从希拉里“邮件门”事件谈我国政府的电子邮件风险管理

田呈彬+王宁

摘要：希拉里“邮件门”事件是档案意识与文件风险管理意识的缺乏、文件与档案部门和安全部门监管不力以及技术防范和法规遵从执行不到位所致，该事件产生了破坏文件与档案完整、侵犯美国公民信息权利和损害政府公信力等后果。本文基于希拉里“邮件门”事件的成因以及后果和国外的经验，研究了我国政府电子邮件风险规划、识别、评估等风险管理因素，并以希拉里“邮件门”事件为启示提出了我国政府电子邮件风险管理的应对策略。

关键词：邮件门政府电子邮件风险管理

2015年3月3日，《纽约时报》报道了希拉里在担任国务卿期间使用个人电子邮件而非政府电子邮件处理政务，且私自删除3万多封电子邮件，并清除痕迹，这可能违背了美国联邦政府要求政府官员间的通信应作为机构档案加以保存的规定。[1]4月，身陷“邮件门”的希拉里宣布参加总统竞选，而10月末，美国联邦调查局（FBI）调查希拉里同事阿贝丁的丈夫时，发现了希拉里与其团队来往的3万多封电子邮件。[2]最终，希拉里因“邮件门”失去原有支持者的信任而导致败选。希拉里“邮件门”事件在世界范围引起剧烈反响，也引发笔者对我国政府电子邮件风险管理的思考。

一、希拉里“邮件门”事件的成因及后果

（一）希拉里“邮件门”事件成因

1.文档管理部门和安全部门监管不力。美国政府文档管理机构和安全部门对希拉里用私人电子邮箱处理政务活动的行为缺乏有力监督。一方面，相关部门没有禁止希拉里使用个人电子邮箱处理政府事务，也没有明确“私邮公用”行为的违法违规性，使得希拉里及其团队有空子可钻；另一方面，对希拉里将公务电子邮件视为私人文件而私自收发和处理，以及私自删除重要性未经审核的电子邮件等违规行为，政府文档管理和安全部门竟然未加关注。作为政府机构的重要官员，希拉里在处理政务时使用私人电子邮箱的行为应被禁止，至少处理政务活动的行为应受到有关部门的有力监管。

2.档案意识和文件风险管理意识薄弱。处理政务活动的电子邮件是对政务活动的原始记录，并具备构成电子文件的各要素，理应作为政务活动的依据被归档保存，何况美国联邦政府明确要求政府机构官员间的通信应作为机构档案被保存。但反观希拉里及其团队，不仅使用私人服务器和电子邮箱收发、存储邮件信息以处理政务，还私自删除3万多封重要性不明的电子邮件。这都是将电子邮件视为个人非正式文件而未交由文档管理部门归档保存的不当行为。显然，希拉里及其团队缺乏档案意识。同时，保障电子文件载体和信息内容安全十分必要。然而，希拉里及其团队还对电子邮件的处理缺乏正确认识和合理控制，使重要文件“流落”于他人电脑之上。面对调查者询问如何保障个人服务器上可能涉及国家安全等电子邮件的安全，希拉里多次回答“我不清楚”。可以说，希拉里对电子文件面临的风险并未有正确认识，电子文件风险管理意识十分薄弱。

3.技术防范和法规遵从执行不到位。2014年12月，希拉里私人服务器中的3万多封处理政务活动的邮件交由美国国务院审查。其中，8封含有顶级机密信息，而另外36封和2000封分别被审查为涉及机密信息和应被归为秘密级别。[3]如此重要的信息，理应予以技术防范，但事实并非如此。由于私人服务器和私人邮箱安全性低，容易成为网络黑客的入侵对象，希拉里团队成员点开黑客链接后造成信息泄露以及后来维基解密相继曝光了来自民主党委员会内部和希拉里团队竞选经理邮箱内的重要邮件就有力地证明了这一点。美国《联邦档案责任法》禁止政务人员使用非政务电子邮件系统发送邮件，《联邦档案法》规定应将在政府工作中形成的政务邮件保存至国务院服务器中，而且《美国信息自由法案》也保障了公民获取政务信息的权利。希拉里理应遵守有关规定，使用符合安全保密規范、机密性很强的机构服务器和电子邮箱，并遵照规定的文件管理流程保存政务邮件，但希拉里却使用私人邮箱、私人服务器收发、保存邮件，而且还私自删除部分邮件，这些行为明确违犯相关法律法规。

