政策工具視角下我國(guó)信息安全管理政策量化研究*
——以2003—2021年政策文本為例

周付軍

(中南大學(xué)公共管理學(xué)院 長(zhǎng)沙 410075)

近年來，隨著我國(guó)信息化進(jìn)程加快，信息安全已成為國(guó)家安全的重要組成部分[1]。尤其是新興技術(shù)的發(fā)展，賦予了信息數(shù)據(jù)以新的意義和價(jià)值。過去可能不具有信息意義的各類數(shù)據(jù),在大數(shù)據(jù)時(shí)代都可能獲得新的意義,因而也就產(chǎn)生了保護(hù)的必要性[2]。信息安全管理政策作為保障信息安全的有效手段，逐步成為學(xué)界關(guān)注的研究熱點(diǎn)。

學(xué)者們從宏觀層面、中觀層面和微觀層面對(duì)信息安全管理進(jìn)行研究。宏觀層面中，楊蓉[2]認(rèn)為，維護(hù)信息安全和數(shù)據(jù)安全,保證國(guó)家的信息主權(quán)和數(shù)據(jù)主權(quán)，是保障國(guó)家安全的必要基礎(chǔ)。聶云霞等[3]認(rèn)為，人類進(jìn)入到數(shù)字時(shí)代，表明“國(guó)家安全邊界從有形的、本土的、自然地理邊界擴(kuò)大到無形的、全球的信息安全邊界，國(guó)家之間利益爭(zhēng)奪的焦點(diǎn)從物質(zhì)資源轉(zhuǎn)向信息資源?！钡珨?shù)字化技術(shù)的全面推進(jìn)和數(shù)字化工具方法的普及，也對(duì)以信息安全為核心的國(guó)家安全產(chǎn)生沖擊[4]。甚至有學(xué)者認(rèn)為，互聯(lián)網(wǎng)環(huán)境下，以信息安全為突出表現(xiàn)的國(guó)家安全問題越發(fā)嚴(yán)重[5]。中觀層面研究中，張晨芳等[6]以2015—2020年的25份國(guó)家層面網(wǎng)絡(luò)安全政策為例,構(gòu)建政策工具與危機(jī)生命周期的二維分析框架,采用政策內(nèi)容量化的方法對(duì)文本進(jìn)行分析。時(shí)惠穎等[7]應(yīng)用計(jì)量學(xué)和內(nèi)容分析方法以及政策工具理論，從外部特征和政策工具兩個(gè)維度對(duì)中央信息安全政策文本進(jìn)行量化分析。王國(guó)華等[8]則從基本政策工具和政策目標(biāo)價(jià)值兩個(gè)維度對(duì)我國(guó)網(wǎng)絡(luò)媒體政策進(jìn)行統(tǒng)計(jì)分析。微觀層面中，趙雪芹等[9]搭建政策工具、社會(huì)系統(tǒng)論和政策效力框架，對(duì)我國(guó)個(gè)人信息保護(hù)政策展開量化研究，呈現(xiàn)個(gè)人信息保護(hù)政策工具現(xiàn)狀。曾剛等[10]從政策工具視角，對(duì)我國(guó)個(gè)人金融信息保護(hù)政策進(jìn)行量化分析，探析政策工具選取和使用特征。在此基礎(chǔ)上，高德勝等[11]從信息安全視角，提出多維度、系統(tǒng)性、立體化的個(gè)人信息安全治理策略。文獻(xiàn)研究表明，政策內(nèi)容分析和政策工具方法，與信息安全政策有著較高契合性。但當(dāng)前信息安全政策研究大多基于政策工具、政策目標(biāo)或外部特征構(gòu)建二維分析框架，缺乏對(duì)信息安全政策的系統(tǒng)審視，也忽視了對(duì)政策主體因素的分析和探討。文本分析作為政策研究的重要范式，能夠以量化方式深入描述和呈現(xiàn)政策文本內(nèi)容，對(duì)政策的解釋、解讀及落實(shí)具有重要的現(xiàn)實(shí)意義。鑒于此，本文選取中央層面頒布實(shí)行且有效的38份信息安全管理政策文本，從政策工具、政策目標(biāo)、政策主體和政策外部特征四個(gè)維度，呈現(xiàn)信息安全管理政策基本特征與政策工具現(xiàn)狀。以期為完善信息安全管理政策工具設(shè)計(jì)，提高信息安全管理政策執(zhí)行效果提供參考。

