基于全生命周期的公共數(shù)據(jù)安全治理研究

于同同,王鵬皓

(1.黑龍江大學(xué) 信息管理學(xué)院,哈爾濱 150080;2.伊春森工鐵力林業(yè)局有限責(zé)任公司,黑龍江 伊春 153000)

一、引言

隨著數(shù)字化進程的加速,數(shù)據(jù)成為驅(qū)動經(jīng)濟社會發(fā)展的新引擎。2020年12月國家將數(shù)據(jù)作為生產(chǎn)要素寫入政府文件,表明其在社會經(jīng)濟生產(chǎn)活動中發(fā)揮著越來越重要的作用,尤其體現(xiàn)在公共數(shù)據(jù)開放利用方面,為數(shù)字經(jīng)濟的價值提升注入新活力。數(shù)據(jù)要素在賦能數(shù)字經(jīng)濟蓬勃發(fā)展的同時,數(shù)字經(jīng)濟依靠本身具有的新一代數(shù)字技術(shù),也能提高公共數(shù)據(jù)安全防護能力,降低公共數(shù)據(jù)泄露風(fēng)險,為公共數(shù)據(jù)安全治理全生命周期中的各個環(huán)節(jié)提供先進技術(shù)和工具。2022年12月黨中央國務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》(以下簡稱《數(shù)據(jù)二十條》),其中明確指出要推進實施公共數(shù)據(jù)確權(quán)授權(quán)機制,注重公共數(shù)據(jù)效能和經(jīng)濟活力的提升。同時在地方政府層面,2022年1月浙江省出臺關(guān)于公共數(shù)據(jù)的第一部地方性法規(guī)文件——《浙江省公共數(shù)據(jù)條例》,為公共數(shù)據(jù)共享、公共數(shù)據(jù)開發(fā)與利用分別設(shè)置專章,旨在加強公共數(shù)據(jù)管理;2021年12月江蘇省頒布了《江蘇省公共數(shù)據(jù)管理辦法》,提出支持推動公共數(shù)據(jù)資源在諸多領(lǐng)域的開發(fā)與利用,提升公共數(shù)據(jù)資源價值。社會在享有公共數(shù)據(jù)共享開放利用帶來價值的同時,也面臨一系列安全問題,公共數(shù)據(jù)泄露與濫用、公共數(shù)據(jù)壟斷、公共數(shù)據(jù)權(quán)屬不明等公共數(shù)據(jù)安全問題錯綜復(fù)雜,阻礙了經(jīng)濟發(fā)展和社會治理能力提升。同時,公共數(shù)據(jù)安全事件層出不窮,南昌某高校師生個人信息在境外互聯(lián)網(wǎng)上被公開售賣、45億國內(nèi)快遞信息遭泄露等事件暴露了數(shù)據(jù)安全面臨巨大挑戰(zhàn)。因此,公共數(shù)據(jù)安全治理成為亟待解決的問題,在深入貫徹總體國家安全觀的大背景下,構(gòu)建公共數(shù)據(jù)安全治理路徑成為解決實踐進程問題的重要一環(huán)。

目前,數(shù)據(jù)安全方面,學(xué)界和業(yè)界的研究主要集中于“計算機數(shù)據(jù)安全”“大數(shù)據(jù)安全”“個人數(shù)據(jù)安全”“網(wǎng)絡(luò)數(shù)據(jù)安全”“跨境數(shù)據(jù)安全”等,較少有學(xué)者從公共數(shù)據(jù)的視角對其安全問題進行深入研究;公共數(shù)據(jù)方面,其研究也較多集中于“公共數(shù)據(jù)政策”“公共數(shù)據(jù)授權(quán)運營”“公共數(shù)據(jù)開放”“公共數(shù)據(jù)開放平臺”等有關(guān)公共數(shù)據(jù)賦能數(shù)字化經(jīng)濟、推進治理能力現(xiàn)代化的熱點,鮮有學(xué)者從數(shù)據(jù)安全治理的角度對公共數(shù)據(jù)治理進行研究。為避免公共數(shù)據(jù)安全問題的發(fā)生,本文從公共數(shù)據(jù)全生命周期的視角出發(fā),在公共數(shù)據(jù)多主體參與的基礎(chǔ)上,構(gòu)建出公共數(shù)據(jù)采集、歸集、開放、保護、監(jiān)管“五位一體”的安全治理框架,并提出相應(yīng)的治理路徑。

