數據要素是數字經濟深入發展的核心引擎，在一體化政務服務的開展過程中，各級政府部門掌握了海量公共數據。2022 年 6 月，中央全面深化改革委員會第二十六次會議明確指出，“要完善數據要素市場化配置機制，推進公共數據、企業數據、個人數據分類分級確權授權使用”。這表明，公共數據是數據要素市場的重要數據來源之一，公共數據開放是激活數字經濟的重要舉措，被《聯合國電子政務調查報告》列為重要測度指標。通常，公共數據由政府賦予第三方機構聚集和管理，而公共數據開放平臺運維的技術性職能也被委托給私人企業，然而，這容易引發公共數據泄露、誤用和修改等安全問題，甚至可能導致數據被利用方再次拷貝、過度使用甚至再次販賣等。可見，公共數據安全保障顯得尤為重要，它是公共數據開放交易的基礎。

目前，國內學者關于公共數據安全保障的研究主要聚焦于公共數據安全問題、公共數據安全保障的建議和公共數據安全保障體系的建設等方面。如，鄧剛等從大數據安全保障標準化、大數據安全保障風險和大數據安全保障體系 3 個方面概述了政府部門及公共服務機構大數據安全保障現狀與發展趨勢。陳發強等提出了公共數據資源開發利用與數據安全保護平衡的觀點、公共數據資源開發利用安全保障模型及建議。上海市第一中級人民法院課題組指出公共數據安全保障存在隱患，并提出了一個事前、事中、事后和配套工作共同運行的公共數據安全保障體系?？傮w來看，現有研究較少關注公共數據安全保障的若干問題，導致研究的系統性和深度不夠，削弱了公共數據安全保障的有效性和可持續性。因此，本文擬從數據要素視角出發，對公共數據安全保障的若干問題進行研究。選擇數據要素視角主要有兩點考慮：第一，根據《術語工作：原則與方法》( ISO704: 2009)概念間的關系可被劃分為“整體—部分關系”“種屬關系”“關聯關系”。其中，“種屬關系”強調繼承全部屬性特征。公共數據作為公益屬性最強、可共享利用程度最高的數據要素，因此，上位類“數據要素”的理論也完全適用于作為下位類的公共數據。第二，《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱“數據二十條”）提出構建數據產權、流通交易、收益分配、安全治理四大數據基礎制度。可見，數據安全與數據交易都是發揮數據要素作用的基礎。因此，本文主張“在保障公共數據安全的基礎上促進公共數據開放利用”，有利于數據要素作用的發揮。于是，本文在介紹數據要素的基礎上，通過辨析數據要素幾大議題與數據安全的關系，厘定數據要素視角下公共數據安全保障的若干問題，旨在明確公共數據安全保障的定位與定性，同時為平衡公共數據安全保障和公共數據開放利用提供有益參考。

1. 數據要素：公共數據安全保障的研究視角

數據作為一種新型生產要素，區別于傳統要素，對其基本特性的理解也尚在探索之中。為此，需要介紹數據要素的基本內容，有助于人們形成對數據要素的認知，從而更好地以數據要素為視角研究公共數據安全保障的若干問題。武漢大學張平文院士和北京大學邱澤奇教授的著作《數據要素五論：信息、權屬、價值、安全、交易》從信息、權屬、價值、安全、交易 5 個維度出發，對數據要素的多維特性進行探討，豐富了人們對數據要素的認知。該論著認為數據的信息、權屬、價值、安全、交易 5 個方面是數據作為生產要素推動數字經濟發展的重要議題。這 5 個重要議題相互關聯，形成了如圖 1 所示的關系。其中，數據信息是概念起點，奠定了數據能夠成為生產要素的前提；數據價值是基本屬性，是數據賦能數字經濟、推動國家治理現代化的條件；數據安全是重要保障，有助于維持數據交易與流通環境的基本秩序；數據確權是關鍵環節，有利于確定數據價值歸屬及數據安全保障主體；數據交易是實現方式，有利于達成數據交換和融通，促使數據價值最大限度地實現。

