数字档案共享与个人信息保护的冲突及其调和

苗运卫　王玮

关键词：数字档案共享；个人权益；个人信息保护；信息权；保护职责；公共利益；调和冲突；职责配置

信息技术的发展与应用形塑了数字政府、数字经济和数字社会的新样态，推动数字化时代的到来，档案事业也需迈向信息化转型。在档案信息化建设进程中，数字档案的共享利用是一项重要任务。2020年修订的《中华人民共和国档案法》（以下简称《档案法》）就明确要求“推动档案数字资源跨区域、跨部门的共享利用”。与此同时，《档案法》的修订敏锐地察觉到了档案个人信息保护的重要意义，新增了个人信息保护条款，要求利用档案时涉及个人信息的，应当遵守有关法律、行政法规的规定。然而，数字档案共享与个人信息保护之间存在冲突，不加限制地促进数字档案共享，将损害个人信息主体的合法权益，而过度强调个人信息保护，又将减损数字档案的共享价值。如何调和数字档案共享与个人信息保护之间的冲突，成为档案信息化与法治化建设中亟待应对的现实问题。

1 数字档案共享与个人信息保护的逻辑关系

数字档案共享在实践需求和规范推动下如火如荼地开展，其中个人信息需要获得有效保护。首先，档案内容广泛涉及个人信息，数字档案共享实现了数据样态的档案资源的跨区域与跨部门流转，档案中所包含的个人信息也随之流动。其次，一旦数字档案共享中涉及个人信息，共享行为即是个人信息处理行为，应当符合个人信息保护立法规定的个人信息处理要求。最后，数字档案共享的行为主体、行为性质和行为目的承载公共利益，这使得数字档案共享中的个人信息保护存在基于公共利益的特殊性，平衡公共利益和个人权益成为其中的重要考量因素。

作为档案信息化建设的重要内容与档案价值实现的基本方式，数字档案在不同机构间的共享利用需要符合档案法治的要求。因此，当数字档案共享涉及个人信息时，理应遵循个人信息保护立法的相关规定。第一，个人信息保护立法确立了对国家机关和私人主体处理个人信息的“一体调整”模式，[1]当数字档案共享中涉及个人信息时，受到个人信息保护立法中一般规则的调整，同时对国家机关处理个人信息的特殊规定，也在数字档案共享中起到优先适用功能。第二，“履行法定职责所必需”成为国家机关处理个人信息的合法性基础，数字档案共享是《档案法》确定的档案机构的职责内容，因此当个人信息为数字档案共享所必需时，档案机构可以进行合理处理。第三，国家机关处理个人信息时，需要履行个人信息保护立法中规定的义务，档案机构在共享包含个人信息内容的数字档案时，需要遵循《中华人民共和国民法典》规定的对个人信息予以保密的义务，以及《中华人民共和国个人信息保护法》规定的告知个人信息主体的义务。

2 数字档案共享与个人信息保护的冲突

2.1 数字档案共享中个人信息主体的知情不足。个人对个人信息处理活动享有知情权，因此當数字档案共享涉及个人信息内容时，档案机构应当按照要求承担告知义务。除了出现数字档案被依法认定为国家秘密而无须告知、数字档案在紧急情况下进行共享而延缓告知等特殊情形，在数字档案共享中应当及时告知个人有关个人信息的处理情况。

由于数字档案共享的效率追求与封闭特征等因素，个人信息主体陷入知情不足的窘境，无法知悉其中个人信息的处理情况。具体表现在：第一，涉及个人信息的数字档案共享是在不同部门之间进行，共享过程的封闭性排除了个人的积极参与，因此难以主动获知数字档案共享中的个人信息；第二，一旦需要在数字档案共享前逐一告知个人信息情况，将严重影响档案数字资源共享的时效价值，增加档案数字资源共享的成本支出；第三，公布档案目录与提供查询方式成为个人获知所涉及个人信息的主要手段，但公开档案目录并不等同于将所处理的个人信息告知个人，提供查询方式则是将档案机构必须履行的告知义务转变为个人自愿行使的查询权利，并不符合保障个人知情权的要求。

2.2 数字档案共享中个人信息内容的遗忘难题。数字技术使得每个人都生活在“一个没有遗忘的时代”，[2]被互联网“遗忘”成为个人在数字化生活方式中的基本诉求。我国《个人信息保护法》将这种权利表述为“删除权”，是指个人能够在符合法定情形下要求删除个人信息，以消除对自身权益的不利影响。在档案工作中，当违背个人信息处理目的与无关档案机构法定职责时，个人享有对档案中个人信息的删除权。

数字档案共享的社会面向与删除个人信息的个人诉求相左，引发数字档案共享中个人信息内容的遗忘难题。从数字档案载体角度而言，档案是承载与控制社会记忆的工具或手段，[3]而删除个人信息内容既是在要求抹去档案中的个人印迹，也是在试图消解社会与集体的历史记忆，这将影响数字档案的价值，也背离档案工作的初衷。从数字档案性质角度分析，数字档案共享是档案机构的职责之一，“履行法定职责所必需”成为处理个人信息的合法性基础，代替或削弱了“获得个人同意”的控制效果，因此档案机构不会在数字档案共享中主动删除相关个人信息，个人自决受限也将导致删除个人信息的请求无法得到满足。

