王 英/湖北大学历史文化学院

国家档案事业“十三五”规划提出，要加快完善档案治理体系、提升档案治理能力，为夺取全面建成小康社会决胜阶段的伟大胜利作出积极贡献[1]。档案治理政策体系是档案治理体系的重要内容，影响着档案治理主体界定及权责划分的规范性和制度化问题。澳大利亚国家档案馆信息治理政策建设比较完善并已形成体系。2016年澳大利亚国家档案馆发布了《信息治理框架》（Information Governance Framework）[2]，明确了框架需要包含的关键组件。2019年12月，澳大利亚国家档案馆发布了《信息和数据治理框架》[3]，明确了信息治理政策体系。本文选取澳大利亚国家档案馆信息治理政策体系为研究对象，分析信息治理政策体系的结构与特点，为我国制定并完善档案馆信息治理政策提供启示。

1 澳大利亚国家档案馆信息治理政策体系结构

澳大利亚国家档案馆确立了以信息和数据治理框架为核心、信息管理法律为支撑、国家档案馆和政府机构的角色和职责为辅助的信息治理模型[4]。根据该模型，政策、标准、规划、战略、法律规章、国家政策等政策形式显见于微观层、中观层和宏观层，可以窥见由这些政策相互作用而形成的信息治理政策体系。澳大利亚国家档案馆的信息治理政策体系指围绕政府机构的信息和数据资产进行整体性治理而制定的一系列政策之间、同一政策内部不同要素之间以及与相关法律之间相互作用而形成的系统，其结构从上至下依次是导引层、运行层和对象层。

导引层是指导并引领政府机构信息治理执行的结构，具体包括：①法律规章（Legislation And Regulations）决定了政府机构信息治理实现的框架，包括适用于大多数澳大利亚政府机构的一般立法和影响信息治理的特定机构立法；②国家政策（Whole-of-Government Policies）决定了政府机构信息治理的基本方向和目标，这里的国家政策指的是与政府机构信息管理相关的政府层面的政策和指令。

运行层是直接影响政府机构信息治理有序运行的结构，具体包括：①信息和数据治理框架（Information And Data Framework，IDF），用以协助澳大利亚国家档案馆战略性地管理其信息和数据资产，为信息和数据资产相关的决策和活动提供了基础，并与国家档案馆和澳大利亚政府的关键标准、政策和战略相一致。②战略和规划（Strategy And Planning），需要融入政府机构战略和规划要求，信息和数据治理框架与战略和规划为信息和数据治理提供问责制度和业务指导。这些战略和规划要连接到其他公司治理框架，包括业务连续性、风险管理、劳动力规划、其他机构公司规划文件、改进信息使用以满足业务需求的行动等。③信息管理政策（Information Management Policy，IMP），为员工提供信息创建、获取和管理的指导，以满足业务、法律和利益相关者的要求。信息管理政策应该与机构信息治理框架中描述的原则、环境和方向一致，信息管理政策是否以及如何制定取决于机构的规模和性质。④国际和国家信息和数据管理相关的政策和标准（Relevant National And International Information And Data Management Standards And Policies），这些政策和标准可能对信息治理产生重要影响，而且作为信息管理政策的上位政策或标准，对机构的信息管理政策有直接的指导作用。其中①和②是从中观层面规定政府机构信息治理的具体方向和组织原则，③和④是从微观层面规定机构信息治理直接运行的活动和决策。

对象层是政府机构信息治理的对象，即信息和数据资产。澳大利亚政府将信息和数据资产视为联邦关键的战略资产与经济资源[5]，它一般分为两类：处于活动或半活动状态的公司信息和数据资产，以及根据《档案法1983》被选为联邦档案资源将被永久保存并按需使用的由联邦机构和个人创建的信息和数据集合。

