全球數(shù)字安全新態(tài)勢與中國應(yīng)對策略

摘 要:數(shù)字技術(shù)的廣泛應(yīng)用，帶來了數(shù)字安全問題，從安全的態(tài)勢來看，數(shù)字安全問題越來越復(fù)雜，既存在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、輿論操縱等問題，也存在供應(yīng)鏈風(fēng)險、系統(tǒng)性風(fēng)險等物理世界的問題，而各國在數(shù)字安全治理上的觀念分歧與政策錯位，還導(dǎo)致了各國數(shù)字安全政策的沖突與協(xié)調(diào)問題。因此，需要將數(shù)字安全放在國家安全的整體框架下，建立起統(tǒng)一的應(yīng)對策略。

關(guān)鍵詞:數(shù)字安全 安全態(tài)勢 網(wǎng)絡(luò)空間 數(shù)字技術(shù)

【中圖分類號】TP309 【文獻標識碼】A

數(shù)字技術(shù)已全面滲透到社會經(jīng)濟生活的各個方面，形成了一個新的網(wǎng)絡(luò)空間。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《第52次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》，截至2023年6月，我國網(wǎng)民規(guī)模達10.79億人，互聯(lián)網(wǎng)普及率達76.4%。

數(shù)字技術(shù)的廣泛應(yīng)用，帶來了大量安全問題。首先是網(wǎng)絡(luò)空間及相關(guān)的安全問題成為了各界關(guān)注的重點。早在2014年，在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議上習(xí)近平總書記提出了“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”的重要論斷。世界經(jīng)濟論壇發(fā)布的《2023年全球網(wǎng)絡(luò)安全展望》顯示，91%的企業(yè)和網(wǎng)絡(luò)領(lǐng)導(dǎo)者認為，未來兩年可能會發(fā)生影響深遠的災(zāi)難性網(wǎng)絡(luò)事件。而對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊在“當前顯現(xiàn)的風(fēng)險”中排名第五。同時，與網(wǎng)絡(luò)相關(guān)的數(shù)字經(jīng)濟領(lǐng)域的安全問題越來越重要。數(shù)字技術(shù)全面滲透到社會生產(chǎn)生活與治理領(lǐng)域，其安全問題對經(jīng)濟運行將產(chǎn)生重大影響。根據(jù)工信部發(fā)布的數(shù)據(jù)，我國已建成跨行業(yè)跨領(lǐng)域工業(yè)互聯(lián)網(wǎng)平臺50家，平均連接工業(yè)設(shè)備超218萬臺，服務(wù)企業(yè)數(shù)量超過23.4萬家。特色專業(yè)型工業(yè)互聯(lián)網(wǎng)平臺達221個，其中，面向行業(yè)平臺有150個，面向區(qū)域平臺有27個，面向特色領(lǐng)域平臺有44個。大量的工業(yè)企業(yè)、設(shè)備全面上網(wǎng)，安全問題應(yīng)得到更多的重視。三是數(shù)據(jù)安全問題越來越重要。數(shù)據(jù)已成為一種重要的生產(chǎn)要素，在經(jīng)濟生活中發(fā)揮著越來越大的作用。根據(jù)《國家數(shù)據(jù)資源調(diào)查報告（2021）》，2021年我國數(shù)據(jù)產(chǎn)量達到6.6ZB，占全球數(shù)據(jù)總產(chǎn)量的10%，位列全球第二。四是數(shù)字領(lǐng)域的安全風(fēng)險全面向物理世界擴散，有可能導(dǎo)致科技研發(fā)、供應(yīng)鏈產(chǎn)業(yè)鏈等多方面的風(fēng)險。

數(shù)字技術(shù)作為一種通用目的技術(shù)（General Purpose Technology）具有廣泛滲透性，使網(wǎng)絡(luò)安全問題的范疇持續(xù)擴大，從而演化為數(shù)字安全，因為隨著各行各業(yè)數(shù)字化水平持續(xù)提升，數(shù)據(jù)、網(wǎng)絡(luò)、智能技術(shù)等在生產(chǎn)生活中越來越重要，因此，網(wǎng)絡(luò)安全問題向千行百業(yè)延伸拓展，成為社會的底座。習(xí)近平總書記明確指出：“在信息時代，網(wǎng)絡(luò)安全對國家安全牽一發(fā)而動全身，同許多其他方面的安全都有著密切關(guān)系”。為了進一步明確網(wǎng)絡(luò)安全的這種廣泛性，本文將數(shù)字安全定義為：與數(shù)字技術(shù)直接相關(guān)的網(wǎng)絡(luò)空間安全、數(shù)據(jù)安全以及由于應(yīng)用數(shù)字技術(shù)而帶來的物理世界安全、社會治理安全等復(fù)合性綜合性安全。數(shù)字安全是一個大的概念，既包括了虛擬世界的數(shù)據(jù)安全、網(wǎng)絡(luò)安全、輿論操縱等問題，也包括物理世界的關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險、供應(yīng)鏈風(fēng)險、系統(tǒng)性風(fēng)險。在應(yīng)對數(shù)字安全風(fēng)險方面，各國的政策理念以及具體措施仍有不少沖突。從總體上看，數(shù)字安全越來越重要，給社會、經(jīng)濟、生活帶來了深刻的影響，也給工業(yè)生產(chǎn)、科技研發(fā)等帶來了巨大的影響。本文在分析數(shù)字安全新態(tài)勢的基礎(chǔ)上，對不同國家數(shù)字安全政策進行了深入討論，并提出了我國的應(yīng)對策略。

