公共圖書館讀者個(gè)人信息相關(guān)權(quán)利保護(hù)研究

摘 要：在大數(shù)據(jù)時(shí)代和《中華人民共和國個(gè)人信息保護(hù)法》出臺(tái)的背景下，讀者個(gè)人信息保護(hù)成為公共圖書館面臨的新課題。文章分析了讀者個(gè)人信息的范疇，明確了公共圖書館個(gè)人信息處理活動(dòng)中讀者的知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)、信息可攜帶權(quán)、更正權(quán)、刪除權(quán)和解釋說明權(quán)等相關(guān)權(quán)利，指出了公共圖書館保護(hù)讀者相關(guān)權(quán)利方面存在保護(hù)意識(shí)和能力不足、缺乏行業(yè)指導(dǎo)、與第三方合作存在風(fēng)險(xiǎn)等問題，并從意識(shí)層面、制度層面、實(shí)踐層面、技術(shù)層面提出了對(duì)策建議。

關(guān)鍵詞：公共圖書館；讀者個(gè)人信息；《個(gè)人信息保護(hù)法》

中圖分類號(hào)：G258.2 文獻(xiàn)標(biāo)識(shí)碼：A

Research on the Protection of Readers' Personal Information Rights in Public Libraries： From the Perspective of Personal Information Protection Law

Abstract In the era of big data and the promulgation of the Personal Information Protection Law of the People's Republic of China， the protection of readers' personal information has become a new issue facing public libraries. This article analyzes the scope of readers' personal information and clarifies the relevant rights such as the right to be informed， the right to decide， the right to access， the right to copy， the right to data portability， the right to rectification， the right to erasure， and the right to explanation and interpretation of readers in public library's personal information processing activities. The article also points out the problems of inadequate awareness and ability to protect readers' rights， lack of industry guidance， and risks associated with third-party cooperation in protecting readers' rights in public libraries. Furthermore， the article proposes countermeasures and suggestions from the aspects of awareness， system， practice， and technology to improve the protection of readers' personal information in public libraries.

Key words public library; personal information of readers; Personal Information Protection Law

大數(shù)據(jù)時(shí)代，個(gè)人信息保護(hù)的重要性毋庸贅言。作為公共服務(wù)機(jī)構(gòu)，公共圖書館在為讀者提供服務(wù)的同時(shí)必然涉及讀者個(gè)人信息的應(yīng)用與處理，特別是依托互聯(lián)網(wǎng)開展的新業(yè)務(wù)更是有賴于個(gè)人信息的支撐。處理個(gè)人信息的行為與讀者個(gè)人信息的人格、財(cái)產(chǎn)等權(quán)益密切相關(guān)，作為一類重要的個(gè)人信息處理者[1]，公共圖書館必須重視讀者個(gè)人信息的保護(hù)工作。

長期以來，公共圖書館在個(gè)人信息保護(hù)方面缺乏法律法規(guī)指導(dǎo)。2018年1月施行的《中華人民共和國公共圖書館法》（以下簡稱《公共圖書館法》）明確規(guī)定：“公共圖書館應(yīng)當(dāng)妥善保護(hù)讀者的個(gè)人信息、借閱信息以及其他可能涉及讀者隱私的信息”[2]。2021年11月施行的《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）作為專門性法律，對(duì)全社會(huì)各領(lǐng)域活動(dòng)提出了保護(hù)個(gè)人信息的具體要求。此間，業(yè)界逐步開始探討圖書館讀者個(gè)人信息保護(hù)問題，研究多從信息的分類分級(jí)、處理信息的合規(guī)行為、網(wǎng)絡(luò)服務(wù)中的信息安全等視角展開。個(gè)人信息受到應(yīng)有的保護(hù)是信息主體的法定權(quán)利，為此，筆者試圖從讀者個(gè)人信息權(quán)利的角度進(jìn)行研究，以期讓公共圖書館直接全面地認(rèn)識(shí)讀者在個(gè)人信息處理活動(dòng)中的權(quán)利，結(jié)合實(shí)際制定讀者個(gè)人信息保護(hù)方面的行業(yè)規(guī)范。

1 讀者個(gè)人信息范疇

保護(hù)讀者個(gè)人信息相關(guān)權(quán)利，首先要明確讀者個(gè)人信息范疇。國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2020）是關(guān)于信息安全的重要規(guī)范，列舉了個(gè)人信息的主要范圍，包括“姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等”。《個(gè)人信息保護(hù)法》第四條則規(guī)定，個(gè)人信息是“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”[3]。該條采取“識(shí)別+相關(guān)說”的標(biāo)準(zhǔn)界定個(gè)人信息，“已識(shí)別”是指根據(jù)一定的信息，特定自然人已經(jīng)被識(shí)別出來，“可識(shí)別”是指根據(jù)一定的信息，特定自然人的身份雖然還沒有被識(shí)別出來，但是可以通過某種方式加以識(shí)別[4]。據(jù)此，讀者個(gè)人信息應(yīng)是公共圖書館記錄的與已識(shí)別或者可識(shí)別的讀者有關(guān)的各種信息。

