區塊鏈技術下人事檔案防偽溯源

王 攀 陳長晴 靳雨欣

近年來，人事檔案造假事件頻發，引起檔案界廣泛關注和討論。筆者分析諸多造假案例發現，人事檔案造假成本低、方式隱秘、檔案審查機制不完善、審查成本高、造假成功后追責困難等原因，為人事檔案造假者提供了可乘之機，使得人事檔案真實性不斷受到挑戰，人事檔案防偽溯源成為檔案界關切討論的問題。

一、人事檔案真實性和管理存在的短板

1.人事檔案真實性定義。檔案界對檔案真實性具有不同的理解和認知，筆者根據人事檔案形成過程與管理過程，總結人事檔案真實性應該包括兩層含義：一是檔案內容形成符合客觀事實；二是檔案材料形成后材料本身沒有被篡改。人事檔案是考核選拔任用干部、職工職稱、職務晉升及調資調動、離退休等的重要依據。維護人事檔案真實性是人事檔案管理最根本原則。

2. 人事檔案自身特點和短板。黨中央、國務院于2014 年10 月在全國開展人事檔案專項審核工作，審核發現的人事檔案問題之多、涉及人事層級之廣令審查部門瞠目結舌。筆者梳理造假案例發現，人事檔案造假者往往利用人事檔案自身特點來篡改檔案內容。

（1）人事檔案參與主體多元性。人事檔案參與主體涉及人事管理不同階段各級各類組織，參與部門、操作人員眾多，一旦任何一個環節被“腐蝕”，便可能為人事檔案造假者提供可乘之機。筆者梳理近年來通報的案件發現，某些干部因利益驅使，收買檔案管理人員，編造篡改人事檔案材料，造成人事檔案失真[1]。

（2）人事檔案材料產生的持續性。人事檔案生成是一個長期積累的過程，一般從中學開始到“永久”，時間跨度長、檔案內容久遠，造成檔案內容被篡改后無法及時發現，造假者長期欺瞞組織。

3.人事檔案防偽溯源現狀。保證人事檔案真實性是人事檔案溯源的目的。在人事檔案生成、轉遞、借用各個環節中，對檔案生成單位、轉遞過程以及借用過程進行追蹤和回溯，即賦予了人事檔案可追溯性。

當前，我國檔案真偽主要通過用紙制度、用印制度、副本制度加以鑒別，具體實踐過程中會遇到以下幾個問題:（1）我國當前在檔案管理中對紙張并沒有特殊要求和規定,檔案用紙相對普通易得,這在一定程度上也讓造假者有了可乘之機[2]。（2）對檔案內容中時間、事件等前后矛盾的甄別僅能作為推斷結果。（3）人事檔案從生成到永久，生成、轉遞、借閱部門分布各地，較難實現檔案材料追蹤溯源。（4）現有的信息化和存儲技術并不成熟，面臨著信息泄露、黑客篡改等問題。

最具典型的案例是，2017 年5 月，中紀委通報“五假副部”盧恩光“年齡、入黨材料、工作經歷、學歷、家庭情況等全面造假，長期欺瞞組織”。在盧恩光的20 多年晉升道路上，金錢開道、鉆營投機、掩蓋事實，“腐蝕”20多名不同層級干部同志。2016 年3 月，審查同志翻閱盧恩光檔案材料時，感到“看他的簡歷總覺得蹊蹺”。一位審查干部分析稱，“看他的檔案頭尾銜接緊密，公章和領導簽字齊備，雖然存在干部任免文件不規范、筆跡存疑等問題，可一時也難以斷定”[3]。這個案例暴露出人事檔案材料造假成本低、隱瞞時間長、審查機制效率低、審查手段有限等問題。

