讀者個人信息的保護
——以《公共圖書館法》第四十三條為視角

(廣州圖書館，廣東 廣州 510623)

《公共圖書館法》第四十三條規(guī)定：公共圖書館應當妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。讀者個人信息受保護的權利被真正確立下來，讀者個人信息保護有了立法的護航。讀者個人信息保護的權利法源來自于民法中的公民個人信息的保護，2017年10月份正式施行的民法總則首次規(guī)定了公民個人信息的保護。公民個人信息受保護的權利是人格權的一種，是與公民人格和身份息息相關的一種具體人格權。王利明[1]認為，個人信息是指與特定個人相關聯(lián)的、反映個體特征的、具有可識別性的符號系統(tǒng)，包括個人身份、工作、家庭、財產、健康等各方面信息。隨著大數據時代、消費社會來臨、網上支付等新型生活模式悄悄地改變著人類方方面面，學校、醫(yī)院、銀行、移動電話、旅游、消費等領域信息保護成為立法和監(jiān)管的重點。中國互聯(lián)網協(xié)會發(fā)布的《2016中國網民權益保護調查報告》顯示，84%的網民曾親身感受到因個人信息泄露帶來的不良影響[2]。公共圖書館的信息保護也在這種大時代背景下產生，讀者個人信息保護越來越受到理論層面和實踐層面的重視。

1 《公共圖書館法》為讀者權利保護提供了立法和制度供給

《公共圖書館法》的正式實行為公共圖書館運行和讀者文化權利的保障提供了重大的立法和制度供給，毫不夸張地說現代公共圖書館的轉型與升級，讀者權利的發(fā)展和保障需要的不是更多的圖書館學，而是更多的法律[3]。我國公共圖書館立法相對滯后將對公共圖書館、讀者權利等發(fā)展造成一定影響和制約，此次《公共圖書館法》第四十三條確立的讀者個人信息受保護制度，不但是讀者權利保障立法制度和立法理念的重大創(chuàng)新，更是讀者個人信息保護的強大制度供給。筆者認為《公共圖書館法》四十三條所帶來的不單單是純粹法律層面更新和進步，更重要的是通過法律改變公共圖書館落后的理念和重要價值的缺失，從而實現《公共圖書館法》“應然”與“實然”的平衡。

2 讀者個人信息受保護權

2.1 讀者個人信息的分類

第四十三條沒有具體指出讀者個人信息的分類，但是把讀者個人信息、借閱信息和可能涉及讀者隱私的信息作為三種主要的讀者個人信息。王肅之認為這三種信息主要分成直接識別讀者個人的信息和間接識別讀者個人的信息[4]。筆者認為可以對這三種信息進行再細分。(1)讀者身份信息。包括讀者姓名、性別、身份證號碼、電話號碼、籍貫等基本個人信息，這部分信息一般是讀者辦理圖書館讀者證、注冊圖書館賬戶必須留下的信息。(2)讀者賬戶信息。讀者賬戶信息是指讀者注冊圖書館賬戶或者辦理讀者證的賬戶，具體地說就是讀者證功能、狀態(tài)、類型等。近年來，越來越多公共圖書館采用高科技技術方便讀者借閱，形成手機二維碼讀者證，二維碼讀者證也屬于讀者的賬戶信息。(3)借閱信息。借閱信息是讀者借閱圖書館情況的信息，包括借閱圖書信息、借閱歷史、搜索歷史、到館歷史、閱讀喜好、電子資源借閱情況等。(4)讀者參與閱讀推廣活動的信息。新型公共圖書館越來越重視開展閱讀推廣工作，讀者在參與閱讀推廣活動所留下報名信息、活動反饋、活動調查、活動偏好等都是非常重要的讀者個人信息。(5)讀者其他可能涉及隱私的個人信息。所謂隱私信息,按照一般的理解，是指與公共利益或群體利益無關的、當事人不愿意公開而這種不愿意被認為是合理的個人信息[5]。比如讀者參與志愿活動、讀者對圖書館的建議和投訴信息、讀者遺留在圖書館的物件(含重要信息),讀者使用無線網絡所產生個人信息等。

