何思源

摘 要：近年来，各国相继出台“云优先”战略，越来越多的文件在云环境中生成和管理。本文以澳大利亚维多利亚州公共文件局的相关政策为例，在对政策的制定背景、框架结构和基本内容进行分析的基础上，认为该政策对我国具有借鉴意义。就管理理念而言，凸显“超越前端的控制”和“双重融合”；就国家和地方层面的政策构建而言，应坚持前瞻性、系统性和应用性的原则；就准备采用云解决方案的组织机构而言，可通过风险评估、合规管理与完善云服务合同/协议等方式实现对机构文件资产的有效管理。

关键词：数字文件管理；云计算；风险评估；合规管理；云服务合同

Abstract：In recent years， some countries have successively issued "Cloud First" strategies， and more and more records are generated and managed in the cloud environment. This paper takes the relevant policies of Public Records Office Victoria as an example， and based on the analysis of the background， frame structure and basic content of the policies， considers that this policy has reference significance for China. In terms of management philosophy， it highlights the "control beyond the front" and "dual integration".In terms of policy construction at the national and local levels， we should adhere to the principles of foresight， systematicness and applicability. And in terms of organizations preparing to adopt cloud solutions， effective management of the organization's records assets can be achieved through risk assessment， compliance management and improved cloud service contracts / agreements.

Keywords：Digital Records Management； Cloud Computing； Risk Assessment； Compliance Management； Cloud Service Contract

1 引言

云計算是一种计算模型，实现无处不在、便捷、可通过网络按需访问的可配置计算资源池（如网络、服务器、存储、应用程序和服务）。[1]它不仅具有按需服务、资源共享、易于扩展、高效便捷的特点，而且能够发挥降低成本、创造价值的集成优势。基于此，部分档案学者对云计算在档案领域的应用前景进行了探索性研究。例如，黄新荣和谢光锋[2]提出了基于云存储技术的云备份方案；吕元智[3]将云计算应用于档案信息资源服务领域，构建了国家档案信息资源“云”共享服务模式；刘振鹏等[4]从业务需求和技术需求角度对基于云计算的区域电子健康档案系统的优势进行了详细分析。上述研究侧重“用”的层面，但涉及“管”的研究相对较少。随着业务系统逐渐迁向云端，海量文件在云环境中生成、存储，如何对这些文件进行有效控制和科学管理是档案领域亟须解决的现实问题。因此，本文将通过对澳大利亚维多利亚州公共文件局（Public Records Office Victoria，PROV）相关政策[5]的系统分析，梳理总结云环境中数字文件的管理理念、政策构建原则和策略制订方案，以期为我国提供参考借鉴。

2 政策分析

2.1 制定背景。2010至2011年，澳大利亚云服务的使用量急剧增加。2011年，包括澳大利亚税务局（Australian Taxation Office，ATO）在内的多家联邦政府机构使用了云服务。通过使用云服务，机构不再需要承担硬件和基础设施的资本投资负担，而且云计算能够在更广泛的范围内提供高效、灵活的ICT解决方案以及数据存储服务。维多利亚政府的云服务使用范围将会持续扩大，并进入新的领域。虽然采用云服务能够起到节约成本的作用，但风险往往与机遇并存，维多利亚政府应当确保自身所选择的任何解决方案都能满足有关公共文件的法规和政策要求，无论这些文件存储在哪里，都必须遵守PROV发布的强制性标准和规范。在此背景下，PROV制定了云计算政策，旨在明确云计算环境中的文件管理事宜。

2.2 框架结构。PROV有关云计算的文件管理政策包括1份问题报告（issues paper）、1份政策文本（policy paper）和2份指南（guideline）。PROV在制定相关政策时，首先将其以问题报告的形式发布，以便利益相关者能够参与其中，为其提供改进方向和建议。正式的政策文本则另行发布，同时也会将相应的修改表达在问题报告中。在发布正式政策文本的同时，也会附上具体的操作指南，旨在为云环境中的数字文件管理工作提供基本要求、操作流程和工具方法。

