陳 坤

(蚌埠學(xué)院 圖書館,安徽 蚌埠 233030)

我國《民法典》將人格權(quán)獨立成編,并基于社會現(xiàn)實需要在人格權(quán)編系統(tǒng)地確立了個人信息保護(hù)制度,并對該制度進(jìn)行了諸多創(chuàng)新和發(fā)展[1]?！睹穹ǖ洹逢P(guān)于個人信息保護(hù)的規(guī)定,為圖書館讀者信息保護(hù)工作提供了具有民事基本法效力的法律依據(jù),同時因其對傳統(tǒng)個人信息保護(hù)制度的創(chuàng)新和發(fā)展,也給圖書館讀者信息保護(hù)工作帶來了新的挑戰(zhàn),增加了圖書館讀者信息保護(hù)工作的難度。圖書館必須采取相應(yīng)的變革,以適應(yīng)我國個人信息保護(hù)制度的新變化。本文擬在介紹我國《民法典》對個人信息保護(hù)制度創(chuàng)新及其創(chuàng)新對讀者信息保護(hù)工作所產(chǎn)生影響的基礎(chǔ)上,具體討論圖書館的應(yīng)對策略,以期為圖書館更好地適應(yīng)個人信息保護(hù)制度變化,更有效地保護(hù)讀者個人信息,最大限度地降低讀者信息保護(hù)工作中的法律風(fēng)險貢獻(xiàn)些微力量。

1 《民法典》對個人信息保護(hù)制度的發(fā)展

1.1 《民法典》系統(tǒng)確立了個人信息保護(hù)制度

2021年1月1日正式實施的《民法典》對我國個人信息保護(hù)做了系統(tǒng)規(guī)定,形成了完整的個人信息保護(hù)制度[2]。該制度主要內(nèi)容由個人信息與范圍界定,個人信息處理原則、條件與免責(zé)事由,個人信息主體權(quán)利,個人信息處理者與法定機(jī)構(gòu)及其工作人員的義務(wù)等構(gòu)成[3]。

《民法典》對個人信息及其范圍進(jìn)行了界定。個人信息的定義與范圍在《網(wǎng)絡(luò)安全法》《信息安全技術(shù)·個人信息安全規(guī)范》等文件中都有較完整的表述[4-5],但《民法典》對之進(jìn)行了有別于其他在先的規(guī)范性文件的規(guī)定。根據(jù)《民法典》第1034條規(guī)定,個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”。這里需要說明的是,《民法典》第1034條第2款所列舉的部分個人信息,如健康信息、行蹤信息,可能因信息主體的意志而轉(zhuǎn)變?yōu)閭€人隱私。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息[3]。

《民法典》對個人信息的處理原則、條件與免責(zé)情形等重要事項進(jìn)行了詳細(xì)規(guī)定。處理個人信息的基本原則是：“合法、正當(dāng)、必要、適度?！庇蟹梢罁?jù)、有正當(dāng)理由、為開展業(yè)務(wù)或其他合理事項所必需、將個人信息處理限定在滿足需要的最低限度等,是個人信息處理者必須遵守的基本準(zhǔn)則。處理者可以處理個人信息,但必須滿足一定條件,即征得該自然人或者其監(jiān)護(hù)人同意,公開處理信息的規(guī)則,明示處理信息的目的、方式和范圍,不違反法律、行政法規(guī)等規(guī)范性文件的規(guī)定和雙方的約定。處理者在處理個人信息時存在侵犯個人信息權(quán)益的風(fēng)險,但也存在免責(zé)的例外。在自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)處理個人信息、對自然人自行公開的或者其他已經(jīng)合法公開的信息進(jìn)行處理(該自然人明確拒絕或者處理該信息侵害其重大利益的除外),以及為維護(hù)公共利益或者該自然人合法權(quán)益而合理實施的其他行為,處理者不需要承擔(dān)民事侵權(quán)責(zé)任。

