从《民法典》视角探析图书馆用户个人信息的多维保护机制

柳 倩 万映红

四川师范大学图书与档案信息中心，四川 成都 610101

一、探讨图书馆个人信息保护的意义

互联网和高度发达的大数据技术为人们生活带来前所未有的便捷的同时，个人生活也在数字世界中无所遁形。人们的私人空间被网络不断挤压，传统依靠物理手段所划分的私域和公域界线日益模糊，各种层出不穷的数据挖掘和数据分类，以及无处不在的追踪科技不仅威胁到个人信息，也进一步危及个人的生活空间、身体隐私和关系隐私等，可以说数字技术已然对个人隐私造成了严重威胁。而隐私即自由，是“一个人免于被闯入自己没有明确或暗中向他人开放生活领域的自由”，因为隐私属于消极自由范畴内的权利，人们定义隐私时习惯于采取“免于……被侵扰/侵入/闯入”的表述方式。隐私是个人抵御他人、社会、公权力等外来侵害，能够完全自由支配的自治空间，也是人之所以为人，作为独立个体，保持人格尊严的基本前提条件。一旦隐私被信息掌握方侵犯，任何私人事务都具有演变为公共性事件的风险，公与私的边界荡然无存，个人将毫无尊严可言。［1］

长久以来，图书馆作为普通民众获取各类文化知识和信息的公共交流场所，人们在图书馆中留下了丰富的个人信息或行踪轨迹，其中不乏隐私相关内容，如身份证件号码、联系方式和住所、生物识别信息、健康情况、活动轨迹等。这些信息如果被泄露给不法分子，必将造成严重后果。首先，对用户个人而言，不法分子可能利用这些信息采取垃圾通信手段，发送骚扰短信、骚扰广告等行为，对用户个人生活造成精神困扰；进一步不轨企图者则可能识别分析出个人身份、家庭状况、兴趣爱好、健康信息，乃至行踪定位等，严重的诱发诈骗、人身侵害等刑事案件。这是对任何普通用户都可能形成的威胁。此外，对科研用户来讲，其在图书馆中的检索、访问、阅览和咨询行为，则可能泄露其科研项目、研究方向，进而被他人恶意窃取创新思想，丧失研究先机。其次，对图书馆自身而言，则可能因造成个人信息泄露，使用户对图书馆产生不满或不信任，严重者或引发后续法律纠纷，久而久之将导致图书馆名誉受损，公信力降低，致使图书馆资源利用率下降，阻碍图书馆发挥推动文化事业发展的社会功能作用。

所以，加强图书馆对用户个人信息的管理、保护，不仅是图书馆提供服务的重要内容与职责所在，也是关系到图书馆寻求自身良性发展的时代要求。

二、我国图书馆用户个人信息保护的规范和行业现状

随着《民法典》与《个人信息保护法》的相继出台，我国在个人信息保护领域已构建起较为完整的法律保护体系，设立了从民事责任、行政责任到刑事责任的三重责任保护机制，使此前大肆侵犯公民个人信息和隐私权的社会乱象得到明显遏制。但相关行业对个人信息的具体保护措施尚需进一步细化，本文拟就图书馆行业对个人信息的保护进行探讨。

目前，个人信息保护方面的相关通用规范性文件，除《民法典》第六章“隐私权和个人信息保护”、《个人信息保护法》这部专门法外，《消费者权益保护法》第二十九条、五十条和五十六条，《网络安全法》第二十二条、三十条、四十条至四十五条，《数据安全法》《全国人大常委会关于加强网络信息保护的决定》等法律法规对个人信息保护也有规定。

图书馆行业涉及个人信息保护的专门规范性文件则有《公共图书馆法》第四十三条、第五十条；部分省、自治区、直辖市所制定的公共图书馆服务管理规范，如《四川省公共图书馆服务条例》（2013年）第三十五条、第四十三条，《广州市公共图书馆条例》（2019年）第四十六条、第五十四条，《重庆市公共图书馆管理办法》（2017年）第二十九条，《安徽省公共图书馆服务标准》（2011年）第四章第九条等，但上述规范性文件对个人信息所作保护都仅为原则性规定，可操作性不强。有些省、自治区、直辖市所制定的服务条例或管理办法则根本未对个人信息保护作规定。此外，教育部2015年印发的《普通高等学校图书馆规程》中亦无个人信息保护条款。

