主權視角下重要數據治理體系構建
——基于壓電式理論

冉從敬 段文嬌 何夢婷

(1.武漢大學信息資源研究中心,武漢,430072; 2.武漢大學信息管理學院,武漢,430072)

1 引言

新一輪“信息革命”下,數據資源作為新興生產要素,廣泛融入全要素生產力提升與社會轉型發展進程,并與國家安全、社會穩定、個人權益密切關聯,“數據主權”概念興起并成為國家總體安全的重要組成部分。這一背景下,數據治理,尤其是重要數據的治理,成為主權國家必須回應的關鍵議題。

對數據行使主權權力、治理本國數據資源已成為國家主權在大數據時代的關鍵延伸。重要數據關系國家安全、國民經濟命脈、重要民生及重大公共利益,在各國數據主權戰略體系中受到重點關切。歐盟自2016年以來,密集出臺《通用數據保護條例》(General Data Protection Regulation)[1]、《非個人數據自由流動條例》(Regulation on the Free Flow of Non-personal Data)[2]、《數據治理法》(Data Governance Act)[3]等政策,形成重要數據管理體系框架,并嘗試構建通用數據空間以規范重要數據流動;美國自2017年起,通過強制性法規與行業標準相結合的模式,以《澄清境外數據的合法使用法案》(Clarifying Lawful Overseas Use of Data Act)[4]、《加州消費者隱私法案》(California Consumer Privacy Act)[5]、《國家網絡安全戰略》(National Cybersecurity Strategy)[6]等法案形成了針對國內重要實體數據、重點行業領域數據、受控非密信息等的數據治理體系;同時,不斷出臺《數字經濟伙伴關系協定》(DEPA)[7]、《全面與進步跨太平洋伙伴關系協定》(CPTPP)[8]等區域間重要數據跨境規則與事實標準,以加強地區重要數據流動的安全保障。

我國具有廣闊數據市場、巨大數據體量與海量關聯用戶,以“滴滴事件”為代表的重要數據泄露事件層出不窮,數據企業與數字經濟行業“野蠻”生長引發的數據次生風險愈加嚴峻,國家主導下的重要數據治理刻不容緩。近年來,我國圍繞重要數據治理的制度體系建設逐漸起步,總體國家安全觀對我國數據治理提出了發展與安全并重、效率與效益共舉的發展要求[9];“黨的二十大”明確提出要健全國家安全體系,強化網絡、數據的安全保障體系建設;《中華人民共和國數據安全法》[10]中明確建立數據分級分類制度,構建起具有中國特色的重要數據安全保障法律體系;2022年《信息安全技術 重要數據識別指南(征求意見稿)》[11]中進一步明確重要數據定義與分級方案。

嚴峻的重要數據治理現實與實踐困境,驅動學界開展了主要基于實踐需求與問題導向的探索與研究,形成如重要數據治理的法理梳理、治理實踐、治理對策等研究熱點。在法理梳理上,研究者力圖明確重要數據定義與邊界,厘定重要數據的內涵、法律特征和法律屬性[12],并明確重要數據的識別與保護標準[13]。在治理實踐上,學者深入分析美國[14]、歐盟[15]等國家重要數據治理進展,同時針對生物醫學數據[16]、金融數據[17-18]、車聯網數據[19]等細分行業重要數據對象展開考察,為我國重要數據治理體系的建立提供建議[20]。在治理對策上,一方面,研究者基于主權安全政策,提出在網絡空間保護國家重要數據的制度建議[21],劉雙陽[22]指出《刑法》應與《數據安全法》等前置法有效銜接,在恪守謙抑性原則的基礎上增設拒不履行重要數據安全保護義務罪;袁康等[23]以重要數據識別和管控為中心,以網絡安全等級保護作為制度銜接,探討建立了數據分類分級體系標準和數據分類分級保護制度框架;陳磊等[24]以分析國標《信息安全技術 重要數據處理安全要求》的設計思路,對重要數據處理提出安全要求。另一方面,研究者積極探討重要數據的風險識別與評估的技術解決方案,Gonzalez等[25]提出了安全事件數據的分類以幫助不同行業數據系統的評估風險;李金等[26]通過重要數據跨境流動的二分網絡和關聯網絡識別風險路徑,為重要數據跨境流動的預警管理提供量化方法。

