宋華琳（南開大學(xué)法學(xué)院副院長、教授）

鄭 ?。祥_大學(xué)法學(xué)院）

一、引言

政府?dāng)?shù)據(jù)開放是指行政主體面向自然人、法人和其他組織依法提供具備原始性、可機器讀取、可供社會化使用的政府?dāng)?shù)據(jù)的行為。①參見《貴州省政府?dāng)?shù)據(jù)共享開放條例》第3條第3款；《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》第2條第3款；宋華琳：《中國政府?dāng)?shù)據(jù)開放法制的發(fā)展與建構(gòu)》，《行政法學(xué)研究》，2018年第2期。在2015年《國務(wù)院關(guān)于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》中，提出要推動政府?dāng)?shù)據(jù)開放共享，建立“用數(shù)據(jù)說話、用數(shù)據(jù)決策、用數(shù)據(jù)管理、用數(shù)據(jù)創(chuàng)新”的管理機制，實現(xiàn)基于數(shù)據(jù)的科學(xué)決策。截至2021年10月，我國已有193個省級城市的地方政府上線了數(shù)據(jù)開放平臺。②復(fù)旦大學(xué)數(shù)字與移動治理實驗室：《中國地方政府?dāng)?shù)據(jù)開放報告——省域（2021年度）》。政府?dāng)?shù)據(jù)的匯聚、融通、應(yīng)用，數(shù)據(jù)要素市場的培育，有助于提升政府社會治理能力和公共服務(wù)水平。

數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。一方面，數(shù)據(jù)安全保護有助于在政府?dāng)?shù)據(jù)開放過程中，保障國家秘密、商業(yè)秘密和商務(wù)信息、個人隱私和個人信息不受損害，維護國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定；另一方面，數(shù)據(jù)安全是政府?dāng)?shù)據(jù)開放的前提，只有保障數(shù)據(jù)安全，才能最大限度地實現(xiàn)政府?dāng)?shù)據(jù)資源的有效利用。③劉權(quán)：《政府?dāng)?shù)據(jù)開放的立法路徑》，《暨南學(xué)報（哲學(xué)社會科學(xué)版）》，2021年第1期。

例如，相當(dāng)一部分政府?dāng)?shù)據(jù)涉及個人信息，《個人信息保護法》第6條規(guī)定，處理個人信息應(yīng)具有明確、合理的目的，這體現(xiàn)了“目的限制原則”，而政府?dāng)?shù)據(jù)的搜集原本承載了依法履行職責(zé)的目的，④《貴州省政府?dāng)?shù)據(jù)共享開放條例》第3條第1款規(guī)定，“政府?dāng)?shù)據(jù)是行政機關(guān)在依法履行職責(zé)過程中制作或者獲取的，以一定形式記錄、保存的數(shù)據(jù)?！钡?dāng)?shù)據(jù)開放的目的已不同于搜集政府?dāng)?shù)據(jù)的目的，政府?dāng)?shù)據(jù)開放旨在釋放數(shù)據(jù)潛能，數(shù)據(jù)利用主體使用數(shù)據(jù)的目的具有不特定性，令人難以預(yù)計。⑤See Frederik Zuiderveen Borgesius, Jonathan Gray & Mireille van Eechoud, Open Data, Privacy, and Fair Information Principles: Toward a Balancing Framework, 30 Berkeley Tech.L.J.2073, 2108-2114 (2015).《個人信息保護法》第13條確立了個人信息保護的告知同意原則，但如果要求在政府?dāng)?shù)據(jù)開放與利用之前，通過告知同意規(guī)則獲得數(shù)據(jù)處理的正當(dāng)化根據(jù)，將導(dǎo)致程序過于復(fù)雜，不合理地增加運行成本，減損數(shù)據(jù)價值。⑥宋爍：《論政府?dāng)?shù)據(jù)開放中個人信息保護的制度構(gòu)建》，《行政法學(xué)研究》，2021年第6期。又如，隨著計算機科學(xué)的進步，以及更多政府?dāng)?shù)據(jù)的開放，通過數(shù)據(jù)累積和比對，開放的匿名化后的政府?dāng)?shù)據(jù)極易被再度識別。⑦See Paul M.Schwartz & Daniel J.Solove, The PII Problem: Privacy and a New Concept of Personally Identifiable Information, 86 N.Y.U.L.Rev.1814, 1841-1847 (2011).

