数字时代档案工作中个人信息保护研究——以《个人信息保护法》为中心的考察

易 涛 王 凯/浙江师范大学档案馆

个人信息权作为自然人的一项基本人格权，伴随着人从出生到死亡的全生命周期。虽古已有之，但在信息技术相对落后的年代，只要进行必要的物理与制度上的管控，便能有效防止个人信息的滥用或失控。因此，在历史长河中，无论古今内外，个人信息的保护问题都鲜有提及。随着互联网和信息技术的飞速发展，“大数据杀熟”“算法歧视”“捆绑授权”等问题纷至沓来，每年网上“裸奔”的公民个人信息超过300亿条[1]，“个人信息如何保护已经成为时代之问”[2]。经过多年的努力，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）于2021年11月1日起正式施行，这是我国第一部有关个人信息保护的专门立法，它的实施标志着我国个人信息保护进入“强监管”时代。

作为留存历史记忆最权威的信息记录，档案与个人信息始终息息相关。但是，实际档案工作中对个人信息的保护并没有得到足够重视，有些地方甚至还出现了买卖个人电子档案信息的案例。因此，在数字时代民众权利意识不断增强的背景下，将《个人信息保护法》与档案工作实践结合起来进行探讨显得必要且迫切。一方面，以《个人信息保护法》为法律依据和行动指南，有助于进一步规范具体的档案工作行为，切实保护相关自然人的个人信息权利。另一方面，档案工作中个人信息保护问题的探索与实践，将进一步丰富个人信息保护问题的研究成果，推动档案行业在数字时代更好地满足民众的信息需求。

1 档案工作中个人信息保护的研究述评

有关个人信息保护的立法，最早源于1970年德国黑森州颁布的《数据保护法》。此后，各国相关的学术成果日渐丰富，但主要集中在法学领域。档案领域的研究始于20世纪80年代，主要从法制规范和技术发展两个维度展开。

1.1 基于法制规范视角的档案个人信息保护

个人信息保护属于民法研究的范畴，因此档案领域对这一问题的探讨离不开法制规范的视角。在法理研究方面，Petronio等[3]根据传播隐私管理理论，认为保护档案个人信息与所使用的媒体有关，需要在个人信息主体的同意下才可以处理其档案信息。闫静[4]基于信息自决权理论，强调档案个人信息主体的权利应从消极性防御权转向积极性支配权。在法律应用方面，陈炳亮、许长[5]依据个人信息保护方面的相关法规和理论，提出应建立“人事立户”的存档模式，并实行流动人员人事档案与本人见面的制度。岑露[6]则认为电子健康档案信息极易泄漏，电子健康档案管理需要从法规、制度、技术和意识等方面完善。Nicholls[7]以加拿大曼尼托巴省档案馆为个案，指出在加拿大信息保护类法律法规的规范下，该档案馆在个人信息保护方面实现了从“看门人”向“指导者”的角色转变。

1.2 基于技术发展视角的档案个人信息保护

随着信息技术快速发展，学界开始思考档案个人信息保护问题，并基于技术发展视角开展相关研究。Hodson[8]和Cook Tim[9]都对档案信息上网表达了担忧，强调要关注这一行为侵犯个人隐私的潜在风险。王兰成、李超[10]在比较了基于受限访问和基于自由访问的两种隐私保护技术之后，提出基于知识技术的档案信息共享隐私保护框架。裴佳勇[11]认为在社交媒体环境下，档案个人隐私保护的管理难度、保护难度和安全风险都在加大，需要从档案部门、公司、用户三个角度来加强管理。周林兴等[12]则从用户画像技术着手，发现数据采集、数据传输和信息利用过程会给档案个人信息保护带来挑战，提出从主体治理、授权管理、技术嵌入和隐私立法方面进行应对。

综上所述，在法制规范层面，已有成果基本遵循法理思考—问题剖析—对策探讨的研究路径展开。在技术变迁层面，相关研究成果与时代前沿技术密切关联，体现了档案学者的技术自觉，也凸显了数字时代探讨这一问题的研究价值。但是，相关研究的数量和深度还较为有限，研究成果还存在不足。一是已有成果大多从档案利用的角度出发，没有将其上升为档案工作的整体需要，相关的概念、原则、技术等基本问题也尚未形成学界共识。二是在《个人信息保护法》没有出台的情况下，这些成果缺乏统一性、规范性，不利于构建共同学术语境，也为后续相关研究留下了广阔的空间。

