政府與企業(yè)間數(shù)據(jù)開放共享的 安全問題研究

賽迪智庫

當(dāng)今世界，信息化發(fā)展較快的發(fā)達(dá)國(guó)家在大數(shù)據(jù)開發(fā)利用方面和促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展方面已經(jīng)走在了前面，政府與企業(yè)之間的數(shù)據(jù)交換和共享已經(jīng)成為常態(tài)，尤其是歐盟、美國(guó)等國(guó)家，在數(shù)據(jù)安全保護(hù)方面出臺(tái)了很多有針對(duì)性的法律法規(guī)，有效規(guī)范了個(gè)人隱私保護(hù)和數(shù)據(jù)跨境保護(hù)工作，有利于保障本國(guó)公民利益和維護(hù)數(shù)據(jù)主權(quán)，值得我們借鑒。

當(dāng)前我國(guó)政府與企業(yè)間

數(shù)據(jù)開放共享現(xiàn)狀及問題

按照數(shù)據(jù)生產(chǎn)或持有主體來劃分?jǐn)?shù)據(jù)，數(shù)據(jù)可分為政府?dāng)?shù)據(jù)、企業(yè)數(shù)據(jù)和個(gè)人數(shù)據(jù)。企業(yè)數(shù)據(jù)：是指反映企業(yè)基本狀況的數(shù)據(jù)資源，包括企業(yè)財(cái)務(wù)數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)（研發(fā)、采購(gòu)、生產(chǎn)、銷售等）以及人力資源數(shù)據(jù)，也包括通過授權(quán)直接或間接采集的個(gè)人數(shù)據(jù)。個(gè)人數(shù)據(jù)：是指以電子或其他方式記錄的能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人個(gè)人身份的信息，包括但不限于自然人的姓名、出生日期、身份證號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。政府?dāng)?shù)據(jù)：是指人民政府及其行政機(jī)關(guān)在依法履行職責(zé)過程中產(chǎn)生或獲取的，以一定形式記錄、保存的各類數(shù)據(jù)資源。

政府?dāng)?shù)據(jù)、企業(yè)數(shù)據(jù)、個(gè)人數(shù)據(jù)之間存在交集和相關(guān)性。政府和企業(yè)之間共享數(shù)據(jù)時(shí)，不可避免的會(huì)含有個(gè)人數(shù)據(jù)，因此，在共享數(shù)據(jù)時(shí)不僅要注意保護(hù)國(guó)家秘密、商業(yè)秘密，特別要保護(hù)個(gè)人隱私數(shù)據(jù)，維護(hù)公民個(gè)人的權(quán)利。

參與數(shù)據(jù)共享的相關(guān)責(zé)任主體可以定義為五種角色，包括：數(shù)據(jù)提供方、數(shù)據(jù)使用方、平臺(tái)管理方、服務(wù)提供方和監(jiān)管方。數(shù)據(jù)提供方：指生產(chǎn)或收集數(shù)據(jù)，并提供數(shù)據(jù)進(jìn)行共享的各類相關(guān)主體，包括各政務(wù)部門或企業(yè)。數(shù)據(jù)使用方：指通過數(shù)據(jù)共享獲取、應(yīng)用共享數(shù)據(jù)的各政務(wù)部門或企業(yè)。平臺(tái)管理方：指負(fù)責(zé)建設(shè)、管理和運(yùn)營(yíng)數(shù)據(jù)共享平臺(tái)，在數(shù)據(jù)開放和數(shù)據(jù)交易中為數(shù)據(jù)提供方和使用方提供平臺(tái)服務(wù)的政務(wù)部門或企業(yè)。服務(wù)提供方：指為數(shù)據(jù)提供方、使用方或平臺(tái)管理方提供數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)分析處理、數(shù)據(jù)安全保障、數(shù)據(jù)保護(hù)能力測(cè)評(píng)等技術(shù)和安全服務(wù)，對(duì)平臺(tái)管理方的工作提供支撐的企業(yè)或?qū)I(yè)機(jī)構(gòu)。監(jiān)管方：指依照國(guó)家法律法規(guī)和政策文件的授權(quán)，對(duì)政府與企業(yè)間數(shù)據(jù)共享進(jìn)行指導(dǎo)、監(jiān)督管理的政府部門，包括網(wǎng)信、公安、安全、保密等部門。政府與企業(yè)之間共享數(shù)據(jù)的方式主要分為三種，一是數(shù)據(jù)開放，二是數(shù)據(jù)交換，三是數(shù)據(jù)交易。下面針對(duì)三種數(shù)據(jù)共享方式分別描述相關(guān)方的權(quán)責(zé)和義務(wù)。數(shù)據(jù)開放。數(shù)據(jù)開放是指數(shù)據(jù)提供方通過數(shù)據(jù)開放平臺(tái)為數(shù)據(jù)使用方提供開放數(shù)據(jù)資源的在線檢索、下載及調(diào)用等服務(wù)。

