高玉宝

摘 要：个人信息归档和档案开放是否侵犯隐私需要进行场景化考量。文章以背景完整性理论为基础，构建档案管理过程中的隐私衡量模型，分析发现档案开放和个人信息归档并未侵犯隐私，档案工作应该享有个人数据处理豁免权，但是也要辅之以相应的安全保障，建议完善法律政策协调性、平衡技术双刃效应、树立为党管档的职业伦理素养。

关键词：背景完整性；档案；隐私保护；个人信息处理；豁免权

分类号：G270；G271.3

Research on the Balance Between Archives Management and Personal Information Protection

Gao Yubao

（ School of Information Resource Management， Renmin University of China， Beijing 100872 ）

Abstract： Whether archiving of personal information and opening of archives violate privacy needs to be considered contextually. Based on contextual integrity， this paper builds a privacy measurement model in the process of archives management， and finds that archiving of personal information and opening of archives are not violations of privacy. The archival work should be exempted from certain personal information protection obligations， but also must be supplemented by corresponding security measures. It is recommended to improve the coordination between laws and policies， balance the double-edged effect of technology， and establish professional ethics in archiving for the Communist Party of China.

Keywords： Context Integrity； Archives； Privacy Protection； Personal Information Processing； Exemption

作为我国第一部系统、全面保护个人信息的专门性法律，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）在信息技术深刻改变隐私本质的环境下应运而生。《个人信息保护法》的通过与实施不仅为个人信息权益提供坚强法治保障，也为网络时代信息化发展提供指引。以公法进路为基础，《个人信息保护法》的最大意义在于它不仅约束私人主体的信息处理行为，也将政府机关列为规范对象，各行各业都将深受影响。

与个人信息保护并行发展的还有档案开放工作的快速推进，《“十四五”全国档案事业发展规划》明确指出：“到2025年，档案利用服务达到新水平，以人民为中心的档案服务理念深入人心、档案开放力度明显加大、共享程度显著提高、利用手段更加便捷”[1]。为了促进和规范档案开放工作，2022年7月1日国家档案局颁布《國家档案馆档案开放办法》。一般认为，个人信息保护和档案开放分别代表的是渴望信息隐藏、保密的个人利益和追求信息最大限度共享的社会利益，二者的矛盾似乎会在新的法律政策环境下更加激化。甚至有学者指出严苛的《个人信息保护法》会造成档案“寒蝉效应”和“空档案”的危险。[2]协调个人信息保护和档案开放利用成为档案工作者必然面对和亟待解决的问题。

1 研究现状分析

现有研究中很多学者把个人信息和隐私等同对待，为了全面了解个人信息和档案关系的研究现状，笔者以“隐私”+“档案”和“个人信息”+“档案”在中国知网数据库中进行篇名检索，时间截至2023年2月19日，共得到147篇期刊论文。通过研读发现，国内学者普遍认为隐私保护与档案管理存在矛盾关系，而矛盾的起源主要有两个方面：一是诸如人事档案[3]、医疗健康档案[4]等不可避免会涉及个人隐私信息；二是档案的开放利用可能造成个人信息的公开和滥用。[5]然而大多数学者对隐私的本质、变迁以及隐私侵犯的衡量标准并没有清晰的界定，仅凭字面含义，便认定个人信息归档和档案开放侵犯隐私。

经过数百年的发展，隐私的内涵和外延几经变化。在19世纪末期，沃伦联合布兰代斯提出著名的隐私权论断，即免受外界干扰的独处的权利（the right to be let alone）。[6]然而意在证明普通法中存在很多隐私权的要素的二人并没有对隐私进行严格定义。1960年法律学者威廉·普罗塞将既往的隐私案件依据不同的侵权行为分为四类：一是非法入侵私人空间；二是不合理公开令人尴尬的私人实情；三是公开丑化他人形象；四是擅用他人姓名或形象获利。[7]普罗塞的这种分类法只关注侵权法，并没有考虑例如经济法、通信法和新闻出版法等其他法律。1967年艾伦·威斯汀提出了著名的隐私理论——个人信息控制论，即隐私是个人、团体或机构自行决定何时、如何以及在多大程度上将其信息传达给他人的权利。[8]但有学者认为个人信息控制论忽视了隐私的两个关键领域（私人身体和私人空间），所以亚当·摩尔认为隐私权应该是控制个人空间、个人身体和个人信息的访问和使用的权利。[9]以上定义一般遵循属加种差的方式，换句话说，学者们通过寻找一组共同的、必要的、区别于其他事物的和充分的元素来实现隐私的概念化。[10]然而隐私是一个非常广泛的概念，包括很多方面，例如思想、身体、行为、信息、住所和决定等，无法囊括这些元素，那么该定义就会有失偏颇。因此John B. Young把隐私比喻成大象，即容易识别，但很难描述。[11]

