电子记录的法律规范

  最近,在各种媒体上频频出现一个词“法规遵从性”(Compliance),其含义就是企业和组织在业务运作中,不仅要遵守企业自己的各项规章,而且要遵守政府和行业制定的各项法律、法规及各种规章,同时又能证明自己确实做到了相关的要求。

  过去信息主管面对的信息技术的挑战主要来自成本、性能、容灾等,但是今天他们要增加一个考虑要素,那就是法规遵从性,因此,他们需要一种新的信息管理策略来满足法规遵从性的要求。

  以美国证券交易委员会SEC(Securities & Exchange Commission)中对交易记录保存所作规定为例。其中规定,如果会员单位、经纪人或经销商使用电子存储介质,则对电子记录有以下要求:

  只能以不可改写、不可擦除的格式保存记录;

  自动验证存储介质记录过程的质量和准确性;

  将原存储介质和其副本单元(如果合适)以及此电子存储介质上存储的信息的保留期的日期和时间序列化;

  有能力应交易委员会或自律机构的要求随时下载电子存储介质上保存的索引和记录;
 
  对电子记录所作出的以不可改写、不可擦除的格式保存的要求是要确保信息的完整性。

  验证信息质量和准确性实际上也是对信息完整性的要求,在SEC所规定的“能够及时下载保存在电子存储介质上的索引和记录”,是对电子记录的可存取性的具体规定。当然,保密性对所有经济运营来说也是一个重要考虑事项。

  再以大家最近普遍关注的美国萨班斯-奥克斯莱法案(Sarbanes-Oxley)法案为例,看该法案如何明确规定了各公司对信息保存的要求:

  对信息保护的能力,要求公司运用“细致入微”的存取控制和保护手段,防止非授权或因疏忽而更改、毁坏或破坏业务记录和财务信息;

  对信息准确跟踪的能力,要求公司能够提供审计人员与保存关键记录和信息的系统之间所有交互行动的“审计轨迹”,信息和记录以及文档管理软件、硬件和安全存储环境形成了关键的“内部控制”,它确保各公司其财务和业务信息是准确和可靠的;

  对信息长期保存的能力,要求公司确保用于保留要求记录的存档和存储系统和介质将支持长期可靠存取,对某些特定信息要求保存长达七年的时间。

  通过上述几个美国法案中对电子记录规定的举例,我们可以看到其中对电子记录有三个共同的基本要求:第一个要求是确保信息的完整性,第二个要求是维护信息的保密性,第三个要求是确保信息能够在适当的时间以适当的格式访问。

  其实,最近在美国推出的众多法案中,对电子记录在这三个方面都有相关的明确规定。可以说,记录的完整性、保密性和可存取性贯穿于全部管理法规要求。因为记录管理实际上就是记下那些对于企业和组织的业务非常重要的事情作为历史备案,便于审计及今后的所有调查、取证和分析等工作。

  人员、流程、技术三环节

  当然,从信息技术的角度去审视法规遵从性,除了以上三个基本要求外,还涉及到人员、流程和技术三个重要环节。这些环节一定要与企业或组织的业务目标和管理政策相结合,具体结合的情况可归结为以下三个方面:

  信息和记录管理政策和程序

  企业和组织应当对其信息和记录管理政策和做法加以定期审查,使所记录的信息和数据能够反映该企业和组织当前的运营结构、法律和法规环境、诉讼历史以及业务目标。

  领导支持和组织架构

  企业和组织高层主管应当认识到信息和记录管理的重要性,而且他们在开发、管理和推动各项计划中能够发挥积极作用。此外,高层管理人员必须经常向所有员工和雇员明确信息和记录管理的策略和内部的规定,并且还配备必要的管理和监督人员。

  技术环境

  从大量案例看,许多信息和记录管理的失败源于企业在业务记录创建、保存和管理所用信息技术方面的不当投资和管理。电子邮件和其他形式的电子信息等的存储和处理应引起企业和组织的认真对待,以便确保这些以电子形式存在的记录能够像纸质信息那样得到同等的照顾和关注。

  信息生命周期的角色

  值得注意的是,在技术的采用、过程的执行和人员的协调中,业务记录是其核心和焦点。业务记录是有生命的,每一条信息和每一份业务文档都有一个生命周期,从创建或捕获起,历经多次修改、转发和批准,接触许多不同的应用程序,直至最后被处置掉。

  经历了一个生命周期的过程,我们可以将业务记录的管理纳入到整个业务记录生命周期管理中来考虑,这就是信息生命周期管理的观点。

  因而,协调人员、过程和技术来实现法规遵从性,第一步是理解业务记录的生命周期,并对所有业务记录按照其重要性和价值进行很好的分类。然后,按照业务流程中所制定的各项策略选择业务记录的存储环境,确保在做到法规遵从性的同时,降低业务记录的存储和管理的费用和成本。

  这就是以信息生命周期管理的策略来强化法规遵从性的一个重要目的,也是当前信息系统主管为满足法规遵从性的需要所寻求的新的信息管理的策略。

  总之,面对经济和技术快速发展的今天,要做好法规遵从性,确实是一个巨大的挑战,但同时又是一个极好的机遇,它促使我们的企业和组织去认真思考和审视当前信息管理的策略及各项工作,把我们的信息技术用得更好、更加安全和有效,帮助我们在新一轮的全球竞争环境中取胜。

  阅读关于 法规遵从性 信息生命周期 的全部文章