二、公共數(shù)據(jù)安全治理研究現(xiàn)狀

(一)國內(nèi)研究現(xiàn)狀

國內(nèi)對公共數(shù)據(jù)安全的研究主要涵蓋以下方面:第一,各領(lǐng)域公共數(shù)據(jù)安全防護和治理研究。丁紅發(fā)等人從數(shù)據(jù)全生命周期的視角出發(fā)研究政府?dāng)?shù)據(jù)開發(fā)過程中的數(shù)據(jù)安全與隱私保護,認為需要完善技術(shù)與管理相結(jié)合的法律體系和加強相應(yīng)的技術(shù)標準規(guī)范約束[1];張凱圍繞金融數(shù)據(jù)安全治理,提出應(yīng)明確數(shù)據(jù)安全保護原則并且建立數(shù)據(jù)標準體系,筑牢數(shù)據(jù)治理安全底線[2];臧國全等人從通信數(shù)據(jù)敏感性和隱私安全出發(fā),構(gòu)建出隱私計量模型,為通信數(shù)據(jù)分類分級保護提供支持[3]。第二,公共數(shù)據(jù)安全治理技術(shù)路徑研究。馮登國等人從大數(shù)據(jù)收集、存儲、使用的過程視角出發(fā),總結(jié)出面向數(shù)據(jù)安全與隱私保護的若干關(guān)鍵技術(shù)[4];楊力提出公共數(shù)據(jù)流通中“技術(shù)法規(guī)”應(yīng)與“技術(shù)標準”相結(jié)合[5];黃寧玉等人設(shè)計出基于可信計算機技術(shù)的安全存儲方案,以解決公共數(shù)據(jù)平臺上公共數(shù)據(jù)安全存儲問題[6]。第三,公共數(shù)據(jù)安全治理政策制度研究。張濤以數(shù)據(jù)政策為樣本,研究數(shù)據(jù)開放與數(shù)據(jù)安全協(xié)同的關(guān)系[7];馬海群基于政策演化思路對美國數(shù)據(jù)安全政策進行研究,指出了美國數(shù)據(jù)安全政策演化路徑,為我國數(shù)據(jù)安全政策的制定提供借鑒[8];劉春年則對中美及歐盟三方數(shù)據(jù)安全政策進行對比分析,旨在促進我國數(shù)據(jù)安全政策內(nèi)容的完善[9]。

(二) 國外研究現(xiàn)狀

國外圍繞數(shù)據(jù)安全主題出臺了一系列的政策。美國聯(lián)邦政府早在2011年就出臺了《個人數(shù)據(jù)隱私和安全法》,提出保護個人數(shù)據(jù)信息安全;2021年出臺《消費者數(shù)據(jù)隱私和安全法》,要求數(shù)據(jù)運營者規(guī)范處理收集到的敏感數(shù)據(jù);2021年出臺《安全數(shù)據(jù)法》,強調(diào)保護消費者隱私權(quán)和數(shù)據(jù)權(quán)。2018年歐盟出臺《通用數(shù)據(jù)保護條例》,旨在保護個人數(shù)據(jù)的隱私安全。國外學(xué)者圍繞公共數(shù)據(jù)安全也展開了各方面的研究, 如Jones概述了公共人口數(shù)據(jù)領(lǐng)域的核心概念和主要挑戰(zhàn),通過國際案例研究向我們展示了如何應(yīng)對挑戰(zhàn)以及在促進安全、社會可接受的人口數(shù)據(jù)用于公共利益方面應(yīng)吸取的經(jīng)驗教訓(xùn)[10];Beagrie 聚焦數(shù)據(jù)安全保護成本與收益方面進行研究[11];Batuhan 通過研究人肉搜索中使用個人數(shù)據(jù)的重要程度,指出原則上個人數(shù)據(jù)只能在得到數(shù)據(jù)主體明確同意的情況下,并且是在特殊條件下才能進行處理[12]。

綜上所述,國內(nèi)外均較為關(guān)注公共數(shù)據(jù)安全,尤其是公共數(shù)據(jù)安全相關(guān)制度建設(shè)方面。然而目前從全生命周期視角展開的研究還比較少,因此本文從全生命周期視角出發(fā)探索公共數(shù)據(jù)安全治理路徑,以期為數(shù)字經(jīng)濟發(fā)展提供引擎動力。

