新《檔案法》背景下檔案個人信息保護的規(guī)范銜接與適用

苗運衛(wèi)　金潔

摘? 要：《檔案法》的修訂關(guān)注了檔案個人信息保護問題，但需要結(jié)合個人信息保護立法來實現(xiàn)。為明確檔案個人信息保護的適用規(guī)范，需要將新《檔案法》與個人信息保護立法予以銜接，形成保護與利用平衡的價值理念，明確檔案個人信息保護中的多方法律主體及其權(quán)責內(nèi)容。在此基礎(chǔ)上，區(qū)分檔案個人信息類型以形成檔案個人信息保護的一般適用規(guī)則，并根據(jù)檔案工作場景特征以形成特殊適用規(guī)則，最終實現(xiàn)檔案個人信息保護的實質(zhì)化。

關(guān)鍵詞：新《檔案法》;檔案個人信息;規(guī)范銜接

Abstract： The new Archives Law focuses on the protection of personal information in Archives， but it needs to be implemented in conjunction with the protection of personal information legislation. In order to establish the applicable norms of the protection of personal information， it is necessary to link the Archives Law with the protection of personal information legislation， forming a value concept of balance between protection and utilization， and clarify the multi-party legal subjects and their rights and responsibilities in the protection of personal information. On this basis， distinguish the types of personal information in Archives to form general applicable rules， and form special applicable rules according to the characteristics of Archives work scenarios， and finally realize the materialization of the protection personal information in Archives.

Keywords： New archives law; Personal information in archives; Connection of norms

《中華人民共和國檔案法》（以下簡稱新《檔案法》）于2020年6月20日進行了第三次修訂，并于2021年1月1日正式施行。新《檔案法》的修訂是一次全面的優(yōu)化與升級，產(chǎn)生了諸多具有亮點的新規(guī)定，其中包括了在完善檔案開放利用制度時涉及個人信息的相關(guān)內(nèi)容。[1]新《檔案法》的修訂契合了數(shù)字化時代以來積極保護個人信息的立法趨勢，但如何將新《檔案法》與現(xiàn)有的個人信息保護立法進行銜接，仍有待理論與實踐的回答。在此背景下，本文通過梳理檔案個人信息保護的相關(guān)立法，從價值理念、法律主體和權(quán)責內(nèi)容等方面整合檔案個人信息保護的規(guī)范依據(jù)，并根據(jù)檔案個人信息類型和檔案工作場景特征來形成適用規(guī)則，意在實現(xiàn)檔案個人信息保護實質(zhì)化。

1 檔案個人信息保護的立法梳理

之所以新修訂《檔案法》會關(guān)注個人信息問題，一個重要的因素是近些年涉及個人信息的立法頻頻出臺。新《檔案法》第28條第3款要求，檔案利用過程中，涉及個人信息問題應(yīng)當遵守有關(guān)規(guī)定。根據(jù)該條款屬于轉(zhuǎn)介條款的性質(zhì)及其內(nèi)容，檔案個人信息的保護需要以當前的個人信息相關(guān)立法為規(guī)范依據(jù)。而若以新《檔案法》的頒布為時間節(jié)點，大致可以將個人信息保護的立法模式一分為二：在新《檔案法》頒布之前，個人信息保護立法為分散立法模式;在新《檔案法》頒布之后，個人信息保護立法形成了統(tǒng)一立法模式。而以不同立法模式為區(qū)分，可以探明個人信息立法的歷史變遷過程，并完成對檔案個人信息保護的立法梳理。

1.1 分散立法模式。個人信息保護的分散立法模式是將個人信息保護納入傳統(tǒng)部門法領(lǐng)域，以部門法中的法律規(guī)范為依據(jù)，根據(jù)部門法自身特色來對個人信息進行保護。在私法領(lǐng)域中，2013年10月25日修訂的《消費者權(quán)益保護法》中第14條規(guī)定消費者享有個人信息依法得到保護的權(quán)利，這是私法規(guī)范中第一次涉及個人信息內(nèi)容。