《民法典》對自然人基于其個人信息而享有的權(quán)利進(jìn)行了規(guī)定。自然人對其個人信息享有許可使用權(quán),以及信息處理過程中的查閱或復(fù)制權(quán)、更正權(quán)、刪除權(quán)等。自然人可以基于“同意”的意思表示許可他人處理其個人信息。為盡可能地降低個人信息處理過程中的侵權(quán)風(fēng)險,保護(hù)個人信息主體的合法權(quán)益,應(yīng)賦予信息主體查詢、復(fù)制處理中的個人信息、更正處理中的錯誤信息、刪除非法或違反約定處理的個人信息的權(quán)利。上述權(quán)利的存在,雖然不能完全杜絕個人信息合法權(quán)益被侵犯,但給個人信息主體提供了維權(quán)的基礎(chǔ)和法律依據(jù)。

《民法典》對信息處理者在處理個人信息時應(yīng)承擔(dān)的責(zé)任與義務(wù)做了明確規(guī)定。處理者在處理個人信息時應(yīng)承擔(dān)的責(zé)任與義務(wù)主要有以下幾個方面：(1)不得泄露或者篡改其收集、存儲的個人信息;(2)未經(jīng)自然人同意,不得向他人非法提供其個人信息。但是經(jīng)過加工無法識別特定個人且不能復(fù)原的個人信息除外;(3)采取技術(shù)措施和其他必要措施,確保收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;(4)對處理個人信息過程中接觸的個人信息承擔(dān)保密的義務(wù),不得泄露或者向他人非法提供;(5)確保個人信息主體所享有的查閱或復(fù)制個人信息權(quán)、更正權(quán)、刪除權(quán)等實現(xiàn)。在信息主體提出請求時,個人信息處理者應(yīng)積極響應(yīng),并根據(jù)情況做出相應(yīng)處理。

1.2 民法典對個人信息保護(hù)制度的創(chuàng)新

個人信息保護(hù)制度在我國《民法典》頒布前已經(jīng)建立,但《民法典》對個人信息保護(hù)的規(guī)定相較于此前的法律規(guī)定有較大變化,體現(xiàn)出對個人信息保護(hù)制度的創(chuàng)新與發(fā)展。

確認(rèn)個人信息權(quán)益為人格權(quán)益。在《民法典》頒布前,關(guān)于個人信息保護(hù)的法律規(guī)定已經(jīng)存在,如《刑法修正案(七)》《刑法修正案(九)》《網(wǎng)絡(luò)安全法》,以及已廢止的《侵權(quán)責(zé)任法》《民法總則》等法律文件中都對個人信息保護(hù)做了規(guī)定,但都沒有明確自然人的個人信息權(quán)益的性質(zhì)[6-8]?！睹穹ǖ洹穼€人信息保護(hù)納入人格權(quán)編,并對其保護(hù)和利用進(jìn)行了系統(tǒng)規(guī)定,說明立法者將個人信息的權(quán)益屬性認(rèn)定為人格權(quán)益,為個人信息保護(hù)指明了方向,對止息理論研究與司法實務(wù)中關(guān)于個人信息法律屬性的爭論具有重要意義[9-12]。

使用“處理”和“處理者”來表述與個人信息相關(guān)的行為和主體?！睹穹ǖ洹奉C布前,法律法規(guī)在描述個人信息相關(guān)行為時多將其細(xì)化和具體化,如《民法總則》分別用“收集、使用、加工、傳輸、提供、公開”等描述與個人信息有關(guān)的行為?！睹穹ǖ洹奉C布后,將對個人信息收集、處理、加工、使用、提供和公開等行為統(tǒng)一規(guī)定為“處理”。從立法技術(shù)的角度看,這確實是一種新的嘗試。此外,《民法典》還使用“處理者”來統(tǒng)一稱謂個人信息利用過程中的不同主體,這與之前相關(guān)規(guī)范性文件中將其區(qū)分為信息收集者、信息控制者、信息加工者等也大不相同[5]?！睹穹ǖ洹逢P(guān)于信息處理過程中相關(guān)主體的規(guī)定雖然顯得有些籠統(tǒng),對具體法律關(guān)系的成立和不同行為人參與的特定法律關(guān)系內(nèi)容的設(shè)定等有所影響,但表述確實更為簡潔。

