西藏税务社保费征管业务信息化系统的风险及应对

刘莹 夏雨晨

【摘要】社保费征管业务信息化系统作为西藏税务部门机构改革其中一个重要的“神经系统”，存储着税务部门大量敏感信息和关键数据，对西藏税务部门至关重要。本文基于此系统，分析并重点阐述了它存在的内部和外部风险，最后针对存在的风险提出了应对措施。

【关键词】电子政务;风险;应对

电子政务是通过信息化手段提高工作服务效率、提升政府履职能力的重要方式。优质的电子政务建设不仅会提升政府效率、提供便捷公共服务，还能促进政府职能转变和能力提升。西藏税务部门作为政府部门之一，电子政务建设一直作为工作的重点，根据国家税务总局工作安排，西藏税务部门已于2019年1月1日正式上线使用社保费征管业务信息化系统。随着西藏税务部门电子政务信息资源的不断丰富，对应的风险也随之而来。对正处于机构改革当中的西藏税务部门来说，在推动实施电子政务发展的过程中，有效识别和应对风险尤为重要。

一、相关概念

（一）电子政务。电子政务是指国家机关在政务活动中，全面应用现代信息技术、网络技术以及办公自动化等进行办公、管理和为社会提供公共服务的一种全新的管理方式。在我国，政府上网工程使电子政务得到公民的关注。随着信息技术日新月异的变化和发展，政府部门把改善传统的公共服务放在了重要的位置，电子政务的发展迈开了实际应用的步伐。

（二）电子政务的风险。风险是指预期结果偏离期望值的可能性。有学者将风险分为外部和内部风险。放在电子政务领域，外部风险包括人、物、环境等客观因素造成的风险;内部风险主要是电子政务系统本身所带来的风险。

（三）社保费征管业务信息化系统。社会保险费征管职责划转到税务部门，是国税地税征管体制改革的重要内容。通过改革，构建起职责清晰、流程顺畅、征管规范、协作有力、便民高效的社会保险费征缴体制机制，将有利于为提高社会保险费统筹层次奠定良好基础，将有利于为研究推进适时完善缴费比率奠定良好基础，将有利于为深化“放管服”改革和进一步激发市场主体活力奠定良好基础。社保费征管业务信息化系统是西藏税务部门核心征管系统的子系统之一，主要涉及登记、认定、申报、征收四个业务领域，目前系统支撑的是社保核定、税务征收和税务全责征收管理模式。此项目主要实现了单位、灵活就业人员两类缴费主体的相关涉费业务，其中单位实现的是汇总缴纳，并登记员工社保费信息的管理。

