探析電子檔案信息安全管理的挑戰與對策

王玉麗

隨著世界經濟邁入“全球化4.0”時代，數字化、信息化、網絡化不再僅停留在概念層面，而是深入融入社會生活的各個方面。在此背景下，紙質檔案逐步完成向電子檔案的轉型，盡管利于發揮出信息化的優勢，但仍存在來自技術和法規層面的安全風險，因而，本文通過總結電子檔案信息安全管理模式，進而提出潛在的安全風險和挑戰以及相應對策，以期為我國構建完善的檔案信息安全管理體系提供一定的理論參考

電子檔案 ?檔案信息安全 ?檔案管理 ?挑戰 ?對策

Analysis on the Challenges and Strategy of Electronic Archives Information Security Management

WANG Yuli

（Mingren Community Health Service Center， Taobei District， Baicheng City， Baicheng， Jilin Province， 137000? China）

Abstract： As the world economy enters the era of "globalization 4.0"， digitalization， informatization and networking are no longer in the conceptual level， but deeply integrated into every aspect of social life. Under this background， the paper files to complete step by step to the transformation of the electronic file， though conducive to play the advantages of the information， but there are still comes from the technical and regulatory aspects of security risks， therefore， this article through the present situation of electronic archives information security management model， and then puts forward certain potential security risks and challenges and the corresponding countermeasures， in order to provide some theoretical reference for our country to build a perfect archive information security management system.

Key Words： Electronic archives; Archives information security; Archives management; Challenge; Strategy

隨著我國在全球政治、經濟以及科技領域的地位不斷提高，全球化趨勢下，信息科技的強勁發展以及科技廣泛賦能于多種行業，為我國綜合國力的提高起到了不可替代的作用。在此背景下，電子檔案管理的重要性和地位也得到了較大的提升。實際上，檔案信息涉及領域極廣，從檔案保存、管理的主體的角度進行區分，主要包括：第一，個人電子檔案，諸如消費記錄檔案、健康檔案等在社會實踐活動中創造、獲取的，可由個人或由個人以明示或默示的方式委托組織機構進行保存、管理的檔案;第二，組織機構電子檔案，諸如政府機關事業單位、社會團體的人事檔案乃至國家檔案等，是地區、國家乃至國際信息資源的組成部分。這些檔案的信息化轉型，使得檔案管理流程得到升級優化，并突破了時間、空間的限制，提高了檔案管理工作效率的同時，也利于信息的流動及共享，對于資源整合及調配，以及潛在的信息再利用價值具有支持作用，同時對于國家發展整體性的信息化產業也具有重要意義。計算機特別是網絡的運用，大大方便了檔案管理者和利用者，但同時也帶來了保密性和安全性方面的問題。因此，應按照創新、協調、綠色、開放、共享的發展理念，以深化數字檔案資源開發利用和服務民生為導向，以保障數字檔案資源的安全保存和有效利用為重點，以整合數字檔案資源為核心，大力推進檔案信息化建設，豐富數字檔案資源。

從檔案的廣義理解層面上看，個人電子檔案也是信息化高速發展所催生出的概念。由于互聯網、大數據、5G等新興科技的興起，基于電子信息網絡，由個人社會活動產生的種種“印記”已經成為一種重要的電子檔案資源，而由于社會活動的發生和記錄往往是源于個人的行為，且較為隨機和分散，更極有可能包含較為敏感的個人信息，因此，概括而言，個人電子檔案具有較高的個人信息屬性，具有主體性、分散性和個人隱私層面上的私人性特點。

目前，我國個人電子檔案在安全管理模式方面仍較為基礎。由于其本身的固有特點，個人電子檔案的存儲往往依賴于個人的選擇，例如硬盤、光盤、云存儲等。隨著區塊鏈等科技的普及，逐漸為個人電子檔案信息存檔提供新的選擇，“云存儲”相較于離線的物理存儲方式的優勢顯現出來。而這種管理模式，實質上是基于個人的一種委托服務，其安全性很大程度上取決于服務供應商的安全管理技術以及雙方簽訂的協議條款。從技術的角度，有調查提及國外學者已開發出可以實現個人電子信息存檔有效保存的工具，我國目前較為典型的即為百度云盤，其可進行個人隱私信息的加密，但是目前尚存在多種安全隱患，例如“公開鏈接”分享功能，就無法有效保障分享信息的安全性。從協議條款的角度，由于電子信息隱私保護的法規建設在全球而言尚處于積極發展的階段，盡管我國已于2021年出臺《中華人民共和國個人信息保護法》等相應法規，但從實踐的角度，政策法規的落地尚需要真正的一線從業者建立相應管理模式去落實法律法規的要求。

