王 珏 任娇菡 杨 恒 初景利*
1)中国科学院文献情报中心,北京市海淀区中关村北四环西路33号 100190 2)中国科学院大学经济与管理学院信息资源管理系,北京市海淀区中关村北四环西路33号 100190
根据联合国教科文组织的定义,开放科学是集各种运动和实践于一体的包容性架构,旨在实现人人皆可公开使用、获取和重用多种语言的科学知识,为了科学和社会的福祉强化科学合作和信息共享,并向传统科学界以外的社会各主体开放科学知识的创造、评估和交流的过程[1]。开放科学是未来国际主流学术交流的大势。在开放科学环境下,科研信息的流动速度加快,流动范围进一步扩展,科学成果共享成为学术交流的主导模式,对于促进科技的进步与创新具有不可替代的作用。但同时,在开放科学大发展的大环境下,由于种种复杂的原因,科技论文发表过程中存在的信息安全风险不容忽视,影响国家经济、国防和军事安全的事件时有发生。任何国家的经济、国防和军事实力都与其科技潜力与科技核心竞争力有关,科研成果在促进各个领域的发展的同时也存在着一定的安全风险,信息安全必须得到保障,尤其是在论文发表过程中,要切实防止敏感信息泄露,影响到国家安全的科技信息必须得到有效的保护。
近年来,随着国家加大科技投入,我国科研成果数量呈爆发式增长,重大科研成果产出能力显著提升,尖端科学领域屡有突破[2]。但目前国际形势错综复杂,地缘政治挑战日益严重。因此,一方面要大力推动科技的创新发展,推动开放科学发展并融入国际主流;另一方面,要冷静审视并高度重视其中客观存在的信息安全隐患,既要保障正常的科研成果发表与学术交流,又要强力保护知识产权以及保障国家信息安全。不能因为支持开放科学,而不加管控地公开所有成果。
在信息与网络时代,针对信息安全的研究从未停止。随着技术的发展和时代的演变,研究逐渐精细化与场景化,既往研究梳理了对信息安全问题的认知与管理“盲区”[3],而科研成果发表过程中的信息安全管控尚未得到充分探究。由于监管涉密科研任务存在一定难度,科研信息泄密事件屡有发生,相关人员保密意识不强、保密管理不到位、数据传输不规范等导致了信息泄露。此外还有人利用双重身份,未经审批便擅自引用有关涉密文件的内容并借助科技论文主动泄密[4]。除此之外,在期刊编辑出版的全流程中隐藏着各类风险,王旌等[5]将其总结为政治风险、学术风险与经营风险,并重点指出在发表过程中存在过失泄密、科研失信等风险,提出应建立健全各项监管制度、制定风险应急预案、提高风险认知、强化风险防范意识等应对措施。邓婧等[6]在智能出版视域下对学术期刊在信息安全等方面存在的风险进行分析,指出在内容生产过程中,学术期刊积累的学术数据易受到物理安全与网络安全等方面的威胁,并据此梳理了学术期刊伦理问题中的主客体责任。何永艳等[7]指出科技期刊作为科学发现的承载者和传播者,因具有政治性和学术性的双重属性,极易产生意识形态风险,因此需要加强意识形态建设、维护意识形态安全、建立各项监管制度。上述研究均指出科研成果发表过程中存在一定的风险隐患,但并未具体厘清科研成果信息安全的概念范畴,也未具象化各类风险的责任主体与规避措施。为了进一步探究我国科技论文发表中存在的各类安全问题,本文首先对开放科学环境下科技论文发表中的信息安全概念进行梳理和阐释,同时对科技论文发表流程中的安全隐患与风险进行解析,在此基础上构建科技论文信息安全框架,并构建论文发表过程中的信息安全审查与处理机制。
在常规意义上信息安全是指信息系统不遭到破坏、更改、泄露,系统连续、正常地运行,信息服务不中断,实现业务连续性[8]。信息安全管控是指在互联网的海量数据信息中,通过各种数据采集、分析方法对特定主题的信息进行获取、识别和分析,从而保障互联网传播内容的机密性、完整性、不可抵赖性、社会公共安全性[9]。承袭常规的信息安全概念,本文所指的科技论文发表中的信息安全具有更具体的背景和特征:科研成果具有前沿性和创新性,但从信息安全的角度考虑,其需要在广泛传播与维护主权安全之间寻找平衡。
