主权视角下重要数据治理体系构建
——基于压电式理论
2024-02-28冉从敬段文娇何梦婷
冉从敬 段文娇 何梦婷
(1.武汉大学信息资源研究中心,武汉,430072; 2.武汉大学信息管理学院,武汉,430072)
1 引言
新一轮“信息革命”下,数据资源作为新兴生产要素,广泛融入全要素生产力提升与社会转型发展进程,并与国家安全、社会稳定、个人权益密切关联,“数据主权”概念兴起并成为国家总体安全的重要组成部分。这一背景下,数据治理,尤其是重要数据的治理,成为主权国家必须回应的关键议题。
对数据行使主权权力、治理本国数据资源已成为国家主权在大数据时代的关键延伸。重要数据关系国家安全、国民经济命脉、重要民生及重大公共利益,在各国数据主权战略体系中受到重点关切。欧盟自2016年以来,密集出台《通用数据保护条例》(General Data Protection Regulation)[1]、《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data)[2]、《数据治理法》(Data Governance Act)[3]等政策,形成重要数据管理体系框架,并尝试构建通用数据空间以规范重要数据流动;美国自2017年起,通过强制性法规与行业标准相结合的模式,以《澄清境外数据的合法使用法案》(Clarifying Lawful Overseas Use of Data Act)[4]、《加州消费者隐私法案》(California Consumer Privacy Act)[5]、《国家网络安全战略》(National Cybersecurity Strategy)[6]等法案形成了针对国内重要实体数据、重点行业领域数据、受控非密信息等的数据治理体系;同时,不断出台《数字经济伙伴关系协定》(DEPA)[7]、《全面与进步跨太平洋伙伴关系协定》(CPTPP)[8]等区域间重要数据跨境规则与事实标准,以加强地区重要数据流动的安全保障。
我国具有广阔数据市场、巨大数据体量与海量关联用户,以“滴滴事件”为代表的重要数据泄露事件层出不穷,数据企业与数字经济行业“野蛮”生长引发的数据次生风险愈加严峻,国家主导下的重要数据治理刻不容缓。近年来,我国围绕重要数据治理的制度体系建设逐渐起步,总体国家安全观对我国数据治理提出了发展与安全并重、效率与效益共举的发展要求[9];“党的二十大”明确提出要健全国家安全体系,强化网络、数据的安全保障体系建设;《中华人民共和国数据安全法》[10]中明确建立数据分级分类制度,构建起具有中国特色的重要数据安全保障法律体系;2022年《信息安全技术 重要数据识别指南(征求意见稿)》[11]中进一步明确重要数据定义与分级方案。
严峻的重要数据治理现实与实践困境,驱动学界开展了主要基于实践需求与问题导向的探索与研究,形成如重要数据治理的法理梳理、治理实践、治理对策等研究热点。在法理梳理上,研究者力图明确重要数据定义与边界,厘定重要数据的内涵、法律特征和法律属性[12],并明确重要数据的识别与保护标准[13]。在治理实践上,学者深入分析美国[14]、欧盟[15]等国家重要数据治理进展,同时针对生物医学数据[16]、金融数据[17-18]、车联网数据[19]等细分行业重要数据对象展开考察,为我国重要数据治理体系的建立提供建议[20]。在治理对策上,一方面,研究者基于主权安全政策,提出在网络空间保护国家重要数据的制度建议[21],刘双阳[22]指出《刑法》应与《数据安全法》等前置法有效衔接,在恪守谦抑性原则的基础上增设拒不履行重要数据安全保护义务罪;袁康等[23]以重要数据识别和管控为中心,以网络安全等级保护作为制度衔接,探讨建立了数据分类分级体系标准和数据分类分级保护制度框架;陈磊等[24]以分析国标《信息安全技术 重要数据处理安全要求》的设计思路,对重要数据处理提出安全要求。另一方面,研究者积极探讨重要数据的风险识别与评估的技术解决方案,Gonzalez等[25]提出了安全事件数据的分类以帮助不同行业数据系统的评估风险;李金等[26]通过重要数据跨境流动的二分网络和关联网络识别风险路径,为重要数据跨境流动的预警管理提供量化方法。
