田呈彬+王寧

摘要：希拉里“郵件門”事件是檔案意識與文件風險管理意識的缺乏、文件與檔案部門和安全部門監(jiān)管不力以及技術防范和法規(guī)遵從執(zhí)行不到位所致，該事件產(chǎn)生了破壞文件與檔案完整、侵犯美國公民信息權利和損害政府公信力等后果。本文基于希拉里“郵件門”事件的成因以及后果和國外的經(jīng)驗，研究了我國政府電子郵件風險規(guī)劃、識別、評估等風險管理因素，并以希拉里“郵件門”事件為啟示提出了我國政府電子郵件風險管理的應對策略。

關鍵詞：郵件門政府電子郵件風險管理

2015年3月3日，《紐約時報》報道了希拉里在擔任國務卿期間使用個人電子郵件而非政府電子郵件處理政務，且私自刪除3萬多封電子郵件，并清除痕跡，這可能違背了美國聯(lián)邦政府要求政府官員間的通信應作為機構檔案加以保存的規(guī)定。[1]4月，身陷“郵件門”的希拉里宣布參加總統(tǒng)競選，而10月末，美國聯(lián)邦調(diào)查局（FBI）調(diào)查希拉里同事阿貝丁的丈夫時，發(fā)現(xiàn)了希拉里與其團隊來往的3萬多封電子郵件。[2]最終，希拉里因“郵件門”失去原有支持者的信任而導致敗選。希拉里“郵件門”事件在世界范圍引起劇烈反響，也引發(fā)筆者對我國政府電子郵件風險管理的思考。

一、希拉里“郵件門”事件的成因及后果

（一）希拉里“郵件門”事件成因

1.文檔管理部門和安全部門監(jiān)管不力。美國政府文檔管理機構和安全部門對希拉里用私人電子郵箱處理政務活動的行為缺乏有力監(jiān)督。一方面，相關部門沒有禁止希拉里使用個人電子郵箱處理政府事務，也沒有明確“私郵公用”行為的違法違規(guī)性，使得希拉里及其團隊有空子可鉆；另一方面，對希拉里將公務電子郵件視為私人文件而私自收發(fā)和處理，以及私自刪除重要性未經(jīng)審核的電子郵件等違規(guī)行為，政府文檔管理和安全部門竟然未加關注。作為政府機構的重要官員，希拉里在處理政務時使用私人電子郵箱的行為應被禁止，至少處理政務活動的行為應受到有關部門的有力監(jiān)管。

2.檔案意識和文件風險管理意識薄弱。處理政務活動的電子郵件是對政務活動的原始記錄，并具備構成電子文件的各要素，理應作為政務活動的依據(jù)被歸檔保存，何況美國聯(lián)邦政府明確要求政府機構官員間的通信應作為機構檔案被保存。但反觀希拉里及其團隊，不僅使用私人服務器和電子郵箱收發(fā)、存儲郵件信息以處理政務，還私自刪除3萬多封重要性不明的電子郵件。這都是將電子郵件視為個人非正式文件而未交由文檔管理部門歸檔保存的不當行為。顯然，希拉里及其團隊缺乏檔案意識。同時，保障電子文件載體和信息內(nèi)容安全十分必要。然而，希拉里及其團隊還對電子郵件的處理缺乏正確認識和合理控制，使重要文件“流落”于他人電腦之上。面對調(diào)查者詢問如何保障個人服務器上可能涉及國家安全等電子郵件的安全，希拉里多次回答“我不清楚”?？梢哉f，希拉里對電子文件面臨的風險并未有正確認識，電子文件風險管理意識十分薄弱。