1 信息安全管理政策量化分析框架

信息安全管理政策工具是相關(guān)行政部門，開展信息安全管理工作，實(shí)現(xiàn)政策目標(biāo)的基本手段。政策目標(biāo)的實(shí)現(xiàn)程度，既與政策工具設(shè)計(jì)科學(xué)性直接相關(guān)，也受到政策工具與政策目標(biāo)匹配度的影響。政策工具與目標(biāo)契合度越高，通常政策執(zhí)行效果越好[12]。政策主體作為制定和執(zhí)行政策的主導(dǎo)者，對(duì)政策設(shè)計(jì)科學(xué)性和執(zhí)行有效性影響極大。尤其是隨著信息安全管理事務(wù)多元化和跨部門化，信息安全管理的政策主體，呈現(xiàn)出多元化和網(wǎng)絡(luò)化特征。多元主體間的合作程度與協(xié)同效率，對(duì)政策效果的影響顯著。此外，科層管理結(jié)構(gòu)下，政策制定主體在科層結(jié)構(gòu)中所處的相對(duì)位置，以及政策文本的效力級(jí)別。決定了政策向下執(zhí)行過程中的順暢程度而影響政策效果。一般而言，政策制定主體的行政級(jí)別越高、文本效力等級(jí)越高，政策所釋放的政治信號(hào)和壓力越強(qiáng)。更易獲得執(zhí)行主體的重視而順暢推行?；诖?，本文從政策工具、政策目標(biāo)、政策主體與外部特征等方面，搭建內(nèi)容分析框架(見圖1)。

圖1 信息安全管理政策量化分析框架

1.1 工具維度

政策工具是政府部門實(shí)現(xiàn)政策目標(biāo)的各種手段和措施的集合，意味著政策工具存在多種類型。既有研究中，政策工具存在多種分類標(biāo)準(zhǔn)。從政策工具分類來看，麥克唐納爾和艾莫爾依據(jù)政策工具作用目的將政策工具分為命令性工具、激勵(lì)性工具、能力建設(shè)工具、系統(tǒng)變化工具和勸告工具[13]。施奈德和英格拉姆則從“公共政策通?？偸窃噲D讓人們?nèi)プ鏊麄円詣e的方式不可能做的事情； 或者它能使人們?nèi)プ鏊麄円云渌绞揭恢睕]有做的事情”為假設(shè)出發(fā)，將政策工具劃分為權(quán)威工具、能力工具、激勵(lì)工具、符號(hào)和規(guī)勸工具及學(xué)習(xí)工具[14]。洛伊將政策工具劃分為規(guī)制性工具和非規(guī)制性工具[15]。薩拉蒙在此基礎(chǔ)上增加了開支性工具和非開支性工具兩種[16]。羅斯維爾根據(jù)政策對(duì)技術(shù)產(chǎn)生影響層面的不同，將政策工具劃分為供給型、環(huán)境型與需求型政策工具。陳振明教授將政策工具劃分為市場(chǎng)化工具、工商管理技術(shù)和社會(huì)化手段三類[17]。顧建光教授根據(jù)工具使用方式不同將政策工具劃分為管制類工具、激勵(lì)類工具和信息傳遞類工具[18]。王世強(qiáng)在參考臺(tái)灣學(xué)者陳恒鈞[19]的政策工具分類基礎(chǔ)上。依據(jù)政府對(duì)公共事務(wù)管理的直接性程度，將政策工具劃分為直接型、間接型、基礎(chǔ)型和引導(dǎo)型。信息安全管理作為典型的公共事務(wù)，不同政府主體管理程度存在差異。結(jié)合信息安全管理政策文本情況，本文借鑒黃世強(qiáng)和陳恒鈞等人的分類標(biāo)準(zhǔn)，將信息安全管理政策工具劃分為四大類，共11個(gè)政策工具(如表1所示)。

表1 信息安全管理政策工具分類與解釋

直接型政策工具指政府直接面向信息生產(chǎn)者與信息主體，主導(dǎo)相關(guān)信息安全管理工作。直接型政策工具具有作用力強(qiáng)、見效快等優(yōu)勢(shì)，但存在規(guī)制力度難把握、運(yùn)用成本較高等問題。該類政策工具主要包含行政管制和規(guī)制罰款。

間接型政策工具指政府部門采取委托或授權(quán)管理的形式，由相關(guān)社會(huì)組織或企事業(yè)單位提供信息安全管理服務(wù)。間接型政策工具運(yùn)用成本相對(duì)較低，工具彈性更大，但管理效果不如直接型工具。該類政策工具主要包含管理契約和使用許可。

基礎(chǔ)型政策工具是政府利用各種手段和措施，為其他機(jī)構(gòu)或部門開展信息安全管理工作，提供必要的基礎(chǔ)設(shè)施等。該類政策工具主要包含基礎(chǔ)設(shè)施建設(shè)、法規(guī)制定、標(biāo)準(zhǔn)制定、管理制度建設(shè)和責(zé)任分配。

