在技治與法治之間：數據安全標準治理的邏輯及其展開

摘 要：數據安全的標準治理是指運用標準的方式對數據進行規制，以保障數據安全。數據安全的標準規制作為保護數據的必要舉措，同時對于實現“安全保障、技術為基、標準先行”的網絡安全規制框架以及數據安全管理具有重要意義。然而，我國數據安全標準規制還面臨自身的局限性、缺乏相配套的制度建設以及標準實施過程中異化等問題。因此，為實現數據安全的有效治理，應充分把握數據在采集、使用、加工、傳輸等環節的技術特性，立足于標準“自下而上”生成的本質，遵循技治（標準）支撐法治，法治保障技術治理實現的法治邏輯。具體而言，數據安全標準規制，應從標準基本法、數據標準規范以及配套規范方面來完善規范依據；建立多元的數據安全標準規制主體結構；從傳統規制方式革新、理順運行程序以及厘清主體責任的角度健全數據安全標準的運行機制。

關鍵詞：數據安全，標準化，法治，技治

面對數字經濟時代的來臨，信息傳播方式的變革，數據安全問題已成為當下基礎的安全問題。國家逐漸重視數據安全，將數據安全治理提升到國家安全治理的戰略高度[1]。近年來，國家、地方、省市以及行業監管部門陸續出臺有關數據安全和網絡安全的相關法律法規。《國家安全法》于2015年通過，其中包含了有關數據安全的相關條款[2]。《網絡安全法》將互聯網數據這一概念納入其中，并于2017年正式施行。為保障重要信息基礎設施的供應鏈安全、保障國家安全，促進建立全國網絡安全審查工作機制，《網絡安全審查辦法》于2020年6月正式印發。同時，十九屆五中全會在2020年明確指出：“要保證國家數據安全。”2021年9月1日正式施行的《數據安全法》，界定了數據活動、數據安全，并提出了對數據進行分級分類保護等內容。由此可見，數據安全是數字中國發展的重要戰略措施的基礎[3]。

但是，目前國內在這方面，仍缺乏有關數據安全標準的研究和探討。建立數據安全標準，是切實貫徹實施互聯網信息安全管理的要求，也是推動數據安全標準在重點企業、重點領域中的應用能有效保障各主體權益。金雅拓（Gemalt o）《2017數據泄露水平指數報告》稱，2017年上半年，全球共發生了19億起數據泄漏，2013-2017年，數據泄漏數量呈逐年上升的趨勢[4]。頻發的數據泄露、個人信息安全等事件不斷提醒我國需要加快建立數據安全標準的步伐。數據安全標準規制指的是，在數據安全的基礎平臺、業務應用平臺和安全防護技術、數據安全運行維護和平臺管理等方面，通過標準的方式保障數據安全[5]。隨著國家經濟社會各領域數字化進程不斷加速，收集處理的數據呈指數級增長，海量數據資源成為了網絡攻擊的新鏢靶，全面強化數據安全標準化治理迫在眉睫。

因此，如何在法律框架下實現對數據安全保護的技術治理，對數據安全標準規制領域進行回應，成為了學界關注的主要問題。本文將以數據安全的標準規制為研究對象，通過分析當下數據安全的標準規制所面臨的困境和問題，把握數據安全標準兼具的技術和制度兩種屬性，厘清技治與法治的基本關系，從依據、體制和機制3個維度構建數據安全標準規制體系。

1 數據安全亟需標準規制

1.1 標準規制是建設數據安全體系的重要支撐

數據已經成為維護國家安全、提高國際競爭力的重要因素，數據安全已經從個人隱私上升到了國家安全。隨著人工智能、云計算、區塊鏈等新技術、新模式、新應用的興起，我國越來越重視數據安全問題[6]。著名的網約車公司，即滴滴有限公司，之所以會被調查，就是由于他們收集到的用戶和城市地圖都涉及到了國家安全、公共利益、社會穩定的重要信息，是一次嚴重的國家層面數據泄露事故。

