新《档案法》背景下档案个人信息保护的规范衔接与适用

2022-05-30苗运卫金洁

档案管理 2022年5期

苗运卫　金洁

摘要：《档案法》的修订关注了档案个人信息保护问题，但需要结合个人信息保护立法来实现。为明确档案个人信息保护的适用规范，需要将新《档案法》与个人信息保护立法予以衔接，形成保护与利用平衡的价值理念，明确档案个人信息保护中的多方法律主体及其权责内容。在此基础上，区分档案个人信息类型以形成档案个人信息保护的一般适用规则，并根据档案工作场景特征以形成特殊适用规则，最终实现档案个人信息保护的实质化。

关键词：新《档案法》;档案个人信息;规范衔接

Abstract： The new Archives Law focuses on the protection of personal information in Archives， but it needs to be implemented in conjunction with the protection of personal information legislation. In order to establish the applicable norms of the protection of personal information， it is necessary to link the Archives Law with the protection of personal information legislation， forming a value concept of balance between protection and utilization， and clarify the multi-party legal subjects and their rights and responsibilities in the protection of personal information. On this basis， distinguish the types of personal information in Archives to form general applicable rules， and form special applicable rules according to the characteristics of Archives work scenarios， and finally realize the materialization of the protection personal information in Archives.

Keywords： New archives law; Personal information in archives; Connection of norms

《中华人民共和国档案法》（以下简称新《档案法》）于2020年6月20日进行了第三次修訂，并于2021年1月1日正式施行。新《档案法》的修订是一次全面的优化与升级，产生了诸多具有亮点的新规定，其中包括了在完善档案开放利用制度时涉及个人信息的相关内容。[1]新《档案法》的修订契合了数字化时代以来积极保护个人信息的立法趋势，但如何将新《档案法》与现有的个人信息保护立法进行衔接，仍有待理论与实践的回答。在此背景下，本文通过梳理档案个人信息保护的相关立法，从价值理念、法律主体和权责内容等方面整合档案个人信息保护的规范依据，并根据档案个人信息类型和档案工作场景特征来形成适用规则，意在实现档案个人信息保护实质化。

1 档案个人信息保护的立法梳理

之所以新修订《档案法》会关注个人信息问题，一个重要的因素是近些年涉及个人信息的立法频频出台。新《档案法》第28条第3款要求，档案利用过程中，涉及个人信息问题应当遵守有关规定。根据该条款属于转介条款的性质及其内容，档案个人信息的保护需要以当前的个人信息相关立法为规范依据。而若以新《档案法》的颁布为时间节点，大致可以将个人信息保护的立法模式一分为二：在新《档案法》颁布之前，个人信息保护立法为分散立法模式;在新《档案法》颁布之后，个人信息保护立法形成了统一立法模式。而以不同立法模式为区分，可以探明个人信息立法的历史变迁过程，并完成对档案个人信息保护的立法梳理。

1.1 分散立法模式。个人信息保护的分散立法模式是将个人信息保护纳入传统部门法领域，以部门法中的法律规范为依据，根据部门法自身特色来对个人信息进行保护。在私法领域中，2013年10月25日修订的《消费者权益保护法》中第14条规定消费者享有个人信息依法得到保护的权利，这是私法规范中第一次涉及个人信息内容。

2017年3月15日发布的《民法总则》第111条规定了自然人的个人信息受法律保护，该条款以民事基本法的高度奠定了个人信息私法保护的总基调。[2]而随着民法规范法典化的不断推进，2020年5月28日《民法典》正式通过，成为新中国历史上第一部以“法典”命名的法律，是新时代我国社会主义法治建设的重大成果。[3]《民法典》总则编承袭了《民法总则》中保护自然人个人信息的总体要求，并在独立成编的《民法典》人格权编中予以细化。一方面，《民法典》人格权编中采取识别标准界定了个人信息范畴，规定私密个人信息适用隐私权保护规定。另一方面，《民法典》人格权编中确立了个人信息处理的基本原则和具体规则，并规定了个人信息处理者的义务内容。《民法典》的出台与新《档案法》的修订时间非常接近，并且二者于同一天施行，因此《民法典》是新《档案法》颁布前档案个人信息私法保护的主要规范依据。

