当前,随着大数据与云计算、物联网、区块链和人工智能等新技术新应用的跨越式融合发展,大数据安全已成为新时期我国互联网治理工作中一项看似老生但需常谈常新、立行立改的重要安全问题。特别是在内外挑战的双重压力下,我国大数据发展的国际环境日趋复杂、治理难度系数逐级攀高,围绕着数据资源的跨境传输与数据主权、开放数据的共享利用与安全保护以及敏感数据的情报萃取与反渗透、反窃密等行为的博弈较量日趋激烈。如何辨识好、管控好大数据发展进程中的各类未知挑战与潜在风险已成为我国政府治国理政之重大关切、繁荣富强之根本要素。
一、大数据发展的外部环境复杂多变、未知风险陡然提升
近期,英国大数据公司“剑桥分析”非法利用脸谱用户数据事件在国际社会上持续发酵,给世界各国数据隐私的安全保护敲响警钟;与此同时,美国2018年3月通过的《澄清域外合法使用数据法案》(CLOUD)以及欧盟5月25日正式生效的《通用数据保护条例》(GDPR)等网络安全管理举措也给我国未来的大数据安全治理工作带来前所未有的安全挑战,具体来说:
(一)数据帝国主义凭借其技术优势悄然侵蚀我国社会主义核心价值观
数据帝国主义,是以美为首的西方发达国家凭借自身对互联网科技的垄断地位,通过高科技数字产品和网络社交媒体平台等传播渠道,不断在世界范围内尤其是发展中国家和地区,所展开的一场针对它国的数据资源掠夺战和意识形态渗透战。从当今世界互联网的发展版图来看,全球十大互联网公司中有六家总部设在美国,而它们八成以上的用户使用者却在美国之外的国家和地区;这些西方互联网巨头凭借自身的技术优势和受众优势,可通过智能手机等各类电子设备以及网络社交媒体等传播平台,迅速搜集和网罗我国海量用户的数据信息,一旦这些信息中诸如个人行为、政治偏好等敏感数据被暗中分析、精准推送,就有可能对我国网民的意识形态及相关行为产生潜移默化的影响。过去,西方帝国主义以枪炮、圣经和传教者征服世界的传统手段,在大数据时代将逐渐改头换面,以智能手机、网络社交和数据传播渗透等方式“旧貌换新颜”,进而向我国民众传播对个人主义的崇拜、对权威政治的憎恨以及对拜金主义、享乐主义的追求与热衷等思想,这在很大程度上将对我国社会主义核心价值观的构建与培养产生消极影响,数据帝国主义的潜在威胁正在悄然行动、我们不容忽视。
(二)数据霸权行径的肆意扩张正不断挑战我国数据主权的治理边界
当前,全球数字经济的蓬勃发展带来了跨境数据的流进流出,数据资源自西向东由发展中国家大量流入发达国家的趋势格局愈发明显,致使数据的所有权和治理权进一步分离,各国数据主权的治理边界愈发模糊。与此同时,全球跨境数据流动规则与执法协助机制尚不健全、缺乏全球统一的法律框架和标准,致使全球跨境数据治理工作呈现明显碎片化特征。为进一步抢占全球网络治理规则优势、独揽数据霸权主义绝对地位,美欧等西方发达国家纷纷利用打造“长臂管辖”等规则手段,肆意扩张和侵蚀对世界它国数据主权的安全边界。例如,2018年3月,美国通过的《澄清域外合法使用数据法案(CLOUD)》,就赋予美执法机构从网络运营商调取海外数据的长臂管辖权,但对其他国家执法机构调取存储在美国境内的相关数据却采取不对等的获取方式;而欧盟5月25日生效的《通用数据保护条例(GDPR)》,则规定任何企业在欧盟向个人提供服务和商品时都必须遵守GDPR的合规要求,否则将面临高额罚单。在我国与美欧均存在广大商业与执法数据往来的大背景下,一旦它们出于政治考量将CLOUD和GDPR法案的长臂管辖权刻意针对我国,可将其本国法律凌驾于我国数据主权之上,肆意跨境调取我国公民境内外重要敏感信息,凭借“数据霸权行径”对我国数据主权安全构成直接威胁。
(三)数据情报能力的无孔不入正悄然腐蚀总体国家安全的发展根基
