方丽娟 何小平
电子商务作为数字经济中的新业态,安全问题呈现日益复杂和多变的态势,传统安全管理思维与模式的不足逐渐显现。目前有关电子商务安全主要关注最新安全技术方面的研究,缺少治理角度的解决方案,更缺乏总体国家安全观指导下的治理框架体系,本文尝试对数字经济下总体国家安全观引领的电子商务安全治理进行初步的研究。
随着数字经济进一步发展,电子商务安全生产要素数字化转型的需求和速度加快,电子商务系统面临的信息安全与网络安全挑战越发严峻。相关安全问题,例如高级可持续攻击(APT)高频多发,恶意程序大量出现以及网站数据和个人信息泄露事件屡见不鲜等。在大数据时代,黑客成功攻击不仅获得有价值信息的概率增大,而且降低了攻击成本。另外,跨境电子商务和外包服务异军突起,产生了大量跨境贸易数据,并在各国贸易系统之间广泛流通,因而面临更多监管和隐私保护问题。交易安全问题是电子商务的典型安全问题。传统商务交易安全问题在电子商务平台中被进一步放大,在电子商务平台中更为凸显。刷单、个人隐私信息收集与泄露等新型商务安全问题与传统商务安全问题交织叠加,进一步加剧了电子商务交易安全问题的复杂性。此外,信用问题、人员安全等问题也比较突出。电子商务安全问题产生于技术应用和实际管理当中,目前在应对电子商务安全问题时面临以下不足。
电子商务促使大量数据产生和流动,使局部安全问题极易演变为系统性安全事件。未加处置的零散或局部的电子商务安全问题极有可能严重危害国家安全。政府作为电子商务安全管理监督的主要责任主体,其管理目标是激发市场活力,维护电子商务秩序,保护公共利益和国家利益,但在监管目标体系中尚未明确总体国家安全观的主导地位,并以此为基础进行顶层设计,因而不利于各种监管资源的综合利用,不利于建立协同快速反应的监管机制和监管体系。作为电子商务安全管理的首要落实者和责任人的企业,特别是平台型电子商务企业都是数字化程度较高的企业,通常具有较高的安全管理意愿,但其往往把维护企业平台生态以巩固其独特的竞争优势而非国家安全放在首要位置,在面临经营冲突时往往会规避政府监管,从而损害国家利益甚至威胁到国家安全。
目前主要采用两种管理模式应对电子商务安全问题,一种是依靠政府的直接管理,一种是政府与企业的协同管理。由于数字经济下信息化和智能化加速,虚拟与现实边界愈加模糊,对行政管理和监管效率都提出了极高的要求。虽然可以通过增加监管投入解决部分问题,但不能保证行政监管的有效性。因为在万物互联互通的环境下,单个的、局部的问题很容易迅速蔓延到其他个体,独立个体的问题很容易转变为对整个电子商务生态系统的巨大威胁,最终形成难以应对的系统化风险。因此,仅依靠政府的力量很难应对当下复杂多变的电子商务安全问题。至于政府与企业的协同管理模式,一方面是企业权力有限,另一方面则可能存在管理“失灵”等问题。由此可见,在数字经济时代,传统监管模式存在的不足与缺陷,使得创新监管模式迫在眉睫。
电子商务系统中决定其安全程度的主要因素有人、过程和技术等,这导致电子商务安全问题存在于电子商务全流程,分散于电子商务系统各个层面、各个环节。当传统安全管理不能很好解决安全问题时,新型治理理论就成为必然的选择。
20世纪90年代治理理论在一些国家兴起。治理是指官方的或民间的公共管理组织在一个既定的范围内运用公共权威维持秩序,满足公众的需要,其目的是在各种不同的制度关系中运用权力去引导、控制和规范公众的各种活动,以最大限度地增进公共利益。因此,治理是从多主体、多视角出发以协同为基础的作用机制。治理与管理既有联系又有区别,其区别主要体现在主体、方向和关注重点等方面。管理主体是一元的,而治理主体是多元的,治理不仅包含自上而下的管理,同时强调多方面的“共治”。管理是垂直的,以自上而下的信息流通与活动为主,而治理则是扁平化的,包括纵向与横向多个方向的信息流通与活动。管理主要关注管理决策的落实,强调既定目标的实现,侧重规定具体的发展路径和方法,而治理则注重监督、明确责任体系和科学决策,强调多元利益主体之间的利益均衡,侧重于规范权利和责任。面对数字经济下电子商务交织叠加的新问题老问题,要想实现电子商务安全,不仅需要多主体的实质参与,还需要具备联合行动能力,多元协同治理则成为必然的选择。
