我國政府數(shù)據(jù)開放中的安全風(fēng)險及其防范對策

肖冬梅 蘇瑩

摘 要：[目的/意義]為探究我國政府數(shù)據(jù)開放中的安全風(fēng)險，本文對我國已上線的172個地方政府數(shù)據(jù)開放平臺的安全風(fēng)險及其成因進行分析。[方法/過程]對政府數(shù)據(jù)開放平臺的安全風(fēng)險類型及相關(guān)典型事件進行剖析，探究安全風(fēng)險致因，尋求風(fēng)險防范對策。[結(jié)果/結(jié)論]研究發(fā)現(xiàn)，隨著各級政府探索從“政府信息公開”走向“政府數(shù)據(jù)開放”，顯性安全風(fēng)險與隱性安全風(fēng)險都接踵而至。境內(nèi)外敵對勢力的攻擊、數(shù)據(jù)黑色產(chǎn)業(yè)鏈的發(fā)展和數(shù)據(jù)集爆發(fā)式增長加劇了政府數(shù)據(jù)開放的外部風(fēng)險，而與外部人員勾結(jié)的內(nèi)鬼有意為之、內(nèi)部參與者或疏忽大意或能力不足所致的誤操作及不作為，都是內(nèi)部風(fēng)險產(chǎn)生的緣由。強化數(shù)據(jù)分級分類管理、以申請開放為補充、加強數(shù)據(jù)安全標準規(guī)范建設(shè)、建立數(shù)據(jù)安全評估與反饋調(diào)整機制，能有效防范我國政府數(shù)據(jù)開放中的安全風(fēng)險。

關(guān)鍵詞：政府數(shù)據(jù)開放;安全風(fēng)險;防范對策

DOI：10.3969/j.issn.1008-0821.2022.06.011

〔中圖分類號〕G201 〔文獻標識碼〕A 〔文章編號〕1008-0821（2022）06-0112-09

Abstract：[Purpose/Significance]In order to clarify the security risks in Chinas government data openness，this article analyzes the security risks and causes of the risks of 172 local government data open platforms that have been launched in China.[Methods/Processes]Analyze the types of security risks and related typical events of the government data open platform，explore the causes of security risks，and explore risk prevention countermeasures.[Results/Conclusions]The study found that as governments at all levels explored from“open government information”to“open government data”，both explicit security risks and implicit security risks followed.Various factors have exacerbated the external risks of government data openness，including attacks by hostile forces at home and abroad，the development of the dark data industry chains，and the explosive growth of data sets.Meanwhile，internal risks are caused by the deliberate actions of mole people colluding with external personnel，and misoperations and inactions caused by the negligence or inadequacy of internal participants.To effectively prevent the security risks in Chinas government data openness，following measures should be taken，including strengthening the management of data classification and classification，providing supplementary measures to allow the public to have access to data opening，strengthening the construction of data security standards，and establishing a data security assessment and feedback adjustment mechanism.

Key words：government data openness;security risk;preventive measures

推進數(shù)字政府建設(shè)是黨和國家制定的重要戰(zhàn)略，黨的十九屆四中全會明確要求“推進數(shù)字政府建設(shè)，加強數(shù)據(jù)有序共享”。數(shù)字政府建設(shè)是當前推動政府治理體系和治理能力現(xiàn)代化的著力點和突破口，而近年來政府數(shù)據(jù)開放平臺日漸成為數(shù)字政府建設(shè)的標配。我國自2012年上海市推出第一個政府數(shù)據(jù)開放平臺起，迄今已上線172個地方政府數(shù)據(jù)開放平臺，其中省級平臺21個，副省級和地級平臺151個，至此，我國大陸地區(qū)66%的省級行政區(qū)、73%的副省級和35%的地級行政區(qū)已推出了政府數(shù)據(jù)開放平臺[1]。

與政府數(shù)據(jù)開放蓬勃興起的實踐同步，學(xué)界近年來也頗關(guān)注政府數(shù)據(jù)開放問題，楊孟輝[2]、薛智勝等[3]和楊鈺祺等[4]對政府數(shù)據(jù)開放的內(nèi)涵進行了界定，鄭磊[5]則對國內(nèi)外有關(guān)政府數(shù)據(jù)開放的定義進行了梳理，肖衛(wèi)兵[6]、陳曉勤[7]對政府數(shù)據(jù)開放的主體和客體進行了研究，趙潤娣[8]和胡逸芳等[9]調(diào)研了美國和加拿大的政府數(shù)據(jù)開放范圍，王萬華[10]、陳尚龍[11]和高富平[12]則對政府信息公開和政府數(shù)據(jù)開放進行了比較研究。

業(yè)界和學(xué)界在政府數(shù)據(jù)開放的必要性、可行性等問題上，事實上已經(jīng)達成頗多共識，政府數(shù)據(jù)開放被認為是加強建設(shè)透明政府和服務(wù)型政府，讓數(shù)字紅利普惠大眾的重要舉措，也是釋放數(shù)據(jù)能量、促進數(shù)字經(jīng)濟快速發(fā)展的基礎(chǔ)和關(guān)鍵。但政府數(shù)據(jù)開放在推進國家治理體系和治理能力現(xiàn)代化的同時，也不可避免地帶來了數(shù)據(jù)泄漏、數(shù)據(jù)篡改、數(shù)據(jù)破壞等顯性安全風(fēng)險與被數(shù)據(jù)畫像的隱性安全風(fēng)險。中外學(xué)者如Meijer R等[13]、Zuiderwijk A等[14]、趙需要等[15]、陳朝兵等[16]、杜荷花[17]和郝文強[18]先后對政府數(shù)據(jù)開放中的隱私風(fēng)險進行了研究。Kucera J等[19]、 Conradie P等[20]、趙龍文等[21]則關(guān)注到政府數(shù)據(jù)開放對知識產(chǎn)權(quán)尤其是商業(yè)秘密安全的影響。Shao D D等[22]、苗地[23]和張珺[24]對政府數(shù)據(jù)開放風(fēng)險的制度根源進行了探究，才是杰等[25]、鄒東升[26]和莊國波等[27]則考察了政府數(shù)據(jù)開放風(fēng)險生成的技術(shù)根源?，F(xiàn)有研究大都只關(guān)注傳統(tǒng)信息技術(shù)帶來的顯性安全風(fēng)險，對隱性安全風(fēng)險的研究還很不夠。隨著政府數(shù)據(jù)開放與數(shù)據(jù)安全之間的沖突日益加劇，對新一代信息技術(shù)帶來的顯性安全風(fēng)險和隱性安全的研究亟需加強。

1 制度源起與演進：從“政府信息公開”到“政府數(shù)據(jù)公開”

1.1 政府信息公開起源于美國并推廣到全球

興起于20世紀60年代的政府信息公開，迄今已有半個多世紀的歷史。美聯(lián)社編輯肯特·庫珀（Kent Cooper）在二戰(zhàn)末期首次提出知情權(quán)概念[28]。二戰(zhàn)之后知情權(quán)在美國迅速發(fā)展成為當代公共文化的主流思潮。1966年，知情權(quán)被寫進美國《信息自由法》，可以說這是現(xiàn)代意義上的政府信息公開立法的開端[29]。10年后，《陽光下的政府法》出臺，進一步促進了美國行政公開。隨后全球掀起保障知情權(quán)的信息公開立法浪潮，各主流國家陸續(xù)出臺了專門的信息公開立法，確立政府公開政府信息的法定義務(wù)[30]。我國于2007年4月公布《中華人民共和國政府信息公開條例》（以下簡稱《條例》），2008年5月1日起正式實施?！稐l例》從基本原則、公開的范圍、公開的方式和程序、監(jiān)督和保障等方面進行明確的規(guī)定，是我國政府信息公開的基本法規(guī)。2019年4月3日修訂后的《條例》公布，自2019年5月15日起施行，但修訂后的《條例》并沒有政府數(shù)據(jù)開放的內(nèi)容。

