主權(quán)視角下重要數(shù)據(jù)治理體系構(gòu)建
——基于壓電式理論

冉從敬 段文嬌 何夢婷

(1.武漢大學(xué)信息資源研究中心,武漢,430072; 2.武漢大學(xué)信息管理學(xué)院,武漢,430072)

1 引言

新一輪“信息革命”下,數(shù)據(jù)資源作為新興生產(chǎn)要素,廣泛融入全要素生產(chǎn)力提升與社會轉(zhuǎn)型發(fā)展進程,并與國家安全、社會穩(wěn)定、個人權(quán)益密切關(guān)聯(lián),“數(shù)據(jù)主權(quán)”概念興起并成為國家總體安全的重要組成部分。這一背景下,數(shù)據(jù)治理,尤其是重要數(shù)據(jù)的治理,成為主權(quán)國家必須回應(yīng)的關(guān)鍵議題。

對數(shù)據(jù)行使主權(quán)權(quán)力、治理本國數(shù)據(jù)資源已成為國家主權(quán)在大數(shù)據(jù)時代的關(guān)鍵延伸。重要數(shù)據(jù)關(guān)系國家安全、國民經(jīng)濟命脈、重要民生及重大公共利益,在各國數(shù)據(jù)主權(quán)戰(zhàn)略體系中受到重點關(guān)切。歐盟自2016年以來,密集出臺《通用數(shù)據(jù)保護條例》(General Data Protection Regulation)[1]、《非個人數(shù)據(jù)自由流動條例》(Regulation on the Free Flow of Non-personal Data)[2]、《數(shù)據(jù)治理法》(Data Governance Act)[3]等政策,形成重要數(shù)據(jù)管理體系框架,并嘗試構(gòu)建通用數(shù)據(jù)空間以規(guī)范重要數(shù)據(jù)流動;美國自2017年起,通過強制性法規(guī)與行業(yè)標準相結(jié)合的模式,以《澄清境外數(shù)據(jù)的合法使用法案》(Clarifying Lawful Overseas Use of Data Act)[4]、《加州消費者隱私法案》(California Consumer Privacy Act)[5]、《國家網(wǎng)絡(luò)安全戰(zhàn)略》(National Cybersecurity Strategy)[6]等法案形成了針對國內(nèi)重要實體數(shù)據(jù)、重點行業(yè)領(lǐng)域數(shù)據(jù)、受控非密信息等的數(shù)據(jù)治理體系;同時,不斷出臺《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》(DEPA)[7]、《全面與進步跨太平洋伙伴關(guān)系協(xié)定》(CPTPP)[8]等區(qū)域間重要數(shù)據(jù)跨境規(guī)則與事實標準,以加強地區(qū)重要數(shù)據(jù)流動的安全保障。

我國具有廣闊數(shù)據(jù)市場、巨大數(shù)據(jù)體量與海量關(guān)聯(lián)用戶,以“滴滴事件”為代表的重要數(shù)據(jù)泄露事件層出不窮,數(shù)據(jù)企業(yè)與數(shù)字經(jīng)濟行業(yè)“野蠻”生長引發(fā)的數(shù)據(jù)次生風(fēng)險愈加嚴峻,國家主導(dǎo)下的重要數(shù)據(jù)治理刻不容緩。近年來,我國圍繞重要數(shù)據(jù)治理的制度體系建設(shè)逐漸起步,總體國家安全觀對我國數(shù)據(jù)治理提出了發(fā)展與安全并重、效率與效益共舉的發(fā)展要求[9];“黨的二十大”明確提出要健全國家安全體系,強化網(wǎng)絡(luò)、數(shù)據(jù)的安全保障體系建設(shè);《中華人民共和國數(shù)據(jù)安全法》[10]中明確建立數(shù)據(jù)分級分類制度,構(gòu)建起具有中國特色的重要數(shù)據(jù)安全保障法律體系;2022年《信息安全技術(shù) 重要數(shù)據(jù)識別指南(征求意見稿)》[11]中進一步明確重要數(shù)據(jù)定義與分級方案。

嚴峻的重要數(shù)據(jù)治理現(xiàn)實與實踐困境,驅(qū)動學(xué)界開展了主要基于實踐需求與問題導(dǎo)向的探索與研究,形成如重要數(shù)據(jù)治理的法理梳理、治理實踐、治理對策等研究熱點。在法理梳理上,研究者力圖明確重要數(shù)據(jù)定義與邊界,厘定重要數(shù)據(jù)的內(nèi)涵、法律特征和法律屬性[12],并明確重要數(shù)據(jù)的識別與保護標準[13]。在治理實踐上,學(xué)者深入分析美國[14]、歐盟[15]等國家重要數(shù)據(jù)治理進展,同時針對生物醫(yī)學(xué)數(shù)據(jù)[16]、金融數(shù)據(jù)[17-18]、車聯(lián)網(wǎng)數(shù)據(jù)[19]等細分行業(yè)重要數(shù)據(jù)對象展開考察,為我國重要數(shù)據(jù)治理體系的建立提供建議[20]。在治理對策上,一方面,研究者基于主權(quán)安全政策,提出在網(wǎng)絡(luò)空間保護國家重要數(shù)據(jù)的制度建議[21],劉雙陽[22]指出《刑法》應(yīng)與《數(shù)據(jù)安全法》等前置法有效銜接,在恪守謙抑性原則的基礎(chǔ)上增設(shè)拒不履行重要數(shù)據(jù)安全保護義務(wù)罪;袁康等[23]以重要數(shù)據(jù)識別和管控為中心,以網(wǎng)絡(luò)安全等級保護作為制度銜接,探討建立了數(shù)據(jù)分類分級體系標準和數(shù)據(jù)分類分級保護制度框架;陳磊等[24]以分析國標《信息安全技術(shù) 重要數(shù)據(jù)處理安全要求》的設(shè)計思路,對重要數(shù)據(jù)處理提出安全要求。另一方面,研究者積極探討重要數(shù)據(jù)的風(fēng)險識別與評估的技術(shù)解決方案,Gonzalez等[25]提出了安全事件數(shù)據(jù)的分類以幫助不同行業(yè)數(shù)據(jù)系統(tǒng)的評估風(fēng)險;李金等[26]通過重要數(shù)據(jù)跨境流動的二分網(wǎng)絡(luò)和關(guān)聯(lián)網(wǎng)絡(luò)識別風(fēng)險路徑,為重要數(shù)據(jù)跨境流動的預(yù)警管理提供量化方法。

