云计算下个人档案信息共享的治理
2018-08-20李仪张娟
李仪 张娟
摘 要:随着云技术的推广运用,个人档案信息共享的功能已跃升为知识服务,但信息安全频遭破坏,这又阻碍了共享的有序开展及其功能的实现。对此我国需要立足于云计算下档案行业实情,运用知识治理的原理并借鉴美欧经验进行机制设计,从而优化共享者内部的科层结构、促进其彼此间交互协作、改善外部的信息生态环境;进而依据机制灵活采取激励、引导与规制等治理手段,以此来促使共享者结成利益共同体来协同实现共享功能。评估治理绩效的核心标准是,信息主体与用户权益受保障的效果及用户对共享的满意度。为优化绩效,治理者应完善档案学会等行业组织对共享者的监督职能,同时通过深化信息素养教育来提升档案管理人员在应对信息安全风险中的决策能力。
关键词:个人档案信息共享;云计算;知识服务;共享的治理;治理绩效评估
Abstract: In settings of computing cloud, the supply chain of personal archive information come into being, which runs out of order and gives rise to the infringement of information safety and blockage of information sharing. To cope with above-mentioned risks, we should govern supply chains so as to promote information sharing on the basis of safety maintaining in light of experiences of US and EU apart from technique enhancement. In information sharing governing, we should take various measures like urging, guidance and regulation in consideration of different roles of members in sharing like subjects and, archive departments and enterprises of cloud computing. Relative measures should be taken to enhance the governance, such as improvement of information literacy of staff of archive departments, reform the management system of archive departments, as well as enhance cooperation among members in the aspect of information safety. In assessment of governance effect, we should take various factors like the realization of the function of governance apart from technique and benefits.
Key words: personal archive information sharing; cloud computing; knowledge service; governance of sharing; assessment of governance effect.
1 云計算下个人档案信息共享治理的需求分析:共享的知识服务功能之实现
1.1云计算下个人档案信息共享的功能定位:知识服务的重要途径。对于能识别特定主体的数字或符号,档案部门时常加以收集并通过存储、分类、整合归档等方式进行处理,由此形成个人档案信息。该部门进而将信息传输给从事公共管理、电子商务与网络社交等活动的公共机关、私人机构与个体等用户加以利用,以便于其在做出相关决策时消除信息学家香农笔下的不确定因素,前述活动即为“共享”。[1]譬如高校档案部门借助云计算(cloud computing)技术,将师生的身份、学籍、奖惩记录、任职和求学经历等信息进行归档,进而通过档案迁移等途径将信息传输给提供云计算平台服务的营运商(如我国的高等教育学生信息网和广州图创计算机软件开发有限公司,又如美国的谷歌公司,以下简称“云服务商”),后者再以智慧分析、关联集成与深层次挖掘等方式加以处理进而传输给用户共享。
