大数据时代读者个人信息保护范式的应然选择

李雪健（南京师范大学法学院）

1 问题的提出

信息自由是当代公共图书馆的核心价值，赋予读者以畅通无阻地获取知识与信息的权利，但在大数据时代，新兴技术却造成了信息自由的二律背反。一方面，新兴技术变革了公共图书馆的服务模式与内容，打破了读者获取信息的时空限制，促进了信息自由；另一方面，视频监控、人脸识别、RFID等技术对读者个人信息的处理，导致读者的行为习惯、阅读偏好、服务需求甚至内心所想暴露无遗，新兴技术似乎又威胁到了读者的信息自由。对此，加强对读者个人信息的保护是维护信息自由这一核心价值的必经途径，能否平衡读者信息利益与图书馆信息利用亦成为评价个人信息保护成功与否的重要标准。

读者个人信息保护基本范式是解决读者个人信息与图书馆信息利用矛盾的前提。本文拟梳理并反思传统私法确权范式的不足，并以此为基础指出风险控制范式应当成为读者个人信息保护的应然选择，进而为未来《中华人民共和国公共图书馆法》（以下简称《公共图书馆法》）的修订以及地方公共图书馆制定细则提供建议。出于行文需要，本文中的“信息主体”系指读者，“信息处理者”系指公共图书馆，本文出现的“信息”与“数据”在同一层面予以使用。

2 读者个人信息保护传统私法确权范式的现实困境

面对信息社会个体对个人信息的失控，杨立新［1］、王立明［2］、王成［3］、吕炳斌［4］等学者皆主张私法确权范式。该范式以人格尊严与自由为价值指引，以个人信息自决权理论为理论基础，以对信息主体赋权为保护手段，以私法上的侵权诉讼为救济方式，将个人信息保护问题纳入私法范畴，通过赋权重新确立信息主体地位，重拾信息主体对个人信息的控制。当前，这一路径已经成为学界主流。但本文认为，私法确权这一传统路径面临内外困境，仍然有待证成。

2.1 私法确权范式的内部困境

2.1.1 导致人格尊严的价值滥觞

个人信息自决权理论肇始于德国，发轫于德国《基本法》第1条的尊严条款与第2条第1款的人格自由条款。尊严是个人信息自决权的基石，康德认为，在目的王国中，与具有价格、能够替代的物不同，尊严（Dignity）是一种无条件的、不可比拟的价值，自律（Autonomy）是人性中尊严的基础，是一种对内自我立法的能力，正是因为人能够遵守道德法则，故而彰显尊严而与物相区别，而自决（Self-determination）则是自律的重要表现形式［5］。据此，Bleckmann认为，“尊严”与“自决”：“人性尊严系每个人得在其行为与决定上有自由”［6］。

自决虽涉及尊严，但是否就有必要在法律上设立一种“自决权”呢？Rouvroy指出，歌颂尊严是因其表征了一种论理性、普遍性的自决能力（自律的可能性），与个体是否真正发展出自决能力无关（自律的现实性）［7］。换言之，缺乏自决能力的个体也拥有尊严（如，幼童、精神病人）。“自决”不能被规定为一种法律权利，仅具有“中间价值”，宪法中公民各种权利皆与公民的生活方式相关，因而皆与“自决”有关，若缺乏相异于其他权利的保护利益存在，则个人信息权无存在的必要。《中华人民共和国民法典》（以下简称《民法典》）第一千零三十四条已将私密信息（敏感个人信息）归于直接保护人格尊严利益的隐私权范畴［8］，从体系解释出发，私密信息与其他个人信息的法律地位必存在不同，若仍试图打着尊严的旗号奢求“个人信息自决权”，这无疑是对人格尊严价值的滥觞。