傳統(tǒng)數(shù)字安全：網(wǎng)絡(luò)空間安全常態(tài)化

數(shù)字技術(shù)的廣泛應(yīng)用，形成了一個新的空間——網(wǎng)絡(luò)空間，由于其具有虛擬性、技術(shù)性、智能化等特征，帶來了大量的網(wǎng)絡(luò)安全問題，使網(wǎng)絡(luò)空間的安全問題成為一種常態(tài)。

網(wǎng)絡(luò)運行安全問題影響越來越大

一是基于網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)運行的安全問題越來越顯著。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》，我國網(wǎng)絡(luò)普遍存在著惡意程序傳播、漏洞風(fēng)險、DDoS攻擊、網(wǎng)站安全等方面的安全問題。以網(wǎng)絡(luò)漏洞為例，國家信息安全漏洞共享平臺（CNVD）收錄通用型安全漏洞13083個，同比增長18.2%。其中，高危漏洞收錄數(shù)量為3719個（占28.4%），同比減少13.1%；“零日”漏洞收錄數(shù)量為7107個（占54.3%），同比大幅增長55.1%。2021年上半年，CNVD驗證和處置涉及政府機構(gòu)、重要信息系統(tǒng)等網(wǎng)絡(luò)安全漏洞事件近1.8萬起。捕獲惡意程序樣本數(shù)量約2307萬個，日均傳播次數(shù)達582萬余次，涉及惡意程序家族約20.8萬個。馬來西亞通信和數(shù)字部網(wǎng)站數(shù)據(jù)顯示，在馬來西亞，2020 年共發(fā)生了 6512 起網(wǎng)絡(luò)安全事件，而到2021年1—5月，共發(fā)生了4615 起網(wǎng)絡(luò)安全事件，幾乎增長了一倍。因此，世界經(jīng)濟論壇發(fā)布的《2023年全球風(fēng)險報告》將網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)不安全位列未來兩到十年全球第八大風(fēng)險。

二是網(wǎng)絡(luò)安全問題的影響越來越大。網(wǎng)絡(luò)安全嚴重影響了社會經(jīng)濟發(fā)展情況，網(wǎng)絡(luò)安全問題正在給全球經(jīng)濟帶來巨大的損失。從宏觀上看，網(wǎng)絡(luò)犯罪雜志（Cybercrime Magazine）測算，2015年全球網(wǎng)絡(luò)安全犯罪帶來的成本達到3萬億美元，而且每年以15%的速率增長，到2025年將達到10.5萬億美元，將超過全球自然災(zāi)害帶來的損失，也大于全球非法毒品貿(mào)易之和，相當于全球的能源市場總價值。而且，網(wǎng)絡(luò)安全犯罪極難預(yù)防，根據(jù)世界經(jīng)濟論壇發(fā)布的《2020年全球風(fēng)險報告》，網(wǎng)絡(luò)犯罪在美國被發(fā)現(xiàn)和起訴的可能性估計只有0.05%。從微觀上看，企業(yè)數(shù)字化水平不斷提高，大量的業(yè)務(wù)以及生產(chǎn)經(jīng)營活動都依賴于網(wǎng)絡(luò)，企業(yè)受到網(wǎng)絡(luò)安全攻擊后，將帶來極為不利的后果。國際商業(yè)機器公司（IBM）發(fā)現(xiàn)，超過一半的網(wǎng)絡(luò)攻擊是針對中小型企業(yè)的，其中60%的企業(yè)在遭遇數(shù)據(jù)泄露或黑客攻擊后六個月內(nèi)倒閉。美國司法部的數(shù)據(jù)表明，所有勒索軟件攻擊中有75%是針對小型企業(yè)的。根據(jù)萬事達卡（MasterCard）的數(shù)據(jù)，66%的中小企業(yè)在過去兩年中至少發(fā)生過一次網(wǎng)絡(luò)事件。即使對大企業(yè)而言，網(wǎng)絡(luò)安全事件也將對其市值帶來不利影響。IBM發(fā)布的《數(shù)據(jù)泄露成本報告》發(fā)現(xiàn)，在發(fā)生一次重大網(wǎng)絡(luò)安全事件后，超過70%的企業(yè)的市值將損失5%以上；2022年勒索軟件的頻率增加了41%，平均成本為454萬美元。

