《個人信息保護法》視角下數字檔案館個人信息保護的問題與對策

燕雙雙 張 丹

（中國人民大學信息資源管理學院，北京，100872）

信息時代，個人信息安全已深度關乎國計民生。加強個人信息保護，是貫徹落實總體國家安全觀的基本要求。2021年11月1日，《中華人民共和國個人信息保護法》（下文簡稱《個人信息保護法》）正式施行，這是我國第一部全面保護個人信息的專門法律。該法明確了“個人信息”的概念，即以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。［1］檔案作為社會活動中直接形成的對國家和社會具有保存價值的各種不同形式的歷史記錄［2］，往往會記錄大量已識別或者可識別的與自然人有關的各種信息，這一特點在醫療檔案、人事檔案等中體現得尤為明顯。檔案領域對此已有較為深刻的認識，在新修訂《中華人民共和國檔案法》（下文簡稱“新《檔案法》”）中增加了遵守有關國家法律、行政法規做好涉及個人信息檔案管理的規定，奠定了檔案工作中個人信息保護的法治基礎。在信息化背景下，原生電子檔案大量涌現，傳統檔案數字化步伐加快，大量檔案最終以數字形式被保存在數字檔案館中，以便高效快捷地提供信息服務、知識服務。可見，數字檔案館承載著信息時代檔案工作現代化的重任，其高質量建設是檔案事業高質量發展的重要抓手與體現。而數字檔案館館藏數字化和訪問網絡化的特征使得檔案信息的傳播速度更快、影響范圍更廣［3］，增加了訪問者個人信息被泄露、濫用的風險。所以，數字檔案館個人信息保護工作的成效，將是衡量其建設質量的重要指標，是人民對我國檔案治理能力和水平的直觀認知。故數字檔案館更應嚴格根據《個人信息保護法》的各項規定，做好包括數字檔案自身涉及的個人信息和提供檔案服務過程中產生的個人信息在內的數字檔案館個人信息的保護工作。

《個人信息保護法》頒布前，國內學者就已經關注到數字檔案館建設過程中的個人信息保護問題。潘連根［4］、張桂霞［5］、李媛［6］等認為，當前數字檔案館對個人信息的管理在收集、整理、保存和利用環節均存在安全風險，國家應在新《檔案法》等的基礎上制定保護隱私權的專門法律，完善其他與公民隱私權保護相關的法律法規，以此規范數字檔案館的檔案管理工作，并通過行業自律、信息控制、技術措施、宣傳教育等來完善數字檔案館隱私權長效保護機制。羅寶勇等［7］通過對我國55個全國示范數字檔案館（室）的調研，認為當前缺乏規章制度來明確數字檔案館可采集信息的范圍，不利于用戶隱私安全，應加快完善數字檔案館相關法律法規，并提高用戶個人信息保護意識。

上述研究成果均發表于《個人信息保護法》施行之前，新《檔案法》和《個人信息保護法》的相繼施行，為數字檔案館個人信息保護提供了新的法律依據和法治基礎，應進一步開展研究予以落實。為此，筆者以通過國家檔案局驗收的90家國家級數字檔案館［8］（截 至2022年1月5日）和60家全國示范數字檔案館［9］（截至2021年12月1日）為調研對象，網絡調研其官方網站或移動端等包含數字檔案館服務板塊的官方平臺，使用集成在這些平臺上的數字檔案館相關功能，如“檔案檢索”“線上查檔”“查檔預約”等獲取相關信息。本文依此對照《個人信息保護法》規定，分析我國數字檔案館在個人信息保護方面存在的問題，并從檔案工作業務流程入手提出相應的對策建議。

1 《個人信息保護法》視角下數字檔案館個人信息保護現存問題

國家級數字檔案館和全國示范性數字檔案館數量的逐年增多，表明我國數字檔案館的數據安全問題已經較有保障，但《個人信息保護法》對涉及個人信息的數據管理提出了更高要求，對照其要求，當前我國數字檔案館個人信息保護尚存在以下三方面的不足。

