档案开放利用中个人信息保护存在的问题及对策

《“十四五”全国档案事业发展规划》非常重视档案开放和档案利用，当前形势要求加快档案开放，扩大档案利用[1]，为了推进和规范各级国家档案馆开放工作，促进档案利用，国家档案局根据《中华人民共和国档案法》（以下简称《档案法》）等法律法规制定了《国家档案馆档案开放办法》（国家档案局第19号令，以下简称《办法》），于2022年8月1日开始施行。为保护个人信息权益，2021年通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）。随着档案的开放和利用，档案个人信息泄露的风险也在增加。如何在确保不侵犯个人信息权的同时，做好档案开放利用工作并为社会提供内容丰富的档案开放成果，以及如何满足人民的需求和更好地服务民生，是当前亟待解决的问题。

一、概念界定

（一）档案开放利用

档案开放利用包括两个概念即档案开放和档案利用。《办法》界定的档案开放是指国家档案馆按照法定权限将形成时间达到一定年限、无须限制利用的馆藏档案经过法定程序向社会提供利用的活动[2]，即把档案开放看作是一个档案从封闭到开放的活动，该解释更多地侧重其过程。档案开放的主体是各级国家档案馆。开放档案，为社会各界提供利用是法律规定的各级国家档案馆需要履行的义务，是我国社会主义民主的体现。

档案利用是指档案馆（室）为满足利用者需要，向利用者提供档案材料，为经济社会提供多样化的档案信息服务，强调满足信息利用需求并充分实现档案的价值，是一种利用服务工作。档案利用是档案作用和价值的最终体现。

在档案工作实践中，档案开放和档案利用有紧密的联系，档案开放是为了利用，了解利用者的需求可以指导档案的开放[3]，离开了档案利用，档案开放也失去了现实价值的意义。大部分学者认为档案开放促进档案利用，尽管数据显示我国的档案利用率并不随着档案开放率的提高而提高，但对于数据，要从不同角度看待，档案开放利用受多种因素影响，从绝对的角度看，绝对数量增加和档案利用范围扩大可以视为档案开放利用的一种进步。

（二）个人信息保护

个人信息的概念和范围是开展个人信息保护工作的逻辑起点[4]，这里主要对其本身的定义和包含的具体内容以及与其他相关概念的区分进行解析。

《个人信息保护法》将“个人信息”界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，其中不包括匿名化的信息”。个人信息权利包括个人信息主体的知情权、决定权、限制处理权和对个人信息的查阅权、复制权以及更正、补充权等[5]。“个人信息”与“个人隐私”的概念不相同，隐私主要是指当事人不想让他人知道的个人信息，而个人信息注重的是个人特征的可识别性，很多个人信息与隐私无关，个人隐私相较于个人信息其实是一个种概念，是个人信息的一个组成部分。

二、档案开放利用中个人信息保护存在的问题

（一）“告知-同意”原则落实不到位

《个人信息保护法》的核心规则是“告知-同意”原则，此原则作为法律确立的个人信息保护核心规则，是保障个人对个人信息处理知情权以及决定权的重要手段[6]。个人信息控制者在处理敏感个人信息时，不得过度收集个人信息，并应征得个人信息当事人的同意。档案信息的处理者如档案馆等在必须（因公共利益等原因）公开含有个人信息档案的前提下，需要取得个人信息当事人的同意。在一定条件下，个人还有撤回同意的权力。在档案开放利用的过程中，个人信息处理者即档案机构等应当获得个人信息主体的同意，但是在实践中，告知同意原则实施却面临落实不到位的问题。原则落实不到位的问题存在较为复杂的原因。吕炳斌认为告知同意存在内在悖论：充分告知会导致内容冗长，致使个人不愿或不能投入阅读以及理解，简单易懂则会导致个人知情权的落实无法保障[7]。同时档案开放利用过程中档案利用者的个人信息登记也需要档案利用者告知同意，实践中，存在着一种默认或默示的同意（在一些案件的审判中也承认了这种默示的同意情况）。另外，告知同意原则到位不代表保护的到位。

