论档案利用中的个人信息保护

余清

一、档案利用中的个人信息保护现状

随着“互联网+档案”的日益深入，档案机构为了提供更为优质便捷的服务，实现档案服务的个性化、人性化、智能化，对用户的个人信息进行收集。收集的用户信息涉及个人姓名、年龄、性别、职业、兴趣爱好、经济收入、健康状况等方方面面，涉及个人信息的档案类型也很多，例如户籍档案、学籍档案、病历档案、人事档案、会计档案、金融档案、公安档案等。档案机构为了提高档案服务质量，在利用用户个人信息提供个性化信息服务的同时，极有可能在有意或无意的情况下将个人信息泄露出去，给了不法分子非法开发和利用个人信息的机会，危害公民人身和财产安全。浙江绍兴一中将学生的个人档案上传至学校网站，该校学生、家长及部分社区干部只要在网站上输入登录名和密码登录，便可查询到学生的个人档案，这一做法使得不法分子稍用技术手段就能获取学生个人信息，从而进行非法使用，无形中给学生带来危险。2011年12月，国内最大的程序员网站CSDN网站600万用户的数据库信息包括用户的常用邮箱和密码被黑客公开，随后网上出现多家网站用户数据库连环泄露的恶劣事件。2016年8月21日，因被诈骗电话骗走上大学的费用9900元徐玉玉同学，伤心欲绝，不幸离世。据2016年中国网民权益保护调查报告显示，去年有37%的网民因各类诈骗信息而遭受经济损失，84%的网民受到个人信息泄露带来的不良影响。个人信息保护现状堪忧，社会各界纷纷呼吁采取保护措施，档案学界更应该重视档案利用和个人信息保护之间存在的矛盾。

二、档案利用中個人信息保护存在的问题

（一）个人信息保护立法工作滞后

目前，世界上有50多个国家和地区制定了个人信息保护方面的法律。以美国为例，美国于1974年出台《隐私法》广泛适用于存储在政府信息系统的个人信息隐私电子记录，以保护公民的自由和权利， 之后相继出台了一些个人信息保护法， 如《录像隐私权保护法》《驾驶员隐私保护法》《财产隐私权法》和《健康信息隐私与安全保护》等，有针对性地保护公民的个人信息。而目前为止，我国大陆仅于2012年出台一部个人信息保护专门法律，即《关于加强网络信息保护的决定》，该决定仅对公民个人身份和涉及公民个人隐私的电子信息进行保护。在提供档案利用方面目前档案馆的主要依据仍然是《中华人民共和国档案法》《中华人民共和国保守国家秘密法》《政府信息公开条例》。2003年就开始起草的《个人信息保护法》至今都没有出台，涉及到个人信息保护的法律都是零散的、个别的、抽象的，没有形成一个完整稳定的法律系统，这就导致档案机构“无法可依”，即使出现个人信息受到侵害的情况也没有具体的裁量标准，增加了档案执法部门实际工作中操作的难度。

（二）主体个人信息保护意识淡薄

档案利用主体的个人信息保护意识体现在档案产生者个人信息保护意识和档案工作者个人信息保护意识两个方面。档案利用过程中个人信息泄露其中一个重要原因就是档案产生者信息意识淡薄，对个人信息管理不够重视，或是在与他人交往中随意将个人信息透露出去，或是因为一些微不足道的利益出卖自己的信息，或是在向档案馆移交、捐赠、寄存档案时，对其档案中涉及个人信息的部分没有提出限制利用的要求，当因此出现严重后果时才追悔莫及。另一方面，档案工作者的个人信息保护意识也有待加强，例如在档案信息服务中只注重档案的开放利用而忽视对档案产生者的个人信息进行保护，违反操作规范和管理规定随意透露个人信息，更甚者为了谋取利益，出卖档案，泄露个人信息，不仅对档案产生者造成严重的危害，自己也会因此受到法律的惩处。

（三）个人信息保护技术存在漏洞

数字化环境下，各个档案机构纷纷建立起数字档案馆、智慧档案馆，而“互联网+档案”也使得档案信息与各行各业联系得更加紧密，档案馆及其他档案机构在对个人信息进行收集分析，提高档案机构整体服务质量的同时，也在逐渐将用户个人信息暴露在大众视野中。档案机构利用先进的数据挖掘技术对有关用户属性特征、兴趣爱好等较为隐秘的个人信息收集起来，或是通过监视数字档案用户的信息搜索与浏览过程，从而为其提供更为优质的信息服务。但是事物都有两面性，信息技术的发展在给档案机构和档案信息用户带来便利工作和生活的同时，也给个人信息保护带来潜在的威胁。“互联网+档案”使得档案与各行各业联系得更加密切，扩大了档案信息资源传播的范围，再加上目前网络安全保密技术、防火墙技术等还不够完善，用户账户容易被黑客破解，使档案用户个人信息在网络传输过程中被非法窃取，增加了受到侵犯的可能性。

