推動數據要素安全流通的機制與技術
責編:gltian |2025-04-27 10:35:15數據作為新質生產力的優質生產要素,已快速融入生產、分配、流通、消費和社會服務管理等各個環節,通過其獨特的價值增值方式促進科技革命和產業變革。在數據要素價值釋放的過程中,流通環節起著至關重要的作用。數據安全流通在數據要素市場化配置中占據重要地位,是推動數字經濟發展的關鍵動力。為了充分發揮數據要素的價值潛力,建議從機制創新與技術進步兩個層面著手:在機制層面建立以匿名化為核心的數據要素安全流通機制;在技術層面建立以數據流通利用技術為核心的數據要素安全流通技術體系,從而充分激發數據要素的價值釋放,為我國發展新質生產力、搶抓數字時代發展新機遇提供源源不斷的動力。
一、我國數據要素安全流通需求迫切
數據已成為國家基礎性戰略資源和關鍵生產要素,我國高度重視數據事業發展。2020 年 4 月,中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》,首次把數據歸為新型生產要素,要求推進數據的開放共享,釋放其價值,強調數據的可用性。2022 年 12 月,《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》(“數據二十條”)正式印發,確立了數據基礎制度體系的“四梁八柱”。自 2023 年起至 2025 年,建設數據基礎制度和數據資源開發利用相關內容已連續三年寫入政府工作報告。隨著國家數據局的成立以及一系列數據相關政策與改革舉措的相繼推出,我國數據要素市場的培育進展加速,數據要素的發展路徑愈加清晰和完善。尤其是在人工智能和大模型加速演進的背景下,數據要素的戰略地位進一步凸顯。
數據安全流通是數據要素市場化配置的關鍵。黨的二十屆三中全會提出,“培育全國一體化技術和數據市場”。我國應當充分發揮海量數據資源優勢和豐富應用場景優勢,全面深化數據要素市場化配置改革,強化數據的高質量供給,推動數據的高水平應用,在數字與實體經濟的深度融合中,充分釋放數據要素的乘數效應。數據要素價值的充分釋放依賴于安全、可信的流通環境。“數據二十條”提出要建立數據可信流通體系,并鼓勵探索數據流通安全保障技術、標準和方案。通過規范數據流通機制、隱私計算等技術手段,既能保障數據主體的隱私權益與核心利益,又能打破“數據孤島”,推動跨行業跨領域的資源整合與協同創新。只有構建安全可控的流通體系,才能實現數據要素“可用不可見、可控可計量”的目標,為構建現代化數據要素市場提供堅實保障。
當前,我國數據要素安全流通亟需進一步加強。一方面,發展是最大的安全,數據流通的使用能夠深度賦能實體經濟,推動國家實力增長,但數據流通過程中固有的信息暴露風險,可能對個人隱私安全構成威脅;另一方面,安全是發展的前提,維護國家安全、防范隱私泄露和數據濫用,將為經濟活動和人民生活提供保障,但泄露、濫用等問題難以完全杜絕,過度嚴格的管控措施也可能阻礙數據流通和使用的可持續發展。我國已將數據增列為生產要素,這對數據要素價值的釋放提出了更高要求。在數據管理體制機制、數據供給與應用、產業生態培育等方面,如何平衡發展與安全,仍然面臨較長的探索之路。
二、建立以匿名化為核心的數據要素安全流通機制
個人信息作為數據要素安全流通的重要組成部分,其安全流通是數據要素安全流通的核心內容。個人信息數量大且價值高,如何平衡其安全保護和開發利用,是各國數據要素安全流通中面臨的挑戰。當前,業界普遍認為,個人信息的匿名化處理是平衡數據要素流通和數據合規安全利用的關鍵路徑,專家學者圍繞我國匿名化的概念界定、法律定性及實施標準等展開了廣泛討論。
