本文將信任構建作為檔案界與區塊鏈的共同願景,在界定“可信數字檔案”的基礎上,重點探討區塊鏈應用於檔案可信性保障的關鍵問題與發展策略。
作者:何思源
摘要:數字時代和網絡空間,現有的檔案信任體係受到了前所未有的衝擊與挑戰,區塊鏈的出現為構建更為堅實的基於數字技術的信任機制提供了契機。本文將信任構建作為檔案界與區塊鏈的共同願景,將可信數字檔案的基本屬性歸納為真實性、可靠性、完整性、齊全性和可用性,分別闡述區塊鍊和檔案學方法的信任構建邏輯及其互補性,參照5W1H的基本框架,從上鍊範圍、應用場景、上鍊時機、參與節點、技術選型等維度重點探討區塊鏈應用於檔案可信性保障的關鍵問題,並提出未來的發展策略。
信任是人類社會的基本議題。檔案作為人類社會活動的原始記錄,既是業務憑證,也是法律證據。檔案工作正是通過捍衛檔案的真實、建立對檔案的信任,才能發揮其在業務查考、決策支持、研究教育等領域的作用,進而維持組織機構乃至人類社會的良性運轉。但在數字時代和網絡空間,現有的檔案信任體係受到了前所未有的衝擊與挑戰,區塊鏈的出現為構建更為堅實的基於數字技術的信任機制提供了契機。本文將信任構建作為檔案界與區塊鏈的共同願景,在界定“可信數字檔案”的基礎上,闡述二者的信任構建邏輯及其互補性,重點探討區塊鏈應用於檔案可信性保障的關鍵問題與發展策略。
可信數字檔案
在國際檔案界,建立對數字檔案的信任主要有兩種理論邏輯,一種是保障數字檔案本身的可信性,一種是通過維護信息系統的安全可靠建立對數字檔案的信任[1]。對主要採用第一種思路的中國而言,如何理解和詮釋可信性成為關鍵。縱觀國內外理論與實踐成果,有兩個最具影響力的流派,一是國際標準《信息與文獻—文件管理第一部分:概念與原則》(ISO 15489-1: 2016)提出的“四性說”,即可信數字檔案需要滿足真實性(Authenticity)、可靠性(Reliability)、完整性(Integrity)、可用性(Useability)[2];二是InterPARES項目提出的“三性說”,即可信性包括可靠性(Reliability)、真實性(Authenticity)、準確性(Accuracy)[3]。雖然二者使用的部分術語相同,但含義存在差異。中共中央辦公廳和國務院辦公廳聯合印發的《電子文件管理暫行辦法》主要藉鑑ISO 15489的觀點,並將其修改為真實性(Authenticity)、完整性(Integrity)、可用性(Useability)和安全性(Security)。由於《電子文件管理暫行辦法》中的安全性與完整性存在概念交叉且安全性本身的邊界模糊、不易界定,本文基本採納ISO 15489的原始表述,但由於其完整性具有雙重含義,為便於表達、避免歧義,將其拆為完整性(Integrity)和齊全性(Completeness),如表1所示。
區塊鏈與檔案界的信任構建邏輯
(一)區塊鏈的信任構建邏輯
區塊鏈(Blockchain)是一種由多方共同維護,使用密碼學保證傳輸和訪問安全,能夠實現數據一致存儲、難以篡改、防止抵賴的分佈式賬本技術[4]。它不是一種獨立的信息技術,而是數字摘要、數字簽名、可信時間戳、非對稱加密、分佈式數據庫等技術的組合應用,主要通過建立在密碼學基礎上的技術邏輯實現信任構建,尤為適用於弱信任環境下的多主體協作。其不可篡改性、可追溯性、抗抵賴性與檔案可信性之間存在天然聯繫,主要涉及四個方面:
其一,區塊鏈的數據存儲結構是按時間順序排列的塊鍊式數據結構,區塊間通過哈希指針形成“環環相扣”“層層嵌套”的鍊式結構。
其二,區塊鏈與傳統數據庫的增刪改查等常規操作不同,只有新增和查詢操作,沒有刪除和修改操作(刪改均需通過新增實現),所有操作都以日誌形式完整記錄。
