前言

《中華人民共和國(guó)數(shù)據(jù)安全法》（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）已由中華人民共和國(guó)第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議于2021年6月10日通過，自2021年9月1日起施行。

作為我國(guó)關(guān)于數(shù)據(jù)安全的首部律法，《數(shù)據(jù)安全法》的出臺(tái)意義深遠(yuǎn)，該法首次明確從國(guó)家層面建立數(shù)據(jù)安全制度、分類分級(jí)保護(hù)制度、交易管理制度、安全審查制度等。作為從事電子招標(biāo)采購(gòu)信息技術(shù)服務(wù)的企業(yè)，肩負(fù)著保護(hù)電子招投標(biāo)交易過程中的數(shù)據(jù)安全的責(zé)任，同樣面臨著《數(shù)據(jù)安全法》的挑戰(zhàn)，而電子招標(biāo)采購(gòu)非常關(guān)鍵的一環(huán)就是數(shù)據(jù)的處理，本文我們就來談?wù)剶?shù)據(jù)安全對(duì)電子招標(biāo)采購(gòu)系統(tǒng)建設(shè)的要求和影響。

《數(shù)據(jù)安全法》的頒布對(duì)企業(yè)進(jìn)行數(shù)據(jù)合規(guī)化管理提出了更高要求

首先，《數(shù)據(jù)安全法》擴(kuò)大了數(shù)據(jù)的涵蓋范圍，并將數(shù)據(jù)主權(quán)、數(shù)據(jù)安全上升到了國(guó)家主權(quán)、國(guó)家安全的層面，表明數(shù)據(jù)保護(hù)的重要性。《數(shù)據(jù)安全法》第三條規(guī)定，“數(shù)據(jù)，是指任何以電子或者非電子形式對(duì)信息的記錄”。“數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。”“數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。”

而對(duì)于電子招標(biāo)采購(gòu)行業(yè)而言，數(shù)據(jù)是指在電子招標(biāo)采購(gòu)過程中所需的各類數(shù)據(jù)的總和，包括基礎(chǔ)性數(shù)據(jù)和招投標(biāo)活動(dòng)數(shù)據(jù)兩部分?；A(chǔ)性數(shù)據(jù)主要指招標(biāo)人、投標(biāo)人、評(píng)標(biāo)專家等數(shù)據(jù);招投標(biāo)活動(dòng)數(shù)據(jù)主要包括招、投標(biāo)文件，招標(biāo)過程，評(píng)標(biāo)過程，中標(biāo)等招投標(biāo)活動(dòng)相關(guān)的數(shù)據(jù)。

其安全主要有兩方面:

一是數(shù)據(jù)本身安全，主要是所有招投標(biāo)數(shù)據(jù)是否用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，是否通過相關(guān)規(guī)則對(duì)數(shù)據(jù)的完整性進(jìn)行校驗(yàn)，是否進(jìn)行雙向強(qiáng)身份認(rèn)證等;

二是數(shù)據(jù)防護(hù)安全，數(shù)據(jù)總是通過某種介質(zhì)存儲(chǔ)和傳輸?shù)模欠裢ㄟ^現(xiàn)代信息存儲(chǔ)手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)防護(hù)。更基于電子招投標(biāo)“公開、公平、公正和誠(chéng)實(shí)信用”原則對(duì)數(shù)據(jù)安全提出較高要求。

《數(shù)據(jù)安全法》提出的“數(shù)據(jù)處理”概念，數(shù)據(jù)處理包含了數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。這意味著，數(shù)據(jù)的整個(gè)生命周期都在《數(shù)據(jù)安全法》的規(guī)制之中，對(duì)于招標(biāo)采購(gòu)軟件服務(wù)商而言，應(yīng)該重視招投標(biāo)活動(dòng)中數(shù)據(jù)處理過程中與之相應(yīng)協(xié)作的各個(gè)環(huán)節(jié)中的數(shù)據(jù)安全防護(hù)。

其次，《數(shù)據(jù)安全法》搭建了數(shù)據(jù)安全保護(hù)機(jī)制，企業(yè)應(yīng)重視與機(jī)制協(xié)作中的新方向?！稊?shù)據(jù)安全法》從安全監(jiān)管、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處置、安全審查、對(duì)等措施等方面提出國(guó)家和企業(yè)的協(xié)作保護(hù)數(shù)據(jù)安全的機(jī)制。

《數(shù)據(jù)安全法》第三十條對(duì)企業(yè)也提出常態(tài)化重要數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告的要求，這意味著，數(shù)據(jù)合規(guī)工作將伴隨在數(shù)據(jù)的完整生命周期中，難以一蹴而就，而對(duì)于招標(biāo)采購(gòu)軟件服務(wù)商來說，如何借用有效手段保障各環(huán)節(jié)數(shù)據(jù)的安全至關(guān)重要。

