某市级档案馆启动了馆藏历史档案的数字化建设工程,将一批年代久远的历史档案和文献资料委托给一家数字化服务公司进行扫描、整理和建库。这批档案中包含了从民国时期到上世纪九十年代的部分政府公文、会议记录、人事档案和城建规划资料,具有较高的历史价值和研究价值,同时其中也包含了一些尚未解密的敏感信息。
档案馆与数字化公司签署了保密协议,要求公司员工在扫描过程中不得私自翻阅档案内容、不得拍照、不得将档案带出工作场所。数字化公司为此专门在档案馆内设立了临时的扫描工作区,安装了监控设备,并对参与项目的员工进行了保密培训。项目初期一切都在按照规范执行,保密措施落实到位。
但随着项目周期的推进和任务压力的增加,一些规定开始在执行层面逐渐松动。部分扫描员为了提高效率,开始使用个人手机拍摄档案页面,然后在休息时间通过手机进行快速整理和分类。为了与同事沟通档案中难以识别的文字和编码,他们还通过即时通讯工具发送了扫描件的截图。这些行为在不知情中已经违反了保密要求。
项目结束后的一段时间,档案馆的工作人员在网上的一些历史研究论坛和古籍交流群中,陆续发现了一些与馆藏档案内容高度一致的图片和讨论。经过核实,这些内容确实来自正在数字化中的馆藏档案。由于在项目执行过程中档案页面被拍照和截图,并通过即时通讯工具和社交平台传播,已经导致了部分敏感的档案内容在未经授权的情况下扩散到了互联网上。
这个案例反映出的问题在档案、图书、文献等大量纸质资产的数字化项目中具有相当的普遍性。数字化服务商的员工信息安全意识参差不齐,而项目管理者在任务压力和成本控制之下,往往会放宽对保密要求的执行力度。项目初期的严格管理随着时间推移逐渐松懈,到最后验收的时候可能已经发生了多次违规行为。档案馆和图书馆在选择数字化服务商时,应当将信息安全管理能力作为核心评估标准,并建立贯穿项目全过程的监督机制。对于涉及尚未解密的敏感档案的数字化项目,应当采取更严格的物理隔离和技术管控措施,例如在项目工作区禁止携带个人手机和拍照设备,使用档案馆提供的专用扫描设备和存储介质,对操作过程进行全程监控等。历史档案的数字化建设功在当代、利在千秋,但不能因为追求数字化效率而损害了档案原件所承载的信息安全。
从外包项目管理的更广泛角度来看,这个案例还揭示了项目周期越长、参与人员越多、保密压力越大,保密管理的执行力度就越容易出现持续减弱的现象。项目初期的高压严管状态,随着工期推进和疲劳累积,很容易演变为选择性执行,直到最后一检查发现多处违规。针对这种情况,档案馆等公益性机构在设计数字化项目时,应当将信息安全管理与项目进度考核挂钩,设立独立的安全监督岗位,全程跟踪保密规定的执行情况。安全监督员应当有权叫停违规操作,有权要求整改,而不是只是挂名而已。同时,在项目分包和转包管理上也需要注意,数字化项目中可能存在层层转包的情况,每一次转包都会增加管理和监督的难度,原始签订合同的甲方无法直接约束最终执行项目的人员。这种管理链条的拉长本身就是一种安全风险,需要在项目规划和合同管理阶段就予以充分考虑和有效限制。
