個人信息保護制度創新背景下圖書館讀者信息保護研究

陳 坤

(蚌埠學院 圖書館,安徽 蚌埠 233030)

我國《民法典》將人格權獨立成編,并基于社會現實需要在人格權編系統地確立了個人信息保護制度,并對該制度進行了諸多創新和發展[1]?！睹穹ǖ洹逢P于個人信息保護的規定,為圖書館讀者信息保護工作提供了具有民事基本法效力的法律依據,同時因其對傳統個人信息保護制度的創新和發展,也給圖書館讀者信息保護工作帶來了新的挑戰,增加了圖書館讀者信息保護工作的難度。圖書館必須采取相應的變革,以適應我國個人信息保護制度的新變化。本文擬在介紹我國《民法典》對個人信息保護制度創新及其創新對讀者信息保護工作所產生影響的基礎上,具體討論圖書館的應對策略,以期為圖書館更好地適應個人信息保護制度變化,更有效地保護讀者個人信息,最大限度地降低讀者信息保護工作中的法律風險貢獻些微力量。

1 《民法典》對個人信息保護制度的發展

1.1 《民法典》系統確立了個人信息保護制度

2021年1月1日正式實施的《民法典》對我國個人信息保護做了系統規定,形成了完整的個人信息保護制度[2]。該制度主要內容由個人信息與范圍界定,個人信息處理原則、條件與免責事由,個人信息主體權利,個人信息處理者與法定機構及其工作人員的義務等構成[3]。

《民法典》對個人信息及其范圍進行了界定。個人信息的定義與范圍在《網絡安全法》《信息安全技術·個人信息安全規范》等文件中都有較完整的表述[4-5],但《民法典》對之進行了有別于其他在先的規范性文件的規定。根據《民法典》第1034條規定,個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”。這里需要說明的是,《民法典》第1034條第2款所列舉的部分個人信息,如健康信息、行蹤信息,可能因信息主體的意志而轉變為個人隱私。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息[3]。

《民法典》對個人信息的處理原則、條件與免責情形等重要事項進行了詳細規定。處理個人信息的基本原則是：“合法、正當、必要、適度?！庇蟹梢罁?、有正當理由、為開展業務或其他合理事項所必需、將個人信息處理限定在滿足需要的最低限度等,是個人信息處理者必須遵守的基本準則。處理者可以處理個人信息,但必須滿足一定條件,即征得該自然人或者其監護人同意,公開處理信息的規則,明示處理信息的目的、方式和范圍,不違反法律、行政法規等規范性文件的規定和雙方的約定。處理者在處理個人信息時存在侵犯個人信息權益的風險,但也存在免責的例外。在自然人或者其監護人同意的范圍內處理個人信息、對自然人自行公開的或者其他已經合法公開的信息進行處理(該自然人明確拒絕或者處理該信息侵害其重大利益的除外),以及為維護公共利益或者該自然人合法權益而合理實施的其他行為,處理者不需要承擔民事侵權責任。

《民法典》對自然人基于其個人信息而享有的權利進行了規定。自然人對其個人信息享有許可使用權,以及信息處理過程中的查閱或復制權、更正權、刪除權等。自然人可以基于“同意”的意思表示許可他人處理其個人信息。為盡可能地降低個人信息處理過程中的侵權風險,保護個人信息主體的合法權益,應賦予信息主體查詢、復制處理中的個人信息、更正處理中的錯誤信息、刪除非法或違反約定處理的個人信息的權利。上述權利的存在,雖然不能完全杜絕個人信息合法權益被侵犯,但給個人信息主體提供了維權的基礎和法律依據。

《民法典》對信息處理者在處理個人信息時應承擔的責任與義務做了明確規定。處理者在處理個人信息時應承擔的責任與義務主要有以下幾個方面：(1)不得泄露或者篡改其收集、存儲的個人信息;(2)未經自然人同意,不得向他人非法提供其個人信息。但是經過加工無法識別特定個人且不能復原的個人信息除外;(3)采取技術措施和其他必要措施,確保收集、存儲的個人信息安全,防止信息泄露、篡改、丟失;(4)對處理個人信息過程中接觸的個人信息承擔保密的義務,不得泄露或者向他人非法提供;(5)確保個人信息主體所享有的查閱或復制個人信息權、更正權、刪除權等實現。在信息主體提出請求時,個人信息處理者應積極響應,并根據情況做出相應處理。