2 澳大利亚国家档案馆信息治理政策体系的特点

2.1 形成了以IDF和IMP为核心的信息治理政策体系

《档案法1983》和《公共治理、绩效和问责法2013》界定了联邦机构的档案治理要求。如，《档案法1983》要求国家档案馆负责保存并向公众提供联邦档案资源；通过确定标准和向澳大利亚政府机构提供建议，监督联邦文件保存[6]；《公共治理、绩效和问责法2013》第2节要求联邦和联邦机构满足较高的治理、绩效和问责标准；第3—37节要求澳大利亚政府机构创建并保存档案，用以记录它们的绩效[7]。作为对法定档案治理要求的回应，澳大利亚国家档案馆制定了一系列政策并基本形成了以法律规章和国家政策为导引层，信息和数据治理框架（IDF）、战略和规划、信息管理政策（IMP）、信息和数据管理政策标准为运行层，信息和数据资产为对象层的较为完备的信息治理政策体系。其中，运行层是影响政府机构信息治理有序运行的要素，是该政策体系的关键内容；信息和数据治理框架（IDF）和信息管理政策（IMP）是信息治理政策体系的核心，IDF规定了政府机构进行信息和数据治理的原则、方向，而IMP规定了捕获信息、描述信息、保存信息、存储信息、保护信息和处理信息整个信息生命周期的详细方法，具有较强的操作性和规范性，可以直接用于机构的信息治理。特别是，IDF和IMP都重视系统的治理和管理。其中IDF对用于档案独特功能的系统（记录搜索档案管理系统）、行政管理系统（记录保存系统）等进行治理，以确保档案馆满足其业务需求、问责要求和利益相关者的期望。IMP认为不同机构认可的系统各不相同。一些机构可能使用电子信息管理系统，并将禁止使用共享文件夹作为永久获取信息的认可地点；其他机构可使用共享驱动器作为认可系统，并有适当的控制和协议。

2.2 重视法律规章和国家政策的指导和引领

有政府法律和政策对记录治理和信息管理的要求，才有信息和数据治理模型，进而才会形成澳大利亚档案馆信息治理政策体系。可见，澳大利亚政府法律和政策对信息治理政策具有明显的指导和引领作用，有助于预防信息治理政策目标偏离正确方向并推动信息治理政策有效执行。信息治理政策体系运行层的有效实施需要依靠广泛影响政府机构业务的制度环境，即法律规章和国家政策，这包括适用于澳大利亚大多数政府机构的一般性法律和影响信息治理的机构法律，也包括与信息治理相关的政府层面政策和指令。

2.3 强调与机构原有战略规划和相关政策的衔接

澳大利亚国家档案馆信息和数据治理框架、信息管理政策的有效运行，需要做好与政府机构原有战略规划、与机构信息和数据管理相关政策以及与档案馆信息治理存在交叉政策的衔接。第一，信息和数据治理框架是政府机构在法律、法规和业务环境下用于管理其信息和数据资产的结构，通过信息治理有助于机构优先发展战略重点、提高业务性能并降低风险。可见，信息治理根植于机构内业务环境，因此机构的原有战略规划会直接影响信息和数据资产的治理。第二，信息管理政策必须做好与国际和国家层面的信息和数据管理的相关政策和标准的衔接与兼容。因为这些政策有助于机构发展健全的信息管理实践，标准则可以支持档案馆创建和维护可靠和可用的信息和数据。比如，基于人工智能、云计算、物联网、移动互联等信息技术对档案治理的助力，信息管理政策也要兼顾与档案馆信息治理有交融或推动其发展的社交媒体政策、云计算政策、远程访问政策和移动设备政策等的衔接。

2.4 构建多元化的信息治理主体责任体系

信息治理需要依靠所有关键信息利益相关者之间的战略交互，需要建立分工明确的信息治理主体责任体系。在澳大利亚政府立法框架的支持下，各机构和国家档案馆都被赋予了管理信息和数据的责任。另外，澳大利亚国家档案馆要求设立信息治理委员会和首席信息治理官负责政府机构的信息治理工作，表明信息治理需要确认多元主体责任体系。信息治理主体的多元责任体系分为国家档案馆和政府机构两个分支。首先，国家档案馆要对信息治理负总责，具体包括：为澳大利亚政府制定档案管理政策和标准，为各机构提供档案管理的建议、指导和培训，通过发布文件保管期限表（Records Authorities）来决定联邦文件的保留和销毁以及被确定为联邦档案资源的文件的储存、保护和提供。其次，政府机构要承担信息治理责任，具体则主要由信息治理委员会或首席信息治理官组成的信息治理团队专职处理信息治理，机构负责人、高级执行官员和管理人员、经理和主管等管理层负责支持信息管理或信息治理的执行，ICT人员、档案工作人员等普通人员则开展信息管理、信息治理。

