数字化全景：数据信息安全对采购的意义

随着互联网技术的不断发展，信息作为当今数据时代最重要的社会资源之一，对个人、企业的健康发展都有着至关重要的作用，充分保障信息的隐私和安全能为企业国内外业务的开展保驾护航，同时合理的信息应用也能为企业提供良好的分析和预测。但随着各类数据和信息运用的场景显著增加及信息全球化进程的不断推进，网络信息泄露、盗用、滥用的情况时有发生，并往往给个人、企业或国家带来严重的后果。

为此，各国政府陆续出台一系列政策法规以加强对企业和个人对信息安全问题的管控。那么，不断颁布更新的信息安全合规要求对企业及采购部带来哪些影响？采购部作为企业管理角色中接触大量内外部信息的重要一环，又应如何优化采购数据及信息管理体系，从而规避信息风险的漩涡？

网络信息泄露会带来哪些危害？

对于个人，信息泄露会导致自身财产损失和名誉损害，甚至威胁到人身安全；对于企业而言，信息泄露则会导致企业在市场竞争中处于不利地位，影响企业形象，带来重大经济损失，使企业面临法律诉讼，或造成严重的社会不良影响。

根据金雅拓（Gemalto）实时发布的全球范围内公共数据泄露事件严重程度指数我们了解到相较2017年，2018年上半年尽管数据违规事件总数略有下降，但数据丢失、被盗或受损的数量大增133％，每次重大数据泄露事件的严重程度也有所增加。

数据泄露水平指数 https://breachlevelindex.com/

2018年3月，英国媒体曝光了一家英国政治咨询公司“剑桥分析”（Cambridge Analytica）未经授权，通过推出在线性格测验等方式，收集了某社交网站数百万用户的资料并用于政治目的的内幕。“剑桥分析”公司亦通过此手段，介入了2016年的英国脱欧公投以及2016年的美国总统大选。经调查，美国联邦贸易委员会（FTC）认为，该社交网站处理用户数据的做法，有违该公司早在2011年与FTC达成的隐私协议。　

根据美国联邦贸易委员（FTC）最新公布的和解协议，FTC要求该社交网站增加新的职位和流程，由上至下重构隐私保护策略，以提高处理用户信息的透明度；同时建立新的问责机制，确保该社交网站高管们对涉及其用户隐私方面的决策承担责任，并受到有效的外部监管。此外，由于该社交网站此前隐瞒了其对涉及用户隐私的个人信息实际的控制力，FTC正式对该社交网站处以50亿美元的罚款。据分析，此次FTC对该社交网站的50亿美元罚款，是迄今为止针对公司侵犯消费者隐私权金额最大的一次罚款。

从某国际互联网公司因用户信息泄露而被开具的天价罚单开始，到众多国内外企业由于未能采取足够措施保护企业信息或对数据管理不当而遭受重大经济损失或被予以处罚等一系列事件中，我们不难发现，对于数据和信息的管理刻不容缓。因此各国都在紧锣密鼓地建立并完善相应信息保护机制与法律法规，从个人和企业层面同时加强信息安全管理。

国内外已出台哪些网络安全及隐私保护政策？

近年来，由于“网络安全”问题造成个人隐私及企业信息泄露的事件频发，全球各国都在出台或修订关于隐私保护或信息安全相关的法律和标准，许多企业都面临所在国家甚至多国隐私合规的政策挑战。隐私合规的挑战，看似给企业本土运营甚至全球化业务发展带来了一定障碍和壁垒，但企业一旦做好信息安全和隐私保护，它则足以成为经济贸易的桥梁和业务发展的驱动。

欧盟于2018年5月25日出台的GDPR（General Data Protection Regulation，通用数据保护条例），对保护公民信息安全做出了最全面且严格的规定。同时，对于任何类型的违规行为其处罚也十分严厉——2000万欧元或上一财年全球营业额4%的行政罚款，二者中较高的一个。这项法律的制定使欧盟公民有了更多使用个人信息的权利，为公民维权提供了法律保障，为企业提供了明确的法律框架，通过一项统一的法律来消除地区差异，实现欧盟整体数据保护框架的现代化，加强企业与公民之间的信任。

中国针对保护信息安全也制定了一套全面、综合的法律——《中华人民共和国网络安全法》（以下简称《网安法》），该法律于2017年6月1日起实行，主要目的是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。尽管《网安法》同GDPR一样均对个人信息安全做出了规定，但《网安法》更加侧重国家层面的数据安全在个人隐私层面所扮演的作用。除此之外2015年7月1日颁布并实行的《中华人民共和国国家安全法》第二十五条，《刑法修正案（七）》第二百五十三条也均对信息安全提出了法律上的要求。

