從希拉里“郵件門”事件談我國政府的電子郵件風(fēng)險管理

田呈彬+王寧

摘要：希拉里“郵件門”事件是檔案意識與文件風(fēng)險管理意識的缺乏、文件與檔案部門和安全部門監(jiān)管不力以及技術(shù)防范和法規(guī)遵從執(zhí)行不到位所致，該事件產(chǎn)生了破壞文件與檔案完整、侵犯美國公民信息權(quán)利和損害政府公信力等后果。本文基于希拉里“郵件門”事件的成因以及后果和國外的經(jīng)驗，研究了我國政府電子郵件風(fēng)險規(guī)劃、識別、評估等風(fēng)險管理因素，并以希拉里“郵件門”事件為啟示提出了我國政府電子郵件風(fēng)險管理的應(yīng)對策略。

關(guān)鍵詞：郵件門政府電子郵件風(fēng)險管理

2015年3月3日，《紐約時報》報道了希拉里在擔(dān)任國務(wù)卿期間使用個人電子郵件而非政府電子郵件處理政務(wù)，且私自刪除3萬多封電子郵件，并清除痕跡，這可能違背了美國聯(lián)邦政府要求政府官員間的通信應(yīng)作為機構(gòu)檔案加以保存的規(guī)定。[1]4月，身陷“郵件門”的希拉里宣布參加總統(tǒng)競選，而10月末，美國聯(lián)邦調(diào)查局（FBI）調(diào)查希拉里同事阿貝丁的丈夫時，發(fā)現(xiàn)了希拉里與其團(tuán)隊來往的3萬多封電子郵件。[2]最終，希拉里因“郵件門”失去原有支持者的信任而導(dǎo)致敗選。希拉里“郵件門”事件在世界范圍引起劇烈反響，也引發(fā)筆者對我國政府電子郵件風(fēng)險管理的思考。

一、希拉里“郵件門”事件的成因及后果

（一）希拉里“郵件門”事件成因

1.文檔管理部門和安全部門監(jiān)管不力。美國政府文檔管理機構(gòu)和安全部門對希拉里用私人電子郵箱處理政務(wù)活動的行為缺乏有力監(jiān)督。一方面，相關(guān)部門沒有禁止希拉里使用個人電子郵箱處理政府事務(wù)，也沒有明確“私郵公用”行為的違法違規(guī)性，使得希拉里及其團(tuán)隊有空子可鉆；另一方面，對希拉里將公務(wù)電子郵件視為私人文件而私自收發(fā)和處理，以及私自刪除重要性未經(jīng)審核的電子郵件等違規(guī)行為，政府文檔管理和安全部門竟然未加關(guān)注。作為政府機構(gòu)的重要官員，希拉里在處理政務(wù)時使用私人電子郵箱的行為應(yīng)被禁止，至少處理政務(wù)活動的行為應(yīng)受到有關(guān)部門的有力監(jiān)管。

2.檔案意識和文件風(fēng)險管理意識薄弱。處理政務(wù)活動的電子郵件是對政務(wù)活動的原始記錄，并具備構(gòu)成電子文件的各要素，理應(yīng)作為政務(wù)活動的依據(jù)被歸檔保存，何況美國聯(lián)邦政府明確要求政府機構(gòu)官員間的通信應(yīng)作為機構(gòu)檔案被保存。但反觀希拉里及其團(tuán)隊，不僅使用私人服務(wù)器和電子郵箱收發(fā)、存儲郵件信息以處理政務(wù)，還私自刪除3萬多封重要性不明的電子郵件。這都是將電子郵件視為個人非正式文件而未交由文檔管理部門歸檔保存的不當(dāng)行為。顯然，希拉里及其團(tuán)隊缺乏檔案意識。同時，保障電子文件載體和信息內(nèi)容安全十分必要。然而，希拉里及其團(tuán)隊還對電子郵件的處理缺乏正確認(rèn)識和合理控制，使重要文件“流落”于他人電腦之上。面對調(diào)查者詢問如何保障個人服務(wù)器上可能涉及國家安全等電子郵件的安全，希拉里多次回答“我不清楚”。可以說，希拉里對電子文件面臨的風(fēng)險并未有正確認(rèn)識，電子文件風(fēng)險管理意識十分薄弱。

