论文部分内容阅读
摘 要:针对2018年Facebook社交平台的用户数据泄露事件,从档案管理者、中介机构、管理职能、数据内容和法律角度对数据环境下档案的安全问题进行反思。认为档案机构的档案管理权责未随着档案管理位置的变动而转移,要防止档案第三方服务机构成为“数字巫师”,档案管理中监督职能将在未来崛起和强化,迭代数据环境中数据成为档案的鉴定标准,用强制性法律规范和管控混乱数据。以期为数据化档案的安全问题带来一丝灵感。
关键词:数据;档案安全;档案管理;档案中介;法律
Abstract: In response to user data breach events on the Facebook in 2018, the paper reflected on the security of archives in the data environment from its managers, intermediaries, management functions, data content, and legal perspectives. It is considered that the rights and responsibilities of the archives management have not been transferred with the change of archival management location. To prevent archival agencies from becoming “digital wizards”, the supervisory function in archive management will rise and strengthen in the future. Iterative the identification standard that data become archives in data environment. Use mandatory laws to regulate and manage chaotic data. Hope to bring a hint of inspiration to the security of data archives.
Keywords: Data; Archive Security; Archive Management; Archival Agency; Law
前言
2018年3月,国际知名互联网社交平台Facebook(下称“脸书”)被爆出史上最大规模的数据泄露丑闻。事件以数据分析公司对脸书的5000万用户数据滥用为核心展开。虽然濫用数据的主体并非Facebook公司本身,但是数据来源却是Facebook,是它交由第三方进行后续处理。事件一经曝光,对脸书产生了巨大的负面影响,脸书的总裁甚至因此被美国国会质询。同年9月,脸书又因计算机网络受黑客攻击,使3000万[1]用户数据遭泄露。可见,数据洪流时代,互联网公司用户数据价值有多高,它的安全风险就有多大。在信息量少的计算机时代初期,信息存储是难题,到了信息爆炸、数据成灾的时代,有价值数据的保存安全则成了新的难题。世界顶级互联网公司尚且深陷数据泄露危机,作为数据重要组成部分的档案[2]安全就更为重要。本文以Facebook的数据安全问题为鉴,从管理角度对数字时代档案的安全进行反思。
1 从档案管理者角度,档案机构/部门对档案的管理权责未转移
脸书事件清晰地表明,即使数据泄露问题出现在第三方数据处理公司,脸书作为数据提供者虽是受影响的一方,也是负有责任的一方。这个责任并没有因数据存储地和管理者的改变而转移。因此,从档案管理者角度反思,不论档案的实际管理主体如何转移,最初的档案管理部门始终是档案管理的核心。档案部门对档案本身的管理权责关系仍属于档案管理者自己,是不随实体档案存放地点的转移而被转移的。因为档案机构/部门是档案信息的直接来源,是档案安全与保护工作的核心主体。如果档案管理者将自己抽离档案的管理与保护工作,将档案管理重心一味偏向档案的开发与利用、档案信息的传播与服务,那么如何保证在更远的数据时代档案的存在和可持续发展?更直观地说就是档案事业的根本业务、档案管理的管理根基、档案人在未来的定位问题。
数字技术及信息化对档案的侵蚀不弱于其他行业,档案界也在跟随这个大趋势而动。而随着计算机技术、数据信息管理、信息传播与档案的深入融合,这些数据与技术俨然呈现出全面替代传统档案管理的态势。这种态势也成为档案人担忧自身未来的重要原因。本文认为这种担忧则是源于数字时代档案管理者最根本的职能:档案管理和保护职能被弱化或者抽离,使得人们容易被趋势以及与之相关联的事物所吸引而偏离档案工作的核心。档案数字化外包、实体档案管理外包,档案管理者基本的职能在向外“移出去”的同时,“收回来”的也包含了威胁自身存在的风险。从长远来看,不以专注自身内在发展为基础的“向外开”,会加剧档案管理者被替代的可能性。