2 档案工作中个人信息的概念与范围

2.1 档案工作中个人信息的概念内涵

个人信息与个人隐私是一对关系密切的概念，二者不仅都属于自然人的人格权，而且在调整对象上也存在交叉或重叠。早期的相关研究中二者的运用并未严格区分，并且大都表述为个人隐私。1986年，较早研究这一问题的Alice Robbin[13]，就是从“个人隐私”的角度对美国50个州的档案个人隐私获取政策进行调查研究。无独有偶，1990年国内最早研究这一问题的刘智勇、徐卫中[14]，同样采用了“隐私权”的研究表述。

事实上，二者的内涵存在很多不同之处。从权利属性看，个人隐私权强调“隐”，是一种防御性权利，主要是精神性的人格权；个人信息权强调“身份识别”，是一种主动性权利，主要是个人信息的自主决定权。这种区别被长期忽视，直到2005年，周毅[15]第一次从“个人信息权”的角度对人事档案管理展开研究。但是，此后二者的混用仍是常态，虽有学者呼吁“应当舍弃隐私权保护模式，构建档案个人信息保护机制”[16]，但直到《个人信息保护法》被提上立法议程，二者的区分才被学界重视。

新颁布的《个人信息保护法》结束了对个人信息概念阐述的“百家争鸣”，这一概念有了权威的法规解释。《个人信息保护法》第四条认为，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。结合档案行业的特点，档案工作中的个人信息可以界定为“档案内容本身或档案工作过程中形成的，以各种方式记录留存的已识别或可识别的与自然人有关的各种信息”。根据这一定义，可将档案个人信息概括为两类，一类是档案中“已识别”的特定自然人信息，另一类是档案中“可识别”的特定自然人信息，着重强调通过信息技术对个人信息进行识别的情形。因此，我们不仅要关注档案内容直观呈现的个人信息，更要注意通过数据分析、数据整合、数据匹配等技术从档案中挖掘出的与某个人相关的“可识别”信息。

2.2 档案工作中个人信息的对象范围

档案内容涉及社会生活的方方面面，自然也包括大量的个人信息。如，婚姻档案、人事档案、学籍档案、医疗档案、诉讼档案等，就集中呈现了个人的相关信息。除此之外，在档案收集、整理、保管、利用等过程中也会涉及大量个人信息。因此，需要从档案内容本身和档案工作过程两个角度来厘清档案工作中个人信息保护的内容边界。

第一，档案内容中的个人信息。从内容上看，个人信息主要存在于表彰类、政审类、处分类、统计类、总结类、诉讼类等的档案材料中[17]。这些档案记录了有关个人奖惩、个人财产、个人身份、个人家庭以及个人工作等方面的基本信息，是给个人“画像”的重要元素。从类型上看，不仅传统的文书档案会记录个人信息，科技档案、声像档案、实物档案之中也蕴含着丰富的个人信息。

除了这些“已识别”的个人信息外，档案中通过信息技术可以“识别”的个人信息也不容忽视。如，传统的照片档案往往只著录了核心人物的信息，但是通过人脸识别技术，就可以对照片上其他人的信息进行挖掘整理。因此，这些“可识别”的个人信息也是需要加强管理和保护的对象，否则“当越来越多的数据被编成更为细致的档案时，公民将不再享有任何有意义的隐私”[18]。

第二，档案管理过程中的个人信息。档案整理环节既是对档案进行有序化和规范化的过程，也是产生和公开个人信息的过程。档案整理过程中产生的全宗介绍、案卷目录、文件目录等，都会存在个人信息。档案编研成果如组织沿革、大事记等，都会存在个人信息；而以“人”为对象的专题汇编，更是个人信息汇集，如综合档案馆编撰的干部任免专题汇编，就是考证某一地区干部升迁信息的重要依据。

档案利用是获取个人信息的重要环节，主要包括用户的基本信息、用户的查询信息、用户的反馈信息和用户的分析信息[19]。为满足校友在全国干部人事档案审核工作中的查档需求，全国高校纷纷上线远程查档系统。该系统在提供在线利用时，会因为身份核验而收集档案利用者的个人身份证、学历证以及实时的人脸识别图像，还会因为线下寄送纸质材料而收集档案利用者的个人手机号码、家庭住址、单位地址等个人信息。此外，一些档案网站、档案软件和档案App还能通过Cookie跟踪、数据分析、数据整合等技术挖掘档案利用者的知识背景、行为习惯和兴趣爱好等深层次个人信息。随着信息技术的不断发展，档案管理过程中必将产生更多的个人信息，成为档案个人信息的重要组成部分。

