阮建海 楊燕

摘 要：[目的]科學(xué)數(shù)據(jù)安全行為研究是信息安全行為研究的重要分支。界定科學(xué)數(shù)據(jù)安全行為概念，評(píng)述國(guó)內(nèi)外科學(xué)數(shù)據(jù)安全行為研究現(xiàn)狀和未來研究方向，對(duì)規(guī)范科研人員的科學(xué)數(shù)據(jù)安全行為，完善科學(xué)數(shù)據(jù)安全管理具有重要意義。[方法]通過對(duì)信息安全行為及科學(xué)數(shù)據(jù)安全管理相關(guān)理論和實(shí)踐進(jìn)行總結(jié)和梳理。[結(jié)論]從科學(xué)數(shù)據(jù)安全行為的行為類型、行為特征、影響因素3個(gè)方面介紹了現(xiàn)有成果，發(fā)現(xiàn)國(guó)內(nèi)外相關(guān)研究尚處于起步階段，最后對(duì)現(xiàn)有研究的不足和未來可能的研究方向進(jìn)行了分析。

關(guān)鍵詞：科學(xué)數(shù)據(jù);信息安全行為;科學(xué)數(shù)據(jù)管理;綜述

DOI：10.3969/j.issn.1008-0821.2019.09.017

〔中圖分類號(hào)〕G203 〔文獻(xiàn)標(biāo)識(shí)碼〕A 〔文章編號(hào)〕1008-0821（2019）09-0151-09

Abstract：[Objective]Scientific data security behavior research is an important branch of information security behavior research.Defining the concept of scientific data security behavior，reviewing the status quo and future research directions of scientific data security behavior at home and abroad，is of great significance to standardizing the scientific data security behavior of scientific researchers and improving scientific data security management.[Methods]The paper summarized and sorted out the related theories and practices of information security behavior and scientific data security management.[Conclusion]The existing achievements were introduced from the aspects of behavior types，behavioral characteristics and influencing factors of scientific data security behaviors.It was found that relevant research at home and abroad was still in its infancy.Finally，analyzed the shortcomings of existing research and possible future research directions.

Key words：scientific data;information security behavior;scientific data management;literature review

科學(xué)數(shù)據(jù)是科研觀測(cè)、科學(xué)研究活動(dòng)的成果，是科技創(chuàng)新和國(guó)家發(fā)展的重要資源。為了加快科研進(jìn)程，全球范圍內(nèi)掀起了科學(xué)數(shù)據(jù)開放獲取的熱潮，不少國(guó)際組織、國(guó)家、機(jī)構(gòu)建立起了數(shù)據(jù)管理中心。比如世界數(shù)據(jù)中心、澳大利亞國(guó)家數(shù)據(jù)服務(wù)中心、英國(guó)數(shù)字管理中心、國(guó)外部分大學(xué)圖書館。雖然近現(xiàn)代科學(xué)的快速發(fā)展一定程度上得益于科學(xué)數(shù)據(jù)的開放共享。但由于“數(shù)據(jù)獲取”和“數(shù)據(jù)安全及隱私保護(hù)”之間的不平衡，導(dǎo)致一系列的科學(xué)數(shù)據(jù)安全問題。針對(duì)科學(xué)數(shù)據(jù)開放共享帶來的弊端，相關(guān)權(quán)威機(jī)構(gòu)發(fā)布了關(guān)于科學(xué)數(shù)據(jù)管理與共享的政策文件。比如英國(guó)生物技術(shù)和生物研究理事會(huì)發(fā)布的《數(shù)據(jù)保護(hù)政策》[1]，歐盟委員會(huì)（EC）發(fā)布的《EC對(duì)訪問與保存科學(xué)信息的建議》[2]。但是，這些政策管理?xiàng)l例主要是從宏觀層面對(duì)科學(xué)數(shù)據(jù)管理平臺(tái)做的相關(guān)規(guī)定。不可否認(rèn)，科學(xué)數(shù)據(jù)開放共享過程中的安全問題不可忽視，但在共享之前，科學(xué)數(shù)據(jù)主要由其擁有者進(jìn)行管理，在此期間，科學(xué)數(shù)據(jù)安全主要受到個(gè)體行為的影響。

科研人員在參與科研活動(dòng)的過程中，產(chǎn)生和積累了大量有價(jià)值的科學(xué)數(shù)據(jù)。但是相關(guān)實(shí)證研究表明，科研人員由于缺乏數(shù)據(jù)安全意識(shí)或?qū)I(yè)技能，使科學(xué)數(shù)據(jù)保存和管理現(xiàn)狀不容樂觀[3]，導(dǎo)致科學(xué)數(shù)據(jù)安全受到威脅。然而許多期刊及科學(xué)數(shù)據(jù)管理政策要求作者提交與研究結(jié)果相關(guān)的支撐數(shù)據(jù)或資料，比如世界權(quán)威期刊《Nature》、《Ecology》等。我國(guó)于2018年3月由國(guó)務(wù)院頒發(fā)的《科學(xué)數(shù)據(jù)管理辦法》中對(duì)利用政府預(yù)算資金資助的各級(jí)科技計(jì)劃（專項(xiàng)、基金等）項(xiàng)目所形成的科學(xué)數(shù)據(jù)做了明確規(guī)定，要求由項(xiàng)目牽頭單位匯交到相關(guān)科學(xué)數(shù)據(jù)中心[4]。目前，關(guān)于科學(xué)數(shù)據(jù)主體的安全也引起了廣泛關(guān)注，并且有國(guó)家通過立法來保證數(shù)據(jù)開放共享中的個(gè)人數(shù)據(jù)安全和個(gè)人隱私，比如英國(guó)的《數(shù)據(jù)保護(hù)法案》[5]（1998年）和澳大利亞的《隱私與數(shù)據(jù)保護(hù)法》（2014年）[6]，英澳的一些大學(xué)要求研究者在數(shù)據(jù)收集處理時(shí)必須遵守《隱私信息法》以及《國(guó)家關(guān)于涉及人類被試的道德行為的聲明》[7]。這些政策條例對(duì)科研人員在進(jìn)行科學(xué)研究過程中提供了行為參照準(zhǔn)則。為了規(guī)范科學(xué)數(shù)據(jù)安全管理，提高開放共享水平，讓科學(xué)數(shù)據(jù)更好地為國(guó)家科技創(chuàng)新、經(jīng)濟(jì)社會(huì)發(fā)展和國(guó)家安全提供支撐[8]。本文從現(xiàn)實(shí)需求出發(fā)，參照信息安全行為的相關(guān)研究，提出科學(xué)數(shù)據(jù)安全行為的概念。對(duì)科學(xué)數(shù)據(jù)安全行為的研究有助于深化和拓展信息安全的研究范疇。同時(shí)，可以為科學(xué)數(shù)據(jù)安全管理提供指導(dǎo)和建議，為科學(xué)數(shù)據(jù)管理的政策制定提供理論支撐。

