数字政府建设进程中的安全风险及其治理策略
任晓刚
(北京市科学技术研究院科技智库中心主任)
[摘 要]:加快数字政府建设是实现国家治理体系和治理能力现代化的必然要求。在数字政府建设与治理中,面临着技术风险、政府数据安全治理问题以及社会治理有效性问题等层面的安全风险。数字政府建设面临的安全风险既表现在技术层面又表现在数字政府自身层面,其原因是科技原始创新能力有待提升、数据规范体系建设有待完善、数字政府治理模式有待健全、运行效率有待提升以及社会公众素养有待提升。为有效防范这一系列潜在的安全风险,数字政府要从加快提升信息安全技术水平,构筑数据安全规范体系,健全政府治理模式与运行机制,提升社会公众数字安全素养水平等四个方面发力,建立数字政府安全风险防范机制,保障数字政府建设的全面推进。
[关键词]:数字政府;安全风险;治理策略
一、引 言
加快数字政府建设进程,实现政务服务和社会治理数字化,是推进国家治理体系和治理能力现代化建设的重要组成部分。如在新载体上,社会公众可以利用数字政府打造的数字化可信身份认证平台将可信身份通过网络传递并进行创新应用,如“国家防疫健康信息码”、个人数字凭证等。在新需求上,数字政府可以将群众常态化体验观感服务管理纳入治理流程,实现社会治理、创新公共服务、活跃数字经济。同时,加快推进数字政府建设进程,推动政府数据开放,有利于实现数据要素市场化。例如,我国政府数据开放进程正在加速推进,地方政府数据开放平台数量不断增加,包括国家级数据交易中心、企业级数据交易平台等数据交易平台规模不断壮大,为激发市场活力、培育新业态新产业,发挥数据要素新动能的作用提供了支撑,也带动了数据要素市场化发展。
随着我国数字政府进入全面建设的实践阶段,关于数字政府建设的理论研究也在深化,成果主要集中在关于数字政府建设的实践路径与治理策略等方面。如张成福、谢侃侃提出要从系统层面进行全面政府治理以推动政府的数字化转型发展,沈费伟、诸靖文提出要利用数据创新、服务创新、决策创新等手段实现数字政府治理现代化,屈晓东提出要构建数据安全机制以实现更加高效的数字政府运行模式,曹海军、侯甜甜提出运用区块链技术赋能政府数字化转型发展。也有学者从数字政府建设面临的风险角度探索如何推进数字政府建设。如王谦、曾瑞雪提出要从技术风险、技术组织风险、知识管理风险、时间阶段与过程风险、社会功能与价值风险规避数字政府风险,丁翔、张海波提出要通过健全实体性风险和建构性风险的管理机制,增强大数据促进公共安全管理的作用,等等。
数字政府建设面临的风险及其有效规避是在推进数字政府建设过程中需要重点回答的问题。但现阶段不论是理论界还是实践者对数字政府建设可能面临的风险,尤其是数字政府建设面临的安全风险还缺乏全面系统的分析,鲜有文献关注安全风险背景下数字政府建设的相关问题,尤其是对数字政府建设进程中可能面临哪些安全风险,这些安全风险的成因,以及如何进行规避治理,研究还相对不足。这将对我国推进高效率、高质量的数字政府建设,提高数字政府公共服务的能力和水平造成一定程度的阻碍。为此,本文基于安全风险的视角研究数字政府建设,期望能够为政府部门制定数字政府建设的相关政策提供理论支撑。
二、数字政府建设进程中面临的安全风险
数字政府建设进程中必须重视的风险主要是安全风险,从某种意义上来看,数字政府建设进程中能否识别安全风险、分析安全风险成因,是其能否顺利推进的关键。本文将对数字政府建设进程中面临的安全风险进行逐一识别,将总体安全风险划分为技术风险、政府数据治理问题以及社会治理有效性问题三个方面。
(一)技术风险
