口述歷史項目個人數據保護的實踐與啟示
——以英國國家生活故事為例

周鈺婷 唐思慧/ 湘潭大學公共管理學院

1 引言

數字環境下，口述歷史項目中的個人數據處理更多依靠軟件或數字技術，個人數據網絡傳播速度更快、影響范圍更廣、關聯度更強，這使口述歷史檔案中大量個人信息的保護面臨挑戰。與此同時，近年來我國內陸地區每年的口述歷史項目都有數百個[1]，且由于當代口述史學日益關注和重視具有當代性、敏感性與隱私性的議題，這也導致口述歷史工作所面臨的法律與倫理風險進一步加劇[2]。環境和業務工作的改變需要調整法律規范及其適用。英國國家生活故事在歐盟《通用數據保護條例》出臺后，積極探索口述歷史項目個人數據保護的有效路徑，在如何合規高效地保證知情同意的實現、如何證明采集方處理個人信息的正當性與透明度、如何對口述內容中的個人信息進行敏感性審查等方面積累了較多經驗，這些經驗值得學習和借鑒。

2 文獻回顧與案例選擇緣由

當前圍繞口述歷史檔案中的法律問題，學界主要從三個方面進行了研究，一是調查域外國家口述歷史法律和倫理保護實踐，分析其特色并結合我國實際總結啟示[3-4]；二是從口述歷史工作流程角度出發，分析其存在的法律問題并提出對策[5-7]；三是主要聚焦口述歷史工作中的著作權，或分析權利保護實踐與特點并提出借鑒意義[8]，或探討常規與特殊口述歷史檔案的著作權歸屬及保護對策[9]，或分析著作權的屬性及其法律關系并提出治理模式[10]。由此可見，已有研究主要集中于美國口述歷史法律和倫理保護實踐及借鑒、基于口述歷史“收管用”層面的法律問題及解決策略等方面，鮮少涉及口述歷史的個人信息保護問題，而保障名譽權、榮譽權、隱私權等人格權的實現都與個人信息保護息息相關。基于此，本文著眼于歐盟《通用數據保護條例》（General Data Protection Regulation，下簡稱GDPR）施行以來英國國家生活故事（National Life Stories，下簡稱NLS）在開展口述歷史項目過程中如何保護個人信息，并分析NLS如何向社會公眾合規地提供盡可能多的口述歷史檔案，以期為我國有關部門開展口述歷史檔案工作提供參考。

選取英國NLS口述歷史項目為案例的主要依據為：一是NLS開展口述歷史檔案工作的時間較長，成果和經驗豐富。NLS是英國最重要的口述歷史領域田野調查慈善機構[11]，其通過募集資金已維持運營36年，采用獨立采集、合作采集和社會征集等模式建設資源[12]，訪談各個領域的口述者多達3.5萬余人，形成了4萬多份口述歷史音視頻資料[13]。二是在個人信息保護領域，歐盟所制定施行的GDPR具有深厚的法律文化傳統和強烈的現實意義。GDPR在制定時涉及大量專家咨詢、深入研究如何操縱信息實踐以逃避監管目標[14]。盡管2020年英國正式脫歐，但當前英國國內仍適用著與GDPR高度相似的UK GDPR和適應其國內法律體系的《數據保護法2018》（即Data Protection Act 2018），而NLS在開展口述歷史項目時適用GDPR的實踐對于我國個人信息保護的場景化具有借鑒意義。三是我國于2021年8月20日通過的《個人信息保護法》在立法體例與內容方面較多借鑒了GDPR，二者在立法結構、憲法依據、個人信息處理的合法性基礎、權利義務設置方面都具有相似性[15]，這為《個人信息保護法》適用于口述歷史檔案工作領域也提供了參考價值。

3 英國國家生活故事概況

NLS自成立發展至今的三十多年來，通過深度自傳式訪談的方式記錄和保存了英國各種各樣的聲音，并致力于讓公眾利用這些聲音。所有的采訪集均作為大英圖書館聲音檔案的一部分永久保存[16]。自2006年以來，NLS口述歷史檔案工作主要以數字化館藏、實現在線訪問為中心，將曾存儲在盒式、開卷式磁帶中的口述歷史檔案數字化，并對所有已數字化的訪談、原生數字訪談進行編目，根據口述者意愿、法律規定、所有權歸屬等公開、開發口述歷史檔案資源，滿足用戶對口述歷史檔案的利用需求。