（二）个人信息保护意识不强

在实际的档案开放利用工作中个人信息保护意识不强主要体现在两类主体上，一是档案信息的处理者即档案开放的档案馆等，二是个人信息当事人和档案利用者。前者，首先是专业人才缺乏导致的档案处理者专业素养参差不齐，从而造成由于缺乏专业知识和职业道德素养而导致档案开放利用中个人信息保护意识不强的问题；其次，各级各类档案馆对于个人信息保护的重视程度不足，也会造成档案管理者对个人信息处理的懈怠行为。后者，则包括一些法律意识和主体权责不明晰等导致的个人信息保护意识不强的问题。档案开放工作必须强调开放的档案不涉及个人信息，避免因意识不强造成不必要的冲突，给档案开放利用和个人信息保护都造成不良影响。按照意识的区分，个人信息保护权益被侵犯的形式其实还可以分为故意和过失，前者个人信息被以违反法律法规和程序泄漏，后者主要是相关专业知识以及法律素养不到位。无论是故意侵犯个人信息权益，还是过失导致的第三方利益权益受损，这种个人信息保护意识不强的现象都会给目前的档案开放工作埋下隐患。

（三）档案分类工作不够细化

由于个人信息的范围较广，与个人信息相关的档案种类也较多，如人事档案、户籍档案、家庭档案、健康档案等。由于新修订的《档案法》将档案开放的年限减至25年，增加了大量档案需要进行分类开放审核，并且关于一般档案和含有个人敏感信息档案的区分是一个难点。敏感与非敏感，私密与非私密等的清晰界定是档案开放利用必须做到的事情，而关于敏感与非敏感信息之间的归类如何细化和具体化实施是目前需要解决的问题。在档案开放利用工作中，提出档案分级分类不仅仅是档案工作的要求，更是应对个人信息保护对档案开放利用的影响，也是重视个人信息保护的一个体现。虽然2021年底国家网信办发布的《网络数据安全管理条例（征求意见稿）》中提及国家拟建立数据分类分级保护制度[8]，对个人信息重点保护，预备将数据分为一般、重要和核心三个类别的数据，并要求各部门、相关行业等对其领域或行业的数据按照国家数据分类要求实行分级分类管理，但从实际情况来看，档案的分级分类工作还有很长一段路要走。

（四）档案开放审核效率不高

由于档案开放的年限缩短了五年，我国各级国家综合档案馆需要开放的档案一下子多了起来，如何在条件有限制之下，短时间内对需要开放的档案进行有质量有效率地审核，提升档案开放水平为档案利用者提供高质快速的利用，是目前提升档案对外开放的难点问题。从现实情况来看，我国的档案开放审核效率较低。开放审核效率除了因为审核人员怕担责任，而更加仔细和慎重地审核待开放的档案，造成效率低下的结果外，还会受到时间、经济、政策、制度等多种因素影响。另外，新兴技术在档案开放审核中没有得到充分利用也是一个重要原因。现在数据挖掘、人工智能、云计算等新兴技术已经在众多领域得到应用，且应用结论多为正向反馈，因此，在档案开放审核过程中，也应该在引进新兴技术方面作出相应的尝试。

