時穎惠 薛翔

摘?要：[目的/意義]信息安全政策的制定是我國網(wǎng)絡(luò)強國戰(zhàn)略的重要一環(huán)，分析我國信息安全政策的特征和工具，對今后信息安全研究及政策優(yōu)化具有重要意義。[方法/過程]對81份信息安全政策進(jìn)行編碼統(tǒng)計，基于文本分析方法及政策工具理論，分析信息安全政策的政策外部特征、政策主題特征以及政策工具分布。[結(jié)果/結(jié)論]對今后信息安全政策制定提出3點建議，分別是進(jìn)一步完善信息安全政策內(nèi)容、優(yōu)化信息安全政策工具結(jié)構(gòu)、增進(jìn)政策制定主體統(tǒng)籌協(xié)作。

關(guān)鍵詞：信息安全政策;政策文本分析;政策工具;文本計量;內(nèi)容分析

DOI：10.3969/j.issn.1008-0821.2022.01.013

〔中圖分類號〕G203?〔文獻(xiàn)標(biāo)識碼〕A?〔文章編號〕1008-0821（2022）01-0130-09

Abstract：[Purpose/Significance]Information security policy provides policy means to ensure information security.Analyzing the main characteristics and tools of information security policy has important significance for future information security research and policy optimization.[Method/Process]Based on the method of text analysis and the theory of policy tool，coding statistics on 81 national information security policies were made，and policy external characteristics，policy theme characteristics and policy tool distribution of information security policies were analyzed.[Result/Conclusion]Three suggestions were put forward for the formulation of information security policy in the future，namely，further improvement of?the content of information security policy，optimization of the structure of information security policy tools，and enhancement of the coordination of policy makers.

Key words：information security policy;policy text analysis;policy tools;text measurement;content analysis

當(dāng)前，隨著5G、物聯(lián)網(wǎng)等新一代信息技術(shù)的蓬勃興起，我國信息化進(jìn)入加速發(fā)展階段，基于信息網(wǎng)絡(luò)的應(yīng)用融合、產(chǎn)業(yè)創(chuàng)新逐漸滲透到政治、經(jīng)濟、科技、軍事等各個領(lǐng)域，保障信息安全已成為促進(jìn)經(jīng)濟發(fā)展、保障社會運行以及維護國家安全的重要戰(zhàn)略任務(wù)。所謂信息安全，是指國家、企業(yè)、個人的信息空間、信息載體及信息資源不受來自內(nèi)外的各種形式的危害[1]，在國家發(fā)展、人民生活中占據(jù)著重要地位。習(xí)近平總書記在全國網(wǎng)絡(luò)安全和信息化工作會議中多次強調(diào)要樹立正確的網(wǎng)絡(luò)安全觀，加強網(wǎng)絡(luò)信息安全統(tǒng)籌機制。黨和國家高度重視信息安全政策的出臺和實施，制定了《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》《中華人民共和國網(wǎng)絡(luò)安全法》等一系列政策為引導(dǎo)和規(guī)范信息化健康有序發(fā)展、提高我國信息安全保障能力提供有力支撐。

信息安全政策作為保障信息安全的有效管理手段，也引起了學(xué)術(shù)界的廣泛關(guān)注。早期國內(nèi)對信息安全政策的研究聚焦在信息安全政策體系的構(gòu)建，高思靜等從系統(tǒng)論角度將信息安全政策體系劃分為網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、數(shù)據(jù)、物理環(huán)境安全政策[2-3]，這類研究偏向于將政策體系置于宏觀框架內(nèi)進(jìn)行分析，忽視了信息安全政策的具體政策目標(biāo)和手段，針對性略顯不足。近些年隨著隱私問題、大數(shù)據(jù)問題等逐漸進(jìn)入公眾視野，關(guān)于個人信息安全、數(shù)據(jù)安全的研究成為信息安全政策研究熱點，不少學(xué)者對健康應(yīng)用隱私政策、政務(wù)應(yīng)用隱私政策、醫(yī)療數(shù)據(jù)安全政策、政府開放數(shù)據(jù)安全政策等具體領(lǐng)域展開研究[4-7]，分析這些政策在各領(lǐng)域中的效果，但對于如何改善整體的信息安全政策內(nèi)容并未給出合理建議。相較而言，國外針對信息安全政策的分析更貼近于實證研究，關(guān)于政策的有效性和遵從性是政策研究中最廣泛的部分[8]，如組織文化、安全意識、內(nèi)部群體、外部環(huán)境等主題被視為影響信息安全政策實施的關(guān)鍵要素[9-12]。

總體來看，目前國內(nèi)學(xué)者基本從國家宏觀或某一領(lǐng)域?qū)用鎸φ哌M(jìn)行分析，少有對我國信息安全政策進(jìn)行全面系統(tǒng)的梳理;國外的實證分析多是從組織和個人層面對政策影響因素進(jìn)行探究，缺乏對政策本身內(nèi)容及主題的量化分析。作為政策研究的重要范式，政策文本分析以政策主體、政策工具等為研究對象，用量化的方式深入描述和分析政策文本條例，對于政策的解釋、解讀及落實具有重要的現(xiàn)實意義。從文本分析的角度切入我國信息安全政策研究，既拓展了政策文本分析的應(yīng)用領(lǐng)域，也為我國信息安全政策制度的優(yōu)化提供了方法論指導(dǎo)。因此，本文擬應(yīng)用計量學(xué)和內(nèi)容分析方法以及政策工具理論，對收集整理的81份信息安全政策文本進(jìn)行量化分析，探究信息安全政策的外部特征、主題特征以及政策工具分布特征，把握信息安全政策整體變遷趨勢，挖掘信息安全政策實施要點，為我國信息安全政策的工具選擇和制定優(yōu)化提供行之有效的建議。

