個人檔案信息共享的規制措施研究*——以應對檔案管理數字化建設下的信息安全風險為視角

張 娟 李 儀

（1.重慶三峽學院圖書館，重慶，404100；2.重慶大學法學院，重慶，401120）

1 規制的必要性：應對檔案管理數字化建設下的信息安全風險

1.1 個人檔案信息共享的意義與主要形式

根據歐盟個人數據保護指令（以下簡稱“歐盟指令”）第2 條，個人信息是指一切能將自然人本人從人群中識別出來的數字、符號以及它們的組合。個人信息的常見形態包括姓名、身份證號碼、聯系方式等；在數字與網絡環境下，個人信息還包括電子郵箱地址、個人網站的網址與域名、IP 地址、網絡用戶名與密碼等。檔案管理者出于全面保存社會記憶等目的，時常將收集到的個人信息按照一定標準加以歸類并存檔，從而形成個人檔案信息；然后將該信息傳輸給公共機關、私人機構與個體等用戶，以幫助他們在做出決策時消除信息學家香農筆下的不確定因素。前述過程即為個人檔案信息的“共享”。

實踐中個人檔案信息共享的主要形式有兩種：一是檔案管理者將信息傳輸給個體，后者為滿足自身個性化需求（如獲取知識、提高自身信息素養）而利用信息，學界一般稱之為“個性化服務式共享”；二是檔案管理者將信息傳輸給公共機關與企業等私人機構，后者為達到公共管理、商業情報開發以及營銷等目的而利用信息，歐盟公共部門信息再利用指令稱之為“增值式”（value-added）共享。最典型的例子是美國國家檔案館（NARA）與易安信公司（EMC）就檔案信息開發事宜進行合作。

1.2 信息安全所面臨的風險

從個人檔案信息的內容與運行方式而言，它的安全要素包括真實性、保密性與可用性等。而在檔案管理數字化建設下，共享行為對信息安全帶來了風險，這又阻礙了共享活動的順利開展，具體地：

一方面，就性質而言，個人檔案信息共享屬于檔案管理者與用戶等共享者所實施的信息行為。根據信息行為具有自由性與選擇性的原理，共享者往往不同程度地改變信息的內容以及信息之間的排列組合方式，這容易使信息變得失真從而損害信息的真實性。尤其是在檔案管理數字化建設背景下，信息歸檔與信息數據庫建設可以同步進行，信息傳輸工作也可以通過網絡手段來完成。這在提高了共享效率的同時使得信息傳輸的環節增多，由此信息失真的幾率增大。

另一方面，在數字化環境下，檔案管理者可以通過BBS 互動版塊等途徑主動了解用戶對他人個人檔案信息的具體需求，然后運用cookies 等技術以及計算機設備來收集用戶所需要的信息，再將信息傳輸給用戶共享。前述行為屬于對信息的隱式提取，因此個人檔案信息本人往往難以對此知情并提出異議，這就使得信息的保密性面臨威脅。在得知自身的權益受到侵害后，本人往往不愿再將信息提供給檔案管理者，這又使得信息可用性的要求難以得到滿足，甚至會阻礙共享活動的正常開展。在一些關于國內檔案館數字化建設的實證調研報告中，前述問題得到了反映。

2 規制的基本思路梳理：以美國與歐盟經驗為借鑒

實踐中，檔案管理者與用戶往往片面地提高信息共享的效率，這決定了他們很難通過自律的方式來改變自身任意收集與更改信息由此破壞信息安全要素的不良偏好。據此我國需要通過立法這一強制手段來約束共享者的行為，促使他們通過加強管理來改變前述偏好，以此來確保信息的有序共享。為此筆者立足于我國檔案管理的數字化建設實情并借鑒歐美經驗，提出以下規制的思路：