因此，應(yīng)根據(jù)政府?dāng)?shù)據(jù)開放的特性和實際情況，構(gòu)建行之有效的數(shù)據(jù)安全保護制度。其一，應(yīng)構(gòu)建數(shù)據(jù)全生命周期安全保護制度。應(yīng)以數(shù)據(jù)全生命周期為視角，針對政府?dāng)?shù)據(jù)收集、處理、開放、獲取、利用、銷毀等環(huán)節(jié)的數(shù)據(jù)安全風(fēng)險，制定有針對性的數(shù)據(jù)安全管理措施。⑧丁紅發(fā)、孟秋晴、王祥、蔣合領(lǐng)：《面向數(shù)據(jù)生命周期的政府?dāng)?shù)據(jù)開放的數(shù)據(jù)安全與隱私保護對策分析》，《情報雜志》，2019年第7期。其二，應(yīng)構(gòu)建數(shù)據(jù)安全保護的合作治理體系。政府?dāng)?shù)據(jù)開放涉及行政機關(guān)、數(shù)據(jù)利用主體、技術(shù)支持機構(gòu)等多方主體，且數(shù)據(jù)安全保障的復(fù)雜性、專業(yè)性使得單靠行政機關(guān)難以實現(xiàn)數(shù)據(jù)安全。⑨喻文光：《數(shù)據(jù)安全是數(shù)字政府的生命線》，《光明日報》，2021年6月12日。多元主體的參與和合作可使不同主體共享、動員和聚合分散的資源和能力，協(xié)調(diào)利益和行動，更好地實現(xiàn)數(shù)據(jù)安全。⑩宋華琳：《論政府規(guī)制中的合作治理》，《政治與法律》，2016年第8期。

二、行政機關(guān)的數(shù)據(jù)安全保護職責(zé)

在政府?dāng)?shù)據(jù)開放過程中，行政機關(guān)是數(shù)據(jù)的收集者、提供者、管理者和政策的制定者。行政機關(guān)在數(shù)據(jù)安全保護中發(fā)揮著主導(dǎo)作用，在數(shù)據(jù)收集、處理、開放、獲取、利用、銷毀階段，都應(yīng)履行相應(yīng)的數(shù)據(jù)安全保護職責(zé)。

（一）數(shù)據(jù)收集階段

行政機關(guān)應(yīng)當(dāng)遵循合法、必要、正當(dāng)?shù)脑瓌t，采集各類數(shù)據(jù)。應(yīng)堅持數(shù)據(jù)最小化原則，收集的數(shù)據(jù)應(yīng)為履行其管理職責(zé)或提供服務(wù)所必需，收集數(shù)據(jù)的種類和范圍應(yīng)與其履行的管理職責(zé)或者提供的服務(wù)相適應(yīng)。沒有法律、法規(guī)依據(jù)，不得采集公民、法人和其他組織的相關(guān)數(shù)據(jù)；采集政府?dāng)?shù)據(jù)應(yīng)當(dāng)限定在必要范圍內(nèi)，不得超出管理和服務(wù)需要采集數(shù)據(jù)。[11]參見《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》第31條。此外，行政機關(guān)應(yīng)對數(shù)據(jù)收集的環(huán)境、設(shè)施和技術(shù)采取必要的管控措施，保證數(shù)據(jù)在采集過程中不被泄漏，確保數(shù)據(jù)安全可控。

（二）數(shù)據(jù)處理階段

1.建立政府?dāng)?shù)據(jù)分類分級保護規(guī)則。政府?dāng)?shù)據(jù)開放范圍非常廣泛，需要明確是否可以開放以及開放的程度和形式，因此，應(yīng)構(gòu)建數(shù)據(jù)分類分級規(guī)則，對不同數(shù)據(jù)制定差異化的安全保護措施。

《數(shù)據(jù)安全法》第21條規(guī)定：“國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。”行政主管部門應(yīng)結(jié)合政府?dāng)?shù)據(jù)安全要求、個人信息保護要求和應(yīng)用要求等因素，制定政府?dāng)?shù)據(jù)分類分級規(guī)則。政府?dāng)?shù)據(jù)開放主體應(yīng)按照分類分級規(guī)則，制定相應(yīng)實施細則，對政府?dāng)?shù)據(jù)進行分類分級，確定開放類型、開放條件和監(jiān)管措施。

實踐中，一般將政府?dāng)?shù)據(jù)區(qū)分為不予開放類、有條件開放類和無條件開放類三種。其一，對涉及國家秘密、商業(yè)秘密、個人隱私，或者法律法規(guī)規(guī)定不得開放的，或者因數(shù)據(jù)獲取協(xié)議、知識產(chǎn)權(quán)保護等禁止開放的政府?dāng)?shù)據(jù)，列入不予開放類。其二，對數(shù)據(jù)安全和處理能力要求較高、時效性較強或者需要持續(xù)獲取的；對開放將嚴重擠占政府基礎(chǔ)設(shè)施資源，影響數(shù)據(jù)處理效率的；對開放安全風(fēng)險難以評估的；依法經(jīng)脫敏、脫密等處理的不予開放類政府?dāng)?shù)據(jù)，符合開放條件的，應(yīng)列入有條件開放類政府?dāng)?shù)據(jù)。其三，其他可以提供給所有公民、法人或者其他組織使用的政府?dāng)?shù)據(jù)，列入無條件開放類。[12]參見《上海市公共數(shù)據(jù)開放暫行辦法》第11條、《貴州省政府?dāng)?shù)據(jù)共享開放條例》第21條、《數(shù)字化改革公共數(shù)據(jù)分類分級指南》（浙江省地方標準，DB33/T 2351—2021，2021年7月5日發(fā)布）。

