我国图书馆法中的个人信息保护探讨

●张红燕（宁夏大学 图书馆，银川 750021）

随着经济和信息技术的发展，个人信息安全已成为一个非常重要而迫切的话题，特别是在信息社会的背景下，计算机及其网络技术加速了信息收集、存储、复制和传播功能的发展，人们在大量使用电子通讯技术传送和接受信息时，却未意识到自己正在成为“透明人”，如果没有相应的法律来保证信息的安全，个人隐私和权利必然受到侵害。图书馆是为社会公众提供文献信息服务的公共服务机构，读者的个人信息受到保护是读者权利的一种。在公民个人信息保护得到空前重视的今天，图书馆仅仅依靠行业的自律和规范来保护读者个人信息显然是不够的，而更应凭借法律的力量和权威对损害读者个人信息的行为加以防范和惩治。

1 我国个人信息保护的法律环境

“个人信息”是指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。［1］在信息时代，个人信息的经济价值是巨大的，并且呈现出增长的态势。随着个人信息遭受侵害现象的不断增多，以及人们对保护个人信息意识的增强，我国立法机关逐年加大了对个人信息保护的力度。我国近年来颁布或提交全国人大常委会批准的法律中，对公民个人信息保护有明确条款阐述的有以下几部：

1.1 《刑法修正案（七）》

该修正案由全国人大常委会于2009年2月通过，对个人信息保护作了如下规定：“对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，将本单位在履行职责或提供服务过程中获得的公民个人信息出售或非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或单处罚金。”《刑法》中的个人信息不仅包括公民隐私，还包括电话、家庭住址、邮件和职业情况等，任何人都不能出售或非法提供给他人。

1.2 《个人信息保护法》

我国于2003年开始组织起草《个人信息保护法（专家建议稿）》，该草案于2008年9月呈交国务院。这是我国个人信息保护的专门法律，是对个人信息进行合理利用和恰当保护相结合的法律。《个人信息保护法》草案规定了拥有个人信息的企业与团体应承担的法律责任，除犯罪、税收记录及媒体调查外，禁止任何团体在未经个人同意的前提下，将个人信息泄露给第三方。

1.3 《护照法》

2006年4月由全国人大常委会通过的《护照法》规定，护照签发机关工作人员泄露因制作、签发护照而知悉的公民个人信息，侵害了公民合法权益，将根据情节轻重依法给予行政处分或追究刑事责任。

1.4 《居民身份证法》

全国人大常委会2003年6月通过的《居民身份证法》规定，因泄露公民个人信息的警察，侵害了公民合法权益，将根据情节轻重依法给予行政处分或追究刑事责任。

由上述法律可以看出我国对公民个人信息保护的高度重视。我国法律对个人信息的保护不但在可能非法泄露的领域加以防范，而且更以法律的最后保护屏障——《刑法》对违法者给以严惩，强调了人权保障的鲜明特色。我们有理由相信，在不断完善的法律环境下，有专业法、行业法和刑法的相互支持与配合，我国对公民个人信息的保护将会更加全面和有力。

2 国外图书馆立法对个人信息的保护

日本、美国是当今世界图书馆事业较为发达的国家，也是图书馆法制建设较为完善的国家。通过对其图书馆法中关于个人信息保护内容的分析，可为我国图书馆法的建设提供启示和借鉴。

2.1 日本图书馆

日本从上世纪60年代开始关注利用者在图书馆活动的个人秘密权问题。1974年东京都东村山市图书馆在该馆的《图书馆设置条例》中，明确写入了“图书馆不得泄漏通过资料提供活动获知的利用者的个人秘密”，开启了为利用者保守秘密的先河。1979年日本改定的《图书馆自由宣言》中保守使用者秘密方面有如下规定：① 读者所读资料内容属于其个人隐私权的范围，图书馆不得将其使用者的读书事实向外界透露。但对于经确认具有（日本）宪法第35条所规定令状者，不在此限。② 即使是关于读书记录以外的利用事实，图书馆也不得侵害使用者的隐私权。③ 使用者的读书事实、利用事实，是图书馆在业务上所得知的秘密，从事图书馆工作的人员均应该保守此秘密。［1］保护读者的个人信息不仅是日本图书馆的服务理念，而且体现在服务工作中。如日本图书馆使用碎纸机来保护读者的隐私，电脑打印出来的条码单，只要不再具有使用价值，图书馆员都会在当天将纸条扔进碎纸机处理，同时，计算机中相对应的读者借还记录也会随之删除。日本图书馆的这些做法有效地保护了每一位读者的隐私，尊重了他们的隐私权。

