完顏鄧鄧,宋 婷
政府?dāng)?shù)據(jù)開放是在保護國家安全、個人隱私和商業(yè)機密的前提下,政府利用集成的網(wǎng)絡(luò)平臺主動向公眾提供無需特別授權(quán)、可被機器讀取、能夠再次開發(fā)利用與分享數(shù)據(jù)的公共服務(wù)活動[1],是保障公民知情權(quán),建設(shè)透明政府,提高政府工作效率,推動經(jīng)濟增長的催化劑。自2009年1月美國推行開放政府計劃之后,英國、歐盟等國家和地區(qū)也相繼實施了推動政府?dāng)?shù)據(jù)開放和再利用的政策,建立政府?dāng)?shù)據(jù)開放平臺。此后,政府?dāng)?shù)據(jù)開放的浪潮在全球興起。2012年6月上海市率先上線試運行“上海市政府?dāng)?shù)據(jù)服務(wù)網(wǎng)”,隨后各地陸續(xù)建立起開放政府?dāng)?shù)據(jù)平臺。根據(jù)《2019年中國地方政府?dāng)?shù)據(jù)開放報告》,截至2019年10月底,我國已有102個地級及以上的地方政府上線了數(shù)據(jù)開放平臺[2]。數(shù)據(jù)開放再利用所產(chǎn)生的政治、經(jīng)濟和社會效益有目共睹。然而,政府?dāng)?shù)據(jù)開放在產(chǎn)生巨大效益的同時,也存在潛在的風(fēng)險。政府?dāng)?shù)據(jù)開放平臺是匯聚、展示、發(fā)布、傳播政府?dāng)?shù)據(jù)的窗口,其安全性不容忽視,如何防范平臺安全風(fēng)險,既保護數(shù)據(jù)安全,又促進數(shù)據(jù)利用和數(shù)據(jù)紅利釋放,是一個值得關(guān)注的問題。本文選擇我國地方政府?dāng)?shù)據(jù)開放平臺作為研究樣本,測評政府?dāng)?shù)據(jù)開放平臺的安全風(fēng)險現(xiàn)狀,分析導(dǎo)致風(fēng)險的主要因素,發(fā)現(xiàn)現(xiàn)有安全措施的不足,為增強平臺安全防護提供參考。
自政府?dāng)?shù)據(jù)開放伊始,其面臨的障礙或風(fēng)險即是不可回避的問題,已有較多論文進行研究。Janssen等[3]研究政府?dāng)?shù)據(jù)開放的好處和障礙,認(rèn)為法律障礙涉及隱私、安全、使用許可、再利用的合同或協(xié)議等。Kucera等[4]確定了政府?dāng)?shù)據(jù)開放中的一系列相關(guān)風(fēng)險,其中有違法發(fā)布數(shù)據(jù)、侵犯商業(yè)秘密、侵犯隱私權(quán)等,提出采取合規(guī)評估、數(shù)據(jù)匿名化等措施。Conradie等[5]調(diào)查地方公共部門組織,發(fā)現(xiàn)障礙包括數(shù)據(jù)安全、版權(quán)、隱私問題等。Shao等[6]分析公共和私營部門利益相關(guān)者對坦桑尼亞OGD計劃的反饋意見,發(fā)現(xiàn)該國建立健全的OGD,在組織、社會、法律和技術(shù)等方面存在障礙。Sadiq等[7]提出數(shù)據(jù)開放中存在質(zhì)量不高且缺乏監(jiān)督,元數(shù)據(jù)和數(shù)據(jù)語義缺失,數(shù)據(jù)誤用等風(fēng)險。代佳欣[8]從解構(gòu)政府?dāng)?shù)據(jù)開放全過程的角度分析政府?dāng)?shù)據(jù)開放籌備、實施和完善等三個階段蘊藏的風(fēng)險,并提出防范策略。丁紅發(fā)等[9]從數(shù)據(jù)生命周期角度分析各個環(huán)節(jié)存在的數(shù)據(jù)安全和隱私保護問題。
政府?dāng)?shù)據(jù)開放中敏感數(shù)據(jù)的泄露與保護是一個研究重點,其中對個人隱私的關(guān)注最多,對國家秘密、商業(yè)秘密的研究較少。Zoonen[10]通過鹿特丹市的實例研究說明公眾對隱私的忽視這一問題。Janssen等[11]和Jaatinen[12]探討政府開放數(shù)據(jù)中的隱私保護和透明度的沖突,認(rèn)為其受到立法、文化、價值觀等因素的影響。Meijer等[13]研究如何協(xié)調(diào)數(shù)據(jù)開放在透明度、隱私、安全和信任方面的矛盾,提出預(yù)承諾(precommitment)概念。Zuiderwijk等[14]設(shè)計出改進數(shù)據(jù)發(fā)布流程的五個原則,以解決侵犯隱私等問題。黃如花等[15]和尹正惠[16]從我國實際出發(fā),分析了我國政府?dāng)?shù)據(jù)開放中的個人隱私保護問題。