啟明星辰董事長(zhǎng)、全國(guó)政協(xié)委員嚴(yán)望佳兩會(huì)提案

——建言推行信息系統(tǒng)歷案制度、關(guān)注弱勢(shì)群體、大數(shù)據(jù)安全等

近日召開的全國(guó)兩會(huì)上，啟明星辰信息技術(shù)集團(tuán)股份有限公司董事長(zhǎng)、全國(guó)政協(xié)委員嚴(yán)望佳向大會(huì)提交了三份提案，內(nèi)容涉及推行信息系統(tǒng)歷案制度、讓弱勢(shì)群體共享發(fā)展紅利、建立云管端數(shù)據(jù)專項(xiàng)保障責(zé)任制度等方面。

這三個(gè)提案分別是：

1、關(guān)于在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)等推行關(guān)鍵信息系統(tǒng)歷案制度的提案

2、關(guān)于讓弱勢(shì)群體共享信息科技快速發(fā)展紅利的提案

3、針對(duì)大數(shù)據(jù)安全，建立云管端數(shù)據(jù)專項(xiàng)保障責(zé)任制度的提案

提案一：關(guān)于在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)等推行關(guān)鍵信息系統(tǒng)歷案制度的提案

案 由：關(guān)于在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)等推行關(guān)鍵信息系統(tǒng)歷案制度的提案

審查意見：建議中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、公安部、國(guó)家保密局研究辦理

提案人：嚴(yán)望佳

主題詞：網(wǎng)絡(luò)安全、系統(tǒng)歷案

提案形式：個(gè)人提案

內(nèi) 容：

一、問題及原因分析

今年作為十三五的開局之年，國(guó)家信息化應(yīng)用出現(xiàn)新常態(tài)，信息化成為新““四化”之一；“云大物移智”等新IT和DT得到規(guī)模應(yīng)用；信息安全、網(wǎng)絡(luò)空間安全已經(jīng)提升到國(guó)家安全的層面。“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”，網(wǎng)絡(luò)安全的重要性和意義不言而喻，對(duì)于關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)而言更是如此。

但現(xiàn)實(shí)問題是信息“孤島”、“煙囪”等問題常見，系統(tǒng)安全建設(shè)成效難以衡量；由于缺少完善的責(zé)任體系導(dǎo)致一旦出現(xiàn)問題難以追責(zé)；在網(wǎng)絡(luò)安全緊急情況發(fā)生時(shí)，應(yīng)急處置人員難有一手的全面信息。究其因由，至少包括以下三大基本管理缺失：

（1）對(duì)比建筑行業(yè)中比較完善的建筑安全落實(shí)到人的終身責(zé)任制體系，當(dāng)前信息系統(tǒng)設(shè)計(jì)建設(shè)常常沒有明確的總設(shè)計(jì)師和架構(gòu)師簽字負(fù)責(zé)，也沒有清晰的法人或自然人責(zé)任，導(dǎo)致出現(xiàn)責(zé)任事故和損失之后，難于清晰追責(zé)。在模糊的責(zé)任體系下，安全事故也很容易被隱瞞，進(jìn)而導(dǎo)致更嚴(yán)重的后果。

（2）對(duì)比醫(yī)療行業(yè)中人的出生證明、病例、死亡證明等全生命周期記錄體系，當(dāng)前信息系統(tǒng)缺少覆蓋系統(tǒng)全生命周期的記錄，系統(tǒng)隨后的改造、維護(hù)等變化情況常常沒有正式的記錄。有些環(huán)節(jié)可能有記錄，但是系統(tǒng)沒有一個(gè)全生命周期的整體匯總和存檔。

（3）對(duì)比財(cái)務(wù)審計(jì)體系所建立的對(duì)于重要機(jī)構(gòu)的定期和關(guān)鍵點(diǎn)審計(jì)制度，信息系統(tǒng)在其生命周期過程的審計(jì)制度還沒有有效建立起來�，F(xiàn)在常見的項(xiàng)目制風(fēng)險(xiǎn)評(píng)估活動(dòng)，難于及時(shí)發(fā)現(xiàn)信息系統(tǒng)的管理性隱患和過程性缺失。

上面三大基本管理缺失，簡(jiǎn)單說就是：第一沒有清晰的責(zé)任體系、第二沒有必要的過程情況和證據(jù)記錄、第三沒有對(duì)于記錄信息的定期審計(jì)審核。因此，當(dāng)前的信息系統(tǒng)無法“治未病”，也難于“治急病”。

