我國數據安全治理體系及路徑研究

王 淳，馬海群

（1.江蘇省揚州市財政局產權服務市場；2.黑龍江大學信息資源管理研究中心）

1 我國數據安全治理存在的主要問題

從數據安全治理的技術發(fā)展、體系構建、部門協(xié)作、法律建設等角度來看，我國在大數據環(huán)境下的數據安全治理存在諸多問題。

1.1 數據安全防護跟不上技術發(fā)展腳步

近年來，大數據時代的特點逐漸顯現(xiàn)，數據存儲和應用價值愈發(fā)突出，這也使得大數據更加受到黑客們的“重點關注”。和大數據技術的日新月異相比，數據安全防護手段的發(fā)展根本跟不上大量數據的積累速度和種類的變化。這就使得越發(fā)展問題越多，來不及填補的漏洞越多，傳統(tǒng)的安全防護手段不要說防護了，就是將整個數據掃描一次都需要花費很多的時間，而數據泄露往往就是幾分鐘的過程。

此外，大數據技術的發(fā)展也給黑客們帶來了機會，這些可以算得上是“IT精英”的黑客們通過大數據技術來攻擊數據庫盜取數據。由于大數據的數據量巨大，平均價值密度不高，方便了他們將攻擊隱藏在漫無邊際的數據中，更增加了數據安全防護難度。大數據技術越進步，黑客攻擊技術發(fā)展就越快速，但數據安全防護技術提升緩慢，加大了大數據的安全風險。不法分子們利用大數據技術對數據庫的內容進行分析，發(fā)現(xiàn)更多的漏洞并實施攻擊措施，躲避系統(tǒng)的數據安全防護檢查，使得攻擊更加準確、有效，最終達到竊取數據的目的。

因此，當我們在運用大數據技術挖掘和處理數據時，應該同時發(fā)展相應的大數據安全防護技術，甚至著重發(fā)展數據安全防護技術。只有這兩部分技術相輔相成的進步，大數據產業(yè)才能健康發(fā)展。

1.2 數據安全治理體系不健全

我國處在數據安全治理的起步階段，沒有一個宏觀統(tǒng)一的監(jiān)管機構，對于數據安全治理的重視程度和治理力度嚴重不足，在數據安全治理上缺少協(xié)同性和持續(xù)性，因此數據安全治理體系的構建是不健全的。2015年印發(fā)的《國務院關于促進大數據發(fā)展行動綱要的通知》中多次提到數據作為國家基礎性戰(zhàn)略資源的重要性，但同時也指出了基礎薄弱、缺乏頂層設計、法律法規(guī)建設滯后等諸多問題。數據安全治理體系不健全直接導致數據安全治理沒有指向性和協(xié)調性，云計算專家李志霄博士說：“數據安全三分靠技術，七分靠管理”。［1］因此，解決數據安全問題，單純靠技術是遠遠不夠的，還需要綜合治理。在一定程度上，數據安全治理的必要性遠遠高于數據安全防護技術。特別是在大數據環(huán)境下，防護技術和治理手段更要統(tǒng)籌兼顧、二者協(xié)同，有重點、有分工、有層次且全面而系統(tǒng)地為數據安全提供堅實保障。

1.3 法律規(guī)范缺乏針對性系統(tǒng)性

對于一個法治國家，關鍵領域的治理沒有法律的約束是不合理的，尤其是在當今大數據時代復雜的網絡關系背景下，數據安全的治理必須要有法律的支持和規(guī)范。有法可依，有據可循是我們執(zhí)法的準則和標準。法律法規(guī)是公眾和企業(yè)的行為準繩，更是行業(yè)道德的底線。因此，我們應該加快數據安全治理的立法步伐，從宏觀層面上提供數據安全治理的依據，抓緊健全法律法規(guī)，早日形成完備、合理、系統(tǒng)的治理模式。2017年6月1日起開始實施的《中華人民共和國網絡安全法》在保障網絡產品和服務安全、網絡運行安全、網絡數據安全、網絡信息安全等方面進行了具體的制度設計。［2］然而，雖然該法律涉及了數據安全，但相比日益嚴峻的數據安全形勢和高發(fā)的數據安全漏洞，［3,4］無論是單獨制定數據安全法律或者是現(xiàn)有法律數據安全條款的具體化，還是配套規(guī)范和標準的制訂運行，都是提高數據安全治理的現(xiàn)實迫切需求。

