高校檔案管理與利用中個人信息保護問題探析

王鵬　伍秀珍

摘 要 文章以高校檔案管理與利用中個人信息保護為主要內容，簡要介紹了個人信息的法律界定、個人信息保護法律主體的權利與義務及高校檔案涉及個人信息的種類，在分析高校檔案管理與利用中個人信息保護存在的主要問題的基礎上，提出了保護個人信息的對策。

關鍵詞 高校檔案 檔案管理 檔案利用 個人信息保護

中圖分類號：G647 文獻標識碼：A

高校檔案作為國家檔案全宗的重要組成部分，客觀真實地記載了學校教學、科研、管理等方面的內容，是高校寶貴的信息資源。高校檔案所記載的個人信息，在個人學習、工作、生活中發揮著重要的憑證作用，這些信息一旦被不法分子非法獲取、使用，后果將不堪設想。尤其隨著數字校園建設的推進，更多的檔案信息上傳網絡，這些數字信息在方便查詢利用、提高工作效率的同時，也使得個人信息安全面臨更大風險，如何在檔案管理與利用中做好個人信息的保護已經成為高校檔案管理部門亟待解決的問題。

1 個人信息與個人信息保護

1.1 個人信息的法律界定

各國和地區立法與學說中對個人信息的界定主要有兩種類型：一是“相關型”，歐盟、美國、日本、中國香港等國家和地區立法中認為個人信息是關于一個人的信息。比如，美國1974年出臺的《隱私權法》將個人信息定義為：一個機構持有的有關個人的單項信息或信息集合，包括但不限于他的教育、金融交易、醫療史、包含姓名的犯罪前科或工作履歷、識別號碼、代號，以及其它專屬于一個人的標記，如指紋、聲紋或照片。①二是“識別型”，中國臺灣立法及中國大陸一些學者認為個人信息是可識別一個人的信息。比如，中國臺灣2010年出臺的《個人信息保護法》將個人信息定義為：個人資料是指自然人的姓名、出生日期、身份證編號、護照號碼、特征、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯系方式、財務情況、社會活動及其他以直接或間接方式識別該個人的資料。②由周漢華所著《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》中定義為：個人信息是指個人姓名、住址、出生日期、身份證號碼、醫療記錄、人事記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息。③

筆者贊同“識別型”定義，這種定義更準確地表達了個人信息的特點，即具有“識別”性。個人信息不僅包括指紋、DNA等能夠直接識別個人的信息，也包括不能直接識別，但與其他信息相結合較容易識別個人的信息，如學歷、職業等。從信息敏感度上看，個人信息既包括個人隱私，也包括不屬于個人隱私的信息。從信息內容上看，個人信息既包括個人基本信息，也包括反應個人生理、心理、家庭、經濟、社會等方方面面的信息?？勺R別一個人的單項信息或信息集合更應該是個人信息保護法所保護的重點內容。

1.2 個人信息保護法律主體的權利與義務

在國外，個人信息一直受到法律的高度保護。1974年美國頒布《隱私權法》，1976年德國頒布《聯邦資料保護法》，1984年英國制訂《數據保護法》，1995年歐盟制訂了《關于個人信息運行和自由流動的保護指令》，1998年美國與歐盟簽訂了“安全港”協定（safe harbor）。④從國外立法實踐來看，個人信息保護法的法律主體由信息主體和信息處理主體構成。信息主體的權利（個人信息權）主要包括：（1）信息控制權，即信息主體在信息收集、保管、傳播、利用、公開時應享有的控制權，包括對其個人信息的更正、停止使用及刪除等權利；（2）信息知情權，即個人信息被搜集或披露時，信息主體應享有被告知的權利，個人信息被收集或保存時，其信息主體有權了解這些信息的內容、性質及使用情況；（3）信息保密權，即信息主體有隱瞞個人信息不為他人所知的權利及有權禁止其個人信息被非法披露、公開及利用的權利；（4）信息利用權，即信息主體有利用其個人信息的權利。⑤

信息處理主體的義務主要有以下幾個方面內容：（1）收集、處理信息要有明確合法的目的；（2）除法律另有明確規定外，在收集、使用個人信息之前，應通知信息本人并征得同意；（3）當信息本人申請更新、修改、刪除時，應及時回應，不得以不當理由拒絕；（4）信息保密義務；（5）對信息處理承擔責任的義務。⑥

2 高校檔案中涉及個人信息的資料種類

高校檔案中涉及個人信息的資料很多，一部分是學校在招生、教學、科研、管理等活動中形成與個人相關的檔案資料，主要包括個人入學、學績、學歷、學位、履歷、考察、考核、審計、政審、獎勵、處分、錄用、任免、聘用、工資、待遇、出國、離退休等材料，其內容涉及高校師生及廣大校友教育、家庭、健康、婚姻、政治、財產、工作等重要方面。這些資料在為師生個人深造、出國、找工作、落戶、提薪、升職等方面提供了原始憑證和可靠依據，是高校檔案利用極為頻繁的資料。