二、信息化系統存在的风险及造成的影响

（一）外部风险。1.数据泄露风险。据《西藏自治区2016年度社会保险信息披露公告》的数据显示，全区参保缴费累计达284.14万人，共征收各项社会保险费113.74亿元。根据《国税地税征管体制改革方案》的要求，社会保险费征管职责划转到税务部门，基本养老保险费、基本医疗保险费、失业保险费、工伤保险费、生育保险等各项社会保险费交由税务部门统一征收。根据预测，此次职责划转到西藏税务部门后，2019年预计征收社会保险费130多亿元，参保缴费达300多万人。根据社保费征管业务信息化系统架构，将采集单位社保费登记信息、员工社保费登记信息、灵活就业社保费登记信息、城乡居民社保费登记信息等，这些信息都属于个人敏感信息。由于社保费征管业务信息化系统中会集中存储政务服务数据、参保缴费人信息和各种行为的细节记录，不论因为人为或系统漏洞，都极大增加了数据泄露风险，不但侵害了参保缴费人隐私权，损害参保缴费人利益，还降低了西藏税务部门公信力。西藏作为政治敏感区，泄露的数据一旦遭到非法利用形成产业链，将数据应用于电信诈骗、违法犯罪、广告推销等，将会进一步对参保缴费人造成困扰，形成连锁反应，泄露事件处理不当将严重扰乱社会秩序，将严重影响西藏的经济建设。2.政策法律风险。社保费征管业务信息化系统工作内容和工作流程涉及参保缴费人、税务部门、人社部门、银行、外包服务商等多方主体，在使用过程中，一旦出现个人信息泄露的情况，税务部门作为社保费征收部门，税务部门很难对个人信息的安全进行保护，根据相关研究者的统计，目前中国有近40部法律、30余部法规及近200部规章涉及个人信息保护，其中包括《民法通则》《电信和互联网用户个人信息保护规定》等，这些法律普遍存在法律层级低、管理权则不清、适用范围小、法律效力低等问题。因此，政策法律的缺位将可能导致有关个人信息安全纠纷的情况越来越多，政策法律风险也会随之增大。3.管理风险。有学者认为网络系统的安全问题绝大部分都是人为因素造成的，因此管理是电子政务建设安全得到保证的重要组成部分。一是数据共享交换有风险。前期在自治区人民政府领导下，征管职能划转涉及到的部门，如西藏税务部门、财政、人力资源社会保障厅、医保部门等，都积极开展了征管职责划转前的各项准备工作。从前期准备情况看，基于部门利益和传统观念的考虑，在处理事务时，不可避免地从各自利益出发，导致整体进程较为缓慢，难以协同。二是人员结构有风险。西藏税务部门信息中心共51人，计算机、网络等相关专业31人，占全区干部的1.6%（注：全区干部1937人）。区局信息中心技术岗位人员10人，负责社保费征管业务信息化系统运维工作人员3人，其中2名工作人员还需负责金三综合征管系统、自然人税收管理系统、门户网站、电子税务局等其他电子政务系统的日常运维工作。除此之外，还需兼顾部门党建、信息建设规划等工作。信息中心各种业务量的增多与人员数量质量的匮乏成为了较为突出的矛盾。而且由于公务员管理体制的特殊性和西藏地域环境的限制，导致信息技术人才多集中在中东部城市及高校、企业、科研院所，从而造成了管理上的风险。三是服务外包有风险。根据西藏自治区税务局下发的《西藏自治区国家税务局转发国家税务总局关于印发〈税务系统外部技术支持人员网路安全管理规范〉的通知》（藏国税函〔2018〕2号）规定，社保费征管业务信息化系统的建设、管理及维护采取服务外包的方式，即通过委托外包公司派驻人员进行运维，保障西藏电子政务系统的正常运行。虽然服务外包方式在一定程度上减轻了西藏税务部门的工作量，而且进驻人员进驻前都会签订保密协议，但在实际外包服务中，针对外包方接触重要数据的情况，西藏税务部门还是难以对相关人员进行有效监控，在具体管理、数据安全性等方面都存在一定的风险，扩大了电子政务数据的接密范围。

（二）内部风险。1.物理风险。计算机系统本身是非常脆弱的，如果遇到突发自然灾害破坏，后果十分严重。因此由不可抗力所带来的物理风险是社保费征管业务信息化系统不容忽视的。如火灾、水灾、地震;电力供应设施的破坏，如电源故障造成的设备断电;计算机设备、网络设备、存储介质自身的老化和损坏等原因造成的风险一旦发生，有可能会损害操作系统设备，有时会导致数据丢失或遭到破坏，甚至整个系统毁灭。2.技术风险。中共西藏自治区党委书记、区党委网络安全和信息化领导小组组长吴英杰在2018年西藏自治区网络安全和信息化工作会议中强调，西藏自治区处于反分裂斗争前沿，要着眼防范风险，切实筑牢安全屏障，确保网络安全。税务部门行使政府职能的特点会引起技术上不同程度的网络安全风险，比如计算机病毒和各种木马程序等。一旦社保费征管业务信息化系统感染了病毒，容易对税务部门网络中的服务器和计算机等产生影响，进而威胁到税务部门电子政务系统的安全;木马程序如果侵入社保费征管业务信息化系统中，在程序被激活后，黑客可以对计算机中的内容随意窥视、复制和篡改，黑客还可以进而控制整个电子政务系统网络，严重危害西藏税务部门电子政务系统的网络安全。