1.2 政府數(shù)據(jù)開放基于政府信息公開得以推行

自20世紀60年代確立至21世紀初，開放政府理念影響漸深，這為大數(shù)據(jù)時代公眾獲取政府數(shù)據(jù)奠定了思想基礎(chǔ)。受益于政府信息公開所建構(gòu)的開放政府理念和對公眾知情權(quán)的制度確立，開放政府數(shù)據(jù)被視為數(shù)字政府建設(shè)的應(yīng)有之義[31]。事實上，中美政府數(shù)據(jù)開放都是以政府信息公開為依托，而逐步得以推行的。由于新技術(shù)環(huán)境下政府數(shù)據(jù)開放面臨的諸多風(fēng)險，在政府數(shù)據(jù)開放的早期，包括美國、英國和中國在內(nèi)的各國政府基本采用了在政府信息公開制度框架內(nèi)以政策方式逐步推進的路徑。以全球最早施行政府數(shù)據(jù)開放的美國為例，其2009年就發(fā)布《透明與開放政府備忘錄》，要求根據(jù)《信息自由法》制定《開放政府指令》。根據(jù)英國2012年修訂的《信息自由法》，如果申請合理可行，政府部門應(yīng)當給申請者提供其擁有的數(shù)據(jù)集，同年英國政府還發(fā)布了《開放數(shù)據(jù)白皮書——釋放數(shù)據(jù)潛能》。2015年4月我國國務(wù)院辦公廳印發(fā)《政府信息公開工作要點》，提出要推進政府數(shù)據(jù)公開，這一要求隨后在多個省市得到貫徹，同年9月國務(wù)院印發(fā)《促進大數(shù)據(jù)發(fā)展行動綱要》（國發(fā)〔2015〕50號），對政府數(shù)據(jù)開放提出明確要求。迄今為止，全國總計有50余個省市兩級地方政府出臺了近80部政府數(shù)據(jù)開放相關(guān)法律規(guī)范。

1.3 政府數(shù)據(jù)開放拓展了開放政府的內(nèi)涵

政府信息公開是指政府機構(gòu)依照法定程序和形式，公開與社會成員利益相關(guān)的所有政府信息，并允許公眾通過查詢、閱覽、復(fù)制等方式加以利用的行為。政府信息公開的制度目標是提升政府透明度、保障公民知情權(quán)、促進民主監(jiān)督問責(zé)。而開放政府數(shù)據(jù)是指任何人都可以自由、免費地訪問、獲取、利用和分享政府數(shù)據(jù)。政府數(shù)據(jù)開放，意味著數(shù)據(jù)置放于公共領(lǐng)域，且能以機器可讀的格式發(fā)布，以便任何人借助通用和免費的軟件即可獲取和利用，不受密碼或防火墻等技術(shù)措施的限制[32]?？梢姡畔⒐_在一定意義上建構(gòu)了開放政府的理念和制度，新興的政府數(shù)據(jù)開放則拓展了開放政府的內(nèi)涵，并形成獨立于政府信息公開的開放平臺、運行機制與制度體系[33]。

2 我國政府數(shù)據(jù)開放現(xiàn)狀與發(fā)展趨勢

2.1 各地政府數(shù)據(jù)開放平臺與海量數(shù)據(jù)快速上線

政府數(shù)據(jù)開放是大數(shù)據(jù)時代的產(chǎn)物。數(shù)據(jù)作為人類社會的第五大生產(chǎn)要素，與當今社會的精準管理、數(shù)字經(jīng)濟發(fā)展密切相關(guān)，其開發(fā)利用蘊含無限商機和創(chuàng)新潛能。《政務(wù)信息系統(tǒng)整合共享實施方案》（國辦發(fā)〔2017〕39號）指出，要建設(shè)統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的數(shù)據(jù)開放網(wǎng)站，推動政府部門和公共企事業(yè)單位的原始性、可機器讀取、可供社會化再利用的數(shù)據(jù)集，向社會開放。政府數(shù)據(jù)開放有助于提升公共服務(wù)質(zhì)量和充分釋放數(shù)據(jù)價值，近年來各國政府紛紛推動數(shù)據(jù)開放實踐。迄今為止，我國東部地區(qū)包括北京、天津、上海、江蘇、浙江、福建、山東、廣東和海南在內(nèi)的9個省級政府數(shù)據(jù)開放平臺已上線，中部地區(qū)包括江西、河南、湖北、湖南、廣西在內(nèi)的5個省級政府數(shù)據(jù)開放平臺上線，西部地區(qū)有四川、貴州、陜西、青海、寧夏、新疆和重慶這7個省級政府數(shù)據(jù)開放平臺已上線。這意味著我們目前只有10個省份（包括東部的河北、遼寧，中部的山西、內(nèi)蒙古、吉林、黑龍江、安徽，西部的云南、西藏、甘肅）還沒有上線省級政府數(shù)據(jù)開放平臺。從圖1不難看出，我國政府數(shù)據(jù)開放平臺自2012年陸續(xù)上線，2017年之前發(fā)展緩慢，但2017年之后進入井噴期，2012—2017年5年之內(nèi)僅上線20個平臺，其中省級平臺5個，地級（含副省級）平臺15個，但到2018年開始各地政府積極落實《政務(wù)信息系統(tǒng)整合共享實施方案》（國辦發(fā)〔2017〕39號）的精神，加快了政府數(shù)據(jù)的開放進程，2018年、2019年、2020年和2021年上半年，我國上線的地級及以上政府數(shù)據(jù)開放平臺迅速增至56個、102個、142個和172個。

2.2 政府開放有效數(shù)據(jù)集爆增背后蘊含嚴重的安全風(fēng)險

從2017—2021年3月，全國各地的政府開放的有效數(shù)據(jù)集從2017年的8 398個增長至2021年3月的476 849個，各地有效數(shù)據(jù)集總量在這接近4年半的時間增長將近56倍，2020年各地平臺開放有效數(shù)據(jù)總量比2019年增長約23%，2021年3月顯示的各地平臺開放有效數(shù)據(jù)總量是2020年各地平臺開放有效數(shù)據(jù)總量的9倍，增幅高達825%，目前我國25%的地方政府開放有效數(shù)據(jù)集已超過1 000個，如先行省份山東的威海、煙臺、濰坊等地區(qū)開放的有效數(shù)據(jù)集總量分別為8 564個、14 014個和6 898個。我國地方政府有效數(shù)據(jù)集爆發(fā)式增長與國家大數(shù)據(jù)戰(zhàn)略實施和數(shù)據(jù)要素市場培育關(guān)聯(lián)甚密。2020年4月，中共中央、國務(wù)院公布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，首次將數(shù)據(jù)納入生產(chǎn)要素范圍，與土地、勞動力、資本、技術(shù)等傳統(tǒng)生產(chǎn)要素并列，就是要充分發(fā)揮數(shù)據(jù)這一新型要素對其他要素效率的倍增作用，使數(shù)據(jù)成為推動經(jīng)濟高質(zhì)量發(fā)展的新動能。隨著數(shù)據(jù)成為國家一項基礎(chǔ)性戰(zhàn)略資源，各地政府數(shù)據(jù)開放的進程會進一步加快。

