2022-05-30
1、上海法治报:刚才多次提到数据安全的问题,我们也知道大数据尤其是公共数据可能涉及个人隐私、商业秘密等第三方合法权益,《办法》是如何保障这些合法权益的?
罗培新(市司法局副局长):《办法》非常重视对个人权益和商业秘密的保护,主要体现在以下四个方面:一是在总则中对权益保护提出总体要求,要求市、区人民政府及各相关部门在公共数据开放过程中,应当采取措施保护商业秘密和个人隐私,防止公共数据被非法获取或者不当利用。
二是对数据进行分类管理,将涉及商业秘密和个人隐私的公共数据,列入非开放类数据;并在数据预处理环节要求数据开放主体按照技术标准,对列入开放清单的公共数据进行脱敏等处理,确保开放的公共数据中不包含住址、年龄等个人信息。
三是规定了权益保护机制,自然人、法人和非法人组织认为开放的公共数据侵犯其商业秘密、个人隐私等合法权益的,可以通过开放平台告知数据开放主体,并提交相关证据材料,由数据开放主体进行核实后作出相应处理。
四是对违法违规行为进行处理,数据利用主体如果在利用公共数据的过程中,存在侵犯商业秘密、个人隐私等第三方合法权益的行为,由市经济信息化部门会同市大数据中心和数据开放主体对其予以记录,可以采取限制或者关闭其数据获取权限等措施,并予以公示。
《办法》通过以上四个方面来保护商业秘密和个人隐私等第三方合法权益。谢谢。
2、新民晚报:大量的公共数据开放之后,普通市民可能对数据的安全会有所顾虑,从制度设计到平台建设方面,如何保证公共数据开放之后的安全性?
吴金城(市经济信息化委主任):数据安全是数据开放的重要前提,也是上海立法工作的重中之重。《暂行办法》首先在总则章节就设置了专门条款,对数据安全保护作出了总体要求。在具体实施工作中,我们用五大举措来全面保障数据安全:
一是约定开放条件。在数据开放前,根据数据的特征和可能存在的风险,制定合理的开放条件,要求数据利用主体必须具有数据安全保护能力和安全可控的应用场景。
二是全流程监管。各主体对开放的全流程进行跟踪记录,特别是对数据利用情况进行跟踪监管。通过数据利用报告、数据安全抽查等方式,确保公共数据在约定的主体和应用场景内留存和使用。
三是加强风险预警。建立公共数据开放安全预警机制,对涉密数据和敏感数据泄漏等异常情况进行监测和预警。同时,充分发挥公共数据开放专家委员会作用,对跨领域数据融合风险进行评估和研判。
四是开展应急管理。制定安全处置应急预案、定期组织应急演练。出现突发情况,及时管控损失,化解风险。
五是强化评估考核。通过月度跟踪评估和年度总体评估的方式,及时发现问题,不断提高公共数据安全管理水平。
我们相信,通过上述五个方面的举措,保障上海不仅在开放数据方面走在全国前列,在数据安全方面也同样做到最好。
尹欣(市政府新闻办):刚才记者还提到了平台管理,请朱主任介绍一下,这方面我们有什么措施保障数据安全。
朱宗尧(市政府办公厅副主任、市大数据中心主任):两位记者的问题都跟数据安全相关。数据有它的特点和特性,数据是信息社会的很重要的生产资料,就像农业社会的土地,工业社会的矿产资源一样。但是数据又不同于土地或者是这些矿产资源,因为数据具有可复制性,另外,数据利用的过程实际上就是产生数据的过程。所以,数据安全特别重要,刚才秘书长在讲我们这次立法里面大家讨论最多的也是这个领域。
就数据安全而言,数据是各种主体行为活动的记录载体,涉及到个人隐私、商业秘密,还可能涉及地方和国家的公共安全。A数据开放没有问题,B数据开放也没有问题,但是A+B放在一起开放可能就有问题了。还有局部开放和整体开放也涉及到安全问题。市大数据中心在数据开放的过程当中,主要是负责推进数据开放平台的建设。这个平台是数据开放很重要的支撑工具,我们主要是扎牢两个防火墙,建立一个机制。一是要扎牢制度的防火墙。国家的网络安全要求,上海已经明确的信息安全制度,在平台建设过程中已经落实好。但光有这些制度还不够,还要根据发展的需要,制定新的管理办法。比如,刚才讲到的分级分类、用户授权都要不断完善,目前司法局正在牵头准备做全市的公共数据安全立法。
二是要扎牢技术的防火墙。刚才秘书长也讲了,我们要把一些保障数据安全的技术用好,比如数字水印、数字脱敏、数字沙箱,保证对于数据利用主体“可用不可见,数据不搬家”。
三是要建立数据安全长效运营机制。从安全监管监测的平台建设到人员配备,要建长效机制,发现问题、整改问题,形成管理的闭环。谢谢。
3、文汇报:我想请教陈鸣波副秘书长,我们知道上海的地方政府在数据开放方面一直走在国内前列。那么上海数据开放的水平和国际先进水平相比,处于什么样的状况?还有哪些不足?
