读者个人信息侵权保护的完善

摘 要 匡正《公共图书馆法》相关规定的不足，能更好地保护读者的个人信息。论文以读者个人信息共享的新型服务模式为切入点，在这一场合下，读者个人信息的控制者由单个控制人裂变为复数控制人。而《公共图书馆法》的相关规定与这一服务模式存在脱节，不足以使读者个人信息得到很好的保护。据此，应当与时俱进地对《公共图书馆法》作相应的修改，方能最大化地激发《公共图书馆法》的生命力。

关键词 读者 个人信息 公共图书馆法 侵权保护 民法典

分类号 G250

DOI 10.16810/j.cnki.1672-514X.2020.11.002

The Perfection of the Protection of Readers Personal Information Infringement：
on the Revision of the Relevant Provisions of the Public Library Law

Sun Daorui

Abstract Rectifying the deficiencies of the relevant provisions of the Public Library Law can better protect the personal information of readers. This paper takes the new service mode of readers personal information sharing as the breakthrough point. In this case， the controller of readers personal information is split from single controller to plural controller. However， the relevant provisions of the Public Library Law are out of touch with this service mode， which is not enough to protect the personal information of readers. Therefore， we should make corresponding amendments to the Public Library Law， in order to stimulate the vitality of the Public Library Law to the greatest extent.

Keywords Readers. Personal information. Public library law. Tort protection. Civil Code.

0 引言

《中華人民共和国公共图书馆法》（以下简称《公共图书馆法》）第四十八条第一款规定：“国家支持公共图书馆加强与学校图书馆、科研机构图书馆以及其他类型图书馆的交流与合作，开展联合服务。”这是我国首次在狭义的法律中肯认了图书馆之间信息资源共享的服务模式。该服务模式的开展是以读者个人信息共享为基础，进而在合作馆之间形成针对不同读者的科学化和个性化的服务体系，以满足读者不同层次阅读需求的新模式[1]。在这一新型服务模式之下，各个图书馆所收集到的读者个人信息已非与其他图书馆毫无联系的孤岛，而是相互共享的信息资源。读者个人信息数据由单个控制人裂变为复数控制人，而复数控制人之间的信息数据共享链以及共享的信息量亦将呈几何增长。如此庞大和交错纵横的信息流通将致使个人信息数据面临严峻的风险。为保护读者的个人信息，《公共图书馆法》以行为模式作为立法模式。其第五十条第一款和第三款规定，公共图书馆及其工作人员出售或者以其他方式非法向他人提供读者个人信息的，应承担相应的法律责任。在这种立法模式之下，不论侵权行为是否造成损害结果，均应承担法律责任。此种立法模式更加突出了惩罚功能和预防功能，有助于通过对侵权行为的制裁，达到维护良好社会生活秩序的目的。就此点而言，《公共图书馆法》无疑具有巨大的进步意义。特别是在面对读者个人信息的单个控制人时，可以很容易地锁定侵权行为人。但是，在面对读者个人信息复数控制人这一场景时，侵权行为主体以及侵权行为与损害结果之间的因果关系则难以识别，这无疑给读者个人信息的保护增加了难度。鉴于此，笔者认为有必要把握读者个人信息共享这一新型服务模式的相关事实，针对复数控制人场合下读者个人信息保护的不足，提出相应的完善建议，匡正《公共图书馆法》的相关规定，更好地保护读者的个人信息。

1 读者个人信息及其收集与共享

1.1 读者个人信息

《中华人民共和国民法典》（以下简称《民法典》）第一千零三十四条第二款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”该条采取“定义+列举”的方式对个人信息作出规定。在概念上，个人信息强调内容的“可识别性”，具有从本质上单独或者结合其他信息识别特定个人身份的属性[2]。可以看出，我国是从静态的维度对个人信息的概念加以界定。然而，个人信息有其场景性和动态性，这无疑给个人信息的判定带来了困难[3]。例如，身居孤岛的鲁滨逊纵然将其全部个人信息刻于荒石，若无人查知，即无个人信息的流通，则亦无风险可言。本文认为，法律意义上的个人信息应是在静态的维度之上，辅以个人信息在不同状态下是否存在风险来加以判定。