2.5 强化信息和数据安全与隐私风险控制

对于信息治理而言，信息和数据的安全防护与风险控制是其首要任务，此外隐私风险也需要重视。这一点可从澳大利亚档案馆信息治理政策体系窥见一斑，如澳大利亚档案馆信息治理政策体系的导引层和运行层都涉及风险控制和伦理管理的法律、政策和战略，如《隐私法1988》《隐私规章2013》《安全云战略》《澳大利亚网络安全战略》《AI伦理原则》《保护性安全政策框架》《澳大利亚政府信息安全手册》《风险管理政策》《隐私政策》《信息安全政策》。

之所以要强化档案安全防护与风险控制，是因为澳大利亚经过大规模的政府信息开发利用阶段，形成了大量高价值、高风险的信息和数据资产。为使这些信息和数据资产能够得到充分利用，要对机构创建的信息和数据进行治理，其间可能会遭遇下述的安全和隐私风险。如，未经授权（故意或无意）销毁资料及数据；未能识别、保护、管理、传输、存储和保存具有档案价值的信息和数据；未能按照法律规定提供存取和收集控制；网络攻击导致的个人隐私泄露等。因此，澳大利亚国家档案馆要求机构描述其需要满足的安全和隐私要求，据此提供降低风险的策略或控制措施，确保信息和数据资产得到充分保护。为确保机构满足安全和隐私要求，机构可以设立信息治理委员会和首席信息治理官、制定信息管理计划、信息管理功能检查表和信息系统结构注册表以及开展档案年度报告调查。

3 对我国档案馆信息治理政策的启示

3.1 制定信息治理政策的配套制度

信息治理政策的有效运行需要有相关配套制度作为支撑。首先，要制定信息安全政策和隐私、伦理政策。信息安全政策确保信息和数据资产的安全；此外，机构创建的信息、数据和记录暗含着直接或间接的个人可识别数据，可能因为非中立的算法（算法反映了对数据、连接、推断、解释等的选择）巩固现有的偏见或成见并加剧社会排斥和社会分层，因而需要隐私和伦理政策协调信息和数据治理与隐私和伦理的关系。其次，要制定ICT相关政策和元数据政策。ICT的普遍应用导致大量数字对象的产生，需要具备足够的元数据识别、描述和定位数字对象。因而机构需要制定ICT相关政策和元数据政策，通过记录保持元数据上下文便于管理信息，以及通过确保信息的准确性促进风险管理[8]。再次，要制定社交媒体政策和云计算政策。机构都在其业务范围内广泛应用社交媒体和云计算等新型技术并产生了各种记录，它们应该成为信息治理对象，因而机构应制定社交媒体、云计算等政策并做好与信息治理政策的衔接与兼容。最后，要制定信息和数据管理标准。元数据、信息、记录及文件管理标准、风险管理标准等也会对信息治理产生重要影响。

3.2 建立信息治理的领导和主体责任体系

档案治理具有多主体的特征，一般是指“由政府部门、私营部门、第三部门、公民个体等参与者组成的公共行动体系”[9]。在多主体的治理环境下需要清晰界定行动者的角色和责任以及参与档案治理的个人和组织要完成的任务[10]，还要构建多元化主体利益平衡机制和权责对等制度[11]，平衡各治理主体的利益关系和权利义务关系。在多主体的信息治理环境下，行动者能否实现有效合作，不仅取决于行动者和制度环境本身，还取决于双方发生联系的中间媒介——社会资本。社会资本是合作网络运作的深层机制，它塑造了网络成员对外部环境的共识，如对政策问题的共同看法，这样有助于解决成员之间的冲突、规范合作伙伴关系，从而使个人理性与集体理性趋向一致[12]。参考澳大利亚档案馆信息治理（或信息管理）主体责任体系，我国档案馆信息治理政策不仅要建立多元化的信息治理主体责任体系，更要协调好信息治理主体的关系。