纵观国内外研究,较少学者深入研判重要数据所面临的系统性安全风险,也缺少对重要数据治理的特殊性展开的系统论述,现有治理对策主要围绕具体细分对象展开,而从全流程、多主体视角的全面治理体系尚处空白。本文在数据主权战略背景下聚焦重要数据治理问题,创新引入压电式理论及其框架,结合风险管理相关理论,深入分析重要数据的安全风险,力图提出我国重要数据协同治理体系,为相关研究与实践提供借鉴。
2 重要数据范畴及压电式理论的治理适用
2.1 重要数据治理内涵与范畴
在我国《数据安全法》《信息安全技术 重要数据识别指南》《汽车数据安全管理若干规定》等法规政策中,“重要数据”主要被定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据[11]。重要数据与国家安全紧密相关,我国《工业与信息化领域数据安全管理办法(试行)》[27]等数据分类分级制度中,以数据遭到篡改、破坏、泄露或非法获取、非法利用后的危害程度来确定数据安全级别。重要数据往往对国家重要领域及相关主体、设施、资源产生重要影响,同时也与行业及社会整体深度关联。基于此,本文沿用国家政策定义,明确重要数据为数据安全受破坏后危害对象及危害程度可能影响国家安全、重要行业安全、公共利益安全的数据。
数据治理是以数据为对象的治理。数据主权是国家对境内的数据享有的数据管辖权与数据控制权,能够排除他国的干涉,保障本国数据安全[28],是国家的最高权力在本国数据领域的外化。借鉴相关研究,本文厘定在数据主权下的数据治理是主权国家行使数据主权、统筹数据流通与应用的一系列活动的集合。其中,主权视角下的数据治理主体为国家,企业、行业组织、公民等利益相关体为协同治理主体;治理对象为国家境内的数据资源,其中以对国家安全与利益有重大影响的重要数据为核心对象;治理以实现发展与安全的平衡为目标[29],以数据产权、流通交易、收益分配、安全治理为重点[30]。
因此,主权视角下重要数据治理是国家数据主权实施的重要内容与核心要义,其以对国家安全与利益有重大影响的重要数据为对象,以国家为核心治理主体、相关利益主体为协同治理主体,以保障重要数据安全、规避数据风险、实现重要数据价值为综合目标,以维护国家数据主权安全与利益为根本取向。
2.2 压电式理论及其在数据治理的适用
“压电”一词源于希腊语中的“挤压”一词[31]。“压电效应”是在一定条件下实现机械能与电能相互转化的现象[32],具体包括正压电效应与负压电效应,即某些电介质在一定方向上受到外力的作用而变形时,内部产生极化现象,同时在电介质两个相对表面上出现等量异号电荷(正压电效应);当外力去掉后,电介质又会恢复到不带电状态的一种现象(负压电效应)[33]。
压电式效应本质是通过内部状态的变化(电荷移动)来响应外力的作用[34],压电式理论(Piezoelectric Theory)也正是源于这一特性:压电式传感器在受到外力作用时,会呈现出挤压(squeeze)、触发(trigger)和对齐(alignment)三种状态;当外部压力消失时,则相应地处于放松(relax)、触发和无对齐(de-alignment)三种状态,此时,传感器会恢复到不带电的初始状态[31]。
压电式理论通过内部状态的变化响应外力作用,具有面向系统的可解释性和底层逻辑[35],作为一个过程模型能够与社会科学研究对象结合起来,以过程与状态两种属性,以及内部与外部的响应关系,构建起对动态事件的反馈机制。新加坡学者江明灶[35]将压电式理论从自然科学领域移植到企业数据治理领域中,构筑了以压电式理论为核心的企业数据响应式安全体系;刘晨晖等[34]结合压电式理论中变化事件、态势感知与关键性对齐的视角,构建适用于中国企业的应急响应体系;胡峰[31]运用压电式理论构建了包括事前监测预警、事中响应处置、事后反馈总结的政府数据治理框架。基于相关研究,本文将压电式理论拓展至数据治理领域,即如果组织的数据治理体系可赋予其面对变化风险事件不断调整的能力,那么来自风险事件的负面影响就能被内部的调整举措消除。
具体到重要数据治理,在其过程中的风险事件可类比为压电式理论中的外力作用:在风险事件发生时,政府等治理主体(压电材料)必须构建快速、高效的响应体系,即重要数据治理体系,通过精准锚定事发的关键节点,以协调整合内外部资源来化解数据风险;随着安全事件的解决或威胁的解除(外力释放),治理主体经过总结、评估和反馈,治理体系恢复到无压力的常规状态。
