近年來，世界先進(jìn)國(guó)家為節(jié)約經(jīng)費(fèi)投入、提高服務(wù)效率而在政府部門推行“云優(yōu)先”（Cloud First）戰(zhàn)略，即在未來政府部門信息化業(yè)務(wù)采購(gòu)和系統(tǒng)更新時(shí)，優(yōu)先考慮使用云計(jì)算模式。該戰(zhàn)略實(shí)施后，政府業(yè)務(wù)迅速向云環(huán)境轉(zhuǎn)化，據(jù)調(diào)研[1]，截止到2014年，10%的美國(guó)政府部門將其一半的主要信息化業(yè)務(wù)轉(zhuǎn)向云環(huán)境，而50%以上的政府部門將其10%以上的信息化業(yè)務(wù)轉(zhuǎn)向云環(huán)境。政府部門迅速向云環(huán)境轉(zhuǎn)移，直接造成大量電子文件在云中形成和保管，而在轉(zhuǎn)移之前，由于對(duì)云中文件管理的問題未進(jìn)行提前規(guī)劃和研究，導(dǎo)致各種安全和利用問題，影響電子文件的憑證價(jià)值。本文通過分析云計(jì)算環(huán)境下各國(guó)政府電子文件管理遇到的挑戰(zhàn)和最佳實(shí)踐，為我國(guó)政府機(jī)構(gòu)應(yīng)用云計(jì)算實(shí)施電子文件管理的提前布局和籌劃，提供思路和啟迪。

1 云計(jì)算環(huán)境下國(guó)外政府電子文件管理背景

云計(jì)算，指的是一種“支持無處不在、便捷、按需網(wǎng)絡(luò)訪問可配置計(jì)算資源共享池（例如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)器、應(yīng)用程序和服務(wù)）”[2]的模式，這種模式可以在最少化管理支持和與服務(wù)商交互的情況下迅速配置和發(fā)布。采用云計(jì)算可以大幅度降低機(jī)構(gòu)信息化方面的投資費(fèi)用、提供更高的數(shù)據(jù)安全保護(hù)和更大的數(shù)據(jù)存儲(chǔ)容量，因而各國(guó)開始在政府部門大力推行使用云計(jì)算服務(wù)，其中美國(guó)、澳大利亞、英國(guó)走在前列。2010年美國(guó)發(fā)布《聯(lián)邦政府云計(jì)算戰(zhàn)略》（Federal Cloud Computing Strategy），啟動(dòng)基于云計(jì)算的官方網(wǎng)站Recovery.gov，自此大量政府部門，例如美國(guó)財(cái)政部、美國(guó)海軍等開始采用和運(yùn)行基于云的服務(wù)，風(fēng)險(xiǎn)最低的電子郵件類型電子文件率先被移動(dòng)至云中管理；2011年，英國(guó)政府在其制定的《政府云戰(zhàn)略》（Government Cloud Strategy）中，規(guī)定所有政府部門的信息化產(chǎn)品采購(gòu)都應(yīng)優(yōu)先采用云服務(wù)，英國(guó)國(guó)會(huì)檔案館成為英國(guó)國(guó)會(huì)第一個(gè)應(yīng)用G-Cloud框架來存儲(chǔ)電子文件的部門；2013年，澳大利亞發(fā)布《澳大利亞政府云計(jì)算政策》（Australian Government Cloud Computing Policy），規(guī)定澳大利亞政府部門在適用云計(jì)算的條件下必須采用云服務(wù)，南澳大利亞檢察院、法院、公共信托部門等政府部門使用eMinisterials、SirsiDynix等云服務(wù)進(jìn)行文件管理。

2 云計(jì)算環(huán)境下國(guó)外政府電子文件管理面臨的主要挑戰(zhàn)

