图书馆的个人信息保护义务及立法完善*

谢 珺（河南理工大学文法学院 河南 焦作 454000）

近年来，个人信息保护问题是我国法学研究的新领域和新热点。图书馆作为向社会公众提供文献信息服务的公益性服务机构，保护读者的个人信息是其基本义务之一。我国正在进行图书馆法的立法工作，而且图书馆学界已经清楚地认识到仅依靠行业自律保护读者信息是不够的，还应通过法律规范对读者的个人信息进行更全面、有效的保障。

1 个人信息的概念和保护模式

个人信息是指一切可以直接或间接识别个人的信息的总和，它包括社会个体的经济、生理、心理、智力、文化、家庭、活动等方方面面，反映了特定自然人的基本人格属性、个人特性和相关信息。目前在我国对于个人信息没有统一的法定概念，在法学理论界也存在很多争议。国外的立法文件中对于个人信息的称谓有多种，如“个人信息（personal information）”、“个人数据（personal data）”、“个人隐私（privacy）”等，我国台湾地区将其称为“个人资料”。

从传统法律的保护模式来看，有两种具有代表性的个人信息保护模式：以美国法律为代表的通过保护隐私权的方式保护个人信息；以德国法律为代表的通过保护一般人格权的方式保护个人信息。笔者认为，将个人信息保护纳入隐私权或一般人格权的法律范畴具有明显的优势：一方面，可以将个人信息保护纳入民法的人身权利体系；另一方面，即便用户与图书馆签订合同以免除或者减轻对个人信息保护，但是这种约定仍属无效。在我国图书馆法的研究中，大多从隐私权的角度探讨读者个人信息保护问题[1-4]，但是个人信息保护不能与一般的人格权、隐私权保护等同。德国法学家拉伦茨认为：“人格权是一种受尊重权，也就是说，承认并且不侵害人所固有的尊严、人的身体和精神、人的存在和应然的存在。”[5]可见，一般人格权是一种抽象意义的人身权，而个人信息则更为具体、明确。隐私权仍然是一个发展中的概念，不同国家、不同民族和种族、不同地区往往以当地的传统和习惯形成不同的隐私观念，对隐私的认识也不统一[6]，如有的学者认为“隐私是一种保持安静的独处生活的权利”[7]。隐私涉及的领域强调私人性，即私人领域、私人生活空间、私人秘密、私人信息、通讯秘密、生活安宁等范畴，而个人信息既包含隐私性的私人信息，还包括可以公开的个人信息。因此，个人信息的范围大于个人隐私，个人信息保护问题研究有利于保护社会个体的各种个人隐私信息和非隐私信息。

随着社会经济的发展、网络科技的不断进步，人们对个人信息保护的要求不断提高，各国立法者也意识到传统的一般人格权、隐私权保护方式已无法满足个人信息全面保护的要求，纷纷制定了专门的个人信息保护法来加强对个人信息的保护。例如，德国1990年颁布实施的《联邦数据保护法》对私人领域的个人数据（个人信息）的定义非常宽泛，并将关系到个人数据相关事务的保护法律化，这种保护先于对隐私权的保护，与是否侵犯隐私权无关[8]。再如，加拿大政府专门制定了《信息获取法》，并于1993年7月通过并实施了该法的补充法——《个人隐私法》[9]。据不完全统计，世界上制定了个人信息保护法的国家或地区已超过50个[10]。我国虽然起步较晚，但是也在进行个人信息保护法的立法工作，而且已明确将读者个人信息保护问题作为图书馆法草案的重要内容之一。

2 关于图书馆对读者个人信息保护的规范

图书馆在向读者提供信息服务的过程中必然会保存读者的个人基本资料、个人咨询与借阅记录，利用这些记录和信息可以分析读者的阅读倾向与思想倾向，进而掌握读者私生活的状况。这些资料和记录均属于个人信息，图书馆应为其负有相应的保护义务。目前世界上大多数国家和地区均制定了相关的规范，以保护读者的个人信息不被图书馆非法利用、公开或被他人非法知悉。

