档案开放中的个人信息保护

王芳 刘晓含

摘要：随着信息化技术的广泛应用，档案开放中的个人信息面临更多被侵害的风险，有必要对档案开放涉及的个人信息给予立法保护。论文通过对新《档案法》颁布后进行修订（正）的六部省级档案地方性法规进行文本分析，梳理了新修订（正）的省级档案地方性法规对个人信息保护的方式，分析了省级档案地方性法规对个人信息保护的不足，并提出相应的完善建议，以期为其他省级档案地方性法规的修改提供立法经验。

关键词：档案开放 个人信息保護 省级档案地方性法规

随着信息化技术的广泛应用，档案开放中的个人信息面临更多被侵害的风险，有必要对档案开放涉及的个人信息给予立法保护。2020年6月20日修订的《中华人民共和国档案法》（以下简称“新《档案法》”）较简略地规定了档案开放中的个人信息保护问题，2022年7月1日公布的《国家档案馆档案开放办法》和2023年12月29日通过的《中华人民共和国档案法实施条例》（以下简称《实施条例》）细化了档案开放的相关规定，地方立法需要结合本地情况将上位法的有关规定加以细化。在新《档案法》颁布后，一些省级人大常委会对省级档案地方性法规进行了修订或修正。目前学术界对于档案开放与个人信息保护问题的相关研究，多偏重于新《档案法》修订后的完善建议及特定种类档案的信息保护模式的研究，很少有对新修订（正）的省级档案地方性法规进行分析的。本文通过对新《档案法》颁布后进行修订（正）的六部省级档案地方性法规做文本分析，研究新修订（正）的档案地方性法规对个人信息保护的现状，并提出相应的完善建议。

一、省级档案地方性法规对个人信息保护的方式

在新《档案法》颁布后，已经修订（正）的省级档案地方性法规共六部（截至2024年1月1日）。其中，部分省级人大常委会通过“修订”方式对省级档案地方性法规进行了全面修改，比如《上海市档案条例》（2021年修订）、《甘肃省档案条例》（2022年修订）、《内蒙古自治区档案条例》（2022年修订）及《山西省档案管理条例》（2023年修订）；还有部分省级人大常委会通过“修正”方式对省级档案地方性法规进行了小幅度修改，比如《江苏省档案管理条例》（2021年修正）、《湖南省档案管理条例》（2020年修正）。通过梳理发现，目前省级档案地方性法规对个人信息的直接或间接保护方式主要有四种。

（一）通过规范档案开放的形式保护个人信息

省级档案地方性法规大多以列举的方式规定了档案开放的形式，部分法规规定了档案开放目录制度，比如《江苏省档案管理条例》第二十六条，《湖南省档案管理条例》第二十三条，《上海市档案条例》第二十九、三十、三十三条等规定。其中，《湖南省档案管理条例》明确规定了要定期公布开放档案目录。通过规范档案开放的形式保护个人信息，体现了地方立法保障个人信息自决权、知情权与档案信息利用之间平衡的特点，在一定程度上保护了档案开放中的个人信息。

（二）通过规范档案利用程序保护个人信息

省级档案地方性法规大多在上位法的基础上对档案利用程序进行了细化规定，通过规范档案利用程序保护个人信息。许多省级档案地方性法规规定，公民或组织对档案申请利用，通常需要进行身份认定，提交合法有效证明等程序。例如，《江苏省档案管理条例》第二十七条、《湖南省档案管理条例》第二十八条、《上海市档案条例》第三十一条的规定。

（三）通过档案开放的限制性规定保护个人信息

档案开放审核是档案开放利用的前端。[1]档案开放前的审核制度是防止个人信息受侵害的预防性措施，这也是对档案馆、档案形成单位等个人信息处理者的信息处理行为进行的合理限制，以此保护档案开放中的个人信息。省级档案地方性法规大多根据上位法规定了档案封闭期，并规定了档案的开放审核问题。例如，《江苏省档案管理条例》第二十四条、《上海市档案条例》第二十九条的规定。

