政务数据共享授权决策模型研究

马 英

（国家信息中心，北京 100045）

0 引 言

随着数字经济引领经济增长的作用日趋显著，数据共享得到持续推进。近年来，国务院及相关部门相继下发了《政务信息资源共享管理暂行办法》（国发〔2016〕51号）[1]、《政务信息系统整合共享实施方案》（国办发〔2017〕39号）[2]等一系列文件指导政务数据资源整合共享工作。根据国务院部署的相关工作要求，按照“先联通、后提高”的原则，加快各级数据共享交换平台建设，推进政务信息系统整合共享，全面化解互联互通难、信息共享难、业务协同难的问题。

在国家的大力推动下，国家数据共享平台体系建设已基本完成。政务数据共享在助力“放管服”改革、推进政务服务“一网通办”业务，在支撑我国数字政府建设中起到了重要作用。同时，随着数据共享的深入推进，数据供给和数据需求对接成为持续发展需要解决的问题。在不同的业务场景中，数据共享的内容和要求不尽相同。例如，政务服务“一网通办”业务，某一政务服务事项所需共享的数据是确定的，实现“一网通办”须在开展数据共享的基础上进行业务协同。在智慧城市中出现火灾、安全生产事故等应急事件时，数据共享的及时性是第一位的。我们需要进一步加强数据共享安全管理，构建安全与效率兼顾的数据共享决策机制，希望在一定程度解决上述问题。政务数据共享来源于各级政务部门，具有数据类型复杂、应用范围广泛等特点，通常为来自不同组织或部门、不同身份与目的的用户提供服务。分布式的系统部署、开放的网络环境、复杂的数据应用和众多的用户访问使数据在保密性、完整性、可用性等方面面临更大的挑战。数据保护难度加大、个人隐私泄露的风险加剧，因此需要加强数据的访问控制。一是用户身份鉴别。数据的共享意味着会有更多的用户可以访问数据。大量的用户和复杂的共享应用环境，导致需要更准确地识别和鉴别用户身份，而传统基于集中数据存储的用户身份鉴别难以满足安全需求。二是用户访问控制。在数据共享应用场景中，由于存在大量未知的用户和数据，预先设置角色及权限十分困难。即使事先对用户进行权限分类，但由于用户角色众多，难以精细化和细粒度地控制每个角色的实际权限，从而导致无法准确地为每个用户指定其可以访问的数据范围。

1 相关工作

目前，国内外在数据共享领域中对访问控制的研究和工作较多。2019年12月，美国发布《联邦数据战略与2020年行动计划》，确立了政府范围内数据共享开放和数据安全的框架原则以及40项数据管理实践[3]。2017年8月，英国发布《英国新数据保护法案：改革计划》，提出新的法案以打造安全可靠的网络空间，在推动英国与欧盟国家之间数据流动的同时，进一步强化数字经济时代的个人数据保护[4]。2016年9月，我国发布的《政务信息资源共享管理暂行办法》[1]中明确提出“建立机制，保障安全”，各政务部门和共享平台管理单位应加强对共享信息采集、共享、使用全过程的身份鉴别、授权管理和安全保障，确保共享信息安全。2018年7月，国家发展改革委发布《国家数据共享交换平台（政务外网）服务接口申请、授权和使用管理暂行办法》[5]，明确了数据共享的申请、授权、使用的行为和流程。2021年6月，我国正式出台《中华人民共和国数据安全法》，在第五章政务数据安全与开放中明确提出“对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供”“建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全”。

从技术上，业界提出了多种数据授权访问控制方案。2005年，属性基加密（Attribute-Based Encryption，ABE）被首次提出，为数据隐私保护与访问控制的融合提供支持[6]。区块链技术（Blockchain Technology）首次出现在中本聪[7]发表的《比特币：一种点对点的电子现金系统》，余益民[8]等提出基于区块链的政务信息资源共享模型，利用智能合约实现数据的访问控制。

本文主要讨论在目前国家数据共享平台体系架构下，建立良好的数据授权管控机制，实现合法用户在正确的时间用正确的方式对数据进行正确的操作，保证数据被安全合规地使用。数据授权管控机制的建立需要兼顾安全与效率，既要满足安全要求，又要简化操作流程；既要满足对数据资源访问的细粒度控制要求，又要兼顾自然灾害、公共卫生事件等公共安全事件发生时达到数据快速共享的要求。

2 当前政务数据共享的授权方式

自2017年以来，各部门各地方开展政务信息共享，主要采用“申请授权方式”。数据共享申请授权流程如图1所示。

图1 数据共享申请授权流程

数据使用方分析业务数据需求，发起数据使用申请。申请时需要明确数据申请理由、数据使用用途、数据使用期限等。数据共享申请由数据共享平台统一受理，开展合规性审查，并将需要部门审批的申请进行转办。数据提供方对数据申请进行授权，如果不予授权应说明理由。数据共享平台将授权结果统一反馈给数据使用方。