3.技術(shù)防范和法規(guī)遵從執(zhí)行不到位。2014年12月，希拉里私人服務(wù)器中的3萬多封處理政務(wù)活動的郵件交由美國國務(wù)院審查。其中，8封含有頂級機密信息，而另外36封和2000封分別被審查為涉及機密信息和應(yīng)被歸為秘密級別。[3]如此重要的信息，理應(yīng)予以技術(shù)防范，但事實并非如此。由于私人服務(wù)器和私人郵箱安全性低，容易成為網(wǎng)絡(luò)黑客的入侵對象，希拉里團(tuán)隊成員點開黑客鏈接后造成信息泄露以及后來維基解密相繼曝光了來自民主黨委員會內(nèi)部和希拉里團(tuán)隊競選經(jīng)理郵箱內(nèi)的重要郵件就有力地證明了這一點。美國《聯(lián)邦檔案責(zé)任法》禁止政務(wù)人員使用非政務(wù)電子郵件系統(tǒng)發(fā)送郵件，《聯(lián)邦檔案法》規(guī)定應(yīng)將在政府工作中形成的政務(wù)郵件保存至國務(wù)院服務(wù)器中，而且《美國信息自由法案》也保障了公民獲取政務(wù)信息的權(quán)利。希拉里理應(yīng)遵守有關(guān)規(guī)定，使用符合安全保密規(guī)范、機密性很強的機構(gòu)服務(wù)器和電子郵箱，并遵照規(guī)定的文件管理流程保存政務(wù)郵件，但希拉里卻使用私人郵箱、私人服務(wù)器收發(fā)、保存郵件，而且還私自刪除部分郵件，這些行為明確違犯相關(guān)法律法規(guī)。

（二）希拉里“郵件門”事件后果

1.違背相關(guān)規(guī)定，侵犯公民權(quán)利。《美國信息自由法案》中對政府信息的獲取權(quán)、公開方式和豁免公開以及政府信息的可分割性提出了具體要求，保障公民能夠正常獲取所需政府信息，這體現(xiàn)了美國政府對維護(hù)公眾自由獲取信息權(quán)利的重視。但希拉里使用私人郵箱處理政務(wù)活動，將這些政務(wù)文件視為私人文件處理，甚至刪除，使公眾無法獲取所需公開的政府信息。這種行為違背了美國有關(guān)規(guī)定，侵犯了公民利用聯(lián)邦信息的合法權(quán)利。

2.破壞文件與檔案完整。為了實現(xiàn)政府職能、保障公民信息權(quán)利和國家信息安全，政府機構(gòu)應(yīng)要求通過公務(wù)郵箱處理、記錄政務(wù)活動，并對作為政務(wù)活動完整記錄的電子郵件及時歸檔保存。然而，希拉里私自使用私人郵箱處理政務(wù)、蓄意刪除重要性不明的郵件內(nèi)容的行為，嚴(yán)重破壞了應(yīng)被歸檔保存電子郵件的完整性，不利于實現(xiàn)其價值。

3.失去民眾信任，損害政府公信力。希拉里在擔(dān)任美國國務(wù)卿期間，民眾對她的支持率高達(dá)69%，而“郵件門”事件后，民眾支持率下降到46%左右。[4]顯然，“郵件門”事件使民眾對政府公信力產(chǎn)生懷疑，而且維基解密網(wǎng)站曝光了近2萬份民主黨全國委員會可能與希拉里有關(guān)的內(nèi)部郵件，勢必會使這種不信任進(jìn)一步加深。

二、從國外實踐談我國政府電子郵件風(fēng)險管理要素

國家檔案行業(yè)標(biāo)準(zhǔn)《公務(wù)電子郵件歸檔與管理規(guī)則》（DA/T32-2005）中指出，政府電子郵件是指政府部門在處理政務(wù)活動的過程中，經(jīng)由電子郵件系統(tǒng)產(chǎn)生的電子郵件。電子郵件具有交流方便、反饋迅速的特點，因此政府機構(gòu)工作人員在處理政務(wù)活動時較多使用電子郵件，并成為處理政務(wù)活動的重要記錄和憑證依據(jù)。但從希拉里“郵件門”事件來看，政府電子郵件面臨不少風(fēng)險，必須對此加以管理。這就需要通過合理的技術(shù)與方法防范和控制政府電子郵件面臨的風(fēng)險，以最小的成本使政府電子郵件風(fēng)險所導(dǎo)致的損失降到最低。[5]

