陈 坤
(蚌埠学院 图书馆,安徽 蚌埠 233030)
我国《民法典》将人格权独立成编,并基于社会现实需要在人格权编系统地确立了个人信息保护制度,并对该制度进行了诸多创新和发展[1]。《民法典》关于个人信息保护的规定,为图书馆读者信息保护工作提供了具有民事基本法效力的法律依据,同时因其对传统个人信息保护制度的创新和发展,也给图书馆读者信息保护工作带来了新的挑战,增加了图书馆读者信息保护工作的难度。图书馆必须采取相应的变革,以适应我国个人信息保护制度的新变化。本文拟在介绍我国《民法典》对个人信息保护制度创新及其创新对读者信息保护工作所产生影响的基础上,具体讨论图书馆的应对策略,以期为图书馆更好地适应个人信息保护制度变化,更有效地保护读者个人信息,最大限度地降低读者信息保护工作中的法律风险贡献些微力量。
2021年1月1日正式实施的《民法典》对我国个人信息保护做了系统规定,形成了完整的个人信息保护制度[2]。该制度主要内容由个人信息与范围界定,个人信息处理原则、条件与免责事由,个人信息主体权利,个人信息处理者与法定机构及其工作人员的义务等构成[3]。
《民法典》对个人信息及其范围进行了界定。个人信息的定义与范围在《网络安全法》《信息安全技术·个人信息安全规范》等文件中都有较完整的表述[4-5],但《民法典》对之进行了有别于其他在先的规范性文件的规定。根据《民法典》第1034条规定,个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。这里需要说明的是,《民法典》第1034条第2款所列举的部分个人信息,如健康信息、行踪信息,可能因信息主体的意志而转变为个人隐私。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[3]。
《民法典》对个人信息的处理原则、条件与免责情形等重要事项进行了详细规定。处理个人信息的基本原则是:“合法、正当、必要、适度。”有法律依据、有正当理由、为开展业务或其他合理事项所必需、将个人信息处理限定在满足需要的最低限度等,是个人信息处理者必须遵守的基本准则。处理者可以处理个人信息,但必须满足一定条件,即征得该自然人或者其监护人同意,公开处理信息的规则,明示处理信息的目的、方式和范围,不违反法律、行政法规等规范性文件的规定和双方的约定。处理者在处理个人信息时存在侵犯个人信息权益的风险,但也存在免责的例外。在自然人或者其监护人同意的范围内处理个人信息、对自然人自行公开的或者其他已经合法公开的信息进行处理(该自然人明确拒绝或者处理该信息侵害其重大利益的除外),以及为维护公共利益或者该自然人合法权益而合理实施的其他行为,处理者不需要承担民事侵权责任。
《民法典》对自然人基于其个人信息而享有的权利进行了规定。自然人对其个人信息享有许可使用权,以及信息处理过程中的查阅或复制权、更正权、删除权等。自然人可以基于“同意”的意思表示许可他人处理其个人信息。为尽可能地降低个人信息处理过程中的侵权风险,保护个人信息主体的合法权益,应赋予信息主体查询、复制处理中的个人信息、更正处理中的错误信息、删除非法或违反约定处理的个人信息的权利。上述权利的存在,虽然不能完全杜绝个人信息合法权益被侵犯,但给个人信息主体提供了维权的基础和法律依据。
《民法典》对信息处理者在处理个人信息时应承担的责任与义务做了明确规定。处理者在处理个人信息时应承担的责任与义务主要有以下几个方面:(1)不得泄露或者篡改其收集、存储的个人信息;(2)未经自然人同意,不得向他人非法提供其个人信息。但是经过加工无法识别特定个人且不能复原的个人信息除外;(3)采取技术措施和其他必要措施,确保收集、存储的个人信息安全,防止信息泄露、篡改、丢失;(4)对处理个人信息过程中接触的个人信息承担保密的义务,不得泄露或者向他人非法提供;(5)确保个人信息主体所享有的查阅或复制个人信息权、更正权、删除权等实现。在信息主体提出请求时,个人信息处理者应积极响应,并根据情况做出相应处理。
