张 娟 李 仪

（1.重庆三峡学院图书馆，重庆，404100；2.重庆大学法学院，重庆，401120）

1 规制的必要性：应对档案管理数字化建设下的信息安全风险

1.1 个人档案信息共享的意义与主要形式

根据欧盟个人数据保护指令（以下简称“欧盟指令”）第2 条，个人信息是指一切能将自然人本人从人群中识别出来的数字、符号以及它们的组合。个人信息的常见形态包括姓名、身份证号码、联系方式等；在数字与网络环境下，个人信息还包括电子邮箱地址、个人网站的网址与域名、IP 地址、网络用户名与密码等。档案管理者出于全面保存社会记忆等目的，时常将收集到的个人信息按照一定标准加以归类并存档，从而形成个人档案信息；然后将该信息传输给公共机关、私人机构与个体等用户，以帮助他们在做出决策时消除信息学家香农笔下的不确定因素。前述过程即为个人档案信息的“共享”。

实践中个人档案信息共享的主要形式有两种：一是档案管理者将信息传输给个体，后者为满足自身个性化需求（如获取知识、提高自身信息素养）而利用信息，学界一般称之为“个性化服务式共享”；二是档案管理者将信息传输给公共机关与企业等私人机构，后者为达到公共管理、商业情报开发以及营销等目的而利用信息，欧盟公共部门信息再利用指令称之为“增值式”（value-added）共享。最典型的例子是美国国家档案馆（NARA）与易安信公司（EMC）就档案信息开发事宜进行合作。

1.2 信息安全所面临的风险

从个人档案信息的内容与运行方式而言，它的安全要素包括真实性、保密性与可用性等。而在档案管理数字化建设下，共享行为对信息安全带来了风险，这又阻碍了共享活动的顺利开展，具体地：

一方面，就性质而言，个人档案信息共享属于档案管理者与用户等共享者所实施的信息行为。根据信息行为具有自由性与选择性的原理，共享者往往不同程度地改变信息的内容以及信息之间的排列组合方式，这容易使信息变得失真从而损害信息的真实性。尤其是在档案管理数字化建设背景下，信息归档与信息数据库建设可以同步进行，信息传输工作也可以通过网络手段来完成。这在提高了共享效率的同时使得信息传输的环节增多，由此信息失真的几率增大。

另一方面，在数字化环境下，档案管理者可以通过BBS 互动版块等途径主动了解用户对他人个人档案信息的具体需求，然后运用cookies 等技术以及计算机设备来收集用户所需要的信息，再将信息传输给用户共享。前述行为属于对信息的隐式提取，因此个人档案信息本人往往难以对此知情并提出异议，这就使得信息的保密性面临威胁。在得知自身的权益受到侵害后，本人往往不愿再将信息提供给档案管理者，这又使得信息可用性的要求难以得到满足，甚至会阻碍共享活动的正常开展。在一些关于国内档案馆数字化建设的实证调研报告中，前述问题得到了反映。

2 规制的基本思路梳理：以美国与欧盟经验为借鉴

实践中，档案管理者与用户往往片面地提高信息共享的效率，这决定了他们很难通过自律的方式来改变自身任意收集与更改信息由此破坏信息安全要素的不良偏好。据此我国需要通过立法这一强制手段来约束共享者的行为，促使他们通过加强管理来改变前述偏好，以此来确保信息的有序共享。为此笔者立足于我国档案管理的数字化建设实情并借鉴欧美经验，提出以下规制的思路：

2.1 转变现有的规制理念，以确保信息安全作为促进共享的前提

从我国档案法第2 条以及第三、四章观之，我国已将个人档案信息纳入调整范围，并以促进信息的利用与公布作为制度设计的重点。然而笔者认为，个人档案信息安全的保障是信息得以利用与共享的前提，由此立法应首先满足信息安全的要求。毕竟在信息管理学家看来，信息生产者是信息资源最重要的成分。个人档案信息的原始生产者是信息所识别的本人，从性质而言它属于私人信息而非能被任何人自由获取的公共信息。据此，我国应当首先确保信息免受不正当的更改与披露，以此来维护本人的权益，进而激励本人为共享活动提供信息来源并排除共享所面临的阻碍；同时在价值论视野中，信息的真实性与保密性体现着本人的尊严与自由等基本人格价值，它们相对于信息共享所维系的利益（如用户的个性化需求、公共管理与商事营运等）而言，应当得到优先实现与保护。

由此在个人档案信息共享问题上，我国宜适当转变现有立法理念，促使共享者在满足信息真实性与保密性等安全要素的要求的前提下开展信息共享活动。美国联邦信息自由法案第552 节a 即规定，档案管理部门等公共机关只有在确保信息真实性与保密性的前提下，才能将信息提供给私人机构与个体；该国档案工作者协会（SAA）更是通过制定行业自律规范，明确禁止协会成员未经本人同意就传输信息；欧盟委员会工作组在其制定的关于公共机构信息的再利用和个人数据保护的7/2003 意见书中也要求，各成员国应当通过立法促使档案管理机构等组织在信息共享之前，保障信息的真实状态并防止他人非法窃取信息。

