大數據時代讀者個人信息保護范式的應然選擇

李雪健（南京師范大學法學院）

1 問題的提出

信息自由是當代公共圖書館的核心價值，賦予讀者以暢通無阻地獲取知識與信息的權利，但在大數據時代，新興技術卻造成了信息自由的二律背反。一方面，新興技術變革了公共圖書館的服務模式與內容，打破了讀者獲取信息的時空限制，促進了信息自由；另一方面，視頻監控、人臉識別、RFID等技術對讀者個人信息的處理，導致讀者的行為習慣、閱讀偏好、服務需求甚至內心所想暴露無遺，新興技術似乎又威脅到了讀者的信息自由。對此，加強對讀者個人信息的保護是維護信息自由這一核心價值的必經途徑，能否平衡讀者信息利益與圖書館信息利用亦成為評價個人信息保護成功與否的重要標準。

讀者個人信息保護基本范式是解決讀者個人信息與圖書館信息利用矛盾的前提。本文擬梳理并反思傳統私法確權范式的不足，并以此為基礎指出風險控制范式應當成為讀者個人信息保護的應然選擇，進而為未來《中華人民共和國公共圖書館法》（以下簡稱《公共圖書館法》）的修訂以及地方公共圖書館制定細則提供建議。出于行文需要，本文中的“信息主體”系指讀者，“信息處理者”系指公共圖書館，本文出現的“信息”與“數據”在同一層面予以使用。

2 讀者個人信息保護傳統私法確權范式的現實困境

面對信息社會個體對個人信息的失控，楊立新［1］、王立明［2］、王成［3］、呂炳斌［4］等學者皆主張私法確權范式。該范式以人格尊嚴與自由為價值指引，以個人信息自決權理論為理論基礎，以對信息主體賦權為保護手段，以私法上的侵權訴訟為救濟方式，將個人信息保護問題納入私法范疇，通過賦權重新確立信息主體地位，重拾信息主體對個人信息的控制。當前，這一路徑已經成為學界主流。但本文認為，私法確權這一傳統路徑面臨內外困境，仍然有待證成。

2.1 私法確權范式的內部困境

2.1.1 導致人格尊嚴的價值濫觴

個人信息自決權理論肇始于德國，發軔于德國《基本法》第1條的尊嚴條款與第2條第1款的人格自由條款。尊嚴是個人信息自決權的基石，康德認為，在目的王國中，與具有價格、能夠替代的物不同，尊嚴（Dignity）是一種無條件的、不可比擬的價值，自律（Autonomy）是人性中尊嚴的基礎，是一種對內自我立法的能力，正是因為人能夠遵守道德法則，故而彰顯尊嚴而與物相區別，而自決（Self-determination）則是自律的重要表現形式［5］。據此，Bleckmann認為，“尊嚴”與“自決”：“人性尊嚴系每個人得在其行為與決定上有自由”［6］。

自決雖涉及尊嚴，但是否就有必要在法律上設立一種“自決權”呢？Rouvroy指出，歌頌尊嚴是因其表征了一種論理性、普遍性的自決能力（自律的可能性），與個體是否真正發展出自決能力無關（自律的現實性）［7］。換言之，缺乏自決能力的個體也擁有尊嚴（如，幼童、精神病人）。“自決”不能被規定為一種法律權利，僅具有“中間價值”，憲法中公民各種權利皆與公民的生活方式相關，因而皆與“自決”有關，若缺乏相異于其他權利的保護利益存在，則個人信息權無存在的必要。《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條已將私密信息（敏感個人信息）歸于直接保護人格尊嚴利益的隱私權范疇［8］，從體系解釋出發，私密信息與其他個人信息的法律地位必存在不同，若仍試圖打著尊嚴的旗號奢求“個人信息自決權”，這無疑是對人格尊嚴價值的濫觴。

2.1.2 違背智慧圖書館的發展需要

個人信息是多元利益的交織體，其不僅關涉信息主體的人格尊嚴，還涵涉商業價值與公共管理價值。數據是信息時代的重要生產要素，具有基礎性資源和戰略性資源的重要地位。智慧圖書館的建設離不開大數據，其核心在于利用大數據技術提供智能咨詢、個性化推薦、知識庫等智慧化服務，其中個性化推薦服務已成為智慧圖書館建設的著力點。個性化推薦又稱“讀者畫像”，其目的是以讀者核心數據為中心，提取沉淀于不同系統中的行為信息，自動感知讀者情境，并為其提供相應服務。個性化推薦服務有效運行依賴于由海量讀者行為信息匯聚而成的大數據，讀者信息的可流通性與可獲取性至關重要，個人信息無法流通或獲取，智慧圖書館建設將會面臨無水之源的困境。私法確權范式在個人信息之上構建絕對排他的權利，明顯忽略了大數據對個人信息的時代需求，使大量讀者信息藏而不用，加劇了信息孤島效應，制約了智慧圖書館發展。