1.4 缺少部門協(xié)作，資源利用效率低

在數據安全治理上，我國的基層政府部門基本上是各自為政，缺少部門間的協(xié)助。

（1）數據具有流動性。從宏觀角度上講，我國的數據安全是一個整體概念；從微觀上看，涉及到我國所有公民的共同利益。這就需要中央和地方間、部門間的有效協(xié)作。

（2）我國區(qū)域發(fā)展不平衡，一些地方的網絡技術發(fā)達、硬件設施完善、治理力度大，數據安全保障強；而有一些地方地處偏遠，網絡化進程緩慢、硬件防護措施缺失、數據安全治理也得不到重視，防護能力相對較弱。很多網絡攻擊和數據泄露事件都是跨地域作案的，犯罪分子就是抓住了各區(qū)域治理力度的不均等和協(xié)調合作能力不強的特點，從而頻頻得手。部門協(xié)作十分重要，完善的協(xié)作體系有助于資源利用的提升，有助于不同區(qū)域的數據安全治理資源和經驗共享，也能夠提高辦事效率。

2 我國數據安全治理體系分析

有關數據安全的文獻已經大量涌現(xiàn)，但專門探討數據安全治理體系的研究成果尚屬罕見。［5］本文試圖從以下四個角度分析數據安全治理，以此構建完整的數據安全治理體系。

2.1 提升數據安全治理技術能力

數據作為網絡信息的載體，是未來保護的重中之重。數據安全要治理，數據安全技術水平必須要提高。

（1）加強運用大數據技術治理數據安全的能力。傳統(tǒng)的數據安全防護都是通過檢測或是被動的防御完成的，現(xiàn)在我們可以運用大數據技術，提前發(fā)現(xiàn)數據安全防護漏洞，主動完善數據庫，變被動為主動，預先保護數據安全。應用大數據技術，通過對海量數據的分析，更容易識別網絡中的異常之處，加強了發(fā)現(xiàn)數據安全威脅的能力。另一方面，數據受到攻擊后很難找到攻擊源，多數情況下只能放棄尋找。現(xiàn)在通過大數據技術對大量系統(tǒng)日志進行分析、挖掘，我們能夠更多地掌握黑客留下的痕跡，彌補漏洞，甚至通過同源定位找到攻擊源頭。而且還能夠積累大量的攻擊特征來防范下次攻擊，對于相識的攻擊手段也能起到一定的預防效果，保護數據免遭二次泄露。

（2）升級大數據隱私保護技術。有人說：“大數據讓公眾面臨裸奔的風險”。之所以對大數據會有如此評價，是因為大數據在隱私保護上還存在很大欠缺。不難想象，無論個人隱私泄露事件發(fā)生在誰的身上，都會導致難以挽回的損失，造成不可想象的影響。即使遭到泄露的數據并不十分關鍵，但是如此大量的數據，拼湊起來也會十分驚人。個人數據隱私保護是一個綜合性問題，單純的從技術角度治理是遠遠不夠的，必須結合法律法規(guī)、公眾自我保護意識宣傳等其他手段，多方面協(xié)同。

2.2 完善用戶參與的數據安全治理機制

隨著數據資源競爭白熱化，數據安全與數據開放共享成為公民、企業(yè)和政府共同面臨的發(fā)展挑戰(zhàn)。要想確保數據安全，構建用戶參與的治理體系就必不可少。該體系既需要政府從宏觀上整體把握數據安全的治理方向和治理流程，規(guī)范治理程序，又需要數據服務商和公眾使用者充分參與，打造數據安全共同體。

