税收大数据应用风险隐患排查整治方案

税收大数据应用风险隐患排查整治方案一、总则1.1编制目的随着金税工程四期建设全面推进，税收大数据在组织收入、优化纳税服务、精准风险监管、宏观经济分析等领域的应用深度和广度持续拓展，有效提升了税收治理现代化水平。与此同时，税收数据规模持续扩大、应用场景不断丰富，数据安全和合规应用风险也随之增加，部分地区存在数据采集不规范、安全防护不到位、违规共享使用数据等问题，严重威胁纳税人合法权益和税收管理安全。为全面摸清当前税收大数据应用各环节存在的风险隐患，堵塞管理漏洞，防范化解重大数据安全风险，保障税收大数据合法合规安全应用，推动税收大数据事业健康发展，制定本方案。1.2编制依据本方案依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国税收征收管理法》《纳税人涉税保密信息管理暂行办法》《税务数据安全管理办法》《网络安全等级保护管理办法》等法律法规和规范性文件编制。1.3工作原则坚持党的全面领导，落实总体国家安全观，统筹发展与安全，将安全要求贯穿税收大数据应用全生命周期各环节。坚持权责统一，落实谁主管谁负责、谁使用谁负责、属地管理的责任体系，层层传导压力，压实岗位责任。坚持全面覆盖，突出重点，对所有环节、所有岗位开展拉网式排查，聚焦敏感数据、高风险应用场景、核心信息系统开展重点整治。坚持立查立改，标本兼治，对发现问题立即整改，同时完善制度机制，强化技术防护，建立长效风险管控体系。1.4工作目标通过本次排查整治，实现三方面工作目标：一是全面摸清税收大数据应用各环节风险隐患，建立完整的问题台账和风险清单，实现风险底数清、情况明；二是推动所有风险隐患整改到位，依法查处违法违规行为，有效防范化解重大数据安全风险；三是健全税收大数据全生命周期安全管理制度，完善风险防控技术体系，提升各级税务机关数据安全管理能力，保障税收大数据合法、合规、安全、有效应用，更好发挥税收大数据服务国家治理的作用。二、排查整治范围与重点内容2.1排查整治范围本次排查整治覆盖各级税务机关所有涉及税收大数据采集、存储、传输、共享、应用、销毁的全流程环节，涵盖所有税收大数据应用系统、平台，包括内部征管系统、对外服务平台、第三方合作平台等，覆盖所有接触使用税收大数据的税务工作人员、第三方运维人员、合作机构工作人员。2.2重点排查整治内容2.2.1数据采集环节风险隐患排查内容包括：是否严格遵守最小必要原则采集数据，存在超范围、过度采集纳税人隐私信息的问题；是否严格履行告知义务，采集纳税人信息时未明确告知采集目的、使用范围和存储期限；是否存在未经合法授权，违规采集第三方机构数据的问题；是否存在采集来源不合法、数据真实性无法保障的外部数据的问题；是否存在违规采集涉及国家秘密、敏感个人信息的问题，未按规定履行审批程序。2.2.2数据存储环节风险隐患排查内容包括：是否存在敏感涉税信息违规存储在非涉密信息系统、私人移动存储设备、个人终端设备的问题；是否存在数据加密防护不到位，敏感数据未进行加密存储的问题；是否存在访问权限管控不严格，未遵循最小授权原则，岗位调整、人员离职后未及时回收数据访问权限的问题；是否存在数据备份不规范，未按规定定期备份数据，未开展数据恢复演练，无法保障数据可恢复的问题；是否存在违规使用未经过安全审查的第三方云服务存储涉税数据的问题；是否存在存储介质老化、不符合安全标准，未及时更新更换的问题。2.2.3数据传输环节风险隐患排查内容包括：是否存在传输敏感涉税数据未进行加密保护的问题；是否存在使用公共邮箱、即时通讯工具、个人社交软件等不安全通道传输敏感涉税数据的问题；是否存在跨部门跨区域数据传输未建立安全校验机制，数据被篡改后无法及时发现的问题；是否存在违规通过互联网跨境传输涉税数据的问题。2.2.4数据共享与开放环节风险隐患排查内容包括：是否存在未经审批、违规跨部门跨区域共享涉税数据的问题；是否存在未经纳税人授权，违规向第三方市场主体提供涉税保密信息的问题；是否存在向社会开放税收统计数据时脱敏不到位，泄露个人隐私、企业商业秘密的问题；是否存在违规与第三方机构开展大数据合作，违规授权第三方机构使用涉税数据的问题；是否存在数据共享未签订安全保密协议，未明确双方数据安全责任的问题；是否存在利用数据共享交换谋取个人或者单位不正当利益的问题。