數(shù)據(jù)提供方確保所提供的開放數(shù)據(jù)準(zhǔn)確有效、及時(shí)更新和安全可靠。提供方應(yīng)依據(jù)相關(guān)法律法規(guī)對(duì)數(shù)據(jù)進(jìn)行脫敏后進(jìn)行開放。

平臺(tái)管理方負(fù)責(zé)對(duì)數(shù)據(jù)開放平臺(tái)進(jìn)行管理、維護(hù)和安全保障工作，對(duì)開放數(shù)據(jù)進(jìn)行清洗、審核、編目、歸集、存儲(chǔ)、提供等工作，對(duì)數(shù)據(jù)提供和數(shù)據(jù)使用活動(dòng)進(jìn)行記錄。服務(wù)提供方為數(shù)據(jù)提供方和平臺(tái)管理方提供技術(shù)和服務(wù)支撐工作，遵守并配合平臺(tái)管理方的相關(guān)規(guī)定和工作。具備相關(guān)安全測(cè)評(píng)資質(zhì)的服務(wù)提供方可作為第三方向平臺(tái)管理方提供數(shù)據(jù)安全保護(hù)能力測(cè)評(píng)服務(wù)。監(jiān)管方負(fù)責(zé)制定數(shù)據(jù)開放管理制度、數(shù)據(jù)監(jiān)管規(guī)則以及數(shù)據(jù)依申請(qǐng)開放的協(xié)調(diào)機(jī)制。在責(zé)任主體間產(chǎn)生沖突時(shí)進(jìn)行協(xié)調(diào)和仲裁。依法進(jìn)行數(shù)據(jù)安全審查、安全檢查和違法違規(guī)行為的處罰，組織對(duì)重大數(shù)據(jù)安全事件的調(diào)查和處置。數(shù)據(jù)提供方授權(quán)使用方獲得數(shù)據(jù)資源，一般通過數(shù)據(jù)共享交換簽訂協(xié)議來明確數(shù)據(jù)使用范圍、權(quán)限、使用方式、知識(shí)產(chǎn)權(quán)及安全保護(hù)等要求。提供方應(yīng)確保所提供的數(shù)據(jù)準(zhǔn)確有效、及時(shí)更新和安全可靠，并依據(jù)相關(guān)法律法規(guī)要求對(duì)數(shù)據(jù)進(jìn)行脫敏后進(jìn)行交換。

數(shù)據(jù)使用方需要在授權(quán)范圍內(nèi)獲取和使用數(shù)據(jù)，并采取措施，確保交換數(shù)據(jù)不丟失、不泄露、不被未授權(quán)讀取或擴(kuò)大使用范圍。服務(wù)提供方為數(shù)據(jù)提供方和數(shù)據(jù)使用方提供技術(shù)和服務(wù)支撐工作，如數(shù)據(jù)整理、數(shù)據(jù)脫敏、數(shù)據(jù)接口定制等。必要時(shí)，數(shù)據(jù)提供方可請(qǐng)具備相關(guān)安全測(cè)評(píng)資質(zhì)的服務(wù)提供方對(duì)數(shù)據(jù)使用方的數(shù)據(jù)安全保護(hù)能力進(jìn)行測(cè)評(píng)。

監(jiān)管方依照國(guó)家法律法規(guī)和政策文件的授權(quán)，對(duì)政府與企業(yè)間的數(shù)據(jù)交換工作進(jìn)行指導(dǎo)和安全監(jiān)管。在責(zé)任主體間產(chǎn)生沖突時(shí)進(jìn)行協(xié)調(diào)和仲裁。依法進(jìn)行數(shù)據(jù)安全審查、安全檢查和違法違規(guī)行為的處罰，組織對(duì)重大數(shù)據(jù)安全事件的調(diào)查和處置。

數(shù)據(jù)提供方應(yīng)具備交易數(shù)據(jù)的知識(shí)產(chǎn)權(quán)，并保證數(shù)據(jù)準(zhǔn)確有效、及時(shí)更新和安全可靠。數(shù)據(jù)提供方按照相關(guān)制度和交易規(guī)則，以及市場(chǎng)供求情況進(jìn)行數(shù)據(jù)定價(jià)。數(shù)據(jù)提供方應(yīng)根據(jù)國(guó)家相關(guān)保密法規(guī)要求以及個(gè)人隱私保護(hù)相關(guān)規(guī)定進(jìn)行數(shù)據(jù)脫敏后進(jìn)行交易。數(shù)據(jù)使用方需要在合法授權(quán)范圍內(nèi)使用數(shù)據(jù)，并采取措施，確保交易數(shù)據(jù)不丟失、不泄露、不被未授權(quán)讀取或擴(kuò)大使用范圍。

