《个人信息保护法》背景下我国档案馆网站个人信息保护研究
2023-07-20向宇周文泓
向宇 周文泓
摘 要:对档案馆网站个人信息保护的研究旨在助力构建网络空间命运共同体。文章以《个人信息保护法》为参照,基于文本分析法对46个档案馆网站的个人信息保护制度展开调查,发现我国档案馆网站存在个人信息保护制度系统性不足、个人信息界定不明确、档案馆网站的信息处理权利与义务规定有限、用户个人权利未得到充分保障的问题,并提出针对性建议。
关键词:个人信息安全;档案馆网站;个人信息保护法;网络空间
数字技术的发展推动着公共服务的升级,包括档案馆在内的记忆机构的“互联网+” 趋势成为必然。《“十四五”全国档案事业发展规划》要求推进档案信息资源共享平台建设,并建设全国档案信息共享利用体系[1],这也表明未来档案馆的建设将更多地实现和互联网的链接,以档案馆网站为基础形成的档案网络空间将成为档案利用服务重要的阵地。《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)实行后档案利用与开放中的个人信息保护引起了更多讨论[2],档案馆网站用户的个人信息是否在《个人信息保护法》框架下得到足够、合理的保护,网站是否能够适应未来档案馆依法治理、走向开放的现代化要求等,都需要立足互联网场景展开仔细调查,以保障用户的网络空间权益,提高档案馆数字治理能力与水平,助力构建安全、开放的网络空间命运共同体。
在有关研究方面,有学者围绕具体情境下的档案活动展开探讨,如档案开放、利用下的个人信息保护,并从意识、制度建设、管理机制等角度提出个人信息保护策略 [3-4];还有学者基于档案馆网站展开调查,如从国内外档案馆网站隐私制度[5-6]、版权保护制度[7-8],发现网站制度科学性不强[9]及个人信息识别、保护措施不足[10]等问题,从规范业务环节[11]、用户导向[12]、加强信息技术支撑[13]等角度提出解决思路。但综合来看,一是档案馆网站个人信息保护制度是否符合《个人信息保护法》的要求尚待进一步研究,二是缺乏对其他行业网络平台关于个人信息保护成功做法的吸收与借鉴。
由此,本文以新颁布的《个人信息保护法》为参照,对我国部分省、直辖市和副省级城市档案馆网站个人信息保护制度展开调查,结合其他行业互联网平台有关做法,提出完善我国档案馆网站个人信息保护的策略。
一、 数据收集与分析方案
本文采用文本分析法,对我国部分省、直辖市和副省级城市(不包括港澳台地区)共46个档案馆网站展开调查,最终获取了来自8个档案馆网站、共9项个人信息保护相关制度作为数据源。此外,选择了涵盖社交、短视频、出行、购物、生活5个领域的代表性互联网平台进行观察,具体包括微信、抖音、百度地图、淘宝、美团。
分析方案为:第一,梳理《个人信息保护法》,得到与用户相关的信息(个人信息、敏感信息)、档案馆网站的权利(处理个人信息的情形、具体行为)、档案馆网站信息处理义务(确保处理行为合规诚信、完整准确、公开透明,确保信息安全)、用户权利(知情决定权、查阅复制权、删除权等)四个分析维度。第二,以四个维度为依据,调查档案馆网站制度是否符合《个人信息保护法》要求,以及如何明确权利、承担义务。第三,立足“互联网+”趋势下的档案馆建设,结合其他行业经验,提出个人信息保护优化建议。
二、 调查结果
1. 档案馆网站个人信息保护的基本情况
调查涉及档案馆网站的个人信息保护制度可以分为隐私保护类协议、用户管理类协议、功能板块中的个人信息保护条款。调查发现,各档案馆网站对个人信息保护的程度不尽相同,具体如下:
(1)得到界定的与用户相关的信息
调查显示,所界定的与用户相关的信息可分为两种:第一,个人身份信息。如进行用户注册登记时的个人资料,包含姓名、性别、年龄、身份证号码、工作单位等个人识别信息。第二,个人行为信息。如用户在本网站浏览、阅读或下载时所留下的行为记录。
(2)档案馆网站的信息处理权利与义务
档案馆网站的信息处理权利表现为:档案馆网站可在何种情况下对用户个人信息进行怎样的处理。