1?研究設(shè)計

1.1?政策文本收集

在政策收集之前，首先要明確信息安全在政策中的常用表述。2012年國務(wù)院發(fā)布的《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》中，多次提到“網(wǎng)絡(luò)與信息安全”，將“信息安全”和“網(wǎng)絡(luò)安全”交替使用。因此為保證政策數(shù)據(jù)的全面性，本文分別以“信息安全”和“網(wǎng)絡(luò)安全”以檢索詞，在國務(wù)院及其下屬各部門官方網(wǎng)站進(jìn)行搜索，并在北大法寶數(shù)據(jù)庫和北大法意數(shù)據(jù)庫進(jìn)行補充檢索，最后在CNKI相關(guān)文獻(xiàn)中對提及的政策文件進(jìn)行回溯檢索。

為保證政策內(nèi)容與信息安全主題高度契合，按照以下標(biāo)準(zhǔn)進(jìn)行政策篩選：首先，選擇中央層面發(fā)布的國家政策，包括國務(wù)院、國務(wù)院各部委及直屬機構(gòu)，不包括省市級政府文件以及非政府層面文件;其次，政策文本內(nèi)容需要與信息安全主題密切相關(guān)，需要直接體現(xiàn)保障信息安全的手段和措施，不包括僅在正文提及信息安全或網(wǎng)絡(luò)安全的政策;第三，所選政策主要是相關(guān)法律、法規(guī)、辦法等各類文件，不包括回函、批復(fù)等非正式?jīng)Q策文件。按照以上方法，截至2021年1月1日，篩選出81份國家層面信息安全政策文件作為樣本，按照時間順序進(jìn)行編號，如表1所示。

1.2?研究方法及理論

本文應(yīng)用計量學(xué)方法和內(nèi)容分析法，揭示政策演化的邏輯和路徑，梳理政策內(nèi)容的目標(biāo)和手段。計量法是以數(shù)學(xué)和統(tǒng)計學(xué)方法為基礎(chǔ)，利用推理和比較的方法對文獻(xiàn)的分布趨勢進(jìn)行預(yù)測[13]。計量法的研究對象主要是文獻(xiàn)外部特征，比如發(fā)文機構(gòu)、發(fā)文時間、發(fā)文期刊等顯性信息內(nèi)容，以此分析文獻(xiàn)的某種結(jié)構(gòu)、特征和規(guī)律，研究文獻(xiàn)整體的運動變化。內(nèi)容分析法一般被用來解讀單個文本或者一定數(shù)量文本的集合，研究文本中某些詞或者概念、范疇是否出現(xiàn)以及出現(xiàn)了多少次，從而就文本里的信息進(jìn)行推斷。內(nèi)容分析法的應(yīng)用兼具顯性知識的統(tǒng)計分析和隱性文本的知識分析，從文本中詞語或者概念出發(fā)去解釋社會現(xiàn)實[14]。

政策工具理論常被用來分析和解讀政策，政策工具是指實現(xiàn)政策目標(biāo)的手段和途徑。眾多學(xué)者從不同的角度對政策工具進(jìn)行劃分，其中最著名的是Rothwell R等的劃分理論，即根據(jù)政策工具的著力面劃分為供給型、環(huán)境型和需求型3種政策工具[15]。供給型政策工具指政府直接為信息安全相關(guān)活動供給資金、人才、技術(shù)、基礎(chǔ)設(shè)施等要素[16];環(huán)境型政策工具一般是政府采取目標(biāo)規(guī)劃、法規(guī)管制等措施，保障信息安全發(fā)展環(huán)境的健康有序[17];需求型政策工具則是政府采取試點、外包、合作等措施促進(jìn)信息安全市場的繁榮，從市場需求角度干預(yù)信息安全[18]。表2展示了信息安全政策中具體政策工具的含義。

2?研究結(jié)果

2.1?政策外部特征

2.1.1?發(fā)文時間分析

根據(jù)發(fā)文時間，以5年為單位，統(tǒng)計1990—2020年國家層面信息安全政策的發(fā)文時間，如圖1所示，政策頒布數(shù)量整體呈現(xiàn)前期平穩(wěn)上升、后期明顯增量的趨勢，年均政策頒布量2.61件，最高達(dá)到11件。信息安全政策始終在國家的政治生態(tài)與政策運行中占有一席之地，且隨著信息化的普及和國民經(jīng)濟的發(fā)展，黨和政府對信息安全的關(guān)注不斷增加，其發(fā)展歷程主要歷經(jīng)3個階段。

1990—2000年是我國信息安全政策的萌芽階段，也是我國信息化的起步時期。信息安全政策于20世紀(jì)末進(jìn)入我國政治生態(tài)，1994年我國正式接入國際互聯(lián)網(wǎng)[19]，為加強計算機系統(tǒng)設(shè)備管理，保障網(wǎng)絡(luò)運行安全可控，同年國務(wù)院發(fā)布《中華人民共和國計算機信息系統(tǒng)安全保護條例》首次建立信息安全管理的框架，從安全保護制度、安全監(jiān)督、法律責(zé)任等方面明確了計算機信息系統(tǒng)運行及服務(wù)的保護措施。在促進(jìn)互聯(lián)網(wǎng)建設(shè)和信息技術(shù)普及的過程中，中央高度重視為互聯(lián)網(wǎng)的健康發(fā)展創(chuàng)造良好的社會環(huán)境，于2000年頒布了我國信息安全領(lǐng)域首部法律《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》，就互聯(lián)網(wǎng)犯罪進(jìn)行了全面的法律界定。