但令人擔(dān)心的是，各地政府在積極上線數(shù)據(jù)開放平臺、推進數(shù)字經(jīng)濟發(fā)展的同時，數(shù)據(jù)安全保障措施并沒有同步跟上。不少地方政府數(shù)據(jù)開放平臺在設(shè)計之初對安全問題并未充分考量，甚至存在倉促上線“裸奔”運行的現(xiàn)象，存在嚴重的數(shù)據(jù)安全風(fēng)險。數(shù)據(jù)價值越大，遭遇攻擊發(fā)生泄漏，乃至被破壞被篡改的風(fēng)險愈高，其價值損失也就可能越大。根據(jù)奇安信行業(yè)安全研究中心的觀察，目前政府是數(shù)據(jù)安全事件多發(fā)的重災(zāi)區(qū)之一。2019年1月—2020年8月，在被報道出來的420起全球政企機構(gòu)重大數(shù)據(jù)安全事件中，有10.7%涉及政府機構(gòu)、事業(yè)單位的數(shù)據(jù)安全[34]。隨著政府數(shù)據(jù)開放平臺上線數(shù)據(jù)集的日益增多，使得原本分散的、孤立的、價值不高的數(shù)據(jù)，形成聚集效應(yīng)，其利用價值陡增，這難免將招致更多的外部攻擊和內(nèi)鬼惦記。因此，在推進政府數(shù)據(jù)開放進程的同時，須做好數(shù)據(jù)安全的風(fēng)險防控。

3 我國地方政府數(shù)據(jù)開放中的安全風(fēng)險類型及其成因

3.1 我國地方政府數(shù)據(jù)開放的安全風(fēng)險類型

觀察近年來發(fā)生的數(shù)據(jù)安全事件，不難發(fā)現(xiàn)，既有外部的惡意攻擊，也有內(nèi)部的無意泄露，間或是里應(yīng)外合的勾結(jié)作案;有因為技術(shù)漏洞而發(fā)生的數(shù)據(jù)泄露，也有因為管理缺陷而導(dǎo)致的安全威脅。事實上，因外部攻擊或內(nèi)部疏忽導(dǎo)致的安全風(fēng)險一直被關(guān)注，可謂顯性數(shù)據(jù)安全風(fēng)險，目前國內(nèi)外有不少機構(gòu)在持續(xù)觀察數(shù)據(jù)安全事件及其成因，評估這類風(fēng)險的進展與影響，并定期或不定期發(fā)布數(shù)據(jù)安全領(lǐng)域的調(diào)研報告。而大數(shù)據(jù)時代還有一類潛在的安全風(fēng)險，即由新技術(shù)新模式觸發(fā)的新風(fēng)險，如數(shù)據(jù)關(guān)聯(lián)分析背后的安全風(fēng)險，并未引起足夠的重視和應(yīng)有的關(guān)注，可謂隱性數(shù)據(jù)安全風(fēng)險。

3.1.1 顯性數(shù)據(jù)安全風(fēng)險

顯性數(shù)據(jù)安全風(fēng)險往往能被常規(guī)技術(shù)手段檢測或被技術(shù)人員感知，根據(jù)風(fēng)險源進行劃分，我國地方政府數(shù)據(jù)開放的顯性數(shù)據(jù)安全風(fēng)險又可分為外部風(fēng)險和內(nèi)部風(fēng)險兩類。

1）外部風(fēng)險。近年來因網(wǎng)絡(luò)攻擊導(dǎo)致政府數(shù)據(jù)泄露、數(shù)據(jù)被破壞或數(shù)據(jù)被篡改的事件從未間斷，且有愈演愈烈之勢。攻擊者通過黑詞暗鏈、釣魚頁面、挖礦程序等攻擊手段，或利用勒索病毒感染政府機構(gòu)終端、服務(wù)器，進行黑產(chǎn)活動牟利或?qū)嵤┣迷p勒索，隨著有些漏洞日漸武器化，勒索軟件即服務(wù)RaaS盛行，地方政府數(shù)據(jù)開放的外部風(fēng)險陡增。根據(jù)奇安信的報告，2019年1—12月其安全服務(wù)團隊共參與和處置的1 029起網(wǎng)絡(luò)安全急響應(yīng)事件，攻擊者的目標主要分布于政府機構(gòu)、事業(yè)單位以及國家重要基礎(chǔ)性建設(shè)行業(yè)。而補天平臺收錄漏洞報告數(shù)量最多的3個行業(yè)依次是教育、政府機構(gòu)、事業(yè)單位和制造業(yè)。2019年出現(xiàn)7種新型網(wǎng)絡(luò)釣魚攻擊，包括指向流氓云存儲位置的偽鏈接、釣魚網(wǎng)絡(luò)附件、憑證網(wǎng)絡(luò)釣魚鏈接、虛假短消息、身份仿冒、域名仿冒和域名欺詐[35]。2020年一種新型勒索軟件攻擊被廣泛使用，攻擊者在竊取大量數(shù)據(jù)之后會對其進行加密，若受害者拒絕支付贖金則被威脅泄露其數(shù)據(jù)[36]。2020年底以色列Ben-Gurion大學(xué)公布了一項名為Air-Fi的新技術(shù)，該技術(shù)可將計算機的內(nèi)存（RAM卡）等設(shè)備轉(zhuǎn)換為無線信號發(fā)射器，并從沒有外部聯(lián)網(wǎng)的計算機內(nèi)部將敏感數(shù)據(jù)傳輸出去。而政府部門或一些對計算機設(shè)備隱私有極高安全需求的機構(gòu)被特別提醒，應(yīng)注意防范這種新型攻擊手段[37]。2019年3月，我國部分政府部門和醫(yī)院等公立機構(gòu)曾遭遇國外黑客組織利用勒索病毒進行郵件攻擊。

軟硬件產(chǎn)品安全漏洞若未及時修補將成政府數(shù)據(jù)開放的一大風(fēng)險源。雖然我國正在加快推進CPU、操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)軟硬件的國產(chǎn)自主可控替代計劃，但政府部門及其合作伙伴至今尚未做到完全不用開源產(chǎn)品和國外產(chǎn)品，關(guān)鍵技術(shù)還未做到自主可控，國家信息安全漏洞共享平臺（CNVD）的數(shù)據(jù)顯示，國外服務(wù)商提供的Hadoop、Spark和MongoDB等存在權(quán)限控制、跨站腳本等多類安全漏洞，并且因此導(dǎo)致數(shù)據(jù)泄露的情形也時有發(fā)生。目前即便是政府部門那些已經(jīng)實現(xiàn)了國產(chǎn)化替代的信息安全產(chǎn)品也并非沒有安全之虞，國內(nèi)廠商提供的產(chǎn)品也存在安全漏洞。CNVD平臺的數(shù)據(jù)也顯示，國內(nèi)安全廠商如迪元素、安全狗、華為、深信服、天融信等的安全品牌也都存在危急或高危漏洞，位列2020年1—10月國內(nèi)外新增漏洞數(shù)量TOP20。安全漏洞的存在意味著數(shù)據(jù)泄露的隱患，也是當前網(wǎng)絡(luò)安全的主要威脅和政企機構(gòu)面臨的重要安全風(fēng)險之一。根據(jù)數(shù)字安全領(lǐng)域的全球領(lǐng)導(dǎo)者金雅拓（Gemalto）發(fā)布的Breach Level Index（數(shù)據(jù)泄露水平指數(shù)）顯示，僅2018年上半年，全球就發(fā)生了945起較大型的數(shù)據(jù)泄露事件，共計導(dǎo)致45億條數(shù)據(jù)泄露[38]。InfoWatch發(fā)布的2019年第二季度數(shù)據(jù)泄露報告稱，該季度有2.16億用戶數(shù)據(jù)被泄露，是2018年同期的兩倍多，而公共和市政機構(gòu)的泄密率從15.5%上升到23.8%。也有報道表明，2019年美國各地的市政當局都因勒索軟件攻擊而破壞了其IT基礎(chǔ)架構(gòu)，需要繳納贖金方能恢復(fù)網(wǎng)絡(luò)正常。