行政機關(guān)應(yīng)當(dāng)依據(jù)法律和分類分級規(guī)則，對收集、產(chǎn)生的政府?dāng)?shù)據(jù)進行評估，科學(xué)合理確定開放屬性，并定期更新。但政府?dāng)?shù)據(jù)分類分級本身并非終點，關(guān)鍵在于對不同類別和級別的數(shù)據(jù)設(shè)定不同的安全保護規(guī)則，在數(shù)據(jù)安全要求、應(yīng)用場景要求、反饋要求等方面設(shè)定不同的數(shù)據(jù)開放條件。根據(jù)數(shù)據(jù)的敏感程度不同，應(yīng)在數(shù)據(jù)采集、傳輸、儲存、訪問、共享、開放、銷毀等環(huán)節(jié)中采取不同的數(shù)據(jù)安全保護措施。

2.構(gòu)建政府?dāng)?shù)據(jù)安全審查機制。應(yīng)構(gòu)建政府?dāng)?shù)據(jù)安全審查機制，來判斷特定政府?dāng)?shù)據(jù)是否開放，開放需要何種安全條件。應(yīng)明確政府?dāng)?shù)據(jù)安全審查機制的適用范圍、審查程序和審查內(nèi)容。

其一，政府?dāng)?shù)據(jù)安全審查機制的適用范圍應(yīng)包括但不限于以下幾種情形：①對擬開放數(shù)據(jù)的審查；②對當(dāng)前有條件開放類數(shù)據(jù)進行評估，以確定是否轉(zhuǎn)為無條件開放類數(shù)據(jù)；③對通過政府?dāng)?shù)據(jù)平臺以算法模型獲取的結(jié)果數(shù)據(jù)進行審查；④當(dāng)數(shù)據(jù)利用主體就政府?dāng)?shù)據(jù)開放目錄外的數(shù)據(jù)提出開放服務(wù)需求時，進行審查和評估；⑤行政機關(guān)在使用和處理政府?dāng)?shù)據(jù)的過程中，因數(shù)據(jù)匯聚、關(guān)聯(lián)分析等原因，可能產(chǎn)生涉密、涉敏數(shù)據(jù)時，應(yīng)當(dāng)進行審查和評估。[13]參見《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》第13條、第15條、第20條、第22條、第33條。

其二，應(yīng)設(shè)計完善的政府?dāng)?shù)據(jù)安全審查程序規(guī)則，在具體審查中可引入專家論證等程序。政府?dāng)?shù)據(jù)安全審查專業(yè)性、技術(shù)性較強，可采取論證會、書面咨詢、委托咨詢論證等方式，組織專家、專業(yè)機構(gòu)論證，選擇專家、專業(yè)機構(gòu)參與論證，應(yīng)當(dāng)堅持專業(yè)性、代表性和中立性。[14]參見《重大行政決策程序暫行條例》第19條。

其三，就政府?dāng)?shù)據(jù)安全審查的內(nèi)容而言，應(yīng)包括政府?dāng)?shù)據(jù)的內(nèi)容與種類、開放方式、開放范圍、安全保障措施、可能的風(fēng)險與影響范圍等。

3.完善政府?dāng)?shù)據(jù)脫敏脫密處理技術(shù)。對于需要開放但又存在安全隱患的數(shù)據(jù)，可以通過字符遮罩、同義替換、截斷算法、偏移取整、重排算法、加密算法等脫敏脫密的技術(shù)手段加以處理。但匿名化、去標識化等脫敏脫密技術(shù)具有高度個案性，固定的模式無法覆蓋全面的脫敏脫密需求，應(yīng)結(jié)合實際應(yīng)用情境與需求靈活配置數(shù)據(jù)模型。[15]王毛路、華躍：《數(shù)據(jù)脫敏在政府?dāng)?shù)據(jù)治理及開放服務(wù)中的應(yīng)用》，《電子政務(wù)》，2019年第5期。此外，數(shù)據(jù)脫敏脫密應(yīng)保留目標環(huán)境業(yè)務(wù)所需的數(shù)據(jù)特征或內(nèi)容，保留原始數(shù)據(jù)的業(yè)務(wù)價值和技術(shù)價值，在不降低數(shù)據(jù)使用流通性的前提下，保障政府?dāng)?shù)據(jù)安全。

