近年來，我國數字政府迅猛發展，在政務大數據應用領域，我國逐步完成了從“追趕者”到“引領者”的轉變，其發揮的作用價值日益凸顯。面向未來數字化發展“無人區”，如何降低發展的不確定性，防范大數據風險造成的價值受損、生命威脅等負面影響，成為當前應著重考慮的問題。對此，全國政協委員、啟明星辰信息技術集團股份有限公司首席執行官嚴望佳提出關于建立政務大數據全生命周期安全治理體系的提案。

一、背景、問題及原因分析

（一）背景情況

黨的十九屆五中全會通過的《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》（以下簡稱《建議》），明確提出要“加快數字化發展”，并作出體系化部署。黨的十九屆四中、五中全會都明確提出要加強數字政府建設，提升國家治理體系和治理能力的現代化。

在國家引導和技術驅動下，由于沒有類似國外政策機制的藩籬，我國數字政府發展十分迅猛。政務系統上云降低費效比已經成為普遍共識，一部分政務單位目前正按照總體部署積極上云，實現物理集約化；另一部分發展更快的政務單位，除了政務系統上云外，還構建了一體化政務信息平臺，實現了各委辦廳局數據邏輯大集中，具備了跨層級、跨地域、跨部門的大數據共享開放服務。

在政務大數據應用領域，我國逐步完成了從“追趕者”到“引領者”的轉變，其發揮的作用價值日益凸顯。我們在塑造政務大數據應用這個新“動力系統”的同時，也要注重實現網絡和數據安全的“制動系統”，尤其是面向未來數字化發展“無人區”，如何降低發展的不確定性，防范大數據風險造成的價值受損、生命威脅等負面影響，也是當前應著重考慮的問題。

（二）主要問題

目前各級各類政務單位在加速推進數字化過程中，也暴露出一些發展和安全不相匹配的新問題，主要體現如下：

1．政務大數據安全建設滯后于大數據應用建設。受國家政策和應用需求牽引，各政務單位紛紛上馬大數據應用，但很多項目在設計之初并未考慮安全問題，甚至是倉促上線“裸奔”運行，數據安全風險十分嚴峻。往往是數據價值越大，遭到數據攻擊泄漏后，其價值損失就越大。

2．傳統網絡安全措施難以保障政務大數據安全。從傳統網絡安全看，數據安全面臨諸多新挑戰，例如從防外為主轉變到防內為主，導致防護成本增高；用戶與數據位置廣域分離，導致邊界防護失效；數據泄漏渠道多元，導致傳統安全防護堵漏方式防不勝防等等。

3．數據泄漏頻繁導致公眾對數據集中建設質疑。政務數據大集中使公眾獲得了生產生活的便捷性，但在數字政府構建過程中，一旦相關隱私數據頻繁泄漏，會導致公眾對政府公信力和數據安全能力的懷疑，目前從互聯網和暗網等渠道看，政企單位數據泄漏事件時有發生。

（三）原因分析

政務數據邏輯大集中后，除了面臨傳統對抗性安全問題外，還面對復雜性爆炸等問題，這些新問題不是傳統網絡安全的線性疊加，而是全新的、由數據規模效應導致的未知問題，亟需我們高度關注：

1．數據價值具有主觀意向性，導致防護不確定性。數據安全保護的是有價值數據，但目前對數據價值沒有客觀明確的評價標準，也沒有統一權屬界定規則，導致大數據防護從根本上存在短板。

2．數據存在具有時空泛在性，導致防護全周期性。數據要素不像資本、土地等傳統要素具有時間連續性和空間確定性，同一數據可以長期存在，也可以在多地同時存在，這為數據的價值保護增加了難度。

3．數據管理具有離散集約性，導致防護的體系性。政務數據從分散到大集中后，傳統各負其責的管理模型，也遷移為離散和集約相結合的責任模型，亟需實現以數據為中心的體系化安全管理模式變革。

二、具體建議

針對上述問題，建議統籌建立政務大數據全生命周期安全治理體系，從頂層籌劃、制度機制、能力建設等多個方面做出全局安排，體系化、制度化、常態化提升政務大數據安全的能力和公信力。

（一）結合數字政府發展加強數據安全頂層籌劃

我國數字政府面臨的安全問題沒有國外經驗可借鑒，必須從自身特點實際出發，全面加強大數據安全頂層籌劃以保障數字政府安全有序發展。一是加強頂層規劃，研究制定政務大數據全生命周期安全治理的遠景、目標、領域、指導原則、責任模型和保護能力等，為分散政務單位大數據安全建設提供統一指引。二是確立安全制度和標準規范，制定數據安全確權、開放、流通、交易相關制度，統一擬定數據安全標準規范，強化數據資源全生命周期安全管理。三是突破核心關鍵技術，自主創新突破數據確權、數據公平交易、數字信任體系等技術，促進產學研深度融合，培育數據安全領軍企業和數字化安全人才隊伍。

（二）制度性保障政務大數據安全建設“三同步”

根據法律要求，關鍵信息基礎設施應保證安全技術措施同步規劃、同步建設、同步使用。數字政府作為關鍵信息基礎設施重要范疇，在網絡安全上已經基本實現“三同步”，但數據安全有其特殊性，很多大數據項目在建設之初并未針對性考慮安全問題，建議做出制度性安排。一是建立大數據安全“一票否決”制度，在大數據項目申報立項之初，如果沒有針對性考慮安全解決方案，并存在較大風險的，應否決項目立項。二是建立數據安全集中審批制度，應加大數據安全監管力度，建立政務大數據安全審批監管機構，對各政務單位大數據安全開展審批、驗收和常態監督等管理工作。三是建立經費保障制度，財政部門對政務單位每年的大數據安全建設、整改和運維經費提供足額保障，并做出制度性安排，避免因人而異的隨意性。

（三）依托典型場景啟動專項任務驗證大數據安全能力

數據安全帶來的新挑戰十分復雜，在傳統網絡安全基礎上疊加少量數據安全產品，難以從根本上解決大數據安全問題，建議依托貴州省和浙江省等典型政務大數據應用發展的前沿陣地，啟動專項任務以演示驗證大數據安全管理和技術能力。一是研究驗證大數據安全能力體系，通過原始創新和集成創新，整合分散的技術產品，對準安全需求進行適配和定制，聚合形成體系化安全治理能力。二是研究驗證大數據安全運營體系，構建大數據全生命周期運營體系，使數據的流動就如同電力網運營一樣，得到標準化的保護，最終用戶只關注如何使用數據，而不用對數據的流動過程安全性和可信性操心。三是評估大數據安全防護能力水平，構建大數據安全能力評估模型、方法和指標體系等，科學評價大數據安全防護的真實水平，為大數據安全風險評價提供標準化、定量化和可操作的參考依據。