雖然目前我國已有《網絡安全法》《民法典》《數據安全法》和《個人信息保護法》作為數據安全保護的基本法律框架。但是，在數字時代，數據安全的維護面臨著嚴峻的挑戰，必須建立健全的規范制度。在法律法規范圍之外，還需要制定一系列健全的標準來規制相關行業，以起到延伸法律的規范作用。法律以權力和義務的抽象化方式來控制人的行為，當法律規范的對象涉及具體技術性問題時，引用相關標準可以起到補充規范的功能[7]。在實踐中，快節奏的數據安全治理發展，需要對數據利用中“不合時宜”的規制措施進行及時調整。由于法律的天然穩定性和滯后性，難以有效及時回應數據安全保護的現實需求。因此，為實現數據利用與數據保護的平衡，數據安全治理不僅需要具有國家強制力的法律規范，還需要非強制性的標準規制，二者互補才能適應復雜的數據利用場景，區分風險等級進行精細化規范，并快速響應新問題，輸出解決方案[8]。同時，標準與法律規范在適用范圍、調整對象方面存在較大重疊。因此，在具體領域缺乏專門性法律法規時，具有技術特性和規范性的數據安全治理標準能夠發揮支撐作用[9]。

1.2 標準規制是數據安全技術規范的需要

《法治中國建設規劃（2020-2025年）》提出，“要強化信息化立法，加快數字經濟、大數據、云計算等相關法律制度的研究，加快彌補短板”。2 0 22年7月6日印發的《貫徹實施〈國家標準化發展綱要〉行動計劃》表示，要“強化標準化工作統籌推進”。因此，要對數據安全進行規范，既要從法律問題的層面上出發，也要從技術問題上研究。由于數字技術促使數據應用場景和參與主體多樣化，數據安全的外延不斷擴展，數據安全治理的法律規范不可避免地需要考慮專業技術問題，通過標準規制來建立和實施嚴密的技術與制度并行的規范化體系。數據安全問題牽扯到科研單位和大量規范標準的制定，也要從技術規范的視角對大數據應用進行規范[10]。一方面，對于擁有重要數據資產的各類企業，數據安全治理方面尚未系統化實行，例如：客戶數據安全管理及其配套管控措施，數據分級分類管理等；另一方面，個人用戶的信息通過計算機系統中的數據體現，各類App收集、使用數據的正當合法通過規制系統權限控制、彈窗設計等技術措施實現；對數據安全的保護更離不開安全技術標準。首先，強大完備的數據安全技術支撐系統才能夠有效應對上述挑戰，確保數據安全管理相關規定有效落地；其次，完備的標準規制能確保數據安全治理工作在實踐中得到落實，并在數據管理的框架內，通過標準的方式和統一的技術歸口，實現數據安全管理。因此，建立數據安全標準，不僅能在數據安全標準法治體系框架內對數據安全管理起到重要的指導和示范作用，在技術層面上，還能明確數據的界定、管理以及處理等方面，促進規范化管理。

1.3 標準規制是推進數據安全標準化的重要抓手

數據安全標準是實施數據安全管理、規范產業數據安全需求、引導運營商提高數據安全水平的重要舉措[1]。同時，響應了《大數據發展行動綱要》中的“健全大數據安全保障體系，強化安全支撐；完善法規制度和標準體系，科學規范利用大數據，切實保障數據安全”[12]。《標準化法》第2條對標準類型進行了界定，其中包括國家標準、行業標準、地方標準、團體標準、企業標準等。在數據安全標準實踐中，主要以國家標準為主，企業標準較少，由此可以看出，數據安全標準的規范類型尚不完善，企業需要及時制定相關標準，以達到全面加強數據安全保護的目的。此外，《數據安全法》的頒布，意味著將引導相關行業和企業自主制定團體標準，并成為我國數據安全標準體系的重要組成部分[13]。

綜上所述，目前我國數據安全標準的類型尚不健全，數據安全標準體系尚未形成。由于數據安全標準體系是數據安全標準化的前提和基礎，因此，健全數據安全標準體系，運用數據安全標準對數據安全進行全流程規制是實現數據安全標準化的關鍵。

2 數據安全標準規制運行中的問題及原因

2.1 數據安全標準規制依據不足

（1）基本法規定的標準過于原則。首先，《標準化法》從宏觀層面對標準化體系、運行機制進行規定，對于數據安全類的標準的解釋適用不足，且存在內容不協調的問題。上述規定原則性較強，需要在技術和制度標準的支撐下明確標準和技術解決方案。