NLS一方面通過聲像目錄庫提供簡單檢索和高級檢索；另一方面通過錄音檔案合輯、在線學習資源提供口述歷史資源，錄音檔案合輯是綜合考量資源權限、大英圖書館其他口述館藏內容，整合資源后按專題形式呈現，而在線學習資源一般是根據所要構建的主題從數小時的口述歷史檔案中提取出相關聲音片段，同時配以文字、圖片、視頻、超鏈接向用戶提供利用，其所構建的主題或與口述歷史項目主題相同，如“科學之聲”“藝術之聲”“大屠殺之聲”，或為自建主題，如“如果家里有耳朵”“游戲時間”“食物故事”。截至2023年8月，NLS共開展了34個口述歷史項目。這些項目的內容基本涵蓋了農業、工業、服務業、藝術、科學、宗教等社會生活的方方面面。

4 英國國家生活故事口述歷史項目個人數據保護的實踐

從各國立法使用的概念來看，美國更多使用個人隱私，歐盟成員國則更多使用個人數據，而以我國為代表的亞洲國家則更多使用個人信息[17]。由于重視數據主體的法益，GDPR被稱為“史上最嚴”數據保護立法，NLS作為大英圖書館口述歷史部門中的一個獨立慈善信托機構，在遵循GDPR及有關規定完成口述歷史項目時，有以下四個方面值得關注。

4.1 明確個人數據保護的法律適用依據

GDPR背景下口述歷史項目中的個人數據處理所適用的法律依據主要為兩類，一是基于知情同意處理個人數據，二是“出于公共利益的存檔目的”處理個人數據。

基于知情同意要求數據主體“知情”且“同意”，其中同意由GDPR第4條第11款規定，即數據主體通過聲明或清晰的確信行動自由作出的、具體的、充分知悉的、明確的同意。選擇適用該依據可能會出現兩方面的問題，一是要求數據主體高質量的同意，并且在后續開放、開發口述歷史檔案時NLS也需取得口述歷史檔案中除口述者以外的所有數據主體的同意，這較為困難。NLS所收集的訪談時長基本長達數小時，口述者在口述過程中也會提及多個數據主體，要取得多個數據主體的高質量同意將會費時費力或無法取得。二是依據GDPR第7條規定，數據主體有權隨時撤回其同意，這意味著若數據主體撤回同意，NLS將無法向社會公眾提供利用口述歷史檔案資源。

出于公共利益的存檔是指將個人數據存檔“用于具有超出組織自身直接利益的公共價值的目的”[18]。選擇該法律依據則會適用數據訪問權、更正權、被遺忘權等多項權利的豁免情形，這有利于口述歷史檔案的永久保存和完整可用，但適用該依據也有相應的限制條件。首先，基于公共利益而存檔的數據需具有持久價值，且該價值由檔案形成者或檔案鑒定的程序判定[19]；其次，在個人數據處理過程中需要相應的保障措施維護數據主體的權利，GDPR第89條第1款規定，保障措施應確保適當的技術和組織措施，特別是為了確保尊重數據最小化原則，這些措施可以包括假名。若無法滿足以上限制條件，豁免則不能完全適用。

4.2 增強個人數據處理的透明度

GDPR序言中的透明性原則解釋為“與處理個人數據相關的任何信息和通信都需易于訪問和理解，并使用清晰的、直截了當的語言。”為了口述歷史檔案工作更好地開展并取得良好的效果，采集者需向口述者說明項目情況，處理個人數據的活動、風險及保障措施，數據主體的權利等內容。此外由于GDPR強調處理活動的記錄與透明，以便數據控制者對其個人數據的使用負責[20]，因此在開展口述歷史檔案工作時，采集方主要通過簽訂協議文本來增強個人數據處理的透明度。

協議文本包括口述歷史參與協議和口述歷史錄制協議，參與協議需在訪談開始前簽署，NLS所使用的參與協議內容包括大英圖書館及其口述資源概況，口述者將要參與的項目簡介、已同意參與項目的口述者、項目咨詢委員會成員，圖書館如何使用口述者的個人數據及依據，本協議中的數據處理；而錄制協議通常在訪談結束時簽訂，協議規定了口述歷史檔案的版權、訪問限制，訪問限制包括一段時間內限制[21]全部或部分訪談內容、阻止公開或修改訪談中可能誹謗或提到的第三方敏感個人數據的內容。

所簽訂的口述歷史協議既表明了口述者對項目以及雙方數據權利的知悉，也將成為項目管理的重要工具。上述做法也與英國國家檔案館所倡導的“將信任的基礎從檔案機構的權威性轉變為檔案實踐的透明度”相契合[22]。