在匿名化制度建設方面,有觀點指出,匿名化制度的目標不是完全規避再識別風險,而是在合理努力下,基于過程導向將再識別風險降至可接受范圍;同時,也有觀點認為,匿名化信息中“不能復原”的要求應當解釋為:通過事前風險評估,復原的技術難度和時間成本遠超一般主體所能接受的范圍。在匿名化法律規則方面,一些觀點認為,法律應進一步明確匿名化的定義和標準,避免“匿名化迷思”,即誤認為匿名化處理后的信息完全不可識別;一些觀點認為,匿名化的判斷標準、技術操作以及法律責任等方面應做更具體的立法設計;也有觀點認為,法律上應加強對匿名化處理過程的監督,確保數據控制者在流通過程中持續監控匿名化效果,并在發生隱私泄露時承擔相應責任。
在機制方面,應重點建立以匿名化為核心的數據要素安全流通體系。《中華人民共和國個人信息保護法》對匿名化進行了明確定義,即“匿名化是指個人信息經過處理無法識別特定自然人且不能復原的過程”,并明確個人信息不包括匿名化處理后的信息。雖然我國在立法層面已明確匿名化的定義,但法律文本中并未定義匿名化的前置條件。我國匿名化制度仍面臨一些挑戰,如邊界不明導致定義難以判定、標準不清導致制度難以落地、配套制度缺失導致風險難以控制等問題,國家制度層面對“匿名化”尚未建立起有保障和可操作的匿名化落地機制。研究認為,建立事前“推定匿名”與事后“判定匿名”相結合的模式,或采用受控匿名化方案,可以作為建立以匿名化為核心的數據要素安全流通機制的有效途徑。
(一)事前推定與事后判定相結合的匿名化制度
從匿名化相關方的不同立場來看,個人信息處理者既擔心匿名化措施難以達到法律要求而無效,又擔心標準過高使匿名化信息喪失利用價值;用戶擔心匿名化是個人信息處理者的虛假承諾,匿名化會造成個人權益受損;監管機構則擔心匿名化成為個人信息處理者規避監管的工具。建立事前推定與事后判定相結合的匿名化制度,可以充分化解各方疑慮,平衡各方利益。
1. 事前推定匿名制度
事前推定匿名需要具體確認個人信息處理者實施哪些實踐舉措,就可以推定為滿足匿名要求。總的來說,推定匿名要求處理者在遵守我國對于數據保護,尤其是個人信息處理相關要求的基礎上,采取有效的技術手段并通過常態化的管控機制輔助和監督匿名化的實施。
一是遵守一般法律要求。推定匿名的基礎和前提,個人信息的匿名化處理符合我國現有法律的相關要求。需要注意的是,經過匿名化處理后的信息才被排除在個人信息范疇之外,無須遵守相關法定義務。但在此之前,對于個人信息的收集、處理、存儲等各環節,都需嚴格遵守相關法律要求。
二是采用有效的技術路徑。匿名化技術主要包括假名化、泛化、加噪、抑制、統計和群體標識、差分隱私、隱私計算技術(包括可信執行環境、可信密態計算、多方安全計算與聯邦學習等)、支持密文運算的加密算法、算法受控匿名化等。由于單純的匿名化技術是中立的,且個人信息處理者的信息處理能力、對匿名化技術的需求、所處的個人信息處理環境以及所控制和持有的個人信息并不一致,各種技術的采納成本也存在差異,導致很難對何為最佳技術實踐界定適當范圍。因此,只要匿名化技術能夠滿足行業普遍的技術標準和實踐要求,就可以認為信息處理者滿足了匿名化處理技術的要求。
三是建立常態化管控體系。除了匿名化技術和處理本身,匿名化還應嵌入組織制度建設、策略制定、風險評估管理、監控改進、法律法規遵從等內容,建立常態化管控體系。
2. 事后判定匿名制度
