国内外科学数据隐私保护政策比较研究

魏来 李思航

摘 要 论文全面梳理了国内外科学数据隐私保护政策的建设与发展现状，在对国内外科学数据管理平台的科学数据隐私保护政策调查的基础上，从数据加密、访问控制、安全数据环境、知情同意、数据隐私风险评估、问责机制、隐私保护法、专业数据管理员、数据隐私保护培训指导等九个方面对国内外科学数据隐私保护政策比较分析，为我国出台科学数据隐私相关的法律法规，明确具体保护措施提出具体的建议。

关键词 科学数据 隐私保护 隐私政策 数据隐私

分类号 G203

DOI 10.16810/j.cnki.1672-514X.2020.12.003

A Comparative Study on Privacy Protection Policies of Scientific Data at Home and Abroad

Wei Lai， Li Sihang

Abstract This paper summarizes the construction and development status of domestic and foreign scientific data privacy protection policies. Based on the investigation of scientific data privacy protection policies of domestic and foreign scientific data management platforms， 9 aspects of data encryption， access control， secure data environment， informed consent， data privacy risk assessment， accountability mechanism， privacy protection law， professional data administrator， training and guidance of data privacy protection of domestic and foreign scientific data privacy protection policies are comparatively analyzed， so as to put forward scientific data privacy related laws and regulations， and to clear specific protection measures.

Keywords Scientific data. Privacy protection. Privacy policy. Data privacy.

0 引言

科学数据是指在科技活动（实验、观测、探测、调查等）中或通过其他方式所获取的反映客观世界的本质、特征、变化规律等原始基本数据，以及根据不同科技活动需要，进行系统加工整理的各类数据集[1]。高校和科研机构作为国家科学研究的主要力量，每年都会产生大量的科学数据，科学数据的收集、分析、保存及共享可以为科研提供有效帮助，其价值日益凸显[2]。在科学数据为科学研究提供帮助的同时，数据保护的问题也日益显露出来，其中科学数据隐私保护尤其重要。科学数据隐私保护是指保护研究活动中产生的不愿告知他人或不愿公开的具有敏感性、机密性的数据[3]。如何对科学数据中的敏感数据进行规范处理？如何保护科学数据研究活动及研究对象的隐私？这些都是亟待思考和解决的问题。

2018年3月17日，国务院办公厅印发了《科学数据管理办法》[4]，明确了我国科学数据保密与安全等方面内容，进一步加强和规范了科学数据管理，保障了科学数据隐私、安全，提高了科学数据开放共享水平，为我国科学数据隐私保护政策的制定提供了宏观指导。笔者调研发现，国外高校和科研机构制定了一系列科学数据隐私保护政策，是数据隐私保护方面的先驱者，我国部分高校和科研机构虽然也制定了科学数据的相关政策，但在数据隐私保护方面还处于起步阶段。鉴于此，本文通过对比国内外高校和科研机构的科学数据隐私保护政策，总结其经验，发掘可借鉴之处，为我国科学数据隐私保护政策的规划和建设提供相应参考。

1 国内外相关研究

在科学数据隐私保护方面，国外有丰富的理论研究，重视具体方法和技术探索与实践，在政策层面更加关注临床医学数据领域，并通过技术手段对不同领域的数据隐私问题提供保障。国内研究注重学习国外政策并对我国政策内容进行设计，一般围绕相关机构的科学数据管理、共享、保存政策的调研来展开，但是对政策的详细调研与描述很少。

1.1 国外研究现状

从Web of Science文献数据库中进行检索发现，国外一直非常重视数据隐私保护方面的研究。

在政策层面，大多是关于临床医学数据的隐私保护政策研究。如Suominen[5]比较了国际、澳大利亚、芬兰的健康数据隐私保护政策，明确在国际研究中使用健康数据的要求，分析他们在研究许可过程、数据跨境流动、研究项目衍生资源处理等方面的区别。Malin等[6]梳理了与临床研究相关的数据隐私保护政策并重点研究了美国国立卫生院的政策，为临床数据库提出相应的法律和政策建议，以加强其科学数据隐私保护。Arellano等[7]对修订后的通用隐私保护政策和HIPPA隐私安全法则的相关内容进行梳理，总结了政策中科学数据隐私的四种保护方法：去识别、数据匿名化、加密、隐私保护预测建模，并详细分析了各个方法的多种实现方式。

在實践层面，通过技术手段为数据隐私问题提供保障。Delvaux等[8]研究了比利时一种全国范围的隐私保护系统，该系统对数据检索和传输过程进行加密，并对患者数据进行假名化来保护数据隐私。Dong等[9]建立了一个安全共享敏感数据的框架，提出了一种基于异构密文转换的加密算法和一种基于虚拟机监控的用户进程保护方法，用来保护用户敏感、隐私数据的安全。

