肖冬梅，孫 蕾

1 背景：數(shù)據(jù)密集型科學(xué)出現(xiàn)

隨著云計算技術(shù)與服務(wù)的深度滲透，以高度協(xié)作、開放獲取、數(shù)據(jù)共享、研究透明為特征的開放科學(xué)正在全球興起[1]。開放科學(xué)改變了傳統(tǒng)科研范式慣常的“假設(shè)—求證”邏輯，直接基于海量數(shù)據(jù)，借助大數(shù)據(jù)的相關(guān)關(guān)系，通過運算得出新的結(jié)論。其特征在于重視基于“相關(guān)關(guān)系”的驗證，而非一味拘泥于“因果關(guān)系”進行推導(dǎo)，因而開放科學(xué)也可以說是數(shù)據(jù)密集型科學(xué)。數(shù)據(jù)密集型科學(xué)也稱第四科研范式，是指“數(shù)據(jù)依靠信息設(shè)備收集或模擬產(chǎn)生，依靠軟件處理，用計算機進行存儲，使用專用的數(shù)據(jù)管理和統(tǒng)計軟件進行分析”[2]?？蒲谢顒右詳?shù)據(jù)為中心開展，科學(xué)發(fā)現(xiàn)以數(shù)據(jù)挖掘技術(shù)、云計算存儲和處理技術(shù)等為工具，而以數(shù)據(jù)為生成要素的社會的形成，為科研活動提供了新的對象，由此催生了“全域科學(xué)數(shù)據(jù)”。數(shù)據(jù)成為科研活動的對象，意味著基于科研活動而產(chǎn)生的科學(xué)數(shù)據(jù)的范疇擴大，即不再只是局限于科研活動“后端”——經(jīng)科研活動而生成的數(shù)據(jù)，而是擴展到科研活動“前端”——用于科研活動的數(shù)據(jù)。如果說科研活動是加工廠，那么投進去的要素(前端數(shù)據(jù))和產(chǎn)出來的產(chǎn)品(后端數(shù)據(jù))都是科學(xué)數(shù)據(jù)。由此，科學(xué)數(shù)據(jù)的安全就顯得尤為重要，因為其準(zhǔn)確性、可靠性直接影響后續(xù)理論建構(gòu)的正確性。AI、基因工程等大樣本科學(xué)數(shù)據(jù)滋生不一致、不精確、不完整、數(shù)據(jù)沖突等質(zhì)量問題的幾率頗大。按照GIGO(Garbage In，Garbage Out，即“垃圾進則垃圾出”)原則，如果科學(xué)活動中輸入的數(shù)據(jù)存在問題，偏離客觀事實，那么算法再好、超級計算機再先進，也難以達到預(yù)期目標(biāo)，甚至可能帶來嚴重惡果。美國醫(yī)療協(xié)會的統(tǒng)計表明，因數(shù)據(jù)錯誤而引發(fā)的醫(yī)療事故中，每年至少有9.8萬例患者死亡[3]。所以說，數(shù)據(jù)被人為篡改，或因物理環(huán)境而引起的不完整性等，都可能導(dǎo)致數(shù)據(jù)不準(zhǔn)確，歸根到底還是數(shù)據(jù)安全問題。在第四科研范式活動中，科學(xué)數(shù)據(jù)的安全問題不止關(guān)系到學(xué)術(shù)成果的真?zhèn)?，甚至還關(guān)系到國家安全(如核研究)、人類安全(如基因研究)等。有鑒于此，本文試圖通過剖析典型的云安全事件，揭示云環(huán)境下科學(xué)數(shù)據(jù)面臨的威脅；對重要的學(xué)術(shù)數(shù)據(jù)庫、科學(xué)數(shù)據(jù)平臺進行持續(xù)的安全性測試，觀察云環(huán)境中科學(xué)數(shù)據(jù)面臨的安全風(fēng)險程度與主要風(fēng)險類型；并在廣泛研讀相關(guān)學(xué)術(shù)文獻和法律文本的基礎(chǔ)上，總結(jié)和歸納云環(huán)境下科學(xué)數(shù)據(jù)安全風(fēng)險的主要治理模式與演進路徑，重點闡釋當(dāng)今已成為發(fā)展趨勢的“技術(shù)+法律”聯(lián)袂治理模式，以期在此基礎(chǔ)上提出對策，有效治理我國科學(xué)數(shù)據(jù)當(dāng)下正面臨的云安全風(fēng)險。

2 云環(huán)境中科學(xué)數(shù)據(jù)面臨的安全威脅

云計算是新的IT資源組織和應(yīng)用技術(shù)，引入了資源彈性共享、數(shù)據(jù)動態(tài)遷移以及多租戶資源共享等新的應(yīng)用架構(gòu)和管理模式，在最大限度發(fā)揮IT資源集約化應(yīng)用效益的同時，也為云上應(yīng)用帶來潛在的安全隱患。但迄今為止，云環(huán)境中有幾類安全威脅并未達成共識，有觀點認為是12類[4]，也有觀點認為是6類[5]，引用較多的是云安全聯(lián)盟(Cloud Security Alliance，CSA)提出的7類云安全威脅，包括云計算的濫用和惡用、不安全的接口和API、內(nèi)部員工的惡意行為、共享技術(shù)產(chǎn)生的問題、數(shù)據(jù)丟失或泄漏、賬號和服務(wù)劫持以及未知的風(fēng)險場景[6]。這些威脅有些是人為導(dǎo)致，有些是技術(shù)特點或局限所致。其中，云計算的濫用和惡用、內(nèi)部員工的惡意行為、賬號和服務(wù)劫持皆是人禍，是人有意為之。云環(huán)境中黑客利用僵尸網(wǎng)絡(luò)來傳播垃圾郵件和惡意軟件就是典型的濫用和惡用；有管理權(quán)限的內(nèi)部員工竊取用戶數(shù)據(jù)甚至刪庫跑路的惡性事件時有發(fā)生，如“SaaS第一股”微盟遭員工惡意“刪庫”，導(dǎo)致客戶數(shù)據(jù)丟失[7]；賬號和服務(wù)劫持威脅包括中間人攻擊、網(wǎng)絡(luò)釣魚、垃圾郵件以及拒絕服務(wù)攻擊等，在云中幾乎從未間斷。軟件接口或API、共享技術(shù)產(chǎn)生的問題、數(shù)據(jù)丟失或泄漏則是因云計算技術(shù)的特點或局限所致。比如，共享技術(shù)產(chǎn)生的問題體現(xiàn)在共享基礎(chǔ)設(shè)施是IaaS提供商的一種服務(wù)方式，但其所基于的組件并不是為此設(shè)計的，因此帶來安全威脅；疏忽大意也可能導(dǎo)致云中科學(xué)數(shù)據(jù)的丟失或泄漏；未知的風(fēng)險場景則包括代碼更新、脆弱性、入侵企圖等。