判定匿名化失效的主要依據是發生具體的真實風險,主要包含以下兩種情形。一種是技術缺陷引發風險。如采用了存在漏洞的非通用匿名化技術手段處理個人信息,或僅進行了“去標識化”處理,但以“匿名化信息”的名義轉讓個人信息。另一種是管理漏洞引發風險。在技術路徑選擇沒有問題的前提下,由于個人信息處理者內部發生了未經授權的再識別行為,或對流通的匿名化信息管理失策,使數據接收方進行了不合理的識別行為。匿名化的判定主要需要明確判定主體、觸發條件和判定標準。
一是明確判定主體。為保護個人信息主體相關權利,判定主體可以確定為《個人信息保護法》中規定的個人信息主管部門或司法機關。為穩定預期,判定主體不應隨意啟動判定匿名程序。因為一旦匿名化被判定為失效,個人信息處理者可能面臨監管處罰或個人信息主體的索賠。
二是明確判定匿名的觸發條件。判定者需法律規定的條件滿足后,才能啟動判定匿名程序。以下內容作為啟動判定程序的觸發條件:第一,發生了合理懷疑匿名化失效的情形;第二,合理懷疑匿名化失效的情形已造成不良影響;第三,這些不良影響已引起利益相關方的注意。當個人或監管機構確有理由懷疑匿名化的真實效果時,可以通過舉報、訴訟、執法檢查等法律程序,提請判定主體全面審查個人信息處理者的匿名化處理行為,并作出匿名化是否有效的判斷。
3. 事前“推定匿名”與事后“判定匿名”優勢
一是事前采用推定匿名制度有利于穩定預期,促進個人信息的合理使用和流動。作為一種事前的行為治理,推定匿名制度從源頭開始參與系統風險治理,明確哪些既定事實可以被認定為匿名化的推定條件,為市場主體劃定紅線,有助于穩定各方預期并促進數據要素市場的發展。
二是事前采用推定匿名制度適用舉證責任倒置原則,可以緩解個人信息處理者的顧慮。依循證據法的原理,推定匿名是客觀舉證責任的倒置,個人信息處理者只需證明其采取了合格的匿名化設計,就能獲得對匿名化結果的確認。
三是事后采用判定匿名制度為匿名化的落地提供后續保障。判定匿名的重點在于出現匿名化失效情形時,如何對信息處理者施加責任。匿名化應當以風險“最小化”而不是“無風險”為目標,因此在判定時,只要風險在特定流通環境內持續控制在可接受范圍內,即可認定匿名化有效。
(二)受控匿名化方案
結合匿名化相關技術的發展現狀及挑戰,當前業內提出了一種既能充分保障個人隱私、又能在精度、性能、成本等多個維度滿足產業需求的個體信息匿名化方案——受控匿名化。與其他技術相比,受控匿名對抗重識別風險效果更好,適用范圍更廣,同時能夠充分保障個人隱私,并在精度、性能、成本等多個維度滿足產業需求。
受控匿名化通過技術手段將數據限制在特定管理域內,并確保結合域內的所有信息,“無法識別特定自然人且不能復原”。其中,特定管理域可以是由系統安全技術構建的系統邊界,也可以是由密碼技術構建的由多個系統空間組成的邏輯邊界,最重要的是保證數據能夠被限制在域內,不被惡意人員移到域外。結合域內的所有信息是指不需要考慮攻擊者利用特定域外的信息,即開放域中的數據。在該條件下,一般可以通過假名化等技術滿足“無法識別特定自然人且不能復原”。受控匿名化的核心技術思想在于將數據限制在特定管理域內,在評估攻擊風險時,只需關注所有可能進入該管理域的數據所引發的安全威脅。由于攻擊者能夠利用的數據范圍大幅縮減,進而數據防護難度也隨之降低。具體而言,受控匿名化具備如下優勢。
一是能夠抵御常見的安全威脅,即限定管理域能夠抵御外部黑客和機構內個別人員的破壞。限定管理域會使用獨立管控環境,僅允許機構內少量人員訪問,并通過審計等事后監督手段避免這些人員不規范操作;或者使用基于硬件的防護方法,使得任何人員(包括機構內的人員)都無法接觸其內部數據。
