基于規則的科學數據安全治理框架：理解數據“保護-利用”失衡及挑戰的新工具

摘要：隨著全球數據安全法律法規愈發關注隱私保護，以及數據主權、科技競爭和地緣政治等新型治理因素的影響，科學數據的“保護”要求不斷提高。這種趨勢在一定程度上抑制了數據采集、處理、傳輸和分析等“利用”功能，并對既有科學數據的“保護-利用”平衡產生了負面影響。目前，這種失衡趨勢表現為法律合規負擔過重以及公共科學數據可用性逐漸減弱等治理挑戰，現有研究和實踐缺乏必要的分析工具來全面、系統地理解并應對這些挑戰。為填補這一空白，論文提出了一個基于規則的科學數據安全治理框架，旨在從法律法規、倫理規范和機構政策等安全治理規則的角度系統分析“保護-利用”失衡及相關挑戰。該框架整合了主要的科學數據安全治理規則類型，并結合“島橋模型”、“法律-倫理”均衡和“適度落實”原則等三項分析工具，構建了治理規則與“保護-利用”平衡之間的傳導路徑。通過這一框架，論文解釋并初步驗證了其在理解科學數據合規責任過重和公共科學數據可用性弱化兩大挑戰中的應用價值。在全球科學數據安全法規日趨嚴苛的背景下，本文提出的基于規則的分析視角及相關工具，豐富了科學數據安全治理的理論基礎，并為學術界、數據管理者和政策制定者提供了應對當前挑戰的有效工具和政策溝通的理論支撐。這一框架為未來在數據安全治理中的應用和擴展提供了重要參考，也為保障科學數據的可持續利用提供了關鍵指導。

關鍵詞：科學數據治理；科學數據安全；科學數據共享；科學數據倫理；數據“保護-利用”平衡

1 "引言

隨著全球數據安全法律法規愈發關注隱私保護，以及數據主權、科技競爭和地緣政治等新型治理因素的影響，科學數據的“保護”要求不斷提高。這種趨勢在一定程度上抑制了數據采集、處理、傳輸和分析等“利用”功能，并對既有科學數據的“保護-利用”平衡產生了負面影響。目前，這種失衡趨勢表現為法律合規負擔過重以及公共科學數據可用性逐漸減弱等治理挑戰，現有研究和實踐缺乏必要的分析工具來全面、系統地理解并應對這些挑戰。為填補這一空白，需要提出一個基于規則的科學數據安全治理框架，旨

在從法律法規、倫理規范和機構政策等安全治理規則

的角度系統分析“保護-利用”失衡及相關挑戰。

2 "科學數據“保護-利用”平衡現狀

2.1 "問題的提出

數據治理日益關注數據保護與利用的平衡。這一平衡由硬法（如國家法規）和軟法（如組織政策和倫理指南）構成的規則體系所塑造和調節[1]。近年來，世界主要國家先后加強了數據安全監管，陸續發布了多項法律法規和政策，顯著加強了數據保護，并以提升數據合規成本的形式抑制了科學數據采集、處理、傳輸、分析等“利用”一端[2]，對既有的科學數據“保護-利用”平衡形成了沖擊[3-6]。例如，《通用數據保護條例（GDPR）》大幅度提高了對數據主體的保護，加重了研究人員的數據合規負擔[7]，阻礙乃至中斷了相當數量的研究項目[8]。中國、美國等國家或經濟體同步出現了類似現象。全球性的數據合規要求提高及其對“保護-利用”平衡的沖擊已經成為科學數據有效利用的重要障礙[9]。由此，理解數據安全規則變化對“保護-利用”平衡的影響，探索再平衡和治理挑戰的路徑與方法，已經成為重要的科學數據治理議題[10–14]。

2.2 "科學數據“保護-利用”平衡的路徑

當前的探索主要集中于以下三種再平衡路徑。

第一種較常見的路徑是“軟法銜接”，即通過制定非約束性協議、政策或倫理規范等軟法規則，解決硬法（如法律法規或強制性政策）障礙，促進數據流動與共享。典型的軟法實例包括早期的“百慕大原則”[15]、其后的“全球生物多樣性信息設施數據共享協議”[16]和最近的“COVID-19開放數據共享和報告協議”[17]等。這些非強制性規則在復雜的數據安全制度環境中構建了數據通道，促進了跨組織和跨國家的數據利用。

第二種路徑是“硬法協調”，即通過制定法律或強制性政策實現硬法互通，為數據的跨法域流動與共享提供直連道路。例如，歐盟數據保護監管當局（EDPS）發布的“數據保護與科學研究的初步意見”政策，對公益性研究數據的GDPR合規義務進行了減免[18]。盡管目前尚屬指導性政策，但EDPS表示該政策最終將成為具有法律效力的GDPR補充條款。另一例子是歐盟與美國制定的“安全港協議”和后期的“隱私盾協議”，旨在彌合歐美數據保護法規的差異，建立更高效的數據通道[19-20]。然而，硬法協調需要大量溝通與外交資源，過程耗時且易受外部影響。例如，數據安全港協議歷時多年談判但在棱鏡事件后即被歐盟終止。此外，學術界難以參與其中并施加影響也是這一路徑的重要不足。

第三種方法是“技術聯結”，即通過區塊鏈、隱私計算等數據安全技術，構建數據飛地[21]或在線安全計算平臺 ，實現特定類型數據的低成本傳輸與利用[22–24]。與前兩個路徑相比，技術聯結方法以技術投入替代治理資源投入，提升了數據利用效率且基本不改變現有規則。然而，同樣是因為缺乏規則層面的調整，該方法的有效性并不穩定，同時往往面臨技術與

管理融合的挑戰，實踐中往往作為補充手段。

2.3 "建立科學數據治理框架的必要性

上述三種再平衡方法各有優劣。軟法銜接更加成熟，但依賴于特定背景或觸發事件（例如，國際科技合作項目或COVID-19大流行等緊急事件應對[25-27]）。硬法協調需耗費大量外交資源，且易受政治（例如國家安全或數據主權[28-30]）、經濟因素的影響；技術聯結面臨技術接受度和法律合規性的挑戰[26]。在實踐中，這三種方法常被綜合使用以增強成效。例如，“中國澳門—歐盟科研數據跨境流動”機制通過軟規則協調和技術管理手段，協調了法域間的硬法差異，實現了科學數據的雙向流動 。

然而，這些再平衡方法基本上是被動的和反應性的，反映了研究和實踐領域對科學數據“保護-利用”平衡、失衡和再平衡的理解仍不充分[31]。為解決這一問題，亟須提出一個基于規則的科學數據治理框架，旨在為增進相關理解提供更具系統性的分析工具。