就读者个人信息而言，首先，需要从静态的可识别性维度出发，凡是图书馆收集到的能够单独或者与其他信息结合识别读者身份的各类信息均属读者的个人信息。在这类信息当中，能够单独识别读者个人身份属性的，譬如个人面部识别信息、身份证号等，为直接识别性个人信息;需要与其他信息结合起来才能识别读者个人身份属性的，譬如姓名与住址相结合来识别某个人，为间接识别性个人信息。其次，读者个人信息的判定还应结合所处的风险，只有存在主观伤害风险或者客观伤害风险的个人信息才是法律上的个人信息[4]。图书馆之间根据《公共图书馆法》第四十八条第一款之规定，依法进行读者个人信息共享，没有主观和客观伤害风险，不属于受法律保护的个人信息。最后，不能够单独识别的，且亦无其他可结合的信息，此种孤立的片断式的信息亦不能称之为法律意义上的个人信息。例如，仅有姓名，而无其他相结合的信息，则不足以称之为读者个人信息。例如，在胡某（原告）与南京汇法正信信息科技有限公司（被告）一般人格权纠纷案件中，被告虽然通过催天下网站披露了原告的姓名，但其包括身份证号码、手机号码、小区名称、家庭住址等个人信息均未被披露，第三方无法据此信息明确指向原告，故不构成对原告的侵犯[5]。

1.2 读者个人信息的收集

个人信息，依形成的不同，可分为志愿者信息、政府强制采集的个人信息、测量信息和推测信息[4]。就读者个人信息而言，乃是读者根据图书馆的相关规定，自己主动提供的志愿者信息。虽然读者个人信息属于志愿者信息，但仍要在对他人个人信息进行收集之前，就收集的信息内容以及信息的存储和利用等情况进行充分的告知，并征得信息主体的明示同意[6]。当前，对读者个人信息的收集，各类图书馆基本上遵循了告知同意的原则。较为通行的做法是在其官方网站或微信公众号上就办理读者证或入馆所需提供的个人信息材料进行告知，读者根据告知的事项，以其行为明示同意，并提供附有其个人信息的材料。

就公共图书馆而言，笔者通过查阅我国国家图书馆及大陆地区29个省、自治区和直辖市的省级公共图书馆网站（因在青海省图书馆和西藏图书馆的官网上未查阅到相关信息，故未统计）发现，凡申领读者证者，须提供身份证（或户口本、驾照、护照、军人证）等本人有效身份证件。此外，一些省级图书馆还对读者证的类型进行了细化，办理少儿读者证或幼儿读者证的，还须提供监护人的有效身份证件（见图表1）。

学校图书馆和科研院所图书馆在面向内部师生员工和科研人员进行开放的同时，还要力所能及地向社会开放，开展社会化服务。就内部开放而言，通行做法是以办理一卡通（读者卡）的方式出入图书馆。此外，很多高校采取人脸识别的方式入馆，例如天津大学图书馆、西北工业大学图书馆等高校图书馆。就面向社会开放而言，笔者查阅了我国36所世界一流大学建设高校（A类）中25所高校的图书馆（在其中11所高校的图书馆网站上未能查阅到对校外读者开放的相关信息）、中国社科院图书馆和重庆的公益图书馆——阅伴山书屋[7]。社会读者进入上述向社会开放的图书馆需要提供的个人信息同样存在区别，有些图书馆只需要提供有效证件既可，而有些图书馆需要提供有效证件和（或）单位介绍信等信息（见表2）。

通过上述调查统计发现，无论是公共图书馆，还是学校图书馆、科研院所图书馆以及其他类型图书馆，所收集到的读者个人信息包括肖像、姓名、性别、出生日期、身份证号、户籍所在地、电话号码、个人面部识别信息、个人职称职务和工作单位等。其中，个人身份证号和个人面部识别信息等属于个人敏感信息[8]。