在此背景下,云服务商得以集中存储与处理海量信息,进而通过向用户传输信息来提供动态化与专业化的服务,从而满足用户的个性化需求(譬如电子商务经营者进行在线营销,又如高校管理师生的人事和学籍档案),这不同于传统网络环境下通过固定资源和系统向用户提供大众化的服务。由此在云计算下,共享的功能从单纯的信息传递提升为将信息转变成知识来解决用户的具体问题,而非仅仅向用户提供零散的原始数据。在情报学视野中,个人档案信息共享已从传统的信息服务质变为知识服务[2]。
1.2 知识服务功能实现的障碍:由信息安全风险而引发。云计算技术的推广运用虽然便利了个人档案信息共享,但也对信息安全的维护带来了挑战,这又阻碍了共享活动的有序开展,从而不利于知识服务功能的实现,甚至使共享陷入困境,具体地:一方面,信息安全是衡量共享的知识服务功能能否实现的重要条件,信息的真实性与隐秘性则是信息安全的基本要素。而云服务商利用集中存储与传输信息的优势,任意篡改与泄露信息从而破坏信息安全;与此同时,档案部门与云服务商的保密措施时有疏漏,这为黑客获取海量信息提供了便利,从而增大了风险几率,典型的案例有大学生的学籍档案信息被集体篡改与泄露、学生考研和四六级的报考和成绩信息被盗窃等。由此群体的信息的真实性与隐秘性等安全要素被破坏,他们的权益也遭受侵害。另一方面,用户往往需要从云服务商处获取信息,这不同于在传统网络下前者直接向档案部门获取。为实现自身利益最大化,云服务商时常利用对信息的垄断,任意向用户抬高信息价格并降低质量,这阻碍了用户对信息的正常获取与利用,从而对共享活动的开展构成障碍。典型事例是,英国云服务商垄断公民100多PB的个人档案信息并恶意提高信息售价从而牟取暴利;前述问题在中国互联网信息中心(CNNIC)于2018年1月发布的第41次《中国互联网络发展状况统计报告》中也有所体现(参见图1)。[3]
2 共享治理的基本思路梳理:以欧美经验为借鉴
2.1应用知识治理原理,通过治理共享来实现其知识服务功能。按照意大利学者Anna Grandori提出的知识治理理论,我国需要对个人档案信息的共享进行有效治理,以此来协调档案部门、云服务商和用户等共享者以及信息主体之间的利益冲突,并且引导他们通过合作来应对信息安全风险进而实现共享的知识服务功能[4]。尤其是随着云技术的推广运用,档案共享正从过去以档案部门为中心进行数据构架的阶段过渡到云计算阶段。在后一阶段,用户对信息的获取方式已从原先直接向档案部门收集转变为向云服务商获取。云服务商利用垄断信息的优势,不仅任意传输与篡改信息进而侵犯信息主体以及档案部门的权益,而且阻碍用户获取与利用信息[5]。为了消除知识服务的障碍,治理者除了要求档案部门与云服务商完善内部管理与更新安全技术外,还需要引导档案部门、信息主体和用户通过协作共同对抗云服务商的垄断地位从而维护自身权益。
无论美国还是欧洲的治理者都采用了这样的策略来治理个人档案信息的共享。譬如美国新媒体联盟(The new media consortium)与EDU-CAUSE Learning Initiative在联合发布的地平线报道中就提出,档案部门在共享中应当通过特定方式与信息主体合作。最典型的方式是,档案部门向主体告知共享的情形并帮助他们维护其权益。前述建议得到了华盛顿大学、密苏里堪萨斯大学以及卡尔加里大学档案部门的采纳[6]。欧盟委员会数据工作组在《关于公共机构信息的再利用和个人数据保护的7/2003意见书》中也提出了类似主张,它被英国剑桥大学与德国慕尼黑大学等知名高校的档案部门所接受。相比较而言,国内学者对于如何引导共享者协作的问题缺乏足够的关注;同时从档案法第三、第四、第五章以及2017年6月颁行的《网络安全法》第六章可知,我国也欠缺相关的治理机制○1。
2.2设计共享治理机制,重点治理档案机构与云服务商等共享者的行为。对于知识治理的内涵,组织经济学、组织行为学、新经济社会学等领域的学者从设计治理机制、完善被治理者的内部组织、促使其形成利益共同体等角度进行了阐释。现在主流学者认为前述观点并不矛盾,进而将知识治理的本质表述为:在知识服务等活动中,治理者通过有效的机制设计,引导个人档案信息共享者等被治理者通过完善内部组织建设与加强彼此协作等途径来共同实现利益的最大化。[7]据此我国应当从以下层面设计个人档案信息共享的治理机制,从而实现共享的知识服务功能以及共享者利益的最大化:在共享者(尤其是档案部门与云服务商)的内部层面,引导其完善自身的科层结构;在共享者之间的交互关系层面,引导他们通过互动与合作来形成利益共同体,从而协同促进共享的有序进行;在共享所依赖的整体信息生态环境层面,约束共享者(尤其是云服务商)的行为,以此来消除共享功能实现的障碍。