（三）數(shù)據(jù)發(fā)布階段

1.健全政府?dāng)?shù)據(jù)開放平臺安全管理制度。攻擊者可能會利用政府?dāng)?shù)據(jù)開放平臺網(wǎng)站的開放性和交互性進行漏洞探測，實施非授權(quán)訪問、頁面篡改、信息竊取等行為。應(yīng)建立健全政府?dāng)?shù)據(jù)開放平臺安全管理制度，通過技術(shù)手段提高平臺網(wǎng)站包括防篡改、防泄露、防中斷、防惡意控制在內(nèi)的綜合安全防范能力，保障開放平臺安全可靠運行。例如，行政機關(guān)應(yīng)完善賬戶注冊中密鑰、驗證碼的使用，要求用戶實名認證等。[16]完顏鄧鄧、宋婷：《我國地方政府?dāng)?shù)據(jù)開放平臺的安全風(fēng)險測評》，《圖書館論壇》，2022年第2期。

2.完善政府?dāng)?shù)據(jù)儲存和災(zāi)備機制。政府?dāng)?shù)據(jù)開放機關(guān)應(yīng)完善數(shù)據(jù)儲存制度，分域分級管理，選擇安全性能、防護級別與安全等級相匹配的存儲載體；對敏感數(shù)據(jù)和重要數(shù)據(jù)還應(yīng)采取加密存儲等安全保護措施。此外，數(shù)據(jù)儲存?zhèn)浞莺蜑?zāi)難恢復(fù)可以防范和抵御意外事件，對數(shù)據(jù)的丟失、損壞具有明顯的保護作用。應(yīng)制定數(shù)據(jù)存儲備份和災(zāi)難恢復(fù)策略，保障相關(guān)災(zāi)備措施，定期進行災(zāi)難恢復(fù)演練。

3.構(gòu)建政府?dāng)?shù)據(jù)傳輸安全保護機制。政府各部門的數(shù)據(jù)管理平臺需要和政府?dāng)?shù)據(jù)開放平臺進行數(shù)據(jù)傳輸，開放平臺和數(shù)據(jù)利用主體也會通過下載、接口調(diào)用等方式進行數(shù)據(jù)傳輸，如果傳輸過程缺乏安全保障，數(shù)據(jù)就有可能被竊取、泄露、篡改。建議根據(jù)數(shù)據(jù)類型、級別和應(yīng)用場景，制定數(shù)據(jù)安全傳輸策略和規(guī)程，合理選擇傳輸渠道，采取校驗技術(shù)、密碼技術(shù)等安全控制措施，保障數(shù)據(jù)傳輸過程可信、可控。

（四）數(shù)據(jù)獲取階段

1.建立健全政府?dāng)?shù)據(jù)獲取規(guī)則。對于無條件開放類數(shù)據(jù)，行政機關(guān)應(yīng)通過政府?dāng)?shù)據(jù)開放平臺直接向社會開放。對于有條件開放類數(shù)據(jù)而言，第一，應(yīng)明確數(shù)據(jù)存儲、數(shù)據(jù)處理、安全保護能力以及信用等級等開放條件，并通過開放平臺公布。第二，政府?dāng)?shù)據(jù)利用主體在提交開放申請時，應(yīng)說明申請用途、應(yīng)用場景、安全保障措施、使用期限等。第三，應(yīng)明確政府?dāng)?shù)據(jù)開放機關(guān)的審查程序和時限，開放機關(guān)不得拒絕合理的數(shù)據(jù)開放需求。[17]參見《廣西公共數(shù)據(jù)開放管理辦法》第20條。

2.通過數(shù)據(jù)利用協(xié)議明確數(shù)據(jù)安全保護義務(wù)。對于無條件開放類數(shù)據(jù)而言，我國地方政府?dāng)?shù)據(jù)開放平臺多以網(wǎng)站聲明的形式呈現(xiàn)使用協(xié)議，這易使數(shù)據(jù)利用主體忽視協(xié)議的存在?；蚩山梃b山東省公共數(shù)據(jù)開放平臺的做法，在數(shù)據(jù)利用主體下載數(shù)據(jù)時，以彈框提示的方式提醒其閱讀協(xié)議，使其知悉在數(shù)據(jù)安全方面應(yīng)履行的義務(wù)，并以“已詳細閱讀該協(xié)議”作為下載數(shù)據(jù)的條件。