陳朝兵等[17]、陳美[18]、張曉娟等[19]調(diào)查了美英澳政府?dāng)?shù)據(jù)開放隱私保護的實踐,總結(jié)出可供中國借鑒的經(jīng)驗。趙需要等[20]和吉倩雯[21]從理論上分析政府開放數(shù)據(jù)中個人隱私的評判指標(biāo)、泄露的風(fēng)險點、泄露的影響因素。僅有杜荷花[22]構(gòu)建政府?dāng)?shù)據(jù)開放平臺用戶隱私保護評價指標(biāo)體系,對81個政府?dāng)?shù)據(jù)開放平臺隱私保護現(xiàn)狀進行了評價。此外,政府?dāng)?shù)據(jù)開放商業(yè)秘密判定標(biāo)準(zhǔn)與保護策略[23-24];國家秘密的評判標(biāo)準(zhǔn)及國家秘密泄露的風(fēng)險點[25]僅有少量文獻(xiàn)研究。
對政府?dāng)?shù)據(jù)開放平臺風(fēng)險的研究主要是根據(jù)網(wǎng)站內(nèi)容分析,總結(jié)風(fēng)險。Martin等[26]通過對德國、英國、法國政府?dāng)?shù)據(jù)開放平臺的研究,得出開放數(shù)據(jù)的7類風(fēng)險。黃思棉等[27]認(rèn)為我國政府?dāng)?shù)據(jù)開放平臺存在著開放數(shù)據(jù)的范圍太窄、數(shù)據(jù)規(guī)模小,更新周期過長、影響數(shù)據(jù)的使用價值,數(shù)據(jù)含金量不夠、缺乏研究和挖掘的價值等方面的問題。楊瑞仙等[28]則認(rèn)為存在著數(shù)據(jù)量少、實用性和規(guī)范性差,缺乏完善、系統(tǒng)的數(shù)據(jù)描述,缺乏完善、科學(xué)的分類體系,缺乏有效、豐富的互動交流等方面的問題。鄒東升[29]認(rèn)為各政府?dāng)?shù)據(jù)開放平臺興建過程中,受到技術(shù)準(zhǔn)備不充分、管理機制不完善等限制。黃如花等[30]則認(rèn)為存在數(shù)據(jù)質(zhì)量差、隱私泄漏、過度關(guān)聯(lián)分析等潛在風(fēng)險。此外,楊瑞仙等[31]從政策體系、保障機制和公開系統(tǒng)這三個方面進行中外政府?dāng)?shù)據(jù)開放平臺的比較,發(fā)現(xiàn)中國政府?dāng)?shù)據(jù)開放平臺存在缺乏完善的制度體系、政策執(zhí)行能力不足等問題。
從以上相關(guān)研究可知:關(guān)注政府?dāng)?shù)據(jù)開放發(fā)展,重視數(shù)據(jù)開放風(fēng)險研究已成為共識,各方關(guān)注點主要集中于數(shù)據(jù)安全、隱私泄露與保護、法律制度等風(fēng)險,專門針對政府?dāng)?shù)據(jù)開放平臺風(fēng)險的實證研究較匱乏。盡管政府?dāng)?shù)據(jù)開放平臺不斷涌現(xiàn),發(fā)展成效顯著,但仍存在諸多潛在風(fēng)險阻礙其發(fā)展步伐。因此需要從評測平臺安全風(fēng)險入手,有針對性地排除風(fēng)險隱患,從而提高政府?dāng)?shù)據(jù)開放平臺的安全性,加速政府?dāng)?shù)據(jù)開放進程。
通過上述對研究的系統(tǒng)梳理,可知已有研究主要圍繞政府?dāng)?shù)據(jù)安全、隱私泄露與保護、法律制度、技術(shù)障礙等方面的風(fēng)險展開,為我國地方政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險測評指標(biāo)體系的設(shè)計提供一定參考。同時,筆者對各地方政府?dāng)?shù)據(jù)開放平臺的調(diào)查發(fā)現(xiàn),平臺主要由數(shù)據(jù)、認(rèn)證、應(yīng)用、互動、開發(fā)、協(xié)議幾大功能模塊組成,其穩(wěn)定運行與數(shù)據(jù)可用性、技術(shù)先進性、管理人員專業(yè)性、用戶可操作性、管理制度健全性以及法律制度的完整與規(guī)范性息息相關(guān)。因此,基于已有研究成果與調(diào)查結(jié)果,本文將政府?dāng)?shù)據(jù)開放平臺面臨的安全風(fēng)險總結(jié)為數(shù)據(jù)風(fēng)險、技術(shù)風(fēng)險、管理風(fēng)險、法律風(fēng)險四方面。在科學(xué)性、可操作性、全面與重點相結(jié)合、定性與定量相結(jié)合原則的指引下構(gòu)建指標(biāo)體系。指標(biāo)體系分為三個層級,包含一級指標(biāo)4個,二級指標(biāo)8個,三級指標(biāo)26個(見表1)。
