燕双双 张 丹

（中国人民大学信息资源管理学院，北京，100872）

信息时代，个人信息安全已深度关乎国计民生。加强个人信息保护，是贯彻落实总体国家安全观的基本要求。2021年11月1日，《中华人民共和国个人信息保护法》（下文简称《个人信息保护法》）正式施行，这是我国第一部全面保护个人信息的专门法律。该法明确了“个人信息”的概念，即以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。［1］档案作为社会活动中直接形成的对国家和社会具有保存价值的各种不同形式的历史记录［2］，往往会记录大量已识别或者可识别的与自然人有关的各种信息，这一特点在医疗档案、人事档案等中体现得尤为明显。档案领域对此已有较为深刻的认识，在新修订《中华人民共和国档案法》（下文简称“新《档案法》”）中增加了遵守有关国家法律、行政法规做好涉及个人信息档案管理的规定，奠定了档案工作中个人信息保护的法治基础。在信息化背景下，原生电子档案大量涌现，传统档案数字化步伐加快，大量档案最终以数字形式被保存在数字档案馆中，以便高效快捷地提供信息服务、知识服务。可见，数字档案馆承载着信息时代档案工作现代化的重任，其高质量建设是档案事业高质量发展的重要抓手与体现。而数字档案馆馆藏数字化和访问网络化的特征使得档案信息的传播速度更快、影响范围更广［3］，增加了访问者个人信息被泄露、滥用的风险。所以，数字档案馆个人信息保护工作的成效，将是衡量其建设质量的重要指标，是人民对我国档案治理能力和水平的直观认知。故数字档案馆更应严格根据《个人信息保护法》的各项规定，做好包括数字档案自身涉及的个人信息和提供档案服务过程中产生的个人信息在内的数字档案馆个人信息的保护工作。

《个人信息保护法》颁布前，国内学者就已经关注到数字档案馆建设过程中的个人信息保护问题。潘连根［4］、张桂霞［5］、李媛［6］等认为，当前数字档案馆对个人信息的管理在收集、整理、保存和利用环节均存在安全风险，国家应在新《档案法》等的基础上制定保护隐私权的专门法律，完善其他与公民隐私权保护相关的法律法规，以此规范数字档案馆的档案管理工作，并通过行业自律、信息控制、技术措施、宣传教育等来完善数字档案馆隐私权长效保护机制。罗宝勇等［7］通过对我国55个全国示范数字档案馆（室）的调研，认为当前缺乏规章制度来明确数字档案馆可采集信息的范围，不利于用户隐私安全，应加快完善数字档案馆相关法律法规，并提高用户个人信息保护意识。

上述研究成果均发表于《个人信息保护法》施行之前，新《档案法》和《个人信息保护法》的相继施行，为数字档案馆个人信息保护提供了新的法律依据和法治基础，应进一步开展研究予以落实。为此，笔者以通过国家档案局验收的90家国家级数字档案馆［8］（截 至2022年1月5日）和60家全国示范数字档案馆［9］（截至2021年12月1日）为调研对象，网络调研其官方网站或移动端等包含数字档案馆服务板块的官方平台，使用集成在这些平台上的数字档案馆相关功能，如“档案检索”“线上查档”“查档预约”等获取相关信息。本文依此对照《个人信息保护法》规定，分析我国数字档案馆在个人信息保护方面存在的问题，并从档案工作业务流程入手提出相应的对策建议。

1 《个人信息保护法》视角下数字档案馆个人信息保护现存问题

国家级数字档案馆和全国示范性数字档案馆数量的逐年增多，表明我国数字档案馆的数据安全问题已经较有保障，但《个人信息保护法》对涉及个人信息的数据管理提出了更高要求，对照其要求，当前我国数字档案馆个人信息保护尚存在以下三方面的不足。

1.1 “告知—同意”规则落实不充分

《个人信息保护法》第六条、第七条规定了个人信息的收集范围和告知义务，要求收集的个人信息限于实现处理目的的最小范围，并明示处理规则、目的、方式和范围。第十四条至第十八条对“告知—同意”规则作了详细规定，要求“同意”应在个人充分知情的情况下自愿、明确作出，并在变更信息处理目的等时重新取得；同时，要求信息处理者提供便捷的撤回“同意”方式，除个人信息属于提供产品或服务所必需外，不可因用户撤回“同意”而拒绝提供产品或服务。［10］