關(guān)于讀者個(gè)人信息的分類，《公共圖書館法》第43條劃分為個(gè)人信息、借閱信息和可能涉及隱私的信息，有的學(xué)者將其進(jìn)一步表述為個(gè)人身份信息、借閱信息、隱私信息[5]，可以看出是結(jié)合信息的重要性和產(chǎn)生信息的業(yè)務(wù)行為進(jìn)行的綜合分類。為了更加貼近公共圖書館的場(chǎng)景特性，結(jié)合《個(gè)人信息保護(hù)法》的限定，筆者把受保護(hù)的讀者個(gè)人信息范疇概括為以下三類：

一是身份信息，包括個(gè)人基本資料和身份信息，如姓名、性別、民族、住址、通訊聯(lián)系方式以及證件號(hào)碼等。此類信息的作用是直接說明讀者身份，屬于與已識(shí)別的讀者有關(guān)的信息。

二是借閱信息，包括圖書館紙質(zhì)資源的借還記錄和數(shù)字資源的瀏覽記錄，廣義上還應(yīng)包括參加閱讀推廣活動(dòng)的記錄。此類信息屬于與可識(shí)別的讀者有關(guān)的信息。

三是公共場(chǎng)所相關(guān)信息，包括讀者進(jìn)入圖書館和離開圖書館的記錄，以及圖書館通過圖像采集設(shè)備或個(gè)人身份識(shí)別設(shè)備收集的個(gè)人圖像、身份識(shí)別信息。此類信息屬于與可識(shí)別的讀者有關(guān)的信息。

2 讀者在個(gè)人信息處理活動(dòng)中的相關(guān)權(quán)利

在個(gè)人信息保護(hù)法律關(guān)系中，讀者是權(quán)利人，享有相應(yīng)的權(quán)利，公共圖書館是義務(wù)人，應(yīng)承擔(dān)相應(yīng)的義務(wù)。《個(gè)人信息保護(hù)法》明確規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，對(duì)個(gè)人相關(guān)權(quán)利的保護(hù)是多角度的，同時(shí)規(guī)范了信息處理者的行為，規(guī)定了信息處理者的義務(wù)，其中有關(guān)條款適用在公共圖書館領(lǐng)域體現(xiàn)為讀者的相關(guān)權(quán)利和公共圖書館的義務(wù)。當(dāng)前，各國個(gè)人信息保護(hù)立法主要是賦予信息主體信息訪問權(quán)、更正權(quán)、被遺忘權(quán)和信息可攜帶權(quán)等，同時(shí)要求信息處理者履行告知、安全防護(hù)等相應(yīng)的保護(hù)義務(wù)[6]。我國《個(gè)人信息保護(hù)法》賦予讀者的權(quán)利和圖書館的義務(wù)也基本對(duì)應(yīng)，只是表述不盡一致，具體內(nèi)容如表1所示。

2.1 知情權(quán)

《個(gè)人信息保護(hù)法》第四章為個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利，其中第四十四條規(guī)定個(gè)人對(duì)其個(gè)人信息的處理享有知情權(quán)、決定權(quán)。《個(gè)人信息保護(hù)法》構(gòu)建的處理個(gè)人信息的規(guī)則是以“告知—同意”為核心的[7]，其中“告知”是前提。有關(guān)研究中統(tǒng)計(jì)信息處理者義務(wù)核心詞的詞頻，“告知”“取得”詞頻最高[8]，由此可以看出知情權(quán)的重要性。

《個(gè)人信息保護(hù)法》第七條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明原則，明示處理的目的、方式和范圍。第十七條則從方式、語言到內(nèi)容提出了告知的具體要求，即方式要顯著明了，語言要清晰易懂、準(zhǔn)確完整，內(nèi)容則包括個(gè)人信息處理者的名稱和聯(lián)系方式、處理目的、處理方式、處理的信息種類、保存期限等。按照上述兩條規(guī)定，圖書館在辦理讀者證、招募志愿者、閱讀推廣活動(dòng)報(bào)名等工作中涉及處理讀者個(gè)人信息時(shí)，應(yīng)提前制定個(gè)人信息處理規(guī)則，并通過相應(yīng)的線上線下途徑公開，使得讀者在提交個(gè)人信息時(shí)能夠便捷地獲得和準(zhǔn)確地知曉規(guī)則，即明白圖書館為什么要收集個(gè)人信息，怎樣合理使用個(gè)人信息，如何安全存儲(chǔ)個(gè)人信息，何時(shí)刪除不再必要的個(gè)人信息等，以及行使個(gè)人信息相關(guān)權(quán)利的方式和程序。

