丁振偉 劉偲偲

（沈陽(yáng)師范大學(xué)圖書(shū)館 沈陽(yáng) 110034）

論數(shù)字化人事檔案安全防范策略

丁振偉 劉偲偲

（沈陽(yáng)師范大學(xué)圖書(shū)館 沈陽(yáng) 110034）

人事檔案雖然只是檔案工作的一部分，但經(jīng)數(shù)字化轉(zhuǎn)換后卻成為有經(jīng)濟(jì)價(jià)值并可以增值的重要部分，人事檔案信息泄露必將成為侵犯?jìng)€(gè)人信息犯罪的“源頭”，進(jìn)而滋生電信網(wǎng)絡(luò)詐騙等多種犯罪。鑒于目前人事檔案數(shù)字化系統(tǒng)平臺(tái)的迅速發(fā)展以及侵犯公民個(gè)人信息犯罪的日益猖獗，對(duì)數(shù)字化人事檔案管理必須加強(qiáng)防范，構(gòu)建明確檔案歸屬與管理職責(zé)，提高檔案安全保障意識(shí)，構(gòu)建可靠的檔案系統(tǒng)平臺(tái)，加強(qiáng)職業(yè)道德教育和依法治檔等管理機(jī)制，不給犯罪分子可乘之機(jī)。

數(shù)字化 人事檔案 信息泄露 安全管理

G270.7

A

2017-07-29

數(shù)字化時(shí)代，計(jì)算機(jī)技術(shù)的快速發(fā)展使得數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)技術(shù)更加成熟。傳統(tǒng)滯后的人事檔案管理正向數(shù)字化模式逐步更新，由管理紙質(zhì)檔案資源發(fā)展為處理數(shù)字化信息，亦即利用數(shù)字化的檔案信息錄入、存儲(chǔ)及輸出，完成科學(xué)有序的檔案信息資源管控處理，形成有價(jià)值的人事檔案。通過(guò)對(duì)人事檔案的數(shù)字化處理，實(shí)現(xiàn)對(duì)檔案信息的快速搜尋，完成網(wǎng)絡(luò)化管理，創(chuàng)新開(kāi)放完善的人事檔案信息服務(wù)平臺(tái)，打造社會(huì)范圍內(nèi)全面共享的人才資源庫(kù)更具價(jià)值。然而，人事檔案信息記述和反映的均為真實(shí)材料，是人才培養(yǎng)、選拔、使用和管理的基本依據(jù)，具有聚合性、專門性、真實(shí)性、機(jī)密性、動(dòng)態(tài)性和權(quán)威性等特征[1]。因此，在侵犯公民個(gè)人信息犯罪日益猖狂的今天，數(shù)字化人事檔案信息讓唯利是圖的犯罪分子垂涎三尺，這不得不讓所有數(shù)字化人事檔案信息的安全防控進(jìn)入警戒，如不引起重視，一旦人事檔案信息泄露，造成公民個(gè)人生活被干擾，單位工作受影響以及社會(huì)經(jīng)濟(jì)安全受顛覆是必然的，其危害絕非危言聳聽(tīng)。本文希冀能對(duì)人事檔案信息泄露問(wèn)題起到亡羊補(bǔ)牢或未雨綢繆，防患于未然的作用。

一、明確檔案管理歸屬與管理職責(zé)