（2）數據安全規制領域缺失單行法以及規范模糊。目前，僅有《數據安全法》《網絡安全法》等基本法律框架，缺乏個人數據保護專門法的依據。基本法對于數據安全標準規制的模糊不利于指導數據安全治理標準的制定。《數據安全法》整體來看算是一部“高度凝練”的法律，許多程度方面的評判規則尚不明確，如：對各主體在數據安全協同治理體系中的實施重點及如何協同，對重要數據保護對象都尚未明確規定。作為數據安全標準制定與標準化工作的基本指南與依據，《數據安全法》的模糊規范不利于數據安全標準的制定與治理。

（3）數據安全標準規制缺乏部分關鍵標準和部分領域重點標準。《網絡數據安全標準體系建設指南》中將數據安全標準劃分為四大類：基礎共性、關鍵技術、安全管理、重點領域。1）基礎性標準尚不完善。目前標準制定工作缺乏統籌協調，缺乏術語定義、分類分級等基礎性標準[14]。2）部分重點領域相關標準仍存在空白。在物聯網、工業互聯網、云計算、大數據、人工智能、區塊鏈等關鍵行業中，需要加強數據安全標準的支撐作用[15]。3）部分關鍵技術標準亟需制定。網絡安全、隱私計算、征信、數據安全評估、重要數據保護等技術領域的重點標準進展緩慢。目前我國數據安全標準難以覆蓋數據安全保護的全部領域，數據安全標準尚未體系化，不能適應數據安全標準規制的實踐需求。

（4）數據安全標準的配套政策規定不完善。現有數據安全頂層設計和宏觀政策比較多，但是其顆粒度大，針對性和系統性較弱，實施效果大打折扣。以地方政府為例，目前我國地方政府信息安全政策文件的內容，主要涉及安全體系、安全技術、安全監測等宏觀層面，有關數據安全內容過于精簡[16]。因此，為保障我國重要行業與領域智能化、數字化轉型，應當完善數據安全配套政策和標準體系。

2.2 數據安全標準管理體制失衡

（1）數據安全標準治理各監管機構之間的關系不協調。1）上下級之間責任邊界模糊，2）橫向部門之間的職能劃分不清晰。目前，全國統一的政府數據安全治理行政機構尚未建構，各級政府內部也沒有設立專門的政府數據安全管理部門。部分地區設置了數據管理機構[17 ]。對于數據安全標準治理的監督缺乏有效的頂層設計和統籌規劃，數據安全標準治理由誰來牽頭、誰來負責、誰來監督以及誰來考核等問題缺乏詳細的規定。

（2）數據安全標準規制機構與標準委員會、企業之間的關系尚未理順。目前，我國的數據安全標準大多是由全國信息安全標準化技術委員會（SAC/ TC260，簡稱“信安標委”）進行研究和發布。實踐中，數據安全相關標準制定總體上以政府主導為主，相關領域的專家、專業化的標準組織以及相關企業參與不夠，導致相關企業在使用數據安全標準的過程中出現諸多問題。

（3）數據安全標準制定缺少市場主體的參與。企業作為市場經濟的主體，也應當作為標準化活動的主體。從目前的數據安全標準制定和實施的現狀來看，仍然是以政府為主體，缺乏互聯網企業的參與。與此同時，涉及大量數據安全管理的多數新興互聯網企業內部無標準化工作部門，在不了解企業生產狀況的情況下，制定的標準往往不符合實際，無法開展數據安全的標準治理[18]。

2.3 數據安全標準規制機制不暢

2.3.1 傳統的數據安全標準治理方式較為僵化

目前我國現行的數據安全標準更多采用非強制性標準，難以發揮強制作用。2016年，信安標委成立了大數據安全標準化特別工作組（S WG -BDS），相繼開發了多個數據安全標準。截至2019年12月，已有4 項數據安全國家標準正式發布。但現有的數據安全標準中企業標準、地方標準較少。由于標準化越來越強調“事前引領”的功能[19]，非強制性標準難以滿足復雜的數據安全規制需求，這使得數據安全標準規制方式顯得僵化。

2.3.2 數據保護標準規制程序不順暢

（1）數據安全標準信息公開有待完善。與世界各國一樣，我國信息披露的目的也在于保障公民的知情權[20]。由于標準信息公開的統一平臺的建立相對滯后，團體標準等行業標準的相對不公開。由于數據安全標準的公開依賴于互聯網，這給非互聯網用戶帶來了障礙。可見，數據安全標準需要增加公開的方式以及拓展公開渠道。

