張 娟 李 儀

（1.重慶三峽學(xué)院圖書館，重慶，404100；2.重慶大學(xué)法學(xué)院，重慶，401120）

1 規(guī)制的必要性：應(yīng)對(duì)檔案管理數(shù)字化建設(shè)下的信息安全風(fēng)險(xiǎn)

1.1 個(gè)人檔案信息共享的意義與主要形式

根據(jù)歐盟個(gè)人數(shù)據(jù)保護(hù)指令（以下簡(jiǎn)稱“歐盟指令”）第2 條，個(gè)人信息是指一切能將自然人本人從人群中識(shí)別出來的數(shù)字、符號(hào)以及它們的組合。個(gè)人信息的常見形態(tài)包括姓名、身份證號(hào)碼、聯(lián)系方式等；在數(shù)字與網(wǎng)絡(luò)環(huán)境下，個(gè)人信息還包括電子郵箱地址、個(gè)人網(wǎng)站的網(wǎng)址與域名、IP 地址、網(wǎng)絡(luò)用戶名與密碼等。檔案管理者出于全面保存社會(huì)記憶等目的，時(shí)常將收集到的個(gè)人信息按照一定標(biāo)準(zhǔn)加以歸類并存檔，從而形成個(gè)人檔案信息；然后將該信息傳輸給公共機(jī)關(guān)、私人機(jī)構(gòu)與個(gè)體等用戶，以幫助他們?cè)谧龀鰶Q策時(shí)消除信息學(xué)家香農(nóng)筆下的不確定因素。前述過程即為個(gè)人檔案信息的“共享”。

實(shí)踐中個(gè)人檔案信息共享的主要形式有兩種：一是檔案管理者將信息傳輸給個(gè)體，后者為滿足自身個(gè)性化需求（如獲取知識(shí)、提高自身信息素養(yǎng)）而利用信息，學(xué)界一般稱之為“個(gè)性化服務(wù)式共享”；二是檔案管理者將信息傳輸給公共機(jī)關(guān)與企業(yè)等私人機(jī)構(gòu)，后者為達(dá)到公共管理、商業(yè)情報(bào)開發(fā)以及營(yíng)銷等目的而利用信息，歐盟公共部門信息再利用指令稱之為“增值式”（value-added）共享。最典型的例子是美國(guó)國(guó)家檔案館（NARA）與易安信公司（EMC）就檔案信息開發(fā)事宜進(jìn)行合作。

1.2 信息安全所面臨的風(fēng)險(xiǎn)

從個(gè)人檔案信息的內(nèi)容與運(yùn)行方式而言，它的安全要素包括真實(shí)性、保密性與可用性等。而在檔案管理數(shù)字化建設(shè)下，共享行為對(duì)信息安全帶來了風(fēng)險(xiǎn)，這又阻礙了共享活動(dòng)的順利開展，具體地：

一方面，就性質(zhì)而言，個(gè)人檔案信息共享屬于檔案管理者與用戶等共享者所實(shí)施的信息行為。根據(jù)信息行為具有自由性與選擇性的原理，共享者往往不同程度地改變信息的內(nèi)容以及信息之間的排列組合方式，這容易使信息變得失真從而損害信息的真實(shí)性。尤其是在檔案管理數(shù)字化建設(shè)背景下，信息歸檔與信息數(shù)據(jù)庫建設(shè)可以同步進(jìn)行，信息傳輸工作也可以通過網(wǎng)絡(luò)手段來完成。這在提高了共享效率的同時(shí)使得信息傳輸?shù)沫h(huán)節(jié)增多，由此信息失真的幾率增大。