信息安全相关法律法规有助于维护我国信息流通的正常秩序,保障国家和个人合法权益;立足信息传播技术,具有充分的预测性和前瞻性。在执行过程中,各主体遵循以预防为主、主管部门与业务部门相结合等原则。除了国务院颁布的法律法规,还有公安部、农业农村部等政府部门制定的规章制度,以及具体到各行各业的政策条例。
国家法律层面,于2017年6月27日正式通过的《中华人民共和国国家情报法》基于总体国家安全观,对相关情报活动的主客体进行了明文规定,也对情报搜集及保障工作做出了清晰的解释[10]。于2021年11月1日起施行的《中华人民共和国个人信息保护法》[11]保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。于2021年9月1日起施行的《中华人民共和国数据安全法》[12]规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,指出应建立数据分类分级保护制度以及对国家核心数据实行更加严格的监管制度。
在国家法律基础上,各部门和单位形成各行各业的相关制度,如于2022年9月1日起施行的《数据出境安全评估办法》[13]旨在在促进数据跨境安全、自由流动的基础上保护国家和个人的信息权益。除此之外,各行业领域的信息安全政策、数据加密政策等也发挥此作用[14]。中国科协等五部委在2015年发布的《关于准确把握科技期刊在学术评价中作用的若干意见》(科协发学字〔2015〕83号)中特别提出了“加强对期刊出版机构和人员队伍的管理,落实科技论文发表过程中的保密审查制度,保障国家战略利益和信息安全”。中国科学院学术道德委员会2021年发布《关于在公众媒体上发布学术成果常见问题或错误的诚信提醒》,对学术成果发布提出了7条重要提醒[15]。2022年211家中国科协全国学会联合发布《中国科协全国学会出版道德公约》,特别提出“不参与任何有损国家利益、违反法律或违背道德的科研活动”。
安全风险的治理涉及多个学科和多个维度。法律法规作为顶层设计,是信息安全控制的最强手段之一,其优点是效力强、适用性强,但由于立法周期普遍较长,法律法规有时难以适应日新月异的环境。在相关政策解读和标准制定方面,经国家标准化管理委员会批准,全国信息安全标准化技术委员会于2002年4月15日在北京正式成立,在信息安全技术专业领域内,从事信息安全标准化工作。该技术委员会的成立标志着我国信息安全标准化工作步入了“统一领导、协调发展”的新时期。该技术委员会已组织制订332项网络安全国家标准,其编制的《信息安全技术 信息安全控制评估指南》《信息安全技术 大数据服务安全能力要求》等国家标准已经进入意见征求阶段,是我国信息安全标注化工作的最新成果[16]。但这些国家法律法规还未对科技论文发表中的信息安全作出明确的界定。
科技安全是国家安全战略的主要内容[17],包括科技成果安全、科技活动安全等。承袭总体国家安全观的宏观视角,本文聚焦期刊论文发表中的信息安全,其中既包括科研成果在生命周期的各阶段存在的问题,如论文的内容信息及论文发表中的动态信息涉及的个人及课题组信息安全、机构信息安全、行业领域信息安全和国家信息安全,又包括论文发表的外部环境安全,如保证科学论文涉及的各类型信息和数据处于被合法合规采集和利用的安全状态。因此要对学术成果生产的整个流程进行拆解(包括学术信息生产、发布、传播和存储等环节),管理及控制信息内容及其使用者,保证科研成果在生产和发表的各个流程中处于稳定且持续的受控状态,同时保障其受到相应的全流程法律法规和制度规范的审查与控制,如表1所示。