本文的具體目標是構建基于規則的科學數據安全治理框架，以之為工具實現對科學數據“保護-利用”平衡的系統性理解，并對失衡引發的科學數據合規責任過重和公共科學數據可用性弱化兩項挑戰做出分析。期望該框架可為學術界、政策制定者和數據管理實踐者提供有力的思考工具與討論基礎，有助于探索更有效的治理工具與措施。

3 "科學數據治理

3.1 "數據治理

數據治理在本世紀初蔓生于數據管理[32]。數據資產化共識及相關實踐[33]催生了企業層級的數據治理探索[34]，其重點議題集中在數據的可用性、一致性、完好性以及數據合規和保護等方面，主要著力點是企業內設部門間的數據政策協調[35]；隨著企業規模的擴大、全球分工協作的深化和日益嚴格的數據安全監管，跨組織數據政策協調的重要性和緊迫性持續提升[36]，凸顯了多樣化的治理參與者在規則和決策中的協調必要性[37]，顯著推動了組織間和國家間數據治理的研究與實踐。

國際數據管理協會（DAMA）認為，數據治理是數據管理過程中的權責分配與戰略性決策過程[38]。來自學術界的一個代表性觀點認為：“（數據治理是）對數據的可用性、完整性、質量和安全性進行全面管理，以確保在特定組織環境中同時實現法律合規和道德適范，并且最大限度地發揮數據的價值或潛力”[39]。此外，不同學科和管理實踐中還有其他視角的定義[34，40-42]。盡管各有側重，但這些觀點在以下三方面表現出一定共識：

一是數據治理覆蓋數據的全部生存周期及其各個維度，在功能上是對數據管理在決策機制、制度構建等戰略層面的加強或補充[43]，在形式上表現為原則、程序和框架[39]；

二是數據治理的關鍵產出和著力點是跨組織的制度環境及其塑造，核心目標是促進跨組織協調與決策，最終實現數據價值最大化、數據成本和風險最小化[44-45]；

三是數據治理的邊界正在擴大。國家和國際層面的宏觀數據治理已成為研究和實踐的重點[46]，多個國家或國際組織（如OECD、EU、UN）發布了數據治理政策或倡議。其中，我國發布的《全球數據安全倡議》是最新示例[37，47]。

數據安全治理是數據治理的子領域，其關注重點是數據“保護-利用”平衡及建基其上的數據價值可持續發揮。隨著數據安全監管的加強，安全成為越來越重要的數據治理維度[37，48]，數據安全治理的概念也在研討和實踐中進一步豐富。

3.2 "科學數據治理及其安全考量

雖然通常認為數據治理始于商業領域[39]，但由于長期的跨機構合作研究傳統，科學數據治理實踐實際上早于企業和公共管理領域，并形成了以數據安全和數據質量為主要維度的治理理念。隨著全球數據安全監管措施日益收緊，研究人員和數據管理機構對數據合規責任的關注顯著提升，數據安全逐漸成為科學數據治理的核心焦點[49-50]，保持數據“保護-利用”的平衡逐漸成為治理的重要原則。例如，生命醫學及其他學科的跨組織數據治理實踐顯示，最大化數據的獲取和利用與最小化數據主體、研究人員及相關方的風險之間存在內在矛盾[51]：一方面，增加數據的開放性、共享和再利用有助于科學理解與發現；另一方面，必須保護研究參與者及相關方，防止隱私泄露等風險。

4 "基于規則的科學數據安全治理框架

基于規則的科學數據安全治理框架提供了一種從規則角度理解數據“保護-利用”平衡的方法和工具，對研究人員、學術共同體、數據管理者和數據安全監管者均具有價值。

該框架由規則體系、治理參與者系統和規則互動機制三個部分組成，分別從不同角度解釋和分析數據的“保護-利用”平衡機制。

規則體系：涵蓋用于規范科學數據處理的各類行為的各類規則，主要包括法律、法規、政策、標準、規范和倫理準則等。這些規則分為硬法（具有法律約束力的法規）和軟法（不具備國家強制力的政策、標準或倫理準則）兩個大類及五個細分子類。

治理參與者系統：包括科學數據治理中的所有利益相關者，如制定和執行法規的政策制定者、實施和監督數據治理的數據管理者，以及遵守這些規則的研究人員。

規則互動機制：涉及不同規則和參與者之間的互動關系，這些互動實現了數據的“保護-利用”平衡。

4.1 "規則體系

規則體系是科學數據治理框架的核心，涵蓋了多種法律、倫理和機構政策等規則類型，并以雙頭（法律規制和倫理規制）梯形的結構（圖1）構成了數據安全治理的制度環境。

法律與強制性政策：位于梯形結構的頂端，包括各類被視為硬法的法律法規和強制性政策。例如，歐洲的《通用數據保護條例》（GDPR），或者中國的《網絡安全法》。這些“硬”規則通常伴隨著執行機制、處罰措施和監管手段，為科學數據行為提供了明確且可執行的標準，是數據安全治理的基礎[52-53]。

科學倫理原則：科學倫理是負責任研究和科學數據行為的依歸，包括數據處理中的透明性、問責性和

誠信等要求。這些規則通常由學術共同體制定，主要規制不同學科領域的研究活動[54]。例如，《赫爾辛基宣言》主要針對生物醫學研究，《貝爾蒙特報告》聚焦人類受試者參與的研究。雖然這些規則不具備法律強制力，但在學術界具有重要影響，其規制力量遠超商業倫理對商業活動的影響。

科學倫理規范：基于科學倫理的具體行為規范，為數據收集、處理和傳播提供詳細指導。例如，《美國心理學協會倫理原則和行為規范（Ethics principles of psychologists and code of conduct）》 ，或者《科技倫理審查辦法（施行）》等 。這些規則依賴于自愿遵守，因此被歸入軟法范疇[55]。

標準、規范與法規：這些規則由國家或國際機構制定，包括約束性和非約束性規則，如《ISO/IEC 27001信息安全管理體系》 和《FAIR數據原則》 。這些標準在數據治理中發揮著橫向協調和縱向聯通的作用，是促進跨組織規則協調的重要資源[56]。

科學數據管理機構的政策：位于層次結構底部的是機構政策，其類型多樣且數量眾多。這些政策由大學或其他研究機構創建，具體反映這些機構的數據管理需求、資源和戰略目標。機構政策是更高級別規則在機構管理環境中的具體應用。

圖1以一種雙頭梯形結構描述了數據安全治理中的5類規則。其中，A1與B1類規則是頂級規則，二者各自具體化實現為A2和B2類規則，A1、B1、A2、B2規則在一個特定的機構中具體化為該機構的各種政策C。上述規則之間的具體化落實過程反映了實踐中的上級規則提出要求、下級規則將其具體化、場景化與可操作化的“要求-落實”關系。圖1同時體現了A類規則與B類規則的橫向均衡關系，反映了實踐中法律要求與倫理約束之間的互補和均衡關系。

