数字生态视角下公共数据安全保障体系研究
2025-02-16张哲王英马海群
摘 要: [目的/ 意义] 数字生态可积极地指导和推进公共数据安全保障, 为公共数据开放利用中安全问题的解决提供新视野, 助力公共数据开放利用的可持续发展。[方法/ 过程] 利用思辨法, 在解析数字生态理论框架的基础上, 构建了数字生态视角下公共数据安全保障体系。[结果/ 结论] 公共数据安全保障支撑体系、公共数据安全基础设施体系、公共数据安全能力体系、公共数据安全政策制度体系和公共数据安全保障运营体系构成的公共数据安全保障体系, 可有效平衡公共数据开放利用与安全保障的关系。
关键词: 数字生态; 数据安全保障; 公共数据开放利用; 数据要素
DOI:10.3969 / j.issn.1008-0821.2025.02.010
〔中图分类号〕G203 〔文献标识码〕A 〔文章编号〕1008-0821 (2025) 02-0106-10
《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》作出“营造良好数字生态” 的重要部署[1] 。数字生态是大数据发展到一定阶段的必然产物, 宏观上呈现出整体性。为构建以数据为生产要素的数字经济, 必须从整体上把握和处理好安全、发展、治理三大宏观命题, 落到实处的关键环节, 就是融合了经济利益、安全利益的数字生态,具体有两点要求: 一是必须维护数字主权, 保障网络安全; 二是必须实现对数据的有效治理, 服务、促进社会经济发展[2] 。公共数据开放作为激活数字经济的重要举措, 被《联合国电子政务调查报告》列为重要测度指标[3] 。公共数据通常由政府赋予第三方机构进行汇聚互联、实施公共数据集中统一管理, 承载公共数据产生或控制单位管理与服务的基础设施、第三方机构平台和公共数据本身都易成为网络攻击的目标, 进一步加大了公共数据及其赖以存在的设施和平台遭遇安全风险的可能性。另外,公共数据的经济和社会价值会诱使数据控制者只聚焦于数据产生的经济效益, 忽视数据道德、数据伦理等相应的数据社会规范的建构, 甚至危及国家安全、侵犯公民隐私[4] 。因而, 公共数据开放必须以保障公共数据安全为先。然而, 公共数据安全保障不是某个机构、某个主体或某项制度单独完成的,其需要从整体性、动态性和层次性等角度思考系统性的安全解决方案。数字生态是一个不错的研究视角, 它所具有的特性恰好契合公共数据安全保障的要求。
鉴于此, 本文首先以信息生态系统为基础解析数字生态及其理论框架, 然后, 分析数字生态视角下公共数据安全保障体系构建思路。最后, 形成了公共数据安全保障支撑体系、公共数据安全基础设施体系、公共数据安全能力体系、公共数据安全制度体系和公共数据安全保障的运营体系5 个分支体系构成的数字生态视角下的公共数据安全保障体系, 以期为推动公共数据的安全有序开放利用保驾护航, 同时为公共数据开放利用中安全问题的解决提供新视野。
1 数字生态及其理论框架
1. 1 数字生态的概念及特性
数字生态, 亦即数字生态系统, 是数字主体互连互动形成的多层次多结构多形态且彼此依存、合作和冲突的动态系统[5] 。关于数字生态的定义, 目前还没有形成统一的意见。中国宣传部副部长庄荣文认为, 数字生态的主要内容包括数字理念、数字发展、数字治理、数字安全、数字合作等[3] 。武汉大学校长张平文提出数字生态的概念, 即“数字时代下, 政府、企业和个人等社会经济主体通过数字化、信息化和智能化等技术, 进行连接、沟通、互动与交易等活动, 形成围绕数据流动循环、相互作用的社会经济生态系统”[6] 。在某种程度上, 可以认为数字生态是信息生态的一个子集, 它在信息生态的基础上进一步扩展和深化, 以适应数字化时代的发展需求。信息生态系统是信息人与信息生态环境相互联系、相互作用的有机整体。其中, 信息生态环境主要由信息本体、信息技术、信息时空、信息制度等信息环境因子组成[7] 。以此为鉴, 本文认为, 数字生态就是数字主体、数字本体与数字环境相互联系、相互作用的有机整体。其中, 数字主体是政府、企业、社会等数字生态的行动主体, 数字本体则是数据资源及其赖以生存的数据基础设施,数字环境是数字发展过程中对数字主体的生存和发展有影响的因素之和, 包含数字技术、数字制度和数字时空等环境因子。