技术风险主要表现是信息安全问题。其中,信息安全问题是指个人、企业或国家的信息在存储、传输与应用等环节出现相关的安全问题,主要包括个人、企业或政府的信息安全、网络安全及网络空间安全等相关问题。信息安全问题具有以下“五低”的特征:一是信息易泄露给非授权用户或实体并遭其利用,即保密性低;二是数据在未经授权的情况下易被篡改,即完整性低;三是被授权用户难以按需使用,即可用性低;四是信息内容及其传播不易控制,即可控性低;五是出现安全问题不能有效提供依据,即可审查性低。随着数字政府建设进程不断加快,其在给人们的生产、生活带来极大便利的同时也带来了新的信息安全问题。在数字政府建设进程中,人们主要面临的新的信息安全问题为网络信息攻击、信息安全漏洞及信息泄露。
网络信息攻击。网络信息攻击是指数字政府网络信息系统易遭受黑客攻击,包含了非破坏性攻击和破坏性攻击两种。前者是通过信息炸弹或拒绝服务等攻击方式,扰乱数字政府信息系统正常运行;后者则是入侵数字政府信息系统,窃取信息系统保密资料。网络信息攻击不仅会威胁数字政府电脑系统和移动终端,即信息系统的软件、硬件,以及所使用的数据,也会对数字政府信息系统正常运行产生影响,降低数字政府信息系统的保密性、可用性和准确性。
信息安全漏洞。由于硬件、软件及协议在实现过程中或系统安全策略上具有缺陷,恶意程序能够从硬件、软件及协议中窃取内存空间信息,从而造成用户信息、账户信息、用户密码、密钥以及其他可存储于内存中的信息外泄。特别是在数字政府建设进程中,攻击者可基于信息系统的安全协议,利用网络安全漏洞劫持数字政府网络信息流,甚至直接威胁到与数字政府相互关联的软硬件设备安全。如包括信息系统设计漏洞、软硬件中隐藏的漏洞、集成配置漏洞、管理漏洞等信息系统漏洞缺陷的存在,使得攻击者可利用各种手段对政务信息系统的组件、结构和信息进行篡改和销毁,导致政务信息丢失,整个系统瘫痪和不可恢复。
信息泄露。数字政府建设进程中往往也会存在信息泄露途径,使得用户信息等遭到泄露。一是个人隐私数据信息暴露问题。如在政务数据开放过程中,攻击者能够依托深度学习技术、数据挖掘技术、爬虫技术等先进技术从分散的数据中挖掘出数据集之间的联系,完成信息拼图,再度识别政务开放数据信息,以及加工和集成非隐私数据信息,从而追溯公民、用户的个人隐私,带来严重的个人隐私泄露风险,甚至造成个人隐私信息大面积披露风险。二是国家安全信息遭到泄露问题。数字政府也涉及一部分国家安全的信息。这些信息被公开、共享,与国家安全相关的信息变得更容易检索,在各种数据挖掘、处理、分析技术和软件的支持下,国家安全信息被泄露的风险也极大增加。
(二)政府数据安全治理问题
数据安全治理是实现国家总体安全的重要基石。政府数据安全治理问题是指数字政府在运用数据治理过程中所面临的内外部环境变化,对政府数据搜集、整理、运用、经营、反馈、维护等各个领域、各个环节造成冲击,滋生重大数据安全治理问题。胡峰认为,要提升政府数据安全治理效能,必须实现政府数据安全的全流程治理。随着政府数字化建设速度不断加快,数字政府建设在提升国家数据治理效能的同时也带来了新的国家数据安全治理问题。在数字化政府建设进程中,主要面临的新的国家数据安全治理问题包含政府数据滥用、政府数据监管难度增加。数字政府建设进程中面临着技术安全风险,易引发网络信息攻击、信息漏洞安全、信息泄露等风险,在一定程度上对政府在政务数据运营和使用、监管和反馈过程中产生严重影响。同时,政府信息滥用、监管难度增加也将导致数字政府建设过程中技术标准不过关、规范性不合理,容易产生技术风险。
政府数据滥用。数字政府在获得用户同意采集了个人信息后,如果漠视用户权利或者由于管理不善导致用户的敏感数据和信息被滥用,数字政府的信誉将受到严重损害,从而失去用户的信任和市场机会。如随着智能设备应用规模在数字政府建设进程中不断扩大,政府通过数字化手段收集了大量的用户敏感信息。而数字政府与普通用户在数据使用上的地位不对等,数字政府能够对用户提供的个人隐私信息提出要求,以及如果未经授权就把用户数据提供给第三方等,这将可能出现信息数据滥用的风险。政府数据尤其是政府数据开放产生的数据滥用问题将导致公众对数字政府的信任度持续降低,影响参与主体参与数字政府建设的积极性,广泛使用数据和服务的主体可能会减少,减缓数字政府建设进程。