其三,區塊鏈的本質是分佈式數據庫,依賴P2P網絡,多節點通過共識機制共同維護、驗證數據。
其四,數字簽名能為主體身份認證提供證據。其中,去中心化、塊鍊式結構和數據操作限制使其具有不可篡改性;時序排列使其具有可追溯性;數字簽名使其具有抗抵賴性。
(二)檔案界的信任構建邏輯
在傳統環境中,對檔案的信任依賴於對檔案機構及檔案工作者職業道德的信任。在人類社會發展的早期階段,存貯檔案的場所通常具有神聖性,例如西方的神廟和中國西周時期的天府。在此階段,人們藉助機構的神聖性實現對檔案的信任。但在數字時代,檔案機構面臨著嚴重的信任危機。一方面,數字檔案具有載體和信息可分離性、易變性等特點;另一方面,隨著後現代的興起,檔案概念呈現出“泛化”趨勢,越來越多的非傳統、非官方的檔案資源進入公眾視野,例如社交媒體檔案、網頁檔案、私人檔案、社群檔案等,權威性不再是檔案資源的固有屬性。此外,隨著後真相時代的到來,官方機構的公信力受到質疑,加之網絡上關於檔案篡改的新聞層出不窮,尤其是審計、紀檢監察、司法訴訟、稅務稽查等特定場景下,傳統的檔案信任機制無法有效運轉。
為構建適應數字環境的檔案信任機制,檔案界展開了三十餘年的探索與實踐。在真實性、可靠性和完整性保障方面,已經形成基於管理與技術雙重邏輯的信任體系。其中,管理維度涉及製度規範和業務操作兩個層面,在製度規範層,需要建立規範的流程和要求,包括前端控制和全程管理;在業務操作層,需要對檔案形成至銷毀或永久保存的全生命週期管理進行元數據著錄,定期對數字檔案進行檢測。技術維度主要有用戶身份識別、權限控制、數字摘要、數字簽名、可信時間戳等。其中,最具檔案特色的是全程元數據著錄,即基於背景關係的信任構建邏輯,尤以國際標準《信息和文獻.記錄管理過程.記錄用元數據.第1部分:原則》(ISO 23081-1-2017)提出的文件管理元數據模型最為典型。該模型包括文件、業務、責任者、法規標準和關係五類實體[5],我國也據此制定了面向文書、照片、聲像等不同門類檔案的元數據方案,旨在通過呈現檔案與其業務背景間的關係構建檔案信任體系。在齊全性保障層面,系統研究了數字檔案的構成要素,形成了三要素、四要素、五要素等不同理論流派,目前得到廣泛認可的是由內容、結構、背景構成的三要素。在可用性保障層面,形成了以OAIS參考模型為框架,以保存規劃與管理方案為支撐,以格式管理、更新、複製、仿真、遷移、封裝等策略為核心的保障體系。
(三)區塊鏈與檔案學方法的相輔相成
如果將區塊鏈的可信性維護能力映射到前文提出的可信數字檔案基本屬性中,可發現區塊鏈雖然能解決真實性和完整性問題,但卻無法解決所有的信任問題。例如,區塊鏈無法確保檔案的內容與客觀事實相符,即無法解決數據上鍊前的內容真實問題(即可靠性問題)。而現有的檔案學方法雖然較為全面、系統地解決了可信性問題,但在實際操作過程中,數字簽名等技術通常依賴於特定的認證機構(如CA機構)。我國有40多家不同的CA,第一,不一定所有的單位都使用CA;第二,不同單位可能使用不同的CA;第三,同一單位內部也可能使用不同的CA;第四,不同CA間無法實現互信互認,從而影響真實性保障效果。而區塊鏈恰好可以彌補依賴特定認證機構的電子簽名等方案的不足,因此,可將區塊鏈作為檔案可信性保障的一種技術手段。
綜上,在區塊鏈應用場景中,檔案學方法(尤其是背景關係維護)能幫助其更好地實現數據可信的目標,為其提供更完整的信任構建思路;與此同時,區塊鏈也可以作為一種技術要素嵌入檔案信任機制,與現有的管理策略和技術方法融合,實現優勢互補,構建更完善的檔案信任基礎設施。本文接下來將以後者為重點,對基於區塊鏈的檔案可信性保障展開探討。