縱觀國內外研究,較少學者深入研判重要數據所面臨的系統性安全風險,也缺少對重要數據治理的特殊性展開的系統論述,現有治理對策主要圍繞具體細分對象展開,而從全流程、多主體視角的全面治理體系尚處空白。本文在數據主權戰略背景下聚焦重要數據治理問題,創新引入壓電式理論及其框架,結合風險管理相關理論,深入分析重要數據的安全風險,力圖提出我國重要數據協同治理體系,為相關研究與實踐提供借鑒。

2 重要數據范疇及壓電式理論的治理適用

2.1 重要數據治理內涵與范疇

在我國《數據安全法》《信息安全技術 重要數據識別指南》《汽車數據安全管理若干規定》等法規政策中,“重要數據”主要被定義為一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據[11]。重要數據與國家安全緊密相關,我國《工業與信息化領域數據安全管理辦法(試行)》[27]等數據分類分級制度中,以數據遭到篡改、破壞、泄露或非法獲取、非法利用后的危害程度來確定數據安全級別。重要數據往往對國家重要領域及相關主體、設施、資源產生重要影響,同時也與行業及社會整體深度關聯?；诖?本文沿用國家政策定義,明確重要數據為數據安全受破壞后危害對象及危害程度可能影響國家安全、重要行業安全、公共利益安全的數據。

數據治理是以數據為對象的治理。數據主權是國家對境內的數據享有的數據管轄權與數據控制權,能夠排除他國的干涉,保障本國數據安全[28],是國家的最高權力在本國數據領域的外化。借鑒相關研究,本文厘定在數據主權下的數據治理是主權國家行使數據主權、統籌數據流通與應用的一系列活動的集合。其中,主權視角下的數據治理主體為國家,企業、行業組織、公民等利益相關體為協同治理主體;治理對象為國家境內的數據資源,其中以對國家安全與利益有重大影響的重要數據為核心對象;治理以實現發展與安全的平衡為目標[29],以數據產權、流通交易、收益分配、安全治理為重點[30]。

因此,主權視角下重要數據治理是國家數據主權實施的重要內容與核心要義,其以對國家安全與利益有重大影響的重要數據為對象,以國家為核心治理主體、相關利益主體為協同治理主體,以保障重要數據安全、規避數據風險、實現重要數據價值為綜合目標,以維護國家數據主權安全與利益為根本取向。

2.2 壓電式理論及其在數據治理的適用

“壓電”一詞源于希臘語中的“擠壓”一詞[31]?！皦弘娦笔窃谝欢l件下實現機械能與電能相互轉化的現象[32],具體包括正壓電效應與負壓電效應,即某些電介質在一定方向上受到外力的作用而變形時,內部產生極化現象,同時在電介質兩個相對表面上出現等量異號電荷(正壓電效應);當外力去掉后,電介質又會恢復到不帶電狀態的一種現象(負壓電效應)[33]。

壓電式效應本質是通過內部狀態的變化(電荷移動)來響應外力的作用[34],壓電式理論(Piezoelectric Theory)也正是源于這一特性:壓電式傳感器在受到外力作用時,會呈現出擠壓(squeeze)、觸發(trigger)和對齊(alignment)三種狀態;當外部壓力消失時,則相應地處于放松(relax)、觸發和無對齊(de-alignment)三種狀態,此時,傳感器會恢復到不帶電的初始狀態[31]。