1.3 读者个人信息的共享

《公共图书馆法》第四十八条第一款规定，公共图书馆与学校图书馆、科研机构图书馆以及其他类型图书馆可依法展开交流与合作，开展联合服务。这就意味着，图书馆可依法对读者个人信息作信息数据共享的合理使用。该条的立法依据在于，个人信息的识别功能决定的是个人信息本身的社会属性而非个人属性，个人对个人信息并不当然地享有支配性权利[9]。这符合了大数据时代的法律需求，是对作为个人信息法律核心原则的同意原则的补充，弥补了同意原则在大数据背景下的局限性[10]。根据目前的实践，读者个人信息的共享包括了相同类型的图书馆之间和不同类型的图书馆之间的信息共享，主要通过图书馆联盟、图书馆联合体和馆际互借等形式加以实现。图书馆联盟是图书馆联合的最新形式，为实现图书馆共建共享、扩大服务人群而组建起来，有共同认可的联盟章程[11]。当前，我国已成立了许多图书馆联盟，例如北部湾图书馆联盟、“中三角”（湘鄂赣皖）公共图书馆联盟和全国师范院校图书馆联盟等。此种图书馆之间的联合，将使图书馆资源得到整合，有助于进一步突破地域文化壁垒[12]。而且，由高校图书馆和公共图书馆组成的图书馆联盟无疑能够实现资源的最大化利用，实现高校图书馆与公共图书馆的双赢[13]。图书馆联合体是指多个图书馆之间为充分发挥图书馆的整体优势、更好地开发和利用各馆的信息资源、提高图书馆文献资源保障水平而成立的组织，例如2002年11月由北京邮电大学图书馆联合10家高校图书馆成立的“北京市北三环——学院路地区高校图书馆联合体”。图书馆联合体与图书馆联盟显著的区别在于其是区域性的同种类型图书馆之间的联合，缺少类似图书馆联盟的章程，组织间较为松散[14]。而图书馆联盟则不限地域，不论是何种类型的图书馆，甚至是国际间的图书馆亦可结为图书馆联盟。馆际互借是指图书馆之间或图书馆与其他情报机构之间相互利用对方文献来满足用户需求的一种信息服务形式[15]，包括了返还式的文献借阅和非返还式的文献传递[16]。目前，我国已经建成了中国高校人文社会科学文献中心[17]（China Academic Social Sciences and Humanities Library，简称CASHL）和国家科技图书文献中心[18]（National Science and Technology Library，简称NSTL）两大馆际互借信息资源平台。

可以说，图书馆在开展联合服务的过程中，始终是围绕用户在“转”。这就意味着，图书馆之间的合作必须通过对用户信息的共享来加以实现，目的在于汇集用户、共享知识[19]。而图书馆将读者个人信息作为流通内容的同时，也将该类信息数据置于社会风险的笼罩之下。一旦图书馆在信息数据共享中出现操作失误，极易导致读者个人信息的泄露[20]。图书馆购买服务或平台的第三方服务商在未经同意或授权的情况下，擅自开发使用图书馆读者个人信息，也将导致读者的个人信息权益受到侵害[21]。

2 讀者个人信息侵权保护的不足

2.1 保护义务主体失之过窄

从《公共图书馆法》第四十八条第一款规定的文义来看，我国的图书馆可从类型上分为公共图书馆、学校图书馆、科研机构图书馆和其他图书馆四种类型。各种类型的图书馆之间以读者个人信息共享构建起新型的服务模式，此种服务模式使得读者个人信息的控制者由单个控制人裂变为复数控制人。然而，根据《公共图书馆法》第四十三条和第五十条的规定，对读者个人信息负有保护义务及承担法律责任的主体却只有公共图书馆及其直接负责的主管人员和其他直接责任人员。非公共图书馆的学校图书馆、科研机构图书馆和其他类型的图书馆则不受第四十三条和第五十条的约束。这显然与当前各类图书馆均为读者个人信息控制人的实际情况不符。虽然我国的图书馆存在类型和服务群体上的差异，但在各类图书馆开展联合服务、信息共享的背景之下，对读者个人信息的保护却无二异。因此，从法律体系上看，《公共图书馆法》对读者个人信息保护的规定可谓“法网”不够大，造成权利与义务的不对称，弱化了同样握有读者个人信息的非公共图书馆的保护义务。