引導(dǎo)型政策工具是政府部門借助信息公開、宣傳教育和獎(jiǎng)賞鼓勵(lì)等多種引導(dǎo)手段，漸進(jìn)地培育其他信息安全管理主體的信息安全管理意識(shí)和能力。引導(dǎo)型政策工具以引導(dǎo)為主，具有較強(qiáng)的靈活性和運(yùn)用彈性。該類政策工具主要包含信息公開、宣傳教育和獎(jiǎng)賞鼓勵(lì)。

1.2 目標(biāo)維度

政策工具選擇和使用的目的，旨在實(shí)現(xiàn)某些特定政策目標(biāo)。意味著單純描述政策工具特征，無法呈現(xiàn)政策工具的作用方向和重點(diǎn)。因此，還需要對(duì)信息安全管理政策目標(biāo)維度展開分析。本研究整合既有研究，將信息安全管理政策目標(biāo)，分為物理環(huán)境安全、數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全5個(gè)目標(biāo)(見表2)。

表2 信息安全管理政策目標(biāo)分類與解釋

1.3 主體維度

信息安全管理是一個(gè)涉及多元主體的復(fù)雜過程，需要多主體協(xié)同合作。本研究引入社會(huì)系統(tǒng)論方法，來探討信息安全管理多主體的內(nèi)部結(jié)構(gòu)和社會(huì)環(huán)境的關(guān)系。應(yīng)用社會(huì)系統(tǒng)論探討個(gè)人信息保護(hù)體系內(nèi)部結(jié)構(gòu)與社會(huì)環(huán)境的適應(yīng)規(guī)律，協(xié)調(diào)多元利益主體，設(shè)立綜合治理模式治理個(gè)人信息泄露問題是必然趨勢(shì)[20]。研究表明在信息管理過程中，信息主體、信息收集者、公眾以及政府對(duì)個(gè)人信息的利益訴求呈現(xiàn)有機(jī)整體的特征，需要各主體之間進(jìn)行協(xié)調(diào)與平衡[21]。大數(shù)據(jù)時(shí)代，信息安全管理不再局限于信息主體的被動(dòng)保護(hù)，而是展現(xiàn)出對(duì)技術(shù)和監(jiān)管的倚重和關(guān)注[9]?；诖?，本研究結(jié)合社會(huì)系統(tǒng)論和信息管理變化，將技術(shù)和監(jiān)管納入主體維度。具體而言，主體維度包含信息主體、信息收集者、政府、公眾、技術(shù)和監(jiān)管。

1.4 外部特征

政策文本外部屬性特征，能夠反映信息安全管理政策的分布特征。本研究重點(diǎn)研討信息安全管理政策的政策主體和政策效力。政策主體分析，有助于明確信息安全管理政策的核心主導(dǎo)部門，同時(shí)呈現(xiàn)不同信息安全管理部門間的協(xié)同合作關(guān)系，為政策體系協(xié)同提供參考。政策效力是政策權(quán)威程度的重要體現(xiàn)，反映信息安全管理的政策保障力度。本研究參考學(xué)者政策效力研究成果，依據(jù)政策文本的發(fā)文單位層級(jí)，賦予政策文本相應(yīng)的分值。通常政策主體層級(jí)越高，政策效力越強(qiáng)[22]。本文借鑒孫文祥等關(guān)于政策效力等級(jí)劃分標(biāo)準(zhǔn)[23]，將信息安全管理政策效力賦值分為3個(gè)層級(jí)。具體賦分標(biāo)準(zhǔn)如表3所示。

表3 政策效力賦分標(biāo)準(zhǔn)

2 政策文本選擇與量化分析

2.1 數(shù)據(jù)來源

國(guó)際標(biāo)準(zhǔn)化組織(ISO)認(rèn)為信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏?？梢娦畔踩饕o態(tài)數(shù)據(jù)安全和網(wǎng)絡(luò)軟硬件安全。數(shù)據(jù)作為組成信息的核心元素，保障數(shù)據(jù)安全是實(shí)現(xiàn)信息安全的重要目標(biāo)。因此，結(jié)合文獻(xiàn)研究和政策文本條款，以“信息安全”“數(shù)據(jù)安全”“信息安全管理”和“數(shù)據(jù)安全管理”為關(guān)鍵詞，在北大法寶數(shù)據(jù)庫(kù)、威科先行法律信息庫(kù)、國(guó)家互聯(lián)網(wǎng)信息辦公室、中央政府各部委及直屬部門官網(wǎng)及進(jìn)行文本檢索。為保障政策文本選取的代表性和精準(zhǔn)性，按照以下原則篩選文本：一是強(qiáng)關(guān)聯(lián)性。政策文本須與信息安全管理直接相關(guān)，體現(xiàn)信息安全管理相關(guān)政策的措施。二是有效性。政策文本必須是公開頒布，并且現(xiàn)行有效的政策。政策制定和發(fā)布主體，以中央部門為主，以及全國(guó)性法律法規(guī)[24]。三是權(quán)威性。以省部級(jí)以上部門頒布的政策文本為主要對(duì)象。該類文本包含法律法規(guī)、規(guī)劃、綱要、辦法、意見、方案、通知和公告等，能夠體現(xiàn)政策意圖的文件[25]。結(jié)合數(shù)據(jù)檢索結(jié)果和上述原則，最終獲得有效政策樣本38份(見表4)。

