基于科研過程的科學數據安全行為研究

楊燕 阮建海

摘要：[目的/意義]通過界定科學數據安全行為的概念，分析科研活動不同階段應如何保證科學數據安全，對規范科研人員的科學數據安全行為、促進科學數據安全管理、制定科學數據安全政策、完善科學數據安全管理體系具有重要意義。[方法/過程]采用網絡調研法，整合信息安全行為和科學數據安全管理的定義，提出科學數據安全行為的概念。在此基礎上，從理論出發，結合科學數據管理與共享的實踐經驗，系統闡述如何通過個人行為保障科學數據安全。[結果/結論]現階段科學數據安全管理主要針對科學數據管理平臺，從行為學視角探討科學數據安全的研究尚處于起步階段。本文基于科研過程，從兩方面對如何規范科研人員的行為以提升科學數據安全進行分析：其一，對存在科學數據安全風險的階段，結合科學數據管理的政策對此提出針對性的改進策略;其二，對不存在明顯安全風險的階段，根據國內外科學數據管理的實踐經驗，提出建議。

關鍵詞：科學數據安全行為;科學數據;信息安全行為;科學數據管理

分類號：G251

引用格式：楊燕， 阮建海. 基于科研過程的科學數據安全行為研究[J/OL]. 知識管理論壇， 2019， 4（4）： 218-231[引用日期]. http：//www.kmf.ac.cn/p/181/.

科學數據是科研觀測、科學研究活動的成果，是科技創新和國家發展的重要資源[1-2]。鑒于科學數據共享對科技創新能力、科技整體水平以及社會經濟發展有促進作用[3]，全球范圍內掀起了科學數據開放獲取的熱潮，不少國際組織、國家、機構建立起了數據管理中心，如世界數據中心[4]、澳大利亞國家數據服務中心[5]、英國數字管理中心[6]以及以國外高校圖書館（如愛丁堡大學圖書館[7]、普林斯頓大學圖書館[8]等）為首建立的數據管理中心。科學數據開放共享在促進科學技術快速發展的同時，也造成了“數據獲取”和“數據安全及隱私保護”之間的不平衡，以致出現了一系列的科學數據安全問題。科學數據安全不僅關乎個人信息安全，同時還關乎國家安全[9]。為了保護科學數據安全，各國從宏觀層面制定了相關政策，比如英國1998年頒布的數據保護法案（Data Protection Act）[10]，歐盟委員會（EC）發布的《EC對訪問與保存科學信息的建議》[11]，美國頒布的《健康保險攜帶和責任法案》（Health Insurance Portability and Accountability Act，HIPAA）[12]。在微觀層面，相關科研項目基金會要求他們所資助的研究者提交可以為科研成果提供佐證的科研數據，同時對數據的存儲和保存以及科學數據的處理方式都做了相應規定[13]。

根據2018全球信息安全調查顯示，絕大多數安全事故均是由人的不安全行為引發的[14]。聯合信息系統委員會（Joint Information Systems Committee）指出潛在的科學數據安全風險通常不是由所采取的技術造成的，而是由于研究人員不恰當的行為導致[15]。例如，2018年引起全球關注的Facebook數據泄露事件，其緣由是劍橋大學心理測量中心教授將從Facebook收集的用于性格分析的用戶數據泄露給了劍橋分析公司[16]。目前，對科學數據安全的探討主要集中在政策和技術層面，而科研人員對政策的遵循和技術的采納程度還受到個人主觀意愿的影響。所以學者開始關注從行為學的視角，探究如何讓科研人員能主動、有意識地保護科學數據安全。

鑒于此，為了規范科研人員的科學數據安全管理方式，讓科學數據更好地為國家科技創新、經濟社會發展和國家安全提供支撐[17]，筆者從現實需求出發，提出科學數據安全行為這一概念。在科研過程中，科學數據安全主要受到科研人員行為的影響。在科學數據生命周期中，科研人員同時扮演著數據的生產者、使用者、管理者和監管者等多重角色[18]。科研人員的多重身份與科學數據形式的動態變化特征為科學數據安全管理增加了難度，規范科研人員的行為有利于實現科學數據的有效管理。所以筆者基于科研過程闡述不同階段存在哪些科學數據安全風險，以及應該從哪些方面可以規范科研人員的科學數據安全行為，進一步豐富科學數據安全管理的研究內容，促進科學數據管理與共享的發展，并為科學數據安全管理提供指導和建議，為科學數據管理的政策制定奠定理論基礎。

1? 科學數據安全行為概念的界定

科學數據安全行為是本文的研究對象，從已有的研究成果來看，科學數據安全行為方面的研究還相對較少，針對科學數據安全行為的概念界定尚未形成統一的認識。從科學數據安全行為產生、發展的脈絡看，科學數據安全行為主要涉及信息安全行為和科學數據安全管理兩個主題領域。就科學數據安全行為的體系構成而言，科學數據安全行為是信息安全行為與科學數據安全管理二者的組合體，同時隸屬于信息安全行為與科學數據安全管理的研究范疇。從科學數據安全行為的理論淵源看，科學數據安全行為的概念是由信息安全行為和科學數據安全管理兩個概念有機整合而引申出來的一個復合型概念。因此，明晰信息安全行為與科學數據安全管理兩個基本概念是提出科學數據安全行為的基礎和前提。

