個人信息權的圖書館例外規則*

陳 杰 （天津科技大學法政學院 天津 300222）

1 個人信息權保護與圖書館的侵權風險

個人信息權，是指自然人依法對其本人的個人信息所享有的支配并排除他人侵害的人格權[1]。其內容非常廣泛，可以包括信息決定權、信息保密權、信息更正權、信息刪除權（被遺忘權）等。這里的個人信息是指與特定個人相關聯、反映個體特征的、具有可識別性的符號系統，包括個人身份、家庭、工作、財產、健康、性別、身高、宗教信仰、消費習慣等信息[2]。個人信息與權利人的名譽、姓名、肖像、隱私等人格要素密切相連，涉及權利人較多的人格利益。隨著互聯網等技術的發展，個人信息權的保護需求日益迫切。徐玉玉案中被害人因個人信息泄露而被詐騙數萬元致死，這更是讓個人信息權的保護成為社會關注的焦點[3]。因此，《中華人民共和國民法總則》（以下簡稱《民法總則》）第111條對個人信息權進行了專門規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”《民法總則》第111條是我國個人信息權的一般條款，是對權利人個人信息權的全面保護。同時《消費者權益保護法》《網絡安全法》等特別法在消費者權益保護、網絡安全等易于侵害個人信息的領域規定了個人信息權保護的具體內容。總體而言，近年來我國個人信息權的保護正迅速興起。

我國目前對圖書館與個人信息權關系的研究主要集中在圖書館對讀者信息的收集、利用等方面的保護。2018年開始實施的《中華人民共和國公共圖書館法》第43條規定:“公共圖書館應當妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。”學界因此往往更加關注圖書館對個人信息權的保護，但對個人信息權保護的圖書館例外規則研究較少。“凡權利皆受限制”[4]，個人信息權也不例外。這既是實現權利保護目的的需要，也是個人權益和社會公益平衡的需要。但《民法總則》第111條個人信息權條款中只規定了個人信息權的保護，沒有明確對個人信息權的限制。該條同時規定了第三人的義務，包括依法獲取和使用、保密等義務。從該義務條款的反對解釋①出發，可以解釋為只要第三人獲取、使用個人信息的行為是合法的，就不視為侵犯個人信息權。故也可以認為，個人信息權的限制為第三人合法行為。但合法性判斷本身就是一個籠統的判斷，在具體案件中，往往依賴于大量的民商事習慣和先行判決。這種籠統、模糊的例外規則無疑增加了不特定第三人尊重和規避個人信息權的避讓成本和相應的法律風險。這種成本和風險對與信息、文化密切相關的民事主體尤為明顯。

圖書館、檔案館、美術館、紀念館、博物館等機構承擔著文化保存、信息提供等社會職能。在文化保存和信息提供的過程中，難免會面臨他人信息的保護問題。圖書館等機構為了文化保存和信息提供之需，獲取、使用或公開他人個人信息時，法律并沒有事先予以合法性的評價。所以當圖書館等機構的文化保存、信息提供的職能與個人信息權沖突時，圖書館等機構就會面臨侵犯個人信息權的法律風險。

最常見的規避侵權風險的方法是權利人同意，即“自愿阻卻違法”。《中華人民共和國消費者權益保護法》《中華人民共和國網絡安全法》等規范性法律文件將自愿作為侵害個人信息權的違法性阻卻事由。《中華人民共和國消費者權益保護法》第29條規定，經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意；《中華人民共和國網絡安全法》第42條規定，網絡運營者未經被收集者同意，不得向他人提供個人信息。

除了權利人事先同意，我國尚無明確的個人信息權保護的例外規則。所以，圖書館等機構在履行其職能時，收集、使用、公開他人的個人信息，最穩妥的方式是經過權利人事先同意。但圖書館等機構在征得權利人事先同意的成本方面遠高于經營者、網絡運營者等機構。經營者、網絡運營者等機構可以將權利人同意作為其提供服務或提供優惠的先決條件，通過格式合同和格式條款來減少交易成本。在某些方面，圖書館等機構確實存在類似情況，諸如采取為讀者辦理借閱證等方式，通過格式合同和格式條款征得讀者的事先同意。但在很多情況下，圖書館、檔案館等機構難以一一征得事先同意，諸如作品版本保存中涉及的作者信息、錄音錄像制品中涉及的個人信息、檔案中涉及的個人信息、照片手稿等展品中涉及的個人信息等。這些個人信息一方面是當事人個人信息權所保護的范圍，另一方面基于公益目的的圖書館等機構需要進行保存，甚至需要向讀者、觀眾等不特定第三人提供。在難以一一征得事先同意的前提下，圖書館等機構將面臨個人信息權保護帶來的法律風險。此外，個人信息權包括信息刪除權，而重要信息的刪除也會影響到圖書館、檔案館的文化保存職能的實現，二者之間也存在法律上的沖突。