总体国家安全观是一个独具中国特色的安全理念,它打破了传统国家安全理念与实践在不同领域、不同方面以及国内外之间的隔阂和各自为战的局面,把不同方面、不同领域放在一个完整的系统里来思考、谋划、构建,实现了全面系统的顶层设计[1]。总体国家安全观兼顾了多方位、多方面安全,是一个覆盖社会全部领域的安全战略体系。总体国家安全观的逻辑起点是重视所有领域的国家安全问题,包括政治、经济、社会、文化、生态等各个方面。政治安全是根本,经济安全是基础,军事、文化和社会安全是保障[2]。电子商务作为数字经济的典型代表,其安全直接影响国家经济的稳定与发展,没有电子商务安全就没有整体国家安全。因此,电子商务安全治理应当树立总体国家安全观,电子商务安全治理的最高诉求必然是维护国家安全。
根据系统论的思想,电子商务安全治理体系是由目标价值、治理主体、治理客体、治理手段、治理机制和治理保障六个基本要素构成的复杂系统,该系统必须以总体国家安全观为核心进行构建。总体国家安全观位于框架的核心,统领整个框架,是框架各基本要素的出发点与落脚点。总体国家安全观统筹并且作用于目标价值、治理主体、治理客体、治理手段、治理机制和治理保障六个基本要素,其中,目标价值是电子商务安全治理的逻辑起点,直接作用于治理主体、治理手段、治理机制、治理保障,间接作用于治理客体,从而形成总体国家安全观为核心的治理框架。
目标价值即目标价值追求,该框架的目标价值追求在深层次上代表电子商务安全治理的理念。电子商务安全治理是国家治理的组成部分,而总体国家安全观是中国特色国家治理的精髓,因此应将总体国家安全观作为电子商务安全治理的目标价值追求。由于目标价值或理念比较抽象,因此将其转化为以下几个原则来指导构建电子商务安全治理逻辑框架。
1.以民为本的原则。习近平总书记在中央国家安全委员会第一次会议强调,“全面贯彻落实总体国家安全观”“人民安全是国家安全的宗旨”。《中华人民共和国电子商务法》(以下简称《电子商务法》)第三条明确指出“满足人民日益增长的美好生活需要”。因此,电子商务安全是以增进人民福祉为内核的,通过提升电子商务安全,促进国家安全,保障人民安全。
(3)加强跨境电商人才培养。着力加强跨境电商专业人才培训,弥补人才不足的“短板”。跨境电商的高速发展使得近几年社会对跨境电商人才的需求出现爆发式增长。该领域迫切需要在语言交流、外贸知识、跨境电商技能等方面都擅长的复合型人才。
2.安全与发展协同原则。总体国家安全观“既强调安全,又强调发展”。电子商务安全既是生存问题又是发展问题。信息化、网络化给企业发展插上了翅膀,特别是以5G、物联网、人工智能、区块链、云计算、大数据、边缘计算为代表的数字化技术的应用促进了企业创新,提升了企业的竞争力,同时加大了信息泄露、侵权事件发生的风险。安全与发展是电子商务的双驱力,必须协同发展,《电子商务法》体现了这一点。《电子商务法》在规范电子商务行为、维护市场秩序、保障电子商务各方主体合法权益的同时促进电子商务的可持续发展,体现安全和发展的统一。
3.改革创新原则。总体国家安全观具有与时俱进的发展品质。安全目标会随着内在需求和外部环境等因素的变化而调整。例如人工智能、大数据和区块链等新兴技术深刻改变了电子商务中数据开发、获取、传播和利用的方式,这些新技术会给电子商务带来更多新的安全问题。因而,总体国家安全观下电子商务安全必须重视新技术、新环境等因素带来的冲击,必须改革创新、灵活应对。