1.1? 信息安全行為的定義

有關人為因素對計算機運行可靠性的影響的相關研究可以追溯到20世紀50年代[19]，直到20世紀90年代系統科學的興起，對信息安全行為的研究才開始引起學者的廣泛關注[20]。以C. Wood等為代表的學者最早指出人為因素對信息系統安全具有潛在影響[21]。90年代中后期，互聯網技術的快速發展，使得維系信息系統運轉的軟件、硬件變得更加復雜，學者開始致力于探討如何充分利用技術的有用性減少人為差錯帶來的安全風險[22]。21世紀初，隨著信息系統在各個領域的應用，研究發現技術的應用并不能完全保證信息的安全[23]，人為因素是導致信息安全問題的最根本的因素[24]，對信息安全的研究重心開始向個體行為轉移。從國內外的研究成果看，信息安全行為的研究已經形成了相對完善的研究體系。關于信息安全的定義有如下解釋：J. M. Stanton等從個人行為角度出發認為信息安全行為是指維護信息系統有效性、機密性和完整性的人的行為集合[25];S. Dzazali等從組織角度出發認為信息安全行為是企業員工為避免組織財產遭遇損失及機密信息被曝光的行為[26];H. Liang等認為信息威脅規避行為，是指當用戶感知到信息存在安全威脅時采取有效的防護措施的行為[27];J. Wirtz等提出網絡隱私保護行為，指的是用戶通過技術手段，確定網絡安全性來保護自己的信息及隱私免受侵犯的行為[28]。可以看出，信息安全行為主要從行為學的視角出發，探討如何調動個體的主觀能動性，以消除信息安全威脅、保障信息安全為目的，而采取的相關有效措施的行為集合。

1.2? 科學數據安全管理的含義

隨著數據密集型科學研究范式的興起，數據逐漸成為科學研究的核心[29]。其共享和再利用被認為是科技創新和知識發現的重要驅動因素之一。隨著國內外科學共享工程的開展，如何有效地對科學數據進行管理和完善，成為高校及科研機構迫切關心的問題[30]。科學數據的綜合管理是一個有機的復雜系統，包括技術基礎設施的建設、社會基礎設施的建立、政策框架、商務計劃、人員布局等[31]。通過相關理論研究和實踐探索，學者提出數據監管，即為確保數據當前使用目的，并能用于未來再發現及再利用，從數據產生開始對其進行管理和完善的活動[32-33]。在科學數據監管體系中，科學數據安全管理是其中的關鍵環節。數據安全管理是對科學數據管理中存在的安全問題進行管理的過程[34]。科學數據安全管理的主要管理活動包括科學數據安全管理的計劃、安全隱患識別、安全問題的定性定量評估、安全威脅的應對措施以及安全威脅控制等[34]。學者通過調研國內外的科學數據安全政策發現，科學數據安全管理具體包括數據的分類規則、數據共享的限制（對數據保密級別、共享方式進行說明）、數據處理、對涉及人類參與者隱私安全保護等幾個方面[35-37] 。在技術層面，現有的科學數據管理平臺主要采用分布式系統架構，也有學者提出運用區塊鏈技術實現交互數據描述、安全管理等功能[38]。總體來說，科學數據安全問題已經引起全社會的廣泛關注，目前針對科學數據安全管理的探討主要集中在政策和技術層面。

1.3? 科學數據安全行為的定義

雖然相關政策和技術都在逐步完善，但是在缺乏行為規范的環境下，仍然無法完全保證科學數據的安全。在科學數據生命周期中，科學數據在共享之前由科研人員直接管理為主，機構或科學數據管理平臺協助管理為輔。所以在這個過程中科學數據的安全與科研人員的行為密不可分。信息安全行為的相關研究證明，個體行為是造成信息安全的根本因素。與信息有所區別的是，科學數據是指在科技活動（實驗、觀察、探測、調查等）或通過其他方式所獲取的反映客觀世界的本質、特征、變化規律等的原始基本數據，以及根據不同科技活動需要，進行系統加工整理的各類數據集[39]。在形式上，科學數據在整個生命周期中其數據形式呈動態變化的狀態;在時效性上，科學數據具有重復利用的價值，不僅是數據創建者形成研究成果的重要數據支撐，同時還可以為后續的研究者提供參考;在內容上，科學數據安全不僅包含數據本身的安全，還包括相關利益主體的安全[40]。鑒于科學數據安全管理的重要性和復雜性以及上文對信息安全行為和科學數據安全管理的介紹，筆者把科學數據安全行為定義為：科研工作者在從事科學研究的過程中，為了保證科學數據的真實性、合法性、有效性、機密性、完整性而采取的相關有效措施的行為集合。由于科學研究越來越傾向于以團隊的形式開展，科學數據安全行為不僅包含科研人員的個人行為，還包括團隊行為。具體來說，科學數據安全行為是科研人員在開展科研活動時，在已有的安全知識儲備基礎之上，主動采取有利于科學數據安全、規避潛在風險的行為。

2? 科學數據安全行為研究現狀

科學數據安全行為是信息安全行為的重要分支，通過類比信息安全行為的研究結論，即認為人為因素是導致信息安全問題的根本原因。在科學數據生命周期中，科學數據在共享發布之前，主要由其擁有者進行管理，在此期間，科學數據安全主要受到個體行為的影響。因此，如何規范科研人員的科學數據安全行為，促進科學數據安全政策的制定，讓科研人員在科研過程中對科學數據的安全管理有章可循，對保證科學數據安全，建立科學數據安全管理體系，促進科學數據共享具有重要意義。