同时,压电式理论运用到社会科学领域中,可在原有的三种状态中可提取出三个核心要素,即变化事件(change events)、态势感知(situation awareness),以及关键性对齐(critical alignment)。在重要数据治理中,这三类环环相扣的要素既是启动重要数据治理这一“压电式行为”的行动导向和运行机制,也是决定重要数据治理成败的关键。其中,变化事件是指,在危机发生之前,治理主体就对潜在风险因素进行评估、梳理风险清单,以应对不确定事件,强调增强组织面对重要数据风险事件的反应能力;态势感知是基于事前的制度构建与机制建设主动探知变化事件,即重要数据安全风险因素,并进行响应,强调响应的主动性与及时性,关注组织的敏捷性;关键性对齐是从业务的平衡视角出发,避免重要数据风险的无限放大带来的重要数据流转不及时、安全资源浪费、效益受损等后果,关注重要数据处理机构面对重要数据安全事件的复原力。
基于此,本文将重要数据作为治理对象,在充分探讨、梳理国际治理进展的基础上,创新性地在该领域引入压电式理论,从变化事件(事前风险厘定)、态势感知(事中危机响应)、关键性对齐(事后反馈与常态化恢复)入手,构建以国家主体为主导、多主体参与的我国重要数据全流程治理体系,综合数据主权战略下安全与发展的综合平衡目标,以应对日益复杂化的数据安全风险。
3 国际重要数据治理进展与关键环节
重要数据作为国家战略资源,成为数据主权博弈时代各主权国家治理的重点对象。各主权国家从国家利益与发展需求出发,以重要数据的安全性保障为第一要务,在此基础上推动数据流转和价值产生,形成各有侧重的重要数据治理体系,其中以欧盟与美国最具代表性。本文在数据主权战略新时代下,系统考察欧盟与美国的重要数据治理态势,把握其中的关键环节,为映射我国现状、构建我国治理体系提供参照系与借鉴对象。
3.1 美国:政府主导下分行业治理模式
美国历来重视重要数据及其载体的保护,在世界范围内较早开始重要数据保护。基于其重要数据大多由私营企业存储和运营、分散分布的基本国情,美国重要数据治理以重要数据厘定与实体识别为主线,形成了政府主导下分行业治理、政府与企业高度合作的重要数据治理模式。
在重要数据厘定上,美国按数据的重要性以及所需要的保护程度将政府所掌握的数据划分为三类,包括保密数据、敏感数据与公开数据。其中,敏感数据与保密数据属于本文语境下的“重要数据”范畴,保密数据遵循严格机密保护制度,敏感数据介于保密数据与公开数据之间,政府需采取安全措施对其进行安全保护,并控制其传递与使用范围[36]。
在重要数据实体识别上,对于重要数据保护主要通过责任机构的审查和风险评估进行规制,2018年出台的《加州消费者隐私法案》(CCPA)[5]聚焦于为盈利目的开展数据处理活动的企业,侧重对影响范围大、风险程度高的规模企业进行管辖,从规模效应入手对重要数据企业进行精准管控,为被管辖企业设置了“2500万美元年营收”和“(5万)消费者、家庭和设备数量”门槛;2020年生效的《外国人在美投资的新规》(Provisions Pertaining to Certain Investments in the United States by Foreign Persons)[37],进一步增加了对美国公民敏感个人数据的外国投资审查;同时,专门设置外国投资委员会(The Committee on Foreign Investment in the United States ),专门负责审核针对关键领域和重要数据的外国投资实体。
在重要行业数据治理上,美国已出台分行业的重要数据治理政策,如针对医疗行业的《健康保险流通与责任法案》(Health Insurance Portability and Accountability Act)[38],针对金融行业的《金融服务现代化法案》(Financial Services Modernization Act)[39],针对交通行业的《驾驶员隐私保护法》(Drivers Privacy Protection Act)[40],针对征信机构的《公平信用报告法》(Fair Credit Reporting Act)[41]等,分别针对医疗健康数据、金融数据、交通数据、征信数据等重要数据对象,在数据的保密性、完整性和可访问性等方面作出规定。
3.2 欧盟:联盟引导下成员国自主治理模式