数字生态具有以下特性[6] : 第一, 关联性, 数字主体、数字本体与数字环境并不孤立, 彼此之间存在关联与互动; 第二, 层次性, 数字主体、数字本体与数字环境分属不同层次。因而, 在数字发展中, 要考察它们之间的复杂作用关系; 第三, 整体性, 数字主体、数字本体与数字环境是一个有机协同的整体系统, 共同作用于数字发展; 第四, 动态性, 理想情况下, 数字生态系统处于一种内部结构合理、运行高效、与外界环境协调统一的平衡状态。但是, 随着外界环境的变化, 数字生态系统会不断演化发展, 最终与外界维持平衡。
1. 2 数字生态理论框架
2020 年, 北京大学大数据分析与应用技术国家工程实验室联合14 家单位, 成立数字生态协同创新平台, 并首次发布数字生态指数[8] ; 2022 年,首次发布国际数字生态指数, 其发布的《2023 数字生态指数报告》构建了一个包含数字基础、数字能力、数字应用和数字规制的数字生态理论框架。本文选用国际数字生态指数理论框架, 是考虑到与中国数字生态指数理论框架相比, 其与数字生态构成维度和信息生态系统构成要素的契合度更高、可操作性更强, 在此基础上, 结合信息生态系统构成要素, 绘制了数字生态理论框架, 如图1 所示。
其中, ①数字基础是数字生态形成的前提, 包括数据资源和基础设施, 比如, 服务器、数据中心、数字资源等。数字资源的运行需要相应基础设施的支撑, 由数据资源和基础设施构成的数字基础是数字生态系统中的数字本体; ②数字能力是数字生态演化的关键动力, 数字能力首先体现在技术创新上,而技术创新以大量的数字人才作为基础。数字人才就是数字生态系统中的数字主体, 技术创新则是数字生态系统中的数字技术; ③数字应用是指数字技术在经济、社会和政府等具体场景中的应用, 是数字生态价值的真正实现的关键。数字应用是数字生态系统中数字主体生存和活动的数字时空; ④数字规制是推动数字生态发展的重要力量, 一方面, 数字规制可以通过厘清市场中各类数据要素的权属、明确数据跨境流通规则, 不断为数字发展赋能, 另一方面, 数字规制可以通过构建个人信息保护规范体系、数据安全与网络安全规范体系、数字市场竞争规则体系等, 为数字经济、数字社会、数字政府的建设保驾护航。数字规制是数字生态系统中的数字制度[6,9] 。
2 数字生态视角下公共数据安全保障体系
数字生态强调数字基础、数字能力、数字应用和数字规则各个要素之间的复杂互动关系, 以及它们在不断变化的外界环境中如何协同促进数字发展。这与以往的系统安全角度不同, 后者通常侧重于静态地看待数据安全, 而数字生态更关注整体、动态和多层次的系统性安全解决方案。数字生态要求从整体的角度保障数据安全, 重视影响数据安全的各个要素的功能及彼此之间的相互联系; 数字生态注重数据安全在整个数字生态中的动态平衡和协同治理, 为此需要根据公共数据开放利用的不同场景确定数据安全保障策略, 从而有效地应对不断变化的外界环境和复杂的安全挑战; 数字生态的层次性特征表明, 数据安全不仅仅是单一主体或单一制度环境的问题, 需要从多个层次全面有效地保障公共数据安全。因此, 本文认为, 数字生态能够积极地指导和推进公共数据安全保障, 助力公共数据开放利用的可持续发展。本文基于数字生态视角构建公共数据安全保障体系, 希冀全面地刻画公共数据开放中的安全保障。
在构建公共数据安全保障体系之前, 首要任务是验证数字生态理论框架应用于公共数据安全保障的可行性。第一, 数字基础。数字基础主要包含基础设施和数据资源。数据资源是数字主体获取、处理和利用的对象, 是数字主体之间沟通的纽带, 也是改变数字主体知识结构、优化数字主体各项决策的良方。可见, 数据资源在整个数字生态系统中的特殊地位和作用, 接下来会单独分析, 这里先主要分析基础设施。基础设施对公共数据安全至关重要。由于公共数据生产主体分散, 数据遍布全国, 国家应统筹布局, 夯实公共数据安全基础设施, 为其提供基本的物理保障。第二, 数字能力。公共数据安全保障水平依赖于数据安全能力, 主要体现在先进技术和优秀人才上。