我國科學數據安全保障路徑研究*

李 洋 溫亮明

（1.成都體育學院圖書館 成都 610041；2.中國科學院計算機網絡信息中心 北京 100190；3.中國科學院大學 北京 100049）

1 引言

安全是一個國家不容侵犯的基本利益，是國家發(fā)展的第一關卡和基本保障。我國中央領導集體歷來重視國家安全工作，黨的十八大以來，先后提出了總體國家安全觀，成立了國家安全委員會，頒布了《國家安全法》，設立了國家安全學一級學科，這一系列舉措表明國家對安全工作的重視程度越來越高。信息安全作為總體國家安全觀的核心內容之一，在國家安全戰(zhàn)略體系中具有重要位置，而數據作為一種更細粒度的信息，能提供比信息更為精準的情報，數據正在成為經濟社會發(fā)展和產業(yè)升級轉型的動力源泉。與此同時，數據風險對全球數據治理構成新的挑戰(zhàn)，數據安全問題已成為關系到內部安全、外部安全以及經濟社會發(fā)展的重大問題。2017年12月8日，在中央政治局集體學習會議上習近平總書記強調要在推動實施國家大數據戰(zhàn)略的同時保障數據安全。近年來，國家也出臺了一系列與數據安全相關的條例法規(guī)：2015年7月1日，《中華人民共和國國家安全法》頒布實施，提出國家將建設網絡與信息安全保障體系，網絡和信息核心技術、關鍵領域網絡基礎設施、重要領域信息系統(tǒng)及數據必須實現安全可控[1]；2016年11月7日，《中華人民共和國網絡安全法》審議通過，明確了網絡安全的內涵，其中包括保障網絡數據的完整性、保密性以及可用性的能力[2]；國家互聯網信息辦公室分別于2017年5月19日和2019年5月28日發(fā)布了《個人信息和重要數據出境安全評估辦法（征求意見修改稿）》與《數據安全管理辦法（征求意見稿）》；2018年9月8日，十三屆全國人大常委會立法規(guī)劃中，數據安全法位列第一類項目“條件比較成熟、任期內擬提請審議的法律草案”之中[3]；2020年4月9日，《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》正式發(fā)布，要求加快培育數據要素市場并強調加強數據安全保護，制定數據隱私保護制度和安全審查制度[4]；2020年6月28日，《中華人民共和國數據安全法（草案）》提請十三屆全國人大常委會第二十次會議審議，將數據自主可控和數據宏觀安全作為重點[5]；2020年的立法工作計劃已經全國人大常委會第四十四次委員長會議原則通過，備受關注的《個人信息保護法》也將于年內制定[6]；2020年9月8日，國務委員兼外交部長王毅表示中國愿意發(fā)起《全球數據安全倡議》，歡迎世界各國積極支持，共同構建和平、安全、開放、合作、有序的網絡空間[7]。

作為數據資源的特殊類型，科學數據已經成為解決復雜問題的關鍵要素、驅動科學發(fā)現的戰(zhàn)略資源和支撐國家創(chuàng)新的基礎設施。盡管我國科學數據開放共享已取得一定成效，但科學數據安全問題同樣值得關注，科學數據開放共享與數據安全之間的博弈關系存在失衡現象。以生命科學、生物醫(yī)藥等領域為例，我國已建立了多個科學數據平臺并積累了大量科學數據，其中不乏以國人為樣本采集的涉密數據、隱私數據、重點數據，2015年、2016年間個別機構或個人將國人人類遺傳信息等重點、涉密科學數據從網上傳遞出境[8]等，給我國生物安全帶來巨大威脅。雖然相關政策劃定了科學數據利益相關者（機構及個人）的職責和義務，但總體而言，國家法律法規(guī)/條例均僅從宏觀角度概括了科學數據安全的相關原則，如何將其具體細化到各類行為主體并應用于科學數據管理實踐工作中去還需持續(xù)跟進與研究。可喜的是，2018年3月出臺的《科學數據管理辦法》為加強和規(guī)范我國科學數據管理工作提供了政策依據和行動綱領，其中第五章“保密與安全”專門就科學數據安全事項對各利益相關者的行為進行了規(guī)范與約束，為保障科學數據安全提供了指導[9]。2020年6月，國家重點研發(fā)計劃“科學數據安全技術及基礎技術標準研究”項目正式啟動，將圍繞科學數據安全概念體系、數據安全成熟度模型、分級分類框架標準、數據權益保護基礎標準、數據全流程開發(fā)技術標準等進行重點研究[10]。為了更好地落實《科學數據管理辦法》的精神內涵，保障科學數據安全，本文將嘗試在相關研究的基礎上，分析我國科學數據安全面臨的威脅，進而提出我國科學數據安全保障路徑，以期為科學數據安全問題的理論研究與實踐應用提供參考借鑒。