二、具體建議

對(duì)于關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)而言，無論從信息系統(tǒng)的全生命周期管理這一自身需要的角度還是從信息安全對(duì)于國(guó)家安全重大意義的角度，特提出以下建議：在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)等推行《信息系統(tǒng)歷案制度》，將其作為安全責(zé)任體系和安全管理、應(yīng)急、審計(jì)的落實(shí)抓手。

《信息系統(tǒng)歷案制度》就如同大型建筑都有簽署備案的建筑設(shè)計(jì)文件和后續(xù)維修改造記錄文件，就如同病人在醫(yī)院都有完善的病歷一樣，就如同銀行交易和公司財(cái)務(wù)過程都有財(cái)務(wù)賬簿一樣。“歷案”是歷史檔案信息的簡(jiǎn)稱。信息系統(tǒng)歷案就是重要信息系統(tǒng)生命周期過程中批準(zhǔn)立項(xiàng)、設(shè)計(jì)、建設(shè)、交割、運(yùn)行維護(hù)、應(yīng)急、消亡等等各個(gè)環(huán)節(jié)產(chǎn)生和被記錄的、完整的、詳細(xì)的、“活著”的信息；是信息系統(tǒng)“生存”過程的“元數(shù)據(jù)”（Meta-data）。

從宏觀上講，構(gòu)建標(biāo)準(zhǔn)化、結(jié)構(gòu)化的信息系統(tǒng)歷案是系統(tǒng)健康檔案的前提和基礎(chǔ)，可以對(duì)產(chǎn)業(yè)的生態(tài)環(huán)境、政府的管理方式、企業(yè)IT環(huán)境治理、信息安全的整體架構(gòu)都產(chǎn)生深遠(yuǎn)影響，利于我國(guó)信息安全產(chǎn)業(yè)形成良好、健康的生態(tài)環(huán)境。

從微觀上講，信息系統(tǒng)歷案制度可以全面記錄信息系統(tǒng)要素，實(shí)現(xiàn)全要素、全數(shù)據(jù)、全記錄、全流程管理，這些由長(zhǎng)期的、大量的建設(shè)數(shù)據(jù)和生產(chǎn)數(shù)據(jù)構(gòu)成的原始材料和原始數(shù)據(jù)可以發(fā)揮最基礎(chǔ)的作用，比如可以作為衡量信息系統(tǒng)建設(shè)質(zhì)量、效果和健康度的評(píng)價(jià)指標(biāo)；可以作為監(jiān)督檢查和責(zé)任認(rèn)定工作的可靠抓手；可以作為制定戰(zhàn)略規(guī)劃和建設(shè)計(jì)劃的重要依據(jù)。歷案機(jī)制可用于構(gòu)建信息系統(tǒng)全生命周期閉環(huán)管理與監(jiān)控體系的方法手段，然后根據(jù)角色和業(yè)務(wù)環(huán)節(jié)的不同有效使用系統(tǒng)的這些歷案信息，有助于快速應(yīng)急響應(yīng)和恢復(fù)；有助于不同系統(tǒng)、不同部門、不同單位間的協(xié)同和處置；有助于領(lǐng)導(dǎo)層決策。

具體建議如下：

（1）制定詳細(xì)的關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)清單，為信息系統(tǒng)建檔立案，執(zhí)行歷案制度。

建議在以下關(guān)系到國(guó)防安全、國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)等領(lǐng)域建立詳細(xì)清單：政府、電信、金融、能源、教育、大型企業(yè)、軍隊(duì)軍工、交通、媒體、醫(yī)療衛(wèi)生等。

就像為個(gè)人建立電子健康檔案和病歷一樣，需要為單位的信息系統(tǒng)或行業(yè)的信息系統(tǒng)建立健康檔案和病歷。

歷案中的關(guān)鍵記錄都應(yīng)當(dāng)有責(zé)任人的責(zé)任記錄。必要時(shí)可以留存簽字或電子簽章。

（2）在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)設(shè)立系統(tǒng)歷案機(jī)制的管理崗位。

