王鵬　伍秀珍

摘 要 文章以高校檔案管理與利用中個人信息保護(hù)為主要內(nèi)容，簡要介紹了個人信息的法律界定、個人信息保護(hù)法律主體的權(quán)利與義務(wù)及高校檔案涉及個人信息的種類，在分析高校檔案管理與利用中個人信息保護(hù)存在的主要問題的基礎(chǔ)上，提出了保護(hù)個人信息的對策。

關(guān)鍵詞 高校檔案 檔案管理 檔案利用 個人信息保護(hù)

中圖分類號：G647 文獻(xiàn)標(biāo)識碼：A

高校檔案作為國家檔案全宗的重要組成部分，客觀真實地記載了學(xué)校教學(xué)、科研、管理等方面的內(nèi)容，是高校寶貴的信息資源。高校檔案所記載的個人信息，在個人學(xué)習(xí)、工作、生活中發(fā)揮著重要的憑證作用，這些信息一旦被不法分子非法獲取、使用，后果將不堪設(shè)想。尤其隨著數(shù)字校園建設(shè)的推進(jìn)，更多的檔案信息上傳網(wǎng)絡(luò)，這些數(shù)字信息在方便查詢利用、提高工作效率的同時，也使得個人信息安全面臨更大風(fēng)險，如何在檔案管理與利用中做好個人信息的保護(hù)已經(jīng)成為高校檔案管理部門亟待解決的問題。

1 個人信息與個人信息保護(hù)

1.1 個人信息的法律界定

各國和地區(qū)立法與學(xué)說中對個人信息的界定主要有兩種類型：一是“相關(guān)型”，歐盟、美國、日本、中國香港等國家和地區(qū)立法中認(rèn)為個人信息是關(guān)于一個人的信息。比如，美國1974年出臺的《隱私權(quán)法》將個人信息定義為：一個機(jī)構(gòu)持有的有關(guān)個人的單項信息或信息集合，包括但不限于他的教育、金融交易、醫(yī)療史、包含姓名的犯罪前科或工作履歷、識別號碼、代號，以及其它專屬于一個人的標(biāo)記，如指紋、聲紋或照片。①二是“識別型”，中國臺灣立法及中國大陸一些學(xué)者認(rèn)為個人信息是可識別一個人的信息。比如，中國臺灣2010年出臺的《個人信息保護(hù)法》將個人信息定義為：個人資料是指自然人的姓名、出生日期、身份證編號、護(hù)照號碼、特征、指紋、婚姻、家庭、教育、職業(yè)、病歷、醫(yī)療、基因、性生活、健康檢查、犯罪前科、聯(lián)系方式、財務(wù)情況、社會活動及其他以直接或間接方式識別該個人的資料。②由周漢華所著《中華人民共和國個人信息保護(hù)法（專家建議稿）及立法研究報告》中定義為：個人信息是指個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息。③

筆者贊同“識別型”定義，這種定義更準(zhǔn)確地表達(dá)了個人信息的特點，即具有“識別”性。個人信息不僅包括指紋、DNA等能夠直接識別個人的信息，也包括不能直接識別，但與其他信息相結(jié)合較容易識別個人的信息，如學(xué)歷、職業(yè)等。從信息敏感度上看，個人信息既包括個人隱私，也包括不屬于個人隱私的信息。從信息內(nèi)容上看，個人信息既包括個人基本信息，也包括反應(yīng)個人生理、心理、家庭、經(jīng)濟(jì)、社會等方方面面的信息。可識別一個人的單項信息或信息集合更應(yīng)該是個人信息保護(hù)法所保護(hù)的重點內(nèi)容。

1.2 個人信息保護(hù)法律主體的權(quán)利與義務(wù)

在國外，個人信息一直受到法律的高度保護(hù)。1974年美國頒布《隱私權(quán)法》，1976年德國頒布《聯(lián)邦資料保護(hù)法》，1984年英國制訂《數(shù)據(jù)保護(hù)法》，1995年歐盟制訂了《關(guān)于個人信息運行和自由流動的保護(hù)指令》，1998年美國與歐盟簽訂了“安全港”協(xié)定（safe harbor）。④從國外立法實踐來看，個人信息保護(hù)法的法律主體由信息主體和信息處理主體構(gòu)成。信息主體的權(quán)利（個人信息權(quán)）主要包括：（1）信息控制權(quán)，即信息主體在信息收集、保管、傳播、利用、公開時應(yīng)享有的控制權(quán)，包括對其個人信息的更正、停止使用及刪除等權(quán)利；（2）信息知情權(quán)，即個人信息被搜集或披露時，信息主體應(yīng)享有被告知的權(quán)利，個人信息被收集或保存時，其信息主體有權(quán)了解這些信息的內(nèi)容、性質(zhì)及使用情況；（3）信息保密權(quán)，即信息主體有隱瞞個人信息不為他人所知的權(quán)利及有權(quán)禁止其個人信息被非法披露、公開及利用的權(quán)利；（4）信息利用權(quán)，即信息主體有利用其個人信息的權(quán)利。⑤

