闫 倩，马海群（黑龙江大学 ．信息管理学院，．信息资源管理研究中心）

1 引言

互联网+的深入发展使互联网和人类社会经济活动交互渗透，数据呈现指数级的增长，数据已经成为国家基础性战略资源和数字经济的新型经济动能。中国信息通信研究院发布的《中国大数据发展调查报告》称，2016年中国大数据市场规模为168亿元，增速达到45%，预计2017-2020年增速保持在30%以上。［1］利用大数据来推动国家信息发展的战略全局、提升全民数据意识、发展数据文化、释放数据红利、打造数据优势，成为知识工作者面临的新挑战。［2］2015年8月31日，国务院以国发〔2015〕50号印发《促进大数据发展行动纲要》［3］（以下简称《纲要》），多次提到“开放”、“共享”、“大数据安全”等关键词，充分显示了数据开放、数据安全对我国大数据产业经济发展的重要性。《纲要》作为促进数字经济发展的宏观指导方针，旨在引导各地区政府、企业行业及社会各层级将政策文本中的任务与自身定位、实际情况等相结合，合理科学地细化分解任务并落于实处。同时，《纲要》中提出两项重要任务的关键词——开放数据和数据安全，两者之间辩证的关系引发了笔者对于开放数据政策、数据安全政策在今后决策和制定等过程中的思考：一方面，虽然开放数据是实现数字经济价值的关键所在，但也可能因为开放方式、政策指导等因素的不恰当或片面性而引发个人甚至国家层面的数据信息安全问题；［4］另一方面，也可能由于过度的重视数据安全，而阻碍数据开放的发展进程。公共政策作为高效有力的战略性指导，对解决数据开放和数据安全之间的矛盾和两者的协调统一有着重要作用。因此，决策者和执行者也应该正确认识开放数据政策与数据安全政策的辩证关系，两种政策体系既相互依存，又有不同的价值导向，只有实现两者的协作统一，才能解决数据开放和数据安全之间的矛盾冲突所带来的问题，使政策充分发挥效力，在确保数据安全的前提下科学合理地指导数据开放，充分发挥大数据作为新型战略资源的经济价值。

2 开放数据与数据安全之间的矛盾及数据政策的作用

2.1 开放数据与数据安全的矛盾引发的问题

我国不断注重加强信息网络安全相关的技术创新发展，但仍然和发达国家的信息安全技术有明显的差距，这种差距可能会带来国家层面的数据安全风险。同时，我国关于数据风险安全的法律政策仍处于不断探索前进阶段，没有形成完善的相关政策法律体系，因此直接影响着我国各层级、各地区对网络数据安全的监控和管理。如，2014年11月，上海召开的中国信息化百人会在围绕“如何推动中国公共数据开放的政策环境和安全保障建设”的圆桌会议中提出：政府必须制定加强公共开放数据的安全和隐私保护方面的政策和指导方针，参会学者如郑磊、李建华等都认为应该考虑开放数据政策与数据安全政策之间的平衡协同问题。单纯考虑开放共享数据政策，不仅可能会造成数据本身的安全问题，同时也会给国家和个人带来安全风险。［5］

（1）国家层面的信息数据安全风险。数据作为大数据时代的重要战略性资源被各个国家予以重视，而在互联网极其开放的今天，数据主权却难以界定，因此造成了关于跨境数据的归属、使用权利、管理权限等内容的纠纷。常见的现象是：西方发达国家利用技术优势获取发展中国家的数据，加之开放数据运动的推行更促进了其他国家对国外开放数据的获取和分析，对国家及社会层面造成直接或间接的影响和威胁。如，美国利用其先进的IT产业可以通过本国诸如《对外情报监控法案》等法律规定合理合法地获取其他国家IT用户的数据，［6］对美国而言，这种行为有利于情报的搜集分析和战略决策，但对于其他国家就造成了不同等级的数据安全威胁甚至是国家层面的危险。因此，我国在推动数据开放运动的过程中，除了要不断加强技术创新外，在开放数据政策方针的制定过程中必须要考虑相关数据安全政策的协同，制定保密法和国家安全法等，以实现开放共享数据与数据安全的平衡。

