今年4月15日是我国第八个全民国家安全教育日，与以往国家安全机关在“4·15”前后披露的案件相比，今年的涉案范围更加广泛，侵犯数据信息的手法也更加隐蔽、针对性更强。工信部发布的《“十四五”大数据产业发展规划》要求 “筑牢数据安全保障防线”，其中提到了数据分类分级管理、引导建设数据安全态势感知平台、加强数据安全产品研发应用、加强脱敏与加密的研发应用等具体举措。尽管如此，数字浪潮下，个人信息类数据仍有一定暴露风险，将危及国家及社会公众安全。

我国政府是个人信息类数据最多的拥有者。在“一网统管、一网通办”建设浪潮下，个人信息类数据应用于政务外网，与互联网物理隔绝，但仍有较大暴露风险。以上海为例，大量项目只需投标企业在建设方案书阶段提交数据安全保障方案，参加第三方的三级等保测评即可，这暴露出三点问题：

第一，目前政府对方案书的审核重点放在可行性研究与重复建设核查上，对数据安全保障举措关注较少，从而导致投标企业也不重视。

第二，政府作为业主验收项目时只验收功能模块，对方案书中的数据安全方案是否实施无法验证，全凭企业自觉。

第三，三级等保是政府委托第三方安全测评公司所做的安全认证。其安全等级很高，防护能力很强，但对于内部人员有意的数据泄露或盗取几乎没有反抗能力。

针对如何保障政府数据安全，零点有数提出以下五点建议。

一、提升数据安全方案在招标评分时的比重。建议数据安全方案优劣至少占招标评分的5%，由评审专家根据企业给出的数据安全保障方案提供打分，鼓励投标企业在数据安全保障上开拓创新。

二、培养政府端的IT力量。建议市、区大数据中心、科信等项目验收单位培养自己的IT队伍，由技术型人才任相关领导。在日常工作中监督指导承建企业，避免违规操作。在系统验收时带领IT团队对数据安全进行审核，避免安全性验收浮于表面。

三、项目招标时明确企业数据安全负责人。建议承建企业的高管担任数据安全负责人，由高管带头签署保密协议，对政府数据采取一数一人负责制。出现数据泄露事故时追责至企业高管，倒逼企业自觉。

四、跨省、跨委办局建立企业黑名单。建议跨省、跨委办局建立供应商黑名单，对涉事企业不予录用。建立企-企关系网，出现数据泄露事故时，涉事企业的关联企业也不录用。

五、个人标识假名化。建议政务外网区域开放丰富的个人信息数据，建立一人一档，用于精准识别、精准预警等大数据模型，倡导百花齐放。并且一人一档中需对姓名、身份证号、手机号等个人标识进行假名化，建立虚拟一人一档（假名化与脱敏不同，将个人标识的值重新命名，通过一个表进行映射，这个过程确保可逆）。另外还需要个人标识的场景，比如推送通知，可将业务归口至单一部门（例如大数据中心），由该单一部门在监督之下对个人标识进行复原。该做法可减少各项目承建企业接触个人标识的机会，又尽可能开放个人数据，打通信息孤岛。