2.3 基本内容

2.3.1 问题报告：《云计算：文件管理事宜》。[6]问题报告《云计算：文件管理事宜》（Cloud Computing：Implications for Records Management）致力于获取关于云计算问题的反馈，这将有助于PROV确定文件管理解决方案和政策制定方向，而且可以确保PROV提出的对策建议是切实可行的。该政策不仅是PROV云计算系列政策的第一部分，而且也是内容最丰富的部分。它制定了维多利亚政府机构必须遵循的强制性标准，定义可能出现的问题，确定切实可行的解决方案，提出建议，同时邀请利益相关者对其进行评论，以便更多地了解与维多利亚政府相关的问题和解决方案。具体而言，涉及系统局限、管理风险、挑选服务商、服务商服务条款的局限、文件未经授权的访问利用、无法访问利用文件、跟踪与控制文件存储的困难以及对云服务实践维度的理解等。其中，该政策针对可能面临的问题提出的针对性建议极具参考价值，如表1所示。

2.3.2 政策文本：《云计算的文件管理事宜》。[7]政策文本《云计算的文件管理事宜》（Recordkeeping Implications of Cloud Computing）适用于所有受1973年《公共文件法》及其相关标准约束的维多利亚政府机构，涵盖了机构使用云计算过程中有关文件管理方面的决策。具体而言，它包括以下主要内容：一是云计算决策应考虑文件的风险评估，二是云计算的使用必须遵循法律、标准、政策，三是云计算必须充分满足文件管理的需要。基于此，指南1《云计算的决策制定》（Cloud Computing Decision Making）[8]和指南2《云计算：工具》（Cloud Computing：Tools）[9]分别提出了具有针对性和操作性的流程、要求和工具。

首先是风险评估。机构在采用任何云服务之前必须开展风险评估，并考虑风险缓解策略，同时应将文件管理风险置于首位。与云计算有关的文件管理风险主要包括敏感信息（例如有关公民个人的信息）泄露以及无法在云端进行文件检索和文件丢失。通过风险评估会发现某些文件非常敏感或有价值，因此不宜在云中存储；而其他文件则可以存储在安全性较低的云中。

一般来说，风险评估包括三个步骤。一是识别并列出风险。通过利益相关者咨询、风险分析和场景规划来捕捉所有的相关风险是评估的重要内容，尤其要注意风险识别的全面性和准确性。指南2以“风险评估模板”的形式列出了可能的风险要素，包括敏感文件未经授权的访问利用、公开可获取文件未经授权的访问利用或再利用、无法对文件进行访问利用、文件管理不充分（包括元数据）、未遵守维多利亚的隐私法、未遵守维多利亚的法律和强制性政策、未遵守PROV的标准、数据挖掘或抓取与版权保护，模板格式如表2所示。二是利用风险矩阵，根据风险发生可能性和后果（即危害）对已识别的风险进行评价，由此可以直观地看出风险要素及其优先级之间的关系。在对风险

要素进行排序时，既要尽可能地使内部和外部利益相关者参与其中，也要从过去的实践案例中汲取经验教训。三是明确有效的风险补救措施，例如修改审计协议、增加新的合同条款、制作重要文件的备份等。选择补救措施的标准应当是完全消除风险或是将风险降低至可接受/可管理的水平。

其次是合规管理。在任何业务环境中，机构文件的生成、管理、保存和处置都会受到监督管理和政策的规范约束。因此，机构在进行云部署时，有必要对相关法律、法规、政策和标准的要求进行梳理总结。一是要充分理解与机构文件管理有关的要求，既包括联邦和州层面的规定，也包括行业或机构内部规定，例如PROV的保管与处置规定。这些文件及其相互之间的关系可通过“文件地图”（Document Map）的形式予以呈现，如图1所示。其中，需要考虑的主要领域包括公共文件要求、隐私要求、信息自由法和文件泄露要求、透明度与问责要求、安全要求、证据和证据完整性要求、文件处置和防止非法销毁与处理以及版权保护等。二是要识别支持合规性的关键问题。在与云服务提供商的洽谈过程中，应将繁琐的需求清单转换为简洁的问题列表。例如，与其向云服务提供商展示一整套的信息隐私原则，不如以问题的形式呈现，即“你们如何保证我们的数据没有发生未经授权的浏览、修改或删除”，这种方式较为容易实现基于有效理解的合规性保障。

