法治視角下公共圖書館用戶個人信息安全保護策略研究

摘 要：保證用戶個人信息安全是公共圖書館數智化轉型發展的基礎，也是數據治理法治化的根本要求。 隨著物聯網、人工智能、大數據等新一代網絡技術的迭代和深度應用，公共圖書館已邁入數智化發展階段，如何妥善處理由此引發的用戶個人信息安全問題成為業界關注的熱點課題。 針對當前公共圖書館用戶個人信息保護存在的問題，文章以《個人信息保護法》《公共圖書館法》等為依據，闡述了開展用戶個人信息安全保護的出發點、基本原則和具體策略。

關鍵詞：法治視角;數據治理;個人信息安全;保護策略

中圖分類號：G258. 2

文獻標識碼：A

文章編號：1003-1588（2024）10-0029-03

新一代網絡技術的迭代發展與深度應用實現了人機交互的智能化發展，推動公共圖書館從傳統邁向數智化。 然而，用戶在享受圖書館提供的便捷智能服務的同時，其個人信息也面臨被泄露和濫用的風險。 通過有效手段防范和快速處置用戶使用圖書館服務功能和資源傳輸共享過程中潛在的個人信息安全風險，讓用戶沒有后顧之憂，是公共圖書館數智化轉型發展過程中需要著力解決的問題之一 [1] 。黨的十八大以來，法治中國建設向縱深發展，公共圖書館用戶個人信息安全保護也進入了法治化時代，多部法律從不同角度為數智化時代個人信息保護提供了法制保障和方法指引，明確了公民個人、網絡運營主體、公共圖書館等在個人信息保護中的義務，形成了相對科學完備的個人信息安全保護體系 [2] 。依據相關法律，對數智化轉型過程中個人信息保護存在的問題進行分析和尋找破局之策，對于公共圖書館法治化建設具有重要意義。

1 公共圖書館用戶個人信息保護概述

1. 1 用戶個人信息相關法律概念解析

數智時代，個人信息保護的重要性不言而喻，公共圖書館作為公共文化服務機構，在數智化轉型過程中要收集和使用用戶個人信息，明確個人信息范疇是開展公共圖書館用戶個人信息保護的前提。 國家市場監督管理總局、國家標準化委員會發布的《信 息 安 全 技 術—個 人 信 息 安 全 規 范》 （ GB/T35273—2020）從國家標準層面列舉了個人信息的范圍，涵蓋姓名、身份證件號碼、通信聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等 [3] 。 第十三屆全國人民代表大會常務委員會公布的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）對個人信息提出了科學嚴謹的定義，即指“以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息”，對公共圖書館用戶而言包含其身份注冊信息、賬戶信息、借閱記錄等。 《個人信息保護法》對用戶個人信息和用戶隱私進行了界定，指出用戶隱私側重個體性，而個人信息兼具個體性與公共性，與公共利益關系密切 [4] 。 《中華人民共和國公共圖書館法》結合公共圖書館服務特點，將用戶個人信息分為個人信息、借閱信息和隱私信息。結合上述法律規定及公共圖書館服務場景，用戶個人信息范疇主要包括身份信息（如姓名、性別、民族、住址、聯系方式、證照信息等）、借閱信息（如到館借閱記錄、線上借閱記錄、閱讀推廣參與記錄等）、場館登記信息（如到館記錄、離館記錄、人臉采集信息記錄等）三大類。

1. 2 用戶個人信息安全風險成因分析

在公共圖書館提供服務的過程中，用戶個人信息安全風險主要來自用戶的知情權和自主決定權受到侵犯，即用戶對個人信息的收集和處置不知情或未授權。 用戶個人信息安全風險有兩種后果，即信息泄露與信息濫用 [5] 。 近年來，隨著信息服務領域競爭的加劇，公共圖書館行業也從傳統服務逐步向數智化方向轉型，數智化服務的基礎是對用戶信息的收集存儲、價值挖掘和精準應用，圖書館技術處理不當或受到外部攻擊都會導致用戶信息泄露。 一些圖書館受自身設備與技術限制，需要與第三方合作才能提供特定服務，進一步加劇了信息泄露風險。除防范信息泄露外，預防和治理用戶信息濫用也是保護信息安全的重要內容。 在數智化轉型初期，圖書館為了滿足多場景服務需求，往往超范圍處置用戶個人信息，甚至會利用部分隱私信息。 用戶個人信息安全風險的成因可歸結為以下三個層面 [6] ：首先，信息安全意識淡薄。 一方面，用戶自身的信息安全認知水平未能與網絡技術迭代同步，缺乏“主人翁”信息安全意識;另一方面，公共圖書館館員的信息安全認知水平、技術維護能力有限。 其次，圖書館風險防控能力不足。 信息安全防控治理應包含風險的預測、預防、評估、控制、修復等措施，而當前鮮有圖書館能夠完全做到。 再次，信息安全監管不到位。 我國公共圖書館個人信息安全保護多靠館方自律，頒布《個人信息保護法》后，圖書館個人信息保護監管狀況雖有所改觀，但仍沒有科學系統的監管制度，對用戶個人信息安全保護的內外部監督成效仍然不佳。

