杜 劼/南京大学信息管理学院

关键字：非国有档案；数据监管；档案监管

当前，我国公有制经济蓬勃发展，非公有制经济也取得了长足发展，非国有企业、社会服务机构和个人形成档案的构成越来越丰富、类型越来越多样、内容越来越详实，档案价值日益凸显，这对新时代档案管理提出了新的要求。档案行政监管是指档案主管部门在其职权范围内依法对档案馆等组织的档案事务和档案工作人员进行监管，2020年我国新修订《档案法》增加《监督检查》专章，明确档案主管部门对档案馆和机关、团体、企业事业单位以及其他组织进行监督检查的行政权力，特别要求加强档案行政监管[1]。但目前，行政监管仍是我国档案工作实践的一个短板，尤其是非国有档案的监管，仍存在许多亟待解决的现实问题。

本文主要研究非国有档案中“对国家和社会具有保存价值”档案的监管，明确这一部分档案的所有者为非国有组织和个人，具有私有性。同时这部分档案对国家和社会有重要保存价值而具有“国家档案资源”[2]的属性，应受《档案法》保护，也应受《档案法》监督，确保其完整、安全并得到有效利用。

1 非国有档案监管面临的困境

1.1 监管对象多元且分散

由于“对国家和社会具有保存价值”的非国有档案形成主体多元且分散，对其监管的难度也很大。一方面，随着非国有企业、社会服务机构等单位业务的调整以及个人社会实践活动的丰富，需要被监管的档案范围不断扩大、档案数量不断增加。另一方面，许多非国有企业、组织等对于档案管理工作的重视程度还不够，尚未形成完善的档案管理机制，有保存价值的各类非国有档案未被纳入系统管理范围，这使得后续监管难度增加。另外，从监管的角度来说，“对国家和社会具有保存价值”非国有档案的所有权属于非国有企业、社会服务机构以及个人，国家对非国家所有档案监管的“底线”控制、“度”的把握是在实际操作中需要细致考虑的问题。

1.2 监管依据不充分

在国家层面，我国《档案法》及《档案法实施条例（修订草案征求意见稿）》均规定了“非国有企业、社会服务机构等单位和个人形成的档案，对国家和社会具有重要保存价值或者应当保密的”，国家应对其进行监管。但这些规定偏重于宏观层面，总体上较为概括，缺乏整体的原则和连贯性，且至今国家层面还没有专门发布有关非国有档案监管方面的政策法规。此外，关于微观层面的非国有档案监管范围的确认、认定登记制度的实施等仍需一整套完整的政策法规体系作为支撑。在地方政策层面，按照《档案法》规定，目前我国各省市已相继制定发布有关非国有档案的管理办法，如《北京市非公有制企业档案管理指南》《江苏省非国家所有档案管理办法》等，但此类管理办法中规定的非国有档案范围较为笼统。且由于市场经济迅速发展，“对国家和社会具有保存价值”的非国有档案范围处于动态变化的状态，其价值含义不断丰富，范围不断扩大，而现有法律法规体系革新缓慢，这使得现有的法律制度难以对处在变化中的非国有档案进行有效规制。

1.3 监管范围不明确

目前，我国各省市已制定发布的有关非国有档案管理规范，如《福建省非国家所有档案管理暂行办法》《天津市非国家所有档案管理规定》等，都列出“对国家和社会具有保存价值”的条款作为监管依据，但大部分条款只是列出笼统的范围，且与《企业档案工作规范》及《私营企业档案管理暂行规定》中所规定的范围有一定重合。总的来说，虽然这些地方规定有助于细化监管范围，但是其涵盖面依然狭窄，且大部分条款内容比较笼统，监管范围仍不明确。此外，有的地方未出台相关规定，或出台的规定不涉及监管范围，非国有档案监管工作难以实现统一化、标准化和规范化。

1.4 监管场景复杂多变

对“对国家和社会具有保存价值”的非国有档案进行监管的目的之一就是确保其安全可控。当前监管对象和监管环境都在快速变化，监管场景的复杂性首先体现在监管对象的复杂性上。非国有档案管理情况复杂，当前保管条件是否符合条件是档案主管部门对非国有档案进行监管时需要最先考虑的问题。此外，“对国家和社会具有保存价值”的非国有档案确需出境时的审批问题、非国有企业合并、解散、破产时档案的处置问题等时有发生。监管场景不同，档案主管部门所采取的监管方式也要相应发生变化；同时在不同的场景下，不仅需要档案部门进行监管，还需要联合其他部门，如海关部门、网信办、工商部门等进行协同监管。复杂的监管场景给档案安全监管效能的及时性、有效性和长久性增加了难度。