4.3 完善個人數據的敏感性審查機制

與英國1998年的數據保護法案相比，GDPR用特殊類別數據一詞代替了敏感個人數據，并在其定義中新增了基因數據和一些生物特征數據[23]。在口述歷史檔案中，特殊類別數據所涉及的主題包括宗教信仰、政治觀點、工會活動、企業或行業狀況、自然人的醫療或健康記錄、種族或民族、謠言等。大英圖書館的口述歷史部門一直在發展完善一種訪談內容敏感性的審查方法[24]。為適應GDPR及相關法規，大英圖書館根據口述歷史檔案工作流程的調整，于2019年8月13日發布該審查方法的2.0版本[25]，從而進一步完善了個人數據的敏感性審查。

敏感性審查2.0版本由審查目的、審查流程、風險等級、個人敏感數據示例、撰寫口述歷史數字錄音摘要的指南等內容組成，其中審查流程主要分為五個階段（如圖1所示）。第一階段需根據不同口述歷史項目的主題、所涉及的領域，選擇適合的審查方法和術語，并通過回答四個基本問題明確項目信息、審查動機、口述者要求的公開限制、項目已有的所有文件；第二階段基于GDPR規定的特殊類別數據，檢索口述歷史摘要或轉錄的全文文本中含有敏感內容的單詞或詞根，記錄敏感內容的時間碼并突出檢索詞；第三階段聽審敏感內容所在的錄音片段，確定個人數據的可識別性與開放風險（如圖2所示），并提出處理建議；第四階段批準和簽署口述歷史內容的處理意見；第五階段，對于含有敏感內容的錄音片段，可以禁止公開，也可以對其副本的相關片段進行編輯從而提供利用。與此同時，在對口述歷史內容進行敏感性審查過程中，審查人員須仔細記錄其全部程序和決策過程。

圖1 口述歷史內容敏感性審查流程圖

圖2 口述歷史檔案公開可能造成的損害或痛苦風險等級表

4.4 落實個人數據保護的主體責任

任何對口述者有潛在危險的口述歷史項目，其成功的前提都取決于贏得口述者的信任并保證保密和控制[26]。而保證保密和控制須落實個人數據保護的主體責任。依據GDPR規定，數據控制者決定個人數據處理的目的與方式，而數據處理者則是為數據控制者處理個人數據的實體，兩者均負有保護個人數據的責任。基于此，NLS和大英圖書館即是口述歷史檔案的數據控制者，口述歷史的采集者、檔案管理者、志愿者為數據處理者，而利用口述歷史檔案的個人或媒體則既是數據控制者、數據處理者，也是數據主體。

根據各主體在口述歷史項目中的角色及其權利義務，NLS通過多種方式落實個人數據保護責任。對于口述歷史的采集者與檔案管理者，NLS一方面通過開設培訓課程、發布工作指南使其明確個人數據保護的權責、掌握合規的工作流程，例如：2018年GDPR施行后，NLS就新法所帶來的變化參與更新了行業協會指南，并使機構內全體工作人員接受培訓；另一方面則通過簽訂保密協議保障雙方權利義務和責任的落實。對于項目志愿者，雙方則通過志愿者協議設定項目內容的保密與公開。對于利用口述歷史檔案的個人或媒體，一方面大英圖書館通過Cookie政策、用戶賬戶管理等一系列隱私政策說明其處理用戶個人數據活動，另一方面利用者在獲取、利用口述歷史檔案時將會被告知其版權規則和使用權限，特殊情形下還需利用者簽署聲明或承諾，表明他們將遵守法律且不識別個人數據。此外，GDPR第33、34條所規定的個人數據泄漏通知制度也成為落實個人數據保護主體責任的重要方式之一。

5 英國國家生活故事口述歷史項目個人數據保護實踐對我國的啟示

良好的個人數據保護既有利于保護口述者的人格權和著作權，也有利于建立科學合理的數據處理秩序。我國口述歷史的采集方可借鑒其實踐經驗，推動口述歷史檔案的有序收集與合規開放。