知识治理理论的倡导者还认为,知识服务的质量与效果如何,这往往取决于集中掌握信息资源的机构(情报学家称之为“知识权威”)。[8]在共享中,将信息加以收集与归档的档案部门无疑属于“知识权威”;同时云服务商通过集中存储与传输信息,在事实上已取得对信息的垄断,其行为对于真实性与隐秘性等安全要素起着决定性影响,从而也对共享功能的实现发挥着重要作用,由此也属于重点治理对象。欧美正是按照这样的思路来治理共享的:成立于本世纪初的美国云安全联盟(cloud security alliance)就注重协调档案部门与云服务商在信息共享中的行动,得州理工大学、迈阿密大学等知名高校的档案部门以及微软公司、亚马逊等云服务商都是该联盟的重要成员;[9]与此类似的是,欧洲档案委员会于2009年提出了“欧盟档案一体化网络”计划(European Union Archive Network,简称EUAN),该计划旨在促进各国档案部门在信息共享中相互协作,瑞典、意大利、苏格兰等国家和地区的档案部门纷纷加入。[10]
2.3依据不同形式的机制,采取灵活多樣的治理手段。根据知识治理理论,个人档案信息共享的功能得以实现的基本途径在于,共享者的行为能够依据治理机制得到有效的激励、引导与规制。按照权威性与效力不同,治理机制可分为正式与非正式的,前者如法律规范,后者如档案部门与云服务商的行业组织所制定的自律规范。在治理效果上后者相对于前者的优势明显,故而应成为我国首选,这是因为:一方面,行业自律更加有利于发挥档案部门以及云服务商等共享者的理性,从而激励与引导他们通过平等协商与合作博弈来共同促进共享;另一方面,行业自律规范的制定与适用程序较为简捷与灵活,这能够省去正式立法的漫长博弈所产生的巨大机会成本,从而及时消除共享功能实现的障碍。正因为如此,欧美均非常重视行业自律规范等非正式机制的治理作用。譬如前述欧盟EUAN计划的主要内容之一是,由云服务商所在的行业组织与档案云存储联盟共同制定信息安全维护的技术标准以供云服务商与档案部门遵守。标准之一是,云服务商在获取与传输个人档案信息时应当避免99.5%的信息安全事故;美国云安全联盟(cloud security alliance)也制定过类似标准。
同时云服务商逐利的偏好决定了,它们缺乏像档案部门与用户那样改善内部管理的动力,由此治理者如果仅仅通过完善云服务商内部管理机制与促进彼此协作等自律途径,很难有效规制其对信息安全的破坏以及对信息共享的阻碍。因而我国有必要发挥法律的强制性与权威性优势,从如下方面通过立法来迫使云服务商纠正其为了逐利而扰乱共享秩序的不良偏好:一方面,构建云服务商的监管与义务机制,从而督促其维护信息安全以及共享秩序,以此来确保共享的有序开展及其功能的实现;另一方面,对危害信息安全破坏共享秩序者设定相应责任,从而对其行为构成足够的威慑。譬如根据欧盟议会在2016年4月通过的《一般数据保护条例》,云服务商原则上应当在征得主体许可的前提下才能收集、处理与传输信息,主体可以撤销该许可;又如根据美国于2012年颁行的《网络用户隐私权法案》第五章,当云服务商破坏了信息安全并导致单个主体的权益被侵害时,主体有权要求云服务商按照损害数额的一定倍数支付赔偿金。
3 基本思路的实现:治理机制的具体设置
3.1构建共享者内部管理决策的优化机制,提高信息安全风险的应对效率。为实现个人档案信息共享的知识服务功能,我国需要优化云服务商与档案部门等共享者内部的科层结构,将应对共享中的信息安全风险的决策权合理配置到各科层,理由是:在大数据背景下,云技术与IT服务模式得到推广应用,信息的溯源深层次挖掘与再利用成为常态,这导致信息的动态性特征凸显,信息获取、处理与共享的效率大大提高,由此信息安全风险随时可能发生。为应对安全风险对共享带来的障碍进而实现共享的知识服务功能,档案部门应从内部适当改变现有由领导层集中决策的体制,通过建立扁平化与集约化的治理机制,将决策权下放到基层从而提高决策效率;同时云服务商需要将应对信息安全风险的决策权适度下放到其云存储系统内部的存储层、基础管理层、应用接口层与访问层。