1.2 民法典對個人信息保護制度的創新

個人信息保護制度在我國《民法典》頒布前已經建立,但《民法典》對個人信息保護的規定相較于此前的法律規定有較大變化,體現出對個人信息保護制度的創新與發展。

確認個人信息權益為人格權益。在《民法典》頒布前,關于個人信息保護的法律規定已經存在,如《刑法修正案(七)》《刑法修正案(九)》《網絡安全法》,以及已廢止的《侵權責任法》《民法總則》等法律文件中都對個人信息保護做了規定,但都沒有明確自然人的個人信息權益的性質[6-8]?！睹穹ǖ洹穼€人信息保護納入人格權編,并對其保護和利用進行了系統規定,說明立法者將個人信息的權益屬性認定為人格權益,為個人信息保護指明了方向,對止息理論研究與司法實務中關于個人信息法律屬性的爭論具有重要意義[9-12]。

使用“處理”和“處理者”來表述與個人信息相關的行為和主體?！睹穹ǖ洹奉C布前,法律法規在描述個人信息相關行為時多將其細化和具體化,如《民法總則》分別用“收集、使用、加工、傳輸、提供、公開”等描述與個人信息有關的行為?！睹穹ǖ洹奉C布后,將對個人信息收集、處理、加工、使用、提供和公開等行為統一規定為“處理”。從立法技術的角度看,這確實是一種新的嘗試。此外,《民法典》還使用“處理者”來統一稱謂個人信息利用過程中的不同主體,這與之前相關規范性文件中將其區分為信息收集者、信息控制者、信息加工者等也大不相同[5]?！睹穹ǖ洹逢P于信息處理過程中相關主體的規定雖然顯得有些籠統,對具體法律關系的成立和不同行為人參與的特定法律關系內容的設定等有所影響,但表述確實更為簡潔。

明確了自然人對其個人信息享有的具體權利內容。知情與同意權、許可使用權、查詢與復制權、更正權、刪除權等在民法典中都有明確的規定。關于這些權利的規定在此前的相關法律法規中也有,如《網絡安全法》第43條規定了更正和刪除個人信息的請求權,但都沒有《民法典》規定的全面和具體。

明確了隱私保護優先規則?！睹穹ǖ洹匪袀€人信息中的部分信息可能因信息主體的意思表示而轉變成“隱私”,如前文舉例中的健康信息、行蹤信息等。法律關于隱私和非隱私保護的強度不同,適用不同的規定,將直接影響到對自然人個人信息保護的力度。個人信息與隱私間的轉換一直存在,但對該部分信息適用何種規則進行保護缺少規定?！睹穹ǖ洹返念C布,徹底解決了這個問題。根據《民法典》規定,對自然人個人信息保護的法律適用應區分個人信息和隱私,分別適用不同的保護規則,且優先適用隱私權保護。這在民事立法上,應該說是一個非常大的突破和進步,對充分保護自然人的個人信息權益具有重要意義。

2 個人信息保護制度創新對圖書館讀者信息保護工作的影響

2.1 增加了圖書館讀者信息保護工作的難度

《民法典》對個人信息和隱私權保護適用不同的規則,同時規定了個人信息中符合隱私特點的個人信息優先適用隱私權保護規則。個人信息保護適用規則的復雜化,必然導致圖書館保護讀者個人信息工作的難度增加。因提供服務需要,圖書館收集有相對完整的讀者個人信息,且在服務過程中保存有大量讀者個人信息,如借閱信息、在館行蹤信息等。這些信息的性質受讀者個人意志的影響很大,因為個人信息和隱私間的轉換在很多情況下是由讀者的個人意志所決定的。雖然按照《民法典》的規定,身份證、電話號碼、電子郵箱、個人健康信息、行蹤信息等屬于個人信息的范疇,但如果讀者不愿意將這些信息對外公開,那么這些信息就是私密信息,屬于隱私的范疇。就特定讀者來說,對其不愿公開的這部分個人信息的保護應該適用隱私權的保護規則,一旦圖書館侵害了特定讀者的這部分信息權益,將承擔比侵犯個人信息權益更重的法律責任。此外,需要注意的是,“隱私止于屋門之前”的觀點并不完全正確,公共場所同樣存在私密空間[13]。