（五）數(shù)據(jù)利用階段

1.建立對政府?dāng)?shù)據(jù)開發(fā)利用活動的有效監(jiān)督機制。政府?dāng)?shù)據(jù)開放旨在通過對數(shù)據(jù)的開發(fā)利用，實現(xiàn)數(shù)據(jù)財產(chǎn)性價值的發(fā)掘。但數(shù)據(jù)安全風(fēng)險也多發(fā)生在數(shù)據(jù)利用過程中，如數(shù)據(jù)被惡意使用、基于大數(shù)據(jù)分析技術(shù)導(dǎo)致的敏感信息被再識別，數(shù)據(jù)二次流通也會帶來風(fēng)險。[19]丁紅發(fā)、孟秋晴、王祥、蔣合領(lǐng)：《面向數(shù)據(jù)生命周期的政府?dāng)?shù)據(jù)開放的數(shù)據(jù)安全與隱私保護對策分析》，《情報雜志》，2019年第7期。因此，政府?dāng)?shù)據(jù)開放主體應(yīng)建立政府?dāng)?shù)據(jù)安全審計制度，對政府?dāng)?shù)據(jù)開發(fā)利用活動是否符合數(shù)據(jù)安全管理規(guī)定和協(xié)議要求進行審計追蹤。政府?dāng)?shù)據(jù)開放主體應(yīng)當(dāng)對數(shù)據(jù)處理和數(shù)據(jù)開放情況進行記錄；政府?dāng)?shù)據(jù)利用主體應(yīng)當(dāng)對有條件開放類數(shù)據(jù)的訪問、調(diào)用和利用等情況進行記錄。

2.明確對影響政府?dāng)?shù)據(jù)安全行為的處置規(guī)范。行政機關(guān)在履行政府?dāng)?shù)據(jù)安全監(jiān)督管理職責(zé)中，如果發(fā)現(xiàn)數(shù)據(jù)開發(fā)利用活動存在安全風(fēng)險，可以對數(shù)據(jù)利用主體進行約談，并要求其采取整改措施，消除隱患。如果數(shù)據(jù)利用主體實施了危害數(shù)據(jù)安全的行為，行政機關(guān)應(yīng)當(dāng)依法或按照約定提出整改要求，采取限制或者關(guān)閉其數(shù)據(jù)獲取權(quán)限等措施，并可在開放平臺對違法違規(guī)行為和處理措施予以公示。

（六）數(shù)據(jù)銷毀階段

行政機關(guān)應(yīng)建立數(shù)據(jù)銷毀策略，明確銷毀對象、流程和技術(shù)等要求，確保數(shù)據(jù)有效銷毀，確保數(shù)據(jù)銷毀符合組織的內(nèi)外部業(yè)務(wù)需求和監(jiān)管需求，兼顧信息技術(shù)對存儲容量、訪問速度、存儲成本等需求。[20]參見《政府?dāng)?shù)據(jù) 開放數(shù)據(jù)質(zhì)量控制過程和要求》，貴州省地方標準，DB52/T 1408—2019，2019年4月30日發(fā)布，2019年11月1日實施。首先，行政機關(guān)應(yīng)根據(jù)法律規(guī)定和實踐情況梳理需要銷毀的數(shù)據(jù)，對于不需要繼續(xù)使用、保存的數(shù)據(jù)，以及損害國家利益、公共利益以及個體合法權(quán)益的數(shù)據(jù)，應(yīng)予以銷毀。其次，為防止因數(shù)據(jù)未被徹底刪除而導(dǎo)致的安全風(fēng)險，行政機關(guān)應(yīng)對數(shù)據(jù)銷毀流程進行嚴格把控，設(shè)置相關(guān)監(jiān)督角色，以不可逆方式銷毀數(shù)據(jù)，并對銷毀過程進行記錄和備案。

政府?dāng)?shù)據(jù)開放機關(guān)除在政府?dāng)?shù)據(jù)開放全生命周期履行上述數(shù)據(jù)安全保護職責(zé)外，還應(yīng)在開放過程中建立安全審計、監(jiān)測預(yù)警與應(yīng)急處置機制。首先，行政機關(guān)應(yīng)建立安全審計機制，形成政府?dāng)?shù)據(jù)開放行為的全程記錄，通過日志管理確保行為可溯源，并定期進行安全審計分析。其次，行政機關(guān)應(yīng)建立監(jiān)測預(yù)警機制，對涉密數(shù)據(jù)和敏感數(shù)據(jù)泄漏等異常情況進行監(jiān)測和預(yù)警，提升數(shù)據(jù)安全風(fēng)險預(yù)警研判能力。最后，行政機關(guān)應(yīng)建立應(yīng)急處置機制，制定安全應(yīng)急處置預(yù)案，定期組織應(yīng)急演練，在發(fā)生數(shù)據(jù)安全事件時，啟動應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，及時向有關(guān)部門報告，告知數(shù)據(jù)利用主體，發(fā)布與公眾有關(guān)的警示信息。

