论数字图书馆读者个人信息权民事救济制度的完善

2018-03-30周清华

长春师范大学学报 2018年4期

周清华

(泉州师范学院图书馆，福建泉州 362000)

1 问题的提出——数字图书馆读者信息权的侵权类型

1.1 数字图书馆读者信息权的概念

“个人信息是指那些能够直接或者间接推断出特定自然人身份而又与公共利益没有直接关系的私有信息。”[1]具体到数字图书馆的读者信息，包括读者的账号、学历、借阅或检索记录、阅读习惯、阅读偏好、研究方向、政治倾向、宗教认同、健康状况等。数字图书馆读者信息权是指数字图书馆读者有对上述个人信息进行支配、控制并排除他人妨害、获得法律救济与保护的权利[2]。

1.2 数字图书馆读者信息权的侵权类型

随着互联网在生活、经济各个方面的普及，以互联网为载体的数字图书馆在各高校、城市图书馆得到广泛使用。数字图书馆打破了时间、空间上的壁垒，为读者查阅提供了极大的方便，但网络的即时性、可记录性、开放性、传播的高效性、不可控性，也给读者信息权的保护造成了前所未有的冲击。数字图书馆环境下存在以下几种侵权类型[3]：一是不当收集。读者使用数字图书馆进行在线阅读、跨库检索等过程中，图书馆员可以通过Cookies跟踪软件、网址服务器中的“日志程序”轻易地读取读者的个人信息，而这种信息得取得往往是隐性的，读者甚至没有意识到其信息正在被获取，遑论信息的取得是否经读者同意；二是不当利用，超出原有收集信息的目的，在未经授权的领域上使用读者信息；三是不当传播。与传统隐私权相比，网络环境下个人信息权不仅具有人格属性[4]，还具有财产属性。通过大数据分析，读者个人信息能够带来巨大的经济效益，这为未经读者同意传播读者个人信息或者通过技术入侵图书馆数据库侵犯读者个人信息权的行为人提供了犯罪动机；四是机械的处理、传播过程的遗漏篡改、信息更新的滞后导致读者个人信息失真、不完整、过时的可能性提高，进而导致读者所受的社会评价失去客观性[5]。

2 价值的博弈——资源分享与读者的自由、尊严价值比较

一方面，未经读者同意，或超出原有目的、约定的范围收集、利用、传播读者个人信息，侵犯了读者对个人信息的支配权，进而侵犯了读者的人格自由与人格尊严，因此尊重读者的人格与个性并对其提供人性化服务是图书馆的核心价值之一[6]。另一方面，图书馆通过收集、分析读者的个人信息，可以掌握读者的阅读习惯、阅读需求，为读者提供个性化的服务；通过对读者个人信息的大数据分析，与其他图书馆、档案馆等公共组织甚至商业机构共享、多层利用，可以最大限度地实现读者个人信息的社会公共利益和商业投资价值[7]。2003年,国际图书馆协会联合会(IFLA)确立的图书馆核心价值也包括促进图书馆资源，包括读者个人信息被社会共享[8]。当图书馆信息共享的公共利益、商业投资利益与读者个人信息权承载的人格自由、人格尊严产生冲突时，如何权衡？

2.1 图书馆信息共享的公共利益与自由价值

有学者认为，读者的自由、尊严人格利益属于目的价值，信息共享作为工具价值应当服务于读者的自由、尊严这一目的价值，当二者产生冲突时，应当优先满足读者的自由、尊严价值[5]。此论断认为图书馆信息、收集、共享应绝对让位于读者的人格利益，但其忽略了信息共享所涉社会需要和公共利益。自由应当局限在合乎公共道德准则和社会需要的范围内，法律保护的读者个人信息的范围应当限于与公共利益无关的部分，即对读者个人信息权的保护并非没有限制。

2.2 图书馆信息共享的商业投资利益与自由价值

读者个人信息具有财产属性。获得读者的QQ、邮箱等联系方式，图书销售商可以向其发送图书销售广告；挖掘、分析读者的阅读兴趣、需求，出版社、图书销售商可以作出最优的出版、销售规划，实现最大的商业利益。在上述情况下，读者个人信息具备了商业价值，成为读者的一种无形财产。读者与商业投资者是一对平等的主体，读者对其个人信息具有天然的支配权，读者的人格自由应优于商业投资利益，故出于商业投资目的收集、利用、传播读者个人信息应当经读者同意，并且读者有权要求对方支付对价。读者作为个人信息的支配者,甚至可以主动通过出售个人信息并获得补偿，促进信息市场更加公平、合理地运作[9]。