信息處理主體的義務(wù)主要有以下幾個方面內(nèi)容：（1）收集、處理信息要有明確合法的目的；（2）除法律另有明確規(guī)定外，在收集、使用個人信息之前，應(yīng)通知信息本人并征得同意；（3）當(dāng)信息本人申請更新、修改、刪除時，應(yīng)及時回應(yīng)，不得以不當(dāng)理由拒絕；（4）信息保密義務(wù)；（5）對信息處理承擔(dān)責(zé)任的義務(wù)。⑥

2 高校檔案中涉及個人信息的資料種類

高校檔案中涉及個人信息的資料很多，一部分是學(xué)校在招生、教學(xué)、科研、管理等活動中形成與個人相關(guān)的檔案資料，主要包括個人入學(xué)、學(xué)績、學(xué)歷、學(xué)位、履歷、考察、考核、審計、政審、獎勵、處分、錄用、任免、聘用、工資、待遇、出國、離退休等材料，其內(nèi)容涉及高校師生及廣大校友教育、家庭、健康、婚姻、政治、財產(chǎn)、工作等重要方面。這些資料在為師生個人深造、出國、找工作、落戶、提薪、升職等方面提供了原始憑證和可靠依據(jù)，是高校檔案利用極為頻繁的資料。

另一部分是由檔案部門以征集、購買、接收等方式取得的，或檔案所有者寄存、捐贈給檔案部門的私人檔案，常見的是高校名人檔案（即在所研究領(lǐng)域做出重大貢獻(xiàn)、在社會上具有較大聲譽(yù)的知名專家、學(xué)者從事教學(xué)、科研活動中形成的文字、聲像、實物等檔案材料）。這些材料多層次、多角度地反映各個時期學(xué)校取得的成就，提升了大學(xué)的影響力。

3 高校檔案管理與利用中個人信息保護(hù)存在的主要問題

3.1 缺乏有效的法律保護(hù)

目前為止，我國尚未出臺一部實質(zhì)意義上國家層級的個人信息保護(hù)法，涉及個人信息保護(hù)內(nèi)容的立法主要散見于憲法、刑法、民法及其他有關(guān)法律、法規(guī)和最高法院的司法解釋中，內(nèi)容主要涉及隱私、名譽(yù)、肖像、姓名、通訊信息、個人醫(yī)療信息、注冊信息、電子郵件地址及禁止泄露個人信息的規(guī)定等。到底什么是個人信息？什么樣的個人信息需要保護(hù)？個人信息應(yīng)該如何使用？個人信息主體的權(quán)利、個人信息處理主體應(yīng)履行的義務(wù)以及個人信息保護(hù)的執(zhí)行機(jī)制和監(jiān)督機(jī)制等個人信息保護(hù)應(yīng)涉及到的重要問題尚沒有清晰嚴(yán)格的法律界定。

在檔案界，1987年公布、1996年7月5日修訂的《中華人民共和國檔案法》第十六條涉及集體所有及個人所有檔案的保管問題、第十九條、二十條、二十一條、二十二條涉及到集體或個人所有檔案開放、利用與公布的問題。《高等學(xué)校檔案管理辦法》（教育部、國家檔案局第27號令）第二十四條涉及對個人在非職務(wù)活動中形成的檔案材料的管理問題，第二十一條涉?zhèn)€人隱私的公布問題、第二十八條涉及持有合法證明的個人利用檔案的問題，第三十二條、三十三條涉及個人移交、捐贈、寄存檔案的所有權(quán)及這部分檔案公布與利用的問題。這些條款雖然不同程度地保護(hù)了涉及個人隱私的檔案，在一定程度上維護(hù)了個人檔案所有者的權(quán)利，體現(xiàn)了個人信息保護(hù)意識，但對個人信息的保護(hù)還不夠健全與系統(tǒng)，缺乏對涉及個人信息檔案公開與保密、利用原則、信息人權(quán)利、侵權(quán)行為的罰則、法律救濟(jì)等重要方面的規(guī)定。

人事檔案是檔案家族中與公民個人關(guān)系最密切的檔案。1990年修訂，1991年4月2日發(fā)布的《干部檔案工作條例》第三十一條規(guī)定：“任何個人不得查閱或借用本人及其直系親屬的檔案。”參照國際立法關(guān)于個人信息保護(hù)的原則，這種規(guī)定的合理性值得思考。

