國外基于電子文件管理準則下的物聯網數據管理分析及啟示析及其啟示

黃睿 單慶元

摘 ?要：通過介紹國外管理物聯網數據的經驗，得出物聯網數據管理要根據物聯網數據的屬性和特點，依照GARP準則，拓寬NOARK標準，在電子文件管理系統中收集和管理物聯網數據。基于這些管理準則，提出我國物聯網數據管理要從物聯網數據開放、元數據建模、數據保護幾方面入手，提高物聯網數據質量，實現物聯網數據價值。

關鍵詞：電子文件; 物聯網數據;數據管理;元數據; 可信性

Abstract： This paper introduces the experience of management of Internet of Things data in the foreign， and concludes that the Internet of Things data management should be based on the attributes and characteristics of the Internet of Things data. According to the GARP criteria， we should extend the NOARK's standard， collect and manage the Internet of Things data in the electronic records management system. Based on these management criteria， it is proposed that the data management of the Internet of Things in China should start from data opening， metadata modeling and data protection to improve the data quality of the Internet of Things and realize the value of the data.

Keywords： Electronic records; Internet of things data; Data management; Metadata; Credibility

挪威的托馬斯·索德林等學者應用GARP準則和NOARK標準，從宏觀和微觀相結合的角度，按照公開的和涉及隱私非公開的兩種分類方式，分析芝加哥開放數據門戶的水資源管理系統和挪威海關管理的用于識別車輛的ANPR系統的數據管理，從這兩個案例分析中得出物聯網數據的管理方法，他們建議在靈活的電子文件保存系統中收集和管理物聯網數據，從而更好地實現信息治理。

1 物聯網數據的屬性及其與文件的關系

物聯網數據要按照生成、利用、保管的流程來統一管理，對數據的管理貫穿其整個生命周期。物聯網數據也像文件一樣可以被移交、分類、保存。而一些檔案館的電子文件最早都是來自部分數據庫的數據集。數據集以兩種方式分類編目，一種是作為數據，一種是作為電子文件。因此挪威的學者認為可將物聯網數據看作文件來對待和管理，在一個靈活的電子文件保存系統中收集和管理，可以實現更好的信息治理。希望使用標準方法來避免潛在的供應商鎖定情況，并確保互操作性。由此可見，做好電子文件管理是完成物聯網數據管理的前提條件。

2 國外電子文件管理的準則在物聯網數據管理中的體現

國外有影響力的電子文件管理規范有GARP和挪威的NOARK。GARP（Generally Accepted Recordkeeping Principles），就是通用的電子文件管理準則，主要包含八條內容：可問責、透明度、完整性、保護性、合法性、可用性、保管和處置。這些準則構成了一個廣泛使用的全球標準，確定了記錄管理、記錄和信息管理（RIM）以及信息管理程序的關鍵特征和良好實踐的高層框架。該原則以實踐經驗為基礎，基于對法律原則和信息論的廣泛思考和分析。它們的目的是為組織提供管理信息的行為標準和判斷行為的準則。[1]

NOARK準則包含了電子文件保管標準，從電子文件創建到最后的處置都有體現。在2019年，它的標準進一步明確了應用程序編程接口，NOARK也是保存標準，它是XML表的具體表現。NOARK以全宗為目標，在某種程度上，NOARK標準可以被看作是關于收集和全宗的正確闡釋。NOARK標準還提出一個元數據模型來管理中央元數據以及電子文件。

2.1 問責制Accountibility。指高級行政人員應負責將信息管理工作交給適當的個人。在芝加哥的行政命令中，設立了向首席信息官報告的首席數據官。芝加哥的開放數據門戶是根據市長的行政命令建立的，問責制要求高層管理人員對政策的實施效果進行監督。

托馬斯·索德林認為將物聯網數據當作電子文件對待，并在電子文件管理系統中管理這些數據，這樣的做法會讓公共機構更符合問責原則。當描述處理物聯網數據時，作為信息管理者要特別關注物聯網數據的隱私問題。而開放數據訪問也應該遵循可問責原則。