3 存在的问题

针对政务数据共享涉及部门多、层级多、应用场景多的特点，当前的政务数据共享授权模式能够满足细粒度访问控制需求，灵活性高。但是该授权方式也存在一定的问题。一是申请审批操作量大。该授权方式属于“一事一议”制度，授权主体为提供部门的某一数据资源，授权对象为政务部门的某一业务系统。对于数据提供部门，特别是对于民政部、公安部、发改委等提供数据资源价值较高的国家部门来说，申请审批操作量较大。二是跨层级授权审批流程长。国家数据共享体系由国家、省、市三级数据共享平台组成。中央部门数据资源向市级政务部门提供共享服务时，需要数据使用单位、数据提供单位、国家、省、市三级数据共享平台管理单位共5个相关方参与授权业务办理，审批环节多、流程长，全流程办理时间长，效率低。三是授权标准不统一。目前各部门未明确统一的授权标准，部分部门针对不同省份提交的相似的数据共享申请存在选择性授权的情况。

4 数据共享授权机制设计

为解决当前数据共享授权模式存在的问题，兼顾安全与效率，实现数据共享的灵活、及时、精准授权，基于已有的申请授权数据共享授权机制，提出基于属性授权和应急授权两种数据共享安全管控机制，分别对应不同的数据共享需求和使用场景。

4.1 基于申请授权的安全管控机制

在现有的申请授权方式的基础上，对申请数据授权操作流程进行优化，提出基于申请授权的安全管控机制。

数据使用方分析业务数据需求，发起数据使用申请。申请时需要明确数据申请理由、数据使用用途、数据使用期限等。需求提出方数据主管部门应审核数据使用需求的合理性，主要关注的问题为数据消费是否是部门真实需求，资产使用范围、使用期限是否合理。

数据提供方对数据共享申请进行授权，如果不予授权应说明理由。如果需求方提出的数据共享申请中涉及隐私数据，需要数据提供方隐私专家对个人数据使用的必要性、合规性进行审核。

数据共享管理方负责统一受理共享申请，对申请进行合规性审查，并对提供部门进行催办，汇总统计各政务部门的申请、授权和使用情况。如果对共享条件、申请理由、授权结果有异议，可由数字政府建设领导小组协调解决。

基于申请授权的安全管控机制的定义：

（1）设DR表示数据资源，O表示机构，S表示业务系统，R表示申请，D表示授权时间，A表示提供方审批结果。

（3）A ( Ri) 表示数据提供方对申请的审批结果，审批结果T为审批通过，F为驳回，S为驳回补正。审批时间范围应根据业务需求确定，最长不超过3年。

目前国家数据共享平台体系由多级平台构成，从申请受理到授权采用逐级审批的方式。为了简化数据共享授权流程，建议以发布资源的数据共享平台为中心，进行统一的申请受理，减少多级平台逐级受理和转办的工作量。整体授权以被授权开展服务代理的共享平台为中心，面向本级部门开展申请受理，并自动向数据提供方所在平台备案。

4.2 基于属性授权的安全管控机制

各政务部门面向群众和企业提供的政务服务事项基本一致，某一政务服务事项的业务流程和所需数据的共享流程也基本一致。因此，可以建立“场景化”授权方式。首先，由业务方主管部门与数据提供方线下协商，对某一业务场景的数据供需达成一致；其次，由数据提供方设定数据面向该业务场景进行授权；最后，由业务主管部门负责确认哪些下属部门、哪些业务系统用于办理该场景的业务。通过“场景化”授权的方式，已纳入授权的部门和业务系统无需再提出资源申请，即可开展数据共享使用。

为了满足“场景化”授权的需求，建立基于属性授权的安全控制机制。在数据提供方和数据使用方之间，建立一套基于资源属性、用户属性、业务系统属性的授权规则，实现对数据访问权限的控制。3种属性关键要素关系如图2所示。

图2 共享属性关键要素关系

数据资源属性包括数据资源的URL、访问地址、类型、业务主题等。

用户即是数据的使用方，用户属性主要定义使用方的身份和特征，主要包括组织、身份、角色等。

业务系统是使用数据的系统，系统属性主要定义系统名称，包括IP地址、所属业务等。

基于属性授权的安全管控机制的定义：

（1）设DR表示数据资源，O表示机构，S表示业务系统，D表示授权时间。

（4）数据资源访问判断规则：

Rule=can_access(DR,O,S,f(Attr(DR),Attr(O),Attr(S)))函数f根据DR、O、S的属性值进行判断，如果与DRm的预定义属性相匹配，则返回true，允许访问，否则返回false，拒绝访问。