從以上分析可見，我國檔案立法不僅沒有針對個人信息保護(hù)方面較完善的規(guī)定，有些規(guī)定還有待商榷。高校檔案工作者在檔案管理與利用中關(guān)于個人信息保護(hù)沒有具體的執(zhí)行標(biāo)準(zhǔn)，在實際工作中很難權(quán)衡好檔案利用與個人信息保護(hù)的問題。

3.2 缺乏對個人信息的自律保護(hù)

由于現(xiàn)階段我國缺乏對個人信息保護(hù)的專門性、統(tǒng)一性的立法，一些信息控制人為了增強(qiáng)行為相對人的信心，進(jìn)而促進(jìn)相關(guān)行業(yè)通過收集、處理、利用、傳遞個人信息而獲得更大的發(fā)展，單方面作出了保護(hù)個人信息的承諾或制定了保護(hù)個人信息的內(nèi)部行為規(guī)范，這是信息控制人采取的一種典型的保護(hù)個人信息的自律措施。⑦目前，我國一些非公共部門，特別是一些商業(yè)網(wǎng)站，己經(jīng)認(rèn)識到個人信息的巨大價值以及個人信息對信息主體的重大意義，為了增強(qiáng)消費者對網(wǎng)絡(luò)信息的信任，制定了較為詳細(xì)的隱私保護(hù)政策。就高校檔案管理部門而言，將個人信息作為一項重要內(nèi)容，在檔案管理與利用中加以規(guī)范的較少，有些高校檔案管理部門對涉及個人信息的檔案過于保密，限制甚至禁止利用。有些部門雖然積極提供利用，但對個人信息的保護(hù)措施做得不夠，導(dǎo)致個人信息的泄露時有發(fā)生。隨著高校檔案信息化建設(shè)進(jìn)程的加快，各種目錄數(shù)據(jù)庫、全文數(shù)據(jù)庫不斷建設(shè)和完善，大量涉及個人信息的資料上傳網(wǎng)絡(luò)，但查看一些高校檔案管理制度或瀏覽高校檔案館網(wǎng)站，幾乎無法看到與一些大型商業(yè)網(wǎng)站所具備的“隱私政策”。

3.3 個人信息保護(hù)意識嚴(yán)重欠缺

一是高校師生及校友個人信息保護(hù)意識欠缺。主要體現(xiàn)為不清楚高校檔案涉及哪些個人信息，對個人信息的重要性及個人信息安全認(rèn)識不夠，對自身信息權(quán)及維權(quán)方式缺乏了解。例如：辦理學(xué)歷證明和成績證明是高校檔案管理部門常見的檔案利用方式，一些外地的校友通常會找本地的同學(xué)或朋友代為辦理，檔案管理部門一般有明文規(guī)定代查、代辦需要被查人的有效證件，但該規(guī)定通常不被理解。這些校友根本沒有考慮到如果檔案管理部門不需要任何手續(xù)就可任意查看個人資料，個人信息的泄露情況將會很嚴(yán)重。

二是某些檔案管理人員及檔案利用者的信息保護(hù)意識比較薄弱，對維護(hù)信息主體的權(quán)益不夠重視。尤其是檔案工作者在檔案信息服務(wù)中注重開放利用而忽視個人信息保護(hù)的現(xiàn)象較為普遍。據(jù)調(diào)查，很多高校檔案管理部門在給用人單位提供所需學(xué)生錄取名冊時，通常將含有其他學(xué)生錄取信息的整頁資料都復(fù)印給對方，沒有保密措施，也沒有附帶任何保密條款。這種做法雖然滿足了用人單位對某些學(xué)生錄取信息的需求，但勢必造成其他不相關(guān)學(xué)生個人信息的泄露。

4 高校檔案管理與利用中個人信息保護(hù)對策

4.1 加快個人信息保護(hù)的檔案立法工作進(jìn)程

以法律規(guī)范形式保護(hù)公民個人信息在檔案管理與利用中不受侵犯，已成為我國檔案立法工作中迫切需要解決的問題。筆者認(rèn)為應(yīng)從以下幾個方面完善保護(hù)個人信息的規(guī)定：（1）明確涉及個人信息的檔案種類；（2）規(guī)范涉及個人信息檔案的獲取、管理和利用；（3）規(guī)定信息權(quán)利人應(yīng)享有的權(quán)利，包括對個人信息保密、知悉、利用的權(quán)利，對錯誤的個人信息修改的權(quán)利及個人信息受到侵犯時得到救濟(jì)的權(quán)利；（4）規(guī)范敏感個人信息的保護(hù)及個人信息的使用；（5）規(guī)定個人信息被非法泄露、利用時，相關(guān)責(zé)任人應(yīng)承擔(dān)的法律責(zé)任；（6）規(guī)定延長隱私檔案的封閉期等。立法制定中使用的相關(guān)概念要準(zhǔn)確、明晰，便于參照執(zhí)行，同時做好與國家整個法律體系的兼容及與國際立法的對接。