2001—2010年是信息安全政策的探索階段。進(jìn)入21世紀(jì)，受到全球信息化浪潮的影響，國民經(jīng)濟和工業(yè)生產(chǎn)都發(fā)生了革命性變化，為迎接時代轉(zhuǎn)軌帶來的信息化挑戰(zhàn)，我國開始出臺具有戰(zhàn)略意義的信息安全政策文件，為政府網(wǎng)絡(luò)工程、企業(yè)網(wǎng)絡(luò)應(yīng)用、信息基礎(chǔ)設(shè)施等做好安全部署工作。2003年《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》提出了10個層面的信息安全部署，包括實行信息安全等級保護、加強信息安全技術(shù)研究、加快信息安全人才培養(yǎng)、加強信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)等。隨后，在該意見的指導(dǎo)下，公安部等部門陸續(xù)出臺具體的信息安全等級保護、互聯(lián)網(wǎng)安全保護技術(shù)等一系列措施。

2011—2020年是信息安全政策的穩(wěn)定發(fā)展階段。近10年來，大數(shù)據(jù)技術(shù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等新技術(shù)和新應(yīng)用不斷發(fā)展，這一階段信息安全的內(nèi)涵和外延更加豐富，囊括信息安全產(chǎn)業(yè)、信息安全標(biāo)準(zhǔn)、信息安全威脅、個人信息安全等諸多重點[20-21]。為了有針對性地推進(jìn)信息安全工作、健全我國信息安全保障體系，2012年國務(wù)院發(fā)布《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》，在工業(yè)控制系統(tǒng)安全、信息資源和個人信息保護、云計算安全技術(shù)和標(biāo)準(zhǔn)等多領(lǐng)域提出兼具指導(dǎo)性和操作性的科學(xué)規(guī)劃。2013年末，黨的十八屆三中全會提出要加大依法管理網(wǎng)絡(luò)的力度，進(jìn)一步做好國家網(wǎng)絡(luò)和信息安全工作。隨后，相關(guān)政策文件頒布數(shù)量逐年增加，并在2014年達(dá)到高峰，為《中華人民共和國網(wǎng)絡(luò)安全法》的出臺奠定了法理基礎(chǔ)。2016年《網(wǎng)絡(luò)安全法》正式通過，是我國網(wǎng)絡(luò)安全治理的重要里程碑，和其他相關(guān)政策互為呼應(yīng)，共同構(gòu)成我國信息安全政策制度的綜合框架，此后政策數(shù)量稍有減少，政策發(fā)展進(jìn)入穩(wěn)定期。

2.1.2?發(fā)文機構(gòu)分析

國務(wù)院、工業(yè)和信息化部、公安部、國家發(fā)展和改革委員會等共計35個機構(gòu)參與信息安全政策制定，表3展示了發(fā)布政策超過3份的機構(gòu)?？傮w上看，信息安全政策發(fā)文機構(gòu)較多，這是因為信息安全政策涉及信息發(fā)展、安全治理、體制改革等多方面內(nèi)容，單靠某一機構(gòu)的力量難以確立健全、科學(xué)、有效的政策制度。因此，諸多部門依據(jù)其職能從不同的層面應(yīng)對相應(yīng)信息安全問題。從時間線上看，政策的頒布作為國家公權(quán)力的過渡與賦予，體現(xiàn)出不同機構(gòu)之間權(quán)力與職能的變遷。在萌芽期，國務(wù)院作為制定權(quán)威信息安全政策的機構(gòu)，統(tǒng)領(lǐng)全國信息化工作;在探索期，我國信息化管理體制不斷改革，信息安全管理的權(quán)責(zé)從國務(wù)院的國家信息化工作領(lǐng)導(dǎo)小組幾經(jīng)轉(zhuǎn)移到工業(yè)和信息化部;2014年2月成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組（現(xiàn)更名為中國共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會），成為總攬安全戰(zhàn)略的最高決策小組。在網(wǎng)絡(luò)空間日益成為國家競爭新焦點的背景下，組織架構(gòu)上的統(tǒng)籌協(xié)調(diào)不僅關(guān)乎信息安全政策制定的行政責(zé)任，還關(guān)系到國家信息實力的戰(zhàn)略部署。領(lǐng)導(dǎo)小組的成立對我國信息安全工作提出了新的要求，立足新時期，各機構(gòu)在砥礪前行之時，需要注重協(xié)同和配合，積極推動信息安全提質(zhì)增效。

2.2?政策主題特征

2.2.1?詞頻分析

詞頻分析是文本內(nèi)容分析的重要手段之一，一般有兩種統(tǒng)計方式，一種是考慮詞語出現(xiàn)的自然頻率;另一種是兼顧詞語出現(xiàn)的次數(shù)和詞語在文本中的重要程度，即詞語出現(xiàn)的相對頻率[22]。本文采取后一種方式，使用NLPIR分詞對81份政策文本進(jìn)行分詞，將詞語出現(xiàn)的次數(shù)和詞語在文本中的重要程度綜合計算出詞語的權(quán)重，權(quán)重越高，說明該詞在文本中越關(guān)鍵。在分詞階段，根據(jù)文本的具體內(nèi)容構(gòu)建用戶詞典和停用詞表，用戶詞典中規(guī)定“信息系統(tǒng)”“個人信息”“移動互聯(lián)網(wǎng)”等詞匯無需切分，停用詞表中設(shè)置與語義無關(guān)的詞匯和標(biāo)點不計入分詞結(jié)果。在統(tǒng)計詞頻時，根據(jù)需要人工建立同義詞庫，將一些表達(dá)相近的詞匯進(jìn)行合并，比如“人才培養(yǎng)”和“人才培訓(xùn)”統(tǒng)一轉(zhuǎn)化成“人才培養(yǎng)”，“計算機系統(tǒng)”和“計算機信息系統(tǒng)”統(tǒng)一轉(zhuǎn)化成“計算機系統(tǒng)”。表4是政策文本中權(quán)重前20的關(guān)鍵詞。

