读者个人信息再利用的立法规制研究
——以应对网络环境下图书馆的价值困境为视角
2014-02-12李仪张娟
●李仪,张娟
(1.重庆三峡学院a.政治与法律学院;b.图书馆,重庆404100;2.西南政法大学民商法学院,重庆404100)
读者个人信息再利用的立法规制研究
——以应对网络环境下图书馆的价值困境为视角
●李仪1a,2,张娟1b
(1.重庆三峡学院a.政治与法律学院;b.图书馆,重庆404100;2.西南政法大学民商法学院,重庆404100)
读者个人信息;个人信息再利用;读者尊严与自由;信息共享;统分结合立法规制
网络环境下,读者个人信息的再利用行为引发了图书馆核心价值——信息共享与读者人格关怀之间的冲突。本文立足我国图书馆管理机制、图书馆信息资源建设模式与互联网治理方式等国情,运用价值分析法并吸取欧美立法精髓,探索再利用行为立法规制的路径从而应对前述困境。
1 解析困境:信息共享与读者人格关怀之价值冲突
1.1 诠释读者个人信息及其再利用
以信息化为本质特征的网络时代下,图书馆读者的人格正越来越多地体现为表征其自身特性的数字与符号——个人信息。根据1995年欧盟个人数据保护指令(以下简称欧盟指令)第2条,“个人信息”通常包括家庭住址、个人网站的网址与域名、ⅠP地址、网络用户名与密码等。特别是读者个人信息还涵盖了反映其接受图书馆服务的信息,如借阅卡上的信息、访问图书馆的记录(包括访问时间、次数与结果等)以及阅读偏好等。
从信息管理角度而言,读者个人信息能够提供相关数据,进而帮助图书馆等机构优化对读者等主体的服务,由此该信息具有显著社会效用从而应作为重要资源加以优化配置。国际图书馆协会联合会ⅠFLA于2003年确立的图书馆核心价值当中,即包含促进图书信息(包括读者个人信息)资源被社会共享;中国图书馆学会于2008年发布的图书馆服务宣言中也阐述了这一点。[1]而实践中,图书馆在对读者个人信息加以初始收集、整理与进一步挖掘后,也时常超出收集目的将该信息传输给其他公共与私人机构共享,从而最大程度地发挥该信息效用。根据欧盟于2003年11月通过的《公共部门信息再利用指令》,前述整个过程即为个人信息的“再利用”。
1.2 再利用引发的价值困境
根据澳大利亚图书和信息协会(ALⅠA)的阐释,对读者提供人性化服务并尊重其人格与个性同样是图书馆的核心价值,ⅠFLA以及加拿大图书协会(CLA)表明了相同立场;中国图书馆学会在前述宣言中,也提出图书馆服务应彰显对读者的“人文关怀”。[2]图书馆确保读者个人信息免遭不当收集、传输与删改,以此维护读者尊严与自由等人格价值,正是网络时代对读者人文关怀的主要体现。欧盟指令引言即要求成员国在通过立法保护个人信息时,以实现个人信息主体的基本尊严与自由为宗旨。而从德国2003年联邦数据保护法第一节观之,该法也是依据基本法第1、2条“个人之尊严”与“个人之自由”的条款保护个人信息的;西班牙1999年个人数据保护基本法第1条以及我国台湾地区1995年“电脑处理个人资料保护法”第1条也表明了相同立场。
在读者个人信息保护与再利用方面,图书馆核心价值的两项重要内容——尊重读者人格与实现信息共享正好呈现出针锋相对的态势:根据前者的要求,图书馆等机构应保持个人信息的完整与隐秘状态从而维护读者的人格尊严与自由;而为实现后者,该信息需要通过收集与传输等环节被社会再利用。在网络因素的影响下,这一价值冲突更是引发了读者与图书馆等再利用者之间的利益对峙:一方面在人格尊严的标尺内,读者有权得到社会客观公正的评价与起码的尊重。但在网络环境下,图书馆等机构能通过计算机、通信设备以及软件等实现联网,由此它们得以消除在传统空间里再利用个人信息所面临的诸多障碍(譬如空间距离遥远、传输程序繁冗),传输效率的提高又使得个人信息失真的几率剧增。由此个人信息的完整性与真实性降低,进而损及社会对读者评价的客观性与公正性;另一方面在人格自由的尺度下,读者应得以自主支配其与生俱来的资格并排除他人不当干涉。但在数字环境下,图书馆出于向读者提供个性化服务等目的,时常通过系统自动完成对信息的收集、加工与传输(常见方式包括利用cookies技术跟踪读者行为、对日志文件进行深层次挖掘等)。不同于直接向读者收集个人信息的显式获取的是,这是一种隐式获取的手段。图书馆等机构在采取这种手段再利用个人信息时,一般不经读者同意甚至不向其告知,从而侵害了读者对其自身个人信息的自由支配利益,这反过来又阻碍了个人信息再利用活动的开展。中国互联网信息中心(CNNⅠC)于2013年7月发布的第32次互联网络发展状况统计报告显示,多数网民在发现个人信息被一些机构(包括图书馆在内)任意收集与传输后,不再愿意将其个人信息与他们分享。