圖1同時以不同規則所占板塊的面積反映了規則數據的相對多寡。這一數量變化一方面反映成文的法律條款較之倫理約束更為精細的現實，同時也反映了規則數量伴隨“要求-落實”過程不斷細化與豐富的客觀現象。

4.2 "治理參與者系統

科學數據治理參與者系統由多類治理參與者構

成，分屬國際、國家、學術和監管等治理層次。數據治理參與者既是規則的塑造者，同時基于規則相互協作，共同塑造數據安全治理的組織格局（圖2）。

4.2.1 "治理參與者的類型

國際科學治理系統。國際治理參與者包括WHO、OECD和CODATA等國際組織和跨國學術聯盟。這些機構在制定全球政策、標準和指南方面發揮重要作用，相關規則是國際數據安全治理的重要內容。其中，國際標準與各國的本地化版本是形成共同基準，促進各國數據安全規則互操作的關鍵路徑。

國家科學治理系統。國家治理系統負責建立數據安全治理的基本規則和政策，包括數據安全立法系統和行政治理系統。前者制定了《數據安全法》、《網絡安全法》及歐盟《數據法案》等基礎或專業法律，構建了數據保護的基本框架；后者包括科學技術部、工業和信息化部等行政管理部門，負責制定并實施行業法規或政策。這些部門與科研資助機構（例如，國家自然科學基金委員會）和標準制定機構（例如，國家市場監督管理總局）密切合作，促進數據保護標準與科學技術協調發展。

學術共同體。學術共同體由學術協會、科研機構和學術傳播組織構成，在制定倫理指南、最佳實踐和標準方面具有關鍵作用。學術共同體通過參與標準制定、提供專業意見、推廣有效的數據安全措施等途徑，影響政策和法規的制定。學術共同體的貢獻確保了法規與科學發展的相關性。

國家數據安全監管系統。監管機構是數據安全法律體系的執行端，負責監督數據合規情況并對違法違規行為進行處罰，是維護數據治理規則的重要成員。

4.2.2 "治理參與者之間的相互作用

不同治理參與者藉由相互之間的協作、隸屬、指導等互動關系構成了治理系統（圖2）。這一系統在結構上可以部分地反映和解釋不同規則之間的復雜互動，同時也揭示了治理規則與治理系統之間的相互作用。例如，國家立法機構常常將國際標準納入國內法律，這些法律隨后由行政管理和執法機構實施。學術共同體提供關鍵反饋，推動政策和標準的持續發展。

4.3 "規則互動機制

科學數據安全治理不同規則之間的橫向、縱向交互關系，可以通過“島橋模型”、“法律-倫理”均衡

和“適度落實”三個工具進行描述和解釋。

4.3.1 "島橋模型

該模型以島嶼、橋梁的隱喻形式反映了不同規則系統間的協作方式。其中，每個規則系統（例如，特定組織、國家或經濟體）是一個“島嶼”，硬法是島嶼的巖床，代表系統中剛性、強制性且難以更改的規則。各類政策、倫理、標準和最佳實踐等軟法附著于巖床之上，并以其靈活性連接巖床之間的硬距離，促成不同規則系統的聯通或協調。不同規則島嶼之間的聯通主要硬軟兩種形式。

硬法通道是不同規則體由島嶼間的巖床連接構成，通常是國際條約、法律合同或框架等正式且具約束力的協議。硬法通道為跨域管轄提供了直接的法律通路，具有基礎穩固、運行可靠的優點，也存在建造難度較大和適應力較弱的問題。

歐美間先后達成的“數據安全港協議” 及其后繼的“隱私盾協議”[57]是硬法通道的典型示例。“數據安全港協議”是歐盟與美國之間的一項正式的法律框架，其目的是確保歐美企業以符合歐盟個人數據隱私保護的方式實現跨大西洋數據傳輸。然而，隨著隱私問題的增多和歐盟對個人數據保護的日益重視，歐洲法院于2015年宣布該協議無效，認為它無法充分保障歐盟公民的隱私權[58]。為應對相應法律空缺，雙方隨后協商達成了“隱私盾協議”，期望通過設立更嚴格的監管機制和申訴渠道增強數據合規性要求，進一步協調歐盟與美國的法律體系[59–61]。這些法律協議作為硬法橋梁，連接了兩個不同法律體系，創造了穩固的跨國法律路徑，但這些路徑也因各方法律標準的差異需要大量的談判和調整，展現了硬法橋梁的基礎性、難度以及復雜的變化。

軟法橋梁由倫理規范、非強制性協議、聲明、原則或指南等軟性規則組成，是硬法通道的補充或增強，主要由研究人員、機構或第三方組織等非立法機構自愿協商達成，其目的是克服硬法障礙，在操作層面實現數據共享與利用。軟法橋梁是國際科學數據利用的傳統規則通路，典型示例包括百慕大原則 和“COVID-19開放數據共享和報告協議”。

百慕大原則源于人類基因組計劃（HGP），被認為是國際科學數據共享的開創性源頭。HGP是一項規模宏大、跨國跨學科的科學探索工程，致力于通過測定人類的核苷酸序列以繪制人類基因組圖譜，最終破譯人類遺傳信息，是曼哈頓計劃之后最為引人注目的大科學計劃，同時也因其在6個國家多個學術或商業機構間卓有成效的數據共享而成為科學數據治理的里程碑。盡管HGP發生在數據安全法律和倫理相對簡單和監管整體寬松的制度環境中，但它也面臨合作機構、合作國家之間數據共享協議缺失的問題[62]。這種缺失加劇了項目關鍵合作方之間的理念沖突并成為項目進行的重大阻礙，同時也成了科學數據“共建、共享、共有”倫理理念的催產劑，以及將這一理念最終固化為百慕大原則及隨后的勞德代爾堡協定的關鍵動力[63]。百慕大原則、勞德代爾堡協定和與二者配套的GenBank數據基礎設施，實質性地證明了軟法銜接和技術通道在跨組織科學研究活動中的關鍵作用。

