大数据时代安全风险及政策选择（2）

大数据事关国家安全利益。网络空间信息安全问题的严重性、紧迫性，在很大程度上已超过其他传统的安全问题。在高度不确定的网络空间里，风险越来越多样，防不胜防。放眼世界，从“9·11”之后的反恐，东欧的颜色革命，再到中东、北非的茉莉花革命……当今主权国家所面对的非传统安全威胁，总是面临着“沧海一粟”的困境，政府要找的那根针，总是沉没在浩瀚数据的大海里。

大数据事关国家秘密保护。举世瞩目的阿桑奇和斯诺登事件生动昭示着大数据的严酷挑战。“维基解密”几次泄露美国军事外交等机密，规模之大，影响之广，震惊全球。斯诺登打开的“棱镜门”向全世界折射出网络空间国家与个人，控制与反控制，渗透与反渗透的奇异色彩。美国国家安全局与九大网络巨头的关系正是计算能力与海量信息的结合。

信息安全政策的主要内容

与传统的公共政策相比，信息安全政策要更加复杂、综合和多元。网络的开放性、渗透性越广，决定着信息安全政策的外部性越强;网络的连接性、交互性越大，又使得信息安全政策的利益相关方越多。所以信息安全政策的制定需要考虑的方面和问题更多。从我国信息化发展的现状看，需要考虑以下四个层面。

战略与法律层面。网络空间是人类社会的自然延伸，西方大国纷纷制定战略与法规，对其加以规范，从它们的做法中不难看出，技术发展日新月异，管理必须与时俱进。政策考虑的范畴和管理的内容要能有效包容网络化生活及智能型生产的进步和创新。但基本的法律关系、法制理念不会因为网络的虚拟和数据的集中而发生根本改变。换言之，这里要处理好“变”和“不变”的关系。“变”的是管理方式方法，只有不断创新，才能更加适应网络形态;“不变”的是安全责任，数据拥有权，司法管辖权，安全管理要求等，这些法律关系不会因为网络的虚拟而改变。

产业和市场层面。总体上看，我国的信息产业还需要更加开放，但条件是安全必须确实保障，这就是发展与安全的辩证关系。发展是目的，安全是前提，这应是信息安全政策的基本着眼点，所以，有关市场开放与产业发展的管理政策需要在企业的安全义务，行业的社会责任，政府的采购政策和依法的安全监管等方面有制度性的安排和技术性的保障。

技术与风险层面。信息技术是典型的两用技术，云计算、物联网、大规模存储等技术进步，都具有“双刃剑”的两用特性。有效管理风险才能趋利避害。社会上对技术和产品是自主还是引进议论颇多，这也要辩证地看，关键在于可控，可控之后才有可信。这应是信息安全政策在技术层面的落脚点。所以，在技术水平总体上“西强我弱”的情势下，可适度将“可控”优先于“自主”，目前的当务之急是要加强国家对信息技术漏洞隐患的分析与发现能力，对技术产品和系统运用的风险评估能力，对新技术新应用采取“先审后用、能控则放、用中管控，安全审计”等方法，供应链的安全应有技术标准的支持和国家政策的保证。

用户与使用层面。众所周知，谷歌发端于判断出网络上一个页面与另一个页面连接的途径，“脸谱”有彼此相连的人员和组织“社交图”。这种圈子连圈子的能力十分强大。作为用户，唯一的权力是选择联还是不联，一旦联网，你便不再是你自己，转而成为网络空间数据库里一个统计学上的你。与此相关的各种数据会在你肉身无法干预的情况下用于商业、事业或正当或不正当的目的，用户立即从具有选择权的强者变为无力回天的弱者。这给政策提出的要求是：用户有选择的权利，同时必须有知情的权利。提供技术、产品、服务的企业应有主动及时向用户告知和提示的责任与义务。