信用是现代市场经济运行的基石。随着智能科技的迅猛发展，信用体系建设正加快迈向数据化、智能化阶段。信用数据的广泛采集与深入应用，使信用服务从传统的金融信贷领域，延伸至消费、就业、政务、招投标等社会生活的方方面面。2024年，个人征信机构提供信用评分、信用画像、反欺诈等各类征信服务700余亿次；154家企业征信机构共提供各类征信服务365亿次。截至2025年末，中国人民银行征信系统收录11.6亿自然人、15557万户企业和其他组织的信用信息，累计提供信用报告查询服务75.6亿次。这表明，我国已形成规模庞大、应用深入的信用数据库体系，信用服务正成为社会运行的重要支撑。

　　新型生产要素的崛起与治理命题的提出

　　《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》明确提出，“强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程”，实现政府监管、市场自律、法治保障和行业自治的有机统一。《中共中央办公厅 国务院办公厅关于健全社会信用体系的意见》进一步提出，建立信用信息安全管理追溯机制、侵权责任追究机制和应急处理机制，严格落实各环节安全责任。当前，我国信用数据治理正由“制度起步”向“体系建设”阶段转型，但距离顶层设计所要求的全流程安全保障、跨部门协同监管仍有一定差距。

　　信用数据的广泛流动与深度使用，带来了数据泄露、滥用、非法交易等风险。如何在促进数据有效利用与保障数据安全之间实现平衡，成为信用数据治理的核心难题。过度限制数据采集与共享，会抑制信用服务创新与信用经济潜能；而治理机制滞后，则可能引发数据安全事件、损害公民隐私与市场信任。因此，完善信用数据治理体系，既是构建统一市场的制度要求，也是推动数字经济安全健康发展的关键任务。

　　完善信用数据治理体系的五个着力点

　　第一，在信用数据治理全过程贯彻目的限制原则。目的限制原则是信用数据治理中最具基础性的规范原理，核心在于通过“用途绑定”防止数据权利的功能异化。由于信用数据并非一般意义上的信息资源，而是高度嵌入主体社会评价体系的制度性要素，其处理活动天然具有不对称性和强制性。一旦脱离既定目的，信用数据很容易从风险管理工具演变为行为监控手段，进而侵害人格尊严与交易自由。所以，目的限制原则不仅是个人信息保护法上的合规要求，更是信用制度维持正当性的前提条件。在治理实践中，目的模糊或用途漂移往往发生于数据多次流转、跨主体共享或跨境传输环节。如果缺乏对“原始目的—后续用途”之间一致性的持续审查，信用数据容易被再利用于画像营销、差别化定价或其他非信用评估目的，从而放大制度性风险。尤其是在处理敏感信用数据时，目的正当性与必要性必须构成“双重门槛”，否则任何技术安全措施都难以弥补合法性缺陷。因此，通过明确用途边界、防止功能扩张，有助于确保信用数据始终服务于制度目标。

　　第二，在采集与共享信用数据环节坚持最小必要原则。最小必要原则是比例原则在信用数据治理中的具体化，其逻辑并非“数据越多越好”，而是通过压缩数据规模降低系统性风险。从风险治理角度看，数据规模与风险敞口呈高度正相关：数据收集越广、保存时间越长、共享链条越复杂，泄露、滥用和误用的概率就越高。信用评估的精度提升并非无限依赖数据堆积，而更多取决于数据质量、相关性与模型设计。在实践中，一些治理主体以“全面画像”“风险防控”为由，持续扩大征信数据采集范围，形成事实上的数据囤积。这种做法不仅会带来更大的合规负担，还可能导致评估数据中混入更多干扰因素，降低信用判断的准确性与可靠性。更重要的是，过度采集会模糊公共信用治理与商业数据开发之间的界限，损害信用制度的公共属性。因此，应当通过前置必要性评估、分级共享机制和定期清理制度，将最小必要原则转化为可执行的治理约束，以有限数据实现信用评估功能的最优化。

　　第三，落实信用数据分类分级保护。分类分级保护是实现信用数据精细化治理的关键制度工具，理论基础在于风险差异化管理。信用数据并非同质，其在可识别性、敏感性及潜在危害后果方面存在显著差别。如果采取“一刀切”的保护或开放模式，既可能造成安全资源浪费，也可能留下高风险盲区。在《数据安全法》和《个人信息保护法》确立的制度框架下，参照相关国家标准，信用数据可以按照主体属性、应用场景、风险程度等进行分类分级。高敏感信用数据一旦泄露，可能对个人生存权、发展权产生实质性影响，应适用最严格的访问控制与安全措施；中敏感信用数据更多关联市场秩序和公共利益，应在可控条件下重点监管；一般信用数据则可以在合规前提下适度流通，以释放数据要素价值。通过建立重要信用数据目录和分级管理清单，将抽象的安全要求转化为具体责任分配与技术措施，有助于提升监管精准性，避免重形式、轻实效的治理偏差。

　　第四，强化内外部信用数据安全管理。信用数据安全并不是单一技术问题，而是典型的涉及制度、组织和技术的复合型风险。从内部看，数据泄露和滥用往往源于权限配置失衡、流程缺失或责任不清，而非单纯的系统漏洞。如果缺乏全生命周期管理视角，即使技术防护水平较高，也难以防范合法入口下的非法使用。从外部看，信用数据合作链条不断延伸，第三方服务商、技术平台和数据接口成为新的风险节点。一旦外部主体安全能力不足或合规意识薄弱，风险将通过数据流动迅速放大，并反向冲击治理主体。因此，信用数据安全治理必须构建“内部可控、外部可管、责任可追”的闭环体系，通过制度化流程、可审计机制和协同治理结构，提升整体抗风险能力。

　　第五，规范人工智能与隐私计算等新兴技术应用。新兴技术在提升信用评估效率的同时，也重塑了风险结构。算法模型通过学习历史数据形成判断规则，其结论通常具有高度的技术权威性。然而，如果模型设计本身存在偏向，或训练数据中隐含结构性歧视，算法不仅可能固化既有不公，甚至可能将其放大。由于算法决策过程高度复杂，传统事后救济机制往往难以发挥实效。事实上，信用评估并非纯技术行为，而是具有准公共决策属性，应当接受可解释性与可问责性的约束。透明并不意味着完全公开源代码，而是要求评估逻辑、数据来源和影响因素在合理范围内可被理解与质疑。同时，隐私计算等技术为化解“数据需流通”与“风险难承受”之间的矛盾提供了新路径，但应用前提仍然是标准统一、责任清晰和安全可验证。只有在规范框架内推动技术应用，才能真正实现信用数据“可用而不可滥用”，为信用经济创新提供稳固支撑。

　　以高水平数据治理支撑高质量信用经济

　　信用数据治理是数字时代社会信用体系建设的核心环节。完善信用数据治理，不仅关乎数据安全与个人权益保护，更关乎国家治理体系和治理能力现代化。进入“十五五”时期，应以习近平法治思想为指导，坚持统筹发展与安全、创新与规范、效率与公正，推动信用数据治理体系法治化、科学化、智能化。只有在安全可控的前提下释放数据要素价值，才能真正夯实信用经济的制度根基，助力建设统一开放、竞争有序、诚信守法的社会主义市场体系。

　　（本文系国家社科基金一般项目“数据出资法律问题研究”（25BFX108）阶段性成果）

　　（作者系西南政法大学民商法学院教授）