韓云惠/上海大學(xué)期刊社

周 帆/四川外國語大學(xué)檔案館

2020年6月20日，第十三屆全國人民代表大會(huì)常務(wù)委員會(huì)第十九次會(huì)議通過了新修訂《中華人民共和國檔案法》（以下簡稱“新修訂《檔案法》”）。新修訂《檔案法》新增“檔案信息化建設(shè)”專章，其中有十三條、共二十四處提到檔案的“安全”，并明確電子檔案安全管理要求。新修訂《檔案法》全面貫徹治理理念，檔案安全工作治理成為其突出特點(diǎn)，但是在檔案數(shù)據(jù)安全方面還未有所著墨[1]。當(dāng)前，各級各類檔案部門數(shù)字化建設(shè)已進(jìn)入全面推進(jìn)階段，電子檔案在館藏檔案中所占比重大幅提升。大數(shù)據(jù)時(shí)代，電子檔案具有與實(shí)體檔案同樣的效力，電子檔案數(shù)據(jù)成為助推社會(huì)發(fā)展的無形資產(chǎn)和財(cái)富。

與實(shí)體檔案相比，電子檔案的安全面臨更多風(fēng)險(xiǎn)和挑戰(zhàn)，數(shù)據(jù)丟失或泄露、黑客攻擊等問題時(shí)刻威脅著電子檔案數(shù)據(jù)的安全。此外，云計(jì)算和數(shù)據(jù)挖掘技術(shù)的應(yīng)用和推廣使得傳統(tǒng)電子檔案數(shù)據(jù)安全面臨的風(fēng)險(xiǎn)和遭受破壞的程度成倍增加，在云環(huán)境下數(shù)據(jù)更容易被惡意挖掘、加工或利用[2]。因此，海量電子檔案數(shù)據(jù)的安全保管成為檔案部門必須面對和思考的問題。在新修訂《檔案法》實(shí)施的背景下，本文試從理論層面對電子檔案數(shù)據(jù)安全治理進(jìn)行闡釋，以期回應(yīng)檔案部門的現(xiàn)實(shí)訴求，促進(jìn)檔案理論研究和實(shí)踐發(fā)展的深度融合。

1 電子檔案數(shù)據(jù)安全治理的現(xiàn)實(shí)訴求

理論來源于實(shí)踐，有學(xué)者指出，有關(guān)中國檔案學(xué)的研究文獻(xiàn)中，絕大部分是對熱點(diǎn)問題、具體實(shí)踐和學(xué)術(shù)前沿的探討，在理論研究上存在欠缺[3]。電子檔案安全是檔案實(shí)踐工作關(guān)注的重要內(nèi)容，從國家到地方都采取了相應(yīng)措施確保電子檔案安全，電子檔案數(shù)據(jù)安全體系的建構(gòu)具有良好的社會(huì)環(huán)境。治理理論為創(chuàng)新檔案理論提供了新的思路，也為解決現(xiàn)實(shí)中的問題提供了方向和引導(dǎo)，從這一層面看，電子檔案數(shù)據(jù)安全治理的理論與實(shí)踐具有高度契合性，電子檔案安全方面的問題有利于從理論層面引發(fā)相關(guān)思考，助推電子檔案安全理論的發(fā)展。