關(guān)于人事檔案，表面上看是私人檔案，它記載著個(gè)人的教育情況和職業(yè)生涯，是一個(gè)人一生履歷的真實(shí)記錄，一定程度上也是一個(gè)人在社會(huì)上立足的信用憑證。但法律規(guī)定人事檔案不能由個(gè)人保管，其所有權(quán)最終歸屬于國(guó)家，國(guó)家通過(guò)法律政策的規(guī)定授權(quán)有關(guān)國(guó)家機(jī)關(guān)、國(guó)家企事業(yè)單位的檔案室、有資質(zhì)的人才流動(dòng)服務(wù)機(jī)構(gòu)、街道勞動(dòng)部門等進(jìn)行分散管理控制，由國(guó)家授予各級(jí)人事管理機(jī)構(gòu)以占有權(quán)、使用權(quán)和收益權(quán)，雖然所有權(quán)的一部分權(quán)能發(fā)生暫時(shí)轉(zhuǎn)移，但其所有權(quán)整體仍屬于國(guó)家。由于人事檔案的管理權(quán)限歸屬部門不統(tǒng)一，一些單位管理機(jī)制不健全，導(dǎo)致人事檔案管理出現(xiàn)丟失檔案、抽調(diào)材料、篡改檔案、企業(yè)扣檔、個(gè)人自揣檔案、泄露檔案信息等亂象叢生。尤其人事檔案走向數(shù)字化以來(lái)的管理問(wèn)題越發(fā)嚴(yán)重，數(shù)字化的人事檔案對(duì)檔案工作提出了更高要求，如不加強(qiáng)安全意識(shí)和提高防范措施，遭受侵犯公民個(gè)人信息犯罪分子的攻擊勢(shì)在必然。為了保障數(shù)字化人事檔案信息的安全，明確檔案管理歸屬與管理人員工作職責(zé)刻不容緩。（1）提高人事檔案工作管理意識(shí)，重視調(diào)整人事檔案管理歸屬，成立正規(guī)的檔案館、檔案室，改變以往掛靠人事處、行政辦公室，對(duì)人事檔案工作重視不足的現(xiàn)狀。（2）確定人事檔案專業(yè)管理人員編制，使用檔案專業(yè)人員進(jìn)行科學(xué)規(guī)范管理，既要具備較高的職業(yè)操守，又要掌握檔案專業(yè)管理技能，可實(shí)現(xiàn)對(duì)繁雜的人事檔案進(jìn)行有效管理，改變有些單位安排“老弱病殘”管理人事檔案的現(xiàn)象。（3）檔案管理人員要堅(jiān)守職業(yè)道德，把控人事檔案信息系統(tǒng)的公開(kāi)與保密的平衡點(diǎn)，并將管理人員納入職業(yè)發(fā)展程序，開(kāi)展服務(wù)創(chuàng)新與科學(xué)研究，定期考核，及時(shí)晉升職務(wù)。只有將數(shù)字化人事檔案管理工作重視起來(lái)并加強(qiáng)管理，才能保證人事檔案信息的安全，不給犯罪分子以可乘之機(jī)。

二、提高管理部門檔案安全保障意識(shí)

人事檔案雖然只是檔案工作的一部分，但經(jīng)數(shù)字化轉(zhuǎn)換后卻成為有經(jīng)濟(jì)價(jià)值并可以增值的重要部分，人事檔案信息泄露會(huì)讓侵犯?jìng)€(gè)人信息犯罪的成本更低廉、獵食目標(biāo)更廣泛、來(lái)錢更快。侵犯?jìng)€(gè)人信息犯罪是其他電信網(wǎng)絡(luò)詐騙、金融詐騙、綁架等多種犯罪的“源頭”，由此會(huì)滋生出各種“下游”犯罪，嚴(yán)重?cái)_亂公民個(gè)人的生活秩序，大量增加社會(huì)不安定因素，影響社會(huì)經(jīng)濟(jì)發(fā)展的進(jìn)程。鑒于目前各種檔案信息管理基本轉(zhuǎn)向數(shù)字化網(wǎng)絡(luò)化系統(tǒng)平臺(tái)，一些管理機(jī)構(gòu)對(duì)檔案信息泄露的危害認(rèn)識(shí)不足，系統(tǒng)安全防范意識(shí)薄弱的現(xiàn)狀，強(qiáng)調(diào)提高管理部門檔案安全保障意識(shí)成為當(dāng)務(wù)之急。（1）各級(jí)檔案管理機(jī)構(gòu)和部門，要加強(qiáng)對(duì)檔案的接受、收集、整理、保管和提供利用，根據(jù)國(guó)家行政部門的有關(guān)規(guī)定，鑒定檔案保存價(jià)值、保管期限以及銷毀檔案的程序和方法，任何人無(wú)權(quán)擅自銷毀檔案。（2）各級(jí)檔案管理部門的領(lǐng)導(dǎo)，要堅(jiān)持發(fā)揮檔案工作的創(chuàng)新、綠色、開(kāi)放、共享等服務(wù)原則，及早擺脫傳統(tǒng)的檔案工作模式，構(gòu)建檔案的數(shù)字化網(wǎng)絡(luò)管理系統(tǒng)平臺(tái)，體現(xiàn)本部門工作的創(chuàng)新發(fā)展意識(shí)和檔案發(fā)展規(guī)律的深刻認(rèn)識(shí)。（3）在檔案向數(shù)字化生成過(guò)程中，檔案錄入、管理人員和利用人員，無(wú)論對(duì)紙質(zhì)人事檔案或數(shù)字化電子人事檔案，都必須認(rèn)真執(zhí)行《檔案法》和《保密法》及有關(guān)保密管理規(guī)定，增強(qiáng)保密觀念，遵守保密制度，盡職盡責(zé)地做好人事檔案的安全和保密工作[2]。（4）檔案管理人員等任何人員不得以任何借口違反檔案網(wǎng)絡(luò)規(guī)章制度，對(duì)機(jī)房或服務(wù)器嚴(yán)加管理，加強(qiáng)運(yùn)維管理，避免出現(xiàn)漏洞被攻擊。檔案管理人員如因玩忽職守，與犯罪分子勾聯(lián)監(jiān)守自盜，造成數(shù)字化人事檔案被攻擊、竊取、失密、泄密等問(wèn)題，要視情節(jié)輕重給予處分，情節(jié)嚴(yán)重者要受到法律制裁。這是當(dāng)今抵御侵犯公民個(gè)人信息犯罪的最新法律對(duì)策。