1 科學(xué)數(shù)據(jù)安全行為概念界定

科學(xué)數(shù)據(jù)安全行為屬于信息安全行為的研究范疇。從已有的研究成果來看，科學(xué)數(shù)據(jù)安全行為的研究成果還相對(duì)較少，針對(duì)科學(xué)數(shù)據(jù)安全行為概念界定尚未形成統(tǒng)一的認(rèn)識(shí)。從科學(xué)數(shù)據(jù)安全行為產(chǎn)生、發(fā)展的脈絡(luò)看，科學(xué)數(shù)據(jù)安全行為主要涉及信息安全行為和科學(xué)數(shù)據(jù)安全管理兩個(gè)主題領(lǐng)域。因此，明晰信息安全行為與科學(xué)數(shù)據(jù)安全管理兩個(gè)基本概念是提出科學(xué)數(shù)據(jù)安全行為的基礎(chǔ)和前提。

1.1 信息安全行為的定義

有關(guān)人為因素對(duì)計(jì)算機(jī)運(yùn)行可靠性的影響的相關(guān)研究可以追溯到20世紀(jì)50年代[9]，直到20世紀(jì)90年代系統(tǒng)科學(xué)的興起，對(duì)信息安全行為的研究才開始引起學(xué)者的廣泛關(guān)注[10]。以Wood C C等為代表的學(xué)者最早指出人為因素（Human Factor）對(duì)信息系統(tǒng)安全具有潛在影響[11]。90年代中后期，互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，使得維系信息系統(tǒng)運(yùn)轉(zhuǎn)的軟件、硬件變得更加復(fù)雜，學(xué)者開始致力于探討如何充分利用技術(shù)的有用性減少人為差錯(cuò)帶來的安全風(fēng)險(xiǎn)[12]。21世紀(jì)初，隨著信息系統(tǒng)在各個(gè)領(lǐng)域的應(yīng)用，研究發(fā)現(xiàn)技術(shù)的應(yīng)用并不能完全保證信息的安全[13]，人為因素是導(dǎo)致信息安全問題的最根本的因素[14]，對(duì)信息安全的研究重心開始向個(gè)體行為轉(zhuǎn)移。從國(guó)內(nèi)外的研究成果看，信息安全行為的研究已經(jīng)形成了相對(duì)完善的研究體系。關(guān)于信息安全的定義有如下解釋。Stanton J M等從個(gè)人行為角度出發(fā)認(rèn)為信息安全行為是指維護(hù)信息系統(tǒng)有效性、機(jī)密性和完整性的人的行為集合[15]。Dzazali S等從組織角度出發(fā)認(rèn)為信息安全行為是企業(yè)員工為避免組織財(cái)產(chǎn)遭遇損失及機(jī)密信息被曝光的行為[16]。Liang H等提出信息威脅規(guī)避行為，認(rèn)為當(dāng)用戶感知到信息存在安全威脅時(shí)，采取有效地防護(hù)措施的行為[17]。Wirtz J等提出網(wǎng)絡(luò)隱私保護(hù)行為，指的是用戶通過技術(shù)手段，確定網(wǎng)絡(luò)安全性來保護(hù)自己的信息及隱私免受侵犯的行為[18]。可以看出，信息安全行為主要從行為學(xué)的視角出發(fā)探討如何調(diào)動(dòng)個(gè)體的主觀能動(dòng)性，以消除信息安全威脅、保障信息安全為目的，而采取的相關(guān)有效措施的行為集合。

1.2 科學(xué)數(shù)據(jù)安全管理的定義

隨著數(shù)據(jù)密集型科學(xué)研究范式的興起，數(shù)據(jù)逐漸成為科學(xué)研究的核心[19]。其共享和再利用被認(rèn)為是科技創(chuàng)新和知識(shí)發(fā)現(xiàn)的重要驅(qū)動(dòng)因素之一。隨著國(guó)內(nèi)外科學(xué)共享工程的開展，如何有效地對(duì)科學(xué)數(shù)據(jù)進(jìn)行管理和完善，成為高校及科研機(jī)構(gòu)迫切關(guān)心的問題[20]。科學(xué)數(shù)據(jù)的綜合管理是一個(gè)有機(jī)的復(fù)雜系統(tǒng)，包括技術(shù)基礎(chǔ)設(shè)施的建設(shè)，社會(huì)基礎(chǔ)設(shè)施的建立、政策框架、商務(wù)計(jì)劃、人員布局等[21]。通過相關(guān)理論研究和實(shí)踐探索，學(xué)者提出數(shù)據(jù)監(jiān)管，即為確保數(shù)據(jù)當(dāng)前使用目的，并能用于未來再發(fā)現(xiàn)及再利用，從數(shù)據(jù)產(chǎn)生開始對(duì)其進(jìn)行管理和完善的活動(dòng)[22-23]。在科學(xué)數(shù)據(jù)監(jiān)管體系中，科學(xué)數(shù)據(jù)安全管理是其中的關(guān)鍵環(huán)節(jié)。數(shù)據(jù)安全管理是對(duì)科學(xué)數(shù)據(jù)管理中存在的安全問題進(jìn)行管理的過程[24]。科學(xué)數(shù)據(jù)安全管理的主要管理活動(dòng)包括科學(xué)數(shù)據(jù)安全管理的計(jì)劃、安全隱患識(shí)別、安全問題的定性定量評(píng)估、安全威脅的應(yīng)對(duì)措施以及安全威脅控制等[24]。學(xué)者通過調(diào)研國(guó)內(nèi)外的科學(xué)數(shù)據(jù)安全政策發(fā)現(xiàn)，科學(xué)數(shù)據(jù)安全管理具體包括數(shù)據(jù)的分類規(guī)則、數(shù)據(jù)共享的限制（對(duì)數(shù)據(jù)保密級(jí)別、共享方式進(jìn)行說明）、數(shù)據(jù)處理、對(duì)涉及人類參與者隱私安全保護(hù)等幾個(gè)方面[25-27]。在技術(shù)層面，現(xiàn)有的科學(xué)數(shù)據(jù)管理平臺(tái)主要采用分布式系統(tǒng)架構(gòu)，也有學(xué)者提出運(yùn)用區(qū)塊鏈技術(shù)來實(shí)現(xiàn)交互數(shù)據(jù)描述、安全管理等功能[28]?？傮w來說，科學(xué)數(shù)據(jù)安全問題已經(jīng)引起全社會(huì)的廣泛關(guān)注，目前針對(duì)科學(xué)數(shù)據(jù)安全管理的探討主要集中在政策和技術(shù)層面。

