科学数据出版面临的风险隐患及其治理对策*

2023-12-23 03:51马天一
情报杂志 2023年12期
关键词:数据安全隐患主体

马天一

(东南大学法学院 南京 211189)

1 问题的提出

科学数据出版是数据化的科学技术资源公开或共享的重要途径,其基本流程体现为数据创作→数据投稿→数据审核→数据传播。科学数据出版涉及科研人员、数据仓储机构与出版机构等直接参与科学数据出版本身的主体,国家机关、科研单位、资助机构等具有监督、管理职权的主体,同时社会公众也可能作为人类实验参与者与科学数据传播受众出现在科学数据出版流程中。与其他科学数据传播活动相比,科学数据出版的特殊性在于其会受到编辑审核与同行评议等环节控制、其作者以通过学术期刊等渠道公开发表研究成果为主要目标、其涉及场景包含数据论文出版与文献配套数据、其主题在现有学术生态下更多受到期刊用稿方向的影响等。这些特殊性使科学数据出版面临的风险隐患也具有一定特殊性,如境外权威期刊更容易利用学术影响力收集不宜公开之科学数据、已出版科学数据更容易因不当传播对公众产生误导等。因此,消除各个层次可能面临的风险隐患应当是科学数据出版治理的主要目标之一。

“治理”从学理上可以定义为多元主体通过协作互动共同参与相关方案的制定与实施[1]。在进一步考辩“治理”一词的文意内涵与应用场景之基础上,可以认为科学数据出版治理是指各类主体为了在科学数据出版中维护基本秩序、彰显法治效果、实现有益目标、保证繁荣昌盛,通过管理公共事务、安排进度规划、解决各类问题、依法开展追责等方式结合自身职责开展决策与执行[2]。当前,科学数据治理的相关研究未能同出版活动的特殊性结合,其主要针对科学数据共享[3]、科学数据安全风险[4]、科学数据权利的技术治理与法律治理[5]等展开研究。而针对科学数据出版进行的研究则忽略了对各类风险进行系统治理的探讨,这些研究主要集中在数据论文[6]、适用FAIR原则[7]、数据出版供求关系[8]、期刊数据政策[9]、已出版科学数据利用[10]、出版机构数据政策的利益相关者责任[11]、数据出版质量控制[12]、数据出版流程[13]等。因此,从解决风险隐患角度对科学数据出版治理进行体系化研究确有必要。进言之,在总体国家安全观对发展与安全提出统筹要求、FAIR原则要求期刊进一步推动数据共享、国内期刊数据政策涵待进一步发展等因素的共同作用下,需对科学数据出版面临的各类风险隐患进行梳理总结,基于当前治理体系存在的不足思考治理完善的关键所在,并结合出版机构科学数据政策、科学数据出版流程、科学数据处理场景、科研伦理、科学数据责任等提出治理对策。

2 科学数据出版面临的风险隐患

规避科学数据出版中风险隐患的本质是维护科学数据在数据权利、发展利益、可用性完整性等各个领域的安全,避免国家安全面临威胁、学术生态遭到破坏、数据防护措施失灵、经济成本大幅增加等情形发生。对风险隐患的危害后果进行归类分析,可以将科学数据出版面临的风险隐患划分为以下几类。

2.1 国家安全层面的风险隐患

作为一种新型数据活动,科学数据出版可能对国家安全带来的负面效应不容忽视。从数据跨境流动角度出发,科学数据出版活动可能被境外当作危害国家安全的工具加以利用。第一种情形表现为通过已出版科学数据断供危害国家安全。例如,2022年科睿唯安因俄乌冲突取消与俄罗斯所有商业合作,其中该公司的已出版科学数据服务也包含在内。实际上,文献信息的安全保障是国家安全的重要组成部分[14],科睿唯安此举使俄罗斯面临已出版科学数据的供给不足,也揭示了科学数据断供可能对国家安全造成的风险隐患。第二种情形表现为学术机构利用影响力以出版为由收集可能危害国家安全的科学数据。如Science就曾将国防急需的科学数据定义为科学前沿,从而使国外学者为追逐学术声誉而向其提供了大量相关研究数据[15]。然而,这种个人或数人以学术为目的向外传输数据的行为并不在《网络安全审查办法》等跨境数据制度的规制对象中。《科学数据管理办法》对此类行为规制的前提是该数据属于国家秘密,而在科学研究中最新数据不能被及时经过定密程序纳入保密范围时则会存在治理真空;此外,由于数据汇交与数据出境审查并不具有当然联系,《科学数据管理办法》中关于数据汇交的规范亦无法有效规制此类行为。从数据安全的角度出发,科学数据出版过程中包括大量数据处理活动,在数据分级分类治理中,涉及到遗传信息、自然资源等领域的国家核心数据或重要数据若在出版过程中处于数据安全秩序的失控状态则会对国家安全造成严重隐患。