在推动隐私内涵变迁的众多因素中，信息技术备受关注。在当前大数据时代，无处不在的信息设备在随时随地收集个人信息的同时已经打破了个人和公共空间的界限，人们通常所认为的私人空间在更大的信息领域已然成了公共空间。传统意义上的信息隐私一直强调的个人直接或间接控制关于自己的信息、其他人了解关于自己的信息的情况，以及可用于生成、处理或传播有关自己信息的技术能力不复存在。[12]而且现代信息技术能把看似不相关的信息聚合、编译和组装到一个新的维度，将纯粹的“噪音”数据和统计数据转化为丰富的人物肖像，个人信息和非个人信息的界限也就变得非常模糊。所以以个人信息为界进行隐私保护在当今时代缺乏一定的实践基础。

此外，在不同的场景下人们对隐私保护的偏好和期望呈现出很大差异。例如人们在医院就医时，几乎会毫无保留地将自身的身体和心理状况告知医生，但却不会谈及教育和财务信息；在求职面试时，教育经历和个人身份信息必须向面试官详细介绍，但房屋装饰情况通常不会提及。很多被冠以隐私的信息在某一个场景下不会被认定为侵犯隐私，但在另一个场景下却未必，这表明保密和限制使用都不是隐私的全部。人们根据场景的不同有选择地公开个人隐私信息是隐私的场景化体现，人们对隐私的期望和偏好随着时间和地点的变化而变化。这意味着单一的是否包含个人隐私信息以及是否公开和利用个人隐私信息，并非是可以通用的隐私衡量基准。

2 隐私衡量模型构建

隐私的模糊性、信息技术对隐私本质的冲击以及隐私的场景化意味着追求单一的、一刀切的隐私概念是行不通的，对隐私侵犯的衡量和隐私的保护必须结合特定的背景。关于隐私的场景化考量，Nissenbaum提出背景完整性（Contextual Integrity）理论。背景完整性理论的核心原则是没有不受信息流动规范支配的生活领域，几乎所有的行为都发生在一个受政治、科技和文化影响的特定场所。[13]每一个生活领域，每一个场景都有一套信息规范，它支配着领域内不同主体的角色、隐私期望、行为和偏好等。[14]

背景完整性理论对隐私权的定义既不是保密权，也不是个人控制权，而是一种个人信息适当流动的权利。[15]个人信息适当流动包含两层考量：一是某一场景下的个人信息在另一场景下被公开或揭露是否恰当；二是在特定场景下个人信息流动是否遵守相应的信息传播规范。个人信息的适当流动是建立在特定的社会领域和与背景相关的信息规范的基础之上的，任何社会领域都受到法律政策、技术和伦理规则等因素的约束。信息传播规范取决于信息类型、信息主体（发送者和接收者）以及信息传播原则，也就是说个人信息流动恰当与否要考虑信息的类型是什么、是关于谁的信息、谁向谁传播以及在何种条件下传播等问题。只有遵循特定的信息传播规范和适当性原则，个人信息流动才符合背景完整性原则，否则即是违反背景完整性，也就是侵犯隐私。[16]

背景完整性理论为在具体场景下进行隐私考量建立了一套公正、合理的框架。在档案管理的全流程中，个人信息归档和个人信息开放都涉及个人信息流动，所以本文将以背景完整性理论为基础来考量档案管理过程中的隐私问题。档案事业经过数百年的发展，基本上形成了相对完善的档案管理体系，在法律政策、技术条件以及职业伦理道德等因素的约束下，档案管理活动有序开展，因此笔者将法律、技术和伦理作为档案领域主要的背景因素。根据文件生命周期理论和文件连续体理论，个人信息从机关档案室到档案馆和从档案馆到档案用户可被视为具体的个人信息流动场景。而信息传播规范所要参考的主要变量是档案信息的本质、档案中的个人信息类型、档案馆的角色以及档案信息流动的原则和条件。档案管理过程中的隐私衡量模型如图1所示。

3 档案管理过程中的隐私分析

3.1 档案开放的“适当性”

从机构业务文件到档案馆档案再到档案开放，意味着个人信息所处的背景发生了变化，如果单单从表面上来看，档案移交这一行为必然会导致隐私的侵犯（这里蕴含的假设是档案不可避免地涉及个人信息）。但是适当性原则所要考虑的参数远非如此，还包括相关信息的性质、信息与背景的关系、背景中涉及的角色、角色之间的关系等[17]，这也正是背景完整性作为隐私基准的最大特点。