2.2 讀者個人信息受保護權的權利性質

要保障好權利，首先是要對權利進行定性。權利是指法律所認定為正當的利益、主張、資格、力量和自由[6]，其中最核心的是資格，即法律明文規(guī)定的資格。讀者個人信息受保護的權利在圖書館界可能是新鮮事物，筆者嘗試從一般法學理論上來界定這種權利。(1)人格權。人格權是指與財產沒有直接關聯(lián)的權利，因為個人信息與個人身份特征息息相關。(2)絕對權利。根據義務人是不是特定，把權利分成絕對權利和相對權利。能不能認為公共圖書館是相對義務人就認為它是一種相對權利，筆者認為公共圖書館是主要義務人，但其他不特定公民或者組織也不得侵犯讀者個人信息受保護權利。(3)消極權利。按照法學界通說人格權一般屬于消極權利，也就是防止受到侵犯的權利，讀者個人信息受保護的權利是防止讀者信息非法獲取、使用、公開等權利。隨著公共圖書館發(fā)展轉型，讀者個人信息受保護的權利有轉向積極權利和消極權利的混合體。(4)有限制的權利。根據權利有沒有限制的角度來說，讀者個人信息受保護的權利是一種有限制的權利，涉及國家安全、公共利益、刑事犯罪等情形，讀者個人信息受保護權將受到限制。(5)從權利。讀者個人信息受保護權是一種從權利，是依賴于圖書館權利而產生的附屬權利，也就是說公民不使用公共圖書館將沒有這項權利。圖書館權利是國際公認的一種基本的公民權利，它不是指圖書館應該享有的權利和利益，而是指民眾作為公民依法享有的自由、平等、公平地利用圖書館的權利[7]。作為圖書館權利的從權利，讀者個人信息受保護權直接體現了圖書館權利自由的核心價值。

關于讀者個人信息受保護權是核心權利還是一般權利，人格權還是財產權，絕對權利還是相對權利，積極權利還是消極權利等學界還有一定爭論和研究，但可以確定的是讀者個人信息受保護權是公民利用公共圖書館過程中重要權利和新型法定權利。

2.3 讀者個人信息受保護權的內容

劉澤剛教授提出的個人數據保護權是一種集合的權利，包括透明性、告知獲取、編輯刪除、拒絕和個人決定權等[8]。第四十三條沒有列舉出讀者個人信息受保護權的內容，筆者結合我國個人信息保護法律法規(guī)和公共圖書館實踐，嘗試對公共圖書館第四十三條中讀者個人信息受保護權的內容進行簡單概括。(1)讀者個人信息修改權。個人信息的所有權屬于讀者個人所有，讀者有權對公共圖書館所收集的個人信息進行修改。(2)讀者個人信息保密權。保密權是讀者個人信息非常重要一項內容，也就是禁止任何公共圖書館向外公開讀者信息。(3)讀者信息使用知情權。讀者有權知道公共圖書館儲存、利用個人信息的情況。(4)讀者個人信息刪除權。讀者有權查詢并刪除自己的借閱歷史等個人信息，這也推定公共圖書館有完整保存讀者信息的義務。(5)讀者個人信息處分權。越來越多公共圖書館開始利用大數據統(tǒng)計讀者閱讀習慣并向讀者個人查詢，讀者有權下載并利用該信息。(6)讀者個人信息侵害救濟權。讀者在上述權利得到公共圖書館的有效落實，并造成讀者個人精神受傷或者情感失落，讀者都有權進行伸張和獲得救濟。當然讀者個人信息受保護權并不是以上六種權利內容的簡單結合，而是一種抽象的復合權利和發(fā)展權利，是會隨著新型技術革新和圖書館實踐的發(fā)展而的漸趨完善的權利。

3 《公共圖書館法》第四十三條的法律適用

3.1 《公共圖書館法》第四十三條處理的法律關系

個人信息的利用在增進社會福祉的同時,也可能引起信息主體的權益受到威脅和侵害,由此催生了個人信息保護的需要[9]。讀者個人信息對公共圖書館管理、決策、發(fā)展有重要公共管理價值，在利用與過度利用、一般信息和敏感信息，利用和管理就存在界限和沖突，因此《公共圖書館法》第四十三條確定讀者個人信息受保護權解決的是我國公共圖書館長期缺少的一種保護讀者個人信息的意識和制度保障，核心是解決讀者信息處分和公共圖書館信息管理的關系。四十三條的立法目就是均衡信息處分和信息管理的權利義務關系，均衡信息所有者和信息管理者結構關系，換句話說本法條就是處理公共圖書館和讀者在信息保護上權利義務的法律關系。隨著信息化時代和大數據時代降臨，《公共圖書館法》第四十三條所確立的讀者個人信息受保護權就顯得更有現實意義了。