行業(yè)應(yīng)當(dāng)如何應(yīng)對(duì)《數(shù)據(jù)安全法》的挑戰(zhàn)

《數(shù)據(jù)安全法》總則里面明確規(guī)定了政府、事業(yè)單位、企業(yè)的數(shù)據(jù)安全保護(hù)責(zé)任，因此相關(guān)的數(shù)據(jù)運(yùn)營(yíng)方，在數(shù)字化轉(zhuǎn)型的過程中，需要把保護(hù)數(shù)據(jù)安全作為首要準(zhǔn)則，在確保數(shù)據(jù)安全的前提下，對(duì)數(shù)據(jù)進(jìn)行合法、合理使用。并且，在數(shù)據(jù)生命周期當(dāng)中，從數(shù)據(jù)的采集、存儲(chǔ)、傳輸、交換、處理和銷毀等環(huán)節(jié)當(dāng)中，要加大數(shù)據(jù)安全的投入，完善數(shù)據(jù)安全保護(hù)體系，提升數(shù)據(jù)安全的能力和水平。

北京筑龍憑借深耕行業(yè)17年的沉淀，對(duì)此有完備的保障機(jī)制：

基于“筑龍技術(shù)”的電子招標(biāo)采購(gòu)平臺(tái)既考慮信息資源的充分共享，也考慮了信息的保護(hù)和隔離；系統(tǒng)在各個(gè)層次對(duì)訪問都進(jìn)行了控制，設(shè)置了嚴(yán)格的操作權(quán)限；并充分利用日志系統(tǒng)、健全的備份和恢復(fù)策略增強(qiáng)系統(tǒng)的安全性。在進(jìn)行項(xiàng)目設(shè)計(jì)時(shí)采用了可靠的技術(shù)，系統(tǒng)各環(huán)節(jié)具備故障分析與恢復(fù)和容錯(cuò)能力，并在安全體系建設(shè)、復(fù)雜環(huán)節(jié)解決方案和系統(tǒng)切換等各方面考慮周到、切實(shí)可行，建成的系統(tǒng)將安全可靠，穩(wěn)定性強(qiáng)，把各種可能的風(fēng)險(xiǎn)降至最低。

圖-北京筑龍數(shù)智招采平臺(tái)安全架構(gòu)

《數(shù)據(jù)安全法》第二十七條還規(guī)定，開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度。數(shù)據(jù)貫穿業(yè)務(wù)系統(tǒng)的各個(gè)環(huán)節(jié)，并且往往伴隨著具體的業(yè)務(wù)，在不同載體之間流轉(zhuǎn)和留存，這對(duì)數(shù)據(jù)安全防護(hù)提出了更高的要求，因此企業(yè)需要將安全能力和措施深入到實(shí)際業(yè)務(wù)場(chǎng)景當(dāng)中，同時(shí)與系統(tǒng)、應(yīng)用和業(yè)務(wù)進(jìn)行深度結(jié)合，才能建成完善的數(shù)據(jù)安全體系，并實(shí)現(xiàn)對(duì)數(shù)據(jù)的精準(zhǔn)防護(hù)。

對(duì)此，北京筑龍始終以客戶利益為己任、在保護(hù)客戶數(shù)據(jù)安全領(lǐng)域始終不斷突破，采用多種方式保障招標(biāo)采購(gòu)業(yè)務(wù)平臺(tái)的數(shù)據(jù)安全：

（1）采用區(qū)塊鏈技術(shù)，利用區(qū)塊鏈可追溯，不可篡改的特性，將招標(biāo)采購(gòu)關(guān)鍵數(shù)據(jù)、文件、視頻以及業(yè)務(wù)規(guī)則和流程邏輯上鏈存證，實(shí)現(xiàn)數(shù)據(jù)的可控訪問，有效解決數(shù)據(jù)的合法合規(guī)使用問題，保證業(yè)務(wù)環(huán)節(jié)不被跳過，執(zhí)行前提不被篡改，防范人為參與風(fēng)險(xiǎn)。

（2）加強(qiáng)數(shù)據(jù)庫(kù)安全審計(jì)功能，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)，審計(jì)覆蓋到每個(gè)用戶，審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息

（3）避免從互聯(lián)網(wǎng)直接訪問系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器，確保特定主機(jī)才允許擁有訪問特權(quán)。