表4 信息安全管理政策文本簡(jiǎn)表

2.2 政策文本編碼

本研究以上述政策為基礎(chǔ)，搭建文本數(shù)據(jù)庫(kù)。以政策為單位，將具體條款作為編碼的初始單元。按照“政策文本編碼-具體章/節(jié)編號(hào)-具體條款”規(guī)則，對(duì)分析樣本進(jìn)行內(nèi)容編碼。具體編碼示例如表5所示。此外，一項(xiàng)政策條款可能對(duì)應(yīng)多種政策工具。對(duì)待此類條款，采取多次編碼原則納入工具使用頻次。

表5 信息安全管理政策樣本編碼示例

2.3 政策文本量化分析

政策量化分析結(jié)果如表6所示。由表6可知，我國(guó)信息安全管理政策綜合運(yùn)用了直接型、間接型、基礎(chǔ)型和引導(dǎo)型政策工具。其中，基礎(chǔ)型政策工具使用最為頻繁，共計(jì)使用443次，占全部政策工具的67.1%。直接型和間接型政策工具均使用69次，占比為10.4%。引導(dǎo)型政策工具使用頻率最低，僅使用80次，占全部政策工具的12.1%?？梢?，基礎(chǔ)型政策工具是中央推動(dòng)信息安全管理工作的主要手段。

表6 政策工具使用情況

2.3.1信息安全管理政策工具維度

基礎(chǔ)型政策工具中，管理制度建設(shè)(155次)、責(zé)任歸屬(94次)使用頻繁，但法規(guī)制定占比僅為2.6%。可見，當(dāng)前政府信息安全管理，主要通過完善信息安全管理制度建設(shè)，明確管理責(zé)任主體。借由制度約束和責(zé)任壓力，推動(dòng)信息安全管理政策落地執(zhí)行。法規(guī)執(zhí)行政策工具的低頻使用，表明信息安全管理工作法規(guī)建設(shè)相對(duì)滯后。基礎(chǔ)型政策工具的使用差異，表明我國(guó)信息安全管理工作，尚且處在管理起步和推進(jìn)階段。

在間接型政策工具中，使用許可工具的使用頻次較高，占該類政策工具的71.1%。究其原因：一是政府借助委托授權(quán)和許可管理，能夠有效減輕政府資源和管理負(fù)擔(dān)。二是新興信息技術(shù)發(fā)展增強(qiáng)了各類主體的信息獲取能力。對(duì)政府機(jī)構(gòu)的信息安全管理技術(shù)能力提出了更高要求。此外，管理契約的使用頻次較低，在整體政策工具中僅占3.1%。在信息被重新定義和賦能情況下，與其他組織合作開展信息安全管理，存在弱化信息資源優(yōu)勢(shì)，泄露重要信息的危險(xiǎn)。因而，政府機(jī)構(gòu)對(duì)管理契約工具的使用，較為謹(jǐn)慎。

直接型政策工具，旨在通過強(qiáng)力管制和嚴(yán)格懲戒。拉高信息安全管理的違規(guī)成本和懲戒后果，以壓縮違規(guī)行為的發(fā)生空間。但數(shù)據(jù)表明，直接型政策工具使用匱乏，難以形成足夠規(guī)制效力。其中行政管制(38次)和規(guī)制罰款(31次)兩種政策工具，占全部政策工具比例僅為5.7%和4.7%。一方面表明政府對(duì)信息安全管理行為的管制力度不足，難以產(chǎn)生足夠威懾效力；另一方面規(guī)制罰款工具使用不足，意味著信息安全管理政策的懲戒力度弱。較低的違規(guī)成本和弱化的懲戒后果，難以有效規(guī)制信息安全違規(guī)行為的發(fā)生。

與直接型政策工具的外在規(guī)制和約束不同，引導(dǎo)型政策工具更注重內(nèi)生安全意識(shí)和管理能力的培育。但從引導(dǎo)型政策工具使用情況看，引導(dǎo)型政策工具使用尤為短缺和不足。僅占到全部政策工具的12.1%。在具體政策子工具使用中，獎(jiǎng)賞鼓勵(lì)政策工具使用頻次極低，這在很大程度上弱化了信息安全管理政策的激勵(lì)效果。同時(shí)信息公開政策工具低頻使用，意味著外部信息需求主體，難以獲得信息安全管理的有效信息。引導(dǎo)型政策工具使用不足，整體上弱化了信息安全管理政策的引導(dǎo)能力。未來應(yīng)當(dāng)在持續(xù)改進(jìn)宣傳教育工具基礎(chǔ)上，強(qiáng)化信息安全管理政策的引導(dǎo)和激勵(lì)功能。

