王先发 康 蠡 文 穗/海南政法职业学院应用法律系
作为数据的重要内容,档案数据以其原始记录性、真实有效性等特有价值,在数据流动中发挥着不可替代的作用。国有企业是国民经济和国家安全的控制力量之一,更是国家战略性产业和高技术产业的主干力量[1]。以海南为例,国有企业在海南自贸港建设中具有战略地位,其档案数据是重要财产、重要生产要素和重要资源,研究国有企业档案数据安全有序流动意义重大。现阶段,海南国有企业档案管理实践相对滞后,尤其是电子档案管理;此外理论研究还处在起步、零散阶段。必须回应海南自贸港建设中保障档案数据安全有序流动的现实要求,从宏观机制与具体措施方面提出海南自贸港建设中国有企业档案数据有序流动的安全保障对策建议,为自贸港建设中企业档案数据管理和市场经济体制下企业档案数据安全有序流动等提供参考。
在信息时代,一般来说数据是信息的表现形式,信息可以通过转换为数据而被计算机处理。在图情档领域,基于研究视角不同,对数据与信息逻辑关系和概念等的观点各异,未达成共识。大数据时代,从某种意义上说,“数据”的社会价值、学术价值以及时代变革意义将超越信息时代“信息”的价值和意义,数据不仅仅是数据,而成为一种符号甚至一种意义、一种象征[2]。《数据安全法》第三条规定:数据,是指任何以电子或者非电子形式对信息的记录。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及保障持续安全状态的能力。其将数据界定为一种记录,包括电子形式和非电子形式(如纸质、实物等)信息记录。数据处理为数据的收集、管理和利用等的过程,可称为数据流动。数据安全是一种管理状态和管理能力。综合来说,数据在本质上属于信息记录,形式多样,包含电子形式和传统非电子形式;数据有序流动是指数据收集、存储、利用等规范有序,有法可依;数据安全是指数据实现有效保护与规范利用。
关于档案数据概念尚未达成统一认识。有学者认为档案数据是具有档案性质的数据记录,包括各种数据形式的档案资源,以及档案管理与利用过程中产生的数据,具有来源广泛、结构复杂、形式多样、数量巨大等特点,是国家经济和社会发展重要的战略性信息资源,其价值潜能巨大,在各项工作中发挥着基础信息支撑作用;并提出档案数据存在的安全风险[3]。也有学者认为大数据时代档案数据是一个总称,是传统档案数据和大数据时代产生的实时新数据之整合,其主要特征是数字化形态和技术属性,数据的流动性促使档案数据开放变革、促进档案数据管理转型、推动档案信息化发展[4]。结合相关理论和实践,档案数据包括电子形式和非电子形式的档案资源信息记录,呈现为档案化数据或数据态档案,并以电子形式为主。同时,档案数据在理论与实践上都包含了数据从产生到流转、办理再到长期管护或销毁的全生命周期过程[5]。在大数据时代,档案数据流动性强,其价值具有多重性。如档案数据内容的凭证价值和情报价值,档案数据关联、数据挖掘以及数据融合产生的对于企业和社会的价值,以及存在的现实价值和长远价值。
根据《工业和信息化领域数据安全管理办法(试行)》公开征求意见稿、《工业数据分类分级指南(试行)》和国有企业档案数据实际情况,结合档案数据概念,国有企业档案数据可以概括为:在研发、生产、经营、服务、管理等活动过程中直接形成的各种形式信息记录,包括电子形式和为非电子形式。具体可分为管理类和业务类档案数据,涵盖国家、企业、个人(客户)等不同主体的档案数据,涉及国家安全、企业利益和个人权益。从价值上来说,国有企业档案数据属于重要的资产、生产要素和资源,归企业所有,由企业管理,并按规定向相关国家档案馆移交。在大数据时代,国有企业档案数据具有存在形式多样、体量巨大、生成速度快、价值密度低、质量难以控制等特征。作为企业重要资源、资产和生产要素,国有企业档案数据以其原始性、系统性、真实性等属性,其安全有序流动对促进企业经营管理、维护企业经济利益、创造经济效益、发挥多重价值起着不可替代的作用。大数据时代,国有企业要重视对档案数据的收集和管理,保障档案数据真实有效和安全有序流动,促进企业发展创新,遵从社会法律规范,维护国家利益、企业利益和个人权益,适应海南自贸港建设需要,创造社会财富,承担社会责任。