2 科學數據安全研究現狀綜述

隨著國家各個層面對數據安全問題重視程度的不斷提高，國內相關研究也如雨后春筍般涌現，這些研究的內容主要集中在數據安全治理體系構建[11]、圖書館數據安全及保障策略[12]、數據安全風險評估與檢測[13]、數據存儲與傳輸安全[14]、新興技術在數據安全防護中的應用[15]、特定行業(yè)領域數據安全[16]、數據安全管理政策[17]、個人隱私數據保護[18]等方面。盡管關于數據安全的研究成果已較為豐富，然而聚焦到科學數據安全的研究成果卻比較匱乏。筆者通過檢索，梳理了國內科學數據安全研究相關文獻，詳見表1。

表1 科學數據安全研究相關文獻

由表1可知，科學數據安全問題雖然已逐漸得到研究人員重視，但對日益嚴重的科學數據安全問題而言，一方面研究數量偏少，另一方面研究內容較為分散，因此很有必要聚焦此問題繼續(xù)進行探討，這既是對研究數量的補充，又是對現有理論研究的完善。

3 科學數據安全面臨的威脅

3.1 利益相關者數據安全意識較薄弱

科學數據的安全保障與科研人員自身密不可分，聯合信息系統(tǒng)委員會（JISC）指出潛在的科學數據安全風險通常由研究人員的不恰當行為導致而非技術原因[30]。有研究表明70%的科研人員因誤操作或誤刪除發(fā)生過重要科學數據丟失/損毀的現象[31]，2018年全球信息安全調查也顯示，絕大多數安全事故是因為使用者的不安全行為引發(fā)的[32]。由此可以看出，個體行為是造成信息安全事件發(fā)生的根本原因，因此規(guī)范科研人員的科學數據使用行為是保障科學數據安全至關重要的內容[33]。開放共享使得科學數據從獨享的私有財產變成可重復使用的公共資源，如果以是否共享為標準，可以將科學數據管理全生命周期劃分為共享前和共享后兩個階段。在科學數據共享之前，科學數據管理的主力軍是科研人員或團隊，科研人員所在單位或科學數據管理平臺等是科學數據管理實踐的輔助主體，由于缺乏數據安全意識或專業(yè)技能，科研人員的數據保護行為欠妥，對科學數據的轉移、處理和銷毀等也存在隨意現象，科學數據保存和管理存在一定的安全隱患[34]。在科學數據共享之后，盡管科學數據中心/平臺成為數據存儲、管理和共享的主陣地，但這些中心/平臺仍然需要相關人員來運營、管理和維護，其在科學數據的安全保障中扮演著重要角色。因此，科學數據的安全保障與除數據生產者之外的其他科學數據利益相關者（如相關機構的從業(yè)人員，科學數據的管理者、服務者以及利用者等）同樣密不可分。綜合分析近年來的數據安全事件，大多是由于科學數據利益相關機構對國家科學數據相關的政策精神理解不透徹、貫徹落實不充分、監(jiān)管不到位而造成的，這是科學數據安全意識薄弱和對科學數據安全認識不足的表現。

