新《档案法》背景下档案数据安全治理的要求与路径

郭若涵 杨波

摘要：随着大数据时代的深入发展，档案数据安全治理显现出至关重要的现实意义。新《档案法》为此提供了根本性的方向指引。在新《档案法》背景下，档案数据安全治理应当贯彻法规遵循、协同共治、分级管理等要求。同时，遵循如下实施路径：以研制《电子档案管理办法》为契机，探索档案治理与数据治理的制度衔接；以合作逻辑为主要行为逻辑，打造档案数据安全治理生态圈；以分层治理引导业务模式，深化档案数据分级分类管理。

关键词：《档案法》 档案数据 安全治理

在“行行产生并贡献数据、业业使用并受益于数据”的数据生态图景之下，[1]档案数据不可避免地成为档案领域的核心关注对象。它是指“数据化的档案信息及具备档案性质的数据记录”，[2]属于数据管理与档案管理的交叉范畴。《“十四五”全国档案事业发展规划》明确将“档案数据治理”列入重大研究课题，以加快“推动档案全面纳入国家大数据战略”。[3]本文以此为关注点，重点论述新修订的《中华人民共和国档案法》（以下简称“新《档案法》”）背景下档案数据安全治理的核心要求与实施路径，以期对相关实践有所裨益。

一、档案数据安全治理的必要性

随着档案数据化与数据档案化的双向推进，档案管理对象由“模拟态”向“数字态”“数据态”加速演化。[4]相较于传统档案资源，档案数字资源因其所处环境的复杂性、对于技术的依赖性、内容与载体的分离性等因素而面临诸多安全风险，档案数据泄露、篡改、破坏、滥用、丢失等安全问题亟待受到重视。例如，国外某顶尖诊疗连锁机构，将数百万客户的档案数据公开暴露于未受保护的云服务器长达一年之久。客户姓名、性别、电话号码、邮箱地址、数字签名等诸多个人信息遭遇泄露。[5]由此可见，档案数据的安全与否与公众权益、社会稳定等息息相关。

在此背景下，档案数据安全治理显现出至关重要的现实意义，它旨在以治理手段确保档案数据运行安全、存储安全和利用安全。[6]纵向而言，档案数据安全治理关涉整个数据生命周期安全，包括采集、传输、存储、使用、交换（共享）、删除（销毁）等诸多环节；横向而言，档案数据安全治理需同时兼顾外来性威胁与内生性风险，前者主要包括软件植入木马、网络爬虫抓取等方式导致的数据窃取、盗用、泄露等现象，后者主要由内部人员因私牟利、蓄意泄愤等因素所致。[7]新《档案法》作为档案领域的根本大法，24次提及“安全”一词，足见其对于档案安全的重视程度。基于对大数据时代向纵深发展的现实考量，新《档案法》对档案数据安全治理提出了相应要求。

二、新《档案法》背景下档案数据安全治理的核心要求

（一）法规遵循：健全制度规范

为全面应对档案数据治理面临的多重安全风险，新《档案法》要求，无论是档案主管部门，还是档案保管机构，均应将建章立制作为开展档案数据安全治理的重要前提。

一方面，新《档案法》第三十七条规定，国家档案主管部门应会同有关部门制定《电子档案管理办法》。《中华人民共和国数据安全法》（以下简称《数据安全法》）所称的数据“是指任何以电子或者其他方式对信息的记录”，所以电子档案属于重要的数据；同时对国家和社会有保存价值的数据，也属于新《档案法》所称的档案。因此，需要协调好新《档案法》及其实施条例、《电子档案管理办法》等与《数据安全法》及其他数据法规的关系。

另一方面，新《档案法》第十二条规定，各级各类单位应建立档案工作责任制，依法健全档案管理制度。首先，应基于“融入视角”开展顶层设计，将档案数据安全治理纳入全局战略规划；其次，要落实主体责任，建立档案数据安全责任岗，划定分管领导、管理人员、技术人员的专门职责，严控内生性风险；最后，应借新《档案法》出台所带来的制度“除旧更新”的东风，结合机构自身实践情况，充分考量档案数据所面临的潜在威胁，完善其安全分级、保密管理、灾难响应、监控追踪等相关制度。

（二）协同共治：鼓励多元主体参与

治理的核心要义是多元主体协同共治。[8]新《档案法》第一条明确“推进国家治理体系和治理能力现代化”的立法目的，将档案事业与国家治理大局紧密相连。档案数据安全治理作为档案事业的重要组成部分，亦需多元力量的有序参与。

新《档案法》第十九条规定，無论何种类型的组织机构都应“建立健全档案安全工作机制”，并注重档案安全风险管理与应急处置能力提升。聚焦于档案数据安全治理，档案数据在集成管理、开放共享、信息伦理、安全保密等方面所面临的各种风险亟须社会多元主体群策群力、共同应对。

