|
随着我国经济的快速发展,综合国力和国际地位稳步提升上升,政府采购规模的逐年扩大,政府采购中的信息安全面临着前所未有的挑战。政府采购与信息安全是一个跨专业问题,由于学科的复合性,使得相关的研究比较薄弱,因此具有较高的理论和实践价值。 《政府采购法》第八十五条规定:涉及国家安全和秘密的采购,不适用本法。《招标投标法》第六十六条规定:涉及国家安全、国家秘密,不适宜进行招标的项目,按照国家有关规定可以不进行招标。即《招标投标法》和《政府采购法》中规定的公开招标、邀请招标、竞争性谈判、询价和单一来源采购等采购方式的选择方法和采购流程无法直接适用于涉及国家安全和秘密的政府采购。而信息安全相关的法律制度的主要规制对象集中在网络安全,特别是互联网使用过程中涉及的信息安全方面。上述法律对接的直接后果是:在货物、工程和服务的政府采购过程中的信息安全和信息保护问题处于法律的空白。 2010年修订的《保密法》第二十九条中规定:机关、单位公开发布信息以及对涉及国家秘密的工程、货物、服务进行采购时,应当遵守保密规定。《政府信息公开条例》第十四条中规定:行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。 安全保密是有成本的,在采购中表现为对竞争的限制,而竞争却是招标采购的灵魂。美国80年代天价采购丑闻,我国近年来高铁建设中发生天价采购案的主要原因并不是人们通常揣测的腐败,而是由于采购方式、采购程序等采购技术方面的使用不当而限制了竞争。因而在政府采购中的信息安全要坚持“保障安全的同时促进发展的原则以及重点保护原则”,平衡好安全与发展的矛盾。体现在政府采购中的信息安全中,需要重点解决以下问题。 涉密项目的认定者 《保密法》第十一条规定:国家秘密及其密级的具体范围,由国家保密行政管理部门分别会同外交、公安、国家安全和其他中央有关机关规定。军事方面的国家秘密及其密级的具体范围,由中央军事委员会规定。 这条规定赋予了外交、公安、国家安全机关和军队单位全部或部分定密权,上述单位在政府采购实践中往往直接认定本单位的政府采购项目是否属于涉密项目。 一些没有定密权的单位,在政府采购工作中仅仅依靠本单位保密工作委员会的文件就将一些政府采购项目认定为涉密项目。其依据是《保密法》第十四条的规定:机关、单位对所产生的国家秘密事项,应当按照国家秘密及其密级的具体范围的规定确定密级,同时确定保密期限和知悉范围。 由于政府采购程序的专业性,各单位从事业务工作的人员对于政府采购中的哪些环节存在信息安全隐患、如何保护采购中产生的信息的安全并不十分清楚,这种自我认定,特别是不具有定密权的单位自我认定的方法是不妥当的。笔者认为,项目是否涉密应由同级保密机关认定,而与项目相关的政府采购流程是否按涉密处理则应将采购方案及保密机关认定的结果报财政部门认可。 涉密政府采购项目的认定原则 在政府采购领域,有三个容易混淆的概念:涉密单位、涉密项目和涉密政府采购项目。未必涉密单位的所有项目都是涉密项目。在涉密项目中会涉及到大量的采购,未必所有采购都是涉密政府采购项目。涉密政府采购项目的认定原则应当是:在有效保护在政府采购过程中产生和交换的涉密信息安全的前提下,尽可能提高采购的竞争性。然而在政府采购实践中,却存在以下几个误区。 误区一:涉密单位的采购必然是涉密项目;误区二:一个大的涉密项目中的每一个采购合同都属于涉密范围。存在这些误区的往往是具有定密权的单位。他们有扩大涉密范围的倾向。不排除有采购人以涉密为由逃避政府采购或规避公开招标的可能,但大多数采购人是由于把握不好项目的涉密程度和范围,干脆把本单位所有项目或一个大涉密项目的所有子项目全部按照涉密采购程序进行操作以避免泄密风险。扩大涉密范围固然提高了项目建设过程中的安全性,但同时牺牲了采购的竞争性,加大了采购成本,降低了采购活动的效益。 误区三:只有涉密单位的采购才是涉密政府采购项目。很多采购人对于信息安全的认识不到位,保密意识淡薄。尽管我国的核心部门和重要行业的采购对象中可能包含关系国家安全的关键基础设施和重要资产、重要信息网络或工业控制系统,如在金融、通信、电力、石油石化、农业、水利等领域中,但采购中的信息安全没有做到与系统建设同步,没有建立或不遵守涉密项目的采购流程,使得采购标的在采购流程及后续使用过程中产生的信息存在巨大的安全隐患。 