2.3 图书馆信息共享的公共利益、商业投资利益与尊严价值

尊严是人格权中的核心权利，读者的尊严价值要优于图书馆信息共享所带来的公共利益、商业投资利益。失真、滞后、不完整的个人信息影响社会对读者评价的客观性，进而损害读者的尊严。读者有权要求图书馆及后续传播利用者删除、修改失真信息，更新滞后信息,补充不完整信息，以维护自己的尊严。

3 现状分析——我国数字图书馆读者信息权现有法律规定

对读者个人信息权的保护有三种途径，即行业自律、读者通过技术自我保护、法律保护。本文主要探讨的是对数字图书馆读者个人信息权的法律保护。

3.1 我国对数字图书馆读者信息权的法律保护的发展

我国涉及数字图书馆读者个人信息权保护的法律法规有如下几种情况：《中国公用计算机互联网国际联网管理办法》《计算机信息网络国际联网安全保护管理办法》《全国人民代表大会常务委员会关于维护互联网安全的决定》等有零星条文对个人信息保护作出概括性规定；《侵权责任法》第二条所列民事权益范围包括隐私权、名誉权等；2009年《刑法修正案(七))》第七条增补侵犯公民个人信息安全,第九条增补非法获取计算机信息系统数据、非法控制计算机信息系统罪的犯罪，首次将严重侵犯公民个人信息的行为入罪；2003年初，国务院信息办委托中国社会科学院法学研究所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿的任务，遗憾的是这部多方关注的专门立法至今无下文。2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称“《决定》”)，图书馆读者个人信息亦在《决定》保护的范围内。《决定》开宗明义地确立了个人信息收集、使用“合法、正当、必要”的原则；规定“企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供”，维护了读者的人格自由和人格尊严；明确侵犯公民个人信息的刑法、行政法规制，并赋予被侵权人要求删除、补正或采取其他必要措施及提起民事诉讼的权利。《决定》系全国人大常委会通过，法律位阶高，权威性高。《决定》短短11个条文，几乎涵盖了网络环境下公民个人信息保护的方方面面，是对我国公民个人信息保护的重大突破。2016年10月31日，全国人大常委会听取了《中华人民共和国民法总则(草案)》修改情况的汇报，草案二审稿建议进一步强化对个人信息的保护[10]。2016年11月7日,全国人大常委会通过《中华人民共和国网络安全法》，明确加强对个人信息的保护，进一步完善个人保护规则。

3.2 我国对数字图书馆读者信息权的法律保护的缺憾

3.2.1 重公权抑制轻民事救济

从现有规定不难看出，对个人信息的保护大部分体现为行政监管、刑事处罚的公权抑制模式，对被侵权人赋予的民事救济的规定相当简单、粗略。个人信息权私权属性强，在网络环境下个人信息侵权现象日趋严重的情况下，光靠行政监管、刑事处罚恐怕力有不逮，只有赋予被侵权人民事救济途径才能从根本上调动个人信息保护的主动性、积极性。

3.2.2 忽视读者个人信息的财产属性

如前所述，读者个人信息具有财产属性。读者个人信息被不当收集、利用和传播后，即使未对读者的安宁生活及尊严造成影响，商业投资者也可能从中获取商业利益。正如查士丁尼所言，“法律的基本原则是：为人诚实，不损害他人，给予每个人他应得的部分。”商业投资者从读者个人信息中获益，就应当在合理范围内分享其获得的商业利益，而现有规定对此均未涉及。读者个人信息的财产属性还赋予读者主动将自己个人信息作为财产与图书馆、商业投资者进行交易,并以此换取对价的权利。

3.2.3 未兼顾信息共享的社会需要

“信息采集和信息交换的基础在于它们能够优化决策”[11]，对读者个人信息的收集、分析、挖掘有利于政府、公共图书馆等建立科学的公共服务政策，优化数字化图书馆服务,促进档案馆建设。若不考虑读者个人信息共享的社会需要，一味强调读者个人信息的保护，恐怕无益于信息资源的优化配置，甚至阻碍社会的进步和发展。如前所述，社会公共利益优于读者个人信息自由价值，因此，在保护图书馆读者个人信息权的规则设置中需兼顾信息共享的社会需要。若出于公共利益需要，收集必要的信息时可以不经读者同意，在公共利益范围内不限定再利用，而《决定》第二条的许可规定并未将公共利益的收集、使用排除在外。

