澳大利亞國家檔案館信息治理政策體系研究

王 英/湖北大學歷史文化學院

國家檔案事業“十三五”規劃提出，要加快完善檔案治理體系、提升檔案治理能力，為奪取全面建成小康社會決勝階段的偉大勝利作出積極貢獻[1]。檔案治理政策體系是檔案治理體系的重要內容，影響著檔案治理主體界定及權責劃分的規范性和制度化問題。澳大利亞國家檔案館信息治理政策建設比較完善并已形成體系。2016年澳大利亞國家檔案館發布了《信息治理框架》（Information Governance Framework）[2]，明確了框架需要包含的關鍵組件。2019年12月，澳大利亞國家檔案館發布了《信息和數據治理框架》[3]，明確了信息治理政策體系。本文選取澳大利亞國家檔案館信息治理政策體系為研究對象，分析信息治理政策體系的結構與特點，為我國制定并完善檔案館信息治理政策提供啟示。

1 澳大利亞國家檔案館信息治理政策體系結構

澳大利亞國家檔案館確立了以信息和數據治理框架為核心、信息管理法律為支撐、國家檔案館和政府機構的角色和職責為輔助的信息治理模型[4]。根據該模型，政策、標準、規劃、戰略、法律規章、國家政策等政策形式顯見于微觀層、中觀層和宏觀層，可以窺見由這些政策相互作用而形成的信息治理政策體系。澳大利亞國家檔案館的信息治理政策體系指圍繞政府機構的信息和數據資產進行整體性治理而制定的一系列政策之間、同一政策內部不同要素之間以及與相關法律之間相互作用而形成的系統，其結構從上至下依次是導引層、運行層和對象層。

導引層是指導并引領政府機構信息治理執行的結構，具體包括：①法律規章（Legislation And Regulations）決定了政府機構信息治理實現的框架，包括適用于大多數澳大利亞政府機構的一般立法和影響信息治理的特定機構立法；②國家政策（Whole-of-Government Policies）決定了政府機構信息治理的基本方向和目標，這里的國家政策指的是與政府機構信息管理相關的政府層面的政策和指令。

運行層是直接影響政府機構信息治理有序運行的結構，具體包括：①信息和數據治理框架（Information And Data Framework，IDF），用以協助澳大利亞國家檔案館戰略性地管理其信息和數據資產，為信息和數據資產相關的決策和活動提供了基礎，并與國家檔案館和澳大利亞政府的關鍵標準、政策和戰略相一致。②戰略和規劃（Strategy And Planning），需要融入政府機構戰略和規劃要求，信息和數據治理框架與戰略和規劃為信息和數據治理提供問責制度和業務指導。這些戰略和規劃要連接到其他公司治理框架，包括業務連續性、風險管理、勞動力規劃、其他機構公司規劃文件、改進信息使用以滿足業務需求的行動等。③信息管理政策（Information Management Policy，IMP），為員工提供信息創建、獲取和管理的指導，以滿足業務、法律和利益相關者的要求。信息管理政策應該與機構信息治理框架中描述的原則、環境和方向一致，信息管理政策是否以及如何制定取決于機構的規模和性質。④國際和國家信息和數據管理相關的政策和標準（Relevant National And International Information And Data Management Standards And Policies），這些政策和標準可能對信息治理產生重要影響，而且作為信息管理政策的上位政策或標準，對機構的信息管理政策有直接的指導作用。其中①和②是從中觀層面規定政府機構信息治理的具體方向和組織原則，③和④是從微觀層面規定機構信息治理直接運行的活動和決策。

對象層是政府機構信息治理的對象，即信息和數據資產。澳大利亞政府將信息和數據資產視為聯邦關鍵的戰略資產與經濟資源[5]，它一般分為兩類：處于活動或半活動狀態的公司信息和數據資產，以及根據《檔案法1983》被選為聯邦檔案資源將被永久保存并按需使用的由聯邦機構和個人創建的信息和數據集合。

