從《民法典》視角探析圖書館用戶個人信息的多維保護機制

柳 倩 萬映紅

四川師范大學圖書與檔案信息中心，四川 成都 610101

一、探討圖書館個人信息保護的意義

互聯網和高度發達的大數據技術為人們生活帶來前所未有的便捷的同時，個人生活也在數字世界中無所遁形。人們的私人空間被網絡不斷擠壓，傳統依靠物理手段所劃分的私域和公域界線日益模糊，各種層出不窮的數據挖掘和數據分類，以及無處不在的追蹤科技不僅威脅到個人信息，也進一步危及個人的生活空間、身體隱私和關系隱私等，可以說數字技術已然對個人隱私造成了嚴重威脅。而隱私即自由，是“一個人免于被闖入自己沒有明確或暗中向他人開放生活領域的自由”，因為隱私屬于消極自由范疇內的權利，人們定義隱私時習慣于采取“免于……被侵擾/侵入/闖入”的表述方式。隱私是個人抵御他人、社會、公權力等外來侵害，能夠完全自由支配的自治空間，也是人之所以為人，作為獨立個體，保持人格尊嚴的基本前提條件。一旦隱私被信息掌握方侵犯，任何私人事務都具有演變為公共性事件的風險，公與私的邊界蕩然無存，個人將毫無尊嚴可言。［1］

長久以來，圖書館作為普通民眾獲取各類文化知識和信息的公共交流場所，人們在圖書館中留下了豐富的個人信息或行蹤軌跡，其中不乏隱私相關內容，如身份證件號碼、聯系方式和住所、生物識別信息、健康情況、活動軌跡等。這些信息如果被泄露給不法分子，必將造成嚴重后果。首先，對用戶個人而言，不法分子可能利用這些信息采取垃圾通信手段，發送騷擾短信、騷擾廣告等行為，對用戶個人生活造成精神困擾；進一步不軌企圖者則可能識別分析出個人身份、家庭狀況、興趣愛好、健康信息，乃至行蹤定位等，嚴重的誘發詐騙、人身侵害等刑事案件。這是對任何普通用戶都可能形成的威脅。此外，對科研用戶來講，其在圖書館中的檢索、訪問、閱覽和咨詢行為，則可能泄露其科研項目、研究方向，進而被他人惡意竊取創新思想，喪失研究先機。其次，對圖書館自身而言，則可能因造成個人信息泄露，使用戶對圖書館產生不滿或不信任，嚴重者或引發后續法律糾紛，久而久之將導致圖書館名譽受損，公信力降低，致使圖書館資源利用率下降，阻礙圖書館發揮推動文化事業發展的社會功能作用。

所以，加強圖書館對用戶個人信息的管理、保護，不僅是圖書館提供服務的重要內容與職責所在，也是關系到圖書館尋求自身良性發展的時代要求。

二、我國圖書館用戶個人信息保護的規范和行業現狀

隨著《民法典》與《個人信息保護法》的相繼出臺，我國在個人信息保護領域已構建起較為完整的法律保護體系，設立了從民事責任、行政責任到刑事責任的三重責任保護機制，使此前大肆侵犯公民個人信息和隱私權的社會亂象得到明顯遏制。但相關行業對個人信息的具體保護措施尚需進一步細化，本文擬就圖書館行業對個人信息的保護進行探討。

目前，個人信息保護方面的相關通用規范性文件，除《民法典》第六章“隱私權和個人信息保護”、《個人信息保護法》這部專門法外，《消費者權益保護法》第二十九條、五十條和五十六條，《網絡安全法》第二十二條、三十條、四十條至四十五條，《數據安全法》《全國人大常委會關于加強網絡信息保護的決定》等法律法規對個人信息保護也有規定。

圖書館行業涉及個人信息保護的專門規范性文件則有《公共圖書館法》第四十三條、第五十條；部分省、自治區、直轄市所制定的公共圖書館服務管理規范，如《四川省公共圖書館服務條例》（2013年）第三十五條、第四十三條，《廣州市公共圖書館條例》（2019年）第四十六條、第五十四條，《重慶市公共圖書館管理辦法》（2017年）第二十九條，《安徽省公共圖書館服務標準》（2011年）第四章第九條等，但上述規范性文件對個人信息所作保護都僅為原則性規定，可操作性不強。有些省、自治區、直轄市所制定的服務條例或管理辦法則根本未對個人信息保護作規定。此外，教育部2015年印發的《普通高等學校圖書館規程》中亦無個人信息保護條款。