政府数据监管难度增加。在获取数据信息资源过程中,数据链因新一代信息技术的广泛应不断延长,且数据信息参与者、管理者、处理者也随着数据链延长而不断增加,随着参与主体不断壮大,数字政府对数据使用、流动、管理的参与主体、参与环节的监管难度增加。特别是随着数据信息流动速度加快,对数据信息的需求也会增加,数字政府作为搜索与集中数据信息最为重要的主体,单独依靠自身也难以完成庞大的数据信息搜集与整理,为提升数据信息共享度、加快数据信息搜集和整理,也需要企业、机构及其他社会力量参与,而随着参与数据信息搜集和整理主体的增加,也增加了对数据信息的监管难度。此外,如果对政府数据监管强度过高,会在一定程度上制约政府数据开放程度,影响数据的使用、营运、反馈;如果对政府数据监管强度过低,容易引发数据滥用、数据泄露等问题,造成数据信任危机。此外由于新一代信息技术的广泛应用,数据的传播途径变得更加复杂化和多样化,这将进一步增加数据监管成本,导致监管效率下降,从而破坏政府数据运行机制,降低数据治理效率。
(三)社会治理有效性问题
社会治理有效性问题是指数字政府在治理过程中所面临的内外部环境变化,以及各个群体、各个层面、各个环节的反应对治理成效造成冲击,尤其是社会公众对社会治理的反应,可能对社会治理效果产生不良影响,降低社会治理有效性。如在数字化政府建设进程中,由于不同社会群体在经济条件、受教育年限、信息资源分布等方面存在差异,导致社会公众对数字政府开放提供的数据信息获取、掌握、使用的程度也存在差异,特别是在政府数字化背景下,这种差异将更加明显,即数字鸿沟出现导致不同社会阶层在掌握数字技术、享受经济发展成果的过程中出现阶层分化差异。一方面,一部分社会公众因数字经济素养较低,获得政府数据开放带来的效益可能性也较低,尤其是获得更高价值、更高可用性的政府数据可能性将更低,这将产生更大的数字鸿沟,导致政府治理效果降低。另一方面,当社会公众素养较低时,还可能获取到部分价值较低、可用性较差甚至本身存在错误的数据。比如数据在传输过程出现错误、原始数据错误或者垃圾数据、冗余数据,会增加社会公众在掌握和利用数据过程中的对数据的分辨难度,误读误用数据的概率增加,容易造成社会公众片面地解读政府开放的数据。
三、数字政府建设进程中安全风险成因分析
在数字政府建设进程中可能面临着技术风险、政府数据安全治理问题以及社会治理有效性问题等一系列风险,分析这些风险产生的原因,是有效规避和防范风险的前提。
(一)科技原始创新能力有待加强
当前,以人工智能、移动通信、物联网、量子信息、区块链为代表的新一代信息技术加速突破应用,颠覆性科学技术不断取得重大突破,如新型基因技术、纳米技术、可再生资源技术、能源技术以及深空深海技术不断发展,技术数字化、智能化趋势不断加速。但现阶段,我国科技原始创新能力仍有一定的短板,成为引发数字政府建设出现技术风险的主要原因。一方面,同世界发达国家相比,我国重大原始创新成果偏少,高质量专利等产出落后于世界主要创新型国家;另一方面,基础研究投入强度不足,虽然近年来我国基础研究投入快速增长,但还落后于世界主要创新型国家的投入水平。正是由于重大原始创新成果偏少以及基础研究薄弱,数字政府建设进程中容易出现关键核心技术的短板,当关键核心技术攻关问题无法有效解决时,现有网络技术无法有效预判网络攻击的环节、位置,也无法及时弥补不断出现的网络漏洞,进而无法有效阻止信息泄露,从而使得在数字政府建设过程中容易发生网络攻击、漏洞安全、信息泄露等风险。
(二)数据规范体系建设有待完善