當(dāng)各國(guó)政府機(jī)構(gòu)部門開始在云環(huán)境中履行自身業(yè)務(wù)職能時(shí)，政務(wù)電子文件也開始在云環(huán)境中形成和管理。從國(guó)際經(jīng)驗(yàn)來看，使用云計(jì)算對(duì)電子文件管理帶來了積極有效的影響，例如降低文件的保管成本、提升電子文件長(zhǎng)久保存能力等，同時(shí)也帶來各種文件管理問題。以美國(guó)為例，美國(guó)政府部門向云環(huán)境中移動(dòng)大量電子郵件進(jìn)行存儲(chǔ)和管理，由于云服務(wù)缺乏自動(dòng)鑒定和歸檔功能，上百萬份電子郵件分布在各處，當(dāng)需要移交至檔案館進(jìn)行長(zhǎng)久保存時(shí)，機(jī)構(gòu)難以刪除臨時(shí)電子郵件和區(qū)分那些具備永久和長(zhǎng)期保管價(jià)值的電子郵件，造成大量電子郵件無法有效分類和歸檔。因此，美國(guó)國(guó)家檔案館明確指出：“聯(lián)邦機(jī)構(gòu)將電子文件轉(zhuǎn)向云環(huán)境中，如果不提前規(guī)劃好文件管理問題，將面臨如同火車失事般文件管理的災(zāi)難問題?！盵3]與美國(guó)一樣，其他國(guó)家政府也在實(shí)踐中發(fā)現(xiàn)云環(huán)境中出現(xiàn)各類電子文件管理問題，突出性的問題包括違反文件和檔案管理法規(guī)、真實(shí)性、完整性和電子文件安全問題。

2.1 違反文件和檔案管理法規(guī)問題

國(guó)際上一些政府部門基于成本和發(fā)展成熟度的考慮，選擇一些大型跨國(guó)公司云服務(wù)商，例如亞馬遜公司、微軟公司云服務(wù)等管理和存儲(chǔ)政府電子文件。當(dāng)政府部門采用跨國(guó)云服務(wù)商提供的云服務(wù)時(shí)，云服務(wù)設(shè)施可能處于境外，意味著政府文件可能存放在境外的某臺(tái)服務(wù)器上，這違反了本國(guó)檔案法、隱私法等政策法規(guī)，原因在于：第一，政府文件特別是政府核心文件，存放在境外違反了本地的文件和檔案管理法規(guī)對(duì)涉密文件的管理要求；第二，文件實(shí)際存放地和文件形成地區(qū)檔案管理的法律法規(guī)效力不等同，例如澳大利亞國(guó)家檔案館指出：“不是所有地區(qū)都具備像澳大利亞和新西蘭法律法規(guī)同等強(qiáng)度要求的對(duì)隱私或個(gè)人信息保護(hù)和管理的法律法規(guī)，這些地區(qū)的云服務(wù)商很可能不遵循文件形成地區(qū)的法律法規(guī)標(biāo)準(zhǔn)”，這就意味著存放在文件形成區(qū)域以外的文件無法受到和本國(guó)相同級(jí)別的法律保護(hù)；第三，文件存放在境外，很可能會(huì)受到存儲(chǔ)地區(qū)法律法規(guī)的控制和約束，例如美國(guó)的《愛國(guó)法》規(guī)定，美國(guó)政府有權(quán)對(duì)存儲(chǔ)在美國(guó)境內(nèi)的任何數(shù)據(jù)進(jìn)行審查，即使信息所有權(quán)不屬于美國(guó)。這就意味著如果政府部門使用的云服務(wù)商，其基礎(chǔ)設(shè)施位于美國(guó)，那么就有可能在對(duì)云服務(wù)商進(jìn)行司法調(diào)查等特殊情況下，政府電子文件有可能在不被征詢甚至是通知的情況下，被美國(guó)法律要求強(qiáng)制公開利用。