幸而,档案人在对数据内容的价值鉴定方面具有先天的优势。档案人自古以来就管理和保护着信息海洋中的这些智慧结晶。数据界是一个更复杂、人类自己都没有经历过的存在形态。档案人要防止被茫茫数字迷惑了双眼,认清自身管理权责的内容与边界,回归管理权责本身,以保障数据时代的档案安全为重。管理权责的回归过程,是回归初心的过程,是一个强化档案人管理能力与实践结合的过程,一个不单是管理“档案”这种物体,也是通过整合和协调档案所联系的各方组织,从而进行更好的档案管理和价值开发的过程,更是找到档案人未来方向的过程。
2 从中介机构角度,防止档案第三方服务机构成为“数字巫师”
第三方数据公司对脸书用户数据的滥用是整个事件的导火索。事件表明,第三方数据托管公司私自开发利用用户数据的潜在价值,侵犯了数据内含信息的隐私权。以此反思,要防止档案第三方服务机构成为“数字巫师”[3],这里的档案第三方服务机构既包含档案服务的承包方,也包括各种中介机构等。胡艳丽[4]指出,数据收集和使用都需要第三方的支持和指引,因而产生了数据测量提供者;这些测量提供者以商业机构为主,测量标准和结果必然受政治和经济利益的驱动。而现今的决策判断趋向以数据分析结果为单一依据,使得数据测量者能如“巫师”一样操控被困在数据囚牢[5]中的人们。大数据时代,此形容并不夸张,反而加剧了数字档案的安全风险。 脸书事件后,欧盟发布了旨在保护网络数据隐私的《通用数据保护条例》(下称条例)。条例对数据保护的问责机制、数据主体的权利、数据处理者、数据泄露和通知、数据保护官作了详细的规定。其中数据处理者被单独列项阐述。数据处理者是代表数据控制者处理个人数据的(法)人。一般而言,这涉及特定数据处理的外包,也意味着处理者不能决定数据处理的目的和方式。一旦数据处理者越权处理,可因其对第三方的损害而被追究责任[6]。条例清晰地界定了第三方数据机构的权责,防止任何形式的数据持有者对数据进行滥用。
2017年8月,我国先后发布了两个有关档案第三方机构的行业标准《档案保管外包服务管理规范》(DA/T 67-2017)和《档案服务外包工作规范》(DA/T 68-2017)。两个标准是从宏观角度对第三方机构进行的规范,并不是具化到数据层面,所以可以认为这里的外包机构并不是严格意义上的数据处理者。但是这些机构不免会接触到档案数据,自然会产生泄露的风险。另外,二者是从标准的层面对第三方机构进行规范,不具备强力的法律效力,也不涉及具体惩罚措施。因而,随着数字时代,档案信息化的深入和智慧城市的发展,我国档案馆(室/部门)与第三方档案托管机构的权责关系、第三方机构对档案的管理权限以及是否依据国家标准处理档案信息等问题仍有待在实践中继续研究和调整。但有一点可以肯定的是,第三方托管机构的定位主要是在辅助与执行。
档案是对物的管理,人力资源管理是对人的管理,从这个角度思考,二者总有相通之处。现阶段人力资源第三方托管机构的发展相对规范化。各地人社局与人力资源托管机构是监督与被监督的关系,各企业与人力资源托管机构则是合作关系。按照这种思路,档案局与档案第三方托管机构既是合作关系也是监督与被监督的关系。随着这些“第三方”“外包”“众筹”等的普遍化和趋势化的发展,加强对档案第三方托管机构的监督会是未来档案工作的重点之一。
3 从管理职能角度,档案管理中监督职能的崛起与强化
脸书事件的起因包括Facebook自身对数据监管的失责,这反映出数据环境下数据监管的问题。本文第一部分提及“如何保证在更远的数据时代档案的存在和可持续发展”问题,结合脸书事件反思的答案重心就在于“监督”。管理工作是一个螺旋上升的环状,档案工作作为一种管理活动,在很长一段时间内忽视了监督的作用。没有监督,管理就不能回环。究其原因仍在于重藏轻用。长期以来档案领域许多问题的产生原因之一便是“重藏轻用”。但是数据时代,基于互联网技术的全球开放与互联的大趋势,以及我国加大开放的政策,和人们对事物价值的追求,档案管理的重心已经偏向“重用轻藏”。
电子文件本身的不稳定性不安全性并不如纸质文件一样容易解决,甚至能从根本上解决,而在档案管理者研究电子形态的档案如何管理的同时,又把自己最基本的职责外包给第三方机构代理。档案工作者将自己的一部分职能剥离之后,便产生了两个问题,空余职能的问题以及工作核心的问题。
首先,从经济学角度等价交换的原则来看,当剥离出一部分职能之后必然会有一种职能崛起才能保证档案工作的平衡性,如此便解决了空余职能的问题。这种职能只能是监督。管理活动中一直都存在监督的职能和流程,只是基于它自身的特殊性和利益问题,在各行各业普遍是被弱化的一项。脸书事件同样表现出对监督的疏漏。