三、基于全生命周期的公共數(shù)據(jù)安全治理

(一)公共數(shù)據(jù)內(nèi)涵

“公共數(shù)據(jù)”一詞最早來自“政務(wù)信息”這一概念[13],后經(jīng)過“政府信息資源”—“政府?dāng)?shù)據(jù)”—“政務(wù)數(shù)據(jù)”的演變,最后以“公共數(shù)據(jù)”的概念形式呈現(xiàn)。政府信息是指行政機關(guān)在履行行政管理職能過程中制作或者獲取的,以一定形式記錄、保存的信息,這在2007年《中華人民共和國政府信息公開條例》中有明確規(guī)定。2016年國務(wù)院頒布的《政務(wù)信息資源共享管理暫行辦法》中提到政務(wù)信息資源的概念,它是指政務(wù)部門在履行職責(zé)過程中制作或獲取的,以一定形式記錄、保存的文件、資料、圖表和數(shù)據(jù)等各類信息資源,包括政務(wù)部門直接或通過第三方依法采集、依法授權(quán)管理和因履行職責(zé)需要依托政務(wù)信息系統(tǒng)形成的信息資源等。關(guān)于政府?dāng)?shù)據(jù),2021年《貴陽市政府?dāng)?shù)據(jù)共享開放實施辦法》中將其定義為行政機關(guān)在履行職責(zé)過程中制作或者獲取的,以一定形式記錄、保存的文件、資料、圖表等各類數(shù)據(jù)資源。關(guān)于政務(wù)數(shù)據(jù),在2016年《福建省政務(wù)數(shù)據(jù)管理辦法》中定義為國家機關(guān)、事業(yè)單位、社會團體或者其他依法經(jīng)授權(quán)、受委托的具有公共管理職能的組織和公共服務(wù)企業(yè)(以下統(tǒng)稱數(shù)據(jù)生產(chǎn)應(yīng)用單位)在履行職責(zé)過程中采集和獲取的或者通過特許經(jīng)營、購買服務(wù)等方式開展信息化建設(shè)和應(yīng)用所產(chǎn)生的數(shù)據(jù)。關(guān)于公共數(shù)據(jù),2019年《上海市公共數(shù)據(jù)開放暫行辦法》和2020年《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》將其定義為各級行政機關(guān)以及履行公共管理和服務(wù)職能的事業(yè)單位(以下統(tǒng)稱公共管理和服務(wù)機構(gòu))在依法履職過程中采集和產(chǎn)生的各類數(shù)據(jù)資源;2021年《北京市公共數(shù)據(jù)管理辦法》稱公共數(shù)據(jù)是指具有公共使用價值的,不涉及國家秘密、商業(yè)秘密和個人隱私的,依托計算機信息系統(tǒng)記錄和保存的各類數(shù)據(jù)。此外也有部分學(xué)者對公共數(shù)據(jù)內(nèi)涵進行研究,袁康指出“公共數(shù)據(jù)是公權(quán)力機關(guān)履職過程中收集和保存的個人信息”[14];李揚指出“公共數(shù)據(jù)”體現(xiàn)的是社會屬性,本質(zhì)上是公共屬性的產(chǎn)品[15]。綜上所述,目前國家層面還沒有關(guān)于公共數(shù)據(jù)專門的立法,對于公共數(shù)據(jù)統(tǒng)一的定義也尚未形成,隨著數(shù)據(jù)中心云計算、區(qū)塊鏈等新一代信息通信技術(shù)的涌現(xiàn),公共數(shù)據(jù)的內(nèi)涵與外延逐漸擴大,地方政府層面也開始更多關(guān)注公共數(shù)據(jù),并頒布相應(yīng)的政策法規(guī),其中公共數(shù)據(jù)安全就是政策法規(guī)闡述的重要方面。

(二)公共數(shù)據(jù)安全治理政策分析

根據(jù)公共數(shù)據(jù)內(nèi)涵的發(fā)展歷程可知,公共數(shù)據(jù)安全是數(shù)據(jù)安全的下位概念,公共數(shù)據(jù)安全治理的獨特之處在于公共數(shù)據(jù)具有社會屬性。凡是為解決公共事務(wù)問題所制定的政策均為公共政策,政策主體可以被界定為直接或間接地參與政策制定過程的個人、團體或組織,本文探討的公共數(shù)據(jù)安全治理政策包含法律、部門規(guī)章、地方性法規(guī)、地方政府規(guī)章、標準等(如表1所示)。

表1 我國公共數(shù)據(jù)安全治理政策(部分)

我國公共數(shù)據(jù)安全治理政策的制定總體上可以分成三個階段:萌芽期、發(fā)展期、完善期。萌芽期是2016年之前,我國關(guān)于公共數(shù)據(jù)安全治理的政策文件具有分散性和非計劃性,例如:2004年的《傳染病防治法》中規(guī)定“疾病預(yù)防控制機構(gòu)、醫(yī)療機構(gòu)不得泄露涉及個人隱私的有關(guān)信息、資料”;2011年《刑法》修正案中明確規(guī)定“非法獲取公民個人信息罪”。2017年《中華人民共和國網(wǎng)絡(luò)安全法》的實施是發(fā)展期開始的標志,針對網(wǎng)絡(luò)數(shù)據(jù)及信息安全從基礎(chǔ)設(shè)施運行、監(jiān)測預(yù)警、應(yīng)急處理等方面做出了詳細規(guī)定,并積極鼓勵制定相關(guān)國家標準和行業(yè)標準,隨后相關(guān)的強制性國家標準、推薦性國家標準、指導(dǎo)性技術(shù)文件、金融行業(yè)數(shù)據(jù)標準等應(yīng)運而生。2020年公共數(shù)據(jù)安全治理政策體系進入完善期。首先是2020年我國發(fā)布了《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》,將數(shù)據(jù)列為繼土地、勞動力、資本、技術(shù)之后的“第五大生產(chǎn)要素”,開始探索建立數(shù)據(jù)管理制度,并將培育數(shù)據(jù)要素市場寫入《第十四個五年規(guī)劃和2035年遠景目標綱要》《關(guān)于印發(fā)〈要素市場化配置綜合改革試點總體方案〉的通知》等多個文件。隨后各地政府開始出臺公共數(shù)據(jù)管理辦法條例,對公共數(shù)據(jù)安全問題都設(shè)立了專章。2021年頒布的《數(shù)據(jù)安全法》是我國第一部關(guān)于數(shù)據(jù)安全的法律,2022年浙江省出臺我國第一部關(guān)于公共數(shù)據(jù)的地方性法規(guī)。

