論數字圖書館讀者個人信息權民事救濟制度的完善

周清華

(泉州師范學院圖書館，福建泉州 362000)

1 問題的提出——數字圖書館讀者信息權的侵權類型

1.1 數字圖書館讀者信息權的概念

“個人信息是指那些能夠直接或者間接推斷出特定自然人身份而又與公共利益沒有直接關系的私有信息。”[1]具體到數字圖書館的讀者信息，包括讀者的賬號、學歷、借閱或檢索記錄、閱讀習慣、閱讀偏好、研究方向、政治傾向、宗教認同、健康狀況等。數字圖書館讀者信息權是指數字圖書館讀者有對上述個人信息進行支配、控制并排除他人妨害、獲得法律救濟與保護的權利[2]。

1.2 數字圖書館讀者信息權的侵權類型

隨著互聯網在生活、經濟各個方面的普及，以互聯網為載體的數字圖書館在各高校、城市圖書館得到廣泛使用。數字圖書館打破了時間、空間上的壁壘，為讀者查閱提供了極大的方便，但網絡的即時性、可記錄性、開放性、傳播的高效性、不可控性，也給讀者信息權的保護造成了前所未有的沖擊。數字圖書館環境下存在以下幾種侵權類型[3]：一是不當收集。讀者使用數字圖書館進行在線閱讀、跨庫檢索等過程中，圖書館員可以通過Cookies跟蹤軟件、網址服務器中的“日志程序”輕易地讀取讀者的個人信息，而這種信息得取得往往是隱性的，讀者甚至沒有意識到其信息正在被獲取，遑論信息的取得是否經讀者同意；二是不當利用，超出原有收集信息的目的，在未經授權的領域上使用讀者信息；三是不當傳播。與傳統隱私權相比，網絡環境下個人信息權不僅具有人格屬性[4]，還具有財產屬性。通過大數據分析，讀者個人信息能夠帶來巨大的經濟效益，這為未經讀者同意傳播讀者個人信息或者通過技術入侵圖書館數據庫侵犯讀者個人信息權的行為人提供了犯罪動機；四是機械的處理、傳播過程的遺漏篡改、信息更新的滯后導致讀者個人信息失真、不完整、過時的可能性提高，進而導致讀者所受的社會評價失去客觀性[5]。

2 價值的博弈——資源分享與讀者的自由、尊嚴價值比較

一方面，未經讀者同意，或超出原有目的、約定的范圍收集、利用、傳播讀者個人信息，侵犯了讀者對個人信息的支配權，進而侵犯了讀者的人格自由與人格尊嚴，因此尊重讀者的人格與個性并對其提供人性化服務是圖書館的核心價值之一[6]。另一方面，圖書館通過收集、分析讀者的個人信息，可以掌握讀者的閱讀習慣、閱讀需求，為讀者提供個性化的服務；通過對讀者個人信息的大數據分析，與其他圖書館、檔案館等公共組織甚至商業機構共享、多層利用，可以最大限度地實現讀者個人信息的社會公共利益和商業投資價值[7]。2003年,國際圖書館協會聯合會(IFLA)確立的圖書館核心價值也包括促進圖書館資源，包括讀者個人信息被社會共享[8]。當圖書館信息共享的公共利益、商業投資利益與讀者個人信息權承載的人格自由、人格尊嚴產生沖突時，如何權衡？

2.1 圖書館信息共享的公共利益與自由價值

有學者認為，讀者的自由、尊嚴人格利益屬于目的價值，信息共享作為工具價值應當服務于讀者的自由、尊嚴這一目的價值，當二者產生沖突時，應當優先滿足讀者的自由、尊嚴價值[5]。此論斷認為圖書館信息、收集、共享應絕對讓位于讀者的人格利益，但其忽略了信息共享所涉社會需要和公共利益。自由應當局限在合乎公共道德準則和社會需要的范圍內，法律保護的讀者個人信息的范圍應當限于與公共利益無關的部分，即對讀者個人信息權的保護并非沒有限制。

2.2 圖書館信息共享的商業投資利益與自由價值

讀者個人信息具有財產屬性。獲得讀者的QQ、郵箱等聯系方式，圖書銷售商可以向其發送圖書銷售廣告；挖掘、分析讀者的閱讀興趣、需求，出版社、圖書銷售商可以作出最優的出版、銷售規劃，實現最大的商業利益。在上述情況下，讀者個人信息具備了商業價值，成為讀者的一種無形財產。讀者與商業投資者是一對平等的主體，讀者對其個人信息具有天然的支配權，讀者的人格自由應優于商業投資利益，故出于商業投資目的收集、利用、傳播讀者個人信息應當經讀者同意，并且讀者有權要求對方支付對價。讀者作為個人信息的支配者,甚至可以主動通過出售個人信息并獲得補償，促進信息市場更加公平、合理地運作[9]。