2.2.5数据应用环节风险隐患排查内容包括：是否存在超权限、超范围使用税收大数据，将涉税数据用于税收征管、纳税服务、税收分析等法定职责以外事项的问题；是否存在工作人员违规查询、下载、复制、传播涉税数据，为本人或者他人谋取利益的问题；是否存在大数据分析模型规则设计不合理，导致风险识别结果偏差，造成税务执法错误，侵害纳税人合法权益的问题；是否存在滥用大数据开展不当监管，对纳税人实施歧视性管理，侵害企业公平竞争权利的问题；是否存在违规将税收大数据用于商业用途，或者对外出售、泄露的问题。2.2.6安全防护与管理风险隐患排查内容包括：是否存在税收大数据应用系统、平台安全防护措施不到位，未及时修补系统安全漏洞的问题；是否存在账号密码管理不规范，存在共用账号、弱口令、长期未更换密码等问题；是否存在第三方运维人员操作未进行全程审计管控，操作日志留存不全，无法追溯异常操作的问题；是否存在未按规定定期开展数据安全风险评估、等级保护测评，安全隐患长期未得到整改的问题；是否未建立数据安全应急处置预案，未定期开展应急演练，发生数据安全事件后未及时上报、处置不当的问题；是否存在未按规定定期开展数据安全培训，工作人员数据安全意识、合规意识薄弱的问题。三、排查整治实施步骤3.1部署启动阶段自本方案印发之日起15日内完成部署启动工作，具体任务包括：各级税务机关成立由主要负责同志任组长的排查整治工作领导小组，明确牵头部门和各成员单位职责；结合本地本单位实际制定具体实施细则，细化排查任务、工作要求和时间节点；组织开展动员部署和培训学习，传达数据安全管理相关法律法规和本次排查整治工作要求，提升工作人员对风险隐患的识别能力；通过官方网站、办税服务厅等渠道公布举报电话、邮箱，接受社会公众和纳税人举报反映问题。3.2全面排查阶段部署启动完成后30日内完成全面排查工作，具体任务包括：自查自纠：各级税务机关组织各部门对照本方案明确的排查重点，逐一开展拉网式排查，不遗漏任何一个环节、任何一个岗位，对排查发现的问题如实记录，不得隐瞒。分级抽查：上级税务机关对下级单位自查情况开展抽查，省级税务机关抽查市县级单位比例不低于30%，市级税务机关抽查县级单位比例不低于50%，对大数据管理部门、信息化部门、征管部门等风险高发部门实现抽查全覆盖。建立台账：对排查发现的风险隐患按照重大、较大、一般三个等级进行分类登记，形成《风险隐患问题台账》，明确问题来源、风险等级、责任部门。3.3集中整改阶段全面排查完成后45日内完成集中整改工作，实行“一台账、两清单、销号制”管理：针对排查发现的每个风险隐患，制定整改清单和责任清单，明确整改措施、整改时限、责任人，整改完成一个销号一个。对一般风险隐患，要求立即完成整改；对较大风险隐患，要求15日内完成整改；对重大风险隐患，实行挂牌督办，要求立即采取临时管控措施防止风险扩大，30日内完成整改。对因客观原因无法立即完成整改的，要求责任单位制定分步整改计划，明确阶段性整改目标，落实防控措施，定期上报整改进度。对排查发现的违法违纪问题，依法依规追究相关人员责任，涉嫌犯罪的移送司法机关处理。3.4总结提升阶段集中整改完成后15日内完成总结提升工作，具体任务包括：各级税务机关对本次排查整治工作开展全面总结，梳理整改落实情况，分析问题产生的深层次原因，总结好的经验做法；针对排查发现的制度漏洞、技术短板，制定改进措施，完善数据安全管理体系，推动建立长效风险管控机制。四、责任分工4.1层级责任划分国家税务总局：负责统筹部署全国税务系统税收大数据应用风险隐患排查整治工作，制定总体工作方案，明确工作要求，组织开展对省级税务机关工作的督导检查，完善全国性税收大数据安全管理制度规范，推动建立全国统一的风险监测预警体系。省级税务机关：负责组织实施本地区税务系统排查整治工作，制定本地区具体实施办法，分解落实工作任务，开展对本地区市县级税务机关的督导检查，汇总分析本地区排查整治工作情况，按要求向税务总局报送工作材料，协调解决本地区排查整治工作中的重大问题。市县级税务机关：负责本辖区排查整治工作的具体落实，组织开展本单位和下级单位的全面排查，推动问题整改，建立本辖区风险隐患台账，按时向上级税务机关报送各类工作材料，落实各项工作要求。4.2部门责任划分征管科技部门：作为排查整治工作牵头部门，负责统筹协调各项工作，组织制定实施方案，汇总整理工作情况，推进排查整治工作有序开展。大数据和风险管理部门：负责牵头排查税收大数据分析应用、风险管控环节的风险隐患，推动整改落实，完善大数据应用规则和风险管控制度。信息化部门：负责牵头排查税收大数据存储、传输、信息系统安全防护环节的技术风险隐患，落实技术整改措施，完善安全防护技术体系。