從宏觀層面看，近年來國家相繼出臺(tái)有關(guān)安全方面的法律，反映了國家層面對安全問題的重視，為構(gòu)建電子檔案數(shù)據(jù)安全治理體系提供了政策和方向引導(dǎo)。為適應(yīng)不斷變化的安全形勢，更好地維護(hù)新時(shí)代國家安全，2015年7月1日，第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第十五次會(huì)議通過新的《國家安全法》。面對數(shù)據(jù)發(fā)展的浪潮，國家在大力推動(dòng)數(shù)據(jù)發(fā)展的同時(shí)，于2021年6月通過《中華人民共和國數(shù)據(jù)安全法》（以下簡稱“《數(shù)據(jù)安全法》”），從國家立法的層面對數(shù)據(jù)安全加以保護(hù)。近日，中辦、國辦印發(fā)《“十四五”全國檔案事業(yè)發(fā)展規(guī)劃》，在工作原則中明確指出“堅(jiān)持安全底線”，在發(fā)展目標(biāo)中明確提到“檔案安全防線得到新加強(qiáng)”，主要任務(wù)的第四條是“深入推進(jìn)檔案安全體系建設(shè)，筑牢平安中國的檔案安全防線”[4]。推進(jìn)國家治理體系和治理能力現(xiàn)代化，檔案安全治理也應(yīng)納入治理體系，特別是對電子檔案而言，構(gòu)建安全治理體系尤為重要。

從微觀層面看，各級各類檔案部門對安全治理的需求是電子檔案數(shù)據(jù)安全治理體系構(gòu)建的現(xiàn)實(shí)基礎(chǔ)。一方面，電子檔案本身具有安全隱患。電子檔案信息具有相對獨(dú)立性、系統(tǒng)依賴性、不穩(wěn)定性等[5]，極易丟失或被破壞。另一方面，當(dāng)前各級檔案部門遇到的各類安全事件層出不窮，系統(tǒng)漏洞、黑客攻擊、病毒入侵等幾乎成了所有檔案部門無法回避的問題，雖然各級各類檔案部門都采取相應(yīng)的安全管理措施，但長期以來存在的安全問題一直較為突出。在現(xiàn)有的技術(shù)條件和人力物力等條件下，基層檔案部門大多依托上級部門服務(wù)器檢測漏洞或進(jìn)行系統(tǒng)修復(fù)，主動(dòng)發(fā)現(xiàn)和解決安全問題的能力較弱，需要構(gòu)建系統(tǒng)協(xié)作的多元電子檔案數(shù)據(jù)安全治理體系。

2 電子檔案數(shù)據(jù)安全治理的研究對象

2.1 數(shù)據(jù)安全的概念和內(nèi)涵

國際標(biāo)準(zhǔn)化組織將數(shù)據(jù)安全定義為：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不受偶然和惡意的原因遭到破壞、更改和泄露[6]。隨著信息化建設(shè)的發(fā)展，人類面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)愈加復(fù)雜和多樣，不僅要保證現(xiàn)在的數(shù)據(jù)安全，還要保證數(shù)據(jù)能夠?yàn)樽訉O后代所利用。結(jié)合中國特色社會(huì)主義的建設(shè)情況，《數(shù)據(jù)安全法》將數(shù)據(jù)安全定義為“通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力”。綜上，我們可以將電子檔案數(shù)據(jù)安全定義為：采取必要措施，確保電子檔案數(shù)據(jù)長期處于有效保護(hù)、合法利用、持續(xù)安全的狀態(tài)。

2.2 電子檔案數(shù)據(jù)安全的問題范圍

根據(jù)電子檔案數(shù)據(jù)安全概念的內(nèi)涵，結(jié)合電子檔案的特點(diǎn)，電子檔案面臨的數(shù)據(jù)安全問題主要包含以下幾個(gè)方面：一是有關(guān)電子檔案數(shù)據(jù)機(jī)密性的安全問題。這主要是由電子檔案所包含的信息內(nèi)容決定的，電子檔案中無論是國家和政府部門的數(shù)據(jù)，還是行業(yè)的秘密數(shù)據(jù)，或是個(gè)人的隱私數(shù)據(jù)，被泄密或?yàn)E用后造成的影響和損失都是巨大的，而數(shù)據(jù)安全保護(hù)技術(shù)不成熟等成為制約數(shù)據(jù)保密的重要問題。二是有關(guān)電子檔案數(shù)據(jù)完整性的安全問題。這是由電子檔案的特殊性所決定的，電子檔案數(shù)據(jù)內(nèi)容不完整、數(shù)據(jù)格式不統(tǒng)一、數(shù)據(jù)失真等問題時(shí)有發(fā)生。此外，在電子檔案的存儲(chǔ)和利用過程中，數(shù)據(jù)易丟失或被篡改，電子檔案的完整性遭到破壞。三是有關(guān)電子檔案數(shù)據(jù)可用性的安全問題。數(shù)據(jù)的完整性影響其可用性。系統(tǒng)軟件不兼容，電子檔案數(shù)據(jù)本身不完整，或在保存過程中遭受破壞等，都會(huì)導(dǎo)致電子檔案數(shù)據(jù)不可讀或不可用。此外，電子檔案數(shù)據(jù)之間的信息孤島現(xiàn)象依然存在，數(shù)據(jù)共享共治難以實(shí)現(xiàn)。

