政府数据开放是指行政主体面向自然人、法人和其他组织依法提供具备原始性、可机器读取、可供社会化使用的政府数据的行为。在2015年《国务院关于印发促进大数据发展行动纲要的通知》中,提出要推动政府数据开放共享,建立“用数据说话、用数据决策、用数据管理、用数据创新”的管理机制,实现基于数据的科学决策。截至2021年10月,我国已有193个省级和城市的地方政府上线了数据开放平台。政府数据的汇聚、融通、应用,数据要素市场的培育,有助于提升政府社会治理能力和公共服务水平。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。一方面,数据安全保护有助于在政府数据开放过程中,保障国家秘密、商业秘密和商务信息、个人隐私和个人信息不受损害,维护国家安全、公共安全、经济安全和社会稳定;另一方面,数据安全是政府数据开放的前提,只有保障数据安全,才能最大限度地实现政府数据资源的有效利用。
例如,相当一部分政府数据涉及个人信息,《个人信息保护法》第6条规定,处理个人信息应具有明确、合理的目的,这体现了“目的限制原则”,而政府数据的搜集原本承载了依法履行职责的目的,但政府数据开放的目的已不同于搜集政府数据的目的,政府数据开放旨在释放数据潜能,数据利用主体使用数据的目的具有不特定性,令人难以预计。《个人信息保护法》第13条确立了个人信息保护的告知同意原则,但如果要求在政府数据开放与利用之前,通过告知同意规则获得数据处理的正当化根据,将导致程序过于复杂,不合理地增加运行成本,减损数据价值。又如,随着计算机科学的进步,以及更多政府数据的开放,通过数据累积和比对,开放的匿名化后的政府数据极易被再度识别。
因此,应根据政府数据开放的特性和实际情况,构建行之有效的数据安全保护制度。其一,应构建数据全生命周期安全保护制度。应以数据全生命周期为视角,针对政府数据收集、处理、开放、获取、利用、销毁等环节的数据安全风险,制定有针对性的数据安全管理措施。其二,应构建数据安全保护的合作治理体系。政府数据开放涉及行政机关、数据利用主体、技术支持机构等多方主体,且数据安全保障的复杂性、专业性使得单靠行政机关难以实现数据安全。多元主体的参与和合作可使不同主体共享、动员和聚合分散的资源和能力,协调利益和行动,更好地实现数据安全。
一、行政机关的数据安全保护职责
在政府数据开放过程中,行政机关是数据的收集者、提供者、管理者和政策的制定者。行政机关在数据安全保护中发挥着主导作用,在数据收集、处理、开放、获取、利用、销毁阶段,都应履行相应的数据安全保护职责。
(一)数据收集阶段
行政机关应当遵循合法、必要、正当的原则,采集各类数据。应坚持数据最小化原则,收集的数据应为履行其管理职责或提供服务所必需,收集数据的种类和范围应与其履行的管理职责或者提供的服务相适应。没有法律、法规依据,不得采集公民、法人和其他组织的相关数据;采集公共数据应当限定在必要范围内,不得超出公共管理和服务需要采集数据。[11]此外,行政机关应对数据收集的环境、设施和技术采取必要的管控措施,保证数据在采集过程中不被泄漏,确保数据安全可控。
(二)数据处理阶段
1.建立政府数据分类分级保护规则
政府数据开放范围非常广泛,需要明确是否可以开放以及开放的程度和形式,因此,应构建数据分类分级规则,对不同数据制定差异化的安全保护措施。
《数据安全法》第21条规定:“国家建立数据分级分类制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”行政主管部门应结合政府数据安全要求、个人信息保护要求和应用要求等因素,制定政府数据分级分类规则。政府数据开放主体应按照分级分类规则,制定相应实施细则,对政府数据进行分级分类,确定开放类型、开放条件和监管措施。
实践中,一般将政府数据区分为不予开放类、有条件开放类和无条件开放类三种。其一,对涉及国家秘密、商业秘密、个人隐私,或者法律法规规定不得开放的,或者因数据获取协议、知识产权保护等禁止开放的政府数据,列入不予开放类。其二,对数据安全和处理能力要求较高、时效性较强或者需要持续获取的;对开放将严重挤占政府基础设施资源,影响数据处理效率的;对开放安全风险难以评估的;以及依法经脱敏、脱密等处理的不予开放类政府数据,符合开放条件的,应列入有条件开放类政府数据。其三,其他可以提供给所有公民、法人或者其他组织使用的政府数据,列入无条件开放类。
行政机关应当依据法律和分级分类规则,对收集、产生的政府数据进行评估,科学合理确定开放属性,并定期更新。但政府数据分类分级本身并非终点,关键在于对不同类别和级别的数据设定不同的安全保护规则,在数据安全要求、应用场景要求、反馈要求等方面设定不同的数据开放条件。根据数据的敏感程度不同,应在数据采集、传输、储存、访问、共享、开放、销毁等环节中采取不同的数据安全保护措施。
2.构建政府数据安全审查机制
应构建政府数据安全审查机制,来判断特定政府数据是否开放,开放需要何种安全条件。应明确政府数据安全审查机制的适用范围、审查程序和审查内容。(文/南开大学 宋华琳 郑琛)
………………
论政府数据开放中的数据安全保护制度 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/fFSBty4oHJi 提取码: c3q4