我国数据安全治理体系及路径研究
2018-03-06马海群
王 淳,马海群
(1.江苏省扬州市财政局产权服务市场;2.黑龙江大学信息资源管理研究中心)
1 我国数据安全治理存在的主要问题
从数据安全治理的技术发展、体系构建、部门协作、法律建设等角度来看,我国在大数据环境下的数据安全治理存在诸多问题。
1.1 数据安全防护跟不上技术发展脚步
近年来,大数据时代的特点逐渐显现,数据存储和应用价值愈发突出,这也使得大数据更加受到黑客们的“重点关注”。和大数据技术的日新月异相比,数据安全防护手段的发展根本跟不上大量数据的积累速度和种类的变化。这就使得越发展问题越多,来不及填补的漏洞越多,传统的安全防护手段不要说防护了,就是将整个数据扫描一次都需要花费很多的时间,而数据泄露往往就是几分钟的过程。
此外,大数据技术的发展也给黑客们带来了机会,这些可以算得上是“IT精英”的黑客们通过大数据技术来攻击数据库盗取数据。由于大数据的数据量巨大,平均价值密度不高,方便了他们将攻击隐藏在漫无边际的数据中,更增加了数据安全防护难度。大数据技术越进步,黑客攻击技术发展就越快速,但数据安全防护技术提升缓慢,加大了大数据的安全风险。不法分子们利用大数据技术对数据库的内容进行分析,发现更多的漏洞并实施攻击措施,躲避系统的数据安全防护检查,使得攻击更加准确、有效,最终达到窃取数据的目的。
因此,当我们在运用大数据技术挖掘和处理数据时,应该同时发展相应的大数据安全防护技术,甚至着重发展数据安全防护技术。只有这两部分技术相辅相成的进步,大数据产业才能健康发展。
1.2 数据安全治理体系不健全
我国处在数据安全治理的起步阶段,没有一个宏观统一的监管机构,对于数据安全治理的重视程度和治理力度严重不足,在数据安全治理上缺少协同性和持续性,因此数据安全治理体系的构建是不健全的。2015年印发的《国务院关于促进大数据发展行动纲要的通知》中多次提到数据作为国家基础性战略资源的重要性,但同时也指出了基础薄弱、缺乏顶层设计、法律法规建设滞后等诸多问题。数据安全治理体系不健全直接导致数据安全治理没有指向性和协调性,云计算专家李志霄博士说:“数据安全三分靠技术,七分靠管理”。[1]因此,解决数据安全问题,单纯靠技术是远远不够的,还需要综合治理。在一定程度上,数据安全治理的必要性远远高于数据安全防护技术。特别是在大数据环境下,防护技术和治理手段更要统筹兼顾、二者协同,有重点、有分工、有层次且全面而系统地为数据安全提供坚实保障。
1.3 法律规范缺乏针对性系统性
对于一个法治国家,关键领域的治理没有法律的约束是不合理的,尤其是在当今大数据时代复杂的网络关系背景下,数据安全的治理必须要有法律的支持和规范。有法可依,有据可循是我们执法的准则和标准。法律法规是公众和企业的行为准绳,更是行业道德的底线。因此,我们应该加快数据安全治理的立法步伐,从宏观层面上提供数据安全治理的依据,抓紧健全法律法规,早日形成完备、合理、系统的治理模式。2017年6月1日起开始实施的《中华人民共和国网络安全法》在保障网络产品和服务安全、网络运行安全、网络数据安全、网络信息安全等方面进行了具体的制度设计。[2]然而,虽然该法律涉及了数据安全,但相比日益严峻的数据安全形势和高发的数据安全漏洞,[3,4]无论是单独制定数据安全法律或者是现有法律数据安全条款的具体化,还是配套规范和标准的制订运行,都是提高数据安全治理的现实迫切需求。
1.4 缺少部门协作,资源利用效率低
在数据安全治理上,我国的基层政府部门基本上是各自为政,缺少部门间的协助。
(1)数据具有流动性。从宏观角度上讲,我国的数据安全是一个整体概念;从微观上看,涉及到我国所有公民的共同利益。这就需要中央和地方间、部门间的有效协作。
(2)我国区域发展不平衡,一些地方的网络技术发达、硬件设施完善、治理力度大,数据安全保障强;而有一些地方地处偏远,网络化进程缓慢、硬件防护措施缺失、数据安全治理也得不到重视,防护能力相对较弱。很多网络攻击和数据泄露事件都是跨地域作案的,犯罪分子就是抓住了各区域治理力度的不均等和协调合作能力不强的特点,从而频频得手。部门协作十分重要,完善的协作体系有助于资源利用的提升,有助于不同区域的数据安全治理资源和经验共享,也能够提高办事效率。