綜上所述,我國數(shù)據(jù)安全治理政策體系還未完善,但公共數(shù)據(jù)安全治理已經(jīng)進入完善期?，F(xiàn)階段,人大、政府、行業(yè)團體等圍繞公共數(shù)據(jù)安全治理和各領(lǐng)域公共數(shù)據(jù)安全制定了一系列政策,為公共數(shù)據(jù)基礎(chǔ)制度建設(shè)和釋放公共數(shù)據(jù)要素價值提供框架支撐。在數(shù)據(jù)安全政策逐步完善的同時,政策系統(tǒng)建設(shè)也要加強。政策系統(tǒng)是政策開展的基礎(chǔ)保障,包含政策機構(gòu)、政策環(huán)境、政策制度等方面。

(三) 基于全生命周期的公共數(shù)據(jù)安全治理內(nèi)容框架

除了從公共數(shù)據(jù)參與主體的視角研究,公共數(shù)據(jù)安全治理還應(yīng)考慮數(shù)據(jù)本身的屬性特征,即全生命周期視角。本文在數(shù)據(jù)全生命周期模型的基礎(chǔ)上,綜合公共數(shù)據(jù)的內(nèi)涵及特點,以公共數(shù)據(jù)安全治理為任務(wù),探索一條符合時代要求特征的公共數(shù)據(jù)安全治理路徑,為公共數(shù)據(jù)安全治理提供全方位多主體參與的實踐參考。

1．?dāng)?shù)據(jù)生命周期模型

生命周期模型這一概念來源于生物學(xué)領(lǐng)域,為了應(yīng)對數(shù)據(jù)存儲量大造成管理成本加重問題,早在2002年已經(jīng)有企業(yè)開始關(guān)注數(shù)據(jù)生命周期理論。此后數(shù)據(jù)生命周期模型在產(chǎn)品生產(chǎn)管理、電子文件存儲、系統(tǒng)優(yōu)化設(shè)計等領(lǐng)域發(fā)揮著重要的應(yīng)用和理論指導(dǎo)意義,本文梳理了部分國內(nèi)外典型的數(shù)據(jù)生命周期模型(如表2所示)。

表2 國內(nèi)外典型數(shù)據(jù)周期模型

2.公共數(shù)據(jù)安全治理的全生命周期模型

由表2可知,常見的數(shù)據(jù)生命周期模型包含數(shù)據(jù)收集、處理、分析、開放、保存等階段。本文探討基于全生命周期模型的公共數(shù)據(jù)安全治理,具有公共數(shù)據(jù)和數(shù)據(jù)安全雙重屬性,既要考慮到公共數(shù)據(jù)的社會屬性,又要顧及數(shù)據(jù)安全需要。因此,本文充分考慮數(shù)據(jù)安全問題,在公共數(shù)據(jù)生命周期模型基礎(chǔ)上構(gòu)建了包含數(shù)據(jù)采集、數(shù)據(jù)歸集、數(shù)據(jù)開放、數(shù)據(jù)保護、數(shù)據(jù)監(jiān)管5個階段的模型,其中每個階段又細分為若干子階段(如下圖所示)。