“COVID-19開放數據共享和報告協議”代表了另外一種類型的軟法橋梁。COVID-19疫情期間，全球科研界面臨著快速共享數據以應對疫情的緊迫需求，在WHO的居中主持下，多個國家、研究機構和科研人員自發制定了“COVID-19開放數據共享和報告協議”，以此克服敏感數據跨境共享障礙 。不同于正式的法律條約，這些協議是由研究人員及其所屬機構自愿遵守的非強制性規則，旨在加速科學數據共享與合作。例如，研究人員承諾在最短時間內通過公共平臺分享基因組序列、臨床試驗數據等COVID-19相關數據。這種協議沒有法律約束力，但通過倫理共識和學術界的合作精神得以廣泛應用，促使各國研究團隊克服不同數據保護法規的障礙，實現快速且高效的跨國數據共享與利用 。

融合FAIR原則、數據出版和技術橋梁等多種軟性措施是該軟法橋梁的另一特點。“COVID-19開放數據共享和報告協議”明確納入了FAIR原則以強化了數據的可發現性、可獲取性、可互操作性和可重復使用性。同時，該協議還充分利用了學術出版機制（包括正式出版和預印本、機構知識庫、在線發布等多種出版形式）和在線數據分析平臺、數據飛地等數據安全計算設施，表現了巨大的兼容性、靈活性和有效性。

4.3.2 “法律-倫理”均衡

“法律-倫理”均衡指的是在數據安全治理中，法律與倫理規制間的適當平衡。法律提供剛性框架，確保數據活動符合最低要求；倫理補充法律，強調責任和道德，在特定情境中發揮柔性指導作用。例如，在生命醫學研究中，法律設定嚴格的隱私保護標準，而倫理強調研究者對受試者的責任和尊重。過度依賴法律會增加規制的剛性與復雜性，限制數據利用；而過度依賴倫理則因缺乏強制性，難以約束數據行為。因此，法律與倫理相互協調而非單一主導。

一個典型例子是《通用數據保護條例》（GDPR）對科研的影響。GDPR提出了嚴格的個人數據保護要求，雖然提高了安全性，但也大幅增加了科研的合規成本，限制了數據獲取與利用。該案例說明，過于嚴苛的法律規制顯著壓制了既有的倫理規制，破壞“法律-倫理”均衡并最終損害了科技創新潛力。

4.3.3 “適度落實”原則

該原則用于描述和解釋規則體系中的“要求-落實”關系，強調法律與倫理要求應通過規則系統清晰、準確地梯次落實為標準規范、規程和機構政策，不準確或不適當的落實可能導致個人或組織在執行時出現無視或過度規避數據安全風險的行為，從而扭曲頂層規則對數據“保護-利用”平衡的要求。一個典型的案例是生命醫學研究中數據共享要求與知情同意規程的互動關系。在許多國家，法律規定共享和再利用數據需經過知情同意，并對敏感數據進行嚴格保護。這些要求通過機構政策細化，如制定知情同意書模板、脫敏流程和安全標準。同時，倫理準則（如《貝爾蒙報告》）要求研究人員在保護隱私的基礎上促進數據共享，推動科學進步。倫理要求需在操作層面落實，如通過倫理審查委員會（IRB）評估共享協議，確保符合倫理和法律標準。如果法律和倫理要求未在規章制度中具體化，研究人員可能無法準確，導致數據無法合法共享或增加合規風險。

5 "數據“保護-利用”平衡及挑戰分析

5.1 "數據“保護-利用”平衡的規則分析

科學數據的“保護-利用”平衡源于各類數據治理規則的復雜互動，是規則對數據行為微觀約束的宏觀效果。“保護-利用”平衡在客觀上是規則效應從微觀向宏觀復雜傳導結果的結果。這種復雜性來源于兩個方面。首先是類型和數量眾多的規則間的復雜互動，包括橫向的協作關系和縱向的“要求-落實”關系。其次是單一規則中保護或利用成本結構比例的多樣性，例如，百慕大原則和FAIR原則側重數據利用，GDPR和《貝爾蒙報告》強調保護，更多規則（如《科學數據管理辦法》和《數據安全法》）會兼顧兩者。

數據治理規則與“保護-利用”平衡的復雜傳導關系，結合島橋模型、“法制-倫理”均衡及“適度落實”原則，可以解釋平衡的動態變化。在島橋模型中，法律或強制性政策等硬規則是基礎性和主導性數據保護力量，在側重數據利用的軟規則橋梁輔助下，實現了數據保護和利用的平衡。當硬通路中斷時，兩個規則島之間的數據流動和利用需要承受雙重規制，其范圍和力度往往超過了軟規則橋梁的代償性聯通能力，從而使得平衡體更偏向安全保護一端。如果同時出現“法律-倫理”失衡和“適度落實”原則扭曲的情況，則這種失衡往往更加嚴重，并導致大量微觀數據行為表現出合規導向或數據安全風險規避的行為（例如，因合規成本高而終止研究活動，或減少敏感數據的共享），最終在群體層面形成數據保護抑制數據利用的現象。

5.2 "科學數據法律合規責任過重挑戰

科學數據合規責任包括法律合規和倫理適范，強調綜合運用法律和倫理規制保護數據主體和相關方的利益。從“法律-倫理”均衡的角度，明確兩種規制力量的邊界并平衡其作用是科學數據安全治理的核心問題。傳統上，科技倫理規制具有更廣泛的規制范圍（例如，基于環境倫理對珍稀、瀕危物種棲息地信息進行保護），雖然規制力量較弱，但能在保障數據合規的前提下促進科學發展。然而，當法律規制顯著強于倫理約束時——例如，《通用數據保護條例》對個人數據的合規要求超過了《紐倫堡法則》或《貝爾蒙報告》等傳統科技倫理對研究參與者的保護——此時，為保證科學研究以合理成本和效率開展，通常需要學術界與數據安全管理當局協商，在規則執行層面減少數據安全合規責任，以重新平衡法律規制與倫理約束。

《通用數據保護條例》的發布及其在學術界引發的爭議是這一平衡的最新且典型的案例。生命醫學和社會研究領域的研究者發現[64–66]，為滿足GDPR對自然人數據保護的合規要求，他們必須在知情同意、數據脫敏、數據保存和兼容復用等方面遵守嚴格規定[67]，結果是許多研究因高成本或低效率無法進行。例如，GDPR落地實施的當年即導致芬蘭國家衛生與福利研究所多達3.2萬份的DNA樣本無法共享，最終終止了二者持續數十年的Ⅱ型糖尿病合作研究[39]。此外，GDPR還被認為是2019年國際阿爾茨海默病基因組學項目限制非歐盟合作者參與數據共享的原因[68-69]。歐洲科學與人文學院聯合會的一份報告估計，2019年約五千個NIH合作項目受到了GDPR的影響[8]。