根據數據要素的信息、權屬、價值、安全、交易 5 個重要議題，可以得出數據信息、權屬、價值、安全等是數據交易作為數據流通方式的前提。換句話說，如果公共數據不能以數據交易的形式進行流通，那么以數據要素為視角研究公共數據安全保障的若干問題是不成立的。因此，問題的關鍵在于“作為數據流通的方式，數據開放是否等同于數據交易”或者“公共數據交易是否被允許”。數據開放和數據交易同屬于數據流通的主要方式，但二者存在明顯的差異。數據開放針對的是具有公共產品屬性的數據，而數據交易針對的是具有私有商品屬性的數據。公共數據具有公共產品的性質，因此，公共數據以數據開放的形式進行流通是毋庸置疑的，并且得到了政府、實踐界和理論界人士的贊同或倡議，然而，公共數據能否成為數據交易的標的則是未知的。相關法律規定、立法研究和行業實踐顯示，公共數據可采取帶有附加條件的數據交易方式在市場上流通。比如，《廣東省公共數據管理辦法》明確要求“省人民政府推動建立數據交易平臺，引導市場主體通過數據交易平臺進行數據交易……自覺接受公共數據主管部門的監督檢查”；《海南省公共數據產品開發利用暫行管理辦法》規定“依法獲取的各類數據經處理無法識別特定數據提供者且不能復原的，或經特定數據提供者明確授權的，可以交易、交換或者以其他方式開發應用。鼓勵公共機構……向授權的服務商提供使用有條件開放的公共數據資源，進行市場化開發應用”；上海市數據立法起草組組長朱宗堯在數據交易范圍方面提到，擬明確公共數據、產品可以交易，但公共數據的原始數據集不得交易；2022 年 9 月，湛江推出的“全聯進貿通”數據產品“入市”交易，這是廣東省首個入市交易的公共數據與社會數據融合創新應用產品。綜上，本文認為，數據要素可以作為研究視角來探討公共數據安全保障的若干問題。

根據圖 1 可知，數據安全在其中占據重要地位，并與數據交易、數據權屬及數據價值都有重要的關聯。第一，“數據安全——數據交易”，重視數據安全能夠維護數據交易的基本秩序，促進培育規范的數據交易平臺。通過數據安全治理，打造安全可信的數據交易生態系統，為公共數據開放利用提供安全基礎。同時，數據交易生態系統的穩定發展也需要借助于數據安全治理來維護數據安全。第二，“數據安全——數據權屬”，厘清數據權屬，也即在肯定數據權利的基礎上，通過數據確權將數據的采集權、使用權、收益權、處分權進行合理分配，可確定數據主體對數據享有的權利范圍，有利于有效保護數據主體權益并維護數據安全。確保所有使用的安全保障手段都能滿足數據主體的安全維護需求，促使數據流通安全有序，實現數據主體的權益。第三，“數據安全——數據價值”，在公共數據開放與流通過程中，強化安全風險識別與防護，可提高數據開放與流通的安全水平，有利于發揮其作為生產要素的基礎資源作用?？梢姡瑪祿踩菍崿F數據價值的前提，一旦高價值的公共數據遭到安全威脅，將會給公共部門和國家（地區）都帶來難以估量的損失。只有在安全的前提下，公共數據的價值才能最大程度的發揮。因而，為充分釋放公共數據的活力與價值，不能對公共數據采取一刀切的安全保護，應該結合數據價值大小采取不同級別的數據安全保障措施。為此，可根據數據資產估值結果，結合數據應用場域，對數據進行分級分類，為數據安全的風險識別和預防提供參考。綜上可知，進行公共數據確權、開展公共數據估值、建立公共數據安全治理體系和形成數據交易生態系統共同組成數據要素視角下公共數據安全保障的若干問題。對于公共數據安全保障而言，這些問題之間的關系如圖 2 所示。其中，進行公共數據確權是前提，可明確維護公共數據安全邊界的各方主體；開展公共數據估值是條件，可為公共數據安全的風險識別和預防確定數據級別；建立公共數據安全治理體系是實踐，各方主體采取措施協同確保公共數據安全；形成公共數據交易生態系統是效果，通過公共數據安全保障達成促進公共數據交易與利用的效果。

