個人檔案信息共享的規(guī)制措施研究*——以應(yīng)對檔案管理數(shù)字化建設(shè)下的信息安全風(fēng)險為視角

張 娟 李 儀

（1.重慶三峽學(xué)院圖書館，重慶，404100；2.重慶大學(xué)法學(xué)院，重慶，401120）

1 規(guī)制的必要性：應(yīng)對檔案管理數(shù)字化建設(shè)下的信息安全風(fēng)險

1.1 個人檔案信息共享的意義與主要形式

根據(jù)歐盟個人數(shù)據(jù)保護(hù)指令（以下簡稱“歐盟指令”）第2 條，個人信息是指一切能將自然人本人從人群中識別出來的數(shù)字、符號以及它們的組合。個人信息的常見形態(tài)包括姓名、身份證號碼、聯(lián)系方式等；在數(shù)字與網(wǎng)絡(luò)環(huán)境下，個人信息還包括電子郵箱地址、個人網(wǎng)站的網(wǎng)址與域名、IP 地址、網(wǎng)絡(luò)用戶名與密碼等。檔案管理者出于全面保存社會記憶等目的，時常將收集到的個人信息按照一定標(biāo)準(zhǔn)加以歸類并存檔，從而形成個人檔案信息；然后將該信息傳輸給公共機(jī)關(guān)、私人機(jī)構(gòu)與個體等用戶，以幫助他們在做出決策時消除信息學(xué)家香農(nóng)筆下的不確定因素。前述過程即為個人檔案信息的“共享”。

實踐中個人檔案信息共享的主要形式有兩種：一是檔案管理者將信息傳輸給個體，后者為滿足自身個性化需求（如獲取知識、提高自身信息素養(yǎng)）而利用信息，學(xué)界一般稱之為“個性化服務(wù)式共享”；二是檔案管理者將信息傳輸給公共機(jī)關(guān)與企業(yè)等私人機(jī)構(gòu)，后者為達(dá)到公共管理、商業(yè)情報開發(fā)以及營銷等目的而利用信息，歐盟公共部門信息再利用指令稱之為“增值式”（value-added）共享。最典型的例子是美國國家檔案館（NARA）與易安信公司（EMC）就檔案信息開發(fā)事宜進(jìn)行合作。

1.2 信息安全所面臨的風(fēng)險

從個人檔案信息的內(nèi)容與運行方式而言，它的安全要素包括真實性、保密性與可用性等。而在檔案管理數(shù)字化建設(shè)下，共享行為對信息安全帶來了風(fēng)險，這又阻礙了共享活動的順利開展，具體地：

一方面，就性質(zhì)而言，個人檔案信息共享屬于檔案管理者與用戶等共享者所實施的信息行為。根據(jù)信息行為具有自由性與選擇性的原理，共享者往往不同程度地改變信息的內(nèi)容以及信息之間的排列組合方式，這容易使信息變得失真從而損害信息的真實性。尤其是在檔案管理數(shù)字化建設(shè)背景下，信息歸檔與信息數(shù)據(jù)庫建設(shè)可以同步進(jìn)行，信息傳輸工作也可以通過網(wǎng)絡(luò)手段來完成。這在提高了共享效率的同時使得信息傳輸?shù)沫h(huán)節(jié)增多，由此信息失真的幾率增大。

另一方面，在數(shù)字化環(huán)境下，檔案管理者可以通過BBS 互動版塊等途徑主動了解用戶對他人個人檔案信息的具體需求，然后運用cookies 等技術(shù)以及計算機(jī)設(shè)備來收集用戶所需要的信息，再將信息傳輸給用戶共享。前述行為屬于對信息的隱式提取，因此個人檔案信息本人往往難以對此知情并提出異議，這就使得信息的保密性面臨威脅。在得知自身的權(quán)益受到侵害后，本人往往不愿再將信息提供給檔案管理者，這又使得信息可用性的要求難以得到滿足，甚至?xí)璧K共享活動的正常開展。在一些關(guān)于國內(nèi)檔案館數(shù)字化建設(shè)的實證調(diào)研報告中，前述問題得到了反映。