平臺(tái)管理方負(fù)責(zé)數(shù)據(jù)交易平臺(tái)的運(yùn)營(yíng)、管理和維護(hù)工作，對(duì)落地的交易數(shù)據(jù)進(jìn)行清洗、審核、編目、歸集、存儲(chǔ)、提供等工作，對(duì)交易雙方的資質(zhì)進(jìn)行審核，制定數(shù)據(jù)交易規(guī)則、安全管理制度，對(duì)數(shù)據(jù)交易活動(dòng)進(jìn)行記錄，可以有償提供數(shù)據(jù)分析、數(shù)據(jù)關(guān)聯(lián)整合等服務(wù)。

服務(wù)提供方為數(shù)據(jù)提供方、數(shù)據(jù)使用方及平臺(tái)管理方提供技術(shù)和服務(wù)支撐工作，遵守并配合平臺(tái)管理方的相關(guān)規(guī)定和工作。具備相關(guān)安全測(cè)評(píng)資質(zhì)的服務(wù)提供方可為平臺(tái)管理方提供數(shù)據(jù)安全保護(hù)能力測(cè)評(píng)服務(wù)。

監(jiān)管方依照國(guó)家法律法規(guī)和政策文件的授權(quán)，對(duì)政府與企業(yè)間的數(shù)據(jù)交易活動(dòng)進(jìn)行指導(dǎo)和安全監(jiān)管。在責(zé)任主體間產(chǎn)生沖突時(shí)進(jìn)行協(xié)調(diào)和仲裁。依法進(jìn)行數(shù)據(jù)安全審查、安全檢查和違法違規(guī)行為的處罰，組織對(duì)重大數(shù)據(jù)安全事件的調(diào)查和處置。

國(guó)內(nèi)的數(shù)據(jù)共享雖然取得了一定的成果，但是依舊存在許多問題需要解決。在國(guó)內(nèi)數(shù)據(jù)的共享交換、交易流通過程中，存在以下問題：

一是法律法規(guī)不完善。數(shù)據(jù)共享過程中存在數(shù)據(jù)擁有者與管理者不同、數(shù)據(jù)所有權(quán)和使用權(quán)分離的情況，即數(shù)據(jù)會(huì)脫離數(shù)據(jù)提供方的控制而存在，從而會(huì)帶來數(shù)據(jù)濫用、權(quán)屬不明確、安全監(jiān)管責(zé)任不清晰等法律制度的挑戰(zhàn)。二是行業(yè)發(fā)展不規(guī)范。國(guó)內(nèi)數(shù)據(jù)共享行業(yè)仍處于起步發(fā)展階段，也缺少國(guó)家層面的標(biāo)準(zhǔn)規(guī)范，政府部門、企業(yè)、社會(huì)組織等開展數(shù)據(jù)共享的時(shí)候缺少相關(guān)文件指導(dǎo)，容易各自發(fā)展自成體系，同時(shí)數(shù)據(jù)共享行業(yè)缺乏監(jiān)管，不利于行業(yè)的健康發(fā)展。三是數(shù)據(jù)共享不積極。和國(guó)外數(shù)據(jù)資源主要集中在企業(yè)手中不同，國(guó)內(nèi)的數(shù)據(jù)資源80%集中在政府部門。由于認(rèn)識(shí)不到數(shù)據(jù)共享開放的價(jià)值、缺乏開放數(shù)據(jù)的動(dòng)力，各部門企業(yè)不愿意共享開放;由于缺乏相關(guān)的法規(guī)文件，擔(dān)心出現(xiàn)問題后責(zé)任認(rèn)定不清，各部門企業(yè)不敢共享開放;由于行業(yè)的技術(shù)比較落后，缺少相應(yīng)的實(shí)踐，各部門企業(yè)不會(huì)共享開放。

國(guó)外對(duì)數(shù)據(jù)開放共享安全

治理的經(jīng)驗(yàn)借鑒

近些年來，歐盟、美國(guó)等國(guó)家紛紛出臺(tái)數(shù)據(jù)保護(hù)立法，例如歐盟的《通用數(shù)據(jù)保護(hù)條例》、美國(guó)的《加州消費(fèi)者隱私法案》、日本的《個(gè)人信息保護(hù)法》等等。綜合看來，國(guó)外立法主要有如下特點(diǎn)：