3.2 我國重點科學數據存在外流現象

與歐美等發(fā)達國家相比，我國在科學數據研究與實踐方面還存在一定差距。這些國家所控制的數據平臺、數據期刊等的國際影響力要顯著高于我國，它們利用先發(fā)優(yōu)勢對全球的科學數據形成“虹吸”效應，國內科研人員為了迎合“SCI至上”的科研評價體系，無奈地將高水平科研成果展現到國外數據平臺上，這在一定程度導致了我國科學數據主權喪失和科學數據外流[35]。我國科學數據外流的主要表現形式為數據論文、數據集合、論文數據優(yōu)先發(fā)表、存儲或提交到國外相關平臺上以及重點數據的違規(guī)出境等，不加管控的科學數據共享已造成國內部分科學數據流到國外，相關報道與研究也表明我國科學數據外流現象已比較嚴峻。2015年，深圳華大基因科技有限公司和復旦大學附屬華山醫(yī)院擅自與英國牛津大學開展中國人類遺傳資源國際合作研究，并將部分人類基因組數據從網上違規(guī)傳遞出境；2016年，中國人類遺傳資源管理辦公室對蘇州藥明康德新藥開發(fā)股份有限公司涉嫌違反人類遺傳資源管理規(guī)定一案調查，發(fā)現該公司未經許可將5 165份人類遺傳資源（人血清）作為犬血漿違規(guī)出境。重點科學數據中含有涉及尖端科技或隱私倫理的信息，這些數據的外流無疑會給我國帶來較為嚴重的安全隱患與威脅[8]。科學數據外流造成的影響是多方面的，上述遺傳數據外流案例不僅對我國經濟、科研等造成一定影響，如果國外組織通過這些數據針對性地研制相關壟斷性藥物，國人生命健康安全將會受制于人，國家安全將面臨嚴重威脅。安全是科學數據共享的前提，必須以國家法律法規(guī)、規(guī)范條例等為依據，實現科學數據安全可控。

3.3 數據中心依賴于國外計算機技術

2016年4 月，習近平總書記在網絡安全和信息化工作座談會中明確指出了網絡安全的重要性和我國在互聯網技術方面的最大劣勢與不足，他強調“在信息時代，網絡安全對國家安全牽一發(fā)而動全身，同許多其他方面的安全都有著密切關系”，并指出“互聯網核心技術是我們最大的‘命門’，核心技術受制于人是我們最大的隱患”[36]。近年來，因網絡黑客攻擊而導致個人或平臺信息泄漏的事件仍然頻繁發(fā)生，這與我國關鍵信息基礎設施建設相對滯后有一定聯系。盡管我國互聯網技術已取得一定進步，但核心技術仍然過度依賴國外，不僅重要領域信息系統(tǒng)的軟硬件產品和技術來自國外，甚至產品和技術的日常運維也受限制，這種受制于人的局面若不能破解，必然產生重大安全風險[37]。科學數據管理平臺是為科研人員提供科學數據服務的網站、數據庫、數據中心等服務媒介[38]，其通過集成、整合、引進、交換等方式聚合國內外的科學數據資源，并進行規(guī)范化加工處理、分類存儲，形成覆蓋全國、聯結世界，可提供科學數據共享服務的網絡體系[39]。這是一個聯動協同多個科學數據利益相關者的互聯網絡體系，其建設也必然要以信息基礎設施和互聯網技術為條件，因此在核心算法、軟硬件設備、計算機語言、管理系統(tǒng)等方面或多或少要依賴國外技術。由于以美國為代表的部分發(fā)達國家在互聯網的設計和管理權方面已經具有先發(fā)甚至壟斷優(yōu)勢，因此我們的科學數據平臺在建設、運營、管理、維護等方面可能會受到多方限制，這將會造成國內科學數據安全風險。