2.2 侵权行为未全面列举

从立法模式上看，《公共图书馆法》第四十三条采取对侵权行为进行列举的立法模式。此种模式是大陆法系国家侵权法立法的模式，在罗马法时期，法律规定中便对各种具体的侵权行为进行了列举式的规定，并且在诉讼活动中不断扩大侵权行为的类型[22]。近代以降，《法国民法典》对准侵权行为进行了列举，并在法典的实施过程中多次补充了有关准侵权行为的内容[23]。《德国民法典》亦列举了一系列准侵权行为或特殊侵权行为[23]。我国《民法典》承袭了大陆法系对侵权行为进行列举的立法模式。《民法典》第七编“侵权责任”第四章至第十章所规定的特殊侵权责任，即根据侵权行为的类型进行专章立法。《公共图书馆法》沿用了对侵权行为进行列举的立法模式，于第四十三条列举了出售和向他人非法提供两种侵害读者个人信息的侵权行为类型。列举式的立法模式虽有助于准确和明晰地对侵权行为加以识别，但若缺乏前瞻性，则不能穷尽所有的侵权行为，将导致法律规定存在漏洞。在大数据的信息时代，侵害个人信息的侵权行为类型更加多样化，已不再囿于出售和非法提供两种行为。例如，公开他人个人信息亦可构成侵权。在鲁中晨报社等与黎某名誉权、隐私权纠纷案中，该报社在未经黎某允许的情况下，公开披露了黎某的籍贯、学历、工作单位等个人信息，构成了对黎某个人信息的侵犯。是故，《公共图书馆法》第四十三条对侵权行为类型的列举明显不周。

2.3 未对用人者责任作出规定

《公共图书馆法》第五十条第一款和第三款规定，公共图书馆及其工作人员出售或者以其他方式非法向他人提供读者个人信息的，对直接负责的主管人员和其他直接责任人员依法追究法律责任。法律责任的类型包括了刑事责任、行政责任和民事责任三类。就刑事责任而言，根据《刑法》第二百五十三条之一和《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定，向他人出售或者提供公民个人信息，情节严重的，构成侵犯公民个人信息罪。值得注意的是，单位构成侵犯公民个人信息罪的，对单位判处罚金。因此，该款忽略了单位犯罪。就行政责任而言，根据《公共图书馆法》第五十二条之规定，文化主管部门或者其他有关部门及其工作人员在公共图书馆管理工作中滥用职权、玩忽职守、徇私舞弊的，对直接负责的主管人员和其他直接责任人员依法给予处分。就侵权责任而言，根据《民法典》第一百一十一条、第一千一百六十五条和第一千一百八十三条之规定承担相应的赔偿责任。《公共图书馆法》第五十条第一款和第三款之规定的法理为侵权行为人责任自担。但这一规定忽视了作为用人者的图书馆或图书馆所在单位的私法责任。雇佣人（用人者）就其受雇人因执行职务所加于他人之损害，应负损害赔偿责任，此乃现代法律发展的共同趋势[24]。被使用者受用人者的监督和管理，所以要求用人者为被使用者的侵权行为承担责任可以形成有效的激励机制，促使用人者更好地履行管理、监督被使用者的职责，以防损害发生[25]。并且，用人者责任有助于更好地保护被侵权人的合法权益[26]。

当前，用人者责任在我国多部法律及其司法解释之中已有体现。在私法领域，《民法典》第一千一百九

十一条，《最高人民法院关于审理人身损害赔偿案件适用法律若干问题的解释 》第九条和第十三条规定了民法上的用人者责任。国家赔偿则由《国家赔偿法》以及《最高人民法院关于适用<中华人民共和国国家赔偿法>若干问题的解释（一）》等法律和司法解释加以规定。《公共图书馆法》第五十条第三款将承担侵权责任的主体规定为直接负责的主管人员和其他直接责任人员，未对用人者责任作出规定，这显然与我国目前的法治精神和法律规定体系上的统一性原则相悖。

3 读者个人信息侵权保护的完善建议

3.1 根据对读者信息数据的实际控制来确定保护责任人

要解决复数控制人场合下读者个人信息的保护困难，首要任务就是确定侵权责任人。而要解决这一法律难题，我们需要依赖经验、仰仗理性。一方面，从司法实践的经验上看，“庞某诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”判决书中对个人信息复数控制人侵权责任的认定可供参考。该案被最高人民法院评为典型案例，具有重要的指导价值。在该案中，鲁某通过去哪儿网为庞某和自己向东航订购了机票，并且仅仅给去哪儿网留了自己的手机号，而非庞某的手机号。但庞某却收到了诈骗短信。作为终审法院的北京市第一中级人民法院终审认为，存储有庞某个人信息的东航和去哪儿公司都有泄露庞某隐私信息的高度可能性，并且存在过错，应当承担相应的侵权责任[27]。另一方面，从作为理性象征的法律规定上看，域外立法提供了参考范式。欧盟《一般数据保护条例》（GDPR）第82.2条规定，任何涉及到数据处理的控制者都应当因违反本条例的规定所造成的损害承担法律责任。德国《联邦数据保护法》（2017年修订版）第8.4条规定：“在数据自动化处理的场合下，如果多个机构都存储有个人信息数据，且受害人无法确定是由哪一个实际控制人引起的信息数据侵害，则每一个信息数据的控制人均承担责任[28]。”

