政務數據安全的法律制度保障

2023-04-20 16:31蘇宇

蘇州大學學報(法學版) 2023年4期

蘇宇

政務數據安全是數據安全中最重要的方面之一。政務數據體量巨大,不僅匯集了大量公民個人信息,更包含著眾多國家秘密和不宜對外公開的內部工作信息,一旦發生數據安全風險,將使國家利益及人民群眾的合法權益受到嚴重威脅。政務數據的滅失、誤讀寫或被篡改等情形既可能誤導或延宕重大決策,也可能危及公民一系列權益的認定和保障。在智慧城市日益依賴于政務數據的有效性和準確性之前提下,政務數據一旦遭遇惡意篡改、錯誤刪除或介質損毀等風險,整個城市范圍內某一方面的基礎性公共服務供給可能面臨巨大的沖擊。在數字政府建設進程中,這一問題日益受到重視?！稊祿踩ā穼Ｕ乱幎ā罢諗祿踩c開放”;《國務院關于加強數字政府建設的指導意見》(國發〔2022〕14號,以下簡稱《指導意見》)進一步提出“構建數字政府全方位安全保障體系”,其中明確要求“構建全方位、多層級、一體化安全防護體系”,“確保政務系統和數據安全管理邊界清晰、職責明確、責任落實”。各地亦紛紛出臺了與政務數據安全有關的法律規范或政策文件,一系列標準已得到制定或在抓緊制定之中,各方面的制度建設可謂已在“緊鑼密鼓”地進行。

盡管政務數據安全問題已經在法律和政策層面備受關注,政務數據安全的制度建設仍可謂任重道遠:一者,政務數據安全面臨的威脅尚未得到充分認識,不少學者和實務工作者還是在網絡安全的范圍內理解數據安全問題,尋找數據安全保障思路,對于數據推理、云原生等方面的特殊威脅缺乏認知;二者,政務數據安全保障與政務云平臺建設、政務數據共享開放等工作既需要并行不悖,又需要有效控制安全成本,確保安全方案的可行性,此方面的制度建設仍面臨不少難題;三者,政務數據安全的法律、政策、標準體系誠可謂方興未艾,如何能使之協調一致,形成機理融貫而運行流暢的制度實踐,尚大有文章可作。因此,當務之急是清楚認識政務數據安全面臨的主要威脅,系統檢視政務數據安全保障的技術基礎和制度需求,并對比現有的法律規范、技術標準、政策文件和內部管理制度,努力使此四者形成符合數據安全治理規律的制度保障體系。有力應對政務數據安全的種種威脅,確保公共利益和公民合法權益不因數據安全問題遭遇重大風險,為建設數字政府,形成數字治理新格局奠定基礎。

一、政務數據安全面臨的主要風險

伴隨數字政府建設的不斷推進,政務數據安全面臨的風險也日益引人注目。對于“政務數據”的具體內涵和外延,目前尚無中央層面的權威、統一的界定,而地方立法實踐中已出現不同表述,例如《福建省政務數據管理辦法》第2條第2款規定:“本辦法所稱政務數據是指國家機關、事業單位、社會團體或者其他依法經授權、受委托的具有公共管理職能的組織和公共服務企業(以下統稱數據生產應用單位)在履行職責過程中采集和獲取的或者通過特許經營、購買服務等方式開展信息化建設和應用所產生的數據?！薄栋不帐≌諗祿Y源管理辦法》第2條第2款規定:“本辦法所稱政務數據,是指政府部門及法律、法規授權具有行政職能的組織(以下稱政務部門)在履行職責過程中制作或者獲取的,以電子或者非電子形式記錄、保存的文字、數字、圖表、圖像、音頻、視頻等,包括政務部門直接或者通過第三方依法采集的、依法授權管理的和因履行職責需要依托政務信息系統形成的數據等?！笨v觀既有研究與立法實踐,不同的定義方式基本上都包含共通的內涵和外延:政務數據是指政府部門或者具有公共管理職能的組織在履行職責過程中通過各種方式獲取或生成的數據,主要的爭議范圍在公共服務企業在履行職責過程中獲取或生成的數據是否屬于政務數據。目前,由于這一爭議范圍已經日益明顯地為“公共數據”所包含,將政務數據的外延限制于黨政機關和授權性行政主體所處理的有關數據較為適宜。

政務數據主體構成復雜,政務數據安全所面臨的風險也非常廣泛,潛在威脅眾多,其主要風險來源可以概括為以下四個方面:首先,政務數據安全最主要的風險源是網絡攻擊,這也是數據安全與網絡安全的視野交匯點;其次,政務數據有可能因管理方面的缺陷而在線下被竊取或毀壞,如被內部工作人員故意銷毀、篡改,或因管理不善而丟失或誤遭刪改、銷毀,或被攻擊者直接從線下竊取;再次,政務數據中的敏感信息有可能在合法的數據利用活動中經由數據推理而被破解;最后,政務數據還可能因為災害或事故而遭到毀損。這些威脅是政務數據安全保障所需要防御和控制的風險。

(一)網絡攻擊

網絡安全是數據安全的重要前提,網絡攻擊也是數據安全的最主要隱患。奇安信2022年發布的《2022年上半年網絡安全應急響應分析報告》顯示,政企機構重大數據安全事件的起因中,外部(網絡)攻擊占據第一位(40.2%),排第二、三位的分別是內部人員違規操作(14.0%)和合作伙伴泄漏(13.1%)。(1)奇安信企業網站:https://www.qianxin.com/threat/reportdetail?report_id=111,2022年11月2日訪問。APT攻擊(高級可持續威脅攻擊)、盜用特權賬戶的身份憑證、遠程植入木馬、傳播計算機病毒、SQL注入等方式始終威脅著與網絡有聯系的數據的安全,安全漏洞難以杜絕,惡意程序、釣魚郵件等依舊層出不窮。值得注意的是,信息技術蓬勃發展的同時也帶來了更多的安全隱患,這些隱患不僅來源于攻擊方式的持續更新和演化,也有相當一部分來源于對開源代碼的依賴。當前許多應用程序體量龐大,需要大量借助第三方開源組件完成開發,軟件供應鏈越來越復雜,開源軟件迭代迅速,如果代碼審計等工作的進度跟不上信息技術應用的發展,此方面的嚴重威脅就將持續存在。大量政務單位不一定有能力甄別和修復開源代碼中的漏洞、后門等,可能導致類似于Apache log4j漏洞之類的風險繼續發生。

(二)管理缺陷

政務數據管理上的缺陷可能導致多方面的威脅,既可能導致外部人員線下竊取數據,也可能導致內部人員出于故意或過失違法違規篡改、刪除、銷毀、傳輸數據,還可能導致數據介質的意外損毀及內容的滅失。例如,管理缺陷的常見情形之一,就是業務應用系統因存在漏洞或業務邏輯權限安排不當,導致非授權用戶越權訪問或獲取數據操作權限。(2)參見陳永剛、趙增振、陳嵐:《政務數據安全合規評估要點及實踐》,載《信息安全研究》2022年第11期,第1053頁。這些管理缺陷問題在政務數據共享開放和政務云建設的條件下還可能被放大。由于各部門系統網絡安全等級保護標準不統一、防護等級不相同的現狀普遍存在,(3)參見袁剛等:《政務數據資源整合共享:需求、困境與關鍵進路》,載《電子政務》第10期,第112頁。在政務數據資源整合共享的背景下,尤其是在政務云平臺環境下,局部的防御短板容易被攻擊者用為跳板發起攻擊,影響到全局的網絡和數據安全。數據跨部門(安全域)留存而安全策略不一致、政務數據利用的不當授權或第三方濫用、缺乏有效監管跟蹤等因素,都有可能導致數據安全風險。(4)參見羅海寧:《簡析政務信息共享數據安全體系要點》,載《保密科學技術》2020年第4期,第8頁。

管理缺陷可能導致的安全風險是多方面的,因此這一因素在數據安全評估中占有較為重要的地位。在浙江省大數據發展管理局提出、歸口并組織實施的《公共數據安全體系評估規范》(DB33/T 2488-2022)中,制度規范(含9項管理制度)和運行管理子體系(含數據安全團隊和7項機制)這兩個評估項占據一級評估指標項的三分之二;《信息安全技術數據安全能力成熟度模型》(GB/T 37988-2019,即著名的“DSMM”)中幾乎每一環節的數據安全能力都會考慮“組織建設”“制度流程”“技術工具”“人員能力”等因素,其中管理性的因素占比相當顯著,任何一個環節的管理缺陷都可能是政務數據安全的重大隱患。