按照信息管理学的信息管理组织原理,档案部门为了保障前述机制的实施,应提升基层信息管理人员的信息素养水平,从而使他们具有应对安全风险与消除共享障碍决策能力。[11]然而实证资料显示,由于我国档案管理人员的信息素养教育工作的规划不尽完善,他们的信息素养水平普遍不高,甚至相当部分档案部门的管理人员尚没有掌握运用档案数据库的基本技能。[12]其结果是管理人员普遍缺乏决策能力,这不利于我国通过开展治理工作实现共享的功能。由此档案部门应当改变目前主要向管理人员传授关于信息查询和检索的初级知识的做法,提升他们在软件即服务、平台即服务、基础设施即服务等不同层次的云计算服务中的信息管理和决策能力,譬如对信息进行分析比对、关联集成与深层次挖掘的能力,又如信息迁移与评估信息安全风险的能力;与此同时,档案部门还应培养他们的信息安全意识,教育他们就信息共享的情况向主体告知,并协助主体采取必要措施来对抗云服务商破坏信息安全阻碍共享开展的行为,常见的措施如对云服务商阻碍共享的行为提出异议,又如在需要时向国家网信部门、工业与信息化部门以及工商管理部门等行政主管部门举报。
3.2 设计共享者之间合作的鼓励机制,引导其协同实现共享的知识服务功能。不同于主要完善共享者内部机制的“管理”(management),知识“治理”(governance)在此基础上还注重引导他们通过彼此协作,共同消除共享的障碍并实现其知识服务功能。据此我国需要构建如下治理机制:第一,不同身份的共享者之间的利益调和机制。譬如云服务商监测共享环境、分析信息用户的需求、评价用户对服务的满意度的机制,又如档案部门就信息安全风险向主体告知、接收并分析主体的反馈意见、协助主体维权的机制。第二,相同身份的共享者之间的协作机制。例如,档案学会以及档案云存储联盟等行业组织制定机制,以此来引导档案部门评估信息风险并提升工作人员在应对信息安全风险中的决策能力;又如,与用户相关的行业协会(如电子商务产业联盟)设定机制,从而鼓励和协助用户通过投诉或起诉等途径来对抗云服务商借助垄断信息的优势破坏共享秩序的行为。
为达到治理目的,行业组织需要发挥对其相关的档案部门、云服务商的引导、服务和监督等职能。此前北京等省市的区域性数字档案馆等档案行业的云存储联盟已在初创中,广东省现代信息服务行业协会等与云计算服务有关的行业组织也逐渐成立。[13]然而较之于欧美云安全联盟,这些组织尚未充分发挥职能,其原因是多方面的:一是,行业内的共享者(尤其是高校档案部门)大多是按照不同的专业和部门进行设置的,其中存在着主管部门、所在地区、所涉及和服务的专业等方面的分割,这些因素阻碍了共享者之间的联系与交流,从而制约了行业组织职能的发挥;二是,这些组织的机构建设尚不完善,同时它们往往偏重于保护共享者的利益,因此尚未充分发挥引导与监督作用。考虑到我国现有的档案部门设置体制在短期内很难得到根本改变,治理者在当下应鼓励行业组织完善其自身的机构建设,同时改变它们过于自利的偏好,以便于它们充分发挥职能。
3.3 构造共享者的外部制约机制,改善功能赖以实现的整体信息生态环境。为实现个人档案信息共享的知识服务功能,我国还需要设置法律规范这样的正式治理机制,据此从外部约束共享者(尤其是云服务商)对信息安全的破坏以及对共享有序开展的阻碍。透过我国《档案法》《侵权责任法》《网络安全法》《民法总则》等法律规范可知,立法者已经在这方面做了努力,然而较之于美国《网络用户隐私权法案》与欧盟《一般数据保护条例》,我国法律的治理作用仍然有限。譬如根据《网络安全法》第六章和《侵权责任法》第二章,云服务商破坏了信息安全并造成主体损失的,应向主體支付相当于损失额的赔偿金。而在云计算下,受害者往往是群体而非个体,同时并非所有的受害者都具有通过索赔来维权的意识,由此单倍的赔偿金不足以迫使云服务商付出足够的代价从而真正地威慑他们的机会主义行为。
为有效防止云服务商扰乱共享秩序进而净化共享的整体信息生态环境,立法者宜规定:在有偿的信息共享中,云服务商应当对信息进行合理计价,并且不得降低信息质量。为防止云服务商违反前述义务破坏共享秩序,档案部门和用户等共享者以及信息主体除可向行政监管部门投诉外,还有权向司法机关起诉,从而要求云服务商承担惩罚性赔偿责任。罚金的具体数额应按照其行为对共享者和主体所造成的损失额乘以一定倍数来计算,参照欧盟《一般数据保护条例》第83条的规定,具体倍数可以根据云服务商引起的共享阻碍所涉及的时间、地域范围以及受害者数量等因素来确定。
4 研究的展望:治理绩效的评估标准体系之构建