在档案管理过程中，适当性原则主要衡量开放涉及个人信息的档案是否违背文件产生或接收时的信息规范。毫无疑问，在档案开放之后个人信息会暴露于更广泛的社会人群，不可能再限于文件生成时的那些受众。经历了数百年的发展，档案馆的角色从服务于专制统治转向以民主政治為基础的为普通民众服务，从服务于行政事务的公务利用到更广泛、更普遍的社会团体和个人利用，其公共性质日益凸显。而公共性质不仅体现在服务对象从政府机关向公众扩展，还体现在档案的来源日益非政府化。除了政府机关和事业机构在业务活动中形成的各类档案，个人和社会团体捐赠也成了档案的重要来源，政府档案来源于机构业务活动，而机构的职能是服务于人民，从宏观角度来看，档案向人民群众开放符合文件生成环境下的政治、文化和价值规范。

另外，在档案入馆之前，档案鉴定会特别关注文件的第二价值，这里的第二价值是冲破机构、面向社会的考量。也只有具备长期保存价值的文件才会被收藏在档案馆，文件归档所带来的是对历史记忆、学术参考、个人事务的增益。即使进入档案馆之后，仍有非常重要的一个环节——档案封闭期。世界各国针对涉及人事或者私人信息的档案大都建立封闭期制度。《国家档案局档案开放办法》指出，涉及知识产权、个人信息，开放后会对第三方合法权益造成损害的档案可以延期向社会开放[18]，可以说档案工作对于保护个人隐私信息作了充分的考虑。虽然出于公众知情权和档案价值的发挥，档案封闭年限越来越短，但是面对私人档案，档案人员在长期的实践中同样积累了丰富经验，例如档案审核、征求捐赠者同意、规范档案开放程序等，简而言之，任何档案馆都不会在毫无安全保密措施的情况下肆意开放涉及个人信息的档案。

背景完整性原则依赖信息形成时已有的信息规范，认为特定背景下的信息规范具有悠久的历史根源，理应得到尊重，但是它并不反对新的社会实践。从纸质档案前后端的视角来看，相较于机构业务文件，档案入馆和档案开放可以说是新做法。面对有可能冲破已有规范的新实践，尼森鲍姆的解决方法是作比较，他认为如果新实践能促进特定背景的内部价值和利益，而且能够带来社会、政治和道德价值的提升，那么就应该被接纳，反之则应该被反对。[19]档案的参考价值、经验价值和历史价值无不服务于社会集体，所以基于特定的档案管理背景，档案开放并非违反适当性规范，也就是没有侵犯隐私。

3.2 个人信息归档的“规范性”

背景完整性理论要求信息的传输或者转移遵守一定的背景规范，简而言之即当我们要向第三方传播从特定场景下获取的信息时，要遵守原场景的既定信息流动规范。信息传播规范主要关注信息主体的自由选择、自主决定、保密性，信息传播需求、各方权利和责任等。[20]

档案场景下的信息传播规范考量需要区分纸质档案和电子档案两种形式。纸质档案场景下的信息传播活动主要发生在文件归档环节，因为只有在文件归档后才脱离了其所处的原有背景。文件第一价值与第二价值的区分是决定文件处于现行机构还是档案馆的关键，但是无论是第一价值还是第二价值，都是文件的自身属性，只是在不同时间和不同场景下服务于不同目的的使用对象，这也是省力原则的体现。文件在形成之初就具备了现行和潜在的历史价值，基于社会记忆、科学研究、历史参考等社会集体利益而进行的归档虽然转移了信息所处的物理场景，但也注定了档案馆的角色使命并非是给信息主体造成不安或者焦虑。文件管理和档案管理在纸质档案环境下虽然被认为是两个阶段，但是将二者联系起来的一个重要职能就是服务。对于文件的创建者和接收者，以及任何想进行有效的决策和高效管理的人员来说，文件被保存在机构内部进行管理都是出于便于获取的目的。从文件的整个生命周期来看，虽然处于不同阶段，但是文件从产生到成为档案以至消亡是一个完整的运动过程，档案之于公众和文件之于机构的基础是一致的，归档永久保存可以说是文件的宿命之一，是文件自身价值和服务功能发挥的要求，在这一层面上，文件归档并未违反信息的传播规范。