區塊鏈應用於檔案可信性保障的關鍵問題
區塊鏈與檔案界在信任構建方面具有天然的契合性,檔案界早在2015年就開始探索區塊鏈在檔案管理領域的應用。美國、英國、加拿大、中國、韓國、印度、韃靼斯坦共和國、伊朗、吉爾吉斯斯坦、博茨瓦納、津巴布韋等國高度重視區塊鏈在本國檔案領域的應用。在新技術持續迭代的時代,區塊鏈應用的首要原則是堅持業務導向,以需求引導應用,有針對性地解決業務實踐中的痛點與難點問題,避免出現盲目追逐技術熱點、“為用鏈而用鏈”的現象。本文將參照5W1H框架提出應用過程中需解決的關鍵問題,由於Why的問題前面已有所涉及,在此不再贅述。
(一)上鍊範圍(What)
檔案工作者首先需要思考哪些類型的檔案需要上鍊、哪些類型的檔案不能上鍊。就前者而言,需要考慮區塊鏈的適用性問題,尤其是“多主體”和“弱信任”兩個因素。中國人民大學信息資源管理學院劉越男教授認為,有三類檔案尤為適合應用區塊鏈,一是需要跨機構形成或處理的文件,例如合同、招投標文件、工程建設項目檔案、供應鏈檔案等;二是需要外部調用的文件,例如會計檔案等財務類檔案;三是需要跨機構共享利用的憑證文件,例如電子證照、電子學籍等業務憑證及婚姻檔案等民生檔案[6]。就後者而言,需系統考慮區塊鏈不可刪改、去中心化等特點帶來的風險。目前來看,出於安全考慮,涉密檔案不適合上鍊;含有大量個人敏感信息的檔案、到期需要處置的檔案是否可以上鍊還有待考量。尤其是需要到期處置的檔案,區塊鏈通過銷毀私鑰的方式實現數據銷毀是否能為檔案界接受仍需探討。
(二)應用場景(Where)
區塊鏈在檔案可信性保障中的核心應用場景是加強數字檔案憑證能力和支持數字檔案共享利用。第一種場景可從兩個角度進行細分:一是從生命週期角度來看,在形成機構階段,可維護數字檔案在組織機構內部從形成到銷毀或移交的真實性和完整性,為我國大力推進的電子文件單套制歸檔和單軌制管理提供了技術保障。企業檔案館(室)展開的實踐探索多為此類,例如,中國石油化工集團有限公司(簡稱“中石化”)、中國電力建設集團有限公司(簡稱“中國電建”)、上海證券交易所等單位的檔案區塊鏈項目。在檔案館階段,可維護數字檔案在長期保存過程中的真實性和完整性,夯實數字檔案館的信任基礎,例如,英國國家檔案館的ARCHANGEL項目、InterPARES項目歐洲團隊提出的TrustChain模型/項目。二是從應用深度來看,既可以將區塊鏈視作輔助性的可信性保障手段,將其作為疊加在現有檔案管理系統上的一種技術,旨在實現真實性和完整性驗證、全流程追溯,我國的項目及英國國家檔案館、InterPARES項目的案例均屬此類;也可以將其作為檔案管理系統的底層基礎設施,以期在可信性保障的基礎上發揮區塊鏈的更多價值(如智能合約驅動的業務流程自動化),例如美國特拉華州公共檔案館的Smart Records(智能文件)項目。第二種場景既包括檔案機構內部的共享、檔案部門間的共享,也包括檔案部門與其他部門間的共享,瀋陽市檔案館、中國科學院合肥物質科學研究所開展的區塊鏈項目均屬此類。典型場景之一就是民生檔案跨館出證,傳統環境下,不同地區的檔案館、辦事機構、社區服務中心等機構之間無法建立充分的信任關係,但區塊鏈的技術原理可以更好地解決跨機構信任問題,實現信任驅動共享。
(三)上鍊時機(When)