國內外關于科學數據安全行為的探討，嵌入在對數據管理員（data librarian）的角色定位問題中。隨著科研模式的變革，圖書館界開始探索數據管理員在科學數據管理過程中應該扮演什么樣的角色。數據管理員的職責主要圍繞數據管理問題展開，以用戶為中心搜集信息資源，保證在多用戶環境下信息資源的安全性和可訪問性[41]。國外學者如A. Cremer、R. H. Khan、R. E. Martin等對數據館員所需要的職業素養進行了歸納，包括數據的保存與評估、數據監管、開發元數據標準、數據分析與服務、數據安全等[42-44]。國內主要以介紹國外數據管理員的職責為主[45]。在科研活動中，從科學數據的創建到最終利用共享，整個過程都需要科研人員的參與，其中保證科學數據的安全是進行數據分析、利用、共享的基礎。雖然相關研究還處于起步階段，但以數據管理員的職業素養為切入點探討科學數據管理，為科學數據安全行為的研究提供了借鑒。

從國外高校（如哈佛大學[46]、普林斯頓大學[47]、斯坦福大學[48]等）制定的科學數據管理政策可以看出，科學數據安全問題已經引起廣泛關注。雖然不同學校對科學數據安全管理的規定有所差異，但主要集中在以下3個方面：①要求研究人員遵守相關協議中的規定;②要求研究人員使用最佳的存儲設備和技術，在不給研究人員帶來過多負擔的情況下安全地保護科學數據;③保護研究對象免受意外披露或不當使用機密數據可能造成的傷害。這些政策從宏觀上指明了科學數據安全管理的方向，但為了讓科學數據安全管理政策落到實處，則需要科研人員的配合。

在科學數據管理與共享的實踐中也會涉及科學數據安全管理問題，如司莉等在研究科學數據管理與共享的需求時對科研人員科學數據管理方式、保存方式等進行了分析，并針對科研是否發生過重要科學數據丟失/損毀的現象和重要科學數據丟失/損毀的原因等問題進行研究，研究結果顯示有70%的科研人員發生過重要科學數據丟失/損毀的現象，造成重要科學數據丟失/損毀的原因主要是誤操作或誤刪除[49]。這也說明科研人員的科學數據安全意識還有待加強，規范科研人員行為以保證科學數據安全至關重要。

3? 基于科研過程的科學數據安全行為分析

目前，集科學數據管理、共享、服務于一體的科學數據管理平臺主要采用生命周期模型對科學數據進行管理[50]。尹春曉在調研國外高校科學數據管理服務之后總結出，無論是社會科學還是自然科學，其數據管理生命周期都可歸納為以下幾個階段：制定數據管理計劃、數據收集與選擇、數據描述與組織、數據分析與利用、數據保存與發布、數據發現與獲取[51]。可以看出，在科學數據生命周期的不同階段科研人員的主要工作內容存在差異，這與科研過程具有階段性息息相關。楊傳汶等通過訪談總結了科研過程包括以下7個步驟：制定計劃、進行試驗、收集數據、解釋與分析、得出結論、表達與交流、評價與改進[52]。鑒于在科研活動中，科研人員作為主要行為主體，其科研過程的階段性與科學數據生命周期的劃分具有緊密聯系。筆者結合科學數據管理政策及相關科學數據管理模型總結了科研過程的一般過程。如圖1所示。

根據圖1可以看出，科學研究的一般過程并不像科學數據生命周期模型呈線性，其中，數據存儲、數據分析、數據描述處于并行狀態。科學數據在科研過程中一直處于動態變換的狀態，這種動態變換讓科學數據實現了從數據到知識的躍遷，即原始的科學數據屬于數據，處于分析過程中的科學數據屬于信息，作為結果的科學數據經過科研人員的解釋和說明具有知識的屬性。

由于在科研過程中，科研人員的行為對科學數據安全產生直接影響，筆者將從制定數據管理計劃、數據生成與采集、數據存儲、數據描述、數據分析、數據利用與匯交幾個階段進行詳細闡述，分析在不同階段可能存在的安全風險，以明確從個人行為角度進行科學數據管理的重點，并提出如何從行為學視角出發加以防范。

3.1? 制定數據管理計劃

2011年，美國國家科學基金會（NSF）要求所有基金申請者必須提交對所申請的項目開展的數據管理計劃（data management plans，DMP）[53]。隨后相關科學數據管理政策也對此做了明確的要求，制定科學數據管理計劃已經成了開展科研活動必不可少的工作。科學數據管理計劃是科研人員用來描述研究項目中期待獲取或生成的數據，對這些數據如何管理、描述、分析、存儲，項目結束后采用什么機制來共享和保存數據的書面文件[54]。完備的數據管理計劃是科研人員獲取科研資助單位支持的前提，也是其有效管理科研項目所生產科學數據，規避或應對可能產生的各類問題的重要保障[55]。也就是說，科學數據管理計劃有利于科研人員對所從事的科研項目有全局意識，使其更有可能規避科研過程中產生的各類問題。愛丁堡大學科學數據管理政策規定：科學數據管理計劃要明確數據采集、管理、完整性、機密性、保留、共享和發布等內容[56]。目前，科研資助機構主要通過兩種方式對科學數據管理計劃的撰寫提供指導：①提供政策指導，如斯坦福大學提出的數據管理計劃指南[50];②提供技術服務，如英國數據監管中心（DCC）提供了支持標準化的工具DMPOnline[57]，美國加州福尼亞數字圖書館提供支持和服務的數據管理計劃制定工具DMPTool[58]。筆者通過調研國內外相關科學數據管理計劃的政策文獻[59-61]，歸納了科學數據管理計劃包含的主要內容：①對科研項目進行描述;②數據的組織和存儲;③數據的獲取、分享和重用說明;④數據存檔說明。其每個部分包含的具體內容如表1所示。