2. 公共數據安全保障的前提：進行公共數據確權

公共數據源自于公共管理機構和公共服務機構在依法履職和提供公共服務過程，其可能涉及國家秘密等國家安全事項和個人信息、個人隱私等個人合法權益。國家秘密關系到國家安全和利益，受《中華人民共和國保守國家秘密法》保護，所有國家機關、武裝力量、政黨、社會團體、企業事業單位和公民都有保守國家秘密的義務。為了服務于促進經濟發展的公共利益和保護國家安全、個人合法權益，進行公共數據確權是必要的。只有確權后，方能實現“數據二十條”關于“鼓勵公共數據在保護個人隱私和確保公共安全的前提下向社會提供” 的期望?？梢?，公共數據確權是公共數據安全保障非常重要的環節，因為它建立了數據所有權和責任歸屬的框架。明確數據合法所有者，有助于規范數據的使用和分享，防止數據被濫用、篡改或未經授權的訪問；同時，建立合適的權限管理和監督機制，可以提高數據的可信度和完整性，從而保障公共數據的安全。

公共數據作為數據要素的一部分，數據確權的相關研究和觀點可以為公共數據確權提供借鑒和參考。數據確權是發揮數據要素作用的基礎。數據資源持有方對數據資源進行登記、完成必要的確權和合規性審查，為數據交易提供了信任基礎和憑證創建基礎。明確的數據權屬可確定數據主體享有的數據權利范圍，以有效保護數據主體權益并維護數據安全。目前，關于數據確權存在多種觀點：第一，原始數據的權利屬于數據生產者，次生數據的權利屬于數據加工者，國家數據的權利屬于國家，公共數據屬于所有公民。第二，原始數據的數據權利應屬于數據產生者，次生數據權利應賦予數據生產者。第三，無論數據屬于哪種類型，都可以分為 3 種狀態：靜態數據、使用數據和動態或傳輸數據。來自個人或企業的數據元素可以在一個系統中處于靜止狀態，在另一個系統中被使用或處理，又在另一個系統中處于運動狀態。因此，得出結論：如果數據可以同時處于不同的狀態和不同的系統中，那么數據所在的每個實體（無論是進程內的還是路由內的）都有可能聲稱對該數據元素擁有所有權?？梢?，數據確權尚未形成一致的觀點，這與對數據特性認識不充分、數據利益訴求多樣以及數據確權的方式不夠科學有關。而關于公共數據確權，學者對公共數據所有權屬于國家這一點基本達成一致。然而，對用益和運營方面的權利規定有不同觀點：第一種觀點認為，《憲法》 第十二條為公共數據憲法上國家所有提供了依據，《民法典》第二百四十六條是公共數據憲法上國家所有向民法上國家所有權轉化的通道。這些規定確定了公共數據國家所有權的權利主體、權利客體、權利內容和權利限制。第二種觀點認為，對于開放的公共數據的產權可表述為國家所有權+公眾用益權；對于未開放的公共數據，包括公共數據中未開放的部分和企業所收集的未開放的公共信息，此類數據的所有權應為國家所有，政府對前者進行使用和運營，企業對后者享有用益權。第三種觀點認為，公共數據歸政府所有，面向社會開放，免費提供使用服務。這些觀點為公共數據確權提供了多樣化的思路和方法，但也需要進一步的研究和探索，以形成更加科學合理的數據確權制度，保障數據主體權益，服務于公共數據安全保障和交易。