2017年3月15日發(fā)布的《民法總則》第111條規(guī)定了自然人的個人信息受法律保護，該條款以民事基本法的高度奠定了個人信息私法保護的總基調(diào)。[2]而隨著民法規(guī)范法典化的不斷推進，2020年5月28日《民法典》正式通過，成為新中國歷史上第一部以“法典”命名的法律，是新時代我國社會主義法治建設(shè)的重大成果。[3]《民法典》總則編承襲了《民法總則》中保護自然人個人信息的總體要求，并在獨立成編的《民法典》人格權(quán)編中予以細化。一方面，《民法典》人格權(quán)編中采取識別標準界定了個人信息范疇，規(guī)定私密個人信息適用隱私權(quán)保護規(guī)定。另一方面，《民法典》人格權(quán)編中確立了個人信息處理的基本原則和具體規(guī)則，并規(guī)定了個人信息處理者的義務(wù)內(nèi)容?！睹穹ǖ洹返某雠_與新《檔案法》的修訂時間非常接近，并且二者于同一天施行，因此《民法典》是新《檔案法》頒布前檔案個人信息私法保護的主要規(guī)范依據(jù)。

在公法領(lǐng)域中，檔案個人信息保護以《刑法》這一刑法規(guī)范和《網(wǎng)絡(luò)安全法》等行政法規(guī)范為依據(jù)。2009年《刑法修正案（七）》首次將出售或提供公民個人信息的嚴重情節(jié)納入刑法規(guī)制范圍，2015年《刑法修正案（九）》將涉及個人信息犯罪整合為侵犯公民個人信息罪，打擊非法獲取、出售與提供公民個人信息行為，以該罪名的適用來保護個人信息法益。在行政法規(guī)范中，2017年6月1日出臺的《網(wǎng)絡(luò)安全法》從維護網(wǎng)絡(luò)信息安全的目的出發(fā)，對網(wǎng)絡(luò)運營者的個人信息處理行為提出了一系列要求，雖然該法將個人信息權(quán)降格為維護國家安全的一種手段，但在客觀上保障了網(wǎng)絡(luò)環(huán)境中公民的個人信息權(quán)益。[4]

1.2 統(tǒng)一立法模式。新修訂《檔案法》頒布時，檔案個人信息保護以分散立法模式中的各個法律規(guī)范為依據(jù)，并根據(jù)具體情況而適用不同規(guī)范，但這一立法模式隨著《個人信息保護法》的頒布與施行而發(fā)生轉(zhuǎn)變。

個人信息保護內(nèi)容散見于不同部門法的分散立法模式難以形成統(tǒng)一的概念、規(guī)范與標準，也面臨著協(xié)調(diào)整合公法和私法共治的難題，無法整合法治力量集中與有序地保護個人信息，因此，我國的個人信息保護立法最終走向了統(tǒng)一立法模式。[5]在保護個人信息的時代需求和民眾訴求下，2021年8月20日，具有綜合性與專門性特征的《個人信息保護法》正式出臺，成為我國個人信息保護領(lǐng)域中的基本法。

當然，統(tǒng)一立法模式并非對先前分散立法模式的全盤否定，相反，其是在提煉分散立法模式中的經(jīng)驗與理論基礎(chǔ)上形成的。因此，即便已經(jīng)確立《個人信息保護法》在個人信息保護領(lǐng)域的核心地位與基礎(chǔ)作用，仍需要協(xié)調(diào)其與其他領(lǐng)域基本法的關(guān)系，以達到保護檔案個人信息的法秩序統(tǒng)一目標。[6]

隨著統(tǒng)一立法模式的確立，新《檔案法》中個人信息條款所指向的個人信息保護規(guī)范將以《個人信息保護法》為主。《個人信息保護法》融合了公法和私法的部門屬性與保護手段，因而被定性為領(lǐng)域立法。該法所規(guī)定的個人信息相關(guān)內(nèi)容，是確定檔案個人信息保護規(guī)范的基礎(chǔ)。主要內(nèi)容包括：