壓電式理論通過內部狀態的變化響應外力作用,具有面向系統的可解釋性和底層邏輯[35],作為一個過程模型能夠與社會科學研究對象結合起來,以過程與狀態兩種屬性,以及內部與外部的響應關系,構建起對動態事件的反饋機制。新加坡學者江明灶[35]將壓電式理論從自然科學領域移植到企業數據治理領域中,構筑了以壓電式理論為核心的企業數據響應式安全體系;劉晨暉等[34]結合壓電式理論中變化事件、態勢感知與關鍵性對齊的視角,構建適用于中國企業的應急響應體系;胡峰[31]運用壓電式理論構建了包括事前監測預警、事中響應處置、事后反饋總結的政府數據治理框架?；谙嚓P研究,本文將壓電式理論拓展至數據治理領域,即如果組織的數據治理體系可賦予其面對變化風險事件不斷調整的能力,那么來自風險事件的負面影響就能被內部的調整舉措消除。

具體到重要數據治理,在其過程中的風險事件可類比為壓電式理論中的外力作用:在風險事件發生時,政府等治理主體(壓電材料)必須構建快速、高效的響應體系,即重要數據治理體系,通過精準錨定事發的關鍵節點,以協調整合內外部資源來化解數據風險;隨著安全事件的解決或威脅的解除(外力釋放),治理主體經過總結、評估和反饋,治理體系恢復到無壓力的常規狀態。

同時,壓電式理論運用到社會科學領域中,可在原有的三種狀態中可提取出三個核心要素,即變化事件(change events)、態勢感知(situation awareness),以及關鍵性對齊(critical alignment)。在重要數據治理中,這三類環環相扣的要素既是啟動重要數據治理這一“壓電式行為”的行動導向和運行機制,也是決定重要數據治理成敗的關鍵。其中,變化事件是指,在危機發生之前,治理主體就對潛在風險因素進行評估、梳理風險清單,以應對不確定事件,強調增強組織面對重要數據風險事件的反應能力;態勢感知是基于事前的制度構建與機制建設主動探知變化事件,即重要數據安全風險因素,并進行響應,強調響應的主動性與及時性,關注組織的敏捷性;關鍵性對齊是從業務的平衡視角出發,避免重要數據風險的無限放大帶來的重要數據流轉不及時、安全資源浪費、效益受損等后果,關注重要數據處理機構面對重要數據安全事件的復原力。

基于此,本文將重要數據作為治理對象,在充分探討、梳理國際治理進展的基礎上,創新性地在該領域引入壓電式理論,從變化事件(事前風險厘定)、態勢感知(事中危機響應)、關鍵性對齊(事后反饋與常態化恢復)入手,構建以國家主體為主導、多主體參與的我國重要數據全流程治理體系,綜合數據主權戰略下安全與發展的綜合平衡目標,以應對日益復雜化的數據安全風險。

3 國際重要數據治理進展與關鍵環節

重要數據作為國家戰略資源,成為數據主權博弈時代各主權國家治理的重點對象。各主權國家從國家利益與發展需求出發,以重要數據的安全性保障為第一要務,在此基礎上推動數據流轉和價值產生,形成各有側重的重要數據治理體系,其中以歐盟與美國最具代表性。本文在數據主權戰略新時代下,系統考察歐盟與美國的重要數據治理態勢,把握其中的關鍵環節,為映射我國現狀、構建我國治理體系提供參照系與借鑒對象。

3.1 美國:政府主導下分行業治理模式

美國歷來重視重要數據及其載體的保護,在世界范圍內較早開始重要數據保護?；谄渲匾獢祿蠖嘤伤綘I企業存儲和運營、分散分布的基本國情,美國重要數據治理以重要數據厘定與實體識別為主線,形成了政府主導下分行業治理、政府與企業高度合作的重要數據治理模式。

在重要數據厘定上,美國按數據的重要性以及所需要的保護程度將政府所掌握的數據劃分為三類,包括保密數據、敏感數據與公開數據。其中,敏感數據與保密數據屬于本文語境下的“重要數據”范疇,保密數據遵循嚴格機密保護制度,敏感數據介于保密數據與公開數據之間,政府需采取安全措施對其進行安全保護,并控制其傳遞與使用范圍[36]。