數(shù)據(jù)安全問題日益凸顯

數(shù)字技術(shù)的廣泛應(yīng)用，使社會生產(chǎn)、生活、治理等過程全部數(shù)據(jù)化，帶來了數(shù)據(jù)量的爆炸式增長。有數(shù)據(jù)表明[1]，未來三年生產(chǎn)的數(shù)據(jù)量將與過去三十年生產(chǎn)的數(shù)據(jù)量相當，這些數(shù)據(jù)有40%來源于對機器運行過程數(shù)據(jù)的收集。這使數(shù)據(jù)安全問題日益嚴重。

個人數(shù)據(jù)安全問題受到了嚴重挑戰(zhàn)。由于個人生活已全面數(shù)字化、網(wǎng)絡(luò)化，個人數(shù)據(jù)的收集維度快速增長，人工智能疊加大數(shù)據(jù)，可能導(dǎo)致部分傳統(tǒng)數(shù)據(jù)匿名化處理失效，匿名數(shù)據(jù)可能被重新識別。隨著人工智能技術(shù)的應(yīng)用，這些數(shù)據(jù)可以用于精準地預(yù)測、誘導(dǎo)乃至干預(yù)個人行為，將對個人生活乃至國家安全帶來不利影響。例如，當前的很多電信詐騙具有利用個人數(shù)據(jù)進行精準詐騙的特征，這使被騙者非常難以預(yù)防。國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，我國公民個人信息未脫敏展示與非法售賣情況較為嚴重。監(jiān)測發(fā)現(xiàn)，全年共發(fā)生政務(wù)公開、招考公示等平臺未脫敏展示公民個人信息事件107起，涉及未脫敏個人信息近10萬條。而美國聯(lián)邦調(diào)查局（FBI）負責(zé)個人數(shù)據(jù)安全的特工在2018年公開表示，每個美國公民都應(yīng)該預(yù)料到他們的所有數(shù)據(jù)（個人身份信息）都已被盜，并且在暗網(wǎng)中被售賣。2023年3月25日，美國開放人工智能研究中心（OpenAI）發(fā)布公告，證實部分網(wǎng)絡(luò)安全Plus服務(wù)訂閱用戶的個人隱私和支付信息存在泄露。這導(dǎo)致了81%的用戶擔(dān)心ChatGPT帶來的數(shù)據(jù)安全問題。

商業(yè)數(shù)據(jù)安全問題也越來越嚴重。企業(yè)數(shù)據(jù)云化、開放化、開源化、大連接均增加了數(shù)據(jù)防護難度；工業(yè)互聯(lián)網(wǎng)將研發(fā)、生產(chǎn)、營銷、管理等相關(guān)數(shù)據(jù)聚合起來，使數(shù)據(jù)在生產(chǎn)經(jīng)營過程中的重要性日益增加。而隨著供應(yīng)鏈的數(shù)字化、智慧化，供應(yīng)鏈帶來的數(shù)據(jù)安全問題不容忽視。例如，美國連鎖超市塔吉特（Target）和家居公司家得寶（HomeDepot）的數(shù)據(jù)泄露案件，都是從供應(yīng)鏈方開始進行數(shù)據(jù)攻擊的。從企業(yè)數(shù)據(jù)泄露來看，很多企業(yè)均收集了大量個人數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)、經(jīng)濟分析數(shù)據(jù)等，這些數(shù)據(jù)泄露不但帶來了巨額的經(jīng)濟成本，也帶來國家安全方面的風(fēng)險。

公共數(shù)據(jù)安全問題影響越來越大。公共部門是最大的數(shù)據(jù)擁有者，其數(shù)據(jù)涉及到大量個人隱私、國家安全等問題，數(shù)據(jù)安全問題影響非常大。根據(jù)英國信息專員辦公室（ICO）報告，衛(wèi)生和教育部門出現(xiàn)數(shù)據(jù)泄露的情況最多。英國警方在過去3年間共發(fā)生12起數(shù)據(jù)泄露事件。這些數(shù)據(jù)泄露事件帶來了非常嚴重的安全隱患。

虛擬空間秩序安全問題復(fù)雜化

數(shù)字技術(shù)帶來了一個全新的空間——虛擬空間。這個空間存在著無國界、容易擴散與滲透、管控難度大等特征，因此，更容易出現(xiàn)秩序失范，從而帶來復(fù)雜的安全問題。2013年11月，習(xí)近平總書記在向十八屆三中全會作關(guān)于《中共中央關(guān)于全面深化改革若干重大問題的決定》的說明中指出：“如何加強網(wǎng)絡(luò)法制建設(shè)和輿論引導(dǎo)，確保網(wǎng)絡(luò)信息傳播秩序和國家安全、社會穩(wěn)定，已經(jīng)成為擺在我們面前的現(xiàn)實突出問題”。