（2）數據安全標準專家咨詢制度有待完善。科學、理性的數據安全標準體系的建立離不開專家和行業組織的積極參與。專家多屬科研機構和高等院校，在理論和實踐方面有著豐富的經驗，對于數據安全標準的發展動態、國內外研究趨勢都有整體性的把握。《標準化法》第七條對教育、科研機構參與標準化工作表達了鼓勵的態度。反觀我國數據安全標準實踐，數據安全標準參與程序機制不健全，導致從事數據安全標準化工作的組織和信息安全標準領域的專家參與不足。

2.3.3 數據安全標準規制主體責任不明確

要落實數據安全標準規制需要明確各規制主體的責任，并追究未承擔責任主體的責任。目前我國政府數據安全標準治理在主體責任方面仍面臨一些困境。（1）在政府內部，省級行政單位設有大數據管理機構承擔數據安全治理責任，但市、縣政府卻無此類機構銜接，數據安全責任散落于其他部門，導致數據安全標準治理責任邊界模糊[21]。（2）數據安全標準體系中缺乏法律問責機制。一旦發生數據安全事件，對相關責任人的懲處力度不足以使當事人嚴肅對待。在數據安全標準規制過程中，由于標準規制責任追究機制不健全，可能會導致對于政府監管機構、標準化組織等主體不履行標準，責任追究不到位。

3 數據安全標準規制的邏輯

在數字化社會中，技術標準與法律呈現融合的趨勢。法律代碼化和技術法律化，即法律與技術的一體化是必要和必然的。數據安全標準規制需要專業的技術支撐，也需要法律的保障。因此，應當結合數據應用各行業中的特點，不斷完善數據安全標準的制定和體系建設，體現出諸多需要與法律相互結合的新特點。數據安全的技術標準與相應法律法規深入結合，共同構成數據安全產業鏈發展的重要規范以及細化理解相關法律的重要參考依據。

3.1 數據安全標準規制法治以技治為支撐

標準化學界認為：標準是一種技術制度[22]。由此，數據安全標準也應當兼具技術和制度兩種屬性。如果將法律和與之對應的具有法律意義的技術標準區分為兩種治理工具，那么會使法律空心化，使技術標準失去法律意義和法律支撐。數據安全標準的形成是尊重行業發展規律的結果，是法律專家、實務專家與技術專家共同參與的產物。關于數據安全的技術標準，能夠落實規則要求和細化法律標準。

（1）數據安全技術的更新迭代為數據安全標準的制定提供了功能上的支撐。按照《國家標準化指導性技術文件管理規定》[23]就標準本身來說，執行推廣和執行非常重要，標準化的功能依賴于執行標準[2 4]。這要求數據安全標準的制定者要對數據安全技術和數據應用實務有深刻的理解，更需要對數據利用中暴露的風險及時提出規制措施，對“不合時宜”的規制措施及時調整，以實現安全與發展的動態平衡。推薦性的國家標準具有“自下而上”的自律規范屬性，與我國網絡安全產業體系逐步完善的生態建設互相作用，同步推動數字安全領域新技術的創新與標準的研制，助推數據安全標準化體系的建立。

（2）社會力量參與數據安全標準制定以增強標準的科學性。傳統的立法規制方法一般是以“指令-控制”的形式出現，其主要體現在實施一系列的強制性或強制性的法規，規定被管制的目標不能或必須為某種特定的行為，相關的法律條款的構成架構也被抽象為“先決條件+行為模式+法律后果”。[25]在互聯網技術的背景下，這種結構很難滿足技術爆炸的要求[26]。從制定主體上看，與法律法規由立法機關和監管機關獨立制定不同，數據安全標準參與編制的主體則更加多元。綜合運用法律、標準、監管、技術、市場等多種手段，建立以法律法規為基礎、監督執法為保障、標準規范為牽引、技術和市場為驅動、宣傳教育為支撐的一套兼顧監管治理和發展促進平衡的科學路徑。以這條路徑構建的數據安全標準體系作為市場主體意志的參照，既具備法治意義，也具有技治上的合理性[27]。

3.2 數據安全標準規制技治需要法治予以保障

在法律算法化的預嵌和自動化的運作中，要保證法律的規則、原則、價值、文化、法律功能和目的不會受到損害，需要確立的原則是“法律先于技術”“法律融入技術”“法律歸化技術”，而不是“法律與技術二元共治”“法律的歸法律，技術的歸技術”。[28]但法律天然的滯后性和回顧性使得現有的數據安全法律體系偏重“守成”，與新興技術開發應用的“創新”產生沖突。數據安全技術的推廣會改變現行利益和風險分配的格局，即新技術有一個社會嵌入的過程。標準作為外在于法律的制度系統，有責任保證嵌入過程的有序進行。若僅依靠技術治理，數據安全標準在民主性和確定性上面臨著挑戰，需要在法治的框架下，對其進行規范。數據安全標準化必須重視標準本身的局限性[29]，具體而言，法治對技治缺陷的彌補如下。