2 我国数据安全治理体系分析
有关数据安全的文献已经大量涌现,但专门探讨数据安全治理体系的研究成果尚属罕见。[5]本文试图从以下四个角度分析数据安全治理,以此构建完整的数据安全治理体系。
2.1 提升数据安全治理技术能力
数据作为网络信息的载体,是未来保护的重中之重。数据安全要治理,数据安全技术水平必须要提高。
(1)加强运用大数据技术治理数据安全的能力。传统的数据安全防护都是通过检测或是被动的防御完成的,现在我们可以运用大数据技术,提前发现数据安全防护漏洞,主动完善数据库,变被动为主动,预先保护数据安全。应用大数据技术,通过对海量数据的分析,更容易识别网络中的异常之处,加强了发现数据安全威胁的能力。另一方面,数据受到攻击后很难找到攻击源,多数情况下只能放弃寻找。现在通过大数据技术对大量系统日志进行分析、挖掘,我们能够更多地掌握黑客留下的痕迹,弥补漏洞,甚至通过同源定位找到攻击源头。而且还能够积累大量的攻击特征来防范下次攻击,对于相识的攻击手段也能起到一定的预防效果,保护数据免遭二次泄露。
(2)升级大数据隐私保护技术。有人说:“大数据让公众面临裸奔的风险”。之所以对大数据会有如此评价,是因为大数据在隐私保护上还存在很大欠缺。不难想象,无论个人隐私泄露事件发生在谁的身上,都会导致难以挽回的损失,造成不可想象的影响。即使遭到泄露的数据并不十分关键,但是如此大量的数据,拼凑起来也会十分惊人。个人数据隐私保护是一个综合性问题,单纯的从技术角度治理是远远不够的,必须结合法律法规、公众自我保护意识宣传等其他手段,多方面协同。
2.2 完善用户参与的数据安全治理机制
随着数据资源竞争白热化,数据安全与数据开放共享成为公民、企业和政府共同面临的发展挑战。要想确保数据安全,构建用户参与的治理体系就必不可少。该体系既需要政府从宏观上整体把握数据安全的治理方向和治理流程,规范治理程序,又需要数据服务商和公众使用者充分参与,打造数据安全共同体。
(1)建立符合国情的政府数据安全决策机制。美国安全治理建设较早,其国家信息安全决策机制较为完善。以2012年美国对华为、中兴实施“封杀令”为例,美国借口华为为中国情报部门干预美国通信网络提供方便,[6]因此行政、立法、司法等部门和相关企业联合一致对华为和中兴实施制裁。在这一事件中,高效一致的决策和行动,凸显了美国国家信息安全政策决策体制是保障美国国家信息安全政策最有效的手段,而不仅仅是美国拥有的信息技术和经济、军事优势。同时也凸显出“控制优先”的美国国家信息安全政策的基本特征。我国的数据安全治理决策机制可借鉴美国决策机制,形成统一、高效的决策体系。中央可以设立数据安全治理委员会,由工信部、司法部、国土资源部、国防部、国家安全部等相关部门联合组成,作为最终的决策机构;省一级可以设立数据安全治理办公室,由省级的工信、司法、国土、安全部门等相关部门联合组成;地、市一级可以设立数据安全治理小组,由基层的工信、司法、国土、安全等相关部门联合组成,作为基层决策组织。总之,数据安全不是某个部门的职责,必须要统筹所有相关部门实行深化治理,根据数据规模来确定决策级别,逐级汇总上报。省内的数据安全治理小组要建立统一的数据安全治理系统,各省间的数据安全治理办公室要建立统一的数据安全治理平台。对于跨地域的数据泄露事件,由省一级的治理组织形成协查通报。最终要形成中央、省、市三级决策体系,对数据安全进行全面治理。
