程明宵 耿志杰/上海大學圖書情報檔案系

1 規(guī)范異地備份啟用流程的緊迫性

異地備份檔案的實質是電子檔案的副本，雖然《中華人民共和國檔案法實施辦法》中“其他復制形式的檔案載有檔案收藏單位法人代表的簽名或印章標記的，具有與檔案原件同等效力”[1]的規(guī)定解釋了檔案副本的效力，但是備份檔案的“收藏單位”在法律規(guī)定上仍然比較模糊，備份檔案的所有權在原檔案館，保管權在備份檔案館，災難發(fā)生后在無法明確檔案“收藏單位”的情況下，檔案副本的法人代表簽名或印章是無法得到認同的；并且“電子檔案具有非人工識讀，對系統(tǒng)依賴、信息與載體可分離、信息可變性等特點，存在電子檔案是不固定的儲存載體、不特定的字跡簽署等問題”[2]，在異地備份檔案遷移過程中，這些問題容易造成異地備份檔案的法律效力遭到質疑。然而在電子文件證據(jù)的司法應用上，“只要能確保電子檔案記錄的原始數(shù)據(jù)并未被改動，就可視該電子證據(jù)為原始證據(jù)”[3]，因此，異地備份檔案原始性認定在憑證價值和法律效力認可上顯得尤為重要。

雖然異地備份檔案原始性認定的法律依據(jù)有所缺失和異地備份檔案遷移存在風險，但檔案容災中保障異地備份檔案的憑證價值和法律效力是必須的。啟用異地備份檔案是檔案容災體系建設中重要的一部分，然而在這一方面我國仍屬空白，歷史和現(xiàn)實告訴我們，不論是毀滅性的自然災害還是人為災害都是不可控制的，規(guī)范異地備份啟用流程是擺在檔案部門面前的緊迫任務。

2 異地備份檔案可啟用的基本條件

災害發(fā)生致使檔案館業(yè)務功能停頓或服務水平不可接受，受災檔案館應搶救檔案原件、實施本地恢復，盡可能保證檔案的原始性。如果受災檔案館的“檔案數(shù)據(jù)受到不可逆轉的損毀且無法從檔案形成單位獲取”[4]，受災檔案館可通過備份有效性判斷，申請啟用異地備份檔案。

2.1 備份程序有效性。備份程序有效性指受災檔案館在災害發(fā)生前對損毀檔案完成備份，強調(diào)備份形成過程手續(xù)齊全、真實合法。備份程序有效性可通過備份過程中的系統(tǒng)操作元數(shù)據(jù)和人為操作記錄進行檢驗，受災檔案館可核對備份清單和備份檔案館接收清單查詢損毀檔案的備份情況，確定可啟用異地備份檔案的清單。此外，備份程序全過程管理所涉及的系統(tǒng)元數(shù)據(jù)和記錄應完整、真實、可靠，可作為啟用異地備份檔案的申請手續(xù)，從來源上作為異地備份檔案原始性認定的憑證之一。

2.2 備份數(shù)據(jù)有效性。備份數(shù)據(jù)有效性指災害發(fā)生前，在異地保存過程中的備份檔案數(shù)據(jù)沒有發(fā)生失存、失讀、失用、失真、失密等情況，與檔案“原件”一致。受災檔案館應在備份過程中對電子檔案數(shù)據(jù)進行有效性檢測，并對生成的元數(shù)據(jù)和工作日志妥善保管，將其作為判斷備份檔案數(shù)據(jù)完整、真實、可靠、可用的依據(jù)。備份數(shù)據(jù)有效性檢測的內(nèi)容包括檔案數(shù)據(jù)完整性檢測、檔案內(nèi)容真實性鑒定、載體狀況檢驗、病毒檢驗四個方面。“檔案數(shù)據(jù)完整性檢測是對受災檔案館的移交清單與備份檔案館的接收清單進行一致性核對，確定備份過程中檔案數(shù)據(jù)未發(fā)生丟失；檔案內(nèi)容真實性鑒定是利用現(xiàn)有技術手段檢測備份過程中檔案數(shù)據(jù)的內(nèi)容并未被改動，確認備份檔案與備份形成時的原始狀況一致；載體狀況檢驗是確保備份檔案數(shù)據(jù)的介質沒有破損、霉斑，格式符合國家標準，可準確讀?。徊《緳z驗是保證備份檔案數(shù)據(jù)并未受病毒侵入，殺毒處理后仍可使用”[5]。

