前言

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議于2021年6月10日通過，自2021年9月1日起施行。

作為我國關于數(shù)據(jù)安全的首部律法，《數(shù)據(jù)安全法》的出臺意義深遠，該法首次明確從國家層面建立數(shù)據(jù)安全制度、分類分級保護制度、交易管理制度、安全審查制度等。作為從事電子招標采購信息技術服務的企業(yè)，肩負著保護電子招投標交易過程中的數(shù)據(jù)安全的責任，同樣面臨著《數(shù)據(jù)安全法》的挑戰(zhàn)，而電子招標采購非常關鍵的一環(huán)就是數(shù)據(jù)的處理，本文我們就來談談數(shù)據(jù)安全對電子招標采購系統(tǒng)建設的要求和影響。

《數(shù)據(jù)安全法》的頒布對企業(yè)進行數(shù)據(jù)合規(guī)化管理提出了更高要求

首先，《數(shù)據(jù)安全法》擴大了數(shù)據(jù)的涵蓋范圍，并將數(shù)據(jù)主權、數(shù)據(jù)安全上升到了國家主權、國家安全的層面，表明數(shù)據(jù)保護的重要性。《數(shù)據(jù)安全法》第三條規(guī)定，“數(shù)據(jù)，是指任何以電子或者非電子形式對信息的記錄”。“數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。”“數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。”

而對于電子招標采購行業(yè)而言，數(shù)據(jù)是指在電子招標采購過程中所需的各類數(shù)據(jù)的總和，包括基礎性數(shù)據(jù)和招投標活動數(shù)據(jù)兩部分?；A性數(shù)據(jù)主要指招標人、投標人、評標專家等數(shù)據(jù);招投標活動數(shù)據(jù)主要包括招、投標文件，招標過程，評標過程，中標等招投標活動相關的數(shù)據(jù)。

其安全主要有兩方面:

一是數(shù)據(jù)本身安全，主要是所有招投標數(shù)據(jù)是否用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，是否通過相關規(guī)則對數(shù)據(jù)的完整性進行校驗，是否進行雙向強身份認證等;

二是數(shù)據(jù)防護安全，數(shù)據(jù)總是通過某種介質(zhì)存儲和傳輸?shù)模欠裢ㄟ^現(xiàn)代信息存儲手段對數(shù)據(jù)進行主動防護。更基于電子招投標“公開、公平、公正和誠實信用”原則對數(shù)據(jù)安全提出較高要求。

《數(shù)據(jù)安全法》提出的“數(shù)據(jù)處理”概念，數(shù)據(jù)處理包含了數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。這意味著，數(shù)據(jù)的整個生命周期都在《數(shù)據(jù)安全法》的規(guī)制之中，對于招標采購軟件服務商而言，應該重視招投標活動中數(shù)據(jù)處理過程中與之相應協(xié)作的各個環(huán)節(jié)中的數(shù)據(jù)安全防護。

其次，《數(shù)據(jù)安全法》搭建了數(shù)據(jù)安全保護機制，企業(yè)應重視與機制協(xié)作中的新方向。《數(shù)據(jù)安全法》從安全監(jiān)管、風險評估、應急處置、安全審查、對等措施等方面提出國家和企業(yè)的協(xié)作保護數(shù)據(jù)安全的機制。

《數(shù)據(jù)安全法》第三十條對企業(yè)也提出常態(tài)化重要數(shù)據(jù)風險評估報告的要求，這意味著，數(shù)據(jù)合規(guī)工作將伴隨在數(shù)據(jù)的完整生命周期中，難以一蹴而就，而對于招標采購軟件服務商來說，如何借用有效手段保障各環(huán)節(jié)數(shù)據(jù)的安全至關重要。

行業(yè)應當如何應對《數(shù)據(jù)安全法》的挑戰(zhàn)

《數(shù)據(jù)安全法》總則里面明確規(guī)定了政府、事業(yè)單位、企業(yè)的數(shù)據(jù)安全保護責任，因此相關的數(shù)據(jù)運營方，在數(shù)字化轉(zhuǎn)型的過程中，需要把保護數(shù)據(jù)安全作為首要準則，在確保數(shù)據(jù)安全的前提下，對數(shù)據(jù)進行合法、合理使用。并且，在數(shù)據(jù)生命周期當中，從數(shù)據(jù)的采集、存儲、傳輸、交換、處理和銷毀等環(huán)節(jié)當中，要加大數(shù)據(jù)安全的投入，完善數(shù)據(jù)安全保護體系，提升數(shù)據(jù)安全的能力和水平。

北京筑龍憑借深耕行業(yè)17年的沉淀，對此有完備的保障機制：

基于“筑龍技術”的電子招標采購平臺既考慮信息資源的充分共享，也考慮了信息的保護和隔離；系統(tǒng)在各個層次對訪問都進行了控制，設置了嚴格的操作權限；并充分利用日志系統(tǒng)、健全的備份和恢復策略增強系統(tǒng)的安全性。在進行項目設計時采用了可靠的技術，系統(tǒng)各環(huán)節(jié)具備故障分析與恢復和容錯能力，并在安全體系建設、復雜環(huán)節(jié)解決方案和系統(tǒng)切換等各方面考慮周到、切實可行，建成的系統(tǒng)將安全可靠，穩(wěn)定性強，把各種可能的風險降至最低。

