非國有檔案監管體系構建研究
——基于數據監管的經驗和啟示

杜 劼/南京大學信息管理學院

關鍵字：非國有檔案；數據監管；檔案監管

當前，我國公有制經濟蓬勃發展，非公有制經濟也取得了長足發展，非國有企業、社會服務機構和個人形成檔案的構成越來越豐富、類型越來越多樣、內容越來越詳實，檔案價值日益凸顯，這對新時代檔案管理提出了新的要求。檔案行政監管是指檔案主管部門在其職權范圍內依法對檔案館等組織的檔案事務和檔案工作人員進行監管，2020年我國新修訂《檔案法》增加《監督檢查》專章，明確檔案主管部門對檔案館和機關、團體、企業事業單位以及其他組織進行監督檢查的行政權力，特別要求加強檔案行政監管[1]。但目前，行政監管仍是我國檔案工作實踐的一個短板，尤其是非國有檔案的監管，仍存在許多亟待解決的現實問題。

本文主要研究非國有檔案中“對國家和社會具有保存價值”檔案的監管，明確這一部分檔案的所有者為非國有組織和個人，具有私有性。同時這部分檔案對國家和社會有重要保存價值而具有“國家檔案資源”[2]的屬性，應受《檔案法》保護，也應受《檔案法》監督，確保其完整、安全并得到有效利用。

1 非國有檔案監管面臨的困境

1.1 監管對象多元且分散

由于“對國家和社會具有保存價值”的非國有檔案形成主體多元且分散，對其監管的難度也很大。一方面，隨著非國有企業、社會服務機構等單位業務的調整以及個人社會實踐活動的豐富，需要被監管的檔案范圍不斷擴大、檔案數量不斷增加。另一方面，許多非國有企業、組織等對于檔案管理工作的重視程度還不夠，尚未形成完善的檔案管理機制，有保存價值的各類非國有檔案未被納入系統管理范圍，這使得后續監管難度增加。另外，從監管的角度來說，“對國家和社會具有保存價值”非國有檔案的所有權屬于非國有企業、社會服務機構以及個人，國家對非國家所有檔案監管的“底線”控制、“度”的把握是在實際操作中需要細致考慮的問題。

1.2 監管依據不充分

在國家層面，我國《檔案法》及《檔案法實施條例（修訂草案征求意見稿）》均規定了“非國有企業、社會服務機構等單位和個人形成的檔案，對國家和社會具有重要保存價值或者應當保密的”，國家應對其進行監管。但這些規定偏重于宏觀層面，總體上較為概括，缺乏整體的原則和連貫性，且至今國家層面還沒有專門發布有關非國有檔案監管方面的政策法規。此外，關于微觀層面的非國有檔案監管范圍的確認、認定登記制度的實施等仍需一整套完整的政策法規體系作為支撐。在地方政策層面，按照《檔案法》規定，目前我國各省市已相繼制定發布有關非國有檔案的管理辦法，如《北京市非公有制企業檔案管理指南》《江蘇省非國家所有檔案管理辦法》等，但此類管理辦法中規定的非國有檔案范圍較為籠統。且由于市場經濟迅速發展，“對國家和社會具有保存價值”的非國有檔案范圍處于動態變化的狀態，其價值含義不斷豐富，范圍不斷擴大，而現有法律法規體系革新緩慢，這使得現有的法律制度難以對處在變化中的非國有檔案進行有效規制。

1.3 監管范圍不明確

目前，我國各省市已制定發布的有關非國有檔案管理規范，如《福建省非國家所有檔案管理暫行辦法》《天津市非國家所有檔案管理規定》等，都列出“對國家和社會具有保存價值”的條款作為監管依據，但大部分條款只是列出籠統的范圍，且與《企業檔案工作規范》及《私營企業檔案管理暫行規定》中所規定的范圍有一定重合。總的來說，雖然這些地方規定有助于細化監管范圍，但是其涵蓋面依然狹窄，且大部分條款內容比較籠統，監管范圍仍不明確。此外，有的地方未出臺相關規定，或出臺的規定不涉及監管范圍，非國有檔案監管工作難以實現統一化、標準化和規范化。