縱觀國內(nèi)外研究,較少學(xué)者深入研判重要數(shù)據(jù)所面臨的系統(tǒng)性安全風(fēng)險,也缺少對重要數(shù)據(jù)治理的特殊性展開的系統(tǒng)論述,現(xiàn)有治理對策主要圍繞具體細分對象展開,而從全流程、多主體視角的全面治理體系尚處空白。本文在數(shù)據(jù)主權(quán)戰(zhàn)略背景下聚焦重要數(shù)據(jù)治理問題,創(chuàng)新引入壓電式理論及其框架,結(jié)合風(fēng)險管理相關(guān)理論,深入分析重要數(shù)據(jù)的安全風(fēng)險,力圖提出我國重要數(shù)據(jù)協(xié)同治理體系,為相關(guān)研究與實踐提供借鑒。

2 重要數(shù)據(jù)范疇及壓電式理論的治理適用

2.1 重要數(shù)據(jù)治理內(nèi)涵與范疇

在我國《數(shù)據(jù)安全法》《信息安全技術(shù) 重要數(shù)據(jù)識別指南》《汽車數(shù)據(jù)安全管理若干規(guī)定》等法規(guī)政策中,“重要數(shù)據(jù)”主要被定義為一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數(shù)據(jù)[11]。重要數(shù)據(jù)與國家安全緊密相關(guān),我國《工業(yè)與信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》[27]等數(shù)據(jù)分類分級制度中,以數(shù)據(jù)遭到篡改、破壞、泄露或非法獲取、非法利用后的危害程度來確定數(shù)據(jù)安全級別。重要數(shù)據(jù)往往對國家重要領(lǐng)域及相關(guān)主體、設(shè)施、資源產(chǎn)生重要影響,同時也與行業(yè)及社會整體深度關(guān)聯(lián)?；诖?本文沿用國家政策定義,明確重要數(shù)據(jù)為數(shù)據(jù)安全受破壞后危害對象及危害程度可能影響國家安全、重要行業(yè)安全、公共利益安全的數(shù)據(jù)。

數(shù)據(jù)治理是以數(shù)據(jù)為對象的治理。數(shù)據(jù)主權(quán)是國家對境內(nèi)的數(shù)據(jù)享有的數(shù)據(jù)管轄權(quán)與數(shù)據(jù)控制權(quán),能夠排除他國的干涉,保障本國數(shù)據(jù)安全[28],是國家的最高權(quán)力在本國數(shù)據(jù)領(lǐng)域的外化。借鑒相關(guān)研究,本文厘定在數(shù)據(jù)主權(quán)下的數(shù)據(jù)治理是主權(quán)國家行使數(shù)據(jù)主權(quán)、統(tǒng)籌數(shù)據(jù)流通與應(yīng)用的一系列活動的集合。其中,主權(quán)視角下的數(shù)據(jù)治理主體為國家,企業(yè)、行業(yè)組織、公民等利益相關(guān)體為協(xié)同治理主體;治理對象為國家境內(nèi)的數(shù)據(jù)資源,其中以對國家安全與利益有重大影響的重要數(shù)據(jù)為核心對象;治理以實現(xiàn)發(fā)展與安全的平衡為目標[29],以數(shù)據(jù)產(chǎn)權(quán)、流通交易、收益分配、安全治理為重點[30]。

因此,主權(quán)視角下重要數(shù)據(jù)治理是國家數(shù)據(jù)主權(quán)實施的重要內(nèi)容與核心要義,其以對國家安全與利益有重大影響的重要數(shù)據(jù)為對象,以國家為核心治理主體、相關(guān)利益主體為協(xié)同治理主體,以保障重要數(shù)據(jù)安全、規(guī)避數(shù)據(jù)風(fēng)險、實現(xiàn)重要數(shù)據(jù)價值為綜合目標,以維護國家數(shù)據(jù)主權(quán)安全與利益為根本取向。

2.2 壓電式理論及其在數(shù)據(jù)治理的適用

“壓電”一詞源于希臘語中的“擠壓”一詞[31]?！皦弘娦?yīng)”是在一定條件下實現(xiàn)機械能與電能相互轉(zhuǎn)化的現(xiàn)象[32],具體包括正壓電效應(yīng)與負壓電效應(yīng),即某些電介質(zhì)在一定方向上受到外力的作用而變形時,內(nèi)部產(chǎn)生極化現(xiàn)象,同時在電介質(zhì)兩個相對表面上出現(xiàn)等量異號電荷(正壓電效應(yīng));當(dāng)外力去掉后,電介質(zhì)又會恢復(fù)到不帶電狀態(tài)的一種現(xiàn)象(負壓電效應(yīng))[33]。

壓電式效應(yīng)本質(zhì)是通過內(nèi)部狀態(tài)的變化(電荷移動)來響應(yīng)外力的作用[34],壓電式理論(Piezoelectric Theory)也正是源于這一特性:壓電式傳感器在受到外力作用時,會呈現(xiàn)出擠壓(squeeze)、觸發(fā)(trigger)和對齊(alignment)三種狀態(tài);當(dāng)外部壓力消失時,則相應(yīng)地處于放松(relax)、觸發(fā)和無對齊(de-alignment)三種狀態(tài),此時,傳感器會恢復(fù)到不帶電的初始狀態(tài)[31]。

壓電式理論通過內(nèi)部狀態(tài)的變化響應(yīng)外力作用,具有面向系統(tǒng)的可解釋性和底層邏輯[35],作為一個過程模型能夠與社會科學(xué)研究對象結(jié)合起來,以過程與狀態(tài)兩種屬性,以及內(nèi)部與外部的響應(yīng)關(guān)系,構(gòu)建起對動態(tài)事件的反饋機制。新加坡學(xué)者江明灶[35]將壓電式理論從自然科學(xué)領(lǐng)域移植到企業(yè)數(shù)據(jù)治理領(lǐng)域中,構(gòu)筑了以壓電式理論為核心的企業(yè)數(shù)據(jù)響應(yīng)式安全體系;劉晨暉等[34]結(jié)合壓電式理論中變化事件、態(tài)勢感知與關(guān)鍵性對齊的視角,構(gòu)建適用于中國企業(yè)的應(yīng)急響應(yīng)體系;胡峰[31]運用壓電式理論構(gòu)建了包括事前監(jiān)測預(yù)警、事中響應(yīng)處置、事后反饋總結(jié)的政府?dāng)?shù)據(jù)治理框架?；谙嚓P(guān)研究,本文將壓電式理論拓展至數(shù)據(jù)治理領(lǐng)域,即如果組織的數(shù)據(jù)治理體系可賦予其面對變化風(fēng)險事件不斷調(diào)整的能力,那么來自風(fēng)險事件的負面影響就能被內(nèi)部的調(diào)整舉措消除。

