浅析《数据安全法》对电子招标采购行业的影响

前言

《中华人民共和国数据安全法》（以下简称《数据安全法》）已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过，自2021年9月1日起施行。

作为我国关于数据安全的首部律法，《数据安全法》的出台意义深远，该法首次明确从国家层面建立数据安全制度、分类分级保护制度、交易管理制度、安全审查制度等。作为从事电子招标采购信息技术服务的企业，肩负着保护电子招投标交易过程中的数据安全的责任，同样面临着《数据安全法》的挑战，而电子招标采购非常关键的一环就是数据的处理，本文我们就来谈谈数据安全对电子招标采购系统建设的要求和影响。

《数据安全法》的颁布对企业进行数据合规化管理提出了更高要求

首先，《数据安全法》扩大了数据的涵盖范围，并将数据主权、数据安全上升到了国家主权、国家安全的层面，表明数据保护的重要性。《数据安全法》第三条规定，“数据，是指任何以电子或者非电子形式对信息的记录”。“数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。”“数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”

而对于电子招标采购行业而言，数据是指在电子招标采购过程中所需的各类数据的总和，包括基础性数据和招投标活动数据两部分。基础性数据主要指招标人、投标人、评标专家等数据;招投标活动数据主要包括招、投标文件，招标过程，评标过程，中标等招投标活动相关的数据。

其安全主要有两方面:

一是数据本身安全，主要是所有招投标数据是否用现代密码算法对数据进行主动保护，是否通过相关规则对数据的完整性进行校验，是否进行双向强身份认证等;

二是数据防护安全，数据总是通过某种介质存储和传输的，是否通过现代信息存储手段对数据进行主动防护。更基于电子招投标“公开、公平、公正和诚实信用”原则对数据安全提出较高要求。

《数据安全法》提出的“数据处理”概念，数据处理包含了数据的收集、存储、使用、加工、传输、提供、公开等。这意味着，数据的整个生命周期都在《数据安全法》的规制之中，对于招标采购软件服务商而言，应该重视招投标活动中数据处理过程中与之相应协作的各个环节中的数据安全防护。

其次，《数据安全法》搭建了数据安全保护机制，企业应重视与机制协作中的新方向。《数据安全法》从安全监管、风险评估、应急处置、安全审查、对等措施等方面提出国家和企业的协作保护数据安全的机制。

《数据安全法》第三十条对企业也提出常态化重要数据风险评估报告的要求，这意味着，数据合规工作将伴随在数据的完整生命周期中，难以一蹴而就，而对于招标采购软件服务商来说，如何借用有效手段保障各环节数据的安全至关重要。

行业应当如何应对《数据安全法》的挑战

《数据安全法》总则里面明确规定了*、事业单位、企业的数据安全保护责任，因此相关的数据运营方，在数字化转型的过程中，需要把保护数据安全作为首要准则，在确保数据安全的前提下，对数据进行合法、合理使用。并且，在数据生命周期当中，从数据的采集、存储、传输、交换、处理和销毁等环节当中，要加大数据安全的投入，完善数据安全保护体系，提升数据安全的能力和水平。

北京筑龙凭借深耕行业17年的沉淀，对此有完备的保障机制：

基于“筑龙技术”的电子招标采购平台既考虑信息资源的充分共享，也考虑了信息的保护和隔离；系统在各个层次对访问都进行了控制，设置了严格的操作权限；并充分利用日志系统、健全的备份和恢复策略增强系统的安全性。在进行项目设计时采用了可靠的技术，系统各环节具备故障分析与恢复和容错能力，并在安全体系建设、复杂环节解决方案和系统切换等各方面考虑周到、切实可行，建成的系统将安全可靠，稳定性强，把各种可能的风险降至最低。

图-北京筑龙数智招采平台安全架构

《数据安全法》第二十七条还规定，开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度。数据贯穿业务系统的各个环节，并且往往伴随着具体的业务，在不同载体之间流转和留存，这对数据安全防护提出了更高的要求，因此企业需要将安全能力和措施深入到实际业务场景当中，同时与系统、应用和业务进行深度结合，才能建成完善的数据安全体系，并实现对数据的精准防护。

对此，北京筑龙始终以客户利益为己任、在保护客户数据安全领域始终不断突破，采用多种方式保障招标采购业务平台的数据安全：

（1）采用区块链技术，利用区块链可追溯，不可篡改的特性，将招标采购关键数据、文件、视频以及业务规则和流程逻辑上链存证，实现数据的可控访问，有效解决数据的合法合规使用问题，保证业务环节不被跳过，执行前提不被篡改，防范人为参与风险。

（2）加强数据库安全审计功能，对重要的用户行为和重要安全事件进行审计，审计覆盖到每个用户，审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

（3）避免从互联网直接访问系统、数据库服务器，确保特定主机才允许拥有访问特权。

（4）定期数据备份，建立定期数据备份策略，使用数据库备份技术实现多个云平台的数据互通，自动备份，帮助企业或个人进行数据保护和管理。

（5）安全补丁，务必保持系统、数据库为最新版本，防范所有已知的漏洞。

（6）启用日志，系统的数据库服务器并不执行任何日志行为，建议启用跟踪记录，包括数据库访问日志和系统日志... ...

此外，落实到企业，北京筑龙还从以下几个方面引导、赋能客户，多方面实施数据安全防护：

第一，建章立制，构建企业内部的数据安全防护机制，明确企业内部的数据安全责任，加强安全意识培训；

第二，梳理企业经营业务的数据处理活动，要做好数据资产盘点和数据分类分级工作，对敏感数据分布以及数据安全现状做到心中有数，然后结合业务发展与合规要求，制定适合企业自身需求的数据安全方案和策略。

第三，建立数据流动监控机制，实时掌握数据使用状况，对新项目在建设之初必须考虑数据安全问题，比如开发测试过程中会接触到大量原始数据，是否做了完备的数据脱敏或加密工作，排除违法风险。

第四，定期开展数据安全风险评估，查漏补缺，持续构建数据安全技术能力体系。及时梳理出数据在采集、治理、计算存储、共享交换、数据开放等场景下的数据安全风险，采取必要的措施，确保数据处于有效保护和合法利用的状态，并构建持续的数据安全保护能力。

第五，积极关注国家发布的数据安全的相关标准，采用合规的安全技术，做到事前防范。

《数据安全法》为行业提供了依据和保障

《数据安全法》为相关数据分析业务的开展提供了明确的法律依据和法律保障。国家支持数据开发利用和数据安全技术研究，鼓励数据开发利用和数据安全等领域的技术推广和商业创新。同时国家实施大数据战略，推进数据基础设施建设，支持开发利用数据提升公共服务的智能化水平，对于我们开展大数据处理分析业务提供了有力的法律保障。

对于电子招投标行业来说，《数据安全法》的实施更是在鼓励我们创新发展电子招标采购的相关业务，鼓励*、企业等市场主体在依法合规、信息交互充分、风险管控有效的基础上，运用互联网、区块链、人工智能等技术，创新发展电子招标采购产品和服务，实施在全流程在线电子招标采购，同时进行相关数据的分析处理，运用大数据思维更好的提供相应的服务，更好满足各招标采购等不同市场主体的相应需求。