另一方面，在數(shù)字化環(huán)境下，檔案管理者可以通過BBS 互動(dòng)版塊等途徑主動(dòng)了解用戶對(duì)他人個(gè)人檔案信息的具體需求，然后運(yùn)用cookies 等技術(shù)以及計(jì)算機(jī)設(shè)備來收集用戶所需要的信息，再將信息傳輸給用戶共享。前述行為屬于對(duì)信息的隱式提取，因此個(gè)人檔案信息本人往往難以對(duì)此知情并提出異議，這就使得信息的保密性面臨威脅。在得知自身的權(quán)益受到侵害后，本人往往不愿再將信息提供給檔案管理者，這又使得信息可用性的要求難以得到滿足，甚至?xí)璧K共享活動(dòng)的正常開展。在一些關(guān)于國(guó)內(nèi)檔案館數(shù)字化建設(shè)的實(shí)證調(diào)研報(bào)告中，前述問題得到了反映。

2 規(guī)制的基本思路梳理：以美國(guó)與歐盟經(jīng)驗(yàn)為借鑒

實(shí)踐中，檔案管理者與用戶往往片面地提高信息共享的效率，這決定了他們很難通過自律的方式來改變自身任意收集與更改信息由此破壞信息安全要素的不良偏好。據(jù)此我國(guó)需要通過立法這一強(qiáng)制手段來約束共享者的行為，促使他們通過加強(qiáng)管理來改變前述偏好，以此來確保信息的有序共享。為此筆者立足于我國(guó)檔案管理的數(shù)字化建設(shè)實(shí)情并借鑒歐美經(jīng)驗(yàn)，提出以下規(guī)制的思路：

2.1 轉(zhuǎn)變現(xiàn)有的規(guī)制理念，以確保信息安全作為促進(jìn)共享的前提

從我國(guó)檔案法第2 條以及第三、四章觀之，我國(guó)已將個(gè)人檔案信息納入調(diào)整范圍，并以促進(jìn)信息的利用與公布作為制度設(shè)計(jì)的重點(diǎn)。然而筆者認(rèn)為，個(gè)人檔案信息安全的保障是信息得以利用與共享的前提，由此立法應(yīng)首先滿足信息安全的要求。畢竟在信息管理學(xué)家看來，信息生產(chǎn)者是信息資源最重要的成分。個(gè)人檔案信息的原始生產(chǎn)者是信息所識(shí)別的本人，從性質(zhì)而言它屬于私人信息而非能被任何人自由獲取的公共信息。據(jù)此，我國(guó)應(yīng)當(dāng)首先確保信息免受不正當(dāng)?shù)母呐c披露，以此來維護(hù)本人的權(quán)益，進(jìn)而激勵(lì)本人為共享活動(dòng)提供信息來源并排除共享所面臨的阻礙；同時(shí)在價(jià)值論視野中，信息的真實(shí)性與保密性體現(xiàn)著本人的尊嚴(yán)與自由等基本人格價(jià)值，它們相對(duì)于信息共享所維系的利益（如用戶的個(gè)性化需求、公共管理與商事營(yíng)運(yùn)等）而言，應(yīng)當(dāng)?shù)玫絻?yōu)先實(shí)現(xiàn)與保護(hù)。

由此在個(gè)人檔案信息共享問題上，我國(guó)宜適當(dāng)轉(zhuǎn)變現(xiàn)有立法理念，促使共享者在滿足信息真實(shí)性與保密性等安全要素的要求的前提下開展信息共享活動(dòng)。美國(guó)聯(lián)邦信息自由法案第552 節(jié)a 即規(guī)定，檔案管理部門等公共機(jī)關(guān)只有在確保信息真實(shí)性與保密性的前提下，才能將信息提供給私人機(jī)構(gòu)與個(gè)體；該國(guó)檔案工作者協(xié)會(huì)（SAA）更是通過制定行業(yè)自律規(guī)范，明確禁止協(xié)會(huì)成員未經(jīng)本人同意就傳輸信息；歐盟委員會(huì)工作組在其制定的關(guān)于公共機(jī)構(gòu)信息的再利用和個(gè)人數(shù)據(jù)保護(hù)的7/2003 意見書中也要求，各成員國(guó)應(yīng)當(dāng)通過立法促使檔案管理機(jī)構(gòu)等組織在信息共享之前，保障信息的真實(shí)狀態(tài)并防止他人非法竊取信息。