具體到重要數(shù)據(jù)治理,在其過程中的風(fēng)險事件可類比為壓電式理論中的外力作用:在風(fēng)險事件發(fā)生時,政府等治理主體(壓電材料)必須構(gòu)建快速、高效的響應(yīng)體系,即重要數(shù)據(jù)治理體系,通過精準錨定事發(fā)的關(guān)鍵節(jié)點,以協(xié)調(diào)整合內(nèi)外部資源來化解數(shù)據(jù)風(fēng)險;隨著安全事件的解決或威脅的解除(外力釋放),治理主體經(jīng)過總結(jié)、評估和反饋,治理體系恢復(fù)到無壓力的常規(guī)狀態(tài)。

同時,壓電式理論運用到社會科學(xué)領(lǐng)域中,可在原有的三種狀態(tài)中可提取出三個核心要素,即變化事件(change events)、態(tài)勢感知(situation awareness),以及關(guān)鍵性對齊(critical alignment)。在重要數(shù)據(jù)治理中,這三類環(huán)環(huán)相扣的要素既是啟動重要數(shù)據(jù)治理這一“壓電式行為”的行動導(dǎo)向和運行機制,也是決定重要數(shù)據(jù)治理成敗的關(guān)鍵。其中,變化事件是指,在危機發(fā)生之前,治理主體就對潛在風(fēng)險因素進行評估、梳理風(fēng)險清單,以應(yīng)對不確定事件,強調(diào)增強組織面對重要數(shù)據(jù)風(fēng)險事件的反應(yīng)能力;態(tài)勢感知是基于事前的制度構(gòu)建與機制建設(shè)主動探知變化事件,即重要數(shù)據(jù)安全風(fēng)險因素,并進行響應(yīng),強調(diào)響應(yīng)的主動性與及時性,關(guān)注組織的敏捷性;關(guān)鍵性對齊是從業(yè)務(wù)的平衡視角出發(fā),避免重要數(shù)據(jù)風(fēng)險的無限放大帶來的重要數(shù)據(jù)流轉(zhuǎn)不及時、安全資源浪費、效益受損等后果,關(guān)注重要數(shù)據(jù)處理機構(gòu)面對重要數(shù)據(jù)安全事件的復(fù)原力。

基于此,本文將重要數(shù)據(jù)作為治理對象,在充分探討、梳理國際治理進展的基礎(chǔ)上,創(chuàng)新性地在該領(lǐng)域引入壓電式理論,從變化事件(事前風(fēng)險厘定)、態(tài)勢感知(事中危機響應(yīng))、關(guān)鍵性對齊(事后反饋與常態(tài)化恢復(fù))入手,構(gòu)建以國家主體為主導(dǎo)、多主體參與的我國重要數(shù)據(jù)全流程治理體系,綜合數(shù)據(jù)主權(quán)戰(zhàn)略下安全與發(fā)展的綜合平衡目標,以應(yīng)對日益復(fù)雜化的數(shù)據(jù)安全風(fēng)險。

3 國際重要數(shù)據(jù)治理進展與關(guān)鍵環(huán)節(jié)

重要數(shù)據(jù)作為國家戰(zhàn)略資源,成為數(shù)據(jù)主權(quán)博弈時代各主權(quán)國家治理的重點對象。各主權(quán)國家從國家利益與發(fā)展需求出發(fā),以重要數(shù)據(jù)的安全性保障為第一要務(wù),在此基礎(chǔ)上推動數(shù)據(jù)流轉(zhuǎn)和價值產(chǎn)生,形成各有側(cè)重的重要數(shù)據(jù)治理體系,其中以歐盟與美國最具代表性。本文在數(shù)據(jù)主權(quán)戰(zhàn)略新時代下,系統(tǒng)考察歐盟與美國的重要數(shù)據(jù)治理態(tài)勢,把握其中的關(guān)鍵環(huán)節(jié),為映射我國現(xiàn)狀、構(gòu)建我國治理體系提供參照系與借鑒對象。

3.1 美國:政府主導(dǎo)下分行業(yè)治理模式

美國歷來重視重要數(shù)據(jù)及其載體的保護,在世界范圍內(nèi)較早開始重要數(shù)據(jù)保護。基于其重要數(shù)據(jù)大多由私營企業(yè)存儲和運營、分散分布的基本國情,美國重要數(shù)據(jù)治理以重要數(shù)據(jù)厘定與實體識別為主線,形成了政府主導(dǎo)下分行業(yè)治理、政府與企業(yè)高度合作的重要數(shù)據(jù)治理模式。

在重要數(shù)據(jù)厘定上,美國按數(shù)據(jù)的重要性以及所需要的保護程度將政府所掌握的數(shù)據(jù)劃分為三類,包括保密數(shù)據(jù)、敏感數(shù)據(jù)與公開數(shù)據(jù)。其中,敏感數(shù)據(jù)與保密數(shù)據(jù)屬于本文語境下的“重要數(shù)據(jù)”范疇,保密數(shù)據(jù)遵循嚴格機密保護制度,敏感數(shù)據(jù)介于保密數(shù)據(jù)與公開數(shù)據(jù)之間,政府需采取安全措施對其進行安全保護,并控制其傳遞與使用范圍[36]。