在公法领域中，档案个人信息保护以《刑法》这一刑法规范和《网络安全法》等行政法规范为依据。2009年《刑法修正案（七）》首次将出售或提供公民个人信息的严重情节纳入刑法规制范围，2015年《刑法修正案（九）》将涉及个人信息犯罪整合为侵犯公民个人信息罪，打击非法获取、出售与提供公民个人信息行为，以该罪名的适用来保护个人信息法益。在行政法规范中，2017年6月1日出台的《网络安全法》从维护网络信息安全的目的出发，对网络运营者的个人信息处理行为提出了一系列要求，虽然该法将个人信息权降格为维护国家安全的一种手段，但在客观上保障了网络环境中公民的个人信息权益。[4]

1.2 统一立法模式。新修订《档案法》颁布时，档案个人信息保护以分散立法模式中的各个法律规范为依据，并根据具体情况而适用不同规范，但这一立法模式随着《个人信息保护法》的颁布与施行而发生转变。

个人信息保护内容散见于不同部门法的分散立法模式难以形成统一的概念、规范与标准，也面临着协调整合公法和私法共治的难题，无法整合法治力量集中与有序地保护个人信息，因此，我国的个人信息保护立法最终走向了统一立法模式。[5]在保护个人信息的时代需求和民众诉求下，2021年8月20日，具有综合性与专门性特征的《个人信息保护法》正式出台，成为我国个人信息保护领域中的基本法。

当然，统一立法模式并非对先前分散立法模式的全盘否定，相反，其是在提炼分散立法模式中的经验与理论基础上形成的。因此，即便已经确立《个人信息保护法》在个人信息保护领域的核心地位与基础作用，仍需要协调其与其他领域基本法的关系，以达到保护档案个人信息的法秩序统一目标。[6]

随着统一立法模式的确立，新《档案法》中个人信息条款所指向的个人信息保护规范将以《个人信息保护法》为主。《个人信息保护法》融合了公法和私法的部门属性与保护手段，因而被定性为领域立法。该法所规定的个人信息相关内容，是确定档案个人信息保护规范的基础。主要内容包括：

第一，该法以识别与关联标准界定了个人信息，实则进一步落扩大了个人信息的保护范围，并且在个人信息范畴中以“概括+列举”方式区分了敏感个人信息，要求对其采取更为严格的保护措施。[7]第二，该法以“行为规制权利化”方式确立了个人在个人信息处理中的权利，并规定了个人信息处理者的相应义务。行为规制权利化方式回避了对于个人信息绝对权利化的争议，而以规制个人信息处理行为的方式间接保护个人信息权益，并将个人在个人信息处理过程中的知情、决定、查阅、复制、转移、删除等具体行为予以权利化。[8]第三，该法对国家机关的个人信息处理行为进行了规定，现代政府将个人信息作为开展行政活动的重要工具，与规范市场主体对个人信息的处理行为一样，规制政府对信息活动同样必要而紧迫。因此，该法确立了国家机关对于不侵犯個人信息权益的消极保护义务，同时要求其承担利用国家力量保障个人信息的积极保护义务。[9]

2 档案个人信息保护的规范协同

研究发现，在我国构建统一立法模式后，档案个人信息保护将以《个人信息保护法》为主要依据。但《个人信息保护法》第72条第2款明确，法律对档案管理活动中的个人信息处理有规定的，适用其规定。通过该转介条款，其保护问题又可以指向《档案法》的内容。因此，为确立档案个人信息保护的适用规范，实现其保护的实质化，需要将《档案法》与《个人信息保护法》予以衔接。

2.1 价值理念的契合。信息是构成现代社会的基本要素，需要不断地进行流动与交换才能促成数字政府的运行与数字经济的发展。从所适用的个人信息保护立法来看，《民法典》将个人信息保护放置在人格权编中，即是确认个人信息的人格性利益而对其予以私法保护。但不能仅仅重视人格性利益而忽视档案个人信息的财产性利益。

《个人信息保护法》在认定个人信息私人属性之余，准确地把握了个人信息的公共属性和流动需求，在开篇第1条中就将平衡个人信息的权益保护和合理利用作为立法目的。除此之外，《个人信息保护法》的合法、正当、必要与诚信的基本原则和知情同意、合理处理等具体规则中无不体现个人信息保护与利用平衡的价值理念。[10]

档案的开放利用是档案信息资源的最终归宿，也是档案机构的根本职责。新《档案法》尤其注重档案的开放利用，在内容上不断提高档案开放程度，继续优化档案利用服务，并增设对档案机构开放利用义务的监督检查和法律责任。但在对档案利用的重视之外，档案的保护仍旧是档案工作中必不可少的一环，历经修改的《档案法》也始终将有效地保护和利用档案作为立法目的。因此，《个人信息保护法》与《档案法》都以保护和利用的平衡为价值理念。当档案个人信息随档案载体对外开放利用时，无论是以《个人信息保护法》这一个人信息专门立法为规范依据，还是跟随档案载体适用《档案法》的相关内容，都需要遵循保护和利用的平衡这一基本的价值理念。

