当前位置: 首页 >统战新闻>民进>详情
安全使用与充分应用之间寻求数据的平衡点


时间:2018年10月18日   作者:民进杭州市委会    
字号:

杭州是国内第一个将城市级数据交由私营机构进行处理,并将数据产品用于城市管理的城市。海量的公共数据交由私营商业机构处理和应用,公共数据和商业目的之间存在严重的不对称,公共数据在商业化应用的情景中,存在不受约束使用和泄露等严重隐患,危害公共安全和个人安全。寻找保护个人权益、数据安全与保障信息自由流动、充分应用之间的平衡,十分迫切且重要。为此建议:

重点研究并设定私人机构使用公共数据的边界。保护公共数据在私营机构应用时的安全问题需要具体解决四个边界问题:公共数据在公共部门和私营机构之间的边界;私营机构应用公共数据的边界;私营机构运用公共数据的边界;公共部门应用私营机构研发的数据产品的边界。这些都应该以立法、标准、规范等方式予以明确。

制定数据许可协议,加强知识产权保护。就公共数据而言,对于无使用条件的,私营机构可以自由、无限制地使用数据;但对于有使用条件的,应当基于公共数据的范围、类型以及具体的使用情况签署“数据使用许可协议”,明确使用人的义务、数据使用范围、用途、方式的禁止条款、违约责任等。城市大脑并非使用单一数据源,当多种数据进入数据库后,情况将会非常复杂,知识产权保护主要涉及署名权、使用权、使用方法以及应用领域等。数据许可协议分为“一致性许可”和“非一致性许可”。“一致性许可”涉及的内容主要是对署名和共享权利的界定。“非一致性许可”则适用于应用领域受到限制的数据,主要包括“禁止演绎”和“非商业性适用”的署名权和共享权。“不允许部分或全部作品在衍生作品中重复使用”和“不包括商业活动中的使用”的数据不得被许可适用于禁止领域等。

清晰数据权属性定位,为数据安全立法奠定基础。数据确权是数据立法的关键。公共数据的采集、加工、控制、利用等环节会有多个参与方,因此要明确在何种情况下什么类型的参与方可以获得数据的权利,所拥有的权利中哪些是排他性的权利(即绝对禁止他人抄袭和模仿)等,在实践中形成共识和惯例。以此作为数据安全立法的基础,推动公共数据安全的法制化建设。

适用不同的法律法规保障公共数据的安全。首先,法律法规应重点关注数据主体、数据管理主体、数据定义、数据可得性、机构承诺计划等内容。其次,对公共数据进行分级分类管理,建立分级体系和分类清单,并制定《数据分级分类的安全管理体制》,对不同级别、类型的数据采取差异化的管理方式,确保公共数据的安全。最后,对涉及个人信息、个人隐私等的数据,应借鉴欧盟《通用数据保护条例》,保障数据主体的数据权,明确规定数据主体的同意权、知情权、获取权、修改权、携带权以及被遗忘权等权利。同时,对违反法律法规、危害数据安全的行为进行严厉的惩处。

做好公共数据全生命周期的安全管控工作。美国将对个人隐私数据的分析和审查纳入开放政府数据的相关法规政策中,可见其对个人隐私数据的重视程度。杭州可以借鉴美国的方式,建立整个数据生命周期的安全管控机制,对私营机构获取、传输、整理、应用、存储公共数据的每一个阶段进行判断、分析和审查,涉及个人隐私、牵涉国家机密的公共数据,私营机构不得私自应用。督促私营机构加强数据安全风险评估,在产品、服务、系统等设计时,就要考虑数据保护。定期对私营机构应用公共数据等行为进行安全监督,并通过有效的技术支撑,确保数据被私营机构获取、处理、使用全流程的可监可控可追溯。

成立专门的数据安全管理部门,建立预警机制。设立专门的数据安全管理处或者数据保护专员,专门负责公共数据的安全管理,通过制度设计来保障数据安全管理处或数据保护专员的独立运作。建立预警机制,对私营机构在传输、处理、存储公共数据的过程中有异常情况时,及时通知相关部门进行应急处理,将损害降到最低。同时,也要督促企业加强数据安全监测预警,提升突发事件应急处置能力。鼓励多方机构参与到数据安全监督与保护中来,畅通监督和申诉的渠道,以发挥个人、组织、机构、团体等在数据安全保护中的监督和促进作用。