區塊鏈的技術特性能夠確保上鍊後的檔案未經非法篡改且可追溯,但其局限性也非常明顯,無法保證上鍊前的檔案可信性,因此,上鍊時機就顯得尤為重要。從理論上講,上鍊時間越早越有利於實現檔案可信,最理想的狀態是從檔案形成階段開始上鍊。但現實情況下還要考慮實際的業務需求和場景。從發展現狀來看,上鍊時機向前延伸可能會成為一種趨勢。在檔案界的早期探索中,一些檔案部門從歸檔階段開始實施上鍊,使其面臨著如何解釋歸檔前檔案可信性的問題。雖然這一問題在傳統環境中就已存在,但人們對區塊鏈給予“厚望”,希望藉助新技術推動前端控制的落地,因此,越來越多的檔案部門(尤其是企業檔案部門)與前端業務部門展開合作,逐步推動從形成階段開始上鍊,覆蓋檔案的形成、辦理、整理、歸檔、著錄、保管、查詢、處置等關鍵業務環節。
(四)參與節點(Who)
按照區塊鏈系統是否具有節點准入機制,可將其分為許可鏈與非許可鏈(即為公有鏈),許可鏈可進一步分為私有鍊和聯盟鏈。對檔案機構來說,由於檔案信息較為敏感,需在綜合考慮安全保密、系統效率(如共識算法的效率)等因素的基礎上,在去中心化和中心化之間尋求一種平衡,因此現階段主要採用的是許可鏈。在理論層面,相關學者設計的理論模型多以聯盟鍊為主。在實踐層面,部分檔案機構在起步階段採用私有鏈,隨著經驗的積累,逐步擴展外部節點,將私有鏈轉為聯盟鏈。私有鏈的優勢在於節點位於單一機構內部,較為容易部署實施,但無法實現跨機構的信任;而聯盟鏈能較好地在安全可控和跨機構信任之間實現平衡,因而受到多數檔案機構的青睞。例如,中石化在2018年的初步探索期,在公司內部選取北京、南京、東營、武漢、廣州五個節點搭建私有鏈[7],在此基礎上吸納北京市檔案局、中國人民大學電子文件管理研究中心、化工學會檔案分會、中國標準化研究院標新司法鑑定所、檔案系統開發廠商等外部節點加入,將其擴展為聯盟鏈。
(五)技術選型(How)
技術選型涉及系統架構、區塊結構、共識算法等。在系統架構方面,國內外檔案機構大多基於Linux基金會的開源項目超級賬本Hyperledger Fabric進行區塊鏈系統的開發、部署和實施。
在區塊結構方面,需要考慮檔案的存儲策略,即將哪些數據實際存儲在區塊鏈中。綜合加拿大不列顛哥倫比亞大學(UBC)Victoria Louise Lemieux[8]和我國國家檔案局蔡盈芳[9]的觀點,可將檔案在區塊鏈中的存儲模式分為四種類型:一是哈希上鍊,即僅有檔案的哈希值上鍊;二是元數據上鍊,即檔案的哈希值和部分元數據上鍊,至於具體選擇哪些元數據則視業務需要而定;三是內容上鍊,即檔案本身及元數據和哈希值上鍊;四是資產上鍊,除檔案本身及其元數據和哈希值上鍊外,檔案所記載的資產(如土地、珠寶等)被編碼為憑據(或譯為通證、代幣)也上鍊。在應用過程中,應統籌考慮業務需求、安全保密與隱私保護要求、成本(如數據庫運行壓力、算力消耗、節能減排)等因素,合理選擇相應的存儲模式。目前,我國檔案機構主要採取鏈上鍊下混合存儲的方式,哈希值和(或)部分元數據上鍊,檔案內容鏈下存儲;但在國際社會,四種類型均有涉及。
在共識算法方面,常見的有PoW、PoS、DPoS、Paxos、PBFT等。比特幣、以太坊等公有鏈項目大多采用PoW,但該算法的性能效率比較低,在私有鍊和聯盟鏈項目中的適用性不高。因此,檔案界的區塊鏈項目大多將DPoS、PBFT等作為共識機制。中國電建等單位還對共識算法作出優化,將PBFT改造為QBFT,極大地提高了共識效率[10]。
思考與展望
雖然檔案界在區塊鏈應用方面已取得一定成效,但仍處於起步階段,需在以下五個方面展開進一步的理論研究與實踐探索。
第一,強化頂層設計,優化製度供給。雖然國家檔案局連續多年將區塊鏈列入科技項目選題指南,鼓勵各地區、各單位開展實踐探索,但各項目的思路和方法存在差異,至今尚未形成普遍性的行業共識,缺乏國家層面的指導意見。而國際標準化組織(ISO)的技術報告《與權威記錄、記錄系統和記錄管理相關的區塊鍊和分佈式賬本技術》(ISO/WD TR 24332)仍處於起草研究階段,尚未發布,無法為我國檔案區塊鏈項目提供參考。因此,應積極推動國家層面的統籌規劃和整體佈局,構建區塊鏈與檔案管理的政策制度與標準規範體系,加強制度規範供給,將現階段形成的國內外有益經驗以製度規範的形式予以固化。