《個(gè)人信息保護(hù)法》第二十六條規(guī)定，在公共場(chǎng)所安裝圖像采集、個(gè)人身份識(shí)別設(shè)備應(yīng)當(dāng)遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識(shí)，收集的個(gè)人信息只能用于維護(hù)公共安全。公共圖書館是公共場(chǎng)所，出于安防工作所需，或者在智慧化發(fā)展中，為了實(shí)現(xiàn)讀者自助刷臉?biāo)⒖ū憬葸M(jìn)入場(chǎng)館和借還文獻(xiàn)，以及精準(zhǔn)了解讀者需求的基礎(chǔ)上提供個(gè)性化服務(wù)等目的，在必要的區(qū)域會(huì)安裝圖像采集、個(gè)人身份識(shí)別等智能設(shè)備。但是，個(gè)人身份證號(hào)和面部識(shí)別信息等屬于個(gè)人敏感信息[9]，公共圖書館應(yīng)當(dāng)在采集信息的區(qū)域或設(shè)備上設(shè)置明顯的標(biāo)識(shí)，提示讀者個(gè)人信息正在被收集，保護(hù)讀者的知情權(quán)。

2.2 決定權(quán)

現(xiàn)代信息保護(hù)規(guī)范中，“同意原則”被認(rèn)為是重要基礎(chǔ)，決定權(quán)就是該原則的重要體現(xiàn)。《個(gè)人信息保護(hù)法》第四十四條在規(guī)定個(gè)人對(duì)其個(gè)人信息處理具有決定權(quán)的同時(shí)，還明確規(guī)定除法律、行政法規(guī)另有規(guī)定的，個(gè)人“有權(quán)限制或者拒絕他人對(duì)其個(gè)人信息進(jìn)行處理”。決定權(quán)是個(gè)人信息權(quán)益的核心內(nèi)容，適用到公共圖書館領(lǐng)域表現(xiàn)為，讀者能夠自主決定對(duì)其個(gè)人信息的處理，有權(quán)限制或者拒絕圖書館對(duì)其個(gè)人信息進(jìn)行處理。

《個(gè)人信息保護(hù)法》涉及決定權(quán)的內(nèi)容主要在第十三至十五條。第十三條明確了個(gè)人對(duì)于處理其個(gè)人信息的決定權(quán)，即除法律和行政法規(guī)明確規(guī)定的特殊情形以外均適用。第十四條明確了決定權(quán)有效的前置條件，即個(gè)人同意必須是“由個(gè)人在充分知情的前提下自愿、明確作出”；同時(shí)限定“當(dāng)信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意”，例如當(dāng)圖書館的讀者證制度發(fā)生變化時(shí)，應(yīng)通過公開方式提醒讀者并重新取得讀者的同意，這種情形下，當(dāng)讀者不認(rèn)可或者不接受新的制度時(shí)能夠選擇及時(shí)退證。第十五條則規(guī)定了對(duì)同意的撤回權(quán)，即個(gè)人有權(quán)撤回同意處理其個(gè)人信息的決定，且信息處理者“應(yīng)當(dāng)提供便捷的撤回同意的方式”，因此，圖書館在設(shè)計(jì)供讀者簽署或默認(rèn)許可的包含告知和同意內(nèi)容的文件及網(wǎng)絡(luò)程序時(shí)，要同時(shí)提供便捷的撤回同意決定的申請(qǐng)文件或功能程序。

《個(gè)人信息保護(hù)法》也有例外的制度安排，核心在于保障信息“善意使用”的空間，以對(duì)個(gè)人信息保護(hù)的最小讓渡換取社會(huì)的高效運(yùn)轉(zhuǎn)[10]，即充分考慮個(gè)人信息保護(hù)和個(gè)人信息合理利用之間的平衡，賦予信息處理者在特定情形下無須取得個(gè)人同意的處理個(gè)人信息權(quán)利，包括訂立、履行個(gè)人作為一方當(dāng)事人的合同，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理；履行法定職責(zé)或者法定義務(wù)；應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全；為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督而在合理的范圍內(nèi)處理個(gè)人信息；在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息；法律、行政法規(guī)規(guī)定的其他情形。以上情形在公共圖書館領(lǐng)域存在適用的可能性，如為了推進(jìn)全民閱讀而宣傳報(bào)道借閱量高的讀者，但要注意限定在合理的范圍，如只報(bào)道讀者的姓氏或者讀者證號(hào)的局部等。

2019年出臺(tái)的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第七條規(guī)定：“收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的，應(yīng)當(dāng)遵循正當(dāng)必要、知情同意、目的明確、安全保障、依法利用的原則。”與此銜接，《個(gè)人信息保護(hù)法》特別關(guān)注了特殊人群的個(gè)人信息處理決定權(quán)。第三十一條規(guī)定，處理不滿十四周歲未成年人個(gè)人信息“應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意”。公共圖書館未成年人讀者數(shù)量龐大，其中不滿十四周歲未成年人的個(gè)人信息屬于敏感個(gè)人信息，應(yīng)當(dāng)制定專門的個(gè)人信息處理規(guī)則，處理其個(gè)人信息應(yīng)當(dāng)取得監(jiān)護(hù)人同意。

2.3 查詢權(quán)、復(fù)制權(quán)、信息可攜帶權(quán)