事實上，即便被譽為“史上最嚴個人信息保護法”的《通用數據保護條例》（General DataProtection Regulation，GDPR）在立法目的上亦未忽略信息的自由流動價值［9］，只不過具體規則構建依舊秉持了歐陸一貫的自然權利觀，用古典經濟理論的私益最大化邏輯對個人信息領域格式化，進而形成對個人信息保護的一邊倒。對此，Tene O指出，GDPR正值中年危機，其創設的基本架構在效益上令人存疑［10］。Eline等指出，GDPR延續了《95指令》的基本架構，未能實現個人信息保護與數字經濟發展的平衡，不利于以大數據為基礎的AI發展，使得歐洲在科技建設方面落后于亞洲與北美［11］。正如論者所言，個人信息權違背了數字經濟發展的基本規律，不符合科技立法的適配與效益原則，形成對企業技術創新、商業模式創新乃至政府治理方式創新的阻礙［12］。

2.2 確權范式的外部困境

2.2.1 信息主體困境

私法確權理論繼承了個體主義傳統，在規范上預設了一個自主、理性、自決的人類圖像，即能夠堅持以成本與收益計算個人信息利益的“經濟理性人”，在自生自發的市場機制調節下，同信息處理者能夠尋找到最佳平衡點［13］。因此，收集時的“知情同意”機制成為私法確權范式的核心。與此相對，獲取信息主體的同意亦成為信息處理者免責與否的分水嶺。

然而，隱私悖論（Privacy Paradox）表明，在信息實踐中，信息主體對個人信息所作出的決定建立在有限理性之上，知情同意的背后是雙方地位與信息的不平等［14］。一方面，有限理性決定了信息主體認識同意內容的有限性，讀者不知道也不可能知道自己同意的將會被收集或處理的個人信息的類型、用途、限度等內容，更不可能閱讀每一份隱私聲明。另一方面，有限理性決定了信息主體利弊計算能力的有限性，信息主體在教育水平、知識背景、理解能力等因素的影響下，得到的利弊計算結果也不同。以上使知情同意機制在實然層面產生“無限授權效應”，同意效力擴張到個人信息所有的（無論目的內外）個人信息處理行為，從而導致原本用來控制信息處理者的“知情同意”異化為信息處理者逃脫責任的擋箭牌。

2.2.2 信息處理者困境

首先，信息處理者面臨合規成本困境。私法確權模式視“知情同意”機制為制度核心，為避免該機制失效，必然要求信息處理者提供更加詳細的信息披露，并且隨時更新，這一定會提高信息處理者的運行成本。此外，不同信息處理者的義務履行能力不一，操作鏈條與法務支撐不一，在進行信息披露時可能難以將技術信息轉化為清晰、易懂的語言［15］。當前，我國各級公共圖書館的技術、法務、財力等資源參差不齊，若以統一的高標準來要求，將會造成一些公共圖書館的制度空轉。事實上，歐盟與美國皆發現了這一問題，GDPR頒行后不久，歐盟委員會便發文指出，GDPR的一些法律義務不適用于小企業［16］，美國《加州消費者隱私法》（California Consumer Privacy Act，CCPA）明確指出，本法僅適用于年收入2500萬美元以上的大企業［17］。

其次，信息處理者面臨技術失控困境。在私法確權范式中，信息主體與信息處理者皆被預設是理性的。一方面，由于算法的自我學習與自我執行特性，信息處理者也無法說清讀者個人信息將在算法中發揮的功能、體現的關聯價值以及具有效用的時長。畢竟，以非預期方式使用個人信息恰恰是大數據的技術特性［18］。另一方面，對于公共圖書館而言，數據收集主體與數據處理主體通常是不一致的，且存在時間差，這導致信息收集主體在隱私政策透明化層面無法履行。如，在江蘇省公共圖書館大數據平臺項目中，只有江蘇省公共圖書館擁有數據處理能力，市、縣級公共圖書館只承擔數據采集功能，無法獲取省公共圖書館對讀者個人信息的具體用途與技術處理流程［19］。