在重要數據實體識別上,對于重要數據保護主要通過責任機構的審查和風險評估進行規制,2018年出臺的《加州消費者隱私法案》(CCPA)[5]聚焦于為盈利目的開展數據處理活動的企業,側重對影響范圍大、風險程度高的規模企業進行管轄,從規模效應入手對重要數據企業進行精準管控,為被管轄企業設置了“2500萬美元年營收”和“(5萬)消費者、家庭和設備數量”門檻;2020年生效的《外國人在美投資的新規》(Provisions Pertaining to Certain Investments in the United States by Foreign Persons)[37],進一步增加了對美國公民敏感個人數據的外國投資審查;同時,專門設置外國投資委員會(The Committee on Foreign Investment in the United States ),專門負責審核針對關鍵領域和重要數據的外國投資實體。

在重要行業數據治理上,美國已出臺分行業的重要數據治理政策,如針對醫療行業的《健康保險流通與責任法案》(Health Insurance Portability and Accountability Act)[38],針對金融行業的《金融服務現代化法案》(Financial Services Modernization Act)[39],針對交通行業的《駕駛員隱私保護法》(Drivers Privacy Protection Act)[40],針對征信機構的《公平信用報告法》(Fair Credit Reporting Act)[41]等,分別針對醫療健康數據、金融數據、交通數據、征信數據等重要數據對象,在數據的保密性、完整性和可訪問性等方面作出規定。

3.2 歐盟:聯盟引導下成員國自主治理模式

歐盟在重要數據領域,主要圍繞個人數據、非個人數據、重要行業實體等治理對象展開治理實踐,加強對重要數據本地化與跨境傳輸流動的監管,關切對數據實體和數據傳輸地數據保護水平的評估與審核;在實施模式上,以聯盟整體原則性的法規指導為主、各成員國細化執行為輔,構建歐盟內部的單一數字市場。

在重要數據厘定與治理上,歐盟受其人權保障傾向影響,主要按照個人數據與非個人數據進行治理。歐盟按個人數據與非個人數據進行數據粗分,對個人數據的體量與內容達到影響公共安全的程度時,則需要在境內本地化存儲;非個人數據歐盟規定應禁止數據本地化,除非數據涉及公共安全,審慎地允許重要數據的本地化要求,表示成員國須遵循比例原則、相稱性原則,并公開所有數據本地化要求。2016年歐盟出臺的《通用數據保護條例》(General Data Protection Regulation,GDPR)[1]涉及所有歐盟境內的數據控制方、處理方及歐盟境外涉及歐盟境內數據主體的數據控制方、處理方,嚴格限制數據控制與處理機構的數據保存、處理與利用行為;2018年,歐盟提出了《非個人數據自由流動條例》(Regulation on the Free Flow of Non-personal Data)[2],與GDPR共同構成了歐盟個人數據與非個人數據分類管控的規制體系。

在重要數據實體治理上,歐盟修訂《網絡與信息系統安全指令》(Directive on Security of Network and Information Systems)[42],指令的范圍擴大至電信、社交媒體平臺、公共行政等新興重要行業,提出了成員國對“基本和重要實體”實施風險管理和風險報告的要求,特別關注選定行業的大中型公司[43]。2020年歐盟出臺的《關于關鍵實體的復原力的指令》(Directive on the resilience of critical entities)[44],覆蓋能源、運輸、銀行、金融市場基礎設施、健康、數字基礎設施等10個領域,支持成員國確保關鍵實體能夠預防、抵抗、吸收和從破壞性事件中恢復,力圖增強關鍵實體的復原力,明確規定關鍵實體應自行進行風險評估,并以適當的技術和組織措施來提高安全彈性。

在重要數據治理模式上,歐盟構建內部的單一數字市場,各成員國在聯盟總體方案下具體實施。2020年歐盟正式提出《歐洲數據戰略》(A European Strategy for Data)[45],強化歐盟重要數據治理框架,即促進數據廣泛流動,同時延續歐洲高標準的隱私、安全和道德等方面的要求;同時,歐盟又出臺了《數據治理法》(Data Governance Act)[3],旨在增加對重要數據共享的信任,并支持在環境、能源、農業、金融、制造業等重要行業戰略領域建立和發展歐洲通用數據空間,確保高水平的網絡安全。