（5）基于属性的构建访问控制策略，每一条策略可以包括一个或者多个规则，每个规则包含资源、机构或系统的属性值。访问控制决策通过匹配资源、用户或系统的属性得出。

基于属性授权的安全控制机制相对申请授权方式采用的“一事一议”的方式更加便捷，减少了数据使用部门申请操作和数据提供部门授权操作的次数，大大提升了数据共享授权的效率，同时又能够满足数据提供方授权安全管控要求。

4.3 基于应急授权的安全管控机制

当自然灾害、公共卫生事件、社会安全事件等公共安全事件发生时，需要多个政务部门相互协同，采取应急处置措施予以应对，提升行政效率，把事件可能造成的人员和财产损失降到最低限度。开展应急处置，需要不同部门之间的协调配合，而保持信息的流通和共享是最重要的。

申请授权机制由各相关方在平台上进行申请授权操作，按要求在10个工作日内完成申请授权审批流程，时间上无法满足公共安全事件数据共享的要求。属性授权机制通过预设数据属性确定授权范围，无法满足应急场景下的突发性需求。因此，本文新提出应急授权安全管控机制，由公共安全事件应急处置主管部门提出数据共享需求，数字政府建设领导小组负责审批，数据管理部门进行具体操作，快速完成数据使用授权工作。应急授权的时效为14天。如果后续还需要继续使用数据，则由数据使用部门按照申请授权流程提出数据使用申请，补办相关手续。

基于应急授权的安全管控机制的定义与基于申请授权的安全管控机制的定义基本一致，核心区别主要包括以下两个方面：

（1）A(Ri)表示数字政府建设领导小组的审批结果，而不是提供方的审批结果，审批结果T为审批通过，F为驳回，S为驳回补正；

（2）D表示授权时间，应急授权审批时间较短，不能大于14天。

应急授权的方式首先考虑共享授权效率问题，实现公共安全事件应急处置所需数据的快速共享，同时又兼顾了数据提供部门的数据审批权。

在政务信息共享工作中，应用需求和使用场景多样，3种不同的访问控制机制应协同使用。首先，应采用属性授权方式，数据提供方明确数据属性，根据已知的需求和场景确定授权范围。如数据使用方确定其在授权范围内，则无需申请直接进行数据共享应用。其次，针对不在属性授权范围内的共享需求，数据使用方采用申请授权方式提交授权申请，经过数据提供方的授权审批后，开展数据的共享应用。当数据提供方明确该需求具有普遍性，并能够确定其用户和系统范围时，可将其设置到数据属性中，转化为属性授权方式。最后，当出现突发事件时，采用应急授权方式，尽快获取数据使用权限。数据使用方在确定该数据资源仍需继续使用时，需要与数据提供方协商，确定后续采用属性授权或申请授权的方式进行权限的重新获取。3种不同的访问控制机制三位一体，实现数据共享的精准、安全、快速授权，更好地支撑政务数据共享需求。

5 共享授权决策模型

申请授权主体基于自身业务场景和数据共享需求，选择适用的申请授权机制进行申请操作。申请授权主体在进行数据访问决策时，数据共享平台需对授权情况进行验证，以判断是否允许数据访问。数据共享授权决策模型如图3所示。

图3 数据共享授权决策模型

策略实施点是授权访问控制的实体，可拦截数据访问请求，并向策略决策点发送授权请求，根据授权响应结果，执行允许或者拒绝用户请求的操作。

策略决策点利用策略规则集判断用户的访问请求是否满足要求，从而决定是许可还是拒绝，并将策略决策结果反馈给策略实施点。

数据共享在进行数据访问决策时，需要统筹考虑3种授权机制，进行综合决策。其中，应急授权机制决策优先级最高，属性授权次之，最后进行申请授权决策判断，其判断优先级如表1所示。

表1 授权机制的决策优先级

6 结 语

在新时代政府数字化转型的背景下，政务信息共享的需求越来越多，应用场景逐步增加，加强数据共享安全的措施和手段正逐步落地。本文为解决不同场景下数据需求和供给有效对接的问题，根据政务数据共享3种主要的应用场景，提出相应的数据共享安全管控机制，并进一步提出了共享授权决策模型。根据本文的分析总结，数据提供方应在数据分类分级和敏感数据标识的基础上，设置数据的共享属性和安全属性；数据共享管理单位要做好政务信息共享组织和管理流程设计，针对不同数据共享需求和数据应用场景，选择合理的数据共享访问控制方式。数据使用方依据数据授权决策模型获取数据，依法依规合理使用数据资源。