（2）个人层面的信息数据安全风险。在互联网及开放数据政策推行的环境中，个体极其容易在不知情的情况下被获取个人信息，大数据环境下信息获取技术的隐秘性、个体对个人隐私数据信息侵权行为的忽略、开放的网络数据环境等因素，加剧了个人隐私数据的安全保护难度，我国传统的隐私保护法律政策已经无法适应并合理管控当前的情况。西方国家已经针对上述情况制定了一系列的法律规章，如美国的《禁止追踪网上行为法案》、欧盟的《数据保护指令》等。因此，随着当前我国数据开放程度的提高，增加了个人信息泄露的风险，所以要加强对个人信息保护的力度。［4］我国在《纲要》中也明确指出“研究推动网上个人信息保护立法工作，明确提出相关主体的权利、责任和义务”。［3］

另外，对于数据安全的过度重视也会在一定程度上影响数据的开放程度。从个人层面上看，可能因过度担心隐私问题或以隐私保护为由影响政府数据的开放共享；对部门、企事业单位、机构来说，为了保证内部数据安全和避免不必要的数据风险、保证自身利益，可能会更注重数据安全而非数据开放。如，企事业单位内部的非敏感数据可能通过再次组合形成敏感数据（重新组成更有价值的数据），而敏感数据泄露将对该组织产生直接或间接的影响或安全风险。［7］

2.2 数据政策与上述问题的关联性及其作用

政策工具是解决数据安全和数据开放之间矛盾的最有效工具之一。相关数据政策是依据现实存在问题而制定的，具有宏观指导性和前瞻性，所以在数据安全和数据开放的实施过程中若存在矛盾，相关的政策制定也需要考虑协同协调问题，以发挥两类政策的实际作用，减少因政策目标、措施等因素导致的政策效能抵消。数据开放和数据安全政策是指在有利于国家经济社会发展的原则下，通过制定可操作的数据开放、数据安全政策、法规及其他措施，对解决数据开放引发的数据安全问题给予导向和调控的过程。从数据开放和数据安全的特殊属性来说，两者具有明显的时效性，其实施和实现涉及的主体、技术具有复杂性，这就要求政策法律的权威性与其相适应。从政策法规自身的角度看，在大数据环境下我国各个领域的数据开放、数据安全的实现和保障是全局性、长远性的重大问题，其实现必须依靠国家的信息政策法规进行干预和指导。首先，政策法规对数据开放和数据安全的实现具有导向作用。政策法规可以明确数据开放及数据安全的总体目标和基本原则，保证实施方向的正确、确保数据安全与数据发展的环境相适应。其次，政策法规对数据开放、数据安全的实现有协调作用。数据开放和数据安全政策可以协调在具体实现过程中出现的各种利益冲突、由数据环境变化引发的各种矛盾等。再次，政策对数据安全和数据开放具有管理作用。政策法规可以确定数据开放和数据安全的主体身份、职责和权利，对数据开放和数据安全进行规划，调整实施的具体过程，规定实现的具体方法等。总之，政策所具有的超前性、补充性、宏观导向性、协调性、管理性等特性使其在解决数据安全和数据开放相关问题上可以起到决定性的作用，充分调动各个层级部门的积极性，激励政府、企事业单位、个体群众等主体发挥自身作用，充分实现数据开放，解决其引发的相关数据安全问题。政策法规的制定与数据开放和数据安全的发展息息相关，在实施过程中也要及时修改、增补政策，保障其发展方向、具体内容的正确性和时效性。

3 我国的开放数据政策及数据安全政策现状分析

3.1 我国开放数据政策现状

2016年12月，中国信息通信研究院发表了《大数据白皮书》，强调了政府数据开放、共享的现状及推动其进一步发展的必要性，同时指出了我国当前的政府开放数据政策法律的现状。

早期，我国政府数据开放主要以政府信息公开为重点。典型的法律法规有《中华人民共和国政府信息公开条例》，它规定了政府信息公开的范围、原则、方式、程序及监督保障措施，为我国政府信息公开奠定了基础。2011年，最高人民法院发布了《关于审理政府信息公开行政案件若干问题的规定》的司法解释，进一步完善了政府信息公开政策法规。2015年以来，随着各国对大数据在经济社会中发挥的基础性战略资源作用的关注，我国也从政府信息公开的研究转向政府数据开放。为推动并加快政府数据开放的步伐，我国政府制定了一系列相关的政策法规，如《关于促进云计算创新发展培育信息产业新业态的意见》《关于大力推进大众创业万众创新若干政策措施的意见》《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》《国务院关于积极推进“互联网+”行动的指导意见》《促进大数据发展行动纲要》《关于加快构建大众创业万众创新支撑平台的指导意见》《关于全面推进政务公开工作的意见》《2016年推进简政放权放管结合优化服务改革工作要点》《国家信息化发展战略纲要》《“十三五”国家政务信息化工程建设规划》等。其中，《促进大数据发展行动纲要》明确提出加快政府数据开放共享、推进资源整合的任务，以及“2017年底前形成跨部门数据资源共享共用格局”［3］、“在2018年底前建成国家政府数据统一开放平台”［3］等目标；《国家信息化发展战略纲要》提出“开发信息资源，释放数字红利”，并且要求建立公共信息资源开放目录，构建统一规范、互联互通、安全可控的国家数据开放体系，积极稳妥推进公共信息资源开放共享。［8］