綜上所述，確權范式所繼承的古典個體主義傳統決定了個人信息保護理論的基調，必然擬制信息主體與信息處理者之間抽象的二元對立，在方法論上采取“賦予權利——履行義務”的方式。“自決”背離了個人信息在現實生活中運作的“真相”，生硬割裂了應然與實然，最終只能用“尊嚴”來彌補該理論在現實中的軟弱無力。從個人信息利用角度，該模式未能從正面給予信息處理者利用空間，信息處理者更傾向于利用其優勢地位被動地逃避規制，因此立法者只能累疊限制以加強法律實效，這種非合作博弈的結果只能是個人信息保護與利用的雙輸［20］。因此，我們應當重歸讀者個人信息在現實生活中運作的“真相”，重新思考讀者個人信息保護的理論基礎。

3 讀者個人信息承載利益的靜態與動態分析

3.1 對象視角：個人信息承載多元利益的靜態分析

私法確權范式昭示了個人信息的個人性側面，即個人信息產生于信息主體，是人格的延伸，由信息主體掌控以體現個人意志。從分類上看，個人信息可以劃分為敏感個人信息與一般個人信息，前者指身份識別號碼、生物識別信息、醫療或健康信息等個人信息，而后者則主要為個體融入社會生活后，在社會交往中形成的訪問記錄、消費記錄等行為信息。敏感個人信息具有穩定性與固定性，屬于信息主體最為私密的部分，更多地表現為信息主體的個人性。

從本體論上看，在現代社會，一般個人信息的本質是一種社會關系［21］，源于信息主體的社會行動。根據Habermas的交往行為理論，這種社會行動實質是一種在廣泛社會關系網絡中的交往行為，呈現出非主體性的主體間性。作為交往行為產物的一般個人信息，其控制理應屬于一種具有規范性的集體實踐，取決于信息主體間的交互與協商，以及社會實踐的演變、公眾認知、文化承認［22］。對此，高富平指出，信息承載著人類文化傳承和社會運行發展的公共元素［23］；Kasper認為，個體通過交換個人信息（溝通）來促進個人發展、提升社會和諧、實現社會控制［24］。從功能上看，個人信息具有公共品（Public Goods）的核心特征——非競爭性與非排他性，即個體對個人信息的使用并不影響他人使用，多人可以同時使用個人信息而互不排斥［25］。信息化技術使“互惠共享”產生“放大鏡效應”。

由于個人信息兼具個人性與公共性，使其能夠同時援引個體與社群主義哲學用以論證個人信息表征的個體利益與集體利益，無論人格尊嚴利益、數據利用利益，還是公共管理利益皆可寄寓于個人信息之上。因此，個人信息旨在“平衡爭奪資源控制的利益沖突”，需要通過多樣化的利益平衡加以實現，即做到保障信息主體合法權益與肯定和保障信息處理者權益并重，實現個人信息多元利益的平衡。

3.2 主體視角：個人信息承載多元利益的動態分析

信息主體既是個人信息的產出者，又是信息利益的歸屬者，更是信息行為的行動者。因此，從信息主體出發，分析信息主體與信息處理者在現實世界中的關系能夠幫助我們更加全面地理解蘊藏在個人信息之上的利益關系。讀者個人信息保護需求產生于圖書館所安裝的攝像頭、RFID、人臉識備等監控設備之后，基于單向還原的個人主義方法論，監視經常被視作奧威爾式（Orwellian）極權政治的工具，而信息處理者被想象成邪惡反派，因此，信息主體常將信息處理者置于敵對位置，并加以鉗制與改造。

然而，這就忽略了監視的核心問題：監視并非極權者的行為，而是現代社會的基本特征。現代社會的監視通過誘導性的引導與規訓重塑人們的行為、習慣與動機。Cohen的監視理論指出，個體與監視系統之間是一種共謀關系，監視對人的規訓實質來源于個體對監視了解之上的自我規訓，其目的是建立符合監視系統要求的個人記錄而獲取某種優待。如，許多圖書館利用監視獲得龐大的讀者個人信息并整合形成了“信用借閱”系統，信用分高的讀者可以享受圖書借閱延期、免押金、送書上門等優惠服務［26］。在這一過程中，讀者實際上非常享受良好信用為自己所帶來的利益，甚至愿意主動交出讀者個人信息以獲得更多利益，信息主體與信息處理者形成了一種合作。盡管個人信息是信息主體的產物，但正因為這種關系的存在，同一信息就具有多重功能與使用途徑，不同的使用途徑又有不同的價值取向與信息流動規范。換言之，建立在個人信息之上的利益關系是流動的，私人領域與公共領域是重疊與混雜的，不存在絕對的控制者與被控制者，也不存在絕對值得優先保護的價值［27］。

