（来源：中国政府采购报）

转自：中国政府采购报

【聚焦电子档案】

如何铸就数字铁证

——政府采购电子档案信息安全措施域外经验介绍（一）

■ 连文怡

《中华人民共和国政府采购法》明确规定，采购文件的保存期限为从采购结束之日起至少保存15年。实践中，政府采购电子档案通常需保存5年、10年甚至20年以上，以应对法定审计周期、合同争议、腐败调查、政务公开、战略性或涉密项目的回溯验证。这要求政府采购电子档案系统必须确保以下两点：一是长期可读性，确保无论技术演进如何，未来仍能打开、识别并理解文件内容；二是数据完整性，确保任何形式的修改或篡改都能被识别、追踪，并具备技术与法律可验证性。本文主要介绍四个体系性规则框架，从而解释美国、欧盟和联合国如何实现这一目标，为相关部门提供参考。

NARA框架

由美国国家档案和记录管理局（National Archives and Records Administration，以下简称NARA）发布的《联邦记录管理指南》《数字保存政策》《OMB A-130》，共同构成了NARA采购框架。

《联邦记录管理指南》为采购系统设定技术与制度要求。比如，合同签订、审批流程、电子邮件记录、付款凭证等均需纳入电子记录管理。《数字保存政策》对格式选择、数字保存策略、迁移路径提供技术支撑，确保采购档案不会因格式淘汰而丧失可读性。《OMB A-130》则为机构设定治理和合规框架，要求将记录保存纳入信息生命周期管理，并建立预算、风险评估与政策执行机制，明确NARA的监督角色。

笔者认为，这一框架的核心措施主要包括以下五个方面：一是格式可持续性，即要求政府机构将档案保存为开放、非专有格式，如PDF/A、XML、ASCII等，以避免因商业软件停运导致数据不可读；二是元数据与来源链，即每份数字档案应附带描述性、结构性与管理性元数据，用于追溯创建背景、版本变化与使用情况；三是校验机制，即通过加密哈希校验，定期验证文件是否遭到篡改或损坏；四是全生命周期管理，即每类档案需遵循法定保管周期，并在过期后进行可审计的不可恢复删除；五是系统合规要求，即采购档案系统需满足NARA的《通用电子记录管理要求》，支持记录的完整性和可验证性。

FDA框架

美国《联邦法规汇编》第21篇第11部分（以下简称《21 CFR Part 11》），是专门规范美国食品和药品管理局（Food and Drug Administration，以下简称FDA）管辖范围内的电子记录与电子签名的使用标准。其中明确，电子记录与电子签名规定适用于医疗、药品、生物制品相关采购系统，或涉及FDA监管供应链的政府采购活动。《21 CFR Part 11》明确规定以下四个方面：一是采用审计轨迹机制，系统必须自动记录每次访问、修改、删除的时间、人员与操作类型；二是要求系统验证，采购系统或归档平台必须经过验证，确保其在整个生命周期内的稳定性与准确性；三是要求电子签名管理，即电子签名需唯一绑定于签署人，具备抗抵赖性，并能追溯原始记录；四是强制数据完整性保护，即限制未经授权的访问、强制双重认证、禁止记录被覆盖式修改。

就政府采购电子档案系统而言，联邦采购数据系统由美国总务管理局（General Services Administration，以下简称GSA）的体系规制；美国奖励管理系统则整合了多个联邦采购系统，受多方规制。《21 CFR Part 11》本身是FDA的规制文件，适用于受FDA监管的行业系统，如药品、生物制品、医疗器械、临床试验等，而非专门针对联邦政府采购系统。笔者认为，政府采购涉及合同、付款、交易文件等关键记录，其电子归档必须满足完整性、可验证性、签名绑定、时间戳可追溯等要求，而《21 CFR Part 11》的很多原则在此可提供制度参照。例如，《21 CFR Part 11》要求电子记录可导出、可持久、独立验证，这与NARA强调的“长期保存+开放格式”理念高度一致。在某些高标准政府采购项目中，《21 CFR Part 11》合规资质被纳入供应商评估标准，尤其是涉及医疗卫生类项目采购、电子审计系统开发等。此外，作为美国联邦政府最主要的采购渠道之一，GSA日程会明确提出，部分供应商需说明其系统是否满足《21 CFR Part 11》要求。

NIS2指令

欧盟网络和信息系统指令（Directive  2022/2555，以下简称NIS2指令）本身未直接规定长久数字保存标准，但其风险管理制度和技术控制要求，对电子档案的完整性保障形成了规范参照。NIS2指令要求实体对其信息系统风险进行评估与持续治理。若系统责任方未确保数据完整或可访问，则违反安全义务。NIS2指令要求覆盖云服务、数据中心服务商、信托服务提供商等供应链环节实体。若政府采购电子档案托管或传输依赖这些供应商，则其服务协议与数据完整保障机制（如签名验证、冗余备份）需要纳入评估。

