论政府数据开放中的数据安全保护制度

—  宋华琳 —

南开大学法学院教授、博士生导师

— 郑    琛 —

南开大学法学院

宪法学与行政法学专业硕士研究生

本文原载于《中国司法》2022年第3期。

政府数据开放是指行政主体面向自然人、法人和其他组织依法提供具备原始性、可机器读取、可供社会化使用的政府数据的行为。[1]在2015年《国务院关于印发促进大数据发展行动纲要的通知》中，提出要推动政府数据开放共享，建立“用数据说话、用数据决策、用数据管理、用数据创新”的管理机制，实现基于数据的科学决策。截至2021年10月，我国已有193个省级和城市的地方政府上线了数据开放平台。[2]政府数据的汇聚、融通、应用，数据要素市场的培育，有助于提升政府社会治理能力和公共服务水平。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。一方面，数据安全保护有助于在政府数据开放过程中，保障国家秘密、商业秘密和商务信息、个人隐私和个人信息不受损害，维护国家安全、公共安全、经济安全和社会稳定；另一方面，数据安全是政府数据开放的前提，只有保障数据安全，才能最大限度地实现政府数据资源的有效利用。[3]

例如，相当一部分政府数据涉及个人信息，《个人信息保护法》第6条规定，处理个人信息应具有明确、合理的目的，这体现了“目的限制原则”，而政府数据的搜集原本承载了依法履行职责的目的，[4]但政府数据开放的目的已不同于搜集政府数据的目的，政府数据开放旨在释放数据潜能，数据利用主体使用数据的目的具有不特定性，令人难以预计。[5]《个人信息保护法》第13条确立了个人信息保护的告知同意原则，但如果要求在政府数据开放与利用之前，通过告知同意规则获得数据处理的正当化根据，将导致程序过于复杂，不合理地增加运行成本，减损数据价值。[6]又如，随着计算机科学的进步，以及更多政府数据的开放，通过数据累积和比对，开放的匿名化后的政府数据极易被再度识别。[7]

因此，应根据政府数据开放的特性和实际情况，构建行之有效的数据安全保护制度。其一，应构建数据全生命周期安全保护制度。应以数据全生命周期为视角，针对政府数据收集、处理、开放、获取、利用、销毁等环节的数据安全风险，制定有针对性的数据安全管理措施。[8]其二，应构建数据安全保护的合作治理体系。政府数据开放涉及行政机关、数据利用主体、技术支持机构等多方主体，且数据安全保障的复杂性、专业性使得单靠行政机关难以实现数据安全。[9]多元主体的参与和合作可使不同主体共享、动员和聚合分散的资源和能力，协调利益和行动，更好地实现数据安全。[10]

在政府数据开放过程中，行政机关是数据的收集者、提供者、管理者和政策的制定者。行政机关在数据安全保护中发挥着主导作用，在数据收集、处理、开放、获取、利用、销毁阶段，都应履行相应的数据安全保护职责。

（一）数据收集阶段

行政机关应当遵循合法、必要、正当的原则，采集各类数据。应坚持数据最小化原则，收集的数据应为履行其管理职责或提供服务所必需，收集数据的种类和范围应与其履行的管理职责或者提供的服务相适应。没有法律、法规依据，不得采集公民、法人和其他组织的相关数据；采集公共数据应当限定在必要范围内，不得超出公共管理和服务需要采集数据。[11]此外，行政机关应对数据收集的环境、设施和技术采取必要的管控措施，保证数据在采集过程中不被泄漏，确保数据安全可控。

（二）数据处理阶段

1.建立政府数据分类分级保护规则

政府数据开放范围非常广泛，需要明确是否可以开放以及开放的程度和形式，因此，应构建数据分类分级规则，对不同数据制定差异化的安全保护措施。

《数据安全法》第21条规定：“国家建立数据分级分类制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。”行政主管部门应结合政府数据安全要求、个人信息保护要求和应用要求等因素，制定政府数据分级分类规则。政府数据开放主体应按照分级分类规则，制定相应实施细则，对政府数据进行分级分类，确定开放类型、开放条件和监管措施。