圖-北京筑龍數(shù)智招采平臺安全架構

《數(shù)據(jù)安全法》第二十七條還規(guī)定，開展數(shù)據(jù)處理活動應當依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度。數(shù)據(jù)貫穿業(yè)務系統(tǒng)的各個環(huán)節(jié)，并且往往伴隨著具體的業(yè)務，在不同載體之間流轉(zhuǎn)和留存，這對數(shù)據(jù)安全防護提出了更高的要求，因此企業(yè)需要將安全能力和措施深入到實際業(yè)務場景當中，同時與系統(tǒng)、應用和業(yè)務進行深度結合，才能建成完善的數(shù)據(jù)安全體系，并實現(xiàn)對數(shù)據(jù)的精準防護。

對此，北京筑龍始終以客戶利益為己任、在保護客戶數(shù)據(jù)安全領域始終不斷突破，采用多種方式保障招標采購業(yè)務平臺的數(shù)據(jù)安全：

（1）采用區(qū)塊鏈技術，利用區(qū)塊鏈可追溯，不可篡改的特性，將招標采購關鍵數(shù)據(jù)、文件、視頻以及業(yè)務規(guī)則和流程邏輯上鏈存證，實現(xiàn)數(shù)據(jù)的可控訪問，有效解決數(shù)據(jù)的合法合規(guī)使用問題，保證業(yè)務環(huán)節(jié)不被跳過，執(zhí)行前提不被篡改，防范人為參與風險。

（2）加強數(shù)據(jù)庫安全審計功能，對重要的用戶行為和重要安全事件進行審計，審計覆蓋到每個用戶，審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息

（3）避免從互聯(lián)網(wǎng)直接訪問系統(tǒng)、數(shù)據(jù)庫服務器，確保特定主機才允許擁有訪問特權。

（4）定期數(shù)據(jù)備份，建立定期數(shù)據(jù)備份策略，使用數(shù)據(jù)庫備份技術實現(xiàn)多個云平臺的數(shù)據(jù)互通，自動備份，幫助企業(yè)或個人進行數(shù)據(jù)保護和管理。

（5）安全補丁，務必保持系統(tǒng)、數(shù)據(jù)庫為最新版本，防范所有已知的漏洞。

（6）啟用日志，系統(tǒng)的數(shù)據(jù)庫服務器并不執(zhí)行任何日志行為，建議啟用跟蹤記錄，包括數(shù)據(jù)庫訪問日志和系統(tǒng)日志... ...

此外，落實到企業(yè)，北京筑龍還從以下幾個方面引導、賦能客戶，多方面實施數(shù)據(jù)安全防護：

第一，建章立制，構建企業(yè)內(nèi)部的數(shù)據(jù)安全防護機制，明確企業(yè)內(nèi)部的數(shù)據(jù)安全責任，加強安全意識培訓；

第二，梳理企業(yè)經(jīng)營業(yè)務的數(shù)據(jù)處理活動，要做好數(shù)據(jù)資產(chǎn)盤點和數(shù)據(jù)分類分級工作，對敏感數(shù)據(jù)分布以及數(shù)據(jù)安全現(xiàn)狀做到心中有數(shù)，然后結合業(yè)務發(fā)展與合規(guī)要求，制定適合企業(yè)自身需求的數(shù)據(jù)安全方案和策略。

第三，建立數(shù)據(jù)流動監(jiān)控機制，實時掌握數(shù)據(jù)使用狀況，對新項目在建設之初必須考慮數(shù)據(jù)安全問題，比如開發(fā)測試過程中會接觸到大量原始數(shù)據(jù)，是否做了完備的數(shù)據(jù)脫敏或加密工作，排除違法風險。

第四，定期開展數(shù)據(jù)安全風險評估，查漏補缺，持續(xù)構建數(shù)據(jù)安全技術能力體系。及時梳理出數(shù)據(jù)在采集、治理、計算存儲、共享交換、數(shù)據(jù)開放等場景下的數(shù)據(jù)安全風險，采取必要的措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，并構建持續(xù)的數(shù)據(jù)安全保護能力。

第五，積極關注國家發(fā)布的數(shù)據(jù)安全的相關標準，采用合規(guī)的安全技術，做到事前防范。

《數(shù)據(jù)安全法》為行業(yè)提供了依據(jù)和保障

《數(shù)據(jù)安全法》為相關數(shù)據(jù)分析業(yè)務的開展提供了明確的法律依據(jù)和法律保障。國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術研究，鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領域的技術推廣和商業(yè)創(chuàng)新。同時國家實施大數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)基礎設施建設，支持開發(fā)利用數(shù)據(jù)提升公共服務的智能化水平，對于我們開展大數(shù)據(jù)處理分析業(yè)務提供了有力的法律保障。

對于電子招投標行業(yè)來說，《數(shù)據(jù)安全法》的實施更是在鼓勵我們創(chuàng)新發(fā)展電子招標采購的相關業(yè)務，鼓勵政府、企業(yè)等市場主體在依法合規(guī)、信息交互充分、風險管控有效的基礎上，運用互聯(lián)網(wǎng)、區(qū)塊鏈、人工智能等技術，創(chuàng)新發(fā)展電子招標采購產(chǎn)品和服務，實施在全流程在線電子招標采購，同時進行相關數(shù)據(jù)的分析處理，運用大數(shù)據(jù)思維更好的提供相應的服務，更好滿足各招標采購等不同市場主體的相應需求。