由上可知，與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比，云環(huán)境中科學(xué)數(shù)據(jù)面臨的威脅更甚，既面臨傳統(tǒng)的安全風(fēng)險，也遇到新型的安全威脅。其中，不可忽略的安全威脅主要有兩類：一類雖是傳統(tǒng)安全風(fēng)險，但在云環(huán)境中其威脅被放大；另一類是云計算帶來的新型威脅。

2.1 科學(xué)數(shù)據(jù)面臨的傳統(tǒng)安全風(fēng)險在云環(huán)境中進一步放大

事實上，即便是傳統(tǒng)的安全風(fēng)險如數(shù)據(jù)丟失或泄露，一旦發(fā)生在云環(huán)境中，其轉(zhuǎn)化為安全事件的可能性、損害的嚴重程度等都會呈倍數(shù)增長。原因在于，基于云計算的海量數(shù)據(jù)挖掘成為可能，隨著數(shù)據(jù)挖掘技術(shù)的發(fā)展其成本也大大降低，數(shù)據(jù)可能更容易被惡意挖掘、加工和利用，為禍尤烈。2019 年9 月，德國Greenbone Networks公司的漏洞分析與管理專家披露，存放在600個未受保護的服務(wù)器中的醫(yī)療放射圖像數(shù)據(jù)泄露，涉及52國2，000多萬人，泄露的圖像超過7.37億個，其中有4億個醫(yī)療放射圖像可以訪問，或者能從互聯(lián)網(wǎng)上輕松下載，包括從中國14 個未受保護的醫(yī)學(xué)影像歸檔和通信系統(tǒng)(PACS)服務(wù)器系統(tǒng)上泄露的27.9萬個醫(yī)學(xué)成像數(shù)據(jù)記錄。泄露的數(shù)據(jù)大多為敏感數(shù)據(jù)，主要包括患者姓名、出生日期、檢查日期、檢查范圍、成像程序的類型、主治醫(yī)師、研究所/診所以及醫(yī)療影像對應(yīng)的生物特征等[8]。如此大規(guī)模的敏感數(shù)據(jù)一旦落入不法分子之手，借助云計算、大數(shù)據(jù)技術(shù)進行數(shù)據(jù)挖掘，抑或進行黑市交易，其所承載的安全與隱私風(fēng)險將被無限放大，后果不堪設(shè)想。

2.2 云環(huán)境中科學(xué)數(shù)據(jù)面臨的新威脅

正如云安全聯(lián)盟(CSA)所言，云服務(wù)共享、按需所取的特性帶來了新的安全問題。表面看，云計算中心是最可靠、最安全的數(shù)據(jù)存儲中心，云端存取科學(xué)數(shù)據(jù)似乎是更安全的解決方案。實際上，與傳統(tǒng)的信息技術(shù)環(huán)境相比，云計算的應(yīng)用使得科學(xué)數(shù)據(jù)面臨許多新的安全威脅。具體而言，新型威脅主要包括3個方面：虛擬化技術(shù)廣泛應(yīng)用帶來的安全威脅、基于云計算資源的安全攻擊以及云服務(wù)商帶來的安全威脅。這些威脅使云環(huán)境中科學(xué)數(shù)據(jù)面臨的安全環(huán)境愈加復(fù)雜，影響到安全保障的技術(shù)與管理機制[9]。服務(wù)器虛擬化存在的諸多安全漏洞為攻擊者留下可乘之機，利用這些漏洞能直接控制虛擬機的管理層hypervisor，從而控制物理主機上的所有虛擬機。雖然可以采用硬盤分區(qū)來實現(xiàn)邏輯隔離、選擇具有TPM安全模塊的物理服務(wù)器等方法以降低安全威脅，但迄今依然沒有辦法可以完全消除虛擬化的安全威脅。基于云計算資源的安全攻擊事件時有發(fā)生，云計算拒絕服務(wù)攻擊日漸由利用大量數(shù)據(jù)流進行暴力式攻擊轉(zhuǎn)變?yōu)獒槍A(chǔ)應(yīng)用程序的技術(shù)性攻擊。2012年維基解密在遭到DDoS 攻擊后，不得已遷移到云服務(wù)商CloudFlare上，2014年2月CloudFlare的客戶再受攻擊，包括4chan、維基解密在內(nèi)的78.5萬個網(wǎng)站的安全服務(wù)受到影響。2014年12月20-21日，部署在阿里云上的一家知名游戲公司遭遇長達14小時的DDoS攻擊[10]。2013年美國MSSP Prolexic在全球的4個節(jié)點成功防護了一起大型的針對金融機構(gòu)的DNS反射DDoS攻擊(DrDDoS)。云服務(wù)商既可能帶來內(nèi)部威脅，也可能帶來外部威脅。由于云服務(wù)存儲著更大量的數(shù)據(jù)，云服務(wù)商成為越來越重要的目標(biāo)，如果其安全策略與安全等級不理想，存放其云上的數(shù)據(jù)將面臨嚴峻的外部威脅。此外，數(shù)據(jù)為一種參與社會分配的重要生產(chǎn)要素，云服務(wù)商及其在崗或者離職員工、系統(tǒng)管理員、外包人員、商業(yè)伙伴是否經(jīng)得住數(shù)據(jù)紅利的誘惑，不進行監(jiān)守自盜？比如，美國Facebook公司擅用海量用戶數(shù)據(jù)牟利，網(wǎng)絡(luò)安全公司Avast被曝售賣4億用戶數(shù)據(jù)[11]。這種內(nèi)部威脅也不可小覷。