3.技術防范和法規(guī)遵從執(zhí)行不到位。2014年12月，希拉里私人服務器中的3萬多封處理政務活動的郵件交由美國國務院審查。其中，8封含有頂級機密信息，而另外36封和2000封分別被審查為涉及機密信息和應被歸為秘密級別。[3]如此重要的信息，理應予以技術防范，但事實并非如此。由于私人服務器和私人郵箱安全性低，容易成為網(wǎng)絡黑客的入侵對象，希拉里團隊成員點開黑客鏈接后造成信息泄露以及后來維基解密相繼曝光了來自民主黨委員會內(nèi)部和希拉里團隊競選經(jīng)理郵箱內(nèi)的重要郵件就有力地證明了這一點。美國《聯(lián)邦檔案責任法》禁止政務人員使用非政務電子郵件系統(tǒng)發(fā)送郵件，《聯(lián)邦檔案法》規(guī)定應將在政府工作中形成的政務郵件保存至國務院服務器中，而且《美國信息自由法案》也保障了公民獲取政務信息的權利。希拉里理應遵守有關規(guī)定，使用符合安全保密規(guī)范、機密性很強的機構服務器和電子郵箱，并遵照規(guī)定的文件管理流程保存政務郵件，但希拉里卻使用私人郵箱、私人服務器收發(fā)、保存郵件，而且還私自刪除部分郵件，這些行為明確違犯相關法律法規(guī)。

（二）希拉里“郵件門”事件后果

1.違背相關規(guī)定，侵犯公民權利?！睹绹畔⒆杂煞ò浮分袑φ畔⒌墨@取權、公開方式和豁免公開以及政府信息的可分割性提出了具體要求，保障公民能夠正常獲取所需政府信息，這體現(xiàn)了美國政府對維護公眾自由獲取信息權利的重視。但希拉里使用私人郵箱處理政務活動，將這些政務文件視為私人文件處理，甚至刪除，使公眾無法獲取所需公開的政府信息。這種行為違背了美國有關規(guī)定，侵犯了公民利用聯(lián)邦信息的合法權利。

2.破壞文件與檔案完整。為了實現(xiàn)政府職能、保障公民信息權利和國家信息安全，政府機構應要求通過公務郵箱處理、記錄政務活動，并對作為政務活動完整記錄的電子郵件及時歸檔保存。然而，希拉里私自使用私人郵箱處理政務、蓄意刪除重要性不明的郵件內(nèi)容的行為，嚴重破壞了應被歸檔保存電子郵件的完整性，不利于實現(xiàn)其價值。

3.失去民眾信任，損害政府公信力。希拉里在擔任美國國務卿期間，民眾對她的支持率高達69%，而“郵件門”事件后，民眾支持率下降到46%左右。[4]顯然，“郵件門”事件使民眾對政府公信力產(chǎn)生懷疑，而且維基解密網(wǎng)站曝光了近2萬份民主黨全國委員會可能與希拉里有關的內(nèi)部郵件，勢必會使這種不信任進一步加深。

二、從國外實踐談我國政府電子郵件風險管理要素

國家檔案行業(yè)標準《公務電子郵件歸檔與管理規(guī)則》（DA/T32-2005）中指出，政府電子郵件是指政府部門在處理政務活動的過程中，經(jīng)由電子郵件系統(tǒng)產(chǎn)生的電子郵件。電子郵件具有交流方便、反饋迅速的特點，因此政府機構工作人員在處理政務活動時較多使用電子郵件，并成為處理政務活動的重要記錄和憑證依據(jù)。但從希拉里“郵件門”事件來看，政府電子郵件面臨不少風險，必須對此加以管理。這就需要通過合理的技術與方法防范和控制政府電子郵件面臨的風險，以最小的成本使政府電子郵件風險所導致的損失降到最低。[5]

（一）政府電子郵件風險管理規(guī)劃endprint

政府電子郵件風險管理規(guī)劃是指政府機構及其有關部門為實施電子郵件風險管理而制定的一套計劃，計劃包括確定政府電子郵件風險管理人員配置、選擇風險管理方法，并定義行動方案，然后制定電子郵件風險管理實施計劃，最后按既定目標實施風險管理。[6]