4 我國重要數據治理進展與風險剖析

在充分梳理歐美重要數據治理模式的基礎上,本文系統考察中國的重要數據治理進展與實踐,并據此分析重要數據治理過程中的風險點,著重關注政企協同過程中的風險漏洞,為提出我國重要數據治理體系提供參考。

4.1 我國重要數據治理進展

圍繞重要數據治理,在頂層制度上,我國依據《網絡安全法》《數據安全法》等搭建了重要數據治理的法律體系?！毒W絡安全法》要求關鍵信息基礎設施的運營者在我國境內運營中收集和產生的個人信息和重要數據應當在境內存儲[46],這是我國法律體系中首次提到重要數據;《數據安全法》明確定義了重要數據,圍繞重要數據生命周期,厘清了重要數據處理機構的權利義務[13];2021年,全國信息安全標準化技術委員會發布《網絡安全標準實踐指南——網絡數據分類分級指引》[47],明確數據安全分類基本規則,將數據分為核心數據、重要數據及一般數據;2022年,我國《網絡安全審查辦法》[48]施行,提出要重點評估審核重要數據被竊取、泄露、毀損以及非法利用、非法出境的風險等重要數據安全風險。

同時,圍繞重要數據關涉的具體行業,我國也密集出臺了相關法規標準。2022年《工業和信息化領域數據安全管理辦法(試行)》[27]發布,在工業和信息化領域明確了重要數據的內涵外延,并構建領域重要數據生命周期安全管理制度;《工業互聯網數據安全保護要求》[49]規定了工業互聯網數據安全保護的范圍及數據類型、數據重要性分級與安全保護等級劃分方法,規定了低/中/高重要性數據在數據產生、傳輸、存儲、使用、遷移及銷毀階段的具體安全保護要求;《工業數據分類分級指南(試行)》[50]中,將數據按重要性等級劃分為三級,其中第三級與重要數據近似,即對國民經濟、行業發展、公眾利益、社會秩序乃至國家安全造成嚴重影響或易引發特別重大生產安全事故或突發環境事件,或造成直接經濟損失特別巨大。

總體上,我國已初步形成了政府主導下的重要數據治理格局,依托《網絡安全法》及《數據安全法》,形成了系列配套法規,且部分重要數據領域已展開重要數據安全保護標準化探索。但目前我國重要數據治理處于政策先行階段,行業標準化和實踐工作還有待進一步落實開展,從國家政策到企業實際的落地轉化還有諸多問題亟待解決。

4.2 我國重要數據治理風險厘定

基于歐美法規政策制定經驗,重要數據治理往往與重要行業、數據企業等相關主體高度聯系,共同構建國家重要數據治理防線,提升國家整體重要數據治理彈性。鑒于此,本文結合企業響應式風險管理思想,以重要數據安全事件發生事前、事中、事后三個核心階段為邏輯,厘定我國重要數據治理存在的風險,從而提出重要數據治理體系,推動我國重要數據治理提高效能,落在實地。

4.2.1 重要數據事前風險

(1)企業道德風險。重要數據治理過程中,企業主體存在道德風險問題[51],由于冒險損益的不對等分配和信息不對稱,重要數據處理機構出于謀求利益的目的可能存在冒險投機、違反協議、逃避義務、不積極對抗風險等行為,導致數據出現安全問題,或使不健康數據流入市場,使得相關主體的利益受損。

(2)治理脫節風險。在重要數據安全事件發生前,政府應采集重要數據領域企業主體的風險評估報告,科學研判風險情景,構建政策體系以規范相關企業主體的數據行為。這一過程中存在治理脫節風險,企業與平臺等主體掌握大量重要數據,出于商業利益目的隱瞞數據安全風險項;在商業秘密的掩蓋下,傳統的行政體制使政府缺乏獲取企業風險信息的強有力手段,難以在事前參與重要數據治理中,多以事后處置的方式進行管理。

