袁双云

数字档案是需要有效管理的数字资产，数字档案的管理问题归根结底就是数字档案的信任问题[1]。在数字环境中，档案和数据的问题是一致的。今天，个人和组织在高度网络化、易受损害的环境中开展业务，其中用于数据存储和访问的云计算变得越来越普遍。在这种新的云环境下，作为数据来源的数字档案可信吗？它们是真实和完整的吗？它们是如何产生的，由谁在什么条件下产生的？是否有足够的上下文信息使它们能够被理解？它们能作为证据被法庭采纳吗？这些是在新环境中的档案管理者必须考虑的新问题。当然，数字环境中的信任问题要大得多，包括允许各方在保护隐私的同时评估身份的认证框架、组织信任和责任问题，以及更广泛的可信计算和可信环境的问题。本文旨在探讨数字档案与法庭证据的结合，以期对数字档案的安全管理提供一定的启示价值。

一、数字档案的信任

档案是有保存价值的原始记录，档案的原始性要求决定了档案不允许被篡改或破坏。然而，新环境下的数字档案对档案的原始性提出了挑战，数字档案的特点使人们无法或者很难确定其原始性。根据国家标准《电子文件归档与电子档案管理规范》,电子文件被定义如下：国家机构、社会组织或个人在履行其法定职责或处理事务过程中，通过计算机等电子设备形成、办理、传输和存储的数字格式的各种信息记录。数字档案是具有凭证、查考和保存价值并归档保存的电子文件。根据这个定义，数字档案虽已不再要求其原始性，却对数字档案的形成和保管提出了更高的要求。数字档案的信任建立在数字档案形成过程的完整性和存储过程的可靠性基础之上，依赖各参与过程的人员、系统和技术的控制。

1.数字档案形成过程的完整性。档案是行为和事务本身的证据，数字档案的形成过程包含了数字档案在建立、生成、流转和固化过程中的一系列背景和责任主体信息。其中，档案的背景信息是档案所参与的行为框架，是体现档案完整性的基本信息。对于数字档案，完整的背景信息应包括程序背景、文件背景、技术背景和司法/行政背景。程序背景是数字档案形成过程中的工作流程或程序信息；文件背景体现了文件的分类方案、索引或登记册等信息；技术背景是关于硬件、软件等技术环境信息；司法/行政背景体现了形成数字档案所使用的相关法律、法规和规范。另外，责任主体信息是指参与数字档案形成过程的一系列主体。例如，在公文形成过程中，这些主体包括文件责任人、撰稿人、发起人、收件人和归档人。责任主体是数字档案形成的基础，也在一定程度上决定了数字档案形成的质量。因此，完整的责任主体信息同样是数字档案必不可少的信息。

2.数字档案存储过程的可靠性。在计算机数据存储过程中，具有固定形式和稳定内容的数据被认为是可靠的数据。可靠的数字档案同样要求其在存储过程中能保持档案形式的固定和内容的稳定。数字技术的特点之一是数字材料可以很容易地生成、改变、组合和共享。固定的形式是指相同的内容只能以预先确定的一系列可能性呈现，即如果数字档案的二进制内容被存储，即使它的数字表示已经更改，例如从“.doc”更改为“.pdf”，它所传递的内容也只能以它第一次保存时在屏幕上的内容显示来呈现，则表明该数字档案具有固定的形式。在这种情况下，可以对同一存储档案进行不同的文档表示。内容稳定意味着档案数据或内容不能被有意或无意地更改、覆盖或删除。尽管数字档案会由于不同操作系统或应用程序，产生不同显示效果，但是只要在受到固定规则的控制时，相同的查询或交互总是产生相同的结果，则内容被认为是稳定的。

二、数字档案证据的信任

世界权威取证科学家Jason Jordaan将数字取证定义为“数字证据的识别、保存、检查和分析，使用经过科学认可和验证的过程，并在法庭上最终呈现该证据以回答某些法律问题”[2]。据此定义，数字取证是使数字记录能够成为法庭证据的技术验证过程。数字档案能否作为法庭证据，也需要经过数字取证的过程。在数字取证中，真实性意味着数字记录中的数据或内容是它们声称的，以及由它们声称的来源所产生的。“源”是指一个人，一个系统、软件，或一块硬件。真实性意味着完整性。在数字取证中，完整性有四种类型：基于位的完整性、副本完整性、计算机系统完整性和过程完整性。

1.基于位的完整性。数据完整性是指在没有适当授权的情况下，数据不会被有意或无意地修改。基于位的完整性，不仅是位的保真度，也是位的顺序的保真度。在数字世界中，原始的位是有序的，如果位的顺序改变，那么相同的位就具有不同的值。例如“100”，所传递的值是4，如果顺序改成“010”，值是2。要证明真实性，必须证明数据位的完整性没有丢失。通过权限和访问控制可以防止故意更改，而要避免意外更改则需要有额外的防护硬件或软件。除此之外，还需要有更多方法以检验数据位的完整性，例如审核日志并使用校验算法（如校验和、散列算法等）。