2 規(guī)制的基本思路梳理：以美國與歐盟經(jīng)驗為借鑒

實踐中，檔案管理者與用戶往往片面地提高信息共享的效率，這決定了他們很難通過自律的方式來改變自身任意收集與更改信息由此破壞信息安全要素的不良偏好。據(jù)此我國需要通過立法這一強制手段來約束共享者的行為，促使他們通過加強管理來改變前述偏好，以此來確保信息的有序共享。為此筆者立足于我國檔案管理的數(shù)字化建設(shè)實情并借鑒歐美經(jīng)驗，提出以下規(guī)制的思路：

2.1 轉(zhuǎn)變現(xiàn)有的規(guī)制理念，以確保信息安全作為促進(jìn)共享的前提

從我國檔案法第2 條以及第三、四章觀之，我國已將個人檔案信息納入調(diào)整范圍，并以促進(jìn)信息的利用與公布作為制度設(shè)計的重點。然而筆者認(rèn)為，個人檔案信息安全的保障是信息得以利用與共享的前提，由此立法應(yīng)首先滿足信息安全的要求。畢竟在信息管理學(xué)家看來，信息生產(chǎn)者是信息資源最重要的成分。個人檔案信息的原始生產(chǎn)者是信息所識別的本人，從性質(zhì)而言它屬于私人信息而非能被任何人自由獲取的公共信息。據(jù)此，我國應(yīng)當(dāng)首先確保信息免受不正當(dāng)?shù)母呐c披露，以此來維護(hù)本人的權(quán)益，進(jìn)而激勵本人為共享活動提供信息來源并排除共享所面臨的阻礙；同時在價值論視野中，信息的真實性與保密性體現(xiàn)著本人的尊嚴(yán)與自由等基本人格價值，它們相對于信息共享所維系的利益（如用戶的個性化需求、公共管理與商事營運等）而言，應(yīng)當(dāng)?shù)玫絻?yōu)先實現(xiàn)與保護(hù)。

由此在個人檔案信息共享問題上，我國宜適當(dāng)轉(zhuǎn)變現(xiàn)有立法理念，促使共享者在滿足信息真實性與保密性等安全要素的要求的前提下開展信息共享活動。美國聯(lián)邦信息自由法案第552 節(jié)a 即規(guī)定，檔案管理部門等公共機(jī)關(guān)只有在確保信息真實性與保密性的前提下，才能將信息提供給私人機(jī)構(gòu)與個體；該國檔案工作者協(xié)會（SAA）更是通過制定行業(yè)自律規(guī)范，明確禁止協(xié)會成員未經(jīng)本人同意就傳輸信息；歐盟委員會工作組在其制定的關(guān)于公共機(jī)構(gòu)信息的再利用和個人數(shù)據(jù)保護(hù)的7/2003 意見書中也要求，各成員國應(yīng)當(dāng)通過立法促使檔案管理機(jī)構(gòu)等組織在信息共享之前，保障信息的真實狀態(tài)并防止他人非法竊取信息。

2.2 根據(jù)不同的安全要素采取相應(yīng)的規(guī)制措施

按照個人檔案信息真實性的要求，共享者應(yīng)通過運用合理的硬件設(shè)備與軟件系統(tǒng)來確保信息處于完整與準(zhǔn)確狀態(tài)，同時避免信息因被篡改與亂序而變得殘缺與失真；按照信息保密性的要求，共享者在未經(jīng)本人授權(quán)時，不得任意對信息實施收集、傳輸與披露等行為。我國宜根據(jù)前述具體要求，采取相應(yīng)措施來約束共享者的行為。美國俄克拉何馬州公共文件法624A.17 條即規(guī)定，為維護(hù)信息真實性，原則上公共機(jī)關(guān)在向他方傳輸信息之前應(yīng)當(dāng)取得本人授權(quán)，同時采取保密技術(shù)來防止信息被未取得授權(quán)者獲得；南卡羅來納州機(jī)動車管理辦法656-5-1275 條則規(guī)定，為維護(hù)信息保密性，公共機(jī)關(guān)在向他方傳輸信息之前，應(yīng)采取合理措施以防止信息被任意篡改。