（四）通过规定档案信息权利人的部分权利保护个人信息

一些省级档案地方性法规通过规定档案信息权利人的部分权利来保护个人信息，体现了地方立法对档案信息权利人的合法权益有一定的保护意识。例如，《江苏省档案管理条例》第二十五条（概括性权利保护条款），《湖南省档案管理条例》第二十六条（档案寄存者权利），《上海市档案条例》第三十二条（档案权利人的权利）、三十三条（概括性权利保护条款）等规定。其中，《湖南省档案管理条例》《上海市档案条例》均规定了档案权利人的开放同意权，《江苏省档案管理条例》和《上海市档案条例》则规定了档案公开不得侵犯他人的合法权益的概括性权利保护条款，有利于档案开放中个人信息的保护。

二、省级档案地方性法规对个人信息保护的不足

通过梳理六部省级档案地方性法规发现，省级档案地方性法规对档案开放中的个人信息保护问题有一定程度的重视，但是一些省级档案地方性法规仍然存在一些不足，无法对档案开放中的个人信息提供充分保护。

（一）关于档案开放范围的规定不够细化

立法中档案开放的范围规定是否明确，直接影响个人信息保护的程度。新《档案法》第二十七条中规定“经济、教育、科技、文化等类档案，可以少于二十五年向社会开放”，其中“少于二十五年”的规定涉及的时间幅度比较宽泛，档案开放主体的裁量权比较大。《国家档案馆档案开放办法》第八条采用正面列举的方式阐明了档案延期开放的情形，相关规定仍然不够具体。关于档案开放范围的规定，省级档案地方性法规大多是对上位法规定的档案开放时限及种类的简单重复，比较笼统。关于档案开放的范围规定不够细化，使得档案开放中个人信息保护的界限容易模糊。

（二）档案信息权利人的程序性权利缺失

档案开放涉及的利益关系通常复杂多元，在档案开放中应平衡保护有关主体的档案利用权与档案信息权利人的合法权益。如果档案涉及个人信息，档案信息权利人的一系列程序权利应得到有效保障，以避免档案开放导致个人信息的泄露。实践中，省级档案地方性法规更多的是通过规定档案开放主体权责的方式间接对公民权利进行保障，而很少直接规定档案信息权利人的程序性权利，比如要求档案开放主体说明理由权和异议权。

（三）档案开放信息化建设中个人信息保护的力度不够

随着档案开放信息化建设的推进，公众查询和利用档案更加便捷。例如，《国家档案馆档案开放办法》第二十条专门规定了国家档案主管部门的网络平台建设义务。一些省级档案地方性法规规定了线上档案查询利用服务的形式，比如《上海市档案条例》第三十条、《甘肃省档案条例》第三十六条。然而，档案线上开放利用可能会使个人信息面临更多的泄漏风险，个人信息网络侵权案件频发，档案开放中的個人信息保护面临更严峻的挑战，档案开放信息化对档案开放主体的信息安全水平提出了更高的要求。然而，省级档案地方法规大多没有设置档案开放信息化建设中强化个人信息保护的具体规范，档案开放信息化建设中个人信息保护的力度不够。