3 档案工作中个人信息保护的潜在风险

“中外都主要从政治性和机密性等方面来规制档案”[20]。相对于作为国家治理的重要行政工具，档案实践中缺乏对个人信息的足够重视和内心认同。有学者统计，我国档案网站中设有最基本的个人隐私保护声明的占比还不到20%[21]。《陈寅恪的最后20年》一书所引发的司法诉讼曾在档案界备受关注[22]，但是也没有将这一问题引向深入，无法形成档案行业对于个人信息保护的一般规则或共同理念。数字时代，信息技术在给档案工作带来巨大便利的同时，也大幅度增加了个人信息泄漏的风险。

3.1 档案收集中个人信息“任性采集”的风险

数字时代，信息技术的发展和存储容量的增加将纸质时代“应归尽归”“多多益善”的理想变为可能。在“资源为王”理念的引导下，档案机构在浩瀚的数字世界中“主动出击”，自发收集电子邮件、网站网页、新媒体数据等传统归档范围以外的各种信息。如，由新华网牵头主办的“新华云互联网档案库”[23]，是国内首个互联网资源归档数据中心，体现了国家层面的关注和行动。一般而言，这种信息收集行为出于工作需要和公益性目的，显示了积极的工作态度，并且没有主观上的恶意。但是，这种批量采集行为很容易违反《个人信息保护法》第六条“不得过度收集个人信息”的要求，也无法遵循“告知同意”的基本原则，使得个人信息在主体不知情的情况下被采集，造成事实上的侵权行为。

更为值得注意的是那些带有主观意愿的“任性采集”。随着移动互联网技术飞速发展，截至2021年6月，我国App数量已达302万款[24]。App正成为“任性收集”的主要代表，仅2020年，工业和信息化部分7次对侵害用户权益行为的344款App进行通报批评，同时还对129款未及时作出整改的App进行了下架处理[25]。作为App平台收集、使用用户信息的第一道关口，App隐私协议在很大程度上形同虚设。《光明日报》的调查发现，77.8%的用户在安装App时，很少或从未阅读过隐私协议；在被调查的150款App中，近三成App存在制造障碍、刻意隐藏或诱导用户略过隐私协议的行为[26]。随着档案信息化建设的不断深入，各地档案机构都开始借助社会力量开发档案应用软件，其中也包括档案App。这些档案App缺乏有效的技术监控或制度规范，强制授权、过度索权、超范围收集个人信息的风险无法避免，给档案工作中的个人信息保护带来隐患。

3.2 档案保管中个人信息“云上存储”的风险

其一，云存储被外部攻击的技术性风险。由于磁性介质的易损坏性，传统的光盘、移动硬盘、服务器阵列等存储方式一直存在档案个人信息丢失的安全隐患。云存储由于灵活性、可扩展性、超强计算力、无中断数据迁移等优点而被社会广泛认可，一时之间“上云”成为一种新的潮流。但不能否认的是“云计算环境中虚拟化、多租户、共享资源池等技术也带来了特有的安全问题”[27]，成为制约档案“上云”的关键因素。作为云服务商的典型代表，苹果iCloud就因屡遭黑客攻击而导致大量账户信息泄漏，在全球造成恶劣影响[28]。因此，选择合适的档案信息存储方式，将成为档案个人信息保护中需要长期关注的基础性问题。

其二，云服务商行为不可控的管理性风险。云存储的数字档案其真实的存储地址在哪里，被要求删除的数字档案是否真实删除，存储的数字档案是否有额外副本，对存储的档案个人信息是否有“非法收集、使用、加工、传输”等行为，对于这些问题档案机构更多的时候只能停留在“口头要求”上，而缺乏有效的技术监控。在个人信息保护条款方面，档案机构同样没有谈判余地。有学者在对一些典型云服务商的服务协议条款进行分析后发现，“绝大多数云服务商都保留了对服务条款与隐私政策进行单方面更改的权利”[29]。也就是说，档案部门同样缺乏对档案个人信息的“云上”法制保护。