另一部分是由檔案部門以征集、購買、接收等方式取得的，或檔案所有者寄存、捐贈給檔案部門的私人檔案，常見的是高校名人檔案（即在所研究領域做出重大貢獻、在社會上具有較大聲譽的知名專家、學者從事教學、科研活動中形成的文字、聲像、實物等檔案材料）。這些材料多層次、多角度地反映各個時期學校取得的成就，提升了大學的影響力。

3 高校檔案管理與利用中個人信息保護存在的主要問題

3.1 缺乏有效的法律保護

目前為止，我國尚未出臺一部實質意義上國家層級的個人信息保護法，涉及個人信息保護內容的立法主要散見于憲法、刑法、民法及其他有關法律、法規和最高法院的司法解釋中，內容主要涉及隱私、名譽、肖像、姓名、通訊信息、個人醫療信息、注冊信息、電子郵件地址及禁止泄露個人信息的規定等。到底什么是個人信息？什么樣的個人信息需要保護？個人信息應該如何使用？個人信息主體的權利、個人信息處理主體應履行的義務以及個人信息保護的執行機制和監督機制等個人信息保護應涉及到的重要問題尚沒有清晰嚴格的法律界定。

在檔案界，1987年公布、1996年7月5日修訂的《中華人民共和國檔案法》第十六條涉及集體所有及個人所有檔案的保管問題、第十九條、二十條、二十一條、二十二條涉及到集體或個人所有檔案開放、利用與公布的問題?！陡叩葘W校檔案管理辦法》（教育部、國家檔案局第27號令）第二十四條涉及對個人在非職務活動中形成的檔案材料的管理問題，第二十一條涉個人隱私的公布問題、第二十八條涉及持有合法證明的個人利用檔案的問題，第三十二條、三十三條涉及個人移交、捐贈、寄存檔案的所有權及這部分檔案公布與利用的問題。這些條款雖然不同程度地保護了涉及個人隱私的檔案，在一定程度上維護了個人檔案所有者的權利，體現了個人信息保護意識，但對個人信息的保護還不夠健全與系統，缺乏對涉及個人信息檔案公開與保密、利用原則、信息人權利、侵權行為的罰則、法律救濟等重要方面的規定。

人事檔案是檔案家族中與公民個人關系最密切的檔案。1990年修訂，1991年4月2日發布的《干部檔案工作條例》第三十一條規定：“任何個人不得查閱或借用本人及其直系親屬的檔案?！眳⒄諊H立法關于個人信息保護的原則，這種規定的合理性值得思考。

從以上分析可見，我國檔案立法不僅沒有針對個人信息保護方面較完善的規定，有些規定還有待商榷。高校檔案工作者在檔案管理與利用中關于個人信息保護沒有具體的執行標準，在實際工作中很難權衡好檔案利用與個人信息保護的問題。

3.2 缺乏對個人信息的自律保護

由于現階段我國缺乏對個人信息保護的專門性、統一性的立法，一些信息控制人為了增強行為相對人的信心，進而促進相關行業通過收集、處理、利用、傳遞個人信息而獲得更大的發展，單方面作出了保護個人信息的承諾或制定了保護個人信息的內部行為規范，這是信息控制人采取的一種典型的保護個人信息的自律措施。⑦目前，我國一些非公共部門，特別是一些商業網站，己經認識到個人信息的巨大價值以及個人信息對信息主體的重大意義，為了增強消費者對網絡信息的信任，制定了較為詳細的隱私保護政策。就高校檔案管理部門而言，將個人信息作為一項重要內容，在檔案管理與利用中加以規范的較少，有些高校檔案管理部門對涉及個人信息的檔案過于保密，限制甚至禁止利用。有些部門雖然積極提供利用，但對個人信息的保護措施做得不夠，導致個人信息的泄露時有發生。隨著高校檔案信息化建設進程的加快，各種目錄數據庫、全文數據庫不斷建設和完善，大量涉及個人信息的資料上傳網絡，但查看一些高校檔案管理制度或瀏覽高校檔案館網站，幾乎無法看到與一些大型商業網站所具備的“隱私政策”。

3.3 個人信息保護意識嚴重欠缺

一是高校師生及校友個人信息保護意識欠缺。主要體現為不清楚高校檔案涉及哪些個人信息，對個人信息的重要性及個人信息安全認識不夠，對自身信息權及維權方式缺乏了解。例如：辦理學歷證明和成績證明是高校檔案管理部門常見的檔案利用方式，一些外地的校友通常會找本地的同學或朋友代為辦理，檔案管理部門一般有明文規定代查、代辦需要被查人的有效證件，但該規定通常不被理解。這些校友根本沒有考慮到如果檔案管理部門不需要任何手續就可任意查看個人資料，個人信息的泄露情況將會很嚴重。