（1）建立符合國情的政府數據安全決策機制。美國安全治理建設較早，其國家信息安全決策機制較為完善。以2012年美國對華為、中興實施“封殺令”為例，美國借口華為為中國情報部門干預美國通信網絡提供方便，［6］因此行政、立法、司法等部門和相關企業(yè)聯(lián)合一致對華為和中興實施制裁。在這一事件中，高效一致的決策和行動，凸顯了美國國家信息安全政策決策體制是保障美國國家信息安全政策最有效的手段，而不僅僅是美國擁有的信息技術和經濟、軍事優(yōu)勢。同時也凸顯出“控制優(yōu)先”的美國國家信息安全政策的基本特征。我國的數據安全治理決策機制可借鑒美國決策機制，形成統(tǒng)一、高效的決策體系。中央可以設立數據安全治理委員會，由工信部、司法部、國土資源部、國防部、國家安全部等相關部門聯(lián)合組成，作為最終的決策機構；省一級可以設立數據安全治理辦公室，由省級的工信、司法、國土、安全部門等相關部門聯(lián)合組成；地、市一級可以設立數據安全治理小組，由基層的工信、司法、國土、安全等相關部門聯(lián)合組成，作為基層決策組織。總之，數據安全不是某個部門的職責，必須要統(tǒng)籌所有相關部門實行深化治理，根據數據規(guī)模來確定決策級別，逐級匯總上報。省內的數據安全治理小組要建立統(tǒng)一的數據安全治理系統(tǒng)，各省間的數據安全治理辦公室要建立統(tǒng)一的數據安全治理平臺。對于跨地域的數據泄露事件，由省一級的治理組織形成協(xié)查通報。最終要形成中央、省、市三級決策體系，對數據安全進行全面治理。

（2）規(guī)范數據安全服務提供商的行為與責任。如果說政府是數據安全的監(jiān)管主體，數據服務提供商就是數據安全的責任主體。借助于大數據技術、圍繞數據安全生命周期，從終端、網絡、存儲、傳輸等不同方面形成數據安全產業(yè)鏈，從而催生出不同類型的數據安全服務商，如數據基礎服務提供商、海量數據存儲服務提供商、數據鏈接服務提供商、數據處理技術提供商、數據聚合服務提供商、數據展示平臺服務商、數據接口服務提供商、數據分析與應用服務商等。雖然政府仍然是數據的最大擁有者，但企業(yè)經營活動中（不論是產品還是服務）采集、存儲、沉淀下來的數據，數量越來越龐大。尤其是隨著政府數據開放運動與戰(zhàn)略的具體實施，大量的政府數據經過再次使用和開發(fā)而融入企業(yè)經營行為，不僅是其數據采集行為、更突出的是其數據分析和使用行為變得越來越復雜且越來越難以掌控。因此，在大數據環(huán)境下如何通過行政治理、政策調控［7］、法律界定、行業(yè)自律等手段，規(guī)范數據安全服務提供商的行為與責任，保證數據領域的國家安全、社會安全和個人安全，既是理論界目前學術研究的薄弱環(huán)節(jié)，又是實踐領域急需解決的關鍵性現(xiàn)實問題。

（3）深化用戶在數據安全治理中的作用。公眾是數據的主體，所以數據安全治理也要將公眾納入治理體系之中。公眾既可以是監(jiān)督者也可以是反饋者，只有充分考慮了國家和公眾的共同利益，才是完善的治理體系。在大數據環(huán)境下，個人隱私保護本來就困難重重，如果能夠得到廣大人民群眾的充分支持和幫助，那么我們的數據安全治理工作一定會取得事半功倍的效果。“朝陽群眾”的例子就很好地詮釋了這個道理。因此，公眾舉報是一定要納入治理體系建設中的，并且應該給予充分的重視。一方面可以設立統(tǒng)一的數據泄露舉報電話；另一方面，可以在全國的數據安全治理平臺上設立舉報信箱，為公眾舉報數據盜取等不法行為提供便捷途徑。