關(guān)鍵詞可歸為3類，第一類是信息安全專業(yè)名詞，包括信息系統(tǒng)、網(wǎng)絡(luò)、信息、系統(tǒng)、數(shù)據(jù)、技術(shù)、安全、信息化、互聯(lián)網(wǎng)、應(yīng)用、個人信息;第二類是措施類動詞，包括服務(wù)、管理、建設(shè)、開展、發(fā)展;第三類是普通名詞，包括國家、企業(yè)、組織、單位。從專業(yè)名詞來看，信息系統(tǒng)是信息安全政策中權(quán)重最高的主題，大量政策圍繞信息系統(tǒng)的建設(shè)和管理展開，通過制定系統(tǒng)安全審查制度、完善系統(tǒng)應(yīng)急預(yù)案等多種措施保障關(guān)鍵信息系統(tǒng)安全。網(wǎng)絡(luò)、信息、數(shù)據(jù)、技術(shù)這些關(guān)鍵詞也排在前列，這是因為信息安全問題已經(jīng)從傳統(tǒng)的網(wǎng)絡(luò)運行和信息設(shè)備安全問題拓展到了包含網(wǎng)絡(luò)安全、技術(shù)安全、數(shù)據(jù)安全、應(yīng)用安全等諸多內(nèi)容的綜合安全問題。從措施類動詞來看，當(dāng)前政策對信息安全的支持方式以管理、發(fā)展等直接手段為主，在教育、評估等方式上較為缺乏，考慮到信息安全工作的后續(xù)完善及長期開展，應(yīng)當(dāng)根據(jù)政策需要納入相應(yīng)的人員教育、工作評估等措施。

2.2.2?詞云可視化

將關(guān)鍵詞以詞云的形式進(jìn)行可視化展示，以期發(fā)現(xiàn)信息安全政策文本背后話語秩序，理解政策的目標(biāo)、對象、手段等核心內(nèi)容。如圖2所示，根據(jù)囊括信息安全專業(yè)名詞、措施類動詞以及普通名詞的詞云，厘清我國信息安全政策七大主題：第一，保障信息系統(tǒng)和信息網(wǎng)絡(luò)安全。在教育、農(nóng)業(yè)、金融等重點領(lǐng)域建設(shè)信息系統(tǒng)與信息網(wǎng)絡(luò)，加強監(jiān)督檢查和風(fēng)險管理，防止重點領(lǐng)域運轉(zhuǎn)失靈。第二，確保工業(yè)控制系統(tǒng)安全。明確工業(yè)控制系統(tǒng)信息安全管理要求，促進(jìn)工控系統(tǒng)安全標(biāo)準(zhǔn)的規(guī)范化，建立健全工控系統(tǒng)管理制度。第三，保護政府涉密平臺。在公安機關(guān)、黨政機關(guān)等部門涉密平臺，加強數(shù)據(jù)安全和信息保密，嚴(yán)格遵守等級保護和網(wǎng)絡(luò)安全防護。第四，重視安全監(jiān)管以應(yīng)對網(wǎng)絡(luò)安全事件。強化監(jiān)測技術(shù)，完善信息安全監(jiān)管體制，加大對網(wǎng)絡(luò)犯罪行為的監(jiān)管力度。第五，規(guī)范移動互聯(lián)網(wǎng)。明確移動互聯(lián)網(wǎng)行業(yè)規(guī)范，嚴(yán)禁移動互聯(lián)網(wǎng)惡意程序和安全隱患產(chǎn)品，保障消費者安全。第六，推動技術(shù)攻關(guān)。重視物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等新一代信息技術(shù)，組織技術(shù)專項，鼓勵技術(shù)成果轉(zhuǎn)化和應(yīng)用，推動信息產(chǎn)業(yè)創(chuàng)新發(fā)展。第七，保障個人信息安全。明確個人信息收集、使用及存儲的規(guī)范標(biāo)準(zhǔn)，健全個人信息保護法規(guī)，嚴(yán)厲打擊危害公民個人信息行為。

2.3?政策工具分析

2.3.1?政策工具編碼

本文使用Nvivo 11 Plus質(zhì)性分析軟件對政策文本中涉及政策工具的內(nèi)容進(jìn)行編碼、歸類及量化。首先，以政策條款為最小分析單元，按照“政策編號—要點序號”進(jìn)行逐條編碼，如表5所示，在Nvivo中設(shè)置對應(yīng)參考點;其次，根據(jù)條款內(nèi)容歸納工具屬性，明確具體的工具名稱，形成一級和二級節(jié)點;最后，統(tǒng)計節(jié)點分布，將質(zhì)性文本內(nèi)容轉(zhuǎn)化為可供量化分析的數(shù)據(jù)材料。為提高編碼精確度，先由兩名研究者遵循統(tǒng)一編碼和不可細(xì)分的原則分別進(jìn)行預(yù)編碼，并對編碼不一致的地方進(jìn)行共同討論直到達(dá)成共識。政策工具節(jié)點統(tǒng)計結(jié)果如表6所示，最終形成13個政策工具節(jié)點，共計1 339條參考點?？傮w上看，我國信息安全政策對政策工具的使用比較全面，兼顧了供給型、環(huán)境型和需求型政策工具的綜合使用。其中，環(huán)境型政策工具使用最多，占比54.14%，供給型政策工具使用次之，占比35.85%，需求型政策工具使用最少，占比10.01%。這表明政府更傾向于通過采取間接性手段調(diào)控宏觀環(huán)境，以保障信息化有序發(fā)展。