在重要數(shù)據(jù)實體識別上,對于重要數(shù)據(jù)保護主要通過責(zé)任機構(gòu)的審查和風(fēng)險評估進行規(guī)制,2018年出臺的《加州消費者隱私法案》(CCPA)[5]聚焦于為盈利目的開展數(shù)據(jù)處理活動的企業(yè),側(cè)重對影響范圍大、風(fēng)險程度高的規(guī)模企業(yè)進行管轄,從規(guī)模效應(yīng)入手對重要數(shù)據(jù)企業(yè)進行精準管控,為被管轄企業(yè)設(shè)置了“2500萬美元年營收”和“(5萬)消費者、家庭和設(shè)備數(shù)量”門檻;2020年生效的《外國人在美投資的新規(guī)》(Provisions Pertaining to Certain Investments in the United States by Foreign Persons)[37],進一步增加了對美國公民敏感個人數(shù)據(jù)的外國投資審查;同時,專門設(shè)置外國投資委員會(The Committee on Foreign Investment in the United States ),專門負責(zé)審核針對關(guān)鍵領(lǐng)域和重要數(shù)據(jù)的外國投資實體。

在重要行業(yè)數(shù)據(jù)治理上,美國已出臺分行業(yè)的重要數(shù)據(jù)治理政策,如針對醫(yī)療行業(yè)的《健康保險流通與責(zé)任法案》(Health Insurance Portability and Accountability Act)[38],針對金融行業(yè)的《金融服務(wù)現(xiàn)代化法案》(Financial Services Modernization Act)[39],針對交通行業(yè)的《駕駛員隱私保護法》(Drivers Privacy Protection Act)[40],針對征信機構(gòu)的《公平信用報告法》(Fair Credit Reporting Act)[41]等,分別針對醫(yī)療健康數(shù)據(jù)、金融數(shù)據(jù)、交通數(shù)據(jù)、征信數(shù)據(jù)等重要數(shù)據(jù)對象,在數(shù)據(jù)的保密性、完整性和可訪問性等方面作出規(guī)定。

3.2 歐盟:聯(lián)盟引導(dǎo)下成員國自主治理模式

歐盟在重要數(shù)據(jù)領(lǐng)域,主要圍繞個人數(shù)據(jù)、非個人數(shù)據(jù)、重要行業(yè)實體等治理對象展開治理實踐,加強對重要數(shù)據(jù)本地化與跨境傳輸流動的監(jiān)管,關(guān)切對數(shù)據(jù)實體和數(shù)據(jù)傳輸?shù)財?shù)據(jù)保護水平的評估與審核;在實施模式上,以聯(lián)盟整體原則性的法規(guī)指導(dǎo)為主、各成員國細化執(zhí)行為輔,構(gòu)建歐盟內(nèi)部的單一數(shù)字市場。

在重要數(shù)據(jù)厘定與治理上,歐盟受其人權(quán)保障傾向影響,主要按照個人數(shù)據(jù)與非個人數(shù)據(jù)進行治理。歐盟按個人數(shù)據(jù)與非個人數(shù)據(jù)進行數(shù)據(jù)粗分,對個人數(shù)據(jù)的體量與內(nèi)容達到影響公共安全的程度時,則需要在境內(nèi)本地化存儲;非個人數(shù)據(jù)歐盟規(guī)定應(yīng)禁止數(shù)據(jù)本地化,除非數(shù)據(jù)涉及公共安全,審慎地允許重要數(shù)據(jù)的本地化要求,表示成員國須遵循比例原則、相稱性原則,并公開所有數(shù)據(jù)本地化要求。2016年歐盟出臺的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation,GDPR)[1]涉及所有歐盟境內(nèi)的數(shù)據(jù)控制方、處理方及歐盟境外涉及歐盟境內(nèi)數(shù)據(jù)主體的數(shù)據(jù)控制方、處理方,嚴格限制數(shù)據(jù)控制與處理機構(gòu)的數(shù)據(jù)保存、處理與利用行為;2018年,歐盟提出了《非個人數(shù)據(jù)自由流動條例》(Regulation on the Free Flow of Non-personal Data)[2],與GDPR共同構(gòu)成了歐盟個人數(shù)據(jù)與非個人數(shù)據(jù)分類管控的規(guī)制體系。

在重要數(shù)據(jù)實體治理上,歐盟修訂《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》(Directive on Security of Network and Information Systems)[42],指令的范圍擴大至電信、社交媒體平臺、公共行政等新興重要行業(yè),提出了成員國對“基本和重要實體”實施風(fēng)險管理和風(fēng)險報告的要求,特別關(guān)注選定行業(yè)的大中型公司[43]。2020年歐盟出臺的《關(guān)于關(guān)鍵實體的復(fù)原力的指令》(Directive on the resilience of critical entities)[44],覆蓋能源、運輸、銀行、金融市場基礎(chǔ)設(shè)施、健康、數(shù)字基礎(chǔ)設(shè)施等10個領(lǐng)域,支持成員國確保關(guān)鍵實體能夠預(yù)防、抵抗、吸收和從破壞性事件中恢復(fù),力圖增強關(guān)鍵實體的復(fù)原力,明確規(guī)定關(guān)鍵實體應(yīng)自行進行風(fēng)險評估,并以適當(dāng)?shù)募夹g(shù)和組織措施來提高安全彈性。

在重要數(shù)據(jù)治理模式上,歐盟構(gòu)建內(nèi)部的單一數(shù)字市場,各成員國在聯(lián)盟總體方案下具體實施。2020年歐盟正式提出《歐洲數(shù)據(jù)戰(zhàn)略》(A European Strategy for Data)[45],強化歐盟重要數(shù)據(jù)治理框架,即促進數(shù)據(jù)廣泛流動,同時延續(xù)歐洲高標準的隱私、安全和道德等方面的要求;同時,歐盟又出臺了《數(shù)據(jù)治理法》(Data Governance Act)[3],旨在增加對重要數(shù)據(jù)共享的信任,并支持在環(huán)境、能源、農(nóng)業(yè)、金融、制造業(yè)等重要行業(yè)戰(zhàn)略領(lǐng)域建立和發(fā)展歐洲通用數(shù)據(jù)空間,確保高水平的網(wǎng)絡(luò)安全。

4 我國重要數(shù)據(jù)治理進展與風(fēng)險剖析

在充分梳理歐美重要數(shù)據(jù)治理模式的基礎(chǔ)上,本文系統(tǒng)考察中國的重要數(shù)據(jù)治理進展與實踐,并據(jù)此分析重要數(shù)據(jù)治理過程中的風(fēng)險點,著重關(guān)注政企協(xié)同過程中的風(fēng)險漏洞,為提出我國重要數(shù)據(jù)治理體系提供參考。