2.2 集体秩序层面的风险隐患

期刊等出版机构是科学数据传播的重要推动者,但是在数据收集→数据研判评价→数据公开/提供的流程中,面向集体秩序层面的科学数据出版风险隐患也极有可能发生。第一,公众利益可能因已出版科学数据的不规范传播受损。详言之,科学数据公开出版后可能会对公众的决策、判断等产生影响,而如果出版足以误导公众的错误科学数据,或出版后的科学数据可能在公众中致使基于断章取义形成的不实信息传播,则会对公共秩序产生负面影响。例如,新冠肺炎疫情期间,关于疫情症状的已出版科学数据常会引发公众关注,而部分不够科学或被片面公开的数据则会对公众自我防护方式等决策产生影响,进而引发了诸如轻视病毒等现象。由于已出版科学数据具有期刊等学术出版机构的专业性背书且受同行评议控制,其对公众可以产生更大影响力,因此加强科学数据公开方式的规范性与提高数据质量都是消除风险隐患的重要前提。第二,基于学术规范与知识产权的学术秩序可能因科学数据出版受到影响。在国内期刊数据政策不够成熟、数据可用性声明标准不一、科研评价体系完善方案尚未落地等事项综合作用下,科学数据出版中共享力度的加大可能会继而引发新的学术不端或知识产权纠纷。第三,数据安全秩序可能因科学数据出版受到影响。展开说,科研单位、出版机构或数据仓储商的数据处理活动是否符合《中华人民共和国数据安全法》(以下简称《数据安全法》)《科学数据管理办法》等规范,其内控制度与存储制度的制定与实施等环节是否合法合规都影响着诸如用户数据、编辑部审稿流程数据泄露等数据安全秩序遭到破坏之情形的发生概率。世界最大期刊出版商之一的Elsevier就曾因错误配置数据库导致外界可以公开查阅其订阅用户密码[16],而这无疑加剧了科学数据被提供后遭到泄露的风险。

2.3 个体保护层面的风险隐患

科学数据出版涉及到作者、实验对象、数据使用者等数据主体或信息主体,此时这些个体可能会面临的风险隐患包括数据权属不明、隐私或个人信息泄露、数据使用者信赖利益受到冲击等。首先,在数据仓储、期刊数据共享等环节中,数据权属能否由格式合同条款或著作权转让声明等进行决定值得思考,并且不合理的条款可能会使作者的数据利益受到侵害;其次,医学等专业科技期刊数据未免包括人类参与者的相关数据,期刊对是否要求论文作者将这些数据进行去标识化或匿名化并未形成统一标准[17],这使论文实验人类参与者的个人数据保护成为科学数据出版治理的重要任务,尽管《科学数据管理办法》明确了个人隐私数据处理的基本规则与安全保护制度,但期刊论文发表涉及到专业性审查与数据公开等内容,因此需要基于科学数据出版特点进行细致的专门规则设计(如制定期刊数据中的个人信息处理标准),以免因具体规范相对原则化而产生治理真空;最后,数据使用者的信赖利益滋生于其进行科学研究时基于对期刊等出版机构为主要参与者的科研秩序进行合理正当的信赖而做出的应当受到保护的数据使用活动,尽管出于科学研究严谨性、可发现性的考量,原始数据提供者、同行评议专家、期刊编辑部等都应当对数据使用者的信赖利益负责,从数据质量等角度守好开放数据的第一道关口,但近年来操纵同行评议、数据造假等事件并不鲜见,如国家自然科学基金委员会2021年7月通报了多起科学数据造假、操纵同行评议案例[18],在这类行为影响下,科学数据出版难免会对数据使用者的信赖利益进行冲击,从而可能会引发后续研究成果准确性受到影响等负面情形。