治理主体是领导、管理和监督电子商务的组织机构,其关键是治理主体的构成及职能划分。基于多元协同治理理念,治理主体包括政府、行业组织、企业和消费者等。对于政府职能的划分与配置,决定了组织机构的运行方式和运行机制,反映了电子商务安全保护和监督管理活动的主要内容和实质。《电子商务法》第六条规定,国务院有关部门按照职责分工负责电子商务发展促进、监督管理等工作。县级以上地方各级人民政府可以根据本行政区域的实际情况,确定本行政区域内电子商务的部门职责划分。可以看出,电子商务领域行政监管实行从中央到地方的多级监管,各级政府根据行政层级确定监管职责。从具体监管部门来看,电子商务领域的行政监管基本采用各部门分工监管的体制,由国务院各个部门、地方政府各个部门根据其本身的职能对电子商务的不同问题进行监管,而不是建立统一的监管部门对所有事项进行监管[3]。电子商务领域相关部门为行使其监督管理职能出台了一系列的规章制度,涵盖电子商务信息安全、网络安全、数据安全、商务交易等各环节。在多元主体的构成下,政府及其附属机构承担着主要的安全治理责任。而行业组织和企业等在各自的职责范围内承担一定的管理职责。行业组织通过行业公约进行自我约束和自我规范。企业出于保护自身业务安全的需要,具有较强的电子商务安全意识,因此是电子商务安全的首要落实者和责任人。消费者从自身利益出发关注电子商务安全,在维护自身利益的同时促进了电子商务安全,在此过程中承担一定的监督职责。
治理客体也就是治理对象,这里的治理对象主要指威胁电子商务安全的各类风险。电子商务整个过程、各个环节中均存在不同风险。风险即可能隐藏在电子商务系统或相关资源中,如基础设施、系统软硬件、数据、文档、知识、技术、资金、人员、流程等,也可能存在于电子商务参与方的活动中,例如电子商务经营者以及相关服务提供者的违规违法经营活动。风险可能还与内外部运行环境有很大关系,例如安全战略或安全管理制度等。电子商务面临的安全风险很多,但特别需要关注的是信息安全风险、网络安全风险、交易风险、信用风险、人员风险等[4]。
治理手段是应对和解决电子商务安全问题所使用的一系列技术、方法、策略和规则的总和,可以概括为技术体系和规则体系。实现电子商务安全不仅要依靠技术,更要合理设定规则,并将二者有效融合。技术体系主要指的是安全技术体系,是为保障电子商务安全提供的安全技术的总和,包括电子商务系统的实体安全、信息与网络安全、运行安全等多个方面,涵盖电子商务的安全基础层、加密控制层、安全认证层、安全协议层、应用系统层多个层面的相关技术、方法和策略。技术的迭代发展,同样需要安全技术的迭代更新。传统安全技术将被移动互联网安全、云计算安全、物联网安全等领域的安全技术所取代。另外治理是广泛的管理,治理是通过建立、使用规则和制度体系对相关利益者的关系及行为进行约束、调整。这里的规则泛指约束和调整电子商务利益相关方的关系及行为的规则总和,相应的规则体系可以划分为技术规范和管理规则。技术规范主要指与电子商务信息与网络系统及关联系统的软硬件、协议、数据、系统、服务、产品相关的标准、规范和操作规程。管理规则主要指与电子商务安全管理相关的法律法规、制度、行业公约、道德规范、政策等。
建立总体国家安全观引领下的治理机制是逻辑框架顺利推进的关键。机制是指为完成相应的整体任务或者实现一定的总体目的,将相关部件、环节、模块或单元组织起来,形成具备整体功能或完成总体任务的一个系统。它不要求各个单元具有内在的共同性以及同步行动,其重视各个单元之间的相互支持、协作、配合和资源共享。治理机制是为实现既定的治理目标,在正视社会事务各个部分存在的前提下,协调各个部分之间的关系以更好地发挥作用的具体运行方式。按照治理机制的作用范围可分为宏观机制和微观机制。
宏观上,电子商务应建立和完善多元协同共治的治理机制。《电子商务法》第七条规定,国家建立符合电子商务特点的协同管理体系,推动形成有关部门、电子商务行业组织、电子商务经营者、消费者等共同参与的电子商务市场治理体系。另外《“十四五”电子商务发展规划》指出,构建电子商务多元共治格局。因此,电子商务平台经营者应不断提升平台自治能力,政府应发挥引导与监督作用,促进政企协同,推动电子商务行业组织建设,形成政府、企业、行业组织等多方共同参与的电子商务市场治理体系。同时积极参与全球电子商务治理,推动完善公正合理的全球电子商务治理体系。当然还要充分重视社会公众的监督作用。
微观上,应根据电子商务各环节特点和安全需求的不同建立相应的治理机制,例如针对信息与网络安全、交易安全、数据安全等环节应建立预警机制、应急处置机制、监督检查机制,针对信用风险的控制应建立全链条监管机制、约束和惩戒机制、褒扬和激励机制等。
