政府数据开放共享中的安全问题与治理对策
2020-07-24张莉
摘 要:随着互联网和信息技术的飞速发展,数据已成为国家的重要战略资源,成为企业发展的战略资产,其重要性不言而喻。其中,政府掌握着绝大多数的社会信息资源,政府数据开放共享意义重大。近年来,我国政府数据开放共享发展迅速,但是安全问题也十分突出。文章从我国政府数据开放共享的现状入手,重点分析了面临的安全挑战,并给出了相应治理对策建议。
关键词:数据开放共享;安全;治理
中图分类号: TP274 文献标识码:A
1 引言
近年来,数据开放共享已成为我国政府开展数据治理的重要议题,中央和地方政府在数据开放共享的顶层设计和制度化建设方面,迈出了创新步伐。但是,政府数据开放共享过程中也存在诸多问题,其中个人隐私泄露、敏感数据泄密和失控等安全问题是重要掣肘因素。本文从我国政府数据开放共享的现状入手,重点分析了其中存在的安全问题,并给出相应的对策和建议。
2 我国政府数据开放共享的现状
2.1 顶层设计取得有效进展
2015年9月5日,国务院印发的《关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50号)围绕着各部门、各地区、各行业、各领域的数据资源开放共享这一核心任务,提出了指导思想和发展目标,以及要开展的主要工作。
2016年9月19日,国务院印发的《政务信息资源共享管理暂行办法》,提出了政务信息资源共享应遵循的原则:以共享为原则,不共享为例外;需求导向,无偿使用;统一标准,统筹建设;建立机制,保障安全。同时,由国家发展改革委负责制定的《政务信息资源目录编制指南》,明确了政务信息资源的分类、责任方、格式、属性、更新时限、共享类型、共享方式、使用要求等内容;国家发展改革委负责组织推动国家共享平台及全国共享平台体系建设。
2016年9月25日,国务院发布了《关于加快推进“互联网+政务服务”工作的指导意见》,其中提到要推进政务信息共享。国家发展改革委牵头整合构建统一的数据开放共享交换平台体系,贯彻执行《政务信息资源共享管理暂行办法》,打通数据壁垒,实现各部门、各层级数据信息互联互通、充分共享,尤其要加快推进人口、法人、空间地理、社会信用等基础信息库的互联互通,建设电子证照库和统一身份认证体系。国务院各部门要加快整合面向公众服务的业务系统,梳理编制网上政务服务信息共享目录,尽快向各省(区、市)网上政务服务平台按需开放业务系统实时数据接口,支撑政务信息资源跨地区、跨层级、跨部门互认共享。
2020年4月9日,国家出台的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》,在加快培育要素市场中首先提到要推动政府数据开放共享。
2.2 数据治理机构纷纷建立
为落实中央政策文件精神,推动“互联网+政务”以及政府数据资源开放政策的具体落地,地方数据治理机构纷纷涌现。从省级政府数据治理机构的设立来看,2014年2月,广东省在全国率先成立了省级大数据管理局。2015年8月之后,贵州省和浙江省先后成立了贵州省大数据发展管理局和浙江省数据管理中心。其中,贵州省大数据发展管理局是首个省政府直属的大数据治理机构。2017年,省级大数据治理机构又增加了4个,分别是内蒙古自治区大数据发展管理局、重庆市大数据发展局、江西省大数据中心、陕西省政务数据服务局。2018年6月,上海市成立了上海市大数据中心,同年7月天津市成立了天津市大数据管理中心。
2018年10月之后,一部分省(市、自治区)陆续成立了专门的数据治理机构。比如,福建成立数字福建建设领导小组办公室,加挂省大数据管理局牌子。广西设立大数据发展局。北京组建经济和信息化局,同时加挂市大数据管理局牌子。安徽组建的省数据资源管理局加挂省政务服务管理局牌子。河南的大数据管理局由省政府办公厅管理。