明確了自然人對其個人信息享有的具體權(quán)利內(nèi)容。知情與同意權(quán)、許可使用權(quán)、查詢與復(fù)制權(quán)、更正權(quán)、刪除權(quán)等在民法典中都有明確的規(guī)定。關(guān)于這些權(quán)利的規(guī)定在此前的相關(guān)法律法規(guī)中也有,如《網(wǎng)絡(luò)安全法》第43條規(guī)定了更正和刪除個人信息的請求權(quán),但都沒有《民法典》規(guī)定的全面和具體。

明確了隱私保護(hù)優(yōu)先規(guī)則。《民法典》所列個人信息中的部分信息可能因信息主體的意思表示而轉(zhuǎn)變成“隱私”,如前文舉例中的健康信息、行蹤信息等。法律關(guān)于隱私和非隱私保護(hù)的強(qiáng)度不同,適用不同的規(guī)定,將直接影響到對自然人個人信息保護(hù)的力度。個人信息與隱私間的轉(zhuǎn)換一直存在,但對該部分信息適用何種規(guī)則進(jìn)行保護(hù)缺少規(guī)定?！睹穹ǖ洹返念C布,徹底解決了這個問題。根據(jù)《民法典》規(guī)定,對自然人個人信息保護(hù)的法律適用應(yīng)區(qū)分個人信息和隱私,分別適用不同的保護(hù)規(guī)則,且優(yōu)先適用隱私權(quán)保護(hù)。這在民事立法上,應(yīng)該說是一個非常大的突破和進(jìn)步,對充分保護(hù)自然人的個人信息權(quán)益具有重要意義。

2 個人信息保護(hù)制度創(chuàng)新對圖書館讀者信息保護(hù)工作的影響

2.1 增加了圖書館讀者信息保護(hù)工作的難度

《民法典》對個人信息和隱私權(quán)保護(hù)適用不同的規(guī)則,同時規(guī)定了個人信息中符合隱私特點的個人信息優(yōu)先適用隱私權(quán)保護(hù)規(guī)則。個人信息保護(hù)適用規(guī)則的復(fù)雜化,必然導(dǎo)致圖書館保護(hù)讀者個人信息工作的難度增加。因提供服務(wù)需要,圖書館收集有相對完整的讀者個人信息,且在服務(wù)過程中保存有大量讀者個人信息,如借閱信息、在館行蹤信息等。這些信息的性質(zhì)受讀者個人意志的影響很大,因為個人信息和隱私間的轉(zhuǎn)換在很多情況下是由讀者的個人意志所決定的。雖然按照《民法典》的規(guī)定,身份證、電話號碼、電子郵箱、個人健康信息、行蹤信息等屬于個人信息的范疇,但如果讀者不愿意將這些信息對外公開,那么這些信息就是私密信息,屬于隱私的范疇。就特定讀者來說,對其不愿公開的這部分個人信息的保護(hù)應(yīng)該適用隱私權(quán)的保護(hù)規(guī)則,一旦圖書館侵害了特定讀者的這部分信息權(quán)益,將承擔(dān)比侵犯個人信息權(quán)益更重的法律責(zé)任。此外,需要注意的是,“隱私止于屋門之前”的觀點并不完全正確,公共場所同樣存在私密空間[13]。