目前美国已陆续颁布了各类数据安全和隐私保护法案，如美国早期颁布的联邦信息安全管理法案（FISMA），为美国联邦政府对各部门信息安全管理确立监督机制；加州在2018年颁布的《加州消费者隐私法案》，被认为是美国国内最严格的隐私立法，旨在加强消费者隐私权和数据安全保护。同时，美国商务部2018年也提出将在“二十一世纪美国数据隐私政策现代化实施”项目中考虑构建美国GDRP隐私保护法的思路。

各国推出的一些隐私保护措施

这类政策对企业及采购管理意味着什么？

随着国内外各类网络安全和隐私保护法律法规的日益严格且不断更新，企业在本土甚至全球化运营过程中面临的法律风险将越来越多，合规成本亦显著提高，但与此同时，日趋完善的信息安全政策对企业的快速转型和持续健康发展也有着促进和监督作用。

以GDPR为例，该条例对企业的文件归档、记录和数据处理能力、应急反应速度、整体运营模式规划等多方面提出了一系列要求，以提升企业的信息安全管理的合规性。

GDPR对企业信息安全管理的意义

从企业采购管理的角度而言，信息安全和隐私保护包含三方面内容：

1.采购信息的安全

在过往信息化和全球化不发达的情况下，采购任务相对简单，其采购数据和信息也相对封闭和单一。而今，随着企业采购业务的复杂化和多元化，采购数据和信息变得更加开放和透明，其中也可能涉及到大量个人隐私数据。如市场营销类采购数据中消费者隐私信息、电子采购平台上保存的个人和企业用户账户信息等。那么对于这些可能存在高风险的采购数据和信息如何定义和管理显得至关重要。GDPR对于采购数据提供了“设计保护资料”及“预设保护资料”以明确数据保护范围；《关于加强网络信息保护的决定》中也对个人电子信息隐私保密做了定义和规范。

2.采购数据管理和传输的安全

随着信息技术的不断发展和数据传输手段的多样化，采购信息传递更加快捷、广泛、公开和透明，与外界的渗透和交融性越发增强，因此企业对其采购数据管理和传输安全的管控难度进一步增大，采购数据的处理、存档及备份也成为采购部需要密切关注和解决的问题。GDPR与《网络安全法》二者均对跨境数据传输、关键隐私信息及信息使用者和处理者做出了严格的审查和评估规定，要求其对重要的采购数据和数据库进行容灾备份，定期对其网络的安全性和可能存在的风险进行检测评估。

3.供应商数据管理的安全

在供应商的数据管理方面，相关法律规定企业必须对供应商进行风险评估，确保供应商具备数据安全保护能力，并通过后续审计和评估的方式对供应商进行持续监督。在这个过程中，我们看到一些供应商或第三方平台也正在通过不断完善的信息保护将隐私保护发展成为一个差异化竞争因素。《网络安全法》对于企业采购等可能影响国家安全的供应商网络产品和服务制定了国家安全审查的环节。

数字化采购背景下，采购管理需如何有效地应对网络安全风险？

各类数字化解决方案如电商平台、采购云平台、供应商网络等是目前推动采购数字化转型的重要新兴技术能力，可以在企业采购管理的多个环节中应用，并在采购端到端管理中创造价值。我们可以看到越来越多的企业已经或准备应用数字化采购工具，实现业务、财务、供应商之间的全面协同，并有效提高数据的规范性、一致性、可追溯性，实现全链条的数据贯穿。

然而，大量数字化工具的运用可能创造了这样一种局面：业务部门可能通过使用一些小型的未经IT或网络安全部门审核的数字化应用程序进行与工作相关的数据交换；员工可能使用未通过安全认证的网络采购平台进行信息登记和采购；采购部门可能将一些涉及企业保密和个人隐私信息的文件随意进行存储或与外部供应商进行信息交互。这些忽视了网络安全性或隐私问题的操作行为，都可能会给公司带来一系列数据安全隐患。

因此，由于企业交易或采购行为对第三方采购系统服务商或数字化工具的依赖度越来越高，采购部更应进一步加强网络风险评估和供应商信息安全管理，以保护其数字资产安全，防止账户被攻破、数据泄露、恶意软件在整个企业蔓延等问题的发生。

企业采购部应结合企业IT或网络安全部门的信息安全制度体系建立部门内部完善的采购数据和信息管理流程，并对采购数据进行全面而统一管理和持续化监控。同时，采购部应当选择符合所在国家相应网络安全和隐私保护政策规范的数字化采购系统。