此外，我国档案馆信息治理政策还必须明确信息治理主体责任体系的领导。信息治理领导是确保恰当的战略、优先事项、政策和流程成功融入组织的关键，既能最大限度地利用信息带来的机会，又能最大限度地降低信息带来的风险[13]。澳大利亚档案馆信息和数据治理政策要求各级档案馆的信息治理政策必须得到高层领导的签字和支持，确认信息治理（或信息管理）在机构中的重要性，并要求员工遵守相应要求。参考澳大利亚档案馆信息治理的领导模式，我国档案馆信息治理政策要明确机构信息治理的唯一领导（即国家档案局），确保将机构信息治理的地位提升到战略层次，并要求员工遵守信息治理原则。

3.3 建立信息治理的问责制

问责制是信息治理的重要环节，如果问责制这一更为根本的问题没有得到解决，就可能没有记录。“问责制”等同于“责任”，意味着在理想情况下应该由一个主体承担责任。问责制的主旨是确定：对管理和使用信息和数据负有总体责任的高级领导人以及对每个重要的信息和数据资产负有责任的人。问责制的核心是一名被正式指定负责全面信息治理的高级领导，即CEO或信息治理委员会主席。高级领导要负责信息治理的所有要素。同样，只有高级领导才能确保利益相关者、业务流程所有者和领域专家为信息治理提供各种支持。问责制支持机构负责地和公开地管理其信息，反过来又增加了对整个信息治理计划的信任[14]。参考澳大利亚档案馆信息治理的问责制，我国档案馆信息治理政策也要建立问责制，确定对管理和使用信息和数据负有总体责任的高级领导人以及对每个重要的信息和数据资产负有责任的人。

3.4 建立信息和数据的隐私治理框架

为应对信息和数据泄露，机构应该建立隐私框架并纳入机构信息治理框架当中，使其成为机构信息治理的一部分。澳大利亚新南威尔士州信息和隐私委员会发布了隐私治理框架，该框架利用“设计隐私”原则以整体的组织方式管理个人信息，包括设立领导和治理、规划和策略、项目和服务的提供、投诉事件管理、评估和报告[15]。该委员会将隐私和数据保护包含并嵌入到任何项目、流程、产品或系统的早期阶段，进而可尽早确定隐私问题，这样在解决问题时会更简单、成本也更低，并提高各机构的隐私和数据保护意识。参考澳大利亚的隐私治理框架，我国档案馆信息治理政策应建立信息和数据的隐私治理框架并嵌入到机构的整体信息治理框架，因为它需要在机构内由强大的信息管理和治理来支持。

3.5 建立信息治理的审查、监督和报告机制

对机构信息治理实践的审查和监督，将有助于确定机构的信息治理成熟度并且确保机构的信息治理是否合适。澳大利亚国家档案馆的信息治理框架要求审查机构的信息治理实践和报告遵从信息治理要求的情况。参考澳大利亚的审查和报告机制，我国档案馆信息治理政策也必须建立审查、监督和报告机制。首先，机构信息治理的审查要系统地考虑机构业务、信息治理要求、隐私和安全风险、国家审计署的报告要求来审查机构信息治理活动过程，以确定其是否令人满意。对于大多数机构，信息治理审查频率为2—3年是合理的。其次，监督是对机构信息治理实践持续检查以维持对信息治理要求的知觉。监督的频率和程度取决于机构的风险评估和对风险解决方式的选择，也可将监督机构的信息治理实践合并到更广泛的机构监督和评估程序中。再次，机构应该将满足和遵从信息安全需求、隐私法要求和信息自由法要求等情况向信息治理的唯一领导（即国家档案局）进行报告，并可用于详细说明机构的审查和监督活动结果[16]。