2 澳大利亞國家檔案館信息治理政策體系的特點

2.1 形成了以IDF和IMP為核心的信息治理政策體系

《檔案法1983》和《公共治理、績效和問責法2013》界定了聯邦機構的檔案治理要求。如，《檔案法1983》要求國家檔案館負責保存并向公眾提供聯邦檔案資源；通過確定標準和向澳大利亞政府機構提供建議，監督聯邦文件保存[6]；《公共治理、績效和問責法2013》第2節要求聯邦和聯邦機構滿足較高的治理、績效和問責標準；第3—37節要求澳大利亞政府機構創建并保存檔案，用以記錄它們的績效[7]。作為對法定檔案治理要求的回應，澳大利亞國家檔案館制定了一系列政策并基本形成了以法律規章和國家政策為導引層，信息和數據治理框架（IDF）、戰略和規劃、信息管理政策（IMP）、信息和數據管理政策標準為運行層，信息和數據資產為對象層的較為完備的信息治理政策體系。其中，運行層是影響政府機構信息治理有序運行的要素，是該政策體系的關鍵內容；信息和數據治理框架（IDF）和信息管理政策（IMP）是信息治理政策體系的核心，IDF規定了政府機構進行信息和數據治理的原則、方向，而IMP規定了捕獲信息、描述信息、保存信息、存儲信息、保護信息和處理信息整個信息生命周期的詳細方法，具有較強的操作性和規范性，可以直接用于機構的信息治理。特別是，IDF和IMP都重視系統的治理和管理。其中IDF對用于檔案獨特功能的系統（記錄搜索檔案管理系統）、行政管理系統（記錄保存系統）等進行治理，以確保檔案館滿足其業務需求、問責要求和利益相關者的期望。IMP認為不同機構認可的系統各不相同。一些機構可能使用電子信息管理系統，并將禁止使用共享文件夾作為永久獲取信息的認可地點；其他機構可使用共享驅動器作為認可系統，并有適當的控制和協議。

2.2 重視法律規章和國家政策的指導和引領

有政府法律和政策對記錄治理和信息管理的要求，才有信息和數據治理模型，進而才會形成澳大利亞檔案館信息治理政策體系。可見，澳大利亞政府法律和政策對信息治理政策具有明顯的指導和引領作用，有助于預防信息治理政策目標偏離正確方向并推動信息治理政策有效執行。信息治理政策體系運行層的有效實施需要依靠廣泛影響政府機構業務的制度環境，即法律規章和國家政策，這包括適用于澳大利亞大多數政府機構的一般性法律和影響信息治理的機構法律，也包括與信息治理相關的政府層面政策和指令。

2.3 強調與機構原有戰略規劃和相關政策的銜接

澳大利亞國家檔案館信息和數據治理框架、信息管理政策的有效運行，需要做好與政府機構原有戰略規劃、與機構信息和數據管理相關政策以及與檔案館信息治理存在交叉政策的銜接。第一，信息和數據治理框架是政府機構在法律、法規和業務環境下用于管理其信息和數據資產的結構，通過信息治理有助于機構優先發展戰略重點、提高業務性能并降低風險。可見，信息治理根植于機構內業務環境，因此機構的原有戰略規劃會直接影響信息和數據資產的治理。第二，信息管理政策必須做好與國際和國家層面的信息和數據管理的相關政策和標準的銜接與兼容。因為這些政策有助于機構發展健全的信息管理實踐，標準則可以支持檔案館創建和維護可靠和可用的信息和數據。比如，基于人工智能、云計算、物聯網、移動互聯等信息技術對檔案治理的助力，信息管理政策也要兼顧與檔案館信息治理有交融或推動其發展的社交媒體政策、云計算政策、遠程訪問政策和移動設備政策等的銜接。

2.4 構建多元化的信息治理主體責任體系

信息治理需要依靠所有關鍵信息利益相關者之間的戰略交互，需要建立分工明確的信息治理主體責任體系。在澳大利亞政府立法框架的支持下，各機構和國家檔案館都被賦予了管理信息和數據的責任。另外，澳大利亞國家檔案館要求設立信息治理委員會和首席信息治理官負責政府機構的信息治理工作，表明信息治理需要確認多元主體責任體系。信息治理主體的多元責任體系分為國家檔案館和政府機構兩個分支。首先，國家檔案館要對信息治理負總責，具體包括：為澳大利亞政府制定檔案管理政策和標準，為各機構提供檔案管理的建議、指導和培訓，通過發布文件保管期限表（Records Authorities）來決定聯邦文件的保留和銷毀以及被確定為聯邦檔案資源的文件的儲存、保護和提供。其次，政府機構要承擔信息治理責任，具體則主要由信息治理委員會或首席信息治理官組成的信息治理團隊專職處理信息治理，機構負責人、高級執行官員和管理人員、經理和主管等管理層負責支持信息管理或信息治理的執行，ICT人員、檔案工作人員等普通人員則開展信息管理、信息治理。