虽然NIS2指令并未像NARA那样明确规定数字保存格式与迁移机制，但其合规框架对数字保存制度形成了制度上的底线。例如，系统不能因格式淘汰、兼容性中断导致无法恢复或不可审计，否则视为安全管理不到位。在制定欧盟或地区数字保存标准时（如保存PDF/A、XML元数据包装、区块链哈希校验等），可将NIS2指令的安全控制要求嵌入“长期保存与安全风险治理”标准体系中。

就政府采购而言，欧盟《公共采购指令》强制推动公共采购流程电子化，要求使用e-Submission、e-Procurement平台，并规定电子签名与电子身份的使用标准。所有关键材料（如合同签订、评审报告）必须使用符合要求的电子签名系统，确保签名具有法律效力、可追溯性与不可篡改性。相关平台自动记录用户操作、文件访问及审批流程日志，满足审计追踪要求，防止未授权变更或误删除。公共采购数据空间（PPDS）推广结构化电子表格，有助于规范数据格式、减少自由文本、提高长期可用性。此外，欧盟委员会归档政策要求设定保存期限与类型（永久、定期销毁等），并明确哪些文件须进入历史档案流程、提早设计导出与迁移机制。欧洲档案组织与欧盟委员会DLM论坛协同推动档案互操作性标准，支持各国数字档案系统之间共享。

联合国政策

联合国档案与记录管理政策（ST/SGB/2007/5）明确规定，电子记录提交需包括详尽元数据（如创建时间、制作者、版本信息），以及数字签名或哈希值标识，以支持审计与溯源。档案提交必须符合规定的命名规则与归档格式策略。数据提交过程中须进行格式一致性检测与内容校验，以防数据篡改和损坏。为保证数据的长期可读性，联合国将档案从创建阶段纳入管理，减少临时性保存方式，并倡导采用开放标准（如PDF/A、XML）以提升兼容性。此外，联合国还明确，要自主评估新旧存储介质（如磁带、硬盘、云存）技术寿命与风险，定期迁移内容至当前支持的技术格式；配合国际长期保存社区经验，持续监控格式风险，并预设迁移路径。虽未完全公开技术细节，但联合国档案管理系统已基本实行地理分布式存储和备份中心制度，保障在大型灾害下访问可持续性。

以上政策同样适用于联合国系统内的采购项目，如联合国全球采购市场平台所产生的档案。在应用时，需注意以下内容：一是确保“设计即可持续”原则，即档案系统应从设计阶段起就确保格式长期兼容、元数据完整、内容可验证；二是提出元数据规范化，即所有采购档案需具备统一的核心元数据，如创建者、文件种类、交易编号等，支持长期追溯与查询；三是制定格式迁移计划，即保存策略中应嵌入周期性格式迁移与存储介质更新方案；四是对访问控制与可审计性提出要求，即仅授权用户可操作采购档案，且访问日志需与档案同步保存，供内部调查或外部监督使用；五是对安全删除机制提出要求，即档案的销毁必须可审计、符合保密规定、无法恢复，防止敏感信息外泄。联合国强调采购记录的可追溯性与问责性，确保实现未来监督审计或涉诉程序中的真实性核查。

综上所述，笔者认为，我国在设计政府采购电子档案系统时可参考以下五项原则：一是开放格式优先，即鼓励采用PDF/A、XML、CSV等非专有格式，避免“格式孤岛”问题；二是加密校验与日志机制，即每份档案应具有不可篡改的哈希校验值与访问审计记录；三是元数据驱动保存，即不是简单保存文件，而是保存带有上下文与来源的法律证据链条；四是系统更新与跨平台适应，即系统应支持格式迁移、平台互通；五是制度责任主体清晰，即明晰责任机关，对档案保存的真实性和可用性承担最终责任。

如今，政府采购电子档案的长期保存早已不只是档案技术问题，而是涉及法律合规、公共信任与制度韧性的核心议题。尤其在审计、争议解决、国际监督等情境下，一份打不开或缺乏完整性证据的电子档案，等同于不存在。因此，建议有关部门将政府采购电子档案建设视为战略性公共基础设施，以合规框架指导技术设计，保障其未来具备“合法可读、信任可立”的特性。

（作者系华东政法大学助理研究员）

本报拥有此文版权，若需转载或复制，请注明来源于中国政府采购报，标注作者，并保持文章的完整性。否则，将追究法律责任。