1.2 国内研究现状

关于科学数据隐私保护的研究，近年来也引起了国内学界的关注，国内学者的研究主要集中在对国外政策、实践案例的调研与分析。一些学者通过对国外高校科学数据管理、共享、保存等政策的研究，揭示了大学在数据隐私保护方面的对策和实践经验。魏悦等[10]调查国外高校科学数据管理与共享政策发现，要保证隐私数据的安全，科研人员应注意科研过程中的权限许可问题，防止发生未经允许、不合规范的行为。丁培[11]通过调查了解到澳大利亚高校的数据隐私保护相关政策比美国、英国高校更加完善，建议国内大学在制定数据隐私保护政策时，应针对不同的学科进行侧重说明，根据科研人员的需求深化对数据隐私的规定。王琼等[12]通过调查发现，英国高校主要从重要性和具体措施两个方面对数据安全和隐私进行说明。

也有学者对国外科研机构、科研资助机构等的政策进行了分析研究。黄国彬等[13]通过比较分析英澳两国科学数据个人隐私保护政策，发现两个国家的科学数据个人隐私保护相关内容大多涉及人类被试的研究，由于政策制定主体单位不同，政策内容也存在一些区别。张瑶等[14]研究发现国外科研资助机构对涉及到机密和隐私的数据设定了数据共享限制，并采用数据修订、匿名化数据、隐藏所有标识符等具体方式保护机密数据。

2 国内外科学数据隐私保护政策调查分析

2.1 调查对象和方法

在调研过程中发现，国内外高校和专业型科学数据平台比较重视科学数据隐私保护，因此将这两类机构主体作为调查对象。在高校的选择上，由于英国、美国、澳大利亚三国较早关注了科学数据隐私保护，相关政策内容也比较完善，因此，本研究从2020年QS发布的世界大学排名前50的高校中，选取10所英、美、澳大学作为研究对象;国内则选取北京大学、武汉大学、复旦大学、清华大学、中国人民大学、湖南大学六所高校作为调查对象。在专业型科学数据平台方面，笔者选取了国外GenBank、NIH、NCDC、Astronomical Database、HEPData五个不同领域的平台作为调查对象;国内选取国家基因库生命大数据平台、国家地震科学数据共享中心、中国林业科学数据中心、国家农业科学数据中心、国家气象科学数据共享中心、国家人口健康科学数据中心、国家地球系统科学数据共享平台七个具有代表性的专业型科学数据平台进行调研。本文主要通过网络调研法，分别访问各机构网站，逐一确定各机构是否制定了科学数据隐私保护相关政策，并对其政策规定的内容进行阐释。调研时间为2020年4月28日至5月17日。

2.2 国内外高校科学数据隐私保护政策调查

2.2.1 国外高校科学数据隐私保护政策

通过对国外十所大学的调研，发现部分高校拥有独立的科学数据隐私保护政策，还有一些高校在其他科学数据政策中对科学数据隐私保护进行了介绍和描述，有关国外高校的政策调查情况如表1所示。

从表1来看，调查的十所高校的政策都对科学数据隐私保护做出了详细的规定，从多方面对保护措施进行了说明。上述高校在保护数据隐私的过程中，大都重视对数据加密技术的运用，可见这种常见方式的重要性。对于敏感数据的访问与共享也有严格要求，不仅通过多样化的权限机制来实现访问控制，还提供安全的数据环境，以确保数据存储和共享的安全性。同时，国外高校十分重视人的权益的保护，涉及研究对象隐私的数据要求获得被试者本人知情同意。除此之外，国外相关法律法规也为高校科学数据隐私保护及政策的制定提供了支撑和依据。

2.2.2 我国高校科学数据隐私保护政策

近年来，我国高校纷纷开始建立科学数据管理平台，但建设步伐比较缓慢，笔者对建设较完善的六所高校的科学数据管理平台进行调研。在调研过程中，笔者仅在北京大学开放研究数据平台[25]、武汉大学高校科学数据共享平台[26]、复旦大学社会科学数据平台[27]中发现隐私保护政策，并对这三所高校的科学数据隐私保护政策内容进行调查（见表2）。

