西藏稅務社保費征管業務信息化系統的風險及應對

劉瑩 夏雨晨

【摘要】社保費征管業務信息化系統作為西藏稅務部門機構改革其中一個重要的“神經系統”，存儲著稅務部門大量敏感信息和關鍵數據，對西藏稅務部門至關重要。本文基于此系統，分析并重點闡述了它存在的內部和外部風險，最后針對存在的風險提出了應對措施。

【關鍵詞】電子政務;風險;應對

電子政務是通過信息化手段提高工作服務效率、提升政府履職能力的重要方式。優質的電子政務建設不僅會提升政府效率、提供便捷公共服務，還能促進政府職能轉變和能力提升。西藏稅務部門作為政府部門之一，電子政務建設一直作為工作的重點，根據國家稅務總局工作安排，西藏稅務部門已于2019年1月1日正式上線使用社保費征管業務信息化系統。隨著西藏稅務部門電子政務信息資源的不斷豐富，對應的風險也隨之而來。對正處于機構改革當中的西藏稅務部門來說，在推動實施電子政務發展的過程中，有效識別和應對風險尤為重要。

一、相關概念

（一）電子政務。電子政務是指國家機關在政務活動中，全面應用現代信息技術、網絡技術以及辦公自動化等進行辦公、管理和為社會提供公共服務的一種全新的管理方式。在我國，政府上網工程使電子政務得到公民的關注。隨著信息技術日新月異的變化和發展，政府部門把改善傳統的公共服務放在了重要的位置，電子政務的發展邁開了實際應用的步伐。

（二）電子政務的風險。風險是指預期結果偏離期望值的可能性。有學者將風險分為外部和內部風險。放在電子政務領域，外部風險包括人、物、環境等客觀因素造成的風險;內部風險主要是電子政務系統本身所帶來的風險。

（三）社保費征管業務信息化系統。社會保險費征管職責劃轉到稅務部門，是國稅地稅征管體制改革的重要內容。通過改革，構建起職責清晰、流程順暢、征管規范、協作有力、便民高效的社會保險費征繳體制機制，將有利于為提高社會保險費統籌層次奠定良好基礎，將有利于為研究推進適時完善繳費比率奠定良好基礎，將有利于為深化“放管服”改革和進一步激發市場主體活力奠定良好基礎。社保費征管業務信息化系統是西藏稅務部門核心征管系統的子系統之一，主要涉及登記、認定、申報、征收四個業務領域，目前系統支撐的是社保核定、稅務征收和稅務全責征收管理模式。此項目主要實現了單位、靈活就業人員兩類繳費主體的相關涉費業務，其中單位實現的是匯總繳納，并登記員工社保費信息的管理。