2.3 数字档案共享中个人信息保护的责任缺位。个人信息保护立法所规定的个人信息权利，不仅要求尊重个人自治的主体地位，还重在确认国家机关的保护职责，通过公权力来规范个人信息的处理乱象。在涉及个人信息的数字档案共享中，进行共享的档案机构既是共享个人信息的个人信息处理者，也是需要保护个人信息的权力主体，因此需要承担个人信息的保护职责。

数字档案共享所涉及机构的复杂性与多元化，使其在与个人信息保护相结合时导致了责任主体错位的问题。2018年启动的档案机构改革，在政事分离的背景下形成了档案局馆分立的新格局，[4]但由此形成的作为档案主管部门的档案局与作为文化事业机构的档案馆，与国家机关处理个人信息时的一元责任主体结构不相匹配，因此如何将之与个人信息保护的责任主体相统一成为首先需要解释的问题。

同时，档案局馆分立所引发的工作协调性降低和档案监管能力弱化等弊端，[5]将在数字档案共享的个人信息保护中演化为保护职责不清与保护能力不足。数字档案共享的实现需要档案供给主体、档案储存主体与档案接收主体的通力合作，不同主体的个人信息处理行为的性质并不相同，所需承担的个人信息保护义务也存在差异，法律规范中的保密与告知等义务并未在数字档案共享中得到完全落实，保护个人信息的其他义务内容也没有得到确认与细化。

3 数字档案共享与个人信息保护的冲突调和调和

数字档案共享中与个人信息保护的冲突，既不能只重视个人信息保护而罔顾数字档案共享价值，也不能只在意数字档案共享而忽视个人信息保护诉求，而是应当立足数字档案共享场景的特殊属性来思考与构建适合数字档案共享的个人信息保护规则。

3.1 推动数字档案共享中个人信息的分类保护

3.1.1 公共利益与个人权益的平衡理念。数字档案共享是推动档案载体以数据化形态与数字化方式在不同机构间的流转，具有公益属性。但公共利益的概念泛化趋势和弹性判断标准，使之成为制约私人利益与支持公权行为的万能理由。因此，在档案数字资源共享中，不能概括性与抽象化地以公共利益需求而任意处理个人信息。

个人信息权利的生成表达了立法对个人权益的认可，个人信息保护的出发点在于维护个人权益。但个人信息的保护又将涉及公共利益与私人利益的权衡。具体到数字档案共享中的个人信息保护时，数字档案共享是公共利益实现的行为代表，个人信息保护则作为个人权益诉求的具体体现，因此，需要在公益与私益平衡的理念下构建合理的保护规则。

3.1.2 档案个人信息的类型划分。数字档案共享中个人信息保护存在的问题，表明个人享有的个人信息权利面临着行使困境，但个人难以仅凭享有个人信息权利而要求档案机构满足其对个人信息的知情、决定、删除等诉求。对此，需要根据档案中个人信息所承载的权益来划分档案个人信息的类型，基于不同个人信息来行使个人信息权，以此平衡数字档案共享所代表的公共利益与和个人信息保护所表达的个人权益。我国个人信息保护法体现了对个人信息的分类保护思想，[6]但存在不同的个人信息类型划分标准，并且未能体现个人信息中超越个人的利益属性，难以缓和与化解数字档案共享与个人信息保护的利益冲突。个人信息之上具有多种利益属性与主体诉求，这影响与塑造着个人信息的类型划分，从而在档案工作中形成具有档案场景特征的个人信息分类标准。

3.1.3 数字档案共享中个人信息分类保护的展开。依据承载法益对档案中个人信息类型的划分，为档案中个人信息的分类保护奠定基础，进而在数字档案共享中，形成针对不同个人信息类型的个人信息权利行使规则。档案个人信息有三种类型：隐私性信息承载着个人隐私权法益、私人性信息承载着个人的一般个人信息法益、社会性信息着超越个人法益的公共利益。[7]

具有隐私性的档案个人信息，其上是与人的尊严密切相关的隐私权法益，需要予以“绝对”保护。此时，数字档案的共享需求需要让位于隐私性档案个人信息的保护需求，个人信息权利应当在数字档案共享中得到完整实现。个人有权知悉数字档案共享所涉及个人信息的内容与影响，个人能够决定个人信息是否随数字档案进行共享，或要求删除其中的个人信息。

具有私人性的档案个人信息，其上体现了个人的一般个人信息法益，包括人格性利益及其流转利用产生的财产性利益。此时由于档案工作职责的存在，数字档案共享的公益性实现将优先于个人信息保护的私益性诉求。换言之，个人信息权利将在数字档案共享中受到一定限制。个人将无权决定或删除档案数字资源共享中的个人信息，但个人对个人信息的知情权仍应得到档案机构的保障，并在此基础上要求对其中个人信息内容进行查阅、复制、更正、补充。