學術界的討論指出了數據合規要求與科學倫理適范之間的失衡，并認為公益性科學研究應因其公益貢獻（如科學數據的公開獲取或對人類福祉的貢獻）得到數據安全合規責任的合理減讓。這一訴求可被稱為“科學數據合規責任過重”的呼吁，在本質上是希望將部分法律監管責任轉移給學術界的自治性倫理審查，以實現法律合規與倫理適范之間的再平衡，從而使科學研究活動能夠以合理的成本和效率進行。最終，學術界的呼吁引起了歐洲數據管理當局的關注，經過研究后，相關部門啟動了“界定公益性研究標準”的政策調整[70]。

盡管這種失衡與再平衡的現象僅出現在個人數據保護領域，但隨著數據安全倫理的持續法治化和科學探索不斷進入新領域，類似情況很可能在國家（例如，美國政府于2024年發布的《關于防止受關注國家獲取美國人大量敏感個人數據和美國政府相關數據的行政命令》，其特別針對特定國家的做法引發了部分研究人員的憂慮[71]）、數據類型（例如，地理相關數據 ）或學科領域（例如，人工智能[72-73]）等維度或場域再次發生。因此，深入理解“法律-倫理”均衡及其對數據“保護-利用”平衡的影響將是學術界和數據安全管理當局的長期持續議題。

5.3 "公共科學數據資源可用性弱化挑戰

科學研究日益依賴于GenBank、GBIF等公共科學數據資源，這些資源通常由全球學術界基于開放共享的共識或協議共同構建，并常由單一國家或經濟體的學術機構管理，是全球科學數據基礎設施的重要組成部分。這些資源的建設和運行基于一個倫理共識，即在全球范圍內充分提供科學數據并公開研究成果是基礎研究的基石[74]。全球學術界和社會、經濟等部門都長期受惠于這一觀念及其催生的各類公共科學數據。

然而，近年來與數據安全相關的多重因素開始沖擊這一共識，引發學術界對這些數據資源可用性的擔憂[75]。主要的沖擊源自全球個人數據保護相關法律監管的強化，不僅體現在法律適用范圍和標準規范的擴展，還體現在違規處罰的嚴厲性增加；其次，數據主權、科技競爭乃至地緣政治等因素也日益進入相關數據安全規則制定的考慮范圍，并具體反映為國家政策或法律法規要求。

相對數據安全保護一端的變化，學術界進一步加強的數據利用軟規則的建設。首先是科學數據共享的觀念發生了變化，數據貢獻與共享掛鉤的原則逐漸替代了HGP時代的完全開放共享觀點[27]，以此能夠吸引更多數據貢獻者；其次是借助開放科學運動、大科學計劃和應急性科學研究等契機，更加重視FAIR原則等軟規則的開發，嘗試在操作層面加強科學數據利用相關規則的協調。

然而，從“保護-利用”平衡來看，側重數據保護的硬力量顯然超過了學術界致力于推動數據共享的軟性調整。盡管大多數公共科學數據資源的可用性尚未實質性受損，但這一平衡的脆弱性和持續弱化的趨勢已經相對明顯，尤其對某些國家或某些學科領域而言。

借助科學數據安全治理的框架可以理解數據可用性弱化危險的規則本質。首先，島橋模型揭示了這一挑戰的規則異質性根源。公共科學數據的托管者、貢獻者和使用者分屬不同規則島嶼，缺乏硬性規則聯通，導致數據訪問、傳輸與使用缺乏可靠穩定的規則保障。其次，不同規則變化的異步性導致了“適度落實”原則的扭曲。政策、法律和倫理等規則具有不同的變化速度。在本例中，政策和法規最先變化，法律與倫理的適應性調整出現滯后，從而導致以數據保護為目的的政策或法規成為特定時段內的主導性規則，促使公共數據管理者必須滿足所在國家的相關要求，從而威脅到公共數據資源的可訪問性。

相較于科學數據過度合規挑戰，公共科學數據的可用性弱化挑戰更需引起重視，其不僅體現了規則協調的復雜性，同時還觸及了一系列關于科學數據治理基本理念的深層次問題，例如：

（1）公共經費支持的科學數據的受益者群體是否應該基于現實主義進行限定。各個國家的公共經費嚴格意義上沒有義務和責任支持他國的科學研究或社會經濟活動，在日益激烈的國際科技競爭不斷沖擊開放科學及其背后的科學公益性和科學數據“共建、共有、共享”傳統倫理觀念的情況下，這一問題是公共數據

可用性弱化的重要思想根源。

（2）“貢獻-收益”逐漸成為與傳統的“完全共享”并行的公共科學數據資源建設運行方式。然而，數據貢獻與各國的研究投入和科技發展水平密切相關，很容易導致對科技后發國家或經濟體科學發展的限制，對開放科學精神構成挑戰。

6 "總結與展望

理解數據“保護-利用”失衡及相關挑戰是當前科學數據安全治理的緊迫需求。然而，目前缺乏系統性的分析方法與工具。論文強調了規則在科學數據安全治理中的關鍵作用，并據此開發了作為分析工具的科學數據安全治理框架。該框架整合了主要的數據安全規則類型，以及描述規則互動關系的島橋模型、“法律-倫理”均衡和“適度落實”原則三項分析工具。較之已有研究，該框架在規則層面對“保護-利用”及相關挑戰給出了更為系統的分析，表現了較強的解釋能力。

首先，該框架強調了軟法在科學數據安全治理中的關鍵作用，特別是在數據安全緊監管環境中。硬法體現了所屬國的文化、政治、經濟和社會發展訴求，規則多樣、差異巨大且協調成本高昂。相對而言，軟法橋梁是各國學術界在所屬法域硬法約束下探索形成的柔性、操作性規則銜接體系。在促進科學發展的內在驅動下，軟法橋梁往往成為生命科學等特定學科領域的主要數據通道。框架借助島橋隱喻給出了軟法橋梁在克服硬法障礙、推動數據利用和學術發展方面的靈活性和有效性，解釋了已有做法的內在合理性并對未來相關行動提供了理論基礎。

其次，該框架提出了規則系統的雙頭梯形結構及內嵌其中的規則橫、縱向互動機制，并借助島橋模型、“法律-倫理”均衡和“數據落實”原則三項分析工具，構造了從規則到“保護-利用”平衡的傳導路徑。相對于現有的數據安全保護觀點，論文框架體現了系統性和高度自洽性，可更有效地分析不同規則間復雜的互動關系，以及這一關系對“保護-利用”平衡的影響，同時也可以對科學數據合規責任過重和公共科學數據可用性走弱等挑戰性議題做出更具建設性的解釋。