3 科学数据出版面临风险隐患的治理困局与优化思路

目前针对科学数据出版的治理措施可以在一定程度上规避数据安全等风险隐患,但是从治理现状中考察,科学数据出版治理在进度规划、覆盖范围、可操作性等方面仍然存在一定缺陷。

3.1 科学数据出版治理的基本现状

科学数据出版涉及科学数据的创作、编审、传播等多个流程,与之相应,当前科学数据出版治理形成了多领域、多方面的综合治理体系。在梳理法律、地方性法规、行政法规、司法解释、部门规章、标准、政策等规范文件以及期刊数据政策、出版机构内控制度、学术规范、数据行业规范等具有一定约束力的私主体自制规范之基础上,可将当前科学数据出版治理领域与其主要方面总结为表1。

表1 当前科学数据出版治理领域与其主要方面

总体而言,科学数据出版治理不仅具有较多可用的治理工具,也基本覆盖了科学数据出版的各个流程与各类主体。但是,这其中诸如《科学数据管理办法》等直接针对科学数据出版本身的治理工具较少,而在治理工具中占比更重的诸如著作权法律制度、数据安全法律制度等可能会在针对性上略有不足。在这种治理现状下,只具备宏观规范而缺乏细节指引、只存在刚性规范而缺乏相应追责条款、只考虑赋予义务未考虑成本负担等都容易发生在具有复杂需求的综合治理体系中。

3.2 面向多层风险隐患的治理困局

科学数据出版的风险隐患面向国家安全、集体秩序与个体保护三个层面,因此治理目标也应当以避免科学数据因出版产生基于数据跨境或数据基础设施等因素的新威胁、在既有集体秩序的延续与新兴秩序的创制中产生积极作用、让科学数据出版发展不对个体的利益造成侵蚀等方面展开。而这种治理目标的复合性与全面性使科学数据出版治理更需要关注如何在科学数据利益攸关者之间注重发掘数据价值、增进治理主体联系,体现出多元主体作为利益相关方共同治理的过程[19]。因此,科学数据出版治理需要兼顾发展与安全,构建涵盖激励机制、监督机制、保障机制、责任机制的科学数据出版多元共治体系。

但是,现有科学数据出版治理在进度规划、覆盖范围、可操作性三方面有所欠缺。在进度规划上,科学数据出版治理未能具备主体明确、阶段清晰的进程安排。关于科学数据出版治理,数据安全、知识产权保护等问题在法律责任的强力推进下可以达到当前治理要求下的最低限度;而对于目前发展尚在起步阶段或较为羸弱的国内期刊数据政策、科研评价标准、学术规范与伦理等事项而言,考虑到这些领域更多需要治理力量主导其自主发展且其中涉及到多方主体的利益平衡,目前不宜通过具有强制力的规制方式对其进行治理;但不提高重视的话可能会在引发风险隐患后增加大量的治理成本,因此应当合理针对科学数据出版不同层面的风险隐患以及治理的实际情况明确进度规划。在覆盖范围上,科学数据出版的治理过度受到法治定分止争、划定底线等特性形成的固化思维影响,这使科学数据出版治理易被限缩在版权法、数据法等规范的传统统摄范围内,从而容易因忽视而放大治理盲区,限缩治理工具可以发挥作用的空间。典型例证就是目前治理机制在应对已出版科学数据引发公众误判、防范境外出版机构新型侵害国家安全行为、避免数据使用者信赖利益保护不足等场景的缺位。这些领域并不是绝对的欠缺规范保障,但目前法律与政策等对其治理都相对间接;而间接则意味着治理方式对事前预防的疏漏,以及只有发生重大风险隐患时才被治理主体重视、未发生重大风险隐患时“可治理可不治理”的问题。在可操作性上,治理工具制度化、体系化、科学化可以带来的效能增加被忽视,此时治理工具的可操作性也被相应弱化,从而导致科学数据出版治理目标的实现过程中可能出现治理工具无法充分发挥功能的情形。典型例证就是偏向商业环节数据安全保护与科研领域数据安全保护面临不同的成本、数据政策定位不够精准从而阻碍治理展开等。此时应当通过把握治理的核心抓手、反思当前责任体系能否为治理提供有效支撑、检视治理过程中的成本分摊等措施避免治理工具难以有效落地。