2.3 圖書館信息共享的公共利益、商業投資利益與尊嚴價值

尊嚴是人格權中的核心權利，讀者的尊嚴價值要優于圖書館信息共享所帶來的公共利益、商業投資利益。失真、滯后、不完整的個人信息影響社會對讀者評價的客觀性，進而損害讀者的尊嚴。讀者有權要求圖書館及后續傳播利用者刪除、修改失真信息，更新滯后信息,補充不完整信息，以維護自己的尊嚴。

3 現狀分析——我國數字圖書館讀者信息權現有法律規定

對讀者個人信息權的保護有三種途徑，即行業自律、讀者通過技術自我保護、法律保護。本文主要探討的是對數字圖書館讀者個人信息權的法律保護。

3.1 我國對數字圖書館讀者信息權的法律保護的發展

我國涉及數字圖書館讀者個人信息權保護的法律法規有如下幾種情況：《中國公用計算機互聯網國際聯網管理辦法》《計算機信息網絡國際聯網安全保護管理辦法》《全國人民代表大會常務委員會關于維護互聯網安全的決定》等有零星條文對個人信息保護作出概括性規定；《侵權責任法》第二條所列民事權益范圍包括隱私權、名譽權等；2009年《刑法修正案(七))》第七條增補侵犯公民個人信息安全,第九條增補非法獲取計算機信息系統數據、非法控制計算機信息系統罪的犯罪，首次將嚴重侵犯公民個人信息的行為入罪；2003年初，國務院信息辦委托中國社會科學院法學研究所個人數據保護法研究課題組承擔《個人數據保護法》比較研究課題及草擬一份專家建議稿的任務，遺憾的是這部多方關注的專門立法至今無下文。2012年12月28日,第十一屆全國人民代表大會常務委員會第三十次會議通過了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(以下簡稱“《決定》”)，圖書館讀者個人信息亦在《決定》保護的范圍內。《決定》開宗明義地確立了個人信息收集、使用“合法、正當、必要”的原則；規定“企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供”，維護了讀者的人格自由和人格尊嚴；明確侵犯公民個人信息的刑法、行政法規制，并賦予被侵權人要求刪除、補正或采取其他必要措施及提起民事訴訟的權利。《決定》系全國人大常委會通過，法律位階高，權威性高。《決定》短短11個條文，幾乎涵蓋了網絡環境下公民個人信息保護的方方面面，是對我國公民個人信息保護的重大突破。2016年10月31日，全國人大常委會聽取了《中華人民共和國民法總則(草案)》修改情況的匯報，草案二審稿建議進一步強化對個人信息的保護[10]。2016年11月7日,全國人大常委會通過《中華人民共和國網絡安全法》，明確加強對個人信息的保護，進一步完善個人保護規則。

3.2 我國對數字圖書館讀者信息權的法律保護的缺憾

3.2.1 重公權抑制輕民事救濟

從現有規定不難看出，對個人信息的保護大部分體現為行政監管、刑事處罰的公權抑制模式，對被侵權人賦予的民事救濟的規定相當簡單、粗略。個人信息權私權屬性強，在網絡環境下個人信息侵權現象日趨嚴重的情況下，光靠行政監管、刑事處罰恐怕力有不逮，只有賦予被侵權人民事救濟途徑才能從根本上調動個人信息保護的主動性、積極性。

3.2.2 忽視讀者個人信息的財產屬性

如前所述，讀者個人信息具有財產屬性。讀者個人信息被不當收集、利用和傳播后，即使未對讀者的安寧生活及尊嚴造成影響，商業投資者也可能從中獲取商業利益。正如查士丁尼所言，“法律的基本原則是：為人誠實，不損害他人，給予每個人他應得的部分。”商業投資者從讀者個人信息中獲益，就應當在合理范圍內分享其獲得的商業利益，而現有規定對此均未涉及。讀者個人信息的財產屬性還賦予讀者主動將自己個人信息作為財產與圖書館、商業投資者進行交易,并以此換取對價的權利。

3.2.3 未兼顧信息共享的社會需要

“信息采集和信息交換的基礎在于它們能夠優化決策”[11]，對讀者個人信息的收集、分析、挖掘有利于政府、公共圖書館等建立科學的公共服務政策，優化數字化圖書館服務,促進檔案館建設。若不考慮讀者個人信息共享的社會需要，一味強調讀者個人信息的保護，恐怕無益于信息資源的優化配置，甚至阻礙社會的進步和發展。如前所述，社會公共利益優于讀者個人信息自由價值，因此，在保護圖書館讀者個人信息權的規則設置中需兼顧信息共享的社會需要。若出于公共利益需要，收集必要的信息時可以不經讀者同意，在公共利益范圍內不限定再利用，而《決定》第二條的許可規定并未將公共利益的收集、使用排除在外。