2）內(nèi)部風(fēng)險。整體而言，我國當前對政府數(shù)據(jù)的管理還處于粗放式管理階段，這體現(xiàn)在多個方面，如未能對數(shù)據(jù)進行分級分類便倉促上線、用戶協(xié)議或隱私政策的提供或內(nèi)容不合規(guī)、開放數(shù)據(jù)集的格式不標準等。我國各地政府數(shù)據(jù)開放平臺中，僅有不到20%的平臺為數(shù)據(jù)集標示了分級分類的開放屬性;約54%的平臺提供了數(shù)據(jù)開放授權(quán)協(xié)議，約42%的平臺上開放的數(shù)據(jù)集全部符合可機讀格式的標準，約27%的平臺上開放的數(shù)據(jù)集全部符合非專屬格式的標準，還有約25%的平臺提供了RDF格式的數(shù)據(jù)[39]。這些數(shù)據(jù)表明我國地方政府數(shù)據(jù)開放平臺不管在數(shù)據(jù)分級分類管理、用戶協(xié)議合規(guī)性還是格式的標準化方面，都還存在較大局限，這種粗放式的管理方式背后蘊含的安全風(fēng)險體現(xiàn)在兩個方面，一是未能識別重要數(shù)據(jù)或敏感個人信息，開放不應(yīng)開放的數(shù)據(jù)使其成為直接的風(fēng)險源;二是很難及時發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險，從而難以適時采取對策加以防范。

3.1.2 政府數(shù)據(jù)開放的隱性數(shù)據(jù)安全風(fēng)險

馬克·吐溫曾說，歷史不會重演，卻自有其韻律。雖然萬事皆顯出自發(fā)偶然之態(tài)，但實際上，它遠比你想象中的容易預(yù)測。全球復(fù)雜網(wǎng)絡(luò)權(quán)威巴拉巴西通過研究大膽地認為，93%的人類行為是可以預(yù)測的[40]。這意味著，當我們將生活數(shù)字化、公式化以及模型化的時候，這種預(yù)測變得高為容易和精準。海量數(shù)據(jù)的開放，為基于數(shù)據(jù)挖掘、分析行為的精準預(yù)測提供了可能性。

雖然數(shù)據(jù)的收集、分析和使用由來已久，但傳統(tǒng)的數(shù)據(jù)并不曾給社會生活帶來如此大的變革和不安，而基于網(wǎng)絡(luò)技術(shù)、云計算等現(xiàn)代技術(shù)手段而出現(xiàn)的大數(shù)據(jù)在改良社會自我管理的同時，也確實給社會生活帶來前所未有的威脅[41]。隨著政府數(shù)據(jù)開放平臺上海量數(shù)據(jù)的聚集，以及數(shù)據(jù)挖掘技術(shù)不斷升級，加之利用數(shù)據(jù)爬蟲技術(shù)的數(shù)據(jù)分析公司日增，從海量、復(fù)雜、看似無關(guān)聯(lián)的分散數(shù)據(jù)中挖掘出數(shù)據(jù)集之間的弱關(guān)系，通過時空拼圖，碎片化的靜態(tài)單元數(shù)據(jù)變成了網(wǎng)狀化的動態(tài)模塊數(shù)據(jù)，如此這般，政府脫敏之后開放的數(shù)據(jù)極易被再度識。通過對開放數(shù)據(jù)的二次加工和集成，形成數(shù)據(jù)畫像，據(jù)此追溯個人行蹤、企業(yè)研發(fā)或經(jīng)營軌跡，乃至國家的戰(zhàn)略行動，從而威脅到個人隱私、企業(yè)商業(yè)秘密和國家機密。經(jīng)過數(shù)據(jù)收集、數(shù)據(jù)集成、數(shù)據(jù)規(guī)約、數(shù)據(jù)清理、數(shù)據(jù)變換、挖掘分析、模式評估、知識表示等數(shù)據(jù)挖掘步驟，生成有關(guān)個人、企業(yè)乃至國家的數(shù)據(jù)畫像，若為別有用心的競爭對手、犯罪組織乃至敵對國家所掌握，其蘊含的威脅和風(fēng)險是不言而喻的。隨著政府數(shù)據(jù)開放的進程加快，范圍擴大，基于海量開放數(shù)據(jù)關(guān)聯(lián)分析的安全風(fēng)險將日益加劇。譬如，擅長運用大數(shù)據(jù)分析人的心理并引導(dǎo)群體行為的英國Cambridge Analytica公司，其在特朗普當選、推動英國成功脫歐等重大政治事件中施加的影響，對國家社會秩序的威脅顯而易見。通過爬蟲技術(shù)抓取平臺數(shù)據(jù)的hi Q Lab、Geofeedia等數(shù)據(jù)分析公司，通過收集公共數(shù)據(jù)和社交媒體數(shù)據(jù)，并進行數(shù)據(jù)挖掘，引發(fā)諸多民眾對個人隱私的廣泛關(guān)注與擔(dān)憂。

3.2 政府數(shù)據(jù)開放安全風(fēng)險的成因

3.2.1 顯性數(shù)據(jù)安全風(fēng)險形成的原因

弄清導(dǎo)致數(shù)據(jù)安全風(fēng)險的原因?qū)τ谡當?shù)據(jù)開放風(fēng)險治理十分重要。我國地方政府數(shù)據(jù)開放的外部風(fēng)險既有可能來自普通的黑客，也有可能是來自有組織的犯罪集團，甚至還有少數(shù)情形是因為合作伙伴有意為之或無心之失所致。內(nèi)部風(fēng)險既可能源自政府內(nèi)部人員竊取，也可能因為工作人員誤操作或不作為。如根據(jù)Verizon發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報告》（DBIR），2019年發(fā)生41 686起安全事件中有2 013起數(shù)據(jù)泄露事件，導(dǎo)致數(shù)據(jù)泄露的主體有外部人員、內(nèi)部參與者、合作伙伴、多方當事人、有組織的犯罪集團、民族國家或國家的行為者[42]。

1）外部風(fēng)險的成因

外部人員導(dǎo)致數(shù)據(jù)泄露事件占比高達69%，導(dǎo)致數(shù)據(jù)泄露的外部人員有來自有組織的犯罪集團成員（占比為39%），也有某些國家的代表（占比為23%），甚至還有些數(shù)據(jù)泄露事件是因為合作伙伴的原因造成的（占比為2%）。這些數(shù)據(jù)表明我國政府數(shù)據(jù)開放面臨的外部風(fēng)險主要是因為境內(nèi)外敵對勢力的攻擊、數(shù)據(jù)黑色產(chǎn)業(yè)鏈的發(fā)展以及數(shù)據(jù)集爆發(fā)式增長等原因造成的。

①境內(nèi)外敵對勢力的攻擊。根據(jù)Verizon發(fā)布的2018年年度數(shù)據(jù)泄漏報告（DBIR），由于網(wǎng)絡(luò)間諜和國家活動的活躍程度不斷增強，政府數(shù)據(jù)泄露排名首次超過醫(yī)療、金融行業(yè)，位居榜首[43]。2018年政府數(shù)據(jù)泄漏事件中高達66%的入侵是為了間諜活動，財務(wù)訴求只占29%，而一般行業(yè)的入侵動機則是71%出于財富訴求，25%屬于間諜活動。隨著國際形勢的日趨復(fù)雜，政府數(shù)據(jù)泄露事件中間諜活動的比例還在增加，2019年出于間諜活動的入侵占比增至68%。2020年境外多個國家和地區(qū)對中國發(fā)動網(wǎng)絡(luò)攻擊，譬如越南“海蓮花”黑客組織利用疫情話題攻擊我國政府機構(gòu);黑客組織“APT32”向中國官員發(fā)出網(wǎng)絡(luò)釣魚電子郵件。

敵對勢力通過黑客不遺余力地對我國政府機關(guān)和涉密單位發(fā)動“木馬”病毒等方式進行攻擊，大肆竊取、篡改和破壞數(shù)據(jù)的行徑，早已有之。在大數(shù)據(jù)時代互聯(lián)網(wǎng)已成為一個沒有硝煙、沒有國界的新陣地，網(wǎng)絡(luò)空間是大數(shù)據(jù)時代國家博弈的新領(lǐng)域，這是我國政府數(shù)據(jù)開放將長期面臨且難以回避的一類外部風(fēng)險，必須在推動數(shù)據(jù)流動、挖掘數(shù)據(jù)要素新動能的同時筑牢數(shù)據(jù)邊疆。