(3)管理失范風險。重要數據安全事件的危害性之一來源于其不確定性,重要數據安全事件發生的點位、時間、程度均具有不確定性。重要數據安全管理是常態與危機態勢結合的安全管理,其中存在風險意識缺乏、應急計劃陳舊、應急資源不充分、防護體系建設投入不足等管理失范風險。

4.2.2 重要數據事中風險

(1)事件外溢風險。重要數據具有高負外部性,重要數據一旦發生安全問題,其安全風險就將外溢到相關聯的其他主體、領域,使其他社會主體為其買單,并且受損主體難以得到相應補償。同時,重要數據作為生產要素參與市場交易,與其他生產要素共同構成數據供應鏈,一旦鏈上的某數據供應商提供不健康數據或發生數據風險,該風險將沿著關聯交易的數據供應鏈上下蔓延,進一步擴大數據安全事件的影響范圍。

(2)無對齊風險。相關主體在應對重要數據安全事件時,受主體風險信息不足、應急機制不完善、風險研判能力弱、政府指導缺位錯位等因素影響,存在無對齊風險,即風險響應程度與風險規模不匹配的風險[44]。重要數據風險響應程度低于風險規模,相關主體將難以解決風險事件、恢復常態化;風險響應程度高于風險規模,將造成應急資源的浪費,同樣影響企業安全能力。

(3)信息閉塞風險。重要數據安全事件存在外溢風險,威脅同一數據鏈上的其他主體,并對終端相關個人利益造成損害。企業或個人受信息鴻溝、信息素養等因素限制,難以獲取全部的數據安全情報,由此產生信息閉塞風險,易被動受到重要數據負外部性的影響,難以及時捕捉、響應事件,彌補相關損失。

4.2.3 重要數據事后風險

(1)評價模糊風險。重要數據安全事件發生后,相關主體獲得事件響應的相關數據,可據此進行組織重要數據安全能力成熟度評估[52]、系統安全風險管控評估[53]等評估。但這一評估主要為機構自評,目前我國尚未普及相關第三方評估方式,國家層面的重要數據安全能力評估框架尚未出臺,相關主體未有執行指南,難以保證評估的客觀性、專業性。

(2)問責缺失風險。當前我國對于重要數據的治理政策主要集中于重要數據識別與主體責任界定,如《網絡安全標準實踐指南——網絡數據分類分級指引》《信息安全技術 重要數據識別指南(征求意見稿)》等政策均強調監管過程。而重要數據安全事件的問責與救濟機制尚不完善,在重要數據安全事件發生后,存在問責缺失的風險,相關主體權益難以得到保障。

5 基于壓電式理論的重要數據治理體系

重要數據關系國家安全與社會穩定,是數據主權博弈時代各主權國家治理的重點對象。本文分析歐美治理經驗并調研我國重要數據治理現狀,基于壓電式理論,從體系框架、體系實施兩方面綜合構建我國重要數據安全治理體系。

5.1 體系框架

本文調研我國重要數據治理現狀,依據重要數據的特殊性,提出基于壓電式理論的重要數據安全治理體系(見圖1)。首先,主權視角下重要數據治理以政府為核心主體,并與數據企業、行業組織等相關主體(后文論述統稱為企業)協同進行,在維護國家數據安全,提高國家數據治理水平的同時,幫助增強重要數據持有者、管理者(如企業、平臺、行業組織等)的抗風險能力與復原能力。其次,在治理環節上,由于重要數據具有多源異構、體量龐大、動態傳遞等特點,在其治理體系框架設計中,本文從事前、事中、事后各個環節,明確各環節治理重點,如事前監測中側重對變化事件的識別與數據共享,事中側重對重要數據安全風險的態勢感知與危機干預,事后側重對治理體系的安全評估與全流程重要數據治理體系優化。再次,壓電式理論將重要數據“事前-事中-事后”關聯起來,對象上打通單一數據節點,主體上多元機構協同運作,體系上事件識別、風險感知、事件報告、安全評估、方案優化等全線動態互聯,多種手段相互配合,面對安全風險實時互動,構建一個多主體共建共享的重要數據治理防線,從而提高重要數據治理效率,提升重要數據治理體系的復原力[54],保障國家重要數據安全。