1.3 科學(xué)數(shù)據(jù)安全行為的定義

雖然相關(guān)政策和技術(shù)都在逐步完善，在缺乏行為規(guī)范的環(huán)境下，仍然無法完全保證科學(xué)數(shù)據(jù)安全。在科學(xué)數(shù)據(jù)生命周期中，科學(xué)數(shù)據(jù)在共享之前由科研人員直接管理為主，機(jī)構(gòu)或科學(xué)數(shù)據(jù)管理平臺(tái)協(xié)助管理為輔。所以在這個(gè)過程中科學(xué)數(shù)據(jù)安全與科研人員的行為密不可分。根據(jù)信息安全行為的相關(guān)研究證明，個(gè)體行為是造成信息安全的根本因素。與信息有所區(qū)別的是，科學(xué)數(shù)據(jù)是指在科技活動(dòng)（實(shí)驗(yàn)、觀察、探測(cè)、調(diào)查等）或通過其他方式所獲取的反映客觀世界的本質(zhì)、特征、變化規(guī)律等的原始基本數(shù)據(jù)，以及根據(jù)不同科技活動(dòng)需要，進(jìn)行系統(tǒng)加工整理的各類數(shù)據(jù)集[29]。在形式上，科學(xué)數(shù)據(jù)在整個(gè)生命周期中其數(shù)據(jù)形式呈動(dòng)態(tài)變化的狀態(tài);在時(shí)效性上，科學(xué)數(shù)據(jù)具有重復(fù)利用的價(jià)值，不僅是數(shù)據(jù)創(chuàng)建者形成研究成果的重要數(shù)據(jù)支撐，同時(shí)還可以為后續(xù)的研究者提供參考;在內(nèi)容上，科學(xué)數(shù)據(jù)安全不僅包含數(shù)據(jù)本身的安全，還包括相關(guān)利益主體的安全[30]。鑒于科學(xué)數(shù)據(jù)安全管理的重要性和復(fù)雜性，基于上文對(duì)信息安全行為和科學(xué)數(shù)據(jù)安全管理的介紹，本文把科學(xué)數(shù)據(jù)安全行為定義為科研工作者在從事科學(xué)研究的過程中，為了保證科學(xué)數(shù)據(jù)的真實(shí)性、合法性、有效性、機(jī)密性、完整性而采取的相關(guān)有效措施的行為集合。具體來說，科學(xué)數(shù)據(jù)安全行為是科研人員在已有的安全知識(shí)儲(chǔ)備基礎(chǔ)之上，主動(dòng)采取的有利于科學(xué)數(shù)據(jù)安全，規(guī)避潛在風(fēng)險(xiǎn)的行為。

2 國(guó)內(nèi)外研究現(xiàn)狀

2.1 關(guān)于科學(xué)數(shù)據(jù)安全行為的提出

科學(xué)數(shù)據(jù)安全行為是信息安全行為的重要分支，通過類比信息安全行為的研究結(jié)論，即認(rèn)為人為因素是導(dǎo)致信息安全問題的根本原因。在科研過程中，雖然對(duì)科學(xué)數(shù)據(jù)生命周期的劃分因組織機(jī)構(gòu)不同而有所差異，但大概可以分為以下幾個(gè)階段：制定科學(xué)數(shù)據(jù)管理計(jì)劃、數(shù)據(jù)收集與選擇、數(shù)據(jù)描述與組織、數(shù)據(jù)分析與引用、數(shù)據(jù)保存與發(fā)布、數(shù)據(jù)發(fā)現(xiàn)與獲取[31]。可以看出，科學(xué)數(shù)據(jù)在共享發(fā)布之前，主要由其擁有者進(jìn)行管理，在此期間，科學(xué)數(shù)據(jù)安全主要受到個(gè)體行為的影響。因此，如何規(guī)范科研人員的科學(xué)數(shù)據(jù)安全行為，保證科學(xué)數(shù)據(jù)安全，對(duì)完善科學(xué)數(shù)據(jù)安全管理具有重要意義。

2.2 國(guó)外研究現(xiàn)狀

2.2.1 信息安全行為中涉及的科學(xué)數(shù)據(jù)安全行為相關(guān)問題研究

由于目前針對(duì)科學(xué)數(shù)據(jù)安全行為的研究還相對(duì)欠缺，而關(guān)于信息安全行為的研究已經(jīng)取得了一定的研究成果，下面通過分析信息安全的人為風(fēng)險(xiǎn)因素、信息安全行為的影響因素，以及防御措施，為科學(xué)數(shù)據(jù)安全行為研究的展開提供借鑒。