2.2 美国图书馆

美国图书馆法用户个人信息的保护主要是防止政府侵犯个人信息，同时也防范工作人员泄露用户个人信息。1978年，美国首个州的图书馆记录机密法通过。今天，除夏威夷州和肯塔基州，美国其他48个州和哥伦比亚特区都有图书馆记录保密法。综观美国各州法律中对包括图书馆用户记录在内的个人信息保护的相关条款，我们将其关于图书馆用户信息的定义、受保护的例外情况以及违反规定所受到的惩罚做如下介绍。

（1）图书馆用户信息的定义

个人使用图书馆，在图书馆查询什么信息，借阅什么资料，是属于个人自由空间的内容，应该受到尊重和保护，图书馆负有保护其用户这一权利的责任。图书馆用户的信息，或称“图书馆记录”，基本定义在下列范围之内：

① 用户为获取图书馆借书证所填写的所有信息，包括但不限于：个人姓名、住址、住宅电话号码、社会安全号等，以及各种可以辨认具体个人的信息。②用户查询/借阅资料的信息。任何可以辨认用户使用、复印、借阅或查阅了哪些图书馆资料、咨询过哪些方面问题的信息。③ 用户所要求或使用过哪些图书馆所提供的服务项目。④ 任何如果与其他信息结合起来可以达到上述目的的信息。

（2） 例外情况

图书馆用户信息受到保护，不允许向任何人或机构透露，但各州的法律中又列出了例外的情况，即在这些情况下图书馆可以将某个用户的上述记录透露给有许可的机构或法律执行人。

① 如果需要检查、统计和研究图书馆的工作情况，例如，多少人申请借书证、使用图书馆和流通量，必须在去掉任何可辨认具体个人的信息前提条件下，使用用户记录。② 如果与图书馆有关的其他图书馆或机构需要追回逾期罚款或丢失或被偷盗的书刊资料，掌握该用户信息的图书馆可以给出能够满足此目的的用户个人信息。③ 如果有图书馆用户本人书面许可、有法庭调查命令或传票或是合法要求，等等。

（3）对违法行为的惩罚规定

任何图书馆馆员、雇员或部门泄露了用户个人信息，都要受到相应的惩罚。如罚款、坐牢、道德上的惩处（泄露个人信息者将不再受信任），这里一般是指不属于故意泄露的情况，而故意泄露或盗用个人信息的情况，则属于重罪。

从上述图书馆法可看出，日本和美国图书馆自上世纪70年代就开始通过法律将个人信息作为读者隐私加以保护，并明确工作人员有义务为读者保守秘密。同时，图书馆对用户个人信息的保护都有适用例外，因为对用户个人信息的保护以不违背国家利益和公共利益为前提。

3 我国图书馆法中的个人信息保护

图书馆在为社会公众提供服务的过程中必然收集大量有关读者的各种信息，因此在我国图书馆法的酝酿过程中，应该考虑以读者个人信息保护为重要内容的读者权利的保护。我们应看到，图书馆个人信息保护立法不足将导致整个行业对读者个人信息的重视不够，在服务实践中就会出现各种不适合甚至是不顾读者利益的做法。

3.1 我国图书馆法应体现对个人信息的保护

（1） 我国立法的要求

从个人信息保护的法律环境来看，我国对包括个人隐私在内的个人信息保护呈加强的趋势，个人信息保护意识的提高也对社会公共服务机构的法制建设提出新的要求。对个人信息的保护体现在部门法中，强化了公民在该领域所享有权益的保障，同时也强调了服务者应尽的责任与义务。