（二）希拉里“邮件门”事件后果

1.违背相关规定，侵犯公民权利。《美国信息自由法案》中对政府信息的获取权、公开方式和豁免公开以及政府信息的可分割性提出了具体要求，保障公民能够正常获取所需政府信息，这体现了美国政府对维护公众自由获取信息权利的重视。但希拉里使用私人邮箱处理政务活动，将这些政务文件视为私人文件处理，甚至删除，使公众无法获取所需公开的政府信息。这种行为违背了美国有关规定，侵犯了公民利用联邦信息的合法权利。

2.破坏文件与档案完整。为了实现政府职能、保障公民信息权利和国家信息安全，政府机构应要求通过公务邮箱处理、记录政务活动，并对作为政务活动完整记录的电子邮件及时归档保存。然而，希拉里私自使用私人邮箱处理政务、蓄意删除重要性不明的邮件内容的行为，严重破坏了应被归档保存电子邮件的完整性，不利于实现其价值。

3.失去民众信任，损害政府公信力。希拉里在担任美国国务卿期间，民众对她的支持率高达69%，而“邮件门”事件后，民众支持率下降到46%左右。[4]显然，“邮件门”事件使民众对政府公信力产生怀疑，而且维基解密网站曝光了近2万份民主党全国委员会可能与希拉里有关的内部邮件，势必会使这种不信任进一步加深。

二、从国外实践谈我国政府电子邮件风险管理要素

国家档案行业标准《公务电子邮件归档与管理规则》（DA/T32-2005）中指出，政府电子邮件是指政府部门在处理政务活动的过程中，经由电子邮件系统产生的电子邮件。电子邮件具有交流方便、反馈迅速的特点，因此政府机构工作人员在处理政务活动时较多使用电子邮件，并成为处理政务活动的重要记录和凭证依据。但从希拉里“邮件门”事件来看，政府电子邮件面临不少风险，必须对此加以管理。这就需要通过合理的技术与方法防范和控制政府电子邮件面临的风险，以最小的成本使政府电子邮件风险所导致的损失降到最低。[5]

（一）政府电子邮件风险管理规划endprint

政府电子邮件风险管理规划是指政府机构及其有关部门为实施电子邮件风险管理而制定的一套计划，计划包括确定政府电子邮件风险管理人员配置、选择风险管理方法，并定义行动方案，然后制定电子邮件风险管理实施计划，最后按既定目标实施风险管理。[6]

美国较早要求将电子邮件信息管理纳入建设开放政府和实现数字政府转型的目标中。2012年8月24日，美国总统行政办公室管理、国家档案与文件署（NARA）等发布了以管理电子邮件信息为目标之一的《管理政府文件指令》，要求到2016年，联邦机构要以可访问的电子形式管理永久和短期电子邮件文件。此后，NARA又于2013年8月发布了《邮件文件管理的新方法指南》，面向美国联邦机构的电子邮件管理新方法Capstone也应运而生。Capstone将文件管理理念嵌入到电子邮件归档中，各联邦机构只需将Capstone这种理念嵌入到已有的文件管理系统中。Capstone依据机构电子邮件用户的职能或职位来分类、设置邮件，然后从机构或分支机构的高层官员账户中捕获应该得到永久保存的电子邮件，并划分这些账户为“高级账户”和“低级账户”。最后，通过账户来对电子邮件信息进行保管期限划分和最终处置。[7]

可见，美国有实施电子邮件管理的较完善的、配套的管理体系和方法以保障电子邮件（尤其是高级账户电子邮件）被实时分类、保存和处置，避免电子邮件出现丢失等风险。而我国政府机构也应充分考虑现状、人员组织和可调用的资源等多种因素，有秩序、有步骤地开展规划活动，并制定配套方案和制度。同时，既要考虑当前规划，又要考虑紧接着的风险识别、评估与应对等环节。而获取信息是风险规划的前提，对此，应使用调查评估表、风险识别表等技术与工具收集信息以更好地确定风险管理的方法、数据资源和工具，更好地开展人员组织和风险管理周期制定等工作。在政府电子邮件风险管理中，可采用电子文件风险管理“九步法”，即从战略阶段到分析、评估阶段再到实施后续阶段等九个步骤。[8]“九步法”使电子邮件风险管理每一阶段内的各步骤紧密相连，形成一套完整、行之有效的电子邮件风险管理流程。