信息安全的風(fēng)險(xiǎn)來源是多種多樣的，由人為因素引發(fā)的信息安全風(fēng)險(xiǎn)來源主要有以下3類：1）來自組織內(nèi)部人員的攻擊，研究發(fā)現(xiàn)，大部分的信息安全問題都是由內(nèi)部人員的不安全行為引發(fā)的[32]，他們趁著職務(wù)之便擁有獲取信息資源的合法途徑，由于對(duì)組織有深入了解，能準(zhǔn)確定位最關(guān)鍵有效的信息，因此由內(nèi)部人員引發(fā)的安全問題造成的損失也是最嚴(yán)重的[33]。2）行為主體的失誤，Lacey D指出不管多么完美的系統(tǒng)都不可能萬無一失[34]，由人的不良習(xí)慣（比如粗心、遺忘、對(duì)規(guī)則的忽視等）所造成的損失也是無法挽回的[35]。3）入侵者的故意侵犯，比如黑客使用軟件進(jìn)行惡意攻擊，非法企圖者的蓄意破壞、信息敲詐[36]。

為了探究導(dǎo)致不安全行為的原因，學(xué)者從以下幾個(gè)方面總結(jié)了信息安全行為的主要影響因素：1）個(gè)體差異。個(gè)體的年齡、性別、思維方式、教育程度、宗教信仰、智力、個(gè)性、情感、能力等因素都會(huì)對(duì)用戶信息安全行為造成影響[37-38]。2）安全意識(shí)。Johnson E C[39]指出，用戶缺乏安全意識(shí)是對(duì)信息安全最大的威脅，Kruger H A等[40]通過統(tǒng)計(jì)分析表明，用戶信息安全意識(shí)薄弱是網(wǎng)絡(luò)信息安全事件頻發(fā)的主要根源，Mamonovs S等[41]發(fā)現(xiàn)用戶的隱私保護(hù)行為與信息安全威脅意識(shí)存在正相關(guān)。3）組織環(huán)境。組織環(huán)境通過信息安全文化影響用戶對(duì)信息安全的態(tài)度，從而對(duì)用戶信息安全行為產(chǎn)生一定的促進(jìn)或阻礙作用[42]。Hwang I H等發(fā)現(xiàn)組織公平、獎(jiǎng)懲制度、組織認(rèn)同會(huì)影響員工的信息安全遵循意圖[43]。Chan M等[44]發(fā)現(xiàn)，工作場(chǎng)所的用戶信息安全行為與員工對(duì)工作場(chǎng)所中的信息安全氣氛感知和員工的自我效能對(duì)用戶信息安全遵循行為具有重要影響。4）社會(huì)因素。社會(huì)文化、經(jīng)濟(jì)環(huán)境、政府公共政策等對(duì)用戶信息安全行為都有一定影響[45]，Sang通過實(shí)證研究發(fā)現(xiàn)關(guān)于信息安全的知識(shí)和社會(huì)壓力會(huì)影響信息安全遵循行為[46]。5）人際關(guān)系。Dang-Pham D等[47]通過調(diào)查發(fā)現(xiàn)朋友對(duì)個(gè)體的信息安全行為影響最大。6）習(xí)慣和經(jīng)驗(yàn)。Lee H J基于保護(hù)動(dòng)機(jī)理論、技術(shù)接受和使用模型發(fā)現(xiàn)經(jīng)驗(yàn)和習(xí)慣對(duì)信息安全行為具有顯著影響[48]。

面對(duì)信息安全行為導(dǎo)致的一系列問題，學(xué)者從各個(gè)角度提出了解決方案。Bulgurcu B等[49]利用計(jì)劃行為理論對(duì)企業(yè)員工進(jìn)行研究發(fā)現(xiàn)，員工遵循組織的信息安全規(guī)章制度是強(qiáng)化信息安全的關(guān)鍵，信息安全遵循行為會(huì)影響員工的態(tài)度，員工對(duì)遵循的利益進(jìn)行權(quán)衡，從而采取對(duì)組織有利的行為。Barlette Y等[50]基于保護(hù)動(dòng)機(jī)理論對(duì)公司高層領(lǐng)導(dǎo)參與公司信息安全管理進(jìn)行了分析，發(fā)現(xiàn)制定安全政策對(duì)提高組織信息安全水平至關(guān)重要。Johnston A C等[51]基于恐懼訴求理論分析了信息安全政策對(duì)用戶遵循行為的影響效果?？梢娦畔踩邔?duì)約束用戶安全行為起著至關(guān)重要的作用。Schlienger T等[52]提出通過建立信息安全文化來提升內(nèi)部人員之間的信任，以減輕由內(nèi)部人員造成的安全損失，信息安全文化為用戶在與信息環(huán)境交互時(shí)提供了行為準(zhǔn)則。Snyman D等[53]發(fā)現(xiàn)行為閾值分析（Behavioural Threshold Analysis）通過影響個(gè)體信息安全意識(shí)從而對(duì)信息安全行為有積極引導(dǎo)作用。Wayne W D等[54]利用風(fēng)險(xiǎn)均衡理論闡述了風(fēng)險(xiǎn)行為與信息安全之間的動(dòng)態(tài)關(guān)聯(lián)。用戶是否采取保護(hù)措施與采取該行為所帶來的效益有關(guān)，建議通過提升信息安全意識(shí)，因?yàn)楫?dāng)用戶意識(shí)到風(fēng)險(xiǎn)嚴(yán)重性的時(shí)候，采取行為的可能性越高。