4.1 我國重要數(shù)據(jù)治理進展

圍繞重要數(shù)據(jù)治理,在頂層制度上,我國依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等搭建了重要數(shù)據(jù)治理的法律體系?！毒W(wǎng)絡(luò)安全法》要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲[46],這是我國法律體系中首次提到重要數(shù)據(jù);《數(shù)據(jù)安全法》明確定義了重要數(shù)據(jù),圍繞重要數(shù)據(jù)生命周期,厘清了重要數(shù)據(jù)處理機構(gòu)的權(quán)利義務(wù)[13];2021年,全國信息安全標準化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》[47],明確數(shù)據(jù)安全分類基本規(guī)則,將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)及一般數(shù)據(jù);2022年,我國《網(wǎng)絡(luò)安全審查辦法》[48]施行,提出要重點評估審核重要數(shù)據(jù)被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險等重要數(shù)據(jù)安全風(fēng)險。

同時,圍繞重要數(shù)據(jù)關(guān)涉的具體行業(yè),我國也密集出臺了相關(guān)法規(guī)標準。2022年《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》[27]發(fā)布,在工業(yè)和信息化領(lǐng)域明確了重要數(shù)據(jù)的內(nèi)涵外延,并構(gòu)建領(lǐng)域重要數(shù)據(jù)生命周期安全管理制度;《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護要求》[49]規(guī)定了工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護的范圍及數(shù)據(jù)類型、數(shù)據(jù)重要性分級與安全保護等級劃分方法,規(guī)定了低/中/高重要性數(shù)據(jù)在數(shù)據(jù)產(chǎn)生、傳輸、存儲、使用、遷移及銷毀階段的具體安全保護要求;《工業(yè)數(shù)據(jù)分類分級指南(試行)》[50]中,將數(shù)據(jù)按重要性等級劃分為三級,其中第三級與重要數(shù)據(jù)近似,即對國民經(jīng)濟、行業(yè)發(fā)展、公眾利益、社會秩序乃至國家安全造成嚴重影響或易引發(fā)特別重大生產(chǎn)安全事故或突發(fā)環(huán)境事件,或造成直接經(jīng)濟損失特別巨大。

總體上,我國已初步形成了政府主導(dǎo)下的重要數(shù)據(jù)治理格局,依托《網(wǎng)絡(luò)安全法》及《數(shù)據(jù)安全法》,形成了系列配套法規(guī),且部分重要數(shù)據(jù)領(lǐng)域已展開重要數(shù)據(jù)安全保護標準化探索。但目前我國重要數(shù)據(jù)治理處于政策先行階段,行業(yè)標準化和實踐工作還有待進一步落實開展,從國家政策到企業(yè)實際的落地轉(zhuǎn)化還有諸多問題亟待解決。

4.2 我國重要數(shù)據(jù)治理風(fēng)險厘定

基于歐美法規(guī)政策制定經(jīng)驗,重要數(shù)據(jù)治理往往與重要行業(yè)、數(shù)據(jù)企業(yè)等相關(guān)主體高度聯(lián)系,共同構(gòu)建國家重要數(shù)據(jù)治理防線,提升國家整體重要數(shù)據(jù)治理彈性。鑒于此,本文結(jié)合企業(yè)響應(yīng)式風(fēng)險管理思想,以重要數(shù)據(jù)安全事件發(fā)生事前、事中、事后三個核心階段為邏輯,厘定我國重要數(shù)據(jù)治理存在的風(fēng)險,從而提出重要數(shù)據(jù)治理體系,推動我國重要數(shù)據(jù)治理提高效能,落在實地。

4.2.1 重要數(shù)據(jù)事前風(fēng)險

(1)企業(yè)道德風(fēng)險。重要數(shù)據(jù)治理過程中,企業(yè)主體存在道德風(fēng)險問題[51],由于冒險損益的不對等分配和信息不對稱,重要數(shù)據(jù)處理機構(gòu)出于謀求利益的目的可能存在冒險投機、違反協(xié)議、逃避義務(wù)、不積極對抗風(fēng)險等行為,導(dǎo)致數(shù)據(jù)出現(xiàn)安全問題,或使不健康數(shù)據(jù)流入市場,使得相關(guān)主體的利益受損。

(2)治理脫節(jié)風(fēng)險。在重要數(shù)據(jù)安全事件發(fā)生前,政府應(yīng)采集重要數(shù)據(jù)領(lǐng)域企業(yè)主體的風(fēng)險評估報告,科學(xué)研判風(fēng)險情景,構(gòu)建政策體系以規(guī)范相關(guān)企業(yè)主體的數(shù)據(jù)行為。這一過程中存在治理脫節(jié)風(fēng)險,企業(yè)與平臺等主體掌握大量重要數(shù)據(jù),出于商業(yè)利益目的隱瞞數(shù)據(jù)安全風(fēng)險項;在商業(yè)秘密的掩蓋下,傳統(tǒng)的行政體制使政府缺乏獲取企業(yè)風(fēng)險信息的強有力手段,難以在事前參與重要數(shù)據(jù)治理中,多以事后處置的方式進行管理。

(3)管理失范風(fēng)險。重要數(shù)據(jù)安全事件的危害性之一來源于其不確定性,重要數(shù)據(jù)安全事件發(fā)生的點位、時間、程度均具有不確定性。重要數(shù)據(jù)安全管理是常態(tài)與危機態(tài)勢結(jié)合的安全管理,其中存在風(fēng)險意識缺乏、應(yīng)急計劃陳舊、應(yīng)急資源不充分、防護體系建設(shè)投入不足等管理失范風(fēng)險。

4.2.2 重要數(shù)據(jù)事中風(fēng)險

(1)事件外溢風(fēng)險。重要數(shù)據(jù)具有高負外部性,重要數(shù)據(jù)一旦發(fā)生安全問題,其安全風(fēng)險就將外溢到相關(guān)聯(lián)的其他主體、領(lǐng)域,使其他社會主體為其買單,并且受損主體難以得到相應(yīng)補償。同時,重要數(shù)據(jù)作為生產(chǎn)要素參與市場交易,與其他生產(chǎn)要素共同構(gòu)成數(shù)據(jù)供應(yīng)鏈,一旦鏈上的某數(shù)據(jù)供應(yīng)商提供不健康數(shù)據(jù)或發(fā)生數(shù)據(jù)風(fēng)險,該風(fēng)險將沿著關(guān)聯(lián)交易的數(shù)據(jù)供應(yīng)鏈上下蔓延,進一步擴大數(shù)據(jù)安全事件的影響范圍。