(三)數據推理

數據推理是數據價值利用的重要方式,但惡意推理對數據安全的威脅也不可忽視。公開數據與非公開數據、合法接觸數據與無權限接觸數據之間如果存在某種關聯性,推理者就有可能在合法使用的前提下推測出本無接觸權限的敏感信息,特別是推理者對多源異構數據的模式匹配分析能力超出數據安全治理中已有映射關系的保護能力時,更可能會產生敏感信息泄露的后果。數據推理可以基于數據之間的各種相關關系或因果關系,在不發動任何非法入侵或攻擊的前提下,發現或估測數據中難以被直接發現或直觀認知的隱含信息或被抑制信息。受威脅的目標信息不僅僅是敏感的原始數據本身,也有可能是相關數據的某些關鍵數學特征(如數據流形維度、概率分布、稀疏度等)及其關鍵變化,即便原始數據不泄露,其背后所隱含的秘密(如軍事行動)也可能被發現。(5)蘇宇:《數據推理的法律規制》,載《浙江學刊》2022年第4期,第49頁。不僅如此,在人工智能時代,數據推理還會影響算法安全。因為“深度學習算法本質上是在所有概率測度構成的空間內進行優化,算法既記住了訓練樣本,又學習了內在知識”(6)顧險峰教授對這一觀點也曾在不同場合進行過專門的解釋。雷娜、顧險峰:《最優傳輸理論與計算》,高等教育出版社2021年版,第393頁。,既然算法模型中已經融合了訓練樣本的信息,攻擊者就可以通過復雜的推理方法(如在訓練影子模型的基礎上進行推理)攻擊人工智能系統以竊取其訓練數據,即發動所謂“成員推理攻擊”(membership inference attacks),對用戶隱私和數據安全造成顯著威脅。(7)參見王璐璐等:《機器學習訓練數據集的成員推理綜述》,載《網絡空間安全》2019年第10期,第2頁。一個最著名的實例是大型人工智能算法模型GPT-2因為過擬合(overfitting)而被攻擊者反推其中用于訓練的個人數據。(8)See Nicholas Carlini, Florian Tramèr, et, al. Extracting Training Data from Large Language Models, 30th USENIX Security Symposium (2021), p. 2633.

近30年來,數據推理安全研究已經從統計數據庫推理控制擴展到數據倉庫推理控制,細化了推理控制的顆粒度,強化了推理控制的動態性。(9)參見黃曉森、彭利寧、陳啟買:《基于數據立方體的動態推理控制方法》,載《計算機工程》2011年第17期,第32頁。然而,對于多源異構數據的推理控制,始終沒有一勞永逸的解決方案。這一隱患在政務云平臺中還會被進一步放大,因為政務云往往需要面向各個政府部門并支撐其服務公眾,呈現“點多、線長、面廣”的特征,互聯網暴露面大,更兼不同政務部門的政務數據公開口徑不同,數據集聚、關聯性挖掘分析風險大增,數據推理的威脅因此也將尤為顯著。

(四)災害事故

災害、事故對網絡安全和數據安全都構成了威脅,受災害、事故影響的網絡可以被重建和恢復,但在災害、事故中滅失或受損的數據如無異地容災備份等保障,有可能遭受永久性的破壞。由于政務數據往往對智慧城市等基礎性應用形成重要支撐,災害、事故對數據的沖擊有可能帶來更為深遠的后果。通常,數據存儲的設備和場所都需要有一定的容災抗毀能力,但一旦容災抗毀能力由于人為原因未能實際體現,或災害、事故對相關場所和設備的沖擊超出了容災抗毀能力邊界,數據安全事件就依然有可能發生。不僅如此,由于成本限制,容災備份實際上也很難完全消除數據滅失的不良后果,因為數據恢復點目標(Recovery Point Objective,簡寫為RPO)和恢復時間目標(Recovery Time Objective,簡寫為RTO)越接近于零,需要的成本越是高昂。即便理論上可以實現非常小的RPO和RTO,許多數據的容災備份工作到底實際成效如何,還有待實踐檢驗,不能假定所有政務數據都已實際上充分實現了較高災難恢復能力等級的異地容災備份。質言之,由災害事故所導致的數據安全風險依然是制度建設需要考慮的因素。

整體上,政務數據安全需要考慮的風險要素較為復雜,制度建設的需求亦十分精細,外部技術條件的演化發展又較為迅速,這導致政務數據安全的制度保障難以一蹴而就,必然需要持續的、漸進性的制度建設與完善過程。我們需要立足于我國政務數據安全保障的現有規范依據與制度基礎,充分考慮政務數據安全保障的目標約束和可用技術條件,以現實可行的方式推動政務數據安全保障制度的體系化完善。

二、政務數據安全保障的規范依據與制度框架

隨著各類數據安全風險日益凸顯,我國亦在日益重視政務數據安全的保障,當前我國已在《網絡安全法》和《數據安全法》的基礎上,逐步建立了政務數據安全保障的法律規范,各部門、各地方亦以此為依據,陸續制定了一系列相關政策文件。與此同時,政務數據安全的相關技術標準也得到了迅速發展,為政務數據安全保障提供了“軟法”性質的規范依據。(10)參見羅豪才、宋功德:《軟法亦法》,法律出版社2009年版,第2頁。政務數據安全保障的相關法律規范、標準體系和政策文件在一定范圍內轉化為了政府內部的具體管理制度,并由此形成了內容豐富的制度框架。迄今為止,政務數據安全保障的相關制度已經在防范政務數據安全風險方面發揮了不可或缺的基礎性作用,成了相應管理措施、技術標準及處置方案發揮作用的基石。盡管相關制度仍有若干未盡清晰、完備之處,但整體上已可謂輪廓初具、綱舉目張。

(一)政務數據安全保障的規范依據

迄今為止,我國在政務數據安全保障方面的立法已規模初具,在《數據安全法》《網絡安全法》《個人信息保護法》《保守國家秘密法》《密碼法》等法律的基礎上,一系列與政務數據安全密切相關的法規、規章及規范性文件陸續得以制定,為政務數據安全的具體管理制度和保障措施提供了重要法律規范依據,其中又以《數據安全法》《網絡安全法》及其配套立法最為關鍵?！稊祿踩ā访鞔_了相關主體的政務數據安全保障義務,為政務數據安全保障的下位立法及相關管理制度的建設提供了最為關鍵且直接的規范支持?！稊祿踩ā返?9條規定:“國家機關應當依照法律、行政法規的規定,建立健全數據安全管理制度,落實數據安全保護責任,保障政務數據安全?！钡?0條又規定了電子政務建設中受托方的數據安全保障義務。在這兩條規定之外,《數據安全法》第三章規定的各項數據安全制度也適用于政務數據安全保障事宜?！毒W絡安全法》主要是通過有關網絡安全等級保護制度和關鍵信息基礎設施保護體系的規定為政務數據安全提供基礎性的保障。此外,《個人信息保護法》中有關個人信息處理者采取安全保護措施及制定并組織實施個人信息安全事件應急預案的義務等規定,《密碼法》中有關密碼分類管理、商用密碼標準體系建設以及檢測、認證、評估等要求對于政府數據安全保障亦必不可少。