2.5 強化信息和數據安全與隱私風險控制

對于信息治理而言，信息和數據的安全防護與風險控制是其首要任務，此外隱私風險也需要重視。這一點可從澳大利亞檔案館信息治理政策體系窺見一斑，如澳大利亞檔案館信息治理政策體系的導引層和運行層都涉及風險控制和倫理管理的法律、政策和戰略，如《隱私法1988》《隱私規章2013》《安全云戰略》《澳大利亞網絡安全戰略》《AI倫理原則》《保護性安全政策框架》《澳大利亞政府信息安全手冊》《風險管理政策》《隱私政策》《信息安全政策》。

之所以要強化檔案安全防護與風險控制，是因為澳大利亞經過大規模的政府信息開發利用階段，形成了大量高價值、高風險的信息和數據資產。為使這些信息和數據資產能夠得到充分利用，要對機構創建的信息和數據進行治理，其間可能會遭遇下述的安全和隱私風險。如，未經授權（故意或無意）銷毀資料及數據；未能識別、保護、管理、傳輸、存儲和保存具有檔案價值的信息和數據；未能按照法律規定提供存取和收集控制；網絡攻擊導致的個人隱私泄露等。因此，澳大利亞國家檔案館要求機構描述其需要滿足的安全和隱私要求，據此提供降低風險的策略或控制措施，確保信息和數據資產得到充分保護。為確保機構滿足安全和隱私要求，機構可以設立信息治理委員會和首席信息治理官、制定信息管理計劃、信息管理功能檢查表和信息系統結構注冊表以及開展檔案年度報告調查。

3 對我國檔案館信息治理政策的啟示

3.1 制定信息治理政策的配套制度

信息治理政策的有效運行需要有相關配套制度作為支撐。首先，要制定信息安全政策和隱私、倫理政策。信息安全政策確保信息和數據資產的安全；此外，機構創建的信息、數據和記錄暗含著直接或間接的個人可識別數據，可能因為非中立的算法（算法反映了對數據、連接、推斷、解釋等的選擇）鞏固現有的偏見或成見并加劇社會排斥和社會分層，因而需要隱私和倫理政策協調信息和數據治理與隱私和倫理的關系。其次，要制定ICT相關政策和元數據政策。ICT的普遍應用導致大量數字對象的產生，需要具備足夠的元數據識別、描述和定位數字對象。因而機構需要制定ICT相關政策和元數據政策，通過記錄保持元數據上下文便于管理信息，以及通過確保信息的準確性促進風險管理[8]。再次，要制定社交媒體政策和云計算政策。機構都在其業務范圍內廣泛應用社交媒體和云計算等新型技術并產生了各種記錄，它們應該成為信息治理對象，因而機構應制定社交媒體、云計算等政策并做好與信息治理政策的銜接與兼容。最后，要制定信息和數據管理標準。元數據、信息、記錄及文件管理標準、風險管理標準等也會對信息治理產生重要影響。

3.2 建立信息治理的領導和主體責任體系

檔案治理具有多主體的特征，一般是指“由政府部門、私營部門、第三部門、公民個體等參與者組成的公共行動體系”[9]。在多主體的治理環境下需要清晰界定行動者的角色和責任以及參與檔案治理的個人和組織要完成的任務[10]，還要構建多元化主體利益平衡機制和權責對等制度[11]，平衡各治理主體的利益關系和權利義務關系。在多主體的信息治理環境下，行動者能否實現有效合作，不僅取決于行動者和制度環境本身，還取決于雙方發生聯系的中間媒介——社會資本。社會資本是合作網絡運作的深層機制，它塑造了網絡成員對外部環境的共識，如對政策問題的共同看法，這樣有助于解決成員之間的沖突、規范合作伙伴關系，從而使個人理性與集體理性趨向一致[12]。參考澳大利亞檔案館信息治理（或信息管理）主體責任體系，我國檔案館信息治理政策不僅要建立多元化的信息治理主體責任體系，更要協調好信息治理主體的關系。