《個(gè)人信息保護(hù)法》第四十五條規(guī)定，個(gè)人享有個(gè)人信息的查詢權(quán)、復(fù)制權(quán)和攜帶權(quán)。公共圖書館實(shí)際工作中，讀者行使信息查詢權(quán)和復(fù)制權(quán)的情形較常見，例如查詢、復(fù)制本人的借閱記錄等。其中，個(gè)人信息可攜帶權(quán)在我國法律中首次出現(xiàn)，具體表述為“個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。信息攜帶權(quán)在實(shí)踐中可為個(gè)人提供便利，也利于防止數(shù)據(jù)壟斷[11]。在公共圖書館工作中，如讀者因工作生活地域變動(dòng)，需要到新的經(jīng)常居住地圖書館辦理讀者證時(shí)，筆者認(rèn)為應(yīng)根據(jù)個(gè)人的申請(qǐng)為其轉(zhuǎn)移個(gè)人相關(guān)信息。這種轉(zhuǎn)移不僅是對(duì)讀者權(quán)利的保障，也符合圖書館資源共享的理念，既為讀者提供了便利，也有利于新的圖書館充分了解讀者個(gè)人信息，方便及時(shí)為其提供個(gè)性化的圖書和信息推送服務(wù)。

2.4 更正權(quán)

《個(gè)人信息保護(hù)法》第四十六條明確了個(gè)人信息的更正權(quán)，規(guī)定“個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請(qǐng)求個(gè)人信息處理者更正、補(bǔ)充”。該條與第一章第八條“處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量”相呼應(yīng)，也可看作是總則條款的具體化保障措施。公共圖書館在處理個(gè)人信息時(shí)，應(yīng)保證信息準(zhǔn)確、完整，并提供讀者可編輯的信息更正途徑，及時(shí)根據(jù)讀者請(qǐng)求更正、補(bǔ)充信息，避免對(duì)讀者服務(wù)工作造成影響。

2.5 刪除權(quán)

互聯(lián)網(wǎng)環(huán)境下，信息儲(chǔ)存技術(shù)的發(fā)展使得遺忘的能力喪失[12]，刪除權(quán)顯得更加重要。《個(gè)人信息保護(hù)法》第四十七條規(guī)定了應(yīng)當(dāng)刪除個(gè)人信息的情形，包括“處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個(gè)人撤回同意；個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息”等；同時(shí)對(duì)“法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的”等特殊情形作出了相應(yīng)規(guī)定，即個(gè)人信息處理者僅可進(jìn)行存儲(chǔ)和采取必要的安全保護(hù)措施處理。公共圖書館在刪除讀者個(gè)人信息方面一直沒有具體的規(guī)范，對(duì)于符合上述法定情形的，公共圖書館應(yīng)當(dāng)主動(dòng)嚴(yán)格執(zhí)行，及時(shí)刪除個(gè)人信息，切實(shí)保護(hù)讀者的個(gè)人信息刪除權(quán)。

2.6 解釋說明權(quán)

在制度解釋說明方面，各類機(jī)構(gòu)通常以“本制度最終解釋說明權(quán)歸本單位所有”簡單應(yīng)對(duì)。《個(gè)人信息保護(hù)法》第四十八條規(guī)定：“個(gè)人有權(quán)要求個(gè)人信息處理者對(duì)其個(gè)人信息處理規(guī)則進(jìn)行解釋說明。”公共圖書館作為信息處理者，在實(shí)際工作中應(yīng)當(dāng)認(rèn)真梳理讀者的疑問，編制公布關(guān)于個(gè)人信息處理規(guī)則的專門解釋說明，讓讀者能夠充分了解、準(zhǔn)確理解規(guī)則。

3 公共圖書館保護(hù)讀者個(gè)人信息相關(guān)權(quán)利面臨的問題

3.1 保護(hù)意識(shí)和能力不足

公共圖書館和讀者雙方均存在個(gè)人信息保護(hù)意識(shí)缺位的問題。從公共圖書館角度看，在認(rèn)識(shí)層面存在局限性，往往把處理讀者個(gè)人信息局限于辦理讀者證、借閱文獻(xiàn)和瀏覽數(shù)字資源等環(huán)節(jié)，而在其他情境中，在讀者的活動(dòng)報(bào)名及參與信息是否及時(shí)刪除、讀者為圖書館捐贈(zèng)圖書的信息發(fā)布是否取得個(gè)人同意等問題上，由于讀者本身不再是關(guān)注的唯一側(cè)重點(diǎn)，讀者的個(gè)人信息保護(hù)也就常常容易被忽視；在實(shí)踐層面缺乏系統(tǒng)完善的保護(hù)制度，筆者登錄全國省級(jí)公共圖書館和獨(dú)立建制少年兒童圖書館的官網(wǎng)查看讀者證辦理規(guī)則和少年兒童閱讀推廣活動(dòng)報(bào)名規(guī)則，結(jié)果與《個(gè)人信息保護(hù)法》發(fā)布之初其他學(xué)者的調(diào)查一致，即省級(jí)公共圖書館中僅有6家發(fā)布有保護(hù)讀者個(gè)人信息的內(nèi)容，且相似度較高，少年兒童圖書館均未履行征求監(jiān)護(hù)人同意及告知程序[13]，可見專法的出臺(tái)并未提升公共圖書館的個(gè)人信息保護(hù)意識(shí)。從讀者角度看，個(gè)人信息保護(hù)的意識(shí)普遍較為薄弱，認(rèn)為公共圖書館屬于公益性的事業(yè)單位，出賣個(gè)人信息或應(yīng)用于其他非圖書館業(yè)務(wù)的可能性極低，從而忽視了存在個(gè)人信息泄露的可能性[14]。