近年来,我国相继出台了《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国信息安全技术个人信息安全规范》和《中华人民共和国数据安全管理办法》等确保网络信息安全、惩罚隐私侵犯的公共政策和法律规定,有利于为我国网络安全保驾护航,有利于保护公民信息安全。但随着数字经济蓬勃发展,与网络信息安全、惩罚隐私侵犯相关的公共政策和法律规定在时效性、执行力、约束性等方面还存在不足,可能造成法律法规、公共政策在数字经济治理等方面存在一定真空领域,对数字政府利用数据治理造成一定冲击。特别是在数字政府建设进程中,如果缺乏统一的数字政府开放数据库,难以对政务数据进行追踪,既增加了数据滥用的可能性,也增加了数据监管的难度。
(三)数字政府治理模式有待健全
数据管理部门与业务部门的权责不清晰、激励和监督问责机制不健全,是制约数字政府运行效率提升的主要原因。当政府数据采集者、管理者和使用者的权责尚未明晰时,如部门的“数据职责”尚未实现清单化管理,将导致数据采集生成、更新维护、共享使用难以实现规范化管理。而激励和监督问责机制不健全则是导致政府数据滥用的主要原因,由于缺乏激励机制,数据采集者与其他数据使用者、管理者共享数据的积极性和意愿降低,更多选择一种非正式渠道共享数据,导致数据滥用现象产生,数据监管难度加大。同时,数据管理部门与数据业务部门协同性较弱,线上与线下流程和业务的协同程度较低,均制约了数字政府的运行效率。此外,数字政府数据市场化程度快慢也会影响数字政府运行效率,数据市场化程度越高越有利于提高数字政府运行效率;而数字政府运行效率越高,越有利于减少数据滥用事件的发生几率,降低数字政府监督成本,提升数字政府数据治理水平,反之亦然。
(四)社会公众素养有待提升
在数字经济迅速发展的背景下,政府大数据来源渠道和维度不断拓展,如新一代信息技术突破了传统的人与人之间的关联,发展成为人与物之间、物与物之间多链接交叉的数据关系,使得政府数据来源类型更加多样化,提升了数字政府数据供给端水平,有利于增加数字政府数据开放水平,使得社会公众能够获取更多的数据资源。一般地,拥有良好的受教育年限和较高素养水平的群体和阶层,将更加容易获取、掌握、使用数字政府提供的数据,在获取过程中可以利用自身的知识素养、技术经验,降低其搜寻成本,并能够迅速地掌握这些数据,同时较好地加以利用。反之素养较低的社会群体,可能缺乏获取、掌握和利用政府数据的必要的知识和工具,导致其能够获得数字政府数据开放的可能性较小,有效使用开放数据难度增加。根据中国科协发布的第10次全国公民科学素质调查结果,2018年我国具备基本科学素质的公民比例达8.47%,与创新型国家相比,我国公众的基本科学素养仍然偏低,降低了数字政府治理效率。
四、数字政府建设进程中安全风险治理策略
在数字政府建设进程中可能面临着技术风险、政府数据治理问题以及社会治理有效性问题等一系列安全风险,而有效规避和防范这类风险,是数字政府建设能够顺利推进的重要保障。本文根据数字政府建设进程中面临的不同安全风险,按照诱导成因,提出风险规避和治理的策略,以维护信息和数据安全,实现数据安全治理,提高社会治理有效性,从而实现数字政府资源利用效用最大化。为有效防范上述潜在的安全风险,数字政府要从加快提升信息安全技术水平、构筑数据安全规范体系、健全数字政府建设的治理模式与运行机制、提升社会公众素养水平等四个方面发力,建立数字政府安全保障体系。
(一)提升信息安全技术水平,维护信息安全
提升信息安全技术水平是防范信息安全风险的关键,也是实现政府政务数据开放共享的保障。信息安全技术的水平越高,越有利于降低遭受网络信息攻击和阻止信息安全漏洞出现的概率。一方面,构建以基础研究、应用研究、前沿技术、科技成果转化为核心的现代国家技术创新体系,明确各类技术创新主体在技术创新链中不同环节的功能定位,激发技术创新主体活力,夯实原始创新的基础。同时鼓励和支持大中型企业、行业领军企业面向“卡脖子”技术和世界前沿技术建立研发机构,打造高水平高标准高层次的研发体系,构建专业化数字技术转移服务体系。并强化国家自然科学基金支撑源头创新的作用,资金投入更加聚焦基础学科和前沿探索,建设一批支撑高水平创新的基础设施和平台,提升我国基础研究整体水平,着力实现基础研究和原创成果的重大突破。