2.副本完整性。副本完整性是指在给定数据集的情况下，创建数据副本的过程不会有意或无意地修改数据，副本是原始数据集的精确位副本。这种完整性非常重要，因为人们只能通过复制来保存数字记录。在数字取证中，这种“复制”指的是包含磁盘映像的完整图像复制。磁盘映像是存储介质的逐位复制，是存储设备所有扇区（包括索引文件、已删除文件和闲置空间）的完整磁盘副本。创建磁盘映像在取证中非常重要，它可以确保磁盘信息不会在无意中更改，可以在原始证据上重现取证测试结果，还可以捕获操作系统在使用时通常不可见的信息（包括内存、页面文件、引导扇区、BIOS）。由于人们每次访问电脑时文件系统的一些元数据就会改变，因此数字取证专家还会利用时间戳将副本完整性与时间联系起来。

3.计算机系统完整性。计算机系统完整性意味着当使用和操作正确时，计算机会产生准确的结果。这表明所涉及的系统将以不受损害的方式执行其预期的功能，并不受各种有意或无意的未经授权的操纵。计算机系统完整性包括硬件完整性和软件完整性。硬件的完整性需要验证两个方面的内容：一是采取足够的安全措施，防止未经授权或未被跟踪的对计算机、网络、设备和存储的访问；二是具备稳定的物理设备，保存可靠的系统信息，包括用户权限、密码、防火墙和系统日志。其中，系统日志是一组自动创建的文件，包括Web日志、访问日志、事务日志和审计日志等，用于跟踪所采取的操作、服务运行、访问或修改的文件、时间、用户和地点。例如，法庭越来越多地要求利用系统日志证明计算机系统的完整性。当系统配置正确时，系统日志能够捕捉发生的错误，提供事件的即时通知，监视系统和设备，确定人员责任，为不可预知的事件提供必要的“黑匣子”。计算机软件的完整性可以根据可重复性、可验证性、客观性和透明性来推断。在计算机领域，如果理论、程序或过程正确，就可以基于系统的设计要求对软件系统的完整性进行推断。系统的完整性设计要求通常包括：一是经过检测或不能篡改；二是经过同行评审或遵循标准；三是已知或潜在的错误率可接受；四是被相关科学界普遍接受。

4.过程完整性。过程完整性是指尊重收集、恢复、解释和提交数字证据的正式法律要求。过程完整性的评估基于不干涉原则和识别干涉原则。不干涉原则是指用于收集和分析数字数据或数字档案的方法不改变数字实体；识别干涉原则是指，如果使用的方法确实更改了实体，则可以识别更改。这些原则体现了数字取证专家的道德和专业立场，与档案人员的传统公正立场相一致，也与他们作为中立第三方或受信任的保管者的责任相一致。

三、法庭上数字档案证据的信任

信任是法庭接受文件材料作为证据的根本。数字档案通过数字取证可作为法庭证据，但在法院的审理过程中，为证明证据的可采性，需要按照法律的认定规则来确定，例如鉴定规则、最佳证据规则、传闻规则等。根据鉴定规则，作为法庭证据，提供的数据、文件、记录必须能够被证明是真实的。在庭审举证过程中，认证是通过权威声明的方式来证明真实性。该声明通常由举证人就记录的存在性、实质内容作证。证据链是推断真实性和验证记录的基础，法庭上数字档案信任的基础是要形成数字档案保管链，即保存有关记录及其变化的信息，表明特定的数据在给定的日期和时间处于特定的状态。举证人负责建立证据的真实性基础。反对方有权对证据的可信度提出质疑，他们有权怀疑证据并不是举证人所声称的那样。一些法律专业人士质疑，鉴于数字材料及其制作和存储系统的复杂性，反对者有可能对数字证据的真实性提出合理的质疑[3]。对数字材料真实性的质疑，可能要求访问生成信息的系统，以确定在生成证据时该系统是否在正常运行。一些专业人士主张，有必要将受理规则的重点从数字档案转向数字档案系统。事实上，现行的法规和证据规则已经导致有的法律学者认为存在“真实性危机”[4]，这也对现行的数字档案系统提出了更高要求。

四、基于法庭证据的数字档案信任框架

数字档案能否作为证据被法庭采纳，通常需要经过三个过程的信任检验。首先，数字档案自形成之日起就面临信任问题，要证明其可信就是要检验档案形成过程中档案信息的完整性以及档案存储过程中档案数据的可靠性。其次，作为计算机数据来源的数字档案，需要通过数字取证技术以检验其作为数字档案证据的可信度。数字取证是一种计算机技术声明，以证明该记录是它在某一特定时刻所声称的内容。最后，数字档案证据能否被法庭采纳，还需要依据现行法律的认定规则。基于法庭证据的数字档案信任框架如下图1所示。

图1 基于法庭证据的数字档案信任框架

总之，信任问题往往很难孤立，而且常常与隐私、安全和管理权限问题联系在一起[5]。基于云计算的存储和管理可以减轻档案管理许多财务负担，但是在这个过程中会产生许多新的令人不安的问题。如果要相信云中的数字档案，就必须回答信任问题。新环境下的数字档案已经出现信任危机，也对现行法规提出了质疑。技术不会停滞不前，需要法律和监管体系迎头赶上。