4.2 高校檔案館應(yīng)制定并執(zhí)行強(qiáng)有力的自律措施

高校檔案管理部門應(yīng)根據(jù)館藏資料內(nèi)容及檔案利用規(guī)律制定完善的個人信息保護(hù)制度，并采取有效措施將制度落到實處。筆者認(rèn)為制定個人信息保護(hù)制度應(yīng)從以下幾個方面著手：（1）嚴(yán)格界定涉及個人信息的資料種類并規(guī)范這些資料的管理與使用；（2）明確規(guī)定檔案管理者在保護(hù)個人信息方面應(yīng)承擔(dān)的職責(zé)；（4）明確規(guī)定檔案利用者利用涉及個人信息檔案應(yīng)履行的義務(wù)；（5）明確信息主體的個人信息權(quán)及例外；（6）網(wǎng)絡(luò)環(huán)境下個人信息保護(hù)應(yīng)采取的技術(shù)措施和制度措施。

制度的落實更需要有效的措施，高校檔案管理部門可以通過定期培訓(xùn)與檢查、與檔案管理者簽署責(zé)任書、與檔案利用者簽署保密條款等形式，明確管理者責(zé)任，約束利用者行為，提高個人信息保護(hù)力度。

4.3 提高個人信息保護(hù)意識

高校檔案管理部門應(yīng)廣泛開展宣傳教育，引起廣大師生對個人信息安全的重視。做好這項工作應(yīng)從兩個方面抓起：①信息權(quán)利人，即高校教職員工、學(xué)生及校友。檔案部門應(yīng)充分利用校內(nèi)各種媒體及網(wǎng)絡(luò)（如校廣播臺、手機(jī)短信平臺、學(xué)校交流網(wǎng)絡(luò)平臺、檔案館網(wǎng)站等），以及通過開展講座或通過致新生或入職人員的一封信等形式在校內(nèi)開展廣泛的宣傳教育，通過宣傳教育讓師生了解到保護(hù)個人信息的方式和重要性，個人信息被非法泄露、使用時可采取的救濟(jì)辦法，認(rèn)識到保護(hù)好涉及個人信息的檔案不僅是檔案部門的事，更是關(guān)系到每個人切身利益的大事。②信息處理主體，即高校檔案管理者及檔案利用者。高校檔案管理部門應(yīng)加強(qiáng)對檔案管理者的業(yè)務(wù)指導(dǎo)、法律培訓(xùn)和心理教育，不斷提高他們的信息安全意識。

5 小結(jié)

目前，社會各界對個人信息保護(hù)和信息安全問題的要求越來越迫切，國務(wù)院有關(guān)部門已啟動并積極推進(jìn)《個人信息保護(hù)法》的立法程序。高校檔案管理部門也應(yīng)該對檔案管理與利用中的個人信息保護(hù)問題進(jìn)行積極探索。當(dāng)然，信息作為一種戰(zhàn)略性資源，其自由流動具有重要的基礎(chǔ)性意義，高校檔案管理部門應(yīng)在檔案信息開放與限制、保護(hù)與利用等對立沖突中尋求一個平衡點，既促進(jìn)信息利用、資源共享，又維護(hù)好信息主體的合法權(quán)益。

注釋

① The Privacy Act of 1974 [EB/OL].http：//www.archives.gov/about/ laws/privacy-act-1974.html，2014-8-22.

② 黃藍(lán).個人信息保護(hù)的國際比較與啟示[J].情報科學(xué)，2014（1）.

③ 周漢華.中華人民共和國個人信息保護(hù)法（專家建議稿）及立法研究報告[M].北京：法律出版社，2006（9）：3.

④ 韋一.安全談：個人信息保護(hù)國內(nèi)外解決方案比較[EB/OL].http：//tech.ccidnet. com/art/1099/20090325/1720897_1.html，2014-8-22.

⑤ Personal Data （Privacy） （Amendment） Ordinance （new provisions）（Hong Kong）[EB/OL].http：//www.pcpd.org.hk/english/amendments_2012/amendments_2012.html.2014-8-22.

⑥ Personal Information Protection and Electronic Documents Act（Canada）[EB/OL].http：//laws.justice.gc.ca/eng/acts/P-8.6/FullText.html.2014-7-1.

⑦ 單飛.深度分析我國個人信息保護(hù)之現(xiàn)狀[EB/OL].http：//www.baike.com/wiki/個人信息保護(hù)法，2014-8-22.