基于《數據安全法》的檔案數據安全研究

龐帥

引言

檔案安全一直是檔案學術界的重要研究領域，也是檔案業界一直在攻克的難題。互聯網支撐的數字經濟成為當今世界經濟發展的兩大主流趨勢之一，數據作為數字經濟的基礎，其安全性是數據開發利用的前提。此外，伴隨“數據科學”的興起，檔案工作實踐的發展，檔案數據成為了學界的研究熱點，檔案數據安全也進入眾多檔案學者和檔案從業者的視野。伴隨以互聯網為支撐的數字經濟成為國家兩大經濟發展趨勢之一，數字產業的發展倒逼數據安全立法，2021年9月1日起，國家施行《中華人民共和國數據安全法》（簡稱《數據安全法》），作為第一部保障數據安全的立法，該法對保障檔案數據安全具有重要指導意義[1]。檔案數據安全作為數據安全研究的重要領域，存在檔案數據保護意識淡薄、制度不完善、立法不健全和監督不到位問題。本文通過探討《數據安全法》對檔案處理過程中檔案數據安全的影響，提出提高檔案數據安全保護意識、加強檔案數據安全制度建設、完善檔案數據安全法治體系和監督體系措施，以加強檔案數據安全保護和治理，從而推動檔案事業發展。

一、檔案數據安全的內涵

（一）檔案數據

國內對“檔案數據”這一概念的界定還比較模糊，主要存在三種觀點，一是盲目追求“數據”熱度，將檔案數據與“數據”掛鉤;二是將存儲在計算機系統、設備中的檔案內容以及與檔案相關的數據稱作檔案數據，并且“數字檔案即檔案數據”的思想占據主流;三是強調檔案數據是檔案信息內容的數據化[2]。根據《數據安全法》第三條規定，“數據是指任何以電子或者其他方式對信息的記錄”，結合檔案學概念和學科特征提出，檔案數據就是指數據化的檔案信息及屬于或關于檔案的數據記錄。

（二）檔案數據安全

根據《數據安全法》第三條規定，“數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等，數據安全指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”基于此，檔案數據安全則是指通過采取必要的措施，確保檔案數據在收集、存儲、使用、加工、傳輸、提供、公開等數據處理過程中處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。

二、當前檔案處理工作中存在的檔案數據安全問題

（一）檔案數據安全保護意識淡薄

檔案數據安全問題是在檔案電子化過程中出現的，尚未引起普遍的重視。首先，人們的檔案數據安全意識普遍不高，在查檔過程中很容易造成檔案數據丟失、破壞等，但在追究責任時大部分人群卻沒有意識到自己已經觸犯了有關檔案數據安全保護的法律法規。其次，對于任何組織包括涉及檔案業務的企事業單位和檔案中介服務機構等，其領導階層認識不足，認為檔案業務不能為企業創造經濟效益，忽略了檔案數據出現安全問題可能帶來的損失;組織中的管理階層在檔案管理中缺乏檔案數據安全保護意識和責任，沒有制定檔案數據安全保護制度等，導致檔案數據安全問題頻發;直接負責檔案業務的從業者，其專業素質和能力也是影響檔案數據安全的重要因素之一。最后，檔案局等檔案主管部門的不重視，沒有按照規定定期檢查、評估企業檔案數據安全保護的工作情況，未能發現檔案數據安全隱患[3]。

（二）檔案數據安全制度不完善

檔案數據分級分類保護制度、安全工作協調機制、應急處置機制、審查制度等尚處于有待完善階段。首先在制度設置上，檔案數據安全標準和頂層設計還不完善，例如檔案數據標準、安全合規標準和技術標準等有待完善。其次，檔案數據安全制度執行過程中存在操作不規范、執行不到位等漏洞。最后，在檔案數據安全制度執行過程中，各部門各自為政，缺少溝通和協調。

