档案数字化,是指利用数据库技术、数据压缩技术、高速扫描技术等技术手段,将纸质文件、声像文件等传统介质的文件资料和已归档保存的电子档案,系统组织成的具有有序结构的档案数字信息库。与纸质档案等传统介质的档案资料相比,数字化档案资料具有节省档案存储空间、缓解档案原件频繁使用磨损、提高信息检索速度、加强档案信息资源的开发和利用等方面的优势。近年来,档案数字化工作在党政机关推进较快,在发挥积极作用的同时,也暴露出管理上的安全风险隐患。保密行政管理部门在案件查处工作中发现,部分机关单位在档案数字化工作中违反保密法律法规规定操作,导致失泄密案件时有发生。
档案数字化工作中常见的失泄密环节
档案数字化工作按流程可以分为生成、流转、存储、利用4个环节,其中存在很多共性的失泄密隐患。
1.生成环节:违规外包扫描
案例1:2014年10月,有关部门检查发现,某部档案管理系统服务器上存有大量涉密文件扫描件,档案室1台连接互联网的计算机存有该部涉密档案扫描文件。经查,2014年4月,承担该部档案数字化工作的甲公司工作人员何某,因担心以前由乙公司(在甲公司之前接受委托负责该部档案数字化工作)扫描整理的有关文件扫描件在新程序下读取遇到问题导致数据损坏,便私自将全部原始数据备份保存在了档案服务器的D盘上,准备运行正常后删除。2014年4月档案管理软件系统升级后,系统中的图片文件命名需重新进行统一后才能正常使用,何某在帮助修改涉密扫描件文件名时,违规在连接互联网计算机上操作,且修改完成后忘记及时删除,导致泄密。案件发生后,有关单位对何某予以辞退,甲公司项目负责人王某调离数字化项目组,职务降为副职,扣发3个月奖金;对该部保密办主任某通报批评,并取消当年评优资格。
评析:档案数字化工作大都是对纸质档案进行扫描加工,这项工作通常由档案管理部门外包给有关公司进行。这其中,外包公司是否具备处理涉密档案资料的相关资质、档案管理部门是否对数字化工作进程进行了全程监督管理、是否完整记录数字化工作的各个环节以备倒查,对于保密管理至关重要。上述案例中,正是档案管理部门未对外包公司进行保密审查和监管,对数字化工作不闻不问,为最终的泄密埋下了隐患。
2.流转环节:档案数字化资料流转不登记
案例2:2016年8月,有关部门在工作中发现,1份标注“机密”的文件资料在某微信群中传播。经查,发布者系某省档案局服务人员孙某,该局在当年的档案数字化工作中,在对原始纸质档案资料进行拆封扫描的过程中,因现场工作人员的疏忽,未对档案的复原逐项检查,导致涉案文件落在数字化现场。孙某清理卫生时发现涉案文件内容与其儿子工作有关,遂将其拍成图片格式,发在家庭微信群中,造成泄密。案件发生后,有关部门对孙某作出辞退处理,给予该档案局数字化工作负责人高某党内严重警告处分。
评析:档案数字化工作具有数量大的特点,往往需要多人同时进行,要求对原始档案的拆封和复原严格登记造册,做好记录,交接过程也要认真进行清点,并出具相关手续。上述案例中,作为数字化工作负责人的高某,未制定和实施严密的数字化工作安全制度,原始档案的出库入库也未进行仔细检查,直至涉案文件被上传至微信群才恍然大悟。
3.存储环节:存储载体丢失
案例3:2015年12月,某市档案局工作人员在工作中发现,在对相关档案资料进行现场数字化工作结束后,存储档案数据的1个移动硬盘下落不明,随即向上级档案局和该市国家保密局报告。经该省国家保密局对硬盘内的备份数据进行密级鉴定,硬盘存储的档案资料中包括1份机密级、1份秘密级国家秘密。案件发生后,有关部门对该档案局数字化加工场所现场负责人胡某、李某作出辞退处理,并在单位内部开展保密整改。
评析:上述案例暴露出有关档案部门保密工作缺乏全程性、跟踪性的问题,胡某和李某作为数字化加工现场负责人,一方面未能妥善保管涉密移动硬盘,另一方面未对档案数字化工作场所的保密管理采取相应措施,导致存储硬盘丢失后无迹可寻。提前安装监控录像设施、加强对进出档案数字化场所人员的检查,能够最大限度地避免此类案件的发生。
4.利用环节:违规复制扩散
案例4:2002年12月,有关部门监控发现,两份秘密级档案资料通过互联网电子邮件被传递。经查,发件人系 某州档案局职工李某,其好友印某和刀某以要写论文为由,向李某索要有关方面的档案资料。李某利用职务之便,在档案局系统中找到7份相关档案资料(其中包括2份秘密级国家秘密),并擅自导出至非涉密电脑,通过互联网电子邮箱传递给印某,随后印某转发给刀某,造成泄密。案件发生后,有关部门给予李某留党察看一年、行政记大过处分。
