肖冬梅 蘇瑩

摘 要：[目的/意義]為探究我國政府?dāng)?shù)據(jù)開放中的安全風(fēng)險(xiǎn)，本文對我國已上線的172個(gè)地方政府?dāng)?shù)據(jù)開放平臺的安全風(fēng)險(xiǎn)及其成因進(jìn)行分析。[方法/過程]對政府?dāng)?shù)據(jù)開放平臺的安全風(fēng)險(xiǎn)類型及相關(guān)典型事件進(jìn)行剖析，探究安全風(fēng)險(xiǎn)致因，尋求風(fēng)險(xiǎn)防范對策。[結(jié)果/結(jié)論]研究發(fā)現(xiàn)，隨著各級政府探索從“政府信息公開”走向“政府?dāng)?shù)據(jù)開放”，顯性安全風(fēng)險(xiǎn)與隱性安全風(fēng)險(xiǎn)都接踵而至。境內(nèi)外敵對勢力的攻擊、數(shù)據(jù)黑色產(chǎn)業(yè)鏈的發(fā)展和數(shù)據(jù)集爆發(fā)式增長加劇了政府?dāng)?shù)據(jù)開放的外部風(fēng)險(xiǎn)，而與外部人員勾結(jié)的內(nèi)鬼有意為之、內(nèi)部參與者或疏忽大意或能力不足所致的誤操作及不作為，都是內(nèi)部風(fēng)險(xiǎn)產(chǎn)生的緣由。強(qiáng)化數(shù)據(jù)分級分類管理、以申請開放為補(bǔ)充、加強(qiáng)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范建設(shè)、建立數(shù)據(jù)安全評估與反饋調(diào)整機(jī)制，能有效防范我國政府?dāng)?shù)據(jù)開放中的安全風(fēng)險(xiǎn)。

關(guān)鍵詞：政府?dāng)?shù)據(jù)開放;安全風(fēng)險(xiǎn);防范對策

DOI：10.3969/j.issn.1008-0821.2022.06.011

〔中圖分類號〕G201 〔文獻(xiàn)標(biāo)識碼〕A 〔文章編號〕1008-0821（2022）06-0112-09

Abstract：[Purpose/Significance]In order to clarify the security risks in Chinas government data openness，this article analyzes the security risks and causes of the risks of 172 local government data open platforms that have been launched in China.[Methods/Processes]Analyze the types of security risks and related typical events of the government data open platform，explore the causes of security risks，and explore risk prevention countermeasures.[Results/Conclusions]The study found that as governments at all levels explored from“open government information”to“open government data”，both explicit security risks and implicit security risks followed.Various factors have exacerbated the external risks of government data openness，including attacks by hostile forces at home and abroad，the development of the dark data industry chains，and the explosive growth of data sets.Meanwhile，internal risks are caused by the deliberate actions of mole people colluding with external personnel，and misoperations and inactions caused by the negligence or inadequacy of internal participants.To effectively prevent the security risks in Chinas government data openness，following measures should be taken，including strengthening the management of data classification and classification，providing supplementary measures to allow the public to have access to data opening，strengthening the construction of data security standards，and establishing a data security assessment and feedback adjustment mechanism.

Key words：government data openness;security risk;preventive measures

推進(jìn)數(shù)字政府建設(shè)是黨和國家制定的重要戰(zhàn)略，黨的十九屆四中全會明確要求“推進(jìn)數(shù)字政府建設(shè)，加強(qiáng)數(shù)據(jù)有序共享”。數(shù)字政府建設(shè)是當(dāng)前推動(dòng)政府治理體系和治理能力現(xiàn)代化的著力點(diǎn)和突破口，而近年來政府?dāng)?shù)據(jù)開放平臺日漸成為數(shù)字政府建設(shè)的標(biāo)配。我國自2012年上海市推出第一個(gè)政府?dāng)?shù)據(jù)開放平臺起，迄今已上線172個(gè)地方政府?dāng)?shù)據(jù)開放平臺，其中省級平臺21個(gè)，副省級和地級平臺151個(gè)，至此，我國大陸地區(qū)66%的省級行政區(qū)、73%的副省級和35%的地級行政區(qū)已推出了政府?dāng)?shù)據(jù)開放平臺[1]。

與政府?dāng)?shù)據(jù)開放蓬勃興起的實(shí)踐同步，學(xué)界近年來也頗關(guān)注政府?dāng)?shù)據(jù)開放問題，楊孟輝[2]、薛智勝等[3]和楊鈺祺等[4]對政府?dāng)?shù)據(jù)開放的內(nèi)涵進(jìn)行了界定，鄭磊[5]則對國內(nèi)外有關(guān)政府?dāng)?shù)據(jù)開放的定義進(jìn)行了梳理，肖衛(wèi)兵[6]、陳曉勤[7]對政府?dāng)?shù)據(jù)開放的主體和客體進(jìn)行了研究，趙潤娣[8]和胡逸芳等[9]調(diào)研了美國和加拿大的政府?dāng)?shù)據(jù)開放范圍，王萬華[10]、陳尚龍[11]和高富平[12]則對政府信息公開和政府?dāng)?shù)據(jù)開放進(jìn)行了比較研究。

業(yè)界和學(xué)界在政府?dāng)?shù)據(jù)開放的必要性、可行性等問題上，事實(shí)上已經(jīng)達(dá)成頗多共識，政府?dāng)?shù)據(jù)開放被認(rèn)為是加強(qiáng)建設(shè)透明政府和服務(wù)型政府，讓數(shù)字紅利普惠大眾的重要舉措，也是釋放數(shù)據(jù)能量、促進(jìn)數(shù)字經(jīng)濟(jì)快速發(fā)展的基礎(chǔ)和關(guān)鍵。但政府?dāng)?shù)據(jù)開放在推進(jìn)國家治理體系和治理能力現(xiàn)代化的同時(shí)，也不可避免地帶來了數(shù)據(jù)泄漏、數(shù)據(jù)篡改、數(shù)據(jù)破壞等顯性安全風(fēng)險(xiǎn)與被數(shù)據(jù)畫像的隱性安全風(fēng)險(xiǎn)。中外學(xué)者如Meijer R等[13]、Zuiderwijk A等[14]、趙需要等[15]、陳朝兵等[16]、杜荷花[17]和郝文強(qiáng)[18]先后對政府?dāng)?shù)據(jù)開放中的隱私風(fēng)險(xiǎn)進(jìn)行了研究。Kucera J等[19]、 Conradie P等[20]、趙龍文等[21]則關(guān)注到政府?dāng)?shù)據(jù)開放對知識產(chǎn)權(quán)尤其是商業(yè)秘密安全的影響。Shao D D等[22]、苗地[23]和張珺[24]對政府?dāng)?shù)據(jù)開放風(fēng)險(xiǎn)的制度根源進(jìn)行了探究，才是杰等[25]、鄒東升[26]和莊國波等[27]則考察了政府?dāng)?shù)據(jù)開放風(fēng)險(xiǎn)生成的技術(shù)根源?，F(xiàn)有研究大都只關(guān)注傳統(tǒng)信息技術(shù)帶來的顯性安全風(fēng)險(xiǎn)，對隱性安全風(fēng)險(xiǎn)的研究還很不夠。隨著政府?dāng)?shù)據(jù)開放與數(shù)據(jù)安全之間的沖突日益加劇，對新一代信息技術(shù)帶來的顯性安全風(fēng)險(xiǎn)和隱性安全的研究亟需加強(qiáng)。

1 制度源起與演進(jìn)：從“政府信息公開”到“政府?dāng)?shù)據(jù)公開”

1.1 政府信息公開起源于美國并推廣到全球

興起于20世紀(jì)60年代的政府信息公開，迄今已有半個(gè)多世紀(jì)的歷史。美聯(lián)社編輯肯特·庫珀（Kent Cooper）在二戰(zhàn)末期首次提出知情權(quán)概念[28]。二戰(zhàn)之后知情權(quán)在美國迅速發(fā)展成為當(dāng)代公共文化的主流思潮。1966年，知情權(quán)被寫進(jìn)美國《信息自由法》，可以說這是現(xiàn)代意義上的政府信息公開立法的開端[29]。10年后，《陽光下的政府法》出臺，進(jìn)一步促進(jìn)了美國行政公開。隨后全球掀起保障知情權(quán)的信息公開立法浪潮，各主流國家陸續(xù)出臺了專門的信息公開立法，確立政府公開政府信息的法定義務(wù)[30]。我國于2007年4月公布《中華人民共和國政府信息公開條例》（以下簡稱《條例》），2008年5月1日起正式實(shí)施?！稐l例》從基本原則、公開的范圍、公開的方式和程序、監(jiān)督和保障等方面進(jìn)行明確的規(guī)定，是我國政府信息公開的基本法規(guī)。2019年4月3日修訂后的《條例》公布，自2019年5月15日起施行，但修訂后的《條例》并沒有政府?dāng)?shù)據(jù)開放的內(nèi)容。