同時，可用性是信息安全的另一必備要素，據(jù)此共享者應(yīng)能合理接收與傳輸個人檔案信息，從而發(fā)揮信息的社會效用。在以個性化服務(wù)為顯著特征的檔案管理數(shù)字化建設(shè)背景下，可用性尤為重要。畢竟我國需要具體滿足不同身份的用戶對檔案信息（包括個人檔案信息）資源的不同訴求，進(jìn)而通過消除數(shù)字鴻溝（digital divide）來實現(xiàn)信息公平這一網(wǎng)絡(luò)治理目標(biāo)。由此我國應(yīng)當(dāng)按照可用性的要求采取相應(yīng)手段，保障共享者得以自由地收集與共享信息，即使他們在特定情況下未取得本人授權(quán)。美國聯(lián)邦康復(fù)法案即規(guī)定，殘障人士接收信息的權(quán)利不得因電子信息技術(shù)的采用而被限制或者排除；該國國家檔案館（NARA）主頁還專門為退伍老兵、教師以及生理有缺陷者開設(shè)了欄目，以保障他們能自由接收信息；同時根據(jù)德國聯(lián)邦個人資料保護(hù)法第二編，共享者為滿足圖書館管理、公共服務(wù)、提高自身信息素養(yǎng)等目的，得以任意收集與傳輸信息，即使本人反對。

2.3 對不同形式的共享活動進(jìn)行區(qū)分規(guī)制

不同形式的共享活動對個人檔案信息安全所造成影響的程度是不同的。在個性化服務(wù)式共享中，個體用戶接收與傳輸信息的能力較弱，其一般是為了滿足個性化需求而接收他人個人檔案信息，他們很少更改或披露信息，從而對信息真實性與保密性所構(gòu)成的威脅較小，信息學(xué)家稱這種共享方式為“淺層的信息共享”；而根據(jù)控制論原理，在增值式共享活動中，作為公共機(jī)關(guān)與私人機(jī)構(gòu)的用戶為履行其職能，往往對接收到的信息進(jìn)行深層次的比對與挖掘，并在此基礎(chǔ)上開發(fā)出新的信息，進(jìn)而形成對信息本人的控制策略，有時甚至還會將新的信息向檔案管理者反饋（feedback），由此信息的真實性與保密性等安全要素都將面臨嚴(yán)重的隱患。加之相對于本人而言，公共機(jī)關(guān)與私人機(jī)構(gòu)無論在談判力量還是資源掌握能力等方面都處于優(yōu)勢地位，故而本人很難反對其對信息的任意共享?；谝陨峡紤]，我國需要對增值式共享活動參與者的行為予以更為嚴(yán)格的規(guī)制。美國聯(lián)邦信息自由法案552節(jié)（b）即規(guī)定，公共機(jī)關(guān)在傳輸信息時，應(yīng)當(dāng)采取更為嚴(yán)格的技術(shù)措施來確保信息的保密性與真實性；德國聯(lián)邦個人資料保護(hù)法第二編也做了類似規(guī)定。

3 基本思路下的規(guī)制措施：為滿足不同的安全要素之具體要求

3.1 為滿足信息真實性與保密性要求所采取的措施

雖然根據(jù)我國檔案法第16 條以及檔案法實施辦法第24 條，檔案管理者應(yīng)當(dāng)妥善保管個人檔案信息并在共享中維護(hù)本人權(quán)益，然而這些規(guī)定過于原則與抽象，在數(shù)字化環(huán)境下，它們?nèi)菀诪楣蚕碚呷我飧呐c披露信息留下空間。針對這一不足我國宜通過如下步驟予以改進(jìn)：

首先采取必要手段，使本人得以知悉其個人檔案信息被共享的相關(guān)情況（譬如共享者身份、共享方式以及被共享信息的現(xiàn)狀），以便于本人參與到共享活動中來并對共享者破壞信息真實性與保密性的行為提出異議。譬如，立法者可要求檔案管理者將信息用密鑰加密，并向本人發(fā)送密鑰以便使后者知悉共享情況。前述內(nèi)容被經(jīng)濟(jì)合作與發(fā)展組織（OECD）關(guān)于隱私保護(hù)與個人資料跨國流通的指針第13 條概括為本人參與原則。

