政府与企业间数据开放共享的 安全问题研究

赛迪智库

当今世界，信息化发展较快的发达国家在大数据开发利用方面和促进大数据产业发展方面已经走在了前面，政府与企业之间的数据交换和共享已经成为常态，尤其是欧盟、美国等国家，在数据安全保护方面出台了很多有针对性的法律法规，有效规范了个人隐私保护和数据跨境保护工作，有利于保障本国公民利益和维护数据主权，值得我们借鉴。

当前我国政府与企业间

数据开放共享现狀及问题

按照数据生产或持有主体来划分数据，数据可分为政府数据、企业数据和个人数据。企业数据：是指反映企业基本状况的数据资源，包括企业财务数据、经营数据（研发、采购、生产、销售等）以及人力资源数据，也包括通过授权直接或间接采集的个人数据。个人数据：是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。政府数据：是指人民政府及其行政机关在依法履行职责过程中产生或获取的，以一定形式记录、保存的各类数据资源。

政府数据、企业数据、个人数据之间存在交集和相关性。政府和企业之间共享数据时，不可避免的会含有个人数据，因此，在共享数据时不仅要注意保护国家秘密、商业秘密，特别要保护个人隐私数据，维护公民个人的权利。

参与数据共享的相关责任主体可以定义为五种角色，包括：数据提供方、数据使用方、平台管理方、服务提供方和监管方。数据提供方：指生产或收集数据，并提供数据进行共享的各类相关主体，包括各政务部门或企业。数据使用方：指通过数据共享获取、应用共享数据的各政务部门或企业。平台管理方：指负责建设、管理和运营数据共享平台，在数据开放和数据交易中为数据提供方和使用方提供平台服务的政务部门或企业。服务提供方：指为数据提供方、使用方或平台管理方提供数据存储、数据分析处理、数据安全保障、数据保护能力测评等技术和安全服务，对平台管理方的工作提供支撑的企业或专业机构。监管方：指依照国家法律法规和政策文件的授权，对政府与企业间数据共享进行指导、监督管理的政府部门，包括网信、公安、安全、保密等部门。政府与企业之间共享数据的方式主要分为三种，一是数据开放，二是数据交换，三是数据交易。下面针对三种数据共享方式分别描述相关方的权责和义务。数据开放。数据开放是指数据提供方通过数据开放平台为数据使用方提供开放数据资源的在线检索、下载及调用等服务。

数据提供方确保所提供的开放数据准确有效、及时更新和安全可靠。提供方应依据相关法律法规对数据进行脱敏后进行开放。

平台管理方负责对数据开放平台进行管理、维护和安全保障工作，对开放数据进行清洗、审核、编目、归集、存储、提供等工作，对数据提供和数据使用活动进行记录。服务提供方为数据提供方和平台管理方提供技术和服务支撑工作，遵守并配合平台管理方的相关规定和工作。具备相关安全测评资质的服务提供方可作为第三方向平台管理方提供数据安全保护能力测评服务。监管方负责制定数据开放管理制度、数据监管规则以及数据依申请开放的协调机制。在责任主体间产生冲突时进行协调和仲裁。依法进行数据安全审查、安全检查和违法违规行为的处罚，组织对重大数据安全事件的调查和处置。数据提供方授权使用方获得数据资源，一般通过数据共享交换签订协议来明确数据使用范围、权限、使用方式、知识产权及安全保护等要求。提供方应确保所提供的数据准确有效、及时更新和安全可靠，并依据相关法律法规要求对数据进行脱敏后进行交换。

数据使用方需要在授权范围内获取和使用数据，并采取措施，确保交换数据不丢失、不泄露、不被未授权读取或扩大使用范围。服务提供方为数据提供方和数据使用方提供技术和服务支撑工作，如数据整理、数据脱敏、数据接口定制等。必要时，数据提供方可请具备相关安全测评资质的服务提供方对数据使用方的数据安全保护能力进行测评。

监管方依照国家法律法规和政策文件的授权，对政府与企业间的数据交换工作进行指导和安全监管。在责任主体间产生冲突时进行协调和仲裁。依法进行数据安全审查、安全检查和违法违规行为的处罚，组织对重大数据安全事件的调查和处置。

数据提供方应具备交易数据的知识产权，并保证数据准确有效、及时更新和安全可靠。数据提供方按照相关制度和交易规则，以及市场供求情况进行数据定价。数据提供方应根据国家相关保密法规要求以及个人隐私保护相关规定进行数据脱敏后进行交易。数据使用方需要在合法授权范围内使用数据，并采取措施，确保交易数据不丢失、不泄露、不被未授权读取或扩大使用范围。