表1 政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險測評指標(biāo)體系
(1)數(shù)據(jù)風(fēng)險,即政府?dāng)?shù)據(jù)開放平臺向社會開放的各類數(shù)據(jù)本身問題而造成的風(fēng)險。分為數(shù)據(jù)質(zhì)量、數(shù)據(jù)開放兩個維度。
數(shù)據(jù)質(zhì)量是指數(shù)據(jù)符合用戶的使用目的,能滿足業(yè)務(wù)場景具體需求的程度[32],包括優(yōu)質(zhì)數(shù)據(jù)、無低質(zhì)數(shù)據(jù)、無問題數(shù)據(jù)三方面。優(yōu)質(zhì)數(shù)據(jù)是指數(shù)據(jù)容量大,社會需求高的數(shù)據(jù)集。無低質(zhì)數(shù)據(jù)包括無低容量數(shù)據(jù)和無碎片化數(shù)據(jù)。低容量數(shù)據(jù)是指條數(shù)在兩行或兩行以內(nèi)的數(shù)據(jù)集,或是數(shù)據(jù)量本身稀少,或是數(shù)據(jù)經(jīng)統(tǒng)計歸總后顆粒度過大。碎片化數(shù)據(jù)是指按照時間、行政區(qū)劃、政府部門等被人為分割的數(shù)據(jù)集。無問題數(shù)據(jù)指的是無重復(fù)創(chuàng)建和無格式問題的數(shù)據(jù)[33]。各政府?dāng)?shù)據(jù)開放平臺擁有上述數(shù)據(jù)量越多,表明其數(shù)據(jù)質(zhì)量越高,相應(yīng)地,數(shù)據(jù)風(fēng)險程度會降低。
數(shù)據(jù)開放是指平臺數(shù)據(jù)對用戶開放的形式和規(guī)則等。包括分級分類開放、數(shù)據(jù)集開放授權(quán)協(xié)議兩方面。分級分類是指將平臺大量無序數(shù)據(jù)按照資源類型、數(shù)據(jù)領(lǐng)域、提供部門、開放屬性、格式、安全級別等進行歸納劃分,對數(shù)據(jù)進行系統(tǒng)組織,提升數(shù)據(jù)管理與利用的效率。數(shù)據(jù)集開放授權(quán)協(xié)議是平臺授予用戶有關(guān)開放數(shù)據(jù)利用規(guī)則的協(xié)議,是規(guī)范用戶利用行為,防止數(shù)據(jù)濫用風(fēng)險的有效條件。
(2)技術(shù)風(fēng)險,指支撐政府?dāng)?shù)據(jù)開放平臺穩(wěn)定運行的有關(guān)技術(shù),如信息安全技術(shù)、元數(shù)據(jù)技術(shù)、數(shù)據(jù)規(guī)范技術(shù)等方面存在的風(fēng)險??煞譃槠脚_運行與平臺防護兩個維度。
平臺運行風(fēng)險指平臺運行技術(shù)存在的漏洞,包括身份認(rèn)證、接口訪問、下載格式三方面[34]。身份認(rèn)證指用戶獲取平臺數(shù)據(jù)時提交個人身份信息進行注冊與認(rèn)證,是提升用戶準(zhǔn)入門檻,保證平臺有序運行的必要條件。接口訪問主要體現(xiàn)在平臺接口訪問的約束性與跳轉(zhuǎn)的有效性。下載格式是指平臺支持的數(shù)據(jù)下載格式的可用性與穩(wěn)定性是不同的,按照關(guān)聯(lián)開放數(shù)據(jù)五星評價法的評價標(biāo)準(zhǔn),可將常見的GIF、JEPG、PDF、XLS、CSV、JSON、XML、RDF、SPARQL、OWL等格式的可利用性從低到高進行評分。
平臺防護風(fēng)險是指黑客攻擊、數(shù)據(jù)泄露與竊取對平臺防護系統(tǒng)提出的風(fēng)險??煞譃榉乐雇饨绻羝脚_的技術(shù)、防止數(shù)據(jù)泄露與竊取的技術(shù)兩方面,如數(shù)據(jù)脫敏、數(shù)據(jù)沙箱、數(shù)據(jù)加密、數(shù)據(jù)屏蔽等技術(shù)的運用[35]。
(3)管理風(fēng)險,政府?dāng)?shù)據(jù)開放平臺的管理機制是約束平臺開放行為、防范平臺風(fēng)險的有效手段。其風(fēng)險可分為內(nèi)部人員管理、用戶管理、運營管理三個維度。