2 個人信息權保護的圖書館例外

圖書館、檔案館、美術館、紀念館、博物館等機構在履行其文化保存、信息提供的社會職能時，往往會進行大量的信息收集和處理，這些信息可能是受個人信息權保護的個人信息，也可能是受知識產權保護的商業秘密、作品等信息。基于圖書館等機構的公益目的，法律往往對圖書館等機構獲取、使用、保存、公開信息的行為予以一定的侵權豁免，即構成權利保護的圖書館例外規則。例如，《中華人民共和國著作權法》（以下簡稱《著作權法》）第22條第（8）項規定“圖書館、檔案館、紀念館、博物館、美術館等為陳列或者保存版本的需要，復制本館收藏的作品”，不視為侵犯著作權。美國著作權法第108條的規定更為繁雜，規定了圖書館、檔案館及其工作人員的符合法定條件的復制、提供等行為不視為侵犯著作權[5]。圖書館例外條款已經成為一種權利保護常見的例外情形。

個人信息權屬于人格權。基于公益目的，人格權的保護也存在一定克減和限制的情形，以避免人格權的濫用。例如，德國《藝術與攝影作品著作權法》第23條規定，歷史人物、偶然被攝入電影的人物等人的肖像可以未經肖像權人同意而使用、公開[6]；德國《聯邦數據保護法》第40條規定，研究機構可以基于科學研究目的搜集、存儲、使用個人信息[7]；英國1984年制定《數據保護法》并于1998年進行修訂以完善個人信息權的保護，但該法第4部分單獨規定了個人信息權保護的例外，包括國家安全、犯罪與稅收、健康、教育、文學藝術、歷史統計、家庭使用等情形[8]；日本2015年頒布的《個人信息保護法》第76條規定，新聞報道、作品著述、學術研究、宗教活動等情形屬于個人信息權保護的例外[9]。我國學者齊愛民教授草擬的《個人信息保護法》（專家建議稿）中也將保護公共利益作為個人信息保護的例外規則[10]。總體而言，雖然個人信息權保護越發嚴格，但公益目的常被作為個人信息權保護的例外。其中，圖書館、檔案館等機構為了實現其文化保存、信息提供等功能，本身就具備公益屬性，具有足夠的正當性作為個人信息權保護的例外。例如，英國《數據保護法》第33條將統計和歷史目的作為科研目的的例外，進而規定了一系列圖書館、檔案館等機構的例外規則，諸如這些個人信息可以被永久保留，權利人無權要求刪除[8]。美國幾乎所有的州都列舉了圖書館例外的情形，如圖書館在去掉能夠識別出具體個人的信息情況下，可以提交圖書館運作流通量等信息；為了追回逾期罰款或丟失的圖書，可以提交相應個人信息[11]。加拿大圖書館也會基于維持圖書館服務的目的，披露相關的個人信息[12]。

所以，在保護個人信息權呼聲日益高漲的社會背景下，我們不宜忽視圖書館、檔案館等機構為了履行其職能所需要的一系列例外規則。基于公益目的，在個人信息權被保護的同時，保留圖書館等機構的一定范圍的例外十分有必要。近年來，我國也有不少專家學者建議制定《個人信息保護法》，但研究成果中有關圖書館等機構的例外規則又往往不夠明確，所以本文對個人信息保護中的圖書館例外規則提出相應的立法建議。

