張娟 李儀
摘 要:云計算下高校個人檔案信息的共享得到了極大便利,但信息安全也遭受破壞,由此高校師生群體以及用戶的權(quán)益被侵害,信息共享也遇阻。對此我國宜借鑒美歐經(jīng)驗,通過完善檔案部門內(nèi)部管理、促進部門之間安全協(xié)作、優(yōu)化共享環(huán)境來確保共享的有序進行。為實現(xiàn)促進共享的目的,我國應(yīng)靈活地采用鼓勵、引導與規(guī)制等多種促進手段,培育檔案管理人員與師生的信息素養(yǎng),同時提升檔案行業(yè)組織對于共享的引導職能。
關(guān)鍵詞:云計算;高校個人檔案信息;信息共享;信息共享的促進
中圖分類號:G47 文獻標志碼:A 文章編號:1002-2589(2018)08-0184-02
出于全面保存社會記憶、提供個性化服務(wù)等目的,高校檔案部門時常將師生的身份、學籍、獎懲記錄、任職和求學經(jīng)歷等信息加以收集,進而按照一定標準通過存儲、分類、整合歸檔等方式進行管理,從而形成個人檔案信息。在信息科學與信息管理學的視野中,個人檔案信息安全既是評判檔案管理的目標能否實現(xiàn)的重要尺度,又是信息共享活動賴以有序開展的根本前提,這已得到了我國于2017年6月頒行的《網(wǎng)絡(luò)安全法》以及美國云安全聯(lián)盟于2009年發(fā)布的《云計算關(guān)鍵領(lǐng)域安全指南》的承認。本文正是旨在建議我國通過設(shè)計信息安全維護的制度,從而完善高校檔案部門內(nèi)部的安全管理、促進部門之間進行安全協(xié)作并且約束其危害安全的行為,以期在維護信息安全前提下實現(xiàn)對信息的共享和利用。
一、共享促進的現(xiàn)實需求分析:消除云計算下的共享障礙
(一)個人檔案信息“共享”的內(nèi)涵
隨著云計算技術(shù)逐漸被推廣運用,高校檔案部門得以通過檔案遷移等途徑,將師生的個人檔案信息傳輸給提供云計算平臺服務(wù)的營運商(如我國的高等教育學生信息網(wǎng)和廣州圖創(chuàng)計算機軟件開發(fā)有限公司,又如美國的谷歌公司,以下簡稱“云服務(wù)商”),后者將信息通過智慧分析、關(guān)聯(lián)集成與深層次挖掘等方式加以處理,再傳輸給從事公共管理、電子商務(wù)與網(wǎng)絡(luò)社交等活動的公共機關(guān)、私人機構(gòu)與個體等用戶加以利用,以便于這些組織與個人在做出相關(guān)決策時消除信息學家香農(nóng)筆下的不確定因素,前述活動即為“共享”[1]。
(二)云計算下共享所面臨的障礙
云計算技術(shù)的推廣運用便利了個人檔案信息的共享,同時也對信息安全帶來了以下挑戰(zhàn)從而阻礙了共享開展:一方面,云服務(wù)商利用集中存儲與傳輸信息的優(yōu)勢,任意對群體高校師生的信息加以篡改與泄露,進而影響他們所受社會評價的公正性以及工作學習環(huán)境的安寧,最典型的案例有大學生的學籍檔案信息被集體篡改與泄露等;另一方面,為實現(xiàn)自身利益的最大化,云服務(wù)商時常利用對信息加以壟斷的優(yōu)勢,任意向用戶抬高信息價格并降低質(zhì)量,這阻礙了信息可用性的實現(xiàn)以及共享活動的正常開展。前述問題在中國互聯(lián)網(wǎng)信息中心(CNNIC)于2017年1月發(fā)布的第39次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》中也有所體現(xiàn)[2]。
二、信息共享促進的基本思路梳理:以歐美經(jīng)驗為借鑒
(一)引導高校師生、檔案部門與用戶各方通過合作共同促進共享