2.2 透明度Transparency。一個組織的業務過程和活動，包括其信息治理計劃，應以公開的和可驗證的方式進行記錄，該文件應提供給所有人員和適當的相關方。透明度原則要求過程是公開的和可驗證的，涉密和不涉密的案例都體現了數據的透明度，而透明度原則不應該泄露組織機構職能的秘密。芝加哥開放數據門戶符合透明度原則，在開放門戶內，向任一訪問者提供關于數據的描述。挪威海關發布有限的ANPR系統信息，也是為了避免泄露太多操作信息。

2.3 完整性Integrity。建立信息治理方案，使組織產生或管理的信息資產具有真實性和可信性的合理保證。設備的質量和位置，數據收集的多端點和物聯網設備供應商的多樣性和產品的不兼容性，都會影響數據的收集質量。因此在物聯網數據管理過程中需要形成一種可信機制。

NOARK標準從遵循保護原則和開放性兩方面確保完整性原則，這一標準也支持其它完整性機制，比如校驗數據可以集中覆蓋上傳的文檔，來源于物聯網的數據轉換成文檔的可以被這樣的固定信息覆蓋。

2.4 保護性準則Protection。保護性準則指應制定信息治理方案，以確保對私有的、機密的、特權的、秘密的、對業務連續性至關重要的或其他需要保護的信息資產有適當程度的保護。物聯網中數據的保護性原則包含兩方面內容，一方面指保護物聯網設備的安全，另一方面指網絡傳輸的數據隱私保護。

在NOARK標準中，保護性準則體現在電子文件管理系統中關于用戶、組織和職責的明確詳細的要求和規定以及合理的訪問控制機制。物聯網數據的保護性方面，利用最終的API可以保證物聯網設備在間隔時間內向文件保存系統推送定義好的一組信息。

學者們認為挪威海關總署汽車管理案例是在汽車管理系統中出現的問題，沒有體現保護性準則。在這個案例中沒有明確規定訪問數據的主體，缺少數據安全的文檔。

2.5 可用性Availability。可用性準則是指組織應維護其信息資產，以確保其及時、有效和準確地檢索。物聯網數據的可用性有即時和可用兩方面涵義。數據檢索是捕獲物聯網數據的重要意義所在，開放數據門戶和NOARK-API一樣體現了數據檢索標準。

在數據收集方面，物聯網數據具有即時性;在數據檢索方面，檢索界面應該易于使用，并適用于元數據的描述。查詢規范協議是可調整的，在有界區域內檢索。

可用性原則還需要物聯網電子文件管理系統應用現代的REST-BASED API方法，系統將需要通過及時檢索文件來處理大量數據，支持快速解決各種領域物聯網數據的彈性方法來搜索。

2.6 合法合規性Compliance。信息治理計劃的構建應符合適用法律、其他有約束力的權威和組織的政策。ANPR-data案例表明挪威海關總署在信息收集方面侵犯了個人隱私，超出了相關的法律規定范圍。雖然立法會滯后于技術更新，但是收集物聯網數據的公共機構必須遵守法律和規定。

2.7 保管Retention。保管準則是指組織應考慮其法律、法規、財政、運營和歷史要求，在適當時間內維護其信息資產。物聯網關于數據保存沒有明確要求，保管性是個寬泛的專題，但對于維護公民個人合法權益是必不可少的。

保管期限保證電子文件根據不同的職責內容保存足夠的時間。保管期限也覆蓋了保存的各方面，在電子文件生命周期中也適用。芝加哥的開放門戶提供了電子文件保存的易保存格式，甚至允許利用者下載全部的數據集，包括一些附加的元數據。

車輛識別案例看起來是多數電子文件在短時間保存后刪除，需要被保存的是可能受關注的車牌，它應該被控制。在某些特定階段，這樣的電子文件出于長期保存的原因應考慮遷移的問題。NOARK標準還定義了與XSD表相關的元數據保存模型，描述是可擴展的，可以覆蓋這里提到的案例。