表1 科技论文发表各流程中的信息安全控制内容及手段
对于信息安全的控制涉及各个流程的衔接和配合,其中法律法规及制度规范作为顶层设计尤为重要,是保障信息安全的最有力的手段。例如,需要用法律手段来维护核心研究成果所形成的知识产权的转移,尤其是跨国的转移,完善的法律可以最大限度地避免以获取专利为目标的并购可能引发的科技安全问题和著作权并购可能引发的文化安全问题[18]等。在相关人员的安全素养和成果发表的审查制度方面,von Solms等[19]在针对信息安全管理的研究中指出,不能完全把安全问题委托给技术部门,科研人员、科研辅助人员、期刊编辑人员以及出版人员等相关人员都需要具有宏观的信息安全意识与素养,才能降低保存、传播等流程中的风险。
为了对我国科技期刊论文的发表情况做全景扫描,整体审视具体发表流程以及最可能引发安全问题的论文发表情况。
在各类科研成果产出中,科技论文仍是主要形式。通过对科技论文发表流程进行梳理(图1)可知,在科研成果发表的整个流程中,出版机构通过初审、外审、复审、终审等环节对成果质量进行把控。国家主管部门提出了“三审三校”的制度要求,审查内容主要包括论文质量、创新性、实验数据、论文结构等。但值得关注的是,无论是期刊编委还是外审专家,目前都侧重于考察论文的专业性和规范性。某些领域期刊设有保密审查机制,主要通过向作者单位发函确认等形式对成果内容涉密情况进行审查,而绝大多数期刊和科研机构尚未形成完备的信息安全审查流程,部分科研人员(作者)、审稿专家、编辑缺乏信息安全的基本意识。
图1 科技期刊论文发表一般流程
在开放科学的大环境下,科研成果的时效性和可获取性越来越重要,科研成果发表周期进一步缩短,各个审查环节被压缩或省略,但成果传播范围越来越广泛,由此衍生的知识产权保护问题和相对应的信息安全风险也进一步加深。
选择InCites数据库作为数据来源。InCites 数据库是科睿唯安在汇集和分析 Web of Science(WoS)核心合集引文数据的基础上,综合各种计量指标和各学科各年度的国际对标数据建立起来的科研绩效分析与学科分析工具[20]。综合考虑开放科学在我国的实践进展,将时间窗口定位于2012—2021年,并根据科研成果的“期刊地域归属”和“作者地域归属”来确定“成果版权流向”,以我国为主要研究对象。流出论文指我国作者在其他国家和地区的期刊上发表的论文;流入论文指其他国家和地区的作者在我国期刊上发表的论文;外向论文指我国作者在国内或国际开放获取期刊上发表的论文。在学术成果出版的过程中,无论外向论文的版权归属于哪个出版机构,读者都可通过开放获取方式在一定程度上获取其内容。根据三类论文的不同特点,在InCites数据库中构造检索式,获取所需数据(不含港澳台地区数据),具体情况如图2所示。
注:InCites数据集更新日期为2022年4月1日。图2 检索式构造示意
2.2.1 论文总量与流出分布情况
WoS科技论文收录总量排名前五的国家为美国、中国、英国 、德国和印度,其中,中国的WoS科技论文收录量增长态势最为迅猛:由2012年的188575篇增长到了2021年的629378篇,并于2020年超过美国。中国已经成为WoS收录科技论文数量最多的国家,如图3所示。
图3 WoS收录论文总量
根据对中国流出论文数量增长率以及WoS收录中国科技论文数量增长率的统计可知,两者的差距在逐渐弥合。2012—2019年,流出论文数量增长率始终高于WoS收录中国科技论文数量增长率。2013年两者差值最大,中国流出论文数量增长率比WoS收录中国科技论文数量增长率高3.2%,这表明相比将科研成果发表在国内期刊上,我国科研人员更倾向于选择将科研成果发表在国际期刊上。近年来,由于国家政策的改变,中国流出论文数量增长率大幅降低,并在2020年和2021年低于WoS收录中国科技论文数量增长率。
