韩云惠/上海大学期刊社

周 帆/四川外国语大学档案馆

2020年6月20日，第十三届全国人民代表大会常务委员会第十九次会议通过了新修订《中华人民共和国档案法》（以下简称“新修订《档案法》”）。新修订《档案法》新增“档案信息化建设”专章，其中有十三条、共二十四处提到档案的“安全”，并明确电子档案安全管理要求。新修订《档案法》全面贯彻治理理念，档案安全工作治理成为其突出特点，但是在档案数据安全方面还未有所着墨[1]。当前，各级各类档案部门数字化建设已进入全面推进阶段，电子档案在馆藏档案中所占比重大幅提升。大数据时代，电子档案具有与实体档案同样的效力，电子档案数据成为助推社会发展的无形资产和财富。

与实体档案相比，电子档案的安全面临更多风险和挑战，数据丢失或泄露、黑客攻击等问题时刻威胁着电子档案数据的安全。此外，云计算和数据挖掘技术的应用和推广使得传统电子档案数据安全面临的风险和遭受破坏的程度成倍增加，在云环境下数据更容易被恶意挖掘、加工或利用[2]。因此，海量电子档案数据的安全保管成为档案部门必须面对和思考的问题。在新修订《档案法》实施的背景下，本文试从理论层面对电子档案数据安全治理进行阐释，以期回应档案部门的现实诉求，促进档案理论研究和实践发展的深度融合。

1 电子档案数据安全治理的现实诉求

理论来源于实践，有学者指出，有关中国档案学的研究文献中，绝大部分是对热点问题、具体实践和学术前沿的探讨，在理论研究上存在欠缺[3]。电子档案安全是档案实践工作关注的重要内容，从国家到地方都采取了相应措施确保电子档案安全，电子档案数据安全体系的建构具有良好的社会环境。治理理论为创新档案理论提供了新的思路，也为解决现实中的问题提供了方向和引导，从这一层面看，电子档案数据安全治理的理论与实践具有高度契合性，电子档案安全方面的问题有利于从理论层面引发相关思考，助推电子档案安全理论的发展。

从宏观层面看，近年来国家相继出台有关安全方面的法律，反映了国家层面对安全问题的重视，为构建电子档案数据安全治理体系提供了政策和方向引导。为适应不断变化的安全形势，更好地维护新时代国家安全，2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过新的《国家安全法》。面对数据发展的浪潮，国家在大力推动数据发展的同时，于2021年6月通过《中华人民共和国数据安全法》（以下简称“《数据安全法》”），从国家立法的层面对数据安全加以保护。近日，中办、国办印发《“十四五”全国档案事业发展规划》，在工作原则中明确指出“坚持安全底线”，在发展目标中明确提到“档案安全防线得到新加强”，主要任务的第四条是“深入推进档案安全体系建设，筑牢平安中国的档案安全防线”[4]。推进国家治理体系和治理能力现代化，档案安全治理也应纳入治理体系，特别是对电子档案而言，构建安全治理体系尤为重要。

从微观层面看，各级各类档案部门对安全治理的需求是电子档案数据安全治理体系构建的现实基础。一方面，电子档案本身具有安全隐患。电子档案信息具有相对独立性、系统依赖性、不稳定性等[5]，极易丢失或被破坏。另一方面，当前各级档案部门遇到的各类安全事件层出不穷，系统漏洞、黑客攻击、病毒入侵等几乎成了所有档案部门无法回避的问题，虽然各级各类档案部门都采取相应的安全管理措施，但长期以来存在的安全问题一直较为突出。在现有的技术条件和人力物力等条件下，基层档案部门大多依托上级部门服务器检测漏洞或进行系统修复，主动发现和解决安全问题的能力较弱，需要构建系统协作的多元电子档案数据安全治理体系。

2 电子档案数据安全治理的研究对象

2.1 数据安全的概念和内涵

国际标准化组织将数据安全定义为：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不受偶然和恶意的原因遭到破坏、更改和泄露[6]。随着信息化建设的发展，人类面临的数据安全风险愈加复杂和多样，不仅要保证现在的数据安全，还要保证数据能够为子孙后代所利用。结合中国特色社会主义的建设情况，《数据安全法》将数据安全定义为“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。综上，我们可以将电子档案数据安全定义为：采取必要措施，确保电子档案数据长期处于有效保护、合法利用、持续安全的状态。