3 圖書館例外規則的立法建議

為了保障圖書館等機構正常職能的履行，需要對個人信息權的保護設計一定的例外規則。這些例外規則可以是抽象、原則性的規定，也可以是明確、具體的規定。抽象、原則性的規定往往具有較大的彈性，可以更好地適應經濟社會的變遷，但法律適用時會有較大的不確定性，難以給予當事人較準確的行為預期。例如，可以籠統地規定，圖書館等機構為履行其法定職責，獲取、使用、披露、刪除個人信息的，不視為侵犯個人信息權；圖書館等機構以履行其文化保存、信息提供等職責為目的實施的行為可以排除在個人信息權保護范圍之外。但是在具體案件中，往往不得不依賴較多的行業慣例來判斷圖書館等機構的權益和個人信息保護之間的界限，也因此會遺留較多問題，諸如圖書館是否應當保留讀者檢索、借閱的信息；圖書館等機構永久保存藝術品相關個人信息是否需要經過權利人同意；圖書館等機構所獲取的個人信息中，哪些需要經過權利人同意，哪些可以不需要經過權利人同意；哪些機構可以屬于圖書館、檔案館等機構，哪些機構不屬于這類機構。所以，從立法技術上，本文建議對可以預見的這類問題事先進行明確規定，最大程度上減少法律調整的社會成本，同時留下一定的兜底條款。這樣既保證了個人信息權保護例外條款的彈性，又減少了法律適用的模糊性。

首先是圖書館等機構的主體限定方面。對個人信息權的保護進行例外規定一般具有公益目的，而公益目的也常常體現在主體的限定方面。例如，法國知識產權法典L.133條所規定的圖書館條款僅限于向公眾開放的圖書館。而美國的圖書館例外條款一般要求圖書館具有公共性。這種限定的目的在于排除私人圖書館。易言之，如果圖書館等機構與社會公益無關，也就沒有進行特別規定的必要。所以，我國的圖書館例外條款也應當要求其公共性。此外，在圖書館等機構的界定方面可以有列舉式和概括式兩種方式，列舉式就是明確列舉這類機構的外延，如我國《著作權法》第22條第（8）項列舉的圖書館、檔案館、紀念館、博物館、美術館等。概括式就是概括出上述機構的共性，諸如將圖書館、檔案館等機構界定為文化保存機構或者教育文史機構等。從減少法律適用的成本和我國通俗化的立法傳統出發，本文建議沿用《著作權法》第22條第（8）項的立法技術，通過列舉來進行主體的限定。所以，本文建議將圖書館例外條款中的主體部分限定為“公共性的圖書館、檔案館、紀念館、博物館、美術館等”。

其次是個人信息的獲取方面。與有體物②的占有不同，信息可以被不同主體同時獲取，他人獲取之后的使用、披露等行為權利人往往難以控制。所以，在形式上權利人對個人信息的控制集中體現在禁止他人獲取方面。權利人的個人信息區分為兩類：第一類是權利人作為個人隱私保護的個人信息，包括個人的手機號、郵箱、家庭住址等信息。這類信息具有非公開性，他人無法從公開渠道獲得。所以，圖書館等機構獲取這類信息，需要經過權利人的同意，并附有保密義務。這類信息主要為圖書館等機構為了管理和統計的便利獲取的讀者個人信息，與權利人個人利益密切相關，與公益圖書館職能關系較小，所以往往對應更嚴格的保護規則。第二類是可以通過公開途徑獲得的個人信息，包括作品作者信息、藝術品相關個人信息、電影中人物形象、個人先進事跡等。其中，公開途徑包括網絡、出版物、展覽會、發布會、新聞報道等。這些個人信息本身不屬于隱私，不特定第三人可以自由獲取，所以此類信息往往更接近于公益，與權利人個人利益關系較少，保護也較為寬松，無需經過權利人同意，圖書館等機構就可以通過公開途徑獲得。此類信息的獲取、使用等行為中，圖書館等機構的主要責任在于保證信息的真實和完整。

第三是個人信息的使用和披露方面。從個人信息的保護方面，學界理論上通常對圖書館等機構使用個人信息有如下3個要求：首先是該信息獲得的途徑合法，通過非法途徑獲得的個人信息往往禁止使用；其次是使用不得超過正當目的所需，只有在圖書館等機構履行本身職能所需的范圍內使用個人信息才具有正當性；最后是符合比例原則，不應對權利人造成不合理的損害，如使用圖書館讀者數量等信息時，無需提供具體讀者的個人信息，提供了具體讀者的個人信息則造成了不應有的損害。披露也可以視為是一種使用信息的方式。圖書館等機構為了履行其職能，往往需要披露一定的信息，如為了追回逾期未歸還的圖書，圖書館往往可以未經借閱人同意披露其相關信息，以保障圖書的歸還。但這種披露的信息也需符合前述的3個要求。如上文所述，個人信息可以分為隱私和公開兩類，對于個人隱私而言，這些信息披露往往需要受到較嚴格的限制；對于公開信息而言，這類信息的披露往往較為寬松。例如，手稿、書信等物品涉及當事人隱私，故其作為展品往往在期限上要求權利人去世若干年；但當事人已經公開的個人英雄事跡等個人信息則一般無期限上的要求。