此外，我國檔案館信息治理政策還必須明確信息治理主體責任體系的領導。信息治理領導是確保恰當的戰略、優先事項、政策和流程成功融入組織的關鍵，既能最大限度地利用信息帶來的機會，又能最大限度地降低信息帶來的風險[13]。澳大利亞檔案館信息和數據治理政策要求各級檔案館的信息治理政策必須得到高層領導的簽字和支持，確認信息治理（或信息管理）在機構中的重要性，并要求員工遵守相應要求。參考澳大利亞檔案館信息治理的領導模式，我國檔案館信息治理政策要明確機構信息治理的唯一領導（即國家檔案局），確保將機構信息治理的地位提升到戰略層次，并要求員工遵守信息治理原則。

3.3 建立信息治理的問責制

問責制是信息治理的重要環節，如果問責制這一更為根本的問題沒有得到解決，就可能沒有記錄。“問責制”等同于“責任”，意味著在理想情況下應該由一個主體承擔責任。問責制的主旨是確定：對管理和使用信息和數據負有總體責任的高級領導人以及對每個重要的信息和數據資產負有責任的人。問責制的核心是一名被正式指定負責全面信息治理的高級領導，即CEO或信息治理委員會主席。高級領導要負責信息治理的所有要素。同樣，只有高級領導才能確保利益相關者、業務流程所有者和領域專家為信息治理提供各種支持。問責制支持機構負責地和公開地管理其信息，反過來又增加了對整個信息治理計劃的信任[14]。參考澳大利亞檔案館信息治理的問責制，我國檔案館信息治理政策也要建立問責制，確定對管理和使用信息和數據負有總體責任的高級領導人以及對每個重要的信息和數據資產負有責任的人。

3.4 建立信息和數據的隱私治理框架

為應對信息和數據泄露，機構應該建立隱私框架并納入機構信息治理框架當中，使其成為機構信息治理的一部分。澳大利亞新南威爾士州信息和隱私委員會發布了隱私治理框架，該框架利用“設計隱私”原則以整體的組織方式管理個人信息，包括設立領導和治理、規劃和策略、項目和服務的提供、投訴事件管理、評估和報告[15]。該委員會將隱私和數據保護包含并嵌入到任何項目、流程、產品或系統的早期階段，進而可盡早確定隱私問題，這樣在解決問題時會更簡單、成本也更低，并提高各機構的隱私和數據保護意識。參考澳大利亞的隱私治理框架，我國檔案館信息治理政策應建立信息和數據的隱私治理框架并嵌入到機構的整體信息治理框架，因為它需要在機構內由強大的信息管理和治理來支持。

3.5 建立信息治理的審查、監督和報告機制

對機構信息治理實踐的審查和監督，將有助于確定機構的信息治理成熟度并且確保機構的信息治理是否合適。澳大利亞國家檔案館的信息治理框架要求審查機構的信息治理實踐和報告遵從信息治理要求的情況。參考澳大利亞的審查和報告機制，我國檔案館信息治理政策也必須建立審查、監督和報告機制。首先，機構信息治理的審查要系統地考慮機構業務、信息治理要求、隱私和安全風險、國家審計署的報告要求來審查機構信息治理活動過程，以確定其是否令人滿意。對于大多數機構，信息治理審查頻率為2—3年是合理的。其次，監督是對機構信息治理實踐持續檢查以維持對信息治理要求的知覺。監督的頻率和程度取決于機構的風險評估和對風險解決方式的選擇，也可將監督機構的信息治理實踐合并到更廣泛的機構監督和評估程序中。再次，機構應該將滿足和遵從信息安全需求、隱私法要求和信息自由法要求等情況向信息治理的唯一領導（即國家檔案局）進行報告，并可用于詳細說明機構的審查和監督活動結果[16]。