②數(shù)據(jù)黑色產(chǎn)業(yè)鏈的發(fā)展。目前由于我國數(shù)據(jù)安全法治體系不健全，數(shù)據(jù)安全和隱私保護水平總體較低，數(shù)據(jù)安全產(chǎn)業(yè)能力尚弱，使得數(shù)據(jù)黑產(chǎn)問題已成為我國當前乃至未來很長一段時間內(nèi)都不得不面對的一大挑戰(zhàn)。有數(shù)據(jù)顯示，網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取、數(shù)據(jù)交易、詐騙犯罪等數(shù)據(jù)黑色產(chǎn)業(yè)鏈規(guī)模已逾千億美元，我國成為數(shù)據(jù)黑產(chǎn)最主要的受害國之一[44]。黑產(chǎn)團伙或黑數(shù)據(jù)公司是當前數(shù)據(jù)泄露的罪魁禍首，也是政府數(shù)據(jù)開放安全風(fēng)險滋生的重要源頭，目前由需求方、入侵者或內(nèi)鬼、中介以及交易平臺四部分構(gòu)成層次清晰、分工明確的黑色產(chǎn)業(yè)鏈，在線上和線下形成了龐大的市場和分工日趨細化的產(chǎn)業(yè)鏈條，近年來數(shù)據(jù)黑色產(chǎn)業(yè)鏈的從業(yè)人數(shù)和產(chǎn)業(yè)規(guī)模一直呈增長之勢，

③數(shù)據(jù)集爆發(fā)式增長將加劇外部風(fēng)險。各地政府數(shù)據(jù)開放平臺上有效數(shù)據(jù)集呈爆發(fā)式增長態(tài)勢，而大量聚集的政府開放數(shù)據(jù)容易成為攻擊目標。2019年IDC預(yù)計，2025年中國將產(chǎn)生48.6ZB的數(shù)據(jù)，占全球27.8%，中國將成為最大的“數(shù)據(jù)圈”[45]。從2017—2021年3月，全國各地政府開放的有效數(shù)據(jù)集從2017年的8 398個增長至2021年3月的476 849個，各地有效數(shù)據(jù)集總量在4年多的時間內(nèi)增長已逾50倍，其中2020—2021年3月的有效數(shù)據(jù)集增加量尤為明顯。隨著政府數(shù)據(jù)開放平臺上的有效數(shù)據(jù)集的不斷匯聚，被境內(nèi)外敵對勢力或以數(shù)據(jù)牟利者作為攻擊目標的風(fēng)險也將日益加劇。

2）內(nèi)部成因

當前我國政府的數(shù)據(jù)開放除了要經(jīng)受日益嚴峻的外部攻擊之外，還面臨內(nèi)鬼的別有用心、內(nèi)部人員的疏忽大意、政府投入不足與標準規(guī)范建設(shè)滯后等源自內(nèi)部（成員和機構(gòu)）的威脅。

①內(nèi)鬼的別有用心或內(nèi)部人員的疏忽大意

在2019年所有數(shù)據(jù)泄露的事件中有內(nèi)部參與者的事件占比高達34%，內(nèi)部參與者中，有些是與外部人員勾結(jié)的內(nèi)鬼，是有意為之;也有內(nèi)部參與者是因為疏忽大意或者能力不足所致的誤操作及不作為，并非有意為之。譬如，Gemalto的Breach Level Index（泄露水平指數(shù)）白皮書稱，在2018年上半年的945起數(shù)據(jù)泄露事件中，泄露的45億項記錄中被加密的記錄只有1%。無獨有偶，Verizon的數(shù)據(jù)泄露調(diào)查報告指出，處理機密信息時缺乏加密和安全性，是最常見的泄密原因之一。而從機構(gòu)泄露的數(shù)據(jù)類型來看，主要也分為兩類：即個人數(shù)據(jù)和機密數(shù)據(jù)，后者是指政府機構(gòu)內(nèi)部除個人數(shù)據(jù)之外的商業(yè)機密、技術(shù)機密及其他機密信息。

②投入不足導(dǎo)致的安全等級難以達到需求

保證數(shù)據(jù)安全是政府數(shù)據(jù)開放的重要前提，但要保證數(shù)據(jù)安全需要相匹配的投入。政府數(shù)據(jù)開放平臺的建設(shè)和運行，不僅需要政府在基礎(chǔ)設(shè)施建設(shè)與維護上投入頗多人力、物力、財力成本，在數(shù)據(jù)收集、編輯、存儲、傳播和開放等各個環(huán)節(jié)也需要持續(xù)投入大量的成本。如美國政府數(shù)據(jù)開放平臺data.gov每年大約花費1 000萬美元用于平臺的建設(shè)及維護，法國政府數(shù)據(jù)開放平臺Etalab網(wǎng)站每年的花費約為500萬歐元[46]。目前我國整體上而言，在政府數(shù)據(jù)安全方面的投入還匱乏，不少政府部門存在“重建設(shè)輕運維”“重管理輕安全”的情況，無論是資金還是技術(shù)和人才方面的投入，都還很不足。在對數(shù)據(jù)進行分類分級保護方面，難以按需提供，尤其是在重要數(shù)據(jù)、敏感數(shù)據(jù)的保護方面，安全等級還難以匹配，這無疑留下了數(shù)據(jù)安全方面的隱患。

③標準規(guī)范的制定與實施滯后于政府數(shù)據(jù)開放實踐

制定數(shù)據(jù)開放的標準規(guī)范，有助于數(shù)據(jù)開放工作的標準化和規(guī)范化推進。但我國有關(guān)政府數(shù)據(jù)開放的多項國家標準正由全國信息安全標準化技術(shù)委員會負責(zé)研制中，至今尚未發(fā)布。相關(guān)地方標準雖已有所發(fā)布，但僅限于數(shù)字生態(tài)好的少數(shù)地區(qū)，如上海、廣東、浙江、貴州、山東、江西等省先后制定了專門針對政府數(shù)據(jù)開放的標準規(guī)范。由于全國性的標準缺失且地方性的標準不足，使得我國至今只有7%的地方制定了地方標準或規(guī)范指引，只有2.8%的地方制定了地方標準，而且，在標準規(guī)范的內(nèi)容方面，已公布的標準規(guī)范雖基本都對數(shù)據(jù)、元數(shù)據(jù)等方面都作出了規(guī)定，但其中對平臺建設(shè)和運營作出規(guī)定的僅有40%[47]?？梢娢覈胤秸當?shù)據(jù)開放的標準化和規(guī)范化問題不容小覷。標準規(guī)范的缺失或局限直接影響政府數(shù)據(jù)的開放共享，目前在我國已上線的142個地方政府數(shù)據(jù)開放平臺中，有超過80%的平臺尚未標示數(shù)據(jù)的分級分類開放屬性，46%的平臺未提供數(shù)據(jù)開放授權(quán)協(xié)議，有大約58%的平臺上開放的數(shù)據(jù)集全部不符合可機讀格式的標準，73%的平臺上開放的數(shù)據(jù)集未能符合非專屬格式的標準，約75%的地方平臺未提供RDF格式的數(shù)據(jù)。這意味著即便花費不菲推動政府數(shù)據(jù)上了線，但其后續(xù)的共享和利用活動會因標準規(guī)范問題而面臨重重障礙或面臨安全風(fēng)險，使得政府數(shù)據(jù)開放的初衷難以實現(xiàn)，數(shù)據(jù)獲取和挖掘利用受阻，從而導(dǎo)致巨大的浪費。因此，構(gòu)建我國政府數(shù)據(jù)開放共享標準規(guī)范體系，并推動標準規(guī)范的盡快實施，勢在必行。

