《数据安全法(草案)》视野下的公共数据治理
2021-01-20 16:31:16   来源:   评论:0 点击:

导读:基于《数据安全法(草案)》中“政务数据安全与开放”内容,并结合国内外公共数据治理相关政策,我国政府公共数据治理应继续加强顶层设计、提高专业化治理水平、创新数据产品。
来源: 信息安全与通信保密杂志社  原创 Cismag

引用本文:李顾元.《数据安全法(草案)》视野下的公共数据治理[J].信息安全与通信保密,2020(8):29-35.

摘 要

《中华人民共和国数据安全法(草案)》将“政务数据安全与开放”单独成章,在保障安全性的前提下从数据质量、采集、处理、存储、开放等方面对公共数据治理提出原则性要求。充分体现了国家对安全开放公共数据的重视与决心。从近两年国内外政府颁布的数据战略来看,各国对公共数据治理重视程度日益提高,呈现出制度化、标准化和专业化的治理趋势。基于《数据安全法(草案)》中“政务数据安全与开放”内容,并结合国内外公共数据治理相关政策,我国政府公共数据治理应继续加强顶层设计、提高专业化治理水平、创新数据产品。

关键词:公共数据治理;数字经济;数据要素;数据管理

内容目录

0 引 言

1 公共数据治理概念

2 公共数据治理的全球立法背景

2.1 国家数据战略中的公共数据治理

2.2 政府数字化进程中的公共数据治理

3 我国公共数据治理立法现状

3.1 国家层面公共数据治理

3.2 地方政府公共数据治理

4 对我国公共数据治理的启示

5 结 语

0 引 言

2020年7月3日,《中华人民共和国数据安全法(草案)》(以下简称“草案”)全文在中国人大网公开征求意见,草案第六章(政务数据安全与开放)中,第三十四条对政务数据质量提出科学性、准确性和时效性要求;第三十五条对政务数据的采集和使用作出合规性规定;第三十六条对建立政务数据安全管理制度和问责制作出强调;第三十七条对政务数据加工、存储等外包服务提出要制定严格的审批流程;第三十八和第三十九条提出政务数据开放的规范性要求;第四十条将本章条例的适用对象定为“具有公共事务管理职能的组织为履行公共事务管理职能开展数据活动”。本章前六条实际上对政务数据本身的质量以及政务数据开放的生命周期进行了原则性规定,体现出数据治理的部分要求。根据北京、上海、浙江等地公共数据管理相关政策,公共数据是指由行政机关、司法机关、法律法规授权的具有管理公共事务职能的组织以及公共企事业单位、群团组织等(公共管理和服务机构),在其履行职责、提供服务过程中产生或者获取的,具备公共属性和公共效益的数据。由此定义来看,本章最后一条实际上将政务数据的概念外延扩展到公共数据范围。

综合来看,草案对公共数据治理的立法方向进行了探索,有助于定义一组公共数据治理规则,以控制对公共数据的访问和共享,促进开放。但是草案对公共数据治理的规定仍然停留在原则性指导层面,缺乏可实际落地的具体化规定,体现了对公共数据管理的制度性要求,没有突出公共数据治理方面的联动性要求。随着近几年国内外政府开放数据战略进入深入实施阶段,关于公共数据治理的探讨也呈现出新的趋势。

1 公共数据治理概念

产业界对数据治理的定义体现了数据治理在不同管理维度的需求,如表1所示,国际标准化组织的IT服务管理与IT治理分技术委员会更多地从技术层面对数据治理进行定义,认为数据治理是IT治理的一部分;国际数据管理协会认为数据治理是数据管理的高层次执行;国际数据治理研究所和Gartner认为数据治理要实现的是支持决策功能;IBM认为数据治理是对数据全生命周期的管理;中国银行保险监督管理委员会认为数据治理更侧重于从组织管理层面进行治理,发挥数据价值;中国软件测评中心认为数据治理具有综合性、复杂性和长期性特点。

\

数据治理的学术概念最初来源于企业,是指企业对数据资产的治理。过去几年,数据在企业中逐渐变为重要的战略资源,可用于提高企业的销售和盈利能力。因此数据治理不仅包括对数据本身被动式的管理,也包括对利益相关主体主动式的管理,具备范围更广、体系更完善、效果更显著的特点。当数据治理概念用在政府部门时,治理意味着政府分权、社会多元参与和互动,政府数据治理就是以治理思维方式改进传统政府信息管理,是综合运用数据管理法律制度、人员组织、技术方法以及流程标准等手段,对政府结构化数据和非结构化数据的可用性、完整性、安全性等进行全面管理,以确保政府数据资产的保值增值,进而推动政府数据从公共资产转换为现实的经济社会价值。

