任維赫 中國信息通信研究院政策與經(jīng)濟研究所工程師

1 引言

公共信息資源開放對推動信息經(jīng)濟發(fā)展和提升政府治理水平具有重要促進作用，也對公共信息資源開放部門和開放平臺的網(wǎng)絡(luò)信息安全保障能力提出了較高要求。根據(jù)《公共信息資源開放試點工作方案》（簡稱《方案》）要求，要以數(shù)據(jù)安全為前提，加強風(fēng)險評估和綜合研判，同步安排制度建設(shè)和技術(shù)手段，同步跟進安全審查和監(jiān)督檢查，維護國家安全、商業(yè)秘密和個人合法權(quán)益。

2 我國公共信息資源開放安全保障現(xiàn)狀

近年來，我國先行地區(qū)在公共信息資源開放的過程中落實國家安全保障要求，依托制度建設(shè)開展安全保障探索，維護數(shù)據(jù)開放平臺穩(wěn)定運行?！毒W(wǎng)絡(luò)安全法》的施行，進一步為公共信息資源開放安全保障提供了指引。

（1）國家政策法規(guī)總體要求

國家政策法規(guī)對公共信息資源開放部門和平臺做出了相應(yīng)要求。一方面，要求各部門明確數(shù)據(jù)開放范圍，守住安全底線?！侗Ｃ芊ā访鞔_了保密原則與范圍，要求切實維護國家安全和利益?！斗桨浮芬?guī)定凡是不涉及國家秘密、商業(yè)秘密和個人隱私以及法律法規(guī)規(guī)定不得開放的公共信息資源都應(yīng)逐步納入開放范圍。要建立健全公共信息資源開放安全管理制度和保密審查制度，加強動態(tài)管理，落實各項安全保護措施。另一方面，要求數(shù)據(jù)開放平臺保障數(shù)據(jù)和來訪用戶的信息安全?！毒W(wǎng)絡(luò)安全法》第四章“網(wǎng)絡(luò)信息安全”規(guī)定，網(wǎng)絡(luò)運營者應(yīng)當(dāng)對其收集的用戶信息嚴格保密，并健全用戶信息保護制度，網(wǎng)絡(luò)運營者還應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。《方案》進一步要求網(wǎng)絡(luò)安全技術(shù)措施要與公共信息資源開放平臺同步規(guī)劃、同步建設(shè)、同步運行。

（2）先行地區(qū)安全保障現(xiàn)狀

一方面，開放部門明確數(shù)據(jù)開放范圍。北京市提出在數(shù)據(jù)開發(fā)利用環(huán)節(jié)建立公共信息資源開發(fā)利用分級認證制度，有效規(guī)范應(yīng)用管理；貴州省2016年出臺《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進條例》，明確要求數(shù)據(jù)共享開放應(yīng)當(dāng)維護國家安全和社會公共安全，保守國家秘密、商業(yè)秘密，保護個人隱私，保護數(shù)據(jù)權(quán)益人的合法權(quán)益；深圳市提出加快數(shù)據(jù)安全保護立法，為開放政府?dāng)?shù)據(jù)、數(shù)據(jù)保護提供法制保障。另一方面，開放平臺保障用戶數(shù)據(jù)安全。北京市開放政府?dāng)?shù)據(jù)網(wǎng)站聲明尊重并保護所有網(wǎng)站用戶的個人隱私權(quán)，承諾未經(jīng)用戶許可或根據(jù)相關(guān)法律、法規(guī)的強制性規(guī)定，不會將用戶個人信息透露給任意第三方；上海市開放政府?dāng)?shù)據(jù)網(wǎng)站則保證除基于為用戶提供有效答復(fù)外，不向任何無關(guān)第三方提供、出售、出租、分享和交易個人信息。同時，網(wǎng)站堅持最小化采集用戶信息，北京市開放政府?dāng)?shù)據(jù)網(wǎng)站中用戶無需注冊即可在線檢索、瀏覽數(shù)據(jù)資源，只有在用戶需要下載數(shù)據(jù)資源時，才需要用戶進行實名注冊；上海市僅針對特定功能收集個人信息，包括通過網(wǎng)站發(fā)布提供數(shù)據(jù)應(yīng)用服務(wù)，在線提交、發(fā)送電子郵件等方式提出建議或意見。

3 國外公共信息資源開放安全保障經(jīng)驗

國際上開放政府?dāng)?shù)據(jù)先行國家高度重視安全問題，積極推動開放政府?dāng)?shù)據(jù)安全的法律體系建設(shè)，加強政策施行和技術(shù)防范，從多維度加強安全保障。