3.2.2 “信息鏈”視域下隱性數(shù)據(jù)安全風(fēng)險的成因

根據(jù)“信息鏈”理論，通過數(shù)據(jù)挖掘和分析，比傳統(tǒng)的信息分析更能還原事實和真相。如圖2所示，事實、數(shù)據(jù)、信息、知識、情報或智能是“信息鏈”的5個基本節(jié)點[48]。事實是客觀事物運動的表現(xiàn)，數(shù)據(jù)是載荷或記錄信息且按一定規(guī)則排列組合的物理符號，信息是數(shù)據(jù)被賦予現(xiàn)實意義后在信息媒介上的映射，知識是對信息加工、吸收、提取、評價的結(jié)果;智能是被目的所激活的知識[49]。“信息鏈”即“認知鏈”?！皵?shù)據(jù)”（data）在拉丁文中是“已知”的意思，也可以理解為“事實”（Fact）[50]。當前人類對“事實”的認識越來越依靠數(shù)據(jù)，數(shù)據(jù)被認為是荷載“事實”的最小單位。雖然數(shù)據(jù)、信息、知識、情報均不能夠等同于事實，但都是事實的局部反映，與最接近事實的數(shù)據(jù)相比，信息、知識、情報有不同程度的主觀性，數(shù)據(jù)是原始素材，信息是加工處理后有邏輯的數(shù)據(jù)，知識是經(jīng)過組織的信息，情報是知識的應(yīng)用，形成如圖2所呈現(xiàn)的“信息鏈”中的5個層次，在這條“鏈”上每上一層，都是對下一層的提煉、加工、組織或運用的結(jié)果，而越接近底層的事實，則其客觀性越大而主觀性越小，故直接源于數(shù)據(jù)的“還原”比源于信息的“還原”更加精確?？梢?，數(shù)據(jù)天然具有還原事實的能力，那么匯集起來的海量數(shù)據(jù)中的“事實密度”越高，其還原事實的可能性就會越大。

隨著我國各地各級政府上線越來越多的開放平臺面向社會提供具備原始性、可機器讀取、可供社會化再利用的數(shù)據(jù)集，將會有很多數(shù)據(jù)分析的應(yīng)用被開發(fā)出來，使我國加速實現(xiàn)精準管理和現(xiàn)代化治理。但技術(shù)應(yīng)用猶如雙刃劍，既能用于行善，也有可能為非法分子用來作惡。海量政府數(shù)據(jù)的開放必將帶來海量數(shù)據(jù)的聚集，隨著我國政府數(shù)據(jù)開放的范圍日益擴大，開放的數(shù)量越來越多，被非法分子進行數(shù)據(jù)挖掘和關(guān)聯(lián)分析，從而威脅個人隱私、商業(yè)秘密和國家秘密的隱性安全風(fēng)險，不可不防。

4 我國政府數(shù)據(jù)開放安全風(fēng)險的防范對策

政府數(shù)據(jù)開放的安全風(fēng)險防范，需要技術(shù)、管理和法律聯(lián)動，政府部門除了通過選擇有實力的合作公司構(gòu)筑數(shù)據(jù)安全技術(shù)防護體系之外，要重點采取管理措施和制度建設(shè)，來防御數(shù)據(jù)開放的安全風(fēng)險。我國各地政府應(yīng)強化數(shù)據(jù)分級分類管理，以主動開放數(shù)據(jù)為原則、以申請開放數(shù)據(jù)為補充，加強數(shù)據(jù)安全標準規(guī)范建設(shè)，建立數(shù)據(jù)安全評估與反饋調(diào)整機制，從而有效防范我國政府數(shù)據(jù)開放中的安全風(fēng)險。

4.1 強化政府數(shù)據(jù)開放的安全管理措施

1）制定并落實政府數(shù)據(jù)分級分類規(guī)則。對數(shù)據(jù)分類分級并匹配相應(yīng)的開放方式和安全等級，是一種極其重要的安全策略。各地政府數(shù)據(jù)管理部門應(yīng)當結(jié)合數(shù)據(jù)安全要求、個人信息保護要求和應(yīng)用要求等因素，制定數(shù)據(jù)分級分類規(guī)則。具體提供數(shù)據(jù)的機構(gòu)則可按照分級分類規(guī)則，制定相應(yīng)的實施細則。《上海市公共數(shù)據(jù)開放暫行辦法》在國內(nèi)首次提出分級分類開放模式，其將公共數(shù)據(jù)分為非開放、有條件開放和無條件開放3類，第一類是指涉及商業(yè)秘密、個人隱私或法律法規(guī)規(guī)定不得開放的公共數(shù)據(jù);第二類則是對數(shù)據(jù)安全和處理能力要求較高、時效性較強或者需要持續(xù)獲取的公共數(shù)據(jù);其他公共數(shù)據(jù)列入無條件開放類。為了更具操作性，上海市還制定了《公共數(shù)據(jù)開放分級分類指南（試行）》。貴州省曾在2016年出臺《政府數(shù)據(jù) 數(shù)據(jù)分類分級指南》（DB52/T 1123-2016），2020年10月頒布的《貴州省政府數(shù)據(jù)共享開放條例》在第二十一條明確了對政府數(shù)據(jù)進行分類管理，并將政府數(shù)據(jù)按照開放屬性分為無條件開放、有條件開放和不予開放3種類型。這些先行地區(qū)的做法值得全國各地政府借鑒。政府數(shù)據(jù)分級分類規(guī)則要落到實處，需要各地政府部門設(shè)立數(shù)據(jù)分級分類部門并招募相關(guān)人員，明確數(shù)據(jù)分級分類安全原則，制定數(shù)據(jù)分級分類操作指南，建立數(shù)據(jù)分級分類審批機制、對各級各類數(shù)據(jù)進行標識和管理、對識別到的敏感數(shù)據(jù)進行脫敏處理等。如此則能有效避免將不該開放的政府數(shù)據(jù)予以開放的安全風(fēng)險。

2）以主動開放數(shù)據(jù)為原則，以依申請開放數(shù)據(jù)為補充。政府數(shù)據(jù)開放并不是開放程度越高越好，而是應(yīng)該按需開放，尤其要處理好開放與安全的矛盾。政府數(shù)據(jù)開放和政府信息公開在對公眾需求的滿足上，可以采取相同的方式，即以主動開放數(shù)據(jù)為原則，以依申請開放數(shù)據(jù)為補充，允許公眾在認為應(yīng)開放而未開放時申請開放。如《貴州省政府數(shù)據(jù)共享開放條例》規(guī)定，公民、法人或者其他組織需要使用有條件開放的政府數(shù)據(jù)的，應(yīng)當通過政府數(shù)據(jù)開放平臺向數(shù)據(jù)提供部門提出申請。政府數(shù)據(jù)提供部門收到數(shù)據(jù)開放申請時，能夠立即答復(fù)的，應(yīng)當立即答復(fù);申請人申請開放政府數(shù)據(jù)的數(shù)量、頻次明顯超過合理范圍的，數(shù)據(jù)提供部門可以要求申請人說明理由。數(shù)據(jù)提供部門認為理由不合理的，告知申請人不予處理;數(shù)據(jù)提供部門認為理由合理的，應(yīng)當及時向申請人開放?！顿F州省政府數(shù)據(jù)共享開放條例》的這個規(guī)定值得我國更多的地區(qū)借鑒，也可在我國進行政府數(shù)據(jù)開放專門立法時予以吸納。

3）建立數(shù)據(jù)刪除與數(shù)據(jù)撤回機制。一方面，應(yīng)及時刪除用戶在開放平臺留下的備份數(shù)據(jù)和運行數(shù)據(jù)，因為開放平臺的數(shù)據(jù)獲取以文件共享和API接口調(diào)用兩種方式為主，這存在著數(shù)據(jù)殘留風(fēng)險;當用戶退出平臺時，應(yīng)完全刪除備份數(shù)據(jù)和運行過程中產(chǎn)生的用戶數(shù)據(jù)，但目前缺乏有效的機制、標準或工具來檢驗是否實施了這一操作;另一方面，應(yīng)根據(jù)安全風(fēng)險監(jiān)測和評估結(jié)果，或相對人的申請，對有潛在安全風(fēng)險的數(shù)據(jù)及時刪除。