其次便是行業慣例。影響力最大的1994年《聯合國教科文組織公共圖書館宣言》也未涉及個人信息保護相關內容，我國《圖書館服務宣言（2008）》與之相同。因此可以看到，圖書館行業一直以來側重傳播與傳承知識，而就如何貫徹保護個人信息和隱私，目前尚未制定完備的規范細則和措施。

三、圖書館用戶個人信息保護的法益內容

在探討具體細則和措施之前，我們先來了解一下圖書館用戶應當享有哪些受保護的個人信息權益。結合《民法典》第一千零三十七條和《個人信息保護法》第四章的規定，筆者認為用戶在圖書館內應當享有以下個人信息保護權益：［2］

（一）知情權、決定權。用戶使用圖書館服務時，會被要求提供部分個人信息或在網絡上留下瀏覽、活動痕跡，如登錄圖書館網站、訪問數據庫、下載文章、進出館次數和時長、借閱圖書內容、在館內被攝像頭捕捉到行動軌跡等，用戶的個人信息和瀏覽、活動痕跡會被圖書館掌握。而如果圖書館提供服務的平臺由第三方軟件供應商設計開發時，用戶信息則會被圖書館和第三方平臺共同掌握。對于個人信息、瀏覽活動痕跡的收集、保管和處理，用戶享有知情權，并決定是否授權他人收集、保管和處理。圖書館與第三方平臺有義務向用戶就個人信息和瀏覽、活動痕跡的收集、保管、處理作出清楚說明。

（二）查詢、復制權。用戶對于其在圖書館留存的個人信息、瀏覽記錄、活動軌跡，有權向圖書館，或通過圖書館向第三方平臺查詢、復制。

（三）更正、補充權。當圖書館用戶發現其留存的個人信息存在錯誤、與事實不符，或信息不完整時，有權要求圖書館和通過圖書館來要求第三方平臺更正、補充。

（四）刪除權。一方面，出現《個人信息保護法》第四十七條所規定的五種情形時，圖書館或第三方平臺應當主動刪除個人相關信息，未及時刪除的，個人有權請求刪除。另一方面，對于用戶在圖書館內的活動軌跡，被攝像機器記錄下來的，用戶有權在不違反法律法規的前提下請求刪除。

（五）解釋說明權。當用戶對圖書館收集、保管和處理其信息存在不明白的地方時，有權要求圖書館，或通過圖書館要求第三方平臺予以解釋。

如果權利人死亡，除權利人生前另有安排外，其近親屬可以在法律法規允許的范圍內行使查閱、復制、更正、刪除等權利。

四、圖書館用戶個人信息保護細則和措施

我國圖書館體系作為國家公共文化服務體系的重要組成部分，受地方政府和行業主管部門的領導管理，也接受圖書館行業協會的指導。同時我國圖書館形式多樣，主要有國家圖書館、公共圖書館、學校圖書館、專業圖書館、軍事圖書館等類型，每一種類型圖書館的隸屬機構不同，管理模式存在些許差異。故筆者認為圖書館對用戶個人信息的保護可以從三個方面來探討：地方政府或地方行業主管部門制定的專門規范性文件、行業標準與慣例，以及單個圖書館的自治管理。這三方面從上到下，由粗至細，相輔相成。

（一）各省、自治區、直轄市政府或行業主管部門應當依據《民法典》《個人信息保護法》《公共圖書館法》等法律法規制定適宜本地區的圖書館服務條例或管理辦法，將對用戶個人信息的保護納入圖書館責任范疇。在服務條例或管理辦法中明確規定個人信息保護機制和泄露追責機制，并要求把相關服務和保障內容的落實作為圖書館管理人員年度考核內容之一。這是從規范制度上予以統一規定。

（二）圖書館行業協會作為政府、企業、個人之間自治性中介組織，應當充分發揮其協調、監督、自律、公正和溝通的作用，主動制定和發布適用于本行業的用戶個人信息保護要求和標準，使本行業人員對個人信息的范圍、如何管理處理個人信息有清晰認識。輔之對個人信息保護的重要性作公開宣傳倡導推廣，組織相關知識的專題培訓，強化圖書館從業人員對個人信息保護的思想認識，帶動整個行業對個人信息保護的重視，促使行業自律，并逐漸就個人信息保護形成行業慣例。