（一）政府電子郵件風(fēng)險管理規(guī)劃endprint

政府電子郵件風(fēng)險管理規(guī)劃是指政府機構(gòu)及其有關(guān)部門為實施電子郵件風(fēng)險管理而制定的一套計劃，計劃包括確定政府電子郵件風(fēng)險管理人員配置、選擇風(fēng)險管理方法，并定義行動方案，然后制定電子郵件風(fēng)險管理實施計劃，最后按既定目標(biāo)實施風(fēng)險管理。[6]

美國較早要求將電子郵件信息管理納入建設(shè)開放政府和實現(xiàn)數(shù)字政府轉(zhuǎn)型的目標(biāo)中。2012年8月24日，美國總統(tǒng)行政辦公室管理、國家檔案與文件署（NARA）等發(fā)布了以管理電子郵件信息為目標(biāo)之一的《管理政府文件指令》，要求到2016年，聯(lián)邦機構(gòu)要以可訪問的電子形式管理永久和短期電子郵件文件。此后，NARA又于2013年8月發(fā)布了《郵件文件管理的新方法指南》，面向美國聯(lián)邦機構(gòu)的電子郵件管理新方法Capstone也應(yīng)運而生。Capstone將文件管理理念嵌入到電子郵件歸檔中，各聯(lián)邦機構(gòu)只需將Capstone這種理念嵌入到已有的文件管理系統(tǒng)中。Capstone依據(jù)機構(gòu)電子郵件用戶的職能或職位來分類、設(shè)置郵件，然后從機構(gòu)或分支機構(gòu)的高層官員賬戶中捕獲應(yīng)該得到永久保存的電子郵件，并劃分這些賬戶為“高級賬戶”和“低級賬戶”。最后，通過賬戶來對電子郵件信息進(jìn)行保管期限劃分和最終處置。[7]

可見，美國有實施電子郵件管理的較完善的、配套的管理體系和方法以保障電子郵件（尤其是高級賬戶電子郵件）被實時分類、保存和處置，避免電子郵件出現(xiàn)丟失等風(fēng)險。而我國政府機構(gòu)也應(yīng)充分考慮現(xiàn)狀、人員組織和可調(diào)用的資源等多種因素，有秩序、有步驟地開展規(guī)劃活動，并制定配套方案和制度。同時，既要考慮當(dāng)前規(guī)劃，又要考慮緊接著的風(fēng)險識別、評估與應(yīng)對等環(huán)節(jié)。而獲取信息是風(fēng)險規(guī)劃的前提，對此，應(yīng)使用調(diào)查評估表、風(fēng)險識別表等技術(shù)與工具收集信息以更好地確定風(fēng)險管理的方法、數(shù)據(jù)資源和工具，更好地開展人員組織和風(fēng)險管理周期制定等工作。在政府電子郵件風(fēng)險管理中，可采用電子文件風(fēng)險管理“九步法”，即從戰(zhàn)略階段到分析、評估階段再到實施后續(xù)階段等九個步驟。[8]“九步法”使電子郵件風(fēng)險管理每一階段內(nèi)的各步驟緊密相連，形成一套完整、行之有效的電子郵件風(fēng)險管理流程。

（二）政府電子郵件風(fēng)險識別

政府電子郵件風(fēng)險識別是指以目標(biāo)偏離法為基本方法，對比電子郵件管理的預(yù)期目標(biāo)和目標(biāo)實際達(dá)成的相符度識別風(fēng)險是否存在，[9]如果實際情況比預(yù)期目標(biāo)差，那么就有風(fēng)險。簡言之，政府電子郵件風(fēng)險識別就是通過科學(xué)的方法和路徑找出可能引發(fā)風(fēng)險的風(fēng)險源并進(jìn)行預(yù)防，以保證政府電子郵件的真實、完整、可用、安全等質(zhì)量目標(biāo)。