2.3 電子檔案的數(shù)據(jù)安全治理

治理理論為電子檔案的安全管理提供了新思路。治理是一個(gè)上下互動(dòng)的管理過程，其實(shí)質(zhì)在于建立在行動(dòng)原則、公共利益和認(rèn)同之上的合作[7]。治理的管理機(jī)制摒棄以往自上而下的方式，強(qiáng)調(diào)多元主體的參與和合作。數(shù)據(jù)安全治理是維護(hù)組織數(shù)據(jù)資產(chǎn)的機(jī)密性、完整性和可用性的系統(tǒng)，也是對數(shù)據(jù)安全進(jìn)行綜合治理的過程，它需要從決策層到技術(shù)層、從管理制度到工具支撐，自上而下在各個(gè)層級之間對數(shù)據(jù)安全治理的目標(biāo)達(dá)成共識(shí)，確保采取合理和適當(dāng)?shù)拇胧宰钣行У姆绞奖Ｗo(hù)數(shù)據(jù)資產(chǎn)[8]。因此，電子檔案的數(shù)據(jù)安全治理是基于安全管理的需求構(gòu)建起來的組織嚴(yán)密的系統(tǒng)架構(gòu)，強(qiáng)調(diào)政府、檔案部門、企業(yè)、行業(yè)組織和社會(huì)公眾的協(xié)同治理，對電子檔案進(jìn)行全流程治理、動(dòng)態(tài)治理、應(yīng)急治理，為解決電子檔案數(shù)據(jù)安全問題提供保障。

3 電子檔案數(shù)據(jù)安全治理的原則理念

3.1 堅(jiān)持黨的領(lǐng)導(dǎo)

新修訂《檔案法》第三條規(guī)定“堅(jiān)持中國共產(chǎn)黨對檔案工作的領(lǐng)導(dǎo)。各級人民政府應(yīng)當(dāng)加強(qiáng)檔案工作，把檔案事業(yè)納入國民經(jīng)濟(jì)和社會(huì)發(fā)展規(guī)劃，將檔案事業(yè)發(fā)展經(jīng)費(fèi)列入政府預(yù)算，確保檔案事業(yè)發(fā)展與國民經(jīng)濟(jì)和社會(huì)發(fā)展水平相適應(yīng)”。檔案數(shù)據(jù)中蘊(yùn)含的信息關(guān)乎國家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展，檔案工作具有強(qiáng)烈的政治屬性，檔案數(shù)據(jù)的安全治理是檔案工作的重要部分，應(yīng)始終堅(jiān)持中國共產(chǎn)黨的領(lǐng)導(dǎo)。各級黨政領(lǐng)導(dǎo)班子和領(lǐng)導(dǎo)干部應(yīng)將本系統(tǒng)內(nèi)電子檔案數(shù)據(jù)的安全治理列入工作重點(diǎn)和綜合考核，審核電子檔案數(shù)據(jù)安全治理方案，同時(shí)監(jiān)督電子檔案數(shù)據(jù)的安全治理工作，及時(shí)發(fā)現(xiàn)問題并落實(shí)整改，切實(shí)發(fā)揮黨委對檔案工作的統(tǒng)一領(lǐng)導(dǎo)作用。