3. 公共數據安全保障的條件：開展公共數據估值

開展公共數據估值是公共數據安全保障的條件之一，因為它有助于識別數據的價值和重要性。通過公共數據估值，可以更好地理解其對于賦能政務治理、賦能經濟發展、賦能共同富裕具有的意義，促使政府和相關組織確保對數據安全的投入和管理，平衡數據的利益和風險，推動公共數據安全和創新利用的平衡發展。

數據估值（data valuation）是會計學和信息經濟學領域的一門學科，其關注點在于如何計算組織收集、存儲、分析和交易的數據價值。隨著數據作為一種資產在私營和公共部門的重要性逐漸得到認可，數據估值受到了越來越多的關注。在過去的 20 年里，數據估值得到了廣泛的研究。2020 年，英國劍橋大學納菲爾德研究所將數據的特征分為經濟價值和信息價值兩類。其中，經濟價值包括：數據的非競爭性、數據的外部性、數據的經濟回報具有可變性、數據具有高期權價值(option value)、數據收集具有較高的前期成本和較低的邊際成本、數據使用需要補充投入。數據的經濟價值特征足以說明進行數據估值是合理的，而且基于數據經濟價值的波動性，需要定期開展數據估值。比較著名的數據估值方法是 2020年英國劍橋大學納菲爾德研究所提出的基于市場和基于非市場的數據估值方法[31]。第一，基于市場的數據估值方法包括股票市場估值（Stock market valuations）、基于收入的估值（Income-based valuations）和基于成本的估值（Cost-based valuations）。股票市場估值顯示了投資于數據和數據能力的公司所獲得的優勢。基于收入的估值旨在估計可能來自數據的當前和未來收入。第二，基于非市場的數據估值方法包括開放數據的經濟價值（The Economicvalue of open data）和個人數據的價值（The value of personal data）。開放數據的經濟價值通過使用條件估值（contingent valuation）方法創建，著眼于①監管數據的組織（Organizationsthat steward data）；②重用數據創建產品和服務的中介機構（Intermediaries that reuse data tocreate products and services）；③使用這些產品和服務的個人和組織（People and organizationswho use those products and services）。個人數據的價值也可通過條件估值方法來估值，結果取決于所問的問題。例如，一項針對美國消費者的調查顯示，他們愿意每月支付 5 美元來使用隱私保護服務，但愿意每月支付 80 美元來訪問個人數據。消費者表示，他們需要得到約48 美元的補償，才能放棄 Facebook 一個月。足見，不同的數據估值方法適用于不同的數據類型和應用場景，以更準確地評估數據的價值。公共數據估值也可采用類似的方法。目前，我國部分地區已經開始實施公共數據資產估值。比如，貴陽大數據交易所率先對氣象、電力等公共數據開展數據定價試驗，由于場內數據交易的頻率和規模較小決定了成本法更適用于公共數據資產定價；山東公共數據開放平臺構建了全省一體化的數據資源體系，所以公共數據估值既要考慮平臺自身價值，也要兼顧其他地市級數據開放平臺價值的影響。數據估值定價是一個循序漸進的過程，應根據不同發展階段的需要選擇合適的定價方法。隨著數據交易階段的發展變化，公共數據估值也要經歷從成本法、收益法到市場法等方法的演變。按照數據資產估值結果，結合公共數據的粒度和使用范圍，可以對公共數據的重要性進行分類，以此作為制定相應的數據安全等級保護措施的依據，為公共數據安全風險識別和預防提供參考。對于高價值的公共數據，應制定級別較高的數據安全保護等級，并賦予特別的安全關注，以避免給國家安全和公共利益造成更大的損失；對于低價值的公共數據，可制定級別較低的數據安全保護等級，以實現公共數據最大程度的開放利用，共享公共數據的價值。