观念、战略、技术、法规标准、人才都是影响电子商务安全治理能否顺利推进的重要因素,在一定程度上决定了电子商务安全治理的成效。
1.坚持总体国家安全观。总体国家安全观是电子商务安全治理逻辑框架的核心,它为电子商务安全行动指明方向。坚持总体国家安全观作为一项基本原则被写入法律。《中华人民共和国数据安全法》第四条规定,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提供数据安全保障能力。因此,在坚持总体国家安全观下实施电子商务安全是依法治理的具体实践。在数字技术与电子商务全面融合的情况下,安全问题已“常态化”,因此需要坚持总体国家安全观,加强党对国家安全的全面领导,建立统一、高效的国家安全体制。
2.加强顶层设计,规划电子商务安全战略。电子商务安全保护体系涉及国家、政府、企业和公众多个主体,影响到社会方方面面,因此要以全局性、系统性视角进行谋划。首先,做好电子商务重点信息工程规划,确定重点技术攻关领域。其次,逐步完善电子商务安全多主体参与的宏观治理机制,以国家治理体系和治理能力现代化的要求为出发点,明确政府、企业和个人在电子商务安全中承担的责任。完善电子商务安全各方面的微观治理机制,使得网络安全、数据安全防护有序有效,安全响应及时。另外,还需完善信用评价制度和公平竞争审查制度,以更好地维护电子商务市场主体公平竞争权益,促进行业健康发展。
3.加快政府转型,提升政府治理能力。相比传统商务,电子商务的协调活动更为复杂,市场主体多元,信用风险泛化与平台垄断的加剧,要求政府在复杂社会网络失灵时起到协调作用。数字经济时代对政府的服务能力和保障能力提出更高要求。数字技术赋予政府治理新的工具和手段,政府数字化更贴合电子商务发展的需要。但政府的治理能力往往受限于政府数字化程度和当地电子商务的发展程度,因此,需要加强数字化政府的建设,进一步打通部门业务、决策科学化,才能更好的发挥监管和指引职能。
4.提升电子商务安全相关技术。信息网络安全是电子商务安全的基础,要实现电子商务安全就必须掌握先进的互联网安全核心技术,包括网络攻防、数据保护、智能预警等技术。目前我国在密钥管理、数字签名、身份认证等共性安全技术方面取得了一定突破,但在物联网安全、人工智能安全等伴随安全技术和核心能力方面还比较落后,需要加大投入,加强项目攻关和研发力度。其次,由于人工智能技术可以大大提高安全保护效率,应加强人工智能技术在网络安全领域的应用研究。此外,要建立强大的数据安全保护系统。数据安全一直是电子商务面临的主要安全问题,因此需要我国加大研发投入,发展具有独立知识产权并且性能先进的安全系统。
5.完善电子商务相关法规标准体系。目前我国已形成由《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国电子商务法》为基本框架的法律体系,但需要加快修订《中华人民共和国反垄断法》和《中华人民共和国电子商务法》,出台配套规范和司法解释。制定《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律的配套规定,建立数据产权制度,完善数据分类分级保护制度,健全数据跨境流动安全管理相关制度规范,推进数据安全标准体系建设,规范数据全生命周期管理。完善人工智能、算法应用等规则。加强知识产权保护,建立新领域、新业态的知识产权保护制度及监管框架。完善电子商务标准治理体系,健全电子商务行业标准,加快研制直播电商、社交电商、农村电商等新业态的标准。
6.加大对安全专业人才的培养。人才是科技创新最重要的影响因素,但是我国安全领域人才短缺的现象严重,电子商务企业普遍存在信息安全人才短缺的情况。电子商务安全涉及安全技术、管理、法律等多个学科,复合型人才则更为匮乏。因此,需加大资金和教育投入,建立完善的电子商务安全人才培养体系,加大安全人才的储备力度。
综上所述,在电子商务安全治理过程中,应始终把总体国家安全作为出发点和落脚点,坚持发展与安全双轮驱动,建立完善多元参与和相关治理机制及配套措施,不断提升网络安全防护能力和数据安全保障水平,切实有效防范各类风险,促进电子商务规范、可持续发展。