(2)無對齊風(fēng)險。相關(guān)主體在應(yīng)對重要數(shù)據(jù)安全事件時,受主體風(fēng)險信息不足、應(yīng)急機制不完善、風(fēng)險研判能力弱、政府指導(dǎo)缺位錯位等因素影響,存在無對齊風(fēng)險,即風(fēng)險響應(yīng)程度與風(fēng)險規(guī)模不匹配的風(fēng)險[44]。重要數(shù)據(jù)風(fēng)險響應(yīng)程度低于風(fēng)險規(guī)模,相關(guān)主體將難以解決風(fēng)險事件、恢復(fù)常態(tài)化;風(fēng)險響應(yīng)程度高于風(fēng)險規(guī)模,將造成應(yīng)急資源的浪費,同樣影響企業(yè)安全能力。

(3)信息閉塞風(fēng)險。重要數(shù)據(jù)安全事件存在外溢風(fēng)險,威脅同一數(shù)據(jù)鏈上的其他主體,并對終端相關(guān)個人利益造成損害。企業(yè)或個人受信息鴻溝、信息素養(yǎng)等因素限制,難以獲取全部的數(shù)據(jù)安全情報,由此產(chǎn)生信息閉塞風(fēng)險,易被動受到重要數(shù)據(jù)負外部性的影響,難以及時捕捉、響應(yīng)事件,彌補相關(guān)損失。

4.2.3 重要數(shù)據(jù)事后風(fēng)險

(1)評價模糊風(fēng)險。重要數(shù)據(jù)安全事件發(fā)生后,相關(guān)主體獲得事件響應(yīng)的相關(guān)數(shù)據(jù),可據(jù)此進行組織重要數(shù)據(jù)安全能力成熟度評估[52]、系統(tǒng)安全風(fēng)險管控評估[53]等評估。但這一評估主要為機構(gòu)自評,目前我國尚未普及相關(guān)第三方評估方式,國家層面的重要數(shù)據(jù)安全能力評估框架尚未出臺,相關(guān)主體未有執(zhí)行指南,難以保證評估的客觀性、專業(yè)性。

(2)問責(zé)缺失風(fēng)險。當(dāng)前我國對于重要數(shù)據(jù)的治理政策主要集中于重要數(shù)據(jù)識別與主體責(zé)任界定,如《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》《信息安全技術(shù) 重要數(shù)據(jù)識別指南(征求意見稿)》等政策均強調(diào)監(jiān)管過程。而重要數(shù)據(jù)安全事件的問責(zé)與救濟機制尚不完善,在重要數(shù)據(jù)安全事件發(fā)生后,存在問責(zé)缺失的風(fēng)險,相關(guān)主體權(quán)益難以得到保障。

5 基于壓電式理論的重要數(shù)據(jù)治理體系

重要數(shù)據(jù)關(guān)系國家安全與社會穩(wěn)定,是數(shù)據(jù)主權(quán)博弈時代各主權(quán)國家治理的重點對象。本文分析歐美治理經(jīng)驗并調(diào)研我國重要數(shù)據(jù)治理現(xiàn)狀,基于壓電式理論,從體系框架、體系實施兩方面綜合構(gòu)建我國重要數(shù)據(jù)安全治理體系。

5.1 體系框架

本文調(diào)研我國重要數(shù)據(jù)治理現(xiàn)狀,依據(jù)重要數(shù)據(jù)的特殊性,提出基于壓電式理論的重要數(shù)據(jù)安全治理體系(見圖1)。首先,主權(quán)視角下重要數(shù)據(jù)治理以政府為核心主體,并與數(shù)據(jù)企業(yè)、行業(yè)組織等相關(guān)主體(后文論述統(tǒng)稱為企業(yè))協(xié)同進行,在維護國家數(shù)據(jù)安全,提高國家數(shù)據(jù)治理水平的同時,幫助增強重要數(shù)據(jù)持有者、管理者(如企業(yè)、平臺、行業(yè)組織等)的抗風(fēng)險能力與復(fù)原能力。其次,在治理環(huán)節(jié)上,由于重要數(shù)據(jù)具有多源異構(gòu)、體量龐大、動態(tài)傳遞等特點,在其治理體系框架設(shè)計中,本文從事前、事中、事后各個環(huán)節(jié),明確各環(huán)節(jié)治理重點,如事前監(jiān)測中側(cè)重對變化事件的識別與數(shù)據(jù)共享,事中側(cè)重對重要數(shù)據(jù)安全風(fēng)險的態(tài)勢感知與危機干預(yù),事后側(cè)重對治理體系的安全評估與全流程重要數(shù)據(jù)治理體系優(yōu)化。再次,壓電式理論將重要數(shù)據(jù)“事前-事中-事后”關(guān)聯(lián)起來,對象上打通單一數(shù)據(jù)節(jié)點,主體上多元機構(gòu)協(xié)同運作,體系上事件識別、風(fēng)險感知、事件報告、安全評估、方案優(yōu)化等全線動態(tài)互聯(lián),多種手段相互配合,面對安全風(fēng)險實時互動,構(gòu)建一個多主體共建共享的重要數(shù)據(jù)治理防線,從而提高重要數(shù)據(jù)治理效率,提升重要數(shù)據(jù)治理體系的復(fù)原力[54],保障國家重要數(shù)據(jù)安全。

圖1 基于壓電式理論的重要數(shù)據(jù)安全治理體系

5.2 體系實施

5.2.1 事前監(jiān)測:變化事件識別共享

研究指出,組織對變化事件的反應(yīng)速度與治理難度成反比[55],面對復(fù)雜多變的重要數(shù)據(jù)安全風(fēng)險事件,快速響應(yīng)是減少損失的關(guān)鍵。事前監(jiān)測環(huán)節(jié)對變化事件的及時識別,可提高組織對風(fēng)險的感知能力與敏感性,縮短治理響應(yīng)時間。在這一階段,主要包括如下六種實施策略:

(1)數(shù)據(jù)安全管理者培訓(xùn)。提升重要數(shù)據(jù)安全風(fēng)險的識別、處理與緩解能力,首先需要對政府和相關(guān)主體的數(shù)據(jù)管理者進行培訓(xùn);同時,企業(yè)、平臺等協(xié)助治理主體也需提高重要數(shù)據(jù)安全保護意識與能力,設(shè)立如數(shù)據(jù)安全官等專職人員, 專門負責(zé)統(tǒng)籌重要數(shù)據(jù)保護工作、監(jiān)督組織的重要數(shù)據(jù)計劃執(zhí)行,并定期出具重要數(shù)據(jù)安全報告等。

(2)重要數(shù)據(jù)處理機構(gòu)變化事件識別。這一策略要求企業(yè)、平臺等協(xié)助治理主體清算組織范圍內(nèi)的全部數(shù)據(jù),篩選其中的重要數(shù)據(jù),識別潛在威脅,并進行風(fēng)險監(jiān)測。企業(yè)、平臺等協(xié)助治理主體依據(jù)識別出的潛在威脅模擬風(fēng)險情景,結(jié)合過往數(shù)據(jù)安全事件,構(gòu)建包括情境組圖、征候體系、事件預(yù)警、應(yīng)急導(dǎo)航等的重要數(shù)據(jù)安全應(yīng)急手冊,確定重要數(shù)據(jù)風(fēng)險的可能后果。

(3)政府?dāng)?shù)據(jù)安全政策體系構(gòu)建。政府與企業(yè)、平臺等協(xié)助治理主體共同應(yīng)對重要數(shù)據(jù)安全風(fēng)險,政府應(yīng)當(dāng)構(gòu)建起重要數(shù)據(jù)治理的法規(guī)政策體系與配套設(shè)施,如設(shè)立專門管理機構(gòu)。政府應(yīng)對國內(nèi)企業(yè)、平臺等數(shù)據(jù)控制實體按照數(shù)據(jù)重要性分級,提供主動式服務(wù),如協(xié)助數(shù)據(jù)安全防護體系建設(shè),提供風(fēng)險防護指南,接收數(shù)據(jù)風(fēng)險報告,對風(fēng)險事件進行備案并及時干預(yù),從而形成緊密的協(xié)同防護關(guān)系。

(4)政企信息安全數(shù)據(jù)共享。企業(yè)等數(shù)據(jù)處理機構(gòu)需定期向政府相關(guān)負責(zé)人遞交風(fēng)險評估報告。政府需及時公開數(shù)據(jù)安全風(fēng)險警告,歸總國內(nèi)企業(yè)風(fēng)險數(shù)據(jù),提供重要數(shù)據(jù)風(fēng)險預(yù)測分析。企業(yè)對政府提供的數(shù)據(jù)持續(xù)監(jiān)測,分析數(shù)據(jù)安全問題及潛在風(fēng)險,并可與上下游數(shù)據(jù)商分享最佳實踐和威脅情報,構(gòu)建數(shù)據(jù)安全信息共享、整合的渠道[56]。

(5)重要數(shù)據(jù)處理機構(gòu)應(yīng)急計劃制定與對齊。重要數(shù)據(jù)處理機構(gòu)應(yīng)編制數(shù)據(jù)安全應(yīng)急響應(yīng)計劃。應(yīng)急計劃以消減重要數(shù)據(jù)安全風(fēng)險及其損失,實現(xiàn)重要數(shù)據(jù)安全利用為目標,將關(guān)鍵性對齊作為應(yīng)急計劃編制的原則,即應(yīng)急計劃與基于風(fēng)險識別步驟得出的變化事件風(fēng)險評估應(yīng)當(dāng)保持關(guān)鍵性對齊,以實現(xiàn)管理投入與風(fēng)險平衡。該計劃應(yīng)為執(zhí)行人員提供充分支持,并經(jīng)過測試和定期審查。

(6)數(shù)據(jù)安全防護系統(tǒng)構(gòu)建。重要數(shù)據(jù)處理機構(gòu)應(yīng)在數(shù)據(jù)安全官的統(tǒng)籌下,根據(jù)應(yīng)急計劃匹配相應(yīng)的重要數(shù)據(jù)安全防護系統(tǒng),既要包括加密數(shù)據(jù)庫、備份數(shù)據(jù)庫、局域網(wǎng)等硬件防護,也要包括多重身份驗證、數(shù)據(jù)全流程權(quán)限管理、數(shù)據(jù)供應(yīng)鏈監(jiān)測等軟件管理防護。

5.2.2 事中響應(yīng):態(tài)勢感知與危機干預(yù)

響應(yīng)是指系統(tǒng)使用一系列功能來應(yīng)對刺激引發(fā)的變化的行動或行為,在事中響應(yīng)環(huán)節(jié),組織感知變化事件,并利用事前部署及時響應(yīng)事件,在這一環(huán)節(jié)強調(diào)響應(yīng)的主動性、及時性與風(fēng)險感知的準確性,在應(yīng)對中實現(xiàn)關(guān)鍵性對齊。重要數(shù)據(jù)協(xié)同治理的事中響應(yīng)環(huán)節(jié)包括以下五個策略:

(1)重要數(shù)據(jù)安全風(fēng)險態(tài)勢感知。態(tài)勢感知是基于事前的相關(guān)準備,對變化事件進行主動探知,并利用相關(guān)業(yè)務(wù)設(shè)計及時作出響應(yīng)的策略,包括風(fēng)險的發(fā)現(xiàn)與研判。利用事前監(jiān)測環(huán)節(jié)的變化事件清單,企業(yè)可以盡早發(fā)現(xiàn)對應(yīng)的風(fēng)險,根據(jù)清單進行風(fēng)險層級判斷,降低風(fēng)險歸類研判的難度。盡快作出響應(yīng)可以減少重要數(shù)據(jù)危機產(chǎn)生的衍生損失,維護企業(yè)的組織連續(xù)性。