3.2 法條結構

《公共圖書館法》中規(guī)定讀者個人信息受保護權有兩個條款：第四十三條和第五十條。其中第四十三條以確定權利和設定責任為主，第五十條則以法律責任(法律救濟)為主。(1)第四十三條，前半部分主要確定讀者個人信息受保護權，前文已經詳細論述，不在贅述。后半部分主要是設定責任也可以說是禁止性規(guī)定，規(guī)定公共圖書館禁止做出法律規(guī)定的法律行為。其中條文規(guī)定一項義務和兩項禁止行為，包括保護讀者個人信息的義務，禁止做出出售或者其他方式非法向他人提供讀者個人信息的行為。圖書館權利性文件之所以要規(guī)定義務，是因為權利性條款存在缺乏具體行為指引、有相互沖突情形、需要相對義務人履行義務等不足，需要義務性規(guī)定來彌補[10]。(2)第五十條，主要規(guī)定違反四十三條的法律后果，也就是讀者個人信息權的救濟方法，其中包括勒令改正和沒收所得。《公共圖書館法》把非法出售或提供讀者隱私信息的行為列入“侵權”范疇予以責任追究，表明我國在保護讀者隱私信息的認識和做法上已與國際接軌[11]。《公共圖書館法》第四十三條和第五十條完整的規(guī)定讀者個人信息受保護權，兩個法條缺一不可。

3.3 法條效力

法律效力是指法律所適用的主體、空間、時間。(1)適用主體。從文義解釋來看，該法條權利主體是讀者，義務主體是公共圖書館及其工作人員。(2)適用空間。筆者認為該法條的適用空間是公共圖書館提供服務場所和設施，當然不限于實體設施。筆者認為該法條的空間效力要優(yōu)于對人的效力，也就是說公民依法使用公共圖書館所提供設施或者服務，不管他是否注冊讀者，受服務者依法享有讀者個人信息受保護權。包括非注冊讀者參與公共圖書館閱讀推廣活動，非注冊讀者參與公共圖書館問卷調查，非注冊讀者(訪客)瀏覽公共圖書館電子資源、發(fā)表對圖書館建議等。

3.4 第四十三條中應當“妥善”和讀者“隱私”的法律解釋

《公共圖書館法》第四十三條中應當“妥善”確定了公共圖書館保護讀者個人信息的法定義務。即是公共圖書館必須通過人員、技術、制度等方式保護讀者個人信息，“不作為”將會追究公共圖書館以及工作人員的相關責任。“妥善”也一定程度上加大了公共圖書館對讀者個人信息的注意義務，這種注意義務源自讀者群體對個人信息“同意”被收集的信賴關系以及現代信息時代信息被濫用的實際情況。即是禁止將他人置于遭受此種傷害(精神傷害)的恐懼之中[12]。

《公共圖書館法》第四十三條中“可能涉及讀者隱私的信息”，其中提及“隱私”。隱私權也屬于人格權一種，它是指公民不愿公開或者不讓他人知曉個人秘密的權利。其實讀者個人信息與讀者隱私有很多重合或者交叉的地方，甚至可以說讀者隱私包含了讀者個人信息，加上“隱私”字眼擴大了讀者個人信息受保護權的范圍。這里提到隱私主要作用是區(qū)別讀者一般信息和敏感信息，涉及讀者敏感信息屬于讀者隱私，這種敏感信息受到侵犯會使讀者精神受創(chuàng)和情感失落，具有不可挽回性，要加以更加大的注意防范義務。另外，這里提到隱私另一個作用是讀者可以通過以隱私權作為請求權基礎作為法律救濟的手段[13]。

3.5 法律救濟

(1)救濟方法。《公共圖書館法》第五十條已經規(guī)定了侵犯讀者個人信息受保護權的行政、刑事等責任。筆者認為對于侵犯讀者個人信息的行為通常適用民事救濟方法，也就是說讀者如遇到個人信息權利受到侵犯時，可采用一般民事規(guī)則進行救濟。如讀者遇到查閱個人信息或者下載、保存?zhèn)€人信息遇到制度或者技術障礙，可要求公共圖書館排除妨礙；如讀者發(fā)現公共圖書館個人信息系統(tǒng)有技術漏洞或者在館內使用無線網絡出現信息泄露風險，可要求公共圖書館消除危險；如發(fā)現公共圖書館不正當利用個人信息，或者不正當泄露讀者個人信息，可要求公共圖書館停止侵害；如已經發(fā)生侵害讀者個人信息行為，讀者可要求公共圖書館最大可能消除影響等；對于變賣讀者個人信息行為，讀者也可以向侵權人主張賠償損失。