第一，該法以識別與關(guān)聯(lián)標準界定了個人信息，實則進一步落擴大了個人信息的保護范圍，并且在個人信息范疇中以“概括+列舉”方式區(qū)分了敏感個人信息，要求對其采取更為嚴格的保護措施。[7]第二，該法以“行為規(guī)制權(quán)利化”方式確立了個人在個人信息處理中的權(quán)利，并規(guī)定了個人信息處理者的相應(yīng)義務(wù)。行為規(guī)制權(quán)利化方式回避了對于個人信息絕對權(quán)利化的爭議，而以規(guī)制個人信息處理行為的方式間接保護個人信息權(quán)益，并將個人在個人信息處理過程中的知情、決定、查閱、復(fù)制、轉(zhuǎn)移、刪除等具體行為予以權(quán)利化。[8]第三，該法對國家機關(guān)的個人信息處理行為進行了規(guī)定，現(xiàn)代政府將個人信息作為開展行政活動的重要工具，與規(guī)范市場主體對個人信息的處理行為一樣，規(guī)制政府對信息活動同樣必要而緊迫。因此，該法確立了國家機關(guān)對于不侵犯個人信息權(quán)益的消極保護義務(wù)，同時要求其承擔利用國家力量保障個人信息的積極保護義務(wù)。[9]

2 檔案個人信息保護的規(guī)范協(xié)同

研究發(fā)現(xiàn)，在我國構(gòu)建統(tǒng)一立法模式后，檔案個人信息保護將以《個人信息保護法》為主要依據(jù)。但《個人信息保護法》第72條第2款明確，法律對檔案管理活動中的個人信息處理有規(guī)定的，適用其規(guī)定。通過該轉(zhuǎn)介條款，其保護問題又可以指向《檔案法》的內(nèi)容。因此，為確立檔案個人信息保護的適用規(guī)范，實現(xiàn)其保護的實質(zhì)化，需要將《檔案法》與《個人信息保護法》予以銜接。

2.1 價值理念的契合。信息是構(gòu)成現(xiàn)代社會的基本要素，需要不斷地進行流動與交換才能促成數(shù)字政府的運行與數(shù)字經(jīng)濟的發(fā)展。從所適用的個人信息保護立法來看，《民法典》將個人信息保護放置在人格權(quán)編中，即是確認個人信息的人格性利益而對其予以私法保護。但不能僅僅重視人格性利益而忽視檔案個人信息的財產(chǎn)性利益。

《個人信息保護法》在認定個人信息私人屬性之余，準確地把握了個人信息的公共屬性和流動需求，在開篇第1條中就將平衡個人信息的權(quán)益保護和合理利用作為立法目的。除此之外，《個人信息保護法》的合法、正當、必要與誠信的基本原則和知情同意、合理處理等具體規(guī)則中無不體現(xiàn)個人信息保護與利用平衡的價值理念。[10]

檔案的開放利用是檔案信息資源的最終歸宿，也是檔案機構(gòu)的根本職責。新《檔案法》尤其注重檔案的開放利用，在內(nèi)容上不斷提高檔案開放程度，繼續(xù)優(yōu)化檔案利用服務(wù)，并增設(shè)對檔案機構(gòu)開放利用義務(wù)的監(jiān)督檢查和法律責任。但在對檔案利用的重視之外，檔案的保護仍舊是檔案工作中必不可少的一環(huán)，歷經(jīng)修改的《檔案法》也始終將有效地保護和利用檔案作為立法目的。因此，《個人信息保護法》與《檔案法》都以保護和利用的平衡為價值理念。當檔案個人信息隨檔案載體對外開放利用時，無論是以《個人信息保護法》這一個人信息專門立法為規(guī)范依據(jù)，還是跟隨檔案載體適用《檔案法》的相關(guān)內(nèi)容，都需要遵循保護和利用的平衡這一基本的價值理念。