公共圖書館保護(hù)讀者個(gè)人信息的能力相對(duì)薄弱，一方面，館員群體中缺乏個(gè)人信息保護(hù)的專業(yè)技術(shù)力量，專門負(fù)責(zé)讀者個(gè)人信息保護(hù)工作的專業(yè)人員數(shù)量非常少[15]；另一方面，圖書館業(yè)務(wù)和服務(wù)的信息化程度愈來愈高，讀者個(gè)人信息泄露的風(fēng)險(xiǎn)增大，公共圖書館在配備不斷更新升級(jí)的專業(yè)網(wǎng)絡(luò)安全設(shè)備上經(jīng)費(fèi)不足。

3.2 缺乏行業(yè)指導(dǎo)

《民法典》《個(gè)人信息保護(hù)法》都提出了保護(hù)個(gè)人信息的要求，公共圖書館順應(yīng)時(shí)代發(fā)展，也提倡保護(hù)讀者個(gè)人信息，但缺乏行業(yè)方面的專業(yè)指導(dǎo)和具體規(guī)則，對(duì)讀者在個(gè)人信息處理活動(dòng)中的權(quán)利保護(hù)尚不到位。專門法律層面，《公共圖書館法》第四十三條規(guī)定：“公共圖書館應(yīng)當(dāng)妥善保護(hù)讀者的個(gè)人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。”行業(yè)準(zhǔn)則與規(guī)范方面，由中國圖書館學(xué)會(huì)制定并于2002年11月通過的《中國圖書館職業(yè)道德準(zhǔn)則》第四條表述為“維護(hù)讀者權(quán)益，保守讀者秘密”，但在保護(hù)讀者個(gè)人信息方面均缺乏指導(dǎo)意見，更沒有具體細(xì)則，難以有效達(dá)到保護(hù)讀者個(gè)人信息的目的。由東莞圖書館牽頭向全國圖書館標(biāo)準(zhǔn)化技術(shù)委員會(huì)申報(bào)立項(xiàng)的《公共圖書館讀者信息集》系列標(biāo)準(zhǔn)也未見公布。目前，公共圖書館行業(yè)對(duì)讀者個(gè)人信息保護(hù)的相關(guān)規(guī)則還處于探索構(gòu)建階段，對(duì)圖書館自身應(yīng)承擔(dān)的義務(wù)沒有明確的指導(dǎo)意見，實(shí)踐中各類保護(hù)讀者個(gè)人信息的聲明也缺乏對(duì)讀者權(quán)利的提示，讀者難以直接、明確地了解自己享有的權(quán)利。

3.3 與第三方機(jī)構(gòu)合作存在風(fēng)險(xiǎn)

當(dāng)前，公共圖書館的社會(huì)化合作已經(jīng)成為行業(yè)常態(tài)，從業(yè)務(wù)建設(shè)到對(duì)外服務(wù)普遍存在與第三方合作的形式，從信息收集到存儲(chǔ)環(huán)節(jié)都更容易發(fā)生讀者個(gè)人信息泄露風(fēng)險(xiǎn)，客觀上可能侵犯讀者在個(gè)人信息處理活動(dòng)中的權(quán)利。在業(yè)務(wù)系統(tǒng)方面，使用第三方平臺(tái)收集、存儲(chǔ)讀者個(gè)人信息的過程中，工作人員的行為存在泄露風(fēng)險(xiǎn)[16]，特別是大數(shù)據(jù)環(huán)境下，分布式數(shù)據(jù)存儲(chǔ)技術(shù)、5G數(shù)據(jù)傳輸技術(shù)、MapReduce/Hadoop數(shù)據(jù)處理平臺(tái)和分類分析、聚類分析、關(guān)聯(lián)分析、預(yù)測(cè)分析等數(shù)據(jù)挖掘技術(shù)綜合發(fā)力，讓圖書館用戶在個(gè)人信息的存儲(chǔ)、分析、傳播、使用等環(huán)節(jié)均失去實(shí)際控制權(quán)[17]。在開展閱讀推廣活動(dòng)方面，第三方提供活動(dòng)資源和經(jīng)費(fèi)支持，并出于當(dāng)面直接或事后間接推薦其非公益性業(yè)務(wù)的目的而收集讀者個(gè)人信息，則一定意義上圖書館將讀者個(gè)人信息以非買賣的形式提供給了第三方。