在政務數據安全保障的規范依據中,相關技術標準作為“軟法”性質的依據,其重要性日益顯著。目前,與政務數據安全有關的技術標準已相當豐富,基本上均為推薦性標準,已經形成了多層次的技術標準體系。(1)國家標準,其中又包括兩方面的內容,一是不專門針對政務數據安全但適用于政務數據安全保障的技術標準,如著名的《信息安全技術數據安全能力成熟度模型》(GB/T 37988-2019,業內習慣以其英文縮寫簡稱“DSMM”)、《信息安全技術大數據安全管理指南》(GB/T 37973-2019)等;二是專門適用于政務數據安全的技術標準,如《信息安全技術政務信息共享數據安全技術要求》(GB/T 39477-2020)。(2)行業標準,這一層級的標準目前尚罕有專門針對政務數據安全保障的標準,但不少技術標準由于關系數據安全保障的底層技術或與政務數據安全密切相關的應用領域,對于政務數據安全保障亦有重要意義,如中國通信標準化協會歸口制定的《面向互聯網的數據安全能力技術框架》(YD/T 3644-2020)、民政部歸口制定的《居民家庭經濟狀況核對數據安全管理要求》(MZ/T 165-2020)等。(3)地方標準,這一層級的標準中主要值得關注的就是大量專門針對當地政務數據或公共數據安全保障的具體標準,如深圳市市場監督管理局歸口制定的《公共數據安全要求》(DB4403/T 271-2022)、泰州市市場監督管理局歸口制定的《政務數據安全分類分級指南》(DB3212/T 1116-2022)、北京市經濟和信息化局歸口制定的《政務大數據安全技術框架》(DB11/T 2049-2022)、臺州市市場監督管理局歸口制定的《公共數據安全可信保障指南》(DB3310/T 90-2022)等。目前,多層次的標準體系正在逐步擴展和涵蓋政務數據安全保障的各個方面,并在前述法律規范依據的范圍內具體指引著數據安全保障工作的進行,許多在法律規范中表述較為抽象的制度或機制,如數據分類分級管理、數據加密、隱私計算等,在相關技術標準中已經得到了具體的外延式展開,政務數據安全保障的顆粒度由此得以充分細化。

在前述法律規定和技術標準的基礎上,各地方、各部門在公共數據管理、政務數據資源應用、數據共享與開放等相關配套立法中制定了更豐富的規則,為政務數據安全保障提供了更精細和具體的管理制度依據。例如,《廣東省公共數據管理辦法》(2021)第45條規定的公共數據共享數據庫加密雙備份要求;《浙江省公共數據條例》(2022)第39條規定的設置數據安全管理崗位及管理崗位責任制;《湖北省政務數據資源應用與管理辦法》(2021)第32條規定的日志留存和數據溯源等安全防護措施等。部分地方政府規章還注意到了政務數據安全保障必須關注的某些關鍵方面,如《山西省政務數據管理與應用辦法》(2020)第22條第2款規定:“政務云服務提供方應當確保政務云數據安全?！鄙鲜鲆巹t為政務數據安全保障提供了進一步的規范依據,政務數據安全保障的制度框架亦由此逐漸成型。

(二)政務數據安全保障的制度框架

制度是人設計出來的,用以型塑人們相互交往的所有約束,通過提供規則以減少不確定性,界定并限制了人們的選擇集合。(11)參見[美]道德拉斯·諾思:《制度、制度變遷與經濟績效》,杭行譯,格致出版社、上海三聯書店、上海人民出版社2014年版,第4頁。政務數據安全需要成體系的制度保障,相關制度既包括法律制度,也包括符合法律宗旨、在法律制度范圍內形成的一系列政策性制度和帶有規范性內涵的技術標準,還包括各單位基于法律制度、政策文件和技術標準形成的內部管理制度。與單純的規范不同,制度呈現為一個正式約束與非正式約束的綜合體,(12)參見[美]道德拉斯·諾思:《制度、制度變遷與經濟績效》,杭行譯,格致出版社、上海三聯書店、上海人民出版社2014年版,第81頁。這些約束包括嵌套在科層結構中的各種規則。(13)參見[美]道德拉斯·諾思:《制度、制度變遷與經濟績效》,杭行譯,格致出版社、上海三聯書店、上海人民出版社2014年版,第98頁。這一綜合體所包含的各種約束有助于降低不確定性,在實踐中表現為由旨在簡化處理過程的一系列規則和程序構成一定形態的制度框架,通過結構化的互動限制行為人的選擇集合。(14)參見[美]道德拉斯·諾思:《制度、制度變遷與經濟績效》,杭行譯,格致出版社、上海三聯書店、上海人民出版社2014年版,第29-30頁。相對于紙面上的規范依據,制度框架更加關注不同層面的規則和程序提供了何種約束機制或選擇集合。目前,為政務數據安全保障提供規則和程序的法律規范、重要政策文件、已被實踐應用的技術標準以及相應的內部規章制度等,已經從不同層面共同構筑了我國政務數據安全保障的制度框架。以《數據安全法》和《網絡安全法》為主的系列立法推動了政務數據安全保障制度框架的基本建立?！毒W絡安全法》為政務數據安全保障的制度框架奠定了最初的基礎,針對各種各樣的網絡攻擊,網絡安全實踐早已發展出了豐富的防御和保護機制,形成了網絡安全等級保護(目前的“等保2.0”)為基礎的網絡安全制度框架。網絡安全的制度框架當然也包含對數據安全的保護,但對于流動性數據的利用安全而言,“傳統信息安全范式和網絡安全范式下靜態的安全邊界防護方法已經難以滿足安全需求”,需要在制度層面迎接數據安全范式革新,“核心是要管控好數據大規模流動、聚合和分析所致風險即大數據安全風險”。(15)參見劉金瑞:《數據安全范式革新及其立法展開》,載《環球法律評論》2021年第1期,第10-11頁。在《數據安全法》及相關配套立法、標準、政策等積極推動安全范式革新的基礎上,政務數據安全保障的制度框架正在日漸成型,進一步從組織、對象、技術、流程、責任配置等不同層面為政務數據的安全提供了全方位的保障。

縱觀政務數據安全保障的既有法律實踐,這一制度框架中包含的主要內容可分別從組織層面、對象層面、技術層面、流程層面加以概括。(1)組織層面,實行安全保護責任制度和安全管理責任人制度,前者確定安全保護責任(職責)的整體配置,通過分解數據安全保護目標而形成明確、具體的崗位職責,多數情況下將政務數據安全保障責任與數據處理者角色結合,實行收集者、使用者、運行者等數據處理角色與責任承擔者的統一;(16)這方面比較完整的一個表述,可參見《安徽省政務數據資源管理辦法》(2020)第38條第1款的規定:“數據提供部門應當按照誰主管、誰負責,誰提供、誰負責的原則,負責本部門數據采集、歸集、存儲、提供、共享、應用和開放等環節的安全管理?！钡?款規定:“數據使用部門按照誰經手、誰負責,誰使用、誰負責,誰管理、誰負責的原則,負責共享數據使用全過程安全?！焙笳叽_定或設置政務數據安全的專門負責人,明確安全管理責任的主要承擔者。(2)對象層面,實行政務數據分類分級保護(或稱“分類分級管理”)制度,按照有關法律規范(如《山西省政務數據安全管理辦法》第9條)的要求,在政務數據全生命周期采取差異化管理措施,對核心數據和重要數據提升保護等級和力度。(3)技術層面,實行基于一系列技術性防護措施的安全防護制度,要求采取身份認證、訪問控制、數據加密、數據脫敏、數據溯源、數據備份、隱私計算等多種技術措施;利用互聯網等信息網絡開展政務數據處理活動,還應當落實網絡安全等級保護制度,其中身份認證、訪問控制等部分措施與數據安全管理制度有交集,一定條件下可以合并處理。(4)流程層面,將數據安全保護義務合理融入數據處理和安全保障的工作流程中,并擇機進行數據安全評估、審查、審計、攻防演練等活動。部分流程在地方立法中已經被明確為一項制度,如風險評估制度、數據銷毀制度等。上述制度框架在數據安全保障實踐中正得到不斷細化和完善,成為政務數據安全的重要基石。

迄今為止,政務數據安全保障的制度框架已可謂規模初具,但相關制度的運行仍不免面臨一系列挑戰。在最理想化的情境中,我們當然可以通過不計代價的嚴防死守應對挑戰,杜絕風險,問題是政務數據安全保障的制度建設與運行幾乎不可能在靜態、全能和零成本的理想化情境中展開,而必須面對現實中存在的眾多局限性和不確定性。社會生活、信息技術和數據處理活動的發展變化速度之快,使得法律不可能對數據安全制度作出靜態的規定,數據安全立法賦予數據處理者的數據安全保護義務必須是靈活和可延展的,能夠有效應對不斷變化的風險形勢、應用場景和約束條件。(17)參見王玎:《論數據處理者的數據安全保護義務》,載《當代法學》2023年第2期,第44頁。因此,政務數據安全的制度保障必須能夠以有效應對眾多現實約束條件為前提,充分考慮多種因素對制度實踐的影響,追求面向不確定性條件作出最優風險決策的制度化保障能力。