平台管理方负责数据交易平台的运营、管理和维护工作，对落地的交易数据进行清洗、审核、编目、归集、存储、提供等工作，对交易双方的资质进行审核，制定数据交易规则、安全管理制度，对数据交易活动进行记录，可以有偿提供数据分析、数据关联整合等服务。

服务提供方为数据提供方、数据使用方及平台管理方提供技术和服务支撑工作，遵守并配合平台管理方的相关规定和工作。具备相关安全测评资质的服务提供方可为平台管理方提供数据安全保护能力测评服务。

监管方依照国家法律法规和政策文件的授权，对政府与企业间的数据交易活动进行指导和安全监管。在责任主体间产生冲突时进行协调和仲裁。依法进行数据安全审查、安全检查和违法违规行为的处罚，组织对重大数据安全事件的调查和处置。

国内的数据共享虽然取得了一定的成果，但是依旧存在许多问题需要解决。在国内数据的共享交换、交易流通过程中，存在以下问题：

一是法律法规不完善。数据共享过程中存在数据拥有者与管理者不同、数据所有权和使用权分离的情况，即数据会脱离数据提供方的控制而存在，从而会带来数据滥用、权属不明确、安全监管责任不清晰等法律制度的挑战。二是行业发展不规范。国内数据共享行业仍处于起步发展阶段，也缺少国家层面的标准规范，政府部门、企业、社会组织等开展数据共享的时候缺少相关文件指导，容易各自发展自成体系，同时数据共享行业缺乏监管，不利于行业的健康发展。三是数据共享不积极。和国外数据资源主要集中在企业手中不同，国内的数据资源80%集中在政府部门。由于认识不到数据共享开放的价值、缺乏开放数据的动力，各部门企业不愿意共享开放;由于缺乏相关的法规文件，担心出现问题后责任认定不清，各部门企业不敢共享开放;由于行业的技术比较落后，缺少相应的实践，各部门企业不会共享开放。

国外对数据开放共享安全

治理的经验借鉴

近些年来，欧盟、美国等国家纷纷出台数据保护立法，例如欧盟的《通用数据保护条例》、美国的《加州消费者隐私法案》、日本的《个人信息保护法》等等。综合看来，国外立法主要有如下特点：

法律对数据共享的管辖从“属地”扩展到“属人”。国外法律规定的管辖对象不仅包括在境内成立的机构，还包括一部分在境外成立的机构，只要其在提供产品或者服务的过程中（不论是否收费）处理了境内个体的个人数据;无论通信、记录或其他信息是否存储在境内，服务提供者均应当按照义务要求进行保存、备份、披露，只要上述数据为该服务提供者所拥有、监管或控制。国外法律对数据共享的管辖范围从“属地”扩展到“属人”既是对数据保护范围的扩大也是对数据主权的扩张。

明确了数据共享参与主体的权责。国外法律对数据共享的参与角色进行了明确的划分，同时对各参与角色的权力和责任作出说明，例如明确个人对其个人信息所有的权力，要求企业在内部建立完善的问责机制，确保其员工能够遵守有关保密的要求，不得对处理的数据进行二次分包等。國外法律明确数据共享参与主体的权责可以确定数据共享活动中各方的权力和责任，便于监管。

对个人信息有完善的保护。国外法律明确了个人对于其个人信息具有的权利，例如知情权、访问权、反对权、个人数据可携权、被遗忘权等权利，对数据控制者和处理者规定了其必须遵守的制度和履行的义务，甚至对教育等专项个人信息专门立法进行保护，成立相应的数据安全管理部门来开展个人信息保护工作，加大对个人信息保护的力度。国外针对公民个人权利和个人信息有明确的立法，对个人信息提出严格的保护要求，建立相应的机构，从各个方面加强个人信息保护。

对数据跨境传输提出明确的安全要求。国外法律规定服务提供者应当按照义务要求保存、备份、披露个人信息，只要涉及境内公民的个人信息为该服务提供者所拥有、监管或控制，不考虑服务提供者将信息存储在境内还是境外;公民个人数据不得转移至不能达到与本国同等保护水平的国家，并给出跨境数据传输的合法途径和要求，保障了数据跨境传输共享的安全。

对违法行为进行严厉处罚。国外法律尤其是欧盟的GDPR对数据违法行为作出严厉处罚，针对不同程度的违法行为分两档进行处罚。对没有实施充分的IT安全保障措施、没有提供全面的透明的隐私政策、没有签订书面的数据处理协议等违法行为，处1000万欧元或者上一年度全球营收的2%的罚金，两者取其高。国外法律对违法行为作出严厉处罚，有利于推动企业在进行数据相关活动过程中依法对数据进行充分的安全保障。