2.3 加快數據安全治理政策法律體系建設

美國和歐盟國家很早就開始著手數據安全方面的政策制定和立法工作，尤其是美國，數據安全政策法律一直是全世界的領跑者。［8］經過多年的實踐和法律法規(guī)相關條文的修改，美國的數據安全法律法規(guī)已經日趨完善。而我國的數據安全法律法規(guī)建設還有很長的路要走。目前我國關于數據安全的法律條款比較分散，主要在其他主體法中有個別涉及，醫(yī)療、金融等重要行業(yè)的數據安全方面相關的法律條款也是零散的，還沒有一部完整的數據安全法，對個人數據及其跨境流動安全尚缺乏統(tǒng)一的規(guī)制，無法有效應對大數據時代的安全挑戰(zhàn)。而在這方面，歐盟通過制定《一般數據保護條例》已經走在了世界的前列。

2017年6月《中華人民共和國網絡安全法》開始實施，標志著我國網絡治理法制化進程的進一步推進。其中，“保障網絡數據安全”是幾大主要方面之一，但是在大數據技術日益廣泛應用、數據驅動創(chuàng)新與價值創(chuàng)造成為科技進步和經濟增長關鍵節(jié)點的環(huán)境下，針對日益嚴重的數據安全問題，沒有更為詳細具體的法律約束條款是遠遠不夠的。因此，加強數據安全戰(zhàn)略與政策頂層設計、變革立法模式、制訂數據安全生命周期相關環(huán)節(jié)的法律規(guī)范（如數據生成、數據采集、數據權屬、數據運行、數據存檔、數據質量、數據流動、數據共享、數據使用、數據刪除、數據銷毀等）、出臺數據安全配套規(guī)范標準，是數字經濟增長和數據經濟崛起的重要保障。

2.4 增強公眾數據安全意識

根據中國互聯(lián)網絡信息中心（CNNIC）發(fā)布的第四十次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示，截至2017年6月，中國網民規(guī)模達到7.51億，占全球網民總數的五分之一；手機網民規(guī)模達7.24億，占比提升至96.3%。［9］網頁規(guī)模的激增促使我們必須加緊普及數據安全知識，提高公眾數據安全意識，配合數據安全治理，在防護我國數據安全的同時，減少公眾損失。

3 我國數據安全治理路徑選擇及協(xié)同

依據治理理論和我國的基本國情，對我國數據安全治理路徑提供兩種選擇方案，對未來的數據安全治理路徑提出建議。

3.1 我國數據安全治理路徑選擇方案

基于對治理理論的理解和實踐應用，提出兩種數據安全治理路徑選擇方案。一種是以政府為主體的治理路徑，其他社會機構、人民群體輔以治理，形成一主多輔的治理模式；另一種是多中心的治理路徑，這種治理路徑并沒有主輔之分，本著治理效果最大化的原則進行聯(lián)合治理，政府、企業(yè)、第三方機構還有公眾各執(zhí)一方，每一方都有自主治理權，形成多中心的治理模式。

（1）政府為主體的治理路徑。政府為主體的治理路徑就是以政府為中心，企業(yè)、第三方機構還有公眾在政府的指導下輔助治理，企業(yè)、第三方機構和公眾沒有自主治理的權力。這種治理路徑的特點就是治理結構缺乏靈活性，但治理體系更加安全、治理模式高度一致，適合國家安全重要領域的治理要求。雖然，這并沒有減輕政府“超級保姆”的角色職責，［10］但是對于重要的治理對象，這種以政府為主體的治理路徑較為穩(wěn)妥和合理。在治理前期，雖然沒有減輕政府工作的難度，但隨著治理體系的完善，企業(yè)、第三方機構、公眾及一些社會團體組織的配合，還是可以提升治理效果的。因此我們提出，可以從技術、體系、法律和安全意識宣傳四個角度形成完整的數據安全治理路徑體系，即以政府為主導，圍繞開發(fā)數據安全防護技術、完善數據安全治理體系、構建數據安全治理法律框架和提高公眾數據安全意識這四大角度為具體實施的治理路徑。

這種以政府為主體的治理路徑特點就在于政府能夠有效控制、主導治理活動，針對數據安全這類國家戰(zhàn)略層面的治理、關乎國家安全的領域，是需要政府宏觀把控和監(jiān)督的。有主有輔、層層遞進，既有高層的政策法律支持，又有基層的企業(yè)、第三方機構和行業(yè)協(xié)會具體操作，也有廣大的人民群眾參與。