圖1 基于壓電式理論的重要數據安全治理體系

5.2 體系實施

5.2.1 事前監測:變化事件識別共享

研究指出,組織對變化事件的反應速度與治理難度成反比[55],面對復雜多變的重要數據安全風險事件,快速響應是減少損失的關鍵。事前監測環節對變化事件的及時識別,可提高組織對風險的感知能力與敏感性,縮短治理響應時間。在這一階段,主要包括如下六種實施策略:

(1)數據安全管理者培訓。提升重要數據安全風險的識別、處理與緩解能力,首先需要對政府和相關主體的數據管理者進行培訓;同時,企業、平臺等協助治理主體也需提高重要數據安全保護意識與能力,設立如數據安全官等專職人員, 專門負責統籌重要數據保護工作、監督組織的重要數據計劃執行,并定期出具重要數據安全報告等。

(2)重要數據處理機構變化事件識別。這一策略要求企業、平臺等協助治理主體清算組織范圍內的全部數據,篩選其中的重要數據,識別潛在威脅,并進行風險監測。企業、平臺等協助治理主體依據識別出的潛在威脅模擬風險情景,結合過往數據安全事件,構建包括情境組圖、征候體系、事件預警、應急導航等的重要數據安全應急手冊,確定重要數據風險的可能后果。

(3)政府數據安全政策體系構建。政府與企業、平臺等協助治理主體共同應對重要數據安全風險,政府應當構建起重要數據治理的法規政策體系與配套設施,如設立專門管理機構。政府應對國內企業、平臺等數據控制實體按照數據重要性分級,提供主動式服務,如協助數據安全防護體系建設,提供風險防護指南,接收數據風險報告,對風險事件進行備案并及時干預,從而形成緊密的協同防護關系。

(4)政企信息安全數據共享。企業等數據處理機構需定期向政府相關負責人遞交風險評估報告。政府需及時公開數據安全風險警告,歸總國內企業風險數據,提供重要數據風險預測分析。企業對政府提供的數據持續監測,分析數據安全問題及潛在風險,并可與上下游數據商分享最佳實踐和威脅情報,構建數據安全信息共享、整合的渠道[56]。

(5)重要數據處理機構應急計劃制定與對齊。重要數據處理機構應編制數據安全應急響應計劃。應急計劃以消減重要數據安全風險及其損失,實現重要數據安全利用為目標,將關鍵性對齊作為應急計劃編制的原則,即應急計劃與基于風險識別步驟得出的變化事件風險評估應當保持關鍵性對齊,以實現管理投入與風險平衡。該計劃應為執行人員提供充分支持,并經過測試和定期審查。

(6)數據安全防護系統構建。重要數據處理機構應在數據安全官的統籌下,根據應急計劃匹配相應的重要數據安全防護系統,既要包括加密數據庫、備份數據庫、局域網等硬件防護,也要包括多重身份驗證、數據全流程權限管理、數據供應鏈監測等軟件管理防護。

5.2.2 事中響應:態勢感知與危機干預

響應是指系統使用一系列功能來應對刺激引發的變化的行動或行為,在事中響應環節,組織感知變化事件,并利用事前部署及時響應事件,在這一環節強調響應的主動性、及時性與風險感知的準確性,在應對中實現關鍵性對齊。重要數據協同治理的事中響應環節包括以下五個策略:

(1)重要數據安全風險態勢感知。態勢感知是基于事前的相關準備,對變化事件進行主動探知,并利用相關業務設計及時作出響應的策略,包括風險的發現與研判。利用事前監測環節的變化事件清單,企業可以盡早發現對應的風險,根據清單進行風險層級判斷,降低風險歸類研判的難度。盡快作出響應可以減少重要數據危機產生的衍生損失,維護企業的組織連續性。