3 云環(huán)境中科學(xué)數(shù)據(jù)的安全風(fēng)險類型

云計算促進了數(shù)據(jù)的流動與利用，云環(huán)境中的數(shù)據(jù)由于脫離了數(shù)據(jù)主體的控制而滋生了比在傳統(tǒng)網(wǎng)絡(luò)環(huán)境中更高的安全風(fēng)險。根據(jù)所涉主體與來源的不同，云環(huán)境中的數(shù)據(jù)安全風(fēng)險主要分為4類：一是研發(fā)人員訪問云中科學(xué)數(shù)據(jù)庫所致的安全風(fēng)險；二是作者通過云平臺進行論文投稿所面臨的數(shù)據(jù)安全風(fēng)險；三是政府部門建立科學(xué)數(shù)據(jù)云平臺并提供數(shù)據(jù)服務(wù)所蘊含的數(shù)據(jù)安全風(fēng)險；四是別有用心的外國政府的持續(xù)監(jiān)視與入侵活動給科學(xué)數(shù)據(jù)主體及其管理者帶來的風(fēng)險。

3.1 訪問云中科學(xué)數(shù)據(jù)庫的安全風(fēng)險

訪問云中科學(xué)數(shù)據(jù)庫的數(shù)據(jù)安全風(fēng)險有兩類：科學(xué)數(shù)據(jù)庫本身的安全問題和訪問者的行蹤被跟蹤并被挖掘利用所致的安全風(fēng)險。大數(shù)據(jù)專家與信息隱私專家舍恩伯格指出，大數(shù)據(jù)的價值不再單純來源于它的基本用途，而更多源于它的二次利用[12]。大數(shù)據(jù)的紅利與數(shù)據(jù)安全風(fēng)險往往是一枚硬幣的兩面。

第一類安全風(fēng)險主要是指，因科學(xué)數(shù)據(jù)庫本身的安全問題使用戶賬號密碼等置于不確定的風(fēng)險之中?？茖W(xué)數(shù)據(jù)庫因黑客攻擊或內(nèi)部竊取而發(fā)生數(shù)據(jù)泄露或損壞并不鮮見，在云端存儲的科學(xué)數(shù)據(jù)庫，往往是海量數(shù)據(jù)的匯聚，提供實時在線服務(wù)，其面臨的數(shù)據(jù)安全威脅除常見的外部黑客攻擊，也有“上帝之手”的隱憂。因為各類SaaS、PaaS和IaaS服務(wù)商對數(shù)據(jù)事實上享有不同程度的控制權(quán)，不管是有心(安裝后門)、疏忽(技術(shù)漏洞)或是無奈(配合公權(quán)力部門執(zhí)法)，云服務(wù)商于科學(xué)數(shù)據(jù)庫的數(shù)據(jù)安全而言，也是一類現(xiàn)實的風(fēng)險源?？茖W(xué)數(shù)據(jù)庫存在被黑客攻擊或竊取，導(dǎo)致用戶賬號密碼等數(shù)據(jù)泄露的風(fēng)險，容易因黑客的“撞庫”攻擊而給用戶帶來財產(chǎn)乃至人身的損失或威脅。

第二類安全風(fēng)險緣于訪問者行蹤數(shù)據(jù)，既關(guān)乎個人隱私，也關(guān)乎商業(yè)秘密。如果對某企業(yè)的研發(fā)骨干或研發(fā)團隊訪問數(shù)據(jù)庫的蹤跡數(shù)據(jù)結(jié)合搜索內(nèi)容進行數(shù)據(jù)挖掘，難免暴露相關(guān)核心技術(shù)秘密?？茖W(xué)研究是有繼承性的，這意味著科學(xué)數(shù)據(jù)資源是各國創(chuàng)新活動的核心要素，也是研發(fā)者進行創(chuàng)新的養(yǎng)料與基礎(chǔ)。隨著云計算技術(shù)在科技領(lǐng)域的普遍應(yīng)用與深入滲透，海量科學(xué)數(shù)據(jù)在云端聚集。云計算為大數(shù)據(jù)挖掘與分析提供了算力的支持，使得通過大數(shù)據(jù)分析追蹤競爭對手的研發(fā)機密成為可能。如果這類數(shù)據(jù)聚集到足夠大的量，如對某國某技術(shù)領(lǐng)域核心研發(fā)人員的學(xué)術(shù)搜索記錄進行跟蹤和分析，則有可能泄露國家機密。我國科研人員幾乎每天都在訪問堪稱須臾不可或缺的學(xué)術(shù)資源——歐美科學(xué)數(shù)據(jù)庫資源，蘊含著機密信息泄露的隱患，即追蹤科研人員在科學(xué)數(shù)據(jù)庫中的檢索行蹤，利用大數(shù)據(jù)分析，掌握我國當(dāng)前乃至未來一段時間的科研機密。

美國IT界“八大金剛”在中國信息網(wǎng)絡(luò)體系的滲透頗深，我國學(xué)術(shù)機構(gòu)也概莫能外，不管是學(xué)術(shù)機構(gòu)的信息系統(tǒng)與硬件設(shè)備，還是研究人員的電腦、操作系統(tǒng)、輸入法，思科的路由器、英特爾的芯片、微軟的操作系統(tǒng)、蘋果的手提電腦在各學(xué)術(shù)機構(gòu)中隨處可見。中國學(xué)術(shù)機構(gòu)中由美國服務(wù)商提供的產(chǎn)品占相當(dāng)高的比例[13]。美國《愛國者法案》規(guī)定：“通過系統(tǒng)所有者授權(quán)，政府可以監(jiān)聽正在使用中的計算機系統(tǒng)?！盵14]這一定義十分廣泛，可以解釋為對于任何計算機政府都有權(quán)監(jiān)聽，實際上賦予美國政府獲取所有美國公司客戶數(shù)據(jù)的權(quán)利，背后蘊含的數(shù)據(jù)安全風(fēng)險使得其自通過以來在美國一直有激烈的存廢之爭。但是，美國《澄清域外合法使用數(shù)據(jù)法案》(俗稱《云法案》)更是通過立法方式明確美國情報機構(gòu)等政府部門可以將手伸到他國領(lǐng)土，獲取美國云服務(wù)商存儲在全球任何地方的用戶數(shù)據(jù)，在這樣的法律環(huán)境下科學(xué)數(shù)據(jù)面臨的安全風(fēng)險顯而易見。

