政務數據安全風險與法律規制

丁偉峰

【摘要】在數字時代和國家治理現代化背景下，政府擁有數量大、價值高的數據資源，通過開放共享發揮這些數據資源的潛在價值，是數字時代促進經濟社會發展的必然要求。政務數據安全是開放共享的題中之義，沒有政務數據安全就無法實現開放共享。因此，加快構建與數字時代相適應的政務數據安全保障體系，提升政務數據安全治理能力，有效防范和化解政務數據安全風險，已成為數字時代的核心議題。

【關鍵詞】政務數據? 數據安全? 法律規制? 數字治理

【中圖分類號】TP309? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2022.09.012

隨著人類社會邁入數字時代，數字政府、數字經濟及數字社會加速發展，數據日益成為新的生產要素，而政務數據作為重要的數據資源，對于促進經濟社會發展具有重要作用。近年來，我國政府高度重視政務數據開放共享，充分釋放政務數據“紅利”，政務數據已經成為促進經濟社會發展的新引擎。然而，政務數據內包含大量有關國家安全、公共安全、個人隱私及商業秘密的內容，一旦被濫用將造成巨大損失，政務數據安全風險已經受到廣泛關注。

政務數據安全面臨的風險與挑戰

個人隱私數據安全風險。在現代信息社會中，政府持有大量有關個人戶籍、社保、納稅及醫療等方面的數據，個人隱私數據在采集、存儲、傳輸、使用及刪除等環節中都可能存在風險，屬于最常見的政務數據安全風險。在大數據時代，個人隱私數據保護超越了傳統隱私權保護的范疇，個人數據隱私侵權行為的構成要件、性質認定等都存在一些爭議，無法通過傳統隱私保護制度進行全面保護。

政務數據授權運營安全風險。為了促進數字經濟發展，國家積極推行政務數據授權運營試點，探索建立第三方主體參與政務數據開發利用的機制，加速將作為生產要素的政務數據融入經濟社會發展之中。在政務數據授權運營過程中，存在政務數據權屬不清、安全保護責任不明等問題，授權運營主體可能會基于自身利益，利用授權使用政務數據的便利，產生過度分析和使用政務數據的沖動，進而侵犯個人隱私、商業秘密，危害公共安全及國家安全。

新型基礎設施安全風險。2020年4月，國家發展和改革委員會相關負責人首次明確新型基礎設施的范圍，即以新發展理念為引領，以技術創新為驅動，以數據為核心，以信息網絡為基礎，面向高質量發展需要，提供數字轉型、智能升級、融合創新等服務的基礎設施體系。在數字時代，新型基礎設施服務于政務數據處理活動，政務數據的采集、存儲、傳輸、使用及刪除等都離不開新型基礎設施。新型基礎設施比傳統基礎設施更易遭受攻擊，甚至是國內外有組織、大規模的網絡攻擊，這無疑進一步加劇了政務數據安全風險。

政務數據安全風險法律規制的必要性

政務數據安全風險與業務流程及政務數據生命周期密切相關，具有客觀性、廣泛性、動態性等特點，體現了高度不確定性。第一，政務數據安全風險的客觀性。政務數據安全風險并非人們主觀臆造的，而是客觀存在的，雖然政務數據安全風險更多發生在虛擬空間中，但造成的損失卻客觀存在于現實空間中。政務數據安全風險的客觀性是對其進行法律規制的前提。第二，政務數據安全風險的廣泛性。政務數據安全風險在兩個維度上體現其廣泛性：一方面，政務數據安全風險超越時間和空間限制，任何時間、任何地點都可能發生安全風險;另一方面，政務數據安全風險影響的群體幾乎不受年齡、性別、財富等因素限制。第三，政務數據安全風險的動態性。政務數據安全風險可能發生在采集、存儲、傳輸、使用及刪除等任一環節，并且有些安全風險可能會產生連鎖反應，呈現“漣漪”擴散狀態，原初風險轉變為新的風險源，引發新的政務數據安全風險。政務數據安全風險的動態性，使得從源頭上預防和治理風險變得更加困難。

強化政務數據安全治理的頂層設計，對于完善政務數據安全治理體系具有重要的現實意義。第一，有利于促進政務數據開放共享。《中華人民共和國數據安全法》雖然對政務數據安全予以“專章”規定，但法律僅有原則規定，可操作性不強，而政務數據安全相關政策又缺乏法律強制力。不斷完善政務數據安全法治體系建設，才能促進政務數據開放共享。第二，有利于克服政務數據安全地方立法分散性弊端。目前，政務數據安全的地方立法出現碎片化現象，造成地方立法資源的浪費。加強政務數據安全的法律規制，有助于提升政務數據安全保障能力。第三，有利于減少政務數據安全風險帶來不可逆的損害結果。在數字時代，由于科技發展不確定性，現行法律措施可能無法有效實施，導致政務數據安全風險可能給人類社會帶來不可逆的損害結果。通過建立健全與數字時代相適應的法律制度體系，能夠極大減少不可逆損害結果的發生。