数据安全技术提供技术支持,数据安全人才发挥技术潜能, 进行合规公证、安全审查、监测预警, 并指导各方履行安全责任。第三,数字应用。根据《关于构建数据基础制度更好发挥数据要素作用的意见》指出的“完善和规范数据流通规则, 构建在使用中流通、场内场外相结合的交易制度体系, 规范引导场外交易, 培育壮大场内交易”, 可知公共数据交易和流通涉及场内场外多种环境。因而, 为保障公共数据安全, 必须紧密结合数据应用场景, 全面梳理数据应用关键业务场景, 如对外部机构共享数据、对数据进行分析挖掘、使用个人敏感数据等[10] , 识别安全风险, 创建精准的数据安全策略。第四, 数字规制。它通过厘清数据权属、明确数据跨境流通规则等方式, 为公共数据安全保障赋能、为公共数据开放利用护航; 同时, 构建个人信息保护、数据安全与网络安全、公共数据管理与流通规则体系等, 为公共数据开放利用中的安全保障提供法律依据。
基于数据资源在数字生态系统中的特殊地位,需要对数据资源的本质有一定认识。天津市《数据要素市场化配置与数字生态体系建设白皮书》指出,数据要素要经历“原始数据—数据资源—数据资产—数据资本” 形态的演进过程[11] 。显然, 数据资源的本质仍是数据要素, 涉及数据信息、数据权属、数据价值、数据安全和数据交易五项重要议题[12] 。数据安全在数据要素中占据重要地位, 与数据交易、数据权属及数据价值等议题互为作用。首先, 数据安全———数据交易, 政府通常委托第三方创建数据交易平台并汇聚多个部门的公共数据,然而一旦出现数据安全问题, 就会扰乱数据流通的正常秩序。因而, 数据安全是公共数据开放与流通的底线。其次, 数据安全———数据权属, 通过数据权属界定(也即数据确权), 可以合理分配数据的采集权、使用权、收益权、处分权, 保护数据主体权益并约定数据安全的维护边界; 反之, 数据安全保障推动数据安全有序流通, 实现数据主体权益。再次, 数据安全———数据价值, 加强数据要素流通的安全风险识别与管控, 有利于释放数据价值。但同一级别的数据安全保护会限制数据流通与利用, 不利于数据价值的释放。因而, 可对数据资产估值作为数据分级分类的基础, 为数据安全的风险识别和预防提供参考。综上可知, 公共数据权属界定和公共数据资产估值是公共数据安全保障的实践基础。基于上述分析, 可以断定数字生态理论框架应用于公共数据安全保障体系构建是可行的。接下来, 将要阐述如何构建数字生态视角下公共数据安全保障体系。
首先, 从“数字基础(基础设施)—数字能力—数字规制” 3 个维度构建公共数据安全基础设施体系、安全能力体系、安全制度体系。其中, 公共数据安全基础设施体系, 主要反映了支撑公共数据安全的新型基础设施建设; 公共数据安全能力体系,包含数据安全人才和数据安全技术, 为公共数据安全保障提供技术支撑和人才供给; 公共数据安全制度体系, 旨在健全公共数据流通的安全规则、法律法规和政策。然后, 从“数字基础(数据资源)” 维度构建公共数据安全保障的支撑体系, 包含公共数据权属界定和公共数据资产估值。公共数据权属界定是公共数据流通的前提, 通过界定数据权属, 推进数据的直接来源主体、收集主体、使用主体等确保数据安全; 通过公共数据资产估值, 清楚知道数据价值大小, 再结合数据性质、数据敏感度、适用范围, 区分数据的重要性, 作为公共数据安全风险防范的依据, 创建精准的数据安全策略。最后, 从“数字应用” 维度创建公共数据安全保障的运营体系, 以确保公共数据安全基础设施体系、安全能力体系、安全制度体系在相应的数据应用场景中稳步运行。最终形成如图2 所示的数字生态视角下公共数据安全保障体系框架, 框架包括3 个层次: 基础层为公共数据安全保障支撑体系, 将决定其他分支体系如何实施与应用; 策略层包含公共数据安全基础设施体系、公共数据安全能力体系、公共数据安全制度体系, 是公共数据安全保障的具体措施; 应用层为公共数据安全保障的运营体系, 确立了公共数据开放利用的场景, 为策略层的实施提供了应用场景, 进而精准治理特定场景下的公共数据安全问题。