2.1 美 国

美国除了设有对所有行业具有普遍约束力的《保护个人隐私法》等法律外，其图书馆的行业规范《图书馆流通记录机密政策》中还明确规定：“任何反映用户与特定资料之间关系的记录都属机密，只有签发传票并且在图书馆认为这种签发适当的情况下才能提供所要求的记录。”[11]美国图书馆协会于1939年公布的《图书馆员伦理纲要》也确认了“图书馆员捍卫利用者在查考资料、参考咨询、获得资料过程中的个人秘密权”[12]。另外，美国在大量的州立法（即地方立法）中对图书馆的读者个人信息保护义务进行规定。目前除夏威夷州和肯塔基州外，美国另外的48个州和哥伦比亚特区都已有图书馆记录保密法[13]。

2.2 日 本

日本的《图书馆自由宣言》第3条明确规定：“阅读什么图书属于利用者的个人秘密。图书馆不能将利用者的读书事实向外部泄露……对于读书事实以外的利用事实，图书馆也不能侵犯利用者的个人秘密权。利用者的读书事实、利用事实是图书馆通过业务工作获知的秘密，所有从事图书馆工作的人员必须保守这种秘密。”[14]

2.3 韩 国

韩国1963年就制定了《图书馆法》并进行了多次修订，现行的《图书馆法》是2006年修订的，该法第1章总则的第8条专门规定了“利用者的个人信息保护”等事项，“图书馆为保护用户的个人信息应谋划如下措施：（1）用户的信息收集、管理和公开等规定的制定内容；（2）有关图书馆员教育的实施内容；（3）其他与用户个人信息保护有关的图书馆馆长认为必要的内容”[15]。

2.4 我国台湾地区

2001年，我国台湾地区的图书馆法正式通过并公布实施，该法在保障图书馆用户具有“公平、自由、适时及便利地获取图书信息权益”（第7条）[16]的同时还以法定形式明确指出“图书馆办理图书资讯之阅览、参考咨询、资讯检索、文献传递等项服务，得基于使用者权利义务均衡原则，并订定相关规定”（第8条）[16]。

目前各个国家或地区制定的图书馆对读者个人信息保护义务规范呈现出一些共同的特点：一是此种保护义务大都没有通过图书馆立法的形式加以规定，很多都是通过行业自律性规范加以规定，这些规范的强制性、保障性有限；二是该义务即便是通过图书馆立法的形式加以规定，但是往往仅做了文字上的表述或者仅要求图书馆加强该义务的履行，缺乏具有可操作性的规则。

3 中国法语境下图书馆对读者个人信息保护义务的法理基础和立法现状

3.1 图书馆对读者个人信息保护义务的性质

一般来说，法律通过将要保护的社会利益规定为法定权利的方式实现对其的保护。法律对个人信息保护的最直接方法就是赋予个人信息在法律上权利客体的地位，为此甚至有的学者还提出“个人信息权”的概念[17]。但是在我国法学理论和法律制度中，直接赋予个人信息权利保障还没有获得足够的理论支撑和制度保障。这是因为：首先，对个人信息的本质属性没有形成共识；其次，从我国现行法律制度规定来看，无论是公法上的权利还是私法上的权利，并没有将个人信息利益明确地作为独立权利客体加以规定。

然而，笔者认为，即便不能从正面确立个人信息的权利属性，但是可以通过规范义务主体（图书馆）的行为达到保护读者个人信息利益的目的。权利提供不确定的指引，义务提供确定的指引。德国法学家耶林说过：“法学是权利和义务之学。”[18]权利是目的，义务是手段，任何权利的实行都是要通过义务主体的法定义务的履行来实现的。从立法的角度讲，规定主体的权利很重要，但完善义务主体的法定义务更需细节化、明确化。“法律总是以确认和维护某种利益为其价值目标，并且以权利的宣告直接体现其价值目标。当价值目标得以确立并由权利加以体现后，义务的设定就是必不可少的。单纯的权利宣告不足以保障法律价值目标的实现。就某些价值目标（社会秩序）的实现而言，义务的设定或许更重要一些”[19]。在权利保护的法律纠纷中，往往是从义务角度而非权利角度分析问题。因此可以说，个人信息是否被确定为一种法定的权利并不重要，只要明确了这种利益的确需要法律保护，那么完全可以通过明确特定义务人的义务达到利益保护的效果。