4 制度的完善——讀者個人信息權民事救濟制度的構建

4.1 立法路徑選擇

對讀者個人信息權的保護立法，有人建議采用專門立法的模式，制定專門的《圖書館法》。[12-13]從其他法域看，美國有專門的《圖書館服務與技術法》，歐盟則將讀者個人信息權納入《個人數據保護指令》的保護范圍。在網絡環境下，數字圖書館讀者的個人信息權被侵犯只是個人信息權被侵犯的一種類型，鑒于圖書館的非營利性、公共性，侵犯圖書館讀者個人信息權甚至不是個人信息權的主要侵權類型。立法應當考慮系統性，讀者部分個人信息權益在隱私權、名譽權救濟中能夠體現，但讀者個人信息權益中除隱私權、名譽權之外的其他權益受到侵害時，也應得到民事救濟，而這部分權益在萬眾期待的《個人信息保護法》中可以體現，故應將讀者個人信息權納入《個人信息保護法》中，并在《個人信息保護法》對數字圖書館讀者個人信息權保護的特殊之處作出規定。

4.2 明確讀者個人信息權的內容

對讀者個人信息權的保護立法，應明確個人信息權的內容、責任主體、侵權責任。個人信息權的內容包括：個人信息知情權，即讀者有權知道自己的信息被何人收集、使用，被通過何種方式收集,在什么范圍內如何使用；個人信息使用權，即讀者有權決定自己的信息在何時、何地、多大范圍內如何使用；個人信息控制權，即讀者對未經授權或超出授權的收集、利用、傳播的行為有請求救濟的權利。對自己授權使用的個人信息有撤回的權利(若給被授權人)，對被篡改、遺漏、失真的信息，有權要求收集、使用、傳播其個人信息的數字圖書館及其他機構進行修改、補充、刪除，保證個人信息的完整、準確性，以維護自身的人格尊嚴。

4.3 明確讀者個人信息侵權的責任主體、侵權責任

讀者個人信息侵權的主體包括不當收集、利用、傳播、篡改讀者個人信息的圖書館、檔案館及其他企事業單位。侵權責任包括停止侵害、恢復名譽、消除影響、賠禮道歉、賠償損失。讀者的個人信息權被不當收集、利用、傳播的，讀者可以要求侵權人停止侵害、賠償損失；損害其名譽的，可以要求侵權人恢復名譽、消除影響、賠禮道歉、賠償損失；讀者因其信息被不當收集、利用、傳播而造成財產損失的，可以請求侵權人賠償損失。鑒于讀者個人信息的財產屬性與商業秘密類似，例如因讀者訪問記錄、研究方向等被泄露，導致他人得以做同類研究，由此造成的損失不止包括直接損失，還包括間接損失。讀者個人信息被侵權的損失賠償范圍可以考慮包含間接損失，賠償的數額可根據可期待利益損失或侵權者因侵權而獲得的利益決定。

4.4 明確例外規定

在公共利益優于讀者人格自由，讀者人格自由優于商業投資利益，讀者人格尊嚴優于公共利益、商業投資者利益的結論的基礎上，可規定除下列情形外，圖書館不得收集、處理、利用、傳播讀者個人信息：(1)圖書館等基于公共利益或學術研究、統計目的，若需公開，則公開的方式應無法識別特定的人；(2)經讀者同意，在授權范圍內使用、傳播；(3)讀者已通過其他方式公開的個人信息；(4)通過合法途徑取得的信息；(5)法律或者行政法規另有規定[14]。

[參考文獻]

[1]劉德良.個人信息的財產權保護[J].法學研究,2007(3):80-91.

[2]張慧娟.網絡環境下個人信息權的法律保護研究[J].法制博覽,2016(5):4-6.

[3]謝一維.數字圖書館環境下的讀者個人信息法律保護研究[J].圖書館,2010(5):14-16,19.

[4]彭禮堂,饒傳平.網絡隱私權的屬性：從傳統人格權到資訊自決權[J].法學評論,2006(1):57-62.

[5]李儀,張娟.網絡環境下讀者個人信息保護困境與立法應對——以實現讀者人格價值為考量[J].圖書館論壇,2014(7):34-38.

[6]梁燦興.圖書館核心價值觀的性質與結構[J].圖書與情報,2009(4):1-5.

[7]王東艷,周威.圖書館核心價值研究綜述[J].情報資料工作,2009(6):27-31.

[8]魯黎明.圖書館服務理論與實踐[M].北京圖書館出版社,2005:179.

[9]雷宇飛.網絡隱私保護模式探析[J].合作經濟與科技,2002(6):119-121.

[10]全國人大常委會審議民法總則草案:不得非法提供、公開或者出售個人信息[EB/OL].(2016-11-01)[2017-11-21].http://legal.people.com.cn/n1/2016/1101/c42510-28823752.html.

[11]See Deborah Johnson. Computer Ethics Englewood Cliffs[Z].NJ:Prentice,Hall:62.

[12]黃汝群.讀者隱私權保護研究[J].圖書館學研究,2006(3):88-90,38.

[13]張玉娥.讀者隱私權的價值與保護[J].圖書館理論與實踐,2004(2):24-25,29.

[14]吳才毓.網絡安全中的民法進路——以網絡隱私語境中的個人信息權為起點[J].網絡法律評論,2015(2):55-67.