內(nèi)部人員管理是指管理機構(gòu)對平臺工作人員的要求與規(guī)定,包括安全責(zé)任人與培訓(xùn)考核兩方面。安全責(zé)任人指平臺的安全管理需要明確責(zé)任,防止平臺安全事件發(fā)生時,出現(xiàn)互相推諉責(zé)任的情況。培訓(xùn)考核指管理機構(gòu)的員工培養(yǎng)計劃,定期對其工作進行培訓(xùn)與考核,強化平臺管理安全意識與服務(wù)能力。
用戶管理指平臺針對用戶開展的管理方式,體現(xiàn)在互動交流與開發(fā)利用兩方面?;咏涣髦饕衅脚_征集調(diào)查、用戶糾錯反饋、平臺回復(fù)等方式,是加強平臺與用戶兩者之間交流與聯(lián)系,發(fā)現(xiàn)與降低平臺風(fēng)險的有效渠道。開發(fā)利用是指開發(fā)者(用戶)在平臺提供的開發(fā)中心提交應(yīng)用申請前,平臺對應(yīng)用安全的測試以及開發(fā)者姓名、聯(lián)系方式、數(shù)據(jù)來源等相關(guān)信息的收集,是降低數(shù)據(jù)應(yīng)用風(fēng)險的一道必要程序。
運營管理指對平臺運行的規(guī)范與約束,其風(fēng)險與平臺安全保障機構(gòu)的設(shè)立、平臺定期風(fēng)險評估、應(yīng)急預(yù)案制定、數(shù)據(jù)開放標(biāo)準(zhǔn)規(guī)范的實施、平臺年度工作計劃的公布息息相關(guān)[36]。
(4)法律風(fēng)險,指保障平臺安全運營的法律條件的不完整與不規(guī)范方面的風(fēng)險。主要體現(xiàn)為平臺協(xié)議的合規(guī)性。
合規(guī)性指政府?dāng)?shù)據(jù)開放平臺授予用戶數(shù)據(jù)使用權(quán)利的授權(quán)協(xié)議、用戶協(xié)議等制度的規(guī)范性問題,主要體現(xiàn)為敏感數(shù)據(jù)脫敏,分級開放與利用、非敏感數(shù)據(jù)開放與利用(個人隱私、國家秘密、商業(yè)秘密等敏感數(shù)據(jù)以外的數(shù)據(jù)),用戶權(quán)利與義務(wù),用戶信息收集、使用與存儲,免責(zé)范圍,服務(wù)終止事由,協(xié)議更新通知等方面的規(guī)范程度。上述協(xié)議內(nèi)容的規(guī)范程度與平臺法律風(fēng)險呈負(fù)相關(guān),規(guī)范性越高,法律風(fēng)險則越低。
根據(jù)層次分析法的原理及步驟,筆者借助Yaahp軟件,首先構(gòu)建了層次結(jié)構(gòu)模型,生成ahp調(diào)查表;邀請5名從事政府?dāng)?shù)據(jù)開放研究的高校教師、5名政府部門分管數(shù)據(jù)開放工作的領(lǐng)導(dǎo)和工作人員,請其根據(jù)AHP(1-9標(biāo)度)法對每個層次各項指標(biāo)的相對重要性進行比較,進而構(gòu)造兩兩比較判斷矩陣;并對判斷矩陣進行一致性檢驗。最后用加權(quán)幾何平均法對10個專家的意見進行綜合,最終得到如表2所示的評價指標(biāo)權(quán)重計算結(jié)果。
表2 政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險測評指標(biāo)權(quán)重
參考復(fù)旦大學(xué)數(shù)字與移動治理實驗室公布的《中國地方數(shù)據(jù)開放報告(2019年下半年)》開放數(shù)林綜合指數(shù)排名,選取省級與地級(含副省級)中分別排名前15的政府?dāng)?shù)據(jù)開放平臺為調(diào)查對象,排除4個未能獲取與判定的政府?dāng)?shù)據(jù)開放網(wǎng)站,調(diào)查對象共包括26個政府?dāng)?shù)據(jù)開放網(wǎng)站。
采用網(wǎng)絡(luò)調(diào)查法與內(nèi)容分析法,逐一調(diào)查26個政府?dāng)?shù)據(jù)開放平臺有關(guān)風(fēng)險內(nèi)容(調(diào)查時間為2020年6月5日-7月10日)。基于各平臺對三級指標(biāo)的符合程度進行評分,符合三級指標(biāo)條件的則該項指標(biāo)得1分,Hi=1,不符合的則賦值為零,Hi=0,不區(qū)分簡單與復(fù)雜性質(zhì)。無法直接用“有”“無”判斷并賦分的特殊情況則基于各地在評估指標(biāo)上的實際表現(xiàn)賦值為0-1分之間的數(shù)值作為該項得分,如下載格式按照數(shù)據(jù)集可重復(fù)利用性評分標(biāo)準(zhǔn),GIF、JEPG、PDF格式分?jǐn)?shù)為0.2分,XLS格式0.4分,CSV格式0.6分,JSON、XML格式0.8分,RDF、SPARQL、OWL格式為1.0分。設(shè)Ci為第i項三級指標(biāo)的權(quán)重,則第i項的實際得分為Ti=Ci*Hi。相應(yīng)的,該政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險水平得分T(換算為百分制)為:
3.2.1 整體情況:政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險防范整體水平欠佳,存在地區(qū)分化現(xiàn)象
由此次調(diào)查的26個政府?dāng)?shù)據(jù)開放平臺評價得分與排名可知(見表3),地方政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險平均得分為60.23分,近一半平臺綜合得分低于平均分,反映出我國地方政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險防范的整體水平偏低,大部分地方政府的安全意識有待加強。從城市行政級別來說,省級城市與地級(含副省級)的平均得分分別為60.16和60.30,總體得分差距很小,且地級(含副省級)的分?jǐn)?shù)要稍高于省級。但從單個城市而論,分?jǐn)?shù)80以上的兩個平臺都屬于省級城市,其中最高得分上海市有88.25分;而地級(含副省級)中,最高得分為深圳市78.73分。這說明省級城市的政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險問題發(fā)展的兩級分化現(xiàn)象比地級(含副省級)要更為凸出。從區(qū)域劃分來看,東部地區(qū)的平均得分明顯高于西部地區(qū),分別為63.62分、54.24分,這反映出我國政府?dāng)?shù)據(jù)開放平臺的安全風(fēng)險問題存在發(fā)展不平衡情況,部分平臺的建設(shè)起步晚,發(fā)展緩慢,其安全級別較低,風(fēng)險問題較為突出。
表3 政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險評價得分與排名表
3.2.2 數(shù)據(jù)風(fēng)險指標(biāo):高質(zhì)量數(shù)據(jù)占比不高,數(shù)據(jù)集開放授權(quán)協(xié)議缺位
由表2可知,“數(shù)據(jù)風(fēng)險”通過“數(shù)據(jù)質(zhì)量”“數(shù)據(jù)開放”兩項二級指標(biāo)來衡量,各二級指標(biāo)又分別通過C1-C3與C4、C5這些三級指標(biāo)來判定。本文借鑒《中國地方政府?dāng)?shù)據(jù)開放報告(2019下半年)》中數(shù)據(jù)質(zhì)量指標(biāo)評估方法,在已有調(diào)查結(jié)果的基礎(chǔ)上通過人工觀察分析來評判各政府?dāng)?shù)據(jù)開放平臺中是否存在優(yōu)質(zhì)數(shù)據(jù)、無低質(zhì)數(shù)據(jù)與無問題數(shù)據(jù)。圖1顯示,在被調(diào)查平臺中,大多數(shù)都具有優(yōu)質(zhì)數(shù)據(jù),即數(shù)據(jù)容量大、社會需求高的數(shù)據(jù)集,且集中于綜合指數(shù)排名靠前的平臺,優(yōu)質(zhì)數(shù)據(jù)集排名第一的平臺是山東,其次是煙臺、浙江、廣州。但無低質(zhì)數(shù)據(jù)和無問題數(shù)據(jù)卻寥寥無幾,大部分平臺都存在按照時間、行政區(qū)劃、政府部門等被人為分割的碎片化數(shù)據(jù)集以及數(shù)據(jù)量為0和數(shù)據(jù)集名稱下沒有可供查看和下載的數(shù)據(jù)。以“經(jīng)濟指標(biāo)”為關(guān)鍵詞在各平臺上進行搜索,無法得到有效信息則更換關(guān)鍵詞,結(jié)果顯示僅有少數(shù)平臺如福建、青島、東莞沒有碎片化數(shù)據(jù),經(jīng)濟指標(biāo)數(shù)據(jù)都是經(jīng)過整合后才對外發(fā)布的。而滿足無重復(fù)創(chuàng)建、無生硬格式轉(zhuǎn)化、無無效數(shù)據(jù)集、無標(biāo)題缺失或不清這些無問題數(shù)據(jù)條件的平臺同樣屈指可數(shù)。