2.3.2?政策工具分布特征

1）供給型政策工具

在供給型政策工具內(nèi)部，信息基礎(chǔ)設(shè)施（15.61%）和技術(shù)支持（15.16%）二者在信息安全政策內(nèi)容中占據(jù)重要位置。信息基礎(chǔ)設(shè)施建設(shè)的迫切性與社會的信息化發(fā)展密切相關(guān)，一方面，傳統(tǒng)基建處于逐漸飽和的狀態(tài)，邊際效用在不斷下降，重復(fù)建設(shè)容易導(dǎo)致經(jīng)濟結(jié)構(gòu)失衡，需要挖掘新的經(jīng)濟增長點;另一方面，隨著信息流和數(shù)據(jù)流的滲透，信息化成為承載國民經(jīng)濟的重要基礎(chǔ)條件，引領(lǐng)企業(yè)向數(shù)字化、智能化方向發(fā)展的信息基礎(chǔ)設(shè)施為產(chǎn)業(yè)轉(zhuǎn)型帶來新的可能性。《網(wǎng)絡(luò)安全法》專門建立關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度，將信息基礎(chǔ)設(shè)施的具體范圍和保護辦法作為立法重點。技術(shù)支持是信息安全發(fā)展的另一大推動力，從實踐層面來看，核心技術(shù)的突破，有利于打造安全可靠的網(wǎng)絡(luò)通信設(shè)施，推動云計算、物聯(lián)網(wǎng)、5G等新興技術(shù)在關(guān)鍵產(chǎn)業(yè)及領(lǐng)域的應(yīng)用。在信息化亟需突破的當(dāng)下，信息基礎(chǔ)設(shè)施建設(shè)和信息技術(shù)支持作為相輔相成的政策手段，有助于為信息安全發(fā)展注入持續(xù)動力。此外，資金支持和人才支持這兩類政策工具使用頻率明顯較低，占比僅為1.79%和3.29%，這表明政府在信息安全領(lǐng)域的資金和人才投入力度遠(yuǎn)遠(yuǎn)不夠。資金支持的優(yōu)勢在于具有定向性，人才投入的效果則具有長期性，這兩個政策工具應(yīng)當(dāng)大幅度增加。

2）環(huán)境型政策工具

環(huán)境型政策工具整體占比超過一半，作為一種間接的影響手段，格外受到政策主體的青睞。在環(huán)境型政策工具中，法規(guī)管制（26.29%）是政府最常用的約束性手段。近年來，信息資源與關(guān)鍵信息基礎(chǔ)設(shè)施作為國家發(fā)展戰(zhàn)略資源的重要性日益凸顯，國際國內(nèi)信息威脅、侵害和誤導(dǎo)的破壞程度隨之?dāng)U大，因此政府往往通過制定強有力的管制措施起到威懾作用。但是法規(guī)管制作為一種直接的行政干預(yù)手段，在短期內(nèi)見效的同時破壞了市場的自我調(diào)節(jié)和良性發(fā)展，應(yīng)當(dāng)減少頻繁使用。安全規(guī)范（18.00%）是政府面向新一代互聯(lián)網(wǎng)產(chǎn)業(yè)和服務(wù)設(shè)置規(guī)范化的安全標(biāo)準(zhǔn)，包括行為標(biāo)準(zhǔn)、程序標(biāo)準(zhǔn)、內(nèi)容標(biāo)準(zhǔn)等，旨在規(guī)范信息安全行業(yè)的有序運行并增強其抵抗風(fēng)險的能力。策略性措施（6.65%）和目標(biāo)規(guī)劃（2.61%）的使用稍有不足，策略性措施以循序漸進(jìn)的方式影響企業(yè)發(fā)展，對政策體系起到補充的作用;目標(biāo)規(guī)劃多出現(xiàn)于規(guī)劃類政策，容易在階段內(nèi)取得明顯的短期成果。知識產(chǎn)權(quán)政策工具使用次數(shù)不到10次，是我國信息安全政策中一個明顯的空白點，造成這一現(xiàn)象的原因可以歸結(jié)為兩點：一方面是由于我國信息化起步較晚，對信息安全領(lǐng)域相關(guān)主體、范圍、權(quán)利、責(zé)任等要素界定不清，給企業(yè)知識產(chǎn)權(quán)保護帶來困擾;另一方面是因為政府重視程度不夠，對信息安全成果保護措施有限，遏制了科研人員技術(shù)研發(fā)和創(chuàng)新的積極性。

3）需求型政策工具

相比于供給和環(huán)境型政策工具，需求型工具（10.01%）目前仍存在嚴(yán)重空缺。僅有少量政策涉及信息安全的試點示范（3.36%）、服務(wù)外包（1.27%）、社會參與（4.18%）和國際交流（1.19%），通過與外部企業(yè)、機構(gòu)、公民等各方力量進(jìn)行互動與合作，推動行業(yè)典范地樹立和市場產(chǎn)業(yè)的規(guī)模化發(fā)展。造成需求型政策工具弱勢的主要原因是，其一，信息安全涉及政府保密網(wǎng)站、關(guān)鍵基建平臺等重大項目，需要按照國家有關(guān)保密規(guī)定和標(biāo)準(zhǔn)，難以從絕對的市場角度引入社會資本;其二，政府作為治理主體，長期以來習(xí)慣于部門引導(dǎo)、網(wǎng)絡(luò)主體承擔(dān)的自治模式，社會其他力量參與的程度不夠。實際上網(wǎng)絡(luò)信息安全是一個主體復(fù)雜、層次多樣、邊界豐富的領(lǐng)域，僅僅依靠政府的管理很難達(dá)到切實有效的政策目標(biāo)，更應(yīng)注重強化企業(yè)、機構(gòu)、公民等社會力量參與。

3?結(jié)論與建議

3.1?主要結(jié)論

本文從政策文本量化分析和內(nèi)容分析的視角切入我國信息安全政策研究，解析信息安全政策的歷史規(guī)律和現(xiàn)實困境，研究發(fā)現(xiàn)：