个人信息保护制度在我国《民法典》颁布前已经建立,但《民法典》对个人信息保护的规定相较于此前的法律规定有较大变化,体现出对个人信息保护制度的创新与发展。
确认个人信息权益为人格权益。在《民法典》颁布前,关于个人信息保护的法律规定已经存在,如《刑法修正案(七)》《刑法修正案(九)》《网络安全法》,以及已废止的《侵权责任法》《民法总则》等法律文件中都对个人信息保护做了规定,但都没有明确自然人的个人信息权益的性质[6-8]。《民法典》将个人信息保护纳入人格权编,并对其保护和利用进行了系统规定,说明立法者将个人信息的权益属性认定为人格权益,为个人信息保护指明了方向,对止息理论研究与司法实务中关于个人信息法律属性的争论具有重要意义[9-12]。
使用“处理”和“处理者”来表述与个人信息相关的行为和主体。《民法典》颁布前,法律法规在描述个人信息相关行为时多将其细化和具体化,如《民法总则》分别用“收集、使用、加工、传输、提供、公开”等描述与个人信息有关的行为。《民法典》颁布后,将对个人信息收集、处理、加工、使用、提供和公开等行为统一规定为“处理”。从立法技术的角度看,这确实是一种新的尝试。此外,《民法典》还使用“处理者”来统一称谓个人信息利用过程中的不同主体,这与之前相关规范性文件中将其区分为信息收集者、信息控制者、信息加工者等也大不相同[5]。《民法典》关于信息处理过程中相关主体的规定虽然显得有些笼统,对具体法律关系的成立和不同行为人参与的特定法律关系内容的设定等有所影响,但表述确实更为简洁。
明确了自然人对其个人信息享有的具体权利内容。知情与同意权、许可使用权、查询与复制权、更正权、删除权等在民法典中都有明确的规定。关于这些权利的规定在此前的相关法律法规中也有,如《网络安全法》第43条规定了更正和删除个人信息的请求权,但都没有《民法典》规定的全面和具体。
明确了隐私保护优先规则。《民法典》所列个人信息中的部分信息可能因信息主体的意思表示而转变成“隐私”,如前文举例中的健康信息、行踪信息等。法律关于隐私和非隐私保护的强度不同,适用不同的规定,将直接影响到对自然人个人信息保护的力度。个人信息与隐私间的转换一直存在,但对该部分信息适用何种规则进行保护缺少规定。《民法典》的颁布,彻底解决了这个问题。根据《民法典》规定,对自然人个人信息保护的法律适用应区分个人信息和隐私,分别适用不同的保护规则,且优先适用隐私权保护。这在民事立法上,应该说是一个非常大的突破和进步,对充分保护自然人的个人信息权益具有重要意义。
《民法典》对个人信息和隐私权保护适用不同的规则,同时规定了个人信息中符合隐私特点的个人信息优先适用隐私权保护规则。个人信息保护适用规则的复杂化,必然导致图书馆保护读者个人信息工作的难度增加。因提供服务需要,图书馆收集有相对完整的读者个人信息,且在服务过程中保存有大量读者个人信息,如借阅信息、在馆行踪信息等。这些信息的性质受读者个人意志的影响很大,因为个人信息和隐私间的转换在很多情况下是由读者的个人意志所决定的。虽然按照《民法典》的规定,身份证、电话号码、电子邮箱、个人健康信息、行踪信息等属于个人信息的范畴,但如果读者不愿意将这些信息对外公开,那么这些信息就是私密信息,属于隐私的范畴。就特定读者来说,对其不愿公开的这部分个人信息的保护应该适用隐私权的保护规则,一旦图书馆侵害了特定读者的这部分信息权益,将承担比侵犯个人信息权益更重的法律责任。此外,需要注意的是,“隐私止于屋门之前”的观点并不完全正确,公共场所同样存在私密空间[13]。