3.2 期刊、會議論文投稿系統(tǒng)中的數(shù)據(jù)安全風(fēng)險

2018 年8 月“NIPS 2018 論文提交系統(tǒng)”被曝存在安全漏洞，導(dǎo)致審稿信息泄露，雙盲評審失效，即審稿人可以判斷出單篇論文的姓名和機構(gòu)。這是存在于整個論文提交和審稿底層系統(tǒng)的問題，NIPS 2018 論文提交系統(tǒng)采用的是MS CMT3 系統(tǒng)，該系統(tǒng)已被國際機器學(xué)習(xí)大會(International Conference on Machine Learning，ICML)、國際計算機視覺會議(International Conference on Computer Vision，ICCV)等1，000多個使用雙盲和單盲評審的國際學(xué)術(shù)會議使用，僅NIPS 2018論文提交系統(tǒng)泄露的信息就涉及上萬篇論文、上千名審稿人[15]。毋庸置疑，這些被泄露的科學(xué)論文及其相關(guān)數(shù)據(jù)被置于不確定的風(fēng)險之中，而論文作者與審稿人賬戶信息的泄露同樣蘊含安全風(fēng)險，因為通過“撞庫”可能會危及涉及其財產(chǎn)或隱私的其他信息系統(tǒng)的賬戶密碼安全。

3.3 科學(xué)數(shù)據(jù)云平臺服務(wù)中的安全風(fēng)險

科學(xué)數(shù)據(jù)開放能加速知識的擴散與傳播，推動科技創(chuàng)新，促進科研范式轉(zhuǎn)變，助力重大科技成果的產(chǎn)出和國家科技創(chuàng)新能力的提升。但是，缺乏配套安全評估機制的科學(xué)數(shù)據(jù)開放計劃背后蘊藏著國家科學(xué)數(shù)據(jù)安全風(fēng)險。我國建有中國科技云[16]、中國科學(xué)院數(shù)據(jù)云[17]等平臺，2018年前科技數(shù)據(jù)云應(yīng)用主要停留在云存儲、云歸檔等層面[18]。2018年4月12日上線的中國科技云是中國第一個服務(wù)科研人員的“云”門戶，將科學(xué)家要在各個網(wǎng)站上尋找的數(shù)據(jù)和計算工具整合在一個網(wǎng)站上，分門別類地提供服務(wù)，按需使用。中國科技云是一個基于云計算的國家科研信息化基礎(chǔ)設(shè)施，是為我國科技界打造的專有云，已集成基礎(chǔ)設(shè)施、科研軟件、信息資源、科研社區(qū)、超融合通訊等5大類科研支撐平臺。用戶實名注冊中國科技云通行證后，即可享受全新的云服務(wù)，包括獲取網(wǎng)絡(luò)傳輸、云計算、云存儲、通用型大數(shù)據(jù)處理環(huán)境、高性能計算網(wǎng)格、人工智能計算等多項基礎(chǔ)設(shè)施資源服務(wù)，上傳、評價、下載和在線運行科研軟件，以及關(guān)聯(lián)搜索和共享文獻、知識產(chǎn)權(quán)、領(lǐng)域云數(shù)據(jù)庫等科研信息資源。筆者對中國科技云與中國科學(xué)院數(shù)據(jù)云進行持續(xù)的安全測試，發(fā)現(xiàn)它們均存在明顯的數(shù)據(jù)安全隱患。中國科學(xué)院數(shù)據(jù)云(http：//www.csdb.cn)數(shù)據(jù)匯集入口http：//www.scidb.cn/和中國科技云(http：//www.cstcloud.cn)對應(yīng)的IP都歸屬于中國科學(xué)院計算機網(wǎng)絡(luò)信息中心，均采用標(biāo)準(zhǔn)的云架構(gòu)，提供計算與存儲等服務(wù)。嗅探中國科學(xué)院數(shù)據(jù)云網(wǎng)站，可知其web服務(wù)器采用開源的openResty，只開放80 和443 端口；而中國科技云web服務(wù)采用的是PHP服務(wù)器，只開放80端口。中國科學(xué)院計算機網(wǎng)絡(luò)信息中心的技術(shù)支持方為青云軟件。從技術(shù)視角看，上述幾個網(wǎng)站的主要安全風(fēng)險在于主要采用http 協(xié)議，僅部分采用https協(xié)議。http協(xié)議通信使用明文，內(nèi)容容易被竊聽，不驗證通信方身份，有可能遭遇偽裝；無法驗證報文的完整性，傳輸?shù)膬?nèi)容可能會被篡改，而且并未發(fā)現(xiàn)上述網(wǎng)站購買專業(yè)的第三方安全服務(wù)，也未做反爬蟲機制的驗證，可能面臨零日漏洞與DDoS等多種安全風(fēng)險。

3.4 外國情報機構(gòu)監(jiān)視與入侵帶來的數(shù)據(jù)安全風(fēng)險

云環(huán)境中外國情報機構(gòu)的監(jiān)視與入侵活動一直都在暗暗進行。美國除通過《愛國者法案》《云法案》等法律授權(quán)獲取數(shù)據(jù)，其情報機構(gòu)的監(jiān)視活動也從未間斷，這種監(jiān)視對學(xué)術(shù)機構(gòu)也未能幸免。斯諾登在2013年6月披露美國持續(xù)、高密度、集中式入侵清華大學(xué)的網(wǎng)絡(luò)系統(tǒng)，而中國骨干網(wǎng)之一的中國教育和科研計算機網(wǎng)總控中心就設(shè)在清華大學(xué)，它支持和保障多項科研、教育類國家重要網(wǎng)絡(luò)應(yīng)用項目[19]。這意味著我國學(xué)術(shù)領(lǐng)域的國家機密——研發(fā)投入方向、研發(fā)布局與進展等數(shù)據(jù)和信息被置于險境。在信息經(jīng)濟時代尤其是大數(shù)據(jù)時代，科學(xué)數(shù)據(jù)是核心的創(chuàng)新資源與競爭資源，各國都毫無例外地重視科學(xué)數(shù)據(jù)的安全與保護，科學(xué)數(shù)據(jù)安全已成為國家信息安全戰(zhàn)略的重要組成部分。發(fā)達國家普遍實施國家信息安全戰(zhàn)略，將其作為國家在全球競爭中占據(jù)領(lǐng)先優(yōu)勢的重要武器。