档案在产生时便是交由信任的人管理,管理受时代背景的限制。社会动荡时期档案安全保存是首要问题,因而管理的其他职能就容易被轻视。加之“信任”在意识层面的作用,使得监督职能直接被忽略。但是在和平时代的今天,档案价值开发已经成为首要工作,档案安全虽然不再是首要问题,但却是保证档案价值这个首要工作的基本问题,也是数据开放在更远的未来所要面临的问题。二者不是互斥的存在而是共生的。因而监督职能的强化能够起到平衡档案安全与利用的作用。
其次,档案工作者监督职能的崛起,才能更好地彰显档案人的管理能力。陆正泉[7]在汇报“上海市保税区管理局档案‘单套制’管理成果”时指出,专职档案员调整为“全员归档”,使得专职档案人员从繁琐的档案整理中解放出来,从事档案的审核监督工作,进而提升了档案的整体管理质量。由此思考,数据时代档案工作的核心其实是初心回归与未来发展的统一:在保障档案安全管理的前提下合理地开发档案价值。从宏观趋势而言,不能过于偏向档案安全与使用的任何一方,因而需要限制档案的过度开发利用,档案的解密及销毁规定需适时修改。从微观具体工作而言,通过宏观政策性的调整,加大和细化档案工作者对第三方档案托管机构对档案信息安全的监督,使第三方托管机构认识到档案信息安全的重要性,降低档案信息从第三方泄露的风险。
4 從数据内容角度,迭代数据环境中数据成为档案的鉴定标准
数据泄露所产生的安全问题,究其根本在于数据所承载的内容。脸书事件的严重性还在于有证据表明第三方数据公司通过对用户数据内容的分析进而操控选举[8]。这表明受大数据相关关系的影响,原来被认为没有价值的数据从更长远的角度来看可能具有很高的相关性价值。但是从档案的角度,数据界存在的巨量客观数据不能全部作为档案被保存下来。因而哪些数据应该作为档案保存下去,是在数据洪流中亟待人们认清和梳理的。未来并不缺少数据,也并不缺少档案,反而真正有价值的档案的光芒可能会被茫茫数字洪流遮盖。因此传统档案的鉴定标准是否适合数据档案仍有待从数据内容价值以及开发的可持续性视角继续研究。进而,与其相配套的保存等级、保存期限等标准也同时迭代,以消除泛档案化对档案可持续发展的威胁。
但是,这并不意味着只关注数据档案,特别是对于已经数字化后的原纸质档案,不能因为只关注以数字形式存在的档案而认为实体档案没有存在的必要,这样会产生“顾此失彼”的风险。而是以保护传统档案为基础,从档案管理本身、数字化发展趋势综合协同视角对数据归档进行界定。
5 从法律角度,庞杂数据需要强制性法律予以规范
关键词:数据;档案安全;档案管理;档案中介;法律
Abstract: In response to user data breach events on the Facebook in 2018, the paper reflected on the security of archives in the data environment from its managers, intermediaries, management functions, data content, and legal perspectives. It is considered that the rights and responsibilities of the archives management have not been transferred with the change of archival management location. To prevent archival agencies from becoming “digital wizards”, the supervisory function in archive management will rise and strengthen in the future. Iterative the identification standard that data become archives in data environment. Use mandatory laws to regulate and manage chaotic data. Hope to bring a hint of inspiration to the security of data archives.
Keywords: Data; Archive Security; Archive Management; Archival Agency; Law
前言