一方面，就主体而言，新《档案法》第三十五条分别对各级人民政府和各级各类组织机构做出要求，规定前者“应当将档案信息化纳入信息化发展规划”，保障档案数字资源安全保存和有效利用，为档案数据安全治理提供宏观层面的战略指导；强调后者“应当加强档案信息化建设，并采取措施保障档案信息安全”，做档案数据安全治理的坚定践行者。在鼓励多元参与的同时，新《档案法》对主体行为也予以严格规范。例如，第二十四条提出：“档案馆和机关、团体、企业事业单位以及其他组织委托档案整理、寄存、开发利用和数字化等服务的，应当与符合条件的档案服务企业签订委托协议，约定服务的范围、质量和技术标准等内容，并对受托方进行监督。”档案数字化加工行为主体应严格遵守协议并受委托方监督，以此谨防实体档案在转换为档案数据过程中质量欠佳、泄密丢失、损毁破坏等安全风险。另一方面，就客体而言，新《档案法》第三十六条提出应当积极推进电子档案管理信息系统建设，与办公自动化系统、业务系统等相互衔接；第四十一条提出推进档案信息资源共享服务平台建设，两者作为档案数据安全治理的依托载体与平台均需多元主体的协同共建。

（三）分级管理：关注敏感信息

分级管理作为一项基本原则，不仅贯穿于宏观的档案行政管理工作当中，还影响着微观的档案管理业务活动。新颁布的《中华人民共和国档案法实施条例》第五条规定：“国家档案馆馆藏的永久保管档案分一、二、三级管理，分级的具体标准和管理办法由国家档案主管部门制定。”如何协调好档案分级与档案数据分级、档案数据安全分级的关系，是档案数据安全治理需要解决的重点问题。

分级分类保护是安全治理的基本原则。《中华人民共和国网络安全法》（以下简称《网络安全法》）第二十一条提出“国家实行网络安全等级保护制度”，《数据安全法》第二十一条规定“国家建立数据分类分级保护制度”。目前，已有部分地区、单位等尝试制定细化的数据分级分类保护制度。例如，《上海市数据条例》（上海市人民代表大会常务委员会公告〔15届〕第94号）根据开放类型，将公共数据划分为无条件开放、有条件开放和非开放三类；《网络数据安全管理条例（征求意见稿）》按照数据对不同主体权益的影响和重要程度，将其分为一般数据、重要数据和核心数据。对档案数据进行分级分类，应同时兼顾其作为档案与数据的属性，在双重法律规制环境下开展此项工作。另外，对于涉及国家秘密、商业秘密、个人隐私等敏感信息的档案数据，应根据具体情况具体分析，以使档案数据安全治理符合总体国家安全观、个人信息权利保护等要求。新《档案法》第二十条、第二十八条对此也有所提及。

三、新《档案法》背景下档案数据安全治理的实施路径

（一）以研制《电子档案管理办法》为契机，探索档案治理与数据治理的制度衔接

电子档案是档案数据安全治理的重要对象，它具有档案与数据的双重属性。为推动电子档案规范、安全管理，新《档案法》要求国家档案局会同有关部门制定《电子档案管理办法》（现已向社会发布征求意见稿），引入数据安全治理理念恰逢其时。就全球而言，数据安全治理大致经历了从“回应式治理”到“集中治理”再到“敏捷治理”三种模式的演变。当前，以关注政策深层价值理念、强调分层治理方式、倡导多元主体互动、鼓励工具灵活运用为特点的敏捷治理模式正逐渐占据主导地位。[9]以该模式为指引，进一步研制《电子档案管理办法》，将有利于在政策规制中实现档案治理与数据治理的逻辑相洽。

首先，厘清《电子档案管理办法》应贯彻的核心理念，即以数据思维为主导，而非将传统环境下的档案工作进行简单的线上复制与迁移，应充分考虑电子档案作为数据的特性及其管理要求；其次，明晰电子档案在流转过程中所涉主体及其具体职责，使得多元主体在参与档案数据安全治理时有法可依；再次，《电子档案管理办法》应将“电子档案分级分类保护制度”纳入其中；最后，配套出台一系列针对档案数据安全治理的指导方针、技术标准或行动框架等“软法”，例如《档案数据安全能力成熟度模型》《档案数据安全保护技术指南》等，以进一步推动档案数据安全治理可落地实施。

（二）以合作逻辑为主要行为逻辑，打造档案数据安全治理生态圈

当前，数据安全治理的行为逻辑主要包括三种，分别为技术逻辑、规制逻辑与合作逻辑。前两者因其特有的专业性而在一定程度上限制了治理主体多样性，只有像高新技术企业或技术专家、政府等具有专业知识或行政权力的特定主体才可以参与数据安全治理。[10]能力与权责成为衡量不同主体是否能够准入数据安全治理的主要参考依据。合作逻辑使得技术逻辑与规制逻辑的局限性逐渐得到修正，纳入广泛主体、倡导协同共治是其显著特点。这与新《档案法》所提倡的“鼓励社会力量参与和支持档案事业的发展”不谋而合。

