大数据时代档案数据安全治理策略探析

       中图分类号：G273

       DOI:10.13833/j.issn.1007-7634.2020.09.005

       “研究表明，现在全世界每年新增长40％的数据，每两年数据量总额就会翻一倍，从2016年到2020年五年的时间，全球数据增长量将比过去几千年人类所积累数据的总和还要多。IBM预测，2020年，全球数据总量会达到35ZB，是2000年前总和的50倍。”[1]“大数据不仅催生技术革命，带来经济变革，也在推动国家治理变革。通过建立健全大数据辅助科学决策和社会治理机制，推动大数据成为宏观调控新引擎，促进社会治理精细化，创新公共服务新形式，提升国家治理现代化水平。”[2]档案数据是一种重要的数据记录，也是重要的社会记忆。大数据时代，档案数据急剧产生，档案数据保存状态与档案数据治理水平不相匹配，存在着“重创造轻管理、重数量轻质量、重保存轻利用”的现象，在数据质量、集成管理、开放共享、知识产权保护、信息伦理等方面面临着越来越多的安全挑战和风险，需要强化档案数据安全治理，确保档案数据安全合规和有效运行。2016年，《“十三五”国家信息化规划》提出，“注重数据安全保护。实施大数据安全保障工程，加强数据资源在采集、传输、存储、使用和开放等环节的安全保护。”[3]2016年，《全国档案事业发展“十三五”规划纲要》提出，“建立档案数据安全管理制度，保障安全高效可信应用”[4]；2017年，李明华在“全国档案安全工作会议”上指出，要以维护档案安全为中心，“确保档案数据、信息系统及网络始终可用可控”[5]。因此，在大数据时代探讨档案数据安全治理具有重要的理论意义和实践价值。

       1 档案数据安全治理的内涵

       在阐释档案数据安全治理概念之前，首先要了解数据安全治理的内涵，目前对于数据安全治理学界尚未形成统一的概念。其中，国际研究机构Gartner和大型企业Microsoft具有代表性。Gartner是世界上著名的国际咨询机构，认为“数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的安全链条。”[6]Gartner认为“组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理适当的措施以最有效的方式保护数据资源。”[7]Gartner强调对数据安全需要开展深度的治理工作，首先对数据进行分级分类，然后以此对不同级别数据实行合理的安全手段，制定安全策略，借助安全工具，对贯穿整个生命周期的流动数据实施多种安全治理策略，并使这些策略保持同步配置。Microsoft从数据隐私合规角度向市场提出隐私、保密和合规性的数据治理方案，被称为DGPC(Data Governance for Privacy Confidentiality and Compliance)。主要是通过统一、跨学科的方式来实现三个目标，即加强对存储数据的保护；重点对收集、处理、共享数据实施安全保护；数据隐私和数据安全的合规化处理。在这些目标的实施过程中，需要重点协调人员、流程和技术的协同治理。我国北京安华金和是国内致力于数据安全治理的权威机构，首先提出了数据安全治理的内涵及框架，认为“数据安全治理不是单一产品或平台的建构，而是覆盖数据全部使用场景的数据安全治理体系建设。”[8]可以看出，数据安全治理的实质就是通过科学有效的决策、合理规范的程序，借助于大数据等信息安全技术，实现数据全过程的安全保管和利用。

       档案数据是指各级各类档案机构收集保存的具有档案性质的数据记录，包括各种数据形式的档案资源，以及档案管理与利用过程中产生的数据。档案数据具有来源广泛、结构复杂、形式多样、数量巨大等特点。档案数据是国家经济和社会发展重要的战略性信息资源，蕴藏巨大的价值潜能，在国家治理现代化、政府治理重塑、社会政策优化、公共服务提升等各项工作中发挥着基础信息支撑作用。

       档案数据安全治理是指档案部门通过科学管控对档案数据进行安全防护，确保档案数据运行安全、存储安全和利用安全，充分发挥档案数据价值，从而达到档案数据善治的过程。数据安全是档案数据安全治理的“生命线”，档案数据安全治理的目标就是要确保档案数据真实完整、可用可控、保密保全、安全利用。档案数据安全治理贯穿于档案数据收集、管理、存储、利用的全过程，“需要坚持自主可控、合法便民、分级分类、全程监控、风险防范等原则”[7]，促进档案数据安全风险预测化、管控精准化、防御纵深化、应对即时化。档案数据安全治理通过利用各种安全技术、严密有效的管理制度，保障档案数据安全，形成协同共治、精准治理的档案数据安全治理新架构，构建以档案部门为主导，融合制度、管理、技术于一体的安全保障动态体系。

       2 档案数据面临的安全风险

       大数据环境下，档案数据在收集、管理、存储、利用过程中存在各种安全隐患，面临的安全风险主要表现在以下几个方面：

       (1)档案数据安全法规体系不健全。法律是治国之重器，良法是善治之前提。当前国家层面尚未出台专门的档案数据安全法律，“在2016年《中华人民共和国档案法》修订草案(送审稿)中，关于档案数据安全的内容也并未出现相关说明。”[8]针对档案数据安全问题的行业、地方标准规范尚不健全。以隐私权保护为例，在档案数据存储、传输和利用过程中，有可能在用户不知晓的情况下，将档案用户的生活情况、身份特征暴露，侵犯用户隐私，但当前我国法律体系关于隐私权的相关规定并不包括档案数据隐私权的内容。此外，档案数据在转移、共享过程中涉及的知识产权问题，也没有明确的安全责任界定。由于传统档案具有原始性或“孤本”的概念，因此在档案转移过程中一般不存在所有权、处置权和使用权相分离的情况。而档案数据则不同，由于档案数据内容信息和特定载体的可分离性，以及内容信息的易复制性和易修改性，因而不存在传统意义上的“原始性”概念。对于档案数据，某人的所有、处置和使用可以不影响其他人的所有、处置和使用，三种权限可以相分离，由此使档案数据在归档移交时面临复杂的权属关系和处置情况，而当前尚无明确的法规条文予以规定。法规制度的不完善，使档案数据安全治理缺少法理根基，难以有效展开。