虛擬空間秩序安全正在成為國家安全的重要組成部分。2022年11月，在羅馬舉行的北約網(wǎng)絡(luò)防御承諾會議上，北約秘書長延斯·斯托爾滕貝格表示：“網(wǎng)絡(luò)現(xiàn)在是一個與陸地、海洋、空中和太空同等的作戰(zhàn)領(lǐng)域”。歐盟網(wǎng)絡(luò)安全局 (ENISA)認為，網(wǎng)絡(luò)間諜活動是一種日益嚴重的威脅，它不僅影響各個國家政府，而且影響經(jīng)濟部門，甚至影響對特定國家重要的戰(zhàn)略參與者。

虛擬空間的數(shù)據(jù)信息流動容易失序。在網(wǎng)絡(luò)空間中，每個參與者都可以成為信息內(nèi)容的生產(chǎn)者，這導(dǎo)致了虛擬空間中信息泛濫，壟斷了消費者注意力的大型平臺或其他機構(gòu)，在信息分發(fā)方面具有優(yōu)勢，幾乎可以決定哪些內(nèi)容能夠在虛擬空間中快速傳播，從而實現(xiàn)信息操縱。OpenAI的研究人員Lilian Weng和OSoMe通過模擬發(fā)現(xiàn)，信息分享的次數(shù)服從冪律分布，例如，信息被分享3次的可能性比被分享一次的可能性低大約9倍。這意味著在虛擬空間中，信息容易被操縱，內(nèi)容分發(fā)主體可以控制內(nèi)容的分發(fā)，這會影響社會輿論，放大偏見。在社會治理體系中，虛擬空間成為了一柄雙刃劍，一方面可以實現(xiàn)更高效更廣泛的輿論監(jiān)督，另一方面，這種虛擬空間的內(nèi)容及其傳播非常容易被滲透，從而對社會公眾進行思想攻擊或錯誤引導(dǎo)，這將給國家安全帶來不利影響。

牛津大學(xué)牛津互聯(lián)網(wǎng)研究所 (OII) 發(fā)現(xiàn)，通過社交媒體平臺操縱輿論已成為對公共生活的嚴重威脅，各種機構(gòu)利用社交媒體平臺傳播垃圾新聞和虛假信息，破壞人們對媒體、公共機構(gòu)和科學(xué)的信任。而元宇宙的興起，更可以通過劇本化、場景化、沉浸式的方式，進行思想、文化、意識形態(tài)等多方面的滲透，使社會經(jīng)濟政治更容易受到外來力量的干預(yù)，帶來了新的安全問題。

數(shù)字安全的新趨勢：數(shù)字安全向物理世界傳導(dǎo)

數(shù)字安全通過供應(yīng)鏈傳導(dǎo)到整個經(jīng)濟體系

數(shù)字技術(shù)已全面滲透生產(chǎn)、交換、分配和消費的每一個環(huán)節(jié)，對一二三產(chǎn)的生產(chǎn)和經(jīng)營產(chǎn)生了巨大的影響。數(shù)字技術(shù)的強滲透性，使數(shù)字安全能夠通過供應(yīng)鏈傳導(dǎo)到整個經(jīng)濟體系。工業(yè)互聯(lián)網(wǎng)的廣泛應(yīng)用，使整個生產(chǎn)經(jīng)營流程數(shù)字化，企業(yè)通過數(shù)字技術(shù)來全面控制企業(yè)的研發(fā)、設(shè)計、生產(chǎn)、管理、營銷、售后服務(wù)等全部流程，當受到網(wǎng)絡(luò)攻擊時，會對企業(yè)的物理生產(chǎn)經(jīng)營過程產(chǎn)生重大風(fēng)險。當前，對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的安全問題仍重視不足，風(fēng)險評估、安全防護、安全管控等方面的技術(shù)和意識仍較薄弱[2]。CNCERT監(jiān)測發(fā)現(xiàn)，我國境內(nèi)仍有大量暴露在互聯(lián)網(wǎng)的工業(yè)控制設(shè)備和系統(tǒng)，存在高危漏洞的系統(tǒng)涉及煤炭、石油、電力、城市軌道交通等重點行業(yè)，覆蓋企業(yè)生產(chǎn)管理、企業(yè)經(jīng)營管理、政府監(jiān)管、工業(yè)云平臺等。實體生產(chǎn)領(lǐng)域往往具有連續(xù)性，一旦某個環(huán)節(jié)受到網(wǎng)絡(luò)攻擊而產(chǎn)生事故，將對整個生產(chǎn)流程帶來影響，從而使損失進一步擴大。