2.2 政府電子文件真實(shí)性和完整性問題

各國(guó)政府部門向云環(huán)境轉(zhuǎn)移電子文件，檔案部門很快發(fā)現(xiàn)現(xiàn)有云服務(wù)缺少文件管理要求的，在文件生命周期中持續(xù)維護(hù)文件真實(shí)性、完整性所需的功能，正如美國(guó)國(guó)家文件和檔案管理署在《云計(jì)算環(huán)境下文件管理指南》中特別指出:“目前政府機(jī)構(gòu)使用的云服務(wù)可能缺少在文件的生命周期中維護(hù)文件的真實(shí)性和完整性功能”，主要體現(xiàn)在：第一，云服務(wù)未采用足夠的審計(jì)控制功能，難以對(duì)文件操作進(jìn)行準(zhǔn)確跟蹤，無法判定文件是否被修改、何人何時(shí)修改，這會(huì)影響對(duì)文件完整性的判斷；第二，云服務(wù)缺乏足夠的元數(shù)據(jù)說明文件管理的背景信息。元數(shù)據(jù)是說明文件背景、內(nèi)容和結(jié)構(gòu)及其長(zhǎng)期管理的數(shù)據(jù)，元數(shù)據(jù)通過實(shí)現(xiàn)文件可檢索、可說明來確保文件的真實(shí)性和完整性，而云服務(wù)商系統(tǒng)的功能可能無法容納所需的元數(shù)據(jù)字段，或?qū)崿F(xiàn)元數(shù)據(jù)的自定義擴(kuò)展，或無法自動(dòng)捕獲業(yè)務(wù)元數(shù)據(jù)和實(shí)現(xiàn)元數(shù)據(jù)與相關(guān)數(shù)據(jù)關(guān)聯(lián)。另外，云服務(wù)商更換所有權(quán)也可能導(dǎo)致新服務(wù)商不遵循原有合同，無法知道數(shù)據(jù)的歷史處理操作和利用信息，影響數(shù)據(jù)完整性。

2.3 政府電子文件安全問題

政府電子文件采用云保管和機(jī)構(gòu)本地系統(tǒng)保管，都面臨同樣的安全問題。例如，防止非法入侵、篡改、利用等。除此之外，云環(huán)境中還存在一些特殊的安全風(fēng)險(xiǎn)，包括銷毀安全、利用安全和移交安全，這主要由云環(huán)境的特殊性造成，具體包括：（1）銷毀安全：由于云服務(wù)商可能會(huì)在異地、多個(gè)地點(diǎn)存儲(chǔ)文件拷貝，一旦決定刪除，無法確認(rèn)電子文件是否從所有服務(wù)器站點(diǎn)刪除干凈，這對(duì)于一些隱私或敏感信息文件，風(fēng)險(xiǎn)是巨大的；（2）利用安全：利用安全問題主要來源于三個(gè)方面，第一，政府部門采用云服務(wù)，文件有可能會(huì)被非法利用，特別是在云服務(wù)商將其一部分業(yè)務(wù)外包，或者是云服務(wù)商將多個(gè)機(jī)構(gòu)文件混合存放在一起的情況下；第二，云服務(wù)可能存在服務(wù)中斷期（例如網(wǎng)絡(luò)關(guān)閉期、服務(wù)商破產(chǎn)、網(wǎng)絡(luò)黑客攻擊等），文件在這段時(shí)間可能無法及時(shí)利用，對(duì)政府業(yè)務(wù)活動(dòng)來說，中斷利用可能會(huì)造成嚴(yán)重的政府業(yè)務(wù)中斷。另外，越來越多的政府機(jī)構(gòu)應(yīng)信息公開法的要求公開其政府信息，利用中斷可能會(huì)使信息無法及時(shí)公開使用；第三，云中文件數(shù)據(jù)量的大小也會(huì)影響文件的獲取和利用，美國(guó)國(guó)家文件和檔案館的前法律代表Jason.R曾說過：“在云中提交信息很容易，但是在緊急情況下，將數(shù)據(jù)從云中以特定形式取回不容易，在數(shù)據(jù)的提取方面存在一些問題。”[4]這種問題尤其會(huì)在數(shù)據(jù)量大或是對(duì)文件頻繁檢索利用時(shí)出現(xiàn)；第四，利用無法延續(xù)：當(dāng)云服務(wù)商停止運(yùn)行、倒閉或由其他公司接管的情況下，文件可能會(huì)丟失；（3）移交安全：在云服務(wù)的合同終止期，云服務(wù)商需要將文件移交返還給機(jī)構(gòu)，云服務(wù)商可能不愿返還文件，或是在要求高額費(fèi)用的情況下退還；也可能發(fā)生云服務(wù)商更新硬件或軟件，造成文件返還時(shí)機(jī)構(gòu)無法讀取。澳大利亞政府部門曾經(jīng)采用云服務(wù)保管文件，服務(wù)商以私有格式存儲(chǔ)信息，當(dāng)服務(wù)期終止返回給機(jī)構(gòu)時(shí)，機(jī)構(gòu)無法將這些格式導(dǎo)入到自有的文件保管系統(tǒng)中，如果將這些私有格式進(jìn)行轉(zhuǎn)換，又會(huì)產(chǎn)生高昂的費(fèi)用，故被迫繼續(xù)使用該服務(wù)商提供的云服務(wù)。

