科技期刊数据风险分析与防范体系框架构建

王育英 张薇

［摘要］文章通过文献研究、文本分析等方法，基于数据生命周期理论，描绘了科技期刊数据的生命周期，进而分析科技期刊数据在其生命周期各阶段存在的风险、致险原因及其可能导致的后果，最终从科技期刊多元利益者角度构建多元协同数据风险防范体系框架，提出科技期刊数据风险的防范策略。

［关键词］科技期刊；数据风险；数据生命周期；风险防范

随着数据密集型科研活动的日益兴盛以及知识共享需求的增长，科技期刊所承载的数据量及价值与日俱增，由此带来了一定的数据风险。公开信息源因覆盖内容的全面性、载体形式的多样性以及广泛的国际受众，成为信息泄露的主要风险来源之一［1］。科技期刊持有相当体量的涉及个人隐私、国家科技安全的数据，易成为大国竞争情报搜集的开源情报源，存在较高的数据泄露的风险。基于科技期刊的传播职能，科技期刊数据一旦广泛流传，可能会带来难以预知的后果。因此，文章探究科技期刊数据风险及其防范策略，对科技期刊出版行业的数据服务及管理具有警示和参考价值。

笔者在中国知网以“TD=（期刊OR出版OR论文）AND（数据安全OR数据风险OR信息安全）”为检索式进行主题检索发现，学界关于科技论文信息安全、期刊数据风险的研究主要聚焦以下方面：科技论文出版信息安全［2-3］；科技期刊数据风险的主要表现，包括数据权利侵权［4］、版权侵权［5］、数据泄密［6-7］、数据丢失、内容数据篡改、内容数据抄袭、用户数据泄露和系统数据安全［8］；科技期刊数据风险原因［8］和数据风险应对［6，8-9］。相关研究虽已触及科技期刊数据风险多个环节，但还存在可拓展之处：第一，从研究视角上看，已有的研究多是针对数据风险其中一点展开，缺少全局性和整体性视角。第二，从研究内容上看，已有的研究虽然涉及科技期刊数据风险表现、原因、策略等方面，但是较少从科技期刊主体角度分析科技期刊数据生命周期各阶段存在的风险，导致难以从理论上构建多元协同数据风险防范体系框架。文章基于数据生命周期理论，分析科技期刊数据在其生命周期各阶段中存在的风险、致险原因及其可能导致的后果，探索构建多元协同数据风险防范体系框架的路径，并提出科技期刊数据风险的防范策略，力求为科技期刊健康发展提供理论支持。

一、科技期刊数据生命周期

在大数据时代，数据生命周期理论因能够记录数据演变，反映数据发展规律，已成为研究数据管理的重要理论之一。文章结合科技期刊的特点，描绘了科技期刊数据的生命周期（如图1所示）。其中，数据销毁阶段根据科技期刊数据处理的需要，存在于科技期刊数据生命周期的各个阶段。同时，由于科技期刊属于连续出版物，与传统生物学中的生命周期（从出生到消亡的过程）不同，其数据生命周期是动态演进并单项往复循环的过程。

二、科技期刊数据风险、原因及可能引发后果

（一）数据收集阶段

在数据收集阶段，科技期刊数据的来源主要是作者和审稿人的个人数据以及投稿论文数据，其中涉及一些敏感数据，如身份证号、银行账号等。科技期刊出版机构虽然一般不会主动泄露这些数据，但是由于上述数据均存储在商业化技术服务公司开发的网站采编系统中，而采编系统在设计之初就具有对数据进行储存和分析的功能［10］，可能存在一定的科技漏洞，因此上述数据有可能间接通过科技期刊出版机构流入数据市场，进而引发个人隐私数据泄露、泄密、滥用、不当使用、违法交易等风险。一方面，大数据时代数据的商业价值凸显；另一方面，科技期刊与网络技术服务企业之间法律地位的不对等容易造成双方担责的风险不均衡，网络技术服务企业往往结合技术、市场优势与科技期刊签订符合自身利益的技术服务合同，这类合同不仅缺少对数据服务质量水平或风险防范措施的相关条款，而且还可能通过限制或免除数据保护义务，使网络技术服务企业免于承担数据泄露的法律责任［8］。

（二）数据编审阶段

在数据编审阶段，科技期刊数据的来源主要是编辑与作者、审稿人、排版印刷人员通过社交媒体沟通交流、反复多次传输的信息数据。一方面，由于外部数据实际处理者的介入，接触科技期刊数据的人员增加，数据传输通道变得不可控，导致数据泄露、泄密、窃取的风险增大。同时，由于科技期刊缺少对外部审稿人的限制措施，科技论文涉密数据在外审过程中存在一定的泄露风险［2］。2008年的Verizon（威瑞森）数据泄露调查报告指出，39%的数据泄露案件与受害者的合作伙伴有关，30%的数据泄露案件涉及多方合作。另一方面，当前，随着国际交往日渐频繁，我国信息安全也不断面临新的挑战，如果科技期刊数据涵盖有科技前沿和尖端技术等信息，就极易被不法分子采用大数据关联分析技术窃取。