（五）档案开放主体权责不明晰

《办法》对于档案开放权利区分不够清晰，尽管其第二章规定了“国家档案馆负责各种分管范围内馆藏档案的开放”，但是对于开放程序和方式也仅仅是“依照相关法律、行政法规”以及第三章的“会同档案形成单位或者移交单位共同对馆藏档案进行开放审核”、第五章“会同有关部门”一起进行档案开放工作和监督检查[9]，这样的权责不够明晰，对于档案开放审核没有保障，会导致相互推诿敷衍等现象出现，不利于档案开放利用中避免侵犯个人信息权益。 闫静等认为档案开放审核的权责不清，如档案开放“初审”如果没有主导方，档案馆和形成单位（移交单位）共同完成等情况会导致在具体进行档案审核工作的准备阶段、具体环节设置、后续存在责任认定的模糊地带[10]，这也可能导致最终的审核结果出现一定的问题。此外，张臻[11]认为依据目前的规定，档案开放的决定权仍然在档案主管部门，档案能否开放的最终决定权仍在档案行政管理部门，因此，其认为权责划分无论是审核还是开放都不清晰。

（六）相关法律法规不健全

首先，无论是从档案开放利用的角度出发，还是从个人信息保护的角度出发，能够发现《个人信息保护法》与《档案法》对于个人信息和公共属性认定的价值理念都是平衡个人信息保护与档案开放利用，遵循的都是保护与利用之间的平衡。但《档案法》涉及的内容较多，更具普适性，而《个人信息保护法》则属于比较系统的专门法律，专指性较强。这势必会在产生冲突问题时，偏向个人信息保护而非档案开放利用。其次，公共属性在个人信息保护方面不占优势。档案活动涉及多方法律主体，一是档案开放利用机构，二是档案主管部门，三是档案利用者，即有开发利用档案权利的个人和组织。但个人信息主体没有在《档案法》以及《办法》中找到相应的规定。因此，实质上对于档案个人信息的处理依然更偏向于以《个人信息保护法》为依据，当档案开放利用中涉及个人信息保护时，工作会受到相应的限制。这会成为档案主管部门为了“省事”直接将涉及此类信息的档案延后开放的因素之一，从而导致在个人信息保护与档案开放利用之间的失衡。

（七）监督和保障体制机制不完善

首先，与新修订《档案法》相匹配的《中华人民共和国档案法实施条例》于今年3月才刚刚开始实施[12]，具体效用还有待进一步验证。其他相关的配套制度数量也甚少。其次，档案管理制度相对落后，对于“健全制度”这一行为主要由档案主管部门进行监督，健全机关、单位等档案开放制度，加强制度中的个人信息保护和档案开放协调的占比，有利于增加档案开放单位、机关、企业等的主动权，使档案开放和利用更加具有实际的可操作性。档案开放利用除了受档案主管部门和相关部门监督外，还受社会的监督。利用档案的单位和个人等都能够向档案主管部门反映。但是，除了向相关档案主管部门检举外，在档案开放的权责问题方面，如何在法律层面维护自身的权益？还有，向谁问责？除此之外，档案利用方面，若利用者利用已开放档案而造成对个人信息的侵权应该由谁负责？如果全由利用方负责未免太不合理，若是由档案主管部门或是档案形成单位或移交单位，那权责的划分是否需要有较为权威的制度作出明确的规定。

三、档案开放利用中个人信息保护问题的对策

（一）征得档案个人信息当事人的同意

在档案开放利用中，对于保护个人信息和档案开放，需要征得当事人的同意，这是对于“告知-同意”这一原则的有效落实，是个人信息保护原则的核心。有了个人的知情权就有相对应的个人信息处理者的告知义务，个人信息档案的处理者需要真正地告知档案个人信息当事人，即处理者将完整的个人信息利用目的和意义准确地告知当事人，避免“走过场”等程序性问题，不能实施默认的“被同意”。

另外，在对于个人信息保护的“告知-同意”落实中，需要相关监管部门正确地理解和确定适用的范围，尽力避免对告知同意存在偏颇的认知。档案信息处理者给个人信息当事人签署的同意书等告知同意文件，是否符合法律法规和国家其他相关的规定，以及有哪些档案信息是告知同意后也不能够收集以及公开的。档案主管部门要落实好档案开放利用中个人信息权的行使，做好监督的工作。