（四）档案开放中的监督与责任规定不具体

档案开放中的个人信息保护需要档案开放中监督与责任的清晰规定。新《档案法》和《实施条例》关于监督和责任的规定比较笼统，省级档案地方性法规对于档案主管部门的监督职责进行了简单列举，例如《上海市档案条例》第五十条、《江苏省档案管理条例》第六条。但是，省级档案地方性法规对于档案开放中的监督与责任规定并不具体，可操作性不强。第一，省级档案地方性法规没有明确规定档案主管部门和档案工作人员有权采取监督检查措施的种类。第二，责任追究的规定仍然不够细化。对于不按规定向社会开放的责任追究问题，新《档案法》仅规定了处分（第四十八条）、刑事责任或民事责任（第五十一条）。《实施条例》第四十八条规定了责令限期改正和处分。上述规定都比较简略。省级档案地方性法规对于不按规定向社会开放、提供利用档案的法律责任规定基本大同小异，几乎都是对上位法的重述，而没有进一步具体规定。例如，《甘肃省档案条例》第四十九条规定了处分；《江苏省档案管理条例》第二十九条规定了责令其改正、处分，构成犯罪的追究刑事责任；《内蒙古自治区档案条例》第五十六条规定了责令限期改正、处分；《山西省档案管理条例》第三十七条和《上海市档案条例》第五十六条都规定了处分，构成犯罪的追究刑事责任。另外，免责条款的缺失，使档案开放主体处在对个人信息侵害后果承担“无限责任”的担忧之中，不利于档案开放主体依法履行档案开放职责。

（五）对个人信息权益受到侵害的救济措施不完善

当档案开放涉及个人信息出现侵权或错误时，有关档案信息权利人的举报权在省级档案地方法规中大多没有进行细化规定，导致档案开放主体对个人信息的处理权容易被滥用。新《档案法》第四十六条和《实施条例》第四十六条规定了对于档案违法行为的举报，有关机关应当及时依法处理，其中“及时”和“依法处理”的规定过于原则性，需要下位法加以具体化。通过对比发现，对于档案违法行为的举报，绝大多数省级地方法规也基本是对上位法的简单重复，仍然简单地规定由有关机关及时依法处理，没有明确规定受理举报期限和处理期限，以及如果有关机关未及时进行处理或者举报人对举报处理结果不服的，举报人是否享有提起行政诉讼或行政复议等救济权。例如，《甘肃省档案条例》第四十八条、《内蒙古自治区档案条例》第五十四条、《山西省档案管理条例》第三十二条及《上海市档案条例》第五十二条，而《湖南省档案管理条例》《江苏省档案管理条例》没有关于举报的规定，但难能可贵的是《湖南省档案管理条例》第三十四条规定了当事人有权申请行政复议或者提起行政诉讼，这有利于发挥举报的实效。另外，绝大多数省级档案地方法规仅规定了一般违法造成档案损失的赔偿救济条款，未对档案开放的不当行为及其后果的救济内容进行具体规定。

三、省级档案地方性法规中个人信息保护的立法完善

新《档案法》颁布后尚未修改的省级档案地方性法规，应加快修改步伐，充分借鉴现有其他省级档案地方性法规立法的经验和不足，结合本地的档案开放状况、技术水平、信息化建设等因素，重视档案开放中的个人信息保护，进一步规范档案开放行为，提升省级档案地方性法规的可操作性，促进档案的开放利用与个人信息保护双重价值的实现。

（一）进一步细化档案开放范围的规定

档案开放的范围会对档案开放中个人信息保护的效果有所影响。档案开放相关立法应在档案的合理利用和个人信息的充分保护之间保持平衡。就我国省级档案地方性法规而言，可以采用“正面列举+反向排除”的方式，对到期不宜开放档案的标准进行细化，分类分项规定档案是否开放及开放期限，以明确档案开放中个人信息保护的界限。为了解决档案开放主体裁量权较大的问题，省级档案地方性法规可以根据本地的实际情况，明确档案主管部门科学设定档案开放期限的具体裁量权基准，防止档案开放主体滥用裁量权。

（二）完善档案信息权利人的程序性权利规范

在档案开放过程中应加强对档案信息权利人的程序权利保障，避免档案信息权利人的利益受损。在省级档案地方性法规中，对于涉及个人信息的档案公开，应保障档案信息权利人享有要求档案开放主体说明理由权和异议权等程序性权利，完善档案信息权利人行使程序权利的相关程序，提高档案开放审核中会议案卷制度的实效，保障档案信息权利人的查阅权。