4 云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險的主要治理模式

云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險的治理主要有3種模式：技術(shù)治理、法律治理和“技術(shù)+法律”治理，這也是云計算發(fā)展較早的國家所經(jīng)歷的3個階段。不同發(fā)展階段、不同類別的數(shù)據(jù)安全風(fēng)險，采用不同的治理策略。從發(fā)展脈絡(luò)看，云計算發(fā)展之初，云中的科學(xué)數(shù)據(jù)安全風(fēng)險治理以技術(shù)治理為主。一方面是因為云計算技術(shù)發(fā)展早期相應(yīng)的新規(guī)則尚未制定，另一方面是因為技術(shù)治理往往比其他治理手段成本低、見效快。隨著云計算技術(shù)的深度滲透和廣泛應(yīng)用，云環(huán)境變得異常復(fù)雜，單純的技術(shù)治理變得無能為力，破解數(shù)據(jù)保護難題的努力逐漸從技術(shù)層面向法律(規(guī)則)層面深度滲透。其后，云計算技術(shù)與云應(yīng)用日趨成熟，科學(xué)數(shù)據(jù)安全風(fēng)險的治理又逐漸過渡為“技術(shù)+法律”治理。為此，需要審慎選擇如何配置好技術(shù)與法律資源，實現(xiàn)技術(shù)與法律的雙輪驅(qū)動，治理好科學(xué)數(shù)據(jù)安全風(fēng)險。

4.1 技術(shù)治理

一般來說，技術(shù)治理是最為快捷、成本最為低廉的治理舉措，在云計算與大數(shù)據(jù)發(fā)展初期，通過技術(shù)手段實行自力救濟往往是數(shù)據(jù)安全風(fēng)險治理的首選模式。因此，在云環(huán)境下云安全產(chǎn)業(yè)快速發(fā)展。有些安全風(fēng)險通過技術(shù)手段可以解決，如針對訪問云中科學(xué)數(shù)據(jù)庫的安全風(fēng)險，不少數(shù)據(jù)庫服務(wù)提供商開始承諾或采取安全技術(shù)措施，包括以用戶協(xié)議承諾不收集數(shù)據(jù)庫用戶提交的數(shù)據(jù)或其檢索痕跡數(shù)據(jù)，有些數(shù)據(jù)庫平臺還在檢索界面提供可選擇的數(shù)據(jù)“刪除”按鈕。譬如，某全球品牌數(shù)據(jù)庫承諾不以任何方式存儲用戶所提交的圖像副本，一旦完成對圖像的分析，所有記錄將從服務(wù)器刪除，不保留用戶檢索的圖像的任何記錄。再如，專利數(shù)據(jù)分析系統(tǒng)Patentics在首頁設(shè)有“刪除”按鈕，用戶可點擊該按鈕，選擇刪除其在數(shù)據(jù)庫的任何數(shù)字蹤跡，以確保搜索記錄不被記載。對科技論文投稿系統(tǒng)、中國科技云與中國科學(xué)院數(shù)據(jù)云等涉及的數(shù)據(jù)安全風(fēng)險，也可以通過采取提高安全等級等手段來治理，如將http協(xié)議改為https協(xié)議，降低科學(xué)數(shù)據(jù)傳輸?shù)陌踩L(fēng)險。對于外國情報機構(gòu)的監(jiān)視與入侵風(fēng)險，可以通過提高關(guān)鍵信息基礎(chǔ)設(shè)施的安全等級來加以防范。

4.2 法律治理

并非所有問題都可以通過技術(shù)措施予以解決，當(dāng)技術(shù)對數(shù)據(jù)的保護“無能為力”或成本過高時，法律成為構(gòu)建DT(Data Technology)時代新秩序、解決普遍性問題的必然選擇[20]。

(1)科學(xué)數(shù)據(jù)安全與數(shù)據(jù)保護法律制度的完備性密切相關(guān)。不同國家有不同的法律保障水平，蘊含著不同程度的數(shù)據(jù)安全風(fēng)險因素。當(dāng)然，同一個國家在不同的階段，法律保障水平會發(fā)生變化，所面臨的數(shù)據(jù)安全風(fēng)險也隨之改變。隨著云計算技術(shù)的迅速發(fā)展與廣泛應(yīng)用，法律治理逐漸成為不少國家和地區(qū)科學(xué)數(shù)據(jù)安全風(fēng)險的主要治理模式。實踐表明，科學(xué)數(shù)據(jù)安全與數(shù)據(jù)保護法律制度的完備程度密切相關(guān)。數(shù)據(jù)法律保護最嚴格的是歐洲大部分國家、加拿大、美國、澳大利亞、韓國、中國，其次是新西蘭、日本、阿根廷等，再次是俄羅斯、巴西、墨西哥等；數(shù)據(jù)法律保護最低級別的國家有印度、巴基斯坦、土耳其等[21]。

比較2015年與2020年的數(shù)據(jù)保護法律完備程度，中國數(shù)據(jù)保護法律環(huán)境發(fā)生了巨變：2015年尚處于最低保護水平，2019年躍至第二層級保護水平，2020年則位居數(shù)據(jù)保護立法完備的國家行列。這個結(jié)論正是對中國近5年在數(shù)據(jù)立法上所做的種種努力的肯定。中國在云計算、大數(shù)據(jù)技術(shù)方面比不少發(fā)達國家起步晚，但近年進入實踐應(yīng)用階段的速度比其他國家快，市場廣闊，用戶龐大。由于網(wǎng)絡(luò)空間是新的空間，原本就缺少治理相關(guān)的法律法規(guī)，大多數(shù)用戶缺乏自我保護意識，對云服務(wù)商也沒有相應(yīng)的行業(yè)規(guī)范進行約束，且缺乏行業(yè)自律，所以建立或探索法律治理路徑成為社會共識，并付諸行動。近幾年中國開始步入數(shù)據(jù)保護和網(wǎng)絡(luò)治理制度建設(shè)的快車道，2015年至今出臺了一系列法律法規(guī)，如頒布《網(wǎng)絡(luò)安全法》《密碼法》等新法，《國家情報法》《消費者權(quán)益保護法》等利用修改契機增加數(shù)據(jù)保護條文，配套的行政法規(guī)和部門規(guī)章、標(biāo)準(zhǔn)規(guī)范等也相繼推出，2019年又將《個人信息保護法》《數(shù)據(jù)安全法》列入十三屆全國人大常委會立法規(guī)劃。這些已成立或即將出臺的法律法規(guī)正是我國數(shù)據(jù)保護水平從最低級躍居最高(第一)級的原因，意味著我國正努力為科學(xué)數(shù)據(jù)的安全風(fēng)險治理提供重要的法律保障。