1.4 監管場景復雜多變

對“對國家和社會具有保存價值”的非國有檔案進行監管的目的之一就是確保其安全可控。當前監管對象和監管環境都在快速變化，監管場景的復雜性首先體現在監管對象的復雜性上。非國有檔案管理情況復雜，當前保管條件是否符合條件是檔案主管部門對非國有檔案進行監管時需要最先考慮的問題。此外，“對國家和社會具有保存價值”的非國有檔案確需出境時的審批問題、非國有企業合并、解散、破產時檔案的處置問題等時有發生。監管場景不同，檔案主管部門所采取的監管方式也要相應發生變化；同時在不同的場景下，不僅需要檔案部門進行監管，還需要聯合其他部門，如海關部門、網信辦、工商部門等進行協同監管。復雜的監管場景給檔案安全監管效能的及時性、有效性和長久性增加了難度。

1.5 監管方式較為被動

在實際工作中，檔案主管部門的監管對象主要為國有檔案，監管方式以集中監管為主，若對非國有檔案采取同樣的監管方式，在實踐中工作量極大，可行性較低。此外，由于非國有檔案歸屬及所有權的問題，以及《私營企業檔案管理規定》規定的“私營企業應遵循自我管理、自我完善、自我發展的原則，集中統一管理本單位各種門類和載體的檔案”，造成了檔案主管部門在尊重非國有組織及個人自主性的基礎上，監管方式較為被動，有可能出現對“對國家和社會具有保存價值”非國有檔案情況不明的現象，直至只有在非國有檔案確需出境或破產處置時才能真正對其進行監督管理。當前《檔案法實施條例（修訂草案征求意見稿）》提出地方檔案主管部門建立認定和登記制度監管“對國家和社會具有保存價值”非國有檔案[3]，在完善的法規標準下，此類登記制度將有效解決監管方式較為被動的問題，以全面掌握“對國家和社會具有保存價值”非國有檔案的基本情況及其流向。

2 檔案監管與數據監管的關系

2.1 檔案監管與數據監管的內在聯系

在概念的內涵上，《數據安全法》和《檔案法》中“數據”和“檔案”的概念，均為廣義上的“記錄”，二者在內涵上互有交叉。從來源上看，數據和檔案的產生主體均包含機構、組織、企業、個人。隨著數字環境不斷發展變化，檔案與文件、信息、數據等的界限日漸模糊，“數據態”成為新的檔案存在形態[4]。從檔案管理與數據處理的關系上看，數據處理與檔案管理分別處于數據管理活動中的前后端，既在管理對象上存在交叉，又在管理環節上互為補充，具有管理環節上的銜接性。在監管方面，檔案與數據中蘊含著大數據時代需重點關注的安全問題，檔案治理和數據治理具有安全需求方面的相似性。此外，數據監管已積累了大量理論和實踐的經驗。

2.2 檔案監管與數據監管的區別

在概念上，數據本質是用來辦事的工具，檔案的本質是原始記錄物。數據可用于交易，而《檔案法》明令禁止買賣屬于國家所有的檔案。因此在監管方面，二者也存在顯著差異，首先是監管對象的差異，其次是監管目的的不同。數據安全監管的目的是評估數據風險，在防范風險的基礎上盡可能發揮這些數據的作用，讓信息的作用最大化，從而實現數據的效益最大化。而檔案安全監管的目的在于管控已確定收集范圍的檔案，確保其安全保管，并待后續利用。相對而言，對檔案的安全監管更為嚴格。此外管控結果也存在差異，對數據的安全監管基本是對數據處理過程的管控，在其形成、存儲、傳輸過程中確保其安全。而對檔案的安全管控基本是對已形成檔案的結果管控，確保檔案實體及信息安全。總的來說，雖然數據監管和檔案監管在安全方面有著相同的需求，但二者在管控對象、管控目的、管控結果上都存在明顯差異性。