3.2? 科學數據生成與采集

科學數據生成與采集過程是建立在系統的數據收集方法之上，針對設計的研究變量收集數據，為證明研究問題、驗證假設和評估結果服務。雖然數據收集方法因學科差異而有所不同，但對數據質量都同樣重視。由科學數據安全行為的定義可知，保證科學數據的真實性、合法性是數據收集過程中的核心問題。收集不合適的數據可能帶來以下影響：無法準確回答研究問題;無法進行重復驗證;造成資源浪費;對其他研究人員形成誤導;對人類研究者或動物主體造成傷害。除此之外，如果將由這種不合適的數據用于建立公共政策的數據支撐，則可能造成嚴重的不良影響。為了保證數據的真實性、合法性和完整性，G. L. Knatterud提出可以從質量保障（quality assurance）和質量控制（quality control）兩方面入手[62]。質量保證是指在數據收集之前進行的活動，可以通過以下方法對科學數據的收集提供保障：①編寫數據收集程序手冊;②提前了解收集數據需要了解的領域知識;③掌握該領域現有的政策和標準;④學習數據收集工具的使用方法。質量控制是指在數據收集期間和數據收集之后進行的活動，在這個過程中，需要數據收集者明確其職責，嚴格按照數據收集步驟進行，并建立反饋機制對其進行評估，發現存在的問題后，及時進行修正調整。針對質性研究，為了驗證數據質量，可以采用三角互證的研究方法[63]，利用社會期望量表來減小應答偏差對實驗數據效度的影響[64]。

3.3? 存儲數據

科學數據的存儲與維護是實現科學數據共享利用、發揮其最大價值的重要基礎[65]。存儲數據之所以重要，是因為許多科學數據是獨一無二的，一旦被毀壞將可能永遠丟失[66]。在我國，由于項目資助機構對科學數據提交沒有強制要求，導致大部分數據分散在課題組或個人手中，使科學數據面臨損壞或永遠丟失的危險[67]。對于數據的存儲，筆者通過調研國內外科學數據保存政策，總結出科學數據存儲時應該考慮以下幾個方面：

（1）數據的命名規則。文件名是文件的主體標識符，規范的文件名可以為文件的內容、狀態和版本提供有用的提示，有助于對文獻進行分類和排序。南安普頓大學和英國數據服務中心制定了數據文件命名規則可供參考[68-69]：①文件名應該做到簡潔且意義明確;②整個科研項目的文件應該按照同一個命名規則，保證文件的一致性;③避免使用特殊符號（如&？！）;④避免文件名過長;⑤借助連字符“-”或下劃線“_”分隔文件名中的元素，使其具有更好的可讀性;⑥為針對特定應用程序的代碼文件保留文件擴展名（如.doc、.xls、.tif等）;⑦在文件名中包含文件的版本控制。

（2）數據的存儲位置。選擇合適的存儲位置對科學數據管理和利用帶來很大的便利。通常可以用來存儲科學數據的有以下5類[70]： ①機構存儲，一般指學校或科研機構的數據存儲中心;②本地存儲，如個人電腦;③云存儲，如DropBox、Google Drive等;④便攜式存儲設備，如USB存儲器、DVD等;⑤紙質存儲。每一種存儲方式都有優缺點，科研人員在選擇存儲時，還應該參照項目中產生科學數據的大小、數據的保密級別、訪問需求（是否提供遠程訪問）等因素選擇合適的存儲方式選擇合適的數據存儲位置。

（3）數據文件存儲的格式。恰當的文件存儲格式可以避免數據失效并便于數據重用[71]。在選擇文件格式時，必須考慮：數據的分析方法、相關標準、軟件和硬件的兼容性、是專屬軟件還是開源軟件等問題[72]。在數據收集和分析過程中，研究人員可能會選擇比較方便的通用格式，但為了使數據能長期存儲，便于未來進行數據訪問，建議將數據存儲為開放格式。斯坦福大學圖書館建議的數據存儲格式[73]如表2所示。

（4）備份策略。備份數據可以確保原始文件因一些意外原因（如硬件故障、計算機病毒感染等）而丟失時，可以從備份的副本中恢復原始數據文件，從而減少損失。選擇備份策略時要考慮本地存儲情況、數據的價值以及環境的風險級別。英國數據服務中心提出的在制定數據備份策略時應該考慮的問題及建議[74]如表3所示。

（5）數據存儲的安全性。科學數據的安全不僅包括科學數據本身的安全，還包括相關利益主體的安全。為了確保數據本身的存儲安全性，可以采取以下措施：①控制訪問權限。可以通過對數據進行加密來控制訪問權限。除了對數據進行加密之外，同時還要對存儲有科學數據的存儲設備（如筆記本電腦、臺式機和移動設備）進行加密，降低未經授權的訪問導致存儲科學數據的設備暴露的風險[75]。②對數據進行分級。對于涉及人類參與者的科學數據，可以通過對數據進行分級。哈佛大學科學數據管理中心[76]提出將科學數據分成5個等級，并對不同級別的數據提出了存儲方案，如表4所示：