3 云計(jì)算環(huán)境下國(guó)外政府電子文件管理實(shí)踐

針對(duì)以上問題，各國(guó)頒布法規(guī)指南，提出實(shí)踐指導(dǎo)機(jī)構(gòu)。例如，美國(guó)政府發(fā)布《云計(jì)算環(huán)境中文件管理指南》（A Guide to Implementing Cloud Services）、澳大利亞文件和檔案委員會(huì)發(fā)布《云計(jì)算文件保管的風(fēng)險(xiǎn)管理建議》（Advice On Managing The Recordkeeping Risks Associated With Cloud Computing）、英國(guó)國(guó)家檔案館發(fā)布《云存儲(chǔ)和數(shù)字長(zhǎng)久保存指南》（Guidance on Cloud Storage and Digital Preservation）、澳大利亞維多利亞州政府發(fā)布《云計(jì)算背景下文件管理》（Cloud Computing:Implications for Records Management）等。各國(guó)提出的云計(jì)算環(huán)境中政府電子文件管理的最佳實(shí)踐主要可總結(jié)為明確需求、風(fēng)險(xiǎn)評(píng)估、資質(zhì)審核、合同約束和監(jiān)督實(shí)施。

3.1 明確需求

明確政府部門電子文件管理的需求是使用云服務(wù)的起點(diǎn)。英國(guó)國(guó)家檔案館指出：“對(duì)政府部門來說，先考慮需要云服務(wù)的文件管理能力，而不是選擇何種技術(shù)和云產(chǎn)品?！盵5]政府部門應(yīng)首先考慮在云計(jì)算背景下需要哪些文件管理功能需求，這些需求如何集成進(jìn)云服務(wù)中。明確需求將有助于過濾掉無法完成需求清單任務(wù)的云服務(wù)商，選擇合適的云服務(wù)商，主要包括：（1）文件的利用頻率和主要利用對(duì)象；（2）文件檢索需求；（3）文件期望的存儲(chǔ)期限；（4）特定類型文件應(yīng)遵循的標(biāo)準(zhǔn)法規(guī)；（5）文件管理的短期、中期和長(zhǎng)期存儲(chǔ)預(yù)算；（6）文件形成、管理、存儲(chǔ)、長(zhǎng)久保存、傳輸、安全功能等問題。在項(xiàng)目論證的初始階段，機(jī)構(gòu)也可以采用一些實(shí)驗(yàn)原型、測(cè)試性的項(xiàng)目來驗(yàn)證需求的可行性。

3.2 風(fēng)險(xiǎn)評(píng)估

澳大利亞維多利亞政府在其《云計(jì)算背景下文件管理》中指出：“政府部門應(yīng)當(dāng)明確向云環(huán)境轉(zhuǎn)移必須采用基于風(fēng)險(xiǎn)管理的方法?！闭块T在決定使用云服務(wù)存儲(chǔ)和管理文件前，就應(yīng)對(duì)其業(yè)務(wù)和法律風(fēng)險(xiǎn)進(jìn)行全面評(píng)估，明確是否一定要采用云，云的使用會(huì)不會(huì)影響到政府電子文件的證據(jù)價(jià)值。如果在云中保管電子文件的風(fēng)險(xiǎn)太大，也可以放棄使用云服務(wù)。例如，澳大利亞的某個(gè)政府部門原計(jì)劃采用云服務(wù)存儲(chǔ)職業(yè)健康方面的文件，經(jīng)過風(fēng)險(xiǎn)評(píng)估后，該類文件存儲(chǔ)至云服務(wù)中管理存在失泄密風(fēng)險(xiǎn)，因而放棄使用。具體來說，對(duì)政府部門電子文件采用云服務(wù)管理的風(fēng)險(xiǎn)評(píng)估內(nèi)容包括：（1）機(jī)構(gòu)應(yīng)根據(jù)文件的內(nèi)容、密級(jí)或?qū)φ畼I(yè)務(wù)的重要程度進(jìn)行分級(jí)風(fēng)險(xiǎn)分析，對(duì)于核心涉密文件交由云服務(wù)保管進(jìn)行風(fēng)險(xiǎn)評(píng)估；（2）如果文件有可能作為司法憑證，機(jī)構(gòu)應(yīng)評(píng)估如果交由云服務(wù)保管，以及在無法證實(shí)文件是否被篡改的情況下，文件的證據(jù)價(jià)值會(huì)不會(huì)降低或失效；（3）對(duì)于一些經(jīng)濟(jì)價(jià)值特別高的文件，例如專利文獻(xiàn)，是否能夠放心交給云服務(wù)商；（4）對(duì)于一些個(gè)人或政務(wù)文件，應(yīng)考慮社會(huì)公眾是否許可這些文件交由境外服務(wù)商保管。在對(duì)以上因素作綜合考量之后，才能夠確定是否采用云服務(wù)。