3 數據監管的經驗與啟示

3.1 數據監管的經驗

3.1.1 政策層面：建立數據安全法律保障體系

我國已有《網絡安全法》《民法典》《數據安全法》《個人信息保護法》4部涉及數據安全的法律，構成數據安全保護基本法律框架。吉林省、貴州省、海南省、廣東省、天津市等地也相繼出臺數據安全相關地方法律法規。為確保《數據安全法》有效實施，中國人民銀行、工信部、科技部等各部門紛紛發布相應規定，規范各行各業中數據管理工作，提高數據安全保護能力。此外，圍繞基本法制定的配套法規制度與相關國家規定也在加快制定出臺，涵蓋了數據跨境流動、個人信息保護、新技術新應用數據安全等多個方面[5]。總的來說，由于數據應用具有廣泛性，監管部門各司其職，制定了一系列政策法規，織牢了數據治理法律法規網絡，對數據進行管理和保護。

3.1.2 對象層面：加強數據分類分級管理

《網絡安全法》《數據安全法》《個人信息保護法》都提出數據應實行分類分級保護制度。2021年12月，全國信息安全標準化技術委員會發布《網絡安全標準實踐指南——網絡數據分類分級指引》，給出了網絡數據分類分級的原則、框架和方法，用于指導數據處理者開展數據分類分級工作。2022年1月，全國信息安全標準化技術委員會發布《信息安全技術 重要數據識別指南》征求意見稿，給出識別重要數據的基本原則、考慮因素以及重要數據描述格式，用于指導開展重要數據識別工作[6]。這對于數據的分類分級管理具有現實指導意義。

3.1.3 主體層面：落實企業主體責任

我國數據監管正從各部門分散監管向以中央網信部門統籌協調轉變發展，數據安全執法監督機制不斷完善。如，中央網信辦、工信部等部門多次聯合開展針對App違法違規收集信息、侵害用戶權益的專項整治行動。2020年，工信部網絡安全管理局指導中國互聯網協會充分發揮行業組織自律職能，制定發布了《電信和互聯網行業網絡數據安全自律公約》。此外，2021年發布的《互聯網平臺落實主體責任指南（征求意見稿）》要求互聯網平臺經營者落實與數據安全、個人信息、隱私保護相關的主體責任[7]。

3.1.4 實踐層面：完善數據安全監督檢查機制

在建立數據安全認證體系方面，2021年，工信部回復人大建議時提到正在組織研究數據安全保護認證體系，制定行業數據安全保護能力的評定規范。建立由行業組織、科研機構、骨干企業共同參與的評估認證機制，指導開展相關認證工作[8]。

在網絡數據安全公共服務平臺建設方面，2020年7月，“電信和互聯網行業網絡數據安全公共服務平臺”上線試運行[9]，旨在為《網絡安全法》等法律法規有效落地、落實企業責任提供支持。平臺囊括數據安全合規性評估、數據安全評估評測工具、移動應用程序數據安全評測等六大核心功能，為提升行業數據安全管理信息化水平、服務行業企業開展數據安全評估與技術檢測提供支撐。

在示范試點方面，2021年12月，工信部組織開展工業領域數據安全管理試點工作，以探索構建工業領域數據安全管理體系，有效保障數據安全。試點旨在加強試點成果轉化應用，完善工業領域數據安全制度規范和工作機制，遴選一批示范企業、優秀產品和典型解決方案，形成可復制可推廣的管理模式，提高行業數據安全保護水平[10]。

3.1.5 人員層面：加大數據安全人才隊伍建設

針對數據安全問題，我國各部門通過設立相關學科與研究院、設立培訓考核、開展校企聯合培養等方式，大力加強數據安全學科建設和人才隊伍建設。如，中國信息安全測評中心成立中國網絡空間安全協會大數據安全人才培養基地，并選拔國家級合作支撐單位，推動國家互聯網網絡安全大數據人才體系建設[12]。

