統(tǒng)籌推進(jìn)公共信息資源開(kāi)放與安全保障同步發(fā)展
——《公共信息資源開(kāi)放試點(diǎn)工作方案》專題解讀

任維赫 中國(guó)信息通信研究院政策與經(jīng)濟(jì)研究所工程師

1 引言

公共信息資源開(kāi)放對(duì)推動(dòng)信息經(jīng)濟(jì)發(fā)展和提升政府治理水平具有重要促進(jìn)作用，也對(duì)公共信息資源開(kāi)放部門和開(kāi)放平臺(tái)的網(wǎng)絡(luò)信息安全保障能力提出了較高要求。根據(jù)《公共信息資源開(kāi)放試點(diǎn)工作方案》（簡(jiǎn)稱《方案》）要求，要以數(shù)據(jù)安全為前提，加強(qiáng)風(fēng)險(xiǎn)評(píng)估和綜合研判，同步安排制度建設(shè)和技術(shù)手段，同步跟進(jìn)安全審查和監(jiān)督檢查，維護(hù)國(guó)家安全、商業(yè)秘密和個(gè)人合法權(quán)益。

2 我國(guó)公共信息資源開(kāi)放安全保障現(xiàn)狀

近年來(lái)，我國(guó)先行地區(qū)在公共信息資源開(kāi)放的過(guò)程中落實(shí)國(guó)家安全保障要求，依托制度建設(shè)開(kāi)展安全保障探索，維護(hù)數(shù)據(jù)開(kāi)放平臺(tái)穩(wěn)定運(yùn)行?！毒W(wǎng)絡(luò)安全法》的施行，進(jìn)一步為公共信息資源開(kāi)放安全保障提供了指引。

（1）國(guó)家政策法規(guī)總體要求

國(guó)家政策法規(guī)對(duì)公共信息資源開(kāi)放部門和平臺(tái)做出了相應(yīng)要求。一方面，要求各部門明確數(shù)據(jù)開(kāi)放范圍，守住安全底線?！侗Ｃ芊ā访鞔_了保密原則與范圍，要求切實(shí)維護(hù)國(guó)家安全和利益。《方案》規(guī)定凡是不涉及國(guó)家秘密、商業(yè)秘密和個(gè)人隱私以及法律法規(guī)規(guī)定不得開(kāi)放的公共信息資源都應(yīng)逐步納入開(kāi)放范圍。要建立健全公共信息資源開(kāi)放安全管理制度和保密審查制度，加強(qiáng)動(dòng)態(tài)管理，落實(shí)各項(xiàng)安全保護(hù)措施。另一方面，要求數(shù)據(jù)開(kāi)放平臺(tái)保障數(shù)據(jù)和來(lái)訪用戶的信息安全?！毒W(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并健全用戶信息保護(hù)制度，網(wǎng)絡(luò)運(yùn)營(yíng)者還應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失?！斗桨浮愤M(jìn)一步要求網(wǎng)絡(luò)安全技術(shù)措施要與公共信息資源開(kāi)放平臺(tái)同步規(guī)劃、同步建設(shè)、同步運(yùn)行。

（2）先行地區(qū)安全保障現(xiàn)狀

一方面，開(kāi)放部門明確數(shù)據(jù)開(kāi)放范圍。北京市提出在數(shù)據(jù)開(kāi)發(fā)利用環(huán)節(jié)建立公共信息資源開(kāi)發(fā)利用分級(jí)認(rèn)證制度，有效規(guī)范應(yīng)用管理；貴州省2016年出臺(tái)《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》，明確要求數(shù)據(jù)共享開(kāi)放應(yīng)當(dāng)維護(hù)國(guó)家安全和社會(huì)公共安全，保守國(guó)家秘密、商業(yè)秘密，保護(hù)個(gè)人隱私，保護(hù)數(shù)據(jù)權(quán)益人的合法權(quán)益；深圳市提出加快數(shù)據(jù)安全保護(hù)立法，為開(kāi)放政府?dāng)?shù)據(jù)、數(shù)據(jù)保護(hù)提供法制保障。另一方面，開(kāi)放平臺(tái)保障用戶數(shù)據(jù)安全。北京市開(kāi)放政府?dāng)?shù)據(jù)網(wǎng)站聲明尊重并保護(hù)所有網(wǎng)站用戶的個(gè)人隱私權(quán)，承諾未經(jīng)用戶許可或根據(jù)相關(guān)法律、法規(guī)的強(qiáng)制性規(guī)定，不會(huì)將用戶個(gè)人信息透露給任意第三方；上海市開(kāi)放政府?dāng)?shù)據(jù)網(wǎng)站則保證除基于為用戶提供有效答復(fù)外，不向任何無(wú)關(guān)第三方提供、出售、出租、分享和交易個(gè)人信息。同時(shí)，網(wǎng)站堅(jiān)持最小化采集用戶信息，北京市開(kāi)放政府?dāng)?shù)據(jù)網(wǎng)站中用戶無(wú)需注冊(cè)即可在線檢索、瀏覽數(shù)據(jù)資源，只有在用戶需要下載數(shù)據(jù)資源時(shí)，才需要用戶進(jìn)行實(shí)名注冊(cè)；上海市僅針對(duì)特定功能收集個(gè)人信息，包括通過(guò)網(wǎng)站發(fā)布提供數(shù)據(jù)應(yīng)用服務(wù)，在線提交、發(fā)送電子郵件等方式提出建議或意見(jiàn)。