实践中，一般将政府数据区分为不予开放类、有条件开放类和无条件开放类三种。其一，对涉及国家秘密、商业秘密、个人隐私，或者法律法规规定不得开放的，或者因数据获取协议、知识产权保护等禁止开放的政府数据，列入不予开放类。其二，对数据安全和处理能力要求较高、时效性较强或者需要持续获取的；对开放将严重挤占政府基础设施资源，影响数据处理效率的；对开放安全风险难以评估的；以及依法经脱敏、脱密等处理的不予开放类政府数据，符合开放条件的，应列入有条件开放类政府数据。其三，其他可以提供给所有公民、法人或者其他组织使用的政府数据，列入无条件开放类。[12]

行政机关应当依据法律和分级分类规则，对收集、产生的政府数据进行评估，科学合理确定开放属性，并定期更新。但政府数据分类分级本身并非终点，关键在于对不同类别和级别的数据设定不同的安全保护规则，在数据安全要求、应用场景要求、反馈要求等方面设定不同的数据开放条件。根据数据的敏感程度不同，应在数据采集、传输、储存、访问、共享、开放、销毁等环节中采取不同的数据安全保护措施。

2.构建政府数据安全审查机制

应构建政府数据安全审查机制，来判断特定政府数据是否开放，开放需要何种安全条件。应明确政府数据安全审查机制的适用范围、审查程序和审查内容。

其一，政府数据安全审查机制的适用范围应包括但不限于以下几种情形：①对拟开放数据的审查；②对当前有条件开放类数据进行评估，以确定是否转为无条件开放类数据；③对通过政府数据平台以算法模型获取的结果数据进行审查；④当数据利用主体就政府数据开放目录外的数据提出开放服务需求时，进行审查和评估；⑤行政机关在使用和处理政府数据的过程中，因数据汇聚、关联分析等原因，可能产生涉密、涉敏数据时，应当进行审查和评估。[13]

其二，应设计完善的政府数据安全审查程序规则，在具体审查中可引入专家论证等程序。政府数据安全审查专业性、技术性较强，可采取论证会、书面咨询、委托咨询论证等方式，组织专家、专业机构论证，选择专家、专业机构参与论证，应当坚持专业性、代表性和中立性。[14]

其三，就政府数据安全审查的内容而言，应包括政府数据的内容与种类、开放方式、开放范围、安全保障措施、可能的风险与影响范围等。

3.完善政府数据脱敏脱密处理技术

对于需要开放但又存在安全隐患的数据，可以通过字符遮罩、同义替换、截断算法、偏移取整、重排算法、加密算法等脱敏脱密的技术手段加以处理。但匿名化、去标识化等脱敏脱密技术具有高度个案性，固定的模式无法覆盖全面的脱敏脱密需求，应结合实际应用情境与需求灵活配置数据模型。[15]此外，数据脱敏脱密应保留目标环境业务所需的数据特征或内容，保留原始数据的业务价值和技术价值，在不降低数据使用流通性的前提下，保障政府数据安全。

（三）数据发布阶段

1.健全政府数据开放平台安全管理制度

攻击者可能会利用政府数据开放平台网站的开放性和交互性进行漏洞探测，实施非授权访问、页面篡改、信息窃取等行为。应建立健全政府数据开放平台安全管理制度，通过技术手段提高平台网站包括防篡改、防泄露、防中断、防恶意控制在内的综合安全防范能力，保障开放平台安全可靠运行。例如，行政机关应完善账户注册中密钥、验证码的使用，要求用户实名认证等。[16]

2.完善政府数据储存和灾备机制

政府数据开放机关应完善数据储存制度，分域分级管理，选择安全性能、防护级别与安全等级相匹配的存储载体；对敏感数据和重要数据还应采取加密存储等安全保护措施。此外，数据储存备份和灾难恢复可以防范和抵御意外事件，对数据的丢失、损坏具有明显的保护作用。应制定数据存储备份和灾难恢复策略，保障相关灾备措施，定期进行灾难恢复演练。