4.2 設(shè)置專門的數(shù)據(jù)監(jiān)管部門且配備專業(yè)的數(shù)據(jù)保護官

政府數(shù)據(jù)開放全生命周期中的安全風(fēng)險的多發(fā)性和數(shù)據(jù)監(jiān)管的復(fù)雜性，事實上對負責(zé)數(shù)據(jù)開放的政府部門的專業(yè)性和知識性都提出了挑戰(zhàn)，亟待建立專門的數(shù)據(jù)監(jiān)管機構(gòu)，并配置專業(yè)的數(shù)據(jù)保護官。在我國地方政府目前開放數(shù)據(jù)面臨的首要障礙是缺乏專門的具有專業(yè)能力的監(jiān)管機構(gòu)，要改變我國當前九龍治水的行政監(jiān)管格局，可以通過立法將近兩年陸續(xù)成立的政府數(shù)據(jù)服務(wù)局定位為專門的數(shù)據(jù)監(jiān)管機構(gòu)，明確其法律地位與職責(zé)，配置相應(yīng)的數(shù)據(jù)監(jiān)管權(quán)，規(guī)定數(shù)據(jù)監(jiān)管人員的任職資格條件，以確保監(jiān)管者的專業(yè)能力，規(guī)范行政監(jiān)管行為。通過立法或政策支持高校相關(guān)學(xué)科和專業(yè)建設(shè)，加快培育專業(yè)化的數(shù)據(jù)保護官，打造能勝任政府數(shù)據(jù)開放共享業(yè)務(wù)需求的專業(yè)隊伍。

4.3 構(gòu)建我國政府數(shù)據(jù)開放共享的標準規(guī)范體系

按照需求導(dǎo)向這一基本原則，我國需緊緊圍繞政府數(shù)據(jù)開放的全生命周期，構(gòu)建符合我國國情的政府數(shù)據(jù)開放標準規(guī)范體系。由于缺乏統(tǒng)一的標準和接口，目前部分政府開放平臺上的數(shù)據(jù)難以相互遷移，這不僅影響政府數(shù)據(jù)的開放和共享，也增加了數(shù)據(jù)安全隱患。貫穿我國政府數(shù)據(jù)開放共享全流程的政府數(shù)據(jù)開放共享標準體系，至少應(yīng)包括數(shù)據(jù)創(chuàng)建與匯交標準、數(shù)據(jù)選擇與處理標準、數(shù)據(jù)描述與組織標準、數(shù)據(jù)關(guān)聯(lián)與發(fā)布標準、數(shù)據(jù)發(fā)現(xiàn)與利用標準和數(shù)據(jù)管理與評估標準等。研制這些標準應(yīng)廣泛吸納國內(nèi)外實踐成果，一方面要重視采納相關(guān)國際標準，如國際標準《信息技術(shù)安全技術(shù) 隱私影響評估指南》（ISO/IEC 29134：2017）對我國政府開放數(shù)據(jù)安全風(fēng)險評估標準的研制非常重要。另一方面要充分總結(jié)和采納國內(nèi)相關(guān)標準構(gòu)建思路和具體內(nèi)容，譬如，可參考我國大數(shù)據(jù)標準體系的構(gòu)建思路，注重與大數(shù)據(jù)標準化工作的協(xié)調(diào);標準規(guī)范的具體內(nèi)容可吸收已經(jīng)發(fā)布并在實施中的地方標準的內(nèi)容，如我國政府數(shù)據(jù)開放共享平臺接入標準、數(shù)據(jù)脫敏標準的制定可吸收上海市地方標準《公共數(shù)據(jù)共享交換工作規(guī)范第2部分：平臺接入技術(shù)要求》和山東省地方標準《公共數(shù)據(jù)開放第2部分：數(shù)據(jù)脫敏指南》的相關(guān)內(nèi)容[51]。

此外，比起制定標準規(guī)范更值得重視的，是標準規(guī)范的實施。我們一方面要推動政府數(shù)據(jù)開放標準規(guī)范的盡快出臺;另一方面要在標準規(guī)范出臺后積極推動上線的政府數(shù)據(jù)開放平臺提供標準化和規(guī)范化的數(shù)據(jù)開放共享。

4.4 建立政府數(shù)據(jù)開放全生命周期的安全評估與反饋調(diào)整機制 ?由上文分析可知，數(shù)據(jù)安全風(fēng)險貫穿政府數(shù)據(jù)開放的全過程，因此有必要對政府數(shù)據(jù)開放全生命周期的安全風(fēng)險進行實時監(jiān)測和評估，對潛在的安全風(fēng)險能提前發(fā)現(xiàn)，做好預(yù)案，實現(xiàn)精準防控。我國于2020年3月起正式實施的國家標準《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（Data Security Maturity Model，簡稱DSMM）（GB/T 37988-2019），將數(shù)據(jù)按照生命周期分階段采用不同的能力評估等級，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個階段。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個安全能力維度的建設(shè)進行綜合考量。這個標準有必要在各地政府數(shù)據(jù)開放平臺檢索于運行過程中予以實施。通過數(shù)據(jù)安全能力評估可以預(yù)知具體的政府部門及其合作方的安全保障情況，持續(xù)的常態(tài)化的評估，可以有效地預(yù)警安全風(fēng)險，通過及時反饋給開放數(shù)據(jù)的政府部門及其合作方，可以爭取盡快調(diào)整，避免數(shù)據(jù)安全風(fēng)險的發(fā)生。

5 結(jié) 語

我國政府數(shù)據(jù)開放正乘著數(shù)字經(jīng)濟的東風(fēng)步入高速發(fā)展的軌道，但若不能正確處理好經(jīng)濟發(fā)展和數(shù)據(jù)安全的關(guān)系，則我們對數(shù)字紅利的美好憧憬將難以成真。不同類型的數(shù)據(jù)安全風(fēng)險的成因各有不同，且各類數(shù)據(jù)安全風(fēng)險在動態(tài)變化，故要有針對性地采取有效防范對策，但這是一個十分復(fù)雜的、富有挑戰(zhàn)性的任務(wù)，還有待更多人關(guān)注，進行更深入的探討。

參考文獻

[1]復(fù)旦大學(xué)數(shù)字與移動治理實驗室.中國地方政府數(shù)據(jù)開放報告（2020年下半年）[EB/OL].http：//ifopendata.fudan.edu.cn/report，2020-12-12.

[2]楊孟輝.開放政府數(shù)據(jù)：概念、實踐和評價[M].北京：清華大學(xué)出版社.2017：1.

[3]薛智勝，艾意.政府數(shù)據(jù)開放的概念及其范圍界定[J].財經(jīng)法學(xué)，2019，（6）：13-23.

[4]楊祺鈺，陳朝兵.談?wù)當?shù)據(jù)開放與政府信息公開的概念界定及其比較[J].系統(tǒng)工程，2019，（7）：32.

[5]鄭磊.開放不等于公開、共享和交易：政府數(shù)據(jù)開放與相近概念的界定與辨析[J].南京社會科學(xué)，2018，（9）：83-91.

[6]肖衛(wèi)兵.論我國政府數(shù)據(jù)開放的立法模式[J].當代法學(xué)，2017，31（3）：42-49.

[7]陳曉勤.政府數(shù)據(jù)開放：實踐挑戰(zhàn)與法律框架建構(gòu)[J].附件行政學(xué)院學(xué)報，2019，（6）：80-87.

[8]趙潤娣.美國開放政府數(shù)據(jù)范圍研究[J].中國行政管理，2018，（3）：33-37.

[9]胡逸芳，林焱.加拿大政府數(shù)據(jù)開放政策法規(guī)保障及對中國的啟示[J].電子政務(wù)，2017，（5）：2-10.