圖 基于全生命周期的公共數(shù)據(jù)安全治理內(nèi)容框架

第一,數(shù)據(jù)采集。公共數(shù)據(jù)采集是指政府部門、公共機構(gòu)和社會團體產(chǎn)生或提供的數(shù)據(jù),通過有效的數(shù)據(jù)采集為后續(xù)的數(shù)據(jù)分析和利用提供基礎(chǔ),為各種活動和決策提供科學(xué)依據(jù)和支持。數(shù)據(jù)采集包括合規(guī)采集和數(shù)據(jù)識別兩部分。合規(guī)采集:公共數(shù)據(jù)采集過程中要遵守相關(guān)法規(guī)和政策的要求,確保數(shù)據(jù)采集的合法性、合規(guī)性和隱私保護。在采集數(shù)據(jù)之前,需要明確采集目的、合法依據(jù)和合規(guī)程序,并取得相關(guān)授權(quán)或同意,不可違規(guī)強迫性采集不屬于公共數(shù)據(jù)范疇的數(shù)據(jù)。數(shù)據(jù)識別:數(shù)據(jù)識別是指對數(shù)據(jù)進行分析和解讀以了解其特征、屬性和含義的過程,這是數(shù)據(jù)采集環(huán)節(jié)的重要步驟,其核心環(huán)節(jié)是建立數(shù)據(jù)保護目錄,明確重要數(shù)據(jù)、行業(yè)數(shù)據(jù)、各領(lǐng)域數(shù)據(jù)等劃分標準。數(shù)據(jù)識別是數(shù)據(jù)分類分級的基礎(chǔ)前提,也是公共數(shù)據(jù)安全治理的基礎(chǔ)條件,只有建立公共數(shù)據(jù)識別體系,才能更加有效、有針對性地對公共數(shù)據(jù)安全進行治理。

第二,數(shù)據(jù)歸集。將采集到的無序公共數(shù)據(jù)進行收集、整理、歸納匯總,從而形成有序化、結(jié)構(gòu)化數(shù)據(jù)集的過程就是公共數(shù)據(jù)歸集。數(shù)據(jù)分類分級:各級政府和相關(guān)機構(gòu)部門組織制定的公共數(shù)據(jù)分類分級相關(guān)行業(yè)標準,可以參考數(shù)量級、敏感程度、業(yè)務(wù)影響、重要程度等維度,制定符合本行業(yè)領(lǐng)域的公共數(shù)據(jù)分類分級體系標準。此外,公共數(shù)據(jù)安全分級是公共數(shù)據(jù)分類分級重點關(guān)注的內(nèi)容,實現(xiàn)有效的公共數(shù)據(jù)安全分級是確保公共數(shù)據(jù)安全的基石。公共數(shù)據(jù)分類分級是公共數(shù)據(jù)安全治理實踐過程中的關(guān)鍵場景,是公共數(shù)據(jù)安全工作的橋頭堡和必選題。數(shù)據(jù)脫敏:數(shù)據(jù)脫敏是指對部分敏感數(shù)據(jù)進行變形處理、消除數(shù)據(jù)敏感性的手段,以防數(shù)據(jù)泄露和濫用的風(fēng)險。公共數(shù)據(jù)脫敏需要考慮公共數(shù)據(jù)安全、公共數(shù)據(jù)可用性和法律合規(guī)性等因素,以確保公共數(shù)據(jù)的保護和合理使用。數(shù)據(jù)加工:公共數(shù)據(jù)加工是對公共數(shù)據(jù)進行清洗、集成、分析的綜合性操作以提取有用信息的步驟。數(shù)據(jù)加工是數(shù)據(jù)的創(chuàng)造性增值過程,為公共數(shù)據(jù)開放釋放價值提供源泉。

第三,數(shù)據(jù)開放。公共數(shù)據(jù)開放包含內(nèi)部主體和外部主體,內(nèi)部主體包含公共數(shù)據(jù)的采集者、生產(chǎn)者,外部主體指社會群體。數(shù)據(jù)存儲:公共數(shù)據(jù)存儲是公共數(shù)據(jù)開放的先決條件,數(shù)據(jù)存儲的條件直接決定數(shù)據(jù)開放的質(zhì)量。公共數(shù)據(jù)開放還要考慮存儲設(shè)備、容量、安全性、運營成本、性能、維護等條件因素,并根據(jù)數(shù)據(jù)分類分級和數(shù)據(jù)特性將不同生命周期和用途的數(shù)據(jù)存放在合適的設(shè)備,最后通過儲存技術(shù)的升級更新迭代來守護公共數(shù)據(jù)安全的最后一道防線。監(jiān)測預(yù)警:數(shù)據(jù)管理者應(yīng)當(dāng)建立數(shù)據(jù)處理活動中的安全風(fēng)險監(jiān)測預(yù)警系統(tǒng),加強違規(guī)數(shù)據(jù)處理活動中的阻斷技術(shù)建設(shè),并及時做好風(fēng)險隱患的溯源排查工作。將公共數(shù)據(jù)監(jiān)測預(yù)警作為公共數(shù)據(jù)安全防線的第一道防火墻,在公共數(shù)據(jù)開放過程中顯得尤為重要。風(fēng)險識別:公共數(shù)據(jù)開放過程中數(shù)據(jù)運營者和數(shù)據(jù)使用者應(yīng)當(dāng)對提供的數(shù)據(jù)產(chǎn)品和服務(wù)可能具有的風(fēng)險進行畫像識別,從而有助于保護自身的權(quán)益不受侵犯。明確可能的風(fēng)險源,掌握風(fēng)險識別的方法和工具,才能對風(fēng)險進行排查與治理。