图书馆对读者个人信息保护义务属于何种性质的法定义务，必须从图书馆和读者的关系来分析。关于图书馆同读者的法律关系，目前图书馆界主要有两种针锋相对的观点：即“民事法律关系论”和“行政法律关系论”①[20]。就个人信息保护的法律关系而言，个人信息保护主要是对读者个人利益的保障，应当属于民事法律关系的范畴。当然，如果图书馆及其工作人员严重违反法律规定，使读者个人利益遭受损失，则可能会产生行政或者刑事上的责任。总之，图书馆对读者个人信息的保护义务的基础是民事义务。

义务不是孤立的存在物，而是权益的对象化。民事义务基础主要来源于两个方面：①侵权法上的绝对权益保护义务，如一些学者认为个人信息的法律保护属于强行法的规定，应排除当事人的变更[21]；②合同义务，如有的学者认为图书馆违反对读者的个人信息保护义务应当受到违约的惩处[22]。而笔者认为，个人信息属于民事权益，应纳入侵权法的保护，未尽到该义务的要承担侵权责任。首先，2009年颁布的《中华人民共和国侵权责任法》（以下简称《侵权责任法》）第2条明确了侵权法保护的范围包括民事权利和民事权益，个人信息利益在无法明确为何种权利客体的情况下，完全可以作为民事权益被纳入侵权法的保护范畴[23]。在法律没有明确界定个人信息的本质属性的情况下，利用《侵权责任法》第2条并在相关立法上明确个人信息保护义务人的法定义务完全可以起到对个人信息的有效保护作用。其次，图书馆对读者的个人信息保护义务不宜通过合同关系来解释，这种义务不是合同义务。如果将该义务认定为合同上的义务，那么将有两个方面的弊端：①合同义务是以合同的有效成立为前提的，合同关系存在有效、无效、可撤销、效力待定等多种效力形态，效力的不确定性使该义务的效力存在具有不确定性。一旦合同被认定为无效或撤销，图书馆对读者的个人信息保护义务就不存在了，这不利于保护读者的个人信息利益。②图书馆主要包括公共图书馆、学校图书馆、科研机构图书馆及私人图书馆等类型，都具有一定的公益性质。图书馆法的价值取向应重在其社会价值上，即公益、秩序和效率[24]。公益性应当是图书馆法的首要价值取向，该价值取向决定了立法上不能为图书馆设定过重的义务。合同是民事主体设立、变更、消灭债权债务关系的协议，强调当事人的意思自治②。根据《中华人民共和国合同法》的规定，违约责任主要适用严格责任，仅在法律有特别规定的时候才考虑过错问题[25]。因此，图书馆作为公益性组织，直接适用严格责任不利于对图书馆利益的保护和图书事业的长远发展。

3.2 关于图书馆对读者个人信息保护义务的法律责任及问题

3.2.1 民事责任

既然将图书馆的个人信息保护义务定位为对读者的民事权益保护，那么一旦违反该义务，产生的直接法律责任将是侵权责任。《侵权责任法》第6条作为侵权责任的一般条款，规定了“行为人因过错侵害他人民事权益，应当承担侵权责任”[23]。根据该条款，义务人必须符合侵权行为的构成要件才需承担责任。具体来说，图书馆只有被证明了是因过错而严重侵害了读者的个人信息利益，才要承担相应的侵权责任。但是图书馆是否有“过错”，则必须依靠图书馆法等法律规定的图书馆个人信息保护义务来界定。

3.2.2 刑事责任

2009年全国人大常委会通过的《中华人民共和国刑法修正案（七）》第7条明确规定了对个人信息的刑事责任保护，即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，情节严重的处3年以下有期徒刑或者拘役，并处或者单处罚金；窃取或者以其他方法非法获取上述信息且情节严重的，则依照前款的规定处罚；单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员依照各该款的规定处罚”[26]。对于图书馆对读者个人信息保护义务能否适用本条款，至少需要解决3个方面的问题：①本条中“教育”系统能否涵盖图书馆领域，需要法律或司法解释加以完善。从法律的一般解释角度来说，广义的“教育”应当能涵盖图书馆领域。②公民的个人信息的范围。如果对个人信息的概念和范围没有明确的法律规定，那么该条在适用时必定会产生争议。③本罪的关键是“违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人”[26]，所以国家在个人信息保护方面有哪些“规定”是本条的关键所在。对于图书馆而言，即便属于教育领域，但是由于缺乏相关图书馆法定义务的规定，个人信息保护就缺乏可操作性。很多学者在评价本条的时候都认为该条很可能是睡眠条款，很难发挥定罪量刑的基本功能[27]。