2016年至今，各地方政府为响应《纲要》提出的政府数据开放等目标，纷纷制定了地方促进大数据发展行动政策，如《延安市政务数据资源共享管理暂行办法》《上海市政务数据资源共享和开放2017年度工作计划》《贵阳市政府数据共享开放实施办法》《安徽省政务信息资源共享管理暂行办法》《兰州市政府数据资源共享管理办法》《东莞市大数据发展规划（2016-2020年）》等。这些政策的发布充分表明了国家层面、地方各级政府层面对数据开放共享的关注与重视，数据开放共享的政策法律体系在不断成形的过程中。

但总体上，我国政府开放数据政策及立法还不完善，早期制定的诸如《政府信息公开条例》等传统法律政策虽然具有一定使用性，却无法完全解决由飞速发展进步的互联网、大数据等技术带来的问题。总之，为了应对开放数据带来的问题及需求，我国关于数据开放的政策法律也在日趋完善，但仍然缺少专门的、独立的、系统的数据开放立法及政策，如制定《政府数据开放法》《政府数据开放行动计划纲要》等。［9］另外，在设立和完善系统化的开放数据政策法规时也应注意各项细则的完善。

3.2 我国数据安全政策现状

2017年9月发布的《互联网法律白皮书》表明，我国网络安全领域总体立法基本确立，并指出个人信息保护成为信息安全立法的重点。2017年4月的《大数据安全标准化白皮书》介绍了国内外数据安全的法律法规与政策现状，该白皮书显示美国、英国、欧盟及我国等很多国家和地区都制定了与大数据安全相关的法律政策，各国关于数据安全政策法律制定的主要关注方向包括：政府数据开放、数据跨境流动、个人信息保护等。

在我国，国家及政府部门为推动大数据产业经济的发展，尤为关注大数据安全，尽管相关的法律政策体系目前尚不完善，但仍逐步制定了一系列相关的法律与政策。2012年12月，全国人大常务委员会发布的《全国人大常委会关于加强网络信息保护的决定》中表示，国家将对涉及公民个人身份信息、隐私信息的电子信息进行保护，并要求网络服务提供商、相关企事业单位有责任确保在业务活动中收集的公民电子信息不被泄露、损毁、丢失，保障公民个人信息安全。2013年7月，工业和信息化部发布了《电信和互联网用户个人信息保护规定》，该规定是对全国人大常委会《关于加强网络信息保护的决定》的贯彻落实，进一步强调了互联网信息服务提供商、电信服务商等收集使用公民个人信息等行为的规范和要求。2015年8月，《纲要》提出加快建设数据强国和释放数据红利，加快政府数据开放共享，以提升治理能力；并提出网络空间数据主权保护是国家安全的重要组成部分，要求不断完善安全密保管理规范措施，提高管理水平，切实保障数据安全。2016年3月，《关于国民经济和社会发展第十三个五年规划纲要》提出要通过建立大数据安全管理制度、实施数据资源分类分级管理、保障安全高效可信应用等措施加强数据资源的安全保护。2016年11月，全国人大常委会发布了《中华人民共和国网络安全法》，该法案明确了网络数据的概念，鼓励网络数据安全技术的发展和公共数据资源的进一步开放，同时强调了加强公民个人信息的保护、跨境数据的安全评估和审核等。2016年12月，国家互联网信息办公室发布《国家网络空间安全战略》，明确提出建立大数据安全管理制度、推动新型信息技术的创新应用等，以推动国家大数据战略的实施、保障国家网络安全等目标。2017年9月，中国信息通信院发布的《互联网法律白皮书》中提到，

我国现行网络数据安全的相关立法现状和将来需要关注的重点建议，提出我国未来将在《网络安全法》的法律框架下通过完善网络安全领域配套规定形成网络安全法律体系。［9］总之，相比开放数据政策体系来说，我国关于数据安全已有现行的法律，意味着在解决数据安全问题上，有强制效力的法律约束，但仍需紧跟网络信息发展脚步不断修正与完善。