三、政務數據安全保障制度建設的制約因素

政務數據安全的制度保障需要進一步建設與完善,但制度建設的路徑和具體的機制設計不能從理想的數據安全模型中直接推導出來,必須充分考慮一系列現實因素的制約。這些制約因素決定了政務數據安全保障難以絕對實現“零風險”的理想狀態,在實踐中往往需要在一定水平的約束條件下作出理性的決策,并追尋最優的綜合價值平衡,這一目標也需要被有效整合到政務數據安全的制度保障體系之中。實踐中,政務數據安全保障的主要制約因素可以被歸結為以下四種:安全成本、技術能力、利用需求及管理水平,每一種制約因素都是機制設計語境中的約束條件,都可能制約著政務數據安全目標的充分實現,需要在制度建設與完善的過程中予以恰如其分的考量。

(一)安全成本

安全成本是政務數據安全保障工作中必須充分考慮的基礎性約束條件。政務數據安全保障需要在網絡安全成本和保密成本中額外增加數據安全成本,這種成本主要包含以下幾方面:一是大體量數據安全共享、開放乃至開發利用過程中的數據處理成本,根據具體場景需求,相關成本可存在較大差異,如果需要整體上實現隱私計算,成本相對較高;二是大體量數據的安全存儲、傳輸、備份和銷毀成本;三是常規數據安全工具的配置與維護,需要實現數據溯源、日志審計等功能;四是數據推理風險控制和數據庫相關數據安全工具的配置與維護;五是密碼硬件加速等確保數據安全條件下數據處理效率的額外開銷。(18)密碼硬件加速甚至是部分數據安全企業的核心競爭力所在,“不但保障數據全生命周期的高安全性,而且有效解決了數據安全的效率瓶頸問題”,參見向炎濤:《十六部門力促數據安全產業高質量發展上市公司積極響應》,載《證券日報》2023年1月17日,第B2版。安全成本因素中還需要特別考慮人力資源的因素,例如配備數據安全管理方面的專門工作人員,也是一筆成本;通過現有工作人員兼任的方式或許能降低成本,但若整體上的工作量持續溢出,也還是需要通過增加工作崗位和財政開支解決。這些成本可以部分地整合于政務數據共享、開放、開發利用等成本中,如果一地的地方財政開支較為緊張,又沒有基于政務數據開放和開發利用所帶來的直接或間接財稅收入,政務數據安全保障成本的約束效果就會較為突出。

安全成本對制度完善的影響集中體現在對安全目標和安全保障職責的設置方面,越強的安全成本約束意味著越有合理控制安全目標和安全保障職責的必要性。這不僅意味著對安全保障職責的設定和安全防護制度的具體要求需要考慮各類單位的負擔能力,也意味著在大部分情況下“唯結果論”形式的無過錯責任并不可取,需要綜合考量負有安全管理和保障職責的有關主體采取各種安全措施的期待可能性,采取過錯責任的歸責原則。

(二)技術能力

政務數據安全保障需要較強的技術能力。例如,根據既有研究,政務(大)數據安全防護能力在宏觀層面包含網絡安全、平臺安全和應用安全3個核心要素;而在微觀層面,各核心要素背后又分別涉及多項具體的能力指標。(19)參見孫軒、王煥驍:《政務大數據安全防護能力建設:基于技術和管理視角的探討》,載《計算機科學》2022年第4期,第70頁。這些能力指標并非所有系統都能具備,如平臺故障屏蔽指標“關注于系統的底層穩健性,主要考查相關云計算平臺的虛擬化功能和故障時期的資源調配能力,以及是否擁有足夠資源以滿足數據容災和虛擬機漂移等技術應用需要”,(20)孫軒、王煥驍:《政務大數據安全防護能力建設:基于技術和管理視角的探討》,載《計算機科學》2022年第4期,第70頁。此種技術能力對相關軟硬件配置不足的基層單位無疑是一項考驗。即便不論系統底層因素,聚焦于數據層面的安全,技術能力上的挑戰也同樣突出。國際知名權威機構高德納公司(Gartner)提出了DCAP(Data Centric Audit and Protection)理念,即以數據為中心的審計和保護,其字面含義是要求安全和風險管理領導者必須使用以數據為中心的審計和保護產品,具體包括數據分類和發現、數據安全策略管理、用戶權限和數據訪問活動的檢測、審計和報告、行為分析告警和阻斷等,(21)參見羅海寧:《簡析政務信息共享數據安全體系要點》,載《保密科學技術》2020年第4期,第10頁。此種理念已在我國數據安全技術標準體系中得到體現。對于DSMM等較為完備的代表性數據安全技術標準而言,技術能力方面的要求并不簡單。DSMM將數據安全能力成熟度分為5級,等級3對于許多單位而言尚可實現,等級4“量化控制”中的許多技術對于資金或技術條件不足的單位即有一定實現難度,如數據分析安全(9.2.2.4)等級4要求中的數據安全分析算法設計、數據分析過程安全風險監控系統、基于機器學習的敏感數據自動識別等要求,部分單位自身可能缺乏技術基礎和專業人才加以落實;如果將相應服務外包,則又會觸發額外的安全成本和管理水平約束。實踐中,一些地方政府可以實現的API審計系統、數據水印溯源系統、大數據湖倉/中臺等,(22)參見劉小芳:《聚焦數據安全建設,泰州市為政務數據加把“安全鎖”》,載《信息安全》2022年第12期,第124-125頁?？赡芟鄬τ诹硪恍┑胤秸畼嫵娠@著負擔與挑戰,即便能夠通過外包服務解決成本限制,有關單位的工作人員自身也需要能夠充分理解相關的技術問題和安全要點。

不僅如此,技術能力方面的更深刻約束還體現在現有技術的局限性與數據安全風險的不可知性。數據安全的未知風險往往來自于技術上的突破或信息技術應用實踐中的發現。一些原本被認定為安全的技術工具可能在經歷一段時間后被證實為不安全的,例如即使運用“K-匿名”技術的聯邦學習也仍然有可能泄露個人信息導致再識別,基于此技術的智能城市交通分析的匿名呼叫詳細記錄數據集中,仍有可能重新識別多達95%的個人。(23)See Silvio Sampaio, Patricia Sousa, et al. Collecting, Processing and Secondary Using Personal and (Pseudo)Anonymized Data in Smart Cities, 13 Applied Sciences 3810, 3853 (2023).更重要的是,許多突破或發現的產生在具體時間節點與場合有極大的不確定性,而且一旦技術破解的推動者沒有選擇及時公開信息,就會存在強烈的信息不對稱。例如,SHA-1算法被成功實現碰撞攻擊(24)See Senyang Huang, Orna Ben-Yehuda, et al. Finding Collisions against 4-Round SHA-3-384in Practical Time, IACR Transactions on Symmetric Cryptology, Vol. 2022, No. 3, p. 242.、擴散模型(diffusion model)被證明會泄露訓練數據(含個人隱私)(25)See Nicholas Carlini, Jamie Hayes, et al. Extracting Training Data from Diffusion Models, arXiv:2301.13188v1 [cs.CR], https://arxiv.org/abs/2301.13188, last visited: 2023-04-01.、Apache Log4j高危漏洞曝光(26)參見《網絡安全和信息化》編輯部:《Log4j 2漏洞沖擊軟件供應鏈安全中小型企業如何應對?》,載《網絡安全和信息化》2022年第2期,第44頁。、升級版Deepfake算法模型攻破人臉識別系統(27)參見曹建峰、方齡曼:《“深度偽造”的風險及對策研究》,載《信息安全與通信保密》2020年第2期,第95頁。等,都是可能威脅數據安全的著名例子,如果相關信息并未被及時公布,數據安全就會面臨幾乎無人知曉的重大威脅。

技術能力對制度完善的影響主要體現于有關安全防護制度和技術措施的要求方面。立法者和管理制度設計者無法一蹴而就地完成理想化的安全保障體系,也不能對政務數據安全的制度保障作過于靜態和固化的理解。法律規范及相關制度除避免對非核心數據規定過于嚴苛的技術性安全目標外,還應在涉及安全防護制度和技術措施的規定中保留一定程度的開放性與靈活性,避免刻舟求劍,減少技術快速更新迭代對規范修改和制度變革造成的壓力。此外,技術能力的制約因素也要求制度保障的內容包含必要的數據安全信息共享和傳導機制,促使各單位、各部門的數據安全策略及時有效同步,盡可能克服應對數據安全威脅的能力局限性和信息局限性。