2.2 根據(jù)不同的安全要素采取相應(yīng)的規(guī)制措施

按照個(gè)人檔案信息真實(shí)性的要求，共享者應(yīng)通過運(yùn)用合理的硬件設(shè)備與軟件系統(tǒng)來確保信息處于完整與準(zhǔn)確狀態(tài)，同時(shí)避免信息因被篡改與亂序而變得殘缺與失真；按照信息保密性的要求，共享者在未經(jīng)本人授權(quán)時(shí)，不得任意對(duì)信息實(shí)施收集、傳輸與披露等行為。我國(guó)宜根據(jù)前述具體要求，采取相應(yīng)措施來約束共享者的行為。美國(guó)俄克拉何馬州公共文件法624A.17 條即規(guī)定，為維護(hù)信息真實(shí)性，原則上公共機(jī)關(guān)在向他方傳輸信息之前應(yīng)當(dāng)取得本人授權(quán)，同時(shí)采取保密技術(shù)來防止信息被未取得授權(quán)者獲得；南卡羅來納州機(jī)動(dòng)車管理辦法656-5-1275 條則規(guī)定，為維護(hù)信息保密性，公共機(jī)關(guān)在向他方傳輸信息之前，應(yīng)采取合理措施以防止信息被任意篡改。

同時(shí)，可用性是信息安全的另一必備要素，據(jù)此共享者應(yīng)能合理接收與傳輸個(gè)人檔案信息，從而發(fā)揮信息的社會(huì)效用。在以個(gè)性化服務(wù)為顯著特征的檔案管理數(shù)字化建設(shè)背景下，可用性尤為重要。畢竟我國(guó)需要具體滿足不同身份的用戶對(duì)檔案信息（包括個(gè)人檔案信息）資源的不同訴求，進(jìn)而通過消除數(shù)字鴻溝（digital divide）來實(shí)現(xiàn)信息公平這一網(wǎng)絡(luò)治理目標(biāo)。由此我國(guó)應(yīng)當(dāng)按照可用性的要求采取相應(yīng)手段，保障共享者得以自由地收集與共享信息，即使他們?cè)谔囟ㄇ闆r下未取得本人授權(quán)。美國(guó)聯(lián)邦康復(fù)法案即規(guī)定，殘障人士接收信息的權(quán)利不得因電子信息技術(shù)的采用而被限制或者排除；該國(guó)國(guó)家檔案館（NARA）主頁還專門為退伍老兵、教師以及生理有缺陷者開設(shè)了欄目，以保障他們能自由接收信息；同時(shí)根據(jù)德國(guó)聯(lián)邦個(gè)人資料保護(hù)法第二編，共享者為滿足圖書館管理、公共服務(wù)、提高自身信息素養(yǎng)等目的，得以任意收集與傳輸信息，即使本人反對(duì)。