另一部分省(市、自治区)则是对原有机构进行了调整组合。比如,浙江将省政府办公厅的公共数据和电子政务及政府门户网站建设管理职责,省经济和信息化委员会的电子政务发展、政务和社会公共服务信息资源开发利用职责等进行全面整合,重新组建了省大数据发展管理局,并作为省政府办公厅管理的副厅级机构。山东在省政府办公厅大数据和电子政务等管理职责基础上组建省大数据局,作为省政府直属机构。重庆市则将经信委的人工智能、大数据、信息化推进职责和发改委的社会公共信息资源整合与应用、智慧城市建设职责等进行整合,在此基础上组建了重庆市大数据应用发展管理局。广东在之前已经建立的数据治理机构基础上,重新组建了副厅级的广东省政务服务数据管理局,由省政府办公厅管理。
从省级以下政府数据治理机构的设立来看,2015年5月,广州市政府设立广州市大数据管理局,成为国内最早成立的政府数据治理机构之一。同年,沈阳、兰州、武汉、石家庄、厦门等地先后成立政府数据治理机构,成为政府数据治理创新的先行者。2016年,银川、青岛、贵阳、哈尔滨、宁波等市成立相关机构。2017年后,成立政府数据治理机构的城市开始迅速增加。目前,有79个副省级和地级城市组建了政府数据治理机构。
2.3 数据开放共享形式多样
当前,政府数据开放共享主要有三种形式。
一是数据开放主要是政府数据面向公众开放。该类模式主要适用于非敏感并且不涉及个人隐私的数据,并且需要保證数据经过二次加工或者聚合分析后仍不会产生敏感数据。上海市政府数据服务网作为全国首个政府数据服务网站承担着对外数据开放、提供检索下载服务等功能,且部分数据已被信息服务企业调取利用,政府数据的经济价值初步显现。
二是数据交换主要是政府部门间、政府与企业之间通过签署协议、合作等方式开展的非营利性数据开放共享。浙江“最多跑一次”的改革,就是基于打通信息孤岛、实现数据开放共享的政务实践。以办理不动产登记证为例,在数据开放共享改革之前,个人需要向国土、住建、地税三部门递交65份600页材料,数据开放共享后需要递交的材料明显简化,基于这样的数据开放共享,办证时间明显缩短,实现“1小时领证”。除了政府间数据交换共享,政府与企业之间也有实践案例,如2017年7月,腾讯公司与中国地震应急搜救中心最新达成战略合作,中国地震应急搜救中心将依托腾讯位置服务大数据,助力防灾、减灾、救灾决策等。
三是数据交易主要是对数据进行明码标价进行买卖。总体来看,我国大数据应用于交易处于起步阶段,尚未形成大规模发展态势。
3 我国政府数据开放共享面临的安全挑战
3.1 个人数据泄露情况严重
近年来,频频发生的个人数据泄露问题,大到给国家安全和经济社会发展造成严重的潜在危害,小到给公民个人造成巨大经济损失和精神伤害。据IBM统计,25%的数据泄露事件由人为因素导致。人为因素分为两种情况:一种是企业内部人员或承包商因设备配置不当、工作疏忽,导致数据暴露在公开的互联网上;另一种是企业内部人员或承包商实施恶意内部攻击,导致数据泄露。正是由于数据在收集、存储、使用、交换及销毁等各个环节都存在极大的安全隐患,很多政府部门和大型互联网企业在数据开放共享中都心存忧虑,担心数据泄露或遭黑客攻击带来严重后果,不敢推动数据开放共享进程。
3.2 数据遭受攻击风险凸显
随着云计算、物联网和移动互联网等新一代信息技术的飞速发展,大数据应用规模日趋扩大,数据及其应用皆呈指数级增长态势,当企业用数据挖掘和数据分析获取商业价值的时候,黑客也可以利用大数据分析向企业发起攻击。黑客攻击是导致数据泄露的最主要原因。根据金雅拓统计,56%的数据泄露事件是由“惡意的外部入侵者”引发。IBM的研究报告(2018 Cost of a Data Breach Study: Global Overview)显示,犯罪攻击导致了48%的数据泄露事件,漏洞攻击、病毒利用、“撞库”等是主要的数据“获取”方式。
3.3 数据黑产现象日益猖獗
大数据时代,信息的高速流转和运营创造出空前的价值,随之而来的信息数据倒卖猖獗,企业大规模数据泄露事件频发,数据安全如临深渊。这些数据和信息在黑市中被来回倒手,直至价值被榨干。在网络黑产早期,数据是网络黑产的重要基础,贯穿网络黑产的上中下游,支持攻击者实施诈骗、骚扰、劫持流量等定向、非定向攻击。