2.2.2 科學(xué)數(shù)據(jù)共享管理相關(guān)研究中涉及的科學(xué)數(shù)據(jù)安全問題

當(dāng)前關(guān)于科學(xué)數(shù)據(jù)安全問題的探討主要嵌入在科學(xué)數(shù)據(jù)管理相關(guān)政策、科學(xué)數(shù)據(jù)開放共享的研究中。對(duì)于科學(xué)數(shù)據(jù)本身的安全，相關(guān)研究對(duì)此提出了詳盡的解決方案。Sydes M R等基于臨床醫(yī)學(xué)實(shí)驗(yàn)數(shù)據(jù)共享中的信息披露風(fēng)險(xiǎn)，提出進(jìn)行訪問控制，尤其對(duì)于機(jī)密數(shù)據(jù)，通過訪問控制防止未經(jīng)授權(quán)的訪問、破壞、更改或刪除[55]。國(guó)外部分高校的科學(xué)數(shù)據(jù)管理政策對(duì)科學(xué)數(shù)據(jù)訪問、保存、轉(zhuǎn)讓、審查、共享、所有權(quán)、刪除、銷毀等方面也進(jìn)行了詳細(xì)闡述。比如澳大利亞國(guó)立大學(xué)要求數(shù)據(jù)所有者利用許可協(xié)議進(jìn)行訪問控制，給計(jì)算機(jī)安裝防病毒軟件;給數(shù)據(jù)加密;對(duì)數(shù)據(jù)進(jìn)行定期備份，為減少由于硬盤故障或意外丟失數(shù)據(jù)的風(fēng)險(xiǎn)，要求對(duì)敏感數(shù)據(jù)進(jìn)行脫機(jī)保存或使用外部硬盤驅(qū)動(dòng)器保存[56]。曼切斯特大學(xué)要求科學(xué)數(shù)據(jù)和其元數(shù)據(jù)一起存儲(chǔ)，元數(shù)據(jù)的內(nèi)容應(yīng)該包括數(shù)據(jù)的創(chuàng)建時(shí)間、存儲(chǔ)格式、存儲(chǔ)地點(diǎn)、訪問權(quán)限以及對(duì)科學(xué)數(shù)據(jù)的描述[57]。愛丁堡大學(xué)建議數(shù)據(jù)至少保存3份備份[58]。牛津大學(xué)對(duì)數(shù)據(jù)的刪除發(fā)表了相關(guān)聲明，如果科學(xué)數(shù)據(jù)超過了約定的期限，將要被刪除或銷毀時(shí)，應(yīng)該符合相關(guān)法律、倫理、科研資助者等方面的要求[59]。

對(duì)于科學(xué)數(shù)據(jù)相關(guān)利益主體的安全，國(guó)外相關(guān)政策也做了規(guī)定。比如加拿大發(fā)布的《涉及人類研究倫理的政策聲明》指出要充分尊重人類參與者的選擇和知情權(quán)[60]。美國(guó)國(guó)立衛(wèi)生研究院（NIH）規(guī)定對(duì)涉及受試者的數(shù)據(jù)應(yīng)遵守HIPAA（Health Insurance Portability and Accountability Act）隱私規(guī)則，采用修訂、匿名化、重新鑒定以及隱藏標(biāo)識(shí)符的方式保護(hù)機(jī)密數(shù)據(jù)[61]。美國(guó)校際社會(huì)科學(xué)數(shù)據(jù)共享聯(lián)盟要求在數(shù)據(jù)共享之前應(yīng)將信息重新編碼[62]。

2.3 國(guó)內(nèi)研究現(xiàn)狀

2.3.1 信息安全研究中涉及科學(xué)數(shù)據(jù)安全行為相關(guān)問題研究

國(guó)內(nèi)對(duì)信息安全行為的研究起步較晚，最初起源于企業(yè)內(nèi)部對(duì)網(wǎng)絡(luò)安全問題的擔(dān)憂。隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用，信息安全事件日漸頻發(fā)。多項(xiàng)研究顯示，由組織內(nèi)部人員的不安全行為引發(fā)的安全事件占有較高比例，并且組織內(nèi)部的風(fēng)險(xiǎn)并不因信息安全技術(shù)的完善而得以緩解。人們也逐漸認(rèn)識(shí)到，在信息的生產(chǎn)、傳輸、管理、運(yùn)用和創(chuàng)造價(jià)值的過程中，起主導(dǎo)作用的是用戶而非技術(shù)。所以學(xué)者借助社會(huì)學(xué)、犯罪學(xué)、健康學(xué)、組織行為學(xué)和心理學(xué)等學(xué)科領(lǐng)域的相關(guān)理論，如恐懼訴求理論、保護(hù)動(dòng)機(jī)理論、計(jì)劃行為理論、理性選擇理論、社會(huì)紐帶理論等，從用戶行為角度出發(fā)，對(duì)信息安全行為作了相關(guān)研究。

在信息安全行為的相關(guān)研究中，企業(yè)信息安全行為一直是研究重點(diǎn)。企業(yè)內(nèi)部員工的信息安全行為是保障企業(yè)信息安全的重要前提[63]。由個(gè)體行為導(dǎo)致的安全風(fēng)險(xiǎn)主要有幾下幾類：企業(yè)領(lǐng)導(dǎo)對(duì)員工信息安全行為的管控規(guī)范、制度欠缺，員工缺乏信息安全意識(shí)，其具體行為表現(xiàn)為誤操作、越權(quán)濫用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴[64]。

信息安全行為的類型主要有：信息安全遵從行為、信息安全違背行為，信息安全違背行為又分為信息系統(tǒng)濫用/誤用、信息安全疏漏行為、非惡意的違規(guī)行為、計(jì)算機(jī)不道德使用行為[65]。曾忠平等從主體、客體、性質(zhì)和后果等層面梳理了用戶信息安全的相關(guān)概念，他把信息安全行為劃分為違規(guī)行為、消極行為、被動(dòng)行為、循規(guī)行為、主動(dòng)行為[66]。王以群等，張延芝等以人因工程、心理學(xué)、行為科學(xué)、認(rèn)知科學(xué)為基礎(chǔ)，從人因失誤角度對(duì)網(wǎng)絡(luò)信息安全進(jìn)行分析，將網(wǎng)絡(luò)信息系統(tǒng)中的人因失誤分為基于知識(shí)、基于規(guī)則、基于技能、基于組織4類[67-68]。房琦等根據(jù)信息犯罪行為的表現(xiàn)形式，將信息犯罪行為分成入侵型、劫取型、破壞型、傳播型以及假冒ID的信息犯罪[69]。