1.1 “告知—同意”規則落實不充分

《個人信息保護法》第六條、第七條規定了個人信息的收集范圍和告知義務，要求收集的個人信息限于實現處理目的的最小范圍，并明示處理規則、目的、方式和范圍。第十四條至第十八條對“告知—同意”規則作了詳細規定，要求“同意”應在個人充分知情的情況下自愿、明確作出，并在變更信息處理目的等時重新取得；同時，要求信息處理者提供便捷的撤回“同意”方式，除個人信息屬于提供產品或服務所必需外，不可因用戶撤回“同意”而拒絕提供產品或服務。［10］

通過對國家級數字檔案館的調研發現，部分數字檔案館在收集個人信息時并未充分落實“告知—同意”規則。具體體現在未說明個人信息使用目的與范圍、未設置同意使用個人信息選項和未設置撤回同意使用個人信息選項三個方面。例如，2016年建成國家級數字檔案館的J市檔案館在官網上設置有數字檔案館板塊。在使用其功能時，需要使用者在數字資源采集欄提供姓名、聯系電話、地址等個人信息，但并未說明獲取這些個人信息是用于何種目的和用于哪些范圍，自然也未就使用范圍等征得查檔預約人同意。再如，B市檔案館于2021年建成國家級數字檔案館，其數字檔案館互聯網檔案服務系統嵌入到其官網“B市檔案信息網”中，在使用該檔案服務系統時，需要先注冊成為網站用戶并登錄，注冊時需要提供手機號、身份證號等個人信息。但該系統及B市檔案館官網并無個人信息使用范圍等的說明，更無撤回用戶對個人信息授權使用的選項，不符合規定。

1.2 利用個人信息進行自動化決策不規范

自動化決策是指通過計算機程序自動分析、評估個人的行為習慣或者經濟、信用狀況等，并進行決策的活動。《個人信息保護法》第二十四條對利用個人信息進行自動化決策作了詳細規定，要求個人信息處理者在利用個人信息開展自動化決策時保證決策的透明度和結果的公平公正，對個人權益有重大影響時用戶有權要求個人信息處理者對自動化決策過程進行說明，并為用戶提供便捷的拒絕自動化決策選項。［11］

隨著數字檔案館建設的升級，越來越多的數字檔案館將“智慧檔案館”“知識服務”等作為建設目標。為不斷提升智能化水平，許多數字檔案館已經開始通過分析用戶行為自動提供對應服務。例如，全國示范數字檔案館中，W市檔案館已經實現基于智能技術的檔案館科學管理，其可以通過分析利用者特性，為檔案資源建設和科學管理提供決策依據，并且可以做到通過智能檢索和數據挖掘技術，為單位和個人提供強大的檔案資源查詢和利用功能。K市檔案館已經在建成勞動招工、獨生子女等30個常用專門檔案全文數據庫的基礎上，對民生檔案數據信息進行了綜合分析、挖掘，實現了民生檔案信息的動態展現。

同時，實現對于不同用戶智能推送針對性服務，需要分析用戶個人年齡、瀏覽習慣等個人信息，并基于分析結果進行相關服務的自動化決策。在這一過程中，數字檔案館面臨著因個人信息過度收集利用，引發違反《個人信息保護法》自動化決策相關規定的風險。筆者在調研中也發現了這一問題：在全國示范數字檔案館中，C市檔案館、D市檔案館和S市檔案館3家檔案館也在官網上設置了數字檔案館板塊。但在使用該功能時，并未設置關于是否接受數字檔案館系統通過分析用戶瀏覽行為等個人信息進行相關內容智能推薦的提示，也并未設置關于關閉根據用戶相關特性和規律提供個性推薦的選項。除網站外，部分數字檔案館將查詢檔案功能集成在了對應省、市推出的政務服務軟件中。如，Z省和S省推出的“掌上查檔”APP等。通過對這些應用軟件中互聯網查檔功能的實際使用，也未發現關于利用個人信息進行自動化決策的說明或提示。