2018年3月,国际知名互联网社交平台Facebook(下称“脸书”)被爆出史上最大规模的数据泄露丑闻。事件以数据分析公司对脸书的5000万用户数据滥用为核心展开。虽然濫用数据的主体并非Facebook公司本身,但是数据来源却是Facebook,是它交由第三方进行后续处理。事件一经曝光,对脸书产生了巨大的负面影响,脸书的总裁甚至因此被美国国会质询。同年9月,脸书又因计算机网络受黑客攻击,使3000万[1]用户数据遭泄露。可见,数据洪流时代,互联网公司用户数据价值有多高,它的安全风险就有多大。在信息量少的计算机时代初期,信息存储是难题,到了信息爆炸、数据成灾的时代,有价值数据的保存安全则成了新的难题。世界顶级互联网公司尚且深陷数据泄露危机,作为数据重要组成部分的档案[2]安全就更为重要。本文以Facebook的数据安全问题为鉴,从管理角度对数字时代档案的安全进行反思。
1 从档案管理者角度,档案机构/部门对档案的管理权责未转移
脸书事件清晰地表明,即使数据泄露问题出现在第三方数据处理公司,脸书作为数据提供者虽是受影响的一方,也是负有责任的一方。这个责任并没有因数据存储地和管理者的改变而转移。因此,从档案管理者角度反思,不论档案的实际管理主体如何转移,最初的档案管理部门始终是档案管理的核心。档案部门对档案本身的管理权责关系仍属于档案管理者自己,是不随实体档案存放地点的转移而被转移的。因为档案机构/部门是档案信息的直接来源,是档案安全与保护工作的核心主体。如果档案管理者将自己抽离档案的管理与保护工作,将档案管理重心一味偏向档案的开发与利用、档案信息的传播与服务,那么如何保证在更远的数据时代档案的存在和可持续发展?更直观地说就是档案事业的根本业务、档案管理的管理根基、档案人在未来的定位问题。
数字技术及信息化对档案的侵蚀不弱于其他行业,档案界也在跟随这个大趋势而动。而随着计算机技术、数据信息管理、信息传播与档案的深入融合,这些数据与技术俨然呈现出全面替代传统档案管理的态势。这种态势也成为档案人担忧自身未来的重要原因。本文认为这种担忧则是源于数字时代档案管理者最根本的职能:档案管理和保护职能被弱化或者抽离,使得人们容易被趋势以及与之相关联的事物所吸引而偏离档案工作的核心。档案数字化外包、实体档案管理外包,档案管理者基本的职能在向外“移出去”的同时,“收回来”的也包含了威胁自身存在的风险。从长远来看,不以专注自身内在发展为基础的“向外开”,会加剧档案管理者被替代的可能性。
幸而,档案人在对数据内容的价值鉴定方面具有先天的优势。档案人自古以来就管理和保护着信息海洋中的这些智慧结晶。数据界是一个更复杂、人类自己都没有经历过的存在形态。档案人要防止被茫茫数字迷惑了双眼,认清自身管理权责的内容与边界,回归管理权责本身,以保障数据时代的档案安全为重。管理权责的回归过程,是回归初心的过程,是一个强化档案人管理能力与实践结合的过程,一个不单是管理“档案”这种物体,也是通过整合和协调档案所联系的各方组织,从而进行更好的档案管理和价值开发的过程,更是找到档案人未来方向的过程。
2 从中介机构角度,防止档案第三方服务机构成为“数字巫师”
第三方数据公司对脸书用户数据的滥用是整个事件的导火索。事件表明,第三方数据托管公司私自开发利用用户数据的潜在价值,侵犯了数据内含信息的隐私权。以此反思,要防止档案第三方服务机构成为“数字巫师”[3],这里的档案第三方服务机构既包含档案服务的承包方,也包括各种中介机构等。胡艳丽[4]指出,数据收集和使用都需要第三方的支持和指引,因而产生了数据测量提供者;这些测量提供者以商业机构为主,测量标准和结果必然受政治和经济利益的驱动。而现今的决策判断趋向以数据分析结果为单一依据,使得数据测量者能如“巫师”一样操控被困在数据囚牢[5]中的人们。大数据时代,此形容并不夸张,反而加剧了数字档案的安全风险。 脸书事件后,欧盟发布了旨在保护网络数据隐私的《通用数据保护条例》(下称条例)。条例对数据保护的问责机制、数据主体的权利、数据处理者、数据泄露和通知、数据保护官作了详细的规定。其中数据处理者被单独列项阐述。数据处理者是代表数据控制者处理个人数据的(法)人。一般而言,这涉及特定数据处理的外包,也意味着处理者不能决定数据处理的目的和方式。一旦数据处理者越权处理,可因其对第三方的损害而被追究责任[6]。条例清晰地界定了第三方数据机构的权责,防止任何形式的数据持有者对数据进行滥用。
2017年8月,我国先后发布了两个有关档案第三方机构的行业标准《档案保管外包服务管理规范》(DA/T 67-2017)和《档案服务外包工作规范》(DA/T 68-2017)。两个标准是从宏观角度对第三方机构进行的规范,并不是具化到数据层面,所以可以认为这里的外包机构并不是严格意义上的数据处理者。但是这些机构不免会接触到档案数据,自然会产生泄露的风险。另外,二者是从标准的层面对第三方机构进行规范,不具备强力的法律效力,也不涉及具体惩罚措施。因而,随着数字时代,档案信息化的深入和智慧城市的发展,我国档案馆(室/部门)与第三方档案托管机构的权责关系、第三方机构对档案的管理权限以及是否依据国家标准处理档案信息等问题仍有待在实践中继续研究和调整。但有一点可以肯定的是,第三方托管机构的定位主要是在辅助与执行。