3.4 我國科學數據安全面臨的其他危機

隨著自身科技實力的不斷提升，我國在激烈的國際競爭中占據了一定優(yōu)勢，但也成為外部勢力控制、制約和破壞的重點對象[40]，華為技術有限公司的5G技術被以美國為首的國家百般封鎖便足以證明這一點。科技安全在國家安全體系中的地位日漸重要，對國家安全發(fā)揮著關鍵作用，這種地位和作用在大數據時代更加凸顯。科學數據安全是科技安全的重要組成部分，科技安全面臨的威脅同樣也威脅著科學數據安全。這主要體現在：科學數據基礎設施建設力度還有待加強，尚未制定專門的科學數據安全管理政策，科學數據鴻溝、污染、異化等問題越發(fā)凸顯[41]；科學數據的國內國外雙向流動機制尚未形成，不同領域科學數據質量良莠不齊，重點科學數據的安全保障能力還稍顯不足，科學數據環(huán)境安全處于不利態(tài)勢等。以上問題或危機如果不能妥善解決，會在一定程度上對我國科學數據安全帶來不利影響。相關研究表明，英美等國家的基金組織、科研院所等科學數據利益相關機構的科學數據管理政策呈現出“鼓勵共享，安全協同”的局面，反觀國內則呈現出“鼓勵共享，安全不足”的狀態(tài)[24]。由于科學數據包含了比科研論文更為精細的信息與情報，因此科學數據管理只有在安全協同的條件下才能體現出應有的效用，還需各方協同聯動，繼續(xù)深入研究，出臺相應舉措，將科學數據安全隱患降到最低。

4 科學數據安全保障路徑

4.1 明確科學數據安全保障目標

科學數據安全不僅包含數據本身的安全，還包括相關利益主體的安全[42]，就科學數據本身而言，高價值、集中存放的特性使其容易成為被攻擊和竊取的對象，也容易被利益相關者漠視而導致外流。因此，科學數據安全保障的目標需要體現在三個方面：一是通過必要的技術和管理措施，保護科學數據在其全生命周期中免受外力破壞和非授權操作侵害，保持科學數據的機密性、完整性和可用性[29]；二是我國境內機構或個人在進行對外科學交流與合作之前，必須先將準備共享的科學數據按要求提交備份到國內相關科學數據平臺或中心，保障我國科學數據的主權與優(yōu)先權，同時杜絕重點科學數據的違規(guī)出境等；三是要規(guī)范科研人員行為，嚴格執(zhí)行科學倫理審查制度，對科學數據生命周期的每個環(huán)節(jié)進行控制，著重保護研究對象免受意外披露或不當使用隱私數據、機密數據可能造成的傷害[25]，保障科研活動參與者的安全。明確目標后，相關機構還要避免因安全因素導致的服務中斷，保證服務的連續(xù)性，最終為用戶提供安全可靠的科學數據服務。

4.2 建立科學數據安全保障機制

根據前文所述，科學數據的重要價值與戰(zhàn)略意義已不言而喻，隨著科學數據研究與實踐的進一步推進，隨之而來的安全威脅也會日益增多，此時迫切需要建立專門且專業(yè)的保障機制對科學數據生命周期的各個階段進行安全保護。首先，需要多部門、多機構聯動協同加強頂層設計，建立并優(yōu)化各級科學數據安全管理組織，落實科學數據安全責任制度，探索“管運分離”的運營模式。在做好科學數據安全保障機制頂層設計的基礎上，考慮部署建立各行業(yè)領域、各利益相關機構的科學數據安全保障機制，形成“上下聯動、整體把控”的戰(zhàn)略格局，并研究其相互之間的融合對接，促進有效溝通合作，以便協同處理不同領域或機構的科學數據安全問題，提高科學數據安全問題的處理效率，進而提高科學數據安全管理決策的科學性和精確性。其次，進行充分調研，聽取各方意見，借鑒相關成熟經驗，明晰各參與方的管理職責與邊界，細化角色定位，實現各個組織的有效協作和互聯互通，形成科學數據安全管理一盤棋的局面，確保科學數據的安全可控。再次，要建立科學數據安全威脅預警機制和應急指揮機制，提升科學數據安全應急處理能力[43]，建立完整的檢查監(jiān)督機制，要考慮組建跨領域、多學科的責任團隊和人才隊伍。總之，建立科學、合理、高效的科學數據安全保障機制，不僅是科學數據安全問題治理體系構建的需要，也是提升我國科學數據安全問題治理能力的需要。