組織機構電子檔案隸屬于較為傳統的檔案概念范疇，也更為依賴組織機構的安全管理模式。有研究發現，較為典型的即為偏向政府層面的機關、事業單位電子檔案，政府部門作為數據信息整合共享的重要組成之一，是需要重點關注的一類電子檔案安全管理主體。在2020年，國家檔案局發布《關于檔案部門使用政務云平臺過程中加強檔案信息安全管理的意見》，實際上反映出了我國政府部門對于電子檔案的風險識別、安全保障的重視程度，也因此，政府部門對于電子檔案的安全管理具有較大的責任。

組織機構電子檔案的主體多為機關、事業單位，有研究總結其主要包括兩種管理模式，分別為集中管理模式和分散管理模式，二者的區分點主要在于是否由專職人員負責收集電子檔案后期的處理工作。這種管理模式實行將紙質版和電子版雙套制存檔，對于較為重要的檔案資料，實行紙質和電子版的雙重存儲狀態進行保管，也因此，對于重要資料的檔案管理，現階段還是較為依賴傳統物理媒介提供保障，也從側面反映了電子檔案安全管理信息化程度發展的深度還需提高。除了傳統事業單位之外，還需重點關注醫療衛生機構電子檔案的安全管理。醫療衛生機構的特殊性首先在于涉及大量患者群體的數據，包括大量的檢查數據，其中包含遺傳資源信息，而這類信息是國家重點關注的數據，并陸續出臺了諸如《人類遺傳資源管理條例》《生物安全法》等法律法規性文件，對此進行規范。其次，在于患者群體的隱私性，例如艾滋病群體的數據一旦泄露，將造成較為嚴重的社會不良影響。以醫院為例，其尚存在檔案工作人員安全意識欠缺，以及基建設施、安全管理系統等問題，而這些問題都可能成為安全隱患。

對于電子檔案安全管理，無論是個人，抑或是組織機構，都存在安全意識單薄的問題。以個人電子檔案為例，公民對于個人電子檔案的識別能力有限，往往忽視了諸如移動應用上的隱私條款，也不會主動和持續性地進行管理。根據中國信通院在2021年11月發布的《移動互聯網應用程序（APP）個人信息保護治理白皮書》中的調研可知，我國移動互聯網應用程序的在架數量達到274萬款，而用戶規模也呈現持續擴大的趨勢。因此，缺少安全管理的意識對電子檔案的安全具有較大的負面影響。而對于組織機構電子檔案，盡管國家目前已經出臺了較多的相關法律法規進行規制，但是高水平電子檔案管理人才以及資金的投入欠缺問題仍是較為現實的瓶頸問題，有調查數據也顯示，事業單位對信息安全管理重要性的認識程度尚需提高，也提示了領軍型人才的欠缺，無法在組織機構內部形成較好的帶動效應。事實上，只有當安全管理意識得以提高，才能在管理層面上提高電子檔案的安全水平。

從技術的角度上，新興技術的泛利用與關鍵性安全保障技術的欠缺均為技術層面上可能對電子檔案安全管理帶來風險和挑戰的重要因素。一方面，新興技術的泛利用可能會導致對數字的過于依賴，而疏于對技術的深層次利用，使得技術的利用僅停留在淺層次上，同時，這種依賴實質上也是基于網絡得以實現的技術手段，很多技術都與網絡密切相關，因此在儲存和傳輸過程中就會產生許多網絡安全隱患，盡管目前從技術的層面上已經對網絡安全形成了一定的保護手段，但是從現實中發生的信息泄露、篡改的案例而言，這種風險和挑戰仍不容小覷。另一方面，由于我國政府組織機構在不同的區域中會面臨經濟發展水平不同帶來的人才、物質資源和財政資源的差異，因而基層機構對于關鍵性安全保障技術的引進和人才培養仍較為欠缺，而電子檔案信息的重要優勢之一就是資源共享與整合，當局部地區出現技術問題時，也將會對整體的安全效用顯現帶來不利影響。