政務數據安全風險法律規制的路徑選擇

數字時代的法律必須重塑自身，必須熟悉數字世界的邏輯，提升政務數據安全治理能力，防范和化解政務數據安全風險，必須選擇符合政務數據安全風險特點的法律規制路徑。

堅持政務數據安全風險預防原則。風險預防原則是有關風險評定的原則，其要求決策者對因科學不確定性所導致的問題給予特別關注。由于政務數據安全具有潛在性、不可預測性、損害不可逆性等特點，必須將政務數據安全治理的關口前移，防范和化解政務數據安全風險。政務數據安全治理涉及國家安全、公共安全、商業秘密以及個人隱私等多種利益平衡，風險預防原則要求在政務數據安全前提下進行開放共享。《廣東省公共數據管理辦法》《貴州省大數據安全保障條例》等都采用了“預防為主”“安全可控”等表述，凸顯了對政務數據安全的重視。因此，在政務數據安全治理中必須堅持風險預防原則：一是要加強政務數據安全法律規范的能動性，提前約束政務數據采集者、使用者和參與者，明確不同主體的政務數據安全保護責任，提高政務數據開放共享的安全性;二是要加強政務數據分類分級管理，根據政務數據對經濟社會發展的重要程度、以及被濫用或被泄露后的危害程度，采取與之相適應的風險預防措施。

構建政務數據安全多元治理體系。無論是政務數據開放共享還是政務數據安全，都會涉及政府、市場、社會及公民個體等多元主體，必須依靠多元主體的良性互動，形成治理合力。一是明確政府元治理者角色。“政府要在治理系統中充分發揮主導作用，要為治理體系提供基本制度供給，同時塑造共同價值，為治理體系中其他治理主體的廣泛參與提供公平的環境和互動的條件。”[1]因此，政府主要關注全局性、系統性的政務數據安全風險，做好頂層制度設計，推動市場、社會等主體加快實現自我規制。二是加強政務數據使用者的安全保護責任。政務數據開放共享是對政務數據的再開發利用，在此過程中，如果政務數據被泄露或被濫用，將形成政務數據安全風險。因此，政務數據使用者必須履行安全保護義務，包括完善內部安全管理制度、自覺接受安全測評和風險評估等。三是鼓勵和支持公民個體參與政務數據安全治理，增強個人信息保護意識，健全公民個人數據權利體系。同時，政務數據開放共享使得政務數據從有限且可控的安全域向不確定、不可控的風險空間延伸，加劇全國性政務數據安全的“木桶效應”。政務數據安全治理能力不取決于最強者，而取決于最弱者，只要任何一個環節或主體的政務數據安全治理能力弱化，都將導致政務數據安全防控體系失去防護作用。因此，政務數據安全防控需要政務數據持有者、使用者及參與者都提高政務數據安全治理能力，避免“木桶效應”導致政務數據安全治理能力衰減。

加強政務數據安全軟法治理。政務數據安全的普遍性、技術性、復雜性，決定了法律法規無法滿足政務數據安全治理的規則需要，制定軟法性規則就成為政務數據安全治理的必然選擇。軟法治理具有對話協商、權益共享、低成本、高效率等優勢，有助于促進政務數據安全治理主體之間形成共識。其中，政務數據安全標準是政務數據安全治理體系的重要組成部分，包括為政務數據安全治理提供更嚴格的保護措施，明確政務數據安全保護責任，確定政務數據再利用規則等。此外，還要加強法律法規、行業規定與政務數據安全標準的銜接工作，防止法律法規與安全標準脫節。例如，《中華人民共和國數據安全法》第十條規定，“相關行業組織按照章程，依法制定數據安全行為規范和團體標準，加強行業自律，指導會員加強數據安全保護，提高數據安全保護水平，促進行業健康發展”。

完善政務數據安全保護責任機制。政務數據安全治理涉及政府、市場、社會以及公民等多元主體，且包含數據采集、存儲、分析、使用、刪除等多個環節，增加了政務數據安全保護的復雜性，需要“營造數據治理生態體系，充分調動社會力量共同推動數字治理”[2]。政務數據安全治理應遵循“誰所有誰負責、誰持有誰負責、誰管理誰負責、誰使用誰負責、誰采集誰負責”的原則，明確政務數據安全保護責任;還要加快形成多元主體責任共擔、政務數據安全風險梯次應對的局面，保證在政務數據處理的各個環節都有明確的責任主體，避免出現責任空白地帶。

（本文系吉林省教育科學規劃課題“吉林省人工智能法律人才培養模式研究”和吉林省社科基金項目“吉林省哲學社會科學獎勵地方立法研究”的階段性成果，項目編號分別為：20201217135541、KYC-SH-XM-2020-076）

注釋

[1]楊廬峰、張會平：《數字經濟與實體經濟深度融合發展的著力向度與治理創新——以貴州省的融合發展實踐為例》，《理論與改革》，2021年第6期。

[2]鄧念國：《整體智治：城市基層數字治理的理論邏輯與運行機制——基于杭州市S鎮的考察》，《理論與改革》，2021年第4期。

責 編/陳璐穎