隨著云技術(shù)的推廣運用,檔案共享活動正從過去以檔案部門為中心進行數(shù)據(jù)構(gòu)架的階段過渡到云計算階段。在后一階段,用戶對信息的獲取方式已從原先直接向檔案機構(gòu)收集改為向云服務(wù)商獲取。云服務(wù)商在任意收集與篡改信息從而侵犯高校師生以及檔案部門權(quán)益的同時,又阻礙用戶對信息進行公平獲取與有效利用。在此情況下,用戶、高校師生和檔案部門在制止云服務(wù)商對信息安全的破壞方面的利益逐漸趨同,他們有必要與可能在共享中通過合作來共同應(yīng)對風險。無論美國還是歐洲的治理者都采用了這樣的策略來消除信息共享中的障礙。譬如按照美國的電子文件檔案館項目計劃,就信息被共享的情況,高校檔案部門應(yīng)當及時向師生告知;當信息安全面臨風險時,前者應(yīng)當配合后者通過特定方式來維權(quán)[3]。前述內(nèi)容同樣體現(xiàn)于歐盟檔案一體化網(wǎng)絡(luò)計劃的內(nèi)容當中[4]。
(二)有重點且分步驟地采取共享的促進措施
在個人檔案信息共享中,高校檔案部門在將信息進行收集后傳輸給云服務(wù)商的同時,該部門為了對師生進行人事與學籍管理并留存社會記憶,時常接收云服務(wù)商以及用戶反饋而來的信息。我國應(yīng)當將該部門作為重點治理對象,完善其內(nèi)部的信息安全管理機制。為此該部門有必要將自己變革成學習型組織,對檔案管理人員開展以信息道德、信息安全意識、信息知識與能力為內(nèi)容的信息素養(yǎng)教育,從而降低信息完整性與保密性等安全要素被破壞的幾率,以此來消除共享的障礙。與此同時,不同高校的檔案部門之間還需要進行彼此協(xié)作,從而共同應(yīng)對信息安全風險。歐洲檔案委員會于2009年就提出了旨在促進各國高校檔案部門在應(yīng)對信息安全風險中的協(xié)作“歐盟檔案一體化網(wǎng)絡(luò)”計劃,瑞典、意大利、蘇格蘭等國家的高校檔案部門紛紛加入[5]。類似的還有美國高校云安全聯(lián)盟[6]。
(三)靈活采取多種促進手段來回應(yīng)云計算下共享的特殊需求
在很大程度上,個人檔案信息共享的障礙源于云服務(wù)商對信息安全的破壞。為促進信息共享工作的有序開展,我國除了需要促進云服務(wù)商完善其內(nèi)部管理外,還應(yīng)利用立法規(guī)制等途徑,構(gòu)建云服務(wù)商的監(jiān)管與責任制度,從而強制其糾正為了逐利而破壞信息安全的不良偏好。美國于2012年頒行的《網(wǎng)絡(luò)用戶隱私權(quán)法案》第二章即規(guī)定,高校檔案部門與云服務(wù)商只有在確保信息完整性與保密性的前提下,才能將信息提供給用戶利用[7];根據(jù)歐盟議會在2016年4月通過的《一般數(shù)據(jù)保護條例》,云服務(wù)商在處理與傳輸信息時,應(yīng)當評估由此可能產(chǎn)生的信息安全風險,并在風險發(fā)生后及時告知高校師生,違者將承擔繳納罰金等責任[8]。
三、基本思路的具體實現(xiàn):信息共享促進制度的構(gòu)建與實施
(一)完善檔案部門內(nèi)部的安全管理制度,提升檔案管理人員的信息素養(yǎng)水平
高校檔案機構(gòu)為了完善內(nèi)部管理來應(yīng)對風險并促進共享,有必要對檔案管理員進行信息安全意識與信息道德等方面的教育,以此來督促他們維護信息安全并尊重師生的權(quán)益。為此檔案部門需要組織管理人員學習有關(guān)信息共享相關(guān)的知識,同時提升檔案管理人員的信息道德水平,督促他們防止任意獲取與傳輸信息從而破壞信息的完整性與保密性,進而教育他們就信息共享的情況向師生告知,并且采取必要措施協(xié)助師生就云服務(wù)商破壞信息安全的行為維權(quán)。與此同時,隨著云技術(shù)的推廣應(yīng)用,IT服務(wù)模式使高校的檔案管理趨于扁平化、專業(yè)化、集約化、精細化和低成本化。為順應(yīng)前述趨勢,高校檔案部門應(yīng)當提升檔案管理人員的信息能力,尤其是提升他們在不同層次的云計算服務(wù)(如軟件即服務(wù)、平臺即服務(wù)、基礎(chǔ)設(shè)施即服務(wù))中獲取與利用信息的能力,從而滿足信息可用的安全需求并提高共享效率。