2.2 法律主体的统一。基于个人信息保护与利用平衡的理念，形成了两方法律关系主体：以保护个人信息权益为主的个人信息主体和以利用个人信息资源为主的个人信息处理者。个人信息之所以能够从数据资源中独立，其核心在于能够识别特定个人。因此，个人信息主体始终是个人信息处理活动中不可或缺的一方主体。

个人信息在社会与市场中流动，有赖于相应主体的推动，根据洛克所提出的劳动创造财产权理论，[11]由于在处理个人信息中的劳动付出，个人信息处理者在个人信息之上也有了利益诉求。然而个人信息处理并非仅是平等法律主体之间的意思自治内容，而是需要借助公权力量来形成良好的个人信息处理秩序，保护个人信息主体的合法权益，规范个人信息处理者的处理行为。因此，个人信息处理活动中又出现了代表公共利益的公权力主体，即履行个人信息保护职责的部门，并且最终在个人信息处理活动中形成了三方主体共存的利益格局。[12]

在档案工作中，围绕档案活动也产生了多方法律主体。首先是负责档案管理、开放与利用的档案机构，以各级档案馆为主。其次是主管档案工作的档案主管部门，分为国家和县级以上地方两个级别，是档案工作中公权力的象征。最后是档案用户，其是指当档案进行开放时，具有利用需求的组织与个人。当档案工作与个人信息保护融为一体而形成个人信息保护场景时，档案中的法律主体与个人信息中的法律主体需要统一为档案个人信息法律主体。

具体而言：第一，能够从档案个人信息中识别身份的是档案个人信息主体并享有人格性权益。第二，档案用户有权申请利用档案个人信息，档案机构和个人所处的信息处理阶段不同。第三，个人信息处理中的公权力主体为档案主管部门，其属于履行个人信息保护的行政机关，不同于前述法律主体之间的横向关系而是纵向管理关系。

2.3 权责内容的明确。从新《档案法》中的个人信息条款与《个人信息保护法》中的档案管理条款中可以看出，二者实则都将档案个人信息保护的规范依据指引向对方，原因在于档案个人信息兼有个人信息的领域属性和档案工作的场景特征，仅凭某一部法律难以实现对档案个人信息的全面保护。因此，在完成对法律主体的统一后，需要以新《档案法》和个人信息保护立法为依据，并使二者互为补充，来明确保护中不同法律主体的权责内容。

首先，档案个人信息中的个人信息主体并未在新《档案法》中得到规定，因此其在档案个人信息处理活动中的权利以《个人信息保护法》为依据，包括知情权、決定权、查询权、复制权、更正权、删除权、可携权等权利，但鉴于档案工作的公益属性和个人信息的类型差异，档案场景中部分权利的享有与行使应予限制。

其次，新《档案法》为负有档案管理职责的档案机构设置了档案管理与开放的具体规则，档案机构应当遵守。当涉及档案个人信息时，《个人信息保护法》所确立的个人信息处理者义务，如对个人信息的合法处理要求、设置个人信息的保护人制度、建立个人信息处理的影响评估制度等，出于保护档案个人信息的目的，档案机构也应当按要求履行。

再次，档案用户根据新《档案法》规定享有利用档案及其中个人信息的权利，能够依法进行申请利用与投诉档案机构。与此同时，《个人信息保护法》中告知同意、合理处理、目的限制等规则，档案用户在利用档案个人信息时也要遵守。

最后，既主管档案工作，又肩负档案个人信息保护职责的档案主管部门，能够根据新《档案法》和《个人信息保护法》的规定将对档案的监督检查细化到档案个人信息层面，并且由于《个人信息保护法》的法律责任严于新《档案法》，档案主管部门对档案个人信息中违法行为的行政处罚可以根据情形和危害的不同而进行选择适用，但需要遵循行政法治中的比例原则。

3 档案个人信息保护的规则适用

在完成对档案个人信息保护的立法梳理，和实现新修订《档案法》与个人信息保护立法的规范协同后，需要在法秩序统一原理上寻求档案个人信息保护的规则适用。对此，本文借助领域理论和场景理论，以档案个人信息的客观分类和档案工作的场景特征为基础，形成档案个人信息保护的适用规则。

3.1 区分档案个人信息类型形成一般适用规则。为档案个人信息划分类型的领域理论，意在以个人信息中私密性和社会性程序差异来将个人信息划归不同领域，并予以分类保护。[13]我国个人信息保护规范中对个人信息的分类也体现了这一思想。