數(shù)字技術(shù)推動了供應(yīng)鏈的數(shù)字化與智慧化。供應(yīng)鏈的數(shù)字化使不同的企業(yè)主體之間能夠?qū)崿F(xiàn)數(shù)據(jù)的互聯(lián)互通，這要求供應(yīng)鏈中的不同企業(yè)向其他企業(yè)提供接口，推動供應(yīng)鏈的緊密集成，實現(xiàn)自動訂購和自動發(fā)票開具，甚至自動結(jié)算支付等功能。這極大地提高了供應(yīng)鏈的效率。但是，由于供應(yīng)鏈中各個主體之間的安全防護能力之間有著巨大的差異，這使供應(yīng)鏈成為了針對生產(chǎn)領(lǐng)域進行攻擊的重點。例如，在Target導(dǎo)致1.1 億條數(shù)據(jù)記錄丟失的惡性事件中，攻擊者就是通過空調(diào)服務(wù)供應(yīng)商 Fazio Mechanical Services的接口，侵入Target的網(wǎng)絡(luò)，并最終非法訪問并獲取其數(shù)據(jù)，導(dǎo)致了數(shù)據(jù)泄露。

現(xiàn)有的研究表明，供應(yīng)鏈攻擊正在快速增長。歐盟網(wǎng)絡(luò)安全局 (ENISA) 的一項研究表明[3]，2021年，利用供應(yīng)鏈中的第三方實施侵入的網(wǎng)絡(luò)事件占比達17%，而2020年這一比例不到1%?！?022年數(shù)據(jù)泄露成本報告》顯示，2022年，供應(yīng)鏈攻擊的數(shù)量已超過基于惡意軟件攻擊數(shù)量的40%，供應(yīng)鏈攻擊導(dǎo)致的數(shù)據(jù)泄露數(shù)量超過了與惡意軟件相關(guān)的危害。根據(jù)Argon Security的一項研究，2021年，供應(yīng)鏈攻擊比2020年增長了300%以上。一項針對全球1000名首席信息官（CIO）的調(diào)查表明，82%表示他們的組織容易受到針對供應(yīng)鏈軟件的網(wǎng)絡(luò)攻擊。開源軟件中所存在的開源漏洞正在成為一個攻擊的重點。2021年針對開源軟件的供應(yīng)鏈攻擊增加了650%。針對供應(yīng)鏈中第三方所使用的開源軟件攻擊的防護難度更大，根據(jù)靈跡軟件服務(wù)有限公司（Dynatrace）的研究，61%的調(diào)查受訪者表示，使用第三方或開源代碼會使識別和解決應(yīng)用程序漏洞變得困難，這是因為大部分使用開源軟件的企業(yè)缺乏具有高安全度的策略。

因此，網(wǎng)絡(luò)攻擊是供應(yīng)鏈安全風(fēng)險中的重大挑戰(zhàn)，維護供應(yīng)鏈各個節(jié)點的安全將成為企業(yè)供應(yīng)鏈風(fēng)險管控的核心目標之一。畢馬威（KPMG）的調(diào)查表明，近一半的全球組織將網(wǎng)絡(luò)安全視為未來3年供應(yīng)鏈的重要運營挑戰(zhàn)。

系統(tǒng)性風(fēng)險：數(shù)字安全的新沖擊

數(shù)字安全對社會經(jīng)濟生活越來越重要，其一旦產(chǎn)生風(fēng)險，將具有系統(tǒng)重要性。蘭德公司的研究人員提出，可以借鑒金融領(lǐng)域的“系統(tǒng)性風(fēng)險”的概念，將其應(yīng)用到數(shù)字經(jīng)濟領(lǐng)域（RAND Corporation, 2020），從而研究數(shù)字安全問題帶來的系統(tǒng)性風(fēng)險[4]。數(shù)字安全的確已成為系統(tǒng)性風(fēng)險的重要來源，主要體現(xiàn)在以下幾個方面：

一是級聯(lián)風(fēng)險。這是蘭德公司研究人員的核心觀點。他們認為，全球經(jīng)濟的許多部門都依賴同一套網(wǎng)絡(luò)關(guān)鍵技術(shù)產(chǎn)品和服務(wù)，將風(fēng)險集中在未知數(shù)量的可能故障點上。這種系統(tǒng)性風(fēng)險并不能通過個人或者單一組織在安全等方面的措施強化而得到緩解，而是經(jīng)由某一網(wǎng)絡(luò)安全事件觸發(fā)，通過網(wǎng)絡(luò)通路級聯(lián)放大，進而產(chǎn)生風(fēng)險的網(wǎng)絡(luò)效應(yīng)，形成系統(tǒng)性風(fēng)險事件。觸發(fā)器—網(wǎng)絡(luò)通路—網(wǎng)絡(luò)效應(yīng)，三個因素獨立或一起，從而產(chǎn)生系統(tǒng)性風(fēng)險。