（三）数据发布阶段

在融媒体时代，科技期刊数字出版规模进一步扩大，数字化传播载体形式多样，科技期刊数据的多渠道发布既扩大了期刊的影响力和传播力，又给国家信息安全带来一定的挑战。美国忧思科学家联盟（The Union of Concerned Scientists，UCS）于2009年发布一份名为“Anti-Satellite（ASAT） Technology in Chinese Open-Source Publications”的报告，分析了1971—2007年中国328个科研机构957名研究人员发表在292种中国期刊上的1486篇关于ASAT武器和技术方面的学术文献。该报告认为中国会在学术资源数据库中发表一些相关的技术和非技术报告，给美国对中国的ASAT技术进行情报分析提供了丰富的信息来源［11］。可见，在数据发布阶段，相关主体如果未对科技论文进行数据泄露风险评估或者未意识到科技论文数据情报价值等，将极易引发数据泄露风险，这亟须引起相关部门的重视。

（四）数据归档阶段

在数据归档阶段，科技期刊数据风险主要体现为技术性风险。第一，在大数据时代，数据的存储和管理要比格式化数据难度高，数据形式变化多样，容易受到载体影响，一旦数据储存系统运行故障、发生错误或存储方式不当，有可能产生数据物理性存储故障、无法读取或部分数据丢失、与数据源不一致等风险［12］，导致科技期刊数据的完整性和实用性受到影响。第二，非集群化运营的科技期刊普遍缺乏维护大体量期刊数据的技术与资源，容易被未经授权人员非法访问或被不法分子恶意干扰、攻击和破坏，面临数据毁损和泄露的风险［8］。

（五）数据销毁阶段

在数据销毁阶段，科技期刊销毁的数据主要为敏感数据或垃圾数据。由于数据具有场景依附性，数据的价值对竞争对手而言不是一成不变的［13］，即传统意义上的非涉密数据可能因环境和战略需求变化而转变为涉密数据，因此垃圾数据也可能体现一定的价值。如果科技期刊对这些数据不做销毁处理或销毁不当，都可能引发数据泄露、泄密风险。此外，科技期刊对数据采取以下措施也可能引发数据风险。一是轻视对未公开的涉密材料的销毁处理，如作者投稿邮件中涉及的关键敏感数据。二是未能及时处理科技期刊在编辑出版流程中产生的垃圾数据，如撤稿数据、广告数据、无效数据、错误数据等，给储存系统的安全运行带来一定的风险。三是销毁技术不符合国家标准。例如，对数据文件采用删除、格式化硬盘、文件粉碎等办法来销毁是极不安全的做法，存在被他人运用技术手段刻意恢复的风险。

三、科技期刊多元协同数据风险防范体系框架构建的路径

文章通过对科技期刊数据风险主要表现及致险原因分析可知，科技期刊数据由于存在完整的生命周期，牵涉的利益相关主体较多，一旦发生泄露事故，将面临难以举证、难以追责的困境。因此，科技期刊出版机构应凝聚各方共识，汇聚各方力量，协同降低数据泄露风险。文章借鉴王蕴等［2］、王珏等［3］、段尧清等［14］

的研究，以“多元协同，精准施策，多措并举，一体推进”为总体思路探索构建科技期刊多元协同数据风险防范体系框架，如图2所示。

（一）数据风险防范体系框架多元利益相关者相互关系阐释

科技期刊数据风险防范是一项系统工程，需要多元利益相关者协同推进，协作配合，共同规范数据处理行为。其中，起主导作用的防范主体是科技期刊出版机构，多元利益相关者包含期刊主办单位和编辑部等，它们的职责主要是统筹协调各方力量、提出防范策略、落实应对措施。多元利益相关者按照其职责定位作用于科技期刊数据生命周期不同环节之中。在此类框架中，科技期刊数据风险防范策略要以认知为思想引领，以法律为根本遵循，以制度为基本保障，以技术为重要抓手。在防范策略总体指导下，科技期刊数据风险具体应对措施须因时因势动态调整。

（二）科技期刊数据风险的防范策略

第一，认知：增强数据风险意识。在出版外围环境不可控、内部技术人才瓶颈依然存在的情况下，多元利益相关者主动增强数据风险意识、提升数据辨识度与敏感性仍是风险防范的前提条件。国家和行业主管部门须重视和关注科技期刊数据安全及其潜在的风险动向，完善相关政策，引导业界学者开展学术研究，指导业务实践［14］。科技期刊出版机构应加大对作者、编辑、排版人员、审稿专家在数据风险意识方面的培训和宣传力度，利用融媒体推送、主题论坛、统计数据、典型案例等强化数据风险理念，加强数据风险教育。