综合上述两个方面来看，读者个人信息的保护已不能单独依靠某一个或某幾个图书馆，而是需要全部图书馆的共同合力。这就意味着，无论是收集读者个人信息的图书馆，还是接收读者个人信息的图书馆，均为读者个人信息的保护主体。若无法判断是收集个人信息的图书馆，还是接收个人信息的图书馆造成读者个人信息的侵害，除能够充分证明其未实施任何侵权行为的一方外，均应被视为侵权责任人，承担不真正连带责任。

3.2 对侵权行为全面列举

要全面了解图书馆对其合法收集的读者个人信息的侵权行为类型，需要从司法实践中寻找答案。本文以我国22件司法案例为分析对象，其中，最高人民检察院发布的指导案例1件;最高人民法院、最高人民检察院发布的典型案例7件;最高人民法院发布的典型案例4件;《人民司法·案例》公布的经典案例10件。在这些案件中，以出售的方式侵害他人个人信息的案件有10件;以出售、非法提供的方式侵害他人个人信息的案件有2件;以非法提供的方式侵害他人个人信息的案件有4件;以公开泄露的方式侵害他人个人信息的案件有5件;以非法利用的方式侵害他人个人信息的案件有1件（见表3）。

通过对上述案例的统计分析可知，侵害个人信息的行为有出售、非法提供、公开泄露和非法利用四种行为类型。此四种行为类型具有普适性，不论是何种个人信息，信息控制人均可通过上述四种行为实施侵犯。因此，就《公共图书馆法》第四十三条规定的侵权行为类型而言，仅仅规定出售和非法提供两种侵权行为显然是不够的，还应当补充规定公开泄露和非法利用两种侵权行为类型。

3.3 对用人者责任作出规定

图书馆工作人员因执行工作任务造成读者个人信息受侵害的，由用人者承担侵权责任。而要追究用人者的责任，则需要首先明确用人者。用人者的判断标准在于是否具有独立的人格、能否独立承担法律责任。首先，就公共图书馆而言，此类图书馆属于公益性文化事业单位法人，具有独立承担法律责任的资格。其次，就学校图书馆而言，此类图书馆属于学校的内设机构，不具有独立承担法律责任的资格。因此，学校图书馆工作人员侵害读者个人信息的，由学校承担侵权责任。再次，就科研机构图书馆而言，需要具体分析加以判断。一般而言，省级行政区域内的科研机构图书馆属于科研机构的组成部门，不具有独立承担法律责任的资格。而国家科学图书馆（中国科学院文献情报中心）、中国社会科学院图书馆等国家科研机构的图书馆则具有独立承担法律责任的资格。最后，其他依法登记的图书馆属于《民法典》第一编“总则”第四章规定的“非法人组织”，能够依法以其名义从事民事活动，具有独立承担法律责任的资格。

4结论

在读者个人信息受到侵害时，要使读者个人信息得到更好的法律保护，唯有正视《公共图书馆法》存在的不足，匡正相关法律规定。据此，本文特提出第四十三条和第五十条的修改建议条文，以供立法机关和司法机关参考。

第四十三条增加一款，修改为：“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息，不得出售、公开泄露、非法利用或者以其他方式非法向他人提供。

“学校图书馆、科研机构图书馆或其他类型图书馆依照上款规定，负有同等保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息的义务。”

第五十条第一款第（二）项修改为：“出售、公开泄露、非法利用或者以其他方式非法向他人提供读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息。”

第五十条第三款修改为：“公共图书馆及其工作人员有前两款规定行为的，对公共图书馆、直接负责的主管人员和其他直接责任人员依法追究刑事责任和行政责任。”

第五十条增加两款：“学校图书馆、科研机构图书馆或其他类型图书馆有前两款规定行为的，依照前三款的规定追究法律责任。

“图书馆工作人员因执行工作任务造成读者个人信息受损害的，由用人者承担侵权责任。难以确定是收集读者个人信息的图书馆，还是接收读者个人信息的图书馆造成读者受损害的，除能够证明自己不是侵权人的一方外，每一个读者个人信息的控制人均应承担侵权责任。”

参考文献：

李爱国，华苏永，汪社教.基于用户信息共享的图书馆合作模式研究[J].图书情报工作，2015（13）：20-25.