二是系統(tǒng)重要性平臺及其風(fēng)險。隨著數(shù)字經(jīng)濟發(fā)展，數(shù)字平臺的地位越來越重要，平臺不但匯聚了大量的個人用戶及企業(yè)用戶，還積累了海量的數(shù)據(jù)，提供著大量與經(jīng)濟社會運行相關(guān)的基礎(chǔ)服務(wù)。與系統(tǒng)重要性金融機構(gòu)相似，一些在行業(yè)內(nèi)具備重要地位的數(shù)字平臺也對社會經(jīng)濟發(fā)展具有“大而不能倒”的重要作用，此類數(shù)字平臺往往提供難以替代的關(guān)鍵服務(wù)，很難要求用戶停止使用其服務(wù)或轉(zhuǎn)換其他平臺。一旦這類平臺出現(xiàn)安全問題，就會導(dǎo)致系統(tǒng)性風(fēng)險。世界經(jīng)濟論壇（WEF）將系統(tǒng)性網(wǎng)絡(luò)風(fēng)險定義為：“關(guān)鍵基礎(chǔ)設(shè)施生態(tài)系統(tǒng)單個組成部分的網(wǎng)絡(luò)事件（攻擊或其他不良事件）將導(dǎo)致重大延遲、拒絕、故障、中斷或損失的風(fēng)險，從而使服務(wù)不僅在原始組成部分受到影響，而且后果還級聯(lián)到相關(guān)的（邏輯和/或地理上）生態(tài)系統(tǒng)組成部分，對公共衛(wèi)生或安全、經(jīng)濟保障或國家安全造成重大不利影響”。Dean Curran (2020) 進而提出[5]，數(shù)字經(jīng)濟如同金融一樣，成為社會聯(lián)結(jié)的重要中介，在運行過程中有可能威脅到整個經(jīng)濟的運作。

三是關(guān)鍵基礎(chǔ)設(shè)施的數(shù)字安全具有系統(tǒng)重要性。關(guān)鍵基礎(chǔ)設(shè)施包括各種網(wǎng)絡(luò)基礎(chǔ)設(shè)施、電力設(shè)施等對社會經(jīng)濟安全具有重要意義與價值的基礎(chǔ)設(shè)施，在數(shù)字化的浪潮下，這些基礎(chǔ)設(shè)施容易受到數(shù)字攻擊。通過遠程網(wǎng)絡(luò)方式攻擊基礎(chǔ)設(shè)施，已成為數(shù)字時代的一個新的網(wǎng)絡(luò)安全問題。IBM根據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）對關(guān)鍵基礎(chǔ)設(shè)施的定義，發(fā)現(xiàn)22%的針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊是由人為錯誤引起的，12%是由勒索軟件攻擊引起的，17%是由供應(yīng)鏈攻擊引起的。在現(xiàn)實中，針對電網(wǎng)、鐵路等基礎(chǔ)設(shè)施的數(shù)字攻擊已時有發(fā)生。

應(yīng)對數(shù)字安全新態(tài)勢的政策建議

一是要加大數(shù)字核心技術(shù)的研發(fā)力度，推動數(shù)字安全產(chǎn)業(yè)化發(fā)展。技術(shù)是數(shù)字安全的“命門”。無論是快速應(yīng)對數(shù)字安全的威脅，還是提高對數(shù)字安全的預(yù)防能力，歸根到底，都需要核心關(guān)鍵技術(shù)進行支撐。習(xí)近平總書記2016年4月19日在網(wǎng)絡(luò)安全和信息化工作座談會上的講話明確提出“要以技術(shù)對技術(shù)，以技術(shù)管技術(shù)，做到魔高一尺、道高一丈”。因此，在國家層面要進一步支持數(shù)字安全技術(shù)的研發(fā)，包括底層的密碼技術(shù)、操作系統(tǒng)安全技術(shù)、芯片安全技術(shù)，到應(yīng)用層的網(wǎng)絡(luò)運行安全技術(shù)、工業(yè)軟件安全技術(shù)等，并推動人工智能、區(qū)塊鏈等技術(shù)在數(shù)字安全領(lǐng)域的廣泛應(yīng)用，從而建立起保障數(shù)字安全的技術(shù)體系。在技術(shù)創(chuàng)新的基礎(chǔ)上，鼓勵數(shù)字安全產(chǎn)業(yè)化發(fā)展。我國數(shù)字安全產(chǎn)業(yè)規(guī)模偏小，原始創(chuàng)新不足，高端供給不夠，領(lǐng)軍人才缺乏，是制約我國數(shù)字安全的重要因素。要通過稅收、人才、技術(shù)、市場準入等多方面的綜合支持政策，推動數(shù)字安全產(chǎn)業(yè)做大做強。