（1）建立制度加強數(shù)據(jù)開放安全保障

世界各國重視開放與安全的平衡。如美國《透明和開放政府備忘錄》中指出要注重開放和保密之間的平衡，英國《開放數(shù)據(jù)白皮書：釋放潛能》首次明確數(shù)據(jù)權(quán)，強調(diào)開放數(shù)據(jù)和隱私保護之間的平衡。各國采取多種手段加強安全保障。一方面，強化立法。美國《信息自由法》、《電子信息自由法令》、《隱私法》等強調(diào)數(shù)據(jù)的開放必須與國家安全、法律執(zhí)行、個人隱私保護等方面達成平衡。歐盟委員會2016年通過了《一般數(shù)據(jù)保護條例》，賦予用戶遺忘權(quán)與數(shù)據(jù)可攜權(quán)，并引入數(shù)據(jù)泄露通知制度，加大個人數(shù)據(jù)泄露處罰責(zé)任。加拿大《隱私法》明確規(guī)定限制個人信息的收集、利用與泄露，為加拿大公民提供了瀏覽與修改由政府所保管的公民個人信息的權(quán)利。新加坡國會《個人信息保護法令》明確個人信息保護的各項權(quán)利，包括獲得權(quán)和修改權(quán)，規(guī)范了個人信息在機構(gòu)間的流動秩序。另一方面，加強審查。如英國承諾在開放政府?dāng)?shù)據(jù)時，將嚴格遵守1998年《數(shù)據(jù)保護法案》所確定的“公平合法”、“保留”、“安全”等原則，進行開放前審查。

（2）采取技術(shù)手段加強網(wǎng)站運行安全

先行國家重視通過技術(shù)手段增強網(wǎng)站防攻擊能力，保護網(wǎng)站和數(shù)據(jù)安全。如美國采用商用軟件程序監(jiān)視網(wǎng)絡(luò)流量，用于識別未經(jīng)授權(quán)的信息上傳、更改，及其他可能損害網(wǎng)站的行為，并對未經(jīng)授權(quán)上傳信息和更改網(wǎng)站信息行為按《計算機欺詐和濫用法案》及《國家信息基礎(chǔ)設(shè)施保護法案》中的有關(guān)罪名處置。英國以嚴格的安全標(biāo)準(zhǔn)和領(lǐng)先的技術(shù)與加密軟件來保護數(shù)據(jù)安全，防止任何未經(jīng)授權(quán)的訪問。新加坡在電子儲存、個人數(shù)據(jù)傳送等環(huán)節(jié)加載安全功能輔助管理。與此同時，網(wǎng)站減少個人隱私留存，避免一旦出現(xiàn)安全問題泄露個人隱私。如美國開放政府?dāng)?shù)據(jù)網(wǎng)站不對用戶進行強制登記，不收集用戶訪問日志。僅針對特定功能預(yù)留郵箱驗證身份，如加入data.gov社區(qū)、評論博客文章或數(shù)據(jù)集、建議開放數(shù)據(jù)集等。

4 試點地區(qū)落實《方案》安全保障要求的著力點

根據(jù)《方案》中對安全保障的相關(guān)要求，試點地區(qū)應(yīng)認真統(tǒng)籌好開放與安全的關(guān)系，需要將安全保障與開放平臺建設(shè)同步規(guī)劃、同步建設(shè)、同步安排、同步跟進、同步運行。建議從4方面著手，全面提升公共信息資源開放安全保障能力與水平。

（1）增強開放政府?dāng)?shù)據(jù)平臺防護能力

落實相關(guān)法律法規(guī)要求，采用安全可靠產(chǎn)品和服務(wù)，增強對篡改、泄露、攻擊行為的防御措施。健全數(shù)據(jù)開放平臺安全防護體系，采用物理、電子、程序等多種舉措識別危害行為，保障開放政府?dāng)?shù)據(jù)網(wǎng)站安全。完善開放網(wǎng)站管理措施，定期開展自查、互查與督查，全面提升網(wǎng)站安全運營維護水平。

（2）完善信息安全管理措施

強化風(fēng)險評估，加強信息關(guān)聯(lián)分析，完善開放審批、應(yīng)急撤回、問責(zé)追責(zé)機制，保護國家安全、商業(yè)秘密、維護個人合法權(quán)益。對用戶信息收集分情況討論，既要對使用基礎(chǔ)功能的用戶免去繁瑣的信息登記和收集，定期銷毀搜集、記錄的原始用戶數(shù)據(jù)；又要加強對大規(guī)模利用開放數(shù)據(jù)用戶的登記、預(yù)留郵箱等個人信息驗證，防止竊密、破壞活動。

（3）提升數(shù)據(jù)利用安全的管理水平

任命網(wǎng)絡(luò)安全官或數(shù)據(jù)安全官，加強對數(shù)據(jù)采集、存儲、處理、使用等各環(huán)節(jié)安全管理。明確責(zé)任邊界，對濫用數(shù)據(jù)的企業(yè)和個人追究責(zé)任，對利用數(shù)據(jù)分析泄露國家秘密、商業(yè)秘密和個人隱私的企業(yè)或個人追究相應(yīng)的法律責(zé)任。

（4）加強對數(shù)據(jù)開放安全的政策支持

強化制度創(chuàng)新和法制建設(shè)，研究制定公共信息資源開放管理辦法及細則。加強試點示范和標(biāo)準(zhǔn)建設(shè)，積極探索創(chuàng)新。綜合利用現(xiàn)有資金渠道，落實公共信息資源開放安全保障所涉及的資金，嚴格相關(guān)項目驗收。加強人才培養(yǎng)與安全知識培訓(xùn)，全面提高公共信息資源開放人員隊伍素質(zhì)。