(2)重要數(shù)據(jù)安全風(fēng)險控制。在壓電式理論的風(fēng)險控制中,企業(yè)的響應(yīng)程度應(yīng)當(dāng)與危機的規(guī)模相匹配。企業(yè)應(yīng)在數(shù)據(jù)安全官的統(tǒng)籌下,根據(jù)態(tài)勢感知階段的重要數(shù)據(jù)安全風(fēng)險規(guī)模判斷,啟用對應(yīng)的風(fēng)險控制計劃。企業(yè)資源應(yīng)像壓電材料受到壓力時內(nèi)部電荷的移動一樣,根據(jù)壓力的來源和大小進行配置。在這一環(huán)節(jié),企業(yè)應(yīng)持續(xù)留意外部環(huán)境的風(fēng)險變化,避免再次發(fā)生數(shù)據(jù)風(fēng)險事件。

(3)安全事件報告。重要數(shù)據(jù)安全風(fēng)險事件具有擴散性,不只威脅涉事主體自身,還會損害數(shù)據(jù)鏈條上相關(guān)方的權(quán)益。當(dāng)發(fā)生數(shù)據(jù)安全事件時,相關(guān)主體應(yīng)及時記錄安全事件處理日志,形成安全事件報告。這一報告一方面在組織內(nèi)部存檔,在后續(xù)環(huán)節(jié)作為本次風(fēng)險處理的經(jīng)驗歸總,一方面上報至政府的相關(guān)部門,以減少安全事件導(dǎo)致的次生災(zāi)害。

(4)接受安全事件報告。政府部門應(yīng)當(dāng)根據(jù)企業(yè)是否涉及重要數(shù)據(jù)而進行針對性的處置,政府應(yīng)與涉及重要數(shù)據(jù)安全的企業(yè)形成合作,并為非重要數(shù)據(jù)領(lǐng)域的企業(yè)開放報告端口。在重要數(shù)據(jù)處理機構(gòu)報告安全事件時,政府相關(guān)部門應(yīng)依據(jù)相關(guān)法律法規(guī)與關(guān)鍵性對齊的原則及時響應(yīng)、審查、記錄、指導(dǎo)與干預(yù)。

(5)重要數(shù)據(jù)安全事件干預(yù)。重要數(shù)據(jù)具有高負外部性,一旦出現(xiàn)問題,僅憑企業(yè)進行處理難以應(yīng)對全部的災(zāi)害損失。并且企業(yè)還存在道德風(fēng)險問題[57],可能使得數(shù)據(jù)相關(guān)主體的利益受損。此時亟需政府干預(yù)企業(yè)重要數(shù)據(jù)安全事件響應(yīng)行為。政府重要數(shù)據(jù)安全事件干預(yù)行為包括事前監(jiān)測、事后監(jiān)管,以及向相關(guān)主體披露事件信息等。事前監(jiān)測主要是政府可基于數(shù)據(jù)供應(yīng)鏈,向發(fā)生事件的上下游數(shù)據(jù)商發(fā)出數(shù)據(jù)安全警告, 并對數(shù)據(jù)安全事件導(dǎo)致的數(shù)據(jù)泄露進行披露, 彌補信息不對稱,責(zé)令企業(yè)加強重要數(shù)據(jù)安全保護;事后監(jiān)管主要是針對安全事件進行審查、問責(zé)和處罰;披露信息的主要內(nèi)容包括數(shù)據(jù)類型、數(shù)據(jù)敏感性、數(shù)據(jù)大小、安全事件日期、關(guān)聯(lián)法律等[58]。

5.2.3 事后反饋:安全評估與優(yōu)化

重要數(shù)據(jù)變化事件響應(yīng)結(jié)束后,進入事后反饋階段。在這一階段,各方需要從簡單地收集和存儲日志數(shù)據(jù)上升到從數(shù)據(jù)流中獲得信息并轉(zhuǎn)化為知識和可操作的見解[59],更新事前監(jiān)測環(huán)節(jié)的知識體系與響應(yīng)計劃,形成治理鏈路閉環(huán)管理,達到螺旋式上升的效果。重要數(shù)據(jù)協(xié)同治理的事后反饋階段包括以下三個策略。

(1)重要數(shù)據(jù)安全成熟度評價。成熟度評價能夠評價組織的數(shù)據(jù)安全保護能力[57],在數(shù)據(jù)安全事件發(fā)生后,企業(yè)應(yīng)當(dāng)及時根據(jù)事件應(yīng)對狀況進行數(shù)據(jù)安全成熟度評價,定位組織的重要數(shù)據(jù)安全保護能力成熟度等級,并依據(jù)評價結(jié)果進行改進,逐步提升企業(yè)的重要數(shù)據(jù)安全保護能力。同時,定位組織的成熟度能夠幫助組織在面對下一個變化事件時提供參照。

(2)事件歸檔與知識挖掘。變化事件發(fā)生后,政府和企業(yè)需要為變化事件日志建立檔案庫,充分挖掘變化事件應(yīng)對中的知識單元,將變化事件的風(fēng)險轉(zhuǎn)化為組織內(nèi)部可共享的知識,明確本次重要數(shù)據(jù)安全事件發(fā)生的原因、類型、影響因素等,對未來可能發(fā)生的風(fēng)險進行評估和反饋,不斷充實事件案例庫、方案解決知識庫、系統(tǒng)日志庫等。

(3)優(yōu)化響應(yīng)方案。在建立重要數(shù)據(jù)安全風(fēng)險處理知識庫的基礎(chǔ)上,對相關(guān)人員進行知識的迭代更新,細化變化事件清單,以此為基礎(chǔ)升級政府變化事件響應(yīng)指南和企業(yè)變化事件應(yīng)急計劃,形成總體閉環(huán)的重要數(shù)據(jù)治理鏈路。

6 結(jié)語

本文梳理數(shù)據(jù)主權(quán)時代重要數(shù)據(jù)治理的范疇與特征,在調(diào)研歐美重要數(shù)據(jù)治理模式與國內(nèi)治理現(xiàn)狀的基礎(chǔ)上,基于壓電式理論,構(gòu)建了融合變化事件、態(tài)勢感知、關(guān)鍵性對齊三要素的事中、事前、事后閉環(huán)治理體系,探討治理體系實施策略,力圖推動政府與多元主體共建重要數(shù)據(jù)安全防線,保障國家重要數(shù)據(jù)安全、推進數(shù)據(jù)要素價值實現(xiàn)。本文引入壓電式理論進行了數(shù)據(jù)治理框架的有益探討,未來將進一步圍繞特定數(shù)據(jù)對象,展開治理實證與框架驗證。