3.2 樹立總體國家安全觀

2014年4月，習(xí)近平總書記在《中央國家安全委員會(huì)第一次會(huì)議的講話》中明確指出：“必須堅(jiān)持總體國家安全觀，走出一條中國特色國家安全道路?！薄稊?shù)據(jù)安全法》第四條指出：“維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。”《“十四五”全國檔案事業(yè)發(fā)展規(guī)劃》將堅(jiān)持安全底線原則表述為：“貫徹總體國家安全觀，統(tǒng)籌發(fā)展和安全，堅(jiān)持底線思維，強(qiáng)化風(fēng)險(xiǎn)防控，加強(qiáng)應(yīng)急管理，壓實(shí)安全責(zé)任，確保檔案安全?！睓n案安全是國家總體安全的重要表現(xiàn)[9]。檔案是對國家和社會(huì)具有重要價(jià)值的信息資源，檔案部門理應(yīng)成為維護(hù)國家安全的重點(diǎn)部門。電子檔案中蘊(yùn)含著豐富的信息資源，在國家安全戰(zhàn)略的指引下，電子檔案數(shù)據(jù)安全治理體系應(yīng)堅(jiān)持總體國家安全觀，切實(shí)發(fā)揮檔案對國家和社會(huì)的價(jià)值。

3.3 實(shí)施精準(zhǔn)治理

精準(zhǔn)治理作為信息化場域下治理范式的進(jìn)化，為構(gòu)建數(shù)據(jù)安全治理體系提供了創(chuàng)新視角[10]。電子檔案數(shù)據(jù)作為大數(shù)據(jù)的一種，具有大數(shù)據(jù)的海量性和多樣化等特點(diǎn)，面臨著來自系統(tǒng)內(nèi)外部的各種安全風(fēng)險(xiǎn)，可借鑒大數(shù)據(jù)安全治理體系建設(shè)的思路和方法，結(jié)合電子檔案數(shù)據(jù)資源的特點(diǎn)，以國家和地方對電子檔案數(shù)據(jù)安全治理的需求為導(dǎo)向，從電子檔案數(shù)據(jù)安全治理的治理主體、治理流程、治理手段和治理保障等四個(gè)方面構(gòu)建精準(zhǔn)、系統(tǒng)、科學(xué)的電子檔案數(shù)據(jù)安全治理體系。通過精細(xì)治理，明確多元主體的權(quán)責(zé)，對電子檔案的整個(gè)生命周期進(jìn)行治理，能夠有效應(yīng)對電子檔案數(shù)據(jù)安全面臨的各種風(fēng)險(xiǎn)和挑戰(zhàn)。

4 電子檔案數(shù)據(jù)安全治理的內(nèi)容框架

4.1 構(gòu)建協(xié)同治理體系

新修訂《檔案法》第七條明確指出“國家鼓勵(lì)社會(huì)力量參與和支持檔案事業(yè)的發(fā)展”，《數(shù)據(jù)安全法》第九條提到“推動(dòng)有關(guān)部門、行業(yè)組織、科研機(jī)構(gòu)、企業(yè)、個(gè)人等共同參與數(shù)據(jù)安全保護(hù)工作”。政府和檔案部門的人力和物力等條件有限，僅靠政府和檔案部門的內(nèi)部治理，難以適應(yīng)國家治理體系和治理能力現(xiàn)代化的進(jìn)程。因此，可以借鑒治理理論中的協(xié)同治理理論，構(gòu)建多元治理體系。所謂協(xié)同治理，是指多元主體間通過協(xié)調(diào)合作，形成相互依存、共同行動(dòng)、共擔(dān)風(fēng)險(xiǎn)的局面，產(chǎn)生合理有序的治理結(jié)構(gòu)，以促進(jìn)公共利益的實(shí)現(xiàn)[11]。從治理主體來看，電子檔案數(shù)據(jù)安全治理需要構(gòu)建政府引導(dǎo)、行業(yè)自治和社會(huì)公眾參與的協(xié)同治理體系。

