数字经济时代的数据安全风险与治理

文/戴丽娜

数字经济已成为继农业经济、工业经济之后的第三种经济形态，不仅赋予了全球经济全新的增长动力，也为中国社会转型提供了重要契机。当前，中国不仅加速推动以“互联网+”、“智慧城市”为标志的数字经济建设进程，也在更主动地融入并推动全球数字经济发展浪潮。2015年7月，中欧签署《中国互联网发展基金会与中欧数字协会合作意向书》，并提出共同打造“数字丝绸之路”的愿景；2015年9月，在西雅图中美互联网论坛上，习近平主席与中央网信办鲁炜主任先后提出与美国共同引领数字经济的倡议，并表示“真诚希望与美国研究推进‘中美数字经济合作计划’；2015年10月，在伦敦中英互联网圆桌会议上，正式签署了中英首份数字丝绸之路网络合作协议。然而，伴随数字经济发展的是日益严峻的数据安全问题，其影响超越了技术安全范畴，已经成为威胁全球政治和经济安全的核心议题，如何在推动数字经济发展的同时加强数据安全治理正成为各国共同面临的挑战。

一、全球数字经济的发展概况

华为公司自2014年开始发布全球联接指数（GCI）报告，根据2015年4月发布的最新统计数据显示，美国、瑞典、新加坡依次为前三名。美国拥有全球最大的e-Commerce电子市场、全球第二的移动互联渗透率，以及全球最领先的e-Government基础设施，加上技术、资本、人才以及创新机制等方面的优势，为其数字经济发展奠定了坚实基础。新加坡凭借“智慧国”战略，成功跨越资源瓶颈，成为数字经济发展的引领国。智利、中国和阿联酋依次在发展中国家行业综合排名前三位。中国人均宽带水平不高，但拥有全球最大的移动市场和互联网市场。在发展中国家排名第二，主要受益于快速发展的互联网经济，电子商务交易量仅次于美国和日本。

当前，移动宽带、云计算、物联网、大数据和数据中心等技术的发展和相互促进被公认为是数字经济发展的基石。其中，数据被誉为数字经济时代的“新石油”。而数据中心建设则是ICT发展的关键，也是云计算技术普及的催化剂。目前发展中国家仍较注重宽带连接方面的投资，故在数据中心等核心能力建设方面明显落后于发达国家。华为公司的研究数据显示，发达国家的数据中心投资的GDP占比平均为0.76%，而发展中国家仅为0.32%。

二、数字经济面临的数据安全风险

随着数字经济占现代经济比重的提升，以及新一代信息技术在诸多领域的广泛应用，数据已经成为一种关乎国家政治、经济、军事、社会和文化安全的重要战略资源。国家竞争焦点从资本、土地、人口、资源的争夺逐步转向了对数据的争夺。目前，全球对数据开发和利用的实践已经引发了越来越多的个人隐私安全、企业信息安全甚至是国家安全风险。据Verizon发布的《2015年数据泄露调查报告》显示，在95个被调查国家中的79790个安全事件中，有2000余起与数据泄露有关。数据泄露无疑将使个人、企业、乃至国家蒙受巨大损失。但相较个人和国家，企业因数据安全造成的损失更容易量化衡量。以“索尼事件”为例，2014年4月，索尼公司遭到黑客攻击，导致1亿账户资料泄露，其Play Station网络和Qriocity流媒体服务被迫关闭了将近1个月的时间。索尼公司为此花费了约1.71亿美元来弥补该项损失。另据数据安全研究机构波耐蒙研究所(Ponemon Institute)对11个国家350家公司的研究得知，如今单项数据泄露的成本已从2014年的145美元上升至154美元。

三、面向数字经济的数据安全治理

为应对数字经济时代安全威胁的挑战，很多国家都采取了相应举措。相较而言，欧美等信息技术强国的步伐较快，主要采取了制定战略规划、开展国际合作、增强技术保障和完善法律规制等四种策略。