（三）單個圖書館的自治管理，也是最重要的實際保護措施，關系到前述兩點之落實。筆者認為具體保護措施可分為以下幾點：［3］

1.加強圖書館（或第三方）網絡平臺的信息安全建設

圖書館提供服務所涉平臺通常囊括了圖書館門戶網站、館藏查詢索引目錄系統、圖書借還系統（如金盤圖書館NET集成管理系統、RFID自助借還系統等）、各類電子數據庫、移動圖書館、座位管理系統、遠程訪問系統、館際互借和文獻傳遞、學位論文管理系統等。通常來講，圖書館在建設時一般更注重模塊內容的豐富完善程度和用戶體驗感，而忽視了對用戶個人信息的安全保護，容易出現技術漏洞，使不法分子通過追蹤竊取用戶注冊登錄的身份信息、聯系方式、住址、借閱查詢信息，甚至座位信息等，了解到用戶的個人基本信息、興趣愛好、健康情況、行蹤定位等，造成用戶個人隱私泄露乃至人身安全問題。故加強圖書館網絡平臺的數據安全建設，完善技術手段，是保護用戶個人信息的首要措施。

如果圖書館所提供的服務由第三方平臺銜接，則圖書館應當與合作方簽署保密協議。將保護用戶個人信息納入合作方的協議義務范圍，并環環相扣，設立完備的監督和追責機制。使圖書館與第三方平臺作為提供服務之共同體，義務共擔，才能有效保障用戶的信息安全。

2.規范圖書館的日常管理

圖書館應當制定統一詳細的日常管理規范。首先，圖書館館員在服務過程中接觸到的用戶個人信息，應當有明確的保管、處理辦法加以約束，如指定用戶信息專人專管，用戶信息的保管方式、時限，到期個人信息的銷毀程序，設置網絡平臺的管理專員，登錄記錄、瀏覽歷史清除時限等予以詳細規范。其次，特定硬件設施的設計和管理方面，如為保護用戶財產安全和防止意外事件，圖書館等公共場所均安裝有攝像頭，攝像頭在發揮證據作用的同時，也可能涉嫌侵犯他人肖像權、定位他人行蹤軌跡等非法用途。例如新聞曾報道過利用攝像頭窺探他人隱私，甚至出現過將攝像頭聯網，在網絡上進行非法直播的惡劣事件。因此，攝像頭的安放位置，所錄制視頻文件的管理和定期清理均應當有專門明確的規定。最后，在責任機制上，將圖書館對用戶個人信息的保護與相關人員、負責人的績效考核內容掛鉤，形成權責壓力以更好地落實保護效果。

3.提高圖書館員的個人信息安全保護思想意識

很長時間里，圖書館業內只注重服務內容和態度的轉變提升，而對圖書館員所接觸到的用戶個人信息缺乏保密意識。在前互聯網時代，紙質文本流傳的范圍極其有限，但互聯網時代則幾乎讓人無處可藏。加強培養圖書館員的信息保護意識，幫助圖書館員認識到保管、處理個人信息的重要性成為圖書館從業人員培訓的必要內容。圖書館可以通過專業培訓、定期講座、常態化宣傳等方式提升館員的信息保護思想意識。對于專門負責收集、保管、處理用戶個人信息的人員，還應當作背景、思想狀況調查，建立日常監督機制，全面提高管理人員的信息素養和保密意識。

4.加強讀者的個人信息保護意識

圖書館作為公共文化教育機構，應當在履行好自身基本職能的基礎上，充分發揮個人信息保護的社會宣傳作用，大力利用公共條件開展宣傳，提高用戶個人信息保護意識。如圖書館可以利用自身的場所優勢，通過網絡宣傳、專題講座、室內標語等方式，幫助公眾建立起良好的個人信息防范意識。

五、結語

在當今信息技術高度發達的時代，如何讓公眾在自由利用公共資源的同時，保護其私域空間免受非法侵犯，是圖書館業提供服務時亟待重視的問題，也是圖書館業與時俱進的發展要求。只有建立起用戶與圖書館之間的良性互動，增強用戶自由利用線上線下資源的安全感，才能更好地發揮圖書館促進文化事業發展的社會作用。