当前,我国互联网经济繁荣发展,对大数据、人工智能和物联网等前沿科技和产业服务的需求极度旺盛,但限于自身核心技术能力短板和对西方网络科技产品的依赖,给以美为首的西方科技企业和相关情报机构以可乘之机,它们依托跨国公司、高等院校和科研机构等社会力量,紧密结成“数据情报联合体”,凭借所掌握的前沿科技研发成果和海量的大数据吞吐能力,在参与我国物联网、智慧城市建设和网络安全审计等项目时,就可多维度地获取我国金融、医疗、教育、交通等敏感行业的基础数据,一旦这些重要数据信息被海外机构非法利用,就有可能被萃取分析,甚至直接预测并勾勒出我国政治、经济、军事、外交、民生等领域的发展动向和战略意图,造成“敌先知、我不知”的被动局面,对我国家的总体安全和长治久安将构成严重危害。
二、当前大数据安全治理的内部问题老病未愈、新病又生
在大数据的监管防护和安全治理问题上,我们国家仍面临新老问题叠加、管控手段乏力等诸多问题,具体体现在以下几个方面:
(一)重域内轻域外,国家网络空间主权辖域不清,易使数据保护存在盲区、“破窗效应”不约而至
当前,随着我国改革开放力度不断加大、网络经济蓬勃加速,数据的跨境存储和传输渐成为大数据安全治理工作中的一项常态现象。但目前,国家对跨境数据的安全监管和立法工作刚刚起步,包括《网络安全法》在内的相关现行法律法规仍处于探寻摸索阶段,各项实施细则并不完善,缺乏对国家网络空间主权辖域和跨境数据隐私保护司法辖域的明确标准和判定原则,致使我国海外企业的重要数据和其他跨境数据信息处于国家法律监管的“视觉盲区”和安全保护的“真空地带”;一旦美欧等西方发达国家出于政治考量,利用我国数据主权辖域不清的空子,运用长臂管辖等执法权肆意调取、存储我国公民的跨境信息和海外企业的重要数据,就会在整个西方世界制造一个“破窗效应”,给其他国家的效仿行为落下口实,对我国未来跨境数据的安全监管和海外企业的利益保护都将产生负面影响。
(二)重战略轻战术,大数据安全顶层设计虽在不断完善,但具体治理方略仍跟进乏力
古语有云,“战而后阵,兵法之常;运用之妙,存乎一心”。这句话告诫我们,一旦确定打仗以后就要做好排兵布阵,这是用兵的常道,而布阵的巧妙,全在于战术的用心谋划上。将其映射到我国当前的大数据安全治理工作上,可以发现,目前我国虽在顶层战略设计层面相继出台了《促进大数据发展行动纲要》和《网络安全法》等重要法律法规,但在后续配套措施、相关实施细则和具体管控手段等战术问题上仍明显滞后于顶层战略的发展步伐,即战略和战术未能真正同步,无法实现相辅相成、相得益彰的治理功效。例如,我国在大数据安全领域缺乏类似于银行的个人征信体系,使得数据交换、数据共享等数据流动环节缺乏相应的参照标准,易给不法分子造成可乘之机;在技术管控手段上,也没有对数据资源的总体分布、使用、存储等情况有一个清晰明确的掌握,致使国家无法从全局角度及时把握数据总体流动和使用态势等重要信息,给大数据的安全治理工作造成监管防护上的现实窘境。
(三)重他人轻自我,对国外技术产品过度依赖,致使数据安全难自主、未知风险难把控
核心技术产品长期受制于人是一个老生常谈的顽疾,在大数据应用和安全领域亦如此。以大数据发展的核心技术之一“芯片”为例,它正是包括大数据技术产品等在内的国家所有重大信息技术产品的“关键命门”,被广泛应用于智能终端、电子金融、工业制造和网络通信等重要大数据应用行业领域当中,构成了国家网络系统和大数据安全的“基本单元”。但在全球半导体市场规模高达3640亿美元的今天,世界一半以上的芯片都出口到中国;而我国虽有全球最大的半导体市场,但国内集成电路设计企业的主流产品仍停留在中低端,再加上基础研发能力欠缺、强烈依赖国外第三方的先进IP核等问题的存在,致使国产芯片的核心竞争力无法与“洋芯”同日而语。特别是2018年“美国政府制裁中兴通讯事件”的持续发酵,更集中暴露出我国网络安全核心技术产品制造的软肋和短板,即“洋芯”几乎掌握我国信息技术产品的核心命门,“中国芯”应用的缺失极易导致我国网络安全和信息化事业的发展心中无底、缺芯少魂,更会引发未来中国大数据安全建设进程中的潜在风险,致使威胁挑战步步紧逼、节节攀升。