4. 公共數據安全保障的實踐：建立公共數據安全治理體系

各國（地區）政府都充分認識到影響公共社會的工業數據、政務數據、科研數據等公共數據對社會的重要性，因此紛紛發起開放數據倡議。但是，這必須在確保國家公共安全和社會穩定的前提下進行。例如，《中華人民共和國數據安全法》明確規定了建立全國性的系統評估、報告、信息共享、監測和預警機制，并建立數據安全事件應急響應機制，以消除安全風險，減輕損害。盡管公共數據安全保障至關重要，但也不能只顧及安全而忽略公共數據的開放利用。因此，二者必須齊頭并進，共同發展。數據安全治理主張平衡數據發展與數據安全，因此，建立公共數據安全治理體系是非常重要的實踐，其既可以全方位保障公共數據安全，又能促進公共數據的開放利用。

數據安全治理最早出現在《2015 年數據安全技術成熟度曲線》報告中，是數據治理框架下的一個環節或子過程。盡管數據治理和數據安全治理的宗旨都是提升數據資產價值，但是數據安全治理更強調兼顧數據安全與數據流通的雙重面向。為了賦予“數據安全治理”以中國特色，我國中關村網絡安全與信息化產業聯盟、數據安全治理專業委員會相繼起草多版《數據安全治理白皮書》。其中，2022 年版將其定義為“讓數據使用自由而安全”的愿景，旨在安全有序推動數據流動，平衡數據發展與數據安全，為我國易于落地的數據安全建設的體系化方法論。建立公共數據安全治理體系主要涉及如下維度：第一，公共數據安全制度及要求。①制定公共數據安全政策，如數據安全記錄、自我報告和監測政策，實現對數據安全行為和事件的記錄、對潛在不當行為的監測和調查、對不當行為的自我報告，另外也可要求參與處理公共數據的第三方具備健壯的數據安全政策；②明確公共數據安全要求，這是公共數據安全保障的效果檢驗標準，以制定主體不同可分為政府公共數據安全要求、行業數據安全要求和機構公共數據安全要求等。例如，2022 年深圳市政府開始實施的《公共數據安全要求》明確提出公共管理和服務機構在處理公共數據過程中應遵循的安全原則和安全要求，涉及數據收集、存儲、傳輸、使用、加工、開放共享、出境、銷毀與刪除等數據處理活動的安全要求[39]。數據安全治理需要“技術—社會—法律”的聯動，合適的數據安全制度與要求可以有效助力公共數據安全保障。第二，公共數據安全治理主體。建立各級各類數據安全治理主體，并確保領導層對數據安全負起領導責任，形成公共數據安全治理的基調，促使公共數據安全治理得到從上到下的重視。另外，需要這些主體進行培訓，提升其維護公共數據安全的能力，也有助于營造本地域、行業或機構的公共數據安全文化。第三，公共數據安全保護責任與義務。合理分配公共數據安全保護責任與義務內容，是執行和落實公共數據安全制度的先決條件，也是實現各類各級主體分工合作、有序治理公共數據安全的前提和基礎。數據安全治理關注的是對數據的控制和流動的平衡。為此，可結合數據全生命周期確定具體的數據安全保護責任與義務，既可以實現對公共數據安全的有效保護，還能保障數據適當的流動性。第四，公共數據安全追責。在明確各級各類公共數據安全保護責任與義務的基礎上，進一步明晰公共數據安全追責路徑，當公共數據安全風險及侵權事實發生時，對各級各類數據安全治理主體追責。具體法律責任的劃分應結合數據的類型和重要性、安全風險和事件的影響范圍及治理主體是否存在主觀過錯等進行考慮，從而合理追責，以保障數據安全的有效保護和合理流動。