（1）法治對于技治民主性的補強。數據安全是一個覆蓋面極廣的概念性名詞，不僅包含傳統的商業或業務在引入數字化之后的新問題，也包含了諸多新型業務領域。在各個行業發展均在技術驅動下實現新發展的大背景下，數據安全標準的制定必定會涉及多方利益。因此，有必要將技治處于法治規范之下，在制定數據安全標準的過程中，聽取受標準治理影響的各利益者的意見，以充分考察市場運行情況為基礎制定具有民主性的安全標準。《計算機信息網絡攻擊聯網暫行規定》《互聯網信息服務管理辦法》等規范文件的出臺是合理利用法律手段調整互聯網空間中的社會關系的必然要求。

（2）法治對于技治確定性的增強。數據安全的法律法規和標準體系的建立，不僅是對產業發展的指引，更是起到了對產業的自我約束和規范的借鑒作用。《網絡安全法》第11條明確了行業自律是指對行業的行為進行規范，使行業參與者實現自我合規經營的發展模式[30]。同時，從數據安全規范、數據安全評估、監測預警和處置、應急響應和災難備份、安全能力認證5個方面提出了監管機構必須重視的觀點。配合現行已經頒布的各項標準文件，能夠保證數據安全標準的確定性以及可以針對相關行業實現多維度的全方位監管。

4 數據安全標準規制的制度保障

4.1 明確數據安全標準規制依據

（1）對《標準化法》進行細化和解釋適用。細化和解釋《標準化法》以適應不斷變化的數據安全保護實踐，增加更明確的標準和技術解決方案。同時，已有的和即將制定的標準化配套法律文件都必須保持與《標準化法》一致。

（2）明確數據安全規制領域單行法對標準的規定和完善。首先，加快推進《數據保護法》的出臺，有助于作為數據安全領域的另一部重要法律規范，進一步拓展數據安全的法律規定在數據的業務場景，全面構筑中國信息及數據安全領域的法律框架[31]。其次，借鑒其他國家標準化指導性技術文件完善程度方面的評判規則，確定各主體在數據安全協同治理體系中的實施重點及協同責任，確定重要數據的保護對象。

（3）完善數據安全領域的關鍵標準和部分領域的重點標準。強化數字安全領域新技術創新與標準研制的同步推動，及時將先進、實用的人工智能、區塊鏈、先進計算等技術創新成果納入標準，提高技術標準[32]。圍繞信息收集處理、存儲使用、交易監管等關鍵環節，做好網絡平臺數據安全、生物特征識別數據安全等重大領域的標準研制工作，形成覆蓋全流程數據處理活動的安全保護體系，推動標準落地實施應用。

（4）完善數據安全標準配套法律規范建設。網信辦、工信部、市場監管總局等中央部門應當預見性地依據《數據安全法》出臺應對網絡數據安全問題的細化法規和規范性文件。地方政府數據安全政策文件應當針對各地發展情況合理增加數據安全問題的具體應對方法，諸如：數據安全風險評估和應急處置。

4.2 理順數據安全標準治理體制

（1）數據安全標準制定主體應該協調一致。數據安全標準規范的制定涉及網信辦、工信部、公安部、國家標準委以及其他相關部門和政府主體，制定和執行過程復雜混亂。為理順數據安全標準規制主體，解決“多頭管理”問題，強有力的執行和協調機構在數據安全標準的制定和實施過程中是必不可少的。可以參照德國在標準化實踐中采用的一個標準化對象闡述一個標準原則，不得影響受法律保護的對象，由此理順數據安全標準制定主體之間的關系，避免產生相互矛盾的標準。

（2）構建數據安全標準多元治理體制。首先由國家網信辦、工信部、公安部、國家標準委四部委指導信安標委，及時發布相關信息，組織社會主體力量積極參與，促使律所、咨詢機構和企業參與對數據安全標準修訂的討論研究并提出修改意見。同時，地方企業也要在數據安全標準制定過程中充分發揮積極性，有條件的互聯網企業可以建立數據安全標準研究機構，為數據安全標準的制定提供必要的技術支撐。由此逐步形成以國家為主導，社會力量積極參與的數據安全標準多元治理體制。