在此基礎(chǔ)上，按照信息真實性與保密性的不同要求設(shè)定如下規(guī)則以約束共享者行為：第一，共享者在取得本人授權(quán)的基礎(chǔ)上方能收集、傳輸與存儲信息，同時運用合理技術(shù)（如訪問控制技術(shù)）防止信息被未獲本人授權(quán)的人取得；第二，共享者應(yīng)當(dāng)采取技術(shù)措施以確保信息被安全存儲與傳輸，同時防止信息被不當(dāng)刪改。前述規(guī)則被OECD 指針第10、11 條概括為限制利用與安全保護(hù)原則。

3.2 為滿足信息可用性要求所采取的措施

在確保個人檔案信息真實性與保密性的前提下，檔案管理者得以將收集到的信息傳輸給用戶，再由后者通過如下措施完成共享：第一，接收與存儲信息。這是用戶得以共享信息的前提，美國國家檔案與文件檔案署管理法案規(guī)定，社會組織和個體等用戶對信息加以接收與獲取的權(quán)利應(yīng)受保護(hù)，該國圖書館權(quán)利法案也做了類似規(guī)定；第二，對信息加以歸類、分析、再利用與披露。按照歐盟指令第2 條（b）的表述，歸類與分析是用戶發(fā)揮信息的效用的基本途徑。特別地，用戶得以將信息傳輸給他人進(jìn)行再利用（re-utilization）或者向公眾披露信息的內(nèi)容，從而實現(xiàn)對信息的共享。前述歐盟委員會工作組7/2003 號文件即對此方式做了規(guī)定。

另外如前文所述，為滿足個人檔案信息可用性的要求，共享者在特定情況下應(yīng)被允許任意收集與傳輸信息，即使未取得本人授權(quán)?？紤]到增值式共享對信息安全構(gòu)成的威脅較大，我國宜將其參與者（公共機(jī)關(guān)、私人機(jī)構(gòu)以及檔案管理者）得以任意共享信息的情形限定在特定范圍內(nèi)，并將超出此范圍的行為視為違法。參照歐盟指令第二、三、六節(jié)以及美國聯(lián)邦信息自由法案第552 節(jié)的內(nèi)容，這些情形主要包括：通過網(wǎng)絡(luò)追究刑事犯罪、從事電子政務(wù)管理活動、維護(hù)信息本人以及他人重大利益、開展衛(wèi)生教育等公益活動。與此不同的是，個性化服務(wù)式共享的主要參與者——個體用戶的行為對信息安全的威脅較小，因此按照美國學(xué)者托馬斯·愛默生闡發(fā)的信息近用權(quán)學(xué)說，只要用戶能證明其對他人個人檔案信息的共享是出于滿足自身的合理需求，即可任意接收與處理信息。當(dāng)然出于維護(hù)信息安全的考慮，個體用戶仍應(yīng)當(dāng)承擔(dān)特定義務(wù)（譬如不得擅自更改信息），這已體現(xiàn)在了德國聯(lián)邦個人資料保護(hù)法第三編第一章以及美國賓夕法尼亞州檔案安全法案當(dāng)中。

3.3 針對增值式共享活動中的計算機(jī)比對所采取的特殊措施

在增值式共享活動中，用戶（主要是公共機(jī)關(guān)）在對來自于兩組以上不同數(shù)據(jù)庫的個人檔案信息加以接收與存儲后，還時常通過計算機(jī)將這些信息進(jìn)行比較，進(jìn)而挖掘出新的信息，信息科學(xué)家將這一特殊的共享形態(tài)稱為計算機(jī)“比對”（computer matching）。比對者特殊的身份與信息處理能力決定了，被比對的信息在內(nèi)容以及組合排序方式上極有可能發(fā)生顯著變化，信息被披露的可能性也將大增。正是顧慮到比對行為對信息真實性與保密性帶來的特殊風(fēng)險，美國政府與民眾一直質(zhì)疑該行為的合法性。直到上世紀(jì)末，該國才有條件地允許公共機(jī)關(guān)對公民個人檔案信息進(jìn)行比對。在我國自本世紀(jì)初開始，個人檔案信息比對技術(shù)先后被應(yīng)用于司法與金融征信等領(lǐng)域。調(diào)查顯示，我國相當(dāng)部分檔案館為實現(xiàn)數(shù)字化建設(shè)目標(biāo)，開始與全國犯罪信息中心（CCIC）與中國人民銀行征信中心等機(jī)構(gòu)通過聯(lián)網(wǎng)方式開展個人檔案信息比對活動。