5. 公共數據安全保障的效果：形成公共數據交易生態系統

國際社會已經普遍認識到公共數據存在巨大的價值有待開發，迫切需要各國（地區）構建合適的公共數據開放生態為公眾服務。自 2009 年以來，開放政府數據倡議開始出現，例如，2009 年奧巴馬行政命令和 2010 年歐盟委員會數字議程。2022 年，我國“數據二十條”要求“推動用于數字化發展的公共數據按政府指導定價有償使用”，表明了政府推動公共數據交易與利用市場化建設的決心。因此，應主張建設公共數據交易生態系統，涵蓋國際社會的公共數據開放生態，進而體系化推進公共數據的廣泛使用。公共數據安全保障，可以建立信任，鼓勵更多的數據共享和合作活動，從而促進公共數據交易生態系統的形成和發展。在我國，數據交易生態系統構建尚處于探討階段，但國際上已有關于數據交易生態系統的一些標準和研究，比如，Big data -Framework and requirements for data exchange （ITU-T Y.3601-2018）為大數據生態系統中的數據交換提供了一個框架；Updated draft RecommendationITU-T Y.BigDataEX-reqts, "Big data exchange framework and requirements"詳細描述了大數據交易生態系統中的角色、活動等，從而提煉出大數據在交易過程中的功能需求；HayashiT 等認為，數據交換生態系統是一種以數據為中介的服務生態系統，在業務參與者(利益相關者)之間的長期競爭與合作中是自組織的。數據交易生態系統中的各個主體，包括數據賣方、數據買方、數據監管方、數據交易平臺和第三方機構等，通過數據流動相互連接，形成共生關系，具有自我調節能力，通過數據交易實現利益共享的目標，建立并維持市場的有序運行?？梢?，數據交易生態系統是數據共享和交易的基礎。

如果公共數據安全無法得到保障，各主體的信任將會受到損害，進而影響到數據交易活動的規范化和健康發展。通過公共數據安全的保障，可以建立用戶和組織對數據交易的信任，促進數據共享和合作的增加。此外，公共數據安全也鼓勵創新，因為人們更傾向于利用安全的數據來開發新的應用和解決方案。最終，通過提高公共數據的安全性和可信度，可以增加數據的價值，激發更多的數據交易活動，促進公共數據交易生態系統的健康發展?？梢?，公共數據安全保障對于推動公共數據交易生態系統的形成和發展具有重要作用。

為此，可通過制定數據安全標準、應用數據安全技術、實施安全風險管理等措施，保障公共數據的安全和可信度。具體來說：第一，制定數據安全標準，確立一套統一的規范和指導原則，指導公共數據的收集、存儲、處理和共享過程中的安全措施。這有助于提高各方對數據安全的重視程度，建立共識和規范，有效地防范數據泄露、濫用和損害，保障公共數據的安全性和可信度。第二，廣泛應用技術手段創新，如數據加密、身份認證、訪問控制等，以提升數據安全水平，保護公共數據安全。比如，基于區塊鏈的安全數據交易生態系統（SDTE）實現一種數據安全交易機制，解決數據交易平臺的安全問題。在 SDTE 中，數據買方和數據交易平臺都無法獲取數據賣方的源數據，數據買方的數據分析過程被遷移到平臺之上，同時也保障其執行過程及結果的安全性，且可以防止數據交易平臺竊取隱私數據并進行二次轉賣。第三，建立安全風險管理體系和應急響應機制，及時應對數據安全事件，保障公共數據安全不受損害，維護數據交易生態系統的穩定和可持續發展。這包括對數據安全事件進行風險評估、制定應急響應預案等措施，以降低數據安全風險對系統的影響。

6. 結語

根據上述分析可知：進行公共數據確權、開展公共數據估值、建立公共數據安全治理體系和形成公共數據交易生態系統是數據要素視角下公共數據安全保障的若干問題。其中，進行公共數據確權明確了維護公共數據安全邊界的各方主體；開展公共數據資產估值，為公共數據安全的風險識別和預防提供了重要參考依據；建立公共數據安全治理體系，加快建設由政府部門、社會組織、公眾等共同參與的公共數據協同治理，有助于全方位保障公共數據安全；形成公共數據交易生態系統，有助于平衡公共數據的安全與公共數據交易。本研究拓展了公共數據安全保障的研究視角，為公共數據安全保障提供了理論基礎和方法支持，具有重要的理論與現實意義。未來可以嘗試從其他視角研究公共數據安全保障，拓寬理論視野，不斷汲取有益“養料”，以期進一步深化該領域的理論發展和實踐應用。