1.2 政府?dāng)?shù)據(jù)開放基于政府信息公開得以推行

自20世紀(jì)60年代確立至21世紀(jì)初，開放政府理念影響漸深，這為大數(shù)據(jù)時(shí)代公眾獲取政府?dāng)?shù)據(jù)奠定了思想基礎(chǔ)。受益于政府信息公開所建構(gòu)的開放政府理念和對公眾知情權(quán)的制度確立，開放政府?dāng)?shù)據(jù)被視為數(shù)字政府建設(shè)的應(yīng)有之義[31]。事實(shí)上，中美政府?dāng)?shù)據(jù)開放都是以政府信息公開為依托，而逐步得以推行的。由于新技術(shù)環(huán)境下政府?dāng)?shù)據(jù)開放面臨的諸多風(fēng)險(xiǎn)，在政府?dāng)?shù)據(jù)開放的早期，包括美國、英國和中國在內(nèi)的各國政府基本采用了在政府信息公開制度框架內(nèi)以政策方式逐步推進(jìn)的路徑。以全球最早施行政府?dāng)?shù)據(jù)開放的美國為例，其2009年就發(fā)布《透明與開放政府備忘錄》，要求根據(jù)《信息自由法》制定《開放政府指令》。根據(jù)英國2012年修訂的《信息自由法》，如果申請合理可行，政府部門應(yīng)當(dāng)給申請者提供其擁有的數(shù)據(jù)集，同年英國政府還發(fā)布了《開放數(shù)據(jù)白皮書——釋放數(shù)據(jù)潛能》。2015年4月我國國務(wù)院辦公廳印發(fā)《政府信息公開工作要點(diǎn)》，提出要推進(jìn)政府?dāng)?shù)據(jù)公開，這一要求隨后在多個(gè)省市得到貫徹，同年9月國務(wù)院印發(fā)《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》（國發(fā)〔2015〕50號），對政府?dāng)?shù)據(jù)開放提出明確要求。迄今為止，全國總計(jì)有50余個(gè)省市兩級地方政府出臺了近80部政府?dāng)?shù)據(jù)開放相關(guān)法律規(guī)范。

1.3 政府?dāng)?shù)據(jù)開放拓展了開放政府的內(nèi)涵

政府信息公開是指政府機(jī)構(gòu)依照法定程序和形式，公開與社會成員利益相關(guān)的所有政府信息，并允許公眾通過查詢、閱覽、復(fù)制等方式加以利用的行為。政府信息公開的制度目標(biāo)是提升政府透明度、保障公民知情權(quán)、促進(jìn)民主監(jiān)督問責(zé)。而開放政府?dāng)?shù)據(jù)是指任何人都可以自由、免費(fèi)地訪問、獲取、利用和分享政府?dāng)?shù)據(jù)。政府?dāng)?shù)據(jù)開放，意味著數(shù)據(jù)置放于公共領(lǐng)域，且能以機(jī)器可讀的格式發(fā)布，以便任何人借助通用和免費(fèi)的軟件即可獲取和利用，不受密碼或防火墻等技術(shù)措施的限制[32]?？梢?，政府信息公開在一定意義上建構(gòu)了開放政府的理念和制度，新興的政府?dāng)?shù)據(jù)開放則拓展了開放政府的內(nèi)涵，并形成獨(dú)立于政府信息公開的開放平臺、運(yùn)行機(jī)制與制度體系[33]。

2 我國政府?dāng)?shù)據(jù)開放現(xiàn)狀與發(fā)展趨勢

2.1 各地政府?dāng)?shù)據(jù)開放平臺與海量數(shù)據(jù)快速上線

政府?dāng)?shù)據(jù)開放是大數(shù)據(jù)時(shí)代的產(chǎn)物。數(shù)據(jù)作為人類社會的第五大生產(chǎn)要素，與當(dāng)今社會的精準(zhǔn)管理、數(shù)字經(jīng)濟(jì)發(fā)展密切相關(guān)，其開發(fā)利用蘊(yùn)含無限商機(jī)和創(chuàng)新潛能。《政務(wù)信息系統(tǒng)整合共享實(shí)施方案》（國辦發(fā)〔2017〕39號）指出，要建設(shè)統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的數(shù)據(jù)開放網(wǎng)站，推動(dòng)政府部門和公共企事業(yè)單位的原始性、可機(jī)器讀取、可供社會化再利用的數(shù)據(jù)集，向社會開放。政府?dāng)?shù)據(jù)開放有助于提升公共服務(wù)質(zhì)量和充分釋放數(shù)據(jù)價(jià)值，近年來各國政府紛紛推動(dòng)數(shù)據(jù)開放實(shí)踐。迄今為止，我國東部地區(qū)包括北京、天津、上海、江蘇、浙江、福建、山東、廣東和海南在內(nèi)的9個(gè)省級政府?dāng)?shù)據(jù)開放平臺已上線，中部地區(qū)包括江西、河南、湖北、湖南、廣西在內(nèi)的5個(gè)省級政府?dāng)?shù)據(jù)開放平臺上線，西部地區(qū)有四川、貴州、陜西、青海、寧夏、新疆和重慶這7個(gè)省級政府?dāng)?shù)據(jù)開放平臺已上線。這意味著我們目前只有10個(gè)省份（包括東部的河北、遼寧，中部的山西、內(nèi)蒙古、吉林、黑龍江、安徽，西部的云南、西藏、甘肅）還沒有上線省級政府?dāng)?shù)據(jù)開放平臺。從圖1不難看出，我國政府?dāng)?shù)據(jù)開放平臺自2012年陸續(xù)上線，2017年之前發(fā)展緩慢，但2017年之后進(jìn)入井噴期，2012—2017年5年之內(nèi)僅上線20個(gè)平臺，其中省級平臺5個(gè)，地級（含副省級）平臺15個(gè)，但到2018年開始各地政府積極落實(shí)《政務(wù)信息系統(tǒng)整合共享實(shí)施方案》（國辦發(fā)〔2017〕39號）的精神，加快了政府?dāng)?shù)據(jù)的開放進(jìn)程，2018年、2019年、2020年和2021年上半年，我國上線的地級及以上政府?dāng)?shù)據(jù)開放平臺迅速增至56個(gè)、102個(gè)、142個(gè)和172個(gè)。

2.2 政府開放有效數(shù)據(jù)集爆增背后蘊(yùn)含嚴(yán)重的安全風(fēng)險(xiǎn)

從2017—2021年3月，全國各地的政府開放的有效數(shù)據(jù)集從2017年的8 398個(gè)增長至2021年3月的476 849個(gè)，各地有效數(shù)據(jù)集總量在這接近4年半的時(shí)間增長將近56倍，2020年各地平臺開放有效數(shù)據(jù)總量比2019年增長約23%，2021年3月顯示的各地平臺開放有效數(shù)據(jù)總量是2020年各地平臺開放有效數(shù)據(jù)總量的9倍，增幅高達(dá)825%，目前我國25%的地方政府開放有效數(shù)據(jù)集已超過1 000個(gè)，如先行省份山東的威海、煙臺、濰坊等地區(qū)開放的有效數(shù)據(jù)集總量分別為8 564個(gè)、14 014個(gè)和6 898個(gè)。我國地方政府有效數(shù)據(jù)集爆發(fā)式增長與國家大數(shù)據(jù)戰(zhàn)略實(shí)施和數(shù)據(jù)要素市場培育關(guān)聯(lián)甚密。2020年4月，中共中央、國務(wù)院公布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，首次將數(shù)據(jù)納入生產(chǎn)要素范圍，與土地、勞動(dòng)力、資本、技術(shù)等傳統(tǒng)生產(chǎn)要素并列，就是要充分發(fā)揮數(shù)據(jù)這一新型要素對其他要素效率的倍增作用，使數(shù)據(jù)成為推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的新動(dòng)能。隨著數(shù)據(jù)成為國家一項(xiàng)基礎(chǔ)性戰(zhàn)略資源，各地政府?dāng)?shù)據(jù)開放的進(jìn)程會進(jìn)一步加快。

但令人擔(dān)心的是，各地政府在積極上線數(shù)據(jù)開放平臺、推進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)，數(shù)據(jù)安全保障措施并沒有同步跟上。不少地方政府?dāng)?shù)據(jù)開放平臺在設(shè)計(jì)之初對安全問題并未充分考量，甚至存在倉促上線“裸奔”運(yùn)行的現(xiàn)象，存在嚴(yán)重的數(shù)據(jù)安全風(fēng)險(xiǎn)。數(shù)據(jù)價(jià)值越大，遭遇攻擊發(fā)生泄漏，乃至被破壞被篡改的風(fēng)險(xiǎn)愈高，其價(jià)值損失也就可能越大。根據(jù)奇安信行業(yè)安全研究中心的觀察，目前政府是數(shù)據(jù)安全事件多發(fā)的重災(zāi)區(qū)之一。2019年1月—2020年8月，在被報(bào)道出來的420起全球政企機(jī)構(gòu)重大數(shù)據(jù)安全事件中，有10.7%涉及政府機(jī)構(gòu)、事業(yè)單位的數(shù)據(jù)安全[34]。隨著政府?dāng)?shù)據(jù)開放平臺上線數(shù)據(jù)集的日益增多，使得原本分散的、孤立的、價(jià)值不高的數(shù)據(jù)，形成聚集效應(yīng)，其利用價(jià)值陡增，這難免將招致更多的外部攻擊和內(nèi)鬼惦記。因此，在推進(jìn)政府?dāng)?shù)據(jù)開放進(jìn)程的同時(shí)，須做好數(shù)據(jù)安全的風(fēng)險(xiǎn)防控。

