网络安全视角下加拿大图书馆研究数据管理的启示∗

刘少芳

(广东省科技图书馆(广东省科学院信息研究所),广东 广州 510070)

1 背景

随着5G、云计算、大数据、物联网及人工智能等技术的飞速发展,数据量急剧增加,网络安全威胁也持续放大。 数据作为网络运行的核心载体,保护其安全是应对网络安全挑战的重中之重。 2017 年实施的《中华人民共和国网络安全法》明确规定鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,采取重要数据备份和加密等措施,维护网络数据的保密性、完整性和可用性[1]。 2021 年发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035 年远景目标纲要》14 次提及网络安全,5 次提及数据安全[2],对加强网络安全保障体系及能力建设、确保公共数据安全做出了重要部署,可见网络安全和数据安全是国家安全体系的核心要素,并已逐步成为国家战略。 此外,2021 年我国又相继发布了《中华人民共和国数据安全法》和《网络数据安全管理条例(征求意见稿)》,网络数据安全的重要性日益凸显。

研究数据作为网络数据的重要组成部分,是科学研究过程中产生的原始记录及其衍生数据,承载着重要的研究信息,是支撑科学研究发展的重要战略资源,其安全问题不容小觑,尤其在网络安全背景下,研究数据安全管理越来越受到关注。

2 调研对象与方法

笔者选取加拿大10 家具有代表性的图书馆为调研对象,包含9 家研究型大学的图书馆,1 家公共图书馆,通过网络调研和文献调研等方法,从政策管理、组织实施、基础设施保障、教育培训等方面梳理加拿大图书馆在研究数据安全管理服务领域的实践经验,详见下页表1。

表1 加拿大图书馆调研清单

3 加拿大图书馆研究数据安全管理调研分析

3.1 政策管理

在政策规划方面,加拿大通过联邦政府、资助机构、图书馆等层级颁布政策予以支持引导。 2014年,加拿大政府启动“开放数据”行动,旨在促进科学研究产出数据的开放获取,驱动科技创新[3]。2016 年,加拿大自然科学和工程研究理事会、加拿大卫生研究院、加拿大社会科学和人文科学研究理事会三大基金组织联合颁布《关于数字数据管理原则的三方声明》,明确了研究人员、研究群体、研究机构和科研资助机构在研究数据管理过程中各自所应承担的职责[4]。 2018 年,加拿大出台《三部门研究数据管理政策咨询草案》,目的是通过推广完善的数据管理实践促进开展追求卓越的科研活动[5]。多家加拿大图书馆从信息安全、数据保密、知识产权、数据馆藏发展等不同维度制定了数据管理内部政策,如:皇后大学图书馆制定了《研究数据管理的数据保存政策》,对研究数据的保存标准、数据库建设及数据存储等提出了指导性建议。

在研究数据管理计划(DMP)方面,DMP 规定了项目每个阶段如何组织、存储、共享研究数据,这是一种实时文档,可以调整项目研究过程的变化,主要包括工具和计划清单两种服务方式。 工具有三种,即DMP 助手、DMP 工具和DMP 在线,DMP 助手是加拿大自主开发的双语工具(英语和法语),可内置个性化模板,适应性好,从管理工具层面就开始保护研究数据的安全性;DMP 工具由加利福尼亚数字图书馆托管,美国国家科学基金会等10 多家美国资助机构提供定制DMP 模板;DMP 在线是由英国数据监管中心创建的免费DMP 工具。 计划清单服务内容包括数据采集、文档和元数据、储存与备份、数据共享、责任与资源、道德与知识产权等,覆盖研究数据全生命周期。

3.2 组织实施

资助者或其他有意者建立新联系,提供安全存储的权威数据副本,可能被另一项研究发现并应用等。在数据共享方面,麦吉尔大学图书馆介绍了如何合理合法地共享研究数据,包括获得知情同意后才能共享数据、通过匿名保护个人/机密/敏感信息、限制数据访问量或添加禁令、申请许可证等方式[7]。 阿尔伯塔大学图书馆和维多利亚大学图书馆则推荐采用Dataverse 共享数据。 Dataverse 系统在上传文件时会颁发一个已在DataCite 注册的永久性标识(DOI),而DataCite 允许通过各种搜索工具挖掘数据。 此外,加拿大国家图书馆暨档案馆与加拿大各地的学术机构和图书馆等共同制定了共享馆藏管理策略,包括跟踪、分类和保存加拿大出版物的最新版本。 在数据引用方面,英属哥伦比亚大学图书馆建议通过开放获取的数据库查找和引用研究数据,可在谷歌学术等网站注册免费账户,同时将研究数据唯一的网址或DOI 链接添加到用户配置文件当中[8],以保障研究数据安全。