该公共数据安全保障体系契合数字生态的特性,具体表现在: 第一, 公共数据安全保障的各分支体系存在关联与互动, 比如, 公共数据安全保障的支撑体系是其他分支体系应用的实践基础, 根据公共数据的权属和价值评估结果创建精准的数据安全保障策略; 公共数据安全基础设施体系则为公共数据安全能力体系中的数据安全技术实施提供决策支持。这恰好契合了数字生态的“关联性”。第二, 从公共数据安全保障体系的构成来看, 各个分支体系分属基础层、策略层和应用层, 充分体现了数字生态的“层次性”。第三, 公共数据安全保障体系的“整体性” 也很明显, 各分支体系的设计都围绕着加强公共数据安全保护、推进公共数据产业健康发展的目标, 形成一个有机协同的整体系统。第四, 公共数据安全保障的运营体系要求对公共数据开放利用的各个场景进行沉淀, 关注特定场景下公共数据开放利用过程中出现的安全问题, 并从策略层的分支体系中选择数据保障措施形成精准的数据安全策略,体现了数字生态的“动态性”。
3 数字生态视角下的公共数据安全保障支撑体系
在数字生态中, 数据资源作为数字基础要素的重要组成, 是公共数据安全保障的重要对象。公共数据权属确定和公共数据资产估值, 推进有针对性地采取与之相匹配的安全保障举措, 有助于促进公共数据资源的有效利用。
3. 1 公共数据权属界定
公共数据权属界定是数字生态发展基础之一,对于保护公共数据安全和促进公共数据开放利用都具有重要意义。明确的数据权属可确定权利边界,有效保护数据主体权益并维护数据安全。公共数据在生成过程中可能会反映国家敏感信息, 那么, 公共数据的流通与交易可能为公众带来安全隐患。因此, 公共数据的确权必须对国家安全以及公共利益可能遭受的损失予以确认与补偿, 同时又要满足公众对于公共数据开放的合理需求[13] 。目前, 研究者普遍认为公共数据的所有权属于国家, 但是对用益和运营方面权利的观点不同: 第一种观点, 《中华人民共和国宪法》第12 条为公共数据宪法上国家所有提供了规范依据, 《中华人民共和国民法典》第246 条是公共数据宪法上国家所有向民法上国家所有权转化的通道, 公共数据民法上国家所有权决定了公共数据所有权的权利主体、权利客体、权利内容和权利限制[14] 。第二种观点, 对于开放的公共数据的产权可表述为国家所有权+公众用益权; 对于未开放的公共数据, 包括公共数据中未开放的部分和企业所收集的未开放的公共信息, 此类数据的所有权应为国家所有, 政府对前者进行使用和运营, 企业对后者享有用益权[15] 。第三种观点, 公共数据则归政府所有, 面向社会开放, 免费提供使用服务[16] 。这些观点为公共数据确权提供了多样化的思路和方法, 但也需要进一步的研究和探索, 以形成更加科学合理的数据确权制度, 保障数据主体权益, 服务于公共数据安全保障和交易。
3. 2 公共数据资产估值
为促使公共数据使用者或所有者获得更多经济效益, 需要推动公共数据资产化, 赋予其以市场价值。公共数据资产化首先需要解决好定价问题, 定价则取决于数据资产估值的准确性, 而其又依赖于数据资产估值方法的得当性。目前通过查阅相关法律、规章及行业标准等文件, 发现对当前数据资产估值尚无权威统一的法律准则或方法体系[17] 。比较著名的数据估值方法是2020 年英国剑桥大学纳菲尔德研究所提出的基于市场和基于非市场的数据估值方法[18] 。普华永道专门提出了一种公共数据资产估值方法, 他认为, 公共数据开放的价值与势能的概念极为相似。随着各开放平台的开放API 数量增加和数据质量提升, 公共数据资产价值也将不断提升。公共开放数据价值包含数据开放价值与数据潜在价值, 其中, 前者由全系构建成本与数据质量调整系数组成; 后者则由公共开放数据的潜在社会价值和潜在经济价值组成。其公式为: 公共数据资产价值=全系构建成本∗公共开放数据质量调整系数∗潜在社会价值呈现因子∗潜在经济价值呈现因子[19] 。根据数据资产估值结果, 结合公共数据的粒度、使用范围, 区分公共数据的重要性, 进而制定相应的数据安全等级保护措施。对于价值较大的公共数据制定级别较高的数据安全保护, 进而赋予其特别的安全关注, 以防造成更为惨重的损失; 对于价值较小的公共数据制定级别较低的数据安全保护, 实现最大程度的流通与利用。不同的安全关注代表着不同的经济和精力投入。如果对所有公共数据采取一刀切的安全保护, 将会给公共数据开放利用主体增加负担, 这会无形中消耗他们对公共数据的热情, 最终限制了公共数据在各类场域释放价值。合理评估公共数据资产价值, 有助于提高其利用率,促进数字生态的健康发展。