目前我国现有的立法尚未对图书馆的个人信息保护义务的内容或行为模式加以明确规定，因此立法上的当务之急是明确包括图书馆在内的个人信息保护义务人的法定义务。只有确立了这种基本的义务，对行为人的民事侵权责任、刑事责任的承担才有了法律依据，否则这些相关个人信息保护的责任和条款都是无本之源。很显然，在图书馆领域，图书馆法必须担当起弥补这一法律漏洞的重任。

4 我国图书馆立法中如何规定图书馆对读者个人信息保护的义务

“为利用者保守秘密”是20世纪中叶以来现代图书馆提供服务过程中的一种国际性观念和国际惯例。保护读者的个人信息应当是图书馆立法的基本内容和当然内容，也是完善我国个人信息保护法、图书馆法的当然需要。2001年我国开始启动图书馆法的立法工作，2008年文化部正式启动《公共图书馆法》的立法工作，据此图书馆对读者个人信息保护的义务必然在我国将来的图书馆法和个人信息保护法中有所体现。我国现有的直接规定图书馆对读者个人信息保护的规范主要是2002通过的《中国图书馆员职业道德准则（试行）》，其第4条规定“维护读者权益，保守读者秘密”[28]。另外，《公共图书馆法（草案）》的立法工作在个人信息保护方面也作出了引领，规定公共图书馆应当做好对读者信息的保护和管理，不得向他人泄露读者的个人信息，不得利用读者个人信息从事其他活动[29]。

图书馆立法不能脱离我国的法律体系，要注重同其他法律的协调，只有这样才能体现图书馆立法的价值和作用。我国图书馆在立法过程中对读者个人信息保护义务的规定不能像韩国和我国台湾地区对个人信息保护义务作出的规定那样简单，而必须对个人信息的范畴及该义务的内容作更为详细的规定。关于读者个人信息保护在立法中至少要在个人信息保护的基本范围、图书馆利用读者个人信息的基本内容和程序、法律责任方面有所体现。只有这样才能通过该法并结合其他法律对读者的个人信息提供全面的保护，也对图书馆明确自己的行为方式、规范相关职责提供明确的法律指引。

4.1 我国图书馆立法中个人信息保护立法的基本思路

4.1.1 我国图书馆立法中图书馆对读者个人信息保护义务的范围

图书馆个人信息保护义务作为一种法定义务，在立法上应当首先确立其保护的基本行为模式，即图书馆应当采取措施保护读者的个人信息，防止读者个人信息泄露或被不法利用。但是要在制度上完善该义务的法律操作性，还必须界定个人信息保护的范畴。法律对特定权益保护的范畴界定可以通过两种方式实现：一种是通过规定相对抽象的特定权益的法定概念界定其范围；另外一种是用罗列的方式明确规定权益的范围。这两种方式各有利弊，第一种方式体现了法的抽象性，但可能使个人信息的范围不够准确甚至扩大化；第二种方式针对性强，但可能对社会发展中产生的新型个人信息无法提供保护。笔者认为，我国图书馆立法应当采用第一种方式，因为目前法学界对个人信息这一范畴的认识存在分歧，在立法上明确罗列哪些信息属于或不属于个人信息很不现实。虽然个人信息保护是图书馆法发展的必然选择，但是不能因为在具体的个人信息范围上过分争论而影响立法的进程。通过在立法中规定个人信息的抽象概念界定个人信息范围的方式，实质上是将个人信息范围的界定交给了个案的司法人员，由这些专业人员通过法律推理来确定。对图书馆来说，抽象的、较为宽泛的个人信息范畴也可以引导其采取更为规范的制度和先进的技术手段对读者的个人信息进行全面保护。

