全面筑牢政务数据安全屏障
2023-12-11李三群
文_李三群
国家安全是安邦定国的重要基石。党的十八大以来,习近平总书记立足实现中华民族伟大复兴战略全局,准确把握国家安全形势变化新特点新趋势,创造性地提出坚持总体国家安全观,走出了一条中国特色国家安全道路。数字化时代,数据资源作为生产要素是国家基础性战略资源,政务数据安全关乎国家安全和公共利益,在国家安全体系中的基础性、战略性地位更加凸显,是数字化时代国家竞争力的关键因素和重要标志,已经成为事关国家安全与经济社会发展的重大问题。以数字化助力中国式现代化,以新安全格局保障新发展格局,是新征程上顺应世界之变、时代之变、历史之变的必然要求,需要深入贯彻落实总体国家安全观,全面筑牢政务数据安全屏障,为加快建设网络强国、数字中国提供安全保障。
一、深刻理解把握维护政务数据安全的重大意义
没有网络安全就没有国家安全,没有信息化就没有现代化。党的二十大报告设立专章对“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”进行深刻阐述,并将强化网络、数据安全保障体系建设作为健全国家安全体系的重要内容。政务数据是数据资源的重要组成部分,保障政务数据安全意义重大。
维护国家安全的重要基础。习近平总书记强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”政务数据主要来源于政务部门履职运转,由个人数据、公共数据、基础数据及政务机关运行数据等组成,具有鲜明的政治性、公共性、广泛性等特点。政务数据作为国家的重要基础数据,体量巨大、涉及面广,政务数据安全是事关国家安全、经济社会发展和个人切身利益的重大问题。没有政务数据安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。
建设网络强国、数字中国的关键能力。党的二十大报告对建设网络强国、数字中国提出战略部署。2023年2月,中共中央、国务院印发《数字中国建设整体布局规划》,将“筑牢可信可控的数字安全屏障”列为强化数字中国的关键能力之一。近年来,得益于网络强国、数字中国战略布局的指引,我国数据资源规模快速增长。数据显示,2022年我国数据产量达8.1ZB,同比增长22.7%,全球占比达10.5%,位居世界第二,已经成为数据量最大、数据类型最丰富的国家之一。以此同时,全球范围内网络安全威胁和风险日益突出,世界各国竞相强化数据安全管控,并在数据安全领域展开战略博弈,保障数据安全的能力已成为一个国家软实力和竞争力的重要标志。政务数据安全是网络安全的组成部分,保障政务数据安全是捍卫国家安全,确保经济社会长治久安的重要使命。
提高政务部门履职能力的必然要求。习近平总书记强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。近年来,各地区各部门高度重视和大力推进电子政务,积极以信息化支撑国家治理体系和治理能力现代化,政务数字化、网络化、智能化发展成效明显。数字化改革、“最多跑一次”等在为企业、群众带来便利的同时,整体业务环境更加开放,业务生态更加复杂,网络与数据的安全风险隐患随之增加。政务数据安全是数字政务建设的底线,各地区各部门必须提高信息化数字化条件下的履职能力,强化安全管理责任,构建覆盖全方位、多层级、一体化安全防护体系,加快关键核心技术攻关,提高自主可控水平,提升政务领域关键信息基础设施保护水平,切实筑牢数字政府建设安全防线。
二、构建政务数据安全保障体系已具备良好基础
在以习近平同志为核心的党中央坚强领导下,在总体国家安全观的科学指导下,新时代国家安全工作取得历史性成就、实现历史性变革。把安全发展贯穿国家发展各领域全过程,取得重大进展,数据安全作为国家安全的重要领域,安全能力持续增强,初步形成较为完备的安全保障体系。
管理体制机制不断完善。中央层面,党的二十届二中全会审议通过的《党和国家机构改革方案》提出,组建国家数据局,有利于解决数据行政管理和职责分头管理,以及交叉分散问题,保持了现有数据安全、行业数据监管等现行工作格局总体稳定。由中央国家安全领导机构负责国家数据安全工作的决策和议事协调。地方层面,各地区主动顺应政府数字化转型的发展趋势,注重顶层设计与地方创新良性互动,形成了各具特色、职责明确的电子政务和数字政府建设管理新格局。截至2022年底,全国31个省(自治区、直辖市)中,29个地区共成立了40余个副厅级及以上的数据管理机构或政务服务机构(部分地区分设相关机构)。