(三)利用需求

政務數據安全不是靜態的安全,不能將全部數據鎖在對外物理隔離的倉庫中進行嚴防死守?！稊祿踩ā返?條第3款明確規定:“數據安全,是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力?！币虼?數據安全必然是動態的安全。數據的價值唯有在高效流動和利用,滿足各種利用需求的過程中才能充分實現,而這一過程又可能制約著數據安全的充分保障。例如,政務數據進入區塊鏈可以更好地促成數據的溯源和開發利用,然而,“政務區塊鏈最大的安全挑戰是政務數據、公民隱私數據上鏈所帶來的數據泄露風險”,而“政務區塊鏈作為承載高價值數字資產的底層系統,可能面臨更嚴峻的網絡攻擊?！?28)陳宇軒、朱涵、桑彤:《多地“政務上鏈”,新數據孤島、安全風險等問題待解》,載《浙江法制報》2020年8月3日,第006版。又如,許多地方立法規定需要在實現數據共享、開放或開發利用的同時,確保數據安全,而數據開放或合作開發利用中的數據安全保障要求必然顯著高于相對靜態的內部數據安全要求,至少需要經過嚴格的脫敏脫密處理;數據共享則可能面對不同單位的防護能力的差異性,而數據安全風險往往取決于防護的“短板”。更需要關注的是,政務數據的利用將日益依賴于云計算,而政務數據及其處理過程“上云”以后,將更容易成為黑客攻擊的目標,而各用戶的數據安全也在相當大程度上依賴于云平臺是否能夠及時更新防御策略和軟件,降低多方面的數據安全風險。(29)See Jared Harshbarger, Cloud Computing Prividers and Data Security Law: Building Trust with United States Companies, 16 Journal of Technology Law &Policy 229, 236 (2011).

自更深一層觀之,在數據利用過程中,經常存在利用與安全的平衡難題:從“安全性”角度來看,在很多數據資源流轉與處理的信息系統中,使用未經嚴格論證的協議的問題一度比較突出,或者存在密碼算法不合規、使用不正確、密鑰缺乏全生命周期管理等現象,(30)參見徐建等:《新型數據中心網絡安全體系研究》,載《信息安全與通信保密》2022年第7期,第127頁。不能保證數據的真正安全,不符合我國商用密碼應用安全性評估的安全要求;而從“有效性”角度來看,很多系統使用了數據加密、隱私計算、安全多方計算等技術之后,會帶來實際運行效率的降低,從而影響數據資源使用的有效性。(31)參見向炎濤:《十六部門力促數據安全產業高質量發展上市公司積極響應》,載《證券日報》2023年1月17日,第B2版。對于政務數據安全而言,類似問題在理論上亦不可避免地存在,以加密要求為例,加密方案可以選擇輕量級、中量級或重量級的密碼方案,需要精準把握安全和效率(包括成本)的平衡,加密程度越高,計算資源和時間成本也越高,甚至可能使數據利用難以正常進行;反之,完全依靠輕量級密碼,數據安全的基礎就會相當脆弱。然而,在龐大系統的加密方案中尋求完美平衡需要以精準預見數據安全風險為前提,在變動不居的安全態勢中,實現精準動態平衡的難度可想而知。在普遍保留安全冗余的前提下,政務數據安全動態保障的目標水平往往高于理想平衡點,這又對安全保障能力提出了更高的要求。更深層的難題則涉及數據處理者是否可以繼續持有和利用數據的根本選擇,“倘若(數據安全保障)義務主體現有的技術水平、內部管理制度能夠保障可接受的數據安全,則義務主體可以選擇繼續持有這些數據,而非只能選擇銷毀這些數據?！?32)趙精武:《從保密到安全:數據銷毀義務的理論邏輯與制度建構》,載《交大法學》2022年第2期,第34頁。這就使數據處理者可能面臨艱難的抉擇,有可能冒險選擇不能確保安全的道路。

利用需求對制度完善的影響主要體現在制度設計的安全冗余方面,需要盡可能避免保留過度的安全冗余。以安全為目標導向的法律制度和管理規則往往會保留一定程度的安全冗余以預防難以預料的復雜不確定風險,但安全冗余范圍越大,數據可利用的范圍和方式就越有限。實踐中,政務數據分類分級管理制度可以對安全冗余范圍實行精細化的控制,有利于在數據開放等利用場景中合理把握數據安全與數據利用的平衡,“對政府數據依據不同類別進行安全級別的鑒定和賦予不同的開放權限,才能更有利于政府數據的有效開放,防止泄密和危害社會安全問題的發生?！?33)迪莉婭:《政府數據開放成熟度模型研究》,載《現代情報》2019年第1期,第108頁。利用需求這一制約因素對政務數據分級的精準程度提出了潛在的要求,利用需求越強,安全冗余范圍的控制就應當越嚴格,數據分級的合理性和準確性就越面臨考驗。

(四)管理水平

政務數據安全需要專門的管理體系,而管理水平很大程度上影響數據安全保障的效果。首先,管理者自身是否具備數據安全意識和相關基礎知識,決定了管理者對工作人員和第三方的監督可能性與實際效果。由于數據安全的技術門檻較高,相關責任人和技術人員之間的“知識溝”可能成為一個制約因素,其中存在的信息不對稱可能導致安全隱患難以被發現,甚至被惡意利用。其次,數據安全領域不斷演化的技術要求能否持續、順利地被吸納和整合到管理流程中,也持續考驗著政務數據安全保障實踐,尤其是基于舊的技術標準或規章制度已經固化的管理流程,更新速度如果跟不上數據安全攻防對抗的發展,無法固守邊界防護等傳統網絡安全的陣地,數據安全就容易受到威脅。再次,對受托(外包)方的管理制度可能很大程度上影響數據安全。由于大量政務數據處理工作被外包,甚至部分政務數據處理任務的外包是為了帶動IT企業集聚和產業發展,(34)參見谷嫦瑜、齊心:《陜西省政務數據異地災備中心落地延安》,載《延安日報》2023年2月14日,第10版。政務數據處理的外包服務安全就變得尤為重要。

現實中,外包服務安全甚至可以成為威脅政務數據安全的最主要風險之一。目前部分地方立法已注意到這一點,如《重慶市數據條例》第18條第1款規定:“接受委托開展政務信息系統建設、維護以及存儲、加工政務數據的,應當依照法律、法規的規定和合同約定履行數據安全保護義務,建立數據安全管理制度,確定專門的數據安全管理機構和人員,……”即便如此,以行政機關有限的人力資源和技術基礎,如何在某些技術要求復雜的大型應用場景中有效監督平臺級別的外包服務方,仍然是一項嚴峻的挑戰。在有限的管理資源基礎上,委托方對受托方的監督能力和管理性規章制度的建設已成為關鍵問題,政務數據安全保障的實際效果在一定程度上也受到此方面管理能力的制約。

管理水平對制度完善的影響主要體現于安全保障過程方面,規則制定者難以基于理想的數據安全管理模式導出政務數據安全保障流程并設定所有程序性規則,為此,必須充分考慮政務數據安全保障過程中的管理人員能否有效實施這些流程和規則。政務數據安全保障制度中的許多管理性規定不能假定管理人員具備足夠專業的數據安全知識,除負責核心數據和重要數據安全的專門崗位,應盡可能基于一般理性人而非專業理性人的前提設定管理職責和法律責任。

總而言之,政務數據安全的制度保障,實際上也和企業的數據安全工作一樣,是在一系列約束條件下面向不確定風險推進的一項“綜合性工程”。在信息科技和數字政務持續高速發展的背景下,政務數據安全保障是否充分,取決于相關主體能否在種種約束條件下及時有效實現政務數據安全保障的主要目標?，F實中,數據安全存在“木桶短板效應”,(35)參見羅海寧:《簡析政務信息共享數據安全體系要點》,載《保密科學技術》2020年第4期,第7頁。任意環節的顯著短板均可導致數據安全面臨嚴重威脅。因此,政務數據安全保障制度的完善盡管可以采取穩健漸進的方式,卻不能不從一開始就考慮保障的系統性和完備性,考慮從根本上突破前述約束的最優路徑,尋求整體性的制度建設之道。