三、政府?dāng)?shù)據(jù)安全保護中的合作治理

“只有利害相關(guān)人共同承擔(dān)責(zé)任并共同參與，在個人自由與社會需求之間，才能有平衡的關(guān)系?！盵21]［德］施密特·阿斯曼：《秩序理念下的行政法體系建構(gòu)》，林明鏘等譯，北京大學(xué)出版社2012年版，第111頁。合作治理網(wǎng)絡(luò)是對傳統(tǒng)行政規(guī)制的有益補充，而非替代。如要實現(xiàn)政府?dāng)?shù)據(jù)安全保護，除了發(fā)揮政府?dāng)?shù)據(jù)開放機關(guān)的主導(dǎo)作用之外，還需擴張治理的范圍，充分發(fā)揮政府?dāng)?shù)據(jù)利用主體、技術(shù)支持機構(gòu)、第三方評估機構(gòu)、受侵害主體和社會公眾的作用，調(diào)動各方資源，進而提升政府?dāng)?shù)據(jù)安全保護能力。

（一）數(shù)據(jù)利用主體的數(shù)據(jù)安全保護義務(wù)

數(shù)據(jù)利用主體應(yīng)按照法律規(guī)定和數(shù)據(jù)使用協(xié)議約定，開展數(shù)據(jù)開發(fā)利用活動。例如《江西省公共數(shù)據(jù)管理辦法》第36條規(guī)定，數(shù)據(jù)利用主體應(yīng)“對公共數(shù)據(jù)利用過程中發(fā)現(xiàn)的各種數(shù)據(jù)安全問題及時向公共管理和服務(wù)機構(gòu)反饋、報告”。在數(shù)據(jù)使用協(xié)議方面，數(shù)據(jù)利用主體應(yīng)履行以網(wǎng)站聲明形式呈現(xiàn)的協(xié)議格式條款，以及協(xié)議中有關(guān)數(shù)據(jù)用途限制、數(shù)據(jù)傳播限制等方面的特殊約定。

數(shù)據(jù)利用主體還應(yīng)加強數(shù)據(jù)安全保護的自我規(guī)制。數(shù)據(jù)開發(fā)利用過程中產(chǎn)生的數(shù)據(jù)安全風(fēng)險往往具有高度個案性，行政機關(guān)無法預(yù)見可能出現(xiàn)的各種風(fēng)險，無法“一刀切”地制定和適用相關(guān)規(guī)則；而數(shù)據(jù)利用主體對自身運營掌握更多的知識與信息，更了解自身在數(shù)據(jù)安全保護方面的漏洞，更有可能找到有效的解決方案。[22]［英］羅伯特·鮑德溫、馬丁·凱夫、馬丁·洛奇編：《牛津規(guī)制手冊》，宋華琳、李鸻、安永康、盧超譯，上海三聯(lián)書店2017年版，第167、179頁。因此，數(shù)據(jù)利用主體應(yīng)建立健全數(shù)據(jù)安全內(nèi)部管理機制，實施風(fēng)險監(jiān)測和風(fēng)險評估機制，完善數(shù)據(jù)安全事件應(yīng)急處置機制，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。

人參皂苷Rc還具有增強精子活力[43]、抑制固定應(yīng)激引起的血漿皮質(zhì)酮水平的增加[44]、劑量依賴性的鎮(zhèn)痛[45]、預(yù)防骨質(zhì)疏松[46]、抑制活化的腎成纖維細胞增殖、防治腎纖維化[47]、抑制非人參病原菌和人參銹腐病菌菌絲生長[48]、誘導(dǎo)CYP1A1 mRNA與蛋白表達[49]等作用，且其沒有胚胎毒性[50]。

（二）行業(yè)組織在數(shù)據(jù)安全保護方面的作用

行業(yè)組織是因行業(yè)、產(chǎn)品等共同特征而組合起來的共同體，其了解數(shù)據(jù)開發(fā)利用過程中可能出現(xiàn)何種數(shù)據(jù)安全風(fēng)險，何種安全應(yīng)對措施更有效。因此，應(yīng)充分發(fā)揮行業(yè)組織在數(shù)據(jù)安全保護方面的作用。按照章程，依法制定數(shù)據(jù)安全行為規(guī)范和團體標準，制定數(shù)據(jù)安全管理公約，建立和完善自律管理機制；指導(dǎo)會員加強數(shù)據(jù)安全保護，規(guī)范會員行為；組織會員開展數(shù)據(jù)安全教育、業(yè)務(wù)培訓(xùn)，推進數(shù)據(jù)安全合作交流，提高數(shù)據(jù)安全保護水平和從業(yè)人員素質(zhì)；行業(yè)組織還可以加強行業(yè)監(jiān)管，對會員的數(shù)據(jù)安全風(fēng)險進行評估，向會員進行風(fēng)險警示，支持協(xié)助會員應(yīng)對風(fēng)險。