3.3 我国开放数据政策与数据安全政策协同的必要性

我国现有开放数据政策和数据安全政策现状表明，我国在不断完善相关数据政策体系，但仍缺少专门独立的数据开放法规，对数据开放的政策规定分散在多种不同类的政策中，没有形成系统化的开放数据政策体系；同时，关于开放数据的宏观战略还需借鉴各个地方政府的实际措施进行分类细化和序化。另外，开放数据政策中仅涉及一部分对数据安全的规定指导，而与数据安全有关的法律法规中也亟待添加与开放数据发展同步的相关内容规定。若政策的横向制定主体和纵向执行主体不能将数据安全和数据开放相关法律政策协同考虑，则容易造成两类政策隐性目标、政策运行管理以及政策功能的冲突与政策效能的抵消。［10］具体表现在，两类数据政策的制定与实施过程中，存在一定程度的相互矛盾：政府部门对于数据开放的重视可能由于开放数据的详细目录、开放范围、数据的权利主体模糊等造成国家、个人等层面的数据安全风险；而过于强调数据安全，则给数据开放的实现造成一定壁垒。因此，政策决策者在制定两类数据政策的过程中，需辩证地对待两类政策之间的矛盾与统一关系，才能在实现最大程度上的数据开放共享、提高数据利用率和价值的同时，保障国家和个人的数据安全。

政策协同的作用主要体现在以下两个方面。①政策协同使两类数据政策系统精简高效、协调一致。通过政策协同解决两类政策亟待解决的共同问题，减少冗余政策，这符合马尔福德和罗杰斯提出的“两个以上的组织创造新规则或利用现有决策规则，共同应对相似的任务环境”这一政策协同概念。［11］同时，通过协调一致的政策框架，解决数据开放与数据安全政策的潜在矛盾。② 政策协同以最少资源实现最大政策效能。政策的制定与运行管理需要消耗政策资源，而无论是人力、物力还是财力资源都是有限的，政策制定者在考虑政策协同后制定政策，将便于日后的运行管理，减少政策修改次数，减少消耗，实现政策资源的合理分配。

总之，构建开放数据和数据安全政策协同系统可以实现“1+1＞2”的效果，形成具有开放性、回应性、自组织、关联性强的数据政策系统，［12］最大程度地实现政策目标，提高政策执行效力。

4 开放数据政策与数据安全政策协同的方式和途径

4.1 政策协同的相关理论知识

政策协同指“不同政府及政府部门通过沟通对话使其公共政策相互兼容、协调、支持以解决复杂性问题和实现共同目标的方式”。［13］综合国内相关文献，学术界仍对政策协同是过程还是状态有分歧，即对“政策是两个及以上政策通过相互协调配合达成共同目标的过程”还是“达到最小的冗余、缺失，最大化连贯一致和有序的状态”有分歧。［14］但总的来说，政策协同的主要目标是产出具有一致性、连贯性、综合性、协调兼容的政策，［15］政策协同的主要功能是利用政策组合的优势解决当今跨界性强、越来越复杂的公共问题，降低政策运行的交易成本、有效利用有限的政策资源。［13］基于不同的划分依据，常见的政策协同类型有：层次类型、程度类型和结构类型，［13］可以依据这三种类型进行政策的协同，也可以将其综合起来形成复杂的政策协同，从而更全面地解决复杂的公共问题。目前，国内政策协同研究主要集中在两个方面：① 依据系统协同理论来研究政策系统各要素之间、系统与要素之间、系统与环境之间协调、合作互补的关系等；② 主要用定量方法来研究不同类型政策的政策效力、政策目标、政策措施、政策部门等的协同。

4.2 开放数据与数据安全政策协同的方式

为减少开放数据政策和数据安全政策之间的冲突、减少因效力抵消造成的内耗，提高数据政策系统的整体效能，需要寻找科学合理的理论和应用依据来实现开放数据政策与数据安全政策的协同。笔者借鉴前人的研究，将开放数据政策和数据安全政策按照政策主体与政策效力、政策目标、政策措施三个方面进行分析和协同探讨。［16］