5.1 明確個人信息處理目的，選擇最佳法律適用依據

個人信息處理目的是個人信息處理的合法性基礎，它決定了處理活動所適用的法律依據，而適用不同的依據則會賦予主體不同的權利義務，并可能帶來相應的豁免情形。口述歷史的采集單位在采集、歸檔、保管、開發利用時需明確個人信息的處理目的，區分其現行、長遠價值，并持續關注法律法規的解釋與適用，根據不同的目的導向選擇最佳的法律適用依據。當前我國涉及個人信息處理的《個人信息保護法》《民法典》《數據安全法》《檔案法》中規定，開展檔案工作的主體處理個人信息時可將“知情同意”“為維護公共利益”作為其依據，其中為維護公共利益處理個人信息并合理實施的行為人可不承擔民事責任。據此，為方便采集單位保管、開發利用口述歷史檔案，有關部門還需制定歸檔豁免的實施細則或工作指南，明確其適用對象范圍、主體行為要件和刪除權、更正權等權利內容[27]，同時也需明確規定包括技術和組織等保障措施的實現方式，從而為采集單位開展口述歷史檔案工作提供可行的實踐參考。

5.2 尊重口述者意愿，保障個人信息處理的透明度

尊重口述者意愿不僅體現在訪談過程中采集者客觀中立地耐心傾聽口述者所述內容，還體現在采集與開發利用口述歷史檔案時采集方主動、明確、具體地告知采集方和口述歷史項目或專題的基本信息，個人信息處理活動的目的、依據、范圍、方式等內容，同時也需要應口述者要求在處理活動發生變動時及時告知其個人信息處理活動現狀。NLS主要通過簽訂訪前的參與協議和訪后的錄制協議來保障個人數據處理的透明度，而當前我國則主要通過口述史料采集協議書來保障個人信息處理的透明度。《口述史料采集與管理規范》（DA/T 59—2017）規定，采集協議需經口述者確認或簽訂書面協議，并將其與采集內容一并歸檔保存。但就協議的內容來看，條款基本由口述者與采集者的權利義務構成，且較多涉及口述歷史檔案的知識產權劃分，未涉及口述歷史項目或專題的基本信息、個人信息處理活動等內容。建議口述歷史的采集方可借鑒深度訪談中的知情同意書中的告知事項，從項目基本信息、風險、權利、可能的利益、記錄的保密性、公開與發布、未成年人的特定約束條件、聯系信息方面完善協議內容[28]。

5.3 建立健全個人信息敏感性審查機制

由于未對個人信息的敏感性進行嚴格審查，國內外都曾發生過法律糾紛。例如：臺灣口述史上著名的溫哈熊案涉及已出版口述內容涉嫌誹謗與侵害他人名譽、國務院原副總理吳桂賢就已出版口述內容狀告六被告侵犯其名譽權，以及美國波士頓學院的口述歷史傳票案，其問題之一便是波士頓學院（采集方）在實踐階段沒有嚴格地進行倫理審查和監管[29]。因此不論出于何種動機歸檔口述歷史，在開放、開發前須對其進行審查，確保開放開發內容不危害國家、公共利益，不侵犯他人的名譽權、隱私權等合法權益，尤其在數字環境中，建立健全口述歷史個人信息敏感性審查機制的重要性愈加凸顯。口述歷史的采集方一方面應根據不同項目或主題的口述內容、易引起糾紛的法律權利類別、法律規定的敏感個人信息種類，通過建立主題敏感詞表或詞典、劃定口述內容風險等級、文本檢索、抽樣檢測等方式進行開放鑒定，另一方面在處理個人信息特別是敏感個人信息過程中可通過匿名、限制訪問等方式，保障敏感個人信息的可控。

5.4 明確個人信息保護主體的權責

一項工作如果沒有明確的權責劃分、沒有落實主體責任的制度，那么將會影響工作人員的積極性、降低工作效率，并伴隨出現推諉扯皮的現象。基于此，口述歷史的采集方一方面需依據不同主體在口述歷史項目中的職能或角色，明確劃分信息控制者、信息處理者、利用者在口述者個人信息保護中的權責，并通過發布工作指南、開設培訓課程、簽訂協議、明示告知等方式使上述主體充分知悉自身的責任，必要時還需對利用者的使用目的、方式進行審查，確保口述內容的個人信息可控；另一方面采集方在提供利用時，也需通過隱私政策、利用指南、網站公告等方式明確告知利用者其個人信息處理的目的、范圍、方式等內容。此外，為防范化解因工作疏忽帶來的侵權風險，口述歷史的采集方也應建立個人信息泄露的處置機制，消解個人信息泄露所帶來的社會不良影響。

本文系湖南省社會科學基金項目“大數據時代個人信息保護邊界研究”（18YBA401）階段性研究成果。