三、档案利用中个人信息保护的应对措施

（一）加快个人信息保护的档案立法工作

社会主义法制建设的基本要求是“有法可依，有法必依、执法必严，违法必究”，因此制定个人信息保护的法律，以法律规范形式保护公民个人信息在档案开放利用中不受侵犯，才是保护个人信息的重中之重。国家立法部门应早日制定专门的《个人信息保护法》，档案界除了依据《个人信息保护法》的法律条例之外，还应该修改完善《档案法》，制订专门的档案利用个人信息保护相关法规，规范档案利用行为。

档案立法首先需要明确的就是划分档案开放与个人信息保密之间的界线，确定个人信息可公开的范围及公开档案所采取的方式、规定程序。其次，明确档案机构在利用个人信息过程中应承担的责任和义务，即严格遵守利用个人信息的法律法规和相应程序，一旦发生档案利用过程中的个人信息泄露等问题，采取事先责任制和事后问责追究制等问责制度。最后，制定具体、明确的赔偿制度，规定赔偿范围、赔偿标准以及赔偿方式等，并给个人信息被泄露的档案用户提供法律救援，减少受害者的损失。需要注意的是，档案界制定的个人信息保护条例要与国家法律体系兼容，在国家已经发布的个人信息保护相关法律条款的基础上，具体和细化档案界的法律法规，把握国家法律体系的大方向又制定出更实用、更具特色的法律条例，弥补档案立法工作中的缺陷和空白。

（二）增强档案利用主体的个人信息保护意识

个人信息保护意识淡薄是实现档案利用过程中个人信息受损的重要因素，发生在湖南的作家汤国基案就是档案利用主体个人信息保护意识淡薄的典型。汤国基当年在湖南益阳师专上学时，学校领导为报复其之前公开写信举报领导不学无术，恶意捏造不实记录，在其毕业鉴定上描述汤国基为“精神反常”。就是这样一句话导致没有单位愿意接收他，甚至被关进精神病院和收审所，使其在精神和经济上蒙受巨大损失，直到20年后汤国基才偶然发现这个问题。如果当时汤国基有一定的个人信息保护意识，查看自己的学籍档案，并通过医学鉴定证明自己的精神状况，他就不会沦落到没有工作的地步。

由此可见，在意识领域增强公民的信息保护意识，是保护档案利用过程中个人信息不受侵犯的重要環节。其一，要在社会上广泛开展个人信息安全的宣传教育，例如个人信息安全知识宣讲进社区、进校园，在社会和学校开展个人信息安全讲座、开展个人信息安全周等活动，让人人重视保护个人信息，参与到保护个人信息的实际行动中去，并由此认识到保护档案中的个人信息是涉及到切身利益的一件事，不能仅依靠档案机构采取保护措施。其二，档案机构也要加强自我监督，对档案工作者进行培训和教育，使其明确自己的职责和使命，重视档案利用过程中对涉及个人信息的档案或工作环节的保护，做到既对本职工作负责，又对档案信息的主体负责。实行档案机构内部监督机制，工作人员之间互相监督，减少档案工作者利用工作之便泄露档案信息事件的发生。

（三）提高档案利用中个人信息保护的技术水平

高速发展的信息技术一方面给个人信息泄露、被窃取提供了桥梁，但是另一方面也起到了保护个人信息的屏障作用。“互联网+”时代到来，云计算、物联网、移动互联网等新兴信息技术快速发展，传统的信息安全技术已经不能满足信息安全保护的要求。对于档案用户个人信息安全的保护，档案机构负有不可推卸的责任，在许多侵犯档案隐私的案件中，档案机构漏洞百出的安全措施给了黑客窃取个人信息的可乘之机，档案利用中个人信息保护的现状迫切需要对个人信息保护技术提出更高的要求和标准。

为了保障档案利用过程中个人信息的安全，首先，档案机构必须重视防火墙技术、数据加密技术、身份认证技术、安全协议等信息安全技术的研究，针对不同密级的档案信息采取不同的安全措施，或是综合多种安全技术制订相应的方案。其次，加大对档案信息资源安全技术研究的资金投入，并引入专业技术人才，为个人信息安全提供物质基础和人才保障。最后，国家相关部门需要进一步加强对安全保障技术特别是信息安全自主核心技术的研发，打破发达国家对我国信息安全核心技术的垄断，拥有属于我们自己的核心技术。档案界应关注相关领域信息安全技术的发展，为档案利用中个人信息保护技术的发展提供参考方向和路径。信息安全技术作为档案用户个人信息保护的第一道屏障，档案馆及其他档案机构应大力“加固”这道屏障，提高个人信息保护的技术水平，切实保护档案用户的个人信息安全。

（作者单位：安徽大学管理学院）