我国高校已经加快了科学数据管理平台的建设步伐，但建设成果仍然不让人满意，目前只有少数高校意识到科学数据隐私保护的重要性。调查的高校中，仅发现三所学校有数据隐私保护政策，其中北京大学政策规定详细，开展了多层级、群组化的访问控制机制，不仅控制访问权限，还对数据权限的申请进行严格审核。三所学校均设置了专业数据管理人员管理数据和提供服务，北京大学还设有专门资料库管理人员，如发现数据资料中包含有能识别受访对象的信息，可以联系该工作人员进行处理。武汉大学和复旦大学虽然政策简略，存在较大空白，但也有自己的管理与保护方式，武汉大学会通过培训来提高研究人员的数据隐私保护能力与意识，复旦大学则提供数据监控服务器，并会定期备份安全数据。

2.3 国内外专业型科学数据平台数据隐私保护政策调查

2.3.1 国外专业型科学数据平台数据隐私保护政策

由于国家、科研机构对科研活动产生的科学数据提出存储的要求， 国际上陆续建成了一批服务于科研社群的高质量科学数据平台，笔者选取了GenBank、NIH、NCDC、Astronomical Database、HEPData五个国外不同领域的专业型科学数据平台作为研究对象，调查结果显示其中有三个平台对科学数据隐私保护进行了政策说明，政策详细内容见表3。

国外专业型科学数据平台重视保护研究参与者的权益，涉及到隐私的数据，要求获得本人知情同意，并有委员会对相关材料进行审核。良好的訪问控制可以帮助数据所有者遵守隐私和保密政策，在访问控制方面，由委员会审查访问请求，获得批准的研究者需要签署保密协议，同时只有获得批准的研究人员才能访问敏感数据，并用于二次研究。通常情况下，为避免违规行为的发生，平台会实行严格的问责机制，设立专门机构和管理人员来处理违规行为。

2.3.2 我国专业型科学数据平台数据隐私保护政策

近年来，我国科学数据管理平台建设发展迅速，总量颇具规模，也取得了一定成果。笔者调查了七个专业型科学数据平台，在国家基因库生命大数据平台、国家地震科学数据共享中心、中国林业科学数据中心、国家农业科学数据中心、国家气象科学数据共享中心、国家人口健康科学数据中心这六个平台中找到了科学数据隐私保护政策，访问其相关政策文件，对政策内容进行调查，详见表4。

总体来看，我国专业型科学数据平台重视对数据、用户的分级授权管理，如林业科学数据平台将数据分为公开数据、国家内部数据、部门内部数据、秘密数据、机密数据、绝密数据六个保密级别，地震科学数据平台将用户分为公务用户、公益性用户、经营性用户和公众用户四类，强调用户应根据所获得的数据权限访问相应级别的数据。在数据共享上，涉密数据要通过审核才能进行共享，并要严格控制共享范围。在数据处理方面，对敏感数据设置数据禁锢期，等到数据敏感程度降低以后再开放共享。

3 国内外科学数据隐私保护政策总结与对比

综上所述，笔者针对调查结果将国内外高校和专业型科学数据平台的科学数据隐私保护政策内容归纳为数据加密技术、访问控制、提供安全数据环境、研究对象知情同意、数据隐私风险评估、问责机制、数据隐私保护法律、专业数据管理人员、数据隐私保护培训指导9个方面，如表5所示。

通过上述调查分析发现，国外高校和科学数据平台均十分重视科学数据隐私的保护，从政策制定到政策实践形成了一个完整的体系。相较于国外，国内机构也逐渐意识到科学数据隐私保护的重要性，致力于政策文件的制定，但由于政策制定机构不同、关注重点不一致，国内外科学数据隐私保护政策还是存在一些差异，笔者现根据上述整理的政策内容的九个方面进行梳理（见表6、表7）。

从高校政策调查結果来看，国外大学科学数据政策体系比较成熟，将科学数据隐私保护嵌入到科研活动的全过程。反观国内，除了北京大学和复旦大学的科学数据平台拥有较详细的科学数据隐私保护政策，其他学校的政策均比较笼统，大多没有制定相关政策，政策内容和具体措施的发展较国外相对滞后。

在数据处理方面，国内外高校均使用数据加密和访问控制的方式保护数据隐私。国外高校使用如数据匿名化、假名化、去标识处理这些常见的数据加密手段;而国内高校只是在政策中对数据加密技术进行了简要说明，并未提及具体的做法。在访问控制上，国外的实现方式多样，如对数据进行访问控制可以是限制访问数据的人群，也能按数据敏感级别设置访问权限;国内仅北京大学实行了多层级、群组化的访问控制。