3.3 科学数据出版治理的优化思路

为了摆脱治理方略推进的规划不足,避免数据治理、版权治理上的路径依赖,并明确治理工具在数据场景化治理、数据合规指引等更加细节层面的完善方向,需在综合治理中通过多元主体协同控制消除科学数据出版面临的风险隐患,而现有治理存在欠缺的原因恰恰是未能充分结合各类主体在科学数据出版中的主要利益全面排除治理盲区、更好协调并细化治理职责,从而使治理本身的综合性与治理主体的协同性存在缺陷。实际上,利益与风险隐患存在治理上的镜像关系:不同主体的主要利益不仅是治理中需要维系的核心,也是各类风险隐患可能对相应主体产生威胁的主要对象。因此,应当在明确各类主体最为主要的切实利益之基础上进行治理优化。表2展示出科学数据出版涉及的关键主体及其两项最为主要的利益。

表2 各类主体在科学数据出版中的主要利益

各类主体在科学数据出版中主要利益的明确使治理优化的思路更加清晰。详言之,在消除治理盲区上,应当对各类风险进行全面治理,一方面,不能仅重视数据安全或规范出版本身,应进一步将科学数据出版涉及到的信息传播、科研诚信、平台共享等纳入治理领域;另一方面,应基于社会公众、科研单位等主体的主要利益为其配置相应治理职责,避免治理主体集中于国家机关、出版机构等传统治理主体。在协调并细化治理职责上,首先应根据不同主体主要利益进行职责划分,使其成本、风险与收益实现均衡,如科研单位在享受基于管理带来的利益时需加强对科研人员数据活动的管理、数据仓储在通过数据处理获得收益的同时需具备基于数据处理措施的科研诚信监督能力;其次应推进相邻范畴的主体进行联动治理,在科学数据主体间推动互动机制形成[20],如在数据政策治理中加强国家机关与出版机构的联动、在数据出境治理中加强科研单位与科研人员的联动;最后应通过凝聚集体力量加强部分主体治理能力,避免个体缺乏参与治理的有效途径,如在治理中注重由科研人员组成的学会、由出版机构组成的出版协会等治理力量。

4 科学数据出版面临风险隐患的治理对策

不同主体的主要利益是当下探索科学数据出版治理完善路径的重要依据,应将各类主体利益融于治理需求中,精准地对治理方略进度规划、治理体系覆盖范围、治理工具可操作性等方面的不足之处进行完善。

4.1 明确治理方略的进度规划

对科学数据出版中风险隐患治理的理念必须以充分的前瞻性与目的性为基础,以对各类风险隐患进行提前预判并有条不紊地予以应对。在这种理念指引下,应根据轻重缓急与治理能力有序协调治理目标。

第一,应在从顶层设计到细节完善的治理过程中体现出国家安全、社会秩序、个体保护三个层面的一体推进,而当务之急是国家机关、科研单位、出版机构等主体通过政策引导等方式对投稿过程中科学数据规范提供、信息传播中科学数据规范使用、科学研究人类参与者信息保护范围、科学数据学术规范等进行初步明确与支持,进而在时机成熟时将其转化为具有责任制度的刚性规范,并在事前评估、制定实施、事后检验的流程中加强治理措施的科学性。

第二,短期看应当依靠责任体系对具有严重危害性的行为进行规制,而长期看则需要依靠促进体系引导各类主体消弭危害性较轻的风险隐患。强制性地分配给特定主体负担可以更好维护科学数据出版秩序,并通过否定性评价使这些主体因趋利避害而减少或消除与治理目标相悖的行为[21]。因此为了保障安全避免风险隐患,应以先定义务和事后责任为双重结构向侵害不同主体基于科学数据的利益之行为赋予不利负担,并以此敦促主体更好履行先定义务[22]。而在科学数据出版风险隐患可控的情形下,则应当进一步鼓励并促进各类主体对科学数据的有效利用与共享,在适当容错治理的基础上为科学数据出版的发展提供更多可能。