3.3 基础设施保障

数据共享引用为发现和重复利用数据集提供了途径,同时也有助于评估研究数据的影响力[6]。 在信任的数据库中共享研究数据具有以下优点:允许他人验证数据,增加引用量,有利于与潜在合作方、整个项目周期会不断产出研究数据,数据丢失对推动项目研究进程极其不利,因而保障项目全周期的数据储存安全、备份和维护至关重要。 多伦多大学图书馆等建议研究数据存储应遵循3—2—1 备份规则,即至少存储三份数据副本,将副本存储于两种不同介质(如硬盘、云存储、光盘),将一份备份副本存储在异地。 加拿大图书馆研究数据的长期存储和共享方式主要有校内/校外研究数据机构库、特定学科数据库和数据机构库联盟等4 种,其中3 家图书馆建有校内研究数据机构库,分别是英属哥伦比亚大学图书馆的UBC IT Storage、阿尔伯塔大学图书馆的ERA 和渥太华大学图书馆的uOResearch;使用较多的校外数据机构库有Compute Canada、ICPSR和Dryad 等,系统定期备份,以保护用户数据的安全性和完整性。 此外,阿尔伯塔大学图书馆等还推荐使用特定的学科数据库,如Re3data.org、OAD 等,以满足不同研究者的需求。 Re3data. org 由德国研究基金会资助,是涵盖不同学科的研究数据存储库,为研究人员、资助机构、出版商和学术机构提供永久存储和访问数据集服务。 在数据机构库联盟方面,除了英属哥伦比亚大学图书馆和加拿大国家图书馆暨档案馆,其他8 家图书馆均使用Dataverse。 Dataverse 是一个可公开访问的免费数据存储库,能够保护和共享研究数据,还可设置访问权限,与特定个人共享数据,保障数据安全。

3.4 教育培训

除了阿尔伯塔大学图书馆和加拿大国家图书馆暨档案馆,其他8 家图书馆均提供教育培训,形式包括在线培训、论坛、专题研讨会、讲座等。 其中,6 家图书馆推荐MANTRA 培训课程,该课程面向研究生、科学家、高学历人员和信息专业人员,培训内容包括数据管理计划、元数据、文件格式与转换、存储与安全、共享与引用等;5 家图书馆推荐使用加拿大数字图书馆联盟的培训资源[9],该联盟提供了一系列可免费获取的培训材料,涵盖研究数据的生命周期,包括一页指南、在线培训模块、在线视频等,资源面向研究人员、图书馆数据专家、数据管理人员以及相关领域的学科专家。

4 加拿大图书馆研究数据安全管理模式对我国的启示

4.1 完善多层级的研究数据安全管理政策体系,强化政策引导

政府层面的政策是实现研究数据安全管理与共享的基石。 加拿大的研究数据管理政策可分为“政府—资助机构—图书馆”三个层面,从顶层设计开始规划数据安全管理。 我国也应构建“中央—地方政府—科研管理部门—图书馆”自上而下的政策体系,按照“谁拥有,谁负责”“谁开放,谁受益”原则,明确研究数据管理各环节主体的职责分工。 目前,国务院已出台我国首个国家层面的科学数据管理办法,四川、山东、吉林、安徽等省份也相继颁布了科学数据管理政策,后续应进一步完善多层级的政策体系,鼓励科研管理部门和图书馆制定相应的内部政策,通过强化顶层设计,逐步引导全社会提高研究数据管理和维护意识,促进研究数据安全管理和共享氛围的形成。

4.2 以数据生命周期的关键环节为抓手,落实安全管理

加拿大图书馆在研究数据管理的计划制订、存储及共享引用等环节均有相应的安全管理措施。 我国图书馆可借鉴其经验,在研究数据管理的关键环节上下功夫,切实做好数据安全管理工作,如:在数据管理方面鼓励有能力的机构自主研发符合本地实际且能满足科研人员需求的个性化DMP 工具,通过本土管理工具保护数据安全;在数据存储方面鼓励科研人员对重要的研究数据进行异地备份,同时加强研究数据安全管理制度和宣传保护工作;在数据共享引用方面推荐安全的数据共享、获取途径,引导科研人员通过获得知情同意、申请许可等方式共享研究数据,并在其科研成果中规范引用所使用和参考的研究数据。 此外,我国图书馆还可将研究数据安全管理服务嵌入科研项目的研究过程,通过一站式服务调动科研人员参与数据管理的积极性和主动性,在保证数据安全的基础上,提升研究数据的开放共享水平。

4.3 加强研究数据管理平台建设,保障数据安全

研究数据的长期安全保存和共享需要强大的基础设施作保障。 加拿大图书馆有的通过自主研发或二次开发Dataverse 等开源软件的方法搭建数据机构库,有的借助外部数据机构库储存数据,还有的提供国内外外部存储库导航服务。 我国图书馆可以借鉴上述做法,通过设立数据管理平台专项加大基金扶持力度,鼓励有能力的图书馆自主研发数据机构库,从数据储存的源头保障数据安全;加强图书馆界的合作交流,利用开源软件合力搭建可提供定制服务的研究数据管理平台。 搭建研究数据管理平台不仅可以确保数据安全,还是实现研究数据开放获取、开放共享的有力保障。

4.4 积极开展研究数据管理宣传培训活动,培养专业人才

加拿大图书馆开展了内容多样化、渠道多元化、服务差异化的研究数据管理培训活动,线下方式涵盖课程、讲座、研讨会等,线上方式主要是在线课程、网络资源导航等。 我国图书馆的研究数据管理培训工作可借鉴其线上线下相结合的模式,根据服务对象知识层面和需求的不同开展个性化培训服务,如:针对高校学生开设研究数据管理课程,从教育阶段开始培养数据安全管理意识和技能;针对科研人员开设嵌入式研究数据管理流程培训,通过开展一系列教育培训活动强化科研人员管理和维护研究数据的意识,提高其数据获取和利用能力;针对图书馆员开设研究数据的服务培训课程,提升其数据管理能力和服务水平。