数字政府公共数据安全保障体系建设研究

文 | 深圳市信息安全管理中心副主任 董安波

数字政府建设是“数字中国”体系的重要组成部分，政府部门通过运用数据来提升对社会治理、经济调节、公共管理等领域的履职能力，这代表着一个全新的数字驱动政府管理新模式。《国务院关于加强数字政府建设的指导意见》中提到，“加强对政务数据、公共数据和社会数据的统筹管理，全面提升数据共享服务、资源汇聚、安全保障等一体化水平。”

一、研究背景

在当今数字化时代，深入理解数字政府公共数据的内涵及其关键特征具有至关重要的意义。鉴于国内外数据安全形势日益复杂多变，我们应紧密结合国内外数据安全形势，聚焦国家和地方层面对于数据安全的合规要求，全面且深入地剖析各参与主体在数据安全方面的现状，进而精准地提出公共数据所面临的合规挑战。

（一）概念界定和特点分析

数字政府公共数据是指政府及其所属机构、公共企事业单位在履行公共管理、服务职能过程中，借助数字化手段采集、生成、存储、管理和共享的各类数据资源。这些数据以结构化或非结构化形式存在，涵盖政务活动、民生服务、城市管理、环境监测等领域，并依托云计算、大数据等技术进行高效处理、分析及跨部门流动。

数字政府公共数据主要特点在于其社会共享性和公益性。它服务于科学决策、社会治理、公共服务优化及公众参与，并兼顾国家安全、隐私保护与公共利益平衡。合理利用公共数据可以提升政府效能、促进经济发展与社会创新。

数字政府公共数据通过无条件免费开放和授权运营两种途径供公众获取。公共数据授权运营是公共数据开发利用的一种新模式。《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》明确提出，“开展政府数据授权运营试点，鼓励第三方深化对公共数据的挖掘利用”。《“数据要素×”三年行动计划》则提出，“在重点领域、相关区域组织开展公共数据授权运营，探索部省协同的公共数据授权机制”。

（二）国内外数据安全形势

公共数据作为数字政府运行过程中的关键要素，其安全性一旦受到威胁，所带来的损失可能是不可估量的。迄今为止，全球已有近 60 个国家或地区出台了数据主权相关的法律，尽管各国法律呈现不同的特征，但国际上主流的数据安全管理理念趋于一致，即基于数据的重要程度，实施分类分级管理，开展数据跨境管理，并在既有的国际合作框架下探索数据跨境合作。

近年来，欧盟在数据领域的立法非常密集，除了《通用数据保护条例》（GDPR）之外，《数字市场法》（Digital Markets Act）、《数据法》（Data Act）和《数据治理法》（Data Governance Act）等新法也相继出台。美国国会众议院于 2020 年 12 月通过了《外国公司问责法案》（Holding Foreign Companies Accountable Act），要求在美国上市的外国公司必须接受安全审查，并迫使赴美上市的企业向美国当局提交大量行业数据和消费者信息。

2020 年 9 月，我国提出了《全球数据安全倡议》，倡导“共商共建共享”的理念，围绕数据存储、数据流动等热点问题提出了八项倡议，旨在推动共同构建网络空间命运共同体。2021 年 9月 1 日，我国正式施行《中华人民共和国数据安全法》，标志着数据安全保障、数据开发利用和产业发展的全面法治化。《数据安全法》第一条、第三十七条和第三十九条为推动数字政府公共数据合规利用奠定了基础。

（三）公共数据的合规挑战

我国政府对数字经济的发展高度关注，党中央和国务院多次明确提出要加快培育数据要素市场，并相继颁布了一系列相关政策文件。

2025 年 1 月，国家发展改革委、国家数据局印发了《公共数据资源授权运营实施规范（试行）》（以下简称“实施规范”），明确政府作为授权主体，规范了公共数据授权运营的申请、审核、协议签订等流程，并要求运营主体具备安全保障能力。“实施规范”还提出建立政府与运营方的收益共享机制，实行动态监管与评估，旨在统筹数据安全与高效利用，为公共数据社会化运营提供标准化框架。