[10]王萬華.開放政府與修改《政府信息公開條例》的內(nèi)容定位[J].北方法學(xué)，2016，10（6）：16-27.

[11]陳尚龍.大數(shù)據(jù)時代政府數(shù)據(jù)開放的立法研究[J].地方立法研究，2016，10（6）：16-27.

[12]高富平.數(shù)據(jù)經(jīng)濟的制度基礎(chǔ)—數(shù)據(jù)全面開放利用模式的構(gòu)想[J].廣東社會科學(xué)，2019，（5）：5-16，254.

[13]Meijer R，Conradie P，Choenni S.Reconciling Contradictions of Open Data Regarding Transparency，Privacy，Security and Trust[J].Journal of Theoretical and Applied Electronic Commerce Research，2014，9（3）：32-44.

[14]Zuiderwijk A，Janssen M，Choenni S.Design Principles for Improving the Process of Publishing Open Data[J].Transforming Government：People，Process and Policy，2014，8（2）：185-204.

[15]趙需要，彭靖.政府數(shù)據(jù)開放中個人隱私的泄露風(fēng)險與保護[J].信息安全研究，2016，（9）：792-801.

[16]陳朝兵，郝文強.美英澳政府數(shù)據(jù)開放隱私保護政策法規(guī)的考察與借鑒[J].情報理論與實踐，2019，（6）：159-165.

[17]杜荷花.我國政府數(shù)據(jù)開放平臺隱私保護評價體系構(gòu)建研究[J].情報雜志，2020，39（4）：172-179.

[18]郝文強.政府數(shù)據(jù)開放隱私風(fēng)險識別機制研究[J].電子政務(wù)，2021，（3）：103-111.

[19]Kucera J，Chlapek D.Benefits and Risks of Open Government Data[J].Journal of Systems Integration，2014，（1）：30-41.

[20]Conradie P，Choenni S.On the Barriers for Local Government Releasing Open Data[J].Government Information Quarterly，2014，31：10-17.

[21]趙龍文，孫倩倩.政府數(shù)據(jù)開放中的商業(yè)秘密保護與利益協(xié)調(diào)[J].圖書館學(xué)研究，2019，（4）：53-60，75.

[22]Shao D D，Saxena S.Barriers to Open Government Data（OGD）Initiative in Tanzania：Stakeholders Perspective[J].Growth and Change，2019，29：470-485.

[23]苗地.黑龍江省政府數(shù)據(jù)開放存在的問題與對策研究[J].商業(yè)經(jīng)濟，2018，（11）：6-7，104.

[24]張珺.中國地方政府數(shù)據(jù)開放規(guī)則的問題與改進[J].大連海事大學(xué)學(xué)報：社會科學(xué)版，2020，19（1）：25-31.

[25]才世杰，夏義堃.試論政府數(shù)據(jù)開放的風(fēng)險識別與防范[J].圖書與情報，2017，（4）：104-112，121.

[26]鄒東升.政府開放數(shù)據(jù)和個人隱私保護：加拿大的例證[J].中國行政管理，2018，（6）：75-82.

[27]莊國波，韓惠.5G時代政府數(shù)據(jù)開放共享的安全風(fēng)險及防范[J].理論探討，2020，（5）：48-54.

[28]Kent Cooper.Truthful News，a Basis for Peace[J].New York Times，January 22，1945.

[29]Harold C，Relyea.Freedom of Information and the Right to Know：The Origins and Applications of the Freedom of Information Act[J].Journal of Academic Librarianship，2001.

[30]宋爍.政府數(shù)據(jù)開放宜采取不同于信息公開的立法進路[J].法學(xué)，2021，（1）：34-39.

[31]王萬華.論政府數(shù)據(jù)開放與政府信息公開的關(guān)系[J].財經(jīng)法學(xué)，2020，（1）：13-24.

[32]鄭磊.開放政府數(shù)據(jù)的價值創(chuàng)造機理：生態(tài)系統(tǒng)的視角[J].電子政務(wù)，2015，（7）：2-7.

[33]王萬華.論政府數(shù)據(jù)開放與政府信息公開的關(guān)系[J].財經(jīng)法學(xué)，2020，（1）：13-24.

[34]奇安信行業(yè)安全研究中心.中國政企機構(gòu)數(shù)據(jù)安全風(fēng)險研究報告[EB/OL].https：//www.qianxin.com/threat/reportdetail？report_id=111，2021-02-12.

[35]MailData.網(wǎng)絡(luò)防御不可松：2019又出7種新型網(wǎng)絡(luò)釣魚攻擊[EB/OL].https：//www.sohu.com/a/326939824_100155237，2021-03-12.

[36]國家信息中心，瑞星公司.2020年中國網(wǎng)絡(luò)安全報告[EB/OL].http：//it.rising.com.cn/d/file/it/dongtai/20210113/2020.pdf，2021-03-12.

[37]大東BE.萬物皆可變無線信號Wi-Fi？[EB/OL].http：//www.lecfans.com/d/1425967.html，2021-03-12.

[38]360威脅情報中心.2018政企機構(gòu)數(shù)據(jù)泄露形勢分析報告[EB/OL].http：//zt.#/1101061855.php？dtid=11010625 14&did=610071644，2020-12-12.

[39]復(fù)旦大學(xué)數(shù)字與移動治理實驗室.中國地方政府數(shù)據(jù)開放報告（2020年）[EB/OL].http：//ifopendata.fudan.edu.cn/report，2020-12-25.

[40]（美）艾伯特-拉斯洛·巴拉巴西.爆發(fā)：大數(shù)據(jù)時代預(yù)見未來的新思維[M].馬慧，譯.北京：北京聯(lián)合出版公司，2017：310.

[41]肖冬梅，文禹衡.數(shù)據(jù)權(quán)譜系論綱[J].湘潭大學(xué)學(xué)報：哲學(xué)社會科學(xué)版，2015，39（6）：69-75.

[42]Verizon.2019年數(shù)據(jù)泄露調(diào)查報告[EB/OL].http：//www.100ec.cn/detail--6520824.html，2021-03-12.

[43]Verizon.2018 the Online Verizon Data Breach Investigations Report[EB/OL].https：//enterprise.verizon.com/resources/reports/dbir/2020/introduction/，2021-03-12.

[44]黃莉玲，李玲.全國政協(xié)委員談劍鋒：數(shù)據(jù)黑產(chǎn)猖獗、互聯(lián)網(wǎng)寡頭數(shù)據(jù)壟斷引擔(dān)憂白皮書[EB/OL].南方都市報，https：//www.sohu.com/a/397378768_161795？spm=smpc.content.fd-d.14.1590318538604JWixIKF，2020-12-12.

[45]IDC.《2025年中國將擁有全球最大的數(shù)據(jù)圈》白皮書[EB/OL].https：//www.asmag.com.cn/news/201902/97598.html，2020-12-12.

[46]莊國波，韓惠.5G時代政府數(shù)據(jù)開放共享的安全風(fēng)險及防范[J].理論探討，2020，（5）：48-54.

[47]復(fù)旦大學(xué)數(shù)字與移動治理實驗室.中國地方政府數(shù)據(jù)開放報告（2020年）[EB/OL].http：//ifopendata.fudan.edu.cn/report，2020-12-25.

[48]梁戰(zhàn)平.情報學(xué)若干問題辨析[J].情報理論與實踐，2003，（3）：193-198.

[49]馬費成，宋恩梅，張勤，IRM-KM范式與情報學(xué)發(fā)展研究[M].武漢：武漢大學(xué)出版社，2008：223

[50]（英）邁爾-舍恩伯格，庫克耶.大數(shù)據(jù)時代[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013：104

[51]黃如花.我國政府數(shù)據(jù)開放共享標準體系構(gòu)建[J].圖書與情報，2020，（3）：17-19.

（責(zé)任編輯：陳 媛）