第四,數(shù)據(jù)保護。公共數(shù)據(jù)保護主要涉及三種形態(tài)的數(shù)據(jù):存儲時的數(shù)據(jù)、傳輸時的數(shù)據(jù)、使用時的數(shù)據(jù)。目前公共數(shù)據(jù)保護的重要對象是使用時的數(shù)據(jù),數(shù)據(jù)泄露、數(shù)據(jù)破壞、數(shù)據(jù)篡改、數(shù)據(jù)失控等數(shù)據(jù)安全的主要威脅均來源于此。隱私保護:公共數(shù)據(jù)隱私保護的對象不只是個人數(shù)據(jù)隱私,還包括企業(yè)數(shù)據(jù)隱私。隱私保護涉及一般場景和特殊場景,在一般場景中個人和企業(yè)隱私數(shù)據(jù)的采集過程要遵從數(shù)據(jù)最小化原則,作為數(shù)據(jù)的提供者應(yīng)該盡可能少地提供關(guān)于自身的隱私數(shù)據(jù);在特殊場景中數(shù)據(jù)提供者出于特定目的,不得不相信數(shù)據(jù)采集運營者的契約精神,授予其隱私數(shù)據(jù)。技術(shù)保障:要使技術(shù)保障貫穿于公共數(shù)據(jù)安全治理全流程之中,傳輸加密、接口驗證、訪問控制、加密存儲、交互權(quán)限等環(huán)節(jié)均離不開技術(shù)保障;技術(shù)保障不僅要滿足公共數(shù)據(jù)全生命周期安全需要,還需要考慮環(huán)境安全、場景安全、系統(tǒng)安全等多維度的安全要求。應(yīng)急處理:公共數(shù)據(jù)安全應(yīng)急處理指應(yīng)對由外部黑客攻擊、內(nèi)部人為行為、軟件缺陷、硬件故障、網(wǎng)絡(luò)安全風(fēng)險等原因造成的公共數(shù)據(jù)安全突發(fā)事件的工作。

第五,數(shù)據(jù)監(jiān)管。公共數(shù)據(jù)安全監(jiān)管需要建立數(shù)據(jù)要素治理制度,包含數(shù)據(jù)要素合規(guī)交易、收益分配、安全可控等維度,并明確各方主體的責(zé)任,優(yōu)化行業(yè)規(guī)范標準,形成市場和政府相結(jié)合的公共數(shù)據(jù)要素多維監(jiān)管格局。數(shù)據(jù)安全審計:公共數(shù)據(jù)安全審計是指對數(shù)據(jù)資產(chǎn)信息的完整性、可用性、保密性進行審查,包含安全方針、數(shù)據(jù)安全政策和流程審查、系統(tǒng)和網(wǎng)絡(luò)安全審查、安全事件響應(yīng)審查、物理安全審查等內(nèi)容。公共數(shù)據(jù)安全審計可以由內(nèi)部審計團隊或第三方審計機構(gòu)進行,審計結(jié)果和建議可以幫助公共數(shù)據(jù)管理者改進其數(shù)據(jù)安全措施,減少安全風(fēng)險,并確保數(shù)據(jù)的安全性和合規(guī)性。數(shù)據(jù)安全評估:數(shù)據(jù)安全風(fēng)險評估是借鑒信息安全風(fēng)險評估的基本原理和步驟,基于組織的數(shù)據(jù)戰(zhàn)略,從數(shù)據(jù)全生命周期安全出發(fā),對組織目標環(huán)境中數(shù)據(jù)和數(shù)據(jù)處理活動的安全風(fēng)險和違法違規(guī)問題進行檢測評估的過程。評估應(yīng)堅持預(yù)防為主、主動發(fā)現(xiàn)、積極防范,對數(shù)據(jù)安全保護和數(shù)據(jù)處理活動進行風(fēng)險評估,旨在掌握數(shù)據(jù)安全總體狀況,發(fā)現(xiàn)數(shù)據(jù)安全隱患,提出數(shù)據(jù)安全管理和技術(shù)建議,提升數(shù)據(jù)安全防攻擊、防破壞、防竊取、防泄漏、防濫用能力。通過安全評估,組織可以制定相應(yīng)的風(fēng)險管理策略和控制措施,以減輕風(fēng)險并保護數(shù)據(jù)安全。

綜上所述,本文構(gòu)建的公共數(shù)據(jù)安全治理的全生命周期模型,包含公共數(shù)據(jù)采集、歸集、開放、保護、監(jiān)管“五位一體”的數(shù)據(jù)安全治理階段。既考慮到傳統(tǒng)數(shù)據(jù)安全面對的困境,又照應(yīng)了在人工智能時代背景下面臨的新型安全問題;既考慮到政府單位主體責(zé)任與義務(wù),又顧及了市場主體參與發(fā)揮的作用。