2024 年 9 月，中共中央办公厅、国务院办公厅印发了《关于加快公共数据资源开发利用的意见》。意见提出，到 2025 年，公共数据资源开发利用的制度规则初步建立，公共数据资源要素作用初步显现；到 2030 年，公共数据资源开发利用的制度规则更加成熟，进一步发挥数据要素在提升治理能力中的作用。该意见从深化数据要素配置改革、加强资源管理、鼓励应用创新、统筹发展与安全、强化组织实施等五个方面部署了加快公共数据资源开发利用的工作。

2022 年 12 月，中共中央、国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）。文件内容包括建立保障权益、合规使用的数据产权制度；建立合规高效、场内外结合的数据要素流通和交易制度；建立体现效率、促进公平的数据要素收益分配制度；以及建立安全可控、弹性包容的数据要素治理制度等多个方面。

从国家层面的政策文件来看，公共数据具备“生产要素”属性，能够被市场主体用于生产经营与价值创造。因此，尽快完善保障数据合规流通的数据要素市场体制，统筹发展与安全，探索新型安全治理机制，将安全与合规贯穿于数字政府公共数据的供给、流通和使用全过程，显得尤为重要。

从地方立法和政策文件来看，我国数据要素呈现出区域聚集协同发展的态势，重点建设集中在京津冀地区、长三角地区以及粤港澳大湾区等区域（如表1所示）。

表1 公共数据地区运行特点

公共数据的参与主体主要包括政务部门、企事业单位、高校和科研院所等，这些主体对公共数据有明确的使用需求，并从公共数据运营中获得利益。在数据安全防护上，部分采用了针对数据本身的分类分级、访问控制、数据加密、数据审计、数据脱敏等单点数据安全技术。然而，缺乏围绕数据生命周期流转过程的体系化动态数据安全保障能力，公共数据的安全合规主要面临以下挑战。

一是公共数据分类分级保护制度是安全与利用的基础。现实中，往往存在海量多源异构的原始数据，在数据交换、共享等过程中，数据不可避免地要脱离原有载体，由此引出了需要再次进行数据分级分类并设置安全防护策略的问题，如何快速摸清数据底账，并保持数据分类分级的一致性与防护策略的有效性，是当前数据安全保障工作面临的难题。

二是数据流转与加工是最大化挖掘数据价值的关键。数据作为特殊资产，其所有权和控制权（使用权）通常是分离的。当数据通过共享、交换等过程离开组织之后，数据的跟踪与溯源问题变得愈加困难。在实际落地层面，数据所有者通过交换、共享、委托加工等方式对外提供数据，导致数据流出其可控的安全域，这部分数据的防护通常不在其技术防护范围内。因此，如何落实外部组织数据处理活动的数据安全保护义务，并提供合规性检测证明，成为数据安全监管的挑战。

三是数据驱动业务发展是数字经济时代的显著特征。外部的数据安全监管合规要求也在不断完善与调整。单纯依靠管理和技术构建相对静态的防护体系，无法及时适应业务和合规的变化，存在安全策略设置滞后的风险。这可能导致数据资产新增或调整识别不及时、安全风险监测不准确以及安全防护不到位等问题。

二、数字政府公共数据安全治理

数字政府各方面业务与公共数据有着紧密联系。通过开展常态化的安全运营，将管理和技术体系有效衔接，形成以管理为驱动，以运营为纽带、以技术为落地支撑的治理模式，方可取得治理成效。同时，有必要通过建立公共数据安全监督评价机制，对整体工作进行监督、稽核与评估，从而有效促进公共数据治理水平的提升。

（一）治理思路

在当前我国数据安全法律法规、政策标准等逐步完善，以及各地踊跃探索数字政府公共数据开放利用实践的背景下，应响应国家整体数据安全战略方向，紧密依托数据安全法律法规和标准规范，以数据分类分级为治理基石，数据安全管理体系、技术体系与运营体系为治理核心，监督评价体系为效能保障，从而形成数据安全治理框架。

（二）治理框架

基于数字政府公共数据安全治理思路，围绕各典型数据处理场景，面向各应用单位的复杂异构环境，必须采取有针对性、差异化、体系化的治理框架，才能真正实现数据使用的安全保障（如图1所示）。