(2)规范数据安全服务提供商的行为与责任。如果说政府是数据安全的监管主体,数据服务提供商就是数据安全的责任主体。借助于大数据技术、围绕数据安全生命周期,从终端、网络、存储、传输等不同方面形成数据安全产业链,从而催生出不同类型的数据安全服务商,如数据基础服务提供商、海量数据存储服务提供商、数据链接服务提供商、数据处理技术提供商、数据聚合服务提供商、数据展示平台服务商、数据接口服务提供商、数据分析与应用服务商等。虽然政府仍然是数据的最大拥有者,但企业经营活动中(不论是产品还是服务)采集、存储、沉淀下来的数据,数量越来越庞大。尤其是随着政府数据开放运动与战略的具体实施,大量的政府数据经过再次使用和开发而融入企业经营行为,不仅是其数据采集行为、更突出的是其数据分析和使用行为变得越来越复杂且越来越难以掌控。因此,在大数据环境下如何通过行政治理、政策调控[7]、法律界定、行业自律等手段,规范数据安全服务提供商的行为与责任,保证数据领域的国家安全、社会安全和个人安全,既是理论界目前学术研究的薄弱环节,又是实践领域急需解决的关键性现实问题。
(3)深化用户在数据安全治理中的作用。公众是数据的主体,所以数据安全治理也要将公众纳入治理体系之中。公众既可以是监督者也可以是反馈者,只有充分考虑了国家和公众的共同利益,才是完善的治理体系。在大数据环境下,个人隐私保护本来就困难重重,如果能够得到广大人民群众的充分支持和帮助,那么我们的数据安全治理工作一定会取得事半功倍的效果。“朝阳群众”的例子就很好地诠释了这个道理。因此,公众举报是一定要纳入治理体系建设中的,并且应该给予充分的重视。一方面可以设立统一的数据泄露举报电话;另一方面,可以在全国的数据安全治理平台上设立举报信箱,为公众举报数据盗取等不法行为提供便捷途径。
2.3 加快数据安全治理政策法律体系建设
美国和欧盟国家很早就开始着手数据安全方面的政策制定和立法工作,尤其是美国,数据安全政策法律一直是全世界的领跑者。[8]经过多年的实践和法律法规相关条文的修改,美国的数据安全法律法规已经日趋完善。而我国的数据安全法律法规建设还有很长的路要走。目前我国关于数据安全的法律条款比较分散,主要在其他主体法中有个别涉及,医疗、金融等重要行业的数据安全方面相关的法律条款也是零散的,还没有一部完整的数据安全法,对个人数据及其跨境流动安全尚缺乏统一的规制,无法有效应对大数据时代的安全挑战。而在这方面,欧盟通过制定《一般数据保护条例》已经走在了世界的前列。
2017年6月《中华人民共和国网络安全法》开始实施,标志着我国网络治理法制化进程的进一步推进。其中,“保障网络数据安全”是几大主要方面之一,但是在大数据技术日益广泛应用、数据驱动创新与价值创造成为科技进步和经济增长关键节点的环境下,针对日益严重的数据安全问题,没有更为详细具体的法律约束条款是远远不够的。因此,加强数据安全战略与政策顶层设计、变革立法模式、制订数据安全生命周期相关环节的法律规范(如数据生成、数据采集、数据权属、数据运行、数据存档、数据质量、数据流动、数据共享、数据使用、数据删除、数据销毁等)、出台数据安全配套规范标准,是数字经济增长和数据经济崛起的重要保障。
2.4 增强公众数据安全意识
根据中国互联网络信息中心(CNNIC)发布的第四十次《中国互联网络发展状况统计报告》显示,截至2017年6月,中国网民规模达到7.51亿,占全球网民总数的五分之一;手机网民规模达7.24亿,占比提升至96.3%。[9]网页规模的激增促使我们必须加紧普及数据安全知识,提高公众数据安全意识,配合数据安全治理,在防护我国数据安全的同时,减少公众损失。
3 我国数据安全治理路径选择及协同
依据治理理论和我国的基本国情,对我国数据安全治理路径提供两种选择方案,对未来的数据安全治理路径提出建议。
3.1 我国数据安全治理路径选择方案
基于对治理理论的理解和实践应用,提出两种数据安全治理路径选择方案。一种是以政府为主体的治理路径,其他社会机构、人民群体辅以治理,形成一主多辅的治理模式;另一种是多中心的治理路径,这种治理路径并没有主辅之分,本着治理效果最大化的原则进行联合治理,政府、企业、第三方机构还有公众各执一方,每一方都有自主治理权,形成多中心的治理模式。