2.3.2信息安全管理目標(biāo)維度

目標(biāo)維度從物理環(huán)境安全、數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全5個(gè)方面，展現(xiàn)政策工具分布特征(見圖2)。

圖2 政策目標(biāo)維度分析圖

從圖2可知，旨在實(shí)現(xiàn)數(shù)據(jù)安全的政策工具使用頻次最高，占全部政策工具的42.8%。其次是物理環(huán)境安全，工具使用占比23.2%。這表明，當(dāng)前我國(guó)信息安全管理政策重心，旨在保障信息安全管理的物理環(huán)境安全和數(shù)據(jù)安全。意圖通過大規(guī)模基礎(chǔ)設(shè)施建設(shè)和改造，來提升物理環(huán)境的保障程度。同時(shí)通過構(gòu)建大量數(shù)據(jù)安全管理制度、明確數(shù)據(jù)管理責(zé)任分配，確保數(shù)據(jù)安全。然而，作用于系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全的政策工具較少，所占比例僅為13.2%、5.4%和15.4%?？梢?，政策工具設(shè)計(jì)中，對(duì)信息安全管理系統(tǒng)層面、網(wǎng)絡(luò)層面和應(yīng)用層面的安全保障供給不足。

大數(shù)據(jù)時(shí)代，信息系統(tǒng)作為生產(chǎn)、存儲(chǔ)和應(yīng)用信息數(shù)據(jù)的載體。在信息安全管理中的作用，越加突出和重要。因而，政策設(shè)計(jì)中加強(qiáng)對(duì)系統(tǒng)安全和應(yīng)用安全目標(biāo)的工具供給，或成為未來政策完善的重要方面。此外，網(wǎng)絡(luò)作為信息生產(chǎn)、管理和使用的載體，對(duì)保障國(guó)家、社會(huì)和個(gè)人的信息安全至關(guān)重要。但從當(dāng)前信息安全管理政策工具應(yīng)用看，作用于網(wǎng)絡(luò)安全的政策工具極為匱乏。在整體政策工具中，僅有36個(gè)政策條款涉及網(wǎng)絡(luò)安全，工具使用比例僅占全部工具的5.4%。可見，政策工具與政策目標(biāo)之間存在一定的匹配偏差?？傮w而言，當(dāng)前信息安全管理政策，相對(duì)忽視數(shù)據(jù)信息的網(wǎng)絡(luò)安全和應(yīng)用安全。呈現(xiàn)出重?cái)?shù)據(jù)生產(chǎn)采集，輕數(shù)據(jù)管理應(yīng)用的特征。

2.3.3信息安全管理主體維度

主體維度分析中，政府型條款230條，使用頻次為34.8%；信息收集者條款179條。使用頻次為27.1%；監(jiān)管型條款131條。使用頻次為19.8%；技術(shù)型條款55條，使用頻次為8.3%；公眾型條款59條，使用頻次為8.9%；信息主體型條款12條，使用頻次為1.8%。

社會(huì)系統(tǒng)論認(rèn)為，社會(huì)系統(tǒng)與政策體系相互依賴、互為環(huán)境[26]。意味著政策體系中，社會(huì)系統(tǒng)各要素分布不均，會(huì)阻礙政策體系目標(biāo)實(shí)現(xiàn)。分析顯示，政府之外的信息安全管理主體尚未有效參與到信息安全管理工作，表明社會(huì)系統(tǒng)要素間缺乏有效協(xié)同。致使政府部門信息安全管理壓力極大，拉高了信息泄露的風(fēng)險(xiǎn)。在基礎(chǔ)設(shè)施持續(xù)完善情況下，信息安全監(jiān)管和技術(shù)保障，實(shí)際上是信息安全管理的關(guān)鍵。但當(dāng)前政策設(shè)計(jì)對(duì)技術(shù)層面和監(jiān)管層面的重視度不高。并且已有政策工具，以規(guī)劃設(shè)計(jì)類工具為主，具有實(shí)踐功效的工具嚴(yán)重不足。信息安全監(jiān)管依靠刻板的管理制度建設(shè)和責(zé)任分配，約束信息生產(chǎn)者。相對(duì)忽視了技術(shù)的監(jiān)管作用，以及對(duì)信息使用主體的監(jiān)管。綜合來看，信息安全管理政策實(shí)施，主要依賴政府部門，缺乏完善的技術(shù)監(jiān)管方式和能力。