監視理論對于反思個人信息保護意義重大。一方面，監視理論從主體角度進一步論證了個人信息因兼具個人性與社會性而承載多元利益的原因。另一方面，監視理論指出要在特定時空下對變化的個人信息進行具體分析。這意味著個人信息承載多元利益的平衡并非靜態、空泛的，而是一種動態、具體的情境考量。這一結論同Walzer的多元正義理論不謀而合。Walzer認為，正義并非單一的，而是多元的，其并非社會益品在所有情境中平等分配，而是要求在具體情境中自主分配，滿足各自情境中自生自發形成的分配原則［28］，即情境滿足即為正義，這也為下文對個人信息的情景化保護奠定了基礎。

3.3 視角轉變：通過風險控制達到多元利益平衡

通過利益分析可知，采取自上而下的視角，試圖從價值出發，為個人信息探尋一個統一概念十分困難。其根本原因在于：在主觀的觀念世界中發現與探尋終極價值，必然會受到個體與集體主義的影響，進而陷入個體與集體價值的“諸神之戰”。而在方法論層面，無論是個體主義還是集體主義，都會因單向還原的線性思維走向片面與極端①，影響多元利益平衡目標的實現［29］。2004年，李曉輝博士指出，信息（權利）極其復雜，其并非具體的權利概念而是一個類型化的權利束，該權利同其他權利存在解釋力上的交叉關系，既不能簡單將其并入公法抑或私法，更不能將其放置于封閉權利體系［30］。

個人信息利益內生的復雜性與利益發現路徑的失敗要求我們采取一種新的視角以達到多元利益平衡的目標。本文認為，從個人信息面臨的風險（以下簡稱“風險”）出發可以為個人信息保護問題提供新的路徑。①風險能夠避免價值偏好，以更為中立、客觀的視野來考察個人信息。事實上，個人信息利益與個人信息風險本就是一體兩面，利益發現有賴于主觀世界的邏輯演繹，不可避免地具有主觀性。正如Whitman所述，“歸根結底，個人信息保護法律仍是直覺主義者主觀臆測的社會焦慮與理想主義的產物”［31］。而風險分析采取自下而上的視角，其認識來源于客觀世界的一般人的經驗歸納，具有中立性與客觀性，能夠有效控制因“恐懼”而產生的主觀認識偏差。②風險能夠暫時擱置價值矛盾，以更為宏觀的視野把握個人信息問題。風險理論指出，事物內在的“二相”對偶性是風險產生的直接原因，風險是二相性矛盾綜合所致結果的體現［32］。因此，在價值論層面，風險理論承認個人信息多元價值，力求在方法論層面通過對信息處理者信息行為的客觀風險分析與控制，將風險控制在各方主體皆可承擔的程度。③風險能夠有效解釋并應對因信息主體與信息處理者合作而產生的個人信息承載利益的動態性。這種承載利益的動態性與風險的“測不準性”異曲同工，即因事物具有內生復雜性與不確定性機制，其復雜性程度無法被精準地刻畫與描述。在方法論層面，風險理論反對單一的還原論，即僅在價值論層面進行保護性論證，通過立法者制定單一、固定的規范，司法者嚴格、機械地執行規則來實現目的。風險理論借法于復雜性科學（又名整體論科學），要求立法者采取系統性、協同性方法，通過制定多元、靈活的規范框架，使得司法者能夠在個案中結合具體案情進行靈活判斷，進而實現綜合性風險治理。

綜上所述，本文認為，個人信息保護應當以風險作為出發點、以行為作為規制重點、以情境作為研判標準，實現多元利益平衡的價值目標。

4 讀者個人信息保護風險控制范式的方法展開

4.1 以風險作為個人信息保護出發點

4.1.1 正確理解風險源頭

私法確權范式核心在于“通知同意”機制，“同意”被視為一種能夠正確評估風險的理性人進行自我答責的風險規避方式，因此，風險主要來源于信息處理者在信息收集階段對個人信息的不正當收集。然而，信息主體的有限理性與信息處理者的技術失控決定了收集階段進行“一刀切”的風險控制并不現實。通過對個人信息承載利益的動態分析可知，個人信息的收集與使用成為人們的生活經驗，讓渡個人身份與行為數據是信息生活的常態。這說明在實然層面，不同主體、多元價值、不同目的能夠自生自發地構建出一種被稱為“情境”（Context）的結構化的信息秩序，而真正的風險是個人信息脫軌于正常使用情境，脫離信息主體與信息處理者的合理預期。“情境”貫穿于個人信息處理的始終，這意味著除收集階段外，儲存、使用、加工、傳輸等各個數據處理行為都屬保護重點，任何一個環節出現紕漏都會為個人信息帶來風險。