另一方面,推动技术突破与数字政府建设进程中重大技术需求的有机结合,全力提升信息安全技术能力。依托新一代信息技术开发“智能化”信息安全风险管控核心技术,以构筑“立体化”信息安全技术防护体系。例如,开发终端用户行为新型检测技术,以检测网络和系统中的异常信号,监测网络攻击行为;开发智能预测技术,防范高端网络攻击和威胁;创新生物识别系统、反欺诈与身份管理技术、神经网络技术,防范漏洞恶意攻击和网络欺诈。同时,不断强化新型检测技术、职能预测技术和人工智能技术的应用与反馈,增强智能硬件、通信网络与云平台的安全性,进一步提升数据加密、数据脱敏、访问控制等数据内容的安全性,有效防范木马、黑客程序及开源软件漏洞的攻击风险。
(二)构筑数据安全规范体系,维护数据安全
加快构筑数据安全规范体系,是应对网络攻击和安全漏洞相关措施的根本途径,也是信息数据不被滥用与不易泄露的根本保障。越健全的数据安全规范体系,越能够降低信息数据滥用及信息泄露的概率,越有利于发挥数字政府数据开放带来的经济价值、科技价值和社会价值。
第一,建设数据安全防范数据库。数据安全防范数据库作为数据信息收集、共享、修复、防范的基础,有利于实现数字政府对数据发现、创建、获取、采集、整理、处理、储存、共享、增值等运行环节进行监控和管制。并依托此数据库,利用信息采集技术、智能分析和预测技术,及时预警数据滥用和数据泄露;同时利用人工智能数据风险管理平台,及时反馈、防护和应对数据滥用和数据泄露问题。第二,健全完善数据安全法规,不断细化数据安全政策法规实施细则,并促进数据安全保障机制升级,实现从领导小组数据管理到标准化首席数据管理升级。第三,加强数字政府数据安全评估体系建设,制定多层次、多指标的信息安全、数据安全风险评估指标体系,判定数字政府建设进程中何种指标应该提升到关注的地位。比如,某一指标的权重反映了组织风险、数据风险、系统风险、网络风险、法律风险、决策风险在数字政府信息安全和数据安全风险中的地位,当这一指标权重提升时,说明数字政府应当及时关注这一类风险,提前作出合理的预判与防范。第四,建立政府数据资源清单,加强政府数据分级分类管理,根据政府数据开放共享优先原则和开放共享标准,对开放共享数据与敏感数据进行区分管理。此外,加快数据标准体系建设,通过构建数据标准管理组织、制定数据标准管理制度、建设数据标准管理平台等方式加快数据标准体系建设。
(三)健全数字政府治理模式与运行机制,保障数据安全治理
一是健全数字政府治理模式,推动政府职责体系与机构设置适应数字治理的要求。首先,要充分发挥数字政府顶层设计的优势,一方面建立统筹协调各级地方政府的长效联动机制,实现地方政府向数字政府治理转变。另一方面推动实现数字政府治理标准化,打造数字政府治理标准,整合数字政府资源,强化“政府—社会—公众”联动。其次,以业务协同为导向,明确政府各部门各层级数据归集、存储、归档、共享、开放、应用、安全、反馈、修复等职责,并进一步细化职责分工及履行流程、方式、方法,明确各部门各岗位采集、共享、使用的数据清单的权责,整合线上职责与线下部门分工对应协调,理顺线上线下业务部门的协调关系,同时建立健全数据治理制度和激励标准体系,强化数据治理能力。再次,充分利用数字政府在数据治理过程中的权威性、专业性、及时性及真实可靠性,以社会需求为核心,以平衡各方利益、展现政府作为为原则,提高数字政府数据治理水平,提升化解风险的能力。同时,要充分利用数字政府大数据应用平台,鼓励全社会力量参与数据治理,组建数据治理专业队伍,加快全能型“数字人才”培养,最终实现数据“善治”的目标。最后,加强数政府科学化决策治理监督。要更注重包括数据生命周期各个环节在内的全动态治理的监督,降低数字政府治理主体多元化带来的寻租弊端,推动数字政府建设向更加透明、更加有效、更加公正的方向发展,全面提升政府治理的智能化和精准化。此外,建立健全“互联网+监管”制度,依托信用分级分类管理以及基于信用风险分类结果的差异化监管方式,提升监管的精确性。