圖3 政策主體維度分析圖

2.4 政策外部特征

對(duì)政策文本外部特征展開分析，能夠直觀地呈現(xiàn)政府部門間的政策協(xié)同程度和注意力分配。對(duì)政策效力的分析，能夠展現(xiàn)信息安全管理政策，所受到的關(guān)注程度和注意力分配。因此，從發(fā)文部門和政策效力兩方面，探討信息安全管理政策協(xié)同與注意力分配。

a.聯(lián)合發(fā)文。對(duì)政策發(fā)文單位進(jìn)行統(tǒng)計(jì)，結(jié)果顯示：工業(yè)和信息化部為核心主導(dǎo)部門，多次與其他部門聯(lián)合發(fā)文。國(guó)家互聯(lián)網(wǎng)信息辦公室、中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)、中國(guó)人民銀行、交通運(yùn)輸部、公安部等部門，部門構(gòu)成信息安全管理政策主導(dǎo)部門。為直觀呈現(xiàn)信息安全管理政策主體間的協(xié)同情況，利用UCINET和NTEDRAW軟件，生成政策主題間社會(huì)網(wǎng)絡(luò)關(guān)系圖。從網(wǎng)絡(luò)關(guān)系圖看，工業(yè)和信息化部位于網(wǎng)絡(luò)核心位置，相互間連接關(guān)系較多，表明工業(yè)和信息化部為核心部門。國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)改委、交通運(yùn)輸部、公安部、中國(guó)人民銀行等部門，相互間已經(jīng)產(chǎn)生政策協(xié)同。總體而言，信息安全管理政策主體協(xié)同，呈現(xiàn)為松散協(xié)同狀態(tài)，尚未形成緊密政策協(xié)同關(guān)系。

圖4 信息安全管理政策發(fā)文主體協(xié)同網(wǎng)絡(luò)

b.政策效力。從政策效力變化看，信息安全管理政策效力總體呈上升趨勢(shì)。表明信息安全管理逐步成為政府政策關(guān)注重點(diǎn)工作。信息安全管理政策效力分別在2010年、2012年、2017年和2021年，經(jīng)歷了四次較大幅度的增長(zhǎng)。結(jié)合具體政策文本可知，四次較大的政策效力變化，與重要政策文本頒布緊密相關(guān)。其中，2010年接連頒布了多份重要信息安全管理政策文本。2012年國(guó)務(wù)院出臺(tái)《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》，從頂層設(shè)計(jì)層面明確信息安全管理的基本方向和路線。2017年圍繞信息安全國(guó)家標(biāo)準(zhǔn)和工業(yè)控制系統(tǒng)信息安全，出臺(tái)了多份指導(dǎo)性政策文件。2021年全國(guó)人大常委會(huì)審議通過《中華人民共和國(guó)數(shù)據(jù)安全法》，將信息安全管理上升到法律高度。由此可知，重磅政策文件出臺(tái)及其擴(kuò)散效應(yīng)，是提高政策效力的關(guān)鍵。此外，信息安全管理政策效力變化趨勢(shì)表明?？傮w上信息安全獲得的注意力配置不斷增加，但存在過程上的震蕩。

圖5 信息安全管理政策效力變化圖

3 研究結(jié)論與建議

3.1 研究結(jié)論

通過不同維度分析，識(shí)別出信息安全管理政策存在的部分問題，具體有以下幾個(gè)：

a.偏重基礎(chǔ)設(shè)施建設(shè)完善，缺乏有效規(guī)制和引導(dǎo)教育。分析結(jié)果顯示，當(dāng)前我國(guó)信息安全管理，對(duì)基礎(chǔ)型政策工具，有著獨(dú)特的偏好。在政策工具使用頻次上，超出了其他三類政策工具的總和。意味著信息安全管理政策工具使用，存在較為嚴(yán)重的失衡現(xiàn)象。信息安全管理過程，囊括信息安全管理基礎(chǔ)設(shè)施供給、管理行為規(guī)制和懲戒，以及信息安全管理意識(shí)和能力的培育、行為的引導(dǎo)和教化。單純注重信息安全管理基礎(chǔ)型政策工具的使用，必定弱化對(duì)信息安全管理行為的規(guī)制、違規(guī)行為懲戒力度和信息安全管理教育引導(dǎo)。大數(shù)據(jù)時(shí)代，信息資源安全，對(duì)國(guó)家、社會(huì)和個(gè)人的重要性持續(xù)提高。因此，政策設(shè)計(jì)層面的工具傾向性，不利于新時(shí)代信息安全管理工作推進(jìn)。尤其是信息技術(shù)發(fā)展，賦予了信息主體獲取信息的更多方式。要求信息安全政策工具設(shè)計(jì)，必須要走向全面化、系統(tǒng)化。