张新宝.《民法总则》个人信息保护条文研究[J].中外法学，2019（1）：54-75.

齐爱民，张哲.识别与再识别：个人信息的概念界定与立法选择[J].重庆大学学报（社会科学版），2018（2）：119-131.

阳雪雅.论个人信息的界定、分类及流通体系：兼评《民法总则》第111条[J].东方法学，2019（4）：33-42.

胡某訴南京汇法正信信息科技有限公司一般人格权纠纷案[Z].浙江省宁波市中级人民法院（2019）浙02民终1576号判决书.

齐爱民.信息法原论：信息法的产生与体系化[M].武汉：武汉大学出版社，2010：76.

信子维.重庆南山唯一公益图书馆对外开放[EB/OL].[2019-10-15].http：//gongyi.china.com.cn/2019-10/15/content_40921292.htm.

胡文涛.我国个人敏感信息界定之构想[J].中国法学，2018（5）：235-254.

高富平.论个人信息保护的目的：以个人信息保护法益区分为核心[J].法商研究，2019（1）：93-104.

江波，张亚男.大数据语境下的个人信息合理使用原则[J].交大法学，2018（3）：108-121.

黄俊.区域性公共图书馆联盟建设思考：以“中三角”（湘鄂赣皖）公共图书馆联盟为例[J].图书馆杂志，2016（12）：23-31.

湖北省人民政府网站.“中三角”湘鄂赣皖四省公共图书馆联盟在武汉成立[EB /OL].[2013-05-13].http：//www.hubei.gov.cn/zwgk/rdgz/rdgzqb/201305/t20130513_448186.shtml.

刘香菊.浅谈高校图书馆与公共图书馆联盟的迫切性与可行性[J].河南图书馆学刊，2019（11）：123-124.

周婕，崔海媛，张红军.北京高校图书馆联合体合作实践与发展研究[J].图书情报工作，2007（3）：121-124.

李红春.我国图书馆馆际互借条例研究[J].图书馆学刊，2011（7）：17-20.

张秀兰，张冰洁.我国馆际互借的历史沿革[J].图书馆学研究，2017（8）：17-21.

中国高校人文社会科学文献中心.中心介绍[EB /OL].[2020-03-22].http：//www.cashl.edu.cn/node/45.

国家科技图书文献中心.机构简介[EB /OL].[2020-03-22].https：//www.nstl.gov.cn/Portal/zzjg_jgjj.html.

李爱国，华苏永，汪社教.基于用户信息共享的图书馆合作模式研究[J].图书情报工作，2015（13）：20-25.

姚志红.大数据环境下数字图书馆个人信息的安全保护研究[J].图书馆学刊，2016（2）：112-114.

郭爽.大数据背景下图书馆用户个人信息及隐私保护对策[J].图书馆学刊，2019（2）：116-121.

格哈特·瓦格纳.当代侵权法比较研究[J].高圣平，熊丙万，译.法学家.2010（2）：103-127.

张新宝.侵权法立法模式：全面的一般条款+全面列举[J].法学家，2003（4）：27-31.

王泽鉴.民法学说与判例研究（第一册）[M].北京：中国政法大学出版社，2005：1.

波斯纳.法律的经济分析（上册）[M].蒋北康，译.北京：中国大百科全书出版社，1997：240.

程啸.侵权责任法（第二版）[M].北京：法律出版社，2015：403.

庞某诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案[Z].北京市第一中级人民法院（2017）京01民终509号判决书.

刘金瑞.德国联邦数据保护法2017年版译本及历次修改简介[M]//中德法学论坛，2017年第14辑（下卷）.北京：法律出版社，2018：355.

孙道锐 大连海事大学法学院博士研究生。

辽宁大连，116026。

（收稿日期：2020-06-24 编校：左静远，陈安琪）

*本文系国家社科基金重大项目“民法精神与建设社会主义法治文化民本模式研究”（项目编号：14ZDC022）的研究成果。