此外,針對C4分級分類開放指標(biāo),文章根據(jù)各平臺中數(shù)據(jù)分級分類設(shè)置的有無來進行評分,未細(xì)分多維度分類與簡單分類得分標(biāo)準(zhǔn)。由圖2可知,雖然各平臺都在不同形式上對數(shù)據(jù)集進行了分級分類,但所調(diào)查平臺把數(shù)據(jù)集開放以及用戶使用權(quán)利涵蓋在整個平臺的開放協(xié)議、使用條款或者隱私聲明中,專門針對數(shù)據(jù)集的開放授權(quán)協(xié)議嚴(yán)重缺位。以上表明,多數(shù)平臺在數(shù)據(jù)質(zhì)量風(fēng)險防范上仍存在薄弱環(huán)節(jié),加大了隱私泄露等風(fēng)險發(fā)生機率。
圖1 “數(shù)據(jù)質(zhì)量”指標(biāo)數(shù)據(jù)圖
圖2 “數(shù)據(jù)開放”指標(biāo)數(shù)據(jù)圖
3.2.3 技術(shù)風(fēng)險指標(biāo):平臺防攻擊、數(shù)據(jù)泄露與竊取技術(shù)的應(yīng)用未得到普及
“技術(shù)風(fēng)險”通過兩項二級指標(biāo)“平臺運行”下的C6-C8與“平臺防護”下的C9、C10進行衡量。調(diào)查發(fā)現(xiàn)(見圖3),在平臺運行方面,幾乎所有平臺在提供數(shù)據(jù)免費下載前都會要求用戶以個人或機構(gòu)賬號進行注冊登錄,以驗證用戶身份。僅“數(shù)據(jù)東莞”平臺沒有發(fā)現(xiàn)注冊登錄標(biāo)識,用戶無需進行登錄也可下載數(shù)據(jù)。接口訪問上,大部分平臺都會提供有效的數(shù)據(jù)接口,只不過各平臺數(shù)量不一,僅“陜西省公共數(shù)據(jù)開放平臺”沒有提供數(shù)據(jù)接口。從下載格式上看,所調(diào)查平臺都有提供機讀格式,但只有極少平臺做到了XLS、XML、CSV、JSON、RDF等開放格式的全覆蓋。從圖4可知,在平臺防護方面,有約65%的平臺具備技術(shù)支持單位,提供防攻擊、防泄漏與竊取等技術(shù)支持,而仍有約35%的平臺并未重視防攻擊、防泄漏與竊取技術(shù)的應(yīng)用,平臺防護得不到技術(shù)保障。
圖3“平臺運行”指標(biāo)數(shù)據(jù)圖
圖4“平臺防護”指標(biāo)數(shù)據(jù)圖
圖5“內(nèi)部人員管理”指標(biāo)數(shù)據(jù)圖
圖6“用戶管理”指標(biāo)數(shù)據(jù)圖
3.2.4 管理風(fēng)險指標(biāo):平臺運營管理缺乏有效標(biāo)準(zhǔn)規(guī)范與工作計劃
“管理風(fēng)險”通過“內(nèi)部人員管理”“用戶管理”“運營管理”三項二級指標(biāo)來衡量,其中“內(nèi)部人員管理”通過C11與C12衡量,“用戶管理”通過C13與C14衡量,“運營管理”通過C15-C19衡量。政府?dāng)?shù)據(jù)開放平臺的正常運行與安全防范需要各方面管理的有效配合。調(diào)查顯示,內(nèi)部人員管理上(見圖5),大多平臺重視對員工的專業(yè)技能和知識的培訓(xùn)考核,但缺乏明確安全負(fù)責(zé)人,或是未對外公布而無從查詢。用戶管理方面(見圖6),各平臺都有專門的互動交流通道,供用戶進行評分、反饋、糾錯、建議等,通過了解用戶的體驗感與使用感排查平臺各方面安全風(fēng)險。此外,各平臺基本都支持用戶對平臺數(shù)據(jù)進行開發(fā)利用,建立開發(fā)者文檔幫助用戶掌握開發(fā)流程,并在用戶發(fā)布應(yīng)用前進行審核以保障應(yīng)用App的安全性。在運營管理上(見圖7),各地區(qū)多以大數(shù)據(jù)管理局、或是政府機關(guān)下內(nèi)設(shè)機構(gòu)作為專門的平臺安全保障機構(gòu)。部分平臺發(fā)布的政府網(wǎng)站工作年度報表中,對安全檢測評估次數(shù)、應(yīng)急演練的有無進行了統(tǒng)計,但也存在多數(shù)平臺年度報表未對外發(fā)布的情況,風(fēng)險評估、應(yīng)急預(yù)案指標(biāo)無從得知。在數(shù)據(jù)開放標(biāo)準(zhǔn)規(guī)范、平臺年度工作計劃兩項指標(biāo)上,只有上海市公共數(shù)據(jù)開放平臺全部符合。以上信息說明我國大部分政府?dāng)?shù)據(jù)開放平臺在內(nèi)部人員管理及平臺運營管理上還有諸多安全漏洞未得到有效解決。
3.2.5 法律風(fēng)險指標(biāo):平臺協(xié)議內(nèi)容合規(guī)度有待進一步完善