（二）政府电子邮件风险识别

政府电子邮件风险识别是指以目标偏离法为基本方法，对比电子邮件管理的预期目标和目标实际达成的相符度识别风险是否存在，[9]如果实际情况比预期目标差，那么就有风险。简言之，政府电子邮件风险识别就是通过科学的方法和路径找出可能引发风险的风险源并进行预防，以保证政府电子邮件的真实、完整、可用、安全等质量目标。

澳大利亚国家档案馆设计的业务系统文件管理功能评估框架主要包括三部分：第一部分是针对系统内的信息风险评估，即系统内文件信息可能存在的风险、系统风险容忍度等；第二部分主要是系统功能评估；第三部分是制定的具体的实施方案。[10]不难发现，在框架制定之初，澳大利亚国家图书馆就充分考虑了系统管理的风险要素识别及监控，对于信息的可靠性、系统的导入导出功能、风险容忍度等进行识别和评估，充分考虑到风险失控的后果，并提出相应的解决方案。

我国政府实施电子邮件风险管理时也应借鉴这种做法，将风险管理纳入到电子邮件系统管理制度的设计中，识别出在后续的操作和管理中可能存在的风险，并对这些风险进行监控，制定相应的风险管理方案。

政府还应在识别风险时分清风险因素、风险事故以及风险后果。风险因素是造成损失的内在原因，是指某风险事故发生或提高这种发生可能性以及损失程度提高的原因或条件。风险事故则是造成损失的外在原因，指造成财产等各种损失或伤害的偶发性事件。[11]而风险后果则是由风险因素和风险事故这些内在或外在原因造成的意外的损失。其中，风险因素和风险事故是风险防范和控制措施的施行对象，因此在电子邮件风险识别中，既要在电子邮件生成、流转和保存环节中兼顾三者，又要以风险因素和风险事故为重。

（三）政府电子邮件风险评估

政府电子邮件风险评估是指针对已确认的风险，通过定量分析方法测量风险发生的可能性和破坏程度，[12]确定风险后果大小，并以风险大小对风险定级和排序。政府电子邮件风险等级由电子邮件重要程度、风险发生可能性和频率以及风险后果严重性等因素综合决定，政府机构应针对不同风险等级制定相应的风险应对策略和措施。实践中，可通过“风险发生的可能性”和“风险后果等级”两指标来评估政府电子邮件风险等级，风险可能性越大、风险后果等级越高，那么风险等级则越高，而且风险后果等级在风险评估中的比重要大于风险发生的可能性（如图1所示）。当然，操作中可进一步细化风险等级评估要素，也可考虑加入其他科学合理的指标实施全面的风险评估，然后通过为风险责任主体合理分配风险责任，使各风险责任主体在担责的同时，促进他们综合协调、更积极努力地开展风险管理工作。

三、对我国政府电子邮件风险管理对策制定的启示

对政府电子邮件风险实施规划、识别和评估工作后，应针对评定的风险等级而采取对应措施预防、控制风险。

（一）制定法律法规和政策标准，完善制度体系建设

如前文所述，美国较早地开始了对政府电子邮件管理进行国家层面的布局，出台了《联邦档案责任法》《邮件文件管理的新方法指南》等配套性和完整性都较高的法律法规和政策指南，却依然出现各种“邮件门”事件。而国内关于电子邮件管理的法规、标准和指南等少之又少，更缺乏针对政府电子邮件风险管理的法律、标准等，且已有法律等多强调个人隐私保护。为此，中央政府、立法机构和国家档案局应做好顶层设计，首先要肯定电子邮件在文件中的重要地位，同时设计包含电子邮件在内的电子文件管理总体思路和宏观框架体系并提出总体要求，然后通过制定与实施有关法规、标准等予以实现。地方行政、立法机构和相关文档管理部门应承上启下，既要符合上级总体要求和框架设计，又要依据地方实际制定合理的法律法规和政策标准，引导与规范政府电子邮件风险管理，并审计和监督下级政府机构的政务电子邮件管理工作。[13]另外，各基层政府机构和机构内部文档管理部门等政府电子邮件风险直接应对主体，应按本机构实际、遵循有关规定和要求，确定电子邮件销毁、长期保存或者永久保存的范围和条件，并制定从电子邮件生成、保护、流转、歸档和利用、处理等不同阶段的风险管理策略，识别风险因素并以此制定与实施电子邮件风险管理细则。endprint