4 数字生态视角下的公共数据安全基础设施体系
基础设施作为数字基础的另一重要组成部分,为数据资源提供物理层面的安全保障。通过统筹布局数据安全基础设施, 能够确保数据的安全流通与利用。国家数据局局长刘烈宏强调, 数据基础设施的建设对于解决数据安全治理等核心问题具有重要作用。数据基础设施通过隐私保护、数据加密、数字身份等技术手段, 帮助各参与方建立数据安全保障体系, 推动各参与方形成数据合规性建设的最佳实践, 确保数据的可信性、完整性和安全性[20] 。国家数据基础设施(NDI)支撑数据要素基础制度实施,支持数据资源开发利用。NDI 纵向上包括四层架构:国家数据空间、国家软基础设施、国家硬基础设施、国家数据安全基础设施。国家数据安全基础设施纵向贯通NDI 全层级, 横向覆盖数据全生命周期各环节, 构建全国一体化数据安全监管平台, 包括数据安全信息收集、分析和通报平台, 数据安全监测预警平台, 数据安全应急处置平台和数据安全监督管理平台。为保障NDI, 应同步建设“国家数据安全态势感知平台”, 挖掘感知各类威胁事件,实现高危操作及时阻断, 提高风险防范能力和安全防护监测水平, 为国家数据基础设施保驾护航[21] 。
公共数据安全保障是数据安全保障中的重要组成部分。基于公共数据的重要性, 可通过建设数据安全基础设施体系, 为公共数据开放利用各方提供安全保障框架, 支持公共数据产业的长期可持续发展。借鉴国家数据安全基础设施, 公共数据安全基础设施体系应包括但不限于: 公共数据安全信息收集、分析和通报平台、公共数据安全监测预警平台、公共数据安全应急处置平台和公共数据安全监督管理平台以及公共数据安全态势感知平台, 同时这些平台需要与公共数据全生命周期、行业(如金融、能源、水利、交通、铁路)和区域(如上海、北京、武汉、深圳)相互融合和支撑, 全方位推进公共数据安全保障。
5 数字生态视角下的公共数据安全能力体系
数字能力主要包括数字人才和技术创新, 可为公共数据安全保障提供必要的技术力量和人才供给。因而, 数字能力是构建公共数据安全能力体系的框架。
5. 1 数据安全技术
按照社会系统理论的一般原则, 一个社会系统总是具有由内部结构决定的“系统语言”。在数字生态系统中, 主要表现为数据技术的专业规范。业界关于公共数据安全保障技术的实践已日趋成熟,比如, 2022 年5 月, 浙江省地方标准《公共数据安全体系建设指南》指出, 公共数据安全技术防护体系宜覆盖公共数据全生命周期, 包括: 公共数据全生命周期安全管理技术、访问权限管理技术、共享和开放安全技术和安全监测与预警技术等[22] ;上海市大数据中心从公共数据的生成采集到数据被销毁6 个阶段的数据活动, 针对性地设计了数据安全技术管控策略与工具, 包括: 公共数据采集阶段的打标工具、数据源鉴别工具、数据质量监控工具;公共数据传输阶段的传输加密工具、脱敏工具、传输DLP、冗余技术; 公共数据存储阶段的容灾备份回复、存储加密工具、存储DLP; 公共数据使用阶段的认证网关、脱敏工具、终端DLP; 公共数据共享交换开放阶段的数据水印、认证网关、完整性校验工具、审计平台; 公共数据销毁阶段的消磁工具和物理粉碎[23] 。为了更好地推动我国公共数据开放利用, 同时保障数据提供单位的数据安全以及公众个人隐私保护, 需要基于公共数据生命周期、数据开放条件与要求、提供方式、使用场景等维度建立数据安全分级模型[24] , 并结合数据源鉴别、数据沙箱、数据脱敏、容灾备份恢复、区块链、加密、数据血缘关系、数据访问权限认证、隐私计算、公共数据安全风险识别等技术, 建立集成防护系统,保证公共数据开放利用和交易过程的可管可控和不可抵赖, 提升公共数据安全防护水平。
5. 2 数据安全人才