4 保護(hù)讀者個(gè)人信息相關(guān)權(quán)利對(duì)策建議

4.1 意識(shí)層面：樹立個(gè)人信息權(quán)利保護(hù)的理念

公共圖書館要加強(qiáng)宣傳培訓(xùn)，學(xué)習(xí)《民法典》《個(gè)人信息保護(hù)法》《公共圖書館法》等有關(guān)個(gè)人信息保護(hù)的相關(guān)法律，提高法律意識(shí)，樹立保護(hù)個(gè)人信息權(quán)利的理念。第一，全面了解讀者在個(gè)人信息處理活動(dòng)中的權(quán)利內(nèi)容，認(rèn)識(shí)到個(gè)人信息保護(hù)的重要性，在工作實(shí)踐中遵守相關(guān)規(guī)則。第二，區(qū)別認(rèn)識(shí)已識(shí)別與可識(shí)別信息，敏感與非敏感信息的特征和內(nèi)涵，樹立分級(jí)保護(hù)的理念。第三，堅(jiān)持合法、必要、同意、安全的原則，避免過度采集和使用個(gè)人信息，同時(shí)必須征得讀者本人或特殊人群監(jiān)護(hù)人同意，并要確保信息安全，保證行為合法。第四，知曉侵害個(gè)人信息的行為，特別是除了《公共圖書館法》提出的不得出售、非法提供以外，還包括公開泄露、非法利用[18]等，明白相關(guān)違法責(zé)任，對(duì)讀者個(gè)人信息進(jìn)行主動(dòng)保護(hù)。

法律不保護(hù)怠于主張權(quán)利的人。公共圖書館有義務(wù)提高讀者的個(gè)人信息權(quán)利保護(hù)意識(shí)，要通過舉辦相關(guān)法律講座、展覽等方式進(jìn)行宣傳教育，讓讀者充分了解自身權(quán)益，以便在個(gè)人信息處理活動(dòng)中作出恰當(dāng)決定，在自身權(quán)益受到侵犯時(shí)，能夠找到合法有效的救濟(jì)途徑。事實(shí)上，讀者的自我保護(hù)意識(shí)提高，能夠最有效地督促公共圖書館的個(gè)人信息處理行為更加規(guī)范。

4.2 制度層面：制定個(gè)人信息保護(hù)行業(yè)規(guī)范

行業(yè)規(guī)范能夠建立行業(yè)標(biāo)準(zhǔn)，優(yōu)化工作流程，約束人員行為，保障法律落實(shí)，對(duì)行業(yè)發(fā)展有重要意義。目前公共圖書館現(xiàn)行服務(wù)規(guī)范為2012年5月實(shí)施的《公共圖書館服務(wù)規(guī)范》（GB/T 28220—2011），其中尚無保護(hù)讀者個(gè)人信息相關(guān)內(nèi)容。我國個(gè)人信息保護(hù)相關(guān)立法存在重責(zé)任追究，輕過程規(guī)范和綜合治理的問題[19]，因此，建議主管部門或行業(yè)學(xué)會(huì)制定專門的公共圖書館個(gè)人信息保護(hù)規(guī)范。第一，明確讀者個(gè)人信息保護(hù)范圍。《個(gè)人信息保護(hù)法》明確了個(gè)人信息的內(nèi)涵，個(gè)人信息保護(hù)范圍從學(xué)術(shù)上能夠界定，但是對(duì)于公共圖書館來說，明確的讀者個(gè)人信息保護(hù)范圍能夠提供較大的實(shí)操便利性。第二，列出讀者個(gè)人信息分級(jí)保護(hù)標(biāo)準(zhǔn)。根據(jù)重要性和敏感度，按照“可以處理、非必要不處理、不得處理”等標(biāo)準(zhǔn)劃分讀者信息保護(hù)等級(jí)，以科學(xué)合理的方式保障讀者權(quán)利、規(guī)范圖書館行為。第三，建立讀者個(gè)人信息處理指導(dǎo)規(guī)則。根據(jù)《個(gè)人信息保護(hù)法》相關(guān)規(guī)定，在讀者個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等關(guān)鍵問題上給出指導(dǎo)性意見和標(biāo)準(zhǔn)，讓《個(gè)人信息保護(hù)法》在公共圖書館領(lǐng)域能夠真正落地生效。