二是大力推動數(shù)據(jù)安全制度建設(shè)。數(shù)據(jù)安全既與技術(shù)有關(guān)，也與制度有關(guān)。要建立起數(shù)據(jù)安全的相關(guān)制度。在數(shù)據(jù)作為生產(chǎn)要素的前提下，進一步完善數(shù)據(jù)保護的制度架構(gòu)。要建立起平臺企業(yè)、應(yīng)用程序等相關(guān)主體收集個人數(shù)據(jù)的規(guī)則體系，盡快明確數(shù)據(jù)分級分類保護的具體內(nèi)容、標準，做好隱私、信息等數(shù)據(jù)區(qū)分和保護。建立工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等非個人數(shù)據(jù)的收集、使用、共享、交易等方面的規(guī)則，明確非個人數(shù)據(jù)的安全防護標準。進一步明確國家數(shù)據(jù)局在數(shù)據(jù)保護方面的職能，與第三方機構(gòu)協(xié)同，分行業(yè)、分地區(qū)開展企業(yè)數(shù)據(jù)保護評估，倒逼企業(yè)強化應(yīng)對數(shù)據(jù)風(fēng)險的組織管理建設(shè)和技術(shù)實力，鼓勵企業(yè)自主探索數(shù)據(jù)保護路徑，實施多元化監(jiān)管措施。探索區(qū)塊鏈、隱私計算等新技術(shù)在數(shù)據(jù)保護中的應(yīng)用，可率先將此類技術(shù)運用到高度機密、對數(shù)據(jù)傳輸效率要求相對較低，可承受成本更高的部分政府、企業(yè)核心數(shù)據(jù)保護上。

三是建立起高效有序的數(shù)字虛擬空間秩序維護機制和安全機制。虛擬空間的秩序安全問題是一個涉及多維度、多主體、多目標、多手段、多視角，且涉及到國際國內(nèi)的復(fù)雜問題，需要在“安全、發(fā)展、權(quán)利”等多重目標之間進行平衡。一方面，應(yīng)該看到虛擬空間的失序，本身會給其帶來安全隱患，而且這種虛擬空間的失序?qū)砀鞣N失范行為，如侵犯個人隱私、各種類型的網(wǎng)絡(luò)暴力、網(wǎng)絡(luò)排斥、網(wǎng)絡(luò)謠言、虛擬新聞，乃至于形形色色的網(wǎng)絡(luò)犯罪，都將威脅虛擬空間的運行，對國家安全造成損害。另一方面，對虛擬空間失序行為的治理，并非政府單方面的行為，不能采取純粹剛性的方法，而是要采取富有彈性的手段和方式。因此，需要協(xié)同政府、網(wǎng)民、平臺、各種虛擬組織等各個主體的治理行為，推動網(wǎng)絡(luò)“技治、法治、自治”三者的融合互動，使“工具、法律、自律”三者之間達到統(tǒng)一，從而更好地維護虛擬空間的秩序安全。要推動各個治理主體，包括政府、平臺乃至于社會公眾，積極運用人工智能等前沿數(shù)字技術(shù)，共同對虛擬空間的秩序安全進行維護。例如，各個主體要積極利用人工智能自然語言技術(shù)，對虛擬空間的各種謠言、虛假新聞、極端言論等進行深度治理，從而避免這些內(nèi)容泛濫，影響虛擬空間的安全，并進一步影響物理空間的安全。其次，建立互聯(lián)網(wǎng)平臺、用戶、第三方機構(gòu)、政府等多方面參與的虛擬空間秩序安全機制。尤其要重視平臺等新主體維護虛擬空間秩序安全方面的作用。平臺在關(guān)于虛擬空間的規(guī)則制訂、內(nèi)容框架、實施機制等方面，都要考慮到安全因素。