4.1.2 保護程度同客觀風險相對應

為了最大程度保護信息主體利益，私法確權范式對風險采取的是消滅或者最小化的思路。然而，在承認個人信息兼載個人利益與公共利益的前提下，信息主體需接受個人信息會在一定程度上被他人使用。我們對待風險的態度應當是在承認風險存在的前提下，將風險控制在一定合理范圍內，只要不致造成額外損害，即屬信息主體社會容忍義務范疇［33］。因此，在個人信息的保護程度層面，風險預防原則應具象化，預防措施也應當同風險相對應，即個人信息所面臨的風險越大，信息處理者應當采取的預防措施、履行的注意義務越強。這有利于提升個人信息保護的有效性與實質性，通過對個人信息及信息處理行為實施差別化與層次化的保護，減輕信息處理者的合規壓力，促進個人信息的合理使用與自由流通。

4.2 以行為作為風險規制重點

正如上文所述，私法確權范式因價值獨斷與收集階段的風險無法完全控制，出現了行為規制模式。所謂行為規制模式，是指從他人行為的角度進行風險控制，通過對他人行為的規制來控制風險，平衡利益享有者的利益。相較于確權模式，行為規制模式具有以下優點。

（1）有利于調和個人信息保護與利用間的矛盾，兼顧個人與社會的利益需求。與私法確權模式從正面設權以保護權利人的方式不同，行為規制模式意在從控制行為的角度構建利益空間，通過對特定行為控制圈劃利益享有者的利益。行為規制模式奉行“法無明文禁止即可為”，該模式以數據行為作為規制對象，為信息處理者提供了較為清晰的合規指引與確定的行為預期［34］，信息處理者只要遵循法律所規定的行為準則，即可安心收集與使用個人信息。

（2）滿足風險控制貫穿信息全生命周期的要求。以數據行為作為中心，對個人信息的收集、儲存、處理等各個環節進行規制，確保個人信息使用的各個環節都能得到法律的合理介入［35］。這意味著信息主體在信息收集階段的“授權同意”只是個人信息保護的第一步，私法確權范式中的“無限授權效應”將會因行為準則貫穿于后續每一階段的數據處理行為而得到根本遏制。在實然層面，該模式克服了私法確權范式的弊端而具有可操作性，真正實現了對個人信息的有效保護。

4.3 以情境作為風險研判標準

真正的風險來源于個人信息脫離原有使用情境，風險與情境是個人信息保護的兩個側面，二者密不可分。風險控制必須在相應的情境中進行，而情境則是風險研判的重要標準。將情境作為風險研判標準是風險理論復雜性治理的明確要求，即“風險的復雜性既不能規避也不可消除，只能簡化，而簡化的前提是必須將復雜性當作復雜性來對待”［29］。

行動者主要包括信息主體與信息處理者，不同的行動者在不同的情境中存在不同的角色定位，從而存在不同的合理預期與規范期待。信息類型則指向信息敏感程度，一般情境下，越敏感的個人信息越需加強保護力度。傳播原則是指在特定情境下信息流動的方式，常見的傳播原則包括除非獲得清晰、特定同意，否則禁止向公共領域流動的私密性原則，僅需一般同意即可流通的控制性原則和無須征得同意即可收集和處理個人信息的豁免原則。需要注意的是，行動者的角色確定、信息的類型劃分、傳播原則的具體適用，都應當從社會一般人的角度予以判定。即便信息主體主觀上認為信息處理者的行為對自身信息利益存在風險，但只要社會一般人層面缺乏對該風險的客觀認知，則該行為并無違法性。