第四是個人信息的刪除方面。隨著時代的發展，“被遺忘權”等權利逐步成為個人信息權的內容，即信息刪除權。圖書館等機構在處理大量個人信息時，難免會遇到信息刪除等內容，所以圖書館例外條款應當具有信息刪除權例外的相應內容，以對抗權利人信息刪除權的行使。這種例外包括兩個方面：其一是圖書館等機構依據行業管理刪除個人信息的情況。從運營的實際情況出發，圖書館等機構不可能永久保存全部個人信息，大量無用的個人信息往往在一定期限后被刪除，諸如讀者查詢文獻的記錄、借閱記錄、館內的監控錄像等。這類信息的保存和刪除往往有一定的行業規范，同時對權利人影響較小，所以從維系圖書館等機構的實際運營出發，其需要依據行業慣例保存和刪除個人信息。其二是圖書館、檔案館等機構基于公益目的長期保存個人信息的情況。例如，檔案館中對個人檔案等個人信息的保存，博物館、美術館中對藝術品相關個人信息的保存，紀念館中對個人先進事跡、個人肖像等個人信息的保存等情況。圖書館等機構對這些個人信息的長期保存具備較多公益目的，不宜依據權利人的要求而刪除。

最后是兜底條款。隨著經濟社會生活的發展，圖書館等機構為了履行其職責往往還會產生新的權利保護的例外需求，所以從法律調整的彈性出發，應當規定一定的兜底條款。只要是與前述情形近似，是圖書館等機構在其履行職責需要使用他人個人信息的情形，都可以通過法院事后裁判歸入圖書館例外條款之中。

4 結 語

隨著《民法總則》的實施，個人信息權的保護逐漸成為理論研究和生活實務的熱點。作為公益事業機構的圖書館、檔案館、紀念館、博物館、美術館等對個人信息有著大量的收集、使用等需求。從維系公益目的出發，個人信息權的保護應當設立一定的圖書館例外條款，以保障圖書館等機構維系正常職能的正當需求。所以，在民法典制定之際，本文建議在個人信息權保護的基礎上明確規定圖書館例外條款，包括明確圖書館等機構的范圍、明確個人信息獲取的條件、使用披露以及刪除個人信息的相關要求、兜底條款等內容。

注 釋：

①反對解釋，是法律解釋中的常見解釋方法，是指通過法律條文的正面表述，推知其反面含義的解釋方法。

②有體物，是指占有一定空間能為人所支配并且滿足人某種需要的物質對象。

[1]楊立新.中華人民共和國民法總則要義與案例解讀[M].北京:中國法制出版社,2017:414.

[2]王利明.中華人民共和國民法總則詳解[M].北京:中國法制出版社,2017:456.

[3]沈寅飛.徐玉玉案調查[N].檢察日報,2016-10-12(5).

[4]王澤鑒.民法總則[M].北京:北京大學出版社,2009:520.

[5]陳 杰.美國版權法圖書館例外條款的借鑒[J].圖書館,2017(9):55-60.

[6]馬 特,袁雪石.人格權法教程[M].北京:中國人民大學出版社,2007: 70.

[7]Bundesdatenschutgesetz(BDSG) §40 Verarbeitung und Nutzung Personenbezogener Daten durch Forschwngseinrichtungen[EB/OL].[2017-12-16].http://www.gesetze-im-internet.de/bdsg_1990/__40.html.

[8]Data Protection Act 1998 [EB/OL].[2017-12-26].http://www.legislation.gov.uk/ukpga/1998/29/contents.

[9]個人情報の保護にする法律(平成15年5月30日法律第57號)[EB/OL].[2017-12-16].https://www.ppc.go.jp/personal/legal/.

[10]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學,2005(6):2-5.

[11]趙力沙.圖書館保護個人信息初探——美國個人信息保護法概述[C]//中國圖書館學會2007年年會論文集,北京:北京圖書館出版社,2007:95-101.

[12]唐開敏,鄭晰少.加拿大圖書館個人信息保護政策研究[J].情報資料工作,2010(6):38-40.