文件连续体理论认为电子文件是内容、背景和结构的统一体，无法孤立地存在于时间和空间点上。[21]虽然电子文件的内容和结构相对来说是固定的，但是从其背景来看，电子文件总是处于形成的过程中，其状态主要取决于使用时的时空和背景变化[22]，因此电子文件信息的運动和传播可以看成是本质相同的信息与特定背景发生作用的结果。在数字环境下，文件管理者和档案馆员的界限不复存在。正如McKemmish所说，从连续体的角度来看，“作为证据的文件”和“作为记忆的档案”之间的“二分法”消失了，取而代之的是在不同背景下文件作用的发挥。[23]而且为了确保文件的真实性、可靠性和完整性，档案馆员一直被建议从文件创建之初就介入管理活动。[24]文件运动是往复处于从生成到终置的连续体的一个过程[25]，其中一个元素可以无缝地传递到另一个[26]，在这个连续统一体中，文件管理者和档案管理员都不同程度地参与文件信息的管理。[27]所以从文件连续理论的角度来看，文件归档并不与文件生成的最初目的相违背[28]，因此而产生的信息运动也并未违反信息传播规范。

综上所述，因归档需要而造成的个人信息从机关档案室移交到档案馆的行为，虽然场所发生了变化，但是并没有违反个人信息的传播规范，也就是没有侵犯个人隐私。

4 个人信息保护建议

上文立足档案活动的特点论证了档案开放和个人信息归档并未违反隐私的背景完整性原则，但是这并不代表档案活动可以毫无限制地享有个人信息处理豁免权。正是因为在漫长的历史发展中，档案实践积累了一定的隐私保护经验，才使得人们愿意相信档案活动的规范性。然而档案场景下的隐私保护不能单纯依靠档案馆员来实现，需要协调各方力量构建完善的隐私保护体系。背景完整性不仅是隐私保护的衡量基准，也为隐私保护提供方向指引。本文参照背景完整性原则从立法、技术和档案馆员的伦理素养三个方面提出隐私保护建议。

4.1 增强法律政策协调性

《个人信息保护法》的适用范围包括在中华人民共和国境内处理自然人个人信息的活动，这也意味着任何涉及个人信息的档案活动都要遵守《个人信息保护法》的相关规定。然而其第八章的附则明确指出：“法律对各级人民政府及其有关政府部门组织实施的统计、档案管理活动中的个人信息处理有规定的，适用其规定”，因此可以得出政府机构已有的关于档案管理活动的规定优先适用于个人信息处理。但是遍寻《档案法》，对于个人信息和隐私的规定仅有两条：《档案法》第28条“利用档案涉及知识产权，个人信息的，应当遵守相关法律，行政法规的规定”和第47条“档案主管部门......不得泄露......个人隐私”[29]。如此相互推诿的规定对于个人信息保护似乎没有实际作用，另外有研究表明目前我国大多数省市级档案馆对于档案活动没有建立明确的隐私政策。[30-31]因此笔者建议在《档案法》中加入规范个人信息处理行为的条款，为档案管理活动设立个人信息处理豁免权，并明确相应的权利和义务。设立豁免权不是允许肆意滥用个人信息，而是让基于特定目的的档案管理工作可以在不受过多限制的条件下更好地服务社会和大众，另外配套的行业准则同样重要，也需要得到进一步关注。

4.2 平衡技术双刃效应

信息时代的隐私问题折射出技术双刃背后工具理性和价值理性的断裂。为了达到更大限度的共享，人们尝试将隐私数据匿名化，但是数据匿名化会降低数据价值和数据可利用性，知识的准确性也随之降低。还有学者倡导对档案中的隐私数据采取数据脱敏、匿名化[32]和数据加密[33]等技术进行保护。但是这些方法的适用性很有限，比如如果想对音频档案进行脱敏，那么就需要一名有经验的音响师去听每一份磁带或者光盘，并在提到敏感信息的地方加入隐匿符，然后再复制这些经过脱敏的音频磁带，如此一来成本便会成倍增加。正如彼得森所说：档案馆员不可能查看每一份档案中的每一页来寻找可能应该被限制的信息，[34]而且这些困难同样适用于影像档案。笔者不反对采取技术手段加强隐私保护，但是在选择隐私保护技术的时候既要认清技术手段对于隐私保护的作用，也要清楚地看到技术所带来的负面效果。档案作为一种蕴藏巨大能量的信息资源，对其开发利用已是大势所趋，技术的双刃剑作用是档案从业人员不可回避的话题。

4.3 树立为党管档的职业伦理素养

伦理素养虽然不像法律那样由执法机关强制执行，但它却是影响人们做出选择和决定的关键。在档案场景下，存在一组四重关系，即“机构—档案创建者—档案馆员—用户”。在这组关系中，最容易引起矛盾冲突的就是个人隐私信息的处理，而档案馆员刚好处于关系的中心，所以档案馆员的伦理素养便成了档案可以作为历史证据的基石，以及维持档案馆作为一个可信任机构的重要支柱。