2.1.2 违背智慧图书馆的发展需要

个人信息是多元利益的交织体，其不仅关涉信息主体的人格尊严，还涵涉商业价值与公共管理价值。数据是信息时代的重要生产要素，具有基础性资源和战略性资源的重要地位。智慧图书馆的建设离不开大数据，其核心在于利用大数据技术提供智能咨询、个性化推荐、知识库等智慧化服务，其中个性化推荐服务已成为智慧图书馆建设的着力点。个性化推荐又称“读者画像”，其目的是以读者核心数据为中心，提取沉淀于不同系统中的行为信息，自动感知读者情境，并为其提供相应服务。个性化推荐服务有效运行依赖于由海量读者行为信息汇聚而成的大数据，读者信息的可流通性与可获取性至关重要，个人信息无法流通或获取，智慧图书馆建设将会面临无水之源的困境。私法确权范式在个人信息之上构建绝对排他的权利，明显忽略了大数据对个人信息的时代需求，使大量读者信息藏而不用，加剧了信息孤岛效应，制约了智慧图书馆发展。

事实上，即便被誉为“史上最严个人信息保护法”的《通用数据保护条例》（General DataProtection Regulation，GDPR）在立法目的上亦未忽略信息的自由流动价值［9］，只不过具体规则构建依旧秉持了欧陆一贯的自然权利观，用古典经济理论的私益最大化逻辑对个人信息领域格式化，进而形成对个人信息保护的一边倒。对此，Tene O指出，GDPR正值中年危机，其创设的基本架构在效益上令人存疑［10］。Eline等指出，GDPR延续了《95指令》的基本架构，未能实现个人信息保护与数字经济发展的平衡，不利于以大数据为基础的AI发展，使得欧洲在科技建设方面落后于亚洲与北美［11］。正如论者所言，个人信息权违背了数字经济发展的基本规律，不符合科技立法的适配与效益原则，形成对企业技术创新、商业模式创新乃至政府治理方式创新的阻碍［12］。

2.2 确权范式的外部困境

2.2.1 信息主体困境

私法确权理论继承了个体主义传统，在规范上预设了一个自主、理性、自决的人类图像，即能够坚持以成本与收益计算个人信息利益的“经济理性人”，在自生自发的市场机制调节下，同信息处理者能够寻找到最佳平衡点［13］。因此，收集时的“知情同意”机制成为私法确权范式的核心。与此相对，获取信息主体的同意亦成为信息处理者免责与否的分水岭。

然而，隐私悖论（Privacy Paradox）表明，在信息实践中，信息主体对个人信息所作出的决定建立在有限理性之上，知情同意的背后是双方地位与信息的不平等［14］。一方面，有限理性决定了信息主体认识同意内容的有限性，读者不知道也不可能知道自己同意的将会被收集或处理的个人信息的类型、用途、限度等内容，更不可能阅读每一份隐私声明。另一方面，有限理性决定了信息主体利弊计算能力的有限性，信息主体在教育水平、知识背景、理解能力等因素的影响下，得到的利弊计算结果也不同。以上使知情同意机制在实然层面产生“无限授权效应”，同意效力扩张到个人信息所有的（无论目的内外）个人信息处理行为，从而导致原本用来控制信息处理者的“知情同意”异化为信息处理者逃脱责任的挡箭牌。

2.2.2 信息处理者困境

首先，信息处理者面临合规成本困境。私法确权模式视“知情同意”机制为制度核心，为避免该机制失效，必然要求信息处理者提供更加详细的信息披露，并且随时更新，这一定会提高信息处理者的运行成本。此外，不同信息处理者的义务履行能力不一，操作链条与法务支撑不一，在进行信息披露时可能难以将技术信息转化为清晰、易懂的语言［15］。当前，我国各级公共图书馆的技术、法务、财力等资源参差不齐，若以统一的高标准来要求，将会造成一些公共图书馆的制度空转。事实上，欧盟与美国皆发现了这一问题，GDPR颁行后不久，欧盟委员会便发文指出，GDPR的一些法律义务不适用于小企业［16］，美国《加州消费者隐私法》（California Consumer Privacy Act，CCPA）明确指出，本法仅适用于年收入2500万美元以上的大企业［17］。

其次，信息处理者面临技术失控困境。在私法确权范式中，信息主体与信息处理者皆被预设是理性的。一方面，由于算法的自我学习与自我执行特性，信息处理者也无法说清读者个人信息将在算法中发挥的功能、体现的关联价值以及具有效用的时长。毕竟，以非预期方式使用个人信息恰恰是大数据的技术特性［18］。另一方面，对于公共图书馆而言，数据收集主体与数据处理主体通常是不一致的，且存在时间差，这导致信息收集主体在隐私政策透明化层面无法履行。如，在江苏省公共图书馆大数据平台项目中，只有江苏省公共图书馆拥有数据处理能力，市、县级公共图书馆只承担数据采集功能，无法获取省公共图书馆对读者个人信息的具体用途与技术处理流程［19］。