根据《民法典》的规定，档案个人信息可区分为私密个人信息和一般个人信息，前者同时属于个人隐私范畴，需要强化保护。而以《个人信息保护法》为依据，档案个人信息可区分为敏感个人信息和非敏感个人信息，敏感个人信息需要适用更为严格的保护规则。两种分类标准中的私密个人信息和敏感个人信息存在保护范围、保护重点和保护内容等方面的诸多不同，[14]因此需要立足于领域理论并通过解释进行衔接。

首先，档案中私密个人信息属于个人隐私，需要以《民法典》中隐私权内容为适用规则，采取赋权进路予以最高规格的保护。隐私是个人信息主体的最为核心的人格利益，个人对此享有消极抵抗权能，即能够要求个人信息处理者不予侵犯和负有保护职责的部门进行保护。而作为档案个人信息处理者的档案机构应当严格保护档案中的私密个人信息，对其开放利用需要提前进行匿名化和去隐私化处理。

其次，档案中的敏感个人信息由《个人信息保护法》按照侵犯人格尊严或人身、财产安全的抽象标准，和生物识别、宗教信仰、特定身份等具体类型来进行划定，其范围相较个人隐私而言更为宽广，并与个人隐私形成交叉重合关系。由于隐私权保护要求更为苛刻，因此重合部分适用隐私权保护规则，而除此之外的敏感个人信息的处理规则意在塑造对档案个人信息的合法处理，目的在于规范档案个人信息处理活动。

最后，档案中的一般个人信息不具有私密性，但仍能够识别出个人信息主体，因此需要根据《个人信息保护法》采取行为规制模式予以一般标准的保护。

3.2 根据档案工作场景特征形成特殊适用规则。通过对档案个人信息的类型区分，可以塑造档案个人信息保护规则适用的基础，但需要再结合场景理论，形成档案工作场景中档案个人信息保护的特殊适用规则。

场景理论认为对个人信息的保护标准不应当是僵化与绝对的，而是要放置在具体场景中，考虑场景中的特殊要素来形成不同的适用规则，以实现对个人信息保护的实质化。

档案工作场景的特殊性在于：一是档案工作的公益属性，档案工作具有历史记录的基础功能和科学管理、生产建设与文化建设等其他功能，承载着公共利益，因而档案个人信息的保护以社会利益而非个人利益为本位;二是档案信息的开放来源，档案可以通过接收、征集和购买等多渠道获取，而档案个人信息一旦属于已公开个人信息，就成为消解个人信息私密性的原因;三是档案开放的时间限制，档案向社会开放一般具有时限要求，新修订《档案法》虽然大大缩短了这一时限，但仍有需要保存二十五年的一般标准。时间同样是个人信息生命周期中的一个关键要素与评价维度，档案个人信息的自身属性和保护要求都可能随着档案开放时限而产生变化。

根据上述档案工作中的场景特征，档案个人信息保护中也将产生特殊的适用规则。

首先，档案工作具有公共利益属性，而《个人信息保护法》规定公共利益属于无需个人同意而处理个人信息的法定事由，因此，档案个人信息场景中个人的知情同意、目的限制等控制权能将受到限制。

其次，档案个人信息的社会属性远远大于私人属性而致使后者可以忽略不计，此时档案个人信息融入档案载体，对其适用档案的保护规则。

再次，当档案个人信息属于已公开个人信息，档案机构可以无需获得个人同意而对其进行合理处理，但档案个人信息开放利用属于再次处理，仍需符合一般规则。

最后，在档案时效性的基础上，本归类为敏感个人信息类型的档案个人信息，如不满十四周岁的未成年人信息，则可以重新界定为一般个人信息，而适用一般保护规则。

*本文系国家社会科学基金项目“个人信息权利行使的平衡机制研究”（項目编号：19BFX127）、广东省档案局档案科研项目“广东档案法治研究——以《广东省档案条例》为中心”的阶段性成果。

注释与参考文献：

[1]新修订的《中华人民共和国档案法》解读[J].中国档案，2020（07）：24-25.

[2]张新宝.《民法总则》个人信息保护条文研究[J].中外法学，2019（01）：54-75.

[3]习近平.充分认识颁布实施民法典重大意义依法更好保障人民合法权益[J].求是，2020（12）：4-9.

[4]孙平.系统构筑个人信息保护立法的基本权利模式[J].法学，2016（04）：67-80.

[5]程关松.个人信息保护的中国权利话语[J].法学家，2019（05）：17-30+191-192.