1.制定战略规划

近年来发布的关于大数据发展的战略规划，不仅为数据开发和利用提供了顶层设计，也为数字经济时代的安全治理奠定了基石。譬如，2012年2月美国白宫发布了《网络世界中消费者数据隐私报告》，该报告包含四项主要内容：消费者隐私权利法案；促进各利益相关方将消费者隐私权利法案中的原则应用于商业环境；加强联邦贸易委员会的执法；增强与国际合作伙伴在隐私框架上的互操作性，旨在构建保护隐私和促进创新的基本构架。再如，2012年6月，法国个人信息保护机构——国家信息与自由委员会发布了《云计算数据保护指南》，对云计算的数据安全管理提出了相应建议。“棱镜门”事件爆发以后，欧盟一改此前对网络数据采取的开放姿态，于2013年11月发布了《重塑欧美数据流动信任》报告，一方面，旨在维持欧美之间数据流动的延续性，另一方面，提出了6项高水平的数据保护策略：迅速采纳欧盟数据保护改革建议；提升“信息安全港”的安全性；加强执法过程中的数据保护；要求美国使用现有的共同法律援助协议和部门协议来获取数据；督促推进美国数据安全改革进程，回应欧洲关切；促进隐私标准的国际化。该报告的出台对数据跨境流动安全及欧美关系的发展产生了重大影响。

中国政府同样非常重视网络空间安全的战略规划，自“十一五”时期便开始制定国家级信息安全专项规划。2014年2月成立了中央网络安全和信息化领导小组，再次提升了网络安全在国家战略中的高度。2015年8月底，国务院发布了《促进大数据发展行动纲要》，为中国大数据发展进行了顶层设计和统筹部署，并针对“健全大数据安全保障体系”提出了专项要求，同时，实施“网络和大数据安全保障工程”。目前，在工信部指导下起草的《大数据标准化白皮书》也专门涉及到数据安全标准体系的相关内容。此外，《大数据产业“十三五”发展规划》的制定工作已经展开。

2.开展国际合作

海量数据实时、跨机构、跨境的流动、开发和利用，导致传统的基于组织和疆域边界的信息安全保障模式被打破，开展国际合作成为数字经济时代数据安全治理的必由之路。

美国《网络世界中消费者数据隐私报告》中提出，各国在网络空间数据安全合作中应做到以下三个方面：一是以有效的执法和企业问责制为条件，相互承认彼此的隐私保护框架；二是多方主体参与数据安全程序和行为准则的制定；三是美国联邦贸易委员会与其他国家的类似机构进行执法合作，创建“国际隐私执法网络”，显著提升数据隐私法规的运作效率。

与美国试图建立由其主导的国际治理模式不同，虽然“棱镜门”事件后美国在国际网络治理领域的公信力有所降低，但欧盟仍旧采取了积极寻求与美国合作的姿态。基于对美欧“安全港”协议 实施效果的评估，欧盟提出13项改进意见，主要包括四方面内容。一是增加透明度。自我认证的公司要公开自己及云服务合作商的隐私政策，其网页要有美国商务部“安全港”计划的链接，而美国商务部网页则要公布非计划内的公司名单。二是强化补偿机制监管。公司隐私政策的页面必须包含替代性纠纷解决方案提供者的链接，商务部则要确保补偿机制的有效性。三是收紧执行程序。在审核或复核企业的“安全港”资格后，企业将接受随机抽检，以确认其隐私政策的有效性。一旦怀疑企业违规，商务部应立即通知欧盟数据保护机关。四是加强对美国权力机关获取数据的管控。自我认证的公司的隐私政策须包括美国允许政府部门搜集处理数据的法律内容，针对国家安全的例外条款只能在必须且适当的情况下应用。

此外，欧盟还要求美国按现有的共同法律援助协议和部门协议获取数据。如果美国政府直接向在欧数据企业索要资料，企业将陷入两难境地。一方面，如果拒绝交出数据，将触犯美国的《爱国者法案》；另一方面，如果交出数据，又违背了欧盟的相关规定 。因此，欧盟要求美国政府承诺，以现有的法律框架作为索取数据资料的一般原则，尽量避免绕开法律直接索要数据的情况发生。这些法律框架包括共同法律援助以及“旅客名单登记协议”和“恐怖主义金融追踪项目”等部门协议。直接要求公司提供数据的情况只能根据协议规定的例外条款进行，并且须进行法律上的评估 。

作为技术后发国家，中国在数据安全治理方面早已认识到国际合作的意义和重要性。在《2006-2020年国家信息化发展战略》 和《国家信息安全战略报告》 中均强调了开展国际技术交流与合作的必要性。2011年9月，中国与俄罗斯、塔吉克斯坦、乌兹别克斯坦等国一起向联合国秘书长递交了共同起草的“信息安全国际行为准则”，作为联合国第66届大会正式文件，旨在为全球指定网络安全国际公约提供范例。此外，中国还通过举办“中美互联网论坛”、“中英互联网圆桌会议”、“世界互联网大会”等途径积极沟通，增进互信，推广“共享共治”理念。

3.增强技术保障

网络空间数据安全防护技术是治理的根本保障。根据功能差异，网络空间数据安全技术可分为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等七大类。常见的数据安全技术有加解密技术、身份认证技术、边界防护技术、访问控制技术、主机加固技术、安全审计技术和检测监控技术等。