因此,公共数据治理是多元化的,首先体现在治理主体的多元化,不仅涉及数据本身质量的管理,还包括利益相关者的管理;其次体现在治理内容的多元化,包括数据采集、处理、存储、开放、共享等全生命周期的管理;最后体现在治理价值的多元化,公共数据治理不仅可以助力政府公共部门发展电子政务,还可以实现经济社会价值,促进数字经济发展。

2 公共数据治理的全球立法背景

如今“数据即资产”的概念已为业界广泛认可,但是数据本身是社会关系互动下的产物,数据资产的处理可能会侵犯个人隐私、泄露商业秘密甚至是威胁国家安全。因此,相对于其他传统资产,包括政府公共部门在内的组织往往很难以相同的管理方式来管理和评估数据。良好的数据治理可以帮助政府公共部门实现更多的数据外部访问与内部共享,从而挖掘数据价值,实现数据驱动创新,赋能数字经济发展。

据世界经合组织调查研究,当前公共部门数据治理的分散性降低了数据在公共部门整合和凝聚力方面的价值,而公共政策往往忽略了数据治理的优势,因此将数据治理作为政策规划的子内容非常必要。近两年世界各国纷纷制定公共数据治理规划,以期将“数据驱动创新”付诸实践。

2.1 国家数据战略中的公共数据治理

2019年12月美国管理与预算办公室(OMB)发布《联邦数据战略》(Federal Data Strategy)(下称《战略》),提出数据战略的十年愿景,在保护安全性、隐私性和机密性的同时,释放美国联邦政府的全部潜力,将“数据战略资源化”定为核心目标。《战略》同时提出2020年20项行动计划,从公共部门内部行动、公共部门间协同行动和共享行动方案三个层次促进数据战略的落地。公共部门内部行动方面,《战略》指出各部门应将数据治理制度化,对数据进行成熟度评估,强化员工的数据技能。公共部门间协同行动方面,《战略》强调成立联邦首席数据官委员会,促进各部门之间建立数据共享协议,并加强公共部门与公众以及其他利益相关者的互动,改善数据的收集、使用和访问,提供新的技术支持方案。共享行动方案方面,《战略》提出建立联邦企业数据资源存储库,为政府公共部门和企业提供一个集政策、标准和工具于一体的数据资源访问平台,并创建联邦数据政策委员会解决跨部门的数据使用问题。

2020年2月,欧盟委员会发布《欧洲数据战略》(A European Strategy for Data),强调欧盟将针对数据访问和使用构建跨部门的治理框架,从而促进数据生态系统的发展;推动欧洲战略部门及公共利益领域的公共数据空间发展。为实现公共数据空间的数据驱动创新,将立足于现有的法律框架,选择合适的组织方式和数据治理架构,并在欧洲和成员国国家层面发布通用标准和互操作性的法律信息框架指南。

2.2 政府数字化进程中的公共数据治理

除美国、欧盟将公共数据治理纳入国家级数据战略之外,荷兰、爱尔兰等国也将公共数据治理内容纳入最新的政府数字化进程中,例如2019年4月,荷兰政府发布《政府数据议程 2019—2023 》(NL DIGITAAL Data Agenda Government 2019—2023),提出推进标准制定,改善公共部门数据治理,促进公共数据的发布和再利用,还强调了公共部门的组织文化和知识共享方面的转型变革。2018 年12月,爱尔兰政府发布《公共服务数据战略 2019—2023》(Public Service Data Strategy 2019—2023),强调有必要对公共部门数据计划采取统一的方法,并定义共同的原则、目标和行动,以支持公共部门的凝聚力。

在数据治理方面,提出:(1)通过问责制来有效地管理数据;(2)制定一套全政府的规则、标准、指南、工具、政策、程序、角色和职责来指导政府数据的全面管理;(3)成立一个数据治理委员会,以指导、监督和推动整个公共服务的数据治理。2019年8月,加拿大政府发布《联邦公共服务数据战略路线图》(A Data Strategy Roadmap for The Federal Public Service),从数据治理、组织文化、基础设施和数据资产化四个角度推进政府数字化进程,强调建立问责制,实施新的数据治理框架和标准。将技术问题作为政府数字化过程的核心,可能会导致政府公共部门将数字化建设工作重点放在技术部门,而忽视了对组织结构和组织文化的变革。结合不同国家的数据战略以及政府数字化进程来看,为解决数据自由流动与数据安全之间的矛盾,实现良好的数据治理,各国对于公共数据的重视程度继续提升,关注焦点也从“数字技术”向“数据资产”转移。