陈鸣波(市政府副秘书长):首先,数据开放的基础是整个城市的信息化,要回答这个问题,必须要回答上海智慧城市的信息化在全球是什么水平。第二,民众对公共数据开放的认识水平如何。还有今天的法制环境如何。根据这几个基础,我们前面在立法之前对国内国外都进行了调研,现在对全国连续三年的第三方评估我们都是第一,但国际上面我们还是有差距的。但这个差距相比于其他的一些领域还是比较接近。全球对数据开放大约是从2009年开始推行,由英美等国家开展。据了解在欧洲推数据开放相对更加难,因为个人的维权,数据的隐私这方面保护意识比较强烈。因此客观地讲每个国家,每个地区的基础不一样。
我们与欧盟、迪拜等地在有些开放模式上是同步的。在第三方的全球评价中,上海在27个全球重要城市中名列第5,现在是这样一个水平。差距是什么呢?一个是高价值的数据开放度不够,因此我们政府一定要在开放清单推送的过程中,把有价值的、负责任的数据推出去。千万不能为了完成任务,列一个清单,把没用的数据推向社会,那水平肯定提不高。另外与社会需求的衔接是不足的,我们也在思考通过什么机制能够把社会需求和政府的开放清单衔接好。这也是和《办法》最终能不能取得实效分不开的。其实这次出台《办法》的初衷还是为国家在数据开放共享和数据安全到底怎么做进行探索。上海能不能通过一两年时间,为全国在这个领域贡献上海经验、上海方案出来。希望若干年以后,这个第三方评价会从第5到第3、第2或者第1去,这也是我们的努力方向。谢谢。
4、界面·财联社:刚刚也提到与国际先进水平相比,我们在高价值数据的开放度上还存在一定差距,那么《办法》对提高公共数据的开放质量上会有哪些助益呢?
罗培新:老子《道德经》有句名言,“天下难事必做于易,天下大事必做于细”。数据开放也适用同样的道理。《办法》将从以下四个方面来提高数据开放质量:一是明晰开放重点。数据开放千条万条,民众需求是第一条,我们把与民生关系密切、社会需求迫切的公共数据优先纳入开放重点。例如,波士顿位于美国东北部,路边的消防栓在冬季经常被大雪覆盖,不易察觉。一旦发生火灾,容易延误救援。当地政府开放市内13000个消防栓的位置数据,有社会组织开发了一款名为“领养消防栓”的应用软件,可以显示消防栓的位置信息,并监测消防栓的动态。市民可以申请“领养”一个或多个消防栓,一旦消防栓被雪掩埋,它的主人将及时收到通知,并前去铲除消防栓周围积雪,这样消防车能及时找到消防设施。上海也打算把类似这种事关公共安全且民众需求迫切的公共数据优先开放,实现急用先行、小步快走的开放路径。
二是对开放清单实施动态更新,社会公众对于公共数据的开放需求和政府治理的价值理念会不断更新变化,所以《办法》在要求数据开放主体制定公共数据开放清单的同时,还要建立开放清单动态调整机制。对目前暂时不具备开放条件但又具有一定利用价值的公共数据,开放主体要通过定期评估、动态更新等方式,不断扩大数据开放范围,丰富数据开放的内容。
三是对开放数据实行质量管控。《办法》要求数据开放主体对开放的公共数据进行整理、清洗、脱敏、格式转换等处理,防止数据安全和隐私泄露等风险,并及时更新数据,确保数据的准确性和时效性,以提高开放数据的质量水平。
最后,《办法》还规定了公共数据纠错机制。如果自然人、法人和非法人组织认为开放的公共数据存在错误或者遗漏等情形,可以通过开放平台向数据开放主体提出异议,由数据开放主体和市大数据中心在各自职责范围内及时进行处理。
我们希望这部政府规章对上海公共数据开放的质量起到提振和促进作用。期待《办法》实施后,上海公共数据开放的全球排名得到进一步的提高。谢谢。
5、东方网:数据治理是数据开放的基础,没有高质量的治理就没有高质量的数据开放和应用。请介绍一下目前上海在数据治理方面有一些什么样的具体做法和亮点?《办法》出台之后,未来有什么样的设想?