3.4? 數據描述

司莉通過實證研究發現，有50%以上的科研人員表示科學數據管理中的問題有不知道如何為數據創建索引以及不記得數據的存儲位置[77]。對科學數據進行描述可以使科研人員更容易對數據進行定位，方便對數據的理解和重用[78]。數據描述是指利用標準化、規范化的術語對數據進行描述[79]。通常使用元數據對科學數據進行描述。M. Wilkinson等從4個維度提出了科學數據元數據的準則，即易發現、易獲取、可操作、可重用[80]。從具體應用層面來看，國外一些機構和大學圖書館制定了元數據的標準[81]，如表5所示：

3.5? 數據分析

數據分析是科研人員利用科學的數據分析方法把原始的科學數據轉化為科研成果的階段，是科研人員對科學數據操作最頻繁的階段，最容易出現的科學數據安全風險包括誤操作或誤刪除、存儲設備故障等。由圖1可以看出，在科研活動中，數據存儲、數據分析、數據組織三者是相互交織的過程，具體來說數據存儲和數據組織是為了數據分析做準備，數據分析和數據組織之后必須要對數據進行存儲，數據組織是為了更好地進行數據存儲和數據分析。在進行數據分析時，科學數據的形式處于動態變化的狀態，為了保證數據分析的順利進行，應該根據數據描述和數據存儲規則對數據進行描述和存儲。

3.6? 數據利用與匯交

關于科學數據共享的實證研究數據顯示，42.82%的科研人員表示在科研項目結束后，科學數據分散在項目組成員手中[84]。這表明一部分科學數據并沒有被利用起來，科研人員匯交科學數據的積極性還有待提高。對科學數據進行匯交是科學數據從個人管理層面進入數據流通系統的重要環節，按照相關標準對科學數據進行整理，提交到數據共享中心。數據匯交是科研人員對自己在科研過程中產生的科學數據的集中整理，確保科學數據的有效性和完整性。根據《科學數據管理辦法》的第十三條規定，由政府預算資金資助的各級科技計劃項目所形成的科學數據，應由項目牽頭單位匯交到相關科學數據中心[9]。從科研人員的角度來看，要考慮的問題是把數據交到什么地方去？以及交什么？如何交？針對這一系列問題，國外科研項目管理機構、學術期刊及數據機構制定了科學數據匯交政策[85]。我國于2008年3月首次由科技部頒布了《國家重點基礎研究發展計劃資源環境領域項目數據匯交暫行辦法》[86]。要求把科學數據匯交到相應的數據匯交中心。鑒于科學數據的復雜性，不同學科領域建立了科學數據匯交管理辦法，部分領域的科學數據匯交管理辦法見表4，同時，部分領域如氣象、測繪、水文的數據共享管理辦法也包含數據匯交細則。這些管理辦法對數據匯交的組織管理、匯交內容、數據匯交計劃、數據匯交流程、數據管理、權益保護、監督與信用管理等都做了規定。數據匯交的內容包括科研項目生成或采集的原始數據以及對原始數據進行處理和加工后形成的數據。為了保證科學數據匯交工作的順利進行，科學數據管理中心引入流程管理思想來規范數據匯交與管理[87]。及時匯交和共享科學數據資源，既是國家科技投入的直接效益體現，也是促進這些數據更好地被歸檔、存儲、共享和開發利用的重要途徑[79]。所以科研人員在科研項目結束后，應該充分了解相關數據匯交管理辦法，并以此為基礎對科學數據進行整理和篩選，形成統一規范的數據格式，及時地提交到數據共享中心。

4? 結語

科學數據安全不僅涉及科學數據本身的安全，也包括相關利益主體（個人、組織、國家）的安全。在科學數據開放共享的時代，科學數據安全管理是實現科學數據共享的基礎。雖然相關政策對科學數據管理平臺、組織機構（如個高校圖書館、科研資助機構）以及科研工作者劃定了他們的職責和義務。但總體而言，國家法律的條例是概括性的、原則性的。如何將其分別具體細化到各類行為主體并實施于科學數據安全管理實踐，則亟需科學數據安全行為的及時跟進。根據科學研究的一般過程，科學數據在共享之前，其安全主要受到科研人員行為的影響，所以筆者探討的科學數據安全行為主要針對科研人員。根據上述分析，為保障科學數據安全，在科研過程的不同階段，由于科研工作者的工作內容的差異導致其所采取的措施也不同。在制定科學數據管理計劃階段，需要研究者對科研項目所產生的數據有大致了解，并對如何管理科學數據做出規劃，才能在后續階段對科學數據安全管理有一個宏觀的把控;在數據收集與采集階段，為保障科學數據質量，研究者需要在數據收集前做相應的準備工作，在數據收集過程中采取相關措施對數據質量進行控制;在數據存儲階段，可以從數據的命名規則、存儲位置、數據文件存儲格式、數據備份策略等幾個方面保障科學數據安全;在數據組織階段，可以參照相關學科元數據標準對數據進行描述;在數據分析階段，則應該選擇科學的數據分析方法對數據進行分析，同時參照數據存儲和數據組織的相關準則對數據進行操作;在數據利用與匯交階段，需要對數據進行整理篩選，按照相關科學數據匯交管理辦法匯交到科學數據管理中心，實現科學數據的共享。

科學數據安全行為是科研人員在科研活動中為保證科學數據及相關利益主體安全而采取的主動防御措施，是基于個人行為從微觀層面對科學數據提供的保障。規范科研人員的安全行為是構建科學數據安全體系必不可少的步驟。筆者根據現實需求，整合信息安全行為、科學數據安全管理的相關理論和政策，基于科研過程不同階段的工作內容的差異分析了可能存在的安全風險及應該如何加以防范，以期為科研人員在科研過程中實現對科學數據安全管理提供指導和建議，同時為科研管理機構制定科學數據安全管理計劃提供參考。本文不足之處在于，現階段關于科學數據安全的研究成果主要針對科學數據管理中心，這些政策及建議對科學數據安全行為的適用性還有待實證檢驗，這也是下一步需要繼續研究的方向。

參考文獻：

[1] 中國科學院. 第四屆（2017）科學數據大會會議通知.[EB/OL]. [2018-10-20]. http：//www.cas.cn/xs/201707/t20170711_4608195.shtml.