科學數據“保護-利用”平衡正在受到全球性數據安全監管收緊的沖擊，由此引發了科學數據合規責任過重減讓等一系列挑戰，在很大程度上壓抑了科學數據利用。理解上述變化并尋找應對策略，不僅是學術界面臨的研究議題，同時也可以為學術界與數據安全政策制定者等數據治理關鍵參與者的政策溝通提供理論基礎。論文為這一研究議題提出了基于規則的新分析視角，發展了相關分析工具并對“保護-利用”失衡及相關挑戰做出了較為系統的解釋，在一定程度上豐富了科學數據安全治理理論，并為相關實踐提供了參考。

科學數據治理進入數據安全緊監管環境是一個較為確定的中長期趨勢。理解科學數據“保護-利用”動態平衡的機制與規律，在很長時間內都是科學數據治理研究和實踐的需要。當前研究是這一長期議題的初步探索。隨著科學數據治理研究和實踐的發展，本文提出的規則分析視角和相關工具將在更多場景中得到應用從而提升其解釋力，與此同時，新的視角和更為系統的分析方法與工具也將得到發展，共同推動科學數據治理理論的發展。

參考文獻

[1] GAETA M C. Hard law and soft law on data protection： What a DPO should know to better perform his or her tasks[J/OL]. European Journal of Privacy Law amp; Technologies， 2019/2：61-78.

[2] LI S C， CHEN Y W， HUANG Y. Examining compliance with personal data protection regulations in interorganizational data analysis[J/OL]. Sustainability， 2021， 13（20）： 11459. DOI：10.3390/ su132011459.

[3] RUBINSTEIN I S， HARTZOG W. Anonymization and risk[J]. Washington Law Review， 2016， 91（2）： 703-760.

[4] 郭華東. 專刊導讀：把握“保護-利用”動態平衡，推進科學數據高質量發展[J]. 農業大數據學報， 2024， 6（2）： 145. DOI：10.19788/j. issn.2096-6369.200003.

[5] 廖方宇，李婧. 開放科學背景下科學數據開放共享安全挑戰及我國對策思考[J]. 農業大數據學報， 2024， 6（2）： 146-155. DOI：10. 19788/j.issn.2096-6369.000027.

[6] YAO K， PARK M K. Strengthening Data Governance for Effective Use of Open Data and Big Data Analytics for Combating COVID- 19[M/OL]// UN Department of Economic and Social Affairs Policy Briefs NO89， 2020. https：//desapublications.un.org/policy-briefs/undesa- policy-brief-89-strengthening-data-governance-effective-use-open-data- and-big.

[7] VOIGT P， VON DEM BUSSCHE A. The EU General Data Protection Regulation （GDPR）： A practical guide[M]. Springer International Publishing， 2017.

[8] ALL EUROPEAN ACADEMIES， EUROPEAN ACADEMIES SCIENCE ADVISORY COUNCIL， FEDERATION OF EUROPEAN ACADEMIES OF MEDICINE. International Sharing of Personal Health Data for Research[M/OL]. 2021. DOI： https：//doi.org/10. 26356/IHDT.

[9] DE HERT P， PAPAKONSTANTINOU V. The new general data protection regulation： Still a sound system for the protection of individuals？[J]. Computer Law amp; Security Review， 2012， 28（2）： 130-142.

[10] BORGMAN C L. Big Data， Little Data， No Data： Scholarship in the Networked World[M]. MIT Press， 2015.

[11] KAYE J， WHITLEY E A， LUND D， etal. Dynamic consent： a patient interface for twenty-first century research networks[J]. European Journal of Human Genetics， 2015， 23（2）： 141-146.

[12] GARRIDO S， FELLOWS L. The impact of data protection regulations on research： Balancing data sharing and privacy concerns[J]. Journal of Law， Medicine amp; Ethics， 2016， 44（1）： 127-141.

[13] PHILLIPS M， DOVE E S， KNOPPERS B M. A population data perspective on the regulation of health research[J]. Journal of Law and the Biosciences， 2017， 4（1）： 27-46.

[14] STAHL B C， RAINEY S， SHAW M. Challenges and opportunities of data governance in research： A critical perspective[J]. Science and Public Policy， 2021， 48（3）： 395-407.

[15] CONTRERAS J L. Bermuda’s legacy： Patents， policy and the design of the genome commons[J]. Minnesota Journal of Law， Science amp; Technology， 2011， 12（1）： 61-125.

[16] EDWARDS J L. Research and societal benefits of the global biodiversity information facility[J/OL]. BioScience， 2004，54（6）：485–486. https：//doi.org/10.1641/0006-3568（2004）054[0486：RASBOT]2.0. CO;2.

[17] PISANI E， AABY P， BREUGELMANS J G， et al. Beyond open data： realizing the health benefits of sharing data[J]. BMJ， 2016，355：i5295. https：//doi.org/10.1136/bmj.i5295.

[18] A Preliminary Opinion on data protection and scientific research [M/OL]. European Data Protection Supervisor， 2020. https：//www. edps.europa.eu/sites/default/files/publication/20-01-06_opinion_research _en.pdf.

[19] SCHWARTZ P M， SOLOVE D J. Reconciling personal information in the United States and European Union[J]. California Law Review， 2014， 102（4）： 877-916.

[20] BENDER A. The invalidation of the EU–U.S. safe harbor agreement： Implications for transatlantic data flows[J]. German Law Journal， 2016， 17（6）： 1267-1282.

[21] HOWISON M， ANGELL M， HASTINGS J S. Protecting sensitive data with secure data enclaves[J/OL]. Digital Government： Research and Practice， 2024， 5（2）： 1-11. DOI：10.1145/3643686.

[22] SABERI S， KOUHIZADEH M， SARKIS J， et al. Blockchain technology and its relationships to sustainable supply chain management[J/OL]. International Journal of Production Research， 2019， 57（7）： 2117-2135. https：//doi.org/10.1080/00207543.2018. 1533261.

[23] 龔海燕，李曉剛. 區塊鏈與機密計算技術在材料數據庫平臺中的應用分析[J]. 農業大數據學報， 2024， 6（2）： 241-252. DOI：10.19788/j. issn.2096-6369.000026.

[24] 陳純，任奎，楊小虎，等. 區塊鏈與科學數據治理[J]. 科學通報， 2024， 69（9）： 1137-1141.

[25] ZWITTER A， GSTREIN O J. Big data， privacy， and COVID-19— learning from humanitarian expertise in data protection[J]. Journal of International Humanitarian Action， 2020， 5（1）： 1-8.

[26] FOSTER C， JACOB T. The impacts of data localization on privacy， security， and innovation[J]. Journal of Cyber Policy， 2018，3（3）： 365-384.

[27] 李宜展，李澤霞. 國際科技組織與國際科技合作計劃中的科學數據安全治理[J]. 農業大數據學報， 2024， 6（2）： 161. DOI：10.19788/j. issn.2096-6369.000031.