四是關(guān)注供應(yīng)鏈數(shù)字安全，提升中小企業(yè)數(shù)字安全水平和防護能力。工業(yè)互聯(lián)網(wǎng)快速發(fā)展，數(shù)字技術(shù)全面滲透到供應(yīng)鏈產(chǎn)業(yè)鏈，帶來了供應(yīng)鏈產(chǎn)業(yè)鏈的數(shù)字安全問題。首先要提高對供應(yīng)鏈數(shù)字安全的認識。當前，對網(wǎng)絡(luò)運行安全、數(shù)據(jù)安全、虛擬空間秩序安全等問題已形成共識，且有大量的制度與技術(shù)措施已在運行中。但在討論供應(yīng)鏈安全時，重點關(guān)注的是供應(yīng)鏈的物理安全問題，對供應(yīng)鏈數(shù)字安全問題仍缺乏系統(tǒng)性的認識。因此，無論是政府部門，還是供應(yīng)鏈的主導(dǎo)企業(yè)，都要將供應(yīng)鏈數(shù)字安全問題放到更高的地位。其次，要通過各方協(xié)同，推動建立起供應(yīng)鏈軟件、數(shù)據(jù)等安全標準體系。供應(yīng)鏈軟件的接口不一，數(shù)據(jù)標準不統(tǒng)一，已成為供應(yīng)鏈數(shù)字攻擊的重要入口。因此，從安全的角度出發(fā)，建立起接口、數(shù)據(jù)、軟件等各方面的標準，有利于提高供應(yīng)鏈數(shù)字安全水平。最后，要重視中小企業(yè)數(shù)字安全水平。經(jīng)濟合作與發(fā)展組織（OECD）2021年的研究指出，中小企業(yè)的數(shù)字安全能力與大中型企業(yè)之間仍存在著巨大的差距，2015年歐洲只有30%的中小企業(yè)制定了正式的安全政策，而大型企業(yè)中這一比例接近70%，在整個OECD國家，大型和小型企業(yè)之間的數(shù)據(jù)安全能力與政策執(zhí)行方面的平均差距為45%，最終導(dǎo)致中小企業(yè)成為供應(yīng)鏈安全的薄弱環(huán)節(jié)。在提高中小企業(yè)數(shù)字安全水平方面，推動中小企業(yè)上云是一個重要的環(huán)節(jié)，基于云原生的業(yè)務(wù)體系，將安全架構(gòu)于云上，比中小企業(yè)自身有著更高的安全防護能力。

五是建立起數(shù)字安全系統(tǒng)性風(fēng)險預(yù)防機制。數(shù)字安全所帶來的系統(tǒng)性風(fēng)險是一個全新的問題。首先要對數(shù)字安全所帶來的系統(tǒng)性風(fēng)險進行深入研究，明確系統(tǒng)性風(fēng)險的要素和條件，建立可能觸發(fā)系統(tǒng)性風(fēng)險的網(wǎng)絡(luò)安全事件預(yù)警機制。其次明確數(shù)字經(jīng)濟風(fēng)險傳導(dǎo)渠道，識別具有系統(tǒng)重要性的數(shù)字實體并建立起相應(yīng)的監(jiān)管制度。再次，加強關(guān)鍵基礎(chǔ)設(shè)施協(xié)同防護。尤其是要重視關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全、數(shù)據(jù)安全，將其與物理安全放到同等重要的地位。最后，要建立起數(shù)字安全系統(tǒng)性風(fēng)險預(yù)防的政府部門聯(lián)動機制。數(shù)字安全引發(fā)的系統(tǒng)性風(fēng)險，不但涉及到數(shù)字主管部門，也涉及到其他相關(guān)政府主管部門，只有通過這些部門間的協(xié)同，才能使系統(tǒng)性風(fēng)險預(yù)防機制更為高效。

六是積極參與數(shù)字安全全球協(xié)同機制。由于虛擬空間的無界性，以及數(shù)字技術(shù)的快速傳播性與滲透性等特點，數(shù)字安全已成為全球共同的問題。但是，應(yīng)該看到，在數(shù)字安全協(xié)同方面，各國并沒有完全達成一致，個別國家在數(shù)字安全方面追求絕對安全，并將數(shù)字安全問題泛化、武器化，實行“長臂管轄”的防御機制，給數(shù)字安全全球協(xié)同機制的建設(shè)帶來了阻力。我國已向國際社會發(fā)起《全球數(shù)據(jù)安全倡議》，積極申請加入《全面與進步跨太平洋伙伴關(guān)系協(xié)定》（CPTPP）、《數(shù)字經(jīng)濟伙伴關(guān)系協(xié)定》（DEPA），通過這些國際合作，積極參與數(shù)字安全全球協(xié)同機制，從而更好地應(yīng)對數(shù)字安全所面臨的新態(tài)勢、新問題。

【本文作者為中國社會科學(xué)院財經(jīng)戰(zhàn)略研究院研究員，中國社會科學(xué)院大學(xué)教授；本文系中國社會科學(xué)院創(chuàng)新工程項目“防止資本無序擴張——基于數(shù)字平臺的理論與實證研究”（項目編號：2022CJYB03）階段性成果】

注釋

[1]Pepe Zhang，Data 4.0–Rethinking rules for a data-driven economy，https://www.weforum.org/agenda/2022/01/data-4-0-rethinking-rules-for-a-data-driven-economy/，Jan 31, 2022

[2][3]James Gordon，How to reduce cyber attacks in the global supply chain, https://www.raconteur.net/risk-regulation/how-to-reduce-cyber-attacks-in-the-global-supply-chain/

[4]RAND Corporation,Systemic Risk in the Broad Economy--Interfirm Networks and Shocks in the U.S. Economy，https://www.rand.org/pubs/research_reports/RR4185.html

[5]Dean Curran (2020) Connecting risk: Systemic risk from finance to the digital, Economy and Society, 49:2, 239-264.

責(zé)編：程靜靜／美編：石 玉