不久前,国务院印发《关于加强数字政府建设的指导意见》,这标志着我国数字政府建设掀开了新的一页。与此同时,网络安全风险也日益显现,迫切需要构建数字政府全方位安全保障体系。
数字政府建设是信息化发展的新阶段,不但面临各类传统网络安全威胁,还因数字政府的技术和业务特性,使得风险挑战呈现出新的特点:一是数字政府的运转靠数据驱动,但数据安全管理责任难以清晰界定。数字政府建设中,数据来源多样、权属不同,且为了实现“让数据多跑腿、百姓少跑路”的目标,对数据共享的需求十分强烈。这导致在数据采集、共享、传输、应用过程中涉及非常多的主体,容易导致数据安全管理责任不清晰。而且由于各个政府部门,特别是基层单位的防护能力参差不齐,在共享过程中一旦薄弱部位被利用,就可能引发全局渗透风险。
二是公民隐私与个人权益保障不足。数字政府在建设过程中汇集了越来越多的公民个人信息,这也使政府获得了强大的影响公民日常生产生活的能力。这种能力一旦使用不当,可能会造成严重后果。例如,大数据对于支撑新冠肺炎疫情防控发挥了非常重要的作用,但超范围收集、滥用公民个人信息的事件也时有发生,造成了不良的社会影响。数字政府功能越强,越需要具备良好的数据安全利用能力,并保护好公民隐私与个人信息权益。但从现实情况看,目前一些地方和部门的法治意识、安全风险意识与能力还没有跟上数字政府的建设速度。
三是智能化新技术新应用带来新风险。个别地方政府盲目追求“高大上”,一些企业也热衷于在数字政府领域“树标杆”,这使数字政府建设往往成为一些“时髦”技术的“试验田”。这固然能为公民带来很多新奇感受,但也会埋下一些隐患。很多新技术天然缺少安全防护措施,有的甚至还未达到稳定运行的技术成熟度,也未经安全评估,便在“重发展轻安全”心态的驱使下匆忙上马,这也使得相关项目极易受到各种攻击。
针对数字政府建设过程中面临的网络安全新挑战,需要严格落实党委(党组)网络安全责任制。近年来,我国不断加强网络安全、数据安全法规制度建设,已经建立起了比较健全的制度体系。如网络安全方面的等级保护制度、关键信息基础设施安全保护制度,以及数据安全方面的数据分类分级制度、数据出境安全管理制度等,这都为数字政府网络安全工作提供了落地抓手。
要使这些制度发挥作用,离不开强有力的组织实施机制。网络安全工作必须通过管理层意志来推动,这已经成为共识,但由于数字政府建设的工作内容高度专业化、非常具有前沿性,使有的政府官员“望而却步”,产生了“躲避”心态。但网络安全责任躲不开甩不掉。根据中央办公厅发布的《党委(党组)网络安全工作责任制实施办法》,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。这意味着,数字政府网络安全必须列入地方党委议事日程,党委(党组)书记要亲自抓。特别是当前数字政府建设已经成为经济社会发展中极具分量的重大课题,更需要领导班子主要负责人抓好安全工作,全方位提升数字政府网络安全保障能力。
具体来说,构建数字政府网络安全保障体系,要抓好以下工作:确保“三同步”。要同步规划、同步建设、同步运营数字政府安全设施,使安全成为数字政府的天然基因。这既体现在安全设计中,也体现在安全可信产品和服务的采购中。
建立数字政府安全运营中心。数字政府建设是一项复杂的系统工程,保障数字政府安全运行必须具有全局观念,进行顶层设计,并形成全面态势感知和决策指挥能力。为此,应当建立独立的安全运营中心,具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能。
建设全流程数据安全管理制度,确保数据安全流通和利用。贯彻以人民为中心的发展思想,使每一个公民感到数字时代的温暖,切实保护公民信息权益。坚持安全和发展并重,加强数据安全风险防范,实现安全的数据共享,充分发挥数据要素价值,使数字政府建设成为促进数字经济高质量发展的重要驱动力量。
(作者系中国科学技术大学教授)