2 取精欧美:应对困境之立法经验
数字环境下,图书馆是由有效的信息管理与有序的信息交流等要素构成的整体。此前欧美主要国家立法者为应对前述困境,已通过立法方式促使图书馆等机构优化读者个人信息的管理工作,进而有序地交流与再利用信息。对于正着手填补该领域立法空白的我国而言,以下欧美立法经验不无借鉴意义。
2.1 优先关注读者的人格价值
按照自然法学的价值排序规则,作为读者人之为人基础的人格尊严与自由属于目的价值,信息共享则作为工具价值服务于目的价值。当目的与工具价值冲突,前者应优先得到满足。[3]无论在美国还是欧盟,立法者也都是在优先实现读者人格价值后再促进个人信息再利用的。美国图书馆服务与技术法(ASTA)开宗明义地规定,公共图书馆与学校图书馆在共享读者个人信息时,应确保读者人格尊严与自由不受侵害。而根据联邦家庭教育权利与个人信息法(FERPA),公立大学图书馆也应当在尊重读者人格的前提下收集与传输个人信息;与此类似,欧盟指令第17条规定,所有机构在处理个人信息时,均有义务采取适当技术措施防止个人信息被意外遗失、变更或被毁灭。指令第7、12与14条进一步规定,主体有权知悉其个人信息被他人再利用的相关情况,并一般得以反对他人擅自实施上述行为。
前述规定对读者给予了终极关怀,从而能够有效应对网络环境下图书馆发展所面临的特殊难题。理由是,随着网络搜索引擎逐渐得到读者的广泛应用,图书馆在传播知识方面的中心地位正面临挑战。为了维持甚至加强这一地位,图书馆应当将维护读者人格放在优先位置,从而提高读者的满意度。而根据英国学者泰勒阐发的信息需求理论,读者的需求可分为显性的与隐性的两种,而确保人格尊严与自由不受侵害即属于后者。[4]不同于显性需求的是,隐性需求容易被图书管理员忽略。为防止管理疏漏导致读者满意度下降,我国极有必要通过立法来强制促使图书馆等机构采取特定措施维护读者的人格利益。
2.2 分层次实现读者的尊严与自由
根据心理学家亚伯拉罕·马斯洛阐发的人的需求层次理论,主体尊严的满足较之于自由的实现更具基础性与重要性,联合国《公民权利和政治权利国际公约》第9、10条也承认这一点。[5]而在图书馆服务数字化与个性化的背景下,读者人格尊严与自由价值之间的层次性差异更加明显。根据一份关于近年来国内图书馆保护读者隐私状况的调查报告,我国半数以上的读者极度反感图书馆篡改其个人信息并损害尊严,却对于图书馆擅自收集与传输个人信息进而限制人格自由的作法比较宽容。[6]由此,正如欧洲法院在2004年对Lindqvist案做出的判决中所阐述的:在网络时代主体对个人信息的需求已日趋多样化与层次化,而这些需求应当得到不同程度的承认与保护(参见Lindqvist, Case C-101/01,ECJ,[2004]1 C.M.L.R.20.)。
由此可见欧美立法者多以读者尊严与自由为起点,衍生出相应层级的规则以规制再利用者的行为,从而分层次地实现前述人格价值。譬如欧盟指令第17条所以要求再利用者防止个人信息被意外遗失、变更或毁灭,即是旨在通过维护个人信息的完整性与真实性来实现读者的尊严;而第7、12与14条则重在维护读者对其信息自主支配的地位,进而保障其自由。与此类似,美国1974年隐私法案§552a.规定,传输个人信息的公共部门应通过合理方式确保信息的完整性与可靠性;而根据联邦信息自由法案b(6),公共机关取得主体授权的情况下,方能向他方传输个人信息,同时该机关有义务对信息采取保密措施。显然上述两条分别旨在实现读者的尊严与自由。
2.3 统合与区分规制的分野
参与读者个人信息再利用的既包括公共服务与管理者(主要是图书馆与档案管理机构),也涵盖了私人机构(特别是从事电子商务等营利活动的商事机构),欧盟及其多数成员国通过立法手段对他们进行同等约束。欧盟指令第一章第2条(d)即规定,受该指令约束的包括所有公私机构。作为成员国,法国在2004年数据处理与个人自由法中规定,所有参与个人信息收集与传输的机构均应对个人信息安全履行相应义务;瑞典1998年个人数据法第9条也做了相同规定;英国则一方面通过公共图书馆法与不列颠图书馆法约束公共图书馆,另一方面又通过1998年数据保护法规制所有机构(包括私人机构)再利用个人信息的行为。