党的十九大报告明确提出,坚持总体国家安全观是新时期中国特色社会主义思想和基本方略之一,要求加强国家安全能力建设。《数据安全法》第四条规定,要维护数据安全,坚持总体国家安全观。海南自贸港建设中,基于国有企业的战略地位,其档案数据安全有序流动的前提就是坚持总体国家安全观,维护国家安全,服务国家安全。国有企业档案数据是国家安全基础性保障资源,保障其安全有序流动,是国有企业的历史使命和时代重任,也是其核心目标。
国有企业档案数据涉及企业在研发、生产、服务、经营和管理中商业秘密和国家利益,事关企业基本经济利益和国家利益,更关系到中国特色社会主义市场经济秩序。《数据安全法》第八条明确企业要加强数据安全保护,提高数据安全保护水平。海南自贸港建设中国有企业档案数据安全有序流动,要求在法治背景下,各主体平等遵从市场秩序,在依法保护企业商业秘密和国家利益的基础上,保障档案数据安全有序流动,发挥企业档案数据多重价值,创造经济效益和社会财富。
国有企业档案数据涉及数量众多的个人信息安全,这些档案数据涉及个人隐私和个人权益,事关个人切身利益和福祉。同时这些个人信息具有重要的经济价值与社会价值,许多国家已制定个人数据保护法以促进个人数据安全有序流动。《中华人民共和国个人信息保护法》明确了个人信息处理规则、个人信息处理者的义务和法律责任。海南自贸建设中国有企业应依法充分尊重个人档案数据的人格权与利益分享,设立独立的保护机构与明示拒绝机制,并制定有约束力的企业规则[6];在此基础上依法保护个人隐私,维护个人权益。
档案数据安全主要包括档案数据信息、载体和系统安全。首先,要保证档案数据的真实有效性和可识别性。国有企业档案数据规范管理起来,可识别、不失真、载体不被损毁,系统不被攻击或损坏。其次,档案数据安全要求加强对国有企业各类档案数据设计、收集、管理、共享和保护。同时,国有企业档案数据安全涉及个人权益、企业利益和国家安全。在做好国有企业各类档案数据(包含电子和非电子形式)识别、分类、风险识别、安全管理的基础上,制定相关管理制度、规制和标准,利用相应管理手段和平台,对国有企业档案数据进行有效管理,促进其安全有序流动,创造多重价值,并实现良好社会效益。
《数据安全法》、新修订《档案法》等法律法规对企业档案数据安全有序流动相关规定抽象、不具体、操作性不强,特别是《档案法》主要针对非电子档案数据的实体安全管理,对电子形式档案数据安全管理有待完善。海南自贸港建设中国有企业档案数据流动日趋频繁、意义重大,尤其是跨境数据流动,自贸港建设对企业档案数据流动提出新要求。国有企业档案数据安全有序流动有利于提高企业生产力,增强企业竞争优势和创新。企业档案数据缺乏完善法律规制,易造成数据流动无序、增加风险,甚至给国家、企业、个人带来一定的损失。需要制定或完善相应法律法规,促进国有企业档案数据安全有序流动。同时,《档案法》与《数据安全法》《保守国家秘密法》《网络安全法》等数据安全法律法规之间衔接有待明确[7]。此外,国有企业档案数据涉及相关权属,需要相关法律予以明确。法律制度不完善,使国有企业档案数据安全有序流动难以得到有效保障。
由于档案数据安全意识不强、主体责任不明,国有企业档案数据分散存储,管理标准不一,信息孤岛现象大量存在,尤其表现在业务档案数据上,大量电子形式档案数据管理处于无序、失范状态。调查发现,国有企业重视对纸质档案数据管理,忽视对电子档案数据管理。在信息化建设中,档案部门由于认知偏差和能力局限,忽视对业务数据的归档管理,导致业务档案数据管理存在缺失。业务部门缺乏档案数据管理意识,存在信息系统仅以部门职能为中心,各自为政,绝大部分系统处于分散、独立状态。系统与系统之间无法进行业务交互和数据交换,数据在系统内有效,但无法与其他系统的相关数据进行关联分析[8]。此外,国有企业档案部门和业务部门安全意识不强、主体责任不明,业务系统数据存在冗余、归档难、保管难、易流失、难以提供利用等安全风险。