2.8 處置Disposition。處置原則，組織應根據適用法律和組織政策，對不再需要維護的信息資產提供安全和適當的處置。處置功能是電子文件保存系統必須支持的基本功能。物聯網數據的保存和刪除要求有待進一步明確。歐洲通過GDPR立法加強關于個人信息的定位、檢索和刪除的要求。在挪威的汽車管理系統案例中，體現了對數據的保存和刪除的需要。挪威海關沒有按照法律法規要求處置數據，存在侵犯隱私的問題，因此被挪威數據保護局給予罰款的處罰。

文件保管是依據它的價值而定，但物聯網數據的價值是潛在的，有時是以長期價值的形式存在，因此物聯網數據的保存有時采用實時保存方法。根據標準化的方法，處置是自動和電子文件相關，保證數據在特定的時間刪除。如果有特殊延長保存電子文件期限的要求，那么會有個別文件的特定遷移規則。

隨著物聯網數據的增長，需要處置功能的要求更加明確。因為有些數據的價值比較小，比如個人的文件，或者另一些數據沒有歷史價值。實時性的數據可能會被刪除，受隱私法保護的數據要求被自動處置，組織的問責制和透明機制不能保證數據處理的合法性和合規性。

信息安全是體現保護性和完整性原則的要求。對于涉密數據要協調處理數據收集和隱私權保護之間的關系。隨著信息共享的擴大，應該有保留或者刪除數據的要求，以保證在合適的時間自動處理數據。

建立在物聯網門戶基礎上的合理的電子文件保管原則來處理物聯網數據的快速增長，這也許會幫助政府機構找到最好的管理物聯網數據的方法，研究出超越電子文件保管標準的方法，幫助避免供應商鎖定和供應商競爭。

3 面向物聯網數據，拓展NOARK的電子文件保管標準

物聯網數據的異構性和難以捉摸性導致無法找出一種普遍的標準化方法來管理，但是研究建立在標準基礎上的方法來管理物聯網數據是有價值的。因為標準化可以提高互操作性、可以避免潛在的供應商鎖定問題。將物聯網數據管理方法建立在保存電子文件的標準上是可行的，應用彈性的API可以處理高難度的數據異構性，這樣的數據處理標準包括彈性和可擴展的元數據模型;可擴展的元數據保存模型;捕獲和檢索物聯網數據的標準化搜索協議;支持保存和處置功能。NOARK標準在API描述方面符合以上要求，即使這里的元數據標準是彈性的，但是在不打破一致性的前提下，標準的拓展程度還是受限的。[2]

這里數據模型的拓展要注意是否涉密的物聯網數據。對于涉密的物聯網數據，或特殊數據保存要擴展文件實體，這個包括定位、時間戳等特性，將相關捕獲的圖片與相應的文檔元數據一起保存。

建立NOARK的彈性API模型，捕獲和檢索物聯網數據，有兩種記錄方法，文檔法和文件法。iso15489標準中電子文件和文檔的區別描述是，文檔是結構化和非結構化信息，所有的電子文件都是文檔，但不是全部的文檔記錄。文檔可以編輯，直到文檔成為電子文件。而NOARK中文檔是關于格式描述和附加的元數據。文檔法可以設為適合檔案保存的格式，文件法要為保存和遷移數據作準備;通過拓展元數據模型，使之更易檢索，實體擴展和添加屬性幫助物聯網數據在類和文件的基礎上聚合記錄。

在芝加哥水管理系統方面，運用拓展NOARK標準的方法，文件法適用拓展實體并添加相關屬性，將記錄的水質價值作為文件。文檔法和文件法都將水質讀數記錄放在電子文件保存結構中，為了保存的目的而遷移數據也很重要，文件法還提高了數據的易檢索性。

在ANPR案例中，NOARK的元數據模型拓展意味著處置規則可以自動和電子文件關聯，確保在合適的時間刪除文件。合理的訪問控制機制可以減少挪威數據保護局對其的批判，因為信息的安全是保護性和完整性原則的基本要求。