图1 公共数据安全保障体系建设框架

在数字政府各单位在数据安全战略方面，需要从组织战略、IT 战略、安全风险、合规遵从四个方面综合考量，指导公共数据安全保障体系化建设。基于数据分类分级保护，面向多元化治理特点，落实人员组织架构、管理制度体系和第三方监督管理要求，建立覆盖决策、管理、执行与监督等多层级的组织架构。

在公共数据安全技术保障方面，采用公共数据授权运营平台实现组织内部数据流转的安全合规，采用公共数据流通协同平台实现组织间外部流通的安全合规。

在公共数据安全运营保障方面，采用数据安全风险评估及监测，形成常态化、集中化、规范化的数据安全运营。

在公共数据安全监督保障方面，组织内部进行自评估、自审计活动，并积极配合国家、行业主管部门的合规检查和事件上报，推动数据安全治理持续健全。

三、公共数据安全保障重点工作

数字政府通过数字化技术促进政府部门之间的信息共享、业务协同和流程优化，从而提高公共服务的效率和质量。近年来涌现出大批优秀案例，如上海的“一网通办”、广东省的“数字政府”、浙江的“无废城市”等，充分体现了通过数据重塑政务架构的数字政府特征。数据安全作为公共数据开放利用的基础，应重点做好以下两项保障工作。

（一）公共数据分类分级

“数据二十条”提出：“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。在地方标准方面，目前已有多个省市出台了与公共数据相关的分类分级指南。

公共数据分类分级是指公共数据管理主体根据内容、属性等管理需求，在遵守国家和行业的分类分级要求的基础上，按照一定原则、标准和方法，将公共数据分门别类，形成具有内在规律的数据集合。在此基础上，根据一定原则、保护要求和应用需求对分类后的数据集合进行定级，从而为公共数据的安全保障和开发利用提供基础依据。

以应用为场景的公共数据分类，可参照现行地方公共数据分类分级标准中关于公共数据分类维度或方法的规定。以省级和重点市的分类分级文件为例（如表2所示）。

表2 地方公共数据分类方法

国家标准《数据安全技术 数据分类分级规则》（GB/T 43697-2024）是科学开展数据分类分级、界定重要数据范围的权威依据，同时要结合数据可能造成的损害和敏感程度进行分级。数据分类分级完成后，当数据的业务属性、重要程度或可能造成的危害程度变化时，应及时进行动态更新。

（二）数据共享流通安全

“实施规范”中提出：“要求运营机构履行数据安全主体责任，加强内控管理、技术管理和人员管理，不得超授权范围使用公共数据资源，严防数据加工、处理、运营、服务等环节的数据安全风险。实施机构和运营机构应通过管理和技术措施，加强数据关联汇聚风险识别和管控，保障数据安全。”

图2 数据流通安全技术体系

如图2所示，在公共数据流通的过程中，涉及的流通主体多元化趋势（包括数据提供方、数据开发方、数据消费方、数据运营方，数据监管方等），且应用场景十分丰富。在解决数据流通与数据保护之间的矛盾时，不能仅依赖某一项隐私计算技术或可信交换技术，而应根据实际的共享流通需求，通过构建一个支持多方协同的安全流通平台，对各个数据流通场景实施集市化和任务化管理。该平台不仅应实现共享数据集的数据确权、发布、流通方式确定、任务调度和可信数据交付，还要对消费方接收数据后的安全使用进行管控与追踪溯源，从而最终实现对整个流通过程的体系化安全防护。

四、结 语

数字政府公共数据安全保障体系建设是“推进公共数据资源开发利用，规范公共数据资源授权运营，促进一体化数据市场培育，释放数据要素价值”的基础。公共数据流通包含联合开发、数据共享、数据交易等多种场景模式，各相关单位应遵循我国最新的数据安全法律法规和政策标准，将国家整体数据安全战略纳入自身战略规划，形成更为完善、合理、全面的数据安全治理框架，重点落实数据分类分级保护以及数据共享流通安全保障工作，只有这样才能真正实现公共数据的合规使用。

（本文刊登于《中国信息安全》杂志2025年第1期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。