(二)設(shè)計部門之間的安全協(xié)作制度,發(fā)揮檔案行業(yè)組織在其中的引導與協(xié)調(diào)功能
為了促使各高校檔案部門共同維護信息安全進而促進信息的有序共享,檔案領(lǐng)域的行業(yè)協(xié)會或組織(如云存儲聯(lián)盟以及檔案學會等)應(yīng)當制定統(tǒng)一的信息安全規(guī)范以供作為協(xié)會會員的檔案部門遵守,進而督促它們在維護信息的完整性與保密性的前提下實現(xiàn)信息的可用性;同時行業(yè)組織還應(yīng)指導與幫助會員對信息進行收集、傳輸、處理和利用,從而提高前述行為的效率。同時當云服務(wù)商阻礙信息利用時,協(xié)會或組織應(yīng)當鼓勵并協(xié)助會員通過特定途徑(如尋求法律救濟)來維權(quán)。為促進這些組織與協(xié)會充分發(fā)揮前述職能,我國應(yīng)鼓勵行業(yè)組織完善機構(gòu)建設(shè),改變它們過度維護保護會員利益的偏好。
(三)構(gòu)造云服務(wù)商破壞信息安全行為的約束制度,改善共享所依賴的信息環(huán)境
為維護高校師生的人格權(quán)益,我國應(yīng)通過立法規(guī)定:師生有權(quán)向云服務(wù)商以及高校檔案部門云服務(wù)商查詢自身個人檔案信息是否處于完整與保密狀態(tài),并且請求云服務(wù)商通過合理措施來維護信息安全,常見措施如完善企業(yè)內(nèi)部的安全管理,又如更新安全技術(shù),在其網(wǎng)站主頁下方提供privacypolice鏈接,以便瀏覽網(wǎng)站的師生點擊。與此同時,為滿足信息可用的需求并維護高校檔案部門與用戶獲取與利用信息的權(quán)益,立法者宜規(guī)定:他們有權(quán)要求云服務(wù)商對信息進行合理計價,并就云服務(wù)商對信息不當抬價、降低質(zhì)量等行為向行政監(jiān)管部門投訴或向司法機關(guān)起訴;當云服務(wù)商侵害前述權(quán)益并破壞信息安全時,立法者宜設(shè)定懲罰性賠償金制度,從而通過威懾其行為糾正其不良偏好來改善供應(yīng)鏈運行的整體環(huán)境。
參考文獻:
[1]李興國.信息管理學[M].北京:高等教育出版社,2011:2.
[2]中國互聯(lián)網(wǎng)絡(luò)信息中心.第38次中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告[2017-01-22].http://www.cnnic.cn/gywm/xwzx/
rdxw/2017/201701/t20170122_66448.htm.
[3][美]Brillouin. Science and Information Theory[M].New York:Academic Press,1962:154.
[4]祝潔.基于云計算的檔案信息安全風險及防范策略[J].浙江檔案,2017(2):14-16
[5]陳騫.歐洲云計算發(fā)展策略與啟示[J].上海信息化,2013(3):82-84.
[6]Mell P. and Grance,T. The NIST Definition of cloud computing[EB/OL].[2011-12-11]csrc.nist.gov/publications/nistpubs/
800-145/SP800-15.pdf.
[7]李儀,張娟.云計算下圖書館讀者個人信息的安全風險及應(yīng)對[J].情報理論與實踐,2017(5):42.
[8]張娟,李儀.高校圖書館讀者個人信息共享的促進研究[J].圖書館建設(shè),2015(3):36.