2.1 轉變現有的規制理念，以確保信息安全作為促進共享的前提

從我國檔案法第2 條以及第三、四章觀之，我國已將個人檔案信息納入調整范圍，并以促進信息的利用與公布作為制度設計的重點。然而筆者認為，個人檔案信息安全的保障是信息得以利用與共享的前提，由此立法應首先滿足信息安全的要求。畢竟在信息管理學家看來，信息生產者是信息資源最重要的成分。個人檔案信息的原始生產者是信息所識別的本人，從性質而言它屬于私人信息而非能被任何人自由獲取的公共信息。據此，我國應當首先確保信息免受不正當的更改與披露，以此來維護本人的權益，進而激勵本人為共享活動提供信息來源并排除共享所面臨的阻礙；同時在價值論視野中，信息的真實性與保密性體現著本人的尊嚴與自由等基本人格價值，它們相對于信息共享所維系的利益（如用戶的個性化需求、公共管理與商事營運等）而言，應當得到優先實現與保護。

由此在個人檔案信息共享問題上，我國宜適當轉變現有立法理念，促使共享者在滿足信息真實性與保密性等安全要素的要求的前提下開展信息共享活動。美國聯邦信息自由法案第552 節a 即規定，檔案管理部門等公共機關只有在確保信息真實性與保密性的前提下，才能將信息提供給私人機構與個體；該國檔案工作者協會（SAA）更是通過制定行業自律規范，明確禁止協會成員未經本人同意就傳輸信息；歐盟委員會工作組在其制定的關于公共機構信息的再利用和個人數據保護的7/2003 意見書中也要求，各成員國應當通過立法促使檔案管理機構等組織在信息共享之前，保障信息的真實狀態并防止他人非法竊取信息。

2.2 根據不同的安全要素采取相應的規制措施

按照個人檔案信息真實性的要求，共享者應通過運用合理的硬件設備與軟件系統來確保信息處于完整與準確狀態，同時避免信息因被篡改與亂序而變得殘缺與失真；按照信息保密性的要求，共享者在未經本人授權時，不得任意對信息實施收集、傳輸與披露等行為。我國宜根據前述具體要求，采取相應措施來約束共享者的行為。美國俄克拉何馬州公共文件法624A.17 條即規定，為維護信息真實性，原則上公共機關在向他方傳輸信息之前應當取得本人授權，同時采取保密技術來防止信息被未取得授權者獲得；南卡羅來納州機動車管理辦法656-5-1275 條則規定，為維護信息保密性，公共機關在向他方傳輸信息之前，應采取合理措施以防止信息被任意篡改。

同時，可用性是信息安全的另一必備要素，據此共享者應能合理接收與傳輸個人檔案信息，從而發揮信息的社會效用。在以個性化服務為顯著特征的檔案管理數字化建設背景下，可用性尤為重要。畢竟我國需要具體滿足不同身份的用戶對檔案信息（包括個人檔案信息）資源的不同訴求，進而通過消除數字鴻溝（digital divide）來實現信息公平這一網絡治理目標。由此我國應當按照可用性的要求采取相應手段，保障共享者得以自由地收集與共享信息，即使他們在特定情況下未取得本人授權。美國聯邦康復法案即規定，殘障人士接收信息的權利不得因電子信息技術的采用而被限制或者排除；該國國家檔案館（NARA）主頁還專門為退伍老兵、教師以及生理有缺陷者開設了欄目，以保障他們能自由接收信息；同時根據德國聯邦個人資料保護法第二編，共享者為滿足圖書館管理、公共服務、提高自身信息素養等目的，得以任意收集與傳輸信息，即使本人反對。