二是推动数据要素市场化,提升数字政府运行效率。加快推进数据要素市场化改革,是提升社会生产力水平,促进经济高质量发展,构建维护经济安全的重要屏障。数据要素作为信息社会最为重要的生产要素之一,一方面既要加强对数据要素的保护力度,另一方面又要推进数据要素市场化。加快数据要素市场化,能带动加快其他诸如劳动力、资本、土地、技术等要素的市场化进程,从而推动要素自由流动,实现要素资源的有效配置,促进经济高质量发展。首先,建立并完善数据要素市场的法律法规、政策制度,从立法层面和制度层面确定数据资源的所有权、使用权、流转权等,进而保障数据采集、传输、存储、处理、交换等过程有序进行,最大化发挥数据要素市场化的价值。其次,建立一体化数字资源系统。重构数字资源身份信息,以数字资源生命周期作为主要管控对象,对数字资源进行全面盘点,并形成数字资源智能化系统。数字政府依托一体化的数字资源系统,在统一规范的数据共享管理制度下,有条件、有序地放开政府的数字资源,稳步推进数字资源市场化配置,并促进各级政府的数字资源协调发展,以及加快数字化改革进程。最后,优化数据运行生态环境。一流的数据运行生态系统能够提供数据创新发展动力、促进数据与其他要素协同共生、实现数据资源整合、推动数据运行环境匹配和平衡数据利益分配。要以市场化、标准化为交易准则,以市场价、成本价、现金流为定价手段,健全数据的评估机构和数据交易场所,打造良好的数据要素市场运营秩序和环境,并积极推动数据资源国际交流、合作与运用。
(四)提升社会公众素养,提升治理效率
提升社会公众素养不仅是化解社会层级分化、贫富差距扩大等风险的重要途径,更是提升数字政府治理能力的关键环节。提升社会公众素养就是要提升社会公众的数字经济意识、数字经济知识、数字经济技能以及数字安全水平等,从而提升社会公众数字经济认知能力,提高社会公众在大数据和网络化大环境下应对数字安全产生威胁的应急反应能力。在推进数字政府建设进程中,政府部门、市场主体、社会主体、公民个体逐步形成一个整体,随着社会公众素养的不断提升,也提高了这一整体的认识力、创造力和运用力,数字政府治理水平和效率将进一步上升。
首先,提升数字政府建设进程中各个参与主体、治理主体、应用主体的素养水平。要强化并提升数字政府管理层、业务层关于数字经济的工作职责、行政伦理、道德操守、思想觉悟等水平,全面提升其数字经济意识;要加强对数字政府数据使用者、应用者的数据安全知识、意识、技能等方面的培训、教育,加快推进国家数字教育战略的实施,将数字教育纳入通识教育,全面提升数字经济知识;要健全数字政府数据开放共享过程中管理层、业务层、使用者、应用者之间的反馈、修正等机制,全面提升数字经济技能,从而实现多元参与主体、治理主体之间的联动,构建数字安全生态。
其次,加快数字安全战略力量建设,打造数字安全的中流砥柱。为缓解数字政府建设急需的安全技能型人才短缺的困境,必须完善数字安全技能型人才发现、培养、激励机制,强化数字安全战略力量建设。要采取设立数字安全研究基金、高层次数字安全技能型人才引进专项资金,实施数字安全技能型人才优惠政策等措施,引进优秀的高精尖数字安全技能、管理人才;要坚持通过开展校企联合招生、联合培养试点模式,加快数字安全技能型人才的培养;要提高数字安全技能型人才的收入水平、激励强度,制定符合政府实际需要的数字安全技能型人才培养制度。
|