严望佳委员：关于建设政务大数据安全体系的三点建议

　　近年来，我国数字政府迅猛发展，在政务大数据应用领域，我国逐步完成了从“追赶者”到“引领者”的转变，其发挥的作用价值日益凸显。面向未来数字化发展“无人区”，如何降低发展的不确定性，防范大数据风险造成的价值受损、生命威胁等负面影响，成为当前应着重考虑的问题。对此，全国政协委员、启明星辰信息技术集团股份有限公司首席执行官严望佳提出关于建立政务大数据全生命周期安全治理体系的提案。

　　一、背景、问题及原因分析

　　(一)背景情况

　　党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》(以下简称《建议》)，明确提出要“加快数字化发展”，并作出体系化部署。党的十九届四中、五中全会都明确提出要加强数字政府建设，提升国家治理体系和治理能力的现代化。

　　在国家引导和技术驱动下，由于没有类似国外政策机制的藩篱，我国数字政府发展十分迅猛。政务系统上云降低费效比已经成为普遍共识，一部分政务单位目前正按照总体部署积极上云，实现物理集约化;另一部分发展更快的政务单位，除了政务系统上云外，还构建了一体化政务信息平台，实现了各委办厅局数据逻辑大集中，具备了跨层级、跨地域、跨部门的大数据共享开放服务。

　　在政务大数据应用领域，我国逐步完成了从“追赶者”到“引领者”的转变，其发挥的作用价值日益凸显。我们在塑造政务大数据应用这个新“动力系统”的同时，也要注重实现网络和数据安全的“制动系统”，尤其是面向未来数字化发展“无人区”，如何降低发展的不确定性，防范大数据风险造成的价值受损、生命威胁等负面影响，也是当前应着重考虑的问题。

　　(二)主要问题

　　目前各级各类政务单位在加速推进数字化过程中，也暴露出一些发展和安全不相匹配的新问题，主要体现如下：

　　1．政务大数据安全建设滞后于大数据应用建设。受国家政策和应用需求牵引，各政务单位纷纷上马大数据应用，但很多项目在设计之初并未考虑安全问题，甚至是仓促上线“裸奔”运行，数据安全风险十分严峻。往往是数据价值越大，遭到数据攻击泄漏后，其价值损失就越大。

　　2．传统网络安全措施难以保障政务大数据安全。从传统网络安全看，数据安全面临诸多新挑战，例如从防外为主转变到防内为主，导致防护成本增高;用户与数据位置广域分离，导致边界防护失效;数据泄漏渠道多元，导致传统安全防护堵漏方式防不胜防等等。

　　3．数据泄漏频繁导致公众对数据集中建设质疑。政务数据大集中使公众获得了生产生活的便捷性，但在数字政府构建过程中，一旦相关隐私数据频繁泄漏，会导致公众对政府公信力和数据安全能力的怀疑，目前从互联网和暗网等渠道看，政企单位数据泄漏事件时有发生。

　　(三)原因分析

　　政务数据逻辑大集中后，除了面临传统对抗性安全问题外，还面对复杂性爆炸等问题，这些新问题不是传统网络安全的线性叠加，而是全新的、由数据规模效应导致的未知问题，亟需我们高度关注：

　　1．数据价值具有主观意向性，导致防护不确定性。数据安全保护的是有价值数据，但目前对数据价值没有客观明确的评价标准，也没有统一权属界定规则，导致大数据防护从根本上存在短板。

　　2．数据存在具有时空泛在性，导致防护全周期性。数据要素不像资本、土地等传统要素具有时间连续性和空间确定性，同一数据可以长期存在，也可以在多地同时存在，这为数据的价值保护增加了难度。

　　3．数据管理具有离散集约性，导致防护的体系性。政务数据从分散到大集中后，传统各负其责的管理模型，也迁移为离散和集约相结合的责任模型，亟需实现以数据为中心的体系化安全管理模式变革。

　　二、具体建议

　　针对上述问题，建议统筹建立政务大数据全生命周期安全治理体系，从顶层筹划、制度机制、能力建设等多个方面做出全局安排，体系化、制度化、常态化提升政务大数据安全的能力和公信力。

　　(一)结合数字政府发展加强数据安全顶层筹划

　　我国数字政府面临的安全问题没有国外经验可借鉴，必须从自身特点实际出发，全面加强大数据安全顶层筹划以保障数字政府安全有序发展。一是加强顶层规划，研究制定政务大数据全生命周期安全治理的远景、目标、领域、指导原则、责任模型和保护能力等，为分散政务单位大数据安全建设提供统一指引。二是确立安全制度和标准规范，制定数据安全确权、开放、流通、交易相关制度，统一拟定数据安全标准规范，强化数据资源全生命周期安全管理。三是突破核心关键技术，自主创新突破数据确权、数据公平交易、数字信任体系等技术，促进产学研深度融合，培育数据安全领军企业和数字化安全人才队伍。

　　(二)制度性保障政务大数据安全建设“三同步”

　　根据法律要求，关键信息基础设施应保证安全技术措施同步规划、同步建设、同步使用。数字政府作为关键信息基础设施重要范畴，在网络安全上已经基本实现“三同步”，但数据安全有其特殊性，很多大数据项目在建设之初并未针对性考虑安全问题，建议做出制度性安排。一是建立大数据安全“一票否决”制度，在大数据项目申报立项之初，如果没有针对性考虑安全解决方案，并存在较大风险的，应否决项目立项。二是建立数据安全集中审批制度，应加大数据安全监管力度，建立政务大数据安全审批监管机构，对各政务单位大数据安全开展审批、验收和常态监督等管理工作。三是建立经费保障制度，财政部门对政务单位每年的大数据安全建设、整改和运维经费提供足额保障，并做出制度性安排，避免因人而异的随意性。

　　(三)依托典型场景启动专项任务验证大数据安全能力

　　数据安全带来的新挑战十分复杂，在传统网络安全基础上叠加少量数据安全产品，难以从根本上解决大数据安全问题，建议依托贵州省和浙江省等典型政务大数据应用发展的前沿阵地，启动专项任务以演示验证大数据安全管理和技术能力。一是研究验证大数据安全能力体系，通过原始创新和集成创新，整合分散的技术产品，对准安全需求进行适配和定制，聚合形成体系化安全治理能力。二是研究验证大数据安全运营体系，构建大数据全生命周期运营体系，使数据的流动就如同电力网运营一样，得到标准化的保护，最终用户只关注如何使用数据，而不用对数据的流动过程安全性和可信性操心。三是评估大数据安全防护能力水平，构建大数据安全能力评估模型、方法和指标体系等，科学评价大数据安全防护的真实水平，为大数据安全风险评价提供标准化、定量化和可操作的参考依据。