第三,应当以数据安全为基准,以数据使用利益、数据可视化规则等为补充,形成体系化的、与科学数据治理相向而行的科学数据出版治理体系。从国家安全、社会秩序、个体保护三个层面中总体审视,数据安全风险隐患占比最重,因此应当在《数据安全法》《科学数据管理办法》等数据安全制度的完备契机下敦促出版机构、科研机构等数据处理者提升数据安全能力;而根据《数据安全法》的定义,数据是指对信息的记录,因而在数据安全的基础上扩展安全治理范围、对基于相关信息衍生的数据使用利益等进行保护更加符合治理逻辑且有利于集中治理资源,形成体系化治理。

第四,应当在风险治理的同时加强产业培育,在促进数据安全产业与数据出版机构发展时获取更多治理可参考样本,提高技术治理与法律治理的协同性,并为涉及到科学数据的国际竞争争取更多规则制定话语权、贡献更多中国治理智慧。

4.2 扩大治理体系的覆盖范围

科学数据出版面临的风险隐患比FAIR原则下科研主体之间因科学数据开放共享所引发的数据安全等风险隐患更为复杂,而更多不同维度的治理需求也应因而生,因此应在科学数据治理基础上扩大治理体系的覆盖范围。

第一,应加强科研人员跨境传输科学数据审查。《科学数据管理办法》《网络安全审查办法》《网络数据安全管理条例(征求意见稿)》等制度对审查条件具有主体、客体、行为等方面的限制,这使科研人员以出版作品为目的向境外传输科学数据缺乏有效审查。因此国家机关、科研单位等主体宜专门通过规范性文件明确此类个人跨境传输科学数据的审查主体、审查情形、审查周期、审查流程、审查备案等事项,使科研人员所在单位能够在享有科学数据附着收益的同时通过安全成本的承担实现权利义务的平衡,避免因管理制度不够完备产生治理真空。

第二,应在科学数据传播中建立传播规范。在信息传播标准化、规范化契机下,应借鉴出版物数字用法、新闻报道禁用词、期刊编排格式、网络虚假信息等领域的治理经验,由国家机关、行业协会等主体展开多角度治理:在出版规范治理领域,统一科学数据形式标准、明确科学数据使用规范;在新闻传播治理领域,明确新闻报道中的科学数据客观公正使用要求及细则;在网络社区治理领域,鼓励网络服务提供者对假借科学数据传递不实信息或故意误导公众的账号进行限制与惩罚等,并通过大数据技术对违反传播规范的行为进行实时监测。

第三,应探索科学数据质量多元保障措施。从管理角度,可实施全面数据管理,在对数据利益相关者进行明确的基础上制定治理框架并分配治理任务,在度量→分析→改进的环节中提升数据质量[23]。从技术角度,数据仓储主体可以建设数据质量智能管理平台,通过分析、预警、解决等环节实现数据质量的智能化、闭环化、实时化治理[24]。从责任角度,可以加强对数据造假等学术不端行为的惩治力度,通过设置黑名单、撤回资助、限制资格、承担民事责任等方式倒逼科研人员对科学数据质量负责。从激励角度,可以通过宣传典型事例、提供科研奖励、提升学术评价等方式激励各类主体更好参与科学数据出版治理流程[25]。

第四,应避免科技封锁引发科学数据失控。一方面,为加强科学数据域外控制能力,减弱科技封锁威胁,需强化安全评估义务的主体责任[26],在网信部门、科研管理部门等国家机关的引导与敦促下,使知识关键信息基础设施、数据仓储商等机构的网络安全评估更加聚焦于数据断供等风险;另一方面,应做好风险提前防范,在处理来自境外的科学数据时争取采取数据本地镜像、数据备份、区块链存储等数据安全措施进行有效预防,在风险切实发生时能够减少损害。

4.3 增强治理工具的可操作性

为了避免出版机构数据政策、科学数据管理制度、出版机构内控制度、数据仓储规则等治理工具流于形式而被虚置,需采取措施增强治理工具的可操作性,为科学数据出版治理“赋能”。