4 制度的完善——读者个人信息权民事救济制度的构建

4.1 立法路径选择

对读者个人信息权的保护立法，有人建议采用专门立法的模式，制定专门的《图书馆法》。[12-13]从其他法域看，美国有专门的《图书馆服务与技术法》，欧盟则将读者个人信息权纳入《个人数据保护指令》的保护范围。在网络环境下，数字图书馆读者的个人信息权被侵犯只是个人信息权被侵犯的一种类型，鉴于图书馆的非营利性、公共性，侵犯图书馆读者个人信息权甚至不是个人信息权的主要侵权类型。立法应当考虑系统性，读者部分个人信息权益在隐私权、名誉权救济中能够体现，但读者个人信息权益中除隐私权、名誉权之外的其他权益受到侵害时，也应得到民事救济，而这部分权益在万众期待的《个人信息保护法》中可以体现，故应将读者个人信息权纳入《个人信息保护法》中，并在《个人信息保护法》对数字图书馆读者个人信息权保护的特殊之处作出规定。

4.2 明确读者个人信息权的内容

对读者个人信息权的保护立法，应明确个人信息权的内容、责任主体、侵权责任。个人信息权的内容包括：个人信息知情权，即读者有权知道自己的信息被何人收集、使用，被通过何种方式收集,在什么范围内如何使用；个人信息使用权，即读者有权决定自己的信息在何时、何地、多大范围内如何使用；个人信息控制权，即读者对未经授权或超出授权的收集、利用、传播的行为有请求救济的权利。对自己授权使用的个人信息有撤回的权利(若给被授权人)，对被篡改、遗漏、失真的信息，有权要求收集、使用、传播其个人信息的数字图书馆及其他机构进行修改、补充、删除，保证个人信息的完整、准确性，以维护自身的人格尊严。

4.3 明确读者个人信息侵权的责任主体、侵权责任

读者个人信息侵权的主体包括不当收集、利用、传播、篡改读者个人信息的图书馆、档案馆及其他企事业单位。侵权责任包括停止侵害、恢复名誉、消除影响、赔礼道歉、赔偿损失。读者的个人信息权被不当收集、利用、传播的，读者可以要求侵权人停止侵害、赔偿损失；损害其名誉的，可以要求侵权人恢复名誉、消除影响、赔礼道歉、赔偿损失；读者因其信息被不当收集、利用、传播而造成财产损失的，可以请求侵权人赔偿损失。鉴于读者个人信息的财产属性与商业秘密类似，例如因读者访问记录、研究方向等被泄露，导致他人得以做同类研究，由此造成的损失不止包括直接损失，还包括间接损失。读者个人信息被侵权的损失赔偿范围可以考虑包含间接损失，赔偿的数额可根据可期待利益损失或侵权者因侵权而获得的利益决定。

4.4 明确例外规定

在公共利益优于读者人格自由，读者人格自由优于商业投资利益，读者人格尊严优于公共利益、商业投资者利益的结论的基础上，可规定除下列情形外，图书馆不得收集、处理、利用、传播读者个人信息：(1)图书馆等基于公共利益或学术研究、统计目的，若需公开，则公开的方式应无法识别特定的人；(2)经读者同意，在授权范围内使用、传播；(3)读者已通过其他方式公开的个人信息；(4)通过合法途径取得的信息；(5)法律或者行政法规另有规定[14]。

[参考文献]

[1]刘德良.个人信息的财产权保护[J].法学研究,2007(3):80-91.

[2]张慧娟.网络环境下个人信息权的法律保护研究[J].法制博览,2016(5):4-6.

[3]谢一维.数字图书馆环境下的读者个人信息法律保护研究[J].图书馆,2010(5):14-16,19.

[4]彭礼堂,饶传平.网络隐私权的属性：从传统人格权到资讯自决权[J].法学评论,2006(1):57-62.

[5]李仪,张娟.网络环境下读者个人信息保护困境与立法应对——以实现读者人格价值为考量[J].图书馆论坛,2014(7):34-38.

[6]梁灿兴.图书馆核心价值观的性质与结构[J].图书与情报,2009(4):1-5.

[7]王东艳,周威.图书馆核心价值研究综述[J].情报资料工作,2009(6):27-31.

[8]鲁黎明.图书馆服务理论与实践[M].北京图书馆出版社,2005:179.

[9]雷宇飞.网络隐私保护模式探析[J].合作经济与科技,2002(6):119-121.

[10]全国人大常委会审议民法总则草案:不得非法提供、公开或者出售个人信息[EB/OL].(2016-11-01)[2017-11-21].http://legal.people.com.cn/n1/2016/1101/c42510-28823752.html.

[11]See Deborah Johnson. Computer Ethics Englewood Cliffs[Z].NJ:Prentice,Hall:62.