(2)美國之外的國家形成法律主導(dǎo)型治理范式。美國憑借先發(fā)型的網(wǎng)絡(luò)技術(shù)力量形成“網(wǎng)絡(luò)霸權(quán)”地位，而后依靠創(chuàng)新型的云計算、大數(shù)據(jù)技術(shù)鞏固“數(shù)據(jù)霸權(quán)”地位，整體上形成“技術(shù)型主導(dǎo)兼顧傳統(tǒng)法律或權(quán)利”的模式。歐盟、中國和其他大多數(shù)國家為應(yīng)對美國數(shù)據(jù)霸權(quán)的侵襲，在互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等領(lǐng)域的技術(shù)相對落后的現(xiàn)實情況下，主要通過制定專門性法律規(guī)范確立和保護“數(shù)據(jù)權(quán)利”，通過提供私權(quán)救濟的方式來達到維護國家數(shù)據(jù)主權(quán)安全的目的，整體上形成“法律主導(dǎo)型”治理范式。相對于美國的“進攻態(tài)勢”，其他國家處于“防守態(tài)勢”。處于防守態(tài)勢的國家普遍認識到：既缺乏數(shù)據(jù)科技實力，又沒有相應(yīng)制度保障數(shù)據(jù)安全，盲目地開放和共享本國的數(shù)據(jù)資源，有可能將數(shù)據(jù)優(yōu)勢異化為威脅總體國家安全的風(fēng)險。因此，對沒有技術(shù)優(yōu)勢而處于防守態(tài)勢的國家無疑會傾向于選擇法律治理范式為主導(dǎo)。

(3)亟待構(gòu)建數(shù)據(jù)安全風(fēng)險法律治理的國家間合作機制。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境下相比，云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險的法律治理更需要國家間協(xié)作。因為科研創(chuàng)新活動需要獲取全球相關(guān)科學(xué)數(shù)據(jù)，國際學(xué)術(shù)合作與交流必然需要科學(xué)數(shù)據(jù)的跨國傳輸，在現(xiàn)有法律環(huán)境下，數(shù)據(jù)的跨境傳輸蘊含制度性風(fēng)險。譬如，美國通過出臺《愛國者法案》《云法案》賦予公權(quán)力部門強監(jiān)管權(quán)，是對其他國家數(shù)據(jù)安全的威脅。如果存放美國服務(wù)提供商云上的用戶數(shù)據(jù)能被美國公權(quán)力部門合法監(jiān)控與獲取，那么這對他國科研人員、科研機構(gòu)乃至國家科學(xué)數(shù)據(jù)安全而言是可怕的風(fēng)險和威脅。中國大多數(shù)項目成果發(fā)表在SCI、EI收錄的國際期刊上，這些論文及其相關(guān)數(shù)據(jù)一般存儲在歐美出版集團的云端數(shù)據(jù)庫，而美國《云法案》賦予包括情報機構(gòu)在內(nèi)的政府部門長臂管轄權(quán)，可以將手伸到他國領(lǐng)土，獲取美國云服務(wù)商存儲在全球任何地方的用戶數(shù)據(jù)，科學(xué)數(shù)據(jù)面臨的制度性安全風(fēng)險由此可以想見。

4.3 技術(shù)治理+法律治理

云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險的致因，既有技術(shù)因素，也有法律政策因素。前一種致因形成的數(shù)據(jù)安全風(fēng)險的治理主體一般是學(xué)術(shù)機構(gòu)(成員)或服務(wù)提供商，后一種致因則往往針對公權(quán)力部門。科學(xué)數(shù)據(jù)安全風(fēng)險治理還涉及國家與國家之間的博弈。以美國《愛國者法案》《云法案》為例，對其他國家科學(xué)數(shù)據(jù)資源而言，蘊含很高的安全風(fēng)險，學(xué)術(shù)機構(gòu)(成員)或服務(wù)提供商很難治理這類風(fēng)險，必要時需要國家出手。為此，各國正在緊鑼密鼓地構(gòu)建更完善的數(shù)據(jù)風(fēng)險治理法律體系。單一的技術(shù)治理范式或是單一的法律治理范式都有局限，對科學(xué)數(shù)據(jù)安全風(fēng)險采用“技術(shù)+法律”雙管齊下的治理范式會取得更好的成效，融合兩種模式，能達到1+1≥2的效果。

雖然云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險的“技術(shù)+法律”聯(lián)袂治理比單一的技術(shù)治理或單一的法律治理意義更大，但兩種不同的治理方式要實現(xiàn)融通從而達到聯(lián)袂治理實屬不易。因此，需要研究各類安全風(fēng)險的技術(shù)治理或法律治理效果、成本等，根據(jù)持續(xù)動態(tài)的觀察結(jié)果進行治理方式的選擇、調(diào)整和優(yōu)化，通過對云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險進行類型化分析，重點研究與不同類別安全風(fēng)險相適宜的治理方式，根據(jù)不同類型、不同階段的安全風(fēng)險，選擇技術(shù)治理、法律治理或組合二者的治理。二者組合進行聯(lián)袂治理需要解決的問題是：何時采用技術(shù)治理，何時采用法律治理，或者說哪一類安全風(fēng)險采用哪一種治理方式最適宜。這也是云環(huán)境中各國在推進科學(xué)數(shù)據(jù)共享時難以回避的挑戰(zhàn)。

5 我國科學(xué)數(shù)據(jù)安全風(fēng)險治理的主要對策

在黨的十九屆四中全會《中共中央關(guān)于堅持和完善中國特色社會主義制度 推進國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》中，數(shù)據(jù)首次被作為生產(chǎn)要素之一參與社會分配[22]，這意味著數(shù)據(jù)的價值在我國得到前所未有的重視，科學(xué)數(shù)據(jù)的安全問題因此顯得尤為重要。雖然可以通過技術(shù)措施來保障科學(xué)數(shù)據(jù)安全，或通過法律方式防范科學(xué)數(shù)據(jù)安全風(fēng)險，但當(dāng)前亟待解決的問題是：如何發(fā)揮二者之所長，使技術(shù)治理與法律治理相得益彰。筆者認為當(dāng)下治理云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險可采取三大對策：一是發(fā)展數(shù)據(jù)安全產(chǎn)業(yè)，以提升科學(xué)數(shù)據(jù)安全風(fēng)險的技術(shù)治理能力；二是構(gòu)建以《數(shù)據(jù)安全法》為核心的數(shù)據(jù)保護法律體系；三是加強數(shù)據(jù)監(jiān)管部門與機制建設(shè)，強化政府?dāng)?shù)據(jù)監(jiān)管功能。