澳大利亞國家檔案館設(shè)計的業(yè)務(wù)系統(tǒng)文件管理功能評估框架主要包括三部分：第一部分是針對系統(tǒng)內(nèi)的信息風(fēng)險評估，即系統(tǒng)內(nèi)文件信息可能存在的風(fēng)險、系統(tǒng)風(fēng)險容忍度等；第二部分主要是系統(tǒng)功能評估；第三部分是制定的具體的實施方案。[10]不難發(fā)現(xiàn)，在框架制定之初，澳大利亞國家圖書館就充分考慮了系統(tǒng)管理的風(fēng)險要素識別及監(jiān)控，對于信息的可靠性、系統(tǒng)的導(dǎo)入導(dǎo)出功能、風(fēng)險容忍度等進(jìn)行識別和評估，充分考慮到風(fēng)險失控的后果，并提出相應(yīng)的解決方案。

我國政府實施電子郵件風(fēng)險管理時也應(yīng)借鑒這種做法，將風(fēng)險管理納入到電子郵件系統(tǒng)管理制度的設(shè)計中，識別出在后續(xù)的操作和管理中可能存在的風(fēng)險，并對這些風(fēng)險進(jìn)行監(jiān)控，制定相應(yīng)的風(fēng)險管理方案。

政府還應(yīng)在識別風(fēng)險時分清風(fēng)險因素、風(fēng)險事故以及風(fēng)險后果。風(fēng)險因素是造成損失的內(nèi)在原因，是指某風(fēng)險事故發(fā)生或提高這種發(fā)生可能性以及損失程度提高的原因或條件。風(fēng)險事故則是造成損失的外在原因，指造成財產(chǎn)等各種損失或傷害的偶發(fā)性事件。[11]而風(fēng)險后果則是由風(fēng)險因素和風(fēng)險事故這些內(nèi)在或外在原因造成的意外的損失。其中，風(fēng)險因素和風(fēng)險事故是風(fēng)險防范和控制措施的施行對象，因此在電子郵件風(fēng)險識別中，既要在電子郵件生成、流轉(zhuǎn)和保存環(huán)節(jié)中兼顧三者，又要以風(fēng)險因素和風(fēng)險事故為重。

（三）政府電子郵件風(fēng)險評估

政府電子郵件風(fēng)險評估是指針對已確認(rèn)的風(fēng)險，通過定量分析方法測量風(fēng)險發(fā)生的可能性和破壞程度，[12]確定風(fēng)險后果大小，并以風(fēng)險大小對風(fēng)險定級和排序。政府電子郵件風(fēng)險等級由電子郵件重要程度、風(fēng)險發(fā)生可能性和頻率以及風(fēng)險后果嚴(yán)重性等因素綜合決定，政府機構(gòu)應(yīng)針對不同風(fēng)險等級制定相應(yīng)的風(fēng)險應(yīng)對策略和措施。實踐中，可通過“風(fēng)險發(fā)生的可能性”和“風(fēng)險后果等級”兩指標(biāo)來評估政府電子郵件風(fēng)險等級，風(fēng)險可能性越大、風(fēng)險后果等級越高，那么風(fēng)險等級則越高，而且風(fēng)險后果等級在風(fēng)險評估中的比重要大于風(fēng)險發(fā)生的可能性（如圖1所示）。當(dāng)然，操作中可進(jìn)一步細(xì)化風(fēng)險等級評估要素，也可考慮加入其他科學(xué)合理的指標(biāo)實施全面的風(fēng)險評估，然后通過為風(fēng)險責(zé)任主體合理分配風(fēng)險責(zé)任，使各風(fēng)險責(zé)任主體在擔(dān)責(zé)的同時，促進(jìn)他們綜合協(xié)調(diào)、更積極努力地開展風(fēng)險管理工作。

三、對我國政府電子郵件風(fēng)險管理對策制定的啟示

對政府電子郵件風(fēng)險實施規(guī)劃、識別和評估工作后，應(yīng)針對評定的風(fēng)險等級而采取對應(yīng)措施預(yù)防、控制風(fēng)險。

（一）制定法律法規(guī)和政策標(biāo)準(zhǔn)，完善制度體系建設(shè)