縱觀我國對于電子檔案信息安全方面出臺的法律法規，需要從相對更廣義的角度，將之放置在大的信息安全角度去理解，在此層面上可以發現，盡管我國已經出臺了諸如《網絡安全法》《數據安全法》《個人信息保護法》《人類遺傳資源保護條例》等法律法規，用以規制信息網絡架構下的信息安全管理，但目前仍以綱領性文件居多，屬于較為宏觀性的指導文件，盡管在一些特定領域，如醫療衛生機構可能涉及的人類遺傳資源信息的管理，設置了相關的管理細則，但是仍需要繼續擴充配套性文件，尤其針對特定的電子檔案領域，需要進一步明確權屬與罰則。而對于電子檔案信息在傳輸過程中可能涉及的安全問題，需要樹立明確、統一的國家標準，作為切實可執行的文件，系統規范行業內的技術服務供應商，指導其在安全管理層面上的技術手段，同時，也有利于減少重復性的工作以及可能產生的數據冗余。

綜合上述對風險挑戰的分析不難發現，實際上對于電子檔案信息的安全管理的關鍵點也在于提高相關從業者及利益相關者的安全管理意識;提高技術的有效性、可行性和價值實現;明確可落地的法律法規層面的細則與標準構建。

在具體的策略層面，針對第一點，應當加強人才隊伍的建設與積極的宣傳教育，無論是對于個人電子檔案還是組織機構電子檔案，只有人的安全意識得以提高，才能夠更加積極主動地采取相關措施，提高信息安全性和管理效能。針對第二點，對于網絡病毒和黑客的攻擊，可采用防火墻、訪問權限控制、信息備份與恢復等傳統措施，保護電子檔案信息的安全性;應當著力于組建相應的技術團隊，并積極引進以區塊鏈技術為代表的新型技術設施，其去中心化、加密傳輸等特點減少了信息被篡改等安全性問題的出現，實際上，我國國家互聯網信息辦公室在2019年也發布了《區塊鏈信息服務管理規定》，用以規范區塊鏈信息服務活動，推進區塊鏈技術的健康發展，也在一定意義上為區塊鏈賦能的產業及相關行業的發展提供了借鑒。針對第三點，盡管我國一直致力于法律法規及其細則、相關標準的構建，但作為電子檔案信息安全管理的從業人員，更應當從一線工作者的角度，從案例出發，協助構建組織機構內的標準規范，例如明確登記機制、將安全管理精細化分配到個人、定期反饋學習等措施，都將有助于更好地與未來的法律法規配套文件無縫契合。

電子檔案呈現逐年遞增趨勢，電子檔案信息安全管理工作成為檔案管理部門面對的一個重要課題。隨著時代和信息技術的快速發展，檔案電子化管理程度有所提高，由于管理理念、管理方法、管理手段等的不同，其安全問題也日漸顯現。檔案信息化建設的過程不是一蹴而就的過程，其概念往往會出現延伸，所需要兼顧到的層面也會有所拓展，整個發展過程是長期、動態，且需要全社會、各行業、多學科共同參與完成的，在此過程中，識別風險挑戰，并積極探索應對策略，將是保護自身利益和電子檔案主體利益的方法之一，從現實需求出發，緊緊跟隨國家戰略和策略，不斷修正、完善信息安全管理體系，才能適應不斷更新的信息化發展要求，有效提升檔案管理工作質量。

[1] 陳麗.事業單位檔案信息安全管理研究[D].青島：青島大學，2018.

[2] 朱沛沛.個人數字檔案的信息安全保障研究[J].資源信息與工程，2021，36（3）：163-166.

[3] 江雪晴.統籌規劃? 協調推進? 浦口檔案信息化建設邁上新高地[J].檔案與建設，2019（11）：68-69.

[4] 袁雙云，王仁秋.網絡云時代的個人數字檔案管理策略[J].蘭臺世界，2019（3）：65-68.

[5] 李貞貞，洪星.政務云環境下機關檔案管理信息安全技術保障分析[J].北京檔案，2021（9）：37-39.

[6] 王亞琦.對醫院基建檔案信息化管理的幾點思考[J].蘭臺內外，2019（13）：7-8.

[7] 郭瑤，謝永憲，崔蘭.遼寧地區城建檔案館數字檔案資源安全管理現狀調查[J].蘭臺世界，2021（6）：56-59.