文章总结： 文章以星巴克比喻切入，指出数据交易应卖数据产品而非原始数据，强调合法来源、合理目的、有效使用三大合规底线，提出平台需集存储、建模、加工、可信空间于一体，把数据当可再生原材料，通过场景化产品化释放要素价值，规避隐私与黑市冲击。 综合评分： 82 文章分类： 数据安全,政策法规,安全建设,解决方案,应用安全

从“数据”的角度看数据交易

河南等级保护测评

2026年1月10日 07:41 河南

以下文章来源于老烦的草根安全观 ，作者草根老烦

老烦的草根安全观 .

老烦，现任上海观安信息技术股份有限公司运营商数据安全顾问，混迹IT30余年，无显赫经历，无高端学历。扎根于最基础的业务实例。本姓樊，因言论易招专家学者生恶，故曰“烦”，因高度不够，唤为“草根”，无旁顾而言他，论网络安全理论和生活感悟。

最近看了一个专家视频讲述为什么我们国家数据交易没有做起来，其提到两个观点，一数据没有价值二是隐私合规对数据交易带来的影响以及黑客低价出售数据导致数据交易不能良好展开。今天借助星巴克的咖啡从“数据”的角度聊聊数据交易。

首先我们需要明确的一个问题，数据交易到底交易的是“数据”还是“数据产品”。数据交易是一个站在商业视角的话题，数据交易的国家层定义是在数据要素的驱动下产生的，数据要素本身是一个经济学概念，2020年4月9日《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》中指出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。”在该文件中将数据定义为生产要素的一种，将数据作为社会生产经营活动所必需的一种社会资源，驱动数字经济的发展。那么我们应该交易的是数据自身还是数据产品呢？一直以来这是一个具有争议的话题。这也是我们所诟病的一个问题，我们“卖数据”而不是在销售数据，不管是《网络安全法》《数据安全法》还是《个人信息保护法》对于数据的流通都有一个明确的约定，《数据安全法》第七条规定“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”数据的流动的目的是促进数据要素驱动的数字经济的发展，其前提是保护个人、组织和数据的相关权益。数据的利用是建立在合法、合理、有效的基础上，

l 理解“合法”。在本法的第八条中进一步指出“开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。”这是合法的基础要求，在这个原则下，非法获取的数据开展的交易活动本身已经与法相悖，因此，在本法的第五十一条中明确提出“窃取或者以其他非法方式获取数据，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，依照有关法律、行政法规的规定处罚。”所以在数据交易活动中，应明确数据的来源，对于非法获取的数据交易其主体就是非法行为，何谈国家级数据交易？

l 理解“合理”。《个人信息保护法》第六条中针对个人信息的采集规定“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”也就是说我们要用数据做什么？这是一个业务问题，而不是简单的合规和技术问题，比如说“我需要身份证信息”那么我们要问的三个问题是

n 需要身份证哪些信息？

n 用来做什么？

n 实现什么目的？

2011年颁布的《中华人民共和国居民身份证法》修正版第三条中对身份证信息进行了描述“居民身份证登记的项目包括：姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关。”那么我们要从这些信息中存在我们采集了哪些信息、需要使用哪些信息、用在哪个业务属性中、达成什么样的目的；这是作为业务需要回答的问题，至于如何满足业务需求则是需要技术和合规部门的工作和决策。而其使用必须符合本法第五条至第十条相关规定。

l “有效性”的问题。数据首先不应被滥用，数据的使用是建立在事先约定的用途。一方面这是数据获取方（采集、采购）事先与数据所有方（数据属主）签订的约定（个人隐私条款或数据使用授权条款）为合法基础；另一方面数据的使用是否对数据的属主产生不良后果或影响，比如：大数据歧视等问题，甚至包括隐私泄露。

所以，在上述的法律约定下，我们对“数据”的交易应具备一种敬畏之心，而这种敬畏之心是建立在国家立法的基础上，而不是一个简单的隐私泄露问题；考虑完数据合规问题之后，我们需要考虑数据的价值问题。数据是否具有价值，这个问题实际上很复杂，这不是一个单一学科问题，比如说：一个供电状态数据是不是具有价值？一个红绿灯信号状态数据是不是具有价值，甚至说一个业务数据集中的“ID”是不是具有价值？数据的价值问题应该是数据分析专家基于业务的场景来讨论的。不同的数据在不同的视角下所产生的意义不同，这也导致数据的价值问题很难从某一个视角或者某一个专家的角度去决策。这时候我们才能真正需要去理解，我们到底在交易数据还是数据产品。实际上，很多表面看似无效的数据在海量样本聚合后所形成的推论同样会产生具体是价值体现。在这个问题上，太多人还在用小样本数据的思想去讨论海量样本下的分析逻辑。

“数据”本身是不是一定会产生销售价值。我们可以把数据看成是一种特殊的原材料，比如：原油。原油可以直接使用，但其使用场景是有限的；但是原油可以通过加工形成各种产品，比如：汽油、橡胶、重油等等；而真正在实际场景中，我们使用的并不是原油，而是由原油通过不同工艺加工后形成的新形态的产品。对于数据而言，同样具有这种原材料的特性，只是数据作为一种资源比其他生产要素更具优势，他在加工过程中不会改变原始属性，因此可以不断的去重复加工，重复使用，是一种真正意义的可再生资源。而未来数据交易真正交易的不应该是数据而是数据产品。

如何实现合规的良性数据交易？对于一个数据交易而言，他不同于传统交易市场，直接买卖原材料或者通用数据产品；未来的数据交易活动不是一个简单的商业行为，而是一个具有高技术含量的技术+商业行为。数据交易平台如何形成合理运营？

首先，数据交易平台应具备合法的数据来源，并具备数据的存储仓库能力；其次，数据交易平台面对的是采购方的场景需求而不是直接的数据需求；第三，数据交易平台要具备数据加工能力，并根据采购方的需求依托自身的数据仓库（湖）开发数据模型，并通过模型对原始数据进行加工，加工完成之后形成数据产品；这是整个数据交易最核心的环节。整个数据交易是围绕着可合成数据能力实现的而不是简单的“卖数据”；最后，数据交易平台通过可信数据空间将“数据产品”通过实时或文件的形式提交给数据采购方，完成一个完整的数据交易链条；也就是说，真正实现数据产品生产的不是采购方或者销售方，而是数据交易平台，形成真正的数据交易。可信数据空间的建设是围绕着数据流通和数据交易而产生的，而不是一个通用的、每个机构都需要去建设的；未来真正可信数据空间是围绕着大数据中心、数据交易机构以及需要海量存储数据的组织和机构而不是一个通用平台建设。

数据交易、数据流通、数据要素以及数字经济的发展需要依赖数据这种资源，但是我们应该把数据看成是一种可再生的能源而不是一种产品，他不担会减低数据自身的价值，同样会在未来带来更多的合规性风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 《从“数据”的角度看数据交易》