圖書館作為公共場所,可能因為不恰當的“監控”而侵犯讀者隱私。因此,圖書館做好包括隱私保護在內的讀者信息保護的預防性措施顯得非常重要[14]。但這對于一般圖書館來說會有困難,因為就目前圖書館的館員隊伍現狀來看,缺乏法律人才是普遍現象,在缺少法律專業人才的情況下,要想很好地應對更為復雜的讀者個人信息保護工作不會是件容易的事。

2.2 拉高了圖書館讀者信息保護的成本

就讀者個人信息收集使用來說,圖書館的角色是信息處理者。根據《民法典》第1038條第2款規定,“信息處理者應當采取技術措施和其他必要措施,確保其收集、存儲的個人信息安全,防止信息泄露、篡改、丟失?！眻D書館要滿足法律規定的保證個人信息安全的條件,至少需要提供安全技術措施、數據安全備份設備,以及相關技術人員。這對于經費充裕、人才儲備充足的圖書館,如國家圖書館、清華大學圖書館等來說不是問題,但對于一般高校圖書館、省級以下公共圖書館來說,則必然增加其保護讀者信息方面的軟件、硬件、規則和程序方面的成本。對于經費投入不足的大部分圖書館來說,其保護讀者信息的基礎條件在《民法典》正式實施后的一段時間內很難達標。圖書館要滿足《民法典》關于個人信息保護的條件要求必須加大投入,相關投入的增加勢必拉高該圖書館讀者信息保護的成本。

2.3 提高了圖書館成為侵權對象的幾率

圖書館收集、存儲有大量的讀者信息,保護這些讀者信息的安全與權益是圖書館的責任和義務。然而,在《民法典》頒布之前,《網絡安全法》等法律法規雖然對個人信息的收集使用也有規定,但規定的不像《民法典》這樣明確和具體,可操作性也相對較弱。坦率地說,在之前那樣的法律環境下,圖書館保護讀者個人信息的壓力相對較小?！睹穹ǖ洹奉C布后,個人信息保護制度更加完善,個人信息保護范圍、信息處理原則、條件、保護規則等都非常明確,具有更強的操作性,且《民法典》是調整民事法律關系的基本法律,讀者很容易利用《民法典》的規定發起保護自己個人信息的維權行動,圖書館稍有不慎就可能成為讀者基于個人信息保護的維權對象。

3 圖書館應對讀者信息保護壓力的策略

3.1 加強普法教育讓館員熟悉個人信息保護制度

避免侵權行為發生的前提是守法,而守法的前提是了解法律?！睹穹ǖ洹肥俏覈袷铝⒎ㄈ〉玫木薮蟪删?雖然其構成中包括了《民法總則》《合同法》《侵權責任法》(這三個法律文件在民法典頒布實施后已廢止)等法律文件內容,但是《民法典》也有很多創新和發展,如對現行法律文件內容修改(合同法中的合同類型的變化)、增設“人格權編”等。圖書館要想在新的法律環境下做好讀者信息保護工作,必須加強宣傳和引導,鼓勵館員學習了解《民法典》相關內容,從而讓館員達到“知法”狀態,為守法提供必要的基礎和前提。

3.2 加強讀者信息保護制度建設

沒有規矩不成方圓,完善的制度建設,對于讀者信息保護工作的合法有序開展具有重要意義。圖書館應結合《民法典》關于隱私權和個人信息保護規定,制定和完善圖書館讀者信息保護制度,用制度來約束圖書館及其工作人員的相關行為。

讀者信息保護制度應對以下內容做出明確而具體的規定：(1)“通知”與“同意”規則?！巴ㄖ迸c“同意”是個人信息“處理”的基本規則,應在具體制度中予以明確并嚴格執行。這是圖書館作為個人信息處理者規避風險的前提和基本措施;(2)讀者反饋信息的處理。更正與刪除存在問題的信息,既是讀者的權利,也是圖書館的義務。圖書館應在讀者信息保護制度中加以明確并做出具體規定,一旦讀者提出異議,即應做出積極回應;(3)技術與安全保障措施。防止讀者信息因設備故障、系統漏洞、安全防護不到位等原因而出現丟失、泄露等情況是圖書館保護讀者信息的法定義務,關于技術與安全保障方面的規定應是讀者信息保護制度中不可或缺的內容;(4)風險通知與上報?！睹穹ǖ洹穼Α帮L險通知與上報”有明確規定,讀者信息保護制度對此應有回應,對可能危及讀者信息安全的情形及處置措施、流程等做出明確且具有可操作性的規定。