欧盟在重要数据领域,主要围绕个人数据、非个人数据、重要行业实体等治理对象展开治理实践,加强对重要数据本地化与跨境传输流动的监管,关切对数据实体和数据传输地数据保护水平的评估与审核;在实施模式上,以联盟整体原则性的法规指导为主、各成员国细化执行为辅,构建欧盟内部的单一数字市场。
在重要数据厘定与治理上,欧盟受其人权保障倾向影响,主要按照个人数据与非个人数据进行治理。欧盟按个人数据与非个人数据进行数据粗分,对个人数据的体量与内容达到影响公共安全的程度时,则需要在境内本地化存储;非个人数据欧盟规定应禁止数据本地化,除非数据涉及公共安全,审慎地允许重要数据的本地化要求,表示成员国须遵循比例原则、相称性原则,并公开所有数据本地化要求。2016年欧盟出台的《通用数据保护条例》(General Data Protection Regulation,GDPR)[1]涉及所有欧盟境内的数据控制方、处理方及欧盟境外涉及欧盟境内数据主体的数据控制方、处理方,严格限制数据控制与处理机构的数据保存、处理与利用行为;2018年,欧盟提出了《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data)[2],与GDPR共同构成了欧盟个人数据与非个人数据分类管控的规制体系。
在重要数据实体治理上,欧盟修订《网络与信息系统安全指令》(Directive on Security of Network and Information Systems)[42],指令的范围扩大至电信、社交媒体平台、公共行政等新兴重要行业,提出了成员国对“基本和重要实体”实施风险管理和风险报告的要求,特别关注选定行业的大中型公司[43]。2020年欧盟出台的《关于关键实体的复原力的指令》(Directive on the resilience of critical entities)[44],覆盖能源、运输、银行、金融市场基础设施、健康、数字基础设施等10个领域,支持成员国确保关键实体能够预防、抵抗、吸收和从破坏性事件中恢复,力图增强关键实体的复原力,明确规定关键实体应自行进行风险评估,并以适当的技术和组织措施来提高安全弹性。
在重要数据治理模式上,欧盟构建内部的单一数字市场,各成员国在联盟总体方案下具体实施。2020年欧盟正式提出《欧洲数据战略》(A European Strategy for Data)[45],强化欧盟重要数据治理框架,即促进数据广泛流动,同时延续欧洲高标准的隐私、安全和道德等方面的要求;同时,欧盟又出台了《数据治理法》(Data Governance Act)[3],旨在增加对重要数据共享的信任,并支持在环境、能源、农业、金融、制造业等重要行业战略领域建立和发展欧洲通用数据空间,确保高水平的网络安全。
4 我国重要数据治理进展与风险剖析
在充分梳理欧美重要数据治理模式的基础上,本文系统考察中国的重要数据治理进展与实践,并据此分析重要数据治理过程中的风险点,着重关注政企协同过程中的风险漏洞,为提出我国重要数据治理体系提供参考。
4.1 我国重要数据治理进展
围绕重要数据治理,在顶层制度上,我国依据《网络安全法》《数据安全法》等搭建了重要数据治理的法律体系。《网络安全法》要求关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储[46],这是我国法律体系中首次提到重要数据;《数据安全法》明确定义了重要数据,围绕重要数据生命周期,厘清了重要数据处理机构的权利义务[13];2021年,全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络数据分类分级指引》[47],明确数据安全分类基本规则,将数据分为核心数据、重要数据及一般数据;2022年,我国《网络安全审查办法》[48]施行,提出要重点评估审核重要数据被窃取、泄露、毁损以及非法利用、非法出境的风险等重要数据安全风险。