3.3 档案利用中个人信息“泄漏曝光”的风险

其一，档案利用中档案内容本身的泄漏风险。档案利用实践中，如果不重视对个人信息的保护，很容易发生个人信息泄漏的情况。如，多人的高考录取信息都集中在一张高校录取名册上，在提供利用时如果不对其他学生信息进行遮盖处理，就会导致其他学生高考录取信息泄漏。基于数字档案的共建共享和网络传输的便捷特性，当前区域性档案远程服务在给广大民众带来极大便利的同时，也存在个人信息被窃取利用的巨大隐患[30]。此外，我国档案利用权和公布权的界限较为模糊，缺乏可供操作的处置规则，容易让部分汇集个人信息的档案编研成果处于侵权状态，而编著者并不知晓。

其二，个人档案利用行为信息的泄漏风险。如前所述，档案部门在服务利用过程中可能获取利用者的身份证、户口本、学历证、家庭住址、电话号码等基本信息，这些个人信息也是需要保护的。大数据时代，对个人档案利用行为进行网上跟踪、数据分析和交叉验证等技术处理，还能进一步发现档案利用者的行为习惯、知识结构、兴趣爱好等更深层次的个人信息。国内cookie隐私第一案，就是因为百度公司通过cookie数据对用户朱某的个人习惯进行跟踪分析，并向其做个性化推荐与精准广告投放，导致朱某反感，而将百度公司起诉至法院[31]。因此，档案机构需要对个人档案利用行为信息引起足够重视，防止其被无约束地进一步开发或传播。

4 档案工作中个人信息保护的发展路径

4.1 制定《档案个人信息保护办法》

《个人信息保护法》充分尊重档案工作的特殊性，其第七十二条规定“法律对各级人民政府及其有关部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定”。此前新修订《档案法》第二十八条规定了“利用档案涉及知识产权、个人信息的，应当遵守有关法律、行政法规的规定”。而这两部法律缺乏衔接，实践中会出现“踢皮球”的现象，在操作层面也会令人无所适从。同时，散见于各种档案法规中的个人信息保护条款，也难以解决日益复杂多样的档案个人信息保护问题。

因此，出台专门的《档案个人信息保护办法》、集中规范档案工作中的个人信息保护问题，显得尤为必要。其一，这部法规的立法视野要从“档案利用”向“档案工作整体”转变。包括新修订《档案法》在内，大多数档案法律法规中“个人信息”“个人隐私”的条款集中出现在档案利用环节，缺乏对档案收集、整理等环节的关注。其二，要厘清相关的基础法律问题。包括明确档案个人信息的所有权、外延边界、权利边界以及保护的基本原则、法律程序等。其三，要规范档案个人信息的保护声明。对声明的文本结构、重点内容、权责关系、救济途径等作出规定，让公开个人信息保护声明作为一种法律义务，逐步发展成档案行业自律。最后，要建构完善的档案个人信息违法责任体系。涉及档案个人信息的责任主体、监督主体、违法行为及其相应的惩处措施等，要能对违法行为起到一定的震慑和惩戒作用。

4.2 强化对档案工作中个人信息保护的技术支撑

一要加强数字档案的安全治理。硬件层面，加强对数字档案存储、传输和使用等设备的日常管理和维护，提高硬件运行的稳定性和可靠性。软件层面，加强对档案应用软件在账户设置、权限分配、数据访问等方面的管理。同时，建立档案数据备份保全系统，对历史档案、常用档案等核心数据进行实时监控和定期备份，保证能对档案数据进行对应时间节点的回滚。网络层面，采用多层防火墙保护，细化档案数据的访问策略。对档案数据库在主防火墙内再增加一层数据库防火墙，由档案数据库管理员统一管理。监管层面，将档案数据操作纳入统一日志管理系统，实现档案数据访问的可追溯。建立档案数据访问的审计机制，为档案数据安全管理中的责任追溯提供可靠手段。