如前文所述，美國較早地開始了對政府電子郵件管理進(jìn)行國家層面的布局，出臺了《聯(lián)邦檔案責(zé)任法》《郵件文件管理的新方法指南》等配套性和完整性都較高的法律法規(guī)和政策指南，卻依然出現(xiàn)各種“郵件門”事件。而國內(nèi)關(guān)于電子郵件管理的法規(guī)、標(biāo)準(zhǔn)和指南等少之又少，更缺乏針對政府電子郵件風(fēng)險管理的法律、標(biāo)準(zhǔn)等，且已有法律等多強調(diào)個人隱私保護(hù)。為此，中央政府、立法機構(gòu)和國家檔案局應(yīng)做好頂層設(shè)計，首先要肯定電子郵件在文件中的重要地位，同時設(shè)計包含電子郵件在內(nèi)的電子文件管理總體思路和宏觀框架體系并提出總體要求，然后通過制定與實施有關(guān)法規(guī)、標(biāo)準(zhǔn)等予以實現(xiàn)。地方行政、立法機構(gòu)和相關(guān)文檔管理部門應(yīng)承上啟下，既要符合上級總體要求和框架設(shè)計，又要依據(jù)地方實際制定合理的法律法規(guī)和政策標(biāo)準(zhǔn)，引導(dǎo)與規(guī)范政府電子郵件風(fēng)險管理，并審計和監(jiān)督下級政府機構(gòu)的政務(wù)電子郵件管理工作。[13]另外，各基層政府機構(gòu)和機構(gòu)內(nèi)部文檔管理部門等政府電子郵件風(fēng)險直接應(yīng)對主體，應(yīng)按本機構(gòu)實際、遵循有關(guān)規(guī)定和要求，確定電子郵件銷毀、長期保存或者永久保存的范圍和條件，并制定從電子郵件生成、保護(hù)、流轉(zhuǎn)、歸檔和利用、處理等不同階段的風(fēng)險管理策略，識別風(fēng)險因素并以此制定與實施電子郵件風(fēng)險管理細(xì)則。endprint

（二）明確風(fēng)險責(zé)任主體，增強人員檔案與文件風(fēng)險管理意識

一是加強機構(gòu)內(nèi)人員管理，明確風(fēng)險責(zé)任主體。按職能、職位對機構(gòu)人員授權(quán)以約束機密信息接觸者的行為，當(dāng)員工調(diào)崗或離職時，也應(yīng)收回其權(quán)限；對機構(gòu)人員進(jìn)行保密與安全培訓(xùn)，簽訂保密協(xié)議。還應(yīng)明確風(fēng)險責(zé)任主體，即確定保障電子郵件安全的責(zé)任人，誰負(fù)責(zé)誰擔(dān)責(zé)。電子郵件風(fēng)險管理實踐中，可參照《突發(fā)事件應(yīng)對法》，采取統(tǒng)一領(lǐng)導(dǎo)、綜合協(xié)調(diào)、分類管理、分級負(fù)責(zé)、屬地管理相結(jié)合的應(yīng)急管理體制以應(yīng)對突發(fā)事故，并構(gòu)建起完善的責(zé)任體系。二是增強機構(gòu)人員檔案意識和文件風(fēng)險管理意識。政府電子郵件理應(yīng)被視為檔案予以保存，因此有關(guān)機構(gòu)應(yīng)制定相關(guān)規(guī)定，并對機構(gòu)人員進(jìn)行培訓(xùn)以增強其檔案意識，使其謹(jǐn)慎對待政務(wù)電子郵件、維護(hù)電子郵件完整性、真實性和可用性與安全性。而文件風(fēng)險管理意識薄弱是政府電子郵件風(fēng)險管理的障礙之一，也應(yīng)予以增強。具體來說，要改變思維方式和工作方式、遵循機構(gòu)電子郵件管理條例和標(biāo)準(zhǔn)，學(xué)會識別風(fēng)險因素、正確使用電子郵件、禁止可能產(chǎn)生風(fēng)險的行為，使電子郵件風(fēng)險管理與機構(gòu)文件風(fēng)險管理保持一致。還要認(rèn)識到電子郵件信息泄露或丟失、損壞等風(fēng)險因素可能導(dǎo)致經(jīng)濟(jì)數(shù)據(jù)和軍事機密等被竊取和利用，從而導(dǎo)致影響國家經(jīng)濟(jì)和軍事活動的嚴(yán)重后果。