从流出论文的学科领域看,化学领域的流出论文数量最多(573366篇),其次是工程领域(388112篇),再次是材料科学领域(231465篇),计算机科学、生物化学与分子生物学、环境科学、药学、数学等领域的流出论文数量在10万~20万篇范围内。显然,这些学科领域的部分科研成果与我国尖端科技事业的发展息息相关。追踪其流向情况可以看到,大多数我国尖端科技领域的科研成果流出到了对我国实施高技术出口限制的西方发达国家和地区(图4)。
图4 流出论文学科领域与国家/地区分布
2.2.2 论文流入与流出情况对比
当一国的流出论文数大于流入论文数,则认为该国处于科技论文传播的“逆差”状态,反之处于“顺差”状态[21]。将我国流出论文数与流入论文数之差作为论文逆差值。我国与英美两国的论文逆差值要远高于其他国家,我国与美国的论文逆差值最大,达1130481篇。受到严重的逆差状态的影响,我国科技论文在国际社会的传播与交流形势已经演变为“流出泛滥,流入干旱”的不平衡局面。对流出论文数和流入论文数进行逐年统计,并将两者比值作为科技论文交流逆差指数。如图5所示,10年来我国的科技论文交流逆差指数总体呈上升趋势,由18.23上升到36.96;10年间的平均科技论文交流逆差指数为29.77,即每流出29.77篇论文,才有1篇流入。
图5 科技论文交流逆差指数
2.2.3 开放获取情况与科研成果外向度
以论文开放获取为代表的开放科学运动在我国不断发展,科研人员的开放意识不断增强,我国科研人员在国外开放获取期刊上发表的文章数量也在逐年提高,由2012年的39543篇增长到了2021年的231473篇,在10年间增长了将近5倍,如图6所示。总体上,这一增长速度快于我国流出论文数的增长速度,这说明我国科研人员对开放获取期刊的兴趣在快速提升。
图6 流出论文的开放获取情况
参考经济学中“经济外向度”的概念[22],将WoS中来自我国的开放获取论文数与WoS收录我国科技论文总数的比值作为我国“科研成果外向度”。科研成果外向度越大,说明我国科研成果在国际社会上的透明度越高,该指标可用于衡量我国科研成果与国际社会交流与联系的紧密程度。如图7所示,2012—2021年,我国科研成果外向度从2012年的0.24一直攀升到2021年的0.41,即WoS收录的我国科技论文中,有将近半数论文是可供国际社会开放获取的。
图7 我国科研成果外向度
通过梳理与横向对比上述数据,可将我国科技论文发表的整体情况总结为:在国外发表的论文总量大,但增长趋势有所放缓,其中开放获取论文占比逐年增加。我国正积极与国际学术领域进行交流,但应当高度重视的是,在成果传播范围扩大和国际学术影响力提升的同时,一系列隐藏的风险随之而来,例如版权以及引用许可等问题[23]。同时,开放获取论文数量的不断增长也反映出我国科学界与国际科学界进行交流的需求在不断加深,而过高的科研成果外向度也意味着知识产权和信息安全隐患的增加。
综上所述,我国科技论文发表和学术交流中还存在以下安全问题:(1)缺乏必要的信息安全审查机制。对在国内外期刊上发表的论文缺乏专门的信息安全评估与审查机制,作者、审稿专家和期刊编辑不清楚信息安全责任,信息安全监管范围不明。(2)开放科学浪潮导致学术交流体系快速变化,政策滞后性增大。不适宜的制度规范会使经济和安全风险增加,需要由下而上地完善具体条例与规章。(3)科研成果过度外流现象仍待扭转,学术交流体系仍待改善。过多的国内研究成果在国外期刊上发表会造成国内成果转化受阻,知识产权保护困难,使数据和信息的安全隐患增加。