关于档案馆网站进行个人信息处理的情形,有6个档案馆网站对此进行了说明。例如,收集个人信息的情形为:浏览、阅读或下载本网站信息时,以及进行用户注册登记、参加活动时。关于档案馆网站具体的个人信息处理行为,调查中明确提及的包括:收集、分拣、利用、披露、公开。收集、分拣方面:有4个档案馆网站明确会收集、分拣用户信息。利用、披露、公开方面:有5个档案馆网站表示未经用户同意不会将个人信息提供给私人公司,且仅在政府机关依照法定程序要求档案馆网站披露信息资料情形时,向政府有关部门提供信息资料。
档案馆网站的信息处理义务表现为:档案馆网站作为信息处理者应遵循的信息处理要求与规则。
第一,确保个人信息处理行为合规诚信。档案馆网站以制度方式固化并公開其个人信息处理活动的意图、方式等,如各档案馆网站的隐私政策、用户注册协议。
第二,确保个人信息处理行为公开透明。一是处理规则公开。本次所调查的《隐私保护》《个人用户注册协议》等均不同程度地明确了档案馆网站进行个人信息处理的规定。二是处理目的公开。档案馆网站表明其个人信息处理活动均为根据网站开办宗旨需要或是为了城市建设和社会发展。三是处理方式公开。例如,有3个档案馆网站表明以注册表格的方式进行个人信息收集。
第三,确保个人信息完整准确。调查中,暂无档案馆网站承诺会确保个人信息的完整与准确,但有2个档案馆网站提及用户可对资料进行补充或更正。
第四,确保个人信息安全。一是制定保护个人信息的措施,如采用相应技术、委托专人进行保护和管理,定期对注册用户进行有关教育,设立网络管理人员并明确职责。二是进行个人信息保护评估。调查表明,暂无档案馆网站提及相关内容。三是事后补救。例如,浙江档案网有提及个人信息事故补救相关内容。
(3)用户个人的信息处理权利与义务
用户个人的信息处理权利方面,有2个档案馆网站制度提及包含查询和请求阅览、请求补充或更正、请求删除、请求停止电脑处理及利用,且明确了个人行使权利的处理渠道为电子邮件或官方电话。
用户个人的信息处理义务方面,在调查中,有2个档案馆网站共3项制度对个人应遵守行为有所提及,相关内容主要体现为:第一,如实、准确填写,明确填写虚假信息的后果。第二,由用户自行保管账号与密码。第三,遵守相关原则,如遵守国家相关法律法规、不得干扰网络用户、不得破坏网络服务和设备等。
2. 其他行业互联网平台个人信息保护基本情况
本文所调查的其他行业共5个互联网平台均在《个人信息保护法》出台后对其隐私政策进行了更新。其个人信息保护的主要内容为:
第一,明确个人信息保护对象。除在平台注册的个人身份信息、敏感信息外,还包括用户在平台业务活动中涉及的个人业务信息的处理。例如,抖音明确用户在购买商品时,其自身和第三方会收集用户订单信息。
第二,明确平台权利与义务。各平台均以专门章节形式,将平台权利与平台义务嵌入各种业务活动中进行表述说明。关于权利:如微信在用户使用朋友圈功能时,会收集、使用发布的朋友圈文字、照片、视频、位置信息、附近的WIFI信息、设备附近的基站ID评论、点赞等。关于义务:着重体现为对各应用场景下个人信息处理规则的告知,如百度地图表明在使用停车服务时,取得用户单独同意后向第三方共享个人信息以完成收费。
第三,明确用户个人的信息处理权利与义务。关于权利,均有专门的“您的权利”板块,明确赋予用户权利的使用情况、使用方式、个人信息权利响应机制,基本涵盖《个人信息保护法》所明确的权利类型。例如,百度地图赋予用户在12种不同业务活动中查阅或清除个人信息的权限以保障查阅权。关于义务,则与档案馆网站相同。
三、 问题与不足
1. 档案馆网站个人信息保护的主要问题
调查表明,档案馆网站的个人信息保护得到了规范化指导,但仍在细节处暴露出制度不系统、规定有限等问题。主要体现为:
(1)个人信息保护制度系统性不足
第一,总体上档案馆网站个人信息保护制度保障尚需完善,目前仅少数档案馆网站明确有制度指导。第二,内容上呈现低质化与同质化倾向。大多数档案馆网站关于个人信息的保护规定仅限于:告知网站会收集与分拣信息、在适当情况下披露信息、采用相关技术保护信息安全。
未及时更新、优化网站制度及学习先进典型,将使省级、副省级城市档案馆网站的表率作用无法得到正面发挥,亦无法充分保障用户权益。
(2)个人信息界定不明确