（2）多中心的治理路徑。多中心的治理路徑是指存在一個共同的治理目標，而達到這一治理目標的主體未必是政府，也無須依靠國家的強制力量來實現(xiàn)，在治理活動中可以有很多主體，凡是有利于治理的機構、組織甚至民眾都可以參與其中。［11］這種多中心的治理路徑最大的特點就是這些參與治理的機構、組織沒有主輔之分，沒有誰領導誰、誰控制誰的問題，核心目標就是將治理的效率、效果達到最佳。這種治理路徑可以使政府擺脫“超級保姆”的角色，讓利益相關者參與到治理之中，是現(xiàn)代治理理論重要的創(chuàng)新應用方向之一。

美國的社區(qū)治理就是多中心治理路徑的典范。美國的社區(qū)劃分并不以政府為根據，政府也不是社區(qū)管理的實施者。政府僅僅是確定大致的規(guī)劃方向和資金支持，相當于治理者中的出資人，其他的治理工作全部交給企業(yè)、社會組織和民間團體，他們與政府共同組成治理群體。［12］因為沒有統(tǒng)一的治理者，所以美國各州、市都有不同的治理方式，治理效果也各不相同。多中心的治理路徑遵循市場的基本規(guī)律，優(yōu)勝劣汰，提高了治理效率和治理效果；公民廣泛地參與到治理之中，使得治理方案更加合理和人性化。

將這種治理理念運用到數據安全的治理上，就是以最佳治理效果和治理效率為核心目標，構建多中心的數據安全治理路徑。但是，這種治理路徑對于數據安全這一涉及國家戰(zhàn)略、國家安全的領域是不適合的。因為政府肯定要在宏觀上嚴格把控，涉及到國家安全也必須要依靠國家強制力量實現(xiàn)治理流程，即使有參與在其中的其他治理者，也必須按照嚴格的規(guī)定執(zhí)行特定的治理方案，完成治理任務。

綜上，多中心的治理路徑相對于以政府為主體的治理路徑而言有明顯的不足。而以政府為中心的治理路徑雖然可能不會達到最佳的治理效果，但卻是最佳的治理方案，尤其針對涉及國家安全、國家戰(zhàn)略的領域，以政府為主體的治理路徑是最合適的選擇，畢竟國家安全高于一切。另外，我國的主要學者在治理理論上達成一致的也是這種以政府為主體、其他社會組織為輔的治理理論，是最符合我國基本國情的。

3.2 我國數據安全治理路徑協(xié)同

數據安全治理不僅僅是治理機構的分責治理和獨立治理，應該形成多交叉的協(xié)同治理模式。在其治理路徑構建過程中，我們不只要建設好每個路徑節(jié)點的治理結構，也要從協(xié)同思想的角度上整合各個層次的治理路徑。這里試圖探索在“協(xié)同治理”理念下選擇出來的數據安全治理路徑的構建。

（1）數據安全協(xié)同治理理念。我國治理理論學者俞可平認為，治理的根本目的是在各種不同的制度關系中指導、控制和規(guī)范各種活動，使之能夠達到高效和公眾利益最大化。［13］隨著我國治理理論的研究深入，國內學者越來越多地開始關注治理協(xié)同的問題。我國的數據安全治理路徑建設應該考慮這一原則，對治理路徑中的所有治理方案進行協(xié)調，以確保治理效果達到最大化、治理方案達到最優(yōu)化，而不是將治理力量消耗在各治理路徑不協(xié)調的內耗中。