第二,構建跨行業的檔案區塊鏈良性生態。目前,檔案區塊鏈項目的節點數量普遍較少。從行業內部來看,需在縱橫兩個維度擴展,橫向需要聯結檔案主管部門、檔案館、檔案室、檔案行業學會、檔案服務企業、高校、科研院所等相關機構,縱向需要聯結不同層級的各類檔案機構。從行業外部來看,需要聯結法院、公證與取證機關、稅務和審計部門等相關機構,或與司法、稅務和審計、數據治理等相關領域的區塊鏈進行跨鏈融合。例如,中石化已經在規劃檔案聯盟鏈與法律鏈的跨鏈管理[11]。此外,檔案區塊鏈項目僅靠檔案部門是無法實現的,需在項目開展過程中強化與技術公司、高校、科研院所等單位的合作夥伴關係。
第三,明確區塊鏈在檔案可信性保障中的定位。目前,我國檔案機構普遍將區塊鏈視作一種輔助手段,而國外不少檔案機構將區塊鏈作為檔案管理系統的底層基礎設施。從可信性保障的角度來看,前者基本可滿足需求,但如果想基於區塊鏈的可信性保障功能探索更多的應用場景,就需要考慮後者。基於區塊鍊等分佈式賬本技術搭建檔案管理系統,必然要思考區塊鏈系統與檔案管理系統的差異、如何基於區塊鏈系統實現檔案的長期保存功能、如何將檔案管理的理論視角與實踐要求融入區塊鏈系統等一系列問題。
第四,針對檔案區塊鏈項目面臨的管理與技術難題展開重點攻關。一是上鍊前的檔案可信性保障問題。二是區塊鏈透明可信與隱私保護的平衡問題。三是檔案區塊鏈的可持續問題,如果供應商放棄或多數節點離開網絡,如何對區塊鏈系統中的檔案進行遷移,如何繼續維護這些檔案的可信性。四是區塊鏈特點與檔案管理要求之間的衝突。例如,除檔案形成階段的元數據,檔案工作者需要在全流程管理活動中持續添加元數據,且檔案保管到期需進行徹底的物理銷毀,區塊鏈不可刪改等特性使其面臨法律合規方面的風險;再如,檔案機構在長期保存過程中會定期對檔案進行格式遷移,將導致哈希值發生變化,無法完成真實性和完整性校驗。五是不同區塊鏈系統間的互操作性有待提高。在缺乏頂層設計的情況下,各地區、各單位建立的區塊鏈系統各自為政,不同系統的底層架構、區塊結構等都存在差異,容易形成新的區塊鏈孤島。六是密碼學領域的算法存在更新換代的問題,如果算法被破解或失效,以其為基礎的信任機制也將面臨巨大挑戰。可喜的是,國際檔案界已開始探索上述問題的解決方案,例如,英國國家檔案館的ARCHANGEL項目正在研發對格式變化不敏感而對內容變化敏感的哈希算法;Hrvoje Stani等學者為解決添加元數據的需要,提出“雙存儲系統”的解決方案,檔案管理系統將由保持數據不變的區塊鏈核心系統和支持部分可變的支持系統組成[12]。
第五,客觀公正地看待區塊鏈在檔案可信性保障中的作用。區塊鏈不是解決檔案可信性問題的“萬能靈藥”,無法解決所有的信任問題。甚至從現實角度來看,技術疊加的越多,其管理複雜性就越高,區塊鏈可能會使現有的檔案可信性保障體系變得更加“臃腫”、複雜。因此,部分檔案工作者認為檔案信任機制不應依賴“外物”,只需通過管理性手段完成信任構建。但數字時代,管理和技術不是非此即彼的關係,而是相伴相生。對檔案機構而言,應沉著冷靜地識別檔案可信性需求,根據實現信任需滿足的條件選擇合適的信任構建路徑與方法,同時在區塊鏈應用的過程中,要重視和規避區塊鏈可能帶來的潛在隱患或次生性問題。
參考文獻