二、區塊鏈技術應用于檔案打假

1.區塊鏈的概念。區塊鏈是一個去中心化、無需第三方參與的新型數據結構，其數據并不受某一個組織控制，而是由網絡上所有節點參與及維護。其技術特點在于去中心化、去信任、無法篡改，每個區塊以時間順序銜接成鏈條結構，故被稱為區塊鏈[4]。

2.區塊鏈技術防篡改原理。在談防篡改的應用前，先理解防篡改的原理。區塊鏈采用了非對稱加密法和分布式數據庫設計。

（1）非對稱加密是指在加密和解密的過程中使用兩個非對稱的密碼，分別是公鑰和密鑰。非對稱加密具有兩個特點：一是用公鑰對傳輸信息加密后，必須用另一個對應的密鑰進行解密。二是公鑰可向其他人公開，密鑰則保密，并且無法通過公鑰推演出相應的密鑰[5]。

（2）分布式數據庫是指網絡節點間共享、復制和同步數據庫。網絡上一個節點數據打包加密成區塊后，會第一時間廣播給其他節點存儲。下面我們假設，在檔案區塊中存在A、B、C 三個數據庫節點，A 節點錄入數據，B 和C 節點同步相同的數據。假設A 節點數據被篡改，區塊鏈系統自動檢測A 節點數據與B、C 節點數據不同，瞬間將A 改動過的數據作廢，然后重新對A 節點同步一次B、C 數據。非對稱加密技術和分布式數據庫設計能夠明顯提高數據庫安全性，給意圖篡改數據者帶來非常大的困難。

3.基于以太鏈平臺的人事檔案防偽溯源設計。

（1）人事檔案溯源系統的技術架構。以太鏈平臺涉及的技術領域包括分布式存儲、密碼學、經濟學、網絡協議等[6]。筆者結合檔案溯源需求將系統分為物理層、通訊層、數據層和應用層。物理層中主要包括計算機、掃描儀和存儲設備等，用于數據采集并廣播到全網存儲數據。通訊層基于peer-to-peer（P2P）通信協議，結合檔案材料自身數據特點，做了獨特設計。所有數據的同步，各個節點狀態更新，都依賴于整個網絡中每個節點相互間的通信機制。數據層采用分布式數據庫設計。區塊鏈中每條記錄都包含時間戳及唯一的加密簽名，以及完整的轉遞記錄可供任何授權用戶進行驗證和審核。應用層提供場景應用、用戶協議和人機交互入口。

（2）運行機制分析。

①檔案標識選擇。檔案溯源系統運行的基礎是檔案標識和編碼，當且僅當對檔案進行科學的標識，才能實現有效的溯源。二維碼又稱二維條碼，常見的二維碼為QR Code。QR 全稱Quick Response，是近幾年來移動設備上流行的一種編碼方式，它比傳統的Bar Code條形碼能存更多的信息，也能表示更多的數據類型，選擇該標識對檔案進行標記，不但有利于數據存儲，而且增強溯源系統在市場應用中的適用性[7]。

②數據錄入過程。所有參與者分別在檔案溯源系統中創建一個賬號，錄入參與者信息：職能、地址、資格認證等關鍵信息。系統自動為參與者分配一個公鑰和密鑰，并獲得自己對應的權限，例如檔案管理部門有錄入和借閱權限，借閱單位只能借閱材料。

檔案中每份材料封裝為一個區塊，被授權的參與者僅在軟件應用界面錄入本單位生成的材料。系統需要收集信息包括檔案類型、檔案內容、錄入單位等。一旦參與者發起檔案轉移，以太鏈平臺將該參與者提交的信息封裝成區塊，使用公鑰進行數字簽名，檔案所屬權限被轉移，該參與者節點向全網節點進行廣播后，包含傳遞信息的區塊按照時間戳順序排布在檔案鏈中的最新環節。