2.3 對不同形式的共享活動進行區分規制

不同形式的共享活動對個人檔案信息安全所造成影響的程度是不同的。在個性化服務式共享中，個體用戶接收與傳輸信息的能力較弱，其一般是為了滿足個性化需求而接收他人個人檔案信息，他們很少更改或披露信息，從而對信息真實性與保密性所構成的威脅較小，信息學家稱這種共享方式為“淺層的信息共享”；而根據控制論原理，在增值式共享活動中，作為公共機關與私人機構的用戶為履行其職能，往往對接收到的信息進行深層次的比對與挖掘，并在此基礎上開發出新的信息，進而形成對信息本人的控制策略，有時甚至還會將新的信息向檔案管理者反饋（feedback），由此信息的真實性與保密性等安全要素都將面臨嚴重的隱患。加之相對于本人而言，公共機關與私人機構無論在談判力量還是資源掌握能力等方面都處于優勢地位，故而本人很難反對其對信息的任意共享。基于以上考慮，我國需要對增值式共享活動參與者的行為予以更為嚴格的規制。美國聯邦信息自由法案552節（b）即規定，公共機關在傳輸信息時，應當采取更為嚴格的技術措施來確保信息的保密性與真實性；德國聯邦個人資料保護法第二編也做了類似規定。

3 基本思路下的規制措施：為滿足不同的安全要素之具體要求

3.1 為滿足信息真實性與保密性要求所采取的措施

雖然根據我國檔案法第16 條以及檔案法實施辦法第24 條，檔案管理者應當妥善保管個人檔案信息并在共享中維護本人權益，然而這些規定過于原則與抽象，在數字化環境下，它們容易為共享者任意更改與披露信息留下空間。針對這一不足我國宜通過如下步驟予以改進：

首先采取必要手段，使本人得以知悉其個人檔案信息被共享的相關情況（譬如共享者身份、共享方式以及被共享信息的現狀），以便于本人參與到共享活動中來并對共享者破壞信息真實性與保密性的行為提出異議。譬如，立法者可要求檔案管理者將信息用密鑰加密，并向本人發送密鑰以便使后者知悉共享情況。前述內容被經濟合作與發展組織（OECD）關于隱私保護與個人資料跨國流通的指針第13 條概括為本人參與原則。

在此基礎上，按照信息真實性與保密性的不同要求設定如下規則以約束共享者行為：第一，共享者在取得本人授權的基礎上方能收集、傳輸與存儲信息，同時運用合理技術（如訪問控制技術）防止信息被未獲本人授權的人取得；第二，共享者應當采取技術措施以確保信息被安全存儲與傳輸，同時防止信息被不當刪改。前述規則被OECD 指針第10、11 條概括為限制利用與安全保護原則。

3.2 為滿足信息可用性要求所采取的措施

在確保個人檔案信息真實性與保密性的前提下，檔案管理者得以將收集到的信息傳輸給用戶，再由后者通過如下措施完成共享：第一，接收與存儲信息。這是用戶得以共享信息的前提，美國國家檔案與文件檔案署管理法案規定，社會組織和個體等用戶對信息加以接收與獲取的權利應受保護，該國圖書館權利法案也做了類似規定；第二，對信息加以歸類、分析、再利用與披露。按照歐盟指令第2 條（b）的表述，歸類與分析是用戶發揮信息的效用的基本途徑。特別地，用戶得以將信息傳輸給他人進行再利用（re-utilization）或者向公眾披露信息的內容，從而實現對信息的共享。前述歐盟委員會工作組7/2003 號文件即對此方式做了規定。

另外如前文所述，為滿足個人檔案信息可用性的要求，共享者在特定情況下應被允許任意收集與傳輸信息，即使未取得本人授權。考慮到增值式共享對信息安全構成的威脅較大，我國宜將其參與者（公共機關、私人機構以及檔案管理者）得以任意共享信息的情形限定在特定范圍內，并將超出此范圍的行為視為違法。參照歐盟指令第二、三、六節以及美國聯邦信息自由法案第552 節的內容，這些情形主要包括：通過網絡追究刑事犯罪、從事電子政務管理活動、維護信息本人以及他人重大利益、開展衛生教育等公益活動。與此不同的是，個性化服務式共享的主要參與者——個體用戶的行為對信息安全的威脅較小，因此按照美國學者托馬斯·愛默生闡發的信息近用權學說，只要用戶能證明其對他人個人檔案信息的共享是出于滿足自身的合理需求，即可任意接收與處理信息。當然出于維護信息安全的考慮，個體用戶仍應當承擔特定義務（譬如不得擅自更改信息），這已體現在了德國聯邦個人資料保護法第三編第一章以及美國賓夕法尼亞州檔案安全法案當中。