（二）提高档案开放利用的个人信息保护意识

个人信息保护意识主要涉及信息处理者（档案主管部门、档案机构等）、个人信息当事人和档案利用者这几个主体。站在档案主管部门的角度上，提高档案开放利用的个人档案保护意识主要可以在专业人才的选拔和培养、制度的制定和实施、档案业务的监督管理等这几个方面上实现。一是提高专业人员的比例，选拔和培养更专业的档案人才，开展相关的培训工作；二是制定关于个人信息保护的相应制度，必要时请专家学者对制度进行优化，这一步骤主要是为了增强各个主体对个人信息保护的重视，为档案开放利用工作提供正确的激励；三是监督个人信息保护意识的落实情况，可以对档案管理部门的人员进行这方面知识的考查及培训。对于档案机构而言，包含对人员的培训和内部规定的执行，以及帮助梳理和告知档案信息权属者和档案利用者在档案开放中需要遵守的法律法规等。个人信息当事人和档案利用者可以通过宣传和档案馆解释以及自我学习的方式更好地行使档案开放利用的权利。

（三）个人信息的分类分级保护

针对档案分类问题，要做好档案的分类分级保护。要保障档案开放利用不侵犯个人信息权，就必须确保全过程的档案管理工作是系统化、标准化、专业化的。档案开放利用前的档案整理和分类等工作要确保准确、严谨，前期的档案管理工作做好了能够给之后的档案开放鉴定、审核等档案工作节省时间，提高工作水准。对于一般档案与敏感档案的区分问题，需要对其进行分类分级管理，借鉴数据安全法第二十一条[13]的做法，对需要开放的档案进行分级分类保护具有一定的意义。首先，明确档案信息的来源。其次，做好档案信息的分类工作，确保档案信息的集中化、专特化、标准化和安全化。再次，对档案信息进行分级，要明确分级中的规范化管理，区分敏感程度，制定好相应的标准和样本。最后，要确保个人信息档案分级分类的准确度。

（四）档案开放审核智能化

目前，一些地区已经尝试采用智能化的方法对开放档案进行审查。由于缩短了档案向社会开放的期限，未来的档案开放审核工作量更大，因此，提高档案审核的效率变得十分重要。2022年江苏省的《基于语义分析的档案馆划控开放智能鉴定》通过国家档案局验收，充分利用科技进行创新，起到了一个良好的示范作用。2023年《中国档案报》刊文显示，福建省档案馆承担的科技项目《基于数字档案的人工智能档案开放审核系统实现研究》通过了国家档案局专家的验收[14]。档案开放审核智能化提升，一方面是效率的需要，另一方面是准确率的需要，需在档案开放工作中确保档案个人信息不被泄露和系统的遗漏或失误。现在审核智能化主要面临着三个方面的难题，即人才配备的专业性、技术手段的优越性以及审核模型的精准性。

（五）厘清档案开放利用全过程主体权责

目前，对于档案开放在政策上的态度是以公开为常态，不公开为例外。但是，在实际工作中，部分档案管理者为了避免出现麻烦，承担责任，出现了渎职、怠职的现象，档案主管部门和相关部门应当监督到位，《办法》规定不按照规定开放档案的国家档案馆，档案主管部门可以依法依规处理[15]。同时，可以运用计算机系统对各个档案开放利用工作环节进行全过程登记，如责任者、档案全宗号、时间、文号等以及档案开放利用申请过程记录等，做到每个环节落实到人、责任到人，确保档案开放利用工作每个环节都能够追溯。做好此项工作全过程系统记录，不仅有利于档案开放利用导致侵犯个人信息权问题的追溯，同时有助于档案开放利用效率的提高和工作进度的把握。此外，如果进一步将其进行信息可视化加工，有利于档案机构及时了解工作情况、工作进度，促进接下来档案开放利用工作的开放审核以及档案利用服务的开展，便于应对当下档案开放数量激增的情况。