随着数字生态的发展, 对数据安全人才的需求不断增加。数据安全人才是公共数据安全保障工作的基础, 因其高度复合性, 要求从业人员具有合规能力、技术能力和管理能力。《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》也提出要强化数据安全人才队伍建设, “推动普通高等院校和职业院校加强数据安全相关学科专业建设, 强化课程体系、师资队伍和实习实训等”[25] 。数据安全人才培养可从以下方面开展: 第一, 丰富数据安全教育内容, 创新人才培养模式。首先, 人才培养目标要与数据安全要求相吻合, 培养出符合数字时代数据安全需求的能够推动公共数据安全有序开放利用的人才。其次, 课程内容要结合数据安全学科演化路径和发展规律, 同时就数字时代信息安全学科与数据安全工作的互动关系进行探讨, 深入挖掘大情报观视野下信息安全学科的逻辑演变特征[26] , 可以为学科未来演化和新型学科建设提供思路。最后, 第二课堂设置强化产学研合作, 使得数据安全人才不仅具有与数字时代要求相匹配的理论知识更具有扎实的技术应用能力。第二, 加强数据安全智库建设, 支持公共数据安全有序流通。智库是作为稳定且相对独立的研究机构, 聚集优质人才与先进技术资源, 可以对公共数据开放利用中安全问题的预防与规制进行研究和宣传并提供人才储备。基于西方国家在智库理论与实践方面占据的领先地位, 我国可借鉴国外经验, 明确数据安全智库建设的功能定位与目标, 完善数据安全智库人才的准入门槛与集聚形式, 扩展应用领域与理念, 探索服务新模式。为充分发挥并释放数据安全智库的价值, 要不断形成并推广智库成果, 在公共数据开放利用的安全问题预防和规制中发挥决策影响。
6 数字生态视角下的公共数据安全制度体系
数字规制通过制定个人信息保护、数据安全、数据流通等法律规范, 为公共数据开放利用中的安全保障提供法律依据。因此, 数字规制是构建和完善公共数据安全制度体系的重要基础和支撑。为有效防范和化解公共数据安全风险, 可根据我国国情与数据行业实际建立公共数据安全制度体系, 具体可分为: 第一层为全国性数据安全相关法律, 主要包括: ① 《中华人民共和国网络安全法》核心在于保护关键信息基础设施安全, 涉及保障数据完整性、保密性和可用性(第21、31 条), 个人信息保护(第41~45 条), 国家层面的数据保护(第37、51、52 条)[27] ; ② 《中华人民共和国数据安全法》聚焦数据安全领域的突出问题, 要求依据国家安全和重大社会利益角度的不同对数据分类进行差异化管理。对公共数据开放共享进行分类分级, 有利于平台掌握开放共享数据的安全水平, 并根据不同场景下数据的属性与功能, 为其匹配相应的权属机制、流通规则、风险监测手段[28] ; ③ 《中华人民共和国个人信息保护法》对数据安全非常重视, 涵盖个人信息的收集、使用、存储、处理等环节。这三部法律是构建安全数字社会生态体系的三大法治基石[29] 。第二层为区域性公共数据安全相关规定, 如表1 所示各地区公共数据条例的数据安全条款。第三层为行业性公共数据安全相关规则, 由政务部门、公益事业单位以及水电煤气、交通通信、民航铁路等公共用企业或其所在的行业协会等为建设主体, 聚焦各行业公共数据开放、管理与应用中的安全风险, 制定行业性公共数据安全规则, 为各行业开放与管理公共数据提供指导, 提升行业公共数据的价值实现效果。
7 数字生态视角下的公共数据安全保障运营体系
数字应用涉及多种数据交易和流通环境, 其安全挑战具有不确定性, 因此必须结合具体的数据应用场景制定精准的数据安全策略。数字应用是确保公共数据安全保障各分支体系有效运营的关键。随着数据要素市场持续健全和深化, 公共数据开放利用的场景愈加丰富, 比如, 公共数据公益性开放利用、第三方主体参与开放利用和商业模式下的公共数据开放利用。不同的数据在不同的场景下有着不同的安全性需求与业务特点, 每个具体应用场景中的公共数据安全保障都有其独特之处[30] 。在实现公共数据被广泛利用的目标下, 公共数据安全保障各分支体系的运营应依据不同应用场景进行设计,从而精准地保障公共数据的安全。例如, 健康医疗公共数据可以赋能商业保险、金融、医疗服务等应用场景[31] 。在健康医疗公共数据应用于商业保险的场景中, 需要对数据安全防控等级、防控措施和数据处理行为所引发的风险评估结果赋予更高的危险程度分值。为此, 在公共数据安全基础设施体系、公共数据安全能力体系和公共数据安全制度体系中,需要选择更加有针对性且高水平的措施, 即健全和严密的公共数据安全基础设施、先进的数据安全技术、既懂保险业务又擅长数据安全的人才以及制定保险行业的公共数据开放与利用规则。