4.3 健全數據安全標準規制的運行機制

4.3.1 完善數據安全規制的標準方式

就當下標準實踐而言，數據安全領域的推薦性標準更傾向于行為規范的性質，在作用上也更偏重于引導各類企業行為符合法律規定，而不是為標準化建設提供合法依據。為適應數據安全標準領域的發展，應及時改變傳統的單一的非強制性標準方式。制定推薦性標準的同時適當制定強制性標準更好地規制數據安全，更有益于引導行業主體依法依規收集、運用數據。

4.3.2 明確數據保護標準運行程序

數據安全標準需要程序機制予以保障實施。具體而言，應從信息公開和專家咨詢制度兩方面來規范數據安全標準規制程序。

（1）應當及時將數據安全信息標準公開。數據安全標準要符合《政府信息條例》第二條對信息的界定和第九條所規定的公開條件。國家標準化管理委員會應及時對信息領域的標準進行公開，以便公眾知曉。根據地域網絡普及情況和經濟發展狀況，除網絡外，政府還可以提供公告欄、信息顯示屏等線下查閱渠道[33]。

（2）健全數據安全標準制定的參與程序機制。1）在選取個人信息安全標準評審專家的過程中，應判斷專家是否和所承擔的任務存在利害關系，是否適于參加全國信息安全標準化技術委員會。2）應建立專家的動態更新機制和進入與退出機制。這有助于將真正活躍在個人信息安全領域的一線專家，及時充實到標準建設隊伍中。3）基于信息覆蓋面廣、傳播速度快的特征，各分委員會更應該將組織架構和運作程序進行詳細規定，構建完善的分委員會會議制度。4）建立政府、行業、公眾三方的協商或聽證機制，定期或不定期地舉行數據安全專題討論會，為數據安全管理提供建議[34]。

4.3.3 厘清數據安全標準規制中的具體責任

（1）應明確數據安全標準規制主體責任。數據安全標準制定中監管責任邊界模糊以及政府部門利益的現實沖突，導致出現責任不明，甚至互相推諉的情況。因此，不同的數據安全標準立項部門應當根據各自主體職能定位，明確國家網信辦、工信部、市場監管總局等部門的職能責任，明確各標準化技術委員會和標準化行政主管部門的具體責任，建立多方共同負責的協調機制，合理具體地分配安全責任義務，減少法律滯后性的弊端，保證數據安全標準的權威性和可操作性。

（2）追究不履行數據安全標準規制主體的責任。對在數據安全標準制中，對數據安全標準監管機構、社會力量不承擔相應責任的，應根據各個規制主體的責任追究相應的法律責任。

5 結 語

在數據經濟時代的來臨之下，傳播信息的載體不斷革新，國家逐漸重視數據安全，將數據安全治理提升到國家安全治理的戰略高度。一方面，標準規制是建設數據安全體系的重要支撐，雖然我國目前已有數據安全保護的基本法律框架，但是數據安全的維護仍然面臨著挑戰；另一方面標準規制是數據安全技術的需要和推進數據安全標準化的重要抓手，因此數據安全亟需標準規制。而目前數據安全標準規制的運行，存在依據不足、管理體制失衡、規制機制不順暢的問題。因此，需要在技治與法治之間探索數據安全標準治理的邏輯。數據安全標準規制法治以技治為支撐，同樣，數據安全標準規制技治需要法治予以保障。完善數據安全標準規制的制度保障，首先要明確數據安全標準規制的依據，其次要理順數據安全標準治理體制，最后要健全數據安全標準規制的運行機制。

為實現數據利用與數據保護的平衡，數據安全治理不僅需要具有國家強制力的法律規范，還需要非強制性的標準規制。數據安全標準治理的建立與完善需要技治與法治的協同，進一步實現數據安全治理。

參考文獻

[1]趙麗莉. 基于過程控制理念的網絡安全法律治理研究——以“風險預防與控制”為核心[J]. 情報雜志， 2015，34（08）：177-181.

[2]袁蘭蘭. 數據安全形勢嚴峻，需各方主體協同共治[J]. 通信企業管理， 2021（10）：36-37.

[3]陳兵，徐文. 數據跨境流動的治理體系建構[J]. 中國特色社會主義研究， 2021（04）：67-75.