3.构建政府数据传输安全保护机制

政府各部门的数据管理平台需要和政府数据开放平台进行数据传输，开放平台和数据利用主体也会通过下载、接口调用等方式进行数据传输，如果传输过程缺乏安全保障，数据就有可能被窃取、泄露、篡改。建议根据数据类型、级别和应用场景，制定数据安全传输策略和规程，合理选择传输渠道，采取校验技术、密码技术等安全控制措施，保障数据传输过程可信、可控。

（四）数据获取阶段

1.建立健全政府数据获取规则

对于无条件开放类数据，行政机关应通过政府数据开放平台直接向社会开放。对于有条件开放类数据而言，第一，应明确数据存储、数据处理、安全保护能力以及信用等级等开放条件，并通过开放平台公布。第二，政府数据利用主体在提交开放申请时，应说明申请用途、应用场景、安全保障措施、使用期限等。第三，应明确政府数据开放机关的审查程序和时限，开放机关不得拒绝合理的数据开放需求。[17]

2.通过数据利用协议明确数据安全保护义务

对于无条件开放类数据而言，我国地方政府数据开放平台多以网站声明的形式呈现使用协议，这易使数据利用主体忽视协议的存在。或可借鉴山东省公共数据开放平台的做法，在数据利用主体下载数据时，以弹框提示的方式提醒其阅读协议，使其知悉在数据安全方面应履行的义务，并以“已详细阅读该协议”作为下载数据的条件。

对于有条件开放类数据而言，数据开放机关在对开放申请审查并同意后，应与数据利用主体签订政府数据开放利用协议，明确数据安全保护义务。政府数据开放利用协议中，应当对数据利用情况反馈、数据利用用途限制、数据传播限制、安全保障、监督检查等内容作出约定。[18]行政机关还应结合具体情况，在协议中对数据安全保护义务做出特别约定，以实现对数据安全的灵活管控。

（五）数据利用阶段

1.建立对政府数据开发利用活动的有效监督机制

政府数据开放旨在通过对数据的开发利用，实现数据财产性价值的发掘。但数据安全风险也多发生在数据利用过程中，如数据被恶意使用、基于大数据分析技术导致的敏感信息被再识别，数据二次流通也会带来风险。[19]因此，政府数据开放主体应建立政府数据安全审计制度，对政府数据开发利用活动是否符合数据安全管理规定和协议要求进行审计追踪。政府数据开放主体应当对数据处理和数据开放情况进行记录；政府数据利用主体应当对有条件开放类数据的访问、调用和利用等情况进行记录。

2.明确对影响政府数据安全行为的处置规范

行政机关在履行政府数据安全监督管理职责中，如果发现数据开发利用活动存在安全风险，可以对数据利用主体进行约谈，并要求其采取整改措施，消除隐患。如果数据利用主体实施了危害数据安全的行为，行政机关应当依法或按照约定提出整改要求，采取限制或者关闭其数据获取权限等措施，并可在开放平台对违法违规行为和处理措施予以公示。

（六）数据销毁阶段

行政机关应建立数据销毁策略，明确销毁对象、流程和技术等要求，确保数据有效销毁，确保数据销毁符合组织的内外部业务需求和监管需求，兼顾信息技术对存储容量、访问速度、存储成本等需求。[20]首先，行政机关应根据法律规定和实践情况梳理需要销毁的数据，对于不需要继续使用、保存的数据，以及损害国家利益、公共利益以及个体合法权益的数据，应予以销毁。其次，为防止因数据未彻底删除而导致的安全风险，行政机关应对数据销毁流程进行严格把控，设置相关监督角色，以不可逆方式销毁数据，并对销毁过程进行记录和备案。

政府数据开放机关除在政府数据开放全生命周期履行上述数据安全保护职责外，还应在开放过程中建立安全审计、监测预警与应急处置机制。首先，行政机关应建立安全审计机制，形成政府数据开放行为的全程记录，通过日志管理确保行为可溯源，并定期进行安全审计分析。其次，行政机关应建立监测预警机制，对涉密数据和敏感数据泄漏等异常情况进行监测和预警，提升数据安全风险预警研判能力。再次，行政机关应建立应急处置机制，制定安全应急处置预案，定期组织应急演练，在发生数据安全事件时，启动应急预案，采取相应的应急处置措施，及时向有关部门报告，告知数据利用主体，公布与公众有关的警示信息。