（三）技術(shù)支持機構(gòu)的作用

1.規(guī)范行政機關(guān)與技術(shù)支持機構(gòu)之間的委托行為。政府?dāng)?shù)據(jù)開放過程涉及數(shù)據(jù)平臺和信息系統(tǒng)建設(shè)與運營、數(shù)據(jù)維護和存儲、數(shù)據(jù)脫敏、數(shù)據(jù)加工、數(shù)據(jù)分析等專業(yè)性、技術(shù)性很強的工作，行政機關(guān)往往委托具備相應(yīng)能力的技術(shù)支持機構(gòu)承擔(dān)。行政委托是出于實踐的需求，受委托的技術(shù)支持機構(gòu)具備相關(guān)的信息、專業(yè)知識和技術(shù)能力，具有專業(yè)性、彈性和靈活性，有助于更好實現(xiàn)政府?dāng)?shù)據(jù)開放和數(shù)據(jù)安全保護的任務(wù)。在此過程中，應(yīng)規(guī)范行政機關(guān)與技術(shù)支持機構(gòu)之間的委托行為，確保不因技術(shù)支持機構(gòu)的參與而危害數(shù)據(jù)安全。

其一，行政機關(guān)在選擇受委托的技術(shù)支持機構(gòu)時，應(yīng)對受托方的數(shù)據(jù)安全保護能力、資質(zhì)進行核實，確保符合相關(guān)要求；對于符合條件的，在簽訂服務(wù)外包協(xié)議時，應(yīng)同時簽訂服務(wù)安全保護及保密協(xié)議，約定違約責(zé)任。其二，技術(shù)支持機構(gòu)應(yīng)依法依約履行數(shù)據(jù)安全保護義務(wù)，不得擅自留存、使用、泄露、銷毀或者向他人提供數(shù)據(jù)；還應(yīng)建立數(shù)據(jù)安全管理制度，明確承擔(dān)數(shù)據(jù)安全管理工作的機構(gòu)，配備與工作任務(wù)相適應(yīng)的人員、設(shè)備，完善安全防護措施。其三，行政機關(guān)并不因委托關(guān)系的成立，就能擺脫相應(yīng)的數(shù)據(jù)安全保護職責(zé)。行政機關(guān)應(yīng)建立委托服務(wù)安全監(jiān)督機制，定期檢查受托方履行義務(wù)的情況，預(yù)防、發(fā)現(xiàn)、處置各類數(shù)據(jù)安全風(fēng)險隱患，確保數(shù)據(jù)安全事件可追溯，監(jiān)督受委托主體履行數(shù)據(jù)安全保護義務(wù)。

2.發(fā)揮技術(shù)支持機構(gòu)在推動數(shù)據(jù)安全保護方面的積極性。首先，通過合作機制，技術(shù)支持機構(gòu)可以開展政府?dāng)?shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全相關(guān)教育和培訓(xùn)，培養(yǎng)相關(guān)人才，促進人才交流。其次，可以通過各種激勵手段，鼓勵技術(shù)支持機構(gòu)開展與數(shù)據(jù)安全有關(guān)的關(guān)鍵技術(shù)研究，提高數(shù)據(jù)安全管理水平。

（四）第三方評估機構(gòu)的數(shù)據(jù)安全評估

《數(shù)據(jù)安全法》第18條規(guī)定：“國家促進數(shù)據(jù)安全檢測評估、認證等服務(wù)的發(fā)展，支持數(shù)據(jù)安全檢測評估、認證等專業(yè)機構(gòu)依法開展服務(wù)活動?！蔽覈呀?jīng)出臺的國家標準有《數(shù)據(jù)管理能力成熟度評估模型》(DCMM)、《數(shù)據(jù)安全能力成熟度模型》（DSMM）等，這為評價組織的數(shù)據(jù)安全能力提供了分析框架。第三方評估機構(gòu)可以對政府?dāng)?shù)據(jù)開放領(lǐng)域的數(shù)據(jù)安全保護加以評估，對數(shù)據(jù)安全治理能力、數(shù)據(jù)安全戰(zhàn)略能力、數(shù)據(jù)全生命周期安全能力及基礎(chǔ)安全等進行評估，對組織機構(gòu)的組織建設(shè)、制度流程、技術(shù)工具和人員能力等因素進行評估。

第三方評估機構(gòu)可以接受行政機關(guān)的委托，對政府?dāng)?shù)據(jù)開放領(lǐng)域的數(shù)據(jù)安全保護情況進行評估，這包括對各級行政機關(guān)在政府?dāng)?shù)據(jù)開放中的安全保障工作開展評估，也包括對數(shù)據(jù)利用主體的數(shù)據(jù)安全防護能力進行測評，評估安全性能等級，發(fā)現(xiàn)安全能力短板，降低數(shù)據(jù)安全隱患。出具的評估結(jié)果可以作為行政機關(guān)評估數(shù)據(jù)治理績效、進行后續(xù)資源配置、采取監(jiān)管措施的依據(jù)。受委托的第三方評估本質(zhì)上屬于政府購買公共服務(wù)，委托方應(yīng)以競爭方式選擇第三方評估機構(gòu)；第三方評估機構(gòu)應(yīng)滿足基本自治要求；委托評估活動不宜以營利為目的；評估機構(gòu)與被評估對象不得有任何可能影響公正評估的利益關(guān)系。[23]周漢華：《全面依法治國與第三方評估制度的完善》，《法學(xué)研究》，2021年第3期。