（六）档案立法与个人信息保护立法的衔接与整合

一是将个人信息保护纳入档案领域立法，由于《档案法》中没有明确规定，在档案开放利用中档案开放所涉及的档案个人享有的知情同意权，以及什么情况下可以行使其删除或更正权利。因此，应当将《档案法》《办法》等以档案工作为主的档案法律法规和以个人信息保护角度出发的《个人信息保护法》《数据安全法》《民法典》等作出具体规定。以往在个人信息保护方面的法律是一种分散模式，《个人信息保护法》颁布施行后，我国的个人信息保护立法走向统一模式 [16]。苗运卫等[17]认为，由于档案个人信息同时具有个人信息的个人属性以及档案工作的场景特征，《档案法》与《个人信息保护法》都将档案个人信息的保护规范指向了对方。单单依靠一部系统的法律一个角度协调档案开放利用和个人信息保护是不够明智的，所以，就必须协调各主体在保护个人信息方面的责任。二是各级国家机关联合发布具体制度或办法。国家档案局可以会同司法部门联合发布关于档案开放利用中个人信息保护的相关具体办法或规定，同时，《档案法》配套的法律实施办法应当提上日程，这样也能够促进档案开放利用的信息保护及其他档案管理工作。具体规定或措施的出台能够在具体的实践中促进和保障档案开放利用与个人信息保护的协调，具体条款或措施的出台，在实践上确保了个人信息保护与档案公开利用之间的协调能得到促进和保障，使有法可循、有规可依，避免更多不必要的争端。

（七）健全档案开放利用的个人信息保护监查制度

制度的生命力在于执行，必须构建全覆盖的制度执行监督机制。要确保档案制度生效，避免在监督检查的执行上搞变通，档案主管部门必须在展开监督检查工作时做到科学、公正、严格、高效，按照法律规定的程序开展好相关的监督检查工作。首先，一定要明确监督检查的主体，主要是档案主管部门的行政监督和档案利用主体的社会监督，被检查对象为档案馆和机关、团体、企业事业单位[18]。其次，档案开放利用的个人信息保护监督检查事项必须落实到位。包括档案工作人员的管理情况以及档案开放利用过程中的责任制和管理情况的落实。再次，发现档案开放利用工作中出现的个人信息保护安全隐患应当对相关部门限制期限，上级和同级的领导部门必须责令其整改。最后，针对监督检查，构建事前、事中和事后相结合的档案利用权利与个人信息保护方面的保障责任监督、责任追究机制[19]。

另外，需要做好档案开放利用中涉敏档案的风险评估。《档案馆安全风险评估指标体系》[20]对档案开放和利用安全作了详细的评估规定，档案开放利用存在个人信息安全风险时，需要参照评估体系进行整改。如3.3.4规定了关于开放档案需要核查开放档案利用审判手续以及工作记录，也要核查开放档案利用环境。另外，评估工作完成后，应当对人为原因产生的“高危性安全风险隐患”即可能会因此导致档案开放利用造成社会恶劣影响和导致个人信息当事人利益受损以及其他严重后果的，及时采取预判，追究责任，并进行严厉的行政处分。

四、结论

档案开放利用工作是档案工作中的重要一环。档案前期的收集、整理、保管、鉴定等工作是为档案利用服务的，没有档案的利用，档案的价值就没有办法得到发挥。《个人信息保护法》的施行不仅是给个人提供了法律保护基础，更夯实了档案事业的依法治理基础，为档案工作中的个人信息权利的落实提供基本遵循。档案开放利用与个人信息保护存在冲突和问题不意味着二者之间是完全矛盾的，个人信息保护法律能够在未来数字档案馆建设时，即以更高层次方式开放时奠定坚实的法理基础。档案开放利用中的个人信息保护体系作为档案开放利用事业中的一部分，是作为重点领域，不可否认地增加了档案开放利用的复杂性。因此，必须弄清个人信息保护与档案开放利用的逻辑，协调好公共利益和个人利益。未来，要不断在法律法规制度落实及在技术层面进行优化，不断提升档案开放利用的效率和水平。

参考文献：

[1] 国家档案局.中办国办印发《“十四五”全国档案事业发展规划》[EB/OL].（2023-11-21）[2024-03-19].https：//www.saac.gov.cn/daj/toutiao/202106/ecca2de5bce44a0eb55c890762868683.shtml.