3 異地備份檔案啟用流程設計

目前國內(nèi)外的標準規(guī)范關于電子檔案原始性認證的表述主要強調(diào)電子檔案的真實性，包括兩個方面，“一方面強調(diào)電子檔案形成過程真實，一方面強調(diào)電子檔案內(nèi)容、背景和結構信息真實”[6]。據(jù)此本文設計了異地備份檔案啟用流程，可劃分為檔案數(shù)據(jù)準備、檔案數(shù)據(jù)傳輸、檔案數(shù)據(jù)替換三個環(huán)節(jié)，這三個環(huán)節(jié)緊緊相扣。

3.1 檔案數(shù)據(jù)準備。備份檔案數(shù)據(jù)準備指受災檔案館提出啟用申請后，備份檔案館為驗證受災檔案館身份、備份有效性以及保證保管程序和數(shù)據(jù)有效性所做的基礎性工作，是整個流程中關鍵性步驟，備份檔案數(shù)據(jù)具體準備過程如下：

3.1.1 受災檔案館身份確認。備份檔案館啟用異地備份檔案應先對受災檔案館身份進行驗證，防止不良分子偽造身份非法獲取檔案數(shù)據(jù)，保證備份檔案數(shù)據(jù)的安全性。備份檔案館可根據(jù)受災檔案館提供的申請手續(xù)進行甄別，確定身份。完整的申請手續(xù)應包括檔案災害鑒定書、業(yè)務影響分析評估書、備份檔案清單、歷次備份檔案登記表、歷次備份檔案檢測報告、備份檔案遷移登記表、備份檔案館接收回執(zhí)、備份檔案啟用清單及申請表、主要負責人批準文書、檔案館異地備份對口協(xié)作協(xié)議書（合同）等。

3.1.2 備份檔案保管有效性檢測。備份檔案館確認受災檔案館身份后，應對備份檔案保管程序有效性和數(shù)據(jù)有效性進行檢測，確保本館保管過程中的備份數(shù)據(jù)是有效的。備份檔案館保管程序有效性可通過備份檔案管理過程的系統(tǒng)元數(shù)據(jù)和人為操作日志進行檢測，備份檔案館保管數(shù)據(jù)有效性檢測可參考備份數(shù)據(jù)有效性檢測的內(nèi)容與方法進行。

3.1.3 啟用清單確認。啟用清單確認是統(tǒng)計和確定受災檔案館要啟用的異地備份檔案，備份檔案館可以通過啟用清單和接收清單比對，確認啟用備份檔案存儲位置，直接獲取預啟用備份檔案，減少操作步驟，避免失誤。

3.2 檔案數(shù)據(jù)傳輸。異地檔案數(shù)據(jù)傳輸方式分為兩種，即檔案數(shù)據(jù)在線傳輸和離線人工運輸。檔案館要綜合考慮協(xié)議規(guī)定、技術水平、系統(tǒng)條件、運輸費用等多種因素，選擇合適的檔案數(shù)據(jù)傳輸方式。一般來說，在實際操作上啟用異地備份檔案的數(shù)據(jù)傳輸是原始檔案備份傳輸?shù)哪孢^程，在此過程中，備份檔案館應保證傳輸程序和傳輸數(shù)據(jù)的有效性，對傳輸細節(jié)進行詳細規(guī)范。

3.2.1 檔案數(shù)據(jù)在線傳輸。檔案數(shù)據(jù)在線傳輸是備份檔案館傳送檔案數(shù)據(jù)、受災檔案館接收檔案數(shù)據(jù)的過程。備份檔案館通過與管理要求相適應的網(wǎng)絡傳送備份檔案，傳輸?shù)臄?shù)據(jù)應當包含符合要求的備份檔案及其元數(shù)據(jù)。受災檔案館應當對接收的備份檔案數(shù)據(jù)有效性進行檢驗，合格后方可辦理交接手續(xù)，手續(xù)可采用電子形式并以電子簽名方式予以確認。傳送方和接收方還應對傳輸?shù)耐獠凯h(huán)境和自身的操作行為進行詳細記錄并生成文件信息，信息內(nèi)容包括傳送/接收/檢驗的時間、人員、原因、檔案編號、內(nèi)容摘要、數(shù)量、系統(tǒng)運行環(huán)境、技術手段、操作步驟等。備份傳輸完成，根據(jù)《電子檔案移交與接收辦法》中的規(guī)定，“雙方應將各自的檔案數(shù)據(jù)傳輸信息補充到備份檔案元數(shù)據(jù)中”[7]。

