个环节中都能得到有效保护。

隐私计算广泛应用于金融、医疗、政务等领域，提升数据的利用效率，还能够确保数据的安全和隐私，满足日益增长的数据保护法规要求。隐私计算在数据流通和利用中发挥的关键作用，可最大化挖掘数据价值。

（三）数据空间技术

数据空间技术是一种新兴的技术架构，旨在实现数据要素的安全流通和有效管理。它通过创建一个安全可信的环境，允许数据在共享和交易过程中保持控制和隐私保护，从而促进数据价值的释放。

这种技术架构的关键在于提供一个标准化的通信接口和统一的连接与交互方式，确保数据共享的安全性和可靠性。用户可以在数据空间中实现对数据的持续控制和监控，保护数据主权，强化认证体系，为数据流通提供信任基础。

欧盟的国际数据空间（IDS）作为数据空间技术的先行者，采用五层级参考架构，通过连接器、数据字典、使用控制、认证技术、区块链等技术，促进数据在认证的合作伙伴之间的交换与共享。中国也在借鉴这一理念，探索建立垂直领域的工业数据空间，以推动安全可信的数据共享空间的建设。

数据空间技术的发展不仅需要技术创新，还需要配套的制度规范。目前，数据确权和流通缺乏明确的制度规范，尽管技术能够提供解决方案，但仍无法完全消除各方的担忧。因此，数据空间技术的发展应与数据治理、隐私保护等法律规范相结合，确保数据要素的安全流通。

（四）数据使用控制技术

数据使用控制技术是保障数据要素安全流通的核心手段，它在数据的传输、存储、使用和销毁过程中实施技术控制，确保数据合规使用和安全。与隐私保护计算和区块链技术一起，它们构成了数据流通安全的三大支柱。

该技术的核心优势在于将数据权益主体的使用控制意愿转化为智能合约条款，实现对数据资产使用的精准控制，包括时间、地点、主体、行为和客体等。这是对传统访问控制技术的一种扩展和创新，通过智能合约技术，解决了数据可控的前置性问题，保障了数据流通的安全性和合规性。

在数据流通利用技术分级体系中，L1 级别（明文可控）主要依靠数据使用控制技术。它允许数据在受控环境下按照约定的条款和条件流通计算，既保护数据，又确保使用方如约使用数据。这种技术机制支持复杂的策略控制要求，如目标角色、使用时间、地点、方式和次数等，是数据权益保护的关键。

（五）建设数据基础设施

党的二十届三中全会提出“建设和运营国家数据基础设施”，是对数据要素安全流通方面的重大部署。为顺应数据要素价值释放的需要，支撑数据“供得出、流得动、用得好、保安全”，数字基础设施正在向数据基础设施进行延伸和迭代演进。国家数据基础设施是从数据要素价值释放的角度出发，面向社会提供数据采集、汇聚、传输、加工、流通、利用、运营、安全服务的一类新型基础设施。它是数字基础设施在数据要素化时代的延伸与拓展，是集成硬件、软件、模型算法、标准规范、机制设计等在内的有机整体。国家数据基础设施在国家统筹下，由区域、行业、企业等社会各类主体共同建设和运营。目前，我国正在推动国家数据基础设施建设，采用隐私保护计算、区块链、数据使用控制等技术，融合可信数据空间、数场、数联网、数据元件等方案，构建的数据流通利用环境具有数据接入、登记、发现、流通、加工、利用、计量等功能，并可面向社会提供丰富的高质量数据资源，是解决数据要素安全流通的重要技术手段。

建设国家数据基础设施，有助于保障数据“采存算管用”全生命周期安全，实现数据流通、交易、利用、分配全过程治理，便于掌握数据规模、分布、流向、应用等相关态势情况。建设国家数据基础设施将同步构建起制度规范、技术防护、运行管理“三位一体”的数据安全保障体系，有效提升数据安全治理能力。

（本文刊登于《中国信息安全》杂志2025年第1期）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情