任维赫 中国信息通信研究院政策与经济研究所工程师
公共信息资源开放对推动信息经济发展和提升政府治理水平具有重要促进作用,也对公共信息资源开放部门和开放平台的网络信息安全保障能力提出了较高要求。根据《公共信息资源开放试点工作方案》(简称《方案》)要求,要以数据安全为前提,加强风险评估和综合研判,同步安排制度建设和技术手段,同步跟进安全审查和监督检查,维护国家安全、商业秘密和个人合法权益。
近年来,我国先行地区在公共信息资源开放的过程中落实国家安全保障要求,依托制度建设开展安全保障探索,维护数据开放平台稳定运行。《网络安全法》的施行,进一步为公共信息资源开放安全保障提供了指引。
(1)国家政策法规总体要求
国家政策法规对公共信息资源开放部门和平台做出了相应要求。一方面,要求各部门明确数据开放范围,守住安全底线。《保密法》明确了保密原则与范围,要求切实维护国家安全和利益。《方案》规定凡是不涉及国家秘密、商业秘密和个人隐私以及法律法规规定不得开放的公共信息资源都应逐步纳入开放范围。要建立健全公共信息资源开放安全管理制度和保密审查制度,加强动态管理,落实各项安全保护措施。另一方面,要求数据开放平台保障数据和来访用户的信息安全。《网络安全法》第四章“网络信息安全”规定,网络运营者应当对其收集的用户信息严格保密,并健全用户信息保护制度,网络运营者还应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。《方案》进一步要求网络安全技术措施要与公共信息资源开放平台同步规划、同步建设、同步运行。
(2)先行地区安全保障现状
一方面,开放部门明确数据开放范围。北京市提出在数据开发利用环节建立公共信息资源开发利用分级认证制度,有效规范应用管理;贵州省2016年出台《贵州省大数据发展应用促进条例》,明确要求数据共享开放应当维护国家安全和社会公共安全,保守国家秘密、商业秘密,保护个人隐私,保护数据权益人的合法权益;深圳市提出加快数据安全保护立法,为开放政府数据、数据保护提供法制保障。另一方面,开放平台保障用户数据安全。北京市开放政府数据网站声明尊重并保护所有网站用户的个人隐私权,承诺未经用户许可或根据相关法律、法规的强制性规定,不会将用户个人信息透露给任意第三方;上海市开放政府数据网站则保证除基于为用户提供有效答复外,不向任何无关第三方提供、出售、出租、分享和交易个人信息。同时,网站坚持最小化采集用户信息,北京市开放政府数据网站中用户无需注册即可在线检索、浏览数据资源,只有在用户需要下载数据资源时,才需要用户进行实名注册;上海市仅针对特定功能收集个人信息,包括通过网站发布提供数据应用服务,在线提交、发送电子邮件等方式提出建议或意见。
国际上开放政府数据先行国家高度重视安全问题,积极推动开放政府数据安全的法律体系建设,加强政策施行和技术防范,从多维度加强安全保障。
(1)建立制度加强数据开放安全保障
世界各国重视开放与安全的平衡。如美国《透明和开放政府备忘录》中指出要注重开放和保密之间的平衡,英国《开放数据白皮书:释放潜能》首次明确数据权,强调开放数据和隐私保护之间的平衡。各国采取多种手段加强安全保障。一方面,强化立法。美国《信息自由法》、《电子信息自由法令》、《隐私法》等强调数据的开放必须与国家安全、法律执行、个人隐私保护等方面达成平衡。欧盟委员会2016年通过了《一般数据保护条例》,赋予用户遗忘权与数据可携权,并引入数据泄露通知制度,加大个人数据泄露处罚责任。加拿大《隐私法》明确规定限制个人信息的收集、利用与泄露,为加拿大公民提供了浏览与修改由政府所保管的公民个人信息的权利。新加坡国会《个人信息保护法令》明确个人信息保护的各项权利,包括获得权和修改权,规范了个人信息在机构间的流动秩序。另一方面,加强审查。如英国承诺在开放政府数据时,将严格遵守1998年《数据保护法案》所确定的“公平合法”、“保留”、“安全”等原则,进行开放前审查。
(2)采取技术手段加强网站运行安全
先行国家重视通过技术手段增强网站防攻击能力,保护网站和数据安全。如美国采用商用软件程序监视网络流量,用于识别未经授权的信息上传、更改,及其他可能损害网站的行为,并对未经授权上传信息和更改网站信息行为按《计算机欺诈和滥用法案》及《国家信息基础设施保护法案》中的有关罪名处置。英国以严格的安全标准和领先的技术与加密软件来保护数据安全,防止任何未经授权的访问。新加坡在电子储存、个人数据传送等环节加载安全功能辅助管理。与此同时,网站减少个人隐私留存,避免一旦出现安全问题泄露个人隐私。如美国开放政府数据网站不对用户进行强制登记,不收集用户访问日志。仅针对特定功能预留邮箱验证身份,如加入data.gov社区、评论博客文章或数据集、建议开放数据集等。
根据《方案》中对安全保障的相关要求,试点地区应认真统筹好开放与安全的关系,需要将安全保障与开放平台建设同步规划、同步建设、同步安排、同步跟进、同步运行。建议从4方面着手,全面提升公共信息资源开放安全保障能力与水平。
(1)增强开放政府数据平台防护能力
落实相关法律法规要求,采用安全可靠产品和服务,增强对篡改、泄露、攻击行为的防御措施。健全数据开放平台安全防护体系,采用物理、电子、程序等多种举措识别危害行为,保障开放政府数据网站安全。完善开放网站管理措施,定期开展自查、互查与督查,全面提升网站安全运营维护水平。
(2)完善信息安全管理措施
强化风险评估,加强信息关联分析,完善开放审批、应急撤回、问责追责机制,保护国家安全、商业秘密、维护个人合法权益。对用户信息收集分情况讨论,既要对使用基础功能的用户免去繁琐的信息登记和收集,定期销毁搜集、记录的原始用户数据;又要加强对大规模利用开放数据用户的登记、预留邮箱等个人信息验证,防止窃密、破坏活动。
(3)提升数据利用安全的管理水平
任命网络安全官或数据安全官,加强对数据采集、存储、处理、使用等各环节安全管理。明确责任边界,对滥用数据的企业和个人追究责任,对利用数据分析泄露国家秘密、商业秘密和个人隐私的企业或个人追究相应的法律责任。
(4)加强对数据开放安全的政策支持
强化制度创新和法制建设,研究制定公共信息资源开放管理办法及细则。加强试点示范和标准建设,积极探索创新。综合利用现有资金渠道,落实公共信息资源开放安全保障所涉及的资金,严格相关项目验收。加强人才培养与安全知识培训,全面提高公共信息资源开放人员队伍素质。