3 我國地方政府?dāng)?shù)據(jù)開放中的安全風(fēng)險(xiǎn)類型及其成因

3.1 我國地方政府?dāng)?shù)據(jù)開放的安全風(fēng)險(xiǎn)類型

觀察近年來發(fā)生的數(shù)據(jù)安全事件，不難發(fā)現(xiàn)，既有外部的惡意攻擊，也有內(nèi)部的無意泄露，間或是里應(yīng)外合的勾結(jié)作案;有因?yàn)榧夹g(shù)漏洞而發(fā)生的數(shù)據(jù)泄露，也有因?yàn)楣芾砣毕荻鴮?dǎo)致的安全威脅。事實(shí)上，因外部攻擊或內(nèi)部疏忽導(dǎo)致的安全風(fēng)險(xiǎn)一直被關(guān)注，可謂顯性數(shù)據(jù)安全風(fēng)險(xiǎn)，目前國內(nèi)外有不少機(jī)構(gòu)在持續(xù)觀察數(shù)據(jù)安全事件及其成因，評估這類風(fēng)險(xiǎn)的進(jìn)展與影響，并定期或不定期發(fā)布數(shù)據(jù)安全領(lǐng)域的調(diào)研報(bào)告。而大數(shù)據(jù)時(shí)代還有一類潛在的安全風(fēng)險(xiǎn)，即由新技術(shù)新模式觸發(fā)的新風(fēng)險(xiǎn)，如數(shù)據(jù)關(guān)聯(lián)分析背后的安全風(fēng)險(xiǎn)，并未引起足夠的重視和應(yīng)有的關(guān)注，可謂隱性數(shù)據(jù)安全風(fēng)險(xiǎn)。

3.1.1 顯性數(shù)據(jù)安全風(fēng)險(xiǎn)

顯性數(shù)據(jù)安全風(fēng)險(xiǎn)往往能被常規(guī)技術(shù)手段檢測或被技術(shù)人員感知，根據(jù)風(fēng)險(xiǎn)源進(jìn)行劃分，我國地方政府?dāng)?shù)據(jù)開放的顯性數(shù)據(jù)安全風(fēng)險(xiǎn)又可分為外部風(fēng)險(xiǎn)和內(nèi)部風(fēng)險(xiǎn)兩類。

1）外部風(fēng)險(xiǎn)。近年來因網(wǎng)絡(luò)攻擊導(dǎo)致政府?dāng)?shù)據(jù)泄露、數(shù)據(jù)被破壞或數(shù)據(jù)被篡改的事件從未間斷，且有愈演愈烈之勢。攻擊者通過黑詞暗鏈、釣魚頁面、挖礦程序等攻擊手段，或利用勒索病毒感染政府機(jī)構(gòu)終端、服務(wù)器，進(jìn)行黑產(chǎn)活動(dòng)牟利或?qū)嵤┣迷p勒索，隨著有些漏洞日漸武器化，勒索軟件即服務(wù)RaaS盛行，地方政府?dāng)?shù)據(jù)開放的外部風(fēng)險(xiǎn)陡增。根據(jù)奇安信的報(bào)告，2019年1—12月其安全服務(wù)團(tuán)隊(duì)共參與和處置的1 029起網(wǎng)絡(luò)安全急響應(yīng)事件，攻擊者的目標(biāo)主要分布于政府機(jī)構(gòu)、事業(yè)單位以及國家重要基礎(chǔ)性建設(shè)行業(yè)。而補(bǔ)天平臺收錄漏洞報(bào)告數(shù)量最多的3個(gè)行業(yè)依次是教育、政府機(jī)構(gòu)、事業(yè)單位和制造業(yè)。2019年出現(xiàn)7種新型網(wǎng)絡(luò)釣魚攻擊，包括指向流氓云存儲位置的偽鏈接、釣魚網(wǎng)絡(luò)附件、憑證網(wǎng)絡(luò)釣魚鏈接、虛假短消息、身份仿冒、域名仿冒和域名欺詐[35]。2020年一種新型勒索軟件攻擊被廣泛使用，攻擊者在竊取大量數(shù)據(jù)之后會對其進(jìn)行加密，若受害者拒絕支付贖金則被威脅泄露其數(shù)據(jù)[36]。2020年底以色列Ben-Gurion大學(xué)公布了一項(xiàng)名為Air-Fi的新技術(shù)，該技術(shù)可將計(jì)算機(jī)的內(nèi)存（RAM卡）等設(shè)備轉(zhuǎn)換為無線信號發(fā)射器，并從沒有外部聯(lián)網(wǎng)的計(jì)算機(jī)內(nèi)部將敏感數(shù)據(jù)傳輸出去。而政府部門或一些對計(jì)算機(jī)設(shè)備隱私有極高安全需求的機(jī)構(gòu)被特別提醒，應(yīng)注意防范這種新型攻擊手段[37]。2019年3月，我國部分政府部門和醫(yī)院等公立機(jī)構(gòu)曾遭遇國外黑客組織利用勒索病毒進(jìn)行郵件攻擊。

軟硬件產(chǎn)品安全漏洞若未及時(shí)修補(bǔ)將成政府?dāng)?shù)據(jù)開放的一大風(fēng)險(xiǎn)源。雖然我國正在加快推進(jìn)CPU、操作系統(tǒng)、數(shù)據(jù)庫等基礎(chǔ)軟硬件的國產(chǎn)自主可控替代計(jì)劃，但政府部門及其合作伙伴至今尚未做到完全不用開源產(chǎn)品和國外產(chǎn)品，關(guān)鍵技術(shù)還未做到自主可控，國家信息安全漏洞共享平臺（CNVD）的數(shù)據(jù)顯示，國外服務(wù)商提供的Hadoop、Spark和MongoDB等存在權(quán)限控制、跨站腳本等多類安全漏洞，并且因此導(dǎo)致數(shù)據(jù)泄露的情形也時(shí)有發(fā)生。目前即便是政府部門那些已經(jīng)實(shí)現(xiàn)了國產(chǎn)化替代的信息安全產(chǎn)品也并非沒有安全之虞，國內(nèi)廠商提供的產(chǎn)品也存在安全漏洞。CNVD平臺的數(shù)據(jù)也顯示，國內(nèi)安全廠商如迪元素、安全狗、華為、深信服、天融信等的安全品牌也都存在危急或高危漏洞，位列2020年1—10月國內(nèi)外新增漏洞數(shù)量TOP20。安全漏洞的存在意味著數(shù)據(jù)泄露的隱患，也是當(dāng)前網(wǎng)絡(luò)安全的主要威脅和政企機(jī)構(gòu)面臨的重要安全風(fēng)險(xiǎn)之一。根據(jù)數(shù)字安全領(lǐng)域的全球領(lǐng)導(dǎo)者金雅拓（Gemalto）發(fā)布的Breach Level Index（數(shù)據(jù)泄露水平指數(shù)）顯示，僅2018年上半年，全球就發(fā)生了945起較大型的數(shù)據(jù)泄露事件，共計(jì)導(dǎo)致45億條數(shù)據(jù)泄露[38]。InfoWatch發(fā)布的2019年第二季度數(shù)據(jù)泄露報(bào)告稱，該季度有2.16億用戶數(shù)據(jù)被泄露，是2018年同期的兩倍多，而公共和市政機(jī)構(gòu)的泄密率從15.5%上升到23.8%。也有報(bào)道表明，2019年美國各地的市政當(dāng)局都因勒索軟件攻擊而破壞了其IT基礎(chǔ)架構(gòu)，需要繳納贖金方能恢復(fù)網(wǎng)絡(luò)正常。

2）內(nèi)部風(fēng)險(xiǎn)。整體而言，我國當(dāng)前對政府?dāng)?shù)據(jù)的管理還處于粗放式管理階段，這體現(xiàn)在多個(gè)方面，如未能對數(shù)據(jù)進(jìn)行分級分類便倉促上線、用戶協(xié)議或隱私政策的提供或內(nèi)容不合規(guī)、開放數(shù)據(jù)集的格式不標(biāo)準(zhǔn)等。我國各地政府?dāng)?shù)據(jù)開放平臺中，僅有不到20%的平臺為數(shù)據(jù)集標(biāo)示了分級分類的開放屬性;約54%的平臺提供了數(shù)據(jù)開放授權(quán)協(xié)議，約42%的平臺上開放的數(shù)據(jù)集全部符合可機(jī)讀格式的標(biāo)準(zhǔn)，約27%的平臺上開放的數(shù)據(jù)集全部符合非專屬格式的標(biāo)準(zhǔn)，還有約25%的平臺提供了RDF格式的數(shù)據(jù)[39]。這些數(shù)據(jù)表明我國地方政府?dāng)?shù)據(jù)開放平臺不管在數(shù)據(jù)分級分類管理、用戶協(xié)議合規(guī)性還是格式的標(biāo)準(zhǔn)化方面，都還存在較大局限，這種粗放式的管理方式背后蘊(yùn)含的安全風(fēng)險(xiǎn)體現(xiàn)在兩個(gè)方面，一是未能識別重要數(shù)據(jù)或敏感個(gè)人信息，開放不應(yīng)開放的數(shù)據(jù)使其成為直接的風(fēng)險(xiǎn)源;二是很難及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)，從而難以適時(shí)采取對策加以防范。