（三）檔案數據安全法治體系不健全

首先，國內還沒有一部專門關于檔案數據安全的法律，在處理檔案數據安全問題時只能參考《檔案法》《個人信息安全保護法》等法律，針對性不強，例如，對違反檔案數據安全的行為沒有明確的法律責任說明，從而使法律失去保護檔案數據安全的作用。其次，檔案安全法律對其他法律具有較強的依附性，在檔案處理行為違反檔案安全法律又違反其他相關法律法規時，定罪會根據犯罪程度較為嚴重的罪名進行判決，檔案安全法律由于其較輕的處罰規定而受到忽視，從而降低應有的社會地位。最后，檔案安全法律規定之間存在交叉，同一檔案數據處理行為可能由兩個或兩個以上的檔案主管部門負責，存在職能劃分界限模糊的情況，另一方面，對同一違反檔案數據安全的處理行為，根據不同的法律可能會出現不同的懲罰規定，既使檔案安全法律失去了應有的作用，又降低了檔案安全法律在人們心中的地位。

三、《數據安全法》對檔案處理工作中檔案數據安全的影響

《數據安全法》第五十三條明確規定，“在檔案工作中開展數據處理活動，開展涉及個人信息的數據處理活動，除遵守本法外，還應當遵守有關法律、行政法規的規定。”首先，《數據安全法》明確了數據、數據處理、數據安全的概念，并且明確提出保障數據安全是為了規范數據處理活動，促進數據開發利用，從而在法律意義上提高了數據安全的地位。其次，大數據時代電子檔案處理工作非常多，會產生大量檔案數據，《數據安全法》包含跨境數據處理活動中數據安全的規定，并且單列政務數據安全與開放一章，擴大了檔案數據安全適用范圍，使檔案數據處理活動更適應社會發展的新趨勢。最后，《數據安全法》明確提出了根據違反數據安全法律的不同數據處理活動處以責令整改、給予警告、罰款、責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等不同懲罰規定，對構成犯罪的還要追究刑事責任。《數據安全法》中的法律責任條款明確，操作性強，相關主管部門對違反檔案數據安全的檔案處理工作造成的不同程度的后果給予不同的處罰，從而更好地保證法律的權威性。

四、保障檔案數據安全的措施

（一）強化檔案數據安全保護意識

加強檔案數據安全宣傳，提高人們檔案數據安全保護意識，就是要利用法律的強制力提高人們對檔案數據安全保護法的重視和敬畏。首先，開展檔案數據安全知識宣傳普及，針對不同的人群開展有針對性的宣傳活動。面對城鄉居民這一群體，主要通過在社區采用典型案例的方式進行宣傳。針對大學生這一群體，主要通過課堂學習和考核以及知識競賽的形式開展宣傳工作。

其次，檔案數據安全宣傳工作要重視對直接從事檔案處理活動的從業人員及其領導的培訓，這類群體或直接負責檔案處理工作或主管檔案部門，對保護檔案數據安全的重要性不言而喻，所以要加強對這類群體的培訓，形成上下互通、協調互聯的新局面。

最后，要充分發揮全媒體和融媒體在宣傳工作中的優勢，全方位宣傳檔案數據安全保護相關法律和法規，還要依據當地實際情況，深入淺出地講好“檔案數據安全故事”，潛移默化地提高群眾的檔案數據安全保護意識。

（二）加強檔案數據安全制度建設

檔案數據安全制度是保障檔案數據安全的重要基石。首先，應該建立檔案數據分類分級保護制度，根據檔案數據對經濟社會發展的重要程度，以及檔案數據安全問題對國家和社會、組織、個人的危害程度，把檔案數據分為核心數據、重要數據和一般數據。對關系國計民生的核心數據應建立嚴格的檔案數據安全管理制度，對重要數據檔案主管部門應制定管轄范圍內重要檔案數據具體目錄，并根據目錄對重要數據進行重點保護。

其次，檔案主管部門應建立檔案數據安全風險評估、報告、信息共享、檢測預警機制，加強檔案數據安全風險信息的獲取、分析、研判和預警。檔案主管部門還應根據檔案數據安全問題設置風險量化表，對風險因素進行歸類、量化，并列出風險表征，以便能準確預判，并在安全風險發生時及時采取應急處置措施。

再次，還要推動檔案數據應急處置機制建設。一旦發生檔案數據安全事件，檔案主管部門應立即啟動應急處置預案，采取相應應急處置措施，防止事態擴大;另一方面還應向上級部門實時匯報事件動態，并向社會披露事件的發展和發出警示信息，檔案主管部門如有必要還要尋求其他部門的幫助。