4.3 實(shí)踐層面：實(shí)現(xiàn)個(gè)人信息保護(hù)權(quán)利

圖書館實(shí)踐工作中，讀者個(gè)人信息權(quán)利保護(hù)需要注意幾個(gè)關(guān)鍵和細(xì)節(jié)層面。第一，設(shè)計(jì)包含個(gè)人信息相關(guān)規(guī)則告知和讀者簽署意見的協(xié)議書，敏感信息的采集要以“一事一問”的原則詢問讀者的意見，且要明確設(shè)置不同意或拒絕的選項(xiàng)。協(xié)議書要在官網(wǎng)醒目位置或線下服務(wù)臺(tái)放置。第二，設(shè)置不同服務(wù)場(chǎng)景的信息保存期限。如德國國家圖書館網(wǎng)站保存日志文件的期限為7天；讀者訪問網(wǎng)站期間保存會(huì)話cookie期限為1年，保存跟蹤cookie期限為7天；保存讀者IP地址期限為7天[20]。第三，制定特殊人群的個(gè)人信息處理規(guī)則。包括《個(gè)人信息保護(hù)法》規(guī)定的認(rèn)知能力有限的不滿十四周歲未成年人，也包括缺乏信息技術(shù)操作能力和互聯(lián)網(wǎng)安全防范意識(shí)的老年人[21]，要通過具體的規(guī)則明確詳細(xì)流程和必要步驟，落實(shí)處理個(gè)人信息中監(jiān)護(hù)人的決定權(quán)。第四，加強(qiáng)對(duì)第三方機(jī)構(gòu)的監(jiān)管。要在事前評(píng)估其技術(shù)方案，審核其用戶隱私政策，合作協(xié)議中應(yīng)明確圖書館有權(quán)根據(jù)具體情形和需求對(duì)第三方收集個(gè)人信息的行為作出限制，還應(yīng)明確發(fā)生侵害讀者個(gè)人信息權(quán)益時(shí)的責(zé)任。

4.4 技術(shù)層面：保障信息處理安全

技術(shù)是把雙刃劍，圖書館要充分利用技術(shù)保護(hù)讀者個(gè)人信息，同時(shí)還要規(guī)避技術(shù)本身的負(fù)面影響，特別是在智慧圖書館建設(shè)中，讀者個(gè)人信息的高度應(yīng)用使得信息安全問題愈加關(guān)鍵。第一，業(yè)務(wù)系統(tǒng)設(shè)計(jì)、運(yùn)行的各個(gè)環(huán)節(jié)要充分考慮對(duì)讀者個(gè)人信息的保護(hù)，避免濫用技術(shù)（如Cookie、SilverPush等）造成對(duì)個(gè)人信息權(quán)益的侵犯。第二，業(yè)務(wù)系統(tǒng)整體智能化設(shè)計(jì)中要把相關(guān)法律規(guī)則“翻譯”成系統(tǒng)代碼，依靠標(biāo)準(zhǔn)化流程保障各個(gè)環(huán)節(jié)有序運(yùn)行，通過技術(shù)手段進(jìn)行信息追蹤和定期不定期的信息安全巡檢，確保各類型讀者個(gè)人信息處理活動(dòng)的合法性。第三，業(yè)務(wù)系統(tǒng)的運(yùn)行維護(hù)要注重技術(shù)糾偏，當(dāng)讀者個(gè)人信息相關(guān)權(quán)利的要求發(fā)生變化時(shí)，系統(tǒng)設(shè)計(jì)也應(yīng)及時(shí)隨之變化。第四，制定信息定期備份、災(zāi)難恢復(fù)技術(shù)方案，以及信息泄露等安全應(yīng)急預(yù)案。

5 結(jié)語

在依法治國時(shí)代，公共圖書館作為公共文化服務(wù)體系的重要組成部分，其運(yùn)行和服務(wù)應(yīng)遵守法律法規(guī)，避免違法行為。為讀者提供文獻(xiàn)信息和其他相關(guān)服務(wù)是公共圖書館的義務(wù)，讀者在自由使用圖書館的同時(shí)，相關(guān)權(quán)益應(yīng)該得到保障，其中包括個(gè)人信息權(quán)益。《個(gè)人信息保護(hù)法》的出臺(tái)為讀者個(gè)人信息權(quán)益的保護(hù)提供了具體的法律支持，也為公共圖書館規(guī)范個(gè)人信息處理活動(dòng)提供了明確依據(jù)，但是行業(yè)內(nèi)在法律宣貫方面，《個(gè)人信息保護(hù)法》與《公共文化服務(wù)保障法》《公共圖書館法》相比還有較大差距。公共圖書館工作的核心業(yè)務(wù)是讀者服務(wù)，信息技術(shù)的迅猛發(fā)展和個(gè)人權(quán)利意識(shí)的逐漸提高，使得個(gè)人信息保護(hù)問題受到更大程度的關(guān)注，該領(lǐng)域發(fā)生法律糾紛和違法行為的概率與以往相比也會(huì)增加。鑒于此，公共圖書館應(yīng)當(dāng)高度重視《個(gè)人信息保護(hù)法》的學(xué)習(xí)研究和貫徹落實(shí)。目前相關(guān)的研究多側(cè)重大數(shù)據(jù)環(huán)境和互聯(lián)網(wǎng)背景，本文則更多地提出了公共圖書館實(shí)際工作中非技術(shù)性的個(gè)人信息保護(hù)問題。從長遠(yuǎn)看，在保護(hù)讀者個(gè)人信息相關(guān)權(quán)利方面，例如讀者個(gè)人信息的處理規(guī)則、處理方式等，業(yè)界迫切需要進(jìn)行更多的理論探索和實(shí)踐研究，并轉(zhuǎn)化為行業(yè)標(biāo)準(zhǔn)，為依法處理讀者個(gè)人信息活動(dòng)提供操作指南。

參考文獻(xiàn)：

[1] 陳祥玲，肖冬梅，楊忠.圖書館處理個(gè)人信息的合規(guī)義務(wù)研究[J].圖書情報(bào)工作，2022，66（17）：69-80.