二是通過技術手段嚴格限制個人信息的流入和流出限定管理域。流入的個人信息要滿足依據管理域內的全部信息都無法恢復出個人身份,或者滿足能夠有限恢復的個人信息,而流出的個人信息要滿足結合外部信息無法恢復出個人身份的條件。
三是受控匿名方案在維護匿名效果的同時,也會考慮整個處理流程的安全問題。
三、建立以數據流通利用技術為核心的數據要素安全流通技術體系
在技術方面,應重點建立以數據流通利用技術為核心的數據要素安全流通體系。可信安全的數據流通利用技術是數據能夠自由安全流通,實現數據價值轉移的關鍵保障。當前,關于數據要素安全流通技術方面的研究主要存在以下觀點:一是認為隱私計算、機密計算等新技術在數據要素安全流通中具有重要作用,既能有效保護數據隱私,又能促進數據的合規流通和有效利用。二是認為區塊鏈技術通過增強數據的可用性、可信性和可追溯性來保障數據流通安全。三是認為數據空間作為一種新的數據組織和管理模式,能夠解決非可信環境下多方數據融合的問題,為跨組織場景的數據共享、數據分析以及數據服務提供新途徑。
(一)數據流通利用技術分級
數據流通利用技術體系旨在合規的前提下挖掘數據價值,并促進數據要素安全流通。通過對當前數據流通利用技術進行研究分析,根據安全管控程度和數據流通價值的損失,數據流通利用技術體系通常可被劃分為 L0 至 L3 四個等級。
L0級別,即明文交換,涉及數據提供方直接通過文件包或 API 將原始數據或處理結果提供給需求方。該模式下數據的二次利用和濫用風險高,隱私泄露風險大,難以滿足法規要求,不利于數據要素的安全流通。
L1級別,即明文可控,數據在受控環境下流通計算,旨在保護數據并確保使用方如約使用數據。這一級別主要通過數據使用控制技術實現,支持復雜的策略控制,適用于數據保護程度一般的流通場景,有效提升了數據要素的安全流通。
L2級別,即密態計算,在密態環境下完成多方數據的聯合計算,使數據需求方在不接觸原始數據的情況下獲得數據的增值價值,降低數據泄露風險。這種方式在保護數據保密性和可控性方面表現較強,但成本較高,適用于數據保密性要求高且實時性要求較低的場景,進一步加強了數據要素的安全流通。
L3級別,即密態可控,融合了明文主權和密態計算的優點,通過數據使用控制技術和隱私計算技術,保障流通數據的可控性,并確保內容不被泄露。此級別適用于數據安全管控程度極高的流通場景,提供了更高級別的數據要素安全流通保障。
數據流通利用技術體系為數據要素的安全流通提供了分級的技術解決方案,從低到高逐步增強數據的安全管控,保障數據安全流通,支撐數據要素市場的健康發展。
(二)隱私計算技術
隱私計算技術致力于在保護數據隱私的同時進行數據分析和計算,實現數據的增值利用而不泄露原始數據,確保數據在流轉過程中的安全性。隨著數據安全需求的增長,隱私計算在數據流通領域變得至關重要。
隱私計算技術主要包括安全多方計算、聯邦學習、可信執行環境和密態計算等。安全多方計算允許多個參與方在不泄露各自隱私數據的前提下,協同完成計算任務,適用于無可信第三方的場景,并能提供嚴格的安全性證明。聯邦學習是多個參與方在不共享原始數據的情況下協作完成機器學習任務的方法,相較于安全多方計算,可以容忍部分信息熵的泄露。可信執行環境通過硬件級的系統隔離和可信根,保護在安全區域內加載的代碼和數據的保密性與完整性。密態計算則是綜合利用密碼學、可信硬件和系統安全,其計算過程實現數據“可用不可見”,計算結果保持密態化,支持復雜組合計算,實現計算全鏈路保障,防止數據泄漏和濫用。
隱私計算的底層技術包括混淆電路、不經意傳輸、秘密分享和同態加密等。這些技術為隱私計算提供了堅實的安全基礎,使得數據在產生、存儲、計算、應用、銷毀等各個環節中都能得到有效保護。