當前，以風險為個人信息保護出發點，并結合情境作風險研判成為立法的重要原則之一。2020年1月，CCPA中“與情境相匹配”（Compatieble with the cotext）成為信息處理者使用個人信息的核心原則，GDPR第6條第4段也將“個人信息收集時的情境”認定為信息處理是否合法的基本依據［9］。因此，讀者個人信息保護在以風險為出發點，以行為為風險規制重點的同時，更應當注意風險的情景化判斷。值得注意的是，在歐美等國，風險的情景化判斷主要依賴于司法者與執法者的能動性，在立法上僅作原則性規定，而我國屬于成文法國家，司法者與執法者對明確的法律規則具有天然的依賴性。因此，《公共圖書館法》后續修訂及地方公共圖書館細則應以行動者、信息類型與傳播原則為切入點，在《民法典》《中華人民共和國個人信息保護法》（以下簡稱《個保法》）等一般個人信息法律的指導下，為司法者與執法者提供指引與能動空間。

5 風險控制范式下讀者個人信息保護行為規范的完善建議

盡管《公共圖書館法》將讀者個人信息保護納入立法層面，但囿于立法時間較早、理論研究深度不足等原因，除第四十三條規定“不得出售或以其他方式非法向他人提供讀者個人信息”［37］外，其他信息處理行為規范皆處于缺位狀態。因此，下文擬從風險控制出發，結合圖書館實踐，明確信息處理者需要遵守的信息處理行為規范，為未來《公共圖書館法》修訂及公共圖書館制定具體細則提供參考意見。限于篇幅，本文僅針對至關重要的收集、儲存、利用行為規范予以討論。

5.1 明確信息處理者收集行為規范

公共圖書館在收集讀者個人信息時，應履行告知義務與征求讀者同意義務。《民法典》第一千零三十五條、《個保法》第十三條、第十八條［38］皆要求公共圖書館明確告知讀者收集個人信息的范圍、目的、處理方式、保存期限等具體事項，且要求公共圖書館以清晰、易懂的方式征得讀者同意。公共圖書館在履行告知義務時，應足夠明確，使讀者對個人信息的使用產生較為清晰的認識和預期。

5.1.1 履行告知義務

首先，明確讀者個人信息的范圍。由于《公共圖書館法》在立法時，《民法典》《個保法》等法律尚未出臺，故《公共圖書館法》存在與后續立法的相關概念與分類銜接不暢的問題，直接影響圖書館具體細則的修訂與實施。時誠指出，《公共圖書館法》第四十三條［37］所規定的讀者個人信息、借閱信息、其他可能涉及讀者隱私的信息的三分法具有“形似神異”的特點，三者外延彼此交錯，未能從本質上對三者進行區分，使得讀者個人信息在保護方式、處理規則等方面難以分類適用［39］。《民法典》第一千零三十五條將私密信息歸于隱私權范疇［8］，打造出隱私權與個人信息的二元保護模式，要求私密信息與個人信息采取不同的保護方式與處理規則。《個保法》第二十九條區分了敏感個人信息（私密信息）與一般個人信息［38］，并對敏感個人信息的處理規則提出特別要求②。二者區分敏感信息與一般個人信息的做法與本文以風險為切入點、以情境為研判標準的保護框架相契合。因此，《公共圖書館法》在后續修訂時，應當總結并結合圖書館實踐，將讀者個人信息的三分法轉換為敏感讀者個人信息與一般讀者個人信息的二分法，并對敏感個人信息進行“列舉+兜底”式的規定，為后續差別化的保護措施與義務履行奠定基礎。

其次，細化說明信息處理目的。《個保法》第6條確立了“目的限制原則”［38］，該原則在收集階段要求信息處理者具有特定的收集、使用目的，且所收集的個人信息應為目的實現所必要。因此，圖書館應當細化說明收集讀者個人信息的目的。由于風險控制框架要求保護措施與風險相適應，故而在目的告知義務履行上，敏感個人信息與一般個人信息理應存在差異。未來《公共圖書館法》應同《個保法》第二十九條、第三十一條［38］相銜接，圖書館處理敏感個人信息需有“特定且充分”的目的，尤其需要論證處理必要性及其對讀者的影響。當前，我國已有部分圖書館進行了探索性規定，如《國家數字圖書館在線實名注冊使用協議》［40］、《廣西圖書館在線實名注冊使用協議》［41］皆指出讀者個人信息將用于“研究或運行監控”等目的，但仍存在內容概括且未區分個人信息類別的問題，建議公共圖書館在區分敏感與一般個人信息的前提下，在具體細則中細化說明信息處理目的。