第一,应实现对数据政策的侧重化治理。出版机构数据政策是涉及到出版机构、科研人员、评议人员、公众等多元主体的科学数据出版治理准则,涵盖数据提交、数据评审、数据共享、数据保护等方面[27]。因此,数据政策实际上综合了数据处理规则、数据学术规范、出版机构内控机制等多个要素中的具体内容。进言之,加强对数据政策制定实施的治理可以更好规避风险隐患。首先,应加强出版、网信等有关部门对出版机构数据政策的审查,审查对象包括对其制定实施等环节是否符合数据安全法律制度与知识产权法律制度、出版机构内控制度(如内部数据存储制度)的制定实施是否与之对应等,以在出版机构制定更加强势数据政策、掌握更多科学数据成为未来趋势的背景下加强其运行的合法合规程度[28];其次,应将数据政策融入数据分级分类治理体系中,结合出版机构特点与数据出版实践在数据政策中细化来自法律规范、强制性标准的数据分级分类要求,如可将数据分为记录数据、观察和检测数据、调查和监测数据、计算和模拟数据、分析数据等五类[29],并基于这些数据泄露后可能引发的风险高低分别将不同类别的数据划分为数个层级;最后,应在国家机关出台指导意见、学会与出版协会等主体形成共识的共同推动下提升数据政策对学术规范与数据版权归属的引领效应,使数据政策可以为科学数据出版治理提供更加统一与权威的支持。

第二,应完善数据管理制度的责任机制。《科学数据管理办法》对科学数据出版中的保密、汇交、引用等事项进行了规定,但作为科学数据出版治理的核心遵循,其责任机制针对性仍有待加强。这一制度的源初设想应当是通过现有法律责任、道德责任等责任机制保障其具体规范的实施,因此其责任条款的规制范围仅限于伪造数据、侵犯知识产权、不按规定汇交数据等行为。但由于科学数据出版涉及到多方主体的不同利益且其在出版这一要素介入下有了各类新的治理需求,因此宜为这一制度设置面向同行评议、数据质量(主要针对出版机构)、数据传播(主要针对向公众传播行为)、数据备份等领域的责任条款,使具有独立性与适配性的责任机制可以更好促进相关规范的实施。

第三,应审视数据出版治理过程中的成本分担。科学数据出版中,由于数据安全保障、科学数据实用性说明、隐私保护等需求的存在,各类主体都面临着新增工作无法得到对等回报与认可的问题[30]。此时如果要求科研人员、出版机构等主体付出与科学数据利益不相符的研发成本、人力成本、经济成本、时间成本等,则会加剧治理工具的失效。对此,国家机关、科研单位、出版机构在制定相关管理规定、数据政策、内控制度时,都应以数据生命周期为基础,让科研人员与科研单位更多对交付前的原始数据可用性与数据质量负责、出版机构与仓储商更多对交付后的数据安全与数据去向负责,避免因成本分担的失衡损害相关主体利益并降低数据政策等治理工具的可操作性。

5 结 语

科学数据出版面临着复杂化、立体化、多元化的风险隐患,因此科学数据出版治理不仅要关注数据处理,也要注重信息传播;不仅要结合实际,也要充分前瞻;不仅要依靠法律规范,也需要依靠道德、荣誉感、群体压力等;不仅要遵循科学数据治理经验,也要专注数据出版独特性征。科学数据出版治理研究在国内尚处起步阶段,本文所提出的基于利益展开的治理举措更多侧重于完善治理工具,未能针对治理理念、治理对象等详细展开;且完善路径也有待国家机关、出版机构等主体在治理实践中进一步细化。未来,科学数据出版治理的研究需要进一步探索其与一般科学数据开放共享的区别,进一步分析期刊数据政策的基本内涵与安全风险,进一步明确出版机构、科研人员等各类主体的主要利益,从而在实践与理论的双向互动中实现科学数据出版的治理完备。

猜你喜欢
数据安全隐患主体
隐患随手拍
隐患随手拍
互联网安全隐患知多少?
隐患随手拍
论自然人破产法的适用主体
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
关于遗产保护主体的思考
大数据安全搜索与共享