[2] 中華人民共和國中央人民政府.科學數據是重要戰略資源[EB/OL]. [2018-11-24]. http：//www.gov.cn/zhengce/2018-04/06/content_5280211.htm.

[3] 黃如花， 王斌， 周志峰.促進我國科學數據共享的對策[J]. 圖書館， 2014（3）： 7-13.

[4] World Data System. Data sharing principles[EB/OL]. [2018-10-08]. https：//www.icsu-wds.org/.

[5] Australian National Data Service. Research data Australian[EB/OL]. [2018-10-08]. https：//www.ands.org.au/.

[6] Digital Curation Centre[EB/OL]. [2018-10-08]. http：//www.dcc.ac.uk/.

[7] The University of Edinburgh. Research resources[EB/OL]. [2018-10-08]. https：//www.ed.ac.uk/information-services/library-museum-gallery/crc/research-resources.

[8] Princeton University. Research data security[EB/OL]. [2018-10-10]. https：//ria.princeton.edu/research-data-security.

[9] 中華人民共和國人民政府.國務院辦公廳關于印發科學數據管理辦法的通知[EB/OL]. [2018-08-12]. http：//www.gov.cn/zhengce/content/2018-04/02/content_5279272.htm.

[10] The Stationery Office. Data Protection Act 1998[EB/OL]. [2018-10-10]. http：//www.legislation.gov.uk/ukpga/1998/29/pdfs/ukpga_19980029_en.pdf.

[11] BBSRC.BBSRC data sharing policy[EB/OL]. [2018-04-18]. http：//www.bbsrc.ac.uk/documents/data-sharing-policy-pdf/.

[12] Health Information Privacy. Summary of the HIPAA security rule[EB/OL]. [2018-10-20]. https：//www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html.

[13] Research Ethics and Compliance. Data security guidelines[EB/OL]. [2018-10-20]. https：//research-compliance.umich.edu/data-security-guidelines.

[14] IDG—Insights Intent and Engagement.2018 Global state of information security survey[EB/OL]. [2018-12-02]. https：//www.idg.com/tools-for-marketers/2018-global-state-information-security-survey/.

[15] Joint Information Systems Committee. Security of research data[EB/OL]. [2018-10-10]. https：//www.jisc.ac.uk/guides/data-protection-and-research-data/security-of-research-data.

[16] Euronews. The Facebook data leak： what happened and whats next[EB/OL]. [2018-10-12]. https：//www.euronews.com/2018/04/09/the-facebook-data-leak-what-happened-and-what-s-next.

[17] 中華人民共和國中央人民政府.科學數據， 如何科學管理[EB/OL]. [2018-08-29]. http：//www.gov.cn/zhengce/2018-04/08/content_5280429.htm.

[18] 劉桂鋒， 魏悅， 錢錦琳.高校科研數據管理與共享政策的案例與執行模型研究[J]. 圖書館論壇， 2018， 38（11）： 27-34.

[19] 曾忠平， 楊哲， 劉春梅.用戶信息安全行為研究述評[J]. 情報雜志， 2014， 33（12）： 184-188.

[20] 李晶.信息安全行為研究現狀與發展動態述評[J]. 圖書情報工作， 2014， 58（24）： 126-130.

[21] WOOD C C， BANKS JR W W. Human error： an overlooked but significant information security problem[J]. Computers and security， 1993， 12 （1）： 51-60.

[22] MCCAULEY-BELL P R， CRUMPTON L L. The human factors issues in information security： what are they and do they matter[C]//Proceedings of the human factors and ergonomics society annual meeting. Los angeles： Sage publications， 1998：439-443.

[23] ANDERSON C L， AGARWAL R. Practicing safe computing： a multimedia empirical examination of home computer user security behavioral intentions[J]. Management information systems quarterly， 2010， 34 （3）： 613-643.

[24] SCHULTZ E. The human factor in security[J]. Computers and security， 2005， 24 （6）： 425-426.

[25] STANTON J M， CALDERA C， GUZMAN I， et al. Behavioral information security： an overview， research agenda， and preliminary results[C]//The security conference. Las vegas： Nevada， 2003：23-24.

[26] DZAZALI S， SULAIMAN A， ZOLAIT A H. Information security landscape and maturity level： case study of Malaysian Public Service （MPS） organizations[J]. Government information quarterly， 2009， 26 （4）： 584-593.

[27] LIANG H， XUE Y. Understanding security behaviors in personal computer usage： a threat avoidance perspective[J]. Journal of the Association for Information Systems， 2010， 11 （7）： 394-413.

[28] WIRTZ J， LWIN M O， WILLIAMS J D. Causes and consequences of consumer online privacy concern[J]. International journal of service industry management， 2007， 18 （4）： 326-348.

[29] 黃鑫， 鄧仲華.數據密集型科學研究的需求分析與保障[J]. 情報理論與實踐， 2017， 40（2）：? 66-70.