2.2 根据不同的安全要素采取相应的规制措施

按照个人档案信息真实性的要求，共享者应通过运用合理的硬件设备与软件系统来确保信息处于完整与准确状态，同时避免信息因被篡改与乱序而变得残缺与失真；按照信息保密性的要求，共享者在未经本人授权时，不得任意对信息实施收集、传输与披露等行为。我国宜根据前述具体要求，采取相应措施来约束共享者的行为。美国俄克拉何马州公共文件法624A.17 条即规定，为维护信息真实性，原则上公共机关在向他方传输信息之前应当取得本人授权，同时采取保密技术来防止信息被未取得授权者获得；南卡罗来纳州机动车管理办法656-5-1275 条则规定，为维护信息保密性，公共机关在向他方传输信息之前，应采取合理措施以防止信息被任意篡改。

同时，可用性是信息安全的另一必备要素，据此共享者应能合理接收与传输个人档案信息，从而发挥信息的社会效用。在以个性化服务为显著特征的档案管理数字化建设背景下，可用性尤为重要。毕竟我国需要具体满足不同身份的用户对档案信息（包括个人档案信息）资源的不同诉求，进而通过消除数字鸿沟（digital divide）来实现信息公平这一网络治理目标。由此我国应当按照可用性的要求采取相应手段，保障共享者得以自由地收集与共享信息，即使他们在特定情况下未取得本人授权。美国联邦康复法案即规定，残障人士接收信息的权利不得因电子信息技术的采用而被限制或者排除；该国国家档案馆（NARA）主页还专门为退伍老兵、教师以及生理有缺陷者开设了栏目，以保障他们能自由接收信息；同时根据德国联邦个人资料保护法第二编，共享者为满足图书馆管理、公共服务、提高自身信息素养等目的，得以任意收集与传输信息，即使本人反对。

2.3 对不同形式的共享活动进行区分规制

不同形式的共享活动对个人档案信息安全所造成影响的程度是不同的。在个性化服务式共享中，个体用户接收与传输信息的能力较弱，其一般是为了满足个性化需求而接收他人个人档案信息，他们很少更改或披露信息，从而对信息真实性与保密性所构成的威胁较小，信息学家称这种共享方式为“浅层的信息共享”；而根据控制论原理，在增值式共享活动中，作为公共机关与私人机构的用户为履行其职能，往往对接收到的信息进行深层次的比对与挖掘，并在此基础上开发出新的信息，进而形成对信息本人的控制策略，有时甚至还会将新的信息向档案管理者反馈（feedback），由此信息的真实性与保密性等安全要素都将面临严重的隐患。加之相对于本人而言，公共机关与私人机构无论在谈判力量还是资源掌握能力等方面都处于优势地位，故而本人很难反对其对信息的任意共享。基于以上考虑，我国需要对增值式共享活动参与者的行为予以更为严格的规制。美国联邦信息自由法案552节（b）即规定，公共机关在传输信息时，应当采取更为严格的技术措施来确保信息的保密性与真实性；德国联邦个人资料保护法第二编也做了类似规定。

3 基本思路下的规制措施：为满足不同的安全要素之具体要求

3.1 为满足信息真实性与保密性要求所采取的措施

虽然根据我国档案法第16 条以及档案法实施办法第24 条，档案管理者应当妥善保管个人档案信息并在共享中维护本人权益，然而这些规定过于原则与抽象，在数字化环境下，它们容易为共享者任意更改与披露信息留下空间。针对这一不足我国宜通过如下步骤予以改进：

首先采取必要手段，使本人得以知悉其个人档案信息被共享的相关情况（譬如共享者身份、共享方式以及被共享信息的现状），以便于本人参与到共享活动中来并对共享者破坏信息真实性与保密性的行为提出异议。譬如，立法者可要求档案管理者将信息用密钥加密，并向本人发送密钥以便使后者知悉共享情况。前述内容被经济合作与发展组织（OECD）关于隐私保护与个人资料跨国流通的指针第13 条概括为本人参与原则。

在此基础上，按照信息真实性与保密性的不同要求设定如下规则以约束共享者行为：第一，共享者在取得本人授权的基础上方能收集、传输与存储信息，同时运用合理技术（如访问控制技术）防止信息被未获本人授权的人取得；第二，共享者应当采取技术措施以确保信息被安全存储与传输，同时防止信息被不当删改。前述规则被OECD 指针第10、11 条概括为限制利用与安全保护原则。

3.2 为满足信息可用性要求所采取的措施

在确保个人档案信息真实性与保密性的前提下，档案管理者得以将收集到的信息传输给用户，再由后者通过如下措施完成共享：第一，接收与存储信息。这是用户得以共享信息的前提，美国国家档案与文件档案署管理法案规定，社会组织和个体等用户对信息加以接收与获取的权利应受保护，该国图书馆权利法案也做了类似规定；第二，对信息加以归类、分析、再利用与披露。按照欧盟指令第2 条（b）的表述，归类与分析是用户发挥信息的效用的基本途径。特别地，用户得以将信息传输给他人进行再利用（re-utilization）或者向公众披露信息的内容，从而实现对信息的共享。前述欧盟委员会工作组7/2003 号文件即对此方式做了规定。