美國較早要求將電子郵件信息管理納入建設開放政府和實現(xiàn)數(shù)字政府轉(zhuǎn)型的目標中。2012年8月24日，美國總統(tǒng)行政辦公室管理、國家檔案與文件署（NARA）等發(fā)布了以管理電子郵件信息為目標之一的《管理政府文件指令》，要求到2016年，聯(lián)邦機構要以可訪問的電子形式管理永久和短期電子郵件文件。此后，NARA又于2013年8月發(fā)布了《郵件文件管理的新方法指南》，面向美國聯(lián)邦機構的電子郵件管理新方法Capstone也應運而生。Capstone將文件管理理念嵌入到電子郵件歸檔中，各聯(lián)邦機構只需將Capstone這種理念嵌入到已有的文件管理系統(tǒng)中。Capstone依據(jù)機構電子郵件用戶的職能或職位來分類、設置郵件，然后從機構或分支機構的高層官員賬戶中捕獲應該得到永久保存的電子郵件，并劃分這些賬戶為“高級賬戶”和“低級賬戶”。最后，通過賬戶來對電子郵件信息進行保管期限劃分和最終處置。[7]

可見，美國有實施電子郵件管理的較完善的、配套的管理體系和方法以保障電子郵件（尤其是高級賬戶電子郵件）被實時分類、保存和處置，避免電子郵件出現(xiàn)丟失等風險。而我國政府機構也應充分考慮現(xiàn)狀、人員組織和可調(diào)用的資源等多種因素，有秩序、有步驟地開展規(guī)劃活動，并制定配套方案和制度。同時，既要考慮當前規(guī)劃，又要考慮緊接著的風險識別、評估與應對等環(huán)節(jié)。而獲取信息是風險規(guī)劃的前提，對此，應使用調(diào)查評估表、風險識別表等技術與工具收集信息以更好地確定風險管理的方法、數(shù)據(jù)資源和工具，更好地開展人員組織和風險管理周期制定等工作。在政府電子郵件風險管理中，可采用電子文件風險管理“九步法”，即從戰(zhàn)略階段到分析、評估階段再到實施后續(xù)階段等九個步驟。[8]“九步法”使電子郵件風險管理每一階段內(nèi)的各步驟緊密相連，形成一套完整、行之有效的電子郵件風險管理流程。

（二）政府電子郵件風險識別

政府電子郵件風險識別是指以目標偏離法為基本方法，對比電子郵件管理的預期目標和目標實際達成的相符度識別風險是否存在，[9]如果實際情況比預期目標差，那么就有風險。簡言之，政府電子郵件風險識別就是通過科學的方法和路徑找出可能引發(fā)風險的風險源并進行預防，以保證政府電子郵件的真實、完整、可用、安全等質(zhì)量目標。

澳大利亞國家檔案館設計的業(yè)務系統(tǒng)文件管理功能評估框架主要包括三部分：第一部分是針對系統(tǒng)內(nèi)的信息風險評估，即系統(tǒng)內(nèi)文件信息可能存在的風險、系統(tǒng)風險容忍度等；第二部分主要是系統(tǒng)功能評估；第三部分是制定的具體的實施方案。[10]不難發(fā)現(xiàn)，在框架制定之初，澳大利亞國家圖書館就充分考慮了系統(tǒng)管理的風險要素識別及監(jiān)控，對于信息的可靠性、系統(tǒng)的導入導出功能、風險容忍度等進行識別和評估，充分考慮到風險失控的后果，并提出相應的解決方案。

我國政府實施電子郵件風險管理時也應借鑒這種做法，將風險管理納入到電子郵件系統(tǒng)管理制度的設計中，識別出在后續(xù)的操作和管理中可能存在的風險，并對這些風險進行監(jiān)控，制定相應的風險管理方案。

政府還應在識別風險時分清風險因素、風險事故以及風險后果。風險因素是造成損失的內(nèi)在原因，是指某風險事故發(fā)生或提高這種發(fā)生可能性以及損失程度提高的原因或條件。風險事故則是造成損失的外在原因，指造成財產(chǎn)等各種損失或傷害的偶發(fā)性事件。[11]而風險后果則是由風險因素和風險事故這些內(nèi)在或外在原因造成的意外的損失。其中，風險因素和風險事故是風險防范和控制措施的施行對象，因此在電子郵件風險識別中，既要在電子郵件生成、流轉(zhuǎn)和保存環(huán)節(jié)中兼顧三者，又要以風險因素和風險事故為重。