电子形式档案数据形成快、容量大以及保管难度大、对技术要求高、数据管理技术不够成熟,容易导致档案数据被篡改、流失或无法识别,技术风险较大。国有企业档案数据安全有序流动的技术风险主要体现在档案管理系统难以存储类型多样、体量巨大的电子形式档案数据信息,以及对电子形式档案数据真实性、有效性的保障不足。相比较而言,非电子形式档案数据安全有序流动保障较为成熟,电子形式档案数据管理技术风险较大。实践中电子形式档案数据逐渐成为企业档案数据的主体,技术风险问题日显突出。由于电子形式档案数据容易流失、失真或被篡改、类型多、体量巨大等,对电子形式档案数据有序流动的安全保障在技术上还有待完善。
国有企业档案安全保障管理风险,首先体现在人的方面。管理档案数据需要既懂档案又懂企业数据管理技术的复合型人才,但调研发现,当下国有企业档案人才主要负责非电子形式档案数据管理,缺乏懂电子形式档案数据管理的人才。其次表现为国有企业档案数据标准不统一。国有企业档案数据标准包括国内外标准,以及行业内部和企业自定义标准。由于缺少顶层数据标准规划以及跨系统的统一数据标准,数据归档、整合和挖掘存在阻碍。再次表现为档案数据质量差。在业务运行过程中,由于种种原因,数据存在冗余、不一致、缺失等问题,影响数据有序流动,影响国有企业的运营,阻碍业务发展,甚至造成严重的后果[9]。这不利于国有企业档案数据的收集、管理、保护、利用等工作。
完善相关法律法规体系是海南自贸港建设中国有企业档案数据安全有序流动的基础和根本保障。在自贸港建设中,首要是完善档案法律体系,优化《档案法》与《数据安全法》《保守国家秘密法》《网络安全法》《民法典》等法律法规的衔接,制定自贸港建设中国有企业档案数据管理法规体系,明确国有企业档案数据安全有序流动相关要求和标准。同时,根据自贸港建设要求,借鉴国外跨境数据立法经验,制定有利于国有企业档案数据跨境流动的法规,保障国家、企业和个人档案数据依法依规有序流动,维护国家安全和经济利益,促进企业发展创新,保护个人权益。
国有企业战略地位凸显其档案数据的重要性,也强化了其安全保障意义。在总体国家安全观视角下,国有企业及其主管部门要转变观念,重视档案工作,重视对档案数据安全保障宣传教育,增强全员安全保障意识。档案管理部门要强化档案数据安全保障意识,在做好非电子形式档案数据安全保障的同时,加强对业务部门电子形式档案数据收集、管理、保护、利用。收集是安全保障的基础,没有收集就无从谈论档案数据安全有序利用。此外,要增强业务部门人员归档意识,使其重视业务数据利用和归档,使电子形式档案数据实现规范管理、长久保存、安全有序流动,发挥其多重价值,促进国有企业科研、服务、生产和管理工作。
主要是实现基础技术设施安全和存储技术安全。基础技术设施是国有企业档案数据网络传递和系统运行、存储的基础平台,其核心是档案数据中心的建设,档案数据中心安全设计与相关基础技术设施的建设是保证档案数据安全有序流动的关键。此外是实现存储技术安全。一是设置预警装置和加密系统。通过预警装置的监控,实现自动预警阻止数据的再次传输;通过加密系统,为档案数据上传与下载提供有效保护。二是数据容灾备份技术。数据技术备份主要进行实时备份,保持数据的同步性、真实性和有效性,确保主服务器和备份服务器同时工作,如果发生数据损坏可以随时恢复[10]。还要构建国有企业档案数据应用平台,应用平台是国有企业档案数据流动终端,直接决定着档案流动是否安全有序。
需要配备懂数据管理的专业化档案人才队伍。国有企业档案数据收集、管理、保护,以及有序流动都需要专业人才,由专业人才队伍落实。国有企业要完善、落实档案数据安全管理制度,实现电子形式和非电子形式档案数据的规范有效管理,确保档案数据安全管理落实到日常管理中去。还要建立企业档案部门与业务部门安全保障协同机制,发挥各自优势,实现优势互补,共同保障企业档案数据安全。在企业档案部门主导下,业务部门根据职能和职责,积极落实企业档案数据安全保障责任;并根据企业档案数据重要程度和密级,依据相关规范标准对企业档案数据进行分类分级保护,确定重要和涉密数据目录,加强对重要和涉密档案数据的保护,依法严格控制重要和涉密档案数据的流动。