3.1.2 政府?dāng)?shù)據(jù)開放的隱性數(shù)據(jù)安全風(fēng)險(xiǎn)

馬克·吐溫曾說，歷史不會重演，卻自有其韻律。雖然萬事皆顯出自發(fā)偶然之態(tài)，但實(shí)際上，它遠(yuǎn)比你想象中的容易預(yù)測。全球復(fù)雜網(wǎng)絡(luò)權(quán)威巴拉巴西通過研究大膽地認(rèn)為，93%的人類行為是可以預(yù)測的[40]。這意味著，當(dāng)我們將生活數(shù)字化、公式化以及模型化的時(shí)候，這種預(yù)測變得高為容易和精準(zhǔn)。海量數(shù)據(jù)的開放，為基于數(shù)據(jù)挖掘、分析行為的精準(zhǔn)預(yù)測提供了可能性。

雖然數(shù)據(jù)的收集、分析和使用由來已久，但傳統(tǒng)的數(shù)據(jù)并不曾給社會生活帶來如此大的變革和不安，而基于網(wǎng)絡(luò)技術(shù)、云計(jì)算等現(xiàn)代技術(shù)手段而出現(xiàn)的大數(shù)據(jù)在改良社會自我管理的同時(shí)，也確實(shí)給社會生活帶來前所未有的威脅[41]。隨著政府?dāng)?shù)據(jù)開放平臺上海量數(shù)據(jù)的聚集，以及數(shù)據(jù)挖掘技術(shù)不斷升級，加之利用數(shù)據(jù)爬蟲技術(shù)的數(shù)據(jù)分析公司日增，從海量、復(fù)雜、看似無關(guān)聯(lián)的分散數(shù)據(jù)中挖掘出數(shù)據(jù)集之間的弱關(guān)系，通過時(shí)空拼圖，碎片化的靜態(tài)單元數(shù)據(jù)變成了網(wǎng)狀化的動(dòng)態(tài)模塊數(shù)據(jù)，如此這般，政府脫敏之后開放的數(shù)據(jù)極易被再度識。通過對開放數(shù)據(jù)的二次加工和集成，形成數(shù)據(jù)畫像，據(jù)此追溯個(gè)人行蹤、企業(yè)研發(fā)或經(jīng)營軌跡，乃至國家的戰(zhàn)略行動(dòng)，從而威脅到個(gè)人隱私、企業(yè)商業(yè)秘密和國家機(jī)密。經(jīng)過數(shù)據(jù)收集、數(shù)據(jù)集成、數(shù)據(jù)規(guī)約、數(shù)據(jù)清理、數(shù)據(jù)變換、挖掘分析、模式評估、知識表示等數(shù)據(jù)挖掘步驟，生成有關(guān)個(gè)人、企業(yè)乃至國家的數(shù)據(jù)畫像，若為別有用心的競爭對手、犯罪組織乃至敵對國家所掌握，其蘊(yùn)含的威脅和風(fēng)險(xiǎn)是不言而喻的。隨著政府?dāng)?shù)據(jù)開放的進(jìn)程加快，范圍擴(kuò)大，基于海量開放數(shù)據(jù)關(guān)聯(lián)分析的安全風(fēng)險(xiǎn)將日益加劇。譬如，擅長運(yùn)用大數(shù)據(jù)分析人的心理并引導(dǎo)群體行為的英國Cambridge Analytica公司，其在特朗普當(dāng)選、推動(dòng)英國成功脫歐等重大政治事件中施加的影響，對國家社會秩序的威脅顯而易見。通過爬蟲技術(shù)抓取平臺數(shù)據(jù)的hi Q Lab、Geofeedia等數(shù)據(jù)分析公司，通過收集公共數(shù)據(jù)和社交媒體數(shù)據(jù)，并進(jìn)行數(shù)據(jù)挖掘，引發(fā)諸多民眾對個(gè)人隱私的廣泛關(guān)注與擔(dān)憂。

3.2 政府?dāng)?shù)據(jù)開放安全風(fēng)險(xiǎn)的成因

3.2.1 顯性數(shù)據(jù)安全風(fēng)險(xiǎn)形成的原因

弄清導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)的原因?qū)τ谡當(dāng)?shù)據(jù)開放風(fēng)險(xiǎn)治理十分重要。我國地方政府?dāng)?shù)據(jù)開放的外部風(fēng)險(xiǎn)既有可能來自普通的黑客，也有可能是來自有組織的犯罪集團(tuán)，甚至還有少數(shù)情形是因?yàn)楹献骰锇橛幸鉃橹驘o心之失所致。內(nèi)部風(fēng)險(xiǎn)既可能源自政府內(nèi)部人員竊取，也可能因?yàn)楣ぷ魅藛T誤操作或不作為。如根據(jù)Verizon發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》（DBIR），2019年發(fā)生41 686起安全事件中有2 013起數(shù)據(jù)泄露事件，導(dǎo)致數(shù)據(jù)泄露的主體有外部人員、內(nèi)部參與者、合作伙伴、多方當(dāng)事人、有組織的犯罪集團(tuán)、民族國家或國家的行為者[42]。

1）外部風(fēng)險(xiǎn)的成因

外部人員導(dǎo)致數(shù)據(jù)泄露事件占比高達(dá)69%，導(dǎo)致數(shù)據(jù)泄露的外部人員有來自有組織的犯罪集團(tuán)成員（占比為39%），也有某些國家的代表（占比為23%），甚至還有些數(shù)據(jù)泄露事件是因?yàn)楹献骰锇榈脑蛟斐傻模ㄕ急葹?%）。這些數(shù)據(jù)表明我國政府?dāng)?shù)據(jù)開放面臨的外部風(fēng)險(xiǎn)主要是因?yàn)榫硟?nèi)外敵對勢力的攻擊、數(shù)據(jù)黑色產(chǎn)業(yè)鏈的發(fā)展以及數(shù)據(jù)集爆發(fā)式增長等原因造成的。

①境內(nèi)外敵對勢力的攻擊。根據(jù)Verizon發(fā)布的2018年年度數(shù)據(jù)泄漏報(bào)告（DBIR），由于網(wǎng)絡(luò)間諜和國家活動(dòng)的活躍程度不斷增強(qiáng)，政府?dāng)?shù)據(jù)泄露排名首次超過醫(yī)療、金融行業(yè)，位居榜首[43]。2018年政府?dāng)?shù)據(jù)泄漏事件中高達(dá)66%的入侵是為了間諜活動(dòng)，財(cái)務(wù)訴求只占29%，而一般行業(yè)的入侵動(dòng)機(jī)則是71%出于財(cái)富訴求，25%屬于間諜活動(dòng)。隨著國際形勢的日趨復(fù)雜，政府?dāng)?shù)據(jù)泄露事件中間諜活動(dòng)的比例還在增加，2019年出于間諜活動(dòng)的入侵占比增至68%。2020年境外多個(gè)國家和地區(qū)對中國發(fā)動(dòng)網(wǎng)絡(luò)攻擊，譬如越南“海蓮花”黑客組織利用疫情話題攻擊我國政府機(jī)構(gòu);黑客組織“APT32”向中國官員發(fā)出網(wǎng)絡(luò)釣魚電子郵件。

敵對勢力通過黑客不遺余力地對我國政府機(jī)關(guān)和涉密單位發(fā)動(dòng)“木馬”病毒等方式進(jìn)行攻擊，大肆竊取、篡改和破壞數(shù)據(jù)的行徑，早已有之。在大數(shù)據(jù)時(shí)代互聯(lián)網(wǎng)已成為一個(gè)沒有硝煙、沒有國界的新陣地，網(wǎng)絡(luò)空間是大數(shù)據(jù)時(shí)代國家博弈的新領(lǐng)域，這是我國政府?dāng)?shù)據(jù)開放將長期面臨且難以回避的一類外部風(fēng)險(xiǎn)，必須在推動(dòng)數(shù)據(jù)流動(dòng)、挖掘數(shù)據(jù)要素新動(dòng)能的同時(shí)筑牢數(shù)據(jù)邊疆。