4.3 做好科學數據安全技術保障

近年來，各國網絡黑客異常猖獗，網絡攻擊手段愈發(fā)先進，導致信息安全事件和數據泄露事件頻繁發(fā)生，全球網絡空間攻防在對抗中不斷升級[37]。由于科學數據生命周期中的每個階段均需要依托網絡技術完成相應流程，因此，科學數據也存在網絡安全風險。以科學數據中心/平臺為例，作為存儲高價值科學數據的主要載體，一旦發(fā)生安全事件，損失將不可估量。與普通數據中心/平臺相比，科學數據中心/平臺對安全防護技術的需求更高，既要考慮保障科學數據安全的全局通用性技術，又要針對科學數據各個生命周期的流程特點和安全風險開發(fā)特定技術。在具體實施過程中，必須首先制定面向全局的技術方案，可以考慮將多種技術融合，形成相互依賴、相輔相成的技術體系，面向不同行業(yè)領域或不同利益相關機構時，需要對技術進行調整或擴展，以滿足特殊需求。習近平總書記曾經強調“要以技術對技術，以技術管技術，做到魔高一尺、道高一丈”[36]，因此在科學數據安全技術保障方面我們應該“積極防御、主動應對、綜合防范”。科學數據的技術安全保障架構也應該緊跟計算機互聯網技術的發(fā)展而不斷進步、實時更新、與時俱進，為科學數據的安全把好技術關。傳統(tǒng)的數據分類分級、數據切片、數據訪問控制、數據加密保護、數據脫敏、數據安全審計、數據印記擦除等技術雖然能解決部分科學數據安全問題[44]，但新興技術顯然有更廣泛的應用場景。以區(qū)塊鏈技術為例，它已在數據確權、數據溯源、數據加密、數據共享等方面展現出巨大潛力，被認為是一種顛覆性的信息技術[45]，可將其應用于科學數據的安全保障。

4.4 完善科學數據安全保障法規(guī)

科學數據利益相關者雖然已在一定程度上意識到科學數據的安全問題，也在相關制度規(guī)范中對科學數據安全進行了規(guī)定和約束，但這些法律規(guī)范/條例多是概括性、總述性、原則性的，總的來說不夠具體、不夠細化、比較籠統(tǒng)。因此，相關機構還需要在已有涉及科學數據安全問題相關管理規(guī)范制度的基礎上對其進行更詳細更具體的解釋說明，或建立各行業(yè)領域專門的科學數據安全管理規(guī)定，或制定面向全領域的科學數據安全管理辦法。由于某些特定領域的科學數據安全風險更高，安全保障難度更大，所以利益相關機構必須在充分調研的基礎上制定適用于本單位的規(guī)范，必要時可將規(guī)范上升到法律的高度，用法律來保障科學數據的安全。在制定科學數據安全管理辦法與規(guī)范時，各利益相關機構要充分認識到保障科學數據安全的現實意義與重要價值，綜合考慮多方面因素，進行充分調研，既要融入科研工作者的理論觀點，也要融入實踐工作者的實戰(zhàn)經驗，這樣才能使其更加科學、全面、客觀、合理、可行；此外，也要考慮建立完整、清晰的科學數據安全問題評估機制或標準，這樣才能有效識別科學數據生命周期各個階段存在的安全問題。

4.5 培養(yǎng)科學數據安全保障人才

數據爆炸是當今社會的時代特征之一，數據密集型科學發(fā)現是當下的科研特征之一，大數據時代和數據密集型科學范式催生了一門新興學科——數據科學，它是大數據及其背后的新理念、理論、方法、技術、工具、應用和實踐的總稱[46]。數據科學的出現與興起將為培養(yǎng)各方面數據人才提供學科保障，科學數據安全的相關問題也必然是其重要分支與研究方向之一，數據科學的發(fā)展將培養(yǎng)一批科學數據安全人才。與此同時，隨著國家安全學一級學科的設立，該學科及其相關專業(yè)的出現將為具有國家戰(zhàn)略資源、基礎設施與核心要素地位的科學數據的安全保障提供理論研究的試驗田。因此，我們需要思考如何將數據科學中的數據要素/思維和安全科學中的安全要素/思維結合起來，進而培養(yǎng)出科學數據安全保障人才，在此過程中信息安全、網絡安全等方面的學科專業(yè)也會為科學數據安全人才培養(yǎng)提供一定的借鑒與參考。總之，科學數據安全保障離不開專業(yè)人才的支撐，要充分利用當下的學科資源積極探討科學數據安全保障專門人才的培養(yǎng)問題，滿足科學數據發(fā)展對安全人才的需求。