政策供给持续加强。国家、地方以及各行业监管部门先后颁布数据安全相关法律法规。2015年《中华人民共和国国家安全法》第二十五条将数据安全上升到国家安全。2016年《中华人民共和国网络安全法》将数据安全纳入网络安全,网络安全等级保护、关键信息基础设施安全保护、个人信息保护等制度为数据安全的落实提供重要支撑。2021年《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行,标志着我国正式迈入数据安全统一立法时代。同年,《中华人民共和国个人信息保护法》正式施行。至此,我国数据安全法律框架及顶层制度设计构建基本完成。行政法规方面,2021年《关键信息基础设施安全保护条例》正式出台,2022年发布《数据出境安全评估办法》,“网络数据安全管理条例”等正在制订中,各部委也相继出台各项数据安全规范或制度规则。从地方层面看,吉林省、贵州省、海南省、广东省、天津市等多地相继出台数据相关法律法规,针对数据安全问题作出相应规定。
政务数据资源体系基本形成。目前,覆盖国家、省、市、县等层级的政务数据目录体系初步形成,各地区各部门依托全国一体化政务服务平台汇聚编制政务数据目录超过300万条,信息项超过2000万个。人口、法人、自然资源、经济等基础库初步建成,在优化政务服务、改善营商环境方面发挥重要支撑作用。国务院各有关部门积极推进医疗健康、社会保障、生态环境、信用体系、应急管理等领域主题库建设,为经济运行、政务服务、市场监管、社会治理等政府职责履行提供有力支撑。各地区积极探索政务数据管理模式,建设政务数据平台,统一归集、统一治理辖区内政务数据,以数据共享支撑政府高效履职和数字化转型。截至目前,全国已建设26个省级政务数据平台、257个市级政务数据平台、355个县级政务数据平台。
技术防护体系加速构建。一直以来,我国遵循主动防御思想,从空间维度实现纵深防御,从时间维度实现全链条防护,形成统一管理、分层部署的主流数据安全技术防护体系。聚焦防范化解各类网络安全重大风险隐患,以保护关键信息基础设施、重要网络和大数据安全为重点,深化落实网络安全等级保护、关键信息基础设施安全保护和数据安全保护等制度,全面加强网络安全防范管理、监测预警、信息通报、应急处置和侦查打击等措施,积极构建“打防管控”一体化的网络安全综合防控体系。着眼于政务大数据安全防护特点,在通信网络和计算环境方面,加强网络安全技术、平台安全技术和应用安全技术等研究应用,初步形成政务数据的安全屏障。
产业发展体系蓬勃发展。我国数据产业逐渐形成涵盖基础支撑、大数据服务、大数据应用在内的协调发展体系。在上游领域,基础设施是整个大数据产业的引擎和基础,涵盖网络、存储和计算等信创硬件基础设施;在中游大数据服务领域,随着5G商用的全面推广,数据采集和预处理需求将快速跟上,提供第三方数据分析、可视化和安全服务的市场也将持续壮大;在下游应用市场,我国大数据应用正在快速扩张,除发展较早的政务大数据、交通大数据外,大数据应用在工业、金融、健康医疗等众多领域也初见成效。
三、新发展阶段我国政务数据安全面临的新风险新挑战
新发展阶段是全面建设社会主义现代化国家、向第二个百年奋斗目标进军的阶段。进入新发展阶段,国内外环境深刻变化,为我国政务数据安全带来新的风险挑战。政务数据安全风险既有网络安全风险引发的数据安全风险,比如数据被篡改、假冒、丢失、泄露等,导致数据保密性、完整性和可用性遭到破坏;也包括政务数据在流动和动态利用中产生的风险,比如数据被滥用、违规出境,因汇聚、融合、分析而可能引发的安全风险等。
网络对抗和攻击为政务数据安全带来风险与挑战。世界百年未有之大变局进入加速演变期,国际形势的不稳定性、不确定性明显增加,国际环境日趋错综复杂,网络对抗和攻击已经成为敌我双方竞争的主战场,而政务数据资源成为攻防的焦点。国家重要信息系统和基础设施始终面临国与国之间以政治为目的的信息安全对抗,并逐步从瘫痪网络、破坏基础设施聚焦到窃取数据上来,使得针对敏感行业、特定人群的数据窃取事件时有发生。同时,以美国等为代表的西方国家推行其所谓的数据安全战略,泛化国家安全概念,以各种方式刺探窃取关键政务数据情报,对国家安全造成巨大的威胁。