2.3 對(duì)不同形式的共享活動(dòng)進(jìn)行區(qū)分規(guī)制

不同形式的共享活動(dòng)對(duì)個(gè)人檔案信息安全所造成影響的程度是不同的。在個(gè)性化服務(wù)式共享中，個(gè)體用戶接收與傳輸信息的能力較弱，其一般是為了滿足個(gè)性化需求而接收他人個(gè)人檔案信息，他們很少更改或披露信息，從而對(duì)信息真實(shí)性與保密性所構(gòu)成的威脅較小，信息學(xué)家稱這種共享方式為“淺層的信息共享”；而根據(jù)控制論原理，在增值式共享活動(dòng)中，作為公共機(jī)關(guān)與私人機(jī)構(gòu)的用戶為履行其職能，往往對(duì)接收到的信息進(jìn)行深層次的比對(duì)與挖掘，并在此基礎(chǔ)上開發(fā)出新的信息，進(jìn)而形成對(duì)信息本人的控制策略，有時(shí)甚至還會(huì)將新的信息向檔案管理者反饋（feedback），由此信息的真實(shí)性與保密性等安全要素都將面臨嚴(yán)重的隱患。加之相對(duì)于本人而言，公共機(jī)關(guān)與私人機(jī)構(gòu)無論在談判力量還是資源掌握能力等方面都處于優(yōu)勢(shì)地位，故而本人很難反對(duì)其對(duì)信息的任意共享?；谝陨峡紤]，我國(guó)需要對(duì)增值式共享活動(dòng)參與者的行為予以更為嚴(yán)格的規(guī)制。美國(guó)聯(lián)邦信息自由法案552節(jié)（b）即規(guī)定，公共機(jī)關(guān)在傳輸信息時(shí)，應(yīng)當(dāng)采取更為嚴(yán)格的技術(shù)措施來確保信息的保密性與真實(shí)性；德國(guó)聯(lián)邦個(gè)人資料保護(hù)法第二編也做了類似規(guī)定。

3 基本思路下的規(guī)制措施：為滿足不同的安全要素之具體要求

3.1 為滿足信息真實(shí)性與保密性要求所采取的措施

雖然根據(jù)我國(guó)檔案法第16 條以及檔案法實(shí)施辦法第24 條，檔案管理者應(yīng)當(dāng)妥善保管個(gè)人檔案信息并在共享中維護(hù)本人權(quán)益，然而這些規(guī)定過于原則與抽象，在數(shù)字化環(huán)境下，它們?nèi)菀诪楣蚕碚呷我飧呐c披露信息留下空間。針對(duì)這一不足我國(guó)宜通過如下步驟予以改進(jìn)：

首先采取必要手段，使本人得以知悉其個(gè)人檔案信息被共享的相關(guān)情況（譬如共享者身份、共享方式以及被共享信息的現(xiàn)狀），以便于本人參與到共享活動(dòng)中來并對(duì)共享者破壞信息真實(shí)性與保密性的行為提出異議。譬如，立法者可要求檔案管理者將信息用密鑰加密，并向本人發(fā)送密鑰以便使后者知悉共享情況。前述內(nèi)容被經(jīng)濟(jì)合作與發(fā)展組織（OECD）關(guān)于隱私保護(hù)與個(gè)人資料跨國(guó)流通的指針第13 條概括為本人參與原則。

在此基礎(chǔ)上，按照信息真實(shí)性與保密性的不同要求設(shè)定如下規(guī)則以約束共享者行為：第一，共享者在取得本人授權(quán)的基礎(chǔ)上方能收集、傳輸與存儲(chǔ)信息，同時(shí)運(yùn)用合理技術(shù)（如訪問控制技術(shù)）防止信息被未獲本人授權(quán)的人取得；第二，共享者應(yīng)當(dāng)采取技術(shù)措施以確保信息被安全存儲(chǔ)與傳輸，同時(shí)防止信息被不當(dāng)刪改。前述規(guī)則被OECD 指針第10、11 條概括為限制利用與安全保護(hù)原則。

3.2 為滿足信息可用性要求所采取的措施

在確保個(gè)人檔案信息真實(shí)性與保密性的前提下，檔案管理者得以將收集到的信息傳輸給用戶，再由后者通過如下措施完成共享：第一，接收與存儲(chǔ)信息。這是用戶得以共享信息的前提，美國(guó)國(guó)家檔案與文件檔案署管理法案規(guī)定，社會(huì)組織和個(gè)體等用戶對(duì)信息加以接收與獲取的權(quán)利應(yīng)受保護(hù)，該國(guó)圖書館權(quán)利法案也做了類似規(guī)定；第二，對(duì)信息加以歸類、分析、再利用與披露。按照歐盟指令第2 條（b）的表述，歸類與分析是用戶發(fā)揮信息的效用的基本途徑。特別地，用戶得以將信息傳輸給他人進(jìn)行再利用（re-utilization）或者向公眾披露信息的內(nèi)容，從而實(shí)現(xiàn)對(duì)信息的共享。前述歐盟委員會(huì)工作組7/2003 號(hào)文件即對(duì)此方式做了規(guī)定。