信息安全行為受到多方面的影響，喬保紅通過實(shí)證研究發(fā)現(xiàn)員工信息安全行為受到內(nèi)部因素和外部因素影響，內(nèi)部因素主要包括能力、信息素養(yǎng)、心理素質(zhì)以及信息安全意識(shí)，外部因素包括社會(huì)環(huán)境、企業(yè)環(huán)境、企業(yè)文化[70]。李園園基于慣習(xí)—場(chǎng)域理論提出信息安全行為受到信息安全價(jià)值主體的價(jià)值取向的影響[71]。張曉娟等基于保護(hù)動(dòng)機(jī)理論、社會(huì)認(rèn)知理論和隱私關(guān)注理論對(duì)智能手機(jī)用戶信息安全行為意向影響因素做了分析，發(fā)現(xiàn)感知威脅、反應(yīng)效能和自我效能對(duì)信息安全行為意向具有顯著影響[72-74]。

為保障信息安全，陳昊等提出從道德和價(jià)值觀、政策相關(guān)認(rèn)知、個(gè)人特質(zhì)3方面對(duì)信息安全遵循行為和違規(guī)行為提出了建議[65]。葉林娟通過收集和分析反映大學(xué)生信息安全行為群體特征的數(shù)據(jù)，結(jié)合認(rèn)知行為理論，從安全意識(shí)樹立、法律道德知識(shí)教育、個(gè)人信息能力提升、網(wǎng)絡(luò)公民培養(yǎng)4個(gè)方面探討了大學(xué)生信息安全行為養(yǎng)成教育路徑[75]。尹君等分析了企業(yè)員工信息安全行為風(fēng)險(xiǎn)管控制度構(gòu)建研究，建議從強(qiáng)化企業(yè)員工信息安全教育培訓(xùn)、完善信息安全管理制度方面加強(qiáng)員工信息安全行為防范措施[64]。

2.3.2 科學(xué)數(shù)據(jù)相關(guān)研究中涉及的科學(xué)數(shù)據(jù)安全問題

雖然國(guó)內(nèi)對(duì)科學(xué)數(shù)據(jù)安全行為還沒有展開正式的研究，但是在科學(xué)數(shù)據(jù)管理的相關(guān)研究成果中已初見端倪。比如司莉等對(duì)科學(xué)數(shù)據(jù)管理方式、保存方式進(jìn)行了研究，針對(duì)科研人員是否發(fā)生過重要科學(xué)數(shù)據(jù)丟失/損毀的現(xiàn)象和重要科學(xué)數(shù)據(jù)丟失/損毀的原因等問題，研究結(jié)果顯示有70%的科研人員發(fā)生過重要科學(xué)數(shù)據(jù)丟失/損毀的現(xiàn)象，造成重要科學(xué)數(shù)據(jù)丟失/損毀的原因主要是誤操作或誤刪除[76]。這也說明科研人員的科學(xué)數(shù)據(jù)安全意識(shí)還有待加強(qiáng)，規(guī)范科研人員行為以保證科學(xué)數(shù)據(jù)安全至關(guān)重要。

科學(xué)數(shù)據(jù)管理政策為科學(xué)數(shù)據(jù)提供了政策法規(guī)的保障，而目前國(guó)內(nèi)的相關(guān)研究還處于介紹國(guó)外政策實(shí)例階段，與國(guó)際研究進(jìn)程還存在一定差距。為了推動(dòng)國(guó)內(nèi)科學(xué)數(shù)據(jù)管理的發(fā)展，不少學(xué)者對(duì)國(guó)外科學(xué)數(shù)據(jù)管理的相關(guān)案例及政策進(jìn)行了分析。司莉等調(diào)查了國(guó)外科學(xué)數(shù)據(jù)管理政策的現(xiàn)狀，其對(duì)象主要涉及科研管理機(jī)構(gòu)和高校，政策中關(guān)于個(gè)人行為的規(guī)定主要包括對(duì)數(shù)據(jù)的存儲(chǔ)、移動(dòng)、訪問、修改、保留、歸檔、刪除和銷毀幾個(gè)方面[77]。在科學(xué)數(shù)據(jù)保存的相關(guān)政策中對(duì)科學(xué)數(shù)據(jù)保存期限、超過保存期限科學(xué)數(shù)據(jù)的處理方式、保存負(fù)責(zé)人、保存地點(diǎn)、保存格式進(jìn)行了規(guī)定[78]。張瑤分析了國(guó)外科研資助機(jī)構(gòu)數(shù)據(jù)政策后發(fā)現(xiàn)，科研資助機(jī)構(gòu)的數(shù)據(jù)政策要求科研人員遵循科學(xué)數(shù)據(jù)的存儲(chǔ)規(guī)范、保障科學(xué)數(shù)據(jù)的質(zhì)量和相關(guān)利益者權(quán)益，尤其對(duì)機(jī)密和隱私數(shù)據(jù)設(shè)定數(shù)據(jù)共享限制，對(duì)人類受試者采取匿名化、重新鑒定、隱藏標(biāo)識(shí)符等方式處理[79-80]。宋筱璇等對(duì)國(guó)內(nèi)外科研數(shù)據(jù)安全管理政策進(jìn)行了比較分析，發(fā)現(xiàn)國(guó)外高校對(duì)科學(xué)數(shù)據(jù)進(jìn)行分級(jí)處理[81]。

3 未來研究方向

3.1 加強(qiáng)理論研究

目前，科學(xué)數(shù)據(jù)安全行為的理論基礎(chǔ)主要基于信息安全行為的研究成果，信息安全行為的相關(guān)研究中較多理論來源于心理學(xué)、行為學(xué)等領(lǐng)域，如計(jì)劃行為理論、保護(hù)動(dòng)機(jī)理論等。科學(xué)數(shù)據(jù)安全行為是科研人員保證科學(xué)數(shù)據(jù)集相關(guān)利益主體安全而采取的主動(dòng)防御措施，現(xiàn)階段關(guān)于科學(xué)數(shù)據(jù)安全的探討主要嵌入在科學(xué)數(shù)據(jù)共享的政策和技術(shù)中，從個(gè)體行為的角度進(jìn)行研究的還相對(duì)欠缺。所以未來研究可以從心理學(xué)、行為學(xué)、社會(huì)學(xué)、情報(bào)學(xué)、管理學(xué)等學(xué)科中借鑒相關(guān)理論進(jìn)行深入研究，構(gòu)建科學(xué)數(shù)據(jù)安全行為的理論框架。