四、公共數(shù)據(jù)安全治理路徑研究

基于所構(gòu)建的公共數(shù)據(jù)安全治理的全生命周期模型,本文從完善頂層政策法律設(shè)計、完善首席數(shù)據(jù)官制度建設(shè)、提升公民數(shù)字安全素養(yǎng)、加快公共數(shù)據(jù)安全領(lǐng)域人才培養(yǎng)四個方面提出公共數(shù)據(jù)安全治理路徑,旨在防范公共數(shù)據(jù)無序流動引發(fā)的社會性公共數(shù)據(jù)安全風(fēng)險,助力完善公共數(shù)據(jù)治理體系。

(一)完善頂層政策法律設(shè)計

政策法律方面,我國目前數(shù)據(jù)安全保障的法律體系相對健全,《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《中華人民共和國網(wǎng)絡(luò)安全法》構(gòu)筑了數(shù)據(jù)安全的法律體系,但關(guān)于公共數(shù)據(jù)安全尚無專門性的立法保障。2021年起地方省級政府逐步開始出臺公共數(shù)據(jù)及公共數(shù)據(jù)安全相關(guān)條例及管理辦法,這為頂層專項政策法律的出臺提供了一定的借鑒。第一,國家層面應(yīng)該頒布與“公共數(shù)據(jù)安全”相關(guān)的專門性法律法規(guī),用于統(tǒng)一公共數(shù)據(jù)安全的行為規(guī)范,明確公共數(shù)據(jù)采集者、運營者、使用者等多方主體的責(zé)任與義務(wù),加大監(jiān)督者的審計力度,并為省市政府制定適合本區(qū)域具體、詳細的法律規(guī)章提供指導(dǎo)性意見;第二,各部委應(yīng)該從具體的場景需求出發(fā),如2023年7月中國人民銀行起草的《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》明確了中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全合規(guī)底線要求,填補了本領(lǐng)域數(shù)據(jù)安全管理制度保障空白,可以指導(dǎo)數(shù)據(jù)處理者優(yōu)質(zhì)高效合規(guī)開展中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)處理活動,履行數(shù)據(jù)安全保護義務(wù),分門別類地制定符合本行業(yè)屬性的公共數(shù)據(jù)安全管理部門規(guī)章,為各行業(yè)的發(fā)展給出指導(dǎo)性的規(guī)范意見;第三,國家標準化管理委員會和地方國家標準化管理委員會可以根據(jù)企業(yè)發(fā)展、行業(yè)需求制定有關(guān)公共數(shù)據(jù)安全的國家標準、地方標準、行業(yè)標準,例如2023年3月實施的《農(nóng)業(yè)大數(shù)據(jù)安全管理指南》為農(nóng)業(yè)活動數(shù)據(jù)安全管理的采集、傳輸、存儲、處理、交換環(huán)節(jié)制定了措施。

(二)完善首席數(shù)據(jù)官制度建設(shè)

在制度建設(shè)方面,首席數(shù)據(jù)官是統(tǒng)籌公共數(shù)據(jù)發(fā)展與安全的重要管理者。2021年5月《廣東省首席數(shù)據(jù)官制度試點工作方案》正式印發(fā),標志著國內(nèi)開啟政府CDO試點;2023年9月長沙市在全省率先設(shè)立“首席數(shù)據(jù)官”,集數(shù)據(jù)統(tǒng)籌管理、數(shù)據(jù)價值發(fā)掘、數(shù)據(jù)安全守護職責(zé)于一身,其中確保數(shù)據(jù)安全是其工作任務(wù)之一;2023年9月北京經(jīng)濟技術(shù)開發(fā)區(qū)正式出臺《北京經(jīng)濟技術(shù)開發(fā)區(qū)首席數(shù)據(jù)官制度工作方案》,經(jīng)開區(qū)采用“首席數(shù)據(jù)官+數(shù)據(jù)專員+部門聯(lián)系人”的“三級工作制”建立起上下貫通的數(shù)據(jù)治理組織體系,首席數(shù)據(jù)官將作為數(shù)據(jù)安全第一責(zé)任人。我國“首席數(shù)據(jù)官”制度發(fā)展兩年已初具規(guī)模,但主要運用于政府部門,企業(yè)首席數(shù)據(jù)官設(shè)置才剛剛起步,工作主要集中于相關(guān)政策的頒布方面,還沒有具體實施的成果。例如,2020年江蘇省頒布《江蘇省工業(yè)大數(shù)據(jù)發(fā)展實施意見》,率先推動了地方企業(yè)設(shè)立首席數(shù)據(jù)官。企業(yè)作為公共數(shù)據(jù)的提供者、運營者、使用者,是公共數(shù)據(jù)安全治理的重要參與主體。在企業(yè)中首席數(shù)據(jù)官起到中樞大腦的作用,對上對接CEO,對企業(yè)數(shù)據(jù)安全管理負責(zé),對下制定本企業(yè)數(shù)據(jù)安全管理的制度,對公共數(shù)據(jù)全生命周期的安全負責(zé)。因此,盡快實施企業(yè)首席數(shù)據(jù)官制度是公共數(shù)據(jù)安全治理的必由之路。

