《公共圖書館法》視閾下讀者個人信息保護路徑研究*

●姜明芳 趙奇釗

(湖南第一師范學院 長沙 410205)

隨著“互聯網+”行動計劃的穩步推進，大數據已經滲透到當今每個行業和業務功能區域，不僅改變了人們的生活方式，也改變了人們的閱讀方式，催生了圖書館服務方式的變革與移動圖書館的產生。人們在享受移動圖書館帶來的數字化閱讀便利的同時，也不得不面臨個人信息泄漏的風險[1]。2018年1月1日開始實施的《中華人民共和國公共圖書館法》(以下簡稱《公共圖書館法》)首次以法律形式對讀者個人信息保護做出了規定，說明了公共圖書館中讀者個人信息保護的重要性與緊迫性，同時也為讀者個人信息保護帶來新的要求與挑戰[2]。

1 《公共圖書館法》中讀者個人信息保護相關條款釋義

《公共圖書館法》第四十三條規定“公共圖書館應當妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供”[3]。該條款從法律層面明確了公共圖書館需要保護的讀者信息的基本范疇，規定了讀者個人信息的非法出售或提供給他人的行為是非法的，這是對讀者隱私權的法律保護，有利于公共圖書館運行管理過程中對讀者的尊重和對讀者權益的保護，有助于提升公共圖書館的服務效能，促進其健康持續地發展。為切實保護讀者個人隱私，圖書館首先要加強《公共圖書館法》等讀者隱私保護相關法律法規的宣傳與學習，明確圖書館館員與讀者各自的權利和增強館員與讀者的隱私保護意識。其次要更新管理理念，完善規章制度，內化行為規范。將“維護讀者權益，保守讀者秘密”的現代圖書館管理理念引入日常工作之中，并就隱私保護規范做出進一步補充與完善，在公共圖書館運行管理過程中引導形成一種讀者隱私保護行為規范[4]。

《公共圖書館法》第五十條明確指出，公共圖書館及其工作人員以出售或者其他方式非法向他人提供讀者個人信息、借閱信息以及其他讀者隱私信息行為是違法的[3]。這是從法律上對侵犯讀者隱私行為的處罰與保護方式進行規范與界定，通過制裁與懲罰違法行為保障《公共圖書館法》的實施，從而規范違法行為，預防讀者個人信息保護違法犯罪行為，為圖書館公共數字文化服務提供讀者個人信息安全保障。

2 《公共圖書館法》界定的讀者個人信息保護范疇

2012年12月審議通過了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，首次從法律上界定了個人信息的內涵與范圍。2016年11月發布的《中華人民共和國網絡安全法》和2017年提請人大審議的《中華人民共和國個人信息保護法(草案)2017版》進一步明確個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等[5，6]。歐盟《個人數據保護指令》將個人信息分為三類：基本信息、社會屬性信息和網絡信息，其中基本信息包括身高、體重、年齡、性別等；社會屬性信息包括家庭住址、工作單位、宗教信仰、學歷、房產等；網絡信息包括社交軟件號碼(如Facebook、QQ)、網銀賬號、購物網站賬號等[7]。這些法律法規確立了個人信息保護的基本原則，明確了個人信息主體的基本權利，并規范了各不同類別信息主體的相關活動，但未能針對公共圖書館行業具體規范讀者個人信息的內容與分類，在細節劃分和具體實施措施方面還存在較大改善空間。

2018年實施的《公共圖書館法》則針對公共圖書館讀者個人信息安全保護與法律責任進行了規范，對公共文化服務領域讀者個人信息保護具有指導與參考作用。《公共圖書館法》首先規定了需保護的讀者個人信息的基本范疇，主要包括讀者身份信息、敏感信息與借閱信息；然后初步明確了個人信息的責任認定及處罰，但未對讀者個人信息的具體內容進行詳細說明。為此，我們可結合相關個人信息安全立法與“互聯網+”時代圖書館服務創新實踐，進一步明確和完善讀者個人信息保護的具體內容。第一，讀者身份信息，主要是指可直接識別讀者的個人信息，包括個人基本資料如讀者姓名、性別、出生日期、年齡、班級、院系、地址等，個人身份信息如讀者證號碼、學號、身份證號碼等唯一識別信息，個人生物識別信息包括人臉圖像、指紋、步態、語音、虹膜信息等內容，而網絡身份標識信息則是指微博、微信、QQ等網絡社交號碼和網絡平臺賬號。讀者身份信息的保護是對讀者權益最基本的要求，是維護讀者權益的基礎。第二，讀者敏感信息涉及讀者個人社會屬性，如個人經濟狀況、社會關系、政治背景、宗教信仰、個人興趣愛好、生活習慣、個人經歷、個人健康狀況等信息，對讀者敏感信息的保護充分體現了《公共圖書館法》對讀者隱私的保護與對人格的尊重[8]。第三，讀者借閱信息，如咨詢行為、閱讀行為、借閱記錄、信息檢索記錄、瀏覽過的網頁、讀書筆記等。在當今大數據時代，利用各種數據挖掘技術，可經由讀者借閱信息分析出讀者個人的閱讀習慣與興趣愛好。《公共圖書館法》將讀者借閱信息納入保護范圍，拓展了讀者個人信息范疇，有利于更廣泛地保護讀者個人信息[9]。