3.2 拓展研究對(duì)象

現(xiàn)階段關(guān)于科學(xué)數(shù)據(jù)安全的研究主要集中在從政策和技術(shù)角度剖析如何保障科學(xué)數(shù)據(jù)共享平臺(tái)的數(shù)據(jù)安全，其研究對(duì)象主要針對(duì)高校圖書館進(jìn)行調(diào)研。而本文提出的科學(xué)數(shù)據(jù)安全行為是一種個(gè)體行為，其研究對(duì)象是科研人員，所以，可以在已有研究及相關(guān)啟示的基礎(chǔ)上，未來的研究對(duì)象可以拓展到從事科學(xué)研究的個(gè)體，比如高校教師、科研人員、其他專業(yè)技術(shù)人員、以及有科研經(jīng)歷的學(xué)生。通過探索不同科研群體在科學(xué)數(shù)據(jù)安全管理過程中的行為特征，豐富科學(xué)數(shù)據(jù)安全行為的研究?jī)?nèi)容。

3.3 深化對(duì)不同學(xué)科領(lǐng)域科學(xué)數(shù)據(jù)安全行為差異分析

由于科學(xué)數(shù)據(jù)的形態(tài)特征的多樣性和復(fù)雜性，不同學(xué)科的科學(xué)數(shù)據(jù)在收集、存儲(chǔ)、描述、分析過程中存在差異。因此，導(dǎo)致在科研過程中，不同學(xué)科領(lǐng)域的科學(xué)數(shù)據(jù)存在的潛在安全風(fēng)險(xiǎn)會(huì)有所不同。所以通過對(duì)不同學(xué)科領(lǐng)域科研工作者的科學(xué)數(shù)據(jù)安全行為進(jìn)行研究，總結(jié)其規(guī)律，并針對(duì)性的提出建議，有利于規(guī)范科研人員的科學(xué)數(shù)據(jù)安全行為，同時(shí)可以為科研機(jī)構(gòu)制定科學(xué)數(shù)據(jù)管理政策提供理論基礎(chǔ)。

3.4 重視涉及主體隱私數(shù)據(jù)的安全管理

科學(xué)數(shù)據(jù)安全除了指科學(xué)數(shù)據(jù)本身的安全，還包括科學(xué)數(shù)據(jù)利益主體的安全（主要指涉及人類參與者的隱私數(shù)據(jù)的安全）。從國(guó)外相關(guān)研究機(jī)構(gòu)制定的關(guān)于科學(xué)數(shù)據(jù)共享的政策條例可以看出，科學(xué)數(shù)據(jù)主體的隱私安全已經(jīng)引起學(xué)者廣泛關(guān)注。如果想要從源頭保護(hù)數(shù)據(jù)主體的隱私安全，需要從科學(xué)數(shù)據(jù)的收集、存儲(chǔ)、描述、分析等每一環(huán)節(jié)進(jìn)行控制，而在這一過程中，規(guī)范科研人員的行為是解決這一問題最有效的途徑。所以研究科研人員科學(xué)數(shù)據(jù)安全行為，可以促進(jìn)對(duì)涉及主體隱私數(shù)據(jù)的安全管理，從而更好地保護(hù)科學(xué)數(shù)據(jù)安全。

參考文獻(xiàn)

[1]高梅，接連淑，張文華.氣象科研數(shù)據(jù)共享系統(tǒng)建設(shè)[J].應(yīng)用氣象學(xué)報(bào)，2004，（S1）：17-25.

[2]何小明.中國(guó)氣象科學(xué)數(shù)據(jù)共享服務(wù)網(wǎng)認(rèn)證系統(tǒng)的設(shè)計(jì)與應(yīng)用[J].應(yīng)用氣象學(xué)報(bào)，2004，（S1）：45-49.

[3]司莉，邢文明.科學(xué)數(shù)據(jù)管理與共享的理論與實(shí)踐[M].武漢：武漢大學(xué)出版社，2017：51-84.

[4]國(guó)務(wù)院辦公廳.科學(xué)數(shù)據(jù)管理辦法[EB/OL].http：//www.gov.cn/zhengce/content/2018-04/02/content_5279272.htm，2018-04-02.

[5]The Stationery Office.Data Protection Act[EB/OL].http：//www.legislation.gov.uk/ukpga/1998/29/pdfs/ukpga_19980029_en.pdf，2018-10.

[6]溫芳芳.國(guó)外科學(xué)數(shù)據(jù)開放共享政策研究[J].圖書館學(xué)研究，2017，（9）：91-100.

[7]黃國(guó)彬，劉馨然，張莎莎.英澳科學(xué)數(shù)據(jù)共享過程中個(gè)人隱私保護(hù)政策研究[J].圖書情報(bào)知識(shí)，2017，（6）：105-113.

[8]中華人民共和國(guó)中央人民政府.科學(xué)數(shù)據(jù)，如何科學(xué)管理[EB/OL].http：//www.gov.cn/zhengce/2018-04/08/content_5280429.htm，2018-04-08.

[9]曾忠平，楊哲，劉春梅.用戶信息安全行為研究述評(píng)[J].情報(bào)雜志，2014，33（12）：184-188.

[10]李晶.信息安全行為研究現(xiàn)狀與發(fā)展動(dòng)態(tài)述評(píng)[J].圖書情報(bào)工作，2014，58（24）：126-130.

[11]Wood C C，Banks W W.Human Error：An Overlooked But Significant Information Security Problem[J].Computers and Security，1993，12（1）：51-60.