3.3 資質(zhì)審核

政府部門在選擇云服務(wù)商時(shí)，應(yīng)對(duì)其進(jìn)行全面、細(xì)致的資質(zhì)審核，密級(jí)較高的電子文件應(yīng)優(yōu)先選擇國(guó)內(nèi)的云服務(wù)商，而在使用境外云服務(wù)商時(shí)，也應(yīng)選擇其服務(wù)器基礎(chǔ)設(shè)施在國(guó)內(nèi)注冊(cè)的，這樣會(huì)大幅度降低文件保管風(fēng)險(xiǎn)。對(duì)云服務(wù)商資質(zhì)審核內(nèi)容包括：（1）服務(wù)商是否能夠?qū)崿F(xiàn)機(jī)構(gòu)所需的文件保管需求、實(shí)現(xiàn)的難易程度、成本等，保管需求包括額外增加元數(shù)據(jù)、文件格式遷移等；（2）服務(wù)商是否存在額外收費(fèi)，比如從云環(huán)境中將文件返回給機(jī)構(gòu)的費(fèi)用；（3）服務(wù)商是否在機(jī)構(gòu)認(rèn)可的行政區(qū)劃內(nèi)存儲(chǔ)和處理文件；（4）服務(wù)商是否同意和機(jī)構(gòu)簽署客戶隱私保護(hù)合同，確保無論信息存儲(chǔ)在何地區(qū)，都應(yīng)防止文件未經(jīng)客戶授權(quán)利用；（5）服務(wù)商是否能夠保證在合同終止后，不再保留文件和其備份；（6）服務(wù)商是否能夠按期銷毀文件，銷毀后是否能提供銷毀證明；（7）服務(wù)商是否定期進(jìn)行外部安全審計(jì)或認(rèn)證；（8）服務(wù)商控制文件利用的系統(tǒng)管理員數(shù)量和訪問控制方法；（9）服務(wù)商是否具備異地站點(diǎn)備份的機(jī)制，采用這些備份進(jìn)行完整系統(tǒng)恢復(fù)的時(shí)間，或是進(jìn)行部分文件數(shù)據(jù)集恢復(fù)的時(shí)間；（10）采用備份恢復(fù)時(shí)，能否保持文件內(nèi)容、結(jié)構(gòu)及相關(guān)元數(shù)據(jù)；（11）在云服務(wù)發(fā)生異常中斷時(shí)，服務(wù)商應(yīng)采取何種措施，以及造成損失的賠償措施；（12）服務(wù)商是否將其一部分云業(yè)務(wù)外包給第三方以及和第三方簽署的合同協(xié)議情況；（13）服務(wù)商是否取得資格認(rèn)證，例如澳大利亞政府機(jī)構(gòu)可在通過澳大利亞國(guó)家（Australian Signals Directorate）資格認(rèn)證的云服務(wù)商中直接選擇。