总的来说,全球的公共数据治理呈现出标准化、制度化和专业化三大趋势:标准化,即统一公共部门底层数据采集、存储、使用等环节的分级分类标准,把好数据质量关,解决数据互操作性问题,促进公共数据开放和共享;制度化,即建立起公共数据治理范式,加强数据成熟度和风险评估流程,为公共数据安全提供制度保障;专业化,即任命专人专职进行数据治理工作,而不是将数据治理工作集中在IT或ICT部门,并对组织员工进行数据治理专业知识培训,提高员工安全意识,加强组织内部的专业化分工。

3 我国公共数据治理立法现状

2020年7月,联合国发布《2020联合国电子政务调查报告》,我国电子政务发展指数取得历史新高,达到全球电子政务发展“非常高”的水平。其中在线服务指数上升为 0.9059,排名提升至全球第9位。这与我国不断深化“放管服”改革和大力推动全国一体化政务服务平台建设的决心与行动密不可分。但是公共部门内部尚未形成成熟的数据治理框架体系,难以汇集高质量数据,并通过开放、共享激发公共数据价值。

3.1 国家层面公共数据治理

2015年8月,国务院印发《促进大数据发展行动纲要》,从国家层面对大数据发展进行了顶层设计,提出加快政府数据开放共享,推动资源整合,提升治理能力等发展任务,将数据作为提高政府治理能力的基础,通过大力推动政府部门的数据共享、稳步推动公共数据资源开放释放数据潜能。2016年9月,为加快推动政务信息系统互联和公共数据共享,国务院印发《政务信息资源共享管理暂行办法》,提出了“以共享为原则、不共享为例外”等原则,对政务信息资源目录、国家数据共享交换平台体系构建以及信息共享工作的管理、协调、评价和监督等做出了硬性规定和要求。

2019年4月,国务院对《中华人民共和国政府信息公开条例》进行修订,新增规定“坚持以公开为常态、不公开为例外”原则,增加了政府公开信息的范围,并完善了依申请公开的程序。2020年4月,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,将数据明确列为一种新型生产要素,与土地、劳动力、资本和技术等传统要素并列,明确提出要“加快培育数据要素市场”,具体意见包括:(1)推进政府数据开放共享;(2)提升社会数据资源价值;(3)加强数据资源整合和安全保护。

由这四份文件可以看出,国家层面对公共数据共享与开放的重视程度和谨慎程度越来越高,从数据驱动政府治理到数据要素市场化管理,数据的资产属性也愈发明显。但是我国尚未发布国家层面的公共数据治理办法,公共数据治理的制度化建设相对偏弱。例如,2019年12月,国务院印发《国家政务信息化项目建设管理办法》,从信息化项目的规划和审批管理、建设和资金管理、监督管理三个环节对信息化项目建设流程进行规制,涉及安全治理部分的表述依旧是以“网络安全”“密码安全”“系统安全”“等级保护”“分级保护”等传统信息化安全的概念,并未纵深细化到公共数据安全治理部分。

3.2 地方政府公共数据治理

自《促进大数据发展行动纲要》发布以来,地方政府通过合并重组、加挂牌子等方式纷纷成立政府公共数据管理机构,其中一部分省(市、自治区)建立了公共数据开放平台,以平台为中心汇集公共数据并实现对外开放和对内共享成为地方政府迎接数字时代的一项重要治理创新。为解决数据孤岛和数据安全问题,各地方政府陆续出台相关文件。总的来说,我国各地在公共数据治理方面处于“先行先试”阶段,相对领先于国家层面在该领域的立法活动。

2016年起,多个省、市人民政府办公室发布政务数据管理办法,从职责分工、数据编目、数据采集、安全管理等方面做出原则性规定。2016年11月,贵州省发布《贵州省政务数据资源管理办法》,规定省大数据发展管理局负责制定贵州省政务数据资源目录编制工作指南。政务部门建立本地区、本部门政务数据资源目录管理制度,按照国家和省相关标准和规范 , 梳理本地区、本部门所掌握的数据资源。2017年3月,浙江省发布《浙江省公共数据和电子政务管理办法》,任命公共数据和电子政务主管部门负责编制全省公共数据资源目录,履行安全管理职责,并从规划和建设、管理和应用、安全和保障等方面做出原则性规定。

2018 年12月,广东省发布《广东省政务数据资源共享管理办法(试行)》,明确政务部门为本部门负责政务数据资源管理的机构,承担本部门政务数据资源编目、采集、共享、应用和安全等相关工作。安全管理由政务数据主管部门委托第三方机构负责。2019 年 5 月,北京市出台《北京市公共数据管理办法(征求意见稿)》,提出行政机关和公共服务企业的主要负责人应当建立健全本单位公共数据管理工作机制。2019年8月,上海市出台《上海市公共数据开放暂行办法》, 任命市大数据中心负责公共数据统一开放平台(以下简称“开放平台”)的建设、运行和维护, 并制定相关技术标准,市人民政府建立健全公共数据开放工作的协调机制,协调解决公共数据开放的重大事项,并成立专家委员会解决公共数据开放的疑难问题。