在關(guān)鍵基礎(chǔ)設(shè)施、敏感部門、政府機(jī)構(gòu)設(shè)立歷案管理部門和責(zé)任人員（比如首席信息安全官），充分賦予其相應(yīng)的權(quán)限和職位，不限于以下內(nèi)容：該部門及其負(fù)責(zé)人直接匯報(bào)給最高決策者；全權(quán)負(fù)責(zé)系統(tǒng)歷案機(jī)制的設(shè)計(jì)、推廣和應(yīng)用；以歷案數(shù)據(jù)為基礎(chǔ)可以咨詢、審批或驗(yàn)證現(xiàn)有的IT投資計(jì)劃。

（3）建立歷案的第三方審核審計(jì)制度

在關(guān)鍵信息系統(tǒng)的全生命周期過程得到有效的歷案數(shù)據(jù)記錄之后，應(yīng)當(dāng)建立第三方審核審計(jì)制度。在機(jī)構(gòu)內(nèi)部由獨(dú)立于建設(shè)、運(yùn)行、使用、監(jiān)測(cè)的第三方部門執(zhí)行長(zhǎng)期的審計(jì)審核。在機(jī)構(gòu)外部，由國(guó)家主管機(jī)構(gòu)和第三方審計(jì)機(jī)構(gòu)可以在授權(quán)下對(duì)于歷案進(jìn)行審核審計(jì)。

（4）歷案數(shù)據(jù)必須得到恰當(dāng)?shù)膽?yīng)用、管理和保護(hù)。

信息系統(tǒng)歷案不僅是綜合信息的電子文件集合，更重要的是其在質(zhì)量控制、決策支持、運(yùn)營(yíng)管理、信息共享、行為監(jiān)管和責(zé)任認(rèn)定方面有著十分重要的作用，可以作為日常安全管理工作中的一個(gè)重要依據(jù)和抓手，也是跨部門團(tuán)隊(duì)合作和協(xié)同的一條紐帶，是專家“會(huì)診”和“聯(lián)合作戰(zhàn)”的沙盤。

在歷案制度下，大量的歷案數(shù)據(jù)被留存下來。對(duì)于這些數(shù)據(jù)要做好采集留存、公示、保密和留證、查閱等管理工作。特別是一些敏感的歷案數(shù)據(jù)，要得到必要的安全保護(hù)。

（5）做頂層設(shè)計(jì)，制定信息系統(tǒng)歷案制度和實(shí)施指南

系統(tǒng)歷案屬于比較新型的做法，為信息系統(tǒng)建病歷是信息化建設(shè)的一種創(chuàng)新，在業(yè)務(wù)、技術(shù)、管理、法規(guī)遵從等方面要求非常高，并且這種要求不僅僅針對(duì)于責(zé)任部門和任職人員也針對(duì)于系統(tǒng)的各個(gè)相關(guān)方。國(guó)家相應(yīng)部門需要針對(duì)信息系統(tǒng)歷案制定培訓(xùn)、資格認(rèn)定、考核等一系列的人才保證措施。

建議國(guó)家相關(guān)部門針對(duì)信息系統(tǒng)歷案進(jìn)行頂層設(shè)計(jì)，建章立制作為合規(guī)要求。也可考慮將歷案制度結(jié)合到等級(jí)保護(hù)制度和分級(jí)保護(hù)制度中來實(shí)施。

提案二：關(guān)于讓弱勢(shì)群體共享信息科技快速發(fā)展紅利的提案

案 由：關(guān)于讓弱勢(shì)群體共享信息科技快速發(fā)展紅利的提案

審查意見：建議中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室，中華人民共和國(guó)工業(yè)和信息化部，民政部，全國(guó)老齡工作委員會(huì)，中國(guó)殘疾人聯(lián)合會(huì)研究辦理

提案人：嚴(yán)望佳

主題詞：弱勢(shì)群體、共享、信息科技紅利

提案形式：個(gè)人提案

內(nèi) 容：

一、問題及原因分析

隨著國(guó)家“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃的提出和推進(jìn)，互聯(lián)網(wǎng)對(duì)于整體社會(huì)的影響進(jìn)入到新階段，網(wǎng)絡(luò)空間與物理空間呈現(xiàn)加速融合的趨勢(shì)，成為人們生活的第二空間。在2015年世界互聯(lián)網(wǎng)大會(huì)上，習(xí)近平主席提出要“讓互聯(lián)網(wǎng)發(fā)展成果惠及13億多中國(guó)人民”。然而，部分人群（殘障人士、老年人、教育水平低者、經(jīng)濟(jì)落后區(qū)域的人）卻因?yàn)橹�、客觀原因不能享受高科技發(fā)展的成果，他們?cè)�本熟悉的生活方式，如買票、掛號(hào)、購(gòu)物等被顛覆性地改變，原有的生活空間被壓縮，生活方式被邊緣化，易產(chǎn)生“被社會(huì)拋棄”的自卑感。完善保護(hù)上述弱勢(shì)群體使用信息科技的權(quán)利，進(jìn)行信息無障礙建設(shè)，對(duì)保障該群體平等參與社會(huì)生活，發(fā)展經(jīng)濟(jì)、維護(hù)社會(huì)穩(wěn)定等均具有現(xiàn)實(shí)性和戰(zhàn)略意義。