三、应对措施

（一）研究制定配套性电子政务安全法规、文件。西藏税务部门要认真贯彻落实国家颁布的电子政务安全方面的各项法律法规，在此基础上，西藏税务部门要结合工作实际，建立社保费征收风险管理、网络安全、个人信息和重要数据保护等制度，通过制定有关制度、办法，规范和加强西藏税务部门社保费征管业务信息化系统风险管理，明确关键信息系统和重要敏感数据的管理要求，为西藏税务部门社保费征管业务信息化系统安全保障工作与国家规定相互衔接。

（二）加强人才队伍建设。一是提升税务干部风险意识。领导干部、信息中心关键岗位技术人员、电子政务系统使用人员都应增强信息安全风险意识，针对以上人员推行电子政务安全知识普及，积极开展网络信息安全知识技能培训，推动税务干部对信息安全的重视与支持。二是对现有人员加强管理，合理配置。领导干部应根据现有人员和工作量大小，进行科学管理，合理配置。三是吸纳网络安全人才。西藏税务人事部门在编制公务员招录计划时，根据工作实际统筹考虑招录人员的专业设置问题，如增加网络安全等相关专业，弥补电子政务管理专业人才匮乏的问题。同时，西藏税务部门可以与西南片区高校合作，通过提供实习实践机会发现人才。

（三）加强信息技术服务外包管理。加强“事前”管理，对信息技术服务外包企业、人员进行安全管理审查认证，选择管理规范、服务力强的外包企业，有利于西藏社保费征管业务信息化系统的安全管理，也有利于西藏税务部门电子政务建设和运维外包的健康发展。加强“事中”管理，信息中心人员不能过分依赖外包服务企业，要提高社保费征管业务信息安全能力，切实参与到信息安全的管理、维护等工作中。还可以推动第三方监理。一方面由第三方协助西藏税务部门对外包服务部门实施监管管理，提升税务部门决策和监管过程的专业性;另一方面，通过第三方监理对外包服务形成制约，确保外包服务安全规范开展。开展“事后”评价，针对外包服务机构和人员采用考核评价机制，对每次的外包服务开展安全信用评价，发挥西藏税务系统的主体作用。

（四）构建安全态势感知平台。由于西藏社保费征管业务信息化系统不仅涉及公民隐私，甚至可能涉及国家安全等内容，面对诸多隐患，可以利用网络安全态势感知技术，此技术会融合所有可获取的信息实时评估网络的安全态勢，为网络安全管理员的决策分析提供依据，将不安全因素带来的风险和损失降到最低。西藏税务部门可以构建集态势感知、实时监测、通报预警、应急处置、情报信息、安全防范于一体的社保费征管业务网络安全通报预警平台。通过对社保费征管业务信息化系统安全威胁特征的分析、威胁源头的追踪，达到对威胁的及时识别与感知防护，便于及时发现不安全因素和处理电子政务风险。

（五）采用云技术促进西藏税务部门电子政务发展。随着西藏税务部门政务信息资源开发利用的深入，传统数据中心建设和运行成本在不断上升，数据的集中以及信息交换都对计算能力提出了很高的要求。这种情况可以利用云计算模式提高西藏税务部门数据中心的运行效率，降低数据中心的建设成本。云计算是指基于互联网通过虚拟化方式共享IT资源的新型计算模式，使计算、存储、网络、软件等资源能够按照用户的动态需求以服务的方式提供。西藏税务部门可以采用租用云计算企业提供的云平台建设社保费征管业务信息化系统，从运行模式上来说，终端功耗低、成本低廉是云计算的优势，对西藏税务部门来说，使用和维护会更便捷，同时还可以有效避免由不可抗力导致的系统业务中断、数据丢失等情况。