第一,未对个人信息范围进行明确界定。除浙江省档案馆、宁波市档案馆网站提及了收集的个人信息具体范围外,其他档案馆网站均笼统表述为“个人或单位信息”,对敏感信息少有提及,模糊、缩小了个人信息的内涵。第二,用户业务信息中的个人信息未列入信息管理的范畴,无法有效识别。
有局限、不明确的个人信息指向将导致档案馆网站的信息保护制度无法充分、完全地识别保护对象,使得个人信息保护制度失效。
(3)档案馆网站的信息处理权利的规定不规范
第一,处理个人信息的情形说明不完整。档案馆网站的个人信息处理情形仅明确为取得个人同意、政府依照法定程序两种,对于在《个人信息保护法》提及的另外情形以及未提及的其他情形,档案馆网站是否处理、如何处理还暂未进行明确。第二,个人信息处理活动的保护行为不足。一是本应明确的个人信息处理活动规定缺失,对于存储、传输、删除等行为较少提及。二是对个人信息处理活動表述过于简化,各方在个人信息处理活动中的权利与义务模棱两可。例如,在关于个人信息披露问题上,档案馆网站未主动提及档案馆与披露主体双方权利与义务,易使用户对披露主体的规范与要求模糊不清。
这导致用户无法知晓个人信息将被以何种方式、范围、程度进行处理,个人信息可能存在以不安全方式处理的风险。
(4)档案馆网站的信息处理义务规定有限
第一,档案馆网站个人信息保护制度缺失下的信息处理义务有限。缺少个人信息保护制度的档案馆网站,自然也无法公告、更无法完全履行个人信息保护义务。第二,档案馆网站个人信息保护制度不健全下的信息处理义务有限。例如,关于确保个人信息安全的义务,档案馆网站大多规定为“本网站将使用相应的技术,对用户提供的资料进行严格管理和保护”,但细究内容,并未体现其在管理层面做出的安排与部署,以及在技术层面如何保护用户信息。
这使得其自身与外界均无法明确其是否履职到位,是否能真正保护用户个人信息。
(5)用户个人权利未得到充分保障
第一,用户权利不完整。例如,某档案信息网提及用户权利为查询、更正补充、删除与请求停止处理,这与《个人信息保护法》明确赋予个人信息主体的10余项合法权利相比,仍存在显著不足。第二,缺乏对用户权利全面、清晰的表述。当前仅止步于列举权利,未对用户权利在何种情况下行使、如何行使,以及行使该权利后的效果进行明确表述。
这将导致档案馆网站的个人信息保护体系无法良性交互,不利于维护个人信息的完整性与准确性。
2. 其他行业互联网平台的问题
第一,个人敏感信息处理模糊。《个人信息保护法》对敏感个人信息做了定义和不完全列举的规定。而各行业主流平台大多没有完整列明所处理的敏感个人信息类别,均以“等”作为省略。这将导致无法准确判断个人敏感信息是否得到妥善保护。
第二,各平台在标准上存在不同理解。由于各行业平台业务场景不同,其在个人信息收集、利用、分享等信息处理活动中的标准不同,部分平台执行粗放亦将产生个人信息安全风险。例如,关于删除权,各平台关于删除的主体、方式以及内容存在不同要求。
四、 档案馆网站个人信息保护的建议
本文基于以上调查分析和对其他行业互联网平台管理的借鉴,针对性地提出以下优化建议:
1. 坚持将个人信息保护贯穿档案工作
对内,需将档案馆网站个人信息保护要求纳入、贯穿于档案相关工作体系,如档案利用服务体系、档案安全体系、档案信息化建设中,明确在不同的档案工作体系内,档案馆网站所面临的个人信息保护难题、需求、目标等。
对外,需将增强档案馆与用户的个人信息保护意识纳入档案部门的普法、执法的教育中。[14]通过档案微信公众号、短视频、线下档案馆活动等更多方式进行相关知识普及,增强档案馆与用户在个人信息保护方面的安全意识。
2. 健全个人信息保护制度体系建设