图书馆作为公共场所,可能因为不恰当的“监控”而侵犯读者隐私。因此,图书馆做好包括隐私保护在内的读者信息保护的预防性措施显得非常重要[14]。但这对于一般图书馆来说会有困难,因为就目前图书馆的馆员队伍现状来看,缺乏法律人才是普遍现象,在缺少法律专业人才的情况下,要想很好地应对更为复杂的读者个人信息保护工作不会是件容易的事。
就读者个人信息收集使用来说,图书馆的角色是信息处理者。根据《民法典》第1038条第2款规定,“信息处理者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失。”图书馆要满足法律规定的保证个人信息安全的条件,至少需要提供安全技术措施、数据安全备份设备,以及相关技术人员。这对于经费充裕、人才储备充足的图书馆,如国家图书馆、清华大学图书馆等来说不是问题,但对于一般高校图书馆、省级以下公共图书馆来说,则必然增加其保护读者信息方面的软件、硬件、规则和程序方面的成本。对于经费投入不足的大部分图书馆来说,其保护读者信息的基础条件在《民法典》正式实施后的一段时间内很难达标。图书馆要满足《民法典》关于个人信息保护的条件要求必须加大投入,相关投入的增加势必拉高该图书馆读者信息保护的成本。
图书馆收集、存储有大量的读者信息,保护这些读者信息的安全与权益是图书馆的责任和义务。然而,在《民法典》颁布之前,《网络安全法》等法律法规虽然对个人信息的收集使用也有规定,但规定的不像《民法典》这样明确和具体,可操作性也相对较弱。坦率地说,在之前那样的法律环境下,图书馆保护读者个人信息的压力相对较小。《民法典》颁布后,个人信息保护制度更加完善,个人信息保护范围、信息处理原则、条件、保护规则等都非常明确,具有更强的操作性,且《民法典》是调整民事法律关系的基本法律,读者很容易利用《民法典》的规定发起保护自己个人信息的维权行动,图书馆稍有不慎就可能成为读者基于个人信息保护的维权对象。
避免侵权行为发生的前提是守法,而守法的前提是了解法律。《民法典》是我国民事立法取得的巨大成就,虽然其构成中包括了《民法总则》《合同法》《侵权责任法》(这三个法律文件在民法典颁布实施后已废止)等法律文件内容,但是《民法典》也有很多创新和发展,如对现行法律文件内容修改(合同法中的合同类型的变化)、增设“人格权编”等。图书馆要想在新的法律环境下做好读者信息保护工作,必须加强宣传和引导,鼓励馆员学习了解《民法典》相关内容,从而让馆员达到“知法”状态,为守法提供必要的基础和前提。
没有规矩不成方圆,完善的制度建设,对于读者信息保护工作的合法有序开展具有重要意义。图书馆应结合《民法典》关于隐私权和个人信息保护规定,制定和完善图书馆读者信息保护制度,用制度来约束图书馆及其工作人员的相关行为。
读者信息保护制度应对以下内容做出明确而具体的规定:(1)“通知”与“同意”规则。“通知”与“同意”是个人信息“处理”的基本规则,应在具体制度中予以明确并严格执行。这是图书馆作为个人信息处理者规避风险的前提和基本措施;(2)读者反馈信息的处理。更正与删除存在问题的信息,既是读者的权利,也是图书馆的义务。图书馆应在读者信息保护制度中加以明确并做出具体规定,一旦读者提出异议,即应做出积极回应;(3)技术与安全保障措施。防止读者信息因设备故障、系统漏洞、安全防护不到位等原因而出现丢失、泄露等情况是图书馆保护读者信息的法定义务,关于技术与安全保障方面的规定应是读者信息保护制度中不可或缺的内容;(4)风险通知与上报。《民法典》对“风险通知与上报”有明确规定,读者信息保护制度对此应有回应,对可能危及读者信息安全的情形及处置措施、流程等做出明确且具有可操作性的规定。