2.2 法律主體的統(tǒng)一?；趥€人信息保護與利用平衡的理念，形成了兩方法律關(guān)系主體：以保護個人信息權(quán)益為主的個人信息主體和以利用個人信息資源為主的個人信息處理者。個人信息之所以能夠從數(shù)據(jù)資源中獨立，其核心在于能夠識別特定個人。因此，個人信息主體始終是個人信息處理活動中不可或缺的一方主體。

個人信息在社會與市場中流動，有賴于相應(yīng)主體的推動，根據(jù)洛克所提出的勞動創(chuàng)造財產(chǎn)權(quán)理論，[11]由于在處理個人信息中的勞動付出，個人信息處理者在個人信息之上也有了利益訴求。然而個人信息處理并非僅是平等法律主體之間的意思自治內(nèi)容，而是需要借助公權(quán)力量來形成良好的個人信息處理秩序，保護個人信息主體的合法權(quán)益，規(guī)范個人信息處理者的處理行為。因此，個人信息處理活動中又出現(xiàn)了代表公共利益的公權(quán)力主體，即履行個人信息保護職責的部門，并且最終在個人信息處理活動中形成了三方主體共存的利益格局。[12]

在檔案工作中，圍繞檔案活動也產(chǎn)生了多方法律主體。首先是負責檔案管理、開放與利用的檔案機構(gòu)，以各級檔案館為主。其次是主管檔案工作的檔案主管部門，分為國家和縣級以上地方兩個級別，是檔案工作中公權(quán)力的象征。最后是檔案用戶，其是指當檔案進行開放時，具有利用需求的組織與個人。當檔案工作與個人信息保護融為一體而形成個人信息保護場景時，檔案中的法律主體與個人信息中的法律主體需要統(tǒng)一為檔案個人信息法律主體。

具體而言：第一，能夠從檔案個人信息中識別身份的是檔案個人信息主體并享有人格性權(quán)益。第二，檔案用戶有權(quán)申請利用檔案個人信息，檔案機構(gòu)和個人所處的信息處理階段不同。第三，個人信息處理中的公權(quán)力主體為檔案主管部門，其屬于履行個人信息保護的行政機關(guān)，不同于前述法律主體之間的橫向關(guān)系而是縱向管理關(guān)系。

2.3 權(quán)責內(nèi)容的明確。從新《檔案法》中的個人信息條款與《個人信息保護法》中的檔案管理條款中可以看出，二者實則都將檔案個人信息保護的規(guī)范依據(jù)指引向?qū)Ψ?，原因在于檔案個人信息兼有個人信息的領(lǐng)域?qū)傩院蜋n案工作的場景特征，僅憑某一部法律難以實現(xiàn)對檔案個人信息的全面保護。因此，在完成對法律主體的統(tǒng)一后，需要以新《檔案法》和個人信息保護立法為依據(jù)，并使二者互為補充，來明確保護中不同法律主體的權(quán)責內(nèi)容。

首先，檔案個人信息中的個人信息主體并未在新《檔案法》中得到規(guī)定，因此其在檔案個人信息處理活動中的權(quán)利以《個人信息保護法》為依據(jù)，包括知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)、更正權(quán)、刪除權(quán)、可攜權(quán)等權(quán)利，但鑒于檔案工作的公益屬性和個人信息的類型差異，檔案場景中部分權(quán)利的享有與行使應(yīng)予限制。

其次，新《檔案法》為負有檔案管理職責的檔案機構(gòu)設(shè)置了檔案管理與開放的具體規(guī)則，檔案機構(gòu)應(yīng)當遵守。當涉及檔案個人信息時，《個人信息保護法》所確立的個人信息處理者義務(wù)，如對個人信息的合法處理要求、設(shè)置個人信息的保護人制度、建立個人信息處理的影響評估制度等，出于保護檔案個人信息的目的，檔案機構(gòu)也應(yīng)當按要求履行。

再次，檔案用戶根據(jù)新《檔案法》規(guī)定享有利用檔案及其中個人信息的權(quán)利，能夠依法進行申請利用與投訴檔案機構(gòu)。與此同時，《個人信息保護法》中告知同意、合理處理、目的限制等規(guī)則，檔案用戶在利用檔案個人信息時也要遵守。