第三方評估機構(gòu)也可以獨立開展評估活動，對政府?dāng)?shù)據(jù)開放的開放主體、數(shù)據(jù)利用主體的績效進行評估。獨立評估活動屬于自下而上的社會推動機制，并沒有委托人，通過評估結(jié)果的公開，形成軟法意義上的壓力機制，從而間接推動被評估對象的完善。[24]周漢華：《全面依法治國與第三方評估制度的完善》，《法學(xué)研究》，2021年第3期。

（五）健全受侵害主體的權(quán)益救濟機制

1.完善權(quán)益申訴機制。當(dāng)受侵害主體認為政府?dāng)?shù)據(jù)開放活動對自身的個人隱私、個人信息、商業(yè)秘密、商務(wù)信息等產(chǎn)生侵害時，應(yīng)暢通權(quán)益申訴渠道。其一，可在政府?dāng)?shù)據(jù)開放平臺開通權(quán)益申訴專欄，受侵害主體可通過開放平臺將其主張告知行政機關(guān)，并提交證據(jù)材料。其二，應(yīng)完善答復(fù)處理機制，行政機關(guān)在收到證據(jù)材料后，認為必要的，應(yīng)當(dāng)立即中止數(shù)據(jù)開放，同時在規(guī)定的期限內(nèi)進行核實處理和反饋，根據(jù)核實結(jié)果分別采取撤回數(shù)據(jù)、恢復(fù)開放或者處理后再開放等措施。

2.探索引入公益訴訟渠道。當(dāng)個人提起訴訟的維權(quán)成本和難度較大，無法有效實現(xiàn)法律救濟時，當(dāng)國家利益或公共利益受到損害時，或可通過公益訴訟的方式維護合法權(quán)益。在政府?dāng)?shù)據(jù)開放中，當(dāng)違法處理個人信息，侵害眾多個人權(quán)益的，人民檢察院、消費者權(quán)益保護組織及由網(wǎng)信部門確定的組織，可以依法向人民法院提起訴訟。[25]參見《上海市數(shù)據(jù)條例》第89條、《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第98條。未來，應(yīng)對政府?dāng)?shù)據(jù)開放領(lǐng)域公益訴訟的可適用空間、提起公益訴訟主體、公益訴訟程序等加以探討，并逐步將其成文法化。

（六）發(fā)揮社會公眾的作用

1.完善意見建議的提出與反饋制度。其一，應(yīng)在政府?dāng)?shù)據(jù)開放平臺開通意見建議專欄，公眾可以通過開放平臺對數(shù)據(jù)安全保護工作提出意見和建議。其二，行政機關(guān)應(yīng)對公眾的意見建議予以處理和反饋，并明確處理和反饋的時限。其三，可將意見建議的提出與反饋情況通過平臺予以公示，包括建議內(nèi)容、提交時間、反饋內(nèi)容、反饋單位、反饋時間等信息。

2.建立健全公眾舉報制度。其一，應(yīng)在政府?dāng)?shù)據(jù)開放平臺開設(shè)舉報專欄，公眾可以通過開放平臺舉報危害數(shù)據(jù)安全的行為，并提交證據(jù)材料。其二，應(yīng)完善答復(fù)處理機制，行政機關(guān)在收到證據(jù)材料后，認為必要的，應(yīng)當(dāng)立即中止開放，同時進行核實；在規(guī)定時間內(nèi)根據(jù)核實結(jié)果作出處理并予以反饋。其三，行政機關(guān)應(yīng)對舉報人的相關(guān)信息予以保密，保護舉報人的合法權(quán)益。

四、結(jié)語

《數(shù)據(jù)安全法》第13條規(guī)定：“國家統(tǒng)籌發(fā)展和安全，堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展?！闭?dāng)?shù)據(jù)開放領(lǐng)域數(shù)據(jù)安全保護制度的建構(gòu)應(yīng)著眼于數(shù)據(jù)全生命周期，在各環(huán)節(jié)設(shè)置有針對性的數(shù)據(jù)安全管理措施；還應(yīng)明確行政機關(guān)和其他社會主體的角色和作用，完善合作治理體系。這有助于有效降低數(shù)據(jù)安全風(fēng)險，促進政府?dāng)?shù)據(jù)開放的價值最大化，對國家安全、經(jīng)濟社會秩序、個體權(quán)益與數(shù)字經(jīng)濟發(fā)展、數(shù)據(jù)潛能等多元利益和價值加以適當(dāng)平衡。