通过对国家级数字档案馆的调研发现，部分数字档案馆在收集个人信息时并未充分落实“告知—同意”规则。具体体现在未说明个人信息使用目的与范围、未设置同意使用个人信息选项和未设置撤回同意使用个人信息选项三个方面。例如，2016年建成国家级数字档案馆的J市档案馆在官网上设置有数字档案馆板块。在使用其功能时，需要使用者在数字资源采集栏提供姓名、联系电话、地址等个人信息，但并未说明获取这些个人信息是用于何种目的和用于哪些范围，自然也未就使用范围等征得查档预约人同意。再如，B市档案馆于2021年建成国家级数字档案馆，其数字档案馆互联网档案服务系统嵌入到其官网“B市档案信息网”中，在使用该档案服务系统时，需要先注册成为网站用户并登录，注册时需要提供手机号、身份证号等个人信息。但该系统及B市档案馆官网并无个人信息使用范围等的说明，更无撤回用户对个人信息授权使用的选项，不符合规定。

1.2 利用个人信息进行自动化决策不规范

自动化决策是指通过计算机程序自动分析、评估个人的行为习惯或者经济、信用状况等，并进行决策的活动。《个人信息保护法》第二十四条对利用个人信息进行自动化决策作了详细规定，要求个人信息处理者在利用个人信息开展自动化决策时保证决策的透明度和结果的公平公正，对个人权益有重大影响时用户有权要求个人信息处理者对自动化决策过程进行说明，并为用户提供便捷的拒绝自动化决策选项。［11］

随着数字档案馆建设的升级，越来越多的数字档案馆将“智慧档案馆”“知识服务”等作为建设目标。为不断提升智能化水平，许多数字档案馆已经开始通过分析用户行为自动提供对应服务。例如，全国示范数字档案馆中，W市档案馆已经实现基于智能技术的档案馆科学管理，其可以通过分析利用者特性，为档案资源建设和科学管理提供决策依据，并且可以做到通过智能检索和数据挖掘技术，为单位和个人提供强大的档案资源查询和利用功能。K市档案馆已经在建成劳动招工、独生子女等30个常用专门档案全文数据库的基础上，对民生档案数据信息进行了综合分析、挖掘，实现了民生档案信息的动态展现。

同时，实现对于不同用户智能推送针对性服务，需要分析用户个人年龄、浏览习惯等个人信息，并基于分析结果进行相关服务的自动化决策。在这一过程中，数字档案馆面临着因个人信息过度收集利用，引发违反《个人信息保护法》自动化决策相关规定的风险。笔者在调研中也发现了这一问题：在全国示范数字档案馆中，C市档案馆、D市档案馆和S市档案馆3家档案馆也在官网上设置了数字档案馆板块。但在使用该功能时，并未设置关于是否接受数字档案馆系统通过分析用户浏览行为等个人信息进行相关内容智能推荐的提示，也并未设置关于关闭根据用户相关特性和规律提供个性推荐的选项。除网站外，部分数字档案馆将查询档案功能集成在了对应省、市推出的政务服务软件中。如，Z省和S省推出的“掌上查档”APP等。通过对这些应用软件中互联网查档功能的实际使用，也未发现关于利用个人信息进行自动化决策的说明或提示。

1.3 敏感个人信息保护不严格

《个人信息保护法》将个人信息区分为一般个人信息和敏感个人信息，要求二者进行分类管理。其第二十八条规定，敏感个人信息指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、医疗健康等信息，以及不满十四周岁未成年人的个人信息。第二章第二节规定个人信息处理者需要向个人告知处理个人信息的必要性和对个人权益的影响，并取得个人的单独同意，未成年人则需要取得其监护人的同意。［12］

数字档案馆中的人事档案、医疗档案等包含大量个人信息的档案，应按照《个人信息保护法》规定分级管理无个人信息档案、涉及一般个人信息档案和涉及敏感个人信息档案。对于增量档案中原生性电子档案，通过前端控制实现这一区分相对较易，可规定归档时需区分一般个人信息与敏感个人信息，推动档案生成端作出相应的调整。但对于存量档案和增量档案中通过扫描等方式形成的数字档案，因其数据格式与数据结构的特殊性，实现一般个人信息和敏感个人信息的区分则较难。这不仅需要引入新技术，还需要大量人力进行核验、标注等，成本高、耗时久。而且，在当前国家级数字档案馆评选和全国示范数字档案馆的评选依据《数字档案馆系统测试办法》中，未直接写明《个人信息保护法》也是数字档案馆建设的重要依据。［13］因此，资源的巨大投入和评价指标的引导缺失，使得各数字档案馆难以严格做到对一般个人信息和敏感个人信息的区别管理。