4.6 建立數據安全工作獎懲機制

科學數據安全保障體系的高效運行需要建立具有科學性和可操作性的激勵機制，該機制的建立要以目標為導向，以適度、公平為原則，以差別激勵、正負激勵、精神和物質激勵相結合的方式為主要措施，既要考慮對利益相關機構的激勵，也要考慮對利益相關個人的激勵。各機構還可因地制宜建立本單位的激勵機制，對在科學數據安全的日常檢查監(jiān)管、安全事件處理等方面表現突出的單位和個人給予獎勵；還需提高激勵制度的透明度，減少因信息不對稱而帶來的不信任感，保障不同主體參與科學數據安全工作的權利，形成科學數據安全工作激勵投入的長效機制。與此同時，為體現權責對等原則，各機構必須建立溯源和問責機制，強化監(jiān)管力度，對在日常工作和安全事件中表現不力的利益相關者給予相應處罰，還需依據科學數據安全目標確定科學合理的量化指標和公開透明的評價標準。總之，激勵機制的建立可提高利益相關者參與科學數據安全工作的積極性，其作用的有效發(fā)揮可使相關機構和從業(yè)者主動參與到安全管理、安全創(chuàng)新的工作之中；問責機制的建立可減少科學數據安全工作的失誤，能完善安全工作存在的不足；獎（激勵）懲（問責）機制的建立對于預防和減少科學數據安全事故發(fā)生、提高安全工作成效、提升安全管理水平等具有非常重要的現實意義。

4.7 進行科學數據安全保障評估

隨著全球不安全因素的增加，新的科學數據安全威脅也必將出現，因此，需要適時調整科學數據安全保障體系以便及時應對新出現的安全威脅，對運行過程中發(fā)現的問題要積極反饋完善，對其運行實施效果進行全面評估。在條件允許的情況下，相關機構也可考慮研究制定科學數據安全保障評估機制，并針對不同行業(yè)領域、不同生命周期階段的科學數據建立科學合理、全面客觀的分類評價指標體系，確保對科學數據安全保障系統(tǒng)運行的評價有據可依，保障其全面、協調、可持續(xù)發(fā)展。此外，科學數據安全問題解決方案是科學數據安全保障體系運行過程中的基本要素，是直接解決科學數據安全問題的關鍵措施。因此，各機構在科學數據安全問題解決方案的建設中，也需要全面統(tǒng)籌、精準施策，既要針對行業(yè)領域科學數據的特點建立專門的安全解決方案，也要建立綜合性的安全解決方案；既要考慮建立針對生命周期各個階段的安全解決方案，也要建立覆蓋全局的安全解決方案。各類解決方案需要根據環(huán)境的變化而不斷調整更新，以適應新環(huán)境的新要求和新挑戰(zhàn)，保證科學數據安全問題在第一時間得到針對性解決。

5 結語

近年來，我國科學數據資源規(guī)模持續(xù)增長，據不完全統(tǒng)計，截至2017年底我國有效管理與保存的各學科領域科學數據資源總量已達83.72PB、數據記錄達到159.98億條，數據資源總量較2016年同期增長約20.66PB，增長率達到32.74%[47]，表明我國已然成為科學數據大國。隨著科學數據規(guī)模的不斷增長，科學數據的價值愈發(fā)凸顯，其安全問題也日益嚴重，而科學數據安全事關國家安全，因此必須將其置于國家戰(zhàn)略的高度予以重視[48]。當前，關于信息安全、數據安全的相關研究成果與政策規(guī)范已較為豐富，但是將視角聚焦到科學數據安全的相關研究明顯不足，有關科學數據安全的政策規(guī)范也以概括性文字為主，國家法規(guī)條例中缺乏專門的科學數據安全管理/保障辦法。本文針對科學數據安全保障問題展開研究，分析了我國科學數據安全面臨的威脅，提出了保障科學數據安全的路徑，以期為保障科學數據安全提供理論參考，并希望科學數據安全問題能夠引起學界的重視。

（來稿時間：2020年10月）