5.1.2 履行征求同意義務

在風險控制框架下，一方面，敏感讀者個人信息與一般讀者個人信息要求履行征求同意義務的方式、程度皆有不同。另一方面，履行征求同意義務還因不同情境下的傳播原則而不同。

首先，敏感個人信息屬于隱私權范疇，需適用獲取信息主體清晰、明確同意的私密性原則，且應采取書面方式征求信息主體同意。而對于一般個人信息，則僅需要適用默示或概括同意的控制性原則，公示個人信息保護政策即視為圖書館已履行征求同意義務。需要注意的是，保護政策應公示于圖書館門口、大廳等顯著位置，內容也應簡單易懂，在網絡環境中，保護政策應當遍布首頁及每個子頁面，確保讀者能夠隨時獲取、了解保護政策。

其次，《公共圖書館法》在后續修訂時，應當注意為豁免原則留有適用空間，即圖書館中所提供的部分服務可能在客觀上無法征求用戶同意，讀者個人信息的收集與處理需要適用流動規范中的豁免原則。如，RFID盤點機器人技術，RFID內存有讀者借閱信息，盤點機器人運行的基本原理是通過讀取RFID對圖書進行讀者是否歸還、是否已復歸原位的判斷［42］，由于盤點工作在閉館后進行，圖書館無取得讀者同意的可能。因此，類似情況可以適用豁免原則以免除圖書館的征求同意義務。

再次，公共圖書館需要注意同意的二次獲取與未成年讀者個人信息的同意問題。當處理讀者個人信息的目的、方式及其種類發生變更，公共圖書館應重新取得讀者同意。此外，一般認為，未成年人天生缺乏對個人信息的理解能力而具有脆弱性，遭受風險的可能更大［43］，因此《個保法》第十五條［38］與《兒童個人信息網絡保護規定》第九條［44］皆要求收集不滿十四周歲的未成年讀者個人信息時，應當特別取得其監護人同意。

5.2 明確信息處理者儲存行為規范

讀者個人信息儲存是圖書館利用讀者個人信息的前提，具有銜接個人信息收集環節與信息使用環節的作用。在儲存環節，讀者個人信息面臨的風險主要源于信息處理者內部或外部未經授權的訪問、個人信息泄露以及被竊取、竄改和刪除。《2017政企機構信息泄露形勢分析報告》指出，造成機構信息泄露的主要原因是內鬼出賣和黑客入侵，圖書館應采取相應的預防措施以防止上述風險發生［45］。根據信息儲存環節的個人信息保護實踐，《公共圖書館法》未來修訂應參考《個保法》第五十一條［38］，在區分敏感個人信息與一般個人信息的前提下，從內部人員管理與安全技術層面出發，構建風險預防措施體系。

5.2.1 強化圖書館內部人員管理

（1）為不同崗位的工作人員設置不同權限，建立責任監督機制。我國公共圖書館普遍缺乏合理權限劃分，無論是正式館員還是“臨時工”“勞務外派人員”等外包人員皆具有隨意訪問個人信息的權限。因此，圖書館應控制工作人員獲取、訪問讀者個人信息的權限，設置敏感個人信息訪問、獲取專有賬戶，將員工權限控制在正常履職所需的最小范圍之內。對于因工作需要而難以有效限定權限的情況，圖書館應建立專人責任機制，工作人員在訪問、獲取敏感個人信息時，需由特定人員予以審核并批準。此外，圖書館還應當形成讀者個人信息訪問、獲取記錄備案機制，通過定期審查訪問、獲取記錄，形成有效的事后監督，真正做到每一條讀者個人信息的訪問與獲取都能尋找到相關責任人。

（2）加強安全教育培訓，提高個人信息安全保障意識。圖書館館員應肩負保護讀者個人信息的神圣使命，圖書館應提升館員的個人信息保護意識，加強個人信息保護技能培訓，幫助館員形成對網絡個人信息保護的科學認識，明晰讀者個人信息泄露所帶來的危害，進一步完善讀者個人信息保護制度。

5.2.2 提升信息安全技術水平

（1）強化匿名化技術、保密技術的適用。匿名化技術與保密技術是預防讀者個人信息泄露風險的重要手段，也是圖書館利用讀者個人信息的前提。原生讀者個人信息經匿名化后即轉化為衍生數據，圖書館對該數據享有相對寬松的權利。圖書館可采取DES、AES等加密技術提升讀者個人信息的保密性，采取假名化、隨機化、數據合成、K-匿名模型與差分隱私等匿名化技術消除兒童讀者個人信息的可識別性。值得注意的是，除假名化技術以外的其他匿名化技術需要較高的人力與技術成本。