场景化视角切入公共数据安全保障各分支体系的运营应具有一元多级的特点, 并且可以依据不同的应用场景对各分支体系中的数据安全保护措施弹性变化。其中: ① “一元” 指的是有一个整体的价值标准或者指导准则, 这个准则应当是宏观和原则性的, 类似于法律体系中的“宪法”, 只规定经抽象提取后的基本问题, 不具体细化规则。② “多级”指的是根据公共数据开放利用的不同应用场景, 提炼其特点, 创建特定场景下的公共数据安全保障策略。依托场景化的解决思路, 从公共数据生命周期对数据资产进行全方位监测和管理, 分析和发现安全与隐私风险, 为公共数据开放利用提供安全保障[32] 。公共数据开放利用场景越丰富, 各个应用场景下的数据安全需求越多样, 因此, 基于场景化的数据安全保障在实践中会得到更广泛的落地。本文提倡如下方式践行公共数据安全保障的运营体系:以公共数据权属界定和公共数据资产估值为基础,以公共数据安全制度体系为依据, 以数据风险防控和合规为目标, 充分结合公共数据应用场景和数据全生命周期进行集中化调配数据安全技术和数据安全人才实现数据安全需求, 从而实现公共数据利用自由而安全。
8 结 语
我国各级政府正通过发布政策文件的方式努力推动公共数据的流通应用。统筹安全与发展, 打造适于公共数据流通的数据安全保障体系, 对于推动数据产业的有序健康发展具有重要作用。数字生态为公共数据安全保障打开了新思路。因此, 本文在解析数字生态理论的基础上, 构建了公共数据安全保障的支撑体系、安全基础设施体系、安全能力体系、安全制度体系和运营体系5 个分支体系以构成完整的公共数据安全保障体系。该体系充分体现了数字生态的特性, 能够为解决公共数据开放利用中的安全问题筑牢强有力的安全屏障, 助力数据产业高质量、可持续发展。
参考文献
[1] 庄荣文. 营造良好数字生态[N]. 人民日报, 2021-11-5, (9).
[2] 王露, 赵国栋. 加快建设我国自主数字生态[ M]. 魏礼群.中国改革与发展热点问题研究(2019). 北京: 商务印书馆,2018: 297-299.
[3] 范佳佳. 上海公共数据开放水平排名全球第四, 但这块短板亟须补上[ EB/ OL]. https: / / sghexport.shobserver.com/ html/ baiji⁃ahao/2022/12/02/914304.html, 2024-01-18.
[4] 黄贤达, 高绍林. 论我国公共数据开放的双重路径与规范重塑[J]. 江西师范大学学报(哲学社会科学版), 2022, 55 (3):62-74.
[5] 北京大学大数据分析与应用技术国家工程实验室. 数字生态指数2022 [ R/ OL]. https: / / www.nsfc.gov.cn/ csc/20340/20289/64134/ index.html, 2024-01-18.
[6] 张平文院士: 为建设数字中国探明新方向开辟新路径[ EB/OL]. http: / / ip.people.com.cn/ n1/2020/1224/ c136655-31977463.html, 2024-01-18.
[7] 娄策群, 赵桂芹. 信息生态平衡及其在构建和谐社会中的作用[J]. 情报科学, 2006, (11): 1606-1610.
[8] 崔雪芹. 《数字生态指数2022》发布[N]. 中国科学报, 2022-11-29, (1).
[9] 乔天宇, 张蕴洁, 李铮, 等. 国际数字生态指数的测算与分析[J]. 电子政务, 2022, (3): 17-30.
[10] 李雪莹, 王玮. 基于业务场景的数据安全治理模型[ J]. 信息安全研究, 2022, 8 (4): 392-399.