圖1 對不同形式共享的規(guī)制措施的區(qū)別

為應(yīng)對個人檔案信息安全因比對而面臨的特殊風(fēng)險，我國立法者宜設(shè)置如下規(guī)則來約束比對者的行為：第一，只有履行公共職能的機(jī)關(guān)方得以進(jìn)行信息比對。理由是，根據(jù)信息學(xué)家京特·雅各布斯闡發(fā)的信息契約理論，只有在滿足公共利益的限度內(nèi)，本人對于其個人檔案信息所享有的權(quán)益才能因比對而受到特殊限制。由此參照美國聯(lián)邦計算機(jī)比對與隱私權(quán)保護(hù)法案的規(guī)定，有權(quán)實施信息比對行為的只有從事提供社會福利、追究刑事犯罪、稅收征管以及維護(hù)國家安全等公職活動的機(jī)關(guān)；第二，作為信息提供方的檔案管理者與作為比對者的公共機(jī)關(guān)應(yīng)當(dāng)達(dá)成比對協(xié)議，在協(xié)議中明確約定雙方對信息安全的保護(hù)義務(wù)，否則比對行為無效；第三，公共機(jī)關(guān)在通過比對所挖掘出的新信息對本人采取措施之前，應(yīng)當(dāng)對信息的真實性進(jìn)行核實，并允許本人對措施提出異議。以上規(guī)則在前述美國計算機(jī)比對與隱私權(quán)保護(hù)法案以及歐盟7/2003 意見書中均有體現(xiàn)（參見圖1）。

［1］李興國.信息管理學(xué)［M］.北京：高等教育出版社，2011:2.

［2］王蘭成.大數(shù)據(jù)環(huán)境下檔案與圖書情報信息集成服務(wù)機(jī)制的構(gòu)建［J］.南京：檔案與建設(shè)，2014（12）:5-6.孫雨生，仇蓉蓉.國內(nèi)數(shù)字檔案館個性化服務(wù)研究進(jìn)展［J］.南京：檔案與建設(shè)，2013（12）:14-15.

［3］［美］Brillouin.Science and Information Theory［M］.New York：Academic Press，1962:154.

［4］蓋俊梅，王蘇軍，狄新怡，何蘊寧.三級醫(yī)院檔案管理現(xiàn)況調(diào)查與影響因素分析［J］.南京：檔案與建設(shè)，2014（10）:81-83.

［5］［美］羅曼.信息政策［M］.北京:科學(xué)出版社，2005:57-58.

［6］［美］J .E .Hopcroft and J .D Ullman .Introduction to Automata Theory，Languages ，and Computation［M］. Boston: Addison-Wesley Publishing Company，1979：156.

［7］鐘義信.信息科學(xué)原理［M］.北京：北京郵電大學(xué)出版社，2002:332.

［8］鐘義信.信息科學(xué)原理［M］.北京：北京郵電大學(xué)出版社，2002:288-311.

［9］［美］Thomas I· Emerson，The System of Freedom of Expression［M］，New York: Random House Inc.，1970：6-7.羅軍，李靈風(fēng)公民檔案利用權(quán)利發(fā)展歷程研究［J］.南京：檔案與建設(shè)，2014（11）:8-10.

［10］張才琴，齊愛民.我國個人信息計算機(jī)比對制度芻議［J］.武漢：法學(xué)評論，2008（5）:115.

［11］張才琴，齊愛民.我國個人信息計算機(jī)比對制度芻議［J］.武漢：法學(xué)評論，2008（5）:117-118.

［12］［德］京特·雅科布斯，規(guī)范·人格體·社會［M］，北京：法律出版社2001：111.