[1] Mcleod J, Gormly B. Using the cloud for records storage: issues of trust[J]. Archival Science, 2017(2):1-22.
[2] Information and documentation – Records management – Part 1: Concepts and principles: ISO 15489-1:2016[S/OL].[2022-06-19].https://www.iso.org/standard/62542.html?browse=tc.
[3] InterPARES 2 Project. Ontology C: Trustworthiness of a record[EB/OL].[2022-06-19].http://www.interpares.org/ip2/display_file.cfm?doc=ip2_ontology.pdf.
[4] 中國信息通信研究院,可信區塊鏈推進計劃.區塊鏈白皮書(2018年)[EB/OL].[2022-06-19].http://www.caict.ac.cn/kxyj/qwfb/bps/201809/P020180905517892312190.pdf.
[5] Information and documentation – Records management processes – Metadata for records – Part 1: Principles: ISO 23081-1:2017[S/OL].[2022-06-19].https://www.iso.org/standard/73172.html?browse=tc.
[6] 劉越男,吳雲鵬.區塊鏈技術在檔案管理中應用路徑研究[J].中國檔案,2020(9):28-31.
[7] 李春艷,喬超.區塊鏈技術在大型企業集團電子文件管理中的應用——以中國石化為例[J].檔案學通訊,2020(1):13-20.
[8] Lemieux V L. A typology of blockchain recordkeeping solutions and some reflections on their implications for the future of archival preservation[C/OL].[2022-06-20].https://ieeexplore.ieee.org/document/8258180.
[9] 蔡盈芳.電子檔案管理應用區塊鏈存儲方式探析[J].檔案學研究,2020(4):104-109.
[10] 王洋.基於優化共識的區塊鏈在電子文件全生命週期真實性保障中的應用——以中國電力建設集團有限公司電子文件單套歸檔和電子檔案單套管理試點為例[J].檔案學研究,2022(2):89-96.
[11] 賀譚濤.中心動態|電子文件管理研究中心舉辦“技術變革背景下的電子文件管理實踐”學術沙龍[EB/OL].[2022-06-19].https://mp.weixin.qq.com/s/JjYNKp05hj-rjfJo_Do4DQ.
[12] Hrvoje Stani,Vladimir Brali. Digital Archives Relying on Blockchain: Overcoming the Limitations of Data Immutability[J].Computers, 2021, 10(8):1-16.
(作者單位:中國人民大學信息資源管理學院)
展開全文打開碳鏈價值APP 查看更多精彩資訊