[2] 中華人民共和國公共圖書館法[EB/OL].[2023-04-20].http：//www.npc.gov.cn/npc/c12435/201811/3885276ceafc4ed788695e8c45c55dcc.shtml.

[3] 中華人民共和國個(gè)人信息保護(hù)法[EB/OL].[2023-04-20].http：//www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.

[4] 王利明.《個(gè)人信息保護(hù)法》的亮點(diǎn)與創(chuàng)新[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2021（6）：1-13.

[5] 童云峰，金潔.圖書館數(shù)字化時(shí)代讀者個(gè)人信息刑法保護(hù)的限度[J].圖書館學(xué)研究，2021（18）：31-38.

[6] 童云峰.證立與提倡：讀者個(gè)人信息的民法分類分級(jí)保護(hù)[J].現(xiàn)代情報(bào)，2021，41（12）：97-106.

[7] 王利明.論《個(gè)人信息保護(hù)法》與《民法典》的適用關(guān)系[J].湖湘法學(xué)評(píng)論，2021（1）：25-35.

[8] 文禹衡，于琳.我國個(gè)人信息法律保護(hù)現(xiàn)狀、主要問題及完善路徑：基于《中華人民共和國個(gè)人信息保護(hù)法》的詞頻統(tǒng)計(jì)與分析[J].圖書館理論與實(shí)踐，2022（4）：12-21，28.

[9] 胡文濤.我國個(gè)人敏感信息界定之構(gòu)想[J].中國法學(xué)，2018（5）：235-254.

[10] 侯韋鋒，丁炫凱.論圖書館對(duì)讀者個(gè)人信息的保護(hù)：以《個(gè)人信息保護(hù)法》為中心的考察[J].圖書館論壇，2021，41（12）：77-86.

[11] 我的數(shù)據(jù)讓我?guī)ё撸〗K法律專家解讀個(gè)人信息可攜帶權(quán)[EB/OL].[2021-11-02].https：//baijiahao.baidu.com/s？id=1715324015694098357amp;wfr=spideramp;for=pc.

[12] 劉學(xué)濤，李月.大數(shù)據(jù)時(shí)代被遺忘權(quán)本土化的考量：兼以與個(gè)人信息刪除權(quán)的比較為視角[J].科技與法律，2020（2）：78-88.

[13] 李雪健.兒童讀者網(wǎng)絡(luò)個(gè)人信息保護(hù)研究[J].圖書館工作與研究，2022（4）：13-20.

[14] 紀(jì)華圍.《公共圖書館法》實(shí)施背景下讀者個(gè)人信息保護(hù)政策的完善[J].河南圖書館學(xué)刊，2019（11）：93-94.

[15] 謝麗玉.大數(shù)據(jù)環(huán)境下圖書館用戶個(gè)人信息保護(hù)現(xiàn)狀及對(duì)策研究[J].河南圖書館學(xué)刊，2021（8）：114-118.

[16] 梅傲，勾明鳳.《中華人民共和國民法典》背景下公共圖書館讀者個(gè)人信息保護(hù)的缺失及完善[J].圖書館理論與實(shí)踐，2021（5）：29-34.

[17] 郭軍.大數(shù)據(jù)環(huán)境下圖書館用戶個(gè)人信息保護(hù)研究[J].圖書館工作與研究，2020（1）：11-19，28.

[18] 孫道銳.讀者個(gè)人信息侵權(quán)保護(hù)的完善：兼論《公共圖書館法》相關(guān)規(guī)定的修改[J].新世紀(jì)圖書館，2020（11）：10-16.DOI：10.16810/j.cnki.1672-514X.2020.11.002.

[19] 周漢華.探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道——中國個(gè)人信息保護(hù)法的立法方向[J].法學(xué)研究，2018，40（2）：3-23.

[20] 徐磊.讀者個(gè)人信息保護(hù)的世界圖景與中國方案：以國外國家圖書館網(wǎng)站讀者個(gè)人信息保護(hù)政策為視角[J].圖書館工作與研究，2021（12）：22-31.

[21] 張曉新，劉龍垚.圖書館分群體個(gè)人信息立法策略研究[J].四川圖書館學(xué)報(bào)，2021（4）：45-49.DOI：10.3969/j.issn.1003-7136.2021.04.010.

作者簡介：郭帥，碩士，山西省圖書館館員，研究方向?yàn)樽x者服務(wù)、閱讀推廣等。

收稿日期：2023-01-06本文責(zé)編：王曉琳