四、政務數據安全保障制度的一體化完善

政務數據安全保障制度的建設和完善需要充分考慮上述四重約束條件,根據既有法律規范的授權和相關要求,形成條修葉貫、綜理密微的具體制度方案。整體上,前述四重約束條件的作用,很大程度上是因政務數據的分散存儲和處理而凸顯。在數據治理實踐中,集中治理模式下的數據安全治理已經顯示出更強的強制性、效率性和責任性,(36)參見范玉吉、張瀟:《數據安全治理的模式變遷、選擇與進路》,載《電子政務》2022年第4期,第116頁。如果能夠相對集中開展政務數據的處理、利用和安全保障活動,通過集約、提質、增效的方式節省安全成本,提供技術防護和管理能力,可以一定程度上克服前述約束條件的限制。當前,政務數據安全保障工作可以與全國范圍內的政務云平臺統籌建設等進程緊密結合,形成全局性、前瞻性和系統性保障方案的基礎已經初步具備。對此,應及時啟動中央和地方層面的立法進程,通過法律制度的建設促進技術標準和管理制度的發展與充實,進而推動政務數據安全保障制度的一體化完善。

(一)政務數據安全保障制度一體化完善的現實理據

政務數據安全保障體系的建設應力求避免“零敲碎打”,盡可能在一定地域或行業范圍內實現集約化、系統化,對核心數據和重要數據實行集中保護,而相應的制度建設亦應如是,主要依托資源集約、工具完備的政務數據平臺及數據處理過程,一體化制定和完善相關規則。此種思路的主要理據可以從以下兩個方面加以闡述。

1.應對制度建設制約因素的必然選擇

政務數據安全保障制度的一體化完善有助于克服前述制約因素對制度建設的影響。數據全生命周期的安全保障涉及因素及目標眾多,對管理水平、技術能力和投入成本都提出了較高的要求,“各自為戰”的政務數據系統不僅會導致大規模的重復建設和巨額耗費,還將分散使用本就有限的專業技術力量,更可能導致彼此之間的數據安全風險信息難以及時共享,導致跨庫數據推理風險防控困難,造成多倍高昂投入反而防御薄弱的后果。相反,集中建設的政務數據平臺不僅可以大幅節約安全保障成本和專業技術人力資源,也可以大幅提升政務數據共享利用的效率,還有利于針對集中的政務數據建立推理通道阻塞等必要的防御機制,實現理想的數據安全保障目標。對于集中處理的政務數據平臺而言,數據規模增長的數據安全保障成本邊際增量遠較分散處理情況下的邊際增量低,而數據利用價值的邊際增量則遠較分散處理情況下的邊際增量高。因此,政務數據的集中和整合更契合數字政府建設的需求,相應地也就更需要發展一體化的政務數據安全保障制度。實踐中,我國數字政府建設正日益向集約化、系統化的方向發展,政務中臺等代表性應用正在得到研究者的積極肯定,(37)參見北京大學課題組:《平臺驅動的數字政府:能力、轉型與現代化》,載《電子政務》2020年第7期,第26頁。為政務數據安全保障制度的一體化完善奠定了重要基礎。

不寧唯是,政務數據日益依賴云計算的利用需求與趨勢,客觀上更進一步要求政務數據安全保障活動及相關制度的一體化完善。隨著政務數據體量迅速增長、政務數據共享及開發利用規模日益龐大,政務數據“上云”的趨勢也越來越確定。各地政府早已出現了大量建設與應用“政務云”的實踐,例如“蕪湖人民城市云”宣稱,賦能醫療、教育、企業等行業數字化轉型,可以破解分散數據存儲空間限制、數據安全隱患、能耗大等痛點,實現“7×24”小時不間斷服務,還能降低運維與系統集成成本。(38)參見潘曄:《精細化管理城市下足“繡花功夫”》,載《蕪湖日報》2023年2月27日,第A01版。政務云的建設天然地需要一體化的平臺以實現集約、高效、安全的數據處理活動?！秶鴦赵宏P于加強數字政府建設的指導意見》(國發〔2022〕14號)已明確提出“構建全國一體化政務云平臺體系”的任務,要求“國務院各部門政務云納入全國一體化政務云平臺體系統籌管理。各地區按照省級統籌原則開展政務云建設,集約提供政務云服務。探索建立政務云資源統一調度機制,加強一體化政務云平臺資源管理和調度?！痹谖磥?隨著我國數字政府和電子政務的進一步發展,幾乎所有政府部門都需要頻繁開發和完善與數字政府的整個系統及其他電子政務應用相兼容的應用,基于降低開發成本和難度,提升開發效率,充分利用共享數據,高效供給計算資源,保障應用兼容性及便利監督與審計等多方面的需求,電子政務的基石逐步走向“云原生”幾屬必然趨勢。鑒于未來政務數據安全保障將很可能被日益置于“云安全”乃至“云原生安全”的框架中進行,有關方面即應提前布局,充分研究政務數據安全保障制度一體化完善的方略與路徑。

2.正視政務數據安全風險特性的客觀要求

政務數據安全保障制度的一體化完善是對政務數據安全風險特性及發生規律的正面回應。政務數據安全保障與此前已經全面開展的網絡安全保障的相關制度及工作機制密切相關,但政務數據安全風險的新型來源和特性使相關制度保障不能簡單沿襲網絡安全保障的思維,而是需要深入革新保障思路,從而應對更加復雜的政務數據安全保障需求。

在最基礎的層面上,一個長期存在的問題必須首先得到重視和解決,即“突出外圍邊界建設,輕視內網安全,對網間連接的邊界防御過于重視,對內部業務應用和數據安全管理不夠?！?39)鄧恒、楊雪:《線上審判方式中信息與數據安全問題研究》,載《中國應用法學》2021年第1期,第26頁。事實上,大量威脅數據安全的網絡攻擊來自內部,(40)See A. Mousa, M. Karabatak and T. Mustafa, Database Security Threats and Challenges, 2020 8th International Symposium on Digital Forensics and Security (ISDFS), Beirut, Lebanon, 2020, p.3.并且系統的弱點更容易被內部人員利用。不僅如此,由于來自管理漏洞和數據推理的風險與日俱增,在數據安全保障實踐中,邊界防御已只能承擔部分基礎性的防護任務,應用層和內部數據處理過程的安全防護成為日益重要的任務。例如,政務信息資源共享業務流程的安全性考慮,重點在于有條件共享和不共享數據的共享申請審批以及共享過程的安全監控和審計跟蹤,(41)參見羅海寧:《簡析政務信息共享數據安全體系要點》,載《保密科學技術》2020年第4期,第9頁。相關過程對邊界防御的依賴性即顯著較低。類似地,運行時應用自防護(RASP)、云函數監控、數據溯源、數據分析結果掃描等安全機制亦為政務數據安全保障所日益必需,已遠超出單純的邊界防御而走向立體性的“防御縱深”,這是分散化的政務數據安全保障機制很難完成的任務。

在更深層的意義上,政務數據安全保障不僅需要在邊界防御的基礎上構筑充分的“內線防御”,還必須改變靜態防護理念并克服對外部技術支持的依賴心態,不能寄望于通過外購設備或軟件一勞永逸地實現安全保障。數據安全形勢瞬息萬變,新技術、新工具、新應用持續涌現,信任基礎不斷變化,此種不斷動態演化的形勢使得數據安全保障理念必須“升級換代”:一方面,政務數據安全的保障者既不能簡單放棄傳統的“陣地戰”理念,又必須努力尋求更敏捷、更能動、更講究平衡性和顆粒度的保障體系,追求從“靜態平面型”向“動態立體型”保障體系的轉變;另一方面,政務數據安全的保障者不能完全依賴于安全產品或技術服務的供應方,放棄對網絡安全和數據安全風險的關注、追蹤和研判,尤其需要避免將政務數據安全保障寄托在對專業第三方品德和能力的主觀信任之上,必須對高度專業、背景復雜、流動性強的第三方技術團隊建立完備的風險監控與管理措施,同時自身也應形成必要的專業能力基礎。此種積極、自主的專業能力建設的必要性在于克服對固定工作流程和技術團隊的依賴,有能力對防御體系進行一定程度的升級或改進;一旦政務數據處理平臺與第三方技術團隊失去聯系或終止合作,可以及時、高效地更新相關設備、系統或服務,避免防御水平的停滯乃至滑坡。這種專業能力和管理水平的建設必然要求管理資源的相對集中和規章制度的全面優化,尤其是建立專業、精密、成體系的規章制度,能夠客觀上支持政務數據安全保障制度一體化完善的需求。