最后是签订完善的云服务合同/协议。在与云服务提供商签订的合同或服务等级协议中，应包括充足的约束性条款，以便能够为机构文件提供其所需的保护措施。具体而言，应当明确谁拥有文件、文件的利用要求（例如谁可以检索文件、何时检索、以何种方式、是何原因等）、安全与隐私、司法辖区与地理位置等。尤其需要注意的是，必须在合同或协议中明确机构拥有文件的所有权，包括业务文件、元数据、知识产权和版权。在云服务提供商和机构的双向关系中，机构应当是合同和文件的控制者，能够决定文件处理的目的和方式；而云服务提供商的角色应被定义为处理者，即根据机构的要求对文件进行处理。指南2从所有权、文件管理、处置、利用、存储、安全、审计、隐私、机密性、合同终止与数据返还、司法辖区、违约时的补救措施等角度制定了“合同对照清单”（Contract Checklist）。此外，如果可能的话，在签订合同或协议时，也可寻求独立的法律援助。

3 启示与借鉴

3.1 管理理念

3.1.1 “超越前端的控制”。在文件從生成到销毁或永久保存的全生命周期中，生成阶段属于前端。PROV通过制定云计算政策，对政府机构的文件管理活动进行规范和约束。这种规范和约束不是针对云端正在形成的文件及其管理活动，而是从机构云部署阶段就已经开始，即在云应用论证过程中嵌入文件管理需求，因此可将其称为“超越前端的控制”。而与之相比，无论从理论研究还是实践现状

来看，我国档案行政管理部门的前控意识均十分薄弱，这与文件和档案分阶段管理的体制和传统有着密切联系。因此，档案部门在政策制定时，既要关注云计算在档案领域的应用，也要注意前端业务流程中文件及其管理活动所面临的问题与挑战。如果云端生成的各种类型的业务文件无法得到妥善管理，档案部门就可能面临资源流失的风险。

3.1.2 “双重融合”。所谓“双重融合”，是指文件管理与信息管理、数据管理的融通以及与业务流程的融合。就前者而言，体现在政策的术语界定中，文件（record）、数据（data）和信息（information）均指代公共文件（public record）。也就是，在PROV的政策制定过程中没有明确区分文件管理、数据管理、信息管理，也没有将文件的范围局限于公务文件，这与澳大利亚政府信息治理框架和数字连续性的要求是一致的。就后者而言，PROV将文件视为业务活动的原始记录（即业务资产）进行管理。在机构采用云解决方案过程中，文件管理要求是需要重点考量的要素。我国档案部门在政策制定和业务指导过程中，也要在加强前控意识的前提下不断推动文件管理与信息管理、数据管理和业务流程的互动与融合，推动云环境中文件管理的有序、有效开展。

3.2 政策制定。PROV云计算政策所具有的前瞻性、系统性和应用性能够为我国相关政策的制定提供参考借鉴。

一是前瞻性。云计算概念的首次提出是在2006年，真正开始普及推广是2010年以后。PROV意识到维多利亚政府采用云服务是未来的发展趋势，并认为文件管理要求是需要予以考量的重要内容。随着组织机构业务活动逐渐向云端迁移，越来越多的文件在云環境中生成，这些文件面临着来自供应商、文件管理本身的一系列风险与挑战。在此背景下，PROV适时地出台相应政策对文件管理活动进行指导和规范，具有前瞻性。而我国至今也没有出台有关云环境中的文件管理政策或指南。相对而言，我国档案领域更关注技术的应用问题，而较少关注技术所带来的新型文件或前端的文件管理问题。因此，有必要尽快制定相关政策，明确政府部门在云部署时应予以考虑的文件管理要素。

二是系统性。从宏观层面来看，PROV云计算政策不是孤立存在的，而是整体标准政策体系框架的有机组成，和其他法规、政策、标准具有一致性。从图1的“文件地图”以及政策所附参考文献中可以看出与之相关的规范性文件及其相互之间的关系。从微观层面来看，虽然PROV云计算政策的正式文本篇幅有限，但与之配套的两份指南则从流程要求和工具方法两个维度为云环境中的文件管理提供了针对性指导，能够确保政策得到切实有效的落实。此外，在政策正式发布之前，还有一份详尽的问题报告，对云计算概念本身以及与之相关的文件管理问题和对策建议进行了系统梳理和总结，可以与正式的政策文本相辅相成。因此，在政策制定过程中需要注意的是，不仅要注重政策本身的制定与发布，还要考虑利益相关者的意见反馈和相关配套指南、工具的出台，也要考虑与既有规范性文件的协调一致。