5.1 大力發(fā)展云安全產(chǎn)業(yè)，提升云安全技術(shù)實力

云環(huán)境中科學(xué)數(shù)據(jù)的安全與存儲科學(xué)數(shù)據(jù)的云是否安全關(guān)聯(lián)甚密。我國科學(xué)云的安全既取決于是否具備領(lǐng)先的云安全技術(shù)實力，更取決于能否從產(chǎn)業(yè)的高度構(gòu)建完善的安全生態(tài)。領(lǐng)先的技術(shù)實力包括部署足夠數(shù)量的服務(wù)器、保障云平臺的穩(wěn)定高效運行，通過安全防護手段化解大流量DDoS等惡意攻擊。而云安全技術(shù)實力能否領(lǐng)先全球，很大程度上取決于我國能否大力發(fā)展云安全產(chǎn)業(yè)，構(gòu)建適宜云安全技術(shù)發(fā)展的產(chǎn)業(yè)生態(tài)。目前美、德、日等國大力發(fā)展云計算產(chǎn)業(yè)，美國出臺《聯(lián)邦政府云戰(zhàn)略》，德國推出“云計算行動計劃”，日本實施“智能云計算戰(zhàn)略”。

與美、德等國家云安全戰(zhàn)略與行動計劃的實施幾乎同步的是，2014年以來微軟、IBM、思科、AWS、Oracle、VMware等巨頭紛紛收購云安全初創(chuàng)企業(yè)，進行云安全領(lǐng)域的戰(zhàn)略布局。我國云安全產(chǎn)業(yè)起步雖晚，但發(fā)展迅速。根據(jù)IDC(Internet Data Center)發(fā)布的數(shù)據(jù)，全球云IT基礎(chǔ)設(shè)施收入前5的供應(yīng)商中，我國占3家(HPE/新華三、浪潮和聯(lián)想)，2020年第一季度這3家企業(yè)所占市場份額超過21%，僅次于美國供應(yīng)商。新冠疫情的全球擴散迫使各行各業(yè)在線辦公與運營的模式被激活，云服務(wù)需求激增，全球云服務(wù)市場獲得顯著的反周期逆勢發(fā)展[23]。可見，大力發(fā)展我國云安全產(chǎn)業(yè)，培育自己的云安全巨頭，不僅具備很好的基礎(chǔ)，也有廣闊的市場前景，這也是提升我國科學(xué)數(shù)據(jù)安全風(fēng)險技術(shù)治理能力的必由之路。

5.2 構(gòu)建以《數(shù)據(jù)安全法》為核心的數(shù)據(jù)保護法律體系

目前我國亟須健全科學(xué)數(shù)據(jù)安全法律保障體系。需重點考察美國通過《愛國者法案》《云法案》等國內(nèi)法授權(quán)其情報機構(gòu)監(jiān)測、獲取境外科學(xué)數(shù)據(jù)資源的具體條款與實施情況，剖析歐盟《通用數(shù)據(jù)保護條例》的“長臂管轄”規(guī)則對我國科學(xué)數(shù)據(jù)安全所構(gòu)成的新型風(fēng)險與威脅，在此基礎(chǔ)上評估我國科學(xué)數(shù)據(jù)面臨的外部制度風(fēng)險，研究如何通過《數(shù)據(jù)安全法》及相關(guān)配套政策法規(guī)的出臺，為我國科學(xué)數(shù)據(jù)安全提供制度保障，對來自境外的數(shù)據(jù)安全風(fēng)險進行防控，未雨綢繆。

以《數(shù)據(jù)安全法》為核心的數(shù)據(jù)保護法律體系的構(gòu)建，私法路徑和公法路徑可以并用。

就私法路徑而言，可通過立法賦予數(shù)據(jù)主體權(quán)利或設(shè)置數(shù)據(jù)控制者義務(wù)，如以數(shù)據(jù)法益為內(nèi)核配置數(shù)據(jù)拒絕權(quán)、數(shù)據(jù)限制處理權(quán)等。隨著數(shù)據(jù)主體對其權(quán)利的主張，數(shù)據(jù)收集與濫用的亂象可望得到有效治理，數(shù)據(jù)融合由此受到必要的約束。此外，可借鑒GDPR數(shù)據(jù)控制者的義務(wù)與責(zé)任設(shè)置，對數(shù)據(jù)控制者的數(shù)據(jù)處理記錄義務(wù)、數(shù)據(jù)泄露通知義務(wù)與數(shù)據(jù)保護影響評估義務(wù)等予以明確，通過審慎設(shè)定數(shù)據(jù)安全義務(wù)主體的義務(wù)與責(zé)任，平衡數(shù)據(jù)主體與數(shù)據(jù)控制者、處理者之間的利益，在確保數(shù)據(jù)產(chǎn)業(yè)得以迅速發(fā)展的同時，使數(shù)據(jù)安全風(fēng)險能可防可控。

就公法路徑而言，主要可通過強化國家數(shù)據(jù)主權(quán)和行政監(jiān)管權(quán)，以權(quán)力制約權(quán)力。比如，通過加強數(shù)據(jù)跨境流動管控，以及數(shù)據(jù)資源的域外控制能力，使掌握科學(xué)大數(shù)據(jù)的外國公司與外國政府的威脅大大減弱。我國2017年實施的《網(wǎng)絡(luò)安全法》對個人信息或重要數(shù)據(jù)本地化存儲和管制性數(shù)據(jù)跨境傳輸做了相應(yīng)規(guī)定，在一定程度上為國家數(shù)據(jù)主權(quán)的維護提供了基本的法律保障，但仍存在諸如安全評估不明確、違法成本過低的缺陷。因此，除應(yīng)將安全評估提升到總體國家安全層面，強化安全評估義務(wù)主體的責(zé)任之外，還可借鑒歐盟GDPR中對違反該條例的服務(wù)提供者處以高達2，000萬歐元或全球營業(yè)額4%罰款的規(guī)定來提高違法成本。此外，我國《網(wǎng)絡(luò)安全法》適用于“境內(nèi)建設(shè)、運營、維護和使用網(wǎng)絡(luò)，以及網(wǎng)絡(luò)安全的監(jiān)督管理”，范圍狹窄，有必要借鑒歐美“長臂管轄”的規(guī)定，突破物理空間的劃分，拓寬管轄范圍。