第一，在政策演化方面，構(gòu)建完善配套的制度體系是我國信息安全政策優(yōu)化的核心路徑。從20世紀(jì)末互聯(lián)網(wǎng)建設(shè)初步引入我國信息化的政策萌芽期，到進(jìn)入21世紀(jì)全方位部署信息安全工作的政策探索期，再到近10年來信息安全技術(shù)飛速突破的政策發(fā)展期，我國陸續(xù)出臺了相當(dāng)數(shù)量的意見、通知、規(guī)劃、方案等政策文件，已初步形成我國信息安全政策制度的基本框架。從制度框架的全面性來看，信息安全頂層設(shè)計比較缺乏，規(guī)范層次較低，容易導(dǎo)致政策執(zhí)行過程現(xiàn)實問題與相應(yīng)法律法規(guī)的缺位性矛盾;從配套性來看，結(jié)合政策主題特征分析，當(dāng)前政策體系還存在信息安全人才發(fā)展、信息攻防情報建設(shè)等一些明顯的空白點。

第二，在部際協(xié)同方面，推進(jìn)協(xié)調(diào)統(tǒng)一的組織架構(gòu)是信息安全工作提質(zhì)增效的現(xiàn)實基石。從信息安全政策發(fā)文機構(gòu)的分布來看，2014年以來逐漸形成以國務(wù)院、工業(yè)和信息化部、中央網(wǎng)絡(luò)安全和信息化委員會核心參與，公安部、國家發(fā)展和改革委員會、國家保密局等機構(gòu)輔助參與的決策主體圈。各機構(gòu)依據(jù)其職能從信息產(chǎn)業(yè)、安全治理、體制改革等不同層面參與信息安全工作，有力地促進(jìn)了我國信息安全健康快速發(fā)展。但是當(dāng)前各機構(gòu)制定的信息安全政策主要是針對實踐中某些局部問題而出臺的解決措施，各政策之間聯(lián)系不夠緊密，合作不夠通暢，可能出現(xiàn)政策內(nèi)容不系統(tǒng)、不全面以及漏項等問題，造成信息安全政策效果“事倍功半”。

第三，在政策工具方面，配置種類繁多的政策工具是實現(xiàn)我國信息安全目標(biāo)的廣泛途徑。由質(zhì)性分析可知，我國信息安全政策中綜合使用了供給型、環(huán)境型和需求型3類工具，以技術(shù)支持、安全規(guī)范、法規(guī)管制等13種具體工具為著力點，逐步實現(xiàn)轉(zhuǎn)變經(jīng)濟結(jié)構(gòu)、加快信息化深度融合、構(gòu)建新一代信息安全產(chǎn)業(yè)體系的發(fā)展目標(biāo)。其中，各類政策工具的使用分布存在不協(xié)調(diào)、不平衡現(xiàn)象，環(huán)境型政策工具過溢，而需求型政策工具的使用被弱化，在一定程度上限制了信息安全市場發(fā)展的潛力;政策工具內(nèi)部也普遍存在結(jié)構(gòu)性失衡問題，在資金、人才、知識產(chǎn)權(quán)、國際交流等方面的投入遠(yuǎn)遠(yuǎn)不夠，呈現(xiàn)出重技術(shù)、輕服務(wù)的態(tài)勢。

3.2?政策建議

3.2.1?進(jìn)一步完善信息安全政策內(nèi)容

第一，定期制定信息安全戰(zhàn)略規(guī)劃，深化信息安全頂層設(shè)計。當(dāng)前信息安全政策數(shù)量平穩(wěn)增長，在信息系統(tǒng)、信息資源和個人信息保護、云計算安全技術(shù)和標(biāo)準(zhǔn)等多領(lǐng)域均有涉及。但諸多政策大都是部門發(fā)布的辦法、通知等規(guī)范性文件，信息安全相關(guān)頂層設(shè)計和權(quán)威政策較為缺少，應(yīng)當(dāng)在2016年《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，出臺信息安全領(lǐng)域權(quán)威政策法規(guī)，為各部門、地方發(fā)布政策提供出發(fā)點和基本依據(jù)。一方面，要定期制定前瞻性的信息安全保護戰(zhàn)略規(guī)劃，探索信息安全發(fā)展規(guī)律，規(guī)劃信息安全遠(yuǎn)景目標(biāo)和方向，做好信息安全重大建設(shè)項目、產(chǎn)業(yè)和技術(shù)布局、互聯(lián)網(wǎng)治理等基礎(chǔ)工作指導(dǎo);另一方面，要不斷深化頂層設(shè)計的層次和要素，注重信息安全領(lǐng)域相關(guān)技術(shù)和模式的迭代更新，用辯證與發(fā)展的視野拓寬信息安全外延與內(nèi)涵，增強頂層設(shè)計的整體關(guān)聯(lián)性和實際操作性，切實提高信息安全政策作用效力。

第二，構(gòu)筑信息安全人才培養(yǎng)體系，強化信息安全攻防能力。在政策主題特征中可以看到，信息安全政策的關(guān)注點在傳統(tǒng)計算機系統(tǒng)和網(wǎng)絡(luò)設(shè)備安全之上囊括了政府涉密平臺安全、移動互聯(lián)網(wǎng)安全、個人信息安全等綜合安全問題。這既是信息化發(fā)展的必然結(jié)果，也是構(gòu)建全面政策體系的現(xiàn)實要求。不過，目前信息安全政策仍然存在一些空白有待完善，首先，信息安全人才建設(shè)缺乏，具體政策中很少提及信息安全人才的培養(yǎng)、幫扶等內(nèi)容，還未形成能夠為信息安全領(lǐng)域提供持續(xù)人才輸送的制度體系。2012年《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》中指出，要加強信息安全學(xué)科師資隊伍、重點實驗室建設(shè)，在此基礎(chǔ)上，有關(guān)部門要把人才建設(shè)落實到位，在物聯(lián)網(wǎng)、信息系統(tǒng)、個人信息安全等具體領(lǐng)域中配備充足資源，培養(yǎng)大范圍、高質(zhì)量信息安全人才。此外，信息安全攻防能力建設(shè)亟需補充，網(wǎng)絡(luò)安全已經(jīng)上升到國家安全與發(fā)展的戰(zhàn)略高度，可參考發(fā)達(dá)國家攻防部署經(jīng)驗推進(jìn)相應(yīng)政策設(shè)計步伐。如加強攻防情報分析與決策，可成立負(fù)責(zé)信息威脅搜集與研判的情報機構(gòu)，規(guī)劃網(wǎng)絡(luò)攻防領(lǐng)域的主要威脅及應(yīng)對機制，提升信息戰(zhàn)的情報應(yīng)對能力;重視國家信息安全形勢評估，對內(nèi)積極研發(fā)信息安全攻防技術(shù)，對外堅持信息主權(quán)以提升信息安全國際話語權(quán)和影響力。