3 《公共圖書館法》視閾下讀者個人信息保護路徑探索

3.1 完善讀者個人信息保護法律體系

《公共圖書館法》中第四十三條指明了讀者個人信息的內容，但仍需明確讀者個人信息保護的目的，就是為規范讀者個人信息的收集、加工和利用，維護讀者個人信息權，促進公共圖書館服務過程中對讀者個人信息的合理利用。為切實實現對讀者個人信息的有效保護，公共圖書館相關法律法規的制定與完善必須本著系統、科學、合理的原則展開進行。其一是合法原則，公共圖書館在收集與利用讀者個人信息時，應當遵循相關法律法規的具體規定與精神。其二為系統原則，公共圖書館應保護讀者個人信息在公共圖書服務全過程中的安全，并確保個人信息保護相關政策法規面向所有讀者，適用于所有讀者，防止政策的片面性。其三為明確原則，包括個人信息的收集要有明確的目的，讀者個人信息保護的范圍、規則與責任等相關概念與規范也要有明確的規定，不允許有抽象的、模棱兩可的規定。其四是責任原則，公共圖書館首先負有保護讀者個人信息的責任和義務；然后圖書館工作人員在收集、加工、利用讀者個人信息時負有保護讀者個人信息的管理責任。此外，亦要明確讀者不得故意泄露自身個人信息的責任和不得違法獲取、泄露、轉讓其他讀者個人信息的責任。《公共圖書館法》應充分明確與保障讀者個人信息權，讀者對自身個人信息享有主權與支配權，對個人信息的合法處理與利用應有知情權，并且讀者有權決定其個人信息在何時、何地及以何種方式被何人收集、加工和利用[10]。最后要進一步明確公共圖書館、圖書館工作人員、讀者等各責任主體的相關法律責任，給讀者造成人身或財產上的損失的，《公共圖書館法》應規定責任主體承擔損害賠償等民事責任。

3.2 健全讀者個人信息保護管理制度

公共圖書館要制定讀者個人信息管理章程，向圖書館工作人員和讀者廣泛宣傳《公共圖書館法》等法律中讀者個人信息保護相關條款，明確圖書館在讀者個人信息保護具體實施過程中的管理責任，并且要依據法律法規為收集、加工與利用讀者個人信息制定具體操作細則，依法管理讀者個人信息，維護讀者權益，保守讀者秘密。讀者個人信息管理制度應具體規定讀者個人信息收集的目的、方式、范圍與操作程序，個人信息處理或利用的目的、范圍和使用期限，并確定好個人信息收集、加工、利用等不同階段的工作人員，實現分工與責權明確。同時，個人信息保護涉及到讀者本身的權利和義務，公共圖書館亦需增加與完善讀者個人信息保護相關細則，明確讀者的義務和責任，促進讀者有效參與個人信息保護，維護個人信息權。此外，讀者個人信息的保護涉及到圖書館、圖書館工作人員、讀者等多個主體，圖書館應就此建立讀者個人信息保護領導小組、讀者個人信息管理利用審批小組、執行監督小組，形成多方協調聯動機制，形成集審批許可、監督管理和違法監督一體的讀者個人信息保護管理體系。

3.3 發展讀者個人信息保護技術策略

物聯網與大數據的融合不斷深入，圖書館所面臨的惡意攻擊手段和安全隱患也更加多樣化，這對圖書館數據中心的安全保障提出了更高的要求。僅僅依靠法律法規與管理措施不足以全面保護讀者個人信息安全，我們還需要對讀者個人信息收集、加工和利用的全過程進行安全防護，全方位構建公共圖書館可信讀者個人信息安全體系[11]。公共圖書館在采集讀者個人信息時，可采用數字水印技術以后臺嵌入方式驗證讀者數據完整性；讀者個人信息的準確性則需由數字簽名技術予以保障；為防止數據采集過程中用戶數據被三方截取，防止信息泄露，需要采用數據加密技術以維護讀者信息隱私安全[12]。在讀者個人信息加工利用階段，要研究面向數據挖掘的隱私保護技術，在保證讀者個人信息可用性的前提下，防止對讀者個人信息的挖掘利用引起的讀者隱私泄露。比如面向讀者身份信息的數據匿名技術，面向讀者敏感信息(社會屬性信息)的數據泛化、數據脫敏與數據偽裝技術[13]，以及針對讀者借閱信息的差分隱私保護技術、基于同態加密的隱私保護技術和基于安全多方計算機隱私保護技術。

《公共圖書館法》從法律層面明確了讀者個人信息保護的重要性，但其未就如何實施讀者個人信息保護給出具體操作細則。在此背景下，本文結合個人信息保護相關法律法規，進一步明確了讀者個人信息的分類與主要內容，提出完善法律體系、健全管理制度、發展技術策略的讀者個人信息保護實施路徑，從而實現讀者個人信息收集、加工、利用全過程的安全防護，切實保護讀者隱私，維護讀者權益，推動公共圖書館事業科學、規范、健康發展。