3.2 數據監管的啟示

統觀數據安全治理的相關舉措，從頂層設計到科學監管，各舉措環環相扣。以加強頂層設計為例，不僅有國家層面的基本法律框架，也有各省市結合自身特點制定實施的法規，還有各行各業主管部門制定的行業規范，由上而下形成了堅固的法律法規體系，保障數據安全治理實施有法可依。此外，為確保政策有效落地，積極落實各方主體監管責任，加強數據安全監管的相關配套設施建設、人才隊伍建設，并組織開展試點示范，探索形成可復制可推廣的管理模式。監管舉措體現在數據治理的每一個關鍵環節，形成有效的監管體系，切實規范行業發展，使數據開放共享和數據安全保護之間取得平衡。

4 構建非國有檔案監管體系

4.1 政策層面：完善法律法規體系

依法治檔的前提是有法可依。總體而言，我國目前與非國有檔案相關的法律法規層次不一，關于非國有檔案監管方面的規定也不甚明晰，此外，關于法律之間的聯動協作也較為薄弱。檔案主管部門應完善非國有檔案監管的法律法規，應以《檔案法》為主線，圍繞《檔案法》提出的有關非國有檔案管理方面的規定，制定出輔助《檔案法》實施的切實可行的政策法規。如，《檔案法》二十二條規定了非國有檔案的保管、寄存和征購的相關要求，但沒有明確非國有檔案的監管原則、監管范圍、監管方式等細化的規定，導致在實際工作開展過程中缺乏監管依據。需要完善非國有檔案監管的法規體系，從國家到地方再到各重點行業，制定有關非國有檔案管理秩序的規定，形成與非國有檔案監管相配套的法規制度。此外，非國有檔案監管的檔案法規體系還需根據實際情況的變化適時修改或修訂，做到與檔案實踐活動同步。

4.2 對象層面：探索非國有檔案分級分類管理

探索非國有檔案的分級管理，需要給出界定“對國家和社會具有重要保存價值”非國有檔案的原則，確定“對國家和社會具有重要保存價值”非國有檔案范圍，建立“對國家和社會具有重要保存價值”非國有檔案目錄，明確該范圍內的非國有檔案將重點受到檔案主管部門的監督管理，根據目錄了解本區域內非國有企業檔案的形成特點與分布規律，進而實現主動監管。

探索非國有檔案的分類管理，還應聯合其他主要部門，針對我國重點行業企業、新興行業、境外企業檔案、企業重點檔案（如企業知識產權檔案）等，在保護國家安全與利益、公民合法權利的前提下，按照檔案的形成場景及管理特點進行分類監管。

4.3 主體層面：鼓勵多方力量參與合作監管

隨著非國有檔案門類以及數量的增多，非國有檔案所面臨的安全壓力不斷大，檔案主管部門作為單一的監管主體，其監管壓力不斷上升。檔案行政監管需建立多主體協同的工作框架，推動檔案監管朝著更加專業和高效的方向發展。首先，應主動厘清非國有檔案監管過程中涉及的其他主要部門，理順不同部門的分工和協作關系，積極構建或者參與形成不同部門間的檔案協同監管機制，協同或配合國資委、工信部、工商總局等部門和機構，在部門層面、部門與地方之間，建立健全監管體系和監管機制。

4.4 實踐層面：完善配套監管措施

應探索非國有檔案認定審批與登記平臺建設，這對于貫徹落實《檔案法》及后續有關非國有檔案范圍界定的有關法規標準都有重要的現實意義。建立全國統一的網上平臺，引導非國有企業進行注冊登記，形成數字化的非國有檔案登記目錄，便于對非國有檔案進行統一把控，掌握檔案情況，也便于后續的流向監控。

開展評估工作是對監管工作成效的檢查和反饋，上級檔案主管部門對下級檔案部門進行管理評價時，可增加非國有檔案監管評估方面的檢查。設立適當的評價標準，建立評價機制，監督下級檔案主管部門非國有檔案監管工作的開展情況，定期對非國有檔案的監管情況進行評價，形成檔案主管部門對于非國有檔案監管的閉環，實現有效監管。