隱私計算廣泛應用于金融、醫療、政務等領域,提升數據的利用效率,還能夠確保數據的安全和隱私,滿足日益增長的數據保護法規要求。隱私計算在數據流通和利用中發揮的關鍵作用,可最大化挖掘數據價值。
(三)數據空間技術
數據空間技術是一種新興的技術架構,旨在實現數據要素的安全流通和有效管理。它通過創建一個安全可信的環境,允許數據在共享和交易過程中保持控制和隱私保護,從而促進數據價值的釋放。
這種技術架構的關鍵在于提供一個標準化的通信接口和統一的連接與交互方式,確保數據共享的安全性和可靠性。用戶可以在數據空間中實現對數據的持續控制和監控,保護數據主權,強化認證體系,為數據流通提供信任基礎。
歐盟的國際數據空間(IDS)作為數據空間技術的先行者,采用五層級參考架構,通過連接器、數據字典、使用控制、認證技術、區塊鏈等技術,促進數據在認證的合作伙伴之間的交換與共享。中國也在借鑒這一理念,探索建立垂直領域的工業數據空間,以推動安全可信的數據共享空間的建設。
數據空間技術的發展不僅需要技術創新,還需要配套的制度規范。目前,數據確權和流通缺乏明確的制度規范,盡管技術能夠提供解決方案,但仍無法完全消除各方的擔憂。因此,數據空間技術的發展應與數據治理、隱私保護等法律規范相結合,確保數據要素的安全流通。
(四)數據使用控制技術
數據使用控制技術是保障數據要素安全流通的核心手段,它在數據的傳輸、存儲、使用和銷毀過程中實施技術控制,確保數據合規使用和安全。與隱私保護計算和區塊鏈技術一起,它們構成了數據流通安全的三大支柱。
該技術的核心優勢在于將數據權益主體的使用控制意愿轉化為智能合約條款,實現對數據資產使用的精準控制,包括時間、地點、主體、行為和客體等。這是對傳統訪問控制技術的一種擴展和創新,通過智能合約技術,解決了數據可控的前置性問題,保障了數據流通的安全性和合規性。
在數據流通利用技術分級體系中,L1 級別(明文可控)主要依靠數據使用控制技術。它允許數據在受控環境下按照約定的條款和條件流通計算,既保護數據,又確保使用方如約使用數據。這種技術機制支持復雜的策略控制要求,如目標角色、使用時間、地點、方式和次數等,是數據權益保護的關鍵。
(五)建設數據基礎設施
黨的二十屆三中全會提出“建設和運營國家數據基礎設施”,是對數據要素安全流通方面的重大部署。為順應數據要素價值釋放的需要,支撐數據“供得出、流得動、用得好、保安全”,數字基礎設施正在向數據基礎設施進行延伸和迭代演進。國家數據基礎設施是從數據要素價值釋放的角度出發,面向社會提供數據采集、匯聚、傳輸、加工、流通、利用、運營、安全服務的一類新型基礎設施。它是數字基礎設施在數據要素化時代的延伸與拓展,是集成硬件、軟件、模型算法、標準規范、機制設計等在內的有機整體。國家數據基礎設施在國家統籌下,由區域、行業、企業等社會各類主體共同建設和運營。目前,我國正在推動國家數據基礎設施建設,采用隱私保護計算、區塊鏈、數據使用控制等技術,融合可信數據空間、數場、數聯網、數據元件等方案,構建的數據流通利用環境具有數據接入、登記、發現、流通、加工、利用、計量等功能,并可面向社會提供豐富的高質量數據資源,是解決數據要素安全流通的重要技術手段。
建設國家數據基礎設施,有助于保障數據“采存算管用”全生命周期安全,實現數據流通、交易、利用、分配全過程治理,便于掌握數據規模、分布、流向、應用等相關態勢情況。建設國家數據基礎設施將同步構建起制度規范、技術防護、運行管理“三位一體”的數據安全保障體系,有效提升數據安全治理能力。
(本文刊登于《中國信息安全》雜志2025年第1期)