5.3 構(gòu)建數(shù)據(jù)監(jiān)管體制，強化數(shù)據(jù)監(jiān)管

“徒法不足以自行”，數(shù)據(jù)安全法律法規(guī)的落地，既需要配套制度，也需要司法機構(gòu)和行政執(zhí)法機構(gòu)的健全與良性運行。與司法維權(quán)相比，行政監(jiān)管似乎更加便捷可行。事實上，從歐盟GDPR生效伊始，數(shù)據(jù)監(jiān)管部門也確實是承擔(dān)著第一順位的數(shù)據(jù)安全保護義務(wù)。近兩年一旦發(fā)生數(shù)據(jù)泄漏、過度采集、數(shù)據(jù)濫用等重大事件，美國聯(lián)邦貿(mào)易委員會、歐盟及其成員國的數(shù)據(jù)監(jiān)管機構(gòu)便開出巨額罰單。比如，美國雅虎、德國網(wǎng)絡(luò)托管公司1&1、美國健康保險公司Anthem等因泄露數(shù)據(jù)、違反數(shù)據(jù)保護法受到數(shù)據(jù)監(jiān)管部門處罰，2020年4月美國聯(lián)邦貿(mào)易委員會(FTC)對Facebook開出的50億美元罰款得到司法確認。雖然司法救濟是可行選擇，但不管是從時效、舉證難易程度還是維權(quán)成本，行政執(zhí)法都有其難以比擬的優(yōu)勢。在現(xiàn)實社會生活中，往往只有行政規(guī)制失靈時，才有其他手段介入。

當(dāng)前我國政府的數(shù)據(jù)監(jiān)管權(quán)分散在互聯(lián)網(wǎng)信息辦公室(網(wǎng)信辦)、公安部門、市場監(jiān)督管理部門等機構(gòu)中，可謂“九龍治水”。這種分散型的數(shù)據(jù)監(jiān)管體制因資源分散、專業(yè)化程度不夠高的原因，導(dǎo)致監(jiān)管主體難以識別潛在的數(shù)據(jù)安全風(fēng)險，也就不可能監(jiān)管到位，因此必須加快數(shù)據(jù)監(jiān)管領(lǐng)域的體制機制變革。近年各省市陸續(xù)組建大數(shù)據(jù)管理局、政府?dāng)?shù)據(jù)服務(wù)局等，是對DT時代面臨的新挑戰(zhàn)的積極回應(yīng)。但當(dāng)下尚處數(shù)據(jù)監(jiān)管新機制的探索期，各地大數(shù)據(jù)管理局的定位、功能、權(quán)責(zé)設(shè)定遠未完善，各地做法亦不統(tǒng)一，主要原因在于，現(xiàn)行法律對數(shù)據(jù)保護與監(jiān)管缺乏足夠和直接的規(guī)范，各地新成立的數(shù)據(jù)管理局以及網(wǎng)信辦、公安機關(guān)等機構(gòu)內(nèi)的數(shù)據(jù)監(jiān)管部門針對數(shù)據(jù)亂象，往往采用“頭痛醫(yī)頭、腳痛醫(yī)腳”式監(jiān)管，如對涉嫌過度收集個人數(shù)據(jù)、濫用數(shù)據(jù)的服務(wù)商采取頻頻約談、處罰整改等手段進行監(jiān)管，這些舉措難以從源頭上遏制數(shù)據(jù)的竊取、泄露與濫用等亂象。鑒于云環(huán)境中對科學(xué)數(shù)據(jù)安全風(fēng)險的監(jiān)管有較高的技術(shù)門檻，有必要整合網(wǎng)信辦、公安、市場監(jiān)管等部門的專業(yè)人員與資源，組建專門的數(shù)據(jù)監(jiān)管機構(gòu)，完善監(jiān)管機制，提升數(shù)據(jù)監(jiān)管的專業(yè)化程度與監(jiān)管力度。

6 結(jié)語

隨著5G商用與人工智能的深度應(yīng)用，大數(shù)據(jù)時代疾步走來，科學(xué)數(shù)據(jù)日趨重要，但也蘊含著日益嚴重的風(fēng)險。隨著數(shù)據(jù)密集型科學(xué)的形成，科學(xué)數(shù)據(jù)的安全風(fēng)險與隨之而來的影響也日漸嚴峻。云環(huán)境中科學(xué)數(shù)據(jù)安全風(fēng)險不僅蘊含在科研人員日常訪問科學(xué)數(shù)據(jù)庫或常規(guī)的投稿活動中，也潛藏在科學(xué)數(shù)據(jù)云平臺的運行之中，還有防不勝防的外國政府的監(jiān)視與入侵。總而言之，安全風(fēng)險與科學(xué)數(shù)據(jù)的開放和共享如影相隨，而科學(xué)活動的本質(zhì)決定了科學(xué)數(shù)據(jù)必須開放和共享，因而安全風(fēng)險治理將貫穿整個科學(xué)數(shù)據(jù)的生命周期。與云計算技術(shù)發(fā)展與應(yīng)用軌跡幾近同步的是，科學(xué)數(shù)據(jù)安全風(fēng)險治理范式經(jīng)歷了單一的技術(shù)治理、法律治理，到復(fù)合型的“技術(shù)+法律”治理的演進路徑，其緣由主要在于云環(huán)境下科學(xué)數(shù)據(jù)的安全風(fēng)險致因既有技術(shù)因素，亦有制度根源，技術(shù)與法律聯(lián)袂治理方能保障科學(xué)數(shù)據(jù)安全，而這已成為當(dāng)前各主要國家的共識與不約而同的選擇。當(dāng)然如何用好技術(shù)和法律，尤其是如何融合技術(shù)與法律舉措，為科學(xué)數(shù)據(jù)的安全開放與共享提供體制與機制保障，堪稱一個異常復(fù)雜的問題，需要理論界和實踐界更進一步的關(guān)注和探索。