②數(shù)據(jù)黑色產(chǎn)業(yè)鏈的發(fā)展。目前由于我國數(shù)據(jù)安全法治體系不健全，數(shù)據(jù)安全和隱私保護(hù)水平總體較低，數(shù)據(jù)安全產(chǎn)業(yè)能力尚弱，使得數(shù)據(jù)黑產(chǎn)問題已成為我國當(dāng)前乃至未來很長一段時(shí)間內(nèi)都不得不面對的一大挑戰(zhàn)。有數(shù)據(jù)顯示，網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取、數(shù)據(jù)交易、詐騙犯罪等數(shù)據(jù)黑色產(chǎn)業(yè)鏈規(guī)模已逾千億美元，我國成為數(shù)據(jù)黑產(chǎn)最主要的受害國之一[44]。黑產(chǎn)團(tuán)伙或黑數(shù)據(jù)公司是當(dāng)前數(shù)據(jù)泄露的罪魁禍?zhǔn)?，也是政府?dāng)?shù)據(jù)開放安全風(fēng)險(xiǎn)滋生的重要源頭，目前由需求方、入侵者或內(nèi)鬼、中介以及交易平臺四部分構(gòu)成層次清晰、分工明確的黑色產(chǎn)業(yè)鏈，在線上和線下形成了龐大的市場和分工日趨細(xì)化的產(chǎn)業(yè)鏈條，近年來數(shù)據(jù)黑色產(chǎn)業(yè)鏈的從業(yè)人數(shù)和產(chǎn)業(yè)規(guī)模一直呈增長之勢，

③數(shù)據(jù)集爆發(fā)式增長將加劇外部風(fēng)險(xiǎn)。各地政府?dāng)?shù)據(jù)開放平臺上有效數(shù)據(jù)集呈爆發(fā)式增長態(tài)勢，而大量聚集的政府開放數(shù)據(jù)容易成為攻擊目標(biāo)。2019年IDC預(yù)計(jì)，2025年中國將產(chǎn)生48.6ZB的數(shù)據(jù)，占全球27.8%，中國將成為最大的“數(shù)據(jù)圈”[45]。從2017—2021年3月，全國各地政府開放的有效數(shù)據(jù)集從2017年的8 398個(gè)增長至2021年3月的476 849個(gè)，各地有效數(shù)據(jù)集總量在4年多的時(shí)間內(nèi)增長已逾50倍，其中2020—2021年3月的有效數(shù)據(jù)集增加量尤為明顯。隨著政府?dāng)?shù)據(jù)開放平臺上的有效數(shù)據(jù)集的不斷匯聚，被境內(nèi)外敵對勢力或以數(shù)據(jù)牟利者作為攻擊目標(biāo)的風(fēng)險(xiǎn)也將日益加劇。

2）內(nèi)部成因

當(dāng)前我國政府的數(shù)據(jù)開放除了要經(jīng)受日益嚴(yán)峻的外部攻擊之外，還面臨內(nèi)鬼的別有用心、內(nèi)部人員的疏忽大意、政府投入不足與標(biāo)準(zhǔn)規(guī)范建設(shè)滯后等源自內(nèi)部（成員和機(jī)構(gòu)）的威脅。

①內(nèi)鬼的別有用心或內(nèi)部人員的疏忽大意

在2019年所有數(shù)據(jù)泄露的事件中有內(nèi)部參與者的事件占比高達(dá)34%，內(nèi)部參與者中，有些是與外部人員勾結(jié)的內(nèi)鬼，是有意為之;也有內(nèi)部參與者是因?yàn)槭韬龃笠饣蛘吣芰Σ蛔闼碌恼`操作及不作為，并非有意為之。譬如，Gemalto的Breach Level Index（泄露水平指數(shù)）白皮書稱，在2018年上半年的945起數(shù)據(jù)泄露事件中，泄露的45億項(xiàng)記錄中被加密的記錄只有1%。無獨(dú)有偶，Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告指出，處理機(jī)密信息時(shí)缺乏加密和安全性，是最常見的泄密原因之一。而從機(jī)構(gòu)泄露的數(shù)據(jù)類型來看，主要也分為兩類：即個(gè)人數(shù)據(jù)和機(jī)密數(shù)據(jù)，后者是指政府機(jī)構(gòu)內(nèi)部除個(gè)人數(shù)據(jù)之外的商業(yè)機(jī)密、技術(shù)機(jī)密及其他機(jī)密信息。

②投入不足導(dǎo)致的安全等級難以達(dá)到需求

保證數(shù)據(jù)安全是政府?dāng)?shù)據(jù)開放的重要前提，但要保證數(shù)據(jù)安全需要相匹配的投入。政府?dāng)?shù)據(jù)開放平臺的建設(shè)和運(yùn)行，不僅需要政府在基礎(chǔ)設(shè)施建設(shè)與維護(hù)上投入頗多人力、物力、財(cái)力成本，在數(shù)據(jù)收集、編輯、存儲、傳播和開放等各個(gè)環(huán)節(jié)也需要持續(xù)投入大量的成本。如美國政府?dāng)?shù)據(jù)開放平臺data.gov每年大約花費(fèi)1 000萬美元用于平臺的建設(shè)及維護(hù)，法國政府?dāng)?shù)據(jù)開放平臺Etalab網(wǎng)站每年的花費(fèi)約為500萬歐元[46]。目前我國整體上而言，在政府?dāng)?shù)據(jù)安全方面的投入還匱乏，不少政府部門存在“重建設(shè)輕運(yùn)維”“重管理輕安全”的情況，無論是資金還是技術(shù)和人才方面的投入，都還很不足。在對數(shù)據(jù)進(jìn)行分類分級保護(hù)方面，難以按需提供，尤其是在重要數(shù)據(jù)、敏感數(shù)據(jù)的保護(hù)方面，安全等級還難以匹配，這無疑留下了數(shù)據(jù)安全方面的隱患。

③標(biāo)準(zhǔn)規(guī)范的制定與實(shí)施滯后于政府?dāng)?shù)據(jù)開放實(shí)踐

制定數(shù)據(jù)開放的標(biāo)準(zhǔn)規(guī)范，有助于數(shù)據(jù)開放工作的標(biāo)準(zhǔn)化和規(guī)范化推進(jìn)。但我國有關(guān)政府?dāng)?shù)據(jù)開放的多項(xiàng)國家標(biāo)準(zhǔn)正由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會負(fù)責(zé)研制中，至今尚未發(fā)布。相關(guān)地方標(biāo)準(zhǔn)雖已有所發(fā)布，但僅限于數(shù)字生態(tài)好的少數(shù)地區(qū)，如上海、廣東、浙江、貴州、山東、江西等省先后制定了專門針對政府?dāng)?shù)據(jù)開放的標(biāo)準(zhǔn)規(guī)范。由于全國性的標(biāo)準(zhǔn)缺失且地方性的標(biāo)準(zhǔn)不足，使得我國至今只有7%的地方制定了地方標(biāo)準(zhǔn)或規(guī)范指引，只有2.8%的地方制定了地方標(biāo)準(zhǔn)，而且，在標(biāo)準(zhǔn)規(guī)范的內(nèi)容方面，已公布的標(biāo)準(zhǔn)規(guī)范雖基本都對數(shù)據(jù)、元數(shù)據(jù)等方面都作出了規(guī)定，但其中對平臺建設(shè)和運(yùn)營作出規(guī)定的僅有40%[47]?？梢娢覈胤秸?dāng)?shù)據(jù)開放的標(biāo)準(zhǔn)化和規(guī)范化問題不容小覷。標(biāo)準(zhǔn)規(guī)范的缺失或局限直接影響政府?dāng)?shù)據(jù)的開放共享，目前在我國已上線的142個(gè)地方政府?dāng)?shù)據(jù)開放平臺中，有超過80%的平臺尚未標(biāo)示數(shù)據(jù)的分級分類開放屬性，46%的平臺未提供數(shù)據(jù)開放授權(quán)協(xié)議，有大約58%的平臺上開放的數(shù)據(jù)集全部不符合可機(jī)讀格式的標(biāo)準(zhǔn)，73%的平臺上開放的數(shù)據(jù)集未能符合非專屬格式的標(biāo)準(zhǔn)，約75%的地方平臺未提供RDF格式的數(shù)據(jù)。這意味著即便花費(fèi)不菲推動(dòng)政府?dāng)?shù)據(jù)上了線，但其后續(xù)的共享和利用活動(dòng)會因標(biāo)準(zhǔn)規(guī)范問題而面臨重重障礙或面臨安全風(fēng)險(xiǎn)，使得政府?dāng)?shù)據(jù)開放的初衷難以實(shí)現(xiàn)，數(shù)據(jù)獲取和挖掘利用受阻，從而導(dǎo)致巨大的浪費(fèi)。因此，構(gòu)建我國政府?dāng)?shù)據(jù)開放共享標(biāo)準(zhǔn)規(guī)范體系，并推動(dòng)標(biāo)準(zhǔn)規(guī)范的盡快實(shí)施，勢在必行。