有社会性的档案个人信息，其上承载着超越个人法益的公共利益，而私人利益在其中忽略不计。由于与社会利益的紧密关联，此类档案个人信息将不再处于个人的自决范围内，其重点也将转向利用需求而非保护诉求。此时包含个人信息的数字档案共享原则上无须顾及个人信息权利主张，不必征得个人的知情与同意。但由于此时个人信息仍具有个人识别性，需要档案机构在共享过程中予以最低限度的保护。

3.2 落实数字档案共享中的个人信息保护职责

3.2.1 权力本位向责任本位的转变理念。“履行法律职责所必需”是国家机关处理个人信息的合法性基础，数字档案共享因属于档案机构的职责而具备处理其中个人信息的正当事由。权力本位与责任本位是职责体系中侧重点不同的两种价值理念面向。[8]权力本位在数字档案共享中主要表现为：档案资源在封闭的权力系统中进行共享，共享范围与条件的裁量权由档案机构单方决定，缺乏对其中个人信息保护的关照。但是，权力本位所蕴含的唯权至上、权责分离、缺乏监督等弊端，迫使职责体系转向责任本位，以义务和责任的第一位性来勘定权力的约束边界，强调权力享有的前提是义务的履行与责任的承担。[9]国家机关处理个人信息的前提，是遵循规范确定的权限与程序，并且不得超出法定职责所需的范围与限度。因此，涉及个人信息的数字档案共享需要转向责任本位，应在履行个人信息保护义务的基础上加以实施。

3.2.2 个人信息保护职责的内容梳理。数字档案共享中个人信息权利的實现有赖于档案机构保护职责的履行，而在迈向责任本位的数字档案共享中保护个人信息，首先需要梳理档案机构的保护职责，结合数字档案共享的特征来具体明确其内容。档案机构集中统一管理属性决定了档案个人信息的侵害风险首先来源于档案机构。对此，档案机构需要承担个人信息的消极保护义务，在档案数字资源共享过程中对个人信息权利应尊重和认同，不干预个人信息权利的行使、不损害个人信息主体的正当权益。具体而言，构建数字档案共享制度，事前预防损害风险；采取有效规制措施，事中排除损害行为；受理个人的恢复受损权益或惩处过错主体的请求，事后救济受损权益。

3.2.3 数字档案共享中个人信息保护职责的配置。数字档案共享中个人信息保护职责的配置，需要明确保护职责的承担主体与实现方式。

首先，个人信息保护职责在档案馆与档案局之间进行配置。档案馆作为管理档案的文化事业机构，在处理数字时扮演个人信息处理者的角色，因此主要承担个人信息的消极保护义务，即在进行档案数字资源共享时，认同个人享有的个人信息权利，并采取措施保障个人信息权利的行使，例如履行告知义务以便个人充分知情、表达同意与要求删除个人信息等。档案局作为档案主管部门，属于具有行政管理职能的行政机关，在数字档案共享中主要承担个人信息的积极保护义务。其中，国家档案局能够制定数字档案共享的统一制度，给予档案个人信息以制度性保障，而各级档案局能够监督与指导管辖范围内的数字档案共享活动，并规范与惩处其他档案机构与档案用户损害个人信息权益行为。

其次，档案机构的个人信息保护职责，需要结合数字档案共享过程来实现。数字档案共享的横向结构主要包括档案供给与档案接收等环节，应当依托数字档案共享平台记录个人信息处理流程。提供档案的档案机构需要查明涉及的个人信息，评估个人信息的安全风险，并履行告知个人并保障个人参与等义务。接收与保管档案的部门需要对档案中的个人信息内容予以保密，并在目的范围内处理个人信息。数字档案共享的纵向结构则是档案主管部门对其他档案机构的管理、监督与指导，应当由档案主管部门在职权范围内依法追究不当处理个人信息的档案机构与用户的法律责任，而超出档案系统的其他机构的责任则由相应的权力主体落实。

4 结语

数字档案共享和档案个人信息保护均是档案工作的重要内容。数字档案共享与个人信息保护冲突的调和，既需要关注个人信息保护的一般要求，又需要立足数字档案共享的工作特性。因此，促进数字档案共享与个人信息保护的利益协调，需要在平衡公共利益和个人权益的理念下，将数字档案共享中的个人信息划分为隐私性档案个人信息、私人性档案个人信息和社会性档案个人信息三类，让个人基于不同个人信息类型来行使个人信息权利。同时，在推动权力本位向责任本位的转变下，梳理数字档案共享中的个人信息保护职责，将之合理配置给不同的档案机构，并在数字档案共享过程中来确定职责承担方式。

（作者单位： 东南大学法学院 苗运卫，博士研究生；华南理工大学法学院 王玮，博士研究生 来稿日期：2023-10-19）