雖然，最終選擇了以政府為主體的治理路徑，頂端有政府的宏觀指導，但底部的治理流程也需要協(xié)同。通過政府協(xié)同治理的辦法，克服傳統(tǒng)的管理機制，做到協(xié)調統(tǒng)一。最終達到由傳統(tǒng)政府管理到多層次協(xié)同治理的路徑轉化，多方制衡、統(tǒng)籌兼顧，形成完整的數據安全治理路徑。首先，政府的宏觀調控職能是其他治理結構所不具備的。［14］雖然在協(xié)同治理中，理論上所有的治理主體具有平等地位，但政府是法律和政策的直接制定者，起著穩(wěn)定社會發(fā)展的作用。其次，各級政府之間可以看作是不同的、平等的治理主體，這些主體之間也可以形成協(xié)同治理。如此一來，就可以緩解區(qū)域差異大的治理難題，形成不同區(qū)域特色的治理結構。再次，政府往往是協(xié)同治理的鏈接人，也可以說是協(xié)同平臺的構建者。［15］當然，政府也必須要遵守治理平臺的規(guī)則，各治理機構達到協(xié)同治理的效果。最后，政府要處理好公眾在協(xié)同治理結構中的位置。這時，政府的公信力便起到了其他機構所不具備的能力，公眾作為協(xié)同治理體系中的一部分，雖然在治理結構的底部，但也可以說是治理體系的根基。

（2）數據安全治理路徑協(xié)同模型。本文試圖構建在“協(xié)同治理”理念下的數據安全治理路徑模型（見下圖）。

在機制構建中，充分協(xié)調上下級和各部門的治理任務，做到有制可循、有章可依。同級部門之間也要互相合作，打破地域、行政區(qū)域的限制，協(xié)同對數據安全進行綜合治理。構建法律框架時，個人隱私安全保護、行業(yè)數據安全保護和跨境數據安全治理不僅要形成各自的法律法規(guī)，也要協(xié)同考慮三者之間相互交叉的地方，往往這些交叉地帶最容易出現(xiàn)問題，一定要落實到機制中。推廣普及數據安全知識也要同法律、制度相結合，政府作為引導者，基層的社會組織可以作為宣傳者。積極引導培育“第三部門”，不斷壯大公民社會力量，構建一整套協(xié)同治理的制度體系。

圖 數據安全治理路徑協(xié)同模型

［1］惠志斌.美歐數據安全政策及對我國的啟示［J］.信息安全與通信保密，2015（6）：55－60.

［2］張郁安.流動的數據鐵打的安全［N］.人民郵電，2016－03－21 （6） .

［3］360互聯(lián)網安全中心.2016年中國互聯(lián)網安全報告 ［EB/OL］.［2017－08－22］.http://sec.chinabyte.com/33/14071033.shtml.

［4］國家計算機網絡應急技術處理協(xié)調中心.2016年我國互聯(lián)網網絡安全態(tài)勢綜述［EB/OL］.［2017－08－24］.http://efinance.cebnet.com.cn/upload/situati on2016.pdf.

［5］ J Moreno，et al.Main issues in big data security［J］.FutureInternet，2016，8 （3）：44.

［6］劉漢民.公司治理的路徑演化和路徑選擇［J］.中國工業(yè)經濟，2013（12）：78－90.

［7］ Dennis Broeders，et al.Big data and security policies:Towards a framework for regulating the phases of analytics and use of big data ［J］.Computer Law&Security Review，2017，33（3）：309－323.

［8］馬海群，王茜茹.美國數據安全政策的演化路徑、特征及啟示 ［J］.現(xiàn)代情報，2016，36，（1）：11－14.

［9］CNNIC.第40次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》發(fā)布［EB/OL］.［2017－08－24］.http://www.cnnic.net.cn/gywm/xwzx/rdxw/201708/t20170804_69449.htm.

［10］祝偉偉.“國外治理理論與中國國家治理能力建設”學術研討會綜述［J］.國外社會科學，2014（5）：155－157.

［11］黃思棉，張燕華.國內協(xié)同治理理論文獻綜述［J］.武漢冶金管理干部學院學報，2015（3）：3－6.

［12］胡思洋.協(xié)同治理：社會救助制度低效運行的治理路徑［J］.社會保障研究，2014（3）：79－85.

［13］俞可平.治理與善治［M］.北京：社會科學文獻出版社，2000.

［14］姬兆亮.政府協(xié)同治理：中國區(qū)域協(xié)調發(fā)展協(xié)同治理的實現(xiàn)路徑［J］.西北大學學報，2013（2）：122－126.

［15］張振波.論協(xié)同治理的生成邏輯與建構路徑［J］.中國行政管理，2015（1）：58－61.