(三)提升公民數(shù)字安全素養(yǎng)

秉承發(fā)展與安全并重的原則,公共數(shù)據(jù)安全已經(jīng)成為關(guān)系國家與社會發(fā)展的重大問題,除了政府部門要加強公共數(shù)據(jù)安全監(jiān)管外,公民公共數(shù)據(jù)安全的數(shù)字素養(yǎng)也亟待提升[17]。公民需要具備識別虛假數(shù)據(jù)的意識,提升數(shù)據(jù)防泄漏的能力。公民公共數(shù)據(jù)安全的數(shù)字素養(yǎng)提升策略應(yīng)包含以下方面:第一,數(shù)字加密。公共數(shù)據(jù)安全由三個維度組成:保密性、完整性、可用性。在提高數(shù)據(jù)保密性的同時,加密技術(shù)維護了數(shù)據(jù)完整性,確保了數(shù)據(jù)可用性,尤其是使用運營有條件開放和不予開放公共數(shù)據(jù)的情況下更要做好數(shù)字加密工作。第二,甄別素養(yǎng)。公民在獲取相關(guān)公共數(shù)據(jù)信息時,要注重從官方網(wǎng)站等渠道獲取,增強對虛假數(shù)據(jù)、虛假網(wǎng)站的甄別能力,避免個人信息泄露和數(shù)據(jù)欺詐的現(xiàn)象。第三,合理合法利用。公共數(shù)據(jù)主管部門應(yīng)對公眾需求開放公共數(shù)據(jù)的同時,公民應(yīng)合理使用、按需使用,避免因過度使用造成網(wǎng)絡(luò)系統(tǒng)故障,公民在使用公共數(shù)據(jù)時不可損害國家利益、妨礙他人權(quán)益。

(四)加快公共數(shù)據(jù)安全領(lǐng)域人才培養(yǎng)

加快公共數(shù)據(jù)安全領(lǐng)域人才培養(yǎng)是確保公共數(shù)據(jù)安全的重要舉措,這是保障公共數(shù)據(jù)安全可持續(xù)的基礎(chǔ)。公共數(shù)據(jù)安全不是單一學(xué)科可以解決的問題,需要跨學(xué)科合作、多學(xué)科知識融合。首先,制定科學(xué)合理的教育培養(yǎng)計劃。要建立健全公共數(shù)據(jù)安全知識體系,明確公共數(shù)據(jù)安全能力范疇,加快具備綜合性知識與技能的復(fù)合型技術(shù)性人才培養(yǎng)[18]。例如清華大學(xué)打造的“數(shù)據(jù)安全管理人才培養(yǎng)計劃”,即旨在提高相關(guān)人員的數(shù)據(jù)安全管理能力。其次,完善公共數(shù)據(jù)安全技能培訓(xùn)與認證工作。要全方位滿足數(shù)據(jù)安全崗位設(shè)置的需求,例如設(shè)置公共數(shù)據(jù)安全評估師、公共數(shù)據(jù)安全工程師、公共數(shù)據(jù)安全合規(guī)師等崗位,從而提升從業(yè)人員的公共數(shù)據(jù)安全能力,在公共數(shù)據(jù)安全領(lǐng)域的相關(guān)工作中更加具備競爭力。最后,建立合作交流機制。通過組織研討會、建立合作項目[19]、搭建共享資源和信息的平臺、跨界人才培養(yǎng)[20]等多種方式為公共數(shù)據(jù)安全人才培養(yǎng)合作交流提供思路。

五、結(jié)語

數(shù)字經(jīng)濟高速發(fā)展背景下帶來的新技術(shù)和新治理理念,可以賦能公共數(shù)據(jù)安全治理的全過程。公共數(shù)據(jù)安全的內(nèi)涵不僅限于數(shù)據(jù)安全層面,更應(yīng)考量公共數(shù)據(jù)全生命周期,因此本文提出了數(shù)字經(jīng)濟賦能時代下的公共數(shù)據(jù)安全治理的全生命周期框架,該框架覆蓋了數(shù)據(jù)采集、歸集、開放、保護、監(jiān)管五個環(huán)節(jié)。圍繞全生命周期公共數(shù)據(jù)安全的脆弱性問題、面臨的各種風(fēng)險,制定解決方案,同時又考慮到數(shù)據(jù)生產(chǎn)者、采集者、運營者、使用者、監(jiān)管者等多方主體。最后,從完善頂層政策法律設(shè)計、完善首席數(shù)據(jù)官制度建設(shè)、提升公民數(shù)字安全素養(yǎng)、加快公共數(shù)據(jù)安全領(lǐng)域人才培養(yǎng)四個方面出發(fā),為公共數(shù)據(jù)安全治理提供可實施性建議。