信息無障礙指的是任何人都能夠方便、快捷地獲取自己想要并且有權(quán)利獲取的信息，主要用于互聯(lián)網(wǎng)環(huán)境，大意是：互聯(lián)網(wǎng)產(chǎn)品可以被老年人、視障者、聽障者、讀寫障礙人士等用戶順暢使用。盡管我國(guó)的政府部門、企業(yè)界、學(xué)術(shù)單位、公益組織等實(shí)體在該方面做了大量工作，但尚存在以下問題：

（1）法律法規(guī)、技術(shù)標(biāo)準(zhǔn)等尚待完善與更新。我國(guó)自本世紀(jì)初開始，陸續(xù)頒布了《殘疾人保障法》、《無障礙環(huán)境建設(shè)條例》等法律標(biāo)準(zhǔn)，為信息無障礙建設(shè)指明了大方向，但這些法律、法規(guī)側(cè)重于實(shí)體(建筑)空間的無障礙建設(shè)，對(duì)于虛擬(網(wǎng)絡(luò))空間無障礙建設(shè)一筆帶過；國(guó)際組織W3C、中國(guó)工信部、騰訊等實(shí)體發(fā)布了一系列針對(duì)性強(qiáng)的技術(shù)性文檔和導(dǎo)則，搭建了網(wǎng)頁(yè)、輔助技術(shù)、移動(dòng)終端的信息無障礙設(shè)計(jì)及評(píng)估框架，但單一的技術(shù)框架尚不足以形成完整的貫穿信息無障礙建設(shè)全生命周期的法律標(biāo)準(zhǔn)體系。

（2）缺少落實(shí)各類標(biāo)準(zhǔn)、法規(guī)的引導(dǎo)、鼓勵(lì)政策。盡管我國(guó)已制定了諸多法律、法規(guī)及標(biāo)準(zhǔn)，在信息無障礙建設(shè)方面取得了一定成就，但因?yàn)榻ㄔO(shè)成本高、意識(shí)淡薄等原因，信息無障礙的落實(shí)主要依靠專項(xiàng)行動(dòng)等行政性措施以及小部分受眾的推動(dòng)來實(shí)現(xiàn)。

（3）缺少信息無障礙建設(shè)專項(xiàng)促進(jìn)基金。

二、具體建議

目前我國(guó)的殘障人士約有8502萬人，老年人約有2.4億人，而且我國(guó)的老齡化進(jìn)程在不斷加速。通過無障礙信息建設(shè)，我國(guó)已有100多萬視障人士在網(wǎng)絡(luò)平臺(tái)上開店，獲得經(jīng)濟(jì)收入；同時(shí)，一批視障測(cè)試工程師及聾啞編程員在自己的工作崗位上發(fā)揮著才能。為了讓更多的弱勢(shì)群體共享信息技術(shù)快速發(fā)展的紅利，特在此建議：

（1）修訂、完善我國(guó)信息無障礙建設(shè)的法律、法規(guī)及標(biāo)準(zhǔn)等。

修訂我國(guó)已有的信息無障礙建設(shè)相關(guān)法律、法規(guī)及標(biāo)準(zhǔn)等，并予以完善。信息無障礙建設(shè)標(biāo)準(zhǔn)體系應(yīng)包括但不限于：

信息無障礙建設(shè)規(guī)劃標(biāo)準(zhǔn)。涵蓋內(nèi)容包括但不限于：明確對(duì)象（哪些網(wǎng)站、互聯(lián)網(wǎng)產(chǎn)品如app等）。通過大數(shù)據(jù)挖掘、用戶行為分析等，明確弱勢(shì)群體在互聯(lián)網(wǎng)空間的“公共場(chǎng)所”，優(yōu)先對(duì)這些“網(wǎng)絡(luò)空間公共場(chǎng)所”進(jìn)行信息無障礙建設(shè)；建設(shè)程度（照顧哪些對(duì)象，視力、聽力、肢體殘障人士或老年人等）；法律要求（強(qiáng)制執(zhí)行、選擇性執(zhí)行或鼓勵(lì)性執(zhí)行）及驗(yàn)收考核條件。