信息安全决策高度依赖各种信息。不仅要明确信息,还要考虑到他们之间相互依存的关系。各个环节间的信息安全指标对整体信息安全有着直接或间接的影响[24]。当今以论文发表为主体的学术交流体系是一个由科研人员、科研资助者、期刊出版人员、审查评议人员、技术人员、法务人员等角色群体构成的完整交流体系,各主体共同支撑着科研成果的发表发布、评审评议、交流传播和存储转化,而其中的方方面面都涉及信息安全。随着成果发表形式的演变和学术交流的深入,知识产权与信息安全变得越来越重要。相比互联网信息和数据,学术成果具有前沿性强、价值高的特点,其也因此被各国及相关部门关注,成为各国(特别是竞争对手国家)追逐的对象。具有信息安全隐患的成果一旦广泛流传,将带来不可预知的严重后果。
从管理层级、参与人员和学术交流环节等维度构建科技论文信息安全框架,如图8所示。
图8 科技论文信息安全框架
信息控制关注的是信息的表示、获取、处理和传递,强调以信息为研究对象,以计算机技术为研究工具,扩展信息功能,加强信息处理能力。任何组织机构都必须建立起稳定的信息系统和信息资源管理系统,以应对日益复杂的信息世界。在学术成果交流中,完备的信息交流系统需要覆盖每个学术交流环节,对信息的流入和流出进行监督和控制,同时辅助支持科研和决策。
从传播的角度来看,当前的网络时代呈现出去中心化的特点,传播权力下沉、内容边界模糊,多元化与圈层化相对抗,结构性与破坏性并存。对网络信息的安全性进行评估与管控是安全交流体系的重要作用。类似于传播学中的“把关人”(Gate-Keeper),有关各方都有对信息进行审筛的责任:运用审查机制、安全机制、编辑机制、发布机制等,对拟传播的信息进行加工和取舍,在信息传播的各个流程和环节把控学术质量和信息安全,对信息发布行为进行约束和引导。
从法律的角度来看,法律法规从宏观视角保障国家信息主权和个人信息权益,并坚决反对和抵制信息侵权、信息泄露等有损国家和个人利益的行为,是信息安全框架中不可或缺的部分。信息技术的迅猛发展与立法的滞后性存在矛盾,信息法学的研究有待加强和完善。需要加强信息伦理道德建设,完善信息安全体系,扩大其使用场景以及适用对象范围,以推动当下信息传播与交流的良性发展。
从技术的角度来看,由于不同领域科研成果的形式多种多样,信息安全管理具体涵盖的范围较广:从信息传播流程层面来看,包括对网络全媒体大数据的感知采集、多源异构数据的协同存储、大数据信息传播风险识别预测、信息内容质量评估与访问以及内容过滤技术、多种内容加密技术、系统修复技术等;从信息处理与应用层面来看,包括信息编码归一化技术、数据加密破解技术、信息数据清洗技术、数据挖掘技术、智能分析技术等。这些技术贯穿整个学术交流体系,不断发展的交流体系促进了不同技术的发展,不断更新迭代的技术也在信息传播与交流的全流程中保障信息安全。
科技论文发表中的信息安全,不仅关系到期刊出版本身,还与国家利益和国家安全密切相关。科技论文发表中的信息安全涉及多个方面,需要采取多种手段来管控。
在信息时代,各种观点与见解在网络上竞争共存,各种思想长期碰撞,互相影响。科研工作者面临的最大挑战就是运用正确的方法与思想,使学习、思考、行动合一。这是科学思维的根本表现,本质上也是理论和证据的协调[25];是一切学术成果交流的起点,也是科研人员自身科研素养的体现,贯穿学术交流的生产、传播、发布与保存等环节。在这个过程中,不仅需要通过合规渠道获取数据,还要采取正确的手段利用与阐释科学,同时保证成果的准确性、真实性和完整性,以及保证信息安全。在科研过程中,科研人员需自纠自查,对自身科研结果负全责,同时借助第三方力量,在成果传播过程中对数据和信息的去向与完整性进行追踪,确保发表的研究成果没有安全问题。
各科研单位和教育机构在开展科学素养教育的同时,也有责任和义务培养信息安全意识,通过案例分析和法律法规讲解,全面提升我国各领域科研工作者及从业人员的信息安全意识,从源头养成防范风险与自我管理的习惯。同时认真落实相关法律法规,保证对信息和数据的监管,促进开放交流和信息安全保护的协同发展。