圖書館作為公共場所,可能因為不恰當(dāng)?shù)摹氨O(jiān)控”而侵犯讀者隱私。因此,圖書館做好包括隱私保護(hù)在內(nèi)的讀者信息保護(hù)的預(yù)防性措施顯得非常重要[14]。但這對于一般圖書館來說會有困難,因為就目前圖書館的館員隊伍現(xiàn)狀來看,缺乏法律人才是普遍現(xiàn)象,在缺少法律專業(yè)人才的情況下,要想很好地應(yīng)對更為復(fù)雜的讀者個人信息保護(hù)工作不會是件容易的事。

2.2 拉高了圖書館讀者信息保護(hù)的成本

就讀者個人信息收集使用來說,圖書館的角色是信息處理者。根據(jù)《民法典》第1038條第2款規(guī)定,“信息處理者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失?！眻D書館要滿足法律規(guī)定的保證個人信息安全的條件,至少需要提供安全技術(shù)措施、數(shù)據(jù)安全備份設(shè)備,以及相關(guān)技術(shù)人員。這對于經(jīng)費充裕、人才儲備充足的圖書館,如國家圖書館、清華大學(xué)圖書館等來說不是問題,但對于一般高校圖書館、省級以下公共圖書館來說,則必然增加其保護(hù)讀者信息方面的軟件、硬件、規(guī)則和程序方面的成本。對于經(jīng)費投入不足的大部分圖書館來說,其保護(hù)讀者信息的基礎(chǔ)條件在《民法典》正式實施后的一段時間內(nèi)很難達(dá)標(biāo)。圖書館要滿足《民法典》關(guān)于個人信息保護(hù)的條件要求必須加大投入,相關(guān)投入的增加勢必拉高該圖書館讀者信息保護(hù)的成本。

2.3 提高了圖書館成為侵權(quán)對象的幾率

圖書館收集、存儲有大量的讀者信息,保護(hù)這些讀者信息的安全與權(quán)益是圖書館的責(zé)任和義務(wù)。然而,在《民法典》頒布之前,《網(wǎng)絡(luò)安全法》等法律法規(guī)雖然對個人信息的收集使用也有規(guī)定,但規(guī)定的不像《民法典》這樣明確和具體,可操作性也相對較弱。坦率地說,在之前那樣的法律環(huán)境下,圖書館保護(hù)讀者個人信息的壓力相對較小。《民法典》頒布后,個人信息保護(hù)制度更加完善,個人信息保護(hù)范圍、信息處理原則、條件、保護(hù)規(guī)則等都非常明確,具有更強(qiáng)的操作性,且《民法典》是調(diào)整民事法律關(guān)系的基本法律,讀者很容易利用《民法典》的規(guī)定發(fā)起保護(hù)自己個人信息的維權(quán)行動,圖書館稍有不慎就可能成為讀者基于個人信息保護(hù)的維權(quán)對象。

3 圖書館應(yīng)對讀者信息保護(hù)壓力的策略

3.1 加強(qiáng)普法教育讓館員熟悉個人信息保護(hù)制度

避免侵權(quán)行為發(fā)生的前提是守法,而守法的前提是了解法律?！睹穹ǖ洹肥俏覈袷铝⒎ㄈ〉玫木薮蟪删?雖然其構(gòu)成中包括了《民法總則》《合同法》《侵權(quán)責(zé)任法》(這三個法律文件在民法典頒布實施后已廢止)等法律文件內(nèi)容,但是《民法典》也有很多創(chuàng)新和發(fā)展,如對現(xiàn)行法律文件內(nèi)容修改(合同法中的合同類型的變化)、增設(shè)“人格權(quán)編”等。圖書館要想在新的法律環(huán)境下做好讀者信息保護(hù)工作,必須加強(qiáng)宣傳和引導(dǎo),鼓勵館員學(xué)習(xí)了解《民法典》相關(guān)內(nèi)容,從而讓館員達(dá)到“知法”狀態(tài),為守法提供必要的基礎(chǔ)和前提。

3.2 加強(qiáng)讀者信息保護(hù)制度建設(shè)