2 《个人信息保护法》视角下数字档案馆加强个人信息保护的对策建议

对照《个人信息保护法》，根据档案工作的业务流程，加强我国数字档案馆个人信息的保护，切实保障相关自然人的个人信息权，应采取以下四个方面的对策。

2.1 规范数字档案馆个人信息收集

依照《个人信息保护法》规定，在数字档案馆必须获取用户个人信息时，应从两方面规范个人信息的收集。

（1）落实“告知—同意”规则

通过“告知—同意”规则让用户明确了解自己的个人信息为何被搜集，是否会影响切身利益，并可以据此判断是否同意被获取个人信息，以保障用户应有的知情权。例如，拥有独立移动端的数字档案馆，在用户注册时，可借鉴百度、微博等APP的隐私声明，用户在阅读该声明后才可完成注册；同时，在退出登录选项处设置注销账户或撤销个人信息许可的选项。对于数字档案馆嵌入政务服务应用软件的情况，可借鉴浙江省政务服务软件“浙里办”APP在注册时的一次性实名认证模式，解决个人信息在使用不同功能时重复收集、授权的问题；而在使用涉及个人信息的功能时，用户则另需完成高级实名认证，增强对个人信息的保护。高级实名认证模块可提供支付宝、微信账户等多种认证形式，最少步骤、最小范围收集个人信息，降低用户个人信息的泄露风险，保护用户的个人权益。

（2）分类收集个人信息

《个人信息保护法》规定，必须收集的个人信息应分为一般个人信息与敏感个人信息。［14］数字环境下，在收集档案时应将一般个人信息、敏感个人信息与非个人信息三者通过技术手段进行前端控制，实现相关信息的区分收集。并且，一件档案若同时包含三者，应在对其建立关联后，储存于不同调用权限的数据库中，实现个人信息与非个人信息的数据关联。在使用时非必要不调用个人信息，特别是敏感个人信息。当前，实现此功能的主要难点在于界定敏感个人信息范围。除《个人信息保护法》已明确的生物识别信息等属于敏感个人信息外，籍贯、住址等信息的泄露在很多情况下也会为个人带来严重的危害。因此，应尽快明确不同种类档案中个人信息和敏感个人信息的边界，为数字档案馆提供可实操、可落地的个人信息分类依据。

2.2 规范数字档案馆个人信息管理

对照《个人信息保护法》，应从资源和人员两方面着手规范数字档案馆对个人信息的管理。

（1）严格脱敏处理数字资源

对于原生数字档案，前端控制与脱敏技术并重，最大限度在前端控制环节实现数字档案中的非个人信息、一般个人信息与敏感个人信息有效区分，以准确高效实现档案资源的个人信息脱敏处理。对于实体档案，首先，在数字化时要做好保密工作，避免出现数字化环节档案泄露。其次，由于实体档案数字化后的信息往往具有非结构特性，需通过人工标注或AI识别等方式进行个人信息与非个人信息的区分，对其中的个人信息进行相应的技术处理，以便利用时匿名化。例如，国网大连供电公司、国网黄山供电公司等在结合电力企业实际业务需求的基础上，积极探索数据脱敏技术在电力用户隐私信息保护中的应用。［15-16］国网四川电力公司信息通讯分公司则根据业务所需提出了一种基于机器学习的数据脱敏系统设计方案。该方案依托机器学习能够实现更细粒度的访问控制，具备更精确的需求理解能力、更强的扩展力，可辅助人工制定脱敏策略，为数据脱敏系统提供智能化新思路。［17］

（2）严格控制数字档案馆管理与使用人员权限

一是要严格管理数字档案馆管理人员权限。《个人信息保护法》第五章规定了个人信息处理者的义务。其中第五十一条指出，个人信息处理者应采取相应的加密等安全技术防止未经授权的访问以及个人信息泄露、篡改、丢失。［18］因此，数字档案馆应在对无个人信息、涉及一般个人信息、涉及敏感个人信息的档案采取不同保密等级加密方式的基础上，对访问涉及个人信息的档案人员进行严格授权。要求操作人员事先根据操作目的提出申请来获取对应权限，并使用系统自动记录具体操作方式确保操作人员在档案整理过程中严格保护个人信息，降低因内部人员带来的个人信息泄露风险。

二是要严格审核涉及个人信息档案利用者身份。《个人信息保护法》第九条规定，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。［19］因此，基于数字档案馆线上操作的特点，可在用户申请获取涉及个人信息档案时，除常规程序外，增加人脸识别环节，与用户登录时上传的个人信息做匹配，确认个人信息利用者身份。并在提供对应档案资源前，设置提示保护个人信息的弹窗，提示利用者该档案资源涉及个人信息，需谨慎对待。

2.3 规范数字档案馆资源开发利用

（1）确保脱敏档案的安全开发

《个人信息保护法》在保护个人信息安全的同时，也让档案资源的开发利用有法可依。因此，档案领域的专家学者和档案部门应对《个人信息保护法》在数字档案馆领域的要求与影响做出更加深入的解读与说明，明确各类档案达到个人信息脱敏的具体标准等，并需要档案部门严格监督检查各数字档案馆个人信息脱敏处理后的档案是否达到了匿名化的要求。因为对于进行个人信息脱敏处理后公开的档案而言，即使低于100%的脱敏合格率也意味着个人信息泄露情况的必然发生。而个人信息尤其是敏感个人信息的泄露轻则引发舆情事件，对相关人和档案馆造成伤害，重则严重降低人们对数字档案馆管理档案资源的信任，不利于数字档案馆开发馆藏资源和提供知识服务。