4 物聯網數據管理帶來的啟示

4.1 建立一體化物聯網數據開放共享體系，實現物聯網數據的集中管理。物聯網數據可能代表存在于電子文件管理系統中一種新類型的數據和文件，物聯網數據更具有可變的特性和要求，這容易導致潛在的大量實時數據和非實時數據。因而會帶來數據交換的不連續。如果這種數據數量增加，會阻礙數據的檢索，影響可用性和檢索性原則。

實現物聯網數據開放，還離不開標準化的數據原則和數據管理流程，這需要建立起真正統一的物聯網數據生成、使用、反饋、評價標準，進一步提高物聯網的數據質量，消除因數據標準缺失產生的無效數據和虛假數據，克服數據價值化的障礙。

4.2 加強元數據管理，實現物聯網數據管理的標準化。建立元數據模型是實現物聯網數據的自動收集和管理的一種有效方法。通過數據建模，根據業務上下文和解決方案上下文，建立一個合適的元數據標準。在數據流程設計方面，根據業務類型或條件設計業務規則，建立元數據模型要遵循元數據的靈活性、可擴展性、可檢索性導向，提高收集的物聯網數據標準化程度。

分開保存元數據和物聯網數據，實現內容檢索和數據價值挖掘。由于物聯網數據量巨大，而元數據相對數量較小，可以將元數據單獨保存，方便對物聯網數據的檢索。

4.3 建立安全機制，保護數據隱私和信息安全。物聯網數據安全指的是遵循數據機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）3個原則（即CIA原則），以保證物聯網的數據安全。在設計階段，要充分考慮隱私、數據保護和信息安全統一的要求。根據這些要求，制定相應的策略管理，包括數據收集策略、數據存儲策略和數據安全策略等。

數據安全策略可以從法律層面和技術層面兩方面來實施。法律層面，具有約束力的法律和高水平的數據保護法結合，可以實現物聯網技術的保護性和可信性的選擇。數據保護立法應具有一致性和專業性，要考慮國際上的協調性。

國際上已有歐盟的《通用數據保護條例》（GDPR），我們的數據立法可以考慮納入這些默認的數據保護條款。新一輪的網絡安全立法要補充數據隱私的協議，隔離物聯網設備，監控數據記錄。隱私保護除了考慮不泄露信息，還要考慮數據應用。

技術層面可以應用加密技術和區塊鏈技術，制定適當的隱私策略。根據靈敏度對數據分類，依據個人識別信息、敏感信息、安全信息和公開信息等分類管理。然后要考慮到物聯網的多個系統，多個登錄點，分布式方法，互操作的方式，結合具體的安全策略，建立訪問控制模型，對數據的訪問和操作進行控制。明確定義獲取數據的主體權限，從主體、客體和控制策略這些要素著手，通過身份認證、授權、文件保護和審計等主要功能，實現訪問控制，應用數據加密等技術確保數據隱私，基于數據的粒度訪問每部分數據，保證系統資源的合法性、完整性和時效性。

4.4 發展監管制度，實行第三方監管，保證物聯網數據的可信性。法律不能涵蓋所有數據安全問題，歐洲的《一般數據保護條例》和美國的《2015年網絡安全法案》，都在努力利用監管的方式來平衡技術創新與數據主體利益的保護關系。美國的聯邦貿易委員會依據《聯邦貿易委員會法案》的規定，對沒有采取充分措施保護消費者數據的組織加以懲罰。法律賦予第三方機構以相應的權力確保物聯網設備供應商的行為符合公平和公正的要求。我國的《數據安全法（草案）》和《個人信息保護法》，都體現了尋求發展和安全的平衡，不同利益主體之間的平衡，各國家、各地區、各部門要主動擔負不同的監管職責。

參考文獻：

[1]Thomas S?dring，Petter Reinholdtsen， and David Massey. A record-keeping approach to managing IoT-data for government agencies[J].Records Management Journal，2020，Vol.30 No.2：221-239.

[2]王慧敏，熊玲，督靜雯，楊潘藝，那天力.面向物聯網環境的數據安全傳輸方案[J].計算機應用研究，2020，37（S1）：304-305.

（作者單位：大連工業大學檔案館;大連工業大學信息技術中心 來稿日期：2021-08-17）