评析:上述案例一方面暴露出有的档案部门工作人员保密意识薄弱、责任心不强等问题,另一方面也能看出数字化档案资料易于复制和传播、且不容易被监控的缺陷。与传统纸质等其他介质的档案资料一样,涉密的数字化档案资料同样应该被严格控制知悉范围,很多别有用心的人正是利用其形式虚拟化的特点,非但不尽职尽责对数字化档案资料进行妥善保管,反而“监守自盗”,以为没有实体档案的流转,就不会留下“罪证”。同时也提醒档案部门要建立后台管理机制,数字化档案资料的使用要“有迹可循”,并严格控制工作人员相关权限,堵住非法复制、传播的口子。
档案数字化泄密案件反映出的问题
1.工作人员缺乏“两识”。一是档案数字化工作人员缺乏基本的保密意识和常识,档案管理部门认为外包公司具备保密资质且只是暂时参与相关工作,仅对原始档案资料进行扫描归档不会出保密问题,未按要求对相关人员进行保密教育和提醒;外包公司人员则管理松懈,以追求利益最大化为目标。甲乙双方思想上的麻痹大意,直接为最终的泄密埋下隐患。二是认知偏差,数字化档案资料是以二进制代码的形式存储在信息载体的,具有形式虚拟的特点,同时,复制和传播数字化档案资料简单便捷,而且进程容易在计算机技术的“掩护”下清除痕迹,有的档案部门工作人员错误地以为电子版的档案资料可以随便复制、共享使用,便“监守自盗”,造成国家秘密知悉范围扩大,最终导致泄密。
2.外包监管严重缺位。档案数字化工作一般外包给专业公司进行,有的档案管理部门没有对有关公司资质、人员等信息进行审查,当起了“甩手掌柜”,既不规定数字化工作的场所,也不派专人或采取安装摄像头等技术手段对数字化过程进行全程监管,甚至对相关的数字化设备也不进行安全检查,使国家秘密处于危险境地,随时可能失控,自认为“高枕无忧”,实则“危机四伏”。
3.成果流转“予取予求”。一是档案数字化过程中对于原始档案的管理,出库和入库、拆封和复原等环节没有交接手续,也不逐卷核对是否一一对应,不仅会给“有心之人”提供可乘之机,也不利于数字化效率的提升。二是完成数字化的档案资料在使用过程中,有的人随意复制和打印,缺乏完善的后台管理机制,没有建立相关台账,出事后做不到对数字化档案的操作“有迹可循”,为违规和泄密行为留下实施空间。
对加强档案数字化保密管理的警示
1.开展档案数字化专项保密教育。档案数字化工作中暴露出来的保密问题本质上是人的问题,只有使有关人员主观上认识到档案数字化涉及保密工作的重要性、掌握并践行保密工作的知识和技能,才能为档案数字化工作中扎紧保密的笼子、确保国家秘密安全奠定坚实基础。要加强对档案数字化工作人员的安全保密教育和技能培训,重点从档案数字化的重要性、常见的失泄密情形、保密管理要求等方面,结合生动的案例开展教育培训,确保相关工作人员树立强烈的保密意识,掌握基本的保密常识。
2.强化档案数字化全过程保密监管。一是要按照国家档案局印发的《档案数字化外包安全管理规范》要求,慎重选择外包公司开展数字化工作,涉及涉密档案资料的数字化必须在专门场所进行,加工场所要安装监控设备,并派专人全程监管。对于扫描仪、打印机等设备也要做好技术防范工作。二是对存储涉密数字化档案资料的计算机等信息设备采取物理隔离措施,并严格看管,禁止接入互联网。三是对参与档案数字化工作的人员做好身份审核、登记等工作,参与涉密档案数字化工作的人员还须具备涉密背景。对相关人员承担档案数字化工作的具体安排要严格记录在案,确保监管的可追踪性。
3.规范档案数字化成果管理。一是档案数字化工作中要做好交接手续,严格清点相关文件资料,确保不丢件、不错件。加工完成的数字化档案资料要认真整理、登记后及时存入专用存储设备中。二是存储数字化档案的信息存储设备、系统要建立完善的后台管理机制,相关数字化资料的查阅、复制、打印等操作要有记录,做到“有据可查”。尤其是对于存储涉密数字化档案资料的存储设备要专机专用,禁止移动存储介质随意插入,定期检查,数据的调取使用要严格履行审批流程,确保数据安全。三是要加强对数字档案的安全防护,严格区分数字档案涉密与非密,并定期进行检查。同时,按照《电子文件归档与管理规范》等有关制度,做好相关数字档案的备份工作。
(原载于《保密工作》2018年第12期)