与此不同的是,美国立法着重规制公共机构的行为。在联邦法层面,ASTA第一部分即阐明,从事图书馆信息开发与共享的公共机构应遵循该法;FERPA、隐私法案、信息自由法案等也作了类似规定。该国多数州也注重对公共机关再利用读者个人信息的行为加以立法规制,譬如在亚利桑那州,公共图书馆以及州立大学图书馆除遵循前述联邦规范外,还受该州制定的法律约束;又如加利福尼亚州图书馆法的规制对象是由当地政府与公立大学出资设立的图书馆。相比较而言,立法者对私人机构的行为较为放任,前述联邦和州层面的法律几乎都不适用于这些机构,它们的行为主要由其所在行业协会所制定的自律规范来约束。
3 统分结合立法规制:本国语境下的困境对策
3.1 统:对读者人格的终极关怀
在个人信息再利用实践中,读者人格价值所面临的威胁同时来自公共与私人机构,由此二者的行为需要一并得到规制。理由是随着网络技术的引入,一体化的图书馆信息资源建设模式逐渐在我国推行。照此模式私人机构在接收读者个人信息后,还时常对该信息进行深层次加工与挖掘,并在必要时向图书馆反馈(feedback)该信息。[7]由此私人机构的行为也在很大程度上影响着读者人格价值的实现。而在我国的特殊语境下,正式立法较之于行业自律能更有效地规制前述机构的再利用行为。因为一方面,国内图书馆(尤其是高校图书馆)目前仍多采取垂直分段的管理方式,其中相当数量的又具有很强的专业性与独立性,由此多数图书馆因与外界联系较少而不易被监管,这决定了其行为很难通过图书馆学会等行业组织来有效制约;另一方面,我国主要是通过立法等政府职权行为管制互联网活动(包括个人信息的网络再利用)的,由此相对于行业自律而言,立法规制更符合我国实情。而在实践操作中,法律的权威性、强制性与普遍适用性等优势也是自律规范等非正式制度无法企及的,毕竟前者能够为图书馆与经营者等再利用者建立稳定的预期从而更加有效地规制其行为。由此国内读者也更期待国家通过正式立法保护其隐私,这体现在前一部分提到的关于国内图书馆隐私状况的调查报告之中。
前文已阐明,读者尊严与自由等人格价值之间存在着层次差异。由此我国立法者宜借鉴美欧经验,以两种价值为起点衍生出相应层级的规则来约束所有再利用者的行为,从而体现出这一差异。为确保个人信息的完整性与真实性从而维护读者的人格尊严,再利用者应遵循以下规则:第一,采取技术措施以确保个人信息被安全存储与传输,防止该信息被不当删改,进而维护读者所受社会评价的公正性;第二,保障读者知悉个人信息再利用的相关情况(譬如再利用者身份、利用方式以及信息的现状),以便读者对不当删改信息的行为提出异议。譬如图书馆的信息管理员可将读者个人信息用密钥加密,同时向读者发送该密钥以使其知悉前述情况。以上内容在经济合作与发展组织(OECD)《关于隐私保护与个人资料跨国流通的指针》第8条(Ⅰnformation Quality)、第11条(Security Safeguard)以及第13条(Subject Participation)等规范中得到了体现。根据德国宪法法院通过1989年日记证据案判决阐发的“权利核心领域”理论,每一项权利当中体现人格尊严的部分属于该项权利的本质内容,我国主流学者进而依据该理论,将人格尊严视为主体首要的伦理价值。[8]由此,前述体现读者尊严价值的规则不得在任何情况下以任何理由被限制。
在数字化环境下,维护读者人格自由的关键在于使其能决定自身个人信息是否被传播。由此读者有权决定其个人信息是否以及如何被收集与传输,这是人格自由在网络社会中的重要体现。为满足读者的这一价值,所有个人信息再利用者都应遵循以下规则:第一,征得读者同意后方能初始收集该信息,否则无效,同时采用访问控制等技术以防止其他机构擅自接触信息,这在美国1996年图书馆服务与技术法中已有规定;第二,除非读者同意或者符合法定条件,不得超出收集目的将其个人信息传输给他人再利用(譬如图书馆与档案机构等传输给商事机构)。这在欧盟委员会数据保护工作组于2003年通过的《关于公共机构信息的再利用和个人数据保护的7/2003意见书》以及OECD指针第9、10条中得到了体现。
3.2 分:对信息共享的具体兼顾