1.3 敏感個人信息保護不嚴格

《個人信息保護法》將個人信息區分為一般個人信息和敏感個人信息，要求二者進行分類管理。其第二十八條規定，敏感個人信息指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、醫療健康等信息，以及不滿十四周歲未成年人的個人信息。第二章第二節規定個人信息處理者需要向個人告知處理個人信息的必要性和對個人權益的影響，并取得個人的單獨同意，未成年人則需要取得其監護人的同意。［12］

數字檔案館中的人事檔案、醫療檔案等包含大量個人信息的檔案，應按照《個人信息保護法》規定分級管理無個人信息檔案、涉及一般個人信息檔案和涉及敏感個人信息檔案。對于增量檔案中原生性電子檔案，通過前端控制實現這一區分相對較易，可規定歸檔時需區分一般個人信息與敏感個人信息，推動檔案生成端作出相應的調整。但對于存量檔案和增量檔案中通過掃描等方式形成的數字檔案，因其數據格式與數據結構的特殊性，實現一般個人信息和敏感個人信息的區分則較難。這不僅需要引入新技術，還需要大量人力進行核驗、標注等，成本高、耗時久。而且，在當前國家級數字檔案館評選和全國示范數字檔案館的評選依據《數字檔案館系統測試辦法》中，未直接寫明《個人信息保護法》也是數字檔案館建設的重要依據。［13］因此，資源的巨大投入和評價指標的引導缺失，使得各數字檔案館難以嚴格做到對一般個人信息和敏感個人信息的區別管理。

2 《個人信息保護法》視角下數字檔案館加強個人信息保護的對策建議

對照《個人信息保護法》，根據檔案工作的業務流程，加強我國數字檔案館個人信息的保護，切實保障相關自然人的個人信息權，應采取以下四個方面的對策。

2.1 規范數字檔案館個人信息收集

依照《個人信息保護法》規定，在數字檔案館必須獲取用戶個人信息時，應從兩方面規范個人信息的收集。

（1）落實“告知—同意”規則

通過“告知—同意”規則讓用戶明確了解自己的個人信息為何被搜集，是否會影響切身利益，并可以據此判斷是否同意被獲取個人信息，以保障用戶應有的知情權。例如，擁有獨立移動端的數字檔案館，在用戶注冊時，可借鑒百度、微博等APP的隱私聲明，用戶在閱讀該聲明后才可完成注冊；同時，在退出登錄選項處設置注銷賬戶或撤銷個人信息許可的選項。對于數字檔案館嵌入政務服務應用軟件的情況，可借鑒浙江省政務服務軟件“浙里辦”APP在注冊時的一次性實名認證模式，解決個人信息在使用不同功能時重復收集、授權的問題；而在使用涉及個人信息的功能時，用戶則另需完成高級實名認證，增強對個人信息的保護。高級實名認證模塊可提供支付寶、微信賬戶等多種認證形式，最少步驟、最小范圍收集個人信息，降低用戶個人信息的泄露風險，保護用戶的個人權益。

（2）分類收集個人信息

《個人信息保護法》規定，必須收集的個人信息應分為一般個人信息與敏感個人信息。［14］數字環境下，在收集檔案時應將一般個人信息、敏感個人信息與非個人信息三者通過技術手段進行前端控制，實現相關信息的區分收集。并且，一件檔案若同時包含三者，應在對其建立關聯后，儲存于不同調用權限的數據庫中，實現個人信息與非個人信息的數據關聯。在使用時非必要不調用個人信息，特別是敏感個人信息。當前，實現此功能的主要難點在于界定敏感個人信息范圍。除《個人信息保護法》已明確的生物識別信息等屬于敏感個人信息外，籍貫、住址等信息的泄露在很多情況下也會為個人帶來嚴重的危害。因此，應盡快明確不同種類檔案中個人信息和敏感個人信息的邊界，為數字檔案館提供可實操、可落地的個人信息分類依據。