最后，既主管檔案工作，又肩負檔案個人信息保護職責的檔案主管部門，能夠根據(jù)新《檔案法》和《個人信息保護法》的規(guī)定將對檔案的監(jiān)督檢查細化到檔案個人信息層面，并且由于《個人信息保護法》的法律責任嚴于新《檔案法》，檔案主管部門對檔案個人信息中違法行為的行政處罰可以根據(jù)情形和危害的不同而進行選擇適用，但需要遵循行政法治中的比例原則。

3 檔案個人信息保護的規(guī)則適用

在完成對檔案個人信息保護的立法梳理，和實現(xiàn)新修訂《檔案法》與個人信息保護立法的規(guī)范協(xié)同后，需要在法秩序統(tǒng)一原理上尋求檔案個人信息保護的規(guī)則適用。對此，本文借助領(lǐng)域理論和場景理論，以檔案個人信息的客觀分類和檔案工作的場景特征為基礎(chǔ)，形成檔案個人信息保護的適用規(guī)則。

3.1 區(qū)分檔案個人信息類型形成一般適用規(guī)則。為檔案個人信息劃分類型的領(lǐng)域理論，意在以個人信息中私密性和社會性程序差異來將個人信息劃歸不同領(lǐng)域，并予以分類保護。[13]我國個人信息保護規(guī)范中對個人信息的分類也體現(xiàn)了這一思想。

根據(jù)《民法典》的規(guī)定，檔案個人信息可區(qū)分為私密個人信息和一般個人信息，前者同時屬于個人隱私范疇，需要強化保護。而以《個人信息保護法》為依據(jù)，檔案個人信息可區(qū)分為敏感個人信息和非敏感個人信息，敏感個人信息需要適用更為嚴格的保護規(guī)則。兩種分類標準中的私密個人信息和敏感個人信息存在保護范圍、保護重點和保護內(nèi)容等方面的諸多不同，[14]因此需要立足于領(lǐng)域理論并通過解釋進行銜接。

首先，檔案中私密個人信息屬于個人隱私，需要以《民法典》中隱私權(quán)內(nèi)容為適用規(guī)則，采取賦權(quán)進路予以最高規(guī)格的保護。隱私是個人信息主體的最為核心的人格利益，個人對此享有消極抵抗權(quán)能，即能夠要求個人信息處理者不予侵犯和負有保護職責的部門進行保護。而作為檔案個人信息處理者的檔案機構(gòu)應(yīng)當嚴格保護檔案中的私密個人信息，對其開放利用需要提前進行匿名化和去隱私化處理。

其次，檔案中的敏感個人信息由《個人信息保護法》按照侵犯人格尊嚴或人身、財產(chǎn)安全的抽象標準，和生物識別、宗教信仰、特定身份等具體類型來進行劃定，其范圍相較個人隱私而言更為寬廣，并與個人隱私形成交叉重合關(guān)系。由于隱私權(quán)保護要求更為苛刻，因此重合部分適用隱私權(quán)保護規(guī)則，而除此之外的敏感個人信息的處理規(guī)則意在塑造對檔案個人信息的合法處理，目的在于規(guī)范檔案個人信息處理活動。

最后，檔案中的一般個人信息不具有私密性，但仍能夠識別出個人信息主體，因此需要根據(jù)《個人信息保護法》采取行為規(guī)制模式予以一般標準的保護。

3.2 根據(jù)檔案工作場景特征形成特殊適用規(guī)則。通過對檔案個人信息的類型區(qū)分，可以塑造檔案個人信息保護規(guī)則適用的基礎(chǔ)，但需要再結(jié)合場景理論，形成檔案工作場景中檔案個人信息保護的特殊適用規(guī)則。

場景理論認為對個人信息的保護標準不應(yīng)當是僵化與絕對的，而是要放置在具體場景中，考慮場景中的特殊要素來形成不同的適用規(guī)則，以實現(xiàn)對個人信息保護的實質(zhì)化。