档案是对物的管理,人力资源管理是对人的管理,从这个角度思考,二者总有相通之处。现阶段人力资源第三方托管机构的发展相对规范化。各地人社局与人力资源托管机构是监督与被监督的关系,各企业与人力资源托管机构则是合作关系。按照这种思路,档案局与档案第三方托管机构既是合作关系也是监督与被监督的关系。随着这些“第三方”“外包”“众筹”等的普遍化和趋势化的发展,加强对档案第三方托管机构的监督会是未来档案工作的重点之一。
3 从管理职能角度,档案管理中监督职能的崛起与强化
脸书事件的起因包括Facebook自身对数据监管的失责,这反映出数据环境下数据监管的问题。本文第一部分提及“如何保证在更远的数据时代档案的存在和可持续发展”问题,结合脸书事件反思的答案重心就在于“监督”。管理工作是一个螺旋上升的环状,档案工作作为一种管理活动,在很长一段时间内忽视了监督的作用。没有监督,管理就不能回环。究其原因仍在于重藏轻用。长期以来档案领域许多问题的产生原因之一便是“重藏轻用”。但是数据时代,基于互联网技术的全球开放与互联的大趋势,以及我国加大开放的政策,和人们对事物价值的追求,档案管理的重心已经偏向“重用轻藏”。
电子文件本身的不稳定性不安全性并不如纸质文件一样容易解决,甚至能从根本上解决,而在档案管理者研究电子形态的档案如何管理的同时,又把自己最基本的职责外包给第三方机构代理。档案工作者将自己的一部分职能剥离之后,便产生了两个问题,空余职能的问题以及工作核心的问题。
首先,从经济学角度等价交换的原则来看,当剥离出一部分职能之后必然会有一种职能崛起才能保证档案工作的平衡性,如此便解决了空余职能的问题。这种职能只能是监督。管理活动中一直都存在监督的职能和流程,只是基于它自身的特殊性和利益问题,在各行各业普遍是被弱化的一项。脸书事件同样表现出对监督的疏漏。
档案在产生时便是交由信任的人管理,管理受时代背景的限制。社会动荡时期档案安全保存是首要问题,因而管理的其他职能就容易被轻视。加之“信任”在意识层面的作用,使得监督职能直接被忽略。但是在和平时代的今天,档案价值开发已经成为首要工作,档案安全虽然不再是首要问题,但却是保证档案价值这个首要工作的基本问题,也是数据开放在更远的未来所要面临的问题。二者不是互斥的存在而是共生的。因而监督职能的强化能够起到平衡档案安全与利用的作用。
其次,档案工作者监督职能的崛起,才能更好地彰显档案人的管理能力。陆正泉[7]在汇报“上海市保税区管理局档案‘单套制’管理成果”时指出,专职档案员调整为“全员归档”,使得专职档案人员从繁琐的档案整理中解放出来,从事档案的审核监督工作,进而提升了档案的整体管理质量。由此思考,数据时代档案工作的核心其实是初心回归与未来发展的统一:在保障档案安全管理的前提下合理地开发档案价值。从宏观趋势而言,不能过于偏向档案安全与使用的任何一方,因而需要限制档案的过度开发利用,档案的解密及销毁规定需适时修改。从微观具体工作而言,通过宏观政策性的调整,加大和细化档案工作者对第三方档案托管机构对档案信息安全的监督,使第三方托管机构认识到档案信息安全的重要性,降低档案信息从第三方泄露的风险。
4 從数据内容角度,迭代数据环境中数据成为档案的鉴定标准
数据泄露所产生的安全问题,究其根本在于数据所承载的内容。脸书事件的严重性还在于有证据表明第三方数据公司通过对用户数据内容的分析进而操控选举[8]。这表明受大数据相关关系的影响,原来被认为没有价值的数据从更长远的角度来看可能具有很高的相关性价值。但是从档案的角度,数据界存在的巨量客观数据不能全部作为档案被保存下来。因而哪些数据应该作为档案保存下去,是在数据洪流中亟待人们认清和梳理的。未来并不缺少数据,也并不缺少档案,反而真正有价值的档案的光芒可能会被茫茫数字洪流遮盖。因此传统档案的鉴定标准是否适合数据档案仍有待从数据内容价值以及开发的可持续性视角继续研究。进而,与其相配套的保存等级、保存期限等标准也同时迭代,以消除泛档案化对档案可持续发展的威胁。
但是,这并不意味着只关注数据档案,特别是对于已经数字化后的原纸质档案,不能因为只关注以数字形式存在的档案而认为实体档案没有存在的必要,这样会产生“顾此失彼”的风险。而是以保护传统档案为基础,从档案管理本身、数字化发展趋势综合协同视角对数据归档进行界定。
5 从法律角度,庞杂数据需要强制性法律予以规范