[30] 趙華， 朱亮， 鮮國建， 等.數據監護現狀分析及對我國農業科學數據監護的啟示[J]. 數字圖書館論壇， 2017（11）： 9-14.

[31] 沈怡.科研數據實踐的實證研究對數據管理和共享的重要意義：個案回顧、反思與前瞻[J]. 圖書情報知識， 2018（4）： 102-108.

[32] LEE D J， STVILIA B. Practices of research data curation in institutional repositories： a qualitative view from repository staff[J]. PLOS ONE， 2017， 12 （3）： 1-44.

[33] The Digital Curation Centre. What is digital curation？[EB/OL]. [2018-11-12]. http：//www.dcc.ac.uk/digital-curation/what-digital-curation.

[34] 吳金紅， 陳勇躍.面向科研第四范式的科學數據監管體系研究[J]. 圖書情報工作， 2015， 59 （16）： 11-17.

[35] 宋筱璇， 王延飛， 鐘燦濤.國內外科研數據安全管理政策比較研究[J]. 情報理論與實踐， 2016， 39 （11）： 10-16.

[36] 丁培.國外大學科研數據管理政策研究[J]. 圖書館論壇， 2014， 34 （5）： 99-106.

[37] 張瑤， 顧立平， 楊云秀， 等.國外科研資助機構數據政策的調研與分析——以英美研究理事會為例[J]. 圖書情報工作， 2015， 59 （6）： 53-60.

[38] 郝世博， 徐文哲， 唐正韻.科學數據共享區塊鏈模型及實現機理研究[J]. 情報理論與實踐， 2018（11）： 57-62.

[39] 司莉， 邢文明.國外科學數據管理與共享政策調查及對我國的啟示[J]. 情報資料工作， 2013（1）： 61-66.

[40] 馬海群， 蒲攀.國內外開放數據政策研究現狀分析及我國研究動向研判[J]. 中國圖書館學報， 2015， 41（5）： 76-86.

[41] LISCOUSKI J. The Data Librarian： introducing the Data Librarian[J]. Journal of analytical methods in chemistry， 1900， 19（6）： 199-204.

[42] CREAMER A， MORALES M E， CRESPO J， et al. An assessment of needed competencies to promote the data curation and management librarianship of health sciences and science and technology librarians in New England[J]. Journal of eScience librarianship， 2012， 1 （1）： 4.

[43] KHAN H R， DU Y. What is a data librarian？： A content analysis of job advertisements for data librarians in the United States Academic Libraries[J]. International federation of library associations and institutions， 2018（7）： 1-9.

[44] MARTIN E R. Highlighting the informationist as a data librarian embedded in a research team[J]. Journal of eScience librarianship， 2013， 2 （1）： 1-3.

[45] 胡紹君.面向科研數據管理的高校學科館員能力建設研究[J]. 圖書情報工作， 2016， 60（22）： 74-81.

[46] Harvard University. Harvard research data security policy[EB/OL]. [2019-05-16]. https：//vpr.harvard.edu/pages/harvard-research-data-security-policy.

[47] Princeton University. Research data security[EB/OL]. [2019-05-16]. https：//ria.princeton.edu/research-data-security.

[48] Stanford Medicine. Research and security[EB/OL]. [2019-05-16]. https：//med.stanford.edu/irt/security/research.html.

[49] 司莉， 邢文明. 科學數據管理與共享的理論與實踐[M]. 武漢： 武漢大學出版社， 2017： 81.

[50] 楊林， 錢慶， 吳思竹.科學數據管理生命周期模型比較[J]. 中華醫學圖書情報雜志， 2016， 25 （11）： 1-6.

[51] 尹春曉. 高校科學數據管理嵌入式服務模式探索[J]. 情報資料工作， 2017， 38 （2）： 77-82.

[52] 楊傳汶， 徐坤.基于生命周期的動態科學數據服務模式研究[J]. 圖書館論壇， 2015， 35 （10）：? 82-87.

[53] Nation Science Foundation. NSF data management plan requirements[EB/OL]. [2018-10-23]. https：//www.nsf.gov/bfa/dias/policy/dmp.jsp.

[54] Stanford Libraries. Data management plans[EB/OL]. [2018-09-01]. https：//library.stanford.edu/research/data-management-services/data-management-plans.

[55] 黃國彬， 邸弘陽， 張莎莎， 等.數據管理計劃工具DMPTool的服務體系剖析[J]. 圖書情報工作， 2018， 62（4）： 37-43.

[56] 王海彪， 衛軍朝.科學數據管理關鍵因素研究——基于愛丁堡大學科學數據管理實踐及啟示[J]. 圖書館雜志， 2017， 36（1）： 20-26.

[57] Digital Curation Centre.DMPonline[EB/OL]. [2018-08-13]. https：//dmponline.dcc.ac.uk/.

[58] University of California Curation Center. DMPTool[EB/OL]. [2018-11-10]. https：//dmptool.org/.

[59] MIT Libraries. Write a data management plan[EB/OL]. [2018-11-12]. https：//libraries.mit.edu/data-management/plan/write/.

[60] Stanford Libraries. About data management plans （DMPs）[EB/OL]. [2018-11-12]. https：//library.stanford.edu/research/data-management-services/data-management-plans.

[61] Medical Research Council. What is a data management plan？[EB/OL]. [2018-11-12]. https：//mrc.ukri.org/documents/pdf/what-is-a-data-management-plan/.