3.2.2 “信息鏈”視域下隱性數(shù)據(jù)安全風(fēng)險(xiǎn)的成因

根據(jù)“信息鏈”理論，通過數(shù)據(jù)挖掘和分析，比傳統(tǒng)的信息分析更能還原事實(shí)和真相。如圖2所示，事實(shí)、數(shù)據(jù)、信息、知識、情報(bào)或智能是“信息鏈”的5個(gè)基本節(jié)點(diǎn)[48]。事實(shí)是客觀事物運(yùn)動(dòng)的表現(xiàn)，數(shù)據(jù)是載荷或記錄信息且按一定規(guī)則排列組合的物理符號，信息是數(shù)據(jù)被賦予現(xiàn)實(shí)意義后在信息媒介上的映射，知識是對信息加工、吸收、提取、評價(jià)的結(jié)果;智能是被目的所激活的知識[49]?！靶畔㈡湣奔础罢J(rèn)知鏈”?！皵?shù)據(jù)”（data）在拉丁文中是“已知”的意思，也可以理解為“事實(shí)”（Fact）[50]。當(dāng)前人類對“事實(shí)”的認(rèn)識越來越依靠數(shù)據(jù)，數(shù)據(jù)被認(rèn)為是荷載“事實(shí)”的最小單位。雖然數(shù)據(jù)、信息、知識、情報(bào)均不能夠等同于事實(shí)，但都是事實(shí)的局部反映，與最接近事實(shí)的數(shù)據(jù)相比，信息、知識、情報(bào)有不同程度的主觀性，數(shù)據(jù)是原始素材，信息是加工處理后有邏輯的數(shù)據(jù)，知識是經(jīng)過組織的信息，情報(bào)是知識的應(yīng)用，形成如圖2所呈現(xiàn)的“信息鏈”中的5個(gè)層次，在這條“鏈”上每上一層，都是對下一層的提煉、加工、組織或運(yùn)用的結(jié)果，而越接近底層的事實(shí)，則其客觀性越大而主觀性越小，故直接源于數(shù)據(jù)的“還原”比源于信息的“還原”更加精確?？梢?，數(shù)據(jù)天然具有還原事實(shí)的能力，那么匯集起來的海量數(shù)據(jù)中的“事實(shí)密度”越高，其還原事實(shí)的可能性就會越大。

隨著我國各地各級政府上線越來越多的開放平臺面向社會提供具備原始性、可機(jī)器讀取、可供社會化再利用的數(shù)據(jù)集，將會有很多數(shù)據(jù)分析的應(yīng)用被開發(fā)出來，使我國加速實(shí)現(xiàn)精準(zhǔn)管理和現(xiàn)代化治理。但技術(shù)應(yīng)用猶如雙刃劍，既能用于行善，也有可能為非法分子用來作惡。海量政府?dāng)?shù)據(jù)的開放必將帶來海量數(shù)據(jù)的聚集，隨著我國政府?dāng)?shù)據(jù)開放的范圍日益擴(kuò)大，開放的數(shù)量越來越多，被非法分子進(jìn)行數(shù)據(jù)挖掘和關(guān)聯(lián)分析，從而威脅個(gè)人隱私、商業(yè)秘密和國家秘密的隱性安全風(fēng)險(xiǎn)，不可不防。

4 我國政府?dāng)?shù)據(jù)開放安全風(fēng)險(xiǎn)的防范對策

政府?dāng)?shù)據(jù)開放的安全風(fēng)險(xiǎn)防范，需要技術(shù)、管理和法律聯(lián)動(dòng)，政府部門除了通過選擇有實(shí)力的合作公司構(gòu)筑數(shù)據(jù)安全技術(shù)防護(hù)體系之外，要重點(diǎn)采取管理措施和制度建設(shè)，來防御數(shù)據(jù)開放的安全風(fēng)險(xiǎn)。我國各地政府應(yīng)強(qiáng)化數(shù)據(jù)分級分類管理，以主動(dòng)開放數(shù)據(jù)為原則、以申請開放數(shù)據(jù)為補(bǔ)充，加強(qiáng)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范建設(shè)，建立數(shù)據(jù)安全評估與反饋調(diào)整機(jī)制，從而有效防范我國政府?dāng)?shù)據(jù)開放中的安全風(fēng)險(xiǎn)。

4.1 強(qiáng)化政府?dāng)?shù)據(jù)開放的安全管理措施

1）制定并落實(shí)政府?dāng)?shù)據(jù)分級分類規(guī)則。對數(shù)據(jù)分類分級并匹配相應(yīng)的開放方式和安全等級，是一種極其重要的安全策略。各地政府?dāng)?shù)據(jù)管理部門應(yīng)當(dāng)結(jié)合數(shù)據(jù)安全要求、個(gè)人信息保護(hù)要求和應(yīng)用要求等因素，制定數(shù)據(jù)分級分類規(guī)則。具體提供數(shù)據(jù)的機(jī)構(gòu)則可按照分級分類規(guī)則，制定相應(yīng)的實(shí)施細(xì)則?！渡虾Ｊ泄矓?shù)據(jù)開放暫行辦法》在國內(nèi)首次提出分級分類開放模式，其將公共數(shù)據(jù)分為非開放、有條件開放和無條件開放3類，第一類是指涉及商業(yè)秘密、個(gè)人隱私或法律法規(guī)規(guī)定不得開放的公共數(shù)據(jù);第二類則是對數(shù)據(jù)安全和處理能力要求較高、時(shí)效性較強(qiáng)或者需要持續(xù)獲取的公共數(shù)據(jù);其他公共數(shù)據(jù)列入無條件開放類。為了更具操作性，上海市還制定了《公共數(shù)據(jù)開放分級分類指南（試行）》。貴州省曾在2016年出臺《政府?dāng)?shù)據(jù) 數(shù)據(jù)分類分級指南》（DB52/T 1123-2016），2020年10月頒布的《貴州省政府?dāng)?shù)據(jù)共享開放條例》在第二十一條明確了對政府?dāng)?shù)據(jù)進(jìn)行分類管理，并將政府?dāng)?shù)據(jù)按照開放屬性分為無條件開放、有條件開放和不予開放3種類型。這些先行地區(qū)的做法值得全國各地政府借鑒。政府?dāng)?shù)據(jù)分級分類規(guī)則要落到實(shí)處，需要各地政府部門設(shè)立數(shù)據(jù)分級分類部門并招募相關(guān)人員，明確數(shù)據(jù)分級分類安全原則，制定數(shù)據(jù)分級分類操作指南，建立數(shù)據(jù)分級分類審批機(jī)制、對各級各類數(shù)據(jù)進(jìn)行標(biāo)識和管理、對識別到的敏感數(shù)據(jù)進(jìn)行脫敏處理等。如此則能有效避免將不該開放的政府?dāng)?shù)據(jù)予以開放的安全風(fēng)險(xiǎn)。

2）以主動(dòng)開放數(shù)據(jù)為原則，以依申請開放數(shù)據(jù)為補(bǔ)充。政府?dāng)?shù)據(jù)開放并不是開放程度越高越好，而是應(yīng)該按需開放，尤其要處理好開放與安全的矛盾。政府?dāng)?shù)據(jù)開放和政府信息公開在對公眾需求的滿足上，可以采取相同的方式，即以主動(dòng)開放數(shù)據(jù)為原則，以依申請開放數(shù)據(jù)為補(bǔ)充，允許公眾在認(rèn)為應(yīng)開放而未開放時(shí)申請開放。如《貴州省政府?dāng)?shù)據(jù)共享開放條例》規(guī)定，公民、法人或者其他組織需要使用有條件開放的政府?dāng)?shù)據(jù)的，應(yīng)當(dāng)通過政府?dāng)?shù)據(jù)開放平臺向數(shù)據(jù)提供部門提出申請。政府?dāng)?shù)據(jù)提供部門收到數(shù)據(jù)開放申請時(shí)，能夠立即答復(fù)的，應(yīng)當(dāng)立即答復(fù);申請人申請開放政府?dāng)?shù)據(jù)的數(shù)量、頻次明顯超過合理范圍的，數(shù)據(jù)提供部門可以要求申請人說明理由。數(shù)據(jù)提供部門認(rèn)為理由不合理的，告知申請人不予處理;數(shù)據(jù)提供部門認(rèn)為理由合理的，應(yīng)當(dāng)及時(shí)向申請人開放?！顿F州省政府?dāng)?shù)據(jù)共享開放條例》的這個(gè)規(guī)定值得我國更多的地區(qū)借鑒，也可在我國進(jìn)行政府?dāng)?shù)據(jù)開放專門立法時(shí)予以吸納。

3）建立數(shù)據(jù)刪除與數(shù)據(jù)撤回機(jī)制。一方面，應(yīng)及時(shí)刪除用戶在開放平臺留下的備份數(shù)據(jù)和運(yùn)行數(shù)據(jù)，因?yàn)殚_放平臺的數(shù)據(jù)獲取以文件共享和API接口調(diào)用兩種方式為主，這存在著數(shù)據(jù)殘留風(fēng)險(xiǎn);當(dāng)用戶退出平臺時(shí)，應(yīng)完全刪除備份數(shù)據(jù)和運(yùn)行過程中產(chǎn)生的用戶數(shù)據(jù)，但目前缺乏有效的機(jī)制、標(biāo)準(zhǔn)或工具來檢驗(yàn)是否實(shí)施了這一操作;另一方面，應(yīng)根據(jù)安全風(fēng)險(xiǎn)監(jiān)測和評估結(jié)果，或相對人的申請，對有潛在安全風(fēng)險(xiǎn)的數(shù)據(jù)及時(shí)刪除。