 “只有利害相关人共同承担责任并共同参与，在个人自由与社会需求之间，才能有平衡的关系。”[21]合作治理网络是对传统行政规制的有益补充，而非替代。如要实现政府数据安全保护，除了发挥政府数据开放机关的主导作用之外，还需扩张治理的范围，充分发挥政府数据利用主体、技术支持机构、第三方评估机构、受侵害主体和社会公众的作用，调动各方资源，进而提升政府数据安全保护能力。

（一）数据利用主体的数据安全保护义务

数据利用主体应按照法律规定和数据使用协议约定，开展数据开发利用活动。例如《江西省公共数据管理办法》第36条规定，数据利用主体应“对公共数据利用过程中发现的各种数据安全问题及时向公共管理和服务机构反馈、报告。”在数据使用协议方面，数据利用主体应履行以网站声明形式呈现的协议格式条款，还应履行协议中有关数据利用用途限制、数据传播限制等方面的特殊约定。

数据利用主体还应加强数据安全保护的自我规制。数据开发利用过程中产生的数据安全风险往往具有高度个案性，行政机关无法预见可能出现的各种风险，无法一刀切地制定和适用相关规则；而数据利用主体对自身运营掌握更多的知识与信息，更了解自身在数据安全保护方面的漏洞，更有可能找到有效的解决方案。[22]因此，数据利用主体应建立健全数据安全内部管理机制，实施风险监测和风险评估机制，完善数据安全事件应急处置机制，采取相应的技术措施和其他必要措施，保障数据安全。

（二）行业组织在数据安全保护方面的作用

行业组织是因行业、产品等共同特征而组合起来的共同体，其了解数据开发利用过程中可能出现何种数据安全风险，何种安全应对措施更有效。因此，应充分发挥行业组织在数据安全保护方面的作用。按照章程，依法制定数据安全行为规范和团体标准，制定数据安全管理公约，建立和完善自律管理机制；指导会员加强数据安全保护，规范会员行为；组织会员开展数据安全教育、业务培训，推进数据安全合作交流，提高数据安全保护水平和从业人员素质；行业组织还可以加强行业监管，对会员的数据安全风险进行评估，向会员进行风险警示，支持协助会员应对风险。

（三）技术支持机构的作用

1．规范行政机关与技术支持机构之间的委托行为

政府数据开放过程涉及数据平台和信息系统建设与运营、数据维护和存储、数据脱敏、数据加工、数据分析等专业性、技术性很强的工作，行政机关往往委托具备相应能力的技术支持机构承担。行政委托是出于实践的需求，受委托的技术支持机构具有相关的信息、专业知识和技术能力，具有专业性、弹性和灵活性，有助于更好实现政府数据开放和数据安全保护的任务。在此过程中，应规范行政机关与技术支持机构之间的委托行为，确保不因技术支持机构的参与而危害数据安全。

其一，行政机关在选择受委托的技术支持机构时，应对受托方的数据安全保护能力、资质进行核实，确保符合相关要求；符合条件的，签订服务外包协议时，应同时签订服务安全保护及保密协议，约定违约责任。其二，技术支持机构应依法依约履行数据安全保护义务，不得擅自留存、使用、泄露、销毁或者向他人提供数据；还应建立数据安全管理制度，明确承担数据安全管理工作的机构，配备与工作任务相适应的人员、设备，完善安全防护措施。其三，行政机关并不因委托关系的成立，就能逃逸相应的数据安全保护职责。行政机关应建立委托服务安全监督机制，定期检查受托方履行义务的情况，预防、发现、处置各类数据安全风险隐患，确保数据安全事件可追溯，监督受委托主体履行数据安全保护义务。

2．发挥技术支持机构在推动数据安全保护方面的积极性

首先，通过合作机制，技术支持机构可以开展政府数据开发利用技术和数据安全相关教育和培训，培养相关人才，促进人才交流。其次，可以通过各种激励手段，鼓励技术支持机构开展与数据安全有关的关键技术研究，提高数据安全管理水平。