2 法治視角下公共圖書館用戶個人信息保護的出發點與基本原則

2. 1 用戶個人信息保護的出發點

基于現有法律體系，公共圖書館開展用戶個人信息保護主要體現在以下三個維度：一是保護用戶個人信息是圖書館的固有法律責任。 相關法律從不同角度闡述了信息服務主體對用戶個人信息的保護義務，公共圖書館是信息服務主體，有義務按照法律規定履行信息保護職責。 二是處置用戶個人信息要尊重用戶的人格權。 用戶個人信息泄露或濫用會導致其人身、財產或名譽受損，《中華人民共和國民法典》《個人信息保護法》都明確和強調了服務主體對用戶個人信息的保護需要建立在尊重和保護其人格的基礎上，公共圖書館應在尊重用戶人格的基礎上開展信息處置、價值挖掘等工作，同時給予用戶必要的人文關懷 [7] 。 三是充分尊重用戶的知情權和自主決定權。 關于個人信息保護的法律法規都明確規定公民對個人信息的處置享有知情權和自主決定權，因此，公共圖書館在對用戶信息進行收集儲存、價值挖掘及與第三方合作機構共享的過程中要書面征求用戶同意，不經同意不得擅自公開、篡改用戶個人信息。

2. 2 用戶個人信息保護的基本原則

基于公民個人信息保護法律體系和用戶個人信息服務場景，公共圖書館用戶個人信息保護應遵循以下幾項基本原則：一是合法性原則。 法治化視角下，合法是利用用戶個人信息的前提，公共圖書館收集和處置用戶個人信息必須基于明確、合理、正當的目的，且用戶信息的利用與共享必須出于一定的必要性，將用戶個人信息收集和利用控制在最小范圍 [8] 。 二是公開透明原則。 為充分尊重用戶知情權和自主決定權，公共圖書館應對涉及的用戶個人信息處置情況進行公開，在對用戶個人信息進行收集處置前履行告知義務，征得用戶書面同意。 三是信息準確原則。 公共圖書館在收集用戶信息的過程中，要確保信息的完整性、準確性和及時性，校對用戶個人信息是否存在缺項、錯誤，確保個人信息準確有效，能夠據此提供科學有效的優質服務。 四是處置閉環原則。 基于法治角度，公共圖書館對用戶個人信息安全具有保障義務，也是首要責任人，因此，公共圖書館應對用戶個人信息的收集處置、價值挖掘、信息應用和風險處理進行系統化處理，構建科學系統的內部機制，形成安全責任閉環。

3 法治視角下公共圖書館用戶個人信息安全保護策略

3. 1 引導強化個人信息安全保護理念

從現有公共文化服務出現的用戶個人信息風險案例看，用戶和館員的信息安全意識較差是造成泄露和濫用的主要因素，通過法治化宣傳強化個人信息保護理念迫在眉睫 [9] 。 公共圖書館可以相關法律為依據，引導用戶和指導館員領悟法律的主旨要義，強化法治意識，樹立保護個人信息的理念。 法治宣傳教育應包含以下內容：首先，公共圖書館應以法律為基礎引導用戶和館員了解不同角色在收集和處置用戶個人信息時的權限，認識到保護用戶個人信息的重要性，遵守并踐行相關法律規定。 其次，公共圖書館應通過實際案例引導用戶和館員知曉用戶個人信息泄露或濫用的相關情形，明確各方在保護用戶個人信息中的法律責任，主動履職盡責。 再次，公共圖書館應強化與第三方機構的信息安全合作，通過宣傳教育與簽署安全協議的方式明確第三方機構在用戶個人信息保護中的法律責任與義務，要求其規范用戶個人信息收集和處置行為，建立用戶個人信息安全風險防范與應急處置機制。