在发布与传播环节,不断完善期刊审批制度。要加强期刊审批及管理监管,对那些偏离办刊宗旨、质量低下、失守阵地,易酿成学术资源垄断的恶果,特别是威胁国家和科研安全的期刊实行勒令整改或退出机制。期刊若刊载涉及国家安全、重大战略、重大政策等的内容,须报主管单位或省级出版行政主管部门审核,并报国家新闻出版署备案[26],同时建立专门的信息安全风险评估小组,以把控信息安全。尤其对于在开放获取期刊(尤其是国外的开放获取期刊)上发表的论文,应对其学术上的必要性、经济上的合理性、信息安全上的风险性进行充分的评估。
增加出版后的追责条例,形成监管流程的闭环。在科技成果发表后,仍应进行“事后监管”。除了对成果质量进行再审查之外,还应对传播过程中的研究科学性、数据准确性、内容完整性、信息安全性进行控制,同时建设多元监管体系,衔接期刊、期刊集群、学术团体及科技协会和政府部门,避免由数据公地或灰色地带造成的信息安全隐患。将信息安全问题纳入主办单位、期刊编辑部和责任编辑工作考核和年度问题清单,并对于出现重大信息安全问题的主办单位、期刊编辑部和责任编辑实行预警制度,并重点监控。
科技期刊是不同领域内权威知识库的重要信息来源,既往研究探索了科技期刊集群在构建领域数据库的基础上开展知识增值服务的路径与架构[27]。依托科技论文与科技期刊,各类数据库、知识库是推动学科发展、学术交流与知识服务的重要主体,这就要求科技成果在存储过程中保持长久的稳定性、可访问性与不可篡改性等。因此,要注重与经过国家认证的权威信息服务机构合作。目前,中国信息安全测评中心可以提供信息技术安全性测评、网络漏洞分析以及信息安全风险评估等服务[28];中国网络安全审查技术与认证中心可以对网络安全审查人员和技术人员进行培训,并开展网络安全认证评价及相关标准和方法的研究工作[29]。科技期刊、学术机构、科研团体等主体都需秉承总体国家安全观理念,注重硬件设备、传输介质、网络技术等的安全稳定,并制定应急处理计划。
分领域优化科技成果发表结构,为科研人员的投稿选刊策略提供指导与建议。通过宏观政策导向,扭转我国科技论文外流的局面[30],加强科研成果转化的国内循环,并由此带动国内国外的双循环,促成良好的科研交流体系,在持续提升国际话语权和竞争力的同时,保障国家的信息安全。
对国外期刊及内容加强审核,建立负面清单管理制度,对掠夺性期刊和有意掠取我国科技情报的期刊予以反制,开展具有战略意义的科技领域的情报和反情报活动。运用大数据手段,及时甄别和清除可能对国家或行业产生威胁的数据和信息。进一步重视和加强包括一流科技期刊、高端学术会议、预印本平台在内的我国高端学术交流平台建设工作,推动国内期刊从租船出海、借船出海,转变为造船出海。同时各平台应高度重视和加强对科技论文知识产权的保护,强化科技论文的国内首发权,重视论文发表中的信息安全。
安全不是信息的固有属性,它体现在特定的情态或环境中。从哲学上讲,安全是一个相对的概念,不存在绝对的安全,也不能追求绝对的安全。信息安全问题是客观存在的,而且需要得到各方高度重视。从宏观上看,所有的信息和数据都具有安全隐患,并且随着开放科学的发展,安全隐患趋于严重;从微观上看,信息的敏感度不断升级,信息安全监管的难度越来越大。需要注意的是,开放科学是大势所趋,在数据密集的第四学科范式下,信息安全监管将面临越来越大的挑战。为保障国家利益,必须加大对科技论文发表中的信息安全的监管力度,避免因期刊论文发表而产生重大的信息安全问题。应建立自上而下、自下而上的相互呼应的信息安全监管机制。在审稿环节,期刊编辑部要建立与质量控制机制同等重要的信息安全审查机制。