另外如前文所述，為滿足個(gè)人檔案信息可用性的要求，共享者在特定情況下應(yīng)被允許任意收集與傳輸信息，即使未取得本人授權(quán)?？紤]到增值式共享對(duì)信息安全構(gòu)成的威脅較大，我國(guó)宜將其參與者（公共機(jī)關(guān)、私人機(jī)構(gòu)以及檔案管理者）得以任意共享信息的情形限定在特定范圍內(nèi)，并將超出此范圍的行為視為違法。參照歐盟指令第二、三、六節(jié)以及美國(guó)聯(lián)邦信息自由法案第552 節(jié)的內(nèi)容，這些情形主要包括：通過網(wǎng)絡(luò)追究刑事犯罪、從事電子政務(wù)管理活動(dòng)、維護(hù)信息本人以及他人重大利益、開展衛(wèi)生教育等公益活動(dòng)。與此不同的是，個(gè)性化服務(wù)式共享的主要參與者——個(gè)體用戶的行為對(duì)信息安全的威脅較小，因此按照美國(guó)學(xué)者托馬斯·愛默生闡發(fā)的信息近用權(quán)學(xué)說，只要用戶能證明其對(duì)他人個(gè)人檔案信息的共享是出于滿足自身的合理需求，即可任意接收與處理信息。當(dāng)然出于維護(hù)信息安全的考慮，個(gè)體用戶仍應(yīng)當(dāng)承擔(dān)特定義務(wù)（譬如不得擅自更改信息），這已體現(xiàn)在了德國(guó)聯(lián)邦個(gè)人資料保護(hù)法第三編第一章以及美國(guó)賓夕法尼亞州檔案安全法案當(dāng)中。

3.3 針對(duì)增值式共享活動(dòng)中的計(jì)算機(jī)比對(duì)所采取的特殊措施

在增值式共享活動(dòng)中，用戶（主要是公共機(jī)關(guān)）在對(duì)來自于兩組以上不同數(shù)據(jù)庫的個(gè)人檔案信息加以接收與存儲(chǔ)后，還時(shí)常通過計(jì)算機(jī)將這些信息進(jìn)行比較，進(jìn)而挖掘出新的信息，信息科學(xué)家將這一特殊的共享形態(tài)稱為計(jì)算機(jī)“比對(duì)”（computer matching）。比對(duì)者特殊的身份與信息處理能力決定了，被比對(duì)的信息在內(nèi)容以及組合排序方式上極有可能發(fā)生顯著變化，信息被披露的可能性也將大增。正是顧慮到比對(duì)行為對(duì)信息真實(shí)性與保密性帶來的特殊風(fēng)險(xiǎn)，美國(guó)政府與民眾一直質(zhì)疑該行為的合法性。直到上世紀(jì)末，該國(guó)才有條件地允許公共機(jī)關(guān)對(duì)公民個(gè)人檔案信息進(jìn)行比對(duì)。在我國(guó)自本世紀(jì)初開始，個(gè)人檔案信息比對(duì)技術(shù)先后被應(yīng)用于司法與金融征信等領(lǐng)域。調(diào)查顯示，我國(guó)相當(dāng)部分檔案館為實(shí)現(xiàn)數(shù)字化建設(shè)目標(biāo)，開始與全國(guó)犯罪信息中心（CCIC）與中國(guó)人民銀行征信中心等機(jī)構(gòu)通過聯(lián)網(wǎng)方式開展個(gè)人檔案信息比對(duì)活動(dòng)。