b.注重物理環(huán)境與數(shù)據(jù)安全，忽視網(wǎng)絡(luò)系統(tǒng)和應(yīng)用安全。信息安全管理至少包含生產(chǎn)安全、存儲(chǔ)管理安全與應(yīng)用安全。任何環(huán)節(jié)安全問題出現(xiàn)，都可能誘生信息安全風(fēng)險(xiǎn)。因此，信息安全管理政策工具，應(yīng)當(dāng)相對(duì)均衡地分布在不同階段目標(biāo)。但研究結(jié)果表明，當(dāng)前信息安全管理重點(diǎn)是保障物理環(huán)境安全和數(shù)據(jù)安全。作用在物理環(huán)境安全和數(shù)據(jù)安全的政策工具，占全部政策工具的66%。足以說明，基礎(chǔ)設(shè)施、存儲(chǔ)介質(zhì)、環(huán)境安全、數(shù)據(jù)安全，構(gòu)成政府信息安全管理的核心目標(biāo)。而作用在系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全的政策工具，僅占到全部政策工具的34%?？梢?，我國(guó)目前在信息生產(chǎn)和存貯安全管理方面保障力度大、安全程度高。但在信息傳輸、應(yīng)用階段，保障力度不足，存在較大信息安全管理風(fēng)險(xiǎn)。

c.多元主體參與不足，技術(shù)與監(jiān)管發(fā)展緩慢。從政策主體維度看，信息安全管理涉及信息生產(chǎn)者、信息收集者、政府、公眾、技術(shù)主體與監(jiān)管主體等多元參與者。信息安全管理政策理應(yīng)明確多元主體在信息安全管理中的協(xié)同合作標(biāo)準(zhǔn)與責(zé)任分擔(dān)。然而，當(dāng)前信息安全管理政策針對(duì)政府主體的條款規(guī)定數(shù)量較多，對(duì)其他政策主體信息安全管理責(zé)任的規(guī)定相對(duì)較少。從而導(dǎo)致信息安全管理壓力向政府主體傾斜。信息化時(shí)代，企業(yè)單位、社會(huì)公眾、社會(huì)組織等都是信息安全管理的核心主體。多元主體也是信息安全管理的責(zé)任主體。信息安全管理壓力向政府主體的過度傾斜，極易導(dǎo)致政府主體管理不善而產(chǎn)生信息安全管理風(fēng)險(xiǎn)。因此在政策制定中，必須將更多主體納入信息安全管理過程，合理分擔(dān)管理壓力和責(zé)任。此外，作用在技術(shù)要素的工具，大多停留在技術(shù)規(guī)劃層面，缺乏可操作性和執(zhí)行性。作用于監(jiān)管要素的工具，將監(jiān)管制度建設(shè)作為主要手段。監(jiān)管效果不佳?？梢姡夹g(shù)和監(jiān)管要素發(fā)展緩慢，降低了信息安全管理政策執(zhí)行效果。

3.2 研究建議

為更好地發(fā)揮政策對(duì)信息安全管理的引導(dǎo)、調(diào)控服務(wù)功能，保障信息安全管理可持續(xù)，提出以下研究建議：

a.優(yōu)化政策工具設(shè)計(jì)，強(qiáng)化信息安全攻防能力。首先，制定信息安全發(fā)展規(guī)劃，深化頂層政策設(shè)計(jì)。當(dāng)前我國(guó)信息安全管理仍舊缺乏來自頂層設(shè)計(jì)的有效指導(dǎo)，權(quán)威性政策文件極為匱乏。建議在2021年《數(shù)據(jù)安全法》的基礎(chǔ)上，一方面參考五年發(fā)展規(guī)劃經(jīng)驗(yàn)，制定信息安全管理發(fā)展規(guī)劃。規(guī)劃信息安全管理的近期、中期和遠(yuǎn)期發(fā)展目標(biāo)，做好重大信息安全管理建設(shè)項(xiàng)目、信息產(chǎn)業(yè)發(fā)展布局、信息技術(shù)及其治理的指導(dǎo)工作，為信息安全管理發(fā)展刻畫清晰路徑；另一方面政策制定者要保持對(duì)信息行業(yè)發(fā)展和關(guān)鍵技術(shù)領(lǐng)域的關(guān)注。在此基礎(chǔ)上持續(xù)深化頂層設(shè)計(jì)的層次和要素，強(qiáng)化頂層設(shè)計(jì)和信息安全管理需求的契合性。提高政策設(shè)計(jì)與現(xiàn)實(shí)需求的聯(lián)結(jié)強(qiáng)度，增加政策可操作性而促使信息安全政策發(fā)揮實(shí)效。其次，打造信息安全人才隊(duì)伍，提高信息安全攻防能力。信息系統(tǒng)建設(shè)管理、信息網(wǎng)絡(luò)維護(hù)與保障，以及信息的安全應(yīng)用與傳輸，最終都需要依賴高素質(zhì)專業(yè)技術(shù)人員。矛盾在于，當(dāng)前信息安全管理政策，鮮有提及人才隊(duì)伍建設(shè)和技術(shù)人才培育。缺乏對(duì)信息安全管理人才隊(duì)伍建設(shè)、支持政策、待遇保障的詳細(xì)表述。由此，未來信息安全管理政策應(yīng)當(dāng)提高對(duì)人才隊(duì)伍建設(shè)的關(guān)注和支持。此外，還需加強(qiáng)信息安全攻防能力建設(shè)。一方面加快建設(shè)信息威脅和研判的情報(bào)機(jī)構(gòu)建設(shè)，尤其是謀劃布局重要行業(yè)產(chǎn)業(yè)領(lǐng)域情報(bào)機(jī)構(gòu)建設(shè)；另一方面要重視信息安全風(fēng)險(xiǎn)評(píng)估，對(duì)內(nèi)開發(fā)信息安全攻防新技術(shù)，對(duì)外要提升信息安全國(guó)際話語權(quán)和影響力[7]。