“棱镜门”事件发生后，为进一步提升自身网络空间数据安全性，美国于2014年2月发布了由国家标准技术研究所（NIST）起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》。这是一个基础性的框架文件，主要针对金融、电信、能源、交通等涉及国计民生的重要行业网络和业务系统，从识别、保护、侦测、响应和恢复五个层面提出了最佳实践技术标准和模型。美国政府不仅注重防范涉及国家、社会宏观层面的数据安全问题和风险，同时对于公民个人数据安全问题也非常重视。在《大数据：抓住机遇、守护价值》白皮书中提出，政府须继续研发隐私保护技术，使消费者掌控其数据被采集的时间和方式，改善对消费者的服务。由于网络广告行业出现了越来越多的记录个人行动和位置数据的设备和服务，所以消费者十分需要性能更强大的隐私保护工具，以防个人数据“被追踪”。目前，美国的“网络和信息技术研发”（NITRD）项目每年在隐私技术上的研究总支出已超过7000万美元，研究领域涵盖四个部分：对隐私安全扩展的支持；对企业如何遵守隐私法的研究；保护医疗保健的隐私；保护基础搜索的隐私。

“棱镜门”事件全面暴露了中国网络空间数据安全受制于人的事实和现状。因此，在增强网络空间数据安全技术保障方面，中国面临着与美国迥异的任务和使命。2014年初，中国IT界自发开展了以摆脱国际巨头公司控制、走国产化之路的“去IOE”大讨论。2014年5月，国信办宣布将推出网络安全审查制度，对事关国家安全和公共利益的系统使用的重要技术产品和服务进行网络安全审查。同月，中国政府采购网发布的《关于进行信息类协议供货强制节能产品补充招标通知》，要求所有计算机类产品不允许安装Windows 8操作系统。同时，国外品牌从“杀毒软件”、“云安全软件”、“入侵检测/漏洞扫描”、“公共安全与应急软件”等安全类软件从采购名单中消失，取而代之的是经核准的5家国产安全软件企业品牌。2014年，中国网络信息产品的国产化发展进程明显加快，以计算机服务器为例，国际权威研究机构Gartner公布的数据显示，2014年第3季度全球服务器出货量同比增长1%，但IBM、惠普、戴尔等美国品牌的全球份额出现明显下降，中国本土服务器市场出货量却同比增长15.63%，约是全球市场增速的15倍。多种迹象表明，中国正逐步进入网络空间发展的“自主、安全、可控”轨道，尽管道路是艰辛、曲折、漫长的，但毕竟已经迈出了可喜可贺的一步。

4.完善法律规制

法律法规是网络空间数据安全治理的制度保障，也是国家、企业、公民在网络空间中行为规范的底线。在数据安全立法方面，美国仍旧走在世界前列。一直以来，美国沿着技术发展的轨迹，与时俱进地修订旧法、制定新法。主要法律、法规有：《信息自由法》、《个人隐私法》、《伪造信息存取手段和计算机欺骗滥用法》、《计算机安全法》、《电信法》、《儿童网上保护法》、《公共网络安全法案》、《电子通信隐私法》和《消费者隐私权利法案》等。其中，制定于1966年的《信息自由法》涉及对政府信息的获取、公开方式、可分割性，以及相关的诉讼事宜等，该法分别于1974年、1976年、1986年、1996年进行过多次修订。而制定于1986年的《电子通信隐私法》因部分条款已经不合时宜，如该法“允许美国政府在未先获得合理授权的前提下获取电子邮件内容”。由数字权利组织与电子隐私倡导者组成的正当程序联盟正在敦促美国国会参众两院修订该法。为了进一步适应新数据环境下的治理需要，2015年2月底，美国政府还公布了《消费者隐私权利法案（草案）》，新法案对时下极为关注的用户数据的回应，将赋予美国民众更大的隐私权，并制定一套新的隐私准则框架。此外，该法案允许各行业在美国联邦贸易委员会的监督下自主制定有关保护数据隐私的行为守则。同时，这些行为守则也为遵守它们的公司提供“安全港”。

中国也加快了网络安全立法的步伐，2015年6月24日十二届全国人大常委会第十五次会议审议了《网络安全法》草案，草案共七章六十八条，从保障网络产品和服务安全、保障网络运行安全、保障网络数据安全、保障网络信息安全等方面进行了具体的制度设计。但是，同数字经济快速发展步伐和日益严峻的数据安全形势相比，中国的法规保障体系建设之路尚有很长的路要走。