③檔案數據鏈設計。在檔案溯源系統中，所有參與者使用手機APP 掃描檔案袋中二維碼，就能獲取檔案袋內電子文檔。在檔案區塊鏈中，每個區塊都對應時間戳和參與者的簽名。參與者登錄后，訪問檔案信息時，系統會自動審核用戶權限，并根據其權限展示內容。如果用戶權限不夠，可以通過提交資料，比如組織介紹信等材料,申請暫時獲取查閱權限。

④應用場景假設。本文提出了一個基于以太鏈的檔案溯源系統，并對其運行機制進行了簡要分析。下面將結合實際情況，簡述檔案溯源系統的工作過程。以D企業錄用人才小明為例，簡述小明從出生到被錄用，其中包括A 醫院、B 中學、C 大學等部分參與角色，并且在溯源系統中注冊賬號，作為檔案區塊鏈節點工作。

A 醫院——小明1990 年出生在A 醫院，醫院生成小明紙質檔案，并對小明檔案進行身份標識錄入區塊鏈中，檔案袋內放入小明的二維碼標簽，完成對小明身份的初次創建。隨后溯源系統錄入小明紙質內容：身體狀況、出生地址、出生日期等指定信息。在小明的檔案被轉遞到下一個單位（中學）時，A 醫院對溯源系統中的檔案區塊進行簽名加密，對新的接收方進行授權，并將生成的檔案區塊廣播全網節點更新。

B 中學——小明紙質檔案轉入B 中學，同時B 中學獲取對小明檔案區塊鏈的訪問與維護權限。B 中學對小明的出生地和病史進行審核，使用溯源系統APP掃描檔案袋內的二維碼，調閱區塊鏈中的電子文檔，對比當前紙質材料，完成對小明材料的審核確認。B 中學形成小明在校表現、成績排名、高考成績、獎懲情況等材料，并錄入檔案溯源系統中，對下一個接收方授權，并將生成的檔案區塊廣播全網節點更新。

C 大學——小明紙質檔案轉入C 大學，同時C 大學獲取對小明檔案區塊鏈訪問與維護權限。C 大學通過檔案溯源系統對小明檔案進行核實，并生成小明成績單、畢業證、學位證、在校表現、獲獎情況、獎學金情況、政治面貌等材料，將材料錄入檔案溯源系統中，對下一個接收方授權，并將生成的檔案區塊廣播全網節點更新。

D 企業——D 企業錄用標準：中共黨員。小明若想修改成為黨員身份，除了必須篡改紙質材料外，還必須同時篡改包括A、B、C 在內的全網節點數據，這幾乎是不可能實現的。企業D 借閱小明紙質材料進行審查，通過檔案溯源APP 調閱的電子檔案和紙質材料對比發現，小明政治面貌不符，由此判斷小明身份存在造假，需要進一步核實情況。

從上述應用場景看出，如果小明紙質檔案與檔案區塊鏈中的記錄不符，則小明的紙質材料有極大可能被修改過，并且能第一時間鎖定修改位置，對相關部門進行問責。真實應該是人事檔案的生命。從漫長歲月河流中漂流過來的檔案，一身的歷史風塵，鐫刻著不容置疑的人物一生，檔案因此也就具備了比其他材料更具法律效力的憑證作用[8]。如今，檔案界打假已成為人們關注的話題，人事檔案信息防偽溯源方法能提供一種簡單、便捷的鑒定方式，對檔案證明材料真偽進行鑒定，以方便檔案利用者的實際使用要求。

本文嘗試結合區塊鏈的安全性和防篡改性，設計一套檔案信息數據采集、存儲和展示的區塊鏈底層技術和防偽追溯的應用平臺。用戶只要掃描檔案袋上“碼上知”，將區塊鏈存儲內容與檔案袋內容一一核對便可驗證真偽，便可詳細知曉該檔案自誕生起的全過程，真正實現從高中到永久的全程可追溯。區塊鏈技術運用在檔案管理中將使檔案信息各個環節更加真實可靠，讓檔案管理和利用者能夠放心地利用檔案，為人事檔案利用帶來全新體驗。