在数据管理与服务方面，国内外高校均重视数据环境的安全性。国外许多高校具有自己独具特色的做法，如爱丁堡大学提供Data safe Haven的安全空间来存储和共享隐私数据，麻省理工学院通过Spirion工具扫描计算机中的敏感数据，哈佛大学为研究者提供敏感数据的共享模型，研究人员可在安全环境下进行特定范围的数据共享;国内高校只是对数据存储进行专业管理及通过数据监控器来保证数据环境的安全。在数据服务上，国外高校会提供数据风险评估服务，要求提供安全报告供委员会审查，国内高校在这方面比较欠缺。同时，国内外高校会通过预约课程或者培训的方式来对研究人员进行指导，并会设置相关专业人员来管理数据并对违规行为进行反馈。

在规章制度方面，国外高校受到国家、地方的隐私保护法的支撑，科学数据隐私受到如《数据保护法》《信息自由法》、HIPPA法案等法律法规的保护;而我国还没有出台专门的隐私保护法，没有形成宏观的政策体系。

通过对专业型科学数据平台的调查总结，了解到国内外各类专业型科学数据库大都已经意识到科学数据存在隐私安全问题，具体分析如下。

（1）国外通过数据匿名化或删除直接、间接标识符的方法对敏感数据进行处理，以此保护科学数据隐私。对涉及人类研究的数据有非常严格的限制，设立数据审查委员会、隐私委员会对样本数据和被试者知情同意书进行检查，还对涉及特殊群体如孕妇、儿童等研究的注意事项进行了专门说明，在进行研究之前需评估潜在风险。国内平台重视数据分级分类，将数据分为不同的受控访问等级，并设置数据禁锢期来实现访问控制，还按发布和共享的范围将数据分级，按用户对数据的使用性质将用户分类，以此来对用户进行分级授权管理。

（2）数据管理与服务上，国外提供安全的云存储工具，并对数据隐私潜在风险进行评估;我国采用多中心、多副本、多节点、分布式的形式存储数据，并将数据库异地安全备份。

（3）国外平台除了有法律法规的保障，还通过签署保密协议和严格的问责机制保证数据隐私的安全，以降低隐私泄露的风险。我国各类机构强调，涉及国家机密、安全、社会公共利益的数据，要求严格控制知悉范围并遵守相关国家法律，使用、共享涉密数据的行为若违反《中华人民共和国保守国家秘密法》等法律、法规，由有关部门依法进行处罚。

4 对我国制定科学数据隐私保护政策的启示

4.1 出台相关法律法规，创造隐私保护有利环境

国外在上世纪就出台了隐私保护相关法律，如美国和澳大利亚颁布的《隐私法》，英国的《数据保护法案》，美国针对特定领域制定了HIPPA法案等，守住了数据隐私保护的底线，为各机构制定科学数据隐私保护政策提供了支撑和指导。然而，我国有关隐私和数据保护的规定分散于各个法律中，没有详细且完整的法律体系，极大地限制了科学数据隐私的保护。我国需要制定综合性的隐私保护法，明晰隐私保护的内涵、对象及处理方式，同时作为隐私保护的基础性法律，与其他法律法规一起构成我国的隐私保护法律体系，或者制定一些专门的隐私保护政策，如隐私风险评估方法、个人隐私保护原则等。

4.2 政策内容应详细且具有可操作性

国外大多数政策都详细描述了科学数据隐私保护的方法步骤，并对保护的各个环节给出具体规定，我国机构很少有独立的科学数据隐私保护政策，内容以简单描述为主，并未说明具体实践方法。数据隐私保护需要对政策的适用范围和管理对象作出明确界定，明确隐私保护过程中各个角色的职责，对于特殊群体的数据要进行严格、特殊处理等。在制定政策之初，可以听取各方意见，借鉴国外隐私保护政策制定中的成功经验，结合我国实际，使政策内容完整具体，具备可操作性。

4.3 高校应制定自己的科学数据隐私政策

通过上述调查发现， 国外发达国家除了专业型科学数据平台制定了完善的数据隐私政策以外，大多数高校也都制定了本机构的数据隐私保护政策。近年来我国高校纷纷加快了科学数据管理平台的建设步伐，北京大学、复旦大学、武汉大学等均建立了科学数据平台，但平台政策规定比较笼统，更是忽略了数据隐私保护相关的内容。我国高校应该响应国家的号召，制定相应的科学数据政策，加强科学数据隐私的保护力度，促进科研成果和科学数据的规范管理、有效保存、安全共享，更好地发挥科学数据的价值作用。

参考文献：

司莉，邢文明.国外科学数据管理与共享政策调查及对我国的启示[J].情報资料工作，2013（1）：61-66.

魏来，高希然.大数据背景下高校数据馆员的角色定位[J].情报资料工作，2015（5）：90-94.