二、信息化系統存在的風險及造成的影響

（一）外部風險。1.數據泄露風險。據《西藏自治區2016年度社會保險信息披露公告》的數據顯示，全區參保繳費累計達284.14萬人，共征收各項社會保險費113.74億元。根據《國稅地稅征管體制改革方案》的要求，社會保險費征管職責劃轉到稅務部門，基本養老保險費、基本醫療保險費、失業保險費、工傷保險費、生育保險等各項社會保險費交由稅務部門統一征收。根據預測，此次職責劃轉到西藏稅務部門后，2019年預計征收社會保險費130多億元，參保繳費達300多萬人。根據社保費征管業務信息化系統架構，將采集單位社保費登記信息、員工社保費登記信息、靈活就業社保費登記信息、城鄉居民社保費登記信息等，這些信息都屬于個人敏感信息。由于社保費征管業務信息化系統中會集中存儲政務服務數據、參保繳費人信息和各種行為的細節記錄，不論因為人為或系統漏洞，都極大增加了數據泄露風險，不但侵害了參保繳費人隱私權，損害參保繳費人利益，還降低了西藏稅務部門公信力。西藏作為政治敏感區，泄露的數據一旦遭到非法利用形成產業鏈，將數據應用于電信詐騙、違法犯罪、廣告推銷等，將會進一步對參保繳費人造成困擾，形成連鎖反應，泄露事件處理不當將嚴重擾亂社會秩序，將嚴重影響西藏的經濟建設。2.政策法律風險。社保費征管業務信息化系統工作內容和工作流程涉及參保繳費人、稅務部門、人社部門、銀行、外包服務商等多方主體，在使用過程中，一旦出現個人信息泄露的情況，稅務部門作為社保費征收部門，稅務部門很難對個人信息的安全進行保護，根據相關研究者的統計，目前中國有近40部法律、30余部法規及近200部規章涉及個人信息保護，其中包括《民法通則》《電信和互聯網用戶個人信息保護規定》等，這些法律普遍存在法律層級低、管理權則不清、適用范圍小、法律效力低等問題。因此，政策法律的缺位將可能導致有關個人信息安全糾紛的情況越來越多，政策法律風險也會隨之增大。3.管理風險。有學者認為網絡系統的安全問題絕大部分都是人為因素造成的，因此管理是電子政務建設安全得到保證的重要組成部分。一是數據共享交換有風險。前期在自治區人民政府領導下，征管職能劃轉涉及到的部門，如西藏稅務部門、財政、人力資源社會保障廳、醫保部門等，都積極開展了征管職責劃轉前的各項準備工作。從前期準備情況看，基于部門利益和傳統觀念的考慮，在處理事務時，不可避免地從各自利益出發，導致整體進程較為緩慢，難以協同。二是人員結構有風險。西藏稅務部門信息中心共51人，計算機、網絡等相關專業31人，占全區干部的1.6%（注：全區干部1937人）。區局信息中心技術崗位人員10人，負責社保費征管業務信息化系統運維工作人員3人，其中2名工作人員還需負責金三綜合征管系統、自然人稅收管理系統、門戶網站、電子稅務局等其他電子政務系統的日常運維工作。除此之外，還需兼顧部門黨建、信息建設規劃等工作。信息中心各種業務量的增多與人員數量質量的匱乏成為了較為突出的矛盾。而且由于公務員管理體制的特殊性和西藏地域環境的限制，導致信息技術人才多集中在中東部城市及高校、企業、科研院所，從而造成了管理上的風險。三是服務外包有風險。根據西藏自治區稅務局下發的《西藏自治區國家稅務局轉發國家稅務總局關于印發〈稅務系統外部技術支持人員網路安全管理規范〉的通知》（藏國稅函〔2018〕2號）規定，社保費征管業務信息化系統的建設、管理及維護采取服務外包的方式，即通過委托外包公司派駐人員進行運維，保障西藏電子政務系統的正常運行。雖然服務外包方式在一定程度上減輕了西藏稅務部門的工作量，而且進駐人員進駐前都會簽訂保密協議，但在實際外包服務中，針對外包方接觸重要數據的情況，西藏稅務部門還是難以對相關人員進行有效監控，在具體管理、數據安全性等方面都存在一定的風險，擴大了電子政務數據的接密范圍。

（二）內部風險。1.物理風險。計算機系統本身是非常脆弱的，如果遇到突發自然災害破壞，后果十分嚴重。因此由不可抗力所帶來的物理風險是社保費征管業務信息化系統不容忽視的。如火災、水災、地震;電力供應設施的破壞，如電源故障造成的設備斷電;計算機設備、網絡設備、存儲介質自身的老化和損壞等原因造成的風險一旦發生，有可能會損害操作系統設備，有時會導致數據丟失或遭到破壞，甚至整個系統毀滅。2.技術風險。中共西藏自治區黨委書記、區黨委網絡安全和信息化領導小組組長吳英杰在2018年西藏自治區網絡安全和信息化工作會議中強調，西藏自治區處于反分裂斗爭前沿，要著眼防范風險，切實筑牢安全屏障，確保網絡安全。稅務部門行使政府職能的特點會引起技術上不同程度的網絡安全風險，比如計算機病毒和各種木馬程序等。一旦社保費征管業務信息化系統感染了病毒，容易對稅務部門網絡中的服務器和計算機等產生影響，進而威脅到稅務部門電子政務系統的安全;木馬程序如果侵入社保費征管業務信息化系統中，在程序被激活后，黑客可以對計算機中的內容隨意窺視、復制和篡改，黑客還可以進而控制整個電子政務系統網絡，嚴重危害西藏稅務部門電子政務系統的網絡安全。