三是应用性。除正式政策文本的规定较为宏观之外，问题报告和两份指南的建议对策均来自最佳实践经验，具有较强的操作性、应用性和可行性。尤其是指南2提供的风险评估模板、风险矩阵、数据要求对照清单、合同对照清单以及“文件地图”等，机构在使用时只需结合自身实际进行适当补充完善即可。此外，这种应用性也体现在政策制定流程中，在问题报告发布之后和正式政策文本出台之前都会向利益相关者征求意见，以确保政策的要求能够反映机构的实际需求。

3.3 策略制定。在PROV发布的云计算政策中，最核心的三个数字文件管理策略就是风险评估、合规管理与合同管理。首先是风险评估。政府、企业等组织机构在采用云服务、部署云应用时必须进行风险评估，文件管理需求应作为整体风险评估框架的组成部分予以考察，加以识别和分析。PROV的政策提供了完整的流程和分析模板，可供参考借鉴。同时，在国内，云环境中文件管理面临的最大挑战就是安全性缺乏保障，安全问题已经成为阻碍云计算在文件档案管理领域推广的重要因素。因此，机构在进行风险评估时，尤其需要注重对潜在的安全风险和有效的防范措施进行梳理总结，保障云端文件的安全可靠。其次是合规管理。无论文件处于何种环境之中，都必须遵循与文件档案管理有关的规范要求，合规性是机构文件管理活动的基本要求。因此，机构有必要系统梳理与云计算有关的规范性文件列表，同时摘录出其中的具体条款，最好能够以“文件地图”等可视化形式呈现。最后是合同管理。书面协议既可以保护协议双方的正当权利，又能规范双方的承诺和行为[10]。在与云服务提供商签订协议时，需要着重注意以下几个方面：一是签订的云服务合同或服务等级协议必须体现有关文件档案管理的要求；二是机构要采用一定的措施对云服务提供商的合同履行情况监督检查或审计，以确保有关要求得到落实；三是在签订合同或协议前，可以对云服务提供商开展尽职调查；四是在必要情况下可寻求法律支持。在制定合同模板或对照检查表时，也可借鉴其他国家和地区或InterPARES项目的相关成果。

4 结语

对政府、企业等组织机构来说，云计算的出现既是机遇也是挑战，在云部署过程中可能会带来文件的失控、失存、失真、失信、失用等风险。与基于本地部署的数字文件管理相比，云环境中的文件管理不仅是平台与环境的转移，而且涉及管理理念、管理模式与管理方法的变革。就管理理念而言，前端控制的需求更为强烈，文件管理与信息管理、数据管理、业务流程的融合趋势更为明显。就管理模式和方法而言，由于文件在云端生成，远离机构的控制，因此对文件及文件管理行为进行监督、审计就显得尤为重要，风险评估、合规管理与合同管理成为控制云中文件资产的有效手段。本文以PROV云计算政策为例探索云环境中的数字文件管理策略，但采用单一政策文本进行研究不可避免地受到样本自身的局限。在后续研究中，可进一步丰富案例样本，从中提取共性的理念、模式、工具与方法并针对我国实际进行本土化探索。与此同时，在进行实践经验梳理总结的基础上，也要从更高的理论层面对云中文件管理进行更为深刻的理解与认识。

参考文献：

[1]The NIST Definition of Cloud Computing.[EB/OL].[2018-11-08].https：//nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-145.pdf.

[2]黄新荣，谢光锋.云存储环境下的档案异地备份[J].档案学通讯，2011（6）：69-72.

[3]吕元智.国家档案信息资源“云”共享服务模式研究[J].档案学研究，2011（4）：61-64.

[4]刘振鹏，王坤瑞，卞昭玲，等.基于云计算的区域电子健康档案服务系统研究[J].档案学通讯，2012（4）： 17-20.

[5]之所以选取PROV的相关政策，是因为其在电子文件管理领域的丰富经验，具有典型性和代表性。