對電子檔案的數(shù)據(jù)安全治理而言，首先，需要國家層面的治理。當(dāng)前新修訂《檔案法》和《數(shù)據(jù)安全法》的出臺(tái)，為電子檔案數(shù)據(jù)安全治理提供了治理的方向和引導(dǎo)。其次，檔案部門的自治是電子檔案數(shù)據(jù)安全治理的核心。檔案部門在實(shí)施以往的安全管理措施的基礎(chǔ)上，也要積極適應(yīng)時(shí)代和社會(huì)的發(fā)展變化，及時(shí)調(diào)整和更新安全管理制度，嚴(yán)格落實(shí)崗位責(zé)任制。同時(shí)，鼓勵(lì)各類型的企業(yè)和行業(yè)組織參與電子檔案數(shù)據(jù)安全治理。對檔案服務(wù)企業(yè)，要加強(qiáng)保密宣傳和教育，簽訂保密協(xié)議；對信息技術(shù)企業(yè)，要充分利用其專業(yè)技術(shù)優(yōu)勢，及時(shí)發(fā)現(xiàn)和解決電子檔案數(shù)據(jù)安全問題；對社會(huì)公眾，應(yīng)加強(qiáng)宣傳，讓社會(huì)公眾認(rèn)識(shí)電子檔案數(shù)據(jù)安全的重要性，從而積極參與電子檔案數(shù)據(jù)安全治理相關(guān)工作。

4.2 實(shí)施全流程治理

電子檔案數(shù)據(jù)安全管理，不僅要關(guān)注當(dāng)下所面臨的安全問題，還要研判和預(yù)測未來可能出現(xiàn)的安全問題，保證數(shù)據(jù)在未來可讀和可用。因此，電子檔案數(shù)據(jù)安全治理需要對電子檔案從收集整理到存儲(chǔ)傳輸、再到銷毀的整個(gè)生命周期實(shí)施全流程治理。

新修訂《檔案法》第三十七條規(guī)定“電子檔案應(yīng)當(dāng)來源可靠、程序規(guī)范、要素合規(guī)”，第三十九條規(guī)定“檔案館應(yīng)當(dāng)對接收的電子檔案進(jìn)行檢測，確保電子檔案的真實(shí)性、完整性、可用性和安全性”。在收集整理電子檔案數(shù)據(jù)時(shí)，應(yīng)明確數(shù)據(jù)的完整性和可用性標(biāo)準(zhǔn)，進(jìn)行數(shù)據(jù)安全檢查，提高數(shù)據(jù)質(zhì)量。新修訂《檔案法》第三十九條指出，“電子檔案應(yīng)當(dāng)通過符合安全管理要求的網(wǎng)絡(luò)或者存儲(chǔ)介質(zhì)向檔案館移交”。電子存儲(chǔ)和傳輸過程面臨的風(fēng)險(xiǎn)最大，安全治理需明確相關(guān)的技術(shù)指標(biāo)，采取加密技術(shù)、訪問控制技術(shù)、入侵檢測技術(shù)、隱私保護(hù)技術(shù)、區(qū)塊鏈技術(shù)[12]等一系列技術(shù)手段，保障數(shù)據(jù)安全。對銷毀的電子檔案也應(yīng)予以重視，采取徹底銷毀的方式，防止不法分子對其加以利用。