建設(shè)評(píng)估及效果評(píng)價(jià)體系，評(píng)估對(duì)象應(yīng)覆蓋實(shí)體信息無障礙建設(shè)的全生命周期，包括規(guī)劃、實(shí)施、運(yùn)維及反饋/改進(jìn)過程。促進(jìn)無障礙建設(shè)規(guī)范化，將無障礙需求融入到互聯(lián)網(wǎng)產(chǎn)品的全過程中。

法律、法規(guī)及標(biāo)準(zhǔn)制定過程須加強(qiáng)與國(guó)際標(biāo)準(zhǔn)制定組織的交流，并鼓勵(lì)相關(guān)方如互聯(lián)網(wǎng)企業(yè)、殘障團(tuán)體、公益組織等共同參與，提升法規(guī)標(biāo)準(zhǔn)的實(shí)用性及可落實(shí)性，推動(dòng)無障礙建設(shè)標(biāo)準(zhǔn)統(tǒng)一并與國(guó)際標(biāo)準(zhǔn)相銜接。

（2）出臺(tái)引導(dǎo)、鼓勵(lì)性政策，調(diào)動(dòng)各實(shí)體的積極性，積極落實(shí)信息無障礙建設(shè)。

各項(xiàng)規(guī)定、標(biāo)準(zhǔn)的落實(shí)需要國(guó)家機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)等實(shí)體的積極響應(yīng)，也需要科研機(jī)構(gòu)、產(chǎn)業(yè)界的技術(shù)支撐。國(guó)家應(yīng)從稅收、融資、人才等方面給予支持，促進(jìn)信息無障礙建設(shè)。

財(cái)稅方面，按照深化中央財(cái)政科技計(jì)劃（專項(xiàng)、基金等）管理改革的要求，充分發(fā)揮國(guó)家基金及專項(xiàng)的作用，采取減稅、無償?shù)榷喾N方式加大政府資金支持力度，引導(dǎo)社會(huì)資金投資；

投融資方面，加大對(duì)實(shí)施信息無障礙建設(shè)企業(yè)的融資擔(dān)保支持力度；對(duì)于研發(fā)信息無障礙技術(shù)的“雙創(chuàng)”企業(yè)，在享受“雙創(chuàng)”平臺(tái)的優(yōu)惠政策之上，疊加投融資優(yōu)惠；加快認(rèn)證一批由聾啞編程工程師、視障工程師組成或?yàn)槠浞��?wù)的企業(yè)為社會(huì)企業(yè)，給予投融資方面的優(yōu)惠，激發(fā)創(chuàng)造力及產(chǎn)業(yè)活力。

人才方面，加強(qiáng)專業(yè)院所相關(guān)專業(yè)的人才培養(yǎng)，加強(qiáng)與產(chǎn)業(yè)界的聯(lián)系，培養(yǎng)一批信息無障礙建設(shè)的領(lǐng)袖人物及技術(shù)專家；加強(qiáng)特殊人才發(fā)掘工作，發(fā)掘弱勢(shì)群體中信息技術(shù)方面表現(xiàn)突出的人才，加速人才成長(zhǎng)，縮短培養(yǎng)周期；并加強(qiáng)人員培訓(xùn)，制定計(jì)劃，按計(jì)劃對(duì)弱勢(shì)群體進(jìn)行分批的免費(fèi)信息技術(shù)培訓(xùn)，調(diào)動(dòng)弱勢(shì)群體使用信息技術(shù)的積極性。

（3）成立信息無障礙建設(shè)專項(xiàng)促進(jìn)基金。

該基金將由政府財(cái)政出資及社會(huì)籌資所得，并可引入創(chuàng)投、風(fēng)投等社會(huì)資本�；�金的資金狀況需及時(shí)、公開、透明地發(fā)布�；�金運(yùn)行情況接受社會(huì)大眾及政府上級(jí)機(jī)構(gòu)的監(jiān)督。