[2] 国家档案局.国家档案馆档案开放办法[EB/OL].（2022-07-01）[2024-03-19].https：//www.saac.gov.cn/daj/xzfgk/202207/9dc96f7f635247c18ae1a9ec15c24dea.shtml.

[3] 李浩. 档案开放与档案利用关系探析[J]. 档案管理， 2022（4）： 41-45.

[4] 于晓洋， 何波. 我国《个人信息保护法》立法背景与制度详解[J]. 大数据， 2022， 8（2）： 168-181.

[5] 中国人大网.中华人民共和国个人信息保护法[EB/OL].（2021-08-20）[2024-03-19].http：//www.npc.gov.cn/npc/c2/c30834/202108/t20210820_313088.html.

[6] 王俏. 个人信息保护法：构建以“告知-同意”为核心的处理规则[N].人民法院报，2021-08-21（1）.

[7] 吕炳斌. 个人信息保护的“同意” 困境及其出路[J]. 法商研究， 2021， 38（2）： 87-101.

[8] 中国网信网.国家互联网信息办公室关于《网络数据安全管理条例（征求意见稿）》公开征求意见的通知[EB/OL].（2021-11-14）[2024-03-19].http：//www.cac.gov.cn/2021-11/14/c_1638501991577898.htm.

[9]国家档案馆档案开放办法[J]. 中国档案， 2022（7）： 36-38.

[10] 闫静， 谢鹏鑫， 张臻. 新修订《档案法》背景下的档案开放利用： 问题与对策： 基于《各级国家综合档案馆档案开放情况调查问卷》的分析[J]. 山西档案， 2022（2）： 125-137.

[11] 张臻. 新修订档案法背景下档案开放制度的完善[J]. 浙江档案， 2021（4）： 29-32.

[12] 中国政府网·中华人民共和国档案法实施条例[EB/OL].[2024-01-25]（2024-03-19）.https：//www.gov.cn/zhengce/zhengceku/202401/content_6928164.htm.

[13] 中华人民共和国数据安全法[N]. 人民日报， 2021-06-19（7）.

[14] 中国档案报.福建省档案馆以人工智能技术赋能档案开放审核[EB/OL].（2023-01-06）[2024-03-19].https：//www.saac.gov.cn/daj/c100211/202301/314fb4ff054b4a66978e52f212cc3e79.shtml.

[15] 国家档案局有关负责同志就《国家档案馆档案开放办法》答记者问[J]. 中国档案， 2022（7）： 38-39.

[16] 程关松. 个人信息保护的中国权利话语[J]. 法学家， 2019（5）： 17-30， 191-192.

[17] 苗运卫， 金洁. 新《档案法》背景下档案个人信息保护的规范衔接与适用[J]. 档案管理， 2022（5）： 62-64， 69.

[18] 中华人民共和国档案法 [N]. 人民日报， 2020-07-16（16）.

[19] 常大伟， 罗瑞云. 新《档案法》实施背景下档案利用权利实现的影响因素与制度保障[J]. 北京档案， 2021（8）： 6-10.

[20] 国家档案局办公室.档案馆安全风险评估指标体系[EB/OL].（2021-04-09）[2024-03-19].https：//www.saac.gov.cn/daj/qtwjk/202104/b118302e95024277ae73162d8aabcc15.shtml.

基金项目：2023年度辽宁省社会科学规划基金项目“我国公共图书馆数据开放机理、模式与实现路径研究”（L23ATQ002）

作者单位：辽宁大学信息资源管理学院