纳税服务部门：负责牵头排查面向纳税人的大数据应用服务、公开数据开放环节的风险隐患，推动整改，保护纳税人合法权益。稽查部门：负责查处排查整治中发现的重大违法违规使用税收数据、泄露数据的案件，依法追究相关人员责任。纪检监察部门：负责对排查整治工作开展监督执纪问责，对工作不力、隐瞒问题、整改不到位的单位和人员追究责任，查处利用税收数据谋取私利的违纪行为。人事部门：负责将排查整治工作落实情况纳入年度绩效考核，落实责任追究相关的人事处理。五、风险隐患分级管控标准5.1风险分级标准风险等级判定标准重大风险1.发生涉及1000条以上纳税人敏感涉税信息泄露事件；2.违规向外部提供核心税收征管数据、敏感个人信息，造成恶劣影响；3.利用税收数据谋取私利，金额达到1万元以上；4.核心税收大数据系统被非法入侵，造成核心数据丢失、篡改；5.违反法律法规采集使用数据，引发重大舆情或者行政诉讼，造成严重负面影响；6.其他可能危害国家安全、公共利益的重大数据风险较大风险1.发生涉及100条以上1000条以下纳税人敏感涉税信息泄露事件；2.违规授权第三方使用非核心税收数据，未造成严重后果；3.核心系统存在中高危安全漏洞，超过30日未修补；4.权限管控混乱，超过10个岗位存在超权限访问问题；5.数据备份不符合要求，无法保障核心数据恢复；6.其他可能造成较大负面影响的风险一般风险1.发生涉及100条以下敏感信息泄露，未造成不良后果；2.单个岗位存在超权限访问、弱口令、违规存储等问题；3.操作流程不规范，未造成数据安全问题；4.其他影响范围小、危害程度低的风险5.2分级管控要求重大风险隐患：由省级税务机关挂牌督办，责任单位需在7日内采取临时管控措施，切断风险传播途径，防止风险扩大，30日内完成全部整改，整改结果由省级税务机关验收销号。较大风险隐患：由市级税务机关挂牌督办，责任单位需在15日内完成整改，整改结果由市级税务机关验收销号。一般风险隐患：由县级税务机关负责管控，责任单位需在7日内完成整改，整改结果由县级税务机关验收销号。六、工作要求6.1加强组织领导各级税务机关要充分认识税收大数据应用风险隐患排查整治工作的重要性，将其作为落实总体国家安全观、保障税收治理安全、保护纳税人合法权益的重要举措，主要负责同志要亲自部署、亲自督促，分管负责同志要具体抓、抓具体，调配充足的人员和经费保障工作开展，确保排查整治工作不走过场、取得实效。6.2强化督导考核上级税务机关要建立督导机制，定期对下级单位排查整治工作开展督导，对排查不全面、隐瞒问题、整改不到位的单位，予以通报批评，约谈单位主要负责人；对工作推进有力、成效明显的，予以表扬。将排查整治工作落实情况纳入年度绩效考核，压实各级各部门工作责任。6.3建立长效机制以本次排查整治为契机，建立税收大数据风险隐患常态化排查机制，每年至少开展一次全面排查，定期开展专项抽查。建立税收大数据应用异常行为动态监测预警体系，利用技术手段实时监控违规查询、批量下载、异常传输等行为，及时发现处置风险。完善税收大数据全生命周期安全管理制度，细化各环节安全操作规范，定期开展数据安全培训，每年至少组织一次全员数据安全培训，提升工作人员安全意识和合规能力。定期开展数据安全应急演练，提升应急处置能力，有效应对各类数据安全事件。6.4严肃责任追究严格落实数据安全责任制，对排查发现的违法违规行为，依法依规依纪追究相关单位和人员责任；对因排查整治不到位，隐患整改不及时，发生重大数据安全事件的，实行一票否决，严肃追究单位主要负责人和相关责任人的责任。七、工作报送要求各级税务机关要严格按照时限要求报送相关工作材料，具体要求如下：部署启动阶段结束后3个工作日内，报送本单位排查整治工作领导小组组成文件、具体实施细则。全面排查阶段结束后5个工作日内，报送《税收大数据应用风险隐患问题台账》。集中整改阶段结束后5个工作日内，报送《风险隐患整改销号清单》、整改情况报告。总结提升阶段结束后5个工作日内，报送本地区本单位排查整治工作总结报告。排查整治过程中发现重大风险隐患，要即时上报，不得迟报、瞒报、漏报。附件：税收大数据应用风险隐患排查表排查环节排查事项风险等级参考是否存在隐患（是/否）整改措施完成时限责任人数据采集是否存在超范围过度采集纳税人信息一般/较大数据采集是否未经授权采集第三方数据较大/重大数据采集是否未履行采集告知义务一般数据存储是否违规存储敏感数据到个人设备一般/较大数据存储是否未按规定加密敏感数据较大/重大数据存储是否人员离