其次便是行业惯例。影响力最大的1994年《联合国教科文组织公共图书馆宣言》也未涉及个人信息保护相关内容，我国《图书馆服务宣言（2008）》与之相同。因此可以看到，图书馆行业一直以来侧重传播与传承知识，而就如何贯彻保护个人信息和隐私，目前尚未制定完备的规范细则和措施。

三、图书馆用户个人信息保护的法益内容

在探讨具体细则和措施之前，我们先来了解一下图书馆用户应当享有哪些受保护的个人信息权益。结合《民法典》第一千零三十七条和《个人信息保护法》第四章的规定，笔者认为用户在图书馆内应当享有以下个人信息保护权益：［2］

（一）知情权、决定权。用户使用图书馆服务时，会被要求提供部分个人信息或在网络上留下浏览、活动痕迹，如登录图书馆网站、访问数据库、下载文章、进出馆次数和时长、借阅图书内容、在馆内被摄像头捕捉到行动轨迹等，用户的个人信息和浏览、活动痕迹会被图书馆掌握。而如果图书馆提供服务的平台由第三方软件供应商设计开发时，用户信息则会被图书馆和第三方平台共同掌握。对于个人信息、浏览活动痕迹的收集、保管和处理，用户享有知情权，并决定是否授权他人收集、保管和处理。图书馆与第三方平台有义务向用户就个人信息和浏览、活动痕迹的收集、保管、处理作出清楚说明。

（二）查询、复制权。用户对于其在图书馆留存的个人信息、浏览记录、活动轨迹，有权向图书馆，或通过图书馆向第三方平台查询、复制。

（三）更正、补充权。当图书馆用户发现其留存的个人信息存在错误、与事实不符，或信息不完整时，有权要求图书馆和通过图书馆来要求第三方平台更正、补充。

（四）删除权。一方面，出现《个人信息保护法》第四十七条所规定的五种情形时，图书馆或第三方平台应当主动删除个人相关信息，未及时删除的，个人有权请求删除。另一方面，对于用户在图书馆内的活动轨迹，被摄像机器记录下来的，用户有权在不违反法律法规的前提下请求删除。

（五）解释说明权。当用户对图书馆收集、保管和处理其信息存在不明白的地方时，有权要求图书馆，或通过图书馆要求第三方平台予以解释。

如果权利人死亡，除权利人生前另有安排外，其近亲属可以在法律法规允许的范围内行使查阅、复制、更正、删除等权利。

四、图书馆用户个人信息保护细则和措施

我国图书馆体系作为国家公共文化服务体系的重要组成部分，受地方政府和行业主管部门的领导管理，也接受图书馆行业协会的指导。同时我国图书馆形式多样，主要有国家图书馆、公共图书馆、学校图书馆、专业图书馆、军事图书馆等类型，每一种类型图书馆的隶属机构不同，管理模式存在些许差异。故笔者认为图书馆对用户个人信息的保护可以从三个方面来探讨：地方政府或地方行业主管部门制定的专门规范性文件、行业标准与惯例，以及单个图书馆的自治管理。这三方面从上到下，由粗至细，相辅相成。

（一）各省、自治区、直辖市政府或行业主管部门应当依据《民法典》《个人信息保护法》《公共图书馆法》等法律法规制定适宜本地区的图书馆服务条例或管理办法，将对用户个人信息的保护纳入图书馆责任范畴。在服务条例或管理办法中明确规定个人信息保护机制和泄露追责机制，并要求把相关服务和保障内容的落实作为图书馆管理人员年度考核内容之一。这是从规范制度上予以统一规定。

（二）图书馆行业协会作为政府、企业、个人之间自治性中介组织，应当充分发挥其协调、监督、自律、公正和沟通的作用，主动制定和发布适用于本行业的用户个人信息保护要求和标准，使本行业人员对个人信息的范围、如何管理处理个人信息有清晰认识。辅之对个人信息保护的重要性作公开宣传倡导推广，组织相关知识的专题培训，强化图书馆从业人员对个人信息保护的思想认识，带动整个行业对个人信息保护的重视，促使行业自律，并逐渐就个人信息保护形成行业惯例。