沒有規(guī)矩不成方圓,完善的制度建設(shè),對于讀者信息保護(hù)工作的合法有序開展具有重要意義。圖書館應(yīng)結(jié)合《民法典》關(guān)于隱私權(quán)和個人信息保護(hù)規(guī)定,制定和完善圖書館讀者信息保護(hù)制度,用制度來約束圖書館及其工作人員的相關(guān)行為。

讀者信息保護(hù)制度應(yīng)對以下內(nèi)容做出明確而具體的規(guī)定：(1)“通知”與“同意”規(guī)則?！巴ㄖ迸c“同意”是個人信息“處理”的基本規(guī)則,應(yīng)在具體制度中予以明確并嚴(yán)格執(zhí)行。這是圖書館作為個人信息處理者規(guī)避風(fēng)險的前提和基本措施;(2)讀者反饋信息的處理。更正與刪除存在問題的信息,既是讀者的權(quán)利,也是圖書館的義務(wù)。圖書館應(yīng)在讀者信息保護(hù)制度中加以明確并做出具體規(guī)定,一旦讀者提出異議,即應(yīng)做出積極回應(yīng);(3)技術(shù)與安全保障措施。防止讀者信息因設(shè)備故障、系統(tǒng)漏洞、安全防護(hù)不到位等原因而出現(xiàn)丟失、泄露等情況是圖書館保護(hù)讀者信息的法定義務(wù),關(guān)于技術(shù)與安全保障方面的規(guī)定應(yīng)是讀者信息保護(hù)制度中不可或缺的內(nèi)容;(4)風(fēng)險通知與上報?！睹穹ǖ洹穼Α帮L(fēng)險通知與上報”有明確規(guī)定,讀者信息保護(hù)制度對此應(yīng)有回應(yīng),對可能危及讀者信息安全的情形及處置措施、流程等做出明確且具有可操作性的規(guī)定。

3.3 加強(qiáng)專業(yè)人才隊伍建設(shè)

僅就滿足讀者個人信息保護(hù)需要來說,圖書館至少需要兩類人才,法律專業(yè)人才和信息技術(shù)人才。從目前圖書館人才隊伍建設(shè)情況看,因圖書館信息化建設(shè)與服務(wù)需要,信息技術(shù)人才的儲備相對好些,但法律人才缺乏則是普遍現(xiàn)象。因此,有針對性地加大專業(yè)人才引進(jìn)并穩(wěn)定,是圖書館做好讀者個人信息保護(hù)工作的必要條件之一。

3.4 培養(yǎng)讀者的授權(quán)意識

圖書館應(yīng)有目的地去培養(yǎng)讀者對個人信息使用的授權(quán)意識。培養(yǎng)讀者授權(quán)意識不僅可以保證讀者信息被合法收集、利用,而且可以有效減少圖書館后期使用讀者信息的授權(quán)成本,以及降低第三方(資源與服務(wù)提供商)侵犯讀者個人信息權(quán)益的風(fēng)險?，F(xiàn)實中,很多讀者保護(hù)自己個人信息的意識淡薄,不太關(guān)注信息處理者發(fā)布的隱私規(guī)則內(nèi)容,且對相關(guān)規(guī)則或協(xié)議“同意”得很隨意。不看協(xié)議內(nèi)容,遇到“協(xié)議”一律點“同意”,甚至“同意”可能存在損害自己合法利益的用戶協(xié)議。這種授權(quán)態(tài)度將導(dǎo)致以下不利結(jié)果出現(xiàn)：一是,讀者不了解授權(quán)內(nèi)容即授權(quán),極易對自己的個人信息權(quán)益造成消極影響;二是,因不清楚自己授權(quán)內(nèi)容,對信息處理者合法使用其個人信息持懷疑態(tài)度,易引發(fā)“沖突”,增加信息處理者處理信息的成本。為避免這種現(xiàn)象出現(xiàn),圖書館應(yīng)重視培養(yǎng)讀者的授權(quán)意識,督促讀者重視授權(quán)協(xié)議內(nèi)容,確保對個人信息的授權(quán)適度而合理。