同时,围绕重要数据关涉的具体行业,我国也密集出台了相关法规标准。2022年《工业和信息化领域数据安全管理办法(试行)》[27]发布,在工业和信息化领域明确了重要数据的内涵外延,并构建领域重要数据生命周期安全管理制度;《工业互联网数据安全保护要求》[49]规定了工业互联网数据安全保护的范围及数据类型、数据重要性分级与安全保护等级划分方法,规定了低/中/高重要性数据在数据产生、传输、存储、使用、迁移及销毁阶段的具体安全保护要求;《工业数据分类分级指南(试行)》[50]中,将数据按重要性等级划分为三级,其中第三级与重要数据近似,即对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响或易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大。
总体上,我国已初步形成了政府主导下的重要数据治理格局,依托《网络安全法》及《数据安全法》,形成了系列配套法规,且部分重要数据领域已展开重要数据安全保护标准化探索。但目前我国重要数据治理处于政策先行阶段,行业标准化和实践工作还有待进一步落实开展,从国家政策到企业实际的落地转化还有诸多问题亟待解决。
4.2 我国重要数据治理风险厘定
基于欧美法规政策制定经验,重要数据治理往往与重要行业、数据企业等相关主体高度联系,共同构建国家重要数据治理防线,提升国家整体重要数据治理弹性。鉴于此,本文结合企业响应式风险管理思想,以重要数据安全事件发生事前、事中、事后三个核心阶段为逻辑,厘定我国重要数据治理存在的风险,从而提出重要数据治理体系,推动我国重要数据治理提高效能,落在实地。
4.2.1 重要数据事前风险
(1)企业道德风险。重要数据治理过程中,企业主体存在道德风险问题[51],由于冒险损益的不对等分配和信息不对称,重要数据处理机构出于谋求利益的目的可能存在冒险投机、违反协议、逃避义务、不积极对抗风险等行为,导致数据出现安全问题,或使不健康数据流入市场,使得相关主体的利益受损。
(2)治理脱节风险。在重要数据安全事件发生前,政府应采集重要数据领域企业主体的风险评估报告,科学研判风险情景,构建政策体系以规范相关企业主体的数据行为。这一过程中存在治理脱节风险,企业与平台等主体掌握大量重要数据,出于商业利益目的隐瞒数据安全风险项;在商业秘密的掩盖下,传统的行政体制使政府缺乏获取企业风险信息的强有力手段,难以在事前参与重要数据治理中,多以事后处置的方式进行管理。
(3)管理失范风险。重要数据安全事件的危害性之一来源于其不确定性,重要数据安全事件发生的点位、时间、程度均具有不确定性。重要数据安全管理是常态与危机态势结合的安全管理,其中存在风险意识缺乏、应急计划陈旧、应急资源不充分、防护体系建设投入不足等管理失范风险。
4.2.2 重要数据事中风险
(1)事件外溢风险。重要数据具有高负外部性,重要数据一旦发生安全问题,其安全风险就将外溢到相关联的其他主体、领域,使其他社会主体为其买单,并且受损主体难以得到相应补偿。同时,重要数据作为生产要素参与市场交易,与其他生产要素共同构成数据供应链,一旦链上的某数据供应商提供不健康数据或发生数据风险,该风险将沿着关联交易的数据供应链上下蔓延,进一步扩大数据安全事件的影响范围。
(2)无对齐风险。相关主体在应对重要数据安全事件时,受主体风险信息不足、应急机制不完善、风险研判能力弱、政府指导缺位错位等因素影响,存在无对齐风险,即风险响应程度与风险规模不匹配的风险[44]。重要数据风险响应程度低于风险规模,相关主体将难以解决风险事件、恢复常态化;风险响应程度高于风险规模,将造成应急资源的浪费,同样影响企业安全能力。
(3)信息闭塞风险。重要数据安全事件存在外溢风险,威胁同一数据链上的其他主体,并对终端相关个人利益造成损害。企业或个人受信息鸿沟、信息素养等因素限制,难以获取全部的数据安全情报,由此产生信息闭塞风险,易被动受到重要数据负外部性的影响,难以及时捕捉、响应事件,弥补相关损失。
4.2.3 重要数据事后风险
(1)评价模糊风险。重要数据安全事件发生后,相关主体获得事件响应的相关数据,可据此进行组织重要数据安全能力成熟度评估[52]、系统安全风险管控评估[53]等评估。但这一评估主要为机构自评,目前我国尚未普及相关第三方评估方式,国家层面的重要数据安全能力评估框架尚未出台,相关主体未有执行指南,难以保证评估的客观性、专业性。
(2)问责缺失风险。当前我国对于重要数据的治理政策主要集中于重要数据识别与主体责任界定,如《网络安全标准实践指南——网络数据分类分级指引》《信息安全技术 重要数据识别指南(征求意见稿)》等政策均强调监管过程。而重要数据安全事件的问责与救济机制尚不完善,在重要数据安全事件发生后,存在问责缺失的风险,相关主体权益难以得到保障。
