前言

《中華人民共和國數據安全法》（以下簡稱《數據安全法》）已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議于2021年6月10日通過，自2021年9月1日起施行。

作為我國關于數據安全的首部律法，《數據安全法》的出臺意義深遠，該法首次明確從國家層面建立數據安全制度、分類分級保護制度、交易管理制度、安全審查制度等。作為從事電子招標采購信息技術服務的企業，肩負著保護電子招投標交易過程中的數據安全的責任，同樣面臨著《數據安全法》的挑戰，而電子招標采購非常關鍵的一環就是數據的處理，本文我們就來談談數據安全對電子招標采購系統建設的要求和影響。

《數據安全法》的頒布對企業進行數據合規化管理提出了更高要求

首先，《數據安全法》擴大了數據的涵蓋范圍，并將數據主權、數據安全上升到了國家主權、國家安全的層面，表明數據保護的重要性。《數據安全法》第三條規定，“數據，是指任何以電子或者非電子形式對信息的記錄”。“數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。”“數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”

而對于電子招標采購行業而言，數據是指在電子招標采購過程中所需的各類數據的總和，包括基礎性數據和招投標活動數據兩部分?；A性數據主要指招標人、投標人、評標專家等數據;招投標活動數據主要包括招、投標文件，招標過程，評標過程，中標等招投標活動相關的數據。

其安全主要有兩方面:

一是數據本身安全，主要是所有招投標數據是否用現代密碼算法對數據進行主動保護，是否通過相關規則對數據的完整性進行校驗，是否進行雙向強身份認證等;

二是數據防護安全，數據總是通過某種介質存儲和傳輸的，是否通過現代信息存儲手段對數據進行主動防護。更基于電子招投標“公開、公平、公正和誠實信用”原則對數據安全提出較高要求。

《數據安全法》提出的“數據處理”概念，數據處理包含了數據的收集、存儲、使用、加工、傳輸、提供、公開等。這意味著，數據的整個生命周期都在《數據安全法》的規制之中，對于招標采購軟件服務商而言，應該重視招投標活動中數據處理過程中與之相應協作的各個環節中的數據安全防護。

其次，《數據安全法》搭建了數據安全保護機制，企業應重視與機制協作中的新方向?！稊祿踩ā窂陌踩O管、風險評估、應急處置、安全審查、對等措施等方面提出國家和企業的協作保護數據安全的機制。

《數據安全法》第三十條對企業也提出常態化重要數據風險評估報告的要求，這意味著，數據合規工作將伴隨在數據的完整生命周期中，難以一蹴而就，而對于招標采購軟件服務商來說，如何借用有效手段保障各環節數據的安全至關重要。

行業應當如何應對《數據安全法》的挑戰

《數據安全法》總則里面明確規定了政府、事業單位、企業的數據安全保護責任，因此相關的數據運營方，在數字化轉型的過程中，需要把保護數據安全作為首要準則，在確保數據安全的前提下，對數據進行合法、合理使用。并且，在數據生命周期當中，從數據的采集、存儲、傳輸、交換、處理和銷毀等環節當中，要加大數據安全的投入，完善數據安全保護體系，提升數據安全的能力和水平。

北京筑龍憑借深耕行業17年的沉淀，對此有完備的保障機制：

基于“筑龍技術”的電子招標采購平臺既考慮信息資源的充分共享，也考慮了信息的保護和隔離；系統在各個層次對訪問都進行了控制，設置了嚴格的操作權限；并充分利用日志系統、健全的備份和恢復策略增強系統的安全性。在進行項目設計時采用了可靠的技術，系統各環節具備故障分析與恢復和容錯能力，并在安全體系建設、復雜環節解決方案和系統切換等各方面考慮周到、切實可行，建成的系統將安全可靠，穩定性強，把各種可能的風險降至最低。

圖-北京筑龍數智招采平臺安全架構

《數據安全法》第二十七條還規定，開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度。數據貫穿業務系統的各個環節，并且往往伴隨著具體的業務，在不同載體之間流轉和留存，這對數據安全防護提出了更高的要求，因此企業需要將安全能力和措施深入到實際業務場景當中，同時與系統、應用和業務進行深度結合，才能建成完善的數據安全體系，并實現對數據的精準防護。

對此，北京筑龍始終以客戶利益為己任、在保護客戶數據安全領域始終不斷突破，采用多種方式保障招標采購業務平臺的數據安全：

（1）采用區塊鏈技術，利用區塊鏈可追溯，不可篡改的特性，將招標采購關鍵數據、文件、視頻以及業務規則和流程邏輯上鏈存證，實現數據的可控訪問，有效解決數據的合法合規使用問題，保證業務環節不被跳過，執行前提不被篡改，防范人為參與風險。

（2）加強數據庫安全審計功能，對重要的用戶行為和重要安全事件進行審計，審計覆蓋到每個用戶，審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息

（3）避免從互聯網直接訪問系統、數據庫服務器，確保特定主機才允許擁有訪問特權。

（4）定期數據備份，建立定期數據備份策略，使用數據庫備份技術實現多個云平臺的數據互通，自動備份，幫助企業或個人進行數據保護和管理。

（5）安全補丁，務必保持系統、數據庫為最新版本，防范所有已知的漏洞。

（6）啟用日志，系統的數據庫服務器并不執行任何日志行為，建議啟用跟蹤記錄，包括數據庫訪問日志和系統日志... ...

此外，落實到企業，北京筑龍還從以下幾個方面引導、賦能客戶，多方面實施數據安全防護：

第一，建章立制，構建企業內部的數據安全防護機制，明確企業內部的數據安全責任，加強安全意識培訓；

第二，梳理企業經營業務的數據處理活動，要做好數據資產盤點和數據分類分級工作，對敏感數據分布以及數據安全現狀做到心中有數，然后結合業務發展與合規要求，制定適合企業自身需求的數據安全方案和策略。

第三，建立數據流動監控機制，實時掌握數據使用狀況，對新項目在建設之初必須考慮數據安全問題，比如開發測試過程中會接觸到大量原始數據，是否做了完備的數據脫敏或加密工作，排除違法風險。

第四，定期開展數據安全風險評估，查漏補缺，持續構建數據安全技術能力體系。及時梳理出數據在采集、治理、計算存儲、共享交換、數據開放等場景下的數據安全風險，采取必要的措施，確保數據處于有效保護和合法利用的狀態，并構建持續的數據安全保護能力。

第五，積極關注國家發布的數據安全的相關標準，采用合規的安全技術，做到事前防范。

《數據安全法》為行業提供了依據和保障

《數據安全法》為相關數據分析業務的開展提供了明確的法律依據和法律保障。國家支持數據開發利用和數據安全技術研究，鼓勵數據開發利用和數據安全等領域的技術推廣和商業創新。同時國家實施大數據戰略，推進數據基礎設施建設，支持開發利用數據提升公共服務的智能化水平，對于我們開展大數據處理分析業務提供了有力的法律保障。

對于電子招投標行業來說，《數據安全法》的實施更是在鼓勵我們創新發展電子招標采購的相關業務，鼓勵政府、企業等市場主體在依法合規、信息交互充分、風險管控有效的基礎上，運用互聯網、區塊鏈、人工智能等技術，創新發展電子招標采購產品和服務，實施在全流程在線電子招標采購，同時進行相關數據的分析處理，運用大數據思維更好的提供相應的服務，更好滿足各招標采購等不同市場主體的相應需求。