(2)第三人責任。隨著信息時代來臨，人類的經濟交往越來越需要依賴信息，公民個人和組織為了經濟和其他不法目的利用各種互聯(lián)網技術竊取具有大量公民個人信息的數據庫。因此儲存著大量讀者個人信息的公共圖書館也將成為黑客侵犯的對象之一，風險極大。對于第三人竊取或者公開讀者個人信息的行為，一般不適用《公共圖書館法》四十三條和五十條，法律上稱為主體不適格。對于這樣的行為，一般適用侵權責任法或者民法規(guī)則。對于第三人的侵權行為，公共圖書館究竟有沒有責任？筆者認為四十三條中“妥善保護”字眼已經充分表明公共圖書館如果無法舉證證明自己已經承擔足夠保護義務的話，公共圖書館也應該承擔相應責任或者補充責任。

3.6 功能性分析

公共圖書館第四十三條確定的讀者個人信息受保護權是公共圖書館立法中的一大亮點，在筆者看來《公共圖書館法》四十三條至少有以下三大功能。(1)保障功能。保障讀者的個人信息，讓民法中公民個人信息受保護權在公共圖書館領域得到了特別法的保障。讀者個人信息受保護權要得到保障首先要在立法上得到權利確立，讀者在爭取權益時才能有法可依。(2)約束功能。讀者個人信息受保護權的確定主要是為了“對抗”公共圖書館的利用信息的界限，因此《公共圖書館法》四十三條其中一項功能就是約束公共圖書館及其工作人員的相關行為。這要求公共圖書館至少要做到兩項工作。一是尊重讀者個人信息受保護的權利，就是從觀念上重視讀者這項法定權利；二是實現好讀者個人信息受保護權，保障好以同意為中心的讀者消極的個人信息受保護權，保障好以處分為中心的讀者積極的個人信息受保護權。(3)發(fā)展功能。確定讀者個人信息受保護權對豐富公民圖書館權利，發(fā)展讀者圖書館權利具有重要作用。程煥文先生指出，圖書館權利是指公民依法享有平等的、自由和合理利用圖書館的權利[14]。國際圖書館界，歷來就有保護讀者隱私的傳統(tǒng)。如1999年國際圖聯(lián)發(fā)布的《關于圖書館與思想自由宣言》中，就呼吁堅持思想自由，堅持不受限制地檢索信息的自由和言論自由的原則，充分承認和尊重圖書館使用者隱私權[15]。

圖書館權利不是一個一成不變的概念，而是隨著時代發(fā)展和公共圖書館轉型而改變，讀者信息權利的確認正是對圖書館權利的豐富和發(fā)展，也有益于整個公共圖書館理論與實踐的發(fā)展。

4 依法保障讀者個人信息受保護權的建議

從民法總則規(guī)定公民個人信息保護權再到公共圖書館第四十三條規(guī)定讀者個人信息受保護權，公民信息權利從一般性保護更加廣泛和全面逐漸過渡到特別保護，公民信息權利得到立法的高度重視。另一方面立法高度抽象和概括需要公共圖書館思想重視、制度保障和技術支持等環(huán)節(jié)的配合和協(xié)助。筆者從法理學和公共圖書館實踐出發(fā)，嘗試對保障讀者個人信息受保護權提出一些個人見解。

4.1 立法建議

作為公民個人信息保護權的特別規(guī)定，公共圖書館第四十三條采取了“宜粗不宜細”的立法思想，對讀者個人信息受保護權作了概括性的規(guī)定，在一定方面符合整個《公共圖書館法》立法政策需要和現實需要。但筆者認為有兩點可以改進：(1)可以列舉讀者個人信息受保護權的具體內容。可在條文前段加上“讀者對公共圖書館收集和統(tǒng)計的個人信息享有查閱權、修改權、刪除權等。”公共圖書館四十三條回避了有關讀者個人信息權的具體內容，只是從反面規(guī)定了公共圖書館的義務。讀者個人信息受保護權細化能更有利于讀者權益的保障，隨著我國個人信息保護法的討論和出臺，權利內容可進一步規(guī)范。(2)可以細化公共圖書館禁止性行為。公共圖書館四十三條限定公共圖書館不得出售和非法向他人提供，但筆者認為公共圖書館侵犯讀者個人信息受保護權行為包括非法收集、非法出售、非法披露和非法利用，因此筆者認為可改為“不得非法收集、非法出售、非法披露和非法利用”。禁止性行為細化能夠更有效規(guī)范公共圖書館的行為。