政務數據安全保障制度一體化完善的上述現實需求,客觀上決定了我國應當從中央層面加強政務數據安全保障的法制基礎。政務數據安全保障的建章立制需要符合行政法治的精神,各種政務數據處理主體所建立的各項規章制度應當有明確的、權威的上位法授權依據,政務數據安全保障制度的一體化完善思路更天然地適宜由統一的中央層面立法作出系統性、全局性的明確規定,基于中央政府匯集的政務數據安全信息和對政務數據安全形勢的全局性認識,提出各地方、各部門應當普遍遵守的政務數據安全保障要求?！稊祿踩ā窞檎諗祿踩Ｕ系於朔蓪用娴囊罁?但其“框架性立法”的特點和有限的篇幅難以肩負政務數據安全保障的全部制度供給任務;對此,應制定政務數據安全保障方面的基礎性行政法規(建議命名為《政務數據安全保障條例》),并在其中授權各地方、各部門因地制宜、因事制宜,制定相應的地方性法規、地方政府規章或部門規章,統一而有區別地推動上述立體、動態、積極、自主的數據安全保障思路在不同地區和部門根據制約因素的具體情況貫徹落實,為政務數據安全保障各項具體制度的建設、運行與完善,提供明確的法律授權、必要的規則限制和與時俱進的價值指引。

(二)政務數據安全保障制度一體化完善的具體路徑

政務數據安全保障制度的一體化完善,需要在《政務數據安全保障條例》的基礎上,依托數據安全能力成熟度模型等已有的系統性探索,革新政務數據安全保障思路,從組織性規則、程序性規則、技術性規則等方面對相關安全保障制度做全方位的優化、改進和整合。

1.組織性規則:安全保障職責的梯次化設定

政務數據安全保障職責實行以專門崗位為中心的梯次化設定是組織性規則中應當確立的關鍵制度設計。根據數據安全能力成熟度模型,政務數據安全保障在組織機制層面的要求主要是設立數據安全管理的專門崗位乃至管理機構,這一要求已在許多制度實踐中得到體現,也應在《政務數據安全保障條例》及配套下位立法中明確體現。明確數據安全負責人和管理機構的關鍵意義在于,將數據安全保護者嵌入機關、單位的組織架構,突出數據安全保護工作對數據處理者的重要性,進而要求數據處理者有專職機構或者人員推動數據安全保護的法定義務得以落地執行。(42)參見王玎:《論數據處理者的數據安全保護義務》,載《當代法學》2023年第2期,第45頁。其中,設置專門崗位的要求尤為具有普遍的重要意義。大部分公共機構的工作人員并不具備充分的數據安全知識與技能,令其承擔過重的數據安全責任可能會導致片面嚴防死守、數據利用減少的結果,從而無法實現《數據安全法》所強調的“確保數據處于有效保護和合法利用的狀態”之目標。必須保證具備必要專業能力水平的人員肩負主要安全保障職責,從整體上把握所在單位的數據安全狀況并控制關鍵的數據處理流程;其余參與政務數據采集、共享、開放、銷毀等需要對數據進行專門處理或采取特定安全防護措施的數據處理活動的相關工作人員,僅對公職單位中具有平均教育水準的一般理性人所能夠充分理解并作出準確判斷的細分事項負責;日常接觸和使用政務數據的工作人員,則只需要肩負類似于保密義務的常規注意義務。

數據安全保障職責的梯次化配置有利于合理設定數據安全保障的職務與責任體系,盡可能促使各類工作人員對自己力所能及的判斷精準負責。在技術能力、管理水平和利用需求的三重約束下,只有將數據安全保障職責相對集中于有專業能力的管理崗位,才能在有限的保障條件基礎上盡可能完成對數據安全風險的整體控制。一般而言,數據安全保障的組織性規則需要細化排查包括系統、應用、終端、身份、數據等在內的所有風險點并建立相應的監測和控制手段,并將采取相應措施的權限與職責合理配置到各個具體崗位。為確保職責履行到位,還需要提前埋設問責點,使風險報告及處置職責與明確的責任機制形成緊密聯系,確保工作人員對具體風險的發生負明確的責任。在專業能力相對缺失、管理體系未盡成熟及利用需求存在不斷變化的不確定性前提下,分解風險點和埋設問責點都有可能不夠準確、全面,因此,避免平均分配控制權限和責任,盡可能限制普通崗位所負責的數據安全保障義務是有必要的。將數據安全保障的主要責任和相應的流程控制權、監督檢查權、審核權等相對集中于一定范圍內的專業工作人員,既有利于防御各種鑲嵌于電子政務流程的數據安全風險,也有利于建立科學精準的數據安全保障職責結構和問責體系。相對集中了安全保障權限和責任的專門管理人員還應對決定購買或接受第三方的數據處理服務負有數據安全風險評估與檢查之職責,并明確要求其有義務及時發現并有權提出更換已不適應安全保護需求或存在重大隱患(例如曾發生重大數據泄露事件)的合作方,防止類似事件再次發生。

2.程序性規則:安全保障程序的多層面設計

政務數據安全保障的一體化完善需要全面考慮程序性規則的設置,基于政務數據平臺自身的工作流程和對外包第三方的管理過程,形成精細化的程序規定。這些規定可以由《政務數據安全保障條例》提供框架性的指引,通過各地方、各部門的政務數據安全保障配套立法及相關技術標準進一步形成具體的規則,全面覆蓋行為、數據、算法的動態變化,在最微觀尺度上展開并完成政務數據安全保障的制度設計。

首先,在人員行為層面,《政務數據安全保障條例》應當明確要求政務數據處理平臺及類似的政務數據集中處理者建立完備的規章制度,面向平臺管理、數據處理及應用設計、開發、維護、運行等全流程的所有工作人員建立完整的工作程序要求,確保風險環節全覆蓋、關鍵行為全記錄、安全義務全落實。直接調整相關規章制度建設的法規或規章還應當明確規定政務數據處理者在數據處理過程中的三項關鍵義務:其一是防御能力動態維護義務,即無論自主建設數據安全防護系統,抑或采購第三方設備和服務,都需要定期完成規范的數據安全漏洞與風險排查程序,對數據安全狀態和系統防御能力形成報告并提交政府中負責政務數據安全的部門存檔備查,通過建立報告對比、隨機抽查、飛行檢查等程序機制,確保各單位及時增強防御能力并持續進行系統升級,防止對數據安全防護軟硬件系統“只買不用”“只裝不動”;其二是數據安全風險報告義務和采取補救措施之義務,即一旦發生數據泄露等數據安全事件,數據處理者應當立即采取處置措施,按照預先制定的程序性規定及時告知用戶并向有關主管部門報告,(43)參見程嘯:《論數據安全保護義務》,載《比較法研究》2023年第2期,第68頁。告知和報告的次序與范圍應根據具體單位面臨的數據安全形勢與保障需求確定;其三是對外包第三方的風險監測與關鍵行為審核義務,即對外包第三方的工作人員建立專門的、完整的工作規程和問責機制,建立不可繞過的身份及訪問管理系統,對所有的操作者賦予嚴格對應的唯一身份標識,確保系統訪問、應用訪問及數據處理操作的可追溯性,持續監測第三方行為的數據安全風險,對數據傳輸、代碼出域等關鍵行為設置必經的審核程序,嚴防外包第三方泄露敏感信息引發導致整個數據庫被“攻陷”的風險。

其次,在數據層面,《政務數據安全保障條例》應當要求政務數據處理平臺建立從數據采集開始直至數據銷毀的全生命周期安全保障程序,相應的地方立法或部門立法還應在相關程序規則中明確要求建立以下幾項基礎性的制度或機制:一是要求對敏感數據加密存儲,并從工作流程層面開始限制數據訪問途徑和范圍;二是全面強化數據庫和服務器的密碼保護機制,對密碼的處理建立專門的程序性限制,尤其是禁止明文發送核心密碼;三是結合平臺內政務數據處理和安全保障實踐,精當配置訪問權限,合理界定異常數據處理活動,規范工作人員對此類異常動態的響應與處置措施;四是對需要共享和開放的數據進行必要且合理的脫敏脫密處理,在共享和開放程序中嵌入此項機制;五是建立數據處理活動記錄留存制度,既服務于數據安全風險監控與問責,也致力于在數據處理者對外傳輸和共享數據之后,及時跟蹤和明確這些數據的傳輸路徑和實際持有人。(44)參見趙精武:《破除隱私計算的迷思:治理科技的安全風險與規制邏輯》,載《華東政法大學學報》2022年第3期,第39頁。在此基礎上,政務數據處理平臺還需要在力所能及的范圍內,盡可能完成兩項具有持續性、動態性的制度保障任務:一是根據數據安全防護等級的要求,將動態更新的相應技術標準內容持續整合至數據安全保障程序規則中,完成對數據全生命周期風險的覆蓋與防御;二是在使用新興數據處理技術之前,需要經過專門的數據安全風險評估程序,唯有對該技術的風險有足夠清晰的認知時,才可投入使用,(45)參見趙精武:《破除隱私計算的迷思:治理科技的安全風險與規制邏輯》,載《華東政法大學學報》2022年第3期,第37頁。以此來滿足風險預防的要求。