[28] CHANDER A， SUN H. Data SOVEREIGNTY： From the Digital Silk Road to the Return of the State[M/OL]. New York： Oxford University Press， 2023. https：//academic.oup.com/book/55328.

[29] 寧宣鳳，吳涵，付昊，等. “數據主權”浪潮下企業如何構建全球數據管理體系 ——兼評美國《國家安全與個人數據保護法》提案[EB/OL].https：//www.chinalawinsight.com/2019/11/articles/cyber-security/數據主權浪潮下企業如何構建全球數據管理體系/.

[30] 黃海瑛，何夢婷，冉從敬. 數據主權安全風險的國際治理體系與我國路徑研究[J]. 圖書與情報， 2021（4）： 15-28.

[31] KOUPER I， RAYMOND A H， GIROUX S. An exploratory study of research data governance in the U.S.[J/OL]. Open Information Science， 2020， 4（1）： 122-142. DOI：10.1515/opis-2020-0010.

[32] MAHANTI R. Data Governance Success： Growing and Sustaining Data Governance[M/OL]. Singapore： Springer Singapore， 2021. https：//link.springer.com/10.1007/978-981-16-5086-4.

[33] HINKLE O. The Evolution of Data Governance[EB/OL]. （2020- 05-18）. https：//www.dataversity.net/the-evolution-of-data- governance/.

[34] AL-RUITHE M， BENKHELIFA E， HAMEED K. A systematic literature review of data governance and cloud data governance[J/OL]. Personal and Ubiquitous Computing， 2019， 23（5-6）： 839-859. DOI：10.1007/s00779-017-1104-3.

[35] LADLEY J. Data Governance： How to Design， Deploy， and Sustain an Effective Data Governance Program[M/OL]. Elsevier Science， 2019. https：//books.google.com.sg/books？id=AkW9DwAAQBAJ.

[36] SARSFIELD S. The Data Governance Imperative[M/OL]. IT Governance Publishing， 2009. https：//www.jstor.org/stable/j.ctt5hh6sb.

[37] MARCUCCI S， ALARCóN N G， VERHULST S G， et al. Informing the Global Data Future： Benchmarking Data Governance Frameworks [J/OL]. Data amp; Policy， 2023， 5： e30. DOI：10.1017/dap.2023.24.

[38] HENDERSON D， EARLEY S， DATA ADMINISTRATION MANAGEMENT ASSOCIATION.DAMA-DMBOK： data management body of knowledge[M]. Second edition. Basking Ridge， New Jersey： Technics Publications， 2017.

[39] FOTHERGILL B T， KNIGHT W， STAHL B C， et al. Responsible data governance of neuroscience big data[J/OL]. Frontiers in Neuro- informatics， 2019， 13：28. https：//doi.org/10.3389/fninf.2019.00028.

[40] AL-RUITHE M， BENKHELIFA E， HAMEED K. Data governance taxonomy： Cloud versus non-cloud[J/OL]. Sustainability， 2018， 10（1）： 95. https：//doi.org/10.3390/su10010095.

[41] 劉桂鋒，錢錦琳，盧章平. 國內外數據治理研究進展：內涵，要素，模型與框架[J]. 圖書情報工作， 2017， 61（21）： 8.

[42] FERNANDES L， O’CONNOR M. Data governance and data stewardship. Critical issues in the move toward EHRs and HIE[J]. Journal of AHIMA， 2009， 80（5）： 36-39.

[43] BEHRINGER G， HIZLI M. Data Governance： State-of-the-Art[C/OL] //AHLEMANN F， SCHüTTE R， STIEGLITZ S. Innovation Through Information Systems. Cham： Springer International Publishing， 2021： 687-699. DOI：10.1007/978-3-030-86797-3_45.

[44] MAHANTI R. Introduction to Data， Data Governance， and Data Management[M/OL]//MAHANTI R. Data Governance and Data Management. Singapore： Springer Singapore， 2021： 1-3. https：//link.springer.com/10.1007/978-981-16-3583-0_1.

[45] ABRAHAM R， SCHNEIDER J， VOM BROCKE J. Data governance： A conceptual framework， structured review， and research agenda [J/OL]. International Journal of Information Management， 2019， 49： 424-438. DOI：10.1016/j.ijinfomgt.2019.07.008.

[46] 梅宏. 數據治理之論[M]. 北京： 中國人民大學出版社， 2020.

[47] NIELSEN O B. A Comprehensive Review of Data Governance Literature[J/OL]//Selected Papers of the IRIS， 2017（Nr 8）：3. https：//aisel.aisnet.org/iris2017/3/.

[48] SOLOMONIDES A. Research Data Governance， Roles， and Infrastructure[M/OL]//RICHESSON R L， ANDREWS J E. Clinical Research Informatics. Cham： Springer International Publishing， 2019： 291-310. http：//link.springer.com/10.1007/978-3-319- 98779-8_ 14.

[49] 劉莉，司莉.科學數據治理實踐：內容體系與發展趨勢[J]. 情報理論與實踐. 2023， 46（12）： 175-182.

[50] 張娟，張志強，阮偉南，等. 科技強國最新數據戰略及其實施態勢分析[J]. 世界科技研究與發展， 2021，43（3）：286-298.

[51] EKE D O， BERNARD A， BJAALIE J G， et al. International data governance for neuroscience[J/OL]. Neuron， 2022， 110（4）： 600-612. DOI：10.1016/j.neuron.2021.11.017.

[52] DAVIS R. Data protection laws and regulations in China[J]. Journal of Cybersecurity Policy， 2020， 12（4）： 345-367.

[53] SHELTON S. The EU data act and its implications[J]. European Data Law Review， 2019， 22（1）： 15-27.

[54] 劉先瑞，司莉. 科學數據倫理治理：政策框架與路徑——以英國為例[J/OL]. 現代情報：（錄用定稿）[網絡首發2024-08-01].

[55] TRUBEK D M. Soft law and the legitimation of global governance[J]. Journal of International Law， 2015， 7（2）： 123-147.

[56] 廖方宇，胡良霖，王健，等. 科學數據安全標準研究與工作建議[J]. 科學通報， 2024， 69（9）： 1142-1148.

[57] 劉碧琦. 美歐《隱私盾協議》評析[J]. 國際法研究， 2016（6）：35-47.

[58] 劉文杰. 美歐數據跨境流動的規則博弈及走向[J]. 國際問題研究， 2022（6）：65-78+136.

[59] 桂暢旎，任政，熊菲. 美歐跨境數據流動規則演變及啟示[J]. 信息安全與通信保密， 2023（11）： 15-24.

[60] 隆云滔，王磊，劉海波. 跨境數據流動治理規則研究[J]. 數據與計算發展前沿， 2023， 5（1）： 74-84.