3 國(guó)外公共信息資源開(kāi)放安全保障經(jīng)驗(yàn)

國(guó)際上開(kāi)放政府?dāng)?shù)據(jù)先行國(guó)家高度重視安全問(wèn)題，積極推動(dòng)開(kāi)放政府?dāng)?shù)據(jù)安全的法律體系建設(shè)，加強(qiáng)政策施行和技術(shù)防范，從多維度加強(qiáng)安全保障。

（1）建立制度加強(qiáng)數(shù)據(jù)開(kāi)放安全保障

世界各國(guó)重視開(kāi)放與安全的平衡。如美國(guó)《透明和開(kāi)放政府備忘錄》中指出要注重開(kāi)放和保密之間的平衡，英國(guó)《開(kāi)放數(shù)據(jù)白皮書(shū)：釋放潛能》首次明確數(shù)據(jù)權(quán)，強(qiáng)調(diào)開(kāi)放數(shù)據(jù)和隱私保護(hù)之間的平衡。各國(guó)采取多種手段加強(qiáng)安全保障。一方面，強(qiáng)化立法。美國(guó)《信息自由法》、《電子信息自由法令》、《隱私法》等強(qiáng)調(diào)數(shù)據(jù)的開(kāi)放必須與國(guó)家安全、法律執(zhí)行、個(gè)人隱私保護(hù)等方面達(dá)成平衡。歐盟委員會(huì)2016年通過(guò)了《一般數(shù)據(jù)保護(hù)條例》，賦予用戶遺忘權(quán)與數(shù)據(jù)可攜權(quán)，并引入數(shù)據(jù)泄露通知制度，加大個(gè)人數(shù)據(jù)泄露處罰責(zé)任。加拿大《隱私法》明確規(guī)定限制個(gè)人信息的收集、利用與泄露，為加拿大公民提供了瀏覽與修改由政府所保管的公民個(gè)人信息的權(quán)利。新加坡國(guó)會(huì)《個(gè)人信息保護(hù)法令》明確個(gè)人信息保護(hù)的各項(xiàng)權(quán)利，包括獲得權(quán)和修改權(quán)，規(guī)范了個(gè)人信息在機(jī)構(gòu)間的流動(dòng)秩序。另一方面，加強(qiáng)審查。如英國(guó)承諾在開(kāi)放政府?dāng)?shù)據(jù)時(shí)，將嚴(yán)格遵守1998年《數(shù)據(jù)保護(hù)法案》所確定的“公平合法”、“保留”、“安全”等原則，進(jìn)行開(kāi)放前審查。