(1)政府为主体的治理路径。政府为主体的治理路径就是以政府为中心,企业、第三方机构还有公众在政府的指导下辅助治理,企业、第三方机构和公众没有自主治理的权力。这种治理路径的特点就是治理结构缺乏灵活性,但治理体系更加安全、治理模式高度一致,适合国家安全重要领域的治理要求。虽然,这并没有减轻政府“超级保姆”的角色职责,[10]但是对于重要的治理对象,这种以政府为主体的治理路径较为稳妥和合理。在治理前期,虽然没有减轻政府工作的难度,但随着治理体系的完善,企业、第三方机构、公众及一些社会团体组织的配合,还是可以提升治理效果的。因此我们提出,可以从技术、体系、法律和安全意识宣传四个角度形成完整的数据安全治理路径体系,即以政府为主导,围绕开发数据安全防护技术、完善数据安全治理体系、构建数据安全治理法律框架和提高公众数据安全意识这四大角度为具体实施的治理路径。
这种以政府为主体的治理路径特点就在于政府能够有效控制、主导治理活动,针对数据安全这类国家战略层面的治理、关乎国家安全的领域,是需要政府宏观把控和监督的。有主有辅、层层递进,既有高层的政策法律支持,又有基层的企业、第三方机构和行业协会具体操作,也有广大的人民群众参与。
(2)多中心的治理路径。多中心的治理路径是指存在一个共同的治理目标,而达到这一治理目标的主体未必是政府,也无须依靠国家的强制力量来实现,在治理活动中可以有很多主体,凡是有利于治理的机构、组织甚至民众都可以参与其中。[11]这种多中心的治理路径最大的特点就是这些参与治理的机构、组织没有主辅之分,没有谁领导谁、谁控制谁的问题,核心目标就是将治理的效率、效果达到最佳。这种治理路径可以使政府摆脱“超级保姆”的角色,让利益相关者参与到治理之中,是现代治理理论重要的创新应用方向之一。
美国的社区治理就是多中心治理路径的典范。美国的社区划分并不以政府为根据,政府也不是社区管理的实施者。政府仅仅是确定大致的规划方向和资金支持,相当于治理者中的出资人,其他的治理工作全部交给企业、社会组织和民间团体,他们与政府共同组成治理群体。[12]因为没有统一的治理者,所以美国各州、市都有不同的治理方式,治理效果也各不相同。多中心的治理路径遵循市场的基本规律,优胜劣汰,提高了治理效率和治理效果;公民广泛地参与到治理之中,使得治理方案更加合理和人性化。
将这种治理理念运用到数据安全的治理上,就是以最佳治理效果和治理效率为核心目标,构建多中心的数据安全治理路径。但是,这种治理路径对于数据安全这一涉及国家战略、国家安全的领域是不适合的。因为政府肯定要在宏观上严格把控,涉及到国家安全也必须要依靠国家强制力量实现治理流程,即使有参与在其中的其他治理者,也必须按照严格的规定执行特定的治理方案,完成治理任务。
综上,多中心的治理路径相对于以政府为主体的治理路径而言有明显的不足。而以政府为中心的治理路径虽然可能不会达到最佳的治理效果,但却是最佳的治理方案,尤其针对涉及国家安全、国家战略的领域,以政府为主体的治理路径是最合适的选择,毕竟国家安全高于一切。另外,我国的主要学者在治理理论上达成一致的也是这种以政府为主体、其他社会组织为辅的治理理论,是最符合我国基本国情的。
3.2 我国数据安全治理路径协同
数据安全治理不仅仅是治理机构的分责治理和独立治理,应该形成多交叉的协同治理模式。在其治理路径构建过程中,我们不只要建设好每个路径节点的治理结构,也要从协同思想的角度上整合各个层次的治理路径。这里试图探索在“协同治理”理念下选择出来的数据安全治理路径的构建。
(1)数据安全协同治理理念。我国治理理论学者俞可平认为,治理的根本目的是在各种不同的制度关系中指导、控制和规范各种活动,使之能够达到高效和公众利益最大化。[13]随着我国治理理论的研究深入,国内学者越来越多地开始关注治理协同的问题。我国的数据安全治理路径建设应该考虑这一原则,对治理路径中的所有治理方案进行协调,以确保治理效果达到最大化、治理方案达到最优化,而不是将治理力量消耗在各治理路径不协调的内耗中。