陈朝兵，郝文强.美英澳政府数据开放隐私保护政策

法规的考察与借鉴[J].情报理论与实践，2019（6）：159

-165.

国务院.科学数据管理办法[EB/OL].[2019-05-10].

http：//www.gov.cn/zhengce/content/2018-04/02/content_5279272.htm.

SUOMINEN H.Towards an international electronic repository and virtual laboratory of open data and open-

source software for telehealth research：
comparison of

international，Australian and Finnish privacy policies[J].

Studies in Health Technology and Informatics，2012，182：

153-160.

MALIN B，KARP D，SCHEUERMANN R H.Technical and policy approaches tobalancing patient privacy and data sharing in clinical and translational research[J].Journal of Investigative Medicine，2010，58（1）：11-18.

ARELLANO A M，DAI W，WANG S，et al.Privacy policy

and technology in biomedical data science[J].Annual Review

of Biomedical Data Science，2018，1（1）：115-129.

DELVAUX N，AERTGEERTS B，VAN BUSSEL J C H，et

al. Health data for research through a nationwide privacy-proof system in Belgium：design and implementation

[J].Jmir Medical Informatics，2018，6（4）：219-228.

DONG X H，LIR X，HENG H，et al.Secure sensitive data sharing on a big data platform[J].Tsinghua Science and Technology，2015，20（1）：72-80.

魏悦，刘桂锋.基于数据生命周期的国外高校科学数据管理与共享政策分析[J].情报杂志，2017（5）：153-158.

丁培.国外大学科研数据管理政策研究[J].图书馆论坛，2014（5）：99-106.

王琼，曹冉.英国高校科研数据保存政策调查与分析[J].中国图书馆学报，2016（5）：102-115.

黄国彬，刘馨然，张莎莎.英澳科学数据共享过程中个

人隐私保护政策研究[J].图书情报知识，2017（6）：105-113.

张瑶，顾立平，杨云秀，等.国外科研资助机构数据政策的调研与分析：以英美研究理事会为例[J].图书情报工作，2015（6）：53-60.

University of Edinburgh.Data Protection Policy[EB/OL].

[2020-04-28].https：//www.ed.ac.uk/records-management/

policy/data-protection.

University of Oxford.Research Data Protection Policy[EB/

OL].[2020-04-28].http：//research data.ox.ac.uk/home/

managing-your-data-at-oxford/ethical-legal-commercial/.

Harvard University.Research Data Security Policy[EB/OL].[2020-04-28].https：//vpr.harvard.edu/pages/harvard

-research-data-security-policy.

MIT.Data Protection Policy[EB/OL].[2020-04-28].http：//couhes.mit.edu/guidelines/data-protection.

Yale University.Research Data Policy[EB/OL].[2020-04-

28].https：//guides.library.yale.edu/rdm_healthsci/policies.

Stanford University.Protection of Sensitive Data[EB/OL].[2020-04-28].https：//exploredegrees.stanford.edu/nonacademicregulations/protection-of-sensitive-data/.

Columbia University.Data Security Policy[EB/OL].[2020-04-28].https：//research.columbia.edu/content/data-security.

Johns Hopkins University.Research Data Policy[EB/OL].[2020-04-28].https：//it.johnshopkins.edu/policies/standards.html.

The University of Queensland.Research Data Management

Policy[EB/OL].[2020-04-28].https：//ppl.app.uq.edu.au/content/4.20.06-research-data-management.

The University of Sydney.Research Data Policy[EB/OL].[2020-04-28].http：//sydney.edu.au/policies/.

北京大學开放研究数据平台[EB/OL].[2020-05-17].http：//opendata.pku.edu.cn/.

武汉大学高校科学数据共享平台[EB/OL].[2020-05-17].http：//www.lib.whu.edu.cn/kxsj/.

复旦大学社会科学数据平台[EB/OL].[2020-05-17].http：//dvn.fudan.edu.cn/.

GenBank. Privacy Policy[EB/OL].[2020-05-17].https：//www.ncbi.nlm.nih.gov/genbank.

NIH.NIH Data Sharing[EB/OL].[2020-05-17].https：//osp.od.nih.gov/scientific-sharing/genomic-data-sharing/.

NOAA.NCDC Privacy Policy[EB/OL].[2020-05-17].https：//www.ncdc.noaa.gov/about-ncdc/privacy.

魏 来 东北师范大学信息科学与技术学院副教授、博士生导师。

吉林长春，130117。

李思航 东北师范大学信息科学与技术学院硕士研究生。

吉林长春，130117。

（收稿日期：2020-06-13 编校：曹晓文，谢艳秋）