由以上文件可知,省、市一级政府公共数据治理工作由多部门联合完成,而且不同省市的牵头部门不大一样,大部分集中在原先的信息化部门。数据治理工作重点放在数据目录编制、公共数据管理以及监督问责方面。随着数据开放平台的建成,平台在数据治理中的角色越来越重要。

4 对我国公共数据治理的启示

从国内外公共数据治理趋势来看,公共数据从促进电子政务建设到促进数字经济发展,其战略角色地位日益提升,面临的安全风险也日益复杂。尽管不同国家公共数据治理路径各有差异,但是总体朝着公共数据治理的制度化、标准化和专业化方向迈进,强调建立统一的数据治理框架,加强利益相关者的联动效应,并组建数据治理委员会统筹公共数据治理工作, 以实现数据资产化治理。

我国将数据纳为新生产要素,符合全球数据资产化治理的理念。但是从《数据安全法(草案)》来看,我国数据治理思路仍然是以自上而下的制度化建设为主,缺乏自下而上的多方利益主体的互动性体现。并且侧重于对数据本身进行管理。从地方公共数据管理办法来看,各省市数据归集工作由数据开放平台负责,数据采集由政务部门自己负责,整体公共数据管理工作由信息化部门牵头。各部门之间依据统一的标准(公共数据安全立法、公共数据分级分类标准等)进行上传下达式的沟通,数据治理体制机制较为分散。笔者认为,要充分激发数据要素市场活力,实现数据驱动创新,我国政府应该从以下几个方面加强公共数据治理:

(1)继续加强公共数据治理顶层设计和分级分类管理标准的制定。我国数据治理上位法仍不完善,各级地方政府的公共数据治理目前尚处于“先行先试”阶段,大多数地方政府出台的公共数据管理办法侧重于厘清公共数据目录和数据安全管理、数据分级分类等数据管理方面的标准制定,缺乏对不同公共部门之间的协调和数据共享机制的设计,导致业务部门与数据中心在数据采集与开放共享标准方面产生理解偏差,不同公共部门之间的数字鸿沟难以消除。国家层面应继续加强公共数据治理的顶层设计,内容覆盖数据安全、分级分类、风险预警与防范、管理机制等环节,将公共数据治理制度化、标准化。

(2)提高公共数据专业化治理水平。政务数据产生于具体的业务场景,基于不同的业务场景,数据治理活动各有差异。数据治理涉及技术、管理、伦理、法律等综合学科的应用, 因此建议国家层面成立专门的数据治理委员会, 地方政府以数据开放平台为中心任命首席数据治理官,以及数据开放联络员等专业的数据治理机构和人员。制定公共数据成熟度评估模型和公共数据风险识别和预警等系统,着手解决公共部门内部信息孤岛问题,建立起较为成熟的数据资产治理体制机制。同时加强数据安全组织文化建设,提高组织整体的数据素养。

(3)从数据资产角度促进公共数据产品开发。数据治理区别于数据管理的重要一点在于, 数据管理侧重于对数据内容本身进行管理,而数据治理侧重于对利益相关主体的决策权和角色进行分配。数据治理的目的在于发挥数据的社会效益和经济效益,助力数字经济的发展。政府拥有大量优质的数据资源,作为国家数字经济发展的重要战略性资源,必须通过数据治理充分发挥数据驱动创新的功能。国家层面应尽快建立统一的开放数据平台,并基于平台数据联合企业设计数据产品,地方政府可以基于已建设的数据中心开展黑客马拉松等活动,吸引企业和学者参与到改善城市公共服务进程中来,同时也扩大社会影响力,催化数据驱动创新。

5 结 语

从“数据—信息—知识—决策支持”的递进关系来看,数据管理直接决定信息管理的效率,而要充分发挥数据的决策支持功能,不仅需要自上而下的数据制度化管理,而且需要自下而上的数据联动治理。数据资产化对数据治理提出了新的要求,《数据安全法(草案)》更多是从政务数据管理的角度对具有公共事务管理职能的组织提出原则性要求,而要充分实现数据支持决策和驱动创新的过程,需要建立长效的上下联动治理机制。

作者简介 >>>

李顾元(1993—),女,硕士,主要研究方向为公共数据开放与治理。

选自《信息安全与通信保密》2020年第八期(为便于排版,已省去原文参考文献)

相关热词搜索:

上一篇:中美网络安全审查立法比较评析
下一篇:最后一页

分享到: 收藏