二是某些檔案管理人員及檔案利用者的信息保護意識比較薄弱，對維護信息主體的權益不夠重視。尤其是檔案工作者在檔案信息服務中注重開放利用而忽視個人信息保護的現象較為普遍。據調查，很多高校檔案管理部門在給用人單位提供所需學生錄取名冊時，通常將含有其他學生錄取信息的整頁資料都復印給對方，沒有保密措施，也沒有附帶任何保密條款。這種做法雖然滿足了用人單位對某些學生錄取信息的需求，但勢必造成其他不相關學生個人信息的泄露。

4 高校檔案管理與利用中個人信息保護對策

4.1 加快個人信息保護的檔案立法工作進程

以法律規范形式保護公民個人信息在檔案管理與利用中不受侵犯，已成為我國檔案立法工作中迫切需要解決的問題。筆者認為應從以下幾個方面完善保護個人信息的規定：（1）明確涉及個人信息的檔案種類；（2）規范涉及個人信息檔案的獲取、管理和利用；（3）規定信息權利人應享有的權利，包括對個人信息保密、知悉、利用的權利，對錯誤的個人信息修改的權利及個人信息受到侵犯時得到救濟的權利；（4）規范敏感個人信息的保護及個人信息的使用；（5）規定個人信息被非法泄露、利用時，相關責任人應承擔的法律責任；（6）規定延長隱私檔案的封閉期等。立法制定中使用的相關概念要準確、明晰，便于參照執行，同時做好與國家整個法律體系的兼容及與國際立法的對接。

4.2 高校檔案館應制定并執行強有力的自律措施

高校檔案管理部門應根據館藏資料內容及檔案利用規律制定完善的個人信息保護制度，并采取有效措施將制度落到實處。筆者認為制定個人信息保護制度應從以下幾個方面著手：（1）嚴格界定涉及個人信息的資料種類并規范這些資料的管理與使用；（2）明確規定檔案管理者在保護個人信息方面應承擔的職責；（4）明確規定檔案利用者利用涉及個人信息檔案應履行的義務；（5）明確信息主體的個人信息權及例外；（6）網絡環境下個人信息保護應采取的技術措施和制度措施。

制度的落實更需要有效的措施，高校檔案管理部門可以通過定期培訓與檢查、與檔案管理者簽署責任書、與檔案利用者簽署保密條款等形式，明確管理者責任，約束利用者行為，提高個人信息保護力度。

4.3 提高個人信息保護意識

高校檔案管理部門應廣泛開展宣傳教育，引起廣大師生對個人信息安全的重視。做好這項工作應從兩個方面抓起：①信息權利人，即高校教職員工、學生及校友。檔案部門應充分利用校內各種媒體及網絡（如校廣播臺、手機短信平臺、學校交流網絡平臺、檔案館網站等），以及通過開展講座或通過致新生或入職人員的一封信等形式在校內開展廣泛的宣傳教育，通過宣傳教育讓師生了解到保護個人信息的方式和重要性，個人信息被非法泄露、使用時可采取的救濟辦法，認識到保護好涉及個人信息的檔案不僅是檔案部門的事，更是關系到每個人切身利益的大事。②信息處理主體，即高校檔案管理者及檔案利用者。高校檔案管理部門應加強對檔案管理者的業務指導、法律培訓和心理教育，不斷提高他們的信息安全意識。

5 小結

目前，社會各界對個人信息保護和信息安全問題的要求越來越迫切，國務院有關部門已啟動并積極推進《個人信息保護法》的立法程序。高校檔案管理部門也應該對檔案管理與利用中的個人信息保護問題進行積極探索。當然，信息作為一種戰略性資源，其自由流動具有重要的基礎性意義，高校檔案管理部門應在檔案信息開放與限制、保護與利用等對立沖突中尋求一個平衡點，既促進信息利用、資源共享，又維護好信息主體的合法權益。

注釋

① The Privacy Act of 1974 [EB/OL].http：//www.archives.gov/about/ laws/privacy-act-1974.html，2014-8-22.

② 黃藍.個人信息保護的國際比較與啟示[J].情報科學，2014（1）.

③ 周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告[M].北京：法律出版社，2006（9）：3.

④ 韋一.安全談：個人信息保護國內外解決方案比較[EB/OL].http：//tech.ccidnet. com/art/1099/20090325/1720897_1.html，2014-8-22.

⑤ Personal Data （Privacy） （Amendment） Ordinance （new provisions）（Hong Kong）[EB/OL].http：//www.pcpd.org.hk/english/amendments_2012/amendments_2012.html.2014-8-22.

⑥ Personal Information Protection and Electronic Documents Act（Canada）[EB/OL].http：//laws.justice.gc.ca/eng/acts/P-8.6/FullText.html.2014-7-1.

⑦ 單飛.深度分析我國個人信息保護之現狀[EB/OL].http：//www.baike.com/wiki/個人信息保護法，2014-8-22.