1.5 监管方式较为被动

在实际工作中，档案主管部门的监管对象主要为国有档案，监管方式以集中监管为主，若对非国有档案采取同样的监管方式，在实践中工作量极大，可行性较低。此外，由于非国有档案归属及所有权的问题，以及《私营企业档案管理规定》规定的“私营企业应遵循自我管理、自我完善、自我发展的原则，集中统一管理本单位各种门类和载体的档案”，造成了档案主管部门在尊重非国有组织及个人自主性的基础上，监管方式较为被动，有可能出现对“对国家和社会具有保存价值”非国有档案情况不明的现象，直至只有在非国有档案确需出境或破产处置时才能真正对其进行监督管理。当前《档案法实施条例（修订草案征求意见稿）》提出地方档案主管部门建立认定和登记制度监管“对国家和社会具有保存价值”非国有档案[3]，在完善的法规标准下，此类登记制度将有效解决监管方式较为被动的问题，以全面掌握“对国家和社会具有保存价值”非国有档案的基本情况及其流向。

2 档案监管与数据监管的关系

2.1 档案监管与数据监管的内在联系

在概念的内涵上，《数据安全法》和《档案法》中“数据”和“档案”的概念，均为广义上的“记录”，二者在内涵上互有交叉。从来源上看，数据和档案的产生主体均包含机构、组织、企业、个人。随着数字环境不断发展变化，档案与文件、信息、数据等的界限日渐模糊，“数据态”成为新的档案存在形态[4]。从档案管理与数据处理的关系上看，数据处理与档案管理分别处于数据管理活动中的前后端，既在管理对象上存在交叉，又在管理环节上互为补充，具有管理环节上的衔接性。在监管方面，档案与数据中蕴含着大数据时代需重点关注的安全问题，档案治理和数据治理具有安全需求方面的相似性。此外，数据监管已积累了大量理论和实践的经验。

2.2 档案监管与数据监管的区别

在概念上，数据本质是用来办事的工具，档案的本质是原始记录物。数据可用于交易，而《档案法》明令禁止买卖属于国家所有的档案。因此在监管方面，二者也存在显著差异，首先是监管对象的差异，其次是监管目的的不同。数据安全监管的目的是评估数据风险，在防范风险的基础上尽可能发挥这些数据的作用，让信息的作用最大化，从而实现数据的效益最大化。而档案安全监管的目的在于管控已确定收集范围的档案，确保其安全保管，并待后续利用。相对而言，对档案的安全监管更为严格。此外管控结果也存在差异，对数据的安全监管基本是对数据处理过程的管控，在其形成、存储、传输过程中确保其安全。而对档案的安全管控基本是对已形成档案的结果管控，确保档案实体及信息安全。总的来说，虽然数据监管和档案监管在安全方面有着相同的需求，但二者在管控对象、管控目的、管控结果上都存在明显差异性。

3 数据监管的经验与启示

3.1 数据监管的经验

3.1.1 政策层面：建立数据安全法律保障体系

我国已有《网络安全法》《民法典》《数据安全法》《个人信息保护法》4部涉及数据安全的法律，构成数据安全保护基本法律框架。吉林省、贵州省、海南省、广东省、天津市等地也相继出台数据安全相关地方法律法规。为确保《数据安全法》有效实施，中国人民银行、工信部、科技部等各部门纷纷发布相应规定，规范各行各业中数据管理工作，提高数据安全保护能力。此外，围绕基本法制定的配套法规制度与相关国家规定也在加快制定出台，涵盖了数据跨境流动、个人信息保护、新技术新应用数据安全等多个方面[5]。总的来说，由于数据应用具有广泛性，监管部门各司其职，制定了一系列政策法规，织牢了数据治理法律法规网络，对数据进行管理和保护。

3.1.2 对象层面：加强数据分类分级管理

《网络安全法》《数据安全法》《个人信息保护法》都提出数据应实行分类分级保护制度。2021年12月，全国信息安全标准化技术委员会发布《网络安全标准实践指南——网络数据分类分级指引》，给出了网络数据分类分级的原则、框架和方法，用于指导数据处理者开展数据分类分级工作。2022年1月，全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别指南》征求意见稿，给出识别重要数据的基本原则、考虑因素以及重要数据描述格式，用于指导开展重要数据识别工作[6]。这对于数据的分类分级管理具有现实指导意义。

3.1.3 主体层面：落实企业主体责任

我国数据监管正从各部门分散监管向以中央网信部门统筹协调转变发展，数据安全执法监督机制不断完善。如，中央网信办、工信部等部门多次联合开展针对App违法违规收集信息、侵害用户权益的专项整治行动。2020年，工信部网络安全管理局指导中国互联网协会充分发挥行业组织自律职能，制定发布了《电信和互联网行业网络数据安全自律公约》。此外，2021年发布的《互联网平台落实主体责任指南（征求意见稿）》要求互联网平台经营者落实与数据安全、个人信息、隐私保护相关的主体责任[7]。

3.1.4 实践层面：完善数据安全监督检查机制

在建立数据安全认证体系方面，2021年，工信部回复人大建议时提到正在组织研究数据安全保护认证体系，制定行业数据安全保护能力的评定规范。建立由行业组织、科研机构、骨干企业共同参与的评估认证机制，指导开展相关认证工作[8]。