（三）政府電子郵件風險評估

政府電子郵件風險評估是指針對已確認的風險，通過定量分析方法測量風險發(fā)生的可能性和破壞程度，[12]確定風險后果大小，并以風險大小對風險定級和排序。政府電子郵件風險等級由電子郵件重要程度、風險發(fā)生可能性和頻率以及風險后果嚴重性等因素綜合決定，政府機構應針對不同風險等級制定相應的風險應對策略和措施。實踐中，可通過“風險發(fā)生的可能性”和“風險后果等級”兩指標來評估政府電子郵件風險等級，風險可能性越大、風險后果等級越高，那么風險等級則越高，而且風險后果等級在風險評估中的比重要大于風險發(fā)生的可能性（如圖1所示）。當然，操作中可進一步細化風險等級評估要素，也可考慮加入其他科學合理的指標實施全面的風險評估，然后通過為風險責任主體合理分配風險責任，使各風險責任主體在擔責的同時，促進他們綜合協(xié)調(diào)、更積極努力地開展風險管理工作。

三、對我國政府電子郵件風險管理對策制定的啟示

對政府電子郵件風險實施規(guī)劃、識別和評估工作后，應針對評定的風險等級而采取對應措施預防、控制風險。

（一）制定法律法規(guī)和政策標準，完善制度體系建設

如前文所述，美國較早地開始了對政府電子郵件管理進行國家層面的布局，出臺了《聯(lián)邦檔案責任法》《郵件文件管理的新方法指南》等配套性和完整性都較高的法律法規(guī)和政策指南，卻依然出現(xiàn)各種“郵件門”事件。而國內(nèi)關于電子郵件管理的法規(guī)、標準和指南等少之又少，更缺乏針對政府電子郵件風險管理的法律、標準等，且已有法律等多強調(diào)個人隱私保護。為此，中央政府、立法機構和國家檔案局應做好頂層設計，首先要肯定電子郵件在文件中的重要地位，同時設計包含電子郵件在內(nèi)的電子文件管理總體思路和宏觀框架體系并提出總體要求，然后通過制定與實施有關法規(guī)、標準等予以實現(xiàn)。地方行政、立法機構和相關文檔管理部門應承上啟下，既要符合上級總體要求和框架設計，又要依據(jù)地方實際制定合理的法律法規(guī)和政策標準，引導與規(guī)范政府電子郵件風險管理，并審計和監(jiān)督下級政府機構的政務電子郵件管理工作。[13]另外，各基層政府機構和機構內(nèi)部文檔管理部門等政府電子郵件風險直接應對主體，應按本機構實際、遵循有關規(guī)定和要求，確定電子郵件銷毀、長期保存或者永久保存的范圍和條件，并制定從電子郵件生成、保護、流轉(zhuǎn)、歸檔和利用、處理等不同階段的風險管理策略，識別風險因素并以此制定與實施電子郵件風險管理細則。endprint

（二）明確風險責任主體，增強人員檔案與文件風險管理意識

一是加強機構內(nèi)人員管理，明確風險責任主體。按職能、職位對機構人員授權以約束機密信息接觸者的行為，當員工調(diào)崗或離職時，也應收回其權限；對機構人員進行保密與安全培訓，簽訂保密協(xié)議。還應明確風險責任主體，即確定保障電子郵件安全的責任人，誰負責誰擔責。電子郵件風險管理實踐中，可參照《突發(fā)事件應對法》，采取統(tǒng)一領導、綜合協(xié)調(diào)、分類管理、分級負責、屬地管理相結合的應急管理體制以應對突發(fā)事故，并構建起完善的責任體系。二是增強機構人員檔案意識和文件風險管理意識。政府電子郵件理應被視為檔案予以保存，因此有關機構應制定相關規(guī)定，并對機構人員進行培訓以增強其檔案意識，使其謹慎對待政務電子郵件、維護電子郵件完整性、真實性和可用性與安全性。而文件風險管理意識薄弱是政府電子郵件風險管理的障礙之一，也應予以增強。具體來說，要改變思維方式和工作方式、遵循機構電子郵件管理條例和標準，學會識別風險因素、正確使用電子郵件、禁止可能產(chǎn)生風險的行為，使電子郵件風險管理與機構文件風險管理保持一致。還要認識到電子郵件信息泄露或丟失、損壞等風險因素可能導致經(jīng)濟數(shù)據(jù)和軍事機密等被竊取和利用，從而導致影響國家經(jīng)濟和軍事活動的嚴重后果。