“法律風(fēng)險”通過二級指標(biāo)“合規(guī)性”下的7個三級指標(biāo)C20-C26來衡量。平臺協(xié)議通常以使用條款、網(wǎng)站聲明、服務(wù)協(xié)議等為表現(xiàn)形式。協(xié)議主要內(nèi)容包括平臺所提供服務(wù)介紹、平臺權(quán)利與義務(wù)、用戶權(quán)利與義務(wù)、免責(zé)范圍、隱私聲明等。由調(diào)查數(shù)據(jù)可知(見圖8),在各平臺的協(xié)議內(nèi)容中,對用戶權(quán)利與義務(wù)、用戶信息收集、使用與存儲以及免責(zé)范圍都做了詳細(xì)規(guī)定,只有極個別平臺協(xié)議中未全部包含。與之相反的是,平臺鮮有對敏感數(shù)據(jù)脫敏、分級開放與利用的說明,且只有少部分平臺設(shè)置無條件開放、有條件開放這一分類標(biāo)準(zhǔn)。此外,多數(shù)平臺協(xié)議內(nèi)容中提到服務(wù)終止事由,即在任何情況下,當(dāng)網(wǎng)站合理地認(rèn)為用戶的行為可能違反法律、法規(guī),可以在任何時候,終止向該用戶提供服務(wù),并通知用戶。并提到一旦發(fā)生用戶協(xié)議的條款變動,將及時發(fā)出協(xié)議更新通知,在網(wǎng)站頁面上提示修改內(nèi)容。由此可知,我國政府?dāng)?shù)據(jù)開放平臺協(xié)議內(nèi)容在各項合規(guī)性指標(biāo)上缺乏一定的完整度,尤其在對敏感數(shù)據(jù)的處理上需要完善。
圖7“運營管理”指標(biāo)數(shù)據(jù)圖
圖8“合規(guī)性”指標(biāo)數(shù)據(jù)圖
在我國政府?dāng)?shù)據(jù)開放平臺建設(shè)飛速推進的同時,安全風(fēng)險突顯,以數(shù)據(jù)、技術(shù)、管理、法律四類風(fēng)險為主,且存在較大的區(qū)域差異與部分功能服務(wù)缺位現(xiàn)象,阻礙政府?dāng)?shù)據(jù)開放平臺有序發(fā)展。本文從四個風(fēng)險角度提出加強政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險防范的建議。
其一,從數(shù)據(jù)風(fēng)險角度出發(fā),應(yīng)提升開放數(shù)據(jù)中高質(zhì)量、高需求的優(yōu)質(zhì)數(shù)據(jù)集比例,尤其是以API接口形式開放的實時動態(tài)的、大容量的數(shù)據(jù)集。減少碎片化、低容量的低質(zhì)數(shù)據(jù)集,定時剔除重復(fù)、無效數(shù)據(jù)集,集中清理碎片化、限制型和無效API接口,保持開放數(shù)據(jù)集的持續(xù)增長與動態(tài)更新[37]。注重規(guī)范數(shù)據(jù)審查流程,將自動化檢查與人工審核有效結(jié)合,提高開放數(shù)據(jù)集的整體質(zhì)量水平,實現(xiàn)高效利用。此外,推進數(shù)據(jù)集開放種類的多樣化與精細(xì)化,標(biāo)注開放類型,在參考國際現(xiàn)行的開放政府協(xié)議的基礎(chǔ)上,根據(jù)中國當(dāng)前平臺發(fā)展現(xiàn)狀與社會法律環(huán)境,制定兼具適用性、針對性的數(shù)據(jù)集開放授權(quán)協(xié)議。
其二,從技術(shù)風(fēng)險角度看,重視用戶賬戶注冊中密鑰、驗證碼等的使用,強化賬戶密保等級,利用人臉識別、指紋識別技術(shù)驗證個人身份,強調(diào)實名認(rèn)證,保障賬戶安全。降低申請API接口難度,為API接口使用提供詳細(xì)具體的使用說明及操作指南,降低因操作失誤而導(dǎo)致數(shù)據(jù)泄露的風(fēng)險。API接口響應(yīng)的速度與準(zhǔn)確性問題也同樣不容忽視。還應(yīng)努力做到開放數(shù)據(jù)集可機讀格式、非專屬格式的全覆蓋,減少結(jié)構(gòu)化的DOC、PDF等文件的使用,提升RDF格式比例。同時,要加強與技術(shù)支持單位的開發(fā)合作,攻克風(fēng)險管控核心技術(shù)難關(guān),構(gòu)筑數(shù)據(jù)開放技術(shù)防范體系,提高政府應(yīng)對突發(fā)防范事件的技術(shù)支撐能力。普及數(shù)據(jù)脫敏、數(shù)據(jù)沙箱等數(shù)據(jù)安全技術(shù)的應(yīng)用,并建立統(tǒng)一的脫敏標(biāo)準(zhǔn),以防脫敏度過高降低數(shù)據(jù)利用價值,過低則無法保障用戶隱私。