（2） 图书馆法的要求

图书馆法是调整图书馆管理及服务中所产生的各种社会关系的法律规范的总和。图书馆与读者的关系是图书馆法律关系中重要的组成部分，图书馆用户信息保护是读者权利保护的应有之意。但在公共服务部门长期“官本位”的思维定势下，读者提供个人信息被认为是其应尽的义务，而读者就其自身信息所享有的权利却被漠视。图书馆法应体现保护个人信息的精神，并设置相应的法律条款。

（3）与国际惯例接轨的要求

对个人信息的保护已作为用户的一项基本权利，得到国际上越来越多国家的认可。中国的图书馆立法将个人信息保护作为图书馆法的一项主要内容，不仅切实保护了读者的权益，而且加强了与国外图书馆法的对接和交流。

（4）已具备实践的基础

《中国图书馆员职业道德准则》是我国图书馆履行社会职责而制定的行业自律规范。其“维护读者权益，保守读者秘密”体现了我国图书馆在服务实践中对读者个人信息保护的承诺和要求，为我国图书馆法相应法律条款的形成奠定了基础。

3.2 我国图书馆法对个人信息保护的原则

在我国《个人信息保护法草案建议稿》中，法学专家提出了个人信息合法利用的五项原则：［2］① 知情同意原则。个人信息的收集应当合法公正，应在法律规定或在信息主体知情同意的情况下收集。② 目的明确原则。个人信息的收集应当有明确而特定的目的。③ 限制利用原则。对个人信息的处理和利用必须与收集目的一致，必要情况下的目的变更应当有法律规定或取得信息主体的同意。④ 完整正确原则。信息处理主体应当保证个人信息在利用目的范围内准确、完整并及时更新。⑤ 安全原则。应当采取合理的安全措施保护个人信息，防止个人信息的意外丢失、毁损，非法收集、处理、利用或披露。这些原则为图书馆对读者个人信息的保护与利用提供了有价值的参考。图书馆各项业务活动所收集的读者个人信息是不同的，如办证和开展信息服务。图书馆应根据实际工作需要获得读者个人信息，并告之收集的目的和用途。除了常规的个人信息外，图书馆还会获得其他一些资料，如利用Cookie等软件追踪读者的网上行为，图书馆监控系统或许记录了读者的不雅行为，等等。上述各种读者个人信息，图书馆都有责任妥善保管，防止信息泄露或被盗用，更不可非法交易并从中获益。

3.3 我国图书馆法对个人信息保护的内容

借鉴国外图书馆法对个人信息保护的做法，根据我国国情，有针对性地提出我国图书馆个人信息保护的内容：① 明确图书馆有责任为用户保护个人信息，并强化工作人员的保护意识，采取必要的方法手段，防范用户个人信息非法泄露或被窃取。② 确定用户个人信息的范围，它既应涵盖读者提供的姓名、身份证号、联系方式等个人信息，也包括读者查询或借阅资料中的行为信息。③ 明晰例外情况，即何种情况下图书馆可向第三方提供个人信息。④ 违约的责任及惩处。对于违反规定造成损失的应该承担必要的法律责任，根据行为方式和情节严重程度给以民事责任、行政责任或刑事责任。

通过图书馆法加强读者个人信息保护不仅是图书馆对读者权利的维护，而且体现了《宪法》层面上对公民基本人权的保护。它凸现了图书馆以“读者为本”的精神，也成为构建和谐图书馆之必需。保护读者个人信息，尊重读者权益，是图书馆促进人类社会文明进步的又一贡献。

（美国伊利诺伊大学芝加哥分校图书馆资深编目员赵力沙教师提供了相关资料，在此深表感谢！）

［1］袁庆东.“图书馆自由”概念之内涵——以日本《图书馆宣言》为例［J］．图书馆理论与实践，2007（2）：111－113.

［2］齐爱民．中华人民共和国个人信息保护法示范法草案学者建议稿 ［J］．河北法学，2005（6）：2－5.