档案工作渗透于各行各业，这决定了档案数据来源的广泛性与结构的复杂性。在档案数据采集、处理、存储、利用、传播等过程中，所涉主体之多不言而喻。这正为打造档案数据安全治理生态圈提供了必要的主体条件。根据合作逻辑框架下的敏捷式元级治理结构，一是在战略指导层，档案主管部门应与数据主管部门、信息化主管部门、网络和信息安全主管部门、保密主管部门等协商合作，将档案数据安全治理纳入相关重要的法规政策、工作规划的考量范畴之中，把握其宏观发展方向。二是在管理层，以档案主管部门为主导，制定档案数据安全治理的具体路线图，出台涉及档案数据价值分析、分级分类、发现分布、安全风险评估、安全策略、安全防护、安全运维等方面“软硬兼施”的规范，为相关主体开展实践活动提供法规依据与行动指南。三是在运营层与参与层，着眼于档案数据形成单位与保管单位等组织机构，以其为中心点关注内外环境。一方面，在自身业务活动中有意识地维护档案数据信息与载体的双重安全，做到采集环节控制档案数据质量、规范采集格式与流程，存储环节注重介质及系统选择、实施备份策略、强化监管职责，利用环节妥善处理知识产权、个人隐私、涉密保密等相关问題及合理划归访问权限等；另一方面，与外部伙伴合作开发安全技术、交流经验做法，共建安全高效的档案数据开放共享平台，同时培育社会公众的档案数据安全意识。四是在监督层，档案数据安全治理接受来自档案主管部门、第三方机构与公众的多层监督。例如，对档案数据存储传输系统及合法性进行第三方审计等。[11]

（三）以分层治理引导业务模式，深化档案数据分级分类管理

档案数据安全治理涉及个人隐私保护、档案数据开放共享、跨境流动、涉密管理等不同场景。不同场景中的档案数据安全治理应具有针对性的档案数据分级分类保护制度。根据档案数据的保密程度、敏感程度、可开放程度、涉及面广度等，对其进行分级分类，通过访问控制技术、隐私保护技术等维护档案数据安全。

针对不同类型、不同级别档案数据的开放流通，应相应选择涉密网、内网或外网，三者之间实行物理隔离，以减少被外界破坏与攻击的风险，从而保证档案数据安全。另外，《网络安全法》第二十一条提出，“国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务”。据此，2020年公安部研究制定并印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》，档案数据网络运营者应积极开展定级备案工作，定期进行网络安全等级测评。一经有档案数据网络被认定为关键信息基础设施，就应对其进行重点保护。

四、结语

新《档案法》为我国档案数据安全治理提供了坚实的法治保障。档案部门应以新《档案法》为依据和指引，兼顾《数据安全法》《网络安全法》等相关法律法规要求，及时发现、梳理、评估档案数据安全风险，通过“集成化”“协同化”“知识化”等手段保障档案数据安全质量，[12]维护国家安全、组织利益和个人权益。唯有于此，我国档案事业发展才能紧跟大数据时代洪流，充分发挥档案数据的应有价值。

*本文系中国人民大学2022年度拔尖创新人才培育资助计划成果、国家社科基金青年项目“互联网平台型企业档案监管模式与路径研究”（项目编号：23CTQ036）阶段性研究成果。

注释及参考文献：

[1][2]金波，添志鹏.档案数据内涵与特征探析[J].档案学通讯，2020（3）：4-11.

[3]中华人民共和国国家档案局.中办国办印发《“十四五”全国档案事业发展规划》[EB/OL].（2021-06-09）[2024-01-05].https：//www.saac.gov.cn/daj/toutiao/ 202106/ecca2de5bce44a0eb55c890762868683.shtml.

[4]金波，杨鹏，宋飞.档案数据化与数据档案化：档案数据内涵的双维透视[J].图书情报工作，2023，67（12）：3-14.

[5]Business Today. Data of millions of Dr Lal PathLabs patients exposed， including address， phone numbers，emailids[EB/OL].（2020-10-09）[2024-01-09]. https ：//www.businesstoday.in/latest/corporate/ story/data- of- millions- of- dr- lal- pathlabs- pa？ tients-exposed-for-around-a-year-275306-2020-10-09.

[6][11]金波，楊鹏.大数据时代档案数据安全治理策略探析[J].情报科学，2020，38（9）：30-35.

[7]中国（中关村）网络安全与信息化产业联盟数据安全治理专业委员会.数据安全治理白皮书3.0[EB/OL]. [ 2024-01-10]. http： //app.myzaker.com/ news/article.php？pk=60a88de0b15ec050c031effd.

[8]徐拥军，熊文景.档案治理现代化：理论内涵、价值追求和实践路径[J].档案学研究，2019（6）：12-18.

[9][10]范玉吉，张潇.数据安全治理的模式变迁、选择与进路[J].电子政务，2022（4）：114-124.

[12]张夏子钰，周林兴.大数据时代档案数据质量：评估与优化[J].北京档案，2023（5）：15-18.

作者单位：1.中国人民大学信息资源管理学院2.北京东方明德科技发展有限公司