基金的用途包括但不限于：技術(shù)攻關(guān)，完善信息無障礙輔助技術(shù)及工具，促進(jìn)產(chǎn)、學(xué)、研結(jié)合，將已有技術(shù)研究成果進(jìn)行轉(zhuǎn)化；對(duì)于信息無障礙建設(shè)表現(xiàn)優(yōu)異的實(shí)體進(jìn)行獎(jiǎng)勵(lì)；人才教育、培養(yǎng)及培訓(xùn)；資助貧困弱勢(shì)群體學(xué)習(xí)信息技術(shù)、采購(gòu)網(wǎng)絡(luò)設(shè)備；對(duì)偏遠(yuǎn)地區(qū)進(jìn)行網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)及改造等；孵化、培育信息無障礙研究的初創(chuàng)企業(yè)。

提案三：針對(duì)大數(shù)據(jù)安全，建立云管端數(shù)據(jù)專項(xiàng)保障責(zé)任制度的提案

案 由：針對(duì)大數(shù)據(jù)安全，建立云管端數(shù)據(jù)專項(xiàng)保障責(zé)任制度的提案

審查意見：建議中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、國(guó)家發(fā)展與改革委員會(huì)、公安部、國(guó)家保密局等研究辦理

提案人：嚴(yán)望佳

主題詞：大數(shù)據(jù)安全、責(zé)任制度

提案形式：個(gè)人提案

內(nèi) 容：

一、問題及原因分析

當(dāng)前，在全球范圍內(nèi)，運(yùn)用大數(shù)據(jù)推動(dòng)經(jīng)濟(jì)發(fā)展、完善社會(huì)治理、提升政府服務(wù)和監(jiān)管能力正成為趨勢(shì)。在國(guó)外，政府?dāng)?shù)據(jù)開放較早，已經(jīng)形成了一系列通過大數(shù)據(jù)分析優(yōu)化資源配置、方便人民生活、開拓新興產(chǎn)業(yè)的成功案例；在國(guó)內(nèi)，也涌現(xiàn)出一批互聯(lián)網(wǎng)創(chuàng)新企業(yè)和創(chuàng)新應(yīng)用，一些地方政府已啟動(dòng)大數(shù)據(jù)相關(guān)工作。

基于人口紅利和移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展，在我國(guó)發(fā)展大數(shù)據(jù)應(yīng)用具有天然的優(yōu)勢(shì)。國(guó)務(wù)院在2015年8月31日印發(fā)了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，該綱要必將促進(jìn)國(guó)內(nèi)大數(shù)據(jù)應(yīng)用水平再上新臺(tái)階。

數(shù)據(jù)既然像石油一樣成為了越來越寶貴的資源，那么我們也應(yīng)該像保護(hù)石油資源一樣做好合理規(guī)劃和防護(hù)措施。否則數(shù)據(jù)資源一旦被竊取或?yàn)E用，輕則會(huì)造成個(gè)人隱私泄露干擾人民生活，重則甚至?xí)�危害社�?huì)公共秩序和國(guó)家安全。

目前在大數(shù)據(jù)應(yīng)用中存在的安全保障問題主要體現(xiàn)在以下幾個(gè)方面：

(1)持有大量數(shù)據(jù)的持有者（產(chǎn)生者、傳輸者、儲(chǔ)存者、應(yīng)用者等）沒有得到甄別；因此國(guó)家整體的數(shù)據(jù)持有情況和分布態(tài)勢(shì)不夠清晰，同時(shí)也難于開展關(guān)系到網(wǎng)絡(luò)空間主權(quán)和網(wǎng)絡(luò)社會(huì)安定之?dāng)?shù)據(jù)權(quán)屬的保護(hù)。大量數(shù)據(jù)可能在云計(jì)算云存儲(chǔ)環(huán)境中分析和儲(chǔ)存、可能在網(wǎng)絡(luò)中傳輸、可能在終端采集和應(yīng)用，在所謂“云-管-端”都可能是大數(shù)據(jù)的所在。