3. 2 主動革新個人信息保護技術體系

進入數智時代，公共圖書館用戶個人信息保護應與時俱進，同步建立個人信息保護技術體系，這也是個人信息保護法治化的重要建設內容。 首先，公共圖書館應引入和運用新興技術手段，在用戶個人信息收集和處置的過程中除常規加密防護技術外，還可引入區塊鏈技術，應用區塊鏈的去中心化特點和智能合約特性，提升用戶個人信息的隱蔽性并進行安全分級處理，避免關鍵信息暴露在開放網絡環境中，構建全方位的用戶個人信息安全防護體系 [10] 。 其次，公共圖書館要建立基于源頭控制、環節管理、風險追蹤的全生命周期技術安全管理體系，應用先進安全技術和安全設備，同時對館員的安全責任進行明確劃分，形成以技術為核心、以設備為支撐、以管理為關鍵的個人信息安全技術管控鏈條，形成用戶個人信息安全管控和技術管控閉環。 再次，公共圖書館應強化館員技術能力培養。 技術是把雙刃劍，館員在對用戶個人信息進行保護的同時要避免技術本身的負面效應，在業務系統設計、運行的相關環節避免侵犯用戶個人信息安全，在系統運維過程中要進行技術糾偏。

3. 3 合力構建個人信息保護行業機制

2021 年《個人信息保護法》的頒布實施標志著我國形成了針對個人信息保護的相對完備的法律體系，該法律體系為公共圖書館構建用戶個人信息安全保護機制提供了強有力的法律依據。 基于此，公共圖書館應集中力量研究并制定用戶個人信息保護行業機制，具體應從以下三個方面入手：首先應從行業角度出發明確用戶個人信息保護的范圍，使后續個人信息保護實踐具備可行性和實操性;其次應明確用戶個人信息保護分級標準，以相關法律為依據，明確圖書館用戶信息的分級保護標準，以重要性和敏感度為主要指標，嚴格規范圖書館信息收集處置行為，有力保障用戶權益;再次應建立內外部信息安全監督反饋機制，公共圖書館一方面應公開用戶個人信息安全收集和處置情況，接受用戶的外部監督，另一方面應在館內成立專門的部門對用戶個人信息從收集到應用的全生命周期進行監督，涵蓋第三方合作機構，形成內外一體、不留真空區的有效監管體系。

4 結語

公共圖書館數智化轉型發展越深入，越能體現用戶個人信息保護的重要性和緊迫性，依據現有法律體系開展個人信息安全保護行動越有必要。 面對機遇和挑戰，公共圖書館應妥善處理用戶個人信息收集利用與安全保護之間的關系，全面深度分析問題成因，強化個人信息安全法治理念，依據相關法律指導建立個人信息安全保護技術體系和行業機制，依法規范收集和處置用戶個人信息，構建公共圖書館用戶個人信息保護行業安全防線。

參考文獻：

[1] 安琳. 2011—2022 年我國圖書館讀者個人信息保護研究綜述[J]. 圖書館工作與研究，2023（2）：37-43.

[2] 胡爾西旦·卡哈爾，劉文軒. 公共圖書館讀者個人信息保護的原則與進路：參照《個人信息保護法》[J]. 新世紀圖書館，2023（2）：36-41.

[3] 占春紅. 圖書館新媒體服務中用戶信息泄露規避策略研究[J]. 圖書館工作與研究，2022（3）：52-58.

[4] 陸康，劉慧，任貝貝. 大數據時代我國圖書館隱私管理研究[J]. 圖書館建設，2022（3）：70-77.

[5] 李紫陽. 《公共圖書館法》讀者個人信息保護條款的立法反思與協調[J]. 圖書館，2022（9）：13-21.

[6] 梅傲，勾明鳳. 《中華人民共和國民法典》背景下公共圖書館讀者個人信息保護的缺失及完善[J]. 圖書館理論與實踐，2021（5）：29-34.

[7] 柳倩，萬映紅. 從《民法典》視角探析圖書館用戶個人信息的多維保護機制[J]. 法制博覽，2022（30）：11-13.

[8] 陳祥玲，肖冬梅，楊忠. 圖書館處理個人信息的合規義務研究[J]. 圖書情報工作，2022（17）：69-80.

[9] 孫道銳. 讀者個人信息侵權保護的完善：兼論《公共圖書館法》 相關規定的修改[J]. 新世紀圖書館，2020（11）：10-16.

[10] 劉裕，周毅，農顔清. 網絡信息服務平臺用戶個人信息安全風險及其治理：基于 117 個 APP 隱私政策文本的內容分析[J]. 圖書情報工作，2022（5）：33-43.

（編校：崔萌）