（2）采取技術(shù)手段加強(qiáng)網(wǎng)站運(yùn)行安全

先行國(guó)家重視通過(guò)技術(shù)手段增強(qiáng)網(wǎng)站防攻擊能力，保護(hù)網(wǎng)站和數(shù)據(jù)安全。如美國(guó)采用商用軟件程序監(jiān)視網(wǎng)絡(luò)流量，用于識(shí)別未經(jīng)授權(quán)的信息上傳、更改，及其他可能損害網(wǎng)站的行為，并對(duì)未經(jīng)授權(quán)上傳信息和更改網(wǎng)站信息行為按《計(jì)算機(jī)欺詐和濫用法案》及《國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法案》中的有關(guān)罪名處置。英國(guó)以嚴(yán)格的安全標(biāo)準(zhǔn)和領(lǐng)先的技術(shù)與加密軟件來(lái)保護(hù)數(shù)據(jù)安全，防止任何未經(jīng)授權(quán)的訪問(wèn)。新加坡在電子儲(chǔ)存、個(gè)人數(shù)據(jù)傳送等環(huán)節(jié)加載安全功能輔助管理。與此同時(shí)，網(wǎng)站減少個(gè)人隱私留存，避免一旦出現(xiàn)安全問(wèn)題泄露個(gè)人隱私。如美國(guó)開(kāi)放政府?dāng)?shù)據(jù)網(wǎng)站不對(duì)用戶進(jìn)行強(qiáng)制登記，不收集用戶訪問(wèn)日志。僅針對(duì)特定功能預(yù)留郵箱驗(yàn)證身份，如加入data.gov社區(qū)、評(píng)論博客文章或數(shù)據(jù)集、建議開(kāi)放數(shù)據(jù)集等。

4 試點(diǎn)地區(qū)落實(shí)《方案》安全保障要求的著力點(diǎn)

根據(jù)《方案》中對(duì)安全保障的相關(guān)要求，試點(diǎn)地區(qū)應(yīng)認(rèn)真統(tǒng)籌好開(kāi)放與安全的關(guān)系，需要將安全保障與開(kāi)放平臺(tái)建設(shè)同步規(guī)劃、同步建設(shè)、同步安排、同步跟進(jìn)、同步運(yùn)行。建議從4方面著手，全面提升公共信息資源開(kāi)放安全保障能力與水平。

（1）增強(qiáng)開(kāi)放政府?dāng)?shù)據(jù)平臺(tái)防護(hù)能力

落實(shí)相關(guān)法律法規(guī)要求，采用安全可靠產(chǎn)品和服務(wù)，增強(qiáng)對(duì)篡改、泄露、攻擊行為的防御措施。健全數(shù)據(jù)開(kāi)放平臺(tái)安全防護(hù)體系，采用物理、電子、程序等多種舉措識(shí)別危害行為，保障開(kāi)放政府?dāng)?shù)據(jù)網(wǎng)站安全。完善開(kāi)放網(wǎng)站管理措施，定期開(kāi)展自查、互查與督查，全面提升網(wǎng)站安全運(yùn)營(yíng)維護(hù)水平。

（2）完善信息安全管理措施

強(qiáng)化風(fēng)險(xiǎn)評(píng)估，加強(qiáng)信息關(guān)聯(lián)分析，完善開(kāi)放審批、應(yīng)急撤回、問(wèn)責(zé)追責(zé)機(jī)制，保護(hù)國(guó)家安全、商業(yè)秘密、維護(hù)個(gè)人合法權(quán)益。對(duì)用戶信息收集分情況討論，既要對(duì)使用基礎(chǔ)功能的用戶免去繁瑣的信息登記和收集，定期銷毀搜集、記錄的原始用戶數(shù)據(jù)；又要加強(qiáng)對(duì)大規(guī)模利用開(kāi)放數(shù)據(jù)用戶的登記、預(yù)留郵箱等個(gè)人信息驗(yàn)證，防止竊密、破壞活動(dòng)。

（3）提升數(shù)據(jù)利用安全的管理水平

任命網(wǎng)絡(luò)安全官或數(shù)據(jù)安全官，加強(qiáng)對(duì)數(shù)據(jù)采集、存儲(chǔ)、處理、使用等各環(huán)節(jié)安全管理。明確責(zé)任邊界，對(duì)濫用數(shù)據(jù)的企業(yè)和個(gè)人追究責(zé)任，對(duì)利用數(shù)據(jù)分析泄露國(guó)家秘密、商業(yè)秘密和個(gè)人隱私的企業(yè)或個(gè)人追究相應(yīng)的法律責(zé)任。

（4）加強(qiáng)對(duì)數(shù)據(jù)開(kāi)放安全的政策支持

強(qiáng)化制度創(chuàng)新和法制建設(shè)，研究制定公共信息資源開(kāi)放管理辦法及細(xì)則。加強(qiáng)試點(diǎn)示范和標(biāo)準(zhǔn)建設(shè)，積極探索創(chuàng)新。綜合利用現(xiàn)有資金渠道，落實(shí)公共信息資源開(kāi)放安全保障所涉及的資金，嚴(yán)格相關(guān)項(xiàng)目驗(yàn)收。加強(qiáng)人才培養(yǎng)與安全知識(shí)培訓(xùn)，全面提高公共信息資源開(kāi)放人員隊(duì)伍素質(zhì)。