（2）确保自动化决策的透明公正

数字档案馆利用个人信息进行自动化决策的规范化是数字档案馆向智慧档案馆、精准化知识服务迈进时无法回避的难题。当前，计算机技术已经实现了信息个性化推荐内容与服务，例如京东、抖音等应用软件正在使用的算法机制。数字档案馆若要从提供信息服务转变为提供更具针对性的知识服务，也需要获取用户注册时提交的个人信息、使用时的检索过程、浏览记录等作为自动化决策基础。但数字档案馆服务作为国家政务服务的一部分，更应按照《个人信息保护法》的规定，保证结果的公正性和决策的透明度，避免因内容推送自动化决策导致的信息茧房等现象。因此，数字档案馆在利用个人信息进行自动化决策前，应向用户说明利用个人信息进行自动化决策的目的与影响，并在页面明显位置设置“针对个人特征推荐内容”此类服务的拒绝选项。

2.4 强化数字档案馆管理制度保障

（1）健全数字档案馆督导制度

制定并健全国家级数字档案馆、全国示范数字档案馆等高水平数字档案馆个人信息保护情况的定期监督指导制度。定期监督指导范围除了包含数字档案馆硬件设施与软件系统外，还应包含数字档案馆管理人员个人信息保护能力等方面。具体而言，随着信息技术的发展，计算机病毒、解密技术等从数据库中非法获取个人信息的方式日渐增多，故数字档案馆保护个人信息的防护技术也需要快速迭代升级，来应对个人信息泄露的风险。在数字档案馆管理人员个人信息保护能力提升方面，除通过督导数字档案馆开展《个人信息保护法》培训学习等方式外，还应包括监督指导数字档案馆个人信息安全事件应急预案的制定与演练。根据《个人信息保护法》，数字档案馆作为个人信息处理者，应制定并组织实施个人信息安全事件应急预案，以应对个人信息泄露的突发情况。

（2）完善数字档案馆评价体系

将《个人信息保护法》对个人信息保护的新规定、新要求体现在数字档案馆的评价体系中，实现对个人信息权益的保障。例如，在当前数字档案馆评价主要参考的政策《数字档案馆系统测试办法》中，对《数字档案馆系统测试指标表》［20］中“制度制定与实施”部分的指标“建立包括防范自然灾害、环境事故、突发事件和人文操作失误等内容的应急预案，并实施定期演练”作进一步明确，注明应包括对个人信息安全事件的应急预案与演练。对“条件保障”部分的指标“数字档案馆业务人员全部经过岗位培训”作进一步明确，注明岗位培训包括对业务人员个人信息保护的培训等。通过完善数字档案馆评价体系，引导各数字档案馆在建设过程中落实《个人信息保护法》各项规定，做到合理有度收集个人信息、安全有序存储个人信息、公正谨慎利用个人信息。

3 结 语

《个人信息保护法》的施行极大夯实了档案事业的依法治理基础，既与新《档案法》第二十八条中“利用档案涉及知识产权、个人信息的，应当遵守有关法律、行政法规”的规定紧密衔接，使档案与档案开发利用中个人信息保护有法可依；又为《“十四五”全国档案事业发展规划》中“档案信息化强基工程”提供了档案信息化基础设施建设中个人信息保护的“指导手册”，确保档案信息化基础设施质量。《个人信息保护法》的施行，点明了数字档案馆工作在数字浪潮下亟须破解的时代命题，即数字档案馆在实现人的档案需求基础之上，也要保障人的合法权益。基于《个人信息保护法》视角考察数字档案馆的个人信息保护问题，不仅是档案工作对走向依法治理、走向开放、走向现代化“三个走向”的严格遵循，更是为数字档案馆高质量建设发展奠定更为坚实的法理基础，能够助推数字档案馆资源建设、开发服务等各项业务工作进一步转型升级。

然而，数字档案馆个人信息保护仅是整个档案事业落实《个人信息保护法》各项规定的一隅，非数字档案馆个人信息的保护也是亟待解决的重点领域。因此，在未来关于个人信息保护的研究中，应纵向加深对不同经济、科技发展水平地方的考察，总结与推广档案工作个人信息保护先进单位的实践经验；横向加大对不同专业档案馆的考察，如特殊载体档案馆、城建档案馆、部门档案馆，注重专业的特殊性，促使档案工作的个人信息保护研究不仅要有“庙堂之高”，更要有“江湖之远”。