（2）加強網絡安全技術。圖書館應注意其門戶網站的安全性，使用SSL技術對數據傳輸協議進行加密，提高讀者個人信息傳輸過程的安全性。技術部門應當建立漏洞定期查找、修補制度，利用網站日志預防非法入侵行為。此外，圖書館還應當建立信息定期刪除制度，為敏感讀者個人信息與一般讀者個人信息設置不同的儲存與自動刪除時間，降低泄露風險。

（3）建立預警與應急技術體系。圖書館應建立讀者個人信息儲存風險預警系統，尤其要加強發生儲存風險后的技術補救措施，建立讀者個人信息定期備份制度與災難恢復制度，確保讀者個人信息在遭受到意外后能夠通過備份及時恢復。

5.3 明確信息處理者利用行為規范

除《公共圖書館法》第四十三條所要求的“不得出售或以其他方式非法向他人提供讀者個人信息”的利用行為規范外［37］，圖書館對讀者個人信息的利用需貫徹“目的限制”原則，即圖書館對讀者個人信息的利用不得違背收集時的約定目的。但公共圖書館因收集主體與處理主體不一，在收集階段難以精準、具體地描述目的，后續處理目的很有可能與收集目的不同。

當前，各國立法為防止目的限制原則僵化，形成對個人信息合理利用的阻礙，皆對使用限制原則采取彈性理解。如GDPR在措辭上使用“不能違反約定目的”，這意味著允許處理目的與收集目的不同，但二者需要具備相關性［8］。我國《個保法》也采取這一路徑，規定“不得進行與處理目的無關的個人信息處理”［38］，即數據處理者后續的處理目的與約定目的無需完全一致，只要有關聯即屬不違反“目的限制原則”。后續《公共圖書館法》在修訂時應與《個保法》第六條保持一致，對讀者個人信息的使用限制采取彈性理解。

值得注意的是，判斷圖書館信息利用行為是否違背目的限制原則，關鍵在于判斷圖書館與讀者約定目的與實際使用目的是否相關。本文認為采取情景化的“隱私風險評估”（Privacy Impact Assessment），結合讀者的合理預期與圖書館的規范期待、信息敏感程度、情境傳播原則的改變，判斷處理目的是否引發了高于約定時數據處理可能產生的具體危險，若產生了具體危險，則處理目的與約定目的二者存在背離，信息處理者違背了“目的限制原則”，否則屬于“合理使用”。

以縣級公共圖書館將收集的讀者個人信息匯集至本省省級圖書館進行讀者行為分析為例。首先，根據《公共圖書館法》第三條［37］，公共圖書館屬于承擔公共文化服務的公益性組織，不以營利為目的，這一角色決定了省級公共圖書館缺乏濫用公民個人信息的內在動機，因此將讀者個人信息交予省級公共圖書館進行處理不會升高風險。其次，省級公共圖書館擁有縣級公共圖書館難以比擬的個人信息處理技術優勢，將讀者個人信息交予省級公共圖書館進行處理甚至會降低風險。最后，盡管我國公共圖書館在性質上屬于事業單位，不同公共圖書館之間不存在隸屬關系，但在功能層面，省市縣三級公共圖書館早已實現館際讀者證、技術、館藏互通，這意味著讀者一館辦卡即可享受省市縣所有公共圖書館的服務，故而省市縣公共圖書館間的讀者個人信息的情境傳播原則理應適用無須征得同意的豁免原則。結合以上三點可以判斷，雖然縣級公共圖書館將收集到的讀者個人信息統一交予省級公共圖書館，并進行讀者行為分析的行為超過了同讀者的約定目的，但由于這一行為不存在升高風險可能，因此信息處理者并未違反“目的限制原則”。

［注釋］

①當前我國已經出現這種現象：例如，既有私法確權路徑被認為“在保護信息主體權利的同時阻礙信息的自由流通”，而在反駁的過程中，又出現了錨定于個人信息社會性，要求信息自由流通、社會控制的公法保護路徑，而該路徑又被認為“是以犧牲信息主體的權利為代價來確保絕對的信息自由流通”。

②需要特別指出的是，“隱秘信息”與“敏感個人信息”二者同一。張新寶教授認為，“敏感個人信息是指關涉個人隱私核心領域、具有高度私密性、對其公開或利用將會對個人造成重大影響的個人信息。”