(2)重要數據安全風險控制。在壓電式理論的風險控制中,企業的響應程度應當與危機的規模相匹配。企業應在數據安全官的統籌下,根據態勢感知階段的重要數據安全風險規模判斷,啟用對應的風險控制計劃。企業資源應像壓電材料受到壓力時內部電荷的移動一樣,根據壓力的來源和大小進行配置。在這一環節,企業應持續留意外部環境的風險變化,避免再次發生數據風險事件。

(3)安全事件報告。重要數據安全風險事件具有擴散性,不只威脅涉事主體自身,還會損害數據鏈條上相關方的權益。當發生數據安全事件時,相關主體應及時記錄安全事件處理日志,形成安全事件報告。這一報告一方面在組織內部存檔,在后續環節作為本次風險處理的經驗歸總,一方面上報至政府的相關部門,以減少安全事件導致的次生災害。

(4)接受安全事件報告。政府部門應當根據企業是否涉及重要數據而進行針對性的處置,政府應與涉及重要數據安全的企業形成合作,并為非重要數據領域的企業開放報告端口。在重要數據處理機構報告安全事件時,政府相關部門應依據相關法律法規與關鍵性對齊的原則及時響應、審查、記錄、指導與干預。

(5)重要數據安全事件干預。重要數據具有高負外部性,一旦出現問題,僅憑企業進行處理難以應對全部的災害損失。并且企業還存在道德風險問題[57],可能使得數據相關主體的利益受損。此時亟需政府干預企業重要數據安全事件響應行為。政府重要數據安全事件干預行為包括事前監測、事后監管,以及向相關主體披露事件信息等。事前監測主要是政府可基于數據供應鏈,向發生事件的上下游數據商發出數據安全警告, 并對數據安全事件導致的數據泄露進行披露, 彌補信息不對稱,責令企業加強重要數據安全保護;事后監管主要是針對安全事件進行審查、問責和處罰;披露信息的主要內容包括數據類型、數據敏感性、數據大小、安全事件日期、關聯法律等[58]。

5.2.3 事后反饋:安全評估與優化

重要數據變化事件響應結束后,進入事后反饋階段。在這一階段,各方需要從簡單地收集和存儲日志數據上升到從數據流中獲得信息并轉化為知識和可操作的見解[59],更新事前監測環節的知識體系與響應計劃,形成治理鏈路閉環管理,達到螺旋式上升的效果。重要數據協同治理的事后反饋階段包括以下三個策略。

(1)重要數據安全成熟度評價。成熟度評價能夠評價組織的數據安全保護能力[57],在數據安全事件發生后,企業應當及時根據事件應對狀況進行數據安全成熟度評價,定位組織的重要數據安全保護能力成熟度等級,并依據評價結果進行改進,逐步提升企業的重要數據安全保護能力。同時,定位組織的成熟度能夠幫助組織在面對下一個變化事件時提供參照。

(2)事件歸檔與知識挖掘。變化事件發生后,政府和企業需要為變化事件日志建立檔案庫,充分挖掘變化事件應對中的知識單元,將變化事件的風險轉化為組織內部可共享的知識,明確本次重要數據安全事件發生的原因、類型、影響因素等,對未來可能發生的風險進行評估和反饋,不斷充實事件案例庫、方案解決知識庫、系統日志庫等。

(3)優化響應方案。在建立重要數據安全風險處理知識庫的基礎上,對相關人員進行知識的迭代更新,細化變化事件清單,以此為基礎升級政府變化事件響應指南和企業變化事件應急計劃,形成總體閉環的重要數據治理鏈路。

6 結語

本文梳理數據主權時代重要數據治理的范疇與特征,在調研歐美重要數據治理模式與國內治理現狀的基礎上,基于壓電式理論,構建了融合變化事件、態勢感知、關鍵性對齊三要素的事中、事前、事后閉環治理體系,探討治理體系實施策略,力圖推動政府與多元主體共建重要數據安全防線,保障國家重要數據安全、推進數據要素價值實現。本文引入壓電式理論進行了數據治理框架的有益探討,未來將進一步圍繞特定數據對象,展開治理實證與框架驗證。