第一,逐步建立并完善以档案利用管理服务标准为基础原则、以档案馆网站个人信息保护制度为核心、以绩效评估制度为保障的个人信息保护制度体系。具体包括:一是以《中华人民共和国档案法》(以下简称“《档案法》”)为基础,将用户个人信息保护纳入档案利用管理服务范畴,在原则上对档案利用服务的要求进行规范,规定档案馆网站管理人员的权利与义务,并保障相应的业务标准、考核评价等其他配套制度有效执行。二是以《个人信息保护法》为依据,在《中华人民共和国网络安全法》《互联网用户公众账号信息服务管理规定》等制度框架下,结合网站实际,借鉴其他行业主流互联网平台个人信息保护制度,建立、完善或更新档案馆网站个人信息保护制度并公开,如隐私保护类制度、用户注册协议等。三是建立用户个人信息保护的绩效评估制度。将档案馆网站个人信息保护纳入服务端绩效评估是落实“开展副省级以上综合档案馆网站及移动服务端绩效评估工作”[15]的举措,亦是从后端倒逼个人信息保护行动的保障。应以《个人信息保护法》与《档案法》档案利用管理服务要求为原则,以档案馆网站专项个人信息保护制度为基础,拆解个人信息保护要点,采用绩效或量表打分等方式,对档案馆网站个人信息保护落实情况进行评估。
第二,融合多主体视角以增强制度完整性。一是推动档案部门与司法机构合作[16],通过合规性审查,确保制度的法律适配性与专业性。二是建立第三方档案馆网站个人信息保护监督机构并开通便捷投诉渠道。例如,腾讯官方宣布将成立“个人信息保护外部监督委员会”,并公开招募委员会委员,强化了外部监督。[17]
3. 增强档案馆网站功能与个人信息保护制度协同配合
第一,区分不同权利与义务的位列与归属。即该权利或义务是否应在档案馆网站功能区内实现,在具体执行层面最大程度实现网站功能与权利义务的整合,由此丰富权利行使与义务履行的方式。这要求各档案馆网站认真完善档案馆网站的专项个人信息保护制度并公开,以此作为档案馆网站功能与制度协同的基础。
第二,在宏观的功能框架下嵌入制度要求。即明确档案馆网站应为用户提供哪些功能、各功能定位、功能基本要求、不同功能间的关系等,继而考虑各权利与义务在各功能下的实现形式,最终实现档案馆网站功能与制度的协同。例如,用户请求删除个人身份信息、修改查档预约中查档描述等权利,与在制度内单一呈现相比,在档案馆网站功能区能得到最大程度的落实。如微信、抖音、支付宝等受国家相关部委合规性监管较严,且呈现常态化、精细化的趋势,其平台对个人信息保护的规定更为完善,在平台功能实践上经过多次更新与调整,可作为范本参考。
注释与参考文献
[1][15]中办国办印发《“十四五”全国档案事业发展规划》[EB/OL].[2022-05-13].https://www.saac.gov.cn/daj/ toutiao/202106/ecca2de5bce44a0eb55c890762868683.shtml.
[2] 何凡.《个人信息保护法》在档案开放利用中的适用与局限探析[J].档案与建设,2022(5):12-15.
[3]曾毅,柳丽.档案开放中个人信息保护实践研究[J].兰台世界,2021(9):63-65.
[4] 谢小红.民生档案工作中个人信息权利保护问题[J].档案学研究,2020(4):81-86.
[5]陈忠海,常大伟.英美加澳四国国家档案馆网站隐私政策及其启示[J].北京档案,2015(4):39-41.
[6][10]刘扬.英美两国国家档案馆网站隐私政策比较研究[J].档案,2013(5):50-53.
[7]袁也.英美澳三国国家档案馆网站版权保护及启示[J].北京档案,2016(7):38-41.
[8]武敏.檔案馆网站版权政策构建刍论[J].兰台世界,2014(17):37-38.
[9]孙大东,张欢笑.我国档案网站隐私政策调查研究[J].档案管理,2018(6):65-68.
[11]燕双双,张丹.《个人信息保护法》视角下数字档案馆个人信息保护的问题与对策[J].档案与建设,2022(8):20-24.
[12][16]周林兴,徐承来.信息安全视域下国内档案网站隐私政策合规性研究[J].档案学研究,2022(1):85-91.
[13]易涛,王凯.数字时代档案工作中个人信息保护研究——以《个人信息保护法》为中心的考察[J].浙江档案,2022(5):31-36.
[14]聂云霞,牟胜男.数字档案用户隐私风险与防控策略[J].档案与建设,2020(7):15-19.
[17]腾讯云开发者社区.腾讯(00700)宣布将成立“个人信息保护外部监督委员会”[EB/OL].[2023-03-16]. https://cloud.tencent.com/developer/news/866793.