在网络数据安全公共服务平台建设方面，2020年7月，“电信和互联网行业网络数据安全公共服务平台”上线试运行[9]，旨在为《网络安全法》等法律法规有效落地、落实企业责任提供支持。平台囊括数据安全合规性评估、数据安全评估评测工具、移动应用程序数据安全评测等六大核心功能，为提升行业数据安全管理信息化水平、服务行业企业开展数据安全评估与技术检测提供支撑。

在示范试点方面，2021年12月，工信部组织开展工业领域数据安全管理试点工作，以探索构建工业领域数据安全管理体系，有效保障数据安全。试点旨在加强试点成果转化应用，完善工业领域数据安全制度规范和工作机制，遴选一批示范企业、优秀产品和典型解决方案，形成可复制可推广的管理模式，提高行业数据安全保护水平[10]。

3.1.5 人员层面：加大数据安全人才队伍建设

针对数据安全问题，我国各部门通过设立相关学科与研究院、设立培训考核、开展校企联合培养等方式，大力加强数据安全学科建设和人才队伍建设。如，中国信息安全测评中心成立中国网络空间安全协会大数据安全人才培养基地，并选拔国家级合作支撑单位，推动国家互联网网络安全大数据人才体系建设[12]。

3.2 数据监管的启示

统观数据安全治理的相关举措，从顶层设计到科学监管，各举措环环相扣。以加强顶层设计为例，不仅有国家层面的基本法律框架，也有各省市结合自身特点制定实施的法规，还有各行各业主管部门制定的行业规范，由上而下形成了坚固的法律法规体系，保障数据安全治理实施有法可依。此外，为确保政策有效落地，积极落实各方主体监管责任，加强数据安全监管的相关配套设施建设、人才队伍建设，并组织开展试点示范，探索形成可复制可推广的管理模式。监管举措体现在数据治理的每一个关键环节，形成有效的监管体系，切实规范行业发展，使数据开放共享和数据安全保护之间取得平衡。

4 构建非国有档案监管体系

4.1 政策层面：完善法律法规体系

依法治档的前提是有法可依。总体而言，我国目前与非国有档案相关的法律法规层次不一，关于非国有档案监管方面的规定也不甚明晰，此外，关于法律之间的联动协作也较为薄弱。档案主管部门应完善非国有档案监管的法律法规，应以《档案法》为主线，围绕《档案法》提出的有关非国有档案管理方面的规定，制定出辅助《档案法》实施的切实可行的政策法规。如，《档案法》二十二条规定了非国有档案的保管、寄存和征购的相关要求，但没有明确非国有档案的监管原则、监管范围、监管方式等细化的规定，导致在实际工作开展过程中缺乏监管依据。需要完善非国有档案监管的法规体系，从国家到地方再到各重点行业，制定有关非国有档案管理秩序的规定，形成与非国有档案监管相配套的法规制度。此外，非国有档案监管的档案法规体系还需根据实际情况的变化适时修改或修订，做到与档案实践活动同步。

4.2 对象层面：探索非国有档案分级分类管理

探索非国有档案的分级管理，需要给出界定“对国家和社会具有重要保存价值”非国有档案的原则，确定“对国家和社会具有重要保存价值”非国有档案范围，建立“对国家和社会具有重要保存价值”非国有档案目录，明确该范围内的非国有档案将重点受到档案主管部门的监督管理，根据目录了解本区域内非国有企业档案的形成特点与分布规律，进而实现主动监管。

探索非国有档案的分类管理，还应联合其他主要部门，针对我国重点行业企业、新兴行业、境外企业档案、企业重点档案（如企业知识产权档案）等，在保护国家安全与利益、公民合法权利的前提下，按照档案的形成场景及管理特点进行分类监管。

4.3 主体层面：鼓励多方力量参与合作监管

随着非国有档案门类以及数量的增多，非国有档案所面临的安全压力不断大，档案主管部门作为单一的监管主体，其监管压力不断上升。档案行政监管需建立多主体协同的工作框架，推动档案监管朝着更加专业和高效的方向发展。首先，应主动厘清非国有档案监管过程中涉及的其他主要部门，理顺不同部门的分工和协作关系，积极构建或者参与形成不同部门间的档案协同监管机制，协同或配合国资委、工信部、工商总局等部门和机构，在部门层面、部门与地方之间，建立健全监管体系和监管机制。

4.4 实践层面：完善配套监管措施

应探索非国有档案认定审批与登记平台建设，这对于贯彻落实《档案法》及后续有关非国有档案范围界定的有关法规标准都有重要的现实意义。建立全国统一的网上平台，引导非国有企业进行注册登记，形成数字化的非国有档案登记目录，便于对非国有档案进行统一把控，掌握档案情况，也便于后续的流向监控。

开展评估工作是对监管工作成效的检查和反馈，上级档案主管部门对下级档案部门进行管理评价时，可增加非国有档案监管评估方面的检查。设立适当的评价标准，建立评价机制，监督下级档案主管部门非国有档案监管工作的开展情况，定期对非国有档案的监管情况进行评价，形成档案主管部门对于非国有档案监管的闭环，实现有效监管。