4.3 進(jìn)行動(dòng)態(tài)治理

檔案數(shù)據(jù)安全治理能力的提升是一個(gè)持續(xù)性的、不間斷的工作[13]。為有效應(yīng)對電子檔案數(shù)據(jù)安全所面對的各種不確定性風(fēng)險(xiǎn)，應(yīng)進(jìn)行動(dòng)態(tài)治理，增強(qiáng)檔案數(shù)據(jù)風(fēng)險(xiǎn)治理能力[14]，力求在不斷變化的環(huán)境中不斷提升治理能力和水平?！稊?shù)據(jù)安全法》要求“開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測”，定期進(jìn)行風(fēng)險(xiǎn)評估。電子檔案數(shù)據(jù)安全治理也需動(dòng)態(tài)實(shí)時(shí)監(jiān)測數(shù)據(jù)安全可能面臨的風(fēng)險(xiǎn)，如系統(tǒng)漏洞、病毒等，定期發(fā)布風(fēng)險(xiǎn)評估報(bào)告，并及時(shí)解決發(fā)現(xiàn)的問題。

要建立動(dòng)態(tài)反饋機(jī)制和效果評估機(jī)制。長期以來，檔案部門的治理以單向模式為主，對電子檔案數(shù)據(jù)安全的治理應(yīng)打破以往治理的局限性，強(qiáng)調(diào)雙向互動(dòng)和反饋，通過定期組織座談會(huì)等形式，及時(shí)聽取各治理主體關(guān)于安全問題的反饋，根據(jù)反饋情況精準(zhǔn)施策。同時(shí)，定期評估電子檔案數(shù)據(jù)安全治理的效果，對無效的治理策略予以取締，對有效的治理策略予以加強(qiáng)，切實(shí)發(fā)揮治理效能。

4.4 建立治理保障機(jī)制

新修訂《檔案法》第四十八條指出：“明知存在檔案安全隱患而不采取補(bǔ)救措施，造成檔案損毀、滅失，或者存在檔案安全隱患被責(zé)令限期整改而逾期未整改的；發(fā)生檔案安全事故后，不采取搶救措施或者隱瞞不報(bào)、拒絕調(diào)查的，由縣級以上檔案主管部門、有關(guān)機(jī)關(guān)對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分?！彪娮訖n案數(shù)據(jù)安全治理的健康運(yùn)行必須以堅(jiān)實(shí)的保障機(jī)制為后盾，實(shí)行崗位責(zé)任制，明確安全問題的責(zé)任人，加強(qiáng)安全和風(fēng)險(xiǎn)教育，建立獎(jiǎng)懲機(jī)制，對安全治理成效突出的部門和責(zé)任人給予相應(yīng)獎(jiǎng)勵(lì)，對出現(xiàn)安全隱患或?qū)е掳踩鹿实牟块T和責(zé)任人進(jìn)行懲罰。

《數(shù)據(jù)安全法》第二十三條提到“國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制”。電子檔案數(shù)據(jù)安全治理也需建立應(yīng)急處理機(jī)制，以應(yīng)對突發(fā)的安全問題，尤其是應(yīng)對重大突發(fā)安全事件。事件發(fā)生后，應(yīng)第一時(shí)間啟動(dòng)應(yīng)急處理，尋找最佳的解決方案，及時(shí)向社會(huì)公布最新信息，防止輿論恐慌，盡可能將檔案數(shù)據(jù)的損失和對社會(huì)造成的影響降到最低。

5 結(jié)語

當(dāng)前，在新修訂《檔案法》正式施行的背景下，利用推進(jìn)《數(shù)據(jù)安全法》的契機(jī)，維護(hù)電子檔案數(shù)據(jù)安全，構(gòu)建電子檔案數(shù)據(jù)安全治理體系，既有利于解決當(dāng)前檔案工作實(shí)踐中面臨的安全問題，也有利于提高檔案治理能力，推進(jìn)檔案治理體系建設(shè)。當(dāng)然，電子檔案數(shù)據(jù)的安全治理遠(yuǎn)不止文章所探討的這些方面，也沒有固定的治理模式，需要國家和地方根據(jù)時(shí)代發(fā)展和社會(huì)變化及時(shí)更新和調(diào)整相應(yīng)的治理策略，不斷提高治理水平。