其三,從管理風(fēng)險看,一是明確牽頭負(fù)責(zé)數(shù)據(jù)開放的機構(gòu),賦予足夠的職權(quán)以統(tǒng)籌協(xié)調(diào)各部門數(shù)據(jù),逐漸打造政府?dāng)?shù)據(jù)開放的動態(tài)治理模式,根據(jù)國家政策標(biāo)準(zhǔn)以及政府?dāng)?shù)據(jù)資源自身屬性與具體內(nèi)容進行動態(tài)管理。建立專人專崗的管理制度,明確分工與職責(zé),制定數(shù)據(jù)開放培訓(xùn)計劃,定期對內(nèi)部工作人員開展培訓(xùn)考核,并納入公務(wù)員培訓(xùn)工作體系,提高有關(guān)工作人員的專業(yè)技能與職業(yè)素養(yǎng)。二是加強宣傳教育,強化用戶在數(shù)據(jù)訪問、獲取、利用、共享過程中的危機與權(quán)利意識,并在平臺開發(fā)利用版塊提供數(shù)據(jù)發(fā)布者聯(lián)系方式與智能客服,及時回復(fù)用戶評價、建議、糾錯等反饋信息,從中總結(jié)改進。三是重視發(fā)揮第三方監(jiān)督的作用,聯(lián)合司法機關(guān)、社會媒體與公眾的力量,形成協(xié)同監(jiān)督機制,打造緊密交織的監(jiān)督網(wǎng),以督促各平臺定期開展應(yīng)急演練與風(fēng)險評估。四是建立公共數(shù)據(jù)開放安全預(yù)警機制,對敏感數(shù)據(jù)泄露等異常情況進行實時監(jiān)控,確保數(shù)據(jù)開放工作安全有序進行。此外,制定并公布針對數(shù)據(jù)開放的年度工作計劃以及為政府?dāng)?shù)據(jù)開放提供指導(dǎo)的標(biāo)準(zhǔn)規(guī)范。
其四,從法律風(fēng)險角度來說,首先,法規(guī)與政策方面,加快規(guī)范政府?dāng)?shù)據(jù)開放的地方性法規(guī)、地方政府規(guī)章或規(guī)范性文件的制定與出臺步伐,對數(shù)據(jù)開放方式、范圍、開發(fā)利用、安全保護、保障渠道等方面做出明確的規(guī)定和要求,厘清數(shù)據(jù)開放與信息公開對象、概念與形式邊界,對隱私泄露、數(shù)據(jù)竊取、黑客攻擊等行為進行有效規(guī)制。其次,平臺協(xié)議合規(guī)性方面,確定政府?dāng)?shù)據(jù)開放的優(yōu)先級,明確敏感數(shù)據(jù)與非敏感數(shù)據(jù)的劃分標(biāo)準(zhǔn),并對其分級開放與利用作出詳細(xì)說明。同時,平臺協(xié)議內(nèi)容的完整度上,需重視補充與完善用戶權(quán)利與義務(wù)、用戶信息收集、使用與存儲、免責(zé)范圍、服務(wù)終止事由、協(xié)議更新通知等方面內(nèi)容,防止因法律內(nèi)容漏洞而引發(fā)風(fēng)險。
隨著政府?dāng)?shù)據(jù)開放實踐的深入推進,政府?dāng)?shù)據(jù)開放平臺不斷涌現(xiàn),數(shù)據(jù)開放利用持續(xù)深化,數(shù)據(jù)風(fēng)險、隱私泄露等安全問題愈發(fā)凸顯。以往對政府?dāng)?shù)據(jù)開放評估的研究,側(cè)重于評估平臺績效、平臺可用性、數(shù)據(jù)質(zhì)量等方面,對于政府?dāng)?shù)據(jù)開放中的安全風(fēng)險缺少深入論證。本文聚焦于政府?dāng)?shù)據(jù)開放平臺的安全風(fēng)險,基于所構(gòu)建的評價指標(biāo)體系,抽樣評估了我國26個地方政府?dāng)?shù)據(jù)開放平臺的安全風(fēng)險,發(fā)現(xiàn)地方政府?dāng)?shù)據(jù)開放平臺安全風(fēng)險防范的整體水平欠佳,在數(shù)據(jù)、技術(shù)、管理、法律方面仍面臨嚴(yán)峻挑戰(zhàn),據(jù)此提出了針對性策略,對于解決我國地方政府?dāng)?shù)據(jù)開放平臺現(xiàn)存風(fēng)險漏洞,提高政府?dāng)?shù)據(jù)開放平臺的安全性具有參考價值。我國各地方政府在平臺建設(shè)中應(yīng)努力平衡數(shù)據(jù)開放與風(fēng)險防范之間的關(guān)系,逐步加強上述四個維度的安全等級,促進數(shù)據(jù)紅利釋放。