（三）加強技術(shù)防范，增強風(fēng)險發(fā)生后的可逆性

政府機構(gòu)文檔管理部門和安全管理部門應(yīng)運用技術(shù)手段防范電子郵件安全風(fēng)險。一是可設(shè)置機構(gòu)內(nèi)部員工IP、按員工職能設(shè)置權(quán)限，同時按文件重要性設(shè)置文件密級并進(jìn)行相應(yīng)的加密處理，使無關(guān)者即使獲取文件也因沒有密碼而無法讀取。另外，機構(gòu)可采用系統(tǒng)日志審計子系統(tǒng)，通過監(jiān)控員工IP記錄操作行為防范和追責(zé)。還可使用USB電子鎖等技術(shù)防止有關(guān)人員拷貝相關(guān)重要文件信息。二是為應(yīng)對網(wǎng)絡(luò)黑客等入侵機構(gòu)網(wǎng)絡(luò)而竊取、損壞、竄改機密信息，政府機構(gòu)應(yīng)利用病毒防護(hù)軟件和防火墻技術(shù)以防護(hù)網(wǎng)絡(luò)病毒、隔離機構(gòu)內(nèi)外網(wǎng)，形成網(wǎng)絡(luò)軍事區(qū)，使非授權(quán)者無法輕易登錄機構(gòu)內(nèi)網(wǎng)對電子郵件造成風(fēng)險。同時，應(yīng)增強電子郵件風(fēng)險發(fā)生后的可逆性。可對歸檔保存的電子郵件進(jìn)行備份，以避免自然災(zāi)害或軟硬件損壞導(dǎo)致信息丟失產(chǎn)生的風(fēng)險，也可和電子郵件服務(wù)商合作，保存電子郵件的源代碼和相關(guān)電子簽名信息，防止電子郵件被偽造和竄改，維護(hù)文件的合法性。最后，為防止電子郵件內(nèi)傳輸?shù)奈募桓`取后泄密，有關(guān)部門和人員應(yīng)事先使用文件加密技術(shù)對實施加密，保障通過電子郵件安全傳輸文件，從而使非法用戶無法截獲、讀取文件。

注釋及參考文獻(xiàn)：

[1]中國新聞網(wǎng).希拉里陷“郵件門”涉違規(guī)被抨擊“試圖掩藏什么”.[EB/OL].[2017- 02- 05].http：//news.sina. com.cn/o/2015-03-04/005431563927.shtml.

[2]搜狐新聞.FBI重啟電郵門調(diào)查，希拉里總統(tǒng)夢會破碎嗎？[EB/OL][2017-02-06].http：//news.sohu.com/ 20161031/n471861964.shtml.

[3]鳳凰資訊.希拉里“郵件門”事件最全梳理.[EB/ OL].[2016-11-01]. http：//finance.ifeng.com/a/20161101/ 14977563_0.shtml.

[4]黃霄羽，崔文健，劉力超.檔案視角評析希拉里郵件門事件的警示[J].檔案學(xué)研究，2016（1）：77（頁碼范圍）.

[5][8]馮惠玲.電子文件風(fēng)險管理[M].北京：中國人民大學(xué)出版社，2008.

[6][12]張寧.思維的“逆行”——電子文件風(fēng)險管理解析[J].中國檔案，2010（7）：59-61.

[7]加小雙，祁天嬌，周文泓.美國政府電子郵件信息管理的分析與啟示[J].檔案學(xué)研究，2016（6）：114-115.

[9][11][13]張寧.電子文件風(fēng)險管理：識別與應(yīng)對[J].電子政務(wù)，2010（6）：24-30.

[10]Assessing information management functionality in business systems–NationalArchives of Australia，Austra？ lian Government[EB/OL].[2016-05-12]

http：//www.naa.gov.au/information-management/ digital-transition-and-digital-continuity/information-isinteroperable/assessing/index.aspx.endprint