3.4 合同約束

政府部門應(yīng)和云服務(wù)商簽訂完善的合同，對(duì)事項(xiàng)進(jìn)行約定。合同以法律的形式將對(duì)方事項(xiàng)固定，各國(guó)都重視合同簽署的重要意義，出臺(tái)法規(guī)指導(dǎo)合同簽署中電子文件管理的相關(guān)條款，合同應(yīng)對(duì)以下事項(xiàng)進(jìn)行明確和約束：（1）文件所有權(quán)屬于機(jī)構(gòu)；（2）在機(jī)構(gòu)需要的情況下，文件和其相關(guān)元數(shù)據(jù)能夠及時(shí)返回給機(jī)構(gòu)（返回的費(fèi)用）；（3）云中文件保管的功能和元數(shù)據(jù)定義。例如，澳大利亞維多利亞州政府提出元數(shù)據(jù)信息自文件形成階段就應(yīng)捕獲，并且在文件生命周期的各個(gè)階段不斷收集；（4）文件不能用于合同中未定義的用途。例如，用戶和其他合同商數(shù)據(jù)庫進(jìn)行數(shù)據(jù)比對(duì)；（5）在機(jī)構(gòu)未出示書面許可的情況下，文件不能向第三方提供；（6）在機(jī)構(gòu)未出示書面許可的情況下，文件不能被隨意處理；（7）在機(jī)構(gòu)未授權(quán)的任何情況下，服務(wù)商不能將文件移交至第三方；（8）在合同終止時(shí)，服務(wù)商應(yīng)當(dāng)將所有文件及其元數(shù)據(jù)以可利用的形式返還給機(jī)構(gòu)，并明確其費(fèi)用和條款；（9）在合同終止時(shí)，服務(wù)商應(yīng)當(dāng)永久刪除其所有系統(tǒng)中的文件及元數(shù)據(jù)；（10）在云服務(wù)存儲(chǔ)地點(diǎn)變更、備份和恢復(fù)措施、安全控制方法變更的情況下，應(yīng)及時(shí)通知機(jī)構(gòu)。其中，特別注意應(yīng)在合同中明確規(guī)定服務(wù)期終止，文件以可讀形式返還給機(jī)構(gòu)，避免發(fā)生機(jī)構(gòu)被服務(wù)提供商強(qiáng)制要求繼續(xù)使用其服務(wù)的情況。

3.5 監(jiān)督實(shí)施

政府部門應(yīng)對(duì)云服務(wù)實(shí)施情況不斷監(jiān)督，特別是在外部環(huán)境變化的情況下，機(jī)構(gòu)應(yīng)對(duì)云服務(wù)商履行機(jī)構(gòu)文件和檔案管理目標(biāo)的情況進(jìn)行監(jiān)督，并不斷檢查出現(xiàn)的新問題。在可能的情況下，合同中應(yīng)包括服務(wù)等級(jí)協(xié)議（SLAs），說明提供服務(wù)的具體參數(shù)和最小等級(jí)等。例如，云服務(wù)的性能和響應(yīng)時(shí)間、服務(wù)速度、錯(cuò)誤更正、維護(hù)時(shí)間和桌面幫助的可用性、數(shù)據(jù)恢復(fù)和以可用形式返回所有數(shù)據(jù)的最大時(shí)間等，便于政府機(jī)構(gòu)和云服務(wù)商根據(jù)具體量化指標(biāo)監(jiān)督和核對(duì)是否完成機(jī)構(gòu)的文件管理和利用要求。

注釋與參考文獻(xiàn)：

[1]Accentureconsulting.The Road Ahead: Three Years After Cloud First[EB/OL].[2014-04-22].https://www.accenture.com/t20150523T044234__w__/usen/_acnmedia/Accenture/Conversion-Assets/DotCom/Documents/Global/PDF/Industries_7/Accenture-Government-Business-Council-Road-Ahead-Three-Years-After-Cloud-First.pdf.

[2]Peter Mell,Timothy Grance.The NIST Definition of Cloud Computing[EB/OL].[2014-04-22].http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf.

[3]Richard W. Walker. Agencies Going 'Cloud First' Face A Records Riddle[EB/OL].[2014-04-22].http://www.informationweek.com/government/cloudcomputing/agencies-going-cloud-first-face-arecords-riddle/d/d-id/1127642.

[4]AGIMO.A Guide to Implementing Cloud Services[EB/OL].[2014-04-22].http://www.finance.gov.au/files/2012/09/a-guide-to-implementing-cloudservices.pdf.

[5]Judith Lamont.Records Management in the cloud: a multidimensional issue[EB/OL].[2014-04-22].http://www.kmworld.com/Articles/Editorial/Features/Records-management-in-the-cloud-amultidimensional-issue-103362.aspx?PageNum=3.