4.2 制度化保障

美國國會圖書館在2016年12月16日更新的隱私政策中指出保護讀者個人信息的重要性，就個人信息的獲取、利用和提供情形等作出規(guī)定，包括讀者同意、利用目的、依照的法律等事項[16]。立法最終是需要制度來落實，公共圖書館應積極以此為契機，制定保障讀者個人信息受保護權的相關制度和落實措施。在信息收集階段應該確定讀者同意和收集信息最小化原則，也就是說在讀者注冊辦證是要有明確提示和簽名確認公共圖書館有權收集讀者相關個人信息和后續(xù)有關借閱信息，并采取只收集最必需的信息的原則。在讀者個人信息存儲和保管上要堅持安全性和完整性。安全性是指公共圖書館要在信息保存上有足夠注意和審慎義務(技術上)，防止黑客入侵和盜取信息；完整性是指讀者信息存儲和保管要完整，包括信息準確完整和保留時間符合法律規(guī)定。在信息利用上要堅持目的限制原則[17]、公開透明原則和可追究責任原則。目的限制原則是指公共圖書館利用讀者個人信息必須符合一定公共管理、公共利益、讀者利益需要，并有嚴格的限制；公開透明和可追究責任原則是指公共圖書館利用讀者信息的程序規(guī)則，必須公開使用情況或者可查閱使用情況，可以追究相關責任。

4.3 技術支持

現代信息儲存和傳輸技術改變了信息保護的形式，電子化網絡化的出現讓信息保護越來越依賴計算機技術。越來越多公共圖書館采用自動識別身份證或者社保卡來辦理讀者證，公共圖書館讀者管理系統(tǒng)儲存大量重要身份信息，這對公共圖書館信息管理系統(tǒng)提出新的技術要求。汪強認為可通過身份識別技術、數據加密技術、訪問控制技術、防病毒技術作為公共圖書館保障讀者個人信息權利的技術支持[18]。筆者認為公共圖書館保護讀者個人信息至少要有三種技術支撐。一是完整、準確保存讀者信息的技術。這要求公共圖書館有足夠大并且穩(wěn)定的儲存系統(tǒng)，確保可以正確識別和導出讀者個人信息。二是有限獲取讀者個人信息的技術。即是限制使用的技術，使得公共圖書館工作人員或者有機會接觸到讀者個人信息的人員不能夠批量獲取或下載讀者個人信息。三是防止黑客入侵的技術。要求公共圖書館采用成熟、有保障、可補救的信息保護系統(tǒng)，防止黑客入侵，即是被入侵也能有相應補救程序。

4.4 特殊讀者群體的信息保護

《公共圖書館法》四十三條對讀者個人信息受保護權作了一般的規(guī)定，但隨著公共圖書館服務對象化和專業(yè)化，公共圖書館有必要對特殊群體的信息保護作特別保護。筆者認為兒童和殘疾人是公共圖書館對象化服務中需要作特別保護的兩類群體。《公共圖書館法》第三十四條規(guī)定“政府設立的公共圖書館應當設置少年兒童閱覽區(qū)域”和“政府設立的公共圖書館應當考慮老年人、殘疾人等群體”，青少年兒童和殘疾人成了公共圖書館服務重點對象，當然也應該是信息保護重點對象之一。18歲以下青少年兒童是限制民事行為能力人或者是無民事行為能力人，為了保護特殊弱勢群體，公共圖書館在獲取該類群體個人信息時應當獲得其法定監(jiān)護人的同意。青少年兒童借閱取向或者參加閱讀推廣活動傾向具有較強商業(yè)價值，因此涉及這方面讀者個人信息應該不獲取，即使獲取也不應該對什么組織或個人公開。

殘疾人是社會重點關注的另一個群體，殘疾人身份信息和身體狀況信息具有較強識別性，筆者認為殘疾人讀者信息區(qū)別于一般讀者個人信息，屬于敏感信息這一類型，必須謹慎獲取和嚴禁用任何方式非法披露或出售。筆者認為殘疾人讀者類型不應該區(qū)別于一般讀者類型，也不應該用任何附加信息或者備注信息予以區(qū)別。

5 結語

《公共圖書館法》第四十三條確立讀者個人信息受保護的權利。從分析法學角度看，該法條首先是《公共圖書館法》中的一條法律條文，是屬于法律基本要素之一；從立法技術看，這是一條權利性規(guī)范和禁止性規(guī)范，并且與《公共圖書館法》五十條構成完整權利保障模式；從立法理想上看，四十三條堅持了保障讀者權利的基本立法理念，也致力于均衡讀者信息利用與公共圖書館信息管理之間權利義務關系，目標是通過立法讓公共圖書館建立完善個人信息保障制度。《公共圖書館法》第四十三條確立讀者個人信息受保護權使得公民個人信息保護在公共圖書館領域得到特別法保障，也是公共圖書館立法中走在立法前沿的重要體現。