（三）在档案开放信息化建设中完善个人信息数据安全体系

为了降低档案开放信息化建设中的个人信息侵权风险，省级档案地方性法规应当以完善数据信息安全体系为目标，结合新《档案法》和《实施条例》中有关档案开放信息化建设的规定，在不侵犯他人合法信息权的前提下，为线上档案资源开放设立具体的行为界限。尤其在多部门协商、跨领域共同合作开展档案治理的当下，应当通过详细的立法实现档案开放信息化建设中对个人信息的保护。有学者提出利用大数据的实时抓取技术以完善归档流程、满足档案工作公共服务目的，[2]可由省级档案地方性法规对个人信息保护的价值与可归档信息抓取价值的衡量标准进行界定。此外，还应当制定档案数字化过程中对个人信息保护的规范，根据各地实际发展水平和需要制定具有可操作性的规范。在制定具体规范时，可以针对信息安全问题进行专门规定，比如明确线上电子档案个人信息的统一去识别化处理、在事前风险评估的基础上规范数字化范围、明确要求线上档案开放平台制定隐私政策等，在推进档案开放信息化建设的同时重视个人信息的保护。

（四）细化档案开放的监督与责任规定

省级档案地方性法规应细化有关监督和责任的规定。一是省级档案地方性法规应当细化档案开放监督主体的监督职责，实现监督主体对个人信息侵害风险的事前预防。个人信息的侵权情况本身存在预判困难、后果影响难以预料等特点，使得个人信息处理者事前对信息风险的评估与预防具有现实意义。因此，对于档案开放中的监督制度也需要进一步细化，实现监督主体对于档案信息安全风险的预防。具体来讲，应当明确规定档案开放监督主体可以采取的监督检查措施的种类，使监督检查行为依法进行。二是省级档案地方性法规应当细化责任条款。省级档案地方性法规应当详细规定责任追究问题。是否应当追究责任及追究何种责任，应考虑行为的主观过错、危害程度、性质等因素。合理设定容错免责制度的适用条件，激励档案开放主体积极履行个人信息保护责任。

（五）细化和补充档案开放中的权利救济规定

省级档案地方性法规应当结合地方实际，对档案开放违法行为的权利救济规定进行细化和补充。一是对当前以举报为主的救济程序的操作规范进行细化。如前所述，新《档案法》第四十六条和《实施条例》第四十六条规定了对于档案违法行为的举报，有关机关应当及时依法处理，其中“及时”和“依法处理”的規定需要下位法加以具体化。省级档案地方性法规应当明确规定有关机关受理举报期限和处理期限，以及有关机关未及时处理举报或者如果举报人对举报处理结果不满意的，举报人依法享有的提起行政诉讼或行政复议等救济权，以提高举报的成效。二是完善档案开放中个人信息侵害赔偿机制。对于档案开放中造成的个人信息侵权后果，其相应赔偿机制应当与《个人信息保护法》规定的信息侵权赔偿规定相衔接。《个人信息保护法》第六十九条规定的损害赔偿责任更多参照了民事侵权损害赔偿机制的一般标准，但是，在个人信息侵权领域，档案信息权利人遭受损害的程度和实际损失往往难以准确认定，况且档案开放领域的个人信息处理通常具有公共服务的目的和公权力行使的性质，因此在制定档案开放主体损害赔偿制度时，应当对档案开放行为本身的公共目的加以考量。立法应从公法规制的角度对档案开放中的个人信息侵权赔偿设立一般标准，在此基础上对义务主体造成侵权后果的行为严重程度进行考量，确定赔偿数额的考量因素，同时保持个人利益与公共事业目的之间的相对平衡，制定切实可行的档案开放个人信息侵害赔偿标准。[3]

注释及参考文献：

[1]闫静，谢鹏鑫，张臻.新《档案法》背景下国家综合档案馆档案开放审核的挑战及对策[J].北京档案，2022（7）：7-10.

[2]于英香.档案大数据研究热的冷思考[J].档案学通讯，2015（2）：4-8.

[3]解正山.数据泄露损害问题研究[J].清华法学，2020，14（4）：140-158.

作者单位：山东师范大学法学院