最后，檔案主管部門應建立檔案數據安全審查制度，對有可能影響檔案數據安全的檔案處理活動進行安全審查。要定期開展檔案數據安全審查，審查過程中應嚴格遵守操作指南，避免操作不規范遺漏應查事項，留下檔案數據安全隱患。

（三）完善檔案數據安全法治體系

推進檔案數據安全標準體系建設。國家標準化行政主管部門和檔案有關部門根據各自的職責協同組織制定有關檔案數據安全的相關標準，鼓勵、支持企業、社會團體、教育、科研機構等參與檔案數據安全標準建設。檔案數據的運行與管理依托一系列嚴密的信息技術標準作支撐，包括數據生成、存儲、讀取的格式標準，網絡傳輸協議標準，檢索語言標準等[4]。建立一套統一的檔案數據安全標準，有利于解決檔案數據跨地區、跨行業流通過程中因差異性造成的檔案數據安全問題，包括檔案元數據標準、檔案數據安全合規標準和檔案數據安全技術標準等。

推動行業規范和團體標準建設。加強行業自律，指導企事業單位加強檔案數據安全保護，提高檔案數據安全保護水平，促進行業健康發展。加強檔案數據安全行業規范建設，規范檔案數據處理過程，從而保障檔案數據安全。

建立健全檔案數據安全法律法規。首先，保護檔案數據安全必須使檔案數據有法可依，故應該立足檔案工作實踐，經過充分調研和專家論證，建立一部完整的檔案數據安全法律。其次，確保檔案數據安全必須做到執法必嚴，檔案主管部門和相關法律部門嚴格依照檔案數據安全法等法律解決檔案數據安全問題。此外，還要創新執法方式、規范執法程序，從而實現良法善治。

（四）完善檔案數據安全監督體系

建立立體化的檔案數據安全監督體系。中央國家安全領導機構和國家檔案局負責檔案數據安全工作的決策和議事協調，研究制定、指導實施國家檔案數據安全戰略和有關重大方針政策，統籌協調國家檔案數據安全的重大事項和重要工作，建立國家檔案數據安全工作協調機制。各地區、各部門負責對本地區、本部門收集和產生的檔案數據進行監督;各行業主管部門承擔本行業、本領域檔案數據安全監管職責;公安機關、國家安全機關在各自職責范圍內承擔檔案數據安全監督職責;國家網信部門負責網絡檔案數據安全監督職責。此外，在具體操作過程中還要加強與相關部門的合作，引入第三方監督主體，對檔案數據內容進行全面監督。這樣就形成了一套從國家層面到行業層面、從現實維度到虛擬維度，全方位、多層次的檔案數據安全監督體系。

建立自上而下和自下而上雙向檔案數據安全監督機制。加強上級檔案數據安全監督部門對下級的領導和監督，各級檔案主管部門應面向社會大眾建立多種投訴、舉報渠道，方便人們將發現的檔案數據安全問題及時反映給有關主管部門，督促檔案主管部門逐漸完善檔案數據安全保護制度和監督檢查機制。

結語

2021年12月16日在中國檔案學會成立40周年學術研討會上，國家檔案局蔡盈芳司長和武漢大學王玉玨副教授發表重要講話中多次談及檔案數據，檔案數據正成為實時技術環境下重要的檔案內容，保障檔案數據安全是形成、管理和利用檔案數據的應有之義。通過探討《數據安全法》，針對現實存在的檔案數據安全諸多問題，從意識層面、制度層面、法治層面和監督層面提出了應對之策，對檔案數據安全理論和實踐具有借鑒意義。未來，將從更多角度、更深層次地研究完善檔案數據安全相關內容。

參考文獻：

[1] 全國人大常委會.《中華人民共和國數據安全法》. [2021-10-21].北大法寶法律數據庫網站.http：//www.pkulaw.cn/.

[2] 金波，楊鵬.大數據時代檔案數據安全治理策略探析[J].情報科學，2020，38（9）：30-35.

[3] 葛春麗.新《檔案法》實施背景下檔案執法策略研究[J].檔案管理，2021（5）：59-60.

[4] 金波，宋屏.電子政務中電子文件信息安全探析[J].上海大學學報（社會科學版），2009，16（3）：127-134.

作者單位：河北大學管理學院