2.2 規范數字檔案館個人信息管理

對照《個人信息保護法》，應從資源和人員兩方面著手規范數字檔案館對個人信息的管理。

（1）嚴格脫敏處理數字資源

對于原生數字檔案，前端控制與脫敏技術并重，最大限度在前端控制環節實現數字檔案中的非個人信息、一般個人信息與敏感個人信息有效區分，以準確高效實現檔案資源的個人信息脫敏處理。對于實體檔案，首先，在數字化時要做好保密工作，避免出現數字化環節檔案泄露。其次，由于實體檔案數字化后的信息往往具有非結構特性，需通過人工標注或AI識別等方式進行個人信息與非個人信息的區分，對其中的個人信息進行相應的技術處理，以便利用時匿名化。例如，國網大連供電公司、國網黃山供電公司等在結合電力企業實際業務需求的基礎上，積極探索數據脫敏技術在電力用戶隱私信息保護中的應用。［15-16］國網四川電力公司信息通訊分公司則根據業務所需提出了一種基于機器學習的數據脫敏系統設計方案。該方案依托機器學習能夠實現更細粒度的訪問控制，具備更精確的需求理解能力、更強的擴展力，可輔助人工制定脫敏策略，為數據脫敏系統提供智能化新思路。［17］

（2）嚴格控制數字檔案館管理與使用人員權限

一是要嚴格管理數字檔案館管理人員權限。《個人信息保護法》第五章規定了個人信息處理者的義務。其中第五十一條指出，個人信息處理者應采取相應的加密等安全技術防止未經授權的訪問以及個人信息泄露、篡改、丟失。［18］因此，數字檔案館應在對無個人信息、涉及一般個人信息、涉及敏感個人信息的檔案采取不同保密等級加密方式的基礎上，對訪問涉及個人信息的檔案人員進行嚴格授權。要求操作人員事先根據操作目的提出申請來獲取對應權限，并使用系統自動記錄具體操作方式確保操作人員在檔案整理過程中嚴格保護個人信息，降低因內部人員帶來的個人信息泄露風險。

二是要嚴格審核涉及個人信息檔案利用者身份。《個人信息保護法》第九條規定，個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全。［19］因此，基于數字檔案館線上操作的特點，可在用戶申請獲取涉及個人信息檔案時，除常規程序外，增加人臉識別環節，與用戶登錄時上傳的個人信息做匹配，確認個人信息利用者身份。并在提供對應檔案資源前，設置提示保護個人信息的彈窗，提示利用者該檔案資源涉及個人信息，需謹慎對待。

2.3 規范數字檔案館資源開發利用

（1）確保脫敏檔案的安全開發

《個人信息保護法》在保護個人信息安全的同時，也讓檔案資源的開發利用有法可依。因此，檔案領域的專家學者和檔案部門應對《個人信息保護法》在數字檔案館領域的要求與影響做出更加深入的解讀與說明，明確各類檔案達到個人信息脫敏的具體標準等，并需要檔案部門嚴格監督檢查各數字檔案館個人信息脫敏處理后的檔案是否達到了匿名化的要求。因為對于進行個人信息脫敏處理后公開的檔案而言，即使低于100%的脫敏合格率也意味著個人信息泄露情況的必然發生。而個人信息尤其是敏感個人信息的泄露輕則引發輿情事件，對相關人和檔案館造成傷害，重則嚴重降低人們對數字檔案館管理檔案資源的信任，不利于數字檔案館開發館藏資源和提供知識服務。

（2）確保自動化決策的透明公正

數字檔案館利用個人信息進行自動化決策的規范化是數字檔案館向智慧檔案館、精準化知識服務邁進時無法回避的難題。當前，計算機技術已經實現了信息個性化推薦內容與服務，例如京東、抖音等應用軟件正在使用的算法機制。數字檔案館若要從提供信息服務轉變為提供更具針對性的知識服務，也需要獲取用戶注冊時提交的個人信息、使用時的檢索過程、瀏覽記錄等作為自動化決策基礎。但數字檔案館服務作為國家政務服務的一部分，更應按照《個人信息保護法》的規定，保證結果的公正性和決策的透明度，避免因內容推送自動化決策導致的信息繭房等現象。因此，數字檔案館在利用個人信息進行自動化決策前，應向用戶說明利用個人信息進行自動化決策的目的與影響，并在頁面明顯位置設置“針對個人特征推薦內容”此類服務的拒絕選項。