另外如前文所述，为满足个人档案信息可用性的要求，共享者在特定情况下应被允许任意收集与传输信息，即使未取得本人授权。考虑到增值式共享对信息安全构成的威胁较大，我国宜将其参与者（公共机关、私人机构以及档案管理者）得以任意共享信息的情形限定在特定范围内，并将超出此范围的行为视为违法。参照欧盟指令第二、三、六节以及美国联邦信息自由法案第552 节的内容，这些情形主要包括：通过网络追究刑事犯罪、从事电子政务管理活动、维护信息本人以及他人重大利益、开展卫生教育等公益活动。与此不同的是，个性化服务式共享的主要参与者——个体用户的行为对信息安全的威胁较小，因此按照美国学者托马斯·爱默生阐发的信息近用权学说，只要用户能证明其对他人个人档案信息的共享是出于满足自身的合理需求，即可任意接收与处理信息。当然出于维护信息安全的考虑，个体用户仍应当承担特定义务（譬如不得擅自更改信息），这已体现在了德国联邦个人资料保护法第三编第一章以及美国宾夕法尼亚州档案安全法案当中。

3.3 针对增值式共享活动中的计算机比对所采取的特殊措施

在增值式共享活动中，用户（主要是公共机关）在对来自于两组以上不同数据库的个人档案信息加以接收与存储后，还时常通过计算机将这些信息进行比较，进而挖掘出新的信息，信息科学家将这一特殊的共享形态称为计算机“比对”（computer matching）。比对者特殊的身份与信息处理能力决定了，被比对的信息在内容以及组合排序方式上极有可能发生显著变化，信息被披露的可能性也将大增。正是顾虑到比对行为对信息真实性与保密性带来的特殊风险，美国政府与民众一直质疑该行为的合法性。直到上世纪末，该国才有条件地允许公共机关对公民个人档案信息进行比对。在我国自本世纪初开始，个人档案信息比对技术先后被应用于司法与金融征信等领域。调查显示，我国相当部分档案馆为实现数字化建设目标，开始与全国犯罪信息中心（CCIC）与中国人民银行征信中心等机构通过联网方式开展个人档案信息比对活动。

图1 对不同形式共享的规制措施的区别

为应对个人档案信息安全因比对而面临的特殊风险，我国立法者宜设置如下规则来约束比对者的行为：第一，只有履行公共职能的机关方得以进行信息比对。理由是，根据信息学家京特·雅各布斯阐发的信息契约理论，只有在满足公共利益的限度内，本人对于其个人档案信息所享有的权益才能因比对而受到特殊限制。由此参照美国联邦计算机比对与隐私权保护法案的规定，有权实施信息比对行为的只有从事提供社会福利、追究刑事犯罪、税收征管以及维护国家安全等公职活动的机关；第二，作为信息提供方的档案管理者与作为比对者的公共机关应当达成比对协议，在协议中明确约定双方对信息安全的保护义务，否则比对行为无效；第三，公共机关在通过比对所挖掘出的新信息对本人采取措施之前，应当对信息的真实性进行核实，并允许本人对措施提出异议。以上规则在前述美国计算机比对与隐私权保护法案以及欧盟7/2003 意见书中均有体现（参见图1）。

［1］李兴国.信息管理学［M］.北京：高等教育出版社，2011:2.

［2］王兰成.大数据环境下档案与图书情报信息集成服务机制的构建［J］.南京：档案与建设，2014（12）:5-6.孙雨生，仇蓉蓉.国内数字档案馆个性化服务研究进展［J］.南京：档案与建设，2013（12）:14-15.

［3］［美］Brillouin.Science and Information Theory［M］.New York：Academic Press，1962:154.

［4］盖俊梅，王苏军，狄新怡，何蕴宁.三级医院档案管理现况调查与影响因素分析［J］.南京：档案与建设，2014（10）:81-83.

［5］［美］罗曼.信息政策［M］.北京:科学出版社，2005:57-58.

［6］［美］J .E .Hopcroft and J .D Ullman .Introduction to Automata Theory，Languages ，and Computation［M］. Boston: Addison-Wesley Publishing Company，1979：156.

［7］钟义信.信息科学原理［M］.北京：北京邮电大学出版社，2002:332.

［8］钟义信.信息科学原理［M］.北京：北京邮电大学出版社，2002:288-311.

［9］［美］Thomas I· Emerson，The System of Freedom of Expression［M］，New York: Random House Inc.，1970：6-7.罗军，李灵风公民档案利用权利发展历程研究［J］.南京：档案与建设，2014（11）:8-10.

［10］张才琴，齐爱民.我国个人信息计算机比对制度刍议［J］.武汉：法学评论，2008（5）:115.

［11］张才琴，齐爱民.我国个人信息计算机比对制度刍议［J］.武汉：法学评论，2008（5）:117-118.

［12］［德］京特·雅科布斯，规范·人格体·社会［M］，北京：法律出版社2001：111.