5 基于压电式理论的重要数据治理体系
重要数据关系国家安全与社会稳定,是数据主权博弈时代各主权国家治理的重点对象。本文分析欧美治理经验并调研我国重要数据治理现状,基于压电式理论,从体系框架、体系实施两方面综合构建我国重要数据安全治理体系。
5.1 体系框架
本文调研我国重要数据治理现状,依据重要数据的特殊性,提出基于压电式理论的重要数据安全治理体系(见图1)。首先,主权视角下重要数据治理以政府为核心主体,并与数据企业、行业组织等相关主体(后文论述统称为企业)协同进行,在维护国家数据安全,提高国家数据治理水平的同时,帮助增强重要数据持有者、管理者(如企业、平台、行业组织等)的抗风险能力与复原能力。其次,在治理环节上,由于重要数据具有多源异构、体量庞大、动态传递等特点,在其治理体系框架设计中,本文从事前、事中、事后各个环节,明确各环节治理重点,如事前监测中侧重对变化事件的识别与数据共享,事中侧重对重要数据安全风险的态势感知与危机干预,事后侧重对治理体系的安全评估与全流程重要数据治理体系优化。再次,压电式理论将重要数据“事前-事中-事后”关联起来,对象上打通单一数据节点,主体上多元机构协同运作,体系上事件识别、风险感知、事件报告、安全评估、方案优化等全线动态互联,多种手段相互配合,面对安全风险实时互动,构建一个多主体共建共享的重要数据治理防线,从而提高重要数据治理效率,提升重要数据治理体系的复原力[54],保障国家重要数据安全。
图1 基于压电式理论的重要数据安全治理体系
5.2 体系实施
5.2.1 事前监测:变化事件识别共享
研究指出,组织对变化事件的反应速度与治理难度成反比[55],面对复杂多变的重要数据安全风险事件,快速响应是减少损失的关键。事前监测环节对变化事件的及时识别,可提高组织对风险的感知能力与敏感性,缩短治理响应时间。在这一阶段,主要包括如下六种实施策略:
(1)数据安全管理者培训。提升重要数据安全风险的识别、处理与缓解能力,首先需要对政府和相关主体的数据管理者进行培训;同时,企业、平台等协助治理主体也需提高重要数据安全保护意识与能力,设立如数据安全官等专职人员, 专门负责统筹重要数据保护工作、监督组织的重要数据计划执行,并定期出具重要数据安全报告等。
(2)重要数据处理机构变化事件识别。这一策略要求企业、平台等协助治理主体清算组织范围内的全部数据,筛选其中的重要数据,识别潜在威胁,并进行风险监测。企业、平台等协助治理主体依据识别出的潜在威胁模拟风险情景,结合过往数据安全事件,构建包括情境组图、征候体系、事件预警、应急导航等的重要数据安全应急手册,确定重要数据风险的可能后果。
(3)政府数据安全政策体系构建。政府与企业、平台等协助治理主体共同应对重要数据安全风险,政府应当构建起重要数据治理的法规政策体系与配套设施,如设立专门管理机构。政府应对国内企业、平台等数据控制实体按照数据重要性分级,提供主动式服务,如协助数据安全防护体系建设,提供风险防护指南,接收数据风险报告,对风险事件进行备案并及时干预,从而形成紧密的协同防护关系。
(4)政企信息安全数据共享。企业等数据处理机构需定期向政府相关负责人递交风险评估报告。政府需及时公开数据安全风险警告,归总国内企业风险数据,提供重要数据风险预测分析。企业对政府提供的数据持续监测,分析数据安全问题及潜在风险,并可与上下游数据商分享最佳实践和威胁情报,构建数据安全信息共享、整合的渠道[56]。
(5)重要数据处理机构应急计划制定与对齐。重要数据处理机构应编制数据安全应急响应计划。应急计划以消减重要数据安全风险及其损失,实现重要数据安全利用为目标,将关键性对齐作为应急计划编制的原则,即应急计划与基于风险识别步骤得出的变化事件风险评估应当保持关键性对齐,以实现管理投入与风险平衡。该计划应为执行人员提供充分支持,并经过测试和定期审查。
(6)数据安全防护系统构建。重要数据处理机构应在数据安全官的统筹下,根据应急计划匹配相应的重要数据安全防护系统,既要包括加密数据库、备份数据库、局域网等硬件防护,也要包括多重身份验证、数据全流程权限管理、数据供应链监测等软件管理防护。
5.2.2 事中响应:态势感知与危机干预