（二）明確风险责任主体，增强人员档案与文件风险管理意识

一是加强机构内人员管理，明确风险责任主体。按职能、职位对机构人员授权以约束机密信息接触者的行为，当员工调岗或离职时，也应收回其权限；对机构人员进行保密与安全培训，签订保密协议。还应明确风险责任主体，即确定保障电子邮件安全的责任人，谁负责谁担责。电子邮件风险管理实践中，可参照《突发事件应对法》，采取统一领导、综合协调、分类管理、分级负责、属地管理相结合的应急管理体制以应对突发事故，并构建起完善的责任体系。二是增强机构人员档案意识和文件风险管理意识。政府电子邮件理应被视为档案予以保存，因此有关机构应制定相关规定，并对机构人员进行培训以增强其档案意识，使其谨慎对待政务电子邮件、维护电子邮件完整性、真实性和可用性与安全性。而文件风险管理意识薄弱是政府电子邮件风险管理的障碍之一，也应予以增强。具体来说，要改变思维方式和工作方式、遵循机构电子邮件管理条例和标准，学会识别风险因素、正确使用电子邮件、禁止可能产生风险的行为，使电子邮件风险管理与机构文件风险管理保持一致。还要认识到电子邮件信息泄露或丢失、损坏等风险因素可能导致经济数据和军事机密等被窃取和利用，从而导致影响国家经济和军事活动的严重后果。

（三）加强技术防范，增强风险发生后的可逆性

政府机构文档管理部门和安全管理部门应运用技术手段防范电子邮件安全风险。一是可设置机构内部员工IP、按员工职能设置权限，同时按文件重要性设置文件密级并进行相应的加密处理，使无关者即使获取文件也因没有密码而无法读取。另外，机构可采用系统日志审计子系统，通过监控员工IP记录操作行为防范和追责。还可使用USB电子锁等技术防止有关人员拷贝相关重要文件信息。二是为应对网络黑客等入侵机构网络而窃取、损坏、窜改机密信息，政府机构应利用病毒防护软件和防火墙技术以防护网络病毒、隔离机构内外网，形成网络军事区，使非授权者无法轻易登录机构内网对电子邮件造成风险。同时，应增强电子邮件风险发生后的可逆性。可对归档保存的电子邮件进行备份，以避免自然灾害或软硬件损坏导致信息丢失产生的风险，也可和电子邮件服务商合作，保存电子邮件的源代码和相关电子签名信息，防止电子邮件被伪造和窜改，维护文件的合法性。最后，为防止电子邮件内传输的文件被窃取后泄密，有关部门和人员应事先使用文件加密技术对实施加密，保障通过电子邮件安全传输文件，从而使非法用户无法截获、读取文件。

注释及参考文献：

[1]中国新闻网.希拉里陷“邮件门”涉违规被抨击“试图掩藏什么”.[EB/OL].[2017- 02- 05].http：//news.sina. com.cn/o/2015-03-04/005431563927.shtml.

[2]搜狐新闻.FBI重启电邮门调查，希拉里总统梦会破碎吗？[EB/OL][2017-02-06].http：//news.sohu.com/ 20161031/n471861964.shtml.

[3]凤凰资讯.希拉里“邮件门”事件最全梳理.[EB/ OL].[2016-11-01]. http：//finance.ifeng.com/a/20161101/ 14977563_0.shtml.

[4]黄霄羽，崔文健，刘力超.档案视角评析希拉里邮件门事件的警示[J].档案学研究，2016（1）：77（页码范围）.

[5][8]冯惠玲.电子文件风险管理[M].北京：中国人民大学出版社，2008.

[6][12]张宁.思维的“逆行”——电子文件风险管理解析[J].中国档案，2010（7）：59-61.

[7]加小双，祁天娇，周文泓.美国政府电子邮件信息管理的分析与启示[J].档案学研究，2016（6）：114-115.

[9][11][13]张宁.电子文件风险管理：识别与应对[J].电子政务，2010（6）：24-30.

[10]Assessing information management functionality in business systems–NationalArchives of Australia，Austra？ lian Government[EB/OL].[2016-05-12]

http：//www.naa.gov.au/information-management/ digital-transition-and-digital-continuity/information-isinteroperable/assessing/index.aspx.endprint