4.1.2 我国图书馆立法中对图书馆读者个人信息保护义务的限制

通过抽象的、较为宽泛的个人信息法定概念界定个人信息的范围，在一定程度上会加重图书馆的个人信息保护义务。图书馆作为公益性社会组织，其法定义务较营利性组织来说不宜过重，因此在立法上必须防止这种义务被扩大化，并通过其他相应的制度对这种义务加以限制。我国图书馆立法可以考虑通过以下两种制度防止图书馆个人信息保护义务被扩大化。

第一，图书馆对读者个人信息有全面保护的义务，但是并不意味着图书馆对读者的个人信息处于纯粹被动保护的状态，为此应确立图书馆对读者个人信息利用的相关规定，如考虑规定图书馆基于社会公共利益可利用读者的个人信息。美国卫生教育与福利部顾问委员会在20世纪70年代针对个人信息保护问题确立的最基本的原则中，有一项原则是“个人有权防止个人信息被使用或未经许可被公开”[30]。我国学者提出的个人信息保护在立法上的原则也有类似的知情同意原则[31]。该原则要求只有经过个人的同意并在本人知情的情况下才可以利用个人信息。笔者认为，在我国图书馆立法的个人信息保护义务规定中不能全盘接受上述原则，因为虽然可以确立“知情”原则，但是没有必要确立“同意”原则，同时缺少“公共利益”原则。因为图书馆可以未经读者的明确同意，在告知其个人信息需被利用的前提下基于公共利益利用读者个人信息。例如，我国台湾地区在2010年通过的《个人资料保护法》就确立了公共利益原则，明确规定出于公共利益目的可以使用个人信息[32]。如此一来，通过“知情”和“公共利益”原则的确立，在明确图书馆个人信息保护义务的基本行为模式的同时也明确了图书馆在法定情形下对读者个人信息的利用，这就从正反两个方面平衡了图书馆的个人信息保护义务。

第二，对图书馆个人信息保护义务法律责任的构成要件作出特殊的限制。为防止该义务范围的扩大化，可以对违反该义务的法律责任的构成作出特殊限制。一方面，应当确立图书馆个人信息保护的过错责任，即在过错的前提下其才承担法律责任。读者一旦请求图书馆承担个人信息保护的民事责任，则必须承担相应的举证责任，即读者只有证明了图书馆实施了违反该义务的特定行为，图书馆才需承担责任。另一方面，在损害后果上加以限制，即必须强调只有图书馆违反该义务并给读者造成严重损害的，图书馆才能承担责任。这一点也是从图书馆公益性组织的特殊性来考虑的。

4.2 我国图书馆立法中图书馆对读者个人信息保护义务的建议条款文本

基于上述论述，笔者认为，我国图书馆法立法中关于读者的个人信息保护义务问题应当单列1条，该条由以下3个条款组成：

第1款：图书馆应当制订规章制度和采取保密措施以保护在信息服务过程中掌握的读者个人信息，应当告知读者个人信息被利用的范围和方法，图书馆因过错导致读者个人信息泄露并造成严重损害的，应当予以赔偿。

第2款：图书馆可以基于公共利益利用读者的个人信息，但应当尽可能减少对读者的影响。读者有权知悉本人信息的利用情况。

第3款：本法所称个人信息，是指图书馆在向读者提供信息服务的过程中所掌握的可以直接或间接识别的所有读者信息。

第3款属于预留条款，如果我国《个人信息保护法》出台并对个人信息作了界定，那么该款就不需要在图书馆法中重复立法了。

注释：

①“民事法律关系论”认为图书馆与读者之间没有权力服从关系，双方地位平等，权利义务内容具有一定程度的任意性；“行政法律关系论”则认为图书馆与读者之间地位不平等，二者是管理与被管理、教育与被教育的关系。

②意思自治，即当事人可以自主地设定合同中的具体权利义务关系。

[1]王玉林, 裴 毅. 读者信息隐私权保护[J]. 中国图书馆学报, 2006(3):93-96.

[2]史海娜. 试论网络环境下的读者信息隐私权保护[J]. 编辑之友,2009(8):68-70.