4.2 設(shè)置專門的數(shù)據(jù)監(jiān)管部門且配備專業(yè)的數(shù)據(jù)保護(hù)官

政府?dāng)?shù)據(jù)開放全生命周期中的安全風(fēng)險(xiǎn)的多發(fā)性和數(shù)據(jù)監(jiān)管的復(fù)雜性，事實(shí)上對負(fù)責(zé)數(shù)據(jù)開放的政府部門的專業(yè)性和知識性都提出了挑戰(zhàn)，亟待建立專門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)，并配置專業(yè)的數(shù)據(jù)保護(hù)官。在我國地方政府目前開放數(shù)據(jù)面臨的首要障礙是缺乏專門的具有專業(yè)能力的監(jiān)管機(jī)構(gòu)，要改變我國當(dāng)前九龍治水的行政監(jiān)管格局，可以通過立法將近兩年陸續(xù)成立的政府?dāng)?shù)據(jù)服務(wù)局定位為專門的數(shù)據(jù)監(jiān)管機(jī)構(gòu)，明確其法律地位與職責(zé)，配置相應(yīng)的數(shù)據(jù)監(jiān)管權(quán)，規(guī)定數(shù)據(jù)監(jiān)管人員的任職資格條件，以確保監(jiān)管者的專業(yè)能力，規(guī)范行政監(jiān)管行為。通過立法或政策支持高校相關(guān)學(xué)科和專業(yè)建設(shè)，加快培育專業(yè)化的數(shù)據(jù)保護(hù)官，打造能勝任政府?dāng)?shù)據(jù)開放共享業(yè)務(wù)需求的專業(yè)隊(duì)伍。

4.3 構(gòu)建我國政府?dāng)?shù)據(jù)開放共享的標(biāo)準(zhǔn)規(guī)范體系

按照需求導(dǎo)向這一基本原則，我國需緊緊圍繞政府?dāng)?shù)據(jù)開放的全生命周期，構(gòu)建符合我國國情的政府?dāng)?shù)據(jù)開放標(biāo)準(zhǔn)規(guī)范體系。由于缺乏統(tǒng)一的標(biāo)準(zhǔn)和接口，目前部分政府開放平臺上的數(shù)據(jù)難以相互遷移，這不僅影響政府?dāng)?shù)據(jù)的開放和共享，也增加了數(shù)據(jù)安全隱患。貫穿我國政府?dāng)?shù)據(jù)開放共享全流程的政府?dāng)?shù)據(jù)開放共享標(biāo)準(zhǔn)體系，至少應(yīng)包括數(shù)據(jù)創(chuàng)建與匯交標(biāo)準(zhǔn)、數(shù)據(jù)選擇與處理標(biāo)準(zhǔn)、數(shù)據(jù)描述與組織標(biāo)準(zhǔn)、數(shù)據(jù)關(guān)聯(lián)與發(fā)布標(biāo)準(zhǔn)、數(shù)據(jù)發(fā)現(xiàn)與利用標(biāo)準(zhǔn)和數(shù)據(jù)管理與評估標(biāo)準(zhǔn)等。研制這些標(biāo)準(zhǔn)應(yīng)廣泛吸納國內(nèi)外實(shí)踐成果，一方面要重視采納相關(guān)國際標(biāo)準(zhǔn)，如國際標(biāo)準(zhǔn)《信息技術(shù)安全技術(shù) 隱私影響評估指南》（ISO/IEC 29134：2017）對我國政府開放數(shù)據(jù)安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)的研制非常重要。另一方面要充分總結(jié)和采納國內(nèi)相關(guān)標(biāo)準(zhǔn)構(gòu)建思路和具體內(nèi)容，譬如，可參考我國大數(shù)據(jù)標(biāo)準(zhǔn)體系的構(gòu)建思路，注重與大數(shù)據(jù)標(biāo)準(zhǔn)化工作的協(xié)調(diào);標(biāo)準(zhǔn)規(guī)范的具體內(nèi)容可吸收已經(jīng)發(fā)布并在實(shí)施中的地方標(biāo)準(zhǔn)的內(nèi)容，如我國政府?dāng)?shù)據(jù)開放共享平臺接入標(biāo)準(zhǔn)、數(shù)據(jù)脫敏標(biāo)準(zhǔn)的制定可吸收上海市地方標(biāo)準(zhǔn)《公共數(shù)據(jù)共享交換工作規(guī)范第2部分：平臺接入技術(shù)要求》和山東省地方標(biāo)準(zhǔn)《公共數(shù)據(jù)開放第2部分：數(shù)據(jù)脫敏指南》的相關(guān)內(nèi)容[51]。

此外，比起制定標(biāo)準(zhǔn)規(guī)范更值得重視的，是標(biāo)準(zhǔn)規(guī)范的實(shí)施。我們一方面要推動(dòng)政府?dāng)?shù)據(jù)開放標(biāo)準(zhǔn)規(guī)范的盡快出臺;另一方面要在標(biāo)準(zhǔn)規(guī)范出臺后積極推動(dòng)上線的政府?dāng)?shù)據(jù)開放平臺提供標(biāo)準(zhǔn)化和規(guī)范化的數(shù)據(jù)開放共享。

4.4 建立政府?dāng)?shù)據(jù)開放全生命周期的安全評估與反饋調(diào)整機(jī)制 ?由上文分析可知，數(shù)據(jù)安全風(fēng)險(xiǎn)貫穿政府?dāng)?shù)據(jù)開放的全過程，因此有必要對政府?dāng)?shù)據(jù)開放全生命周期的安全風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)監(jiān)測和評估，對潛在的安全風(fēng)險(xiǎn)能提前發(fā)現(xiàn)，做好預(yù)案，實(shí)現(xiàn)精準(zhǔn)防控。我國于2020年3月起正式實(shí)施的國家標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（Data Security Maturity Model，簡稱DSMM）（GB/T 37988-2019），將數(shù)據(jù)按照生命周期分階段采用不同的能力評估等級，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個(gè)階段。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力4個(gè)安全能力維度的建設(shè)進(jìn)行綜合考量。這個(gè)標(biāo)準(zhǔn)有必要在各地政府?dāng)?shù)據(jù)開放平臺檢索于運(yùn)行過程中予以實(shí)施。通過數(shù)據(jù)安全能力評估可以預(yù)知具體的政府部門及其合作方的安全保障情況，持續(xù)的常態(tài)化的評估，可以有效地預(yù)警安全風(fēng)險(xiǎn)，通過及時(shí)反饋給開放數(shù)據(jù)的政府部門及其合作方，可以爭取盡快調(diào)整，避免數(shù)據(jù)安全風(fēng)險(xiǎn)的發(fā)生。

5 結(jié) 語

我國政府?dāng)?shù)據(jù)開放正乘著數(shù)字經(jīng)濟(jì)的東風(fēng)步入高速發(fā)展的軌道，但若不能正確處理好經(jīng)濟(jì)發(fā)展和數(shù)據(jù)安全的關(guān)系，則我們對數(shù)字紅利的美好憧憬將難以成真。不同類型的數(shù)據(jù)安全風(fēng)險(xiǎn)的成因各有不同，且各類數(shù)據(jù)安全風(fēng)險(xiǎn)在動(dòng)態(tài)變化，故要有針對性地采取有效防范對策，但這是一個(gè)十分復(fù)雜的、富有挑戰(zhàn)性的任務(wù)，還有待更多人關(guān)注，進(jìn)行更深入的探討。

參考文獻(xiàn)

[1]復(fù)旦大學(xué)數(shù)字與移動(dòng)治理實(shí)驗(yàn)室.中國地方政府?dāng)?shù)據(jù)開放報(bào)告（2020年下半年）[EB/OL].http：//ifopendata.fudan.edu.cn/report，2020-12-12.

[2]楊孟輝.開放政府?dāng)?shù)據(jù)：概念、實(shí)踐和評價(jià)[M].北京：清華大學(xué)出版社.2017：1.

[3]薛智勝，艾意.政府?dāng)?shù)據(jù)開放的概念及其范圍界定[J].財(cái)經(jīng)法學(xué)，2019，（6）：13-23.

[4]楊祺鈺，陳朝兵.談?wù)當(dāng)?shù)據(jù)開放與政府信息公開的概念界定及其比較[J].系統(tǒng)工程，2019，（7）：32.

[5]鄭磊.開放不等于公開、共享和交易：政府?dāng)?shù)據(jù)開放與相近概念的界定與辨析[J].南京社會科學(xué)，2018，（9）：83-91.

[6]肖衛(wèi)兵.論我國政府?dāng)?shù)據(jù)開放的立法模式[J].當(dāng)代法學(xué)，2017，31（3）：42-49.