档案通常是机构业务运转的无意识副产品，在生成机构内部被部分人员传播和阅读，如果在归档后需要向更广泛的受众开放就出现了上文所说的伦理困境，可以说档案保存的职业本质是造就档案伦理困境的主要原因。档案工作的很多环节都要进行伦理考量，比如说在档案鉴定时决定什么该归档、什么该丢弃，在档案保存时如何保存机密档案和隐私信息、如何确保档案的真实性，在档案开放时如何确保公平对待所有用户。解决这些问题，档案馆员首先要考虑的一个关键就是档案的社会责任和社会正义，只有明确档案馆为谁管档，为谁服务才能不偏离档案职业的初心，做最正确的选择和决定，因此为党管档、为国守史、为民服务应该是档案馆员最高的伦理准则。

注释与参考文献

[1]中办国办印发《“十四五”全国档案事业发展规划》[EB/OL].[2023-04-11].https：//www.saac.gov.cn/daj/yaow/202106/899650c1b1ec4c0e9ad3c2ca7310eca4.shtml.

[2]HENTTONEN P.Privacy as an archival problem and a solution[J].Archival Science，2017（3）：285-303.

[3]孙强.档案利用中的个人隐私保护问题探析[J].档案学研究，2014（4）：40-43.

[4]朱晓卓.论电子健康档案的隐私特性及保护[J].中国卫生事业管理，2014（8）：603-604，625.

[5][33]张东华，尹泷杰，卢俊.数据伦理视角下档案用户数据隐私保护研究[J].档案学研究，2022（2）：97-101.

[6]WARREN S D，BRANDEIS L D.The right to privacy[J].Harvard Law Review，1890（5）：193-220.

[7]PROSSER W L.Privacy[J].California Law Review，1960（3）：383-423.

[8][12]WESTIN A F.Privacy and freedom[J]. Washington and Lee Law Review，1968（1）：166.

[9]MOORE A D.Defining privacy[J].Journal of Social Philosophy，2008（3）：411-428.

[10]SOLOVE D J.Conceptualizing privacy[J].California Law Review，2002（4）：1087-1155.

[11]YOUNG J B.Privacy[M].New York：John Wiley& Sons，1978：125-127.

[13][15][16][19]NISSENBAUM H.Privacy as contextual integrity[J].Washington Law Review，2004，79：119-158.

[14][17][20]NISSENBAUM H.Privacy in context：Technology，policy and the integrityof social life[M].California：Stanford University Press，2009：327-329.

[18]国家档案局.国家档案馆档案开放办法[EB/OL].[2023-04-11].http：//www.saac.gov.cn/daj/xzfgk/202207/9dc9 6f7f635247c18ae1a9ec15c24dea.shtml.

[21][23]MCKEMMISH S.Placing records continuum theory and practice[J].Archival Science，2001（4）：333-359.

[22]LIN C.Toward a holistic model for the management of documents，records，and archives[J].Archival Issues，2015（1）：21-47.

[24]AN X.An integrated approach to records management[J]. Information Management，2003（4）：24.

[25]UPWARD F.Structuring the records continuum part one：Post custodial principles and properties[J].Archives and Manuscripts，1996（2）：268-285.

[26]SHEPHERD E，YEO G.Managing records：A handbook of principles and practice[M].London：Facet Publishing，2003：232-235.

[27]LUYOMBYA D.Framework for effective public digital records management in Uganda[D].London：University College London，2010.

[28]IACOVINO L，TODD M.The long-term preservation of identifiable personal data：A comparative archival perspective on privacy regulatory models in the EuropeanUnion， Australia，Canada and the United States[J].Archival Science， 2007（1）：107-127.

[29]中华人民共和国档案法[EB/OL].[2023-04-11]. http：//www.npc.gov.cn/npc/c30834/202006/14a5f4f6452a420a9 7ccf2d3217f6292.shtml.

[30]周林興，徐承来.信息安全视域下国内档案网站隐私政策合规性研究[J].档案学研究，2022（1）：85-91.

[31]支凤稳，徐鼐彦，姚妩媚.国内外档案网站隐私政策比较研究[J].浙江档案，2019（12）：29-31.

[32]BINJUBEIR M，AHMED A A，ISMALL M A B，et al.Comprehensive survey on big data privacy protection[J].IEEE Access，2019，20：20067-20079.

[34]GREENE M A.Moderation in everything， access in nothing ：Opinions about access restrictions on private papers[J]. Archival Issues，1993（1）：31-41.