三、應對措施

（一）研究制定配套性電子政務安全法規、文件。西藏稅務部門要認真貫徹落實國家頒布的電子政務安全方面的各項法律法規，在此基礎上，西藏稅務部門要結合工作實際，建立社保費征收風險管理、網絡安全、個人信息和重要數據保護等制度，通過制定有關制度、辦法，規范和加強西藏稅務部門社保費征管業務信息化系統風險管理，明確關鍵信息系統和重要敏感數據的管理要求，為西藏稅務部門社保費征管業務信息化系統安全保障工作與國家規定相互銜接。

（二）加強人才隊伍建設。一是提升稅務干部風險意識。領導干部、信息中心關鍵崗位技術人員、電子政務系統使用人員都應增強信息安全風險意識，針對以上人員推行電子政務安全知識普及，積極開展網絡信息安全知識技能培訓，推動稅務干部對信息安全的重視與支持。二是對現有人員加強管理，合理配置。領導干部應根據現有人員和工作量大小，進行科學管理，合理配置。三是吸納網絡安全人才。西藏稅務人事部門在編制公務員招錄計劃時，根據工作實際統籌考慮招錄人員的專業設置問題，如增加網絡安全等相關專業，彌補電子政務管理專業人才匱乏的問題。同時，西藏稅務部門可以與西南片區高校合作，通過提供實習實踐機會發現人才。

（三）加強信息技術服務外包管理。加強“事前”管理，對信息技術服務外包企業、人員進行安全管理審查認證，選擇管理規范、服務力強的外包企業，有利于西藏社保費征管業務信息化系統的安全管理，也有利于西藏稅務部門電子政務建設和運維外包的健康發展。加強“事中”管理，信息中心人員不能過分依賴外包服務企業，要提高社保費征管業務信息安全能力，切實參與到信息安全的管理、維護等工作中。還可以推動第三方監理。一方面由第三方協助西藏稅務部門對外包服務部門實施監管管理，提升稅務部門決策和監管過程的專業性;另一方面，通過第三方監理對外包服務形成制約，確保外包服務安全規范開展。開展“事后”評價，針對外包服務機構和人員采用考核評價機制，對每次的外包服務開展安全信用評價，發揮西藏稅務系統的主體作用。

（四）構建安全態勢感知平臺。由于西藏社保費征管業務信息化系統不僅涉及公民隱私，甚至可能涉及國家安全等內容，面對諸多隱患，可以利用網絡安全態勢感知技術，此技術會融合所有可獲取的信息實時評估網絡的安全態勢，為網絡安全管理員的決策分析提供依據，將不安全因素帶來的風險和損失降到最低。西藏稅務部門可以構建集態勢感知、實時監測、通報預警、應急處置、情報信息、安全防范于一體的社保費征管業務網絡安全通報預警平臺。通過對社保費征管業務信息化系統安全威脅特征的分析、威脅源頭的追蹤，達到對威脅的及時識別與感知防護，便于及時發現不安全因素和處理電子政務風險。

（五）采用云技術促進西藏稅務部門電子政務發展。隨著西藏稅務部門政務信息資源開發利用的深入，傳統數據中心建設和運行成本在不斷上升，數據的集中以及信息交換都對計算能力提出了很高的要求。這種情況可以利用云計算模式提高西藏稅務部門數據中心的運行效率，降低數據中心的建設成本。云計算是指基于互聯網通過虛擬化方式共享IT資源的新型計算模式，使計算、存儲、網絡、軟件等資源能夠按照用戶的動態需求以服務的方式提供。西藏稅務部門可以采用租用云計算企業提供的云平臺建設社保費征管業務信息化系統，從運行模式上來說，終端功耗低、成本低廉是云計算的優勢，對西藏稅務部門來說，使用和維護會更便捷，同時還可以有效避免由不可抗力導致的系統業務中斷、數據丟失等情況。