[62] KNATTERUD G L， ROCKHOLD F W， GEORGE S L， et al. Guidelines for quality assurance in multicenter trials： a position paper[J]. Controlled clinical trials， 1998， 19 （5）： 477-493.

[63] DENSCOMBE M.怎樣做好一項研究：小規模社會研究指南[M]. 陶保平， 譯. 上海：上海教育出版社， 2011：115-119.

[64] Northern Llinois University. Data collection[EB/OL]. [2018-12-11]. https：//ori.hhs.gov/education/products/n_illinois_u/datamanagement/dctopic.html.

[65] 司莉， 封潔.科學數據的保存與維護：國際組織的動向[J]. 圖書館， 2015（4）： 6-10.

[66] Joint Information Systems Committee. Why preserve digital data？[EB/OL]. [2018-08-21]. http：//www.dcc.ac.uk/digital-curation/why-preserve-digital-data.

[67] 謝春枝， 燕今偉.國內外高校科學數據管理和機制建設研究[J]. 圖書情報工作， 2013， 57 （6）： 12-17.

[68] Southampton Library. Research data management： file naming[EB/OL]. [2018-12-01]. http：//library.soton.ac.uk/researchdata/filenaming.

[69] UK Data Service. File names[EB/OL]. [2018-12-01]. https：//www.ukdataservice.ac.uk/manage-data/format/organising.

[70] University of Liverpool. Storing your research data[EB/OL]. [2018-12-01]. https：//www.liverpool.ac.uk/library/research-data-management/storing-your-research-data/.

[71] University of Concordia. Data storage and file formats[EB/OL]. [2018-12-03]. https：//library.concordia.ca/help/data/data-storage.php.

[72] The University Of Western Australia Research data preservation formats[EB/OL]. [2018-12-03]. http：//guides.library.uwa.edu.au/c.php？g=325196&p=2178568.

[73] Stanford Libraries. Best practices for file formats[EB/OL]. [2018-12-04]. https：//library.stanford.edu/research/data-management-services/data-best-practices/best-practices-file-formats.

[74] UK Data Service. Data backup[EB/OL]. [2018-12-04]. https：//www.ukdataservice.ac.uk/manage-data/store/backup.aspx.

[75] Fordham University. Research data security guidelines[EB/OL]. [2018-12-04]. https：//www.fordham.edu/info/24327/guidelines_and_procedures/9959/research_data_security_guidelines/1.

[76] Harvard University. Harvard research data security policy[EB/OL]. [2018-12-05]. https：//vpr.harvard.edu/pages/harvard-research-data-security-policy.

[77] 司莉， 邢文明.科學數據管理與共享的理論與實踐[M]. 武漢： 武漢大學出版社， 2017： 60.

[78] Southampton Library. Research data management： describing[EB/OL]. [2018-12-05]. http：//library.soton.ac.uk/researchdata/description.

[79] 涂志芳.科學數據出版生態系統與質量控制體系構建[J]. 圖書與情報， 2019（1）： 125-134.

[80] WILKINSON M， DUMONTIER M， AALBERSBERG I. The FAIR guiding principles for scientific data management and stewardship[J]. Scientific data， 2016（3）： 167-172.

[81] Oulun Yliopisto. Research data guide[EB/OL]. [2018-12-04]. http：//libguides.oulu.fi/Researchdata/Data_documentation.

[82] The University of Western Australia. Metadata standards[EB/OL]. [2018-12-04]. https：//guides.library.uwa.edu.au/c.php？g=325196&p=2178564.

[83] The Digital Curation Centre. List of metadata standards[EB/OL]. [2018-12-04]. http：//www.dcc.ac.uk/resources/metadata-standards/list.

[84] 司莉， 邢文明.科學數據管理與共享的理論與實踐[M]. 武漢： 武漢大學出版社， 2017： 61.

[85] 王卷樂， 祝俊祥， 楊雅萍， 等.國外科技計劃項目數據匯交政策及對我國的啟示[J]. 中國科技資源導刊， 2013（2）： 17-23.

[86] 國家重點基礎研究發展計劃資源環境領域項目數據匯交暫行辦法[EB/OL]. [2018-12-08]. http：//www.973geodata.cn/files/1.pdf.

[87] 宋轉玲， 劉海行， 葛人峰， 等.國家自然科學基金委員會共享航次調查數據匯交體系構建[J]. 中國科學基金， 2014， 28（6）： 455-459.

[88] 國家科技基礎條件平臺.中醫藥科研課題數據匯交管理辦法[EB/OL]. [2018-12-10]. http：//dbcenter.cintcm.com/content.jsp？id=189.

[89] 國家農業科學數據共享中心.農業科學數據匯交管理辦法[EB/OL]. [2018-12-10]. http：//fishery.agridata.cn/ch_law.asp.

[90] 陜西省地政局.人工地震科學數據匯交與共享管理辦法（試行）[EB/OL]. [2018-12-10]. http：//www.shxdzj.gov.cn/n1172/n1175/c532930/part/532931.pdf.

[91] 中國科學院南海海洋研究所.中國科學院南海海洋研究所數據匯交暫行辦法[EB/OL]. [2018-12-08]. http：//odc.scsio.ac.cn/images/123.pdf.

[92] 國家材料科學數據共享網.材料科學數據提交格式規范[EB/OL]. [2018-12-10]. http：//matsec.ustb.edu.cn/uploadFiles/shujutijiao.pdf.

作者貢獻說明：

楊? 燕：確定論文框架，進行資料收集和分析，撰寫論文;

阮建海：指導論文寫作修改論文。