2.2 电子档案数据安全的问题范围

根据电子档案数据安全概念的内涵，结合电子档案的特点，电子档案面临的数据安全问题主要包含以下几个方面：一是有关电子档案数据机密性的安全问题。这主要是由电子档案所包含的信息内容决定的，电子档案中无论是国家和政府部门的数据，还是行业的秘密数据，或是个人的隐私数据，被泄密或滥用后造成的影响和损失都是巨大的，而数据安全保护技术不成熟等成为制约数据保密的重要问题。二是有关电子档案数据完整性的安全问题。这是由电子档案的特殊性所决定的，电子档案数据内容不完整、数据格式不统一、数据失真等问题时有发生。此外，在电子档案的存储和利用过程中，数据易丢失或被篡改，电子档案的完整性遭到破坏。三是有关电子档案数据可用性的安全问题。数据的完整性影响其可用性。系统软件不兼容，电子档案数据本身不完整，或在保存过程中遭受破坏等，都会导致电子档案数据不可读或不可用。此外，电子档案数据之间的信息孤岛现象依然存在，数据共享共治难以实现。

2.3 电子档案的数据安全治理

治理理论为电子档案的安全管理提供了新思路。治理是一个上下互动的管理过程，其实质在于建立在行动原则、公共利益和认同之上的合作[7]。治理的管理机制摒弃以往自上而下的方式，强调多元主体的参与和合作。数据安全治理是维护组织数据资产的机密性、完整性和可用性的系统，也是对数据安全进行综合治理的过程，它需要从决策层到技术层、从管理制度到工具支撑，自上而下在各个层级之间对数据安全治理的目标达成共识，确保采取合理和适当的措施，以最有效的方式保护数据资产[8]。因此，电子档案的数据安全治理是基于安全管理的需求构建起来的组织严密的系统架构，强调政府、档案部门、企业、行业组织和社会公众的协同治理，对电子档案进行全流程治理、动态治理、应急治理，为解决电子档案数据安全问题提供保障。

3 电子档案数据安全治理的原则理念

3.1 坚持党的领导

新修订《档案法》第三条规定“坚持中国共产党对档案工作的领导。各级人民政府应当加强档案工作，把档案事业纳入国民经济和社会发展规划，将档案事业发展经费列入政府预算，确保档案事业发展与国民经济和社会发展水平相适应”。档案数据中蕴含的信息关乎国家安全、社会稳定和经济发展，档案工作具有强烈的政治属性，档案数据的安全治理是档案工作的重要部分，应始终坚持中国共产党的领导。各级党政领导班子和领导干部应将本系统内电子档案数据的安全治理列入工作重点和综合考核，审核电子档案数据安全治理方案，同时监督电子档案数据的安全治理工作，及时发现问题并落实整改，切实发挥党委对档案工作的统一领导作用。

3.2 树立总体国家安全观

2014年4月，习近平总书记在《中央国家安全委员会第一次会议的讲话》中明确指出：“必须坚持总体国家安全观，走出一条中国特色国家安全道路。”《数据安全法》第四条指出：“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。”《“十四五”全国档案事业发展规划》将坚持安全底线原则表述为：“贯彻总体国家安全观，统筹发展和安全，坚持底线思维，强化风险防控，加强应急管理，压实安全责任，确保档案安全。”档案安全是国家总体安全的重要表现[9]。档案是对国家和社会具有重要价值的信息资源，档案部门理应成为维护国家安全的重点部门。电子档案中蕴含着丰富的信息资源，在国家安全战略的指引下，电子档案数据安全治理体系应坚持总体国家安全观，切实发挥档案对国家和社会的价值。

3.3 实施精准治理

精准治理作为信息化场域下治理范式的进化，为构建数据安全治理体系提供了创新视角[10]。电子档案数据作为大数据的一种，具有大数据的海量性和多样化等特点，面临着来自系统内外部的各种安全风险，可借鉴大数据安全治理体系建设的思路和方法，结合电子档案数据资源的特点，以国家和地方对电子档案数据安全治理的需求为导向，从电子档案数据安全治理的治理主体、治理流程、治理手段和治理保障等四个方面构建精准、系统、科学的电子档案数据安全治理体系。通过精细治理，明确多元主体的权责，对电子档案的整个生命周期进行治理，能够有效应对电子档案数据安全面临的各种风险和挑战。

4 电子档案数据安全治理的内容框架

4.1 构建协同治理体系

新修订《档案法》第七条明确指出“国家鼓励社会力量参与和支持档案事业的发展”，《数据安全法》第九条提到“推动有关部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作”。政府和档案部门的人力和物力等条件有限，仅靠政府和档案部门的内部治理，难以适应国家治理体系和治理能力现代化的进程。因此，可以借鉴治理理论中的协同治理理论，构建多元治理体系。所谓协同治理，是指多元主体间通过协调合作，形成相互依存、共同行动、共担风险的局面，产生合理有序的治理结构，以促进公共利益的实现[11]。从治理主体来看，电子档案数据安全治理需要构建政府引导、行业自治和社会公众参与的协同治理体系。