圖1 對(duì)不同形式共享的規(guī)制措施的區(qū)別

為應(yīng)對(duì)個(gè)人檔案信息安全因比對(duì)而面臨的特殊風(fēng)險(xiǎn)，我國(guó)立法者宜設(shè)置如下規(guī)則來約束比對(duì)者的行為：第一，只有履行公共職能的機(jī)關(guān)方得以進(jìn)行信息比對(duì)。理由是，根據(jù)信息學(xué)家京特·雅各布斯闡發(fā)的信息契約理論，只有在滿足公共利益的限度內(nèi)，本人對(duì)于其個(gè)人檔案信息所享有的權(quán)益才能因比對(duì)而受到特殊限制。由此參照美國(guó)聯(lián)邦計(jì)算機(jī)比對(duì)與隱私權(quán)保護(hù)法案的規(guī)定，有權(quán)實(shí)施信息比對(duì)行為的只有從事提供社會(huì)福利、追究刑事犯罪、稅收征管以及維護(hù)國(guó)家安全等公職活動(dòng)的機(jī)關(guān)；第二，作為信息提供方的檔案管理者與作為比對(duì)者的公共機(jī)關(guān)應(yīng)當(dāng)達(dá)成比對(duì)協(xié)議，在協(xié)議中明確約定雙方對(duì)信息安全的保護(hù)義務(wù)，否則比對(duì)行為無效；第三，公共機(jī)關(guān)在通過比對(duì)所挖掘出的新信息對(duì)本人采取措施之前，應(yīng)當(dāng)對(duì)信息的真實(shí)性進(jìn)行核實(shí)，并允許本人對(duì)措施提出異議。以上規(guī)則在前述美國(guó)計(jì)算機(jī)比對(duì)與隱私權(quán)保護(hù)法案以及歐盟7/2003 意見書中均有體現(xiàn)（參見圖1）。

［1］李興國(guó).信息管理學(xué)［M］.北京：高等教育出版社，2011:2.

［2］王蘭成.大數(shù)據(jù)環(huán)境下檔案與圖書情報(bào)信息集成服務(wù)機(jī)制的構(gòu)建［J］.南京：檔案與建設(shè)，2014（12）:5-6.孫雨生，仇蓉蓉.國(guó)內(nèi)數(shù)字檔案館個(gè)性化服務(wù)研究進(jìn)展［J］.南京：檔案與建設(shè)，2013（12）:14-15.

［3］［美］Brillouin.Science and Information Theory［M］.New York：Academic Press，1962:154.

［4］蓋俊梅，王蘇軍，狄新怡，何蘊(yùn)寧.三級(jí)醫(yī)院檔案管理現(xiàn)況調(diào)查與影響因素分析［J］.南京：檔案與建設(shè)，2014（10）:81-83.

［5］［美］羅曼.信息政策［M］.北京:科學(xué)出版社，2005:57-58.

［6］［美］J .E .Hopcroft and J .D Ullman .Introduction to Automata Theory，Languages ，and Computation［M］. Boston: Addison-Wesley Publishing Company，1979：156.

［7］鐘義信.信息科學(xué)原理［M］.北京：北京郵電大學(xué)出版社，2002:332.

［8］鐘義信.信息科學(xué)原理［M］.北京：北京郵電大學(xué)出版社，2002:288-311.

［9］［美］Thomas I· Emerson，The System of Freedom of Expression［M］，New York: Random House Inc.，1970：6-7.羅軍，李靈風(fēng)公民檔案利用權(quán)利發(fā)展歷程研究［J］.南京：檔案與建設(shè)，2014（11）:8-10.

［10］張才琴，齊愛民.我國(guó)個(gè)人信息計(jì)算機(jī)比對(duì)制度芻議［J］.武漢：法學(xué)評(píng)論，2008（5）:115.

［11］張才琴，齊愛民.我國(guó)個(gè)人信息計(jì)算機(jī)比對(duì)制度芻議［J］.武漢：法學(xué)評(píng)論，2008（5）:117-118.

［12］［德］京特·雅科布斯，規(guī)范·人格體·社會(huì)［M］，北京：法律出版社2001：111.