朱宗尧:这个问题既涉及到今天的主题数据开放,也是数据应用当中很重要的一个基础性、长期性的工作。如果没有高水平的数据治理,不可能有高质量的数据开放和数据应用。市领导也一直在讲,怎样把分散、孤立的数据变成汇聚整合的数据,把各个部门原来管理的数据变成真正应用的数据,这个过程当中有大量的数据治理的工作要做。数据治理也涉及到整个数据的全生命周期,开放只是其中一个环节,从采集、归集、整合、共享到开放,数据治理确实也是一个涉及面比较广的工作,涉及到所有的市级部门和所有的区,对此,年初市委市政府已经发布了《上海市加快推进数据治理促进公共数据应用实施方案》。
数据治理领域主要开展了以下几项工作:一是开展公共数据的梳理,为治理打好基础。首先要摸清家底,到底有哪些公共数据,谁掌握,多长时间更新一次。这是一个动态的过程。我们最重要的管理措施就是做好公共数据资源的目录编制,目录的数量每天都在变化,现在已经有1.5万条了。
二是知道了这些数据以后,或者在知道这些数据的过程当中,就要加强对这些数据的归集。可以讲归集也是我们整个应用很重要的基础。现在上海市的归集主要依托全市的电子政务云。按照我们的目标今年要实现完整归集,1251个系统,涉及到党委、政府、人大、政协,以及两院,这个任务很重。
三是归集好这些数据怎样提升数据的质量。现在上海市公共数据质量面临很大的问题,很多数据不用不知道,一用才发现确实有很多质量问题。比如在使用“随申办”上的“亮证”功能过程中,发现了很多驾照信息不对,身份证的信息也不对,这属于数据质量的问题。数据质量原则上是按照“谁采集、谁负责,谁校核、谁负责”来保障,这是一个长期的过程,目前正在做。
上海公共数据治理的亮点和特点,我认为有以下几个方面:一是建立公共数据的集中统一管理模式,去年发布的《上海市公共数据和一网通办管理办法》授权市大数据中心做这件事。二是建立了全生命周期数据治理的理念,从数据的产生、采集、归集、整合、共享到开放,到应用,到安全,以及最后销毁。全生命周期里面每个环节都有一些治理的原则和治理的方法。三是数据治理以需求为导向,现在上海市在推“一网通办”、“一网统管”,都是以需求为导向,所以“三清单”中第一个提出的就是需求清单。
下一步工作是在保证安全的红线和底线的前提下,有几项工作要做:一是在数据质量上肯定要下功夫,这是全市上下大家要共同努力的。二是在数据的深度应用上要下功夫,现在的应用还是初步的、基础的。谢谢。
6、上海电台:这次《办法》提到了本市会率先推出公共数据开放分级分类的机制,想问一下到底是如何分级分类的?
吴金城:公共数据开放过程中,刚才很多媒体朋友都关心到数据安全,个人隐私,商业机密,包括数据治理等方面的问题。按照以前我们说开放或者不开放,这样简单的两种方式来,已经很难适应多样化、专业化开放数据的要求。所以这一次《办法》也考虑到公共数据开放的多种要素开展分级分类,从个人的维度,组织的维度,还有客体的维度,三个维度对公共数据进行分级。比如说个人里面可以分匿名的、非敏感的数据,包括外滩的游客数据。还有非匿名、非敏感数据和匿名的敏感数据,包括一些脱敏的个人违章数据,也包括非匿名的敏感数据,比如说个人的医疗数据。
从组织维度来说也可以分为依法要公开的数据,如企业披露的信息。也包括用于自身组织运营的数据,比如说企业的用水用电的数据,这需要在特定范围内知晓。还有涉及到组织的商业机密的数据,包括一些核心技术、专利信息。
从客体的维度来说,也有一些比如说依法公开的数据,包括公共设施、公园这些地址,也包括开放风险比较低的,比如说停车位,还包括对公共安全、国家安全有一定影响的数据,药品使用的一些医疗的数据。还有就是开放度风险比较高,开放可能影响到国家安全公共安全,比如说水库,桥梁,隧道的精准位置等数据。
所以按照这几类维度,我们把这个数据的开放分为无条件开放类,有条件开放类和非开放类,面向不同的需求主体,提供多种的数据开放方式,体现精细化管理。我们也在制定《公共数据开放分级分类指南》,这个指南就明确分级分类的原则、操作流程。对这个分级分类规则进行动态管理,吸收各界的意见,不断地提高科学性。谢谢。
尹欣:今天因为时间关系,发布会提问环节到此告一段落。记者朋友还有进一步想了解的信息,请和今天出席发布会的各部门或和我们市政府新闻办联系,我们会给大家答复。今天的发布会到此结束,谢谢大家。