二要加强个人信息保护技术的开发和应用。个人信息保护技术总是处在不断的更新迭代之中，如，《个人信息保护法》着重提到的“匿名化”技术，“在小数据时代可行，到了大数据时代便失去了效用”[32]。加强档案个人信息保护技术的开发与应用，需要国家加强重视并提供更多的人力和资金支持。在技术路线上，可以借用档案行业在维护数字档案真实性方面已有的技术成果，将其与个人信息保护的需求结合起来，寻求二者的兼顾和突破。在具体的技术方面，身份认证、数据脱敏、安全审计、匿名化、模糊化、区块链等技术是档案行业未来需要着重关注的应用技术。

4.3 优化档案工作中个人信息保护的管理体系

在档案收集方面，需要规范档案个人信息的采集行为。相较于传统的归档工作，档案部门的网络采集行为还缺乏规范的制度约束，需要明确收集的主体、对象、时间、流程和方法。同时，还应依照“告知同意”原则对需要信息主体进行授权的情形和方法做出相应的规定。

在档案整理方面，需要建立档案个人信息的分类分级保护机制。所谓“分类”，是指根据档案个人信息的属性、类型以及重要程度进行内部划分。所谓“分级”，是在分类的基础上对不同类型的档案个人信息采取强弱有别的保护模式[33]。准确划分个人信息，是后续精准定位个人信息的基础。2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，就将公民个人信息分为三类并分别规定了50条、500条和5000条的不同入罪标准。同样，我国《数据安全法》第二十一条也要求国家应建立数据分类分级保护制度。在图书馆领域，《公共图书馆法》也对读者个人信息进行内部划分，以此作为采取不同保护措施的基础。

在档案利用方面，寻求档案利用与个人信息保护之间的平衡。利用环节是档案个人信息保护的“主战场”，而问题的焦点集中在“如何有效平衡权利保护和有效利用的关系，实现法律的公平正义与效率价值统一的问题”[34]。为了实现二者的有机统一，需要对档案个人信息的利用主体、利用内容和利用流程等基本问题做出明确规定。有别于内容审查与档案封闭期限相结合的一般性档案利用措施，利用档案个人信息需要借助前期分类分级整理的基础，依据档案类型明确不同的保护措施。同时，还需要加强个人档案利用行为信息的管理和保护。在档案网站、档案软件和档案App之中，都要做出档案利用者个人信息保护声明，明示档案机构在个人信息保护方面的具体做法。内容包括隐藏档案利用者的个人基本信息、提示档案利用者可能泄露个人信息的渠道、列举档案部门采取的保护个人信息的具体措施等。

4.4 加强对档案服务机构的行为监管

第一，在服务协议中加入个人信息保护的内容。档案部门与第三方服务机构之间进行合作已经成为业内常态，而且随着业务的不断拓展，这种合作还将不断深入。因此，有必要在与档案服务机构签订的协议中，将保护档案个人信息的内容纳入其中。通过这些条款，明晰档案服务机构在维护个人信息方面的法律责任，增强其保护个人信息的自觉意识。

第二，加强对档案服务机构个人信息采集和挖掘行为的监管。依据《个人信息保护法》收集个人信息“应当限于实现处理目的最小范围”的要求，档案服务机构应当在档案部门的允许下最小化收集个人信息。对于档案服务机构利用cookie采集个人信息的行为，也应该获得档案部门的授权后再实施，并且不得擅自对收集来的cookie信息进行数据挖掘和行为推测。同时，档案部门还可以借助“全国App技术检测平台”对档案App进行管理，解决自身技术能力和技术人员不足的问题。

第三，加强对档案服务机构数字化外包和数据存储行为的监管。依照《档案服务外包工作规范》对档案服务机构的数字化外包工作进行全方位监管，特别防范因档案实体和数字化成果管理不当而造成个人信息的遗失或泄漏。同时，要谨慎实施档案“上云”策略，慎重选择云服务商，通过协议规范、技术抽查、安全审计等方式加强对云上数据和云服务商行为的管控。

5 结语

“徒法不足以自行”。《个人信息保护法》是对我国已有个人信息保护理论与实践的总结和升华，但也只是引导其逐步走向规范的起点和底线。档案作为战略性信息资源和独特历史文化遗产，在个人信息保护问题上有其自身的独特性，需要更多的理论研究和实践探索。在民众权利意识觉醒与信息技术日新月异的时代背景下，二者的碰撞会进一步激发民众对档案个人信息保护问题的关注和期待。可以预见的是，有关档案个人信息保护的基本概念、对象范围、处置原则和管理机制等问题会成为未来档案理论界与实践界需要共同面对和解决的问题。