响应是指系统使用一系列功能来应对刺激引发的变化的行动或行为,在事中响应环节,组织感知变化事件,并利用事前部署及时响应事件,在这一环节强调响应的主动性、及时性与风险感知的准确性,在应对中实现关键性对齐。重要数据协同治理的事中响应环节包括以下五个策略:
(1)重要数据安全风险态势感知。态势感知是基于事前的相关准备,对变化事件进行主动探知,并利用相关业务设计及时作出响应的策略,包括风险的发现与研判。利用事前监测环节的变化事件清单,企业可以尽早发现对应的风险,根据清单进行风险层级判断,降低风险归类研判的难度。尽快作出响应可以减少重要数据危机产生的衍生损失,维护企业的组织连续性。
(2)重要数据安全风险控制。在压电式理论的风险控制中,企业的响应程度应当与危机的规模相匹配。企业应在数据安全官的统筹下,根据态势感知阶段的重要数据安全风险规模判断,启用对应的风险控制计划。企业资源应像压电材料受到压力时内部电荷的移动一样,根据压力的来源和大小进行配置。在这一环节,企业应持续留意外部环境的风险变化,避免再次发生数据风险事件。
(3)安全事件报告。重要数据安全风险事件具有扩散性,不只威胁涉事主体自身,还会损害数据链条上相关方的权益。当发生数据安全事件时,相关主体应及时记录安全事件处理日志,形成安全事件报告。这一报告一方面在组织内部存档,在后续环节作为本次风险处理的经验归总,一方面上报至政府的相关部门,以减少安全事件导致的次生灾害。
(4)接受安全事件报告。政府部门应当根据企业是否涉及重要数据而进行针对性的处置,政府应与涉及重要数据安全的企业形成合作,并为非重要数据领域的企业开放报告端口。在重要数据处理机构报告安全事件时,政府相关部门应依据相关法律法规与关键性对齐的原则及时响应、审查、记录、指导与干预。
(5)重要数据安全事件干预。重要数据具有高负外部性,一旦出现问题,仅凭企业进行处理难以应对全部的灾害损失。并且企业还存在道德风险问题[57],可能使得数据相关主体的利益受损。此时亟需政府干预企业重要数据安全事件响应行为。政府重要数据安全事件干预行为包括事前监测、事后监管,以及向相关主体披露事件信息等。事前监测主要是政府可基于数据供应链,向发生事件的上下游数据商发出数据安全警告, 并对数据安全事件导致的数据泄露进行披露, 弥补信息不对称,责令企业加强重要数据安全保护;事后监管主要是针对安全事件进行审查、问责和处罚;披露信息的主要内容包括数据类型、数据敏感性、数据大小、安全事件日期、关联法律等[58]。
5.2.3 事后反馈:安全评估与优化
重要数据变化事件响应结束后,进入事后反馈阶段。在这一阶段,各方需要从简单地收集和存储日志数据上升到从数据流中获得信息并转化为知识和可操作的见解[59],更新事前监测环节的知识体系与响应计划,形成治理链路闭环管理,达到螺旋式上升的效果。重要数据协同治理的事后反馈阶段包括以下三个策略。
(1)重要数据安全成熟度评价。成熟度评价能够评价组织的数据安全保护能力[57],在数据安全事件发生后,企业应当及时根据事件应对状况进行数据安全成熟度评价,定位组织的重要数据安全保护能力成熟度等级,并依据评价结果进行改进,逐步提升企业的重要数据安全保护能力。同时,定位组织的成熟度能够帮助组织在面对下一个变化事件时提供参照。
(2)事件归档与知识挖掘。变化事件发生后,政府和企业需要为变化事件日志建立档案库,充分挖掘变化事件应对中的知识单元,将变化事件的风险转化为组织内部可共享的知识,明确本次重要数据安全事件发生的原因、类型、影响因素等,对未来可能发生的风险进行评估和反馈,不断充实事件案例库、方案解决知识库、系统日志库等。
(3)优化响应方案。在建立重要数据安全风险处理知识库的基础上,对相关人员进行知识的迭代更新,细化变化事件清单,以此为基础升级政府变化事件响应指南和企业变化事件应急计划,形成总体闭环的重要数据治理链路。
6 结语
本文梳理数据主权时代重要数据治理的范畴与特征,在调研欧美重要数据治理模式与国内治理现状的基础上,基于压电式理论,构建了融合变化事件、态势感知、关键性对齐三要素的事中、事前、事后闭环治理体系,探讨治理体系实施策略,力图推动政府与多元主体共建重要数据安全防线,保障国家重要数据安全、推进数据要素价值实现。本文引入压电式理论进行了数据治理框架的有益探讨,未来将进一步围绕特定数据对象,展开治理实证与框架验证。