仅就满足读者个人信息保护需要来说,图书馆至少需要两类人才,法律专业人才和信息技术人才。从目前图书馆人才队伍建设情况看,因图书馆信息化建设与服务需要,信息技术人才的储备相对好些,但法律人才缺乏则是普遍现象。因此,有针对性地加大专业人才引进并稳定,是图书馆做好读者个人信息保护工作的必要条件之一。
图书馆应有目的地去培养读者对个人信息使用的授权意识。培养读者授权意识不仅可以保证读者信息被合法收集、利用,而且可以有效减少图书馆后期使用读者信息的授权成本,以及降低第三方(资源与服务提供商)侵犯读者个人信息权益的风险。现实中,很多读者保护自己个人信息的意识淡薄,不太关注信息处理者发布的隐私规则内容,且对相关规则或协议“同意”得很随意。不看协议内容,遇到“协议”一律点“同意”,甚至“同意”可能存在损害自己合法利益的用户协议。这种授权态度将导致以下不利结果出现:一是,读者不了解授权内容即授权,极易对自己的个人信息权益造成消极影响;二是,因不清楚自己授权内容,对信息处理者合法使用其个人信息持怀疑态度,易引发“冲突”,增加信息处理者处理信息的成本。为避免这种现象出现,图书馆应重视培养读者的授权意识,督促读者重视授权协议内容,确保对个人信息的授权适度而合理。
图书馆应严格按照《民法典》关于个人信息处理规定去收集、存储、使用、加工、传输、提供、公开读者个人信息。这样既可以降低风险,也可以保护双方的合法利益。《民法典》在规定个人信息保护原则与条件、处理者的责任与义务的同时,还对个人信息处理的免责事由做出了具体规定。图书馆可以在严格遵守法律规定的前提下充分利用“免责条款”来降低图书馆处理读者个人信息的成本和风险。
图书馆电子资源服务对于读者来说非常重要,而电子资源服务过程中,无论是数据库等电子资源所有者还是相关服务平台提供者,都收集有读者个人信息,如图书馆集成管理系统、座位预约系统、移动图书馆等。这些服务提供者,如果缺少保护读者个人信息的意识,将获取的信息进行非法处理,必将侵犯读者个人信息权益。2020年7月30日,北京互联网法院对“黄某诉微信读书侵犯其个人信息权益及隐私权案”“凌某某诉抖音侵犯其个人信息权益及隐私权案”做出一审宣判,分别认定微信读书、抖音均存在侵害用户个人信息权益的情形,追究了相关被告的民事责任[15]。黄某诉微信读书案中,黄某使用“微信读书3.3.0版本”时发现,在其不知情的情况下,该软件自动关注微信好友、默认开放读书记录;凌某某诉抖音案中,原告凌某某在手机通讯录除本人外没有其他联系人的情况下,使用该手机号码注册登录抖音App后,被推荐大量“可能认识的人”,其中包括多年未联系的同学、朋友。这两个案件成为《民法典》颁布后,体现《民法典》保护互联网时代公民个人信息权益的典型案件,具有很强的警醒作用,值得关注。因此,强化资源与服务提供者保护读者个人信息的责任与义务非常重要。图书馆可以通过合同对此责任和义务进行约定,并对侵权责任的追究与承担予以明确。
《民法典》的颁布实施,对我国民事法律制度建设具有重要意义,对其规范的对象及相关主体的影响很大。在新的法律环境下,图书馆要想做好读者信息保护工作,不仅要充分学习了解《民法典》的相关规定,还需要对读者信息保护工作予以充分重视,并采取行之有效的应对策略和方法。同时,图书馆还应关注相关保护规定的新变化和图书馆工作中涉及个人信息处理的新内容,及时做出应变,以便更好地保护读者个人信息权益,尽可能地降低图书馆处理读者个人信息的风险。