虽然,最终选择了以政府为主体的治理路径,顶端有政府的宏观指导,但底部的治理流程也需要协同。通过政府协同治理的办法,克服传统的管理机制,做到协调统一。最终达到由传统政府管理到多层次协同治理的路径转化,多方制衡、统筹兼顾,形成完整的数据安全治理路径。首先,政府的宏观调控职能是其他治理结构所不具备的。[14]虽然在协同治理中,理论上所有的治理主体具有平等地位,但政府是法律和政策的直接制定者,起着稳定社会发展的作用。其次,各级政府之间可以看作是不同的、平等的治理主体,这些主体之间也可以形成协同治理。如此一来,就可以缓解区域差异大的治理难题,形成不同区域特色的治理结构。再次,政府往往是协同治理的链接人,也可以说是协同平台的构建者。[15]当然,政府也必须要遵守治理平台的规则,各治理机构达到协同治理的效果。最后,政府要处理好公众在协同治理结构中的位置。这时,政府的公信力便起到了其他机构所不具备的能力,公众作为协同治理体系中的一部分,虽然在治理结构的底部,但也可以说是治理体系的根基。
(2)数据安全治理路径协同模型。本文试图构建在“协同治理”理念下的数据安全治理路径模型(见下图)。
在机制构建中,充分协调上下级和各部门的治理任务,做到有制可循、有章可依。同级部门之间也要互相合作,打破地域、行政区域的限制,协同对数据安全进行综合治理。构建法律框架时,个人隐私安全保护、行业数据安全保护和跨境数据安全治理不仅要形成各自的法律法规,也要协同考虑三者之间相互交叉的地方,往往这些交叉地带最容易出现问题,一定要落实到机制中。推广普及数据安全知识也要同法律、制度相结合,政府作为引导者,基层的社会组织可以作为宣传者。积极引导培育“第三部门”,不断壮大公民社会力量,构建一整套协同治理的制度体系。
图 数据安全治理路径协同模型
[1]惠志斌.美欧数据安全政策及对我国的启示[J].信息安全与通信保密,2015(6):55-60.
[2]张郁安.流动的数据铁打的安全[N].人民邮电,2016-03-21 (6) .
[3]360互联网安全中心.2016年中国互联网安全报告 [EB/OL].[2017-08-22].http://sec.chinabyte.com/33/14071033.shtml.
[4]国家计算机网络应急技术处理协调中心.2016年我国互联网网络安全态势综述[EB/OL].[2017-08-24].http://efinance.cebnet.com.cn/upload/situati on2016.pdf.
[5] J Moreno,et al.Main issues in big data security[J].FutureInternet,2016,8 (3):44.
[6]刘汉民.公司治理的路径演化和路径选择[J].中国工业经济,2013(12):78-90.
[7] Dennis Broeders,et al.Big data and security policies:Towards a framework for regulating the phases of analytics and use of big data [J].Computer Law&Security Review,2017,33(3):309-323.
[8]马海群,王茜茹.美国数据安全政策的演化路径、特征及启示 [J].现代情报,2016,36,(1):11-14.
[9]CNNIC.第40次《中国互联网络发展状况统计报告》发布[EB/OL].[2017-08-24].http://www.cnnic.net.cn/gywm/xwzx/rdxw/201708/t20170804_69449.htm.
[10]祝伟伟.“国外治理理论与中国国家治理能力建设”学术研讨会综述[J].国外社会科学,2014(5):155-157.
[11]黄思棉,张燕华.国内协同治理理论文献综述[J].武汉冶金管理干部学院学报,2015(3):3-6.
[12]胡思洋.协同治理:社会救助制度低效运行的治理路径[J].社会保障研究,2014(3):79-85.
[13]俞可平.治理与善治[M].北京:社会科学文献出版社,2000.
[14]姬兆亮.政府协同治理:中国区域协调发展协同治理的实现路径[J].西北大学学报,2013(2):122-126.
[15]张振波.论协同治理的生成逻辑与建构路径[J].中国行政管理,2015(1):58-61.