(2)難以界定“云-管-端”的大量數(shù)據(jù)(資產(chǎn))持有者的數(shù)據(jù)保護(hù)責(zé)任。

(3)缺乏第三方對(duì)于大量數(shù)據(jù)(資產(chǎn))持有者的監(jiān)督和審計(jì)。特別是一些由政府部門作為甲方主導(dǎo)而由乙方企業(yè)負(fù)責(zé)建設(shè)和運(yùn)維的電子政務(wù)云數(shù)據(jù)中心，對(duì)數(shù)據(jù)的使用缺乏獨(dú)立的監(jiān)管審計(jì)，存在數(shù)據(jù)濫用、敏感數(shù)據(jù)被竊取等風(fēng)險(xiǎn)；同樣，擁有大量用戶的終端APP是否非法非授權(quán)地采集數(shù)據(jù)、大量數(shù)據(jù)流過的運(yùn)營(yíng)商管道側(cè)數(shù)據(jù)是否被非法劫持，都沒有獨(dú)立第三方對(duì)于技術(shù)和流程的監(jiān)督和審計(jì)。

(4)在責(zé)任主體不清、責(zé)任不明、缺乏審計(jì)監(jiān)督的情況下，出現(xiàn)嚴(yán)重的數(shù)據(jù)泄露事故和數(shù)據(jù)濫用事件的時(shí)候，就難以合理有效地進(jìn)行追責(zé)。

(5)在缺乏有效追責(zé)的體制下，大量數(shù)據(jù)的持有者就缺乏監(jiān)督壓力、難以履行其必要的保護(hù)責(zé)任。當(dāng)前，一些擁有大量數(shù)據(jù)的持有者，在數(shù)據(jù)存儲(chǔ)環(huán)節(jié)中缺乏基本的安全保障措施、或者存在安全漏洞，導(dǎo)致系統(tǒng)被入侵而導(dǎo)致敏感數(shù)據(jù)泄露。近年來應(yīng)用系統(tǒng)被入侵并“拖庫(kù)”的安全事件層出不窮，大量用戶信息在黑色產(chǎn)業(yè)鏈中被反復(fù)交易，造成了嚴(yán)重的隱私泄露事件。

總之，在大數(shù)據(jù)時(shí)代，數(shù)據(jù)本身已經(jīng)成為了一種資產(chǎn)。當(dāng)前對(duì)于數(shù)據(jù)的采集、使用、存儲(chǔ)、轉(zhuǎn)移等過程，缺乏必要的監(jiān)管制度和安全保護(hù)措施，需要政府在政策和制度層面制定相應(yīng)的措施，以便更好推動(dòng)大數(shù)據(jù)應(yīng)用產(chǎn)業(yè)的發(fā)展。

二、具體建議

綜上所述，運(yùn)用大數(shù)據(jù)推動(dòng)經(jīng)濟(jì)發(fā)展、完善社會(huì)治理、提升政府服務(wù)和監(jiān)管能力正成為趨勢(shì)。但是，如果在應(yīng)用大數(shù)據(jù)的過程中缺乏必要的規(guī)劃和安全保障機(jī)制，又有可能導(dǎo)致數(shù)據(jù)被濫用或者數(shù)據(jù)丟失，造成公民隱私泄露，甚至?xí)�危害社�?huì)公共秩序和國(guó)家安全。建議在大數(shù)據(jù)應(yīng)用中做好大數(shù)據(jù)自身安全的保障工作，明確基本原則和相關(guān)責(zé)任制度舉措。

首先要有一個(gè)基本原則，就是把握發(fā)展與安全的關(guān)系和平衡。不能因?yàn)閷?duì)于大數(shù)據(jù)安全的擔(dān)憂而因噎廢食、過度保護(hù)。在當(dāng)前大數(shù)據(jù)蓬勃發(fā)展的初期，不建議推行強(qiáng)制性的事前審查審批措施，以免阻礙大數(shù)據(jù)的生產(chǎn)和增值活動(dòng)。

因此，建議推行以責(zé)任界定、責(zé)任驅(qū)動(dòng)、審計(jì)監(jiān)督、事后追責(zé)的“旁路”保障制度，督促“云-管-端”的大量數(shù)據(jù)持有者自主采取必要的保障措施。具體建議如下：

(1)責(zé)任界定、強(qiáng)制申報(bào)

建立大數(shù)據(jù)持有者的申報(bào)制度。在云上（數(shù)據(jù)中心側(cè)）持有大量數(shù)據(jù)、管道中（運(yùn)營(yíng)商等網(wǎng)絡(luò)）流過大量數(shù)據(jù)、海量用戶的終端和應(yīng)用程序，都必須對(duì)自身的數(shù)據(jù)責(zé)任進(jìn)行申報(bào)。