[4]楊曉輝. 大數據時代個人信息保護的多中心治理路徑探析[J]. 中共烏魯木齊市委黨校學報， 2019（01）：54-59.

[5]大數據安全標準化白皮書[Z].

[6]王偉潔，周千荷. 國外數據安全保護的最新進展、特點及啟示[J]. 科技中國， 2021（07）：34-36.

[7]柳經緯. 標準與法律的融合[J]. 政法論壇， 2016，34（06）：18-29.

[8]嚴少敏. 數據安全治理的國家標準路徑——以《個人信息安全規范》的修訂為視角[J]. 保密科學技術， 2020（04）：19-22.

[9]崔俊杰. 個人信息安全標準化進路的反思[J]. 法學， 2020（07）：162-174.

[10]大數據：應用、沖突、規制[EB/OL]. 溫州檢察網，http：//www.wenzhou.jcy.gov.cn/system/2018/03/21/013264008.shtml.

[11]徐羽佳，胡影，上官曉麗. 我國數據安全標準化情況綜述[J].中國信息安全， 2019（12）：56-59.

[12]馬忠法，胡玲. 論我國數據安全保護法律制度的完善[J]. 科技與法律（中英文）， 2021（02）：1-7+75.

[13]團體標準將成為促進數據安全與發展的重要抓手[J]. 大眾標準化， 2021（13）：260.

[14]工信部：2021年初步建立網絡數據安全標準體系[EB/OL].人民網，http：//it.people.com.cn/n1/2020/0410/c1009-31669245.html.

[15]金元浦. 論大數據時代個人隱私數據的泄露與保護[J]. 同濟大學學報（社會科學版）， 2020，31（03）：18-29.

[16]冉連，張曦. 地方政府數據開放全生命周期安全管理政策研究——基于全國17個省級政府的政策文本分析[J]. 情報雜志， 2021，40（08）：111-118.

[17]孟慶國，林彤，喬元波，等. 中國地方政府大數據管理機構建設與演變——基于第八次機構改革的對比分析[J]. 電子政務， 2020（10）：29-38.

[18]李志勁. 論標準化法存在的若干問題[J]. 廣東科技， 2013，22（Z1）：153+149.

[19]廖帥凱. 行政法中技術標準的強制性問題探究[D]. 上海：華東師范大學， 2019.

[20]張治國，吳杰. 信息不對稱理論視野中的環境群體性事件分析[J]. 人民檢察， 2015（05）：64-66.

[21]彭海艷，何振. 人工智能背景下政府數據安全治理的現實困境與應對策略研究[J]. 云南社會科學， 2022（03）：29-37.

[22]劉三江，劉輝. 中國標準化體制改革思路及路徑[J]. 中國軟科學， 2015（07）：1-12.

[23]崔俊杰. 個人信息安全標準化進路的反思[J]. 法學， 2020（07）： 162-174.

[24]于連超. 《標準化法》的新理念與新制度評析[J]. 標準科學， 2018（01）：6-12.

[25]周漢華. 探索激勵相容的個人數據治理之道——中國個人信息保護法的立法方向[J]. 法學研究， 2018，40（02）：3-23.

[26]趙鵬. 數字技術的廣泛應用與法律體系的變革[J]. 中國科技論壇， 2018（11）：18-25.

[27]劉賢剛，何延哲. 以發展和保護平衡之道 加強個人信息保護的路徑研究[J]. 中國信息安全， 2019（08）：96-99.

[28]齊延平. 數智化社會的法律調控[J]. 中國法學， 2022（01）：77-98.

[29]崔俊杰. 個人信息安全標準化進路的反思[J]. 法學， 2020（07）： 162-174.

[30]壽安. 網絡安全法實務指南[M]. 上海：上海交通大學，2017.

[31]《網絡安全法》實施：實現網絡安全的法治保障[EB/OL].中國網信網，http： //w w w.cac.gov.cn /2 017- 0 6/0 2 /c _1121073242.htm.

[32]黃鵬飛，姜凱，厲旻. 專利與標準創新融合機制的初步研究與建議[J]. 競爭情報， 2022，18（02）：49-56.

[33]徐楠軒，熊賀飛. 論國家標準版權保護和標準公開機制[J].標準科學， 2021（02）：19-23.

[34]陳兵. 完善數據安全治理應從三方面入手[J]. 國家治理，2020（36）：43-48.