檔案工作場景的特殊性在于：一是檔案工作的公益屬性，檔案工作具有歷史記錄的基礎(chǔ)功能和科學管理、生產(chǎn)建設(shè)與文化建設(shè)等其他功能，承載著公共利益，因而檔案個人信息的保護以社會利益而非個人利益為本位;二是檔案信息的開放來源，檔案可以通過接收、征集和購買等多渠道獲取，而檔案個人信息一旦屬于已公開個人信息，就成為消解個人信息私密性的原因;三是檔案開放的時間限制，檔案向社會開放一般具有時限要求，新修訂《檔案法》雖然大大縮短了這一時限，但仍有需要保存二十五年的一般標準。時間同樣是個人信息生命周期中的一個關(guān)鍵要素與評價維度，檔案個人信息的自身屬性和保護要求都可能隨著檔案開放時限而產(chǎn)生變化。

根據(jù)上述檔案工作中的場景特征，檔案個人信息保護中也將產(chǎn)生特殊的適用規(guī)則。

首先，檔案工作具有公共利益屬性，而《個人信息保護法》規(guī)定公共利益屬于無需個人同意而處理個人信息的法定事由，因此，檔案個人信息場景中個人的知情同意、目的限制等控制權(quán)能將受到限制。

其次，檔案個人信息的社會屬性遠遠大于私人屬性而致使后者可以忽略不計，此時檔案個人信息融入檔案載體，對其適用檔案的保護規(guī)則。

再次，當檔案個人信息屬于已公開個人信息，檔案機構(gòu)可以無需獲得個人同意而對其進行合理處理，但檔案個人信息開放利用屬于再次處理，仍需符合一般規(guī)則。

最后，在檔案時效性的基礎(chǔ)上，本歸類為敏感個人信息類型的檔案個人信息，如不滿十四周歲的未成年人信息，則可以重新界定為一般個人信息，而適用一般保護規(guī)則。

*本文系國家社會科學基金項目“個人信息權(quán)利行使的平衡機制研究”（項目編號：19BFX127）、廣東省檔案局檔案科研項目“廣東檔案法治研究——以《廣東省檔案條例》為中心”的階段性成果。

注釋與參考文獻：

[1]新修訂的《中華人民共和國檔案法》解讀[J].中國檔案，2020（07）：24-25.

[2]張新寶.《民法總則》個人信息保護條文研究[J].中外法學，2019（01）：54-75.

[3]習近平.充分認識頒布實施民法典重大意義 依法更好保障人民合法權(quán)益[J].求是，2020（12）：4-9.

[4]孫平.系統(tǒng)構(gòu)筑個人信息保護立法的基本權(quán)利模式[J].法學，2016（04）：67-80.

[5]程關(guān)松.個人信息保護的中國權(quán)利話語[J].法學家，2019（05）：17-30+191-192.

[6]龍衛(wèi)球.《個人信息保護法》的基本法定位與保護功能——基于新法體系形成及其展開的分析[J].現(xiàn)代法學，2021（05）：84-104.

[7]王利明，丁曉東.論《個人信息保護法》的亮點?特色與適用[J].法學家，2021（06）：1-16+191.

[8]呂炳斌.個人信息權(quán)作為民事權(quán)利之證成：以知識產(chǎn)權(quán)為參照[J].中國法學，2019（04）：44-65.

[9]王錫鋅.個人信息國家保護義務(wù)及展開[J].中國法學，2021（01）：145-166.

[10]申衛(wèi)星.論個人信息保護與利用的平衡[J].中國法律評論，2021（05）：28-36.

[11]約翰·洛克.政府論[M].楊思派，譯.北京：中國社會科學出版社，2009：163.

[12]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（03）：38-59.

[13]歐陽本祺.侵犯公民個人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利[J].比較法研究，2021（03）：55-68.

[14]王利明.敏感個人信息保護的基本問題——以《民法典》和《個人信息保護法》的解釋為背景[J].當代法學，2022（01）：3-14.