3.5 嚴(yán)格依法處理讀者個人信息

圖書館應(yīng)嚴(yán)格按照《民法典》關(guān)于個人信息處理規(guī)定去收集、存儲、使用、加工、傳輸、提供、公開讀者個人信息。這樣既可以降低風(fēng)險,也可以保護(hù)雙方的合法利益?！睹穹ǖ洹吩谝?guī)定個人信息保護(hù)原則與條件、處理者的責(zé)任與義務(wù)的同時,還對個人信息處理的免責(zé)事由做出了具體規(guī)定。圖書館可以在嚴(yán)格遵守法律規(guī)定的前提下充分利用“免責(zé)條款”來降低圖書館處理讀者個人信息的成本和風(fēng)險。

3.6 強(qiáng)化資源與服務(wù)提供者保護(hù)讀者個人信息的義務(wù)和責(zé)任

圖書館電子資源服務(wù)對于讀者來說非常重要,而電子資源服務(wù)過程中,無論是數(shù)據(jù)庫等電子資源所有者還是相關(guān)服務(wù)平臺提供者,都收集有讀者個人信息,如圖書館集成管理系統(tǒng)、座位預(yù)約系統(tǒng)、移動圖書館等。這些服務(wù)提供者,如果缺少保護(hù)讀者個人信息的意識,將獲取的信息進(jìn)行非法處理,必將侵犯讀者個人信息權(quán)益。2020年7月30日,北京互聯(lián)網(wǎng)法院對“黃某訴微信讀書侵犯其個人信息權(quán)益及隱私權(quán)案”“凌某某訴抖音侵犯其個人信息權(quán)益及隱私權(quán)案”做出一審宣判,分別認(rèn)定微信讀書、抖音均存在侵害用戶個人信息權(quán)益的情形,追究了相關(guān)被告的民事責(zé)任[15]。黃某訴微信讀書案中,黃某使用“微信讀書3.3.0版本”時發(fā)現(xiàn),在其不知情的情況下,該軟件自動關(guān)注微信好友、默認(rèn)開放讀書記錄;凌某某訴抖音案中,原告凌某某在手機(jī)通訊錄除本人外沒有其他聯(lián)系人的情況下,使用該手機(jī)號碼注冊登錄抖音App后,被推薦大量“可能認(rèn)識的人”,其中包括多年未聯(lián)系的同學(xué)、朋友。這兩個案件成為《民法典》頒布后,體現(xiàn)《民法典》保護(hù)互聯(lián)網(wǎng)時代公民個人信息權(quán)益的典型案件,具有很強(qiáng)的警醒作用,值得關(guān)注。因此,強(qiáng)化資源與服務(wù)提供者保護(hù)讀者個人信息的責(zé)任與義務(wù)非常重要。圖書館可以通過合同對此責(zé)任和義務(wù)進(jìn)行約定,并對侵權(quán)責(zé)任的追究與承擔(dān)予以明確。

4 結(jié)論

《民法典》的頒布實施,對我國民事法律制度建設(shè)具有重要意義,對其規(guī)范的對象及相關(guān)主體的影響很大。在新的法律環(huán)境下,圖書館要想做好讀者信息保護(hù)工作,不僅要充分學(xué)習(xí)了解《民法典》的相關(guān)規(guī)定,還需要對讀者信息保護(hù)工作予以充分重視,并采取行之有效的應(yīng)對策略和方法。同時,圖書館還應(yīng)關(guān)注相關(guān)保護(hù)規(guī)定的新變化和圖書館工作中涉及個人信息處理的新內(nèi)容,及時做出應(yīng)變,以便更好地保護(hù)讀者個人信息權(quán)益,盡可能地降低圖書館處理讀者個人信息的風(fēng)險。