3.2.2?優(yōu)化信息安全政策工具結(jié)構(gòu)

政策工具的使用往往由于產(chǎn)業(yè)發(fā)展的不同階段而呈現(xiàn)出從供給型到環(huán)境型再到需求型的變化過程[23]，我國信息安全產(chǎn)業(yè)還處于發(fā)展上升期，信息安全政策整體存在環(huán)境型政策工具過溢、需求型政策工具弱化的結(jié)構(gòu)失衡情況。需求型政策工具的匱乏，導(dǎo)致政府對市場需求的拉動作用較弱，不利于發(fā)揮信息網(wǎng)絡(luò)生態(tài)中的社會化力量。不同類型的政策工具對于信息安全目標(biāo)的適用程度和效果大小存在差異，因此，隨著信息安全市場的進(jìn)一步成熟，未來政策體系優(yōu)化應(yīng)當(dāng)關(guān)注政策工具的針對性和科學(xué)性，一方面，要注意政策工具的使用不能過于單一，可適當(dāng)減少環(huán)境型政策工具、協(xié)調(diào)供給型政策工具、擴大需求型政策工具，根據(jù)政策工具自身特點并通過合理配置與組合優(yōu)化達(dá)到更佳的政策效果;另一方面，也要關(guān)注到3類政策工具的內(nèi)部結(jié)構(gòu)，增強內(nèi)部各政策措施與信息安全相關(guān)要素之間的配比協(xié)同，從信息安全管理、環(huán)境、市場各自生態(tài)系統(tǒng)出發(fā)完善工具配套措施。

在供給型政策工具內(nèi)部，政策手段需要更加多樣，除基礎(chǔ)設(shè)施、技術(shù)、人才、資金這4個要素對信息安全給予保障外，要及時洞察信息安全主體的新需求，考慮公共服務(wù)、稅收優(yōu)惠等多種支持措施;政策配套措施需要完善，例如政策中要應(yīng)明確信息安全技術(shù)的內(nèi)容形式和標(biāo)準(zhǔn)體系，細(xì)化該政策工具的實施細(xì)節(jié)和作用主體;政策工具比例需要優(yōu)化，政府應(yīng)側(cè)重于增加信息安全領(lǐng)域的人才和資金投入，為信息安全技術(shù)的研究和信息基礎(chǔ)設(shè)施的建設(shè)注入可持續(xù)發(fā)展動力。在環(huán)境型政策工具內(nèi)部，必須強化知識產(chǎn)權(quán)保護，完善信息安全領(lǐng)域知識產(chǎn)權(quán)相關(guān)政策法規(guī)，提高社會對知識產(chǎn)權(quán)保護重視程度;補充信息安全領(lǐng)域技術(shù)和應(yīng)用的知識產(chǎn)權(quán)標(biāo)準(zhǔn)，為知識產(chǎn)權(quán)保護工作提供依據(jù);建立信息安全領(lǐng)域知識產(chǎn)權(quán)信息系統(tǒng)等相關(guān)平臺，加強知識產(chǎn)權(quán)監(jiān)管力度。在需求型政策工具內(nèi)部，要增加服務(wù)外包工具的使用，促進(jìn)政府與外部企業(yè)合作，推動信息安全市場良性發(fā)展;同時鼓勵我國信息安全發(fā)展與國際接軌，通過海外交流、國際競賽等方式了解國外信息安全最新技術(shù)及應(yīng)用，推動信息安全前沿部署;對于涉密政府平臺及項目，在外包、合作等模式下需要嚴(yán)格遵照國家保密標(biāo)準(zhǔn)，注重資源共享與網(wǎng)絡(luò)攻防齊頭并進(jìn)。

3.2.3?增進(jìn)政策制定主體統(tǒng)籌協(xié)作

第一，突出政府統(tǒng)籌作用，科學(xué)調(diào)度社會資源。信息安全是一個主體復(fù)雜、層次多樣、邊界豐富的系統(tǒng)工程，政策體系涉及基礎(chǔ)設(shè)施、網(wǎng)絡(luò)生態(tài)、安全監(jiān)管等諸多領(lǐng)域，如果各領(lǐng)域各自抓建設(shè)，缺乏政府統(tǒng)一管理，顯然會造成政策之間重疊交叉或分立矛盾。因此，要加強政府在信息安全發(fā)展中的領(lǐng)導(dǎo)職能，突出政府的統(tǒng)籌作用，以解決政策作用不一致等問題。中央網(wǎng)絡(luò)安全和信息化委員會要充分發(fā)揮信息安全事業(yè)統(tǒng)籌協(xié)調(diào)，整合各種資源實現(xiàn)信息安全戰(zhàn)略目標(biāo)，讓工信部、公安部、發(fā)改委等機構(gòu)的分布式管理更好地發(fā)揮作用。此外，政府應(yīng)合理調(diào)度企業(yè)、高校、社會組織、公民等各類社會力量參與信息安全管理和實施。社會力量作為信息安全生態(tài)的重要一環(huán)，受到很多發(fā)達(dá)國家的重視，如美國政府強化公共部門和私營企業(yè)之間的合作關(guān)系，英國政府與產(chǎn)業(yè)共建信息安全防護體系[24]。借鑒國外經(jīng)驗，我國政府要充分重視社會化力量，統(tǒng)籌建立多方參與的信息安全管理機制，不斷適應(yīng)網(wǎng)絡(luò)社會的新型治理觀。