三、新时期我国大数据治理工作亟待立行立改、破解难题
中国自古就强调,“善学者尽其理,善行者究其难”。在我国大数据发展和安全治理工作面临内外双重压力,进入攻坚克难的“深水区”之后,我们更应善学、善行、善破、善立,真正“破”除技术发展的弊端,在治理思维和治理方略上立行立改、不破不“立”,才能为建设网络强国的奋斗目标、实现大数据事业的安全发展放稳“压舱石”、置好“垫脚石”,具体来说:
(一)要防止大数据发展落入“宋朝陷阱”,用自主可控技术打造安全事业的“富国强兵”
所谓“宋朝陷阱”,就是指仅有经济发展上的片面繁荣,却没有相应的军事和安全力量作为支撑,最终导致综合国力脆弱不堪的一种历史现象。当前,我国的大数据应用与发展确实呈现一片欣欣向荣、蒸蒸日上的繁荣景象,但大数据的安全建设仍明显滞后于发展,以致于发展和安全这两条胳膊一长一短、并非一般粗。古语有云,“去民之患,如除腹心之疾”。大数据安全核心技术长期依赖国外、受制于人就是国家安全的隐忧、社会不稳的痛疾。按照习总书记在网信工作会议上关于“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”的相关精神指示,未来在大数据安全治理问题上,我们一定要吸取“美国制裁中兴通讯事件”的惨痛教训,把更多的人力物力财力投向大数据安全前沿技术、核心技术的研发攻关上来,只有咬定青山不放松、集合力量寻突破,才能在自主可控和安全可靠的核心技术道路上取得重大进展,真正摆脱长期被人掐着脖子发展的被动局面。
(二)要破除制约科技创新的“制度藩篱”,为大数据人才的敢闯善拼打造“用武之地”
纵观中国历史,凡是升平昌盛之世,总是伴随着大批人才贤士层层涌现,凡是有作为、有建树的历史人物,对人才问题也总是亲力亲为、高度重视。像萧何月下追韩信、刘备三顾茅庐请“卧龙”等故事,都清楚地证明了一点:古往今来,人才问题永远是富国之本、兴邦大计。正如习总书记在今年528两院院士大会上发言所指出的,“创新之道,唯在得人”。同样,今后大数据安全治理工作能否有序推进、高效进行,唯在创新、贵在得人。因此,在破除束缚科技创新、束缚人才发展的制度藩篱上,国家及相关政府部门应着力改革和创新科研经费的使用和管理办法,改革科技评价制度、创新人才管理体系,把大数据安全人才的优势潜能从不合理的经费管理、繁文缛节的审批流程和因循守旧的人才评价体制中解放出来。真正把优秀的大数据人才凝聚到核心部门、技术部门和科研攻关部门中,使他们有时间、有精力、有政策、有保障的从事中国大数据安全事业,并从这份事业中赢得成就感、获得感和归属感。
(三)要破除国际网空治理话语权的“一家独大”,响亮发出捍卫数据主权的“中国声音”
《左传》中就曾强调,“先人有夺人之心,后人有待其衰”,它告诫我们在博弈较量时一定要学会先声夺人、主动作为,才能使自己立于不败之地。在国际网络空间规则制定和捍卫数据主权国家利益这一问题上,上述道理对我们今天的工作同样有很好的借鉴意义。虽然,在现行的国际数据规制理念以及网络空间治理改革进程中,无处不带有明显的美国政治意志和主张,存在“一家独大”现象;但据笔者参加2017年联合国信息社会世界峰会(WSIS)的亲身经验来看,我国的《网络安全法》在联合国舞台尤其是在发展中国家中均赢得了普遍肯定和高度赞扬,其中的部分立法原则和精神甚至被国际电联和有关国家直接采用,起到了一定的示范和表率作用。随着我国经济实力的不断成长和国际地位的日益提高,国际社会对我国的关注前所未有。因此,在捍卫网络空间主权尤其是保障国家数据主权安全问题上,我国政府应进一步用好高端智库交流、重大活动赛事、海外文化阵地和国际政治舞台等发声平台,把有关捍卫数据主权安全的必要性与重要性的“陈情”与“说理”以融通中外的方式响亮地讲出来,让全世界都能听清“中国声音”,接受“中国主张”,为未来中国大数据安全事业的发展提供更好、更优的国际话语地位。
(本文刊登于《中国信息安全》杂志2018年第6期)