（三）单个图书馆的自治管理，也是最重要的实际保护措施，关系到前述两点之落实。笔者认为具体保护措施可分为以下几点：［3］

1.加强图书馆（或第三方）网络平台的信息安全建设

图书馆提供服务所涉平台通常囊括了图书馆门户网站、馆藏查询索引目录系统、图书借还系统（如金盘图书馆NET集成管理系统、RFID自助借还系统等）、各类电子数据库、移动图书馆、座位管理系统、远程访问系统、馆际互借和文献传递、学位论文管理系统等。通常来讲，图书馆在建设时一般更注重模块内容的丰富完善程度和用户体验感，而忽视了对用户个人信息的安全保护，容易出现技术漏洞，使不法分子通过追踪窃取用户注册登录的身份信息、联系方式、住址、借阅查询信息，甚至座位信息等，了解到用户的个人基本信息、兴趣爱好、健康情况、行踪定位等，造成用户个人隐私泄露乃至人身安全问题。故加强图书馆网络平台的数据安全建设，完善技术手段，是保护用户个人信息的首要措施。

如果图书馆所提供的服务由第三方平台衔接，则图书馆应当与合作方签署保密协议。将保护用户个人信息纳入合作方的协议义务范围，并环环相扣，设立完备的监督和追责机制。使图书馆与第三方平台作为提供服务之共同体，义务共担，才能有效保障用户的信息安全。

2.规范图书馆的日常管理

图书馆应当制定统一详细的日常管理规范。首先，图书馆馆员在服务过程中接触到的用户个人信息，应当有明确的保管、处理办法加以约束，如指定用户信息专人专管，用户信息的保管方式、时限，到期个人信息的销毁程序，设置网络平台的管理专员，登录记录、浏览历史清除时限等予以详细规范。其次，特定硬件设施的设计和管理方面，如为保护用户财产安全和防止意外事件，图书馆等公共场所均安装有摄像头，摄像头在发挥证据作用的同时，也可能涉嫌侵犯他人肖像权、定位他人行踪轨迹等非法用途。例如新闻曾报道过利用摄像头窥探他人隐私，甚至出现过将摄像头联网，在网络上进行非法直播的恶劣事件。因此，摄像头的安放位置，所录制视频文件的管理和定期清理均应当有专门明确的规定。最后，在责任机制上，将图书馆对用户个人信息的保护与相关人员、负责人的绩效考核内容挂钩，形成权责压力以更好地落实保护效果。

3.提高图书馆员的个人信息安全保护思想意识

很长时间里，图书馆业内只注重服务内容和态度的转变提升，而对图书馆员所接触到的用户个人信息缺乏保密意识。在前互联网时代，纸质文本流传的范围极其有限，但互联网时代则几乎让人无处可藏。加强培养图书馆员的信息保护意识，帮助图书馆员认识到保管、处理个人信息的重要性成为图书馆从业人员培训的必要内容。图书馆可以通过专业培训、定期讲座、常态化宣传等方式提升馆员的信息保护思想意识。对于专门负责收集、保管、处理用户个人信息的人员，还应当作背景、思想状况调查，建立日常监督机制，全面提高管理人员的信息素养和保密意识。

4.加强读者的个人信息保护意识

图书馆作为公共文化教育机构，应当在履行好自身基本职能的基础上，充分发挥个人信息保护的社会宣传作用，大力利用公共条件开展宣传，提高用户个人信息保护意识。如图书馆可以利用自身的场所优势，通过网络宣传、专题讲座、室内标语等方式，帮助公众建立起良好的个人信息防范意识。

五、结语

在当今信息技术高度发达的时代，如何让公众在自由利用公共资源的同时，保护其私域空间免受非法侵犯，是图书馆业提供服务时亟待重视的问题，也是图书馆业与时俱进的发展要求。只有建立起用户与图书馆之间的良性互动，增强用户自由利用线上线下资源的安全感，才能更好地发挥图书馆促进文化事业发展的社会作用。