申報(bào)界限就是看所持有的數(shù)據(jù)是否涉及國(guó)家安全、涉及較大范圍的社會(huì)公共秩序（比如用戶數(shù)達(dá)到百萬）。這類就有申報(bào)的義務(wù)和強(qiáng)制責(zé)任。因此類似“在移動(dòng)終端側(cè)過度采集用戶數(shù)據(jù)”這類數(shù)據(jù)濫用情況，會(huì)有此機(jī)制予以制約。

申報(bào)受理單位建議由中央網(wǎng)信辦協(xié)調(diào)。

(2)責(zé)任驅(qū)動(dòng)的數(shù)據(jù)安全保障

根據(jù)“誰持有誰負(fù)責(zé)”的原則，對(duì)這些機(jī)構(gòu)一方面要從制度上進(jìn)行規(guī)范，防范由于人的原因造成的敏感信息泄露；另一方面要通過技術(shù)手段增強(qiáng)這些部門的抗風(fēng)險(xiǎn)能力，要通過建立完善的信息安全防護(hù)體系，及時(shí)發(fā)現(xiàn)潛在的安全威脅；通過定期的測(cè)試評(píng)估，及時(shí)排查信息系統(tǒng)中的安全隱患。

建立“云-管-端”不同情況下大量數(shù)據(jù)持有者所應(yīng)履行的基本數(shù)據(jù)保障規(guī)范和標(biāo)準(zhǔn)。相關(guān)要求可以考慮對(duì)接網(wǎng)絡(luò)審查制度、等級(jí)保護(hù)制度和分級(jí)保護(hù)制度。

(3)第三方獨(dú)立的審計(jì)監(jiān)督

建立獨(dú)立第三方的數(shù)據(jù)保護(hù)監(jiān)督審計(jì)制度。

對(duì)于在云上存有大量數(shù)據(jù)、管道中流過大量數(shù)據(jù)的機(jī)構(gòu)的相關(guān)保護(hù)技術(shù)和管理措施進(jìn)行審計(jì)。這方面要求可考慮對(duì)接網(wǎng)絡(luò)審查制度、等級(jí)保護(hù)制度和分級(jí)保護(hù)制度。

在終端側(cè)，對(duì)各類移動(dòng)互聯(lián)網(wǎng)應(yīng)用的數(shù)據(jù)采集進(jìn)行適度的規(guī)范和監(jiān)管，避免當(dāng)前過度無序采集的局面，避免移動(dòng)應(yīng)用在用戶不知情的情況下竊取數(shù)據(jù)。對(duì)于鼓勵(lì)移動(dòng)互聯(lián)網(wǎng)應(yīng)用由第三方機(jī)構(gòu)進(jìn)行權(quán)威測(cè)試和發(fā)布。另外，對(duì)工業(yè)控制、物聯(lián)網(wǎng)前端數(shù)據(jù)采集也要予以重視。

特別對(duì)政府部門作為甲方主導(dǎo)的涉及大量數(shù)據(jù)的信息系統(tǒng)，要安排獨(dú)立于乙方（項(xiàng)目承建方和運(yùn)維方）的第三方進(jìn)行安全審計(jì)。獨(dú)立第三方審計(jì)的安排并不意味著乙方可降低其安全保障的要求。要從制度上確立獨(dú)立第三方對(duì)于甲方和乙方的監(jiān)督職責(zé)。

(4)事后追責(zé)

建立數(shù)據(jù)安全事故追溯機(jī)制，保障數(shù)據(jù)安全。對(duì)于違反規(guī)范，沒有履行應(yīng)有保障責(zé)任的，因個(gè)人原因或管理措施落實(shí)不到位而造成的數(shù)據(jù)安全事故的，要追究相關(guān)個(gè)人和機(jī)構(gòu)的責(zé)任，使得數(shù)據(jù)安全真正受到重視。

(5)依法治網(wǎng)、依法保護(hù)數(shù)據(jù)權(quán)責(zé)

在本制度執(zhí)行一段時(shí)間并認(rèn)為行之有效的情況下，可以考慮將本制度核心部分作為《數(shù)據(jù)保護(hù)法》等相關(guān)法律的內(nèi)容。甚至可能在數(shù)據(jù)財(cái)產(chǎn)權(quán)問題還未定論的情況下（淡化擁有權(quán)，而談持有者的責(zé)任），先將數(shù)據(jù)保護(hù)責(zé)任和關(guān)鍵要求法律化，讓數(shù)據(jù)保護(hù)做到有法可依。