对电子档案的数据安全治理而言，首先，需要国家层面的治理。当前新修订《档案法》和《数据安全法》的出台，为电子档案数据安全治理提供了治理的方向和引导。其次，档案部门的自治是电子档案数据安全治理的核心。档案部门在实施以往的安全管理措施的基础上，也要积极适应时代和社会的发展变化，及时调整和更新安全管理制度，严格落实岗位责任制。同时，鼓励各类型的企业和行业组织参与电子档案数据安全治理。对档案服务企业，要加强保密宣传和教育，签订保密协议；对信息技术企业，要充分利用其专业技术优势，及时发现和解决电子档案数据安全问题；对社会公众，应加强宣传，让社会公众认识电子档案数据安全的重要性，从而积极参与电子档案数据安全治理相关工作。

4.2 实施全流程治理

电子档案数据安全管理，不仅要关注当下所面临的安全问题，还要研判和预测未来可能出现的安全问题，保证数据在未来可读和可用。因此，电子档案数据安全治理需要对电子档案从收集整理到存储传输、再到销毁的整个生命周期实施全流程治理。

新修订《档案法》第三十七条规定“电子档案应当来源可靠、程序规范、要素合规”，第三十九条规定“档案馆应当对接收的电子档案进行检测，确保电子档案的真实性、完整性、可用性和安全性”。在收集整理电子档案数据时，应明确数据的完整性和可用性标准，进行数据安全检查，提高数据质量。新修订《档案法》第三十九条指出，“电子档案应当通过符合安全管理要求的网络或者存储介质向档案馆移交”。电子存储和传输过程面临的风险最大，安全治理需明确相关的技术指标，采取加密技术、访问控制技术、入侵检测技术、隐私保护技术、区块链技术[12]等一系列技术手段，保障数据安全。对销毁的电子档案也应予以重视，采取彻底销毁的方式，防止不法分子对其加以利用。

4.3 进行动态治理

档案数据安全治理能力的提升是一个持续性的、不间断的工作[13]。为有效应对电子档案数据安全所面对的各种不确定性风险，应进行动态治理，增强档案数据风险治理能力[14]，力求在不断变化的环境中不断提升治理能力和水平。《数据安全法》要求“开展数据处理活动应当加强风险监测”，定期进行风险评估。电子档案数据安全治理也需动态实时监测数据安全可能面临的风险，如系统漏洞、病毒等，定期发布风险评估报告，并及时解决发现的问题。

要建立动态反馈机制和效果评估机制。长期以来，档案部门的治理以单向模式为主，对电子档案数据安全的治理应打破以往治理的局限性，强调双向互动和反馈，通过定期组织座谈会等形式，及时听取各治理主体关于安全问题的反馈，根据反馈情况精准施策。同时，定期评估电子档案数据安全治理的效果，对无效的治理策略予以取缔，对有效的治理策略予以加强，切实发挥治理效能。

4.4 建立治理保障机制

新修订《档案法》第四十八条指出：“明知存在档案安全隐患而不采取补救措施，造成档案损毁、灭失，或者存在档案安全隐患被责令限期整改而逾期未整改的；发生档案安全事故后，不采取抢救措施或者隐瞒不报、拒绝调查的，由县级以上档案主管部门、有关机关对直接负责的主管人员和其他直接责任人员依法给予处分。”电子档案数据安全治理的健康运行必须以坚实的保障机制为后盾，实行岗位责任制，明确安全问题的责任人，加强安全和风险教育，建立奖惩机制，对安全治理成效突出的部门和责任人给予相应奖励，对出现安全隐患或导致安全事故的部门和责任人进行惩罚。

《数据安全法》第二十三条提到“国家建立数据安全应急处置机制”。电子档案数据安全治理也需建立应急处理机制，以应对突发的安全问题，尤其是应对重大突发安全事件。事件发生后，应第一时间启动应急处理，寻找最佳的解决方案，及时向社会公布最新信息，防止舆论恐慌，尽可能将档案数据的损失和对社会造成的影响降到最低。

5 结语

当前，在新修订《档案法》正式施行的背景下，利用推进《数据安全法》的契机，维护电子档案数据安全，构建电子档案数据安全治理体系，既有利于解决当前档案工作实践中面临的安全问题，也有利于提高档案治理能力，推进档案治理体系建设。当然，电子档案数据的安全治理远不止文章所探讨的这些方面，也没有固定的治理模式，需要国家和地方根据时代发展和社会变化及时更新和调整相应的治理策略，不断提高治理水平。