第二，推進(jìn)部門合作互通，保障數(shù)據(jù)信息共享。在信息化和工業(yè)化深度融合發(fā)展的形勢下，各部門的通暢合作是豐富信息安全研判、決策和響應(yīng)的重要基礎(chǔ)，尤其是工作職能聯(lián)系密切的相關(guān)機構(gòu)，應(yīng)當(dāng)明確信息公開的范圍邊界，盡可能減少政策內(nèi)容重復(fù)、漏項等問題。為此，一方面可建立多部門協(xié)同機制，各部門從信息安全總領(lǐng)域出發(fā)分工合作，注重彼此發(fā)布政策的整體性和銜接性，構(gòu)建全方位的信息安全戰(zhàn)略;另一方面注重信息共享工作，多領(lǐng)域或部門之間打通數(shù)據(jù)信息共享平臺，通過信息安全技術(shù)中心、信息安全數(shù)據(jù)庫等消除信息孤島問題，提高各部門決策過程的質(zhì)量和效率。

參考文獻(xiàn)

[1]王世偉.大數(shù)據(jù)與云環(huán)境下國家信息安全管理研究[M].上海：上海社會科學(xué)院出版社，2018：15-21.

[2]高思靜，馬海群.信息安全政策體系構(gòu)建研究[J].情報理論與實踐，2011，34（10）：13-16.

[3]趙暉.構(gòu)建我國網(wǎng)絡(luò)地理信息安全的政策體系[J].學(xué)海，2016，（6）：5-11.

[4]付少雄，趙安琪.健康A(chǔ)PP用戶隱私保護政策調(diào)查分析——以《信息安全技術(shù)個人信息安全規(guī)范》為框架[J].圖書館論壇，2019，39（12）：109-118.

[5]李媛，劉海峰，李晨旸.移動政務(wù)App用戶個人信息安全防范探討[J].保密科學(xué)技術(shù)，2020，（3）：31-35.

[6]郭強，王樂子，母健康，等.醫(yī)療數(shù)據(jù)信息安全政策研究[J].醫(yī)學(xué)信息學(xué)雜志，2020，41（1）：20-25.

[7]湯弘昱.基于政策文本內(nèi)容分析的歐盟數(shù)據(jù)安全政策研究[D].哈爾濱：黑龍江大學(xué)，2019.

[8]Cram W A，Proudfoot J G，DArcy J.Organizational Information Security Policies：A Review and Research Framework[J].European Journal of Information Systems，2017，26（6）：605-641.

[9]Balozian P，Leidner D.Review of IS Security Policy Compliance：Toward the Building Blocks of an IS Security Theory[J].ACM SIGMIS Database，2017，48（3）：11-43.

[10]Bauer S，Bernroider E.From Information Security Awareness to Reasoned Compliant Action：Analyzing Information Security Policy Compliance in a Large Banking Organization[J].Data Base for Advances in Information Systems，2017，48（3）：44-68.

[11]Spyridon S，Gurpreet D，Ahlam A.Stakeholder Perceptions of Information Security Policy：Analyzing Personal Constructs[J].International Journal of Information Management，2020，50：144-154.

[12]Flowerday S V，Tuyikeze T.Information Security Policy Development and Implementation：The What，How and Who[J].Computers & Security，2016，61（8）：169-183.

[13]朱少強，邱均平.文獻(xiàn)計量與內(nèi)容分析——文獻(xiàn)群中隱含信息的挖掘[J].圖書情報工作，2005，（6）：19-23.

[14]鄭文暉.文獻(xiàn)計量法與內(nèi)容分析法的比較研究[J].情報雜志，2006，（5）：31-33.

[15]Rothwell R，Zegveld W.An Assessment of Government Innovation Policies[J].Review of Policy Research，1984，3（3）：436-444.

[16]趙雪芹，李天娥.基于政策工具的我國民生檔案政策文本量化研究[J].檔案學(xué)研究，2020，（6）：37-46.

[17]李芊，李海芹，郭建偉.區(qū)塊鏈政策文本量化分析——基于政策工具與政策目標(biāo)視角[J/OL].財會月刊：1-7[2021-01-14].http：//kns.cnki.net/kcms/detail/42.1290.F.20201231.1338.034.html.

[18]陳蘭杰，趙元晨.政策工具視角下我國開放政府?dāng)?shù)據(jù)政策文本分析[J].情報資料工作，2020，41（6）：46-53.

[19]惠志斌.全球網(wǎng)絡(luò)空間信息安全戰(zhàn)略研究[M].上海：上海世界圖書出版社，2013：139-147.

[20]郭建偉，陳佳宇，燕娜.大數(shù)據(jù)時代的信息安全問題研究[A].北京科學(xué)技術(shù)情報學(xué)會.創(chuàng)新發(fā)展與情報服務(wù)[C]//北京科學(xué)技術(shù)情報學(xué)會：北京科學(xué)技術(shù)情報學(xué)會，2019：8.

[21]王莉.大數(shù)據(jù)下網(wǎng)絡(luò)信息安全控制策略淺析[J].信息系統(tǒng)工程，2020，（5）：57-58.

[22]張勤.詞頻分析法在學(xué)科發(fā)展動態(tài)研究中的應(yīng)用綜述[J].圖書情報知識，2011，（2）：95-98，128.

[23]吳湘玲，田舒柳，劉麗娜.“政策目標(biāo)—政策工具”分析框架下我國數(shù)字經(jīng)濟政策文本研究[J].科技智囊，2020，（8）：3-9.

[24]張志華，蔡蓉英，張凌軻.主要發(fā)達(dá)國家網(wǎng)絡(luò)信息安全戰(zhàn)略評析與啟示[J].現(xiàn)代情報，2017，37（1）：172-177.

（責(zé)任編輯：孫國雷）