[7]陳曉勤.政府?dāng)?shù)據(jù)開放：實(shí)踐挑戰(zhàn)與法律框架建構(gòu)[J].附件行政學(xué)院學(xué)報(bào)，2019，（6）：80-87.

[8]趙潤娣.美國開放政府?dāng)?shù)據(jù)范圍研究[J].中國行政管理，2018，（3）：33-37.

[9]胡逸芳，林焱.加拿大政府?dāng)?shù)據(jù)開放政策法規(guī)保障及對中國的啟示[J].電子政務(wù)，2017，（5）：2-10.

[10]王萬華.開放政府與修改《政府信息公開條例》的內(nèi)容定位[J].北方法學(xué)，2016，10（6）：16-27.

[11]陳尚龍.大數(shù)據(jù)時(shí)代政府?dāng)?shù)據(jù)開放的立法研究[J].地方立法研究，2016，10（6）：16-27.

[12]高富平.數(shù)據(jù)經(jīng)濟(jì)的制度基礎(chǔ)—數(shù)據(jù)全面開放利用模式的構(gòu)想[J].廣東社會科學(xué)，2019，（5）：5-16，254.

[13]Meijer R，Conradie P，Choenni S.Reconciling Contradictions of Open Data Regarding Transparency，Privacy，Security and Trust[J].Journal of Theoretical and Applied Electronic Commerce Research，2014，9（3）：32-44.

[14]Zuiderwijk A，Janssen M，Choenni S.Design Principles for Improving the Process of Publishing Open Data[J].Transforming Government：People，Process and Policy，2014，8（2）：185-204.

[15]趙需要，彭靖.政府?dāng)?shù)據(jù)開放中個(gè)人隱私的泄露風(fēng)險(xiǎn)與保護(hù)[J].信息安全研究，2016，（9）：792-801.

[16]陳朝兵，郝文強(qiáng).美英澳政府?dāng)?shù)據(jù)開放隱私保護(hù)政策法規(guī)的考察與借鑒[J].情報(bào)理論與實(shí)踐，2019，（6）：159-165.

[17]杜荷花.我國政府?dāng)?shù)據(jù)開放平臺隱私保護(hù)評價(jià)體系構(gòu)建研究[J].情報(bào)雜志，2020，39（4）：172-179.

[18]郝文強(qiáng).政府?dāng)?shù)據(jù)開放隱私風(fēng)險(xiǎn)識別機(jī)制研究[J].電子政務(wù)，2021，（3）：103-111.

[19]Kucera J，Chlapek D.Benefits and Risks of Open Government Data[J].Journal of Systems Integration，2014，（1）：30-41.

[20]Conradie P，Choenni S.On the Barriers for Local Government Releasing Open Data[J].Government Information Quarterly，2014，31：10-17.

[21]趙龍文，孫倩倩.政府?dāng)?shù)據(jù)開放中的商業(yè)秘密保護(hù)與利益協(xié)調(diào)[J].圖書館學(xué)研究，2019，（4）：53-60，75.

[22]Shao D D，Saxena S.Barriers to Open Government Data（OGD）Initiative in Tanzania：Stakeholders Perspective[J].Growth and Change，2019，29：470-485.

[23]苗地.黑龍江省政府?dāng)?shù)據(jù)開放存在的問題與對策研究[J].商業(yè)經(jīng)濟(jì)，2018，（11）：6-7，104.

[24]張珺.中國地方政府?dāng)?shù)據(jù)開放規(guī)則的問題與改進(jìn)[J].大連海事大學(xué)學(xué)報(bào)：社會科學(xué)版，2020，19（1）：25-31.

[25]才世杰，夏義堃.試論政府?dāng)?shù)據(jù)開放的風(fēng)險(xiǎn)識別與防范[J].圖書與情報(bào)，2017，（4）：104-112，121.

[26]鄒東升.政府開放數(shù)據(jù)和個(gè)人隱私保護(hù)：加拿大的例證[J].中國行政管理，2018，（6）：75-82.

[27]莊國波，韓惠.5G時(shí)代政府?dāng)?shù)據(jù)開放共享的安全風(fēng)險(xiǎn)及防范[J].理論探討，2020，（5）：48-54.

[28]Kent Cooper.Truthful News，a Basis for Peace[J].New York Times，January 22，1945.

[29]Harold C，Relyea.Freedom of Information and the Right to Know：The Origins and Applications of the Freedom of Information Act[J].Journal of Academic Librarianship，2001.

[30]宋爍.政府?dāng)?shù)據(jù)開放宜采取不同于信息公開的立法進(jìn)路[J].法學(xué)，2021，（1）：34-39.

[31]王萬華.論政府?dāng)?shù)據(jù)開放與政府信息公開的關(guān)系[J].財(cái)經(jīng)法學(xué)，2020，（1）：13-24.

[32]鄭磊.開放政府?dāng)?shù)據(jù)的價(jià)值創(chuàng)造機(jī)理：生態(tài)系統(tǒng)的視角[J].電子政務(wù)，2015，（7）：2-7.

[33]王萬華.論政府?dāng)?shù)據(jù)開放與政府信息公開的關(guān)系[J].財(cái)經(jīng)法學(xué)，2020，（1）：13-24.

[34]奇安信行業(yè)安全研究中心.中國政企機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)研究報(bào)告[EB/OL].https：//www.qianxin.com/threat/reportdetail？report_id=111，2021-02-12.

[35]MailData.網(wǎng)絡(luò)防御不可松：2019又出7種新型網(wǎng)絡(luò)釣魚攻擊[EB/OL].https：//www.sohu.com/a/326939824_100155237，2021-03-12.

[36]國家信息中心，瑞星公司.2020年中國網(wǎng)絡(luò)安全報(bào)告[EB/OL].http：//it.rising.com.cn/d/file/it/dongtai/20210113/2020.pdf，2021-03-12.

[37]大東BE.萬物皆可變無線信號Wi-Fi？[EB/OL].http：//www.lecfans.com/d/1425967.html，2021-03-12.

[38]360威脅情報(bào)中心.2018政企機(jī)構(gòu)數(shù)據(jù)泄露形勢分析報(bào)告[EB/OL].http：//zt.#/1101061855.php？dtid=11010625 14&did=610071644，2020-12-12.

[39]復(fù)旦大學(xué)數(shù)字與移動(dòng)治理實(shí)驗(yàn)室.中國地方政府?dāng)?shù)據(jù)開放報(bào)告（2020年）[EB/OL].http：//ifopendata.fudan.edu.cn/report，2020-12-25.

[40]（美）艾伯特-拉斯洛·巴拉巴西.爆發(fā)：大數(shù)據(jù)時(shí)代預(yù)見未來的新思維[M].馬慧，譯.北京：北京聯(lián)合出版公司，2017：310.

[41]肖冬梅，文禹衡.數(shù)據(jù)權(quán)譜系論綱[J].湘潭大學(xué)學(xué)報(bào)：哲學(xué)社會科學(xué)版，2015，39（6）：69-75.

[42]Verizon.2019年數(shù)據(jù)泄露調(diào)查報(bào)告[EB/OL].http：//www.100ec.cn/detail--6520824.html，2021-03-12.

[43]Verizon.2018 the Online Verizon Data Breach Investigations Report[EB/OL].https：//enterprise.verizon.com/resources/reports/dbir/2020/introduction/，2021-03-12.

[44]黃莉玲，李玲.全國政協(xié)委員談劍鋒：數(shù)據(jù)黑產(chǎn)猖獗、互聯(lián)網(wǎng)寡頭數(shù)據(jù)壟斷引擔(dān)憂白皮書[EB/OL].南方都市報(bào)，https：//www.sohu.com/a/397378768_161795？spm=smpc.content.fd-d.14.1590318538604JWixIKF，2020-12-12.

[45]IDC.《2025年中國將擁有全球最大的數(shù)據(jù)圈》白皮書[EB/OL].https：//www.asmag.com.cn/news/201902/97598.html，2020-12-12.

[46]莊國波，韓惠.5G時(shí)代政府?dāng)?shù)據(jù)開放共享的安全風(fēng)險(xiǎn)及防范[J].理論探討，2020，（5）：48-54.

[47]復(fù)旦大學(xué)數(shù)字與移動(dòng)治理實(shí)驗(yàn)室.中國地方政府?dāng)?shù)據(jù)開放報(bào)告（2020年）[EB/OL].http：//ifopendata.fudan.edu.cn/report，2020-12-25.

[48]梁戰(zhàn)平.情報(bào)學(xué)若干問題辨析[J].情報(bào)理論與實(shí)踐，2003，（3）：193-198.

[49]馬費(fèi)成，宋恩梅，張勤，IRM-KM范式與情報(bào)學(xué)發(fā)展研究[M].武漢：武漢大學(xué)出版社，2008：223

[50]（英）邁爾-舍恩伯格，庫克耶.大數(shù)據(jù)時(shí)代[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013：104

[51]黃如花.我國政府?dāng)?shù)據(jù)開放共享標(biāo)準(zhǔn)體系構(gòu)建[J].圖書與情報(bào)，2020，（3）：17-19.

（責(zé)任編輯：陳 媛）