（四）第三方评估机构的数据安全评估

《数据安全法》第18条规定，“国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。”我国已经出台的国家标准有《数据管理能力成熟度评估模型》(DCMM)、《数据安全能力成熟度模型》（DSMM）等，这为评价组织的数据安全能力提供了分析框架。第三方评估机构可以对政府数据开放领域的数据安全保护加以评估，对数据安全治理能力、数据安全战略能力、数据全生命周期安全能力及基础安全等进行评估，对组织机构的组织建设、制度流程、技术工具和人员能力等因素进行评估。

第三方评估机构可以接受行政机关的委托，对政府数据开放领域的数据安全保护情况进行评估，这包括对各级行政机关在政府数据开放中的安全保障工作开展评估，也包括对数据利用主体的数据安全防护能力进行测评，评估安全性能等级，发现安全能力短板，降低数据安全隐患。出具的评估结果可以作为行政机关评估数据治理绩效、进行后续资源配置、采取监管措施的依据。受委托的第三方评估本质上属于政府购买公共服务，委托方应以竞争方式选择第三方评估机构；第三方评估机构应满足基本自治要求；委托评估活动不宜以营利为目的；评估机构与被评估对象不得有任何可能影响公正评估的利益关系。[23]

第三方评估机构也可以独立开展评估活动，对政府数据开放的开放主体、数据利用主体的绩效进行评估。独立评估活动属于自下而上的社会推动机制，并没有委托人，通过评估结果的公开传播，形成软法意义上的压力机制，从而间接推动被评估对象的完善。[24]

（五）健全受侵害主体的权益救济机制

1.完善权益申诉机制

当受侵害主体认为政府数据开放活动对自身的个人隐私、个人信息、商业秘密、商务信息等产生侵害时，应畅通权益申诉渠道。其一，可在政府数据开放平台开通权益申诉专栏，受侵害主体可通过开放平台将其主张告知行政机关，并提交证据材料。其二，应完善答复处理机制，行政机关在收到证据材料后，认为必要的，应当立即中止数据开放，同时在规定的期限内进行核实处理和反馈，根据核实结果分别采取撤回数据、恢复开放或者处理后再开放等措施。

2.探索引入公益救济渠道

当个人提起诉讼的维权成本和难度较大，无法有效实现法律救济时，当国家利益或公共利益受到损害时，或可通过公益诉讼的方式维护合法权益。在政府数据开放中，当违法处理个人信息，侵害众多个人权益的，人民检察院、消费者权益保护组织及由网信部门确定的组织，可以依法向人民法院提起诉讼。[25]未来，应对政府数据开放领域公益诉讼的可适用空间、提起公益诉讼主体、公益诉讼程序等加以探讨，并逐步将其成文法化。

（六）发挥社会公众的作用

1.完善意见建议的提出与反馈制度

其一，应在政府数据开放平台开通意见建议专栏，公众可以通过开放平台对数据安全保护工作提出意见和建议。其二，行政机关应对公众的意见建议予以处理和反馈，并明确处理和反馈的时限。其三，可将意见建议的提出与反馈情况通过平台予以公示，包括建议内容、提交时间、反馈内容、反馈单位、反馈时间等信息。

2.建立健全公众举报制度

其一，应在政府数据开放平台开设举报专栏，公众可以通过开放平台举报危害数据安全的行为，并提交证据材料。其二，应完善答复处理机制，行政机关在收到证据材料后，认为必要的，应当立即中止开放，同时进行核实；在规定时间内根据核实结果作出处理并予以反馈。其三，行政机关应对举报人的相关信息予以保密，保护举报人的合法权益。

《数据安全法》第13条规定：“国家统筹发展和安全，坚持以数据开发利用和产业发展促进数据安全，以数据安全保障数据开发利用和产业发展。”政府数据开放领域数据安全保护制度的建构应着眼于数据全生命周期，在各环节设置有针对性的数据安全管理措施；还应明确行政机关和其他社会主体的角色和作用，完善合作治理体系。这有助于有效降低数据安全风险，促进政府数据开放的价值最大化，对国家安全、经济社会秩序、个体权益与数字经济发展、数据潜能等多元利益和价值加以适当平衡。（责任编辑 辛金霞）