2.4 強化數字檔案館管理制度保障

（1）健全數字檔案館督導制度

制定并健全國家級數字檔案館、全國示范數字檔案館等高水平數字檔案館個人信息保護情況的定期監督指導制度。定期監督指導范圍除了包含數字檔案館硬件設施與軟件系統外，還應包含數字檔案館管理人員個人信息保護能力等方面。具體而言，隨著信息技術的發展，計算機病毒、解密技術等從數據庫中非法獲取個人信息的方式日漸增多，故數字檔案館保護個人信息的防護技術也需要快速迭代升級，來應對個人信息泄露的風險。在數字檔案館管理人員個人信息保護能力提升方面，除通過督導數字檔案館開展《個人信息保護法》培訓學習等方式外，還應包括監督指導數字檔案館個人信息安全事件應急預案的制定與演練。根據《個人信息保護法》，數字檔案館作為個人信息處理者，應制定并組織實施個人信息安全事件應急預案，以應對個人信息泄露的突發情況。

（2）完善數字檔案館評價體系

將《個人信息保護法》對個人信息保護的新規定、新要求體現在數字檔案館的評價體系中，實現對個人信息權益的保障。例如，在當前數字檔案館評價主要參考的政策《數字檔案館系統測試辦法》中，對《數字檔案館系統測試指標表》［20］中“制度制定與實施”部分的指標“建立包括防范自然災害、環境事故、突發事件和人文操作失誤等內容的應急預案，并實施定期演練”作進一步明確，注明應包括對個人信息安全事件的應急預案與演練。對“條件保障”部分的指標“數字檔案館業務人員全部經過崗位培訓”作進一步明確，注明崗位培訓包括對業務人員個人信息保護的培訓等。通過完善數字檔案館評價體系，引導各數字檔案館在建設過程中落實《個人信息保護法》各項規定，做到合理有度收集個人信息、安全有序存儲個人信息、公正謹慎利用個人信息。

3 結 語

《個人信息保護法》的施行極大夯實了檔案事業的依法治理基礎，既與新《檔案法》第二十八條中“利用檔案涉及知識產權、個人信息的，應當遵守有關法律、行政法規”的規定緊密銜接，使檔案與檔案開發利用中個人信息保護有法可依；又為《“十四五”全國檔案事業發展規劃》中“檔案信息化強基工程”提供了檔案信息化基礎設施建設中個人信息保護的“指導手冊”，確保檔案信息化基礎設施質量。《個人信息保護法》的施行，點明了數字檔案館工作在數字浪潮下亟須破解的時代命題，即數字檔案館在實現人的檔案需求基礎之上，也要保障人的合法權益。基于《個人信息保護法》視角考察數字檔案館的個人信息保護問題，不僅是檔案工作對走向依法治理、走向開放、走向現代化“三個走向”的嚴格遵循，更是為數字檔案館高質量建設發展奠定更為堅實的法理基礎，能夠助推數字檔案館資源建設、開發服務等各項業務工作進一步轉型升級。

然而，數字檔案館個人信息保護僅是整個檔案事業落實《個人信息保護法》各項規定的一隅，非數字檔案館個人信息的保護也是亟待解決的重點領域。因此，在未來關于個人信息保護的研究中，應縱向加深對不同經濟、科技發展水平地方的考察，總結與推廣檔案工作個人信息保護先進單位的實踐經驗；橫向加大對不同專業檔案館的考察，如特殊載體檔案館、城建檔案館、部門檔案館，注重專業的特殊性，促使檔案工作的個人信息保護研究不僅要有“廟堂之高”，更要有“江湖之遠”。