從技術治理到協同治理：數據安全治理新范式

2026年是“十五五”開局之年，全國兩會對發展數字經濟作出戰略部署，為新征程上加快推進數字中國建設擘畫藍圖、指明方向。政府工作報告指出，數據要素潛力加快釋放，數字經濟核心產業增加值占國內生產總值的比重提高到10.5%以上。“十五五”時期該比重將達到12.5%。釋放數據價值以形成新質生產力，已成為推動中國式現代化的重要引擎。同時要清醒地認識到，數據在創造巨大價值的同時，也面臨著前所未有的安全風險。數據泄露、數據濫用、網絡攻擊等安全事件頻發，不僅嚴重侵害個人權益，更對市場秩序、公共安全和國家安全構成威脅。數據安全是總體國家安全觀的重要領域，是數字時代的關鍵支柱。隨著數字經濟深度拓展，數據安全形勢日趨復雜嚴峻，傳統治理模式過度依賴單一技術或單一治理主體，已難以適應數字時代國家安全治理的現實需要，亟待在總體國家安全觀指引下實現系統性重塑，實現協同治理。

數據安全治理的現實挑戰與范式轉變的必要性

當前，數據安全治理的緊迫性日益凸顯，這一方面源于數據作為關鍵生產要素的獨特屬性，另一方面也由數字化應用場景的復雜化所驅動。首先，數據要素具有非排他性、無限增長性等特性，這使得數據泄露、非授權訪問與濫用的風險呈指數級增長。其次，技術演進在帶來機遇的同時也引入了新型威脅，特別是生成式人工智能等技術的發展，催生了深度偽造等新型攻擊手段，使數據治理的技術防御體系常處于被動。再者，數據治理場景中多元主體利益交錯，企業追求數據價值最大化，黑客產業鏈條隱匿運作，公眾難以掌控自身信息流向，由此引發責任模糊與安全投入不足等問題，使得數據安全風險呈現出高度的系統性與復雜性特征。

顯然，傳統上僅依賴技術手段或政府單向管控而構建的數據安全治理范式難以應對當前挑戰。因此，數據安全治理需要超越單一學科視角，向多學科、多主體協同治理范式轉變，融合多重工具，清晰界定各方主體的權責，通過制度設計激發內生動力，從而實現單一的技術治理向系統性協同治理的范式轉變。

強化政府監管：構建數據安全治理的頂層設計與制度框架

政府作為數據安全治理的核心樞紐，承擔著制定規則、強化監管、引導方向的關鍵職責，為數據安全治理提供制度框架。

第一，政府需要完善法律法規體系，明確責任邊界。政府可以通過立法，確立數據分類分級保護制度，明確強制性安全等級標準；制定數據安全責任共擔機制，清晰界定企業在數據收集、存儲、處理、傳輸等全鏈條中的安全義務，以及發生數據泄露等事件后的法律責任與賠償機制，為市場樹立明確預期。

第二，政府可以運用經濟杠桿與行政手段，引導企業行為。政府可通過差異化的補貼政策、稅收優惠、專項基金等方式，激勵企業加大數據安全技術研發投入；同時，將數據安全水平與企業信用體系、市場準入等掛鉤，對安全投入不足或發生重大安全事件的企業實施必要懲戒，推動企業從“被動合規”轉向“主動治理”。

第三，政府需要嚴厲打擊數據犯罪，凈化數據生態。針對日益猖獗的黑客攻擊和數據黑市交易，政府需加強執法力度，通過技術手段追蹤溯源，并聯合金融等部門阻斷非法資金流，顯著提高攻擊成本和違法成本，遏制數據犯罪產業鏈的蔓延。

激發產業創新：提供數據安全治理的技術支撐與服務保障

安全產業是數據安全治理的技術供給方和重要支撐力量，其創新活力直接關系到協同治理體系的技術效能，主要包括安全技術提供商、安全服務外包商、安全服務保險商等產業參與者。安全產業的創新發展，將為數據安全治理提供創新型工具和方法，可以將政策端的治理要求實現技術落地，這種專業化服務是協同治理體系中的重要技術支撐。

首先，安全技術提供商作為數據安全治理的核心力量之一，需持續攻堅核心關鍵技術，應聚焦加密算法、隱私計算、入侵檢測、安全審計等方向，致力于提供更智能、更精準、更高效的安全產品與解決方案，筑牢技術防護的根基。

其次，安全服務外包商需助力提升企業安全水平。面對眾多中小企業安全能力不足的現實，專業的第三方安全服務商可以為企業提供系統性的安全評估、漏洞排查、應急響應等服務，實現安全能力的集約化和專業化，降低企業自身的安全投入門檻，打造更精細的安全技術普惠生態。

再次，安全服務保險商可以持續探索數據安全保險等風險分散機制。保險機構可以開發針對數據安全風險的險種，通過市場化機制幫助企業分散潛在的數據安全損失。同時，保險公司通過保前風險評估、保中風險監測，也能敦促企業加強安全管理，將市場機制力量與政策監管效力有機結合，形成良性循環。

健全市場機制：培育數據安全治理的內生動力與市場秩序

數據要素市場的運行機制對數據安全治理具有重要影響。《國家數據標準體系建設指南》《網絡數據安全管理條例》《工業控制系統網絡安全防護指南》等一系列文件的出臺，進一步明確了筑牢市場發展底線的重要性和迫切性。數據要素市場依托激勵機制和標準體系，可以引導各方自覺維護數據安全，激發數據安全治理內生動力并構建行業標準體系。

首先，市場相關組織應建立并推廣統一的數據安全標準體系與認證機制，推動制定涵蓋技術、產品、服務和管理的數據安全標準，對符合標準的企業和產品進行認證，提高市場對數據安全的信任度，促進數據安全產業的規范化和標準化發展；開展認證評價，通過“標準引領”提升行業整體安全水平，為數據流通和交易提供可信基礎。

其次，市場可以通過建立激勵機制，鼓勵企業在數據安全方面進行投入和創新。例如，設立數據安全獎勵基金，對在數據安全技術研發、安全管理等方面表現優秀的企業給予獎勵；鼓勵企業建立漏洞獎勵計劃，吸引“白帽黑客”等安全研究人員通過合法途徑報告漏洞，將潛在威脅轉化為提升安全能力的機會，形成“以攻促防”的良性生態。同時，創新商業模式，如開展數據安全眾包服務、數據安全云服務等，為數據安全治理提供多元化的服務模式。

最后，市場可以推動建設可信數據空間與安全信息共享聯盟。市場機制應注重數據安全信息共享，打破數據孤島，提高數據的利用效率。在特定行業或領域，鼓勵企業間建立安全信息共享機制，及時通報威脅情報，共同應對安全風險。通過隱私計算等技術，在保障數據隱私安全的前提下促進數據價值的流轉。

（作者：李庭燎、高星，分別系南京審計大學國際學院副教授、副院長，東南大學經濟管理學院副研究員）