（三）加強技術防范，增強風險發(fā)生后的可逆性

政府機構文檔管理部門和安全管理部門應運用技術手段防范電子郵件安全風險。一是可設置機構內(nèi)部員工IP、按員工職能設置權限，同時按文件重要性設置文件密級并進行相應的加密處理，使無關者即使獲取文件也因沒有密碼而無法讀取。另外，機構可采用系統(tǒng)日志審計子系統(tǒng)，通過監(jiān)控員工IP記錄操作行為防范和追責。還可使用USB電子鎖等技術防止有關人員拷貝相關重要文件信息。二是為應對網(wǎng)絡黑客等入侵機構網(wǎng)絡而竊取、損壞、竄改機密信息，政府機構應利用病毒防護軟件和防火墻技術以防護網(wǎng)絡病毒、隔離機構內(nèi)外網(wǎng)，形成網(wǎng)絡軍事區(qū)，使非授權者無法輕易登錄機構內(nèi)網(wǎng)對電子郵件造成風險。同時，應增強電子郵件風險發(fā)生后的可逆性?？蓪w檔保存的電子郵件進行備份，以避免自然災害或軟硬件損壞導致信息丟失產(chǎn)生的風險，也可和電子郵件服務商合作，保存電子郵件的源代碼和相關電子簽名信息，防止電子郵件被偽造和竄改，維護文件的合法性。最后，為防止電子郵件內(nèi)傳輸?shù)奈募桓`取后泄密，有關部門和人員應事先使用文件加密技術對實施加密，保障通過電子郵件安全傳輸文件，從而使非法用戶無法截獲、讀取文件。

注釋及參考文獻：

[1]中國新聞網(wǎng).希拉里陷“郵件門”涉違規(guī)被抨擊“試圖掩藏什么”.[EB/OL].[2017- 02- 05].http：//news.sina. com.cn/o/2015-03-04/005431563927.shtml.

[2]搜狐新聞.FBI重啟電郵門調(diào)查，希拉里總統(tǒng)夢會破碎嗎？[EB/OL][2017-02-06].http：//news.sohu.com/ 20161031/n471861964.shtml.

[3]鳳凰資訊.希拉里“郵件門”事件最全梳理.[EB/ OL].[2016-11-01]. http：//finance.ifeng.com/a/20161101/ 14977563_0.shtml.

[4]黃霄羽，崔文健，劉力超.檔案視角評析希拉里郵件門事件的警示[J].檔案學研究，2016（1）：77（頁碼范圍）.

[5][8]馮惠玲.電子文件風險管理[M].北京：中國人民大學出版社，2008.

[6][12]張寧.思維的“逆行”——電子文件風險管理解析[J].中國檔案，2010（7）：59-61.

[7]加小雙，祁天嬌，周文泓.美國政府電子郵件信息管理的分析與啟示[J].檔案學研究，2016（6）：114-115.

[9][11][13]張寧.電子文件風險管理：識別與應對[J].電子政務，2010（6）：24-30.

[10]Assessing information management functionality in business systems–NationalArchives of Australia，Austra？ lian Government[EB/OL].[2016-05-12]

http：//www.naa.gov.au/information-management/ digital-transition-and-digital-continuity/information-isinteroperable/assessing/index.aspx.endprint