b.豐富政策工具箱，調(diào)整政策目標(biāo)重心。首先，豐富信息安全管理政策工具箱。一方面結(jié)合不同部門、不同層級(jí)信息安全管理需求和現(xiàn)狀，確保政策工具供給數(shù)量與實(shí)際需求的契合性；另一方面適度增加管制懲戒類和委托許可類政策工具，提高兩類政策工具的可運(yùn)用程度。具體而言：第一，政府應(yīng)當(dāng)適度增加行政管制和規(guī)制懲戒工具的使用，以提高信息安全管理政策的規(guī)制效力，有效威懾和遏制信息安全風(fēng)險(xiǎn)行為。第二，政府還需要適度增加管理契約和使用許可類政策工具。比如，賦予專業(yè)管理機(jī)構(gòu)管理權(quán)限，以降低管理負(fù)擔(dān)。第三，改善引導(dǎo)型政策工具匱乏局面。適度增加有關(guān)信息安全方面的信息公開、宣傳教育和獎(jiǎng)賞鼓勵(lì)等政策條款。通過教育引導(dǎo)和獎(jiǎng)勵(lì)引導(dǎo)，激活多元主體參與信息安全管理的意識(shí)和能力。其次，正視政策工具偏差，調(diào)整目標(biāo)重心。大數(shù)據(jù)時(shí)代，信息安全管理政策制定與工具設(shè)計(jì)，應(yīng)當(dāng)緊隨管理需求的變化。在保障物理環(huán)境和數(shù)據(jù)安全基礎(chǔ)上，逐步重視起系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用層面的安全保障工作。既要為系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用安全，供給更多優(yōu)質(zhì)政策工具。同時(shí)也要將信息安全政策目標(biāo)系統(tǒng)化，將物理環(huán)境與數(shù)據(jù)安全，同系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用安全結(jié)合起來。建構(gòu)起五位一體的政策目標(biāo)體系，以保障信息安全管理的系統(tǒng)化和整體性。規(guī)避目標(biāo)偏離，導(dǎo)致的信息安全風(fēng)險(xiǎn)。

c.統(tǒng)籌政策制定主體，推進(jìn)跨部門信息協(xié)作。充分發(fā)揮政府統(tǒng)籌協(xié)調(diào)功能，合理配置信息安全管理資源。一方面政府在政策制定、論證和發(fā)布過程，賦予多元主體參與、建議和討論的合法權(quán)利和途徑。充分調(diào)度各類社會(huì)主體參與信息安全管理工作；另一方面在政策條款設(shè)計(jì)中，要明確將相關(guān)主體納入信息安全管理主體范疇，確立多元主體參與信息安全管理的合法性基礎(chǔ)。與此同時(shí)，通過設(shè)置信息安全管理研究項(xiàng)目、研究資助基金等方式，引導(dǎo)多元主體關(guān)注信息安全管理。以項(xiàng)目研究的形式，吸納社會(huì)專業(yè)力量和知識(shí)，為信息安全管理體系建設(shè)供給知識(shí)基礎(chǔ)。此外，政府信息安全管理政策制定和出臺(tái)要確保具有連續(xù)性、繼承性和發(fā)展性，避免頒布重復(fù)性政策文件。對(duì)信息安全管理政策出臺(tái)，要充分考量已有政策目標(biāo)是否實(shí)現(xiàn)、是否與上級(jí)政策存在沖突、重復(fù)。以此來提高信息安全管理的政策協(xié)同程度，提升信息安全管理政策可持續(xù)發(fā)展能力。