（4）定期數(shù)據(jù)備份，建立定期數(shù)據(jù)備份策略，使用數(shù)據(jù)庫(kù)備份技術(shù)實(shí)現(xiàn)多個(gè)云平臺(tái)的數(shù)據(jù)互通，自動(dòng)備份，幫助企業(yè)或個(gè)人進(jìn)行數(shù)據(jù)保護(hù)和管理。

（5）安全補(bǔ)丁，務(wù)必保持系統(tǒng)、數(shù)據(jù)庫(kù)為最新版本，防范所有已知的漏洞。

（6）啟用日志，系統(tǒng)的數(shù)據(jù)庫(kù)服務(wù)器并不執(zhí)行任何日志行為，建議啟用跟蹤記錄，包括數(shù)據(jù)庫(kù)訪問日志和系統(tǒng)日志... ...

此外，落實(shí)到企業(yè)，北京筑龍還從以下幾個(gè)方面引導(dǎo)、賦能客戶，多方面實(shí)施數(shù)據(jù)安全防護(hù)：

第一，建章立制，構(gòu)建企業(yè)內(nèi)部的數(shù)據(jù)安全防護(hù)機(jī)制，明確企業(yè)內(nèi)部的數(shù)據(jù)安全責(zé)任，加強(qiáng)安全意識(shí)培訓(xùn)；

第二，梳理企業(yè)經(jīng)營(yíng)業(yè)務(wù)的數(shù)據(jù)處理活動(dòng)，要做好數(shù)據(jù)資產(chǎn)盤點(diǎn)和數(shù)據(jù)分類分級(jí)工作，對(duì)敏感數(shù)據(jù)分布以及數(shù)據(jù)安全現(xiàn)狀做到心中有數(shù)，然后結(jié)合業(yè)務(wù)發(fā)展與合規(guī)要求，制定適合企業(yè)自身需求的數(shù)據(jù)安全方案和策略。

第三，建立數(shù)據(jù)流動(dòng)監(jiān)控機(jī)制，實(shí)時(shí)掌握數(shù)據(jù)使用狀況，對(duì)新項(xiàng)目在建設(shè)之初必須考慮數(shù)據(jù)安全問題，比如開發(fā)測(cè)試過程中會(huì)接觸到大量原始數(shù)據(jù)，是否做了完備的數(shù)據(jù)脫敏或加密工作，排除違法風(fēng)險(xiǎn)。

第四，定期開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，查漏補(bǔ)缺，持續(xù)構(gòu)建數(shù)據(jù)安全技術(shù)能力體系。及時(shí)梳理出數(shù)據(jù)在采集、治理、計(jì)算存儲(chǔ)、共享交換、數(shù)據(jù)開放等場(chǎng)景下的數(shù)據(jù)安全風(fēng)險(xiǎn)，采取必要的措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，并構(gòu)建持續(xù)的數(shù)據(jù)安全保護(hù)能力。

第五，積極關(guān)注國(guó)家發(fā)布的數(shù)據(jù)安全的相關(guān)標(biāo)準(zhǔn)，采用合規(guī)的安全技術(shù)，做到事前防范。

《數(shù)據(jù)安全法》為行業(yè)提供了依據(jù)和保障

《數(shù)據(jù)安全法》為相關(guān)數(shù)據(jù)分析業(yè)務(wù)的開展提供了明確的法律依據(jù)和法律保障。國(guó)家支持?jǐn)?shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究，鼓勵(lì)數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新。同時(shí)國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，支持開發(fā)利用數(shù)據(jù)提升公共服務(wù)的智能化水平，對(duì)于我們開展大數(shù)據(jù)處理分析業(yè)務(wù)提供了有力的法律保障。

對(duì)于電子招投標(biāo)行業(yè)來說，《數(shù)據(jù)安全法》的實(shí)施更是在鼓勵(lì)我們創(chuàng)新發(fā)展電子招標(biāo)采購(gòu)的相關(guān)業(yè)務(wù)，鼓勵(lì)政府、企業(yè)等市場(chǎng)主體在依法合規(guī)、信息交互充分、風(fēng)險(xiǎn)管控有效的基礎(chǔ)上，運(yùn)用互聯(lián)網(wǎng)、區(qū)塊鏈、人工智能等技術(shù)，創(chuàng)新發(fā)展電子招標(biāo)采購(gòu)產(chǎn)品和服務(wù)，實(shí)施在全流程在線電子招標(biāo)采購(gòu)，同時(shí)進(jìn)行相關(guān)數(shù)據(jù)的分析處理，運(yùn)用大數(shù)據(jù)思維更好的提供相應(yīng)的服務(wù)，更好滿足各招標(biāo)采購(gòu)等不同市場(chǎng)主體的相應(yīng)需求。