（1）政策主体协同与政策效力协同。政策主体指的是参与或影响政策制定、执行、评估的组织、团体或个人。［17］政策主体包括政策决策主体与政策执行主体，［18］横向决策主体指具有政策制定权力的部门，纵向执行主体指主要负责对决策层制定的宏观政策进行细化分解和落实的部门。政策效力即政策力度，一般来说层次越高的政府机构颁布的政策效力越高，其对行为主体的影响较为宏观；而层级较低的部门颁布的政策虽然法律效力小，但对行为主体的影响却较明确，在政策目标的达成程度和政策措施的落实效果上更易体现出来。［18］我国关于开放数据政策和数据安全政策的宏观战略指导主要由全国人大及其常务委员会、国务院、各部委分层制定，再由省、市、县依据当地实际情况进行自上而下的任务分解细化和落地实际化。政策主体的协同是具体政策体系协同的首要一步。

（2）两类数据政策的政策目标协同。目标有总目标、子目标，也有显性目标与隐性目标等，协同的、科学合理的政策目标体系是政策内容制定、措施协调一致的必要基础。《纲要》中提出的总目标是推动我国大数据产业的发展和应用、加快数据强国，分目标包括加快政府数据开放、推动资源整合与健全大数据安全保障体系、强化安全支撑，这两项目标在各层级制定政策时显性表现一致，却存在隐性目标的冲突，即上文提出的：开放数据政策和数据安全政策之间的辩证关系带来的隐性目标冲突。因此，要实现开放数据政策与数据安全政策的协同，决策者在制定政策时必须考虑两者之间存在的矛盾及可能带来的问题，明确政策目标之间的协同关系。

（3）两类政策的政策措施协同。政策措施即政府制定和实施政策时为实现既定目标运用的方法和手段。关于数据开放和数据安全的主要政策措施可分为：技术措施、人事措施、行政措施、金融措施、财政税收措施、引导措施和其他经济措施等。本研究中两类数据政策措施包括与解决的问题、涉及的领域直接相关的基本措施，也有在间接领域中涉及到数据开放与数据安全协调一致的辅助措施。无论是基本措施还是辅助措施，都是为实现两类数据政策目标而制定的。

为便于理解，笔者列出协同关系框架（见下图）。

图 开放数据与数据安全政策协同关系框架

开放数据政策与数据安全政策协同即从政策主体出发，以国务院、数据政策相关中央部门等为横向决策主体，将数据安全和数据开放协同作为政策制定依据及方向之一，制定数据开放与数据安全这两类相互关联、相互依存的政策体系与具体政策。各省、市、县政府部门、企业、高校等作为两类政策的纵向执行部门，依据总的指导方针与自身实际情况，制定出更具实践意义的细化政策。纵向执行主体相关单位可依据两类数据政策在实际中的执行效果和产生的相关问题进行政策评估，在部门之间交流完善，向横向决策主体反馈政策协同效果，再由政策制定者依据反馈、评估结果等进行政策体系的修改或完善。下表为开放数据政策和数据安全政策协同的具体措施。

4.3 关于开放数据与数据安全政策协同的途径建议

各个国家的实际国情与政策情况各不相同，实现政策协同的途径也各不相同。根据安德达尔的政策协同方法，可以将开放数据政策和数据安全政策协同的实现途径分为两种：直接协同和间接协同。［13］直接途径是通过界定数据安全和开放数据政策制定实施部门共同的政策目标和所遵循的指导规则达到两类政策的协同，这种方式的协同效果取决于清晰的政策目标和指导规则，通过两类政策的制定及执行主体确保数据开放与数据安全政策的执行和应用。即政策决策者通过讨论确定两类政策的共同目标是解决由数据开放可能引发的数据安全问题，用适度的数据安全管理以防阻碍数据开放的推广与实行，并以此目标作为制定政策的指导原则之一，对现行政策进行评估，去除不合理的矛盾性政策、添加符合上述政策目标的协同性政策。间接途径主要从“知识型策略”和“制度型策略”两个方面实现政策协同。“知识型策略”指通过研究和培训等措施，提升数据开放及数据安全政策决策者的综合性和整体性视角；“制度型策略”包括多种具体策略，可以重新定义开放数据政策引发的数据安全问题，将这类问题从地方层面、狭窄机构部门层面扩展至全国层面或更广范围的综合性部门；或者可以改变开放数据政策与数据安全政策的决策程序，增加听证会的参与方，以提出全方位、多角度的政策问题分析和解决方案；也可以通过资源、权威的再分配，建立超部门的协调机构，专门应对大开放数据政策引发的数据安全问题，制定综合性的政策。

表 开放数据政策与数据安全政策协同措施