三、構(gòu)建可靠的數(shù)字化檔案系統(tǒng)平臺(tái)

由于人事檔案實(shí)行了數(shù)字化管理模式，授權(quán)管理檔案的機(jī)構(gòu)或單位的責(zé)任更重大、更關(guān)鍵。目前侵犯公民個(gè)人信息犯罪十分猖狂，盡管公安部門嚴(yán)厲打擊，犯罪高發(fā)勢(shì)頭有增無(wú)減，且犯罪手段逐步升級(jí)，以黑客的犯罪技能，網(wǎng)絡(luò)上的人事檔案管理工作稍有疏忽，必定成為犯罪分子的可口獵物。為此，數(shù)字化人事檔案管理機(jī)構(gòu)或部門必須構(gòu)建可靠的數(shù)字化檔案系統(tǒng)平臺(tái)。（1）采用安全技術(shù)和產(chǎn)品。產(chǎn)業(yè)界和企業(yè)方應(yīng)將人事檔案系統(tǒng)安全置于功能之上，加強(qiáng)對(duì)數(shù)據(jù)安全的關(guān)鍵技術(shù)和產(chǎn)品的研發(fā)，創(chuàng)造性能更高、安全系數(shù)更大的檔案管理安全技術(shù)和安全產(chǎn)品，讓網(wǎng)絡(luò)產(chǎn)品集成使用更便捷、更安全，確保數(shù)字化人事檔案有效地發(fā)揮數(shù)據(jù)作用。（2）保證管理單位運(yùn)維投入。為建設(shè)一個(gè)合格的檔案網(wǎng)絡(luò)，要加強(qiáng)資金和資源投入，保證檔案網(wǎng)絡(luò)內(nèi)部的安全性。一要加強(qiáng)網(wǎng)絡(luò)環(huán)境治理，營(yíng)造一個(gè)安全系數(shù)高的檔案網(wǎng)絡(luò)環(huán)境。二要加強(qiáng)安全技術(shù)對(duì)抗，包括防火墻、加密、鑒別、數(shù)字簽名、審計(jì)監(jiān)控和病毒防治等安全技術(shù)的對(duì)抗能力。三要完善網(wǎng)絡(luò)安全控制系統(tǒng)，在系統(tǒng)安全控制下，尋找確保網(wǎng)絡(luò)安全與網(wǎng)絡(luò)效率的平衡點(diǎn)，綜合提高檔案網(wǎng)絡(luò)的安全性。（3）使用訪問(wèn)控制機(jī)制。檔案網(wǎng)絡(luò)使用應(yīng)在安全法律、法規(guī)、政策的支持與指導(dǎo)下，采用安全技術(shù)與安全管理措施，保證檔案網(wǎng)絡(luò)系統(tǒng)的可用性。一要使用授權(quán)機(jī)制，實(shí)行對(duì)用戶的權(quán)限控制和網(wǎng)絡(luò)檔案資源的可控性。二要使用加密機(jī)制，確保檔案信息不暴露給未授權(quán)的實(shí)體或個(gè)人。三要使用檔案數(shù)據(jù)鑒別機(jī)制，保證只有得到允許的人才能查檔或處理數(shù)據(jù)，確保信息的完整性。（4）重視檔案營(yíng)銷管理自律。為建立和維護(hù)數(shù)字化人事檔案管理體制，在從事檔案服務(wù)營(yíng)銷過(guò)程中強(qiáng)調(diào)依法治檔的原則，明確檔案工作領(lǐng)導(dǎo)者與各責(zé)任人的權(quán)限，嚴(yán)格履行網(wǎng)絡(luò)安全管理責(zé)任，增強(qiáng)抵御信息數(shù)據(jù)泄露的防護(hù)能力，避免檔案網(wǎng)絡(luò)營(yíng)銷服務(wù)管理上存在漏洞。