法律對(duì)數(shù)據(jù)共享的管轄從“屬地”擴(kuò)展到“屬人”。國(guó)外法律規(guī)定的管轄對(duì)象不僅包括在境內(nèi)成立的機(jī)構(gòu)，還包括一部分在境外成立的機(jī)構(gòu)，只要其在提供產(chǎn)品或者服務(wù)的過程中（不論是否收費(fèi)）處理了境內(nèi)個(gè)體的個(gè)人數(shù)據(jù);無論通信、記錄或其他信息是否存儲(chǔ)在境內(nèi)，服務(wù)提供者均應(yīng)當(dāng)按照義務(wù)要求進(jìn)行保存、備份、披露，只要上述數(shù)據(jù)為該服務(wù)提供者所擁有、監(jiān)管或控制。國(guó)外法律對(duì)數(shù)據(jù)共享的管轄范圍從“屬地”擴(kuò)展到“屬人”既是對(duì)數(shù)據(jù)保護(hù)范圍的擴(kuò)大也是對(duì)數(shù)據(jù)主權(quán)的擴(kuò)張。

明確了數(shù)據(jù)共享參與主體的權(quán)責(zé)。國(guó)外法律對(duì)數(shù)據(jù)共享的參與角色進(jìn)行了明確的劃分，同時(shí)對(duì)各參與角色的權(quán)力和責(zé)任作出說明，例如明確個(gè)人對(duì)其個(gè)人信息所有的權(quán)力，要求企業(yè)在內(nèi)部建立完善的問責(zé)機(jī)制，確保其員工能夠遵守有關(guān)保密的要求，不得對(duì)處理的數(shù)據(jù)進(jìn)行二次分包等。國(guó)外法律明確數(shù)據(jù)共享參與主體的權(quán)責(zé)可以確定數(shù)據(jù)共享活動(dòng)中各方的權(quán)力和責(zé)任，便于監(jiān)管。

對(duì)個(gè)人信息有完善的保護(hù)。國(guó)外法律明確了個(gè)人對(duì)于其個(gè)人信息具有的權(quán)利，例如知情權(quán)、訪問權(quán)、反對(duì)權(quán)、個(gè)人數(shù)據(jù)可攜權(quán)、被遺忘權(quán)等權(quán)利，對(duì)數(shù)據(jù)控制者和處理者規(guī)定了其必須遵守的制度和履行的義務(wù)，甚至對(duì)教育等專項(xiàng)個(gè)人信息專門立法進(jìn)行保護(hù)，成立相應(yīng)的數(shù)據(jù)安全管理部門來開展個(gè)人信息保護(hù)工作，加大對(duì)個(gè)人信息保護(hù)的力度。國(guó)外針對(duì)公民個(gè)人權(quán)利和個(gè)人信息有明確的立法，對(duì)個(gè)人信息提出嚴(yán)格的保護(hù)要求，建立相應(yīng)的機(jī)構(gòu)，從各個(gè)方面加強(qiáng)個(gè)人信息保護(hù)。

對(duì)數(shù)據(jù)跨境傳輸提出明確的安全要求。國(guó)外法律規(guī)定服務(wù)提供者應(yīng)當(dāng)按照義務(wù)要求保存、備份、披露個(gè)人信息，只要涉及境內(nèi)公民的個(gè)人信息為該服務(wù)提供者所擁有、監(jiān)管或控制，不考慮服務(wù)提供者將信息存儲(chǔ)在境內(nèi)還是境外;公民個(gè)人數(shù)據(jù)不得轉(zhuǎn)移至不能達(dá)到與本國(guó)同等保護(hù)水平的國(guó)家，并給出跨境數(shù)據(jù)傳輸?shù)暮戏ㄍ緩胶鸵螅Ｕ狭藬?shù)據(jù)跨境傳輸共享的安全。

對(duì)違法行為進(jìn)行嚴(yán)厲處罰。國(guó)外法律尤其是歐盟的GDPR對(duì)數(shù)據(jù)違法行為作出嚴(yán)厲處罰，針對(duì)不同程度的違法行為分兩檔進(jìn)行處罰。對(duì)沒有實(shí)施充分的IT安全保障措施、沒有提供全面的透明的隱私政策、沒有簽訂書面的數(shù)據(jù)處理協(xié)議等違法行為，處1000萬歐元或者上一年度全球營(yíng)收的2%的罰金，兩者取其高。國(guó)外法律對(duì)違法行為作出嚴(yán)厲處罰，有利于推動(dòng)企業(yè)在進(jìn)行數(shù)據(jù)相關(guān)活動(dòng)過程中依法對(duì)數(shù)據(jù)進(jìn)行充分的安全保障。