采购过程中的涉密信息的鉴别 在政府采购过程中产生和交换的涉密信息有以下四类,需要加以区分和鉴别:第一类是采购人的基础信息涉密,如采购人的名称、地址、联系人、联系方式等;第二类是采购项目信息涉密,如特定采购对象的名称、种类、数量、用途、位置、技术参数等;第三类采购过程中采购人和供应商通过现场踏勘、澄清、标前预备会等方式交换的信息涉密,如采购文件、澄清文件、标前会纪要等文件中含有保密信息,项目现场属于特殊安全区,或投标文件中包含国家机密或商业机密等。对于上述三类信息的保护,在联合国贸易法委员会的《公共采购示范法》中都有相关的保护条款,但在我国政府采购相关法律中涉及不多,客观上也成为采购人不愿意将涉密项目公开招标的理由之一。第四类是采购对象在使用过程中存在信息安全隐患,即本文第五部分将要涉及的合同执行过程中的信息安全问题。 涉密项目的采购方式及工作规范 在相关法律存在空白的情况下,涉密政府采购项目应当依据怎样的管理制度和采购流程才能保障信息安全?这是摆在采购人和政府采购主管机构面前一个严峻的课题。在此方面存在的误区是:公开招标必然泄密,单一来源采购必然保密。之所以产生这种误解的原因在于很多采购人对于政府采购中的信息安全的认识不到位,并没有深入研究采购流程中的哪些环节会产生和交换信息,产生和交换什么样的信息,以及其中哪些信息需要保密。 在笔者看来,各种采购方式都可以建立与安全保密项目采购相配套的管理制度和采购流程。比如通过使用采购代理机构或集中采购机构或信息的加密处理可以保护采购人的基础信息,通过评标专家的资格认定和签署保密协议可以保护采购人和采购文件中的项目信息以及供应商及其报价文件中的商业机密,通过对供应商保密资质的要求和认定来保护采购合同执行过程中的信息安全,通过对中标产品的技术检测来保护产品使用过程中的信息安全等。在此方面,急需建立涉密项目采购管理规范和业务操作规范,以保证在涉密政府采购项目中采购程序的规范性。在确保涉密信息安全的基础上,不断提高涉密项目采购的质量、效益和水平。 执行合同中的信息安全 当前,在关键基础设施和重要行业中使用了大量的信息技术产品,如网络设备、操作系统和应用系统等,这些软、硬件设备采购合同的执行过程中或者采购对象的使用过程中,对于货物或工程采购,特别是其中的信息类产品的使用过程中,可能存在信息安全隐患,如可能被黑客或病毒攻击的漏洞或薄弱环节,人为预置的木马或后门程序,具备通过网络回传搜集特定信息的特殊功能等;对于服务采购,由于服务的不可分离性(不可储存性),供应商必须进入(属于安全禁区的)项目现场或与具有涉密身份的采购人直接接触,因而可能产生信息安全问题。对于上述问题,重要的是建立和执行好信息安全技术规范和标准,从技术的角度进行防范。从政府采购的角度,则主要关注以下几个方面:在采购文件及采购评审过程中注重供应商的保密资质和安全管理能力、安全产品的认定机构及证书的审核,在采购验收环节完善检测机构、检测手段及检测流程,在合同执行过程中建立和执行采购人的信息安全管理规范等。 法律救济过程中的信息保护 在政府采购过程以及合同执行过程中,可能由于各种原因导致供应商采用投诉、行政复议、仲裁、民事诉讼、行政诉讼等方式寻求行政救济或司法救济。在上述过程中,采购人、采购项目、采购文件、报价文件、合同文件中如包含涉密信息,则有可能在救济过程中存在信息泄露的风险。对于涉密政府采购项目中的行政审查和司法审查问题,《政府采购法》和《保密法》都没有具体的规定。对此,如果以信息安全为由阻断供应商寻求救济的渠道,则会使得供应商的权益受到侵害,既而影响采购的公平及效益;但如果按照普通的政府采购项目进行公开审查和信息公开,则会对信息安全造成损害。因此采购人所在的各级国家机关、政府采购管理部门以及法院都应当按照《政府信息公开条例》第十四条的规定,建立健全(与政府采购项目争议解决相关的)政府信息发布保密审查机制,明确审查的程序和责任。 总之,而保密工作的收益就是国家安全与国家利益得到保障,但有可能妨碍了市场竞争,增大采购成本。通过市场充分竞争,最有可能获得最优价格和配置,却可能存在一定的泄密风险。如何需要在采购效益和信息安全之间找到平衡点?其中,既需要完善配套法律制度、管理规范、工作规范、技术规范和标准,也需要采购工作者加强思考、提升信息安全意识和采购技能。 (作者:国际关系学院公共市场与政府采购研究所 赵勇) 作者:赵勇 来源:有道云笔记 |
|
|
来自: victor1208 > 《待分类》