第二，法律：完善数据服务合同条款。科技期刊出版机构可通过完善自身与作者、网络技术服务企业、排版印刷者、数据发布平台等签订的数据服务合同条款来规避数据权属、隐私侵犯、数据泄露等法律风险。其中，数据服务合同条款须要求网络技术服务企业、数据发布平台对数据服务质量水平或风险防范做出承诺，划分数据处理权利义务和数据风险责任，明确责任追偿，以防止合同纠纷和数据事故的发生。

第三，制度：依法完善数据服务管理制度。依据国家出台的《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国著作权法》，科技期刊出版机构可以制订科技期刊数据收集、编审、发布、归档、销毁等制度规范，为数据风险防范提供可参考的制度依据，并严格落实各项制度，主要包括：其一，明确人员职责，规范不同用户数据使用权限，撰写数据访问日志；其二，根据数据安全级别和保护程度制订数据分类分级标准，严格区分可开放数据和不可开放数据，对不同级别数据设置访问权限，采用不同的技术防护措施；其三，对多元利益相关者开展规范性数据存储培训，制订数据存储、备份、恢复规范；其四，制订风险应急预案，对多元利益相关者开展动态预警训练，提高危机公关能力；其五，制订数据管理奖惩制度，签署数据保密协议，规范多元利益相关者行为。

第四，技术：构筑技术防护屏障。科技期刊出版机构应积极寻求期刊主管部门、主办单位的资金、技术支持，与网络安全部门合作，推动人工智能、区块链等技术在出版行业的应用。其可购买相关网络安全产品，打造集数据泄露防护、端点安全、加密、脱敏化、去标识化、匿名化处理、访问限制、擦除、屏蔽、验证和信誉技术于一体的安全防御技术系统，并实时监测与定点记录。

四、结语

文章基于数据生命周期理论描绘科技期刊数据生命周期，分析科技期刊数据在其生命周期中的主要风险、致险原因及其可能导致的后果，探索构建多元协同数据风险防范体系框架的路径，并提出科技期刊数据风险的防范策略。目前，虽然从表面上看，科技期刊数据风险大多还处于隐而未发状态，但是风险事件一旦发生，各类不可预见的衍生风险也可能接踵而至。因此，多元利益相关者必须提高警惕，强化忧患意识。由于笔者受限于思想认知，导致研究尚存在一定的局限性，未来，相关研究应细分不同学科领域科技期刊数据风险和防范关键点，提高研究针对性，在实践与理论的双向互动中消弭科技期刊数据的风险隐患。

［参考文献］

［1］齐欣，杨建林.美国智库对华军事研究的信息源分析：以兰德公司2000－2013年报告的引文分析为例［J］.图书与情报，2014（03）：116-120.

［2］王蕴，吴炳潮，关贝，等.科技论文出版全生命周期的安全问题与对策［J］.中国科技期刊研究，2022（12）：1609-1612.

［3］王珏，任娇菡，杨恒，等.开放科学环境下我国科技论文发表中的信息安全问题与管控［J］.中国科技期刊研究，2022（12）：1599-1608.

［4］章诚.基于数据主权与数据权利的学术期刊数据权保护［J］.南京大学学报（哲学·人文科学·社会科学），2022（06）：149-157.

［5］方卿，丁靖佳.人工智能生成内容（AIGC）的三个出版学议题［J］.出版科学，2023（02）：5-10.

［6］秦晓雪.科技期刊泄密风险及保密管理对策分析［J］.出版与印刷，2021（02）：67-71.

［7］唐迪，夏雪莲.科技论文发表过程中存在的保密问题及对策［J］.保密科学技术，2015（01）：62-64.

［8］周濛.大数据时代学术期刊出版的数据风险及防范策略［J］.中国科技期刊研究，2023（08）：982-989.

［9］王旌，卢全，游苏宁.强化期刊出版风险意识提高危机防控化解能力［J］.编辑学报，2020（03）：237-241.

［10］姚锋.大数据时代期刊作者隐私保护的价值平衡与法治规范［J］.南昌大学学报（人文社会科学版），2022（05）：67-76.

［11］柳厅文，李全刚，时金桥.公开数据的泄密风险大数据时代［J］.保密工作，2018（04）：51-52.

［12］张莉艳.大数据安全风险分析及应对措施［J］.电脑知识与技术，2019（27）：37-39.

［13］李品.开放科学环境下科技文献泄密风险防控探析［J］.情报理论与实践，2023（06）：10-16.

［14］段尧清，郑卓闻，王蕊.科学论文发表中的信息安全问题探讨与建议：基于作者、审稿人和编辑视角［J］.中国科技期刊研究，2022（12）：1613-1618.

［基金项目］2024年陕西省科学技术情报学会立项课题“数智时代科技期刊出版数据风险及防范研究”（项目编号：2024KTF-06）研究成果。

［作者简介］王育英（1981—），女，陕西西安人，《情报杂志》编辑部编辑；（通信作者）张薇（1966—），女，陕西西安人，《情报杂志》编辑部主编。