3.3 針對增值式共享活動中的計算機比對所采取的特殊措施

在增值式共享活動中，用戶（主要是公共機關）在對來自于兩組以上不同數據庫的個人檔案信息加以接收與存儲后，還時常通過計算機將這些信息進行比較，進而挖掘出新的信息，信息科學家將這一特殊的共享形態稱為計算機“比對”（computer matching）。比對者特殊的身份與信息處理能力決定了，被比對的信息在內容以及組合排序方式上極有可能發生顯著變化，信息被披露的可能性也將大增。正是顧慮到比對行為對信息真實性與保密性帶來的特殊風險，美國政府與民眾一直質疑該行為的合法性。直到上世紀末，該國才有條件地允許公共機關對公民個人檔案信息進行比對。在我國自本世紀初開始，個人檔案信息比對技術先后被應用于司法與金融征信等領域。調查顯示，我國相當部分檔案館為實現數字化建設目標，開始與全國犯罪信息中心（CCIC）與中國人民銀行征信中心等機構通過聯網方式開展個人檔案信息比對活動。

圖1 對不同形式共享的規制措施的區別

為應對個人檔案信息安全因比對而面臨的特殊風險，我國立法者宜設置如下規則來約束比對者的行為：第一，只有履行公共職能的機關方得以進行信息比對。理由是，根據信息學家京特·雅各布斯闡發的信息契約理論，只有在滿足公共利益的限度內，本人對于其個人檔案信息所享有的權益才能因比對而受到特殊限制。由此參照美國聯邦計算機比對與隱私權保護法案的規定，有權實施信息比對行為的只有從事提供社會福利、追究刑事犯罪、稅收征管以及維護國家安全等公職活動的機關；第二，作為信息提供方的檔案管理者與作為比對者的公共機關應當達成比對協議，在協議中明確約定雙方對信息安全的保護義務，否則比對行為無效；第三，公共機關在通過比對所挖掘出的新信息對本人采取措施之前，應當對信息的真實性進行核實，并允許本人對措施提出異議。以上規則在前述美國計算機比對與隱私權保護法案以及歐盟7/2003 意見書中均有體現（參見圖1）。

［1］李興國.信息管理學［M］.北京：高等教育出版社，2011:2.

［2］王蘭成.大數據環境下檔案與圖書情報信息集成服務機制的構建［J］.南京：檔案與建設，2014（12）:5-6.孫雨生，仇蓉蓉.國內數字檔案館個性化服務研究進展［J］.南京：檔案與建設，2013（12）:14-15.

［3］［美］Brillouin.Science and Information Theory［M］.New York：Academic Press，1962:154.

［4］蓋俊梅，王蘇軍，狄新怡，何蘊寧.三級醫院檔案管理現況調查與影響因素分析［J］.南京：檔案與建設，2014（10）:81-83.

［5］［美］羅曼.信息政策［M］.北京:科學出版社，2005:57-58.

［6］［美］J .E .Hopcroft and J .D Ullman .Introduction to Automata Theory，Languages ，and Computation［M］. Boston: Addison-Wesley Publishing Company，1979：156.

［7］鐘義信.信息科學原理［M］.北京：北京郵電大學出版社，2002:332.

［8］鐘義信.信息科學原理［M］.北京：北京郵電大學出版社，2002:288-311.

［9］［美］Thomas I· Emerson，The System of Freedom of Expression［M］，New York: Random House Inc.，1970：6-7.羅軍，李靈風公民檔案利用權利發展歷程研究［J］.南京：檔案與建設，2014（11）:8-10.

［10］張才琴，齊愛民.我國個人信息計算機比對制度芻議［J］.武漢：法學評論，2008（5）:115.

［11］張才琴，齊愛民.我國個人信息計算機比對制度芻議［J］.武漢：法學評論，2008（5）:117-118.

［12］［德］京特·雅科布斯，規范·人格體·社會［M］，北京：法律出版社2001：111.