当企业采购部选择使用各类数字化采购系统进行采购管理时，整个系统的安全性同时取决于采购组织的管理能力和第三方采购系统服务商的安全控制能力。对于采购部来说，需要加强其对于第三方采购系统服务商的安全管控，具体表现在：

• 根据其自身的安全和隐私需求对第三方采购系统服务商提供商的设备、软硬件更新、网络技术架构、内部治理流程和技术控制的安全性进行评估
• 应该持续检查第三方采购系统服务商的系统和证书的更新，并建立企业内部安全控制应急方案
  

SAP Ariba如何助力企业采购管理数据安全？

针对企业客户出于数据安全风险的考量对数字化采购系统提出的一系列需求，目前SAP Ariba已推出全方位解决方案，通过数据处理协议（DPA）为所有SAP云解决方案提供统一的方法，该协议比提供企业普遍采用的隐私保证标准合同条款更加严格。SAP Ariba帮助企业管理GDPR合规的六个关键领域，包括：

同意和确认：

SAP Ariba解决方案在允许新用户使用之前获取用户同意和对隐私声明的确认。同时还在不断更新集成的确认机制，例如客户可配置的隐私声明。

接收自定义：

面向供应商的解决方案：支持自助服务选择，接收者可以取消订阅电子邮件通知和电话。面向采购方的解决方案：支持由管理员进行用户和角色管理。同时还在不断更新个人数据保留功能，例如客户可配置的存档和个人数据删除工具。

数据更正：

SAP Ariba解决方案的用户可以随时在系统内的用户配置文件中编辑或更正其个人数据。

可视性：

SAP Ariba解决方案提供用户个人数据的可视性，提供管理员功能，以标准格式导出用户数据，并记录对用户信息和设置的更改，包括同意和退出。

权限管理：

SAP Ariba解决方案允许客户为正式员工、合同工和第三方管理授权、身份验证和基于角色的访问。详细的票证和工作流程功能可帮助新的SAP Ariba管理员用户调整变化角色的用户的访问权限并管理非活动用户。

责任和支持：

通过SAP Ariba支持为企业（数据控制方）提供与隐私功能相关的问题、行动、投诉和异议的帮助。

SAP Ariba帮助企业管理GDPR合规的六个关键领域

根据GDPR的要求，客户、供应商和SAP Ariba分别承担以下角色：

数据控制者：

GDPR第4（7）条规定：“‘控制人’是指自然人或法人、公共机构、机构或任何其他机构，单独或与他人共同确定处理个人数据的目的和方式”（重点补充）。一般而言，控制者对所有收集的个人数据负责，并且必须确保处理者也涵盖数据主体的权利和控制器自身的法律义务。

SAP Ariba客户在使用SAP Ariba应用程序时是数据控制者。SAP Ariba通过合同（例如数据保护协议、服务描述或工作说明）代表客户充当数据处理者。

SAP Ariba供应商是数据控制者，因为他们对于在Ariba Network中输入的个人数据负有全部责任，例如通过自行注册。

数据处理者：

GDPR第4条第（8）款规定：“‘处理者’是指代表控制者处理个人数据的自然人或法人、公共机构、机构或其他机构”（重点补充）。通常，这指的是基于数据控制者的指令的数据处理。

SAP Ariba作为客户和供应商的云解决方案提供商，是客户和供应商（数据控制者）的数据处理者。

客户、供应商和SAP Ariba在数据管理中的角色

此外，SAP Ariba数据中心已通过PCI DSS、AICPA、SOC 1、SOC 2和SOC 3 WebTrust认证，且SAP Ariba安全实践遵循公认的行业准则——第三方审核员的Webtrust认证和SSAE 16审核（过去称为SAS70）-SOC 1,2,3报告，从而为企业客户的数据安全性提供多重保障。

安永如何帮助企业客户解决这个挑战？

安永可为企业提供多种解决方案，帮助企业应对供应链及采购管理中涉及到的信息安全风险：

• 我们端到端的供应链及采购转型方案使我们有能力解决多个行业GDPR征程的独特挑战。
• 我们的网络安全管理专业知识可快速帮助企业有效识别供应链和采购管理中信息安全风险，在考量成本的前提下建立恰当的网络安全解决方案，有效降低风险并优化内部流程。
• 我们多样化的业务模式能够为企业供应链和采购部门运作提供各类网络安全相关服务，包括供应商网络安全审核，供应商风险管理及合同管理流程优化，数字化采购工具如Ariba实施、RPA技术应用等。