在系统论视野中,知识治理是由治理的目标的确定、措施的采取与绩效的评估等所构成的有机整体。[14]本文以实现云计算下个人档案信息共享的知识服务功能为目标,梳理了治理的基本思路,并按照目标与思路构建了共享的治理机制,以此作为具体的治理措施。为检测机制实施在功能实现中的作用,治理者还需要在不同形式的云计算服务中进行治理绩效评估。而正如情报学家Huggines所言,治理绩效的评估标准不仅包括经济效益与技术水平的高低,还应包括用户等主体的需求能否得到满足。[15]个人档案信息共享的知识服务功能决定了,最重要的治理绩效评估标准应该是,信息主体与用户在共享中的需求尤其是权益受保障的需求能否得到满足。而随着云计算技术推广的运用,用户的需求趋于多样化与专业化,这些需求之间以及它们与主体的需求之间又存在潜在冲突。笔者在后续研究中,将着重探究我国该如何构建多元的绩效评估标准体系进而调和前述冲突,从而通过优化治理的绩效来确保目标的实现。
参考文献:
[1][美]Brillouin. Science and Information Theory[M].New York:Academic Press,1962:154.
[2]賀德方.数字时代情报学理论与实践——从信息服务走向知识服务[M].科学技术文献出版社,2006:55-58.
[3]中国互联网络信息中心.第41次中国互联网络发展状况统计报告[2018-01-31]. http://cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201801/t20180131_70190.htm.
[4]Anna Grandori. Neither hierarchy nor identity: knowledge-governance mechanisms and the theory of the firm[J]. Jornal of management and governance,2005(5):381-399.
[5]李兴国.信息管理学[M].北京:高等教育出版社,2011:115.
[6]Mell P. and Grance,T. The NIST Definition of cloud computing[EB/OL]. [2011-12-11]csrc.nist.gov/publications/nistpubs/800-145/SP800-15.pdf.
[7]梁褀,雷星晖,苏涛永.知识治理研究综述[J].情报杂志,2012(12):75.
[8]Akhavan P. Critical success factors of knowledge management systems: a multi-case analysis[J].European business review,2009(18):87-103.
[9]佘建新,李静,季雪岗.互联网时代下档案馆间联盟机制与实践探索[J].档案学通讯,2016(1):62-63.
[10]陈骞. 欧洲云计算发展策略与启示[J].上海信息化,2013(3):82-84.
[11]肖明.信息资源管理[M].电子工业出版社,2008:118-120.
[12]黄华坤.省级国土资源档案云平台的研究与设计[J].档案建设,2014(6):41-42;李江瑞,郑勇.高校数据档案馆云服务平台的构建——以陕西科技大学为例[J].兰台世界,2016(12):27-28
[13]佘建新,李静,季雪岗.互联网时代下档案馆间联盟机制与实践探索[J].档案学通讯,2016(1):62-63;薛四新,淘水龙,崔伟.数据档案馆云计算模式的思考[J].档案学研究,2012(3):62-64.
[14]Hernández, E. M., Rodríguez, O. A., Sánchez, P. M..Inter-organizational Governance, Learning and Performance in Supply Chains[J]. Supply Chain Management: An International Journal, 2010, 15(2): 101-114.
[15]Huggins R. Knowledge networks in an uncompetitive region: SME knowledge governance and growth. Growth and change,2009(2):229-259.