[11] 天津市委网络安全和信息化委员办公室. 数据要素市场化配置与数字生态体系建设白皮书[ EB/ OL]. http: / / www.cbdio.com/ BigData/2023-05/21/ content_6173414.htm, 2024-03-22.
[12] 张平文, 邱泽奇. 数据要素五论———信息、权属、价值、安全、交易[M]. 北京: 北京大学出版社, 2022: 1-41.
[13] 刘涛雄, 李若菲, 戎珂. 基于生成场景的数据确权理论与分级授权[J]. 管理世界, 2023, 39 (2): 22-39.
[14] 徐伟. 公共数据权属: 从宪法国家所有到民法国家所有权[J].当代法学, 2024, 38 (1): 121-133.
[15] 张宝山. 数据确权的中国方案: 要素市场语境下分类分级产权制度研究[J]. 北方法学, 2023, 17 (5): 146-160.
[16] 马费成, 卢慧质, 吴逸姝. 数据要素市场的发展及运行[ J].信息资源管理学报, 2022, 12 (5): 4-13.
[17] 黄登玺, 潘学芳. 数据资产价值计算研究与实践[ J]. 信息通信技术与政策, 2022, (2): 29-36.
[18] Bennett Institute for Public Policy. The Value of Data SummaryReport 2020 [ R/ OL]. https: / / www. nuffieldfoundation. org/ wpcontent/uploads/2020/02/ Value_of_data_summary_report_26_Feb.pdf, 2024-01-18.
[19] 普华永道. 开放数据资产估值白皮书[EB/ OL]. http:/ / www.cbdio.com/ BigData/2021-07/12/ content_6165914.htm, 2024-03-25.
[20] 重磅: 刘烈宏首论数据基础设施[ EB/ OL]. https: / / new.qq.com/ rain/ a/20231123A064N600, 2024-03-26.
[21] 张向宏教授解读国家数据基础设施( NDI): 构建新一代数据基础设施, 激活数据要素价值潜能[ EB/ OL]. https: / / www.cnblogs.com/ johnnyzen/ p/18065846, 2024-03-26.
[22] DB33/ T 2487—2022. 公共数据安全体系建设指南[ S]. 杭州: 浙江省市场监督管理局, 2022.
[23] 中国信息安全. 以数据为核心: 构建上海市公共数据安全保障体系思路[ EB/ OL]. https:/ / www.secrss.com/ articles/16645,2024-03-26.
[24] 王晓斌, 李志华. 基于公共数据开放的安全隐私防护技术浅析[M]. 郑磊, 刘新萍, 张忻璐, 等. 中国公共数据开放发展报告(2022). 北京: 社会科学文献出版社, 2022: 321-327.
[25] 工业和信息化部. 工业和信息化部等十六部门关于促进数据安全产业发展的指导意见[ EB/ OL]. https:/ / www.gov.cn/ zhengce/zhengceku/2023-01/15/ content_5737026.htm, 2024-03-27.
[26] 王瑞, 袁勤俭. 数字时代背景下国家信息安全管理研究的关键问题[J]. 图书与情报, 2022, (1): 32-38.
[27] 本书专家组. 国际网络安全治理的中国方案[ M]. 北京: 五洲出版社, 2020: 135.
[28] 李涛. 以公共数据开放共享助推国家治理现代化[ EB/ OL].http: / / theory.people. com. cn/ n1/2022/1111/ c40531 - 32563795.html, 2024-01-18.
[29] 王春晖. 营造良好数字生态的三大法治基石[ J]. 中国电信业, 2021, (11): 50-55.
[30] 杨春民. 基于场景化的数据安全治理管控方法的研究与应用[J]. 电子技术与软件工程, 2022, (13): 31-34.
[31] 张雪. 基于PPP 模式的公共数据开放研究[D]. 苏州: 苏州大学, 2022.
[32] 丁红发, 孟秋晴, 王祥, 等. 面向数据生命周期的政府数据开放的数据安全与隐私保护对策分析[ J]. 情报杂志, 2019,38 (7): 151-159.
(责任编辑: 郭沫含)
基金项目: 国家社会科学基金重大项目“面向数字化发展的公共数据开放利用体系与能力建设研究” ( 项目编号: 21&ZD336); 教育部人文社会科学研究项目(青年基金项目) “粤港澳大湾区国际形象建构与对外传播策略研究” (项目编号: 22YJCZH250)。