[61] 單文華，鄧娜.從“數據隱私框架”看歐美數據跨境流動的規則博弈[J]. 太平洋學報， 2024， 32（1）：44-56.

[62] GREEN E D， WATSON J D， COLLINS F S. Human Genome Project： Twenty-five years of big biology[J/OL]. Nature，2015，526（7571）： 29-31. DOI：10.1038/526029a.

[63] AMANN R I， BAICHOO S， BLENCOWE B J， et al. Toward unrestricted use of public genomic data[J/OL]. Science， 2019， 363（6425）： 350-352. DOI：10.1126/science.aaw1280.

[64] CLARKE N， VALE G， REEVES E P， et al. GDPR： an impediment to research？[J]. Irish Journal of Medical Science， 2019，188（4）： 1129-1135. DOI：10.1007/s11845-019-01980-2.

[65] PELOQUIN D， DIMAIO M， BIERER B， et al. Disruptive and avoidable： GDPR challenges to secondary research uses of data[J]. European Journal of Human Genetics， 2020， 28（6）： 697-705. DOI：10.1038/s41431-020-0596-x.

[66] CHASSANG G. The impact of the EU general data protection regulation on scientific research[J/OL]. ecancermedicalscience， 2017， 11：709. DOI：10.3332/ecancer.2017.709.

[67] QUINN P. Research under the GDPR – a level playing field for public and private sector research？[J/OL]. Life Sciences， Society and Policy， 2021， 17（1）： 4. DOI：10.1186/s40504-021-00111-z.

[68] EISS R. Confusion over Europe’s data-protection law is stalling scientific progress[J]. Nature， 2020， 584（7822）： 498-498. DOI： 10.1038/d41586-020-02454-7.

[69] RABESANDRATANA T. European data law is impeding studies on diabetes and Alzheimer’s， researchers warn[J/OL]. Science， 2019-11-20. DOI：10. 1126/science.aba2926.

[70] Opinions | European Data Protection Supervisor[EB/OL]. [2024-01- 23]. https：//edps.europa.eu/data-protection/our-work/our-work-by-type/ opinions_en.

[71] 如何理解和應對美國限制訪問敏感個人數據行政命令[EB/OL]. "https：//www.secrss.com/article/64086.

[72] MESZAROS J， HO C. AI research and data protection： Can the same rules apply for commercial and academic research under the GDPR？[J/OL]. Computer Law amp; Security Review， 2021， 41： 105532. https：//doi.org/10.1016/j.clsr.2021.105532.

[73] MOHAMMAD A M， JESUS M， FANAEI S D， et al. Artificial intelligence ethics and challenges in healthcare applications： A comprehensive review in the context of the European GDPR Mandate[J/OL]. Machine Learning and Knowledge Extraction， 2023， 5（3）： 1023-1035. https：//doi.org：10.3390/make5030053.

[74] Bits of Power： Issues in Global Access to Scientific Data[M/OL]. Washington D C： National Academies Press， 1997： 5504. http：//www. nap.edu/catalog/5504. DOI：10.17226/5504.

[75] 魏鑫，汪洋. 我國科學數據出境管理對策研究[J]. 農業大數據學報， 2024， 6（2）： 156. DOI：10.19788/j.issn.2096-6369.000036.

引用格式：王健，周國民，廖方宇，許哲平，張建華，劉婷婷. 基于規則的科學數據安全治理框架：理解數據“保護-利用”失衡及挑戰的新工具[J].農業大數據學報，2024，6（3）： 295-306. DOI： 10.19788/j.issn.2096-6369.000068.

CITATION： WANG Jian， ZHOU GuoMin， LIAO FangYu， XU ZhePing， ZHANG JianHua， LIU TingTing. Rule-Based Framework for Scientific Data Security Governance： A New Tool for Understanding the Imbalance and Challenges of Data Protection and Utilization[J]. Journal of Agricultural Big Data，2024，6（3）： 295-306. DOI： 10.19788/j.issn.2096-6369.000068.

Rule-Based Framework for Scientific Data Security Governance： A New Tool for Understanding the Imbalance and Challenges of Data Protection and Utilization

WANG Jian1，4，6， ZHOU GuoMin2，4，6， LIAO FangYu3， XU ZhePing5，7， ZHANG JianHua1，4，6*， LIU TingTing1，4

1. The Agricultural Information Institute of CAAS， Beijing 100081， China; 2. Nanjing Institute of Agricultural Mechanization， Ministry of Agriculture and Rural Affairs， Nanjing 210014， China; 3. Computer Network Information Center of CAS， Beijing 100083， China; 4. National Agricultural Scientific Data Center， Beijing 100081， China; 5. National Sciences Library of Chinese Academy of Science， Beijing 100190， China; 6. Hainan National Breeding and Multiplication Institute at Sanya， Chinese Academy of Agricultural Sciences， Sanya 572024， Hainan， China; 7. School of Economics and Management， University of Chinese Academy of Sciences， Beijing 100190， China

Abstract： With the implementation of various data security laws and regulations centered on privacy protection， and the emergence of new governance factors such as data sovereignty， technological competition， and geopolitics， the requirements for the \"protection\" of scientific data have been increasingly elevated. This has objectively suppressed the \"utilization\" functions of data collection， processing， transmission， and analysis， leading to a significant risk of imbalance between the protection and utilization of scientific data. This imbalance is externally manifested in challenges such as the excessive burden of legal compliance and the weakening availability of public scientific data. The academic community， data managers， and policymakers urgently need effective analytical tools to understand and address these challenges in a systematic way. In response to this gap， this paper proposes a rule-based governance framework for scientific data security， aiming to provide a systematic analytical tool to address the protection-utilization imbalance and related challenges from the perspective of governance rules， including laws， ethics， and institutional policies. This framework integrates the major rule types in scientific data security governance and introduces three analytical tools： the \"Island-Bridge Model，\" the \"Law-Ethics Balance，\" and the \"Moderate Implementation\" principle， to explain the interaction mechanisms of these rules. The framework establishes the transmission paths between governance rules and the protection-utilization balance and uses these tools to explain two key challenges—excessive compliance burdens and weakened public scientific data availability—demonstrating its explanatory power and practical value. In the context of the long-term tightening of data security regulations， the rule-based analytical perspective and tools proposed in this paper enrich the theoretical foundation of scientific data security governance and provide practical references for addressing these challenges. The framework also offers essential theoretical support for policy communication among the academic community， data managers， and policymakers， ensuring the sustainable utilization of scientific data in the future.

Keywords： scientific data governance; scientific data protection; scientific data sharing; scientific data ethics; protection-utilization balance of data