[12]Mccauley-Bell P R，Crumpton L L.The Human Factors Issues in Information Security：What are They and Do They Matter？[J].Proceedings of the Human Factors and Ergonomics Society Annual Meeting，1998，42（4）：439-443.

[13]Anderson C L，Agarwal R.Practicing Safe Computing：A Multimedia Empirical Examination of Home Computer User Security Behavioral Intentions[M].Society for Information Management and the Management Information Systems Research Center，2010：613-660.

[14]Schultz E.The Human Factor in Security[J].Computers and Security，2005，24（6）：425-426.

[15]Stanton J M，Caldera C，Guzman I R，et al.Behavioral Information Security：An Overview，Research Agenda，and Preliminary Results[C]//The Security Conference，2003：23-24.

[16]Dzazali S，Sulaiman A，Zolait A H.Information Security Landscape and Maturity Level：Case Study of Malaysian Public Service（MPS）Organizations[J].Government Information Quarterly，2009，26（4）：584-593.

[17]Liang H，Xue Y.Understanding Security Behaviors in Personal Computer Usage：A Threat Avoidance Perspective[J].Journal of the Association for Information Systems，2010，11（7）：394-413.

[18]Wirtz J，Lwin M O，Williams J D.Causes and Consequences of Consumer Online Privacy Concern[J].International Journal of Service Industry Management，2007，18（4）：326-348.

[19]黃鑫，鄧仲華.數(shù)據(jù)密集型科學(xué)研究的需求分析與保障[J].情報(bào)理論與實(shí)踐，2017，40（2）：66-70.

[20]趙華，朱亮，鮮國(guó)建，等.數(shù)據(jù)監(jiān)護(hù)現(xiàn)狀分析及對(duì)我國(guó)農(nóng)業(yè)科學(xué)數(shù)據(jù)監(jiān)護(hù)的啟示[J].數(shù)字圖書館論壇，2017，（11）：9-14.

[21]沈怡.科研數(shù)據(jù)實(shí)踐的實(shí)證研究對(duì)數(shù)據(jù)管理和共享的重要意義：個(gè)案回顧、反思與前瞻[J].圖書情報(bào)知識(shí)，2018，（4）：102-108.

[22]Lee D J，Stvilia B.Practices of Research Data Curation in Institutional Repositories：A Qualitative View from Repository Staff[J].PloS One，2017，12（3）：1-44.

[23]The Digital Curation Centre.What Is Digital Curation？[EB/OL].http：//www.dcc.ac.uk/digital-curation/what-digital-curation，2018-12.

[24]吳金紅，陳勇躍.面向科研第四范式的科學(xué)數(shù)據(jù)監(jiān)管體系研究[J].圖書情報(bào)工作，2015，59（16）：11-17.

[25]宋筱璇，王延飛，鐘燦濤.國(guó)內(nèi)外科研數(shù)據(jù)安全管理政策比較研究[J].情報(bào)理論與實(shí)踐，2016，39（11）：10-16.

[26]丁培.國(guó)外大學(xué)科研數(shù)據(jù)管理政策研究[J].圖書館論壇，2014，34（5）：99-106.

[27]張瑤，顧立平，楊云秀，等.國(guó)外科研資助機(jī)構(gòu)數(shù)據(jù)政策的調(diào)研與分析——以英美研究理事會(huì)為例[J].圖書情報(bào)工作，2015，59（6）：53-60.

[28]郝世博，徐文哲，唐正韻.科學(xué)數(shù)據(jù)共享區(qū)塊鏈模型及實(shí)現(xiàn)機(jī)理研究[J].情報(bào)理論與實(shí)踐，2018，（11）：57-62.

[29]司莉，邢文明.國(guó)外科學(xué)數(shù)據(jù)管理與共享政策調(diào)查及對(duì)我國(guó)的啟示[J].情報(bào)資料工作，2013，（1）：61-66.

[30]馬海群，蒲攀.國(guó)內(nèi)外開放數(shù)據(jù)政策研究現(xiàn)狀分析及我國(guó)研究動(dòng)向研判[J].中國(guó)圖書館學(xué)報(bào)，2015，41（5）：76-86.

[31]尹春曉.高?？茖W(xué)數(shù)據(jù)管理嵌入式服務(wù)模式探索[J].情報(bào)資料工作，2017，38（2）：77-82.

[32]Chu A M Y，Chau P Y K.Development and Validation of Instruments of Information Security Deviant Behavior[J].Decision Support Systems，2014，66：93-101.

[33]Schultz E E.A Framework for Understanding and Predicting Insider Attacks[J].Computers and Security，2002，21（6）：526-531.

[34]Lacey D.Managing the Human Factor in Information Security：How to Win Over Staff and Influence Business Managers[M].John Wiley and Sons，2009：46-50.

[35]Klein R H，Luciano E M.What Influences Information Security Behavior？A Study With Brazilian Users[J].JISTEM-Journal of Information Systems and Technology Management，2016，13（3）：479-496.

[36]Whitman M E.In Defense of the Realm：Understanding the Threats to Information Security[J].International Journal of Information Management，2004，24（1）：43-57.

[37]Harrison A W，Rainer Jr R K.The Influence of Individual Differences on Skill In End-User Computing[J].Journal of Management Information Systems，1992，9（1）：93-111.

[38]Dang D P T，Pittayachawan S，Nkhoma M Z.Contextual Difference and Intention to Perform Information Security Behaviours Against Malware in a BYOD Environment：A Protection Motivation Theory Approach[C]//Australasian Conference on Information Systems（ACIS），2013：4-6.

[39]Johnson E C.Security Awareness：Switch to a Better Programme[J].Network Security，2006，（2）：15-18.

[40]Kruger H A，Kearney W D.A Prototype for Assessing Information Security Awareness[J].Computers and Security，2006，25（4）：289-296.

[41]Mamonov S，Benbunan-Fich R.The Impact of Information Security Threat Awareness on Privacy-Protective Behaviors[J].Computers in Human Behavior，2018，83：32-44.