[3]陈有志. 图书馆读者权利主张的法理研究:兼述图书馆读者权利研究进展[J]. 图书馆, 2010(5):9-13.

[4]徐险峰, 马海群, 王海东.图书馆用户隐私权保护研究综述[J].图书馆建设, 2010(7):30-34.

[5]拉伦茨. 德国民法通论:上册[M].王晓晔,邵建东,程建英,等译.北京:法律出版社,2004:282.

[6]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M ]. 武汉:武汉大学出版社,2004:34.

[7]艾伦. 美国隐私法:学说、判例与立法[M].冯建妹,石 宏,郝 倩,等译.北京:中国民主法制出版社,2004:13.

[8]考夫曼.当代法哲学和法律理论导论[M]. 郑永流, 译.北京:法律出版社, 2001:563.

[9]李 群. 个人数据信息隐私权研究在欧美的发展趋势[J].档案与建设,2008(1):45-47.

[10]周汉华《.个人信息保护法》(专家建议稿)及立法研究报告 [M]. 北京:法律出版社, 2006:28.

[11]罗 曼.美国图书馆政策体系及其带来的思考[J].中国图书馆学报,2005(1):78-81.

[12]李国新.一个现代图书馆服务的国际性观念:为利用者保守秘密:以考察分析日本的情况为例[J].大学图书馆学报,2000(4):41-46.

[13]张红燕.我国图书馆法中的个人信息保护探讨[J].图书馆理论与实践,2010(1):19-21.

[14]李国新.日本图书馆法律体系研究[M].北京:图书馆出版社,2006:282-284.

[15]李炳穆.韩国图书馆法[J].太贤淑,段明莲, 译.图书情报工作,2008(6):6-21.

[16]黄燕妮.我国台湾图书馆法及其影响[J].图书馆理论与实践,2008(5):22-24.

[17]张 莉.个人信息权的法哲学论纲[J].河北法学,2010(2):136-139.

[18]张文显.法理学 [M].北京:中共中央党校出版社,2003:111.

[19]张文显.法哲学范畴研究 [M].修订版.北京:中国政法大学出版社,2001:340.

[20]谢少俊. 图书馆与读者法律关系定位的再定位:对“民事法律关系论”的质疑[J].图书馆学研究,2009(3):82-85.

[21]齐爱民.论个人信息保护法的地位与性质[J].中国流通经济,2009(1):65-67.

[22]张红燕.我国图书馆法中的个人信息保护探讨[J].图书馆理论与实践,2010(1):19-21.

[23]中华人民共和国中央人民政府门户网站.中华人民共和国侵权责任法 [EB/OL]. (2009-12-26)[2011-02-18]. http://www.gov.cn/flfg/2009-12/26/content_1497435.htm.

[24]高 峰. 图书馆法的法律属性及价值取向[J].图书与情报,2010(5):101-105.

[25]王利明.侵权行为法研究:上卷: [M].北京:中国人民大学出版社,2002:48.

[26]中华人民共和国中央人民政府门户网站.中华人民共和国刑法修正案:七 [EB/OL]. (2009-2-28)[2011-02-18]. http://www.gov.cn/flfg/2009-02/28/content_1246438.htm.

[27]中国民商法律网.期待“出售个人信息追刑责”真正“落地” [EB/OL]. (2009-03-17 )[2011-02-18]. http://www.civillaw.com.cn/article/default.asp?id=43528.

[28]中国图书馆学会.中国图书馆员职业道德准则[M].北京:北京图书馆出版社,2003:1.

[29]李国新.公共图书馆立法进展[J].图书馆建设,2010(10):1-3.

[30]莱斯格. 网络空间中的法律[M].李 旭, 译.北京:清华大学出版社,2009 :247.

[31]齐爱民.中华人民共和国个人信息保护法示范法草案:学者建议稿[J].河北法学, 2005(6): 2-5.

[32]南方报业网.台湾通过个人资料保护法:人肉搜索关乎公益即合法[EB /OL].(2010-04-29)[2011-02-18]. http://nf.nfdaily.cn/nfdsb/content/2010-04/29/content_11504489.htm.