3.2.2 檔案數(shù)據(jù)離線傳輸。檔案數(shù)據(jù)離線傳輸指備份檔案館“將檔案數(shù)據(jù)儲存于可脫離計算機、儲存系統(tǒng)保存的存儲介質上，如光盤、磁帶等”[8]，采用人工運輸方式送至受災檔案館。完整的備份檔案數(shù)據(jù)離線傳輸程序包括備份檔案館對儲存介質檢測、寫入、運輸、移交和受災檔案館對儲存介質接收、介質和數(shù)據(jù)檢驗、辦理交接手續(xù)七個環(huán)節(jié)。

為保障檔案數(shù)據(jù)離線傳輸程序和數(shù)據(jù)有效性，檔案館應對每一環(huán)節(jié)的操作進行詳細記錄并形成說明信息。備份檔案館對儲存介質按照國家標準進行檢測，并描述檢測的外部環(huán)境、操作行為和內(nèi)容；在介質寫入工作的同時制作相應的說明文件，用于描述介質寫入的軟硬件環(huán)境、主要內(nèi)容和記載介質屬性及相關參數(shù)、加密方法等，用于維護介質記載的歷史；運輸過程主要記錄檔案數(shù)據(jù)及其元數(shù)據(jù)的封裝方式、運輸方式、運輸責任人等；在移交備份檔案介質時，從檔案準備環(huán)節(jié)到移交環(huán)節(jié)所涉及的所有關聯(lián)性憑證文件與備份檔案一并移交，備份檔案館做好移交記錄、受災檔案館做好接收記錄；受災檔案館要對接收的備份檔案進行解密并對數(shù)據(jù)完整性、內(nèi)容真實性、載體狀況、病毒狀況進行檢驗和記錄信息；備份檔案檢驗合格后辦理交接手續(xù)、填寫交接文據(jù)，由交接雙方簽字、蓋章并各自留存。最后，受災檔案館應將反映備份檔案離線傳輸過程的信息補充到電子檔案元數(shù)據(jù)中。

3.3 檔案數(shù)據(jù)替換?！盀碾y恢復是將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到正常運行狀態(tài)，并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài)”[9]。為實現(xiàn)災難恢復的目標要進行檔案數(shù)據(jù)替換，檔案數(shù)據(jù)替換能夠使受災檔案館將備份檔案完全替換損毀檔案，并使檔案館業(yè)務系統(tǒng)恢復到可正常運行的狀態(tài)，具體替換過程如下。

3.3.1 電子檔案存儲系統(tǒng)檢測。檔案館發(fā)生災難，電子檔案存儲系統(tǒng)不可避免會遭到破壞，備份檔案替換在不適當?shù)南到y(tǒng)環(huán)境下進行會給檔案數(shù)據(jù)帶來風險。受災檔案館在備份檔案數(shù)據(jù)替換前要對其存儲系統(tǒng)進行安全性和穩(wěn)定性檢測，注意保存反映操作系統(tǒng)、數(shù)據(jù)庫、應用軟件、硬件和網(wǎng)絡運行情況的元數(shù)據(jù)，并對人為操作過程進行記錄，記錄內(nèi)容應包含檢測原理、環(huán)境、具體操作技術、過程、結果等。

3.3.2 檔案數(shù)據(jù)替換測試。當受災檔案館系統(tǒng)和技術符合替換要求，接收的檔案數(shù)據(jù)真實、可靠、可用和安全時，在備份檔案數(shù)據(jù)完全替換前，受災檔案館要從備份檔案中選取部分作為樣本進行替換測試，在限定時間內(nèi)利用樣本正確恢復系統(tǒng)、應用軟件以及相關業(yè)務功能。同時，受災檔案館要保存生成的元數(shù)據(jù)并對其操作行為進行描述，尤其是對測試過程中出現(xiàn)的錯誤和解決方法進行詳細記錄，最終生成測試報告。

3.3.3 檔案數(shù)據(jù)替換。如受災檔案館對檔案數(shù)據(jù)替換測試結果表示認可，即可進行備份檔案數(shù)據(jù)完全替換，這時需要保證替換程序和數(shù)據(jù)的有效性。備份檔案數(shù)據(jù)替換的內(nèi)外部環(huán)境和過程應被記錄，其中具體包含替換的時間、人員、內(nèi)容、原理、技術、環(huán)境、具體操作說明以及結果等。此外，受災檔案館還要對備份檔案數(shù)據(jù)替換的結果進行監(jiān)測并評價其是否能夠正?；謴蜋n案館關鍵業(yè)務功能。這些文件與替換生成的元數(shù)據(jù)可作為備份檔案原始性認證的依據(jù)，具有法律效力。