再次,在算法層面,《政務數據安全保障條例》需要促使政務數據處理主體對處理政務數據的算法模型及具體代碼建立嚴格的風險監測與控制程序。相關程序機制應涵蓋兩個子層面:在算法模型層面,主要是定期評估政務數據處理所用算法模型的風險或隱患,及時報告和共享算法模型的運行錯誤情況,不斷改進模型以實現算法安全可靠之目標。此種評估程序可以合并于政務數據安全風險動態評估程序中進行。在代碼層面,代碼安全問題非常突出,需要在兩方面深入、細致地建立程序性控制規則:一是對開源組件的風險監測和管理。此類組件存在的安全問題較多,一旦發生安全風險,影響范圍和危害后果均屬巨大。以業界2021年11月log4j漏洞安全事件為例,風險發生后,許多單位對此漏洞束手無策,只能等待第三方供應商的修補與響應;(46)參見《網絡安全和信息化》編輯部:《Log4j 2漏洞沖擊軟件供應鏈安全中小型企業如何應對?》,載《網絡安全和信息化》2022年第2期,第44頁。此類重大漏洞一旦涉及政務數據安全問題,即可能存在難以防御之風險。普通數據處理主體顯著缺乏發現和防御開源代碼風險的能力,不宜獨立承擔此方面的數據安全保障義務,應由《政務數據安全保障條例》統一規定使用開源代碼組件進行開發的一般要求和具體程序規則,授權制定使用開源代碼處理政務數據的技術標準并逐步建立可信代碼庫,建立政務數據處理主體在可信代碼庫以外使用開源代碼的標記和報備程序,并規定中央負責政務數據安全保障的部門對此進行監督檢查和指導改進的權限與具體機制。二是對代碼(含注釋)的流向實行嚴格控制。自數據安全領域的有關經驗教訓觀之,代碼(含注釋)的流出及分享可能導致嚴重的數據安全隱患,必須確保代碼不出域、流向可追蹤,未經依法依規嚴格審批,不對外傳輸數據及代碼;若單位本身沒有能力自行建設及維護相關系統而將服務外包或對外進行委托,同樣需要建立對外傳輸代碼的審核程序,并由具有較高數據安全權限的專門崗位負責審核代碼出域申請,確保政務數據的代碼安全。

3.技術性規則:安全防護體系的標準化配置

越是復雜的政務數據處理活動越需要系統性的技術工具構建風險防控體系。目前數據安全的相關技術工具已經相當豐富,在原有網絡安全工具和數據庫安全工具(47)數據庫安全工具(傳統數據安全產品工具)主要包括數據庫防火墻、審計工具、數據中心安全工具和網絡應用防火墻等,此類工具的重要作用在于監視數據庫及網絡應用的活動情況,監測和判別SQL輸入或用戶請求的異常并執行過濾或防御性操作等,See P. S. Murthy and V. Nagalakshmi, Database Forensics and Security Measures to Defend from Cyber Threats, 2020 3rd International Conference on Intelligent Sustainable Systems (ICISS), Thoothukudi, India, 2020, pp. 1304-1305.的基礎上,又增加了數據安全分類分級標識工具、數據脫敏工具、可追溯標簽工具、隱私計算工具、數據銷毀工具等。這些工具不僅有助于防范各類數據安全風險,更有助于在保障安全的前提下滿足特定的利用需求。許多工具都是在數據利用與數據安全的動態平衡中不斷發展完善的,其技術指標蘊含了深刻的價值平衡考量,可以為不同場景中政務數據的有效利用提供精細入微的支持。鑒于不同安全等級和場景所需要的工具不盡一致,《政務數據安全保障條例》及相應的地方立法、部門立法均應規定政務數據處理平臺的數據安全技術工具標準化配置義務:政務數據處理者應當根據相關技術標準系統性地合理配置數據安全技術工具,在數據分類分級保護的框架內對數據進行必要的安全化處理,實現平臺內數據流動和利用的實時感知與追溯,確保數據處理日志的完整記錄和可審計性,為風險控制和問責提供必要的技術條件和證據。此種標準化配置義務并不意味著政務數據處理平臺不能自行增加防御手段,恰恰相反,前述法律制度應當允許乃至鼓勵平臺在標準化技術防護體系之外增設隱蔽的安全防護措施、應用新型數據安全保護工具,避免由于標準本身的缺陷而導致統一配置的防護體系被熟悉缺陷的專業攻擊者破解。

此外,對于處理核心和重要數據的政務數據處理平臺,按照標準化的要求配置和運行一體化的風險監控系統亦甚為必要。目前許多數據包嗅探器(Packet Sniffers)能夠感知數據流出的動態,并由此定位網絡漏洞,(48)See A. Mousa, M. Karabatak and T. Mustafa, Database Security Threats and Challenges, 2020 8th International Symposium on Digital Forensics and Security (ISDFS), Beirut, Lebanon, 2020, p. 1.這一技術可以成為更強大的數據安全風險監控系統之基礎。借助精心設計的風險監控系統,平臺可以在各個環節部署數據埋點并設置風險預警機制,建立風險行為和異常狀態感知模型,監測和記錄正常運行狀態和操作軌跡以外的各種異動,對異常的數據流動及處理活動及時識別和響應,并向上級管理機關發出不能被刪除或篡改的預警信息。對于處理核心和重要數據的系統或平臺,在建立完備的風險監測工具且直接受委托方監控的全方位風險管理機制以前,不得擅自引入第三方服務或將相關數據處理活動外包,實現政務數據處理活動中安全風險的全流程可控。上述要求亦需要在《政務數據安全保障條例》中加以規定,或授權各地方、各部門在配套下位立法中形成具體規則,為政務數據安全保障奠定風險感知與響應的制度基礎。

無疑,上述政務數據安全保障制度的一體化完善思路盡管并非立足于靜態、全能和零成本的理想化假設,但全面實現此種制度目標并確保其持續運行仍需要較充分的資源投入、技術條件與管理能力,幾乎唯有在集約化、系統化的政務數據處理平臺才有條件充分實現。然而,此種完善思路畢竟并非“挾山超?！钡幕趾朐O想,更多的是“未雨綢繆”甚至可謂“臨渴掘井”的現實考量。在不久的將來,隨著數據體量的繼續增長和數據利用需求和方式的進一步豐富,邁向政務數據大量集中的“數據湖”“數據倉庫”乃至“湖倉一體”是具備高度蓋然性的發展趨勢,前述四種制約因素的影響將進一步凸顯,而在數據安全保障壓力水平不斷上升之際,適度強調制度建設的前瞻性與體系性尤為必要。誠然,為分散型的政務數據安全保障保留空間仍有現實必要,但基于集約化、系統化的政務數據處理和安全保障方式,全面、細致地構建和完善各項數據安全制度,應是當下數字政府建設之迫切任務與主要面向。

五、結語

政務數據安全的制度保障是一項復雜的“制度工程”。在數字時代,政務數據中匯集的信息可謂關系重大,深刻影響著公民的權益保障、社會的秩序維系乃至國家的正常運轉。隨著政務數據的體量向ZB乃至更大規模發展,政務數據安全已不再可寄望于計日程功的涓滴之勞,而是需要整體謀劃、淵圖遠算,通過集中資金、技術、人才、管理等資源形成高水準的科學保障,以法治的方式努力在風險防控與價值挖掘之間盡可能取得最優的平衡。

誠然,政務數據安全保障將面對動態演化的數據安全風險,其技術基礎和制度體系都需要通時合變,不能固守一時之論而刻舟求劍。無論如何,通過制定政務數據保障方面的專門性法律規范,堅持立體、動態、積極、自主的數據安全保障思路,從組織性規則、程序性規則和技術性規則等方面建立全方位的制度保障體系,在相當長一段時間內都將是必不可少的基礎性工作,需要法律、技術專家與管理者深度合作、同心戮力。