四、加強(qiáng)檔案管理人員職業(yè)道德教育

許多公民個(gè)人信息泄露案例證明，信息泄露的源頭均為內(nèi)部人員監(jiān)守自盜。數(shù)字化人事檔案信息能否遭到泄露，管理檔案的內(nèi)部人員十分關(guān)鍵。因此，對(duì)數(shù)字化人事檔案管理要高度重視：（1）要建立嚴(yán)格的用人與監(jiān)督機(jī)制。用人要得當(dāng)，必須避免“內(nèi)鬼”監(jiān)守自盜。要采用忠于職守、精干高效的檔案管理人才，并通過(guò)培訓(xùn)學(xué)習(xí)提高檔案管理人員的思想素質(zhì)、業(yè)務(wù)素養(yǎng)和職業(yè)操守。（2）要加強(qiáng)職業(yè)道德與行業(yè)法制教育。檔案管理人員應(yīng)普及檔案法律知識(shí)，傳播檔案法治文化，諳熟檔案管理的法律法規(guī)，自覺(jué)運(yùn)用法律思維和法制方式履行工作職責(zé)，遵章辦事，不徇私舞弊，懂得泄露檔案信息行為構(gòu)成侵權(quán)，秉持不得泄露任何檔案信息的職業(yè)理念。同時(shí)要加強(qiáng)時(shí)事政治學(xué)習(xí)，了解目前侵犯公民個(gè)人信息犯罪的高發(fā)態(tài)勢(shì)與犯罪特征，與自己職業(yè)的關(guān)聯(lián)度，進(jìn)而提高安全警惕。（3）掌握運(yùn)維技術(shù)。檔案管理人員不僅僅是提供服務(wù)，應(yīng)將查殺病毒、及時(shí)發(fā)現(xiàn)和修補(bǔ)漏洞、實(shí)現(xiàn)定期系統(tǒng)升級(jí)以及維護(hù)作為日常工作內(nèi)容，嚴(yán)防黑客攻擊和檔案信息泄露，相關(guān)領(lǐng)導(dǎo)部門要將管理人員的日常維護(hù)和安全管理工作納入考核評(píng)估內(nèi)容中，以此保證人事檔案信息系統(tǒng)平臺(tái)良性循環(huán)，使數(shù)字化人事檔案信息服務(wù)更具可行性和便捷性，并確保人事檔案信息服務(wù)安全。（4）嚴(yán)格履行檔案網(wǎng)絡(luò)安全管理職責(zé)。增強(qiáng)抵御檔案信息數(shù)據(jù)泄露的防護(hù)能力，避免檔案網(wǎng)絡(luò)營(yíng)銷服務(wù)管理上存在漏洞，確保人事檔案信息服務(wù)安全，營(yíng)造檔案網(wǎng)絡(luò)事業(yè)安全發(fā)展的環(huán)境。

