张永强
国科大杭州高等研究院
档案是指过去和现在的机关、团体、企业事业单位和其他组织以及个人从事经济、政治、文化、社会、生态文明、军事、外交、科技等方面活动直接形成的对国家和社会具有保存价值的各种文字、图表、声像等不同形式的历史记录。档案管理是社会治理的重要组成部分。因档案形成的社会关系并不是单向的,档案不仅对国家社会治理有重要的价值,也与公民的个人信息权、隐私权相关联,更重要的是,在信息化时代,公民的个人档案信息还蕴含着极大的商业价值。这一现状决定了档案,尤其是电子档案,在管理、使用过程中必须注意公民的个人信息权利。
关于档案关系中的个人权利,有学者认为,档案个人信息保护不应采用美国的广义的隐私权模式,而应重新建立个人信息保护机制。确实,个人信息权和隐私权,是两种不同的权利,二者的指向不同。如果认为公民可以在档案关系中行使完整的个人信息权,那就意味着公民可以决定哪些信息被写进档案,可以要求档案管理机关更正、删除某些信息,这显然不符合现实。事实上,个人信息权和隐私权指向不同的事项,发挥不同的功能。个人信息权指向公民对自身档案信息的使用,公民可以凭借此权利避免自身档案信息被进行不当商业使用;隐私权指向档案信息的公开或者披露,公民可以凭借此权利避免档案中的隐私信息被不当泄露。因此,公民个人信息权和隐私权均不可偏废。
本文从个人信息权利的角度出发,考察我国档案制度中可能存在的问题,探讨相应的解决之道。
从宏观视角看,个人信息权利在我国整个法律制度中都显得比较薄弱。随着大数据在经济社会发展中的作用越来越大,人们对个人信息的保护需求也越来越大,但是与之相关的制度并没有构建起来。具体到档案管理这一微观视角,立法、制度、技术等层面上的问题也广泛存在。
虽然个人信息权利已经在《民法典》中被明确规定,《网络安全法》也对公民个人信息安全等问题做了规定。但是,并没有与档案管理相关的专门性规定。《档案法》虽然对档案的公开、使用做了较为详细的规定,但是,具体到知识产权、个人信息的时候,只以“利用档案涉及知识产权、个人信息的,应当遵守有关法律、行政法规的规定”这一条款做了笼统规定。对于是否应当使用、如何使用则语焉不详。
囿于经济社会发展水平的限制,各地在档案的管理标准和管理模式上都存在不同。标准和模式的差异化固然能够满足各地不同经济发展水平的需要,但是也给档案管理和个人信息的保护带来了诸多不便。虽然我国《档案法》引入了诸多方式去完善管理模式,例如“采用先进技术,实现档案管理的现代化”,“加强档案安全风险管理,提高档案安全应急处置能力”,但是,这些制度需要在标准上加以统一。
随着档案管理的现代化,档案整理、寄存、开发利用呈现出数字化的特征。伴随着数字化技术的引入,档案管理的技术性明显增强。与之相应,档案管理中的技术伦理色彩也在不断增强。但是,这种技术伦理在档案管理中的作用尚未得到重视,在法律规范、行业规范尚不完善的情况下,技术伦理无疑具有重要的作用。
当今社会,包括身份信息、生物信息在内的个人信息得到了广泛的重视,人们迫切需要建立一整套完善的个人信息权利保护机制。这种保护机制应当贯穿在个人信息的收集、使用、转移、披露等个人信息管理全过程。这一点,在档案管理中也有充分的体现。但是,由于立法和制度上的不完善,实践中,侵犯公民个人信息权利的现象屡禁不绝。为完善档案管理制度,保护公民个人信息权利,笔者认为应当从如下几方面着手:
虽然我国已经颁布了《档案法》,但是,《档案法》的规定呈现出“粗线条”的特征,并未就管理标准和管理模式做详细的说明。从《个人信息保护法(草案)》来看,该法律也不会将档案管理中的个人信息保护问题作为专章加以规制。这就意味着相关制度的完善需要《档案法》的修订以及相关行政立法的细化来实现。一方面,《档案法》需要从国家立法的层面将个人信息保护制度确立下来,转变管理模式;另一方面,需要以行政立法的形式将这一制度不断细化,实现法制统一。
标准化是完善管理机制的重要抓手。当前,由全国信息安全标准化技术委员会归口的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)是关于个人信息保护的主要标准。但是,这一标准从某种程度上说并不完全适用于档案管理,因为档案信息的获取、管理在某种程度上具有强制性,公民个人不能任意获取、修改。基于此,为完善档案管理相关制度,必须在相关国家标准的基础上,制定专门的标准,廓清档案管理者在公民行使个人信息权利过程中的角色。
管理工作归根结底是由人来完成的,因此,职业伦理是不能绕开的话题。技术伦理在档案管理中主要包含2个基本层面:一是以行业自律为基础的伦理规则,即在档案管理领域中形成的共识性规范;二是以技术自律为基础的伦理规则,即档案管理者在通过数字技术整理、寄存、开发相关信息时必须遵守的技术性规则。