共享开放和开发利用为政务数据带来安全风险与挑战。随着政务数字化转型不断深入,政务数据的形态和使用发生变化带来风险挑战。一方面,政务数据向大数据转化。在采集、存储、分析和应用等过程中,海量政务数据聚集将成为新常态,海量数据聚合、融合后,将通过关联分析、数据挖掘等大数据技术展现事物的真实面貌,安全风险也更加突出。另一方面,政务数据动态利用成为新趋势,数字化转型前,政务数据掌握在政务部门或地方政务机构手中,是一种相对静态的保存方式,风险具有可控性。随着数据转化为生产要素,其流动性成为必然要求,数据共享、开放等动态利用,形成新的、更为复杂的安全挑战。
网络基础设施和数据安全技术供给不足为政务数据安全带来风险和挑战。随着数字经济的发展,数据处理场景显著增多,数据处理量级明显提高,传统的网络安全技术已无法满足当前数据量巨大、数据更新速度极快的场景。数据安全技术作为新兴技术领域,发展时间尚短,部分技术手段与解决方案正处在研究发展阶段,缺乏应用实践,无法有效保障数据安全。我国数据安全管理体系初步建立,有效推动企业开展数据安全技术手段的研发和应用的刺激激励仍有不足。部分企业碍于运营成本和系统性能等因素,在包含芯片、基础软件等能对数据安全提供作用的技术手段方面投入较少,数据安全技术研发与应用相对滞后。从完全成熟的网络安全技术到基本成熟的信息安全技术,再到正在被迫切需要的数据安全技术和产业服务,尚处于一个快速发展和不完善的时期。
大平台大系统为政务数据安全带来的风险和挑战。网络化快速发展,各级政务部门和地方积极优化整合信息系统和软件平台,打破信息孤岛,加速推动跨层级跨部门跨系统实现互联互通,构建起一系列政务服务、公共管理、监管执法等大系统大平台,有效支撑了政务数据高效流通和共享开放。同时在网络安全、数据安全方面也出现短板效应,对大平台大系统的效用和使用造成不利影响,更容易受到攻击,大平台大系统牵一发而动全身,一旦某节点遭遇攻击将会使上下链条陷入瘫痪状态,从而导致政务数据的泄漏与滥用,容易出现“人人合规,整体安全责任难以追究”的现实问题。
四、构建政务数据全方位安全保障体系
维护数据安全是国家安全体系和能力现代化建设的重要任务,筑牢政务数据安全屏障,必须坚持落实总体国家安全观,统筹发展与安全,按照网络强国、数字中国整体部署,推动构建政务数据全方位安全保障体系,强化安全管理责任,落实安全制度,提升安全保障能力,提高自主可控水平。
健全完善坚持党管数据的制度机制。坚持党管数据、保障数据安全,是新时代下坚持和完善党的全面领导的必然要求,也是国家治理现代化的突出课题。进一步加强党对政务数据的统一领导,深入贯彻《数据安全法》,建立和完善党管数据的体制机制。坚持党管政务数据发展方向,确保数据安全的目的是更好使用数据,充分发挥政务数据红利。坚持党管制度规则,建立用数据说话、用数据管理、用数据决策、用数据服务的制度规则,构建并逐步完善政务数据分类分级、安全风险管理、安全应急处置、安全审查等制度规则。积极发挥各地区、各行业数据安全主管部门作用,落实政务数据安全主体责任。
构建政务数据全寿命安全防护体系。加强常态化安全检测和技术防护,对重要和核心数据的生产、使用、存储、共享、流通、利用等环节采用必要的安全防护技术,明确数据安全保护职责,坚持最小必要原则,严格管控数据访问行为。采取加密、脱敏、防泄露等技术手段保护个人信息不被泄露和篡改。加强重要数据安全监管,加大对涉及国家秘密、工作秘密、商业秘密、个人信息等数据的保护力度,完善相应的问责机制。建设完善密码基础设施,充分依托国产密码算法,保障数据安全可控。定期组织开展数据安全风险评估及个人信息保护风险评估等工作。发挥社会主义制度优越性,统筹战略科技力量,实现我国在高端芯片、人工智能、区块链等关键核心技术的突破,不断完善网络基础设施安全防护体系。
强化政务数据安全运营管理。完善数据安全运营保障机制,不断提高网络实时监测、预警和主动防护能力,建立完善安全监测、信息通报、协同联动等机制,加强数据安全风险信息的获取、分析、研判、预警。建立健全事前管审批、事中全留痕、事后可追溯的数据安全运行监管机制,提高对数据异常使用行为的发现、溯源和处置能力,形成数据安全管理闭环,筑牢数据安全防线。加强政府、企业之间的有效配合,发挥各自优势,建立适应大数据时代要求的协同安全运营机制。
增强全民数据安全意识和素养。数据安全的决定因素是人,决定人的思维和行为的前提是人的政治立场、政治素质。要把提高政务人员政治素质摆在首位,全面提升政务人员数据安全素养,积极引导树立主动安全理念,将数据安全意识贯穿于日常工作各环节。完善网络安全、数据安全培养培训机制,完善培训内容,普及网络安全、数据安全知识,推广安全技能。支持开展数据安全知识宣传普及活动,提高全社会的数据安全保护意识和水平,形成全社会共同维护数据安全的良好环境。