五、嚴(yán)格執(zhí)行依法治檔的管理機(jī)制

鑒于社會(huì)上侵犯公民個(gè)人信息犯罪越來(lái)越囂張的勢(shì)態(tài)，檔案管理部門要站在依法管理檔案事業(yè)的新高度，以嚴(yán)格執(zhí)行檔案法律為遵循，提高防范意識(shí)，未雨綢繆。（1）全面加強(qiáng)依法治檔。各級(jí)檔案管理部門應(yīng)認(rèn)清信息網(wǎng)絡(luò)屢遭侵犯的形勢(shì)，明確本部門數(shù)字化檔案管理的目標(biāo)，嚴(yán)格執(zhí)行檔案法律法規(guī)的各項(xiàng)規(guī)定，全面履行法定職責(zé)，加大依法治檔踐行力度，充分發(fā)揮法治在數(shù)字化人事檔案管理事務(wù)中的作用，推動(dòng)數(shù)字化人事檔案工作沿著制度化、規(guī)范化和安全化方向發(fā)展。（2）健全數(shù)字化檔案管理機(jī)制。數(shù)字化人事檔案遠(yuǎn)比傳統(tǒng)紙質(zhì)檔案更科學(xué)規(guī)范，需要完備細(xì)化的檔案法規(guī)體系和檔案行政監(jiān)督考核機(jī)制。除了國(guó)家或地區(qū)的檔案法規(guī)制度外，還要有本單位的檔案管理制度，員工考核評(píng)估制度，包括業(yè)務(wù)素質(zhì)、服務(wù)技能、安全意識(shí)和作用效果等，以此提高人事檔案工作效果，保障監(jiān)督本部門人事檔案工作科學(xué)有序，并免遭檔案信息泄露。（3）人事檔案訪問(wèn)控制機(jī)制。數(shù)字化人事檔案使用應(yīng)在安全法律、法規(guī)、政策的支持與指導(dǎo)下，采用安全技術(shù)與安全管理措施，保證檔案系統(tǒng)平臺(tái)的可用性。第一，要使用授權(quán)機(jī)制，實(shí)行對(duì)用戶的權(quán)限控制和網(wǎng)絡(luò)信息資源的可控性。第二，要使用加密機(jī)制，確保信息不暴露給未授權(quán)的單位或個(gè)人。第三，要使用數(shù)據(jù)鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，確保信息的完整性。（4）使用審計(jì)、監(jiān)控等安全機(jī)制，實(shí)現(xiàn)信息安全的可審查性[3]。第四，是數(shù)字化檔案管理執(zhí)法機(jī)制。應(yīng)制定人事檔案信息泄密、損毀處置制度，嚴(yán)格查處數(shù)字化人事檔案管理中的違紀(jì)問(wèn)題，對(duì)本部門發(fā)現(xiàn)的各類檔案違法違紀(jì)行為（泄密、損毀、改檔、換檔、造假等），根據(jù)泄密、損毀程度的輕重，對(duì)人事檔案管理員、泄密損毀負(fù)責(zé)人要執(zhí)行“違法必究”的原則，及時(shí)依法查處查糾，追查泄密或損毀原因，制定應(yīng)急處置措施和長(zhǎng)期對(duì)策，防止類似問(wèn)題再發(fā)生。增強(qiáng)人事檔案違法執(zhí)法的嚴(yán)肅性和時(shí)效性，確保數(shù)字化人事檔案工作的規(guī)范化、真實(shí)化和安全化。

綜上所述，伴隨數(shù)字化人事檔案工作的深入推進(jìn)，各級(jí)檔案管理部門和管理人員要認(rèn)真學(xué)習(xí)國(guó)家檔案管理工作的法律法規(guī)，進(jìn)一步深化數(shù)字化檔案管理的思想意識(shí)和法制意識(shí)，在國(guó)家面臨侵犯公民個(gè)人信息犯罪高發(fā)的焦點(diǎn)時(shí)期，堅(jiān)持認(rèn)識(shí)先行，強(qiáng)化措施，加強(qiáng)管理，防患于未然，充分履行數(shù)字化檔案賦予的職責(zé)，不給侵犯公民個(gè)人信息犯罪可乘之機(jī)，確保數(shù)字化檔案資源體系的完善構(gòu)建。

[1]信息安全工程師.信息安全的基本屬性[EB/OL].[2017-07-25].http://www.cnitpm.com/pm/33452.html.

[2]百度文庫(kù).檔案安全保密制度[EB/OL].[2017-07-25].https://wenku.baidu.com/view/ce97d4a00740be1e640e9a3c.html.

[3]百度知道.現(xiàn)在的網(wǎng)絡(luò)環(huán)境存在怎樣的安全問(wèn)題[EB/OL].[2017-07-25].https://zhidao.baidu.com/question/648879712390477485.html.

On the Security Prevention Strategy of Digital Personnel Files

Ding Zhenwei Liu Sisi
（Shenyang Normal University Library，Shenyang 110034，China）

Though the personnel file is one part of the archives work，it could have economic value and be value-add after its digital conversion.Personnel files information disclosure will become the crime source of personal information violation，and thus breed a variety of crimes such as telecommunication network fraud.In view of the rapid development of the current digital system platform of personnel files，and the increasingly rampant crimes of the citizens’personal information infringement，it is necessary to strengthen the management of digital personnel files，to construct clear file ownership and management responsibilities，to improve the awareness of file security，to build a reliable file system platform，and to strengthen the professional ethics education and mechanisms of file management according to law，not giving criminals any chance.

digital;personnel files;information disclosure;security management

10.16565/j.cnki.1006-7744.2017.24.10

丁振偉，沈陽(yáng)師范大學(xué)圖書(shū)館研究館員，研究方向?yàn)闄n案管理；劉偲偲，沈陽(yáng)師范大學(xué)圖書(shū)館館員，研究方向?yàn)闄n案管理。