根据价值排序与利益衡量原理,立法者需要在满足个人信息再利用需求的必要限度内,对体现读者人格自由的规则予以适当限制。理由是,读者个人信息的再利用体现着社会获取与分配信息资源的诉求,从而该行为维系着网络时代的信息公平。也正因为此,ⅠFLA、CLA以及中国图书馆学会等中外主流组织多将信息被社会共享作为图书馆的核心价值。但如果前述规则(取得读者授权、限定再利用目的)过于绝对地被适用,则难免会阻碍图书馆与其他机构共享读者个人信息,进而产生危害信息公平的数字鸿沟问题。同时相对于尊严而言,自由在读者的人格价值体系中处于较低层次。由此根据德国信息学家京特·雅克布斯阐发的信息契约理论与美国宪法学家ThomasⅠ·Emerson提出的信息近用权学说,主体自由支配自身信息人格的权利应适当受限,从而满足社会发展的需要。[9]
遵循分配正义的价值尺度,立法者应具体考察不同性质的再利用者在目的、角色以及力量等方面的差异,进而做出区分式的制度安排。国内大多数图书馆与档案管理部门属于公共服务与管理机构,他们一般出于公共目的收集与传输个人信息;同时至少从目前来看,他们多按照垂直式的行政部门管理模式运行。由此这些机构在谈判力量以及资源掌握能力等方面相对于读者而言处于绝对优势地位,加之他们在再利用活动中往往扮演初始收集个人信息的角色,由此对读者人格价值造成的潜在威胁要远远大于私人机构。为防止公共机构滥用其优势地位侵害读者人格,立法者有必要明确界定其得以径自再利用而无须经读者授权的情形范围,超出此范围的行为无效。参照美国加利福尼亚州图书馆法第二部分、欧盟指令第7条、英国1998年数据保护法第四部分等规范,这些情形可包括:基于公共目的(譬如优化数字化图书馆服务、促进档案馆建设、从事科学研究以及社会调研工作)、维护读者及他人重大人身或财产利益等。
相对于公共机构,私人机构参与再利用活动主要是为满足私益(譬如分析读者的阅读和消费偏好进而掌握商情拓宽销路),同时这类机构的性质决定了它们在资源掌握能力以及谈判力量等方面的相对优势不如公共机构明显,加之私人机构在再利用中主要扮演接收与反馈个人信息的角色,从而对读者人格价值造成的影响相对较小。[10]故而根据私权可处分与意思自治原理,只要私人机构在事前或事后与读者达成了相关协议,或者该机构欲满足的利益明显大于读者的人格自由利益时,即得以径自再利用个人信息,而无须取得读者的授权。但他们只有向图书馆等公共机构提交与以上事由相关的证据,才能从这些机构接收个人信息。
[1]王东艳,周威.图书馆核心价值研究综述[J].情报资料工作,2009(6):27-28.
[2]梁灿兴.图书馆核心价值观的性质与结构[J].图书与情报,2009(4):3-5.
[3](美)James Q Whiteman.The two western culture of privacy:dignity versusliberty[J].Connecticut:The Yale Law Review,2004(1161):43-46.
[4]鲁黎明.图书馆服务理论与实践[M].北京:北京图书馆出版社,2005:179.
[5](美)亚伯拉罕·马斯洛.动机与人格[M].许金声,等译,北京:中国人民大学出版社,2007:28-29.
[6]易斌.我国图书馆读者隐私保护现状调查与分析[J].图书馆,2012(6):69-70.
[7]张兵.现代图书馆知识管理[M].北京:知识产权出版社,2009:57.
[8]杨立新.人身权法论[M].北京:人民法院出版社,2006:362.
[9](德)京特·雅科布斯.规范·人个体·社会[M].北京:法律出版社,2001:111.
[10](美)ThomasⅠEmerson.The System of Freedom of Expression[M].New York:Random HouseⅠnc, 1970.
G252.8;D203
A
1005-8214(2014)07-0018-04
李仪(1980-),男,副教授,西南政法大学博士后流动站研究人员,博士,主要从事信息时代读者权益保障研究;张娟(1986-),女,助理馆员,主要从事图书馆学研究。
2013-08-04
[责任编辑]李金瓯
本文系国家社会科学基金西部项目课题“网络环境下个人信息安全危机与法律规制对策研究”(项目编号:12XFX021),2014年重庆市教育委员会人文社会科学研究重点项目“网络环境下个人信息保护困境的法律应对”(项目编号:14SKL01)的研究成果。