4 異地備份檔案啟用流程的實現(xiàn)策略

規(guī)范異地備份檔案啟用流程是檔案館以保障備份檔案原始性和憑證性為目的、面對災害未雨綢繆的工作機制。然而我國關于異地備份檔案啟用流程的法律、標準、規(guī)范體系不健全，并且存在異地備份檔案啟用管理制度缺失、信息技術應用落后等問題，這些不利因素阻礙了異地備份檔案啟用流程的實現(xiàn)。因此，異地備份檔案啟用流程的設計和實現(xiàn)有賴于更加靈活的法律、更加統(tǒng)一和細化的管理制度與更加先進和安全的信息技術等。

4.1 加快制定異地備份檔案啟用的相關法律法規(guī)和標準規(guī)范

“完備的檔案法制是檔案應急管理實現(xiàn)的根本保證，是重大突發(fā)事件背景下依法采取非常態(tài)管理措施、調(diào)動資源、應急處置的保障”[10]。目前，我國并未制定出臺法律法規(guī)和標準規(guī)范保障異地備份檔案的規(guī)范化啟用。

因此在國家層面上，一方面要制定出臺相關法律法規(guī)，明確備份檔案的法律效力、制定異地備份檔案啟用的相關條款、明晰各檔案館的權責和管理方式、努力實現(xiàn)與其他相關法律法規(guī)的銜接。另一方面也要完善標準規(guī)范，對異地備份檔案啟用流程的關聯(lián)性證明材料的內(nèi)容與形式進行規(guī)范，明確這類元數(shù)據(jù)的概念、功能和作用并建設完整的元數(shù)據(jù)著錄項和統(tǒng)一的元數(shù)據(jù)格式；統(tǒng)一人為操作記錄的填寫標準及要求，并設計標準制表等。

4.2 落實保障備份和啟用有效性的管理制度

檔案館規(guī)范化啟用異地備份檔案可遵循“分類管理，分級負責，條塊結合，屬地為主的國家應急管理原則，逐步建立縱向垂直協(xié)調(diào)、橫向相互溝通、指揮調(diào)度靈敏、組織機構完備的管理體制”[10]，保障電子檔案備份與啟用程序和數(shù)據(jù)的有效性。

我國檔案館應完善電子檔案備份管理制度并建設備份檔案啟用管理制度；為保證電子檔案備份與啟用程序和數(shù)據(jù)的有效性，還應確保規(guī)章制度落實到位。首先，受災檔案館和備份檔案館要明確各自責任范圍，嚴格履行管理職責，可實行行政領導負責制和責任追究制；其次，建立監(jiān)督管理機制，全程監(jiān)督電子檔案備份和備份檔案啟用工作并進行評估，可結合專家參與機制和獎懲機制；最后，切實做好人力資源、財力、物資和交通運輸?shù)谋Ｕ瞎ぷ?，保證電子檔案備份和備份檔案啟用管理制度順利執(zhí)行。

4.3 設計科學的技術應用方案

網(wǎng)絡和通信技術的進步為確保電子檔案的完整性、真實性、安全性提供了保障，應用科學的技術方案是規(guī)范化啟用異地備份檔案的重要保障之一。目前，異地備份檔案啟用過程中可以使用的技術有防火墻技術、身份認證技術、電子簽名技術、數(shù)字時間戳技術、防寫措施等。在設計技術應用方案時需要注意兩點：“一是全面的技術保障措施是否采用的技術越多越好；二是異地備份檔案啟用的全過程是否采取了持續(xù)性的技術保障措施”[11]。

科學的技術應用方案要滿足以下三個要求：首先，啟用異地備份檔案應用技術的效果不能單單從采用技術的多少來衡量，還應評估其在整個流程中發(fā)揮的作用，判斷是否能夠規(guī)避流程中遇到的風險、保證啟用備份的有效性。其次，技術的更迭能夠補充原有技術的漏洞，因此檔案館要積極應用新技術。目前推薦使用區(qū)塊鏈技術，因為“區(qū)塊鏈技術具有防篡改、不可抵賴，強一致性和完整性等特性”[12]，能夠推動異地備份檔案啟用的規(guī)范化建設。最后，技術措施不應局限在流程的某個階段，還應該應用在流程的過程管理中根據(jù)不同階段選擇適用的技術手段。