3.3 加強專業人才隊伍建設

僅就滿足讀者個人信息保護需要來說,圖書館至少需要兩類人才,法律專業人才和信息技術人才。從目前圖書館人才隊伍建設情況看,因圖書館信息化建設與服務需要,信息技術人才的儲備相對好些,但法律人才缺乏則是普遍現象。因此,有針對性地加大專業人才引進并穩定,是圖書館做好讀者個人信息保護工作的必要條件之一。

3.4 培養讀者的授權意識

圖書館應有目的地去培養讀者對個人信息使用的授權意識。培養讀者授權意識不僅可以保證讀者信息被合法收集、利用,而且可以有效減少圖書館后期使用讀者信息的授權成本,以及降低第三方(資源與服務提供商)侵犯讀者個人信息權益的風險?，F實中,很多讀者保護自己個人信息的意識淡薄,不太關注信息處理者發布的隱私規則內容,且對相關規則或協議“同意”得很隨意。不看協議內容,遇到“協議”一律點“同意”,甚至“同意”可能存在損害自己合法利益的用戶協議。這種授權態度將導致以下不利結果出現：一是,讀者不了解授權內容即授權,極易對自己的個人信息權益造成消極影響;二是,因不清楚自己授權內容,對信息處理者合法使用其個人信息持懷疑態度,易引發“沖突”,增加信息處理者處理信息的成本。為避免這種現象出現,圖書館應重視培養讀者的授權意識,督促讀者重視授權協議內容,確保對個人信息的授權適度而合理。

3.5 嚴格依法處理讀者個人信息

圖書館應嚴格按照《民法典》關于個人信息處理規定去收集、存儲、使用、加工、傳輸、提供、公開讀者個人信息。這樣既可以降低風險,也可以保護雙方的合法利益?！睹穹ǖ洹吩谝幎▊€人信息保護原則與條件、處理者的責任與義務的同時,還對個人信息處理的免責事由做出了具體規定。圖書館可以在嚴格遵守法律規定的前提下充分利用“免責條款”來降低圖書館處理讀者個人信息的成本和風險。

3.6 強化資源與服務提供者保護讀者個人信息的義務和責任

圖書館電子資源服務對于讀者來說非常重要,而電子資源服務過程中,無論是數據庫等電子資源所有者還是相關服務平臺提供者,都收集有讀者個人信息,如圖書館集成管理系統、座位預約系統、移動圖書館等。這些服務提供者,如果缺少保護讀者個人信息的意識,將獲取的信息進行非法處理,必將侵犯讀者個人信息權益。2020年7月30日,北京互聯網法院對“黃某訴微信讀書侵犯其個人信息權益及隱私權案”“凌某某訴抖音侵犯其個人信息權益及隱私權案”做出一審宣判,分別認定微信讀書、抖音均存在侵害用戶個人信息權益的情形,追究了相關被告的民事責任[15]。黃某訴微信讀書案中,黃某使用“微信讀書3.3.0版本”時發現,在其不知情的情況下,該軟件自動關注微信好友、默認開放讀書記錄;凌某某訴抖音案中,原告凌某某在手機通訊錄除本人外沒有其他聯系人的情況下,使用該手機號碼注冊登錄抖音App后,被推薦大量“可能認識的人”,其中包括多年未聯系的同學、朋友。這兩個案件成為《民法典》頒布后,體現《民法典》保護互聯網時代公民個人信息權益的典型案件,具有很強的警醒作用,值得關注。因此,強化資源與服務提供者保護讀者個人信息的責任與義務非常重要。圖書館可以通過合同對此責任和義務進行約定,并對侵權責任的追究與承擔予以明確。

4 結論

《民法典》的頒布實施,對我國民事法律制度建設具有重要意義,對其規范的對象及相關主體的影響很大。在新的法律環境下,圖書館要想做好讀者信息保護工作,不僅要充分學習了解《民法典》的相關規定,還需要對讀者信息保護工作予以充分重視,并采取行之有效的應對策略和方法。同時,圖書館還應關注相關保護規定的新變化和圖書館工作中涉及個人信息處理的新內容,及時做出應變,以便更好地保護讀者個人信息權益,盡可能地降低圖書館處理讀者個人信息的風險。