近年来,随着数据价值的提升,以数据交易、数据清洗、数据分析为核心的数据黑色产业链条逐渐完善,数据黑产的现象已经十分猖獗。2018年8月,浙江警方破获一起上市公司非法窃取用户数据案,堪称“史上最大规模数据窃取案”。上市公司瑞智华胜借助为国内电信运营商提供精准广告投放系统的开发、维护的机会,将自主编写的恶意程序部署到运营商内部的服务器上,非法从运营商流量池中窃取搜索记录、出行记录、开房记录、交易记录等30亿条用户数据,导致百度、腾讯、阿里巴巴、今日头条等全国96家互联网公司用户数据被窃取,几乎国内所有的大型互联网公司均被“雁过拔毛”,性质非常恶劣。
4 我国政府数据开放共享的安全治理对策
4.1 完善数据保护法律法规和标准体系
相比而言,目前国外有关数据保护的法律制度比较完善,国内法规中对个人信息保护有相关规定,但还没有正式出台个人信息保护法。推荐性国家标准《个人信息安全规范》(GB/T 35273- 2017),规定了收集、保存、使用、共享、转让、公开披露个人信息时应遵循的原则和安全要求。这个标准对于贯彻落实《中华人民共和国网络安全法》中个人信息保护规定,提出了很好的实施准则,但在执行上还不能达到法律效力。目前,政府数据开放与共享主要在集中于政务领域内部共享交换、政务资源开放以及各地自建数据交易平台,急需在现有标准和规范体系框架下,建立适用于政府企业间数据共享安全保障相关基础、管理、技术、应用、评估等方面的标准规范。
4.2 基于安全等级实施分类分级保护方式
政府数据开放与共享涉及大数据集中存储和管理,大量分散的结构化和非结构化的数据汇集到平台管理方或者服务提供方,少量不重要、不敏感的数据由于大量汇集可能导致数据重要程度改变,若不采用数据分类分级保护机制,存在敏感数据泄漏风险。需要实施共享数据的分类分级保护策略。按照数据重要程度进行分级;按照数据提供方的业务领域进行分类,制定相应等级的安全保护策略,采用信任服务、密码服务和脱敏服务;按照业务类别和敏感级别,依据安全策略对数据采用完整性保护、加密保护以及分类存储等措施,实现数据分类分级保护,智能化解决数据存储、保护等安全问题。应基于数据的分类分级保护工作,对共享主体的数据安全保护能力实施评估,为数据能否共享提供决策依据。
4.3 健全数据安全监测及防护技术手段
要加强数据共享及应用的安全监测,及时发现安全事件和安全隐患,做到全程可监测、可管控和可追溯。要充分考虑数据开放、数据交换和数据交易不同的场景以及数据的不同分类分级对于安全防护的需求,充分考虑数据共享基础设施安全、平台安全、服务安全和数据安全等各个方面的要求,采用相应安全等级的安全防护措施,包括安全策略、技术、方案和产品,以及应用模式等。只有提供有效地监测和有效地防护,才能更高效能地利用数据的价值,从而激励和促进数据安全生态的建立,在数据共享领域形成合作共赢的良性循环。
5 结束语
安全推动数据开放共享是一项大工程,除了从法律法规和具体操作上要采取相应举措,还要着力提升各方对数据开放共享安全重要性的认识。政府、企业应该通过各种宣传方式,让大家了解大数据的价值,了解数据开放共享的价值,了解安全地进行数据开放共享的价值,为数据生态建设创造良好的外部环境。
参考文献
[1] 黄如花,李白杨,周力虹.2005-2015年国内外政府数据开放共享研究述评[J].情报学报,2016,35(12):1323-1334.
[2] 黄璜,孙学智.中国地方政府数据治理机构的初步研究:现状与模式[J].中国行政管理,2018(12):31-36.
[3] 张莉.数据治理与数据安全[M].北京:人民邮电出版社, 2019.
[4] 孙舒扬.大数据应用中的个人信息利用问题研究[J].网络空间安全,2018,9(12):80-84.
[5] 张博卿.我国大数据安全现状、问题及对策建议[J].网络空间安全,2018,9(08):45-47+80.