综上所述，确权范式所继承的古典个体主义传统决定了个人信息保护理论的基调，必然拟制信息主体与信息处理者之间抽象的二元对立，在方法论上采取“赋予权利——履行义务”的方式。“自决”背离了个人信息在现实生活中运作的“真相”，生硬割裂了应然与实然，最终只能用“尊严”来弥补该理论在现实中的软弱无力。从个人信息利用角度，该模式未能从正面给予信息处理者利用空间，信息处理者更倾向于利用其优势地位被动地逃避规制，因此立法者只能累叠限制以加强法律实效，这种非合作博弈的结果只能是个人信息保护与利用的双输［20］。因此，我们应当重归读者个人信息在现实生活中运作的“真相”，重新思考读者个人信息保护的理论基础。

3 读者个人信息承载利益的静态与动态分析

3.1 对象视角：个人信息承载多元利益的静态分析

私法确权范式昭示了个人信息的个人性侧面，即个人信息产生于信息主体，是人格的延伸，由信息主体掌控以体现个人意志。从分类上看，个人信息可以划分为敏感个人信息与一般个人信息，前者指身份识别号码、生物识别信息、医疗或健康信息等个人信息，而后者则主要为个体融入社会生活后，在社会交往中形成的访问记录、消费记录等行为信息。敏感个人信息具有稳定性与固定性，属于信息主体最为私密的部分，更多地表现为信息主体的个人性。

从本体论上看，在现代社会，一般个人信息的本质是一种社会关系［21］，源于信息主体的社会行动。根据Habermas的交往行为理论，这种社会行动实质是一种在广泛社会关系网络中的交往行为，呈现出非主体性的主体间性。作为交往行为产物的一般个人信息，其控制理应属于一种具有规范性的集体实践，取决于信息主体间的交互与协商，以及社会实践的演变、公众认知、文化承认［22］。对此，高富平指出，信息承载着人类文化传承和社会运行发展的公共元素［23］；Kasper认为，个体通过交换个人信息（沟通）来促进个人发展、提升社会和谐、实现社会控制［24］。从功能上看，个人信息具有公共品（Public Goods）的核心特征——非竞争性与非排他性，即个体对个人信息的使用并不影响他人使用，多人可以同时使用个人信息而互不排斥［25］。信息化技术使“互惠共享”产生“放大镜效应”。

由于个人信息兼具个人性与公共性，使其能够同时援引个体与社群主义哲学用以论证个人信息表征的个体利益与集体利益，无论人格尊严利益、数据利用利益，还是公共管理利益皆可寄寓于个人信息之上。因此，个人信息旨在“平衡争夺资源控制的利益冲突”，需要通过多样化的利益平衡加以实现，即做到保障信息主体合法权益与肯定和保障信息处理者权益并重，实现个人信息多元利益的平衡。

3.2 主体视角：个人信息承载多元利益的动态分析

信息主体既是个人信息的产出者，又是信息利益的归属者，更是信息行为的行动者。因此，从信息主体出发，分析信息主体与信息处理者在现实世界中的关系能够帮助我们更加全面地理解蕴藏在个人信息之上的利益关系。读者个人信息保护需求产生于图书馆所安装的摄像头、RFID、人脸识备等监控设备之后，基于单向还原的个人主义方法论，监视经常被视作奥威尔式（Orwellian）极权政治的工具，而信息处理者被想象成邪恶反派，因此，信息主体常将信息处理者置于敌对位置，并加以钳制与改造。

然而，这就忽略了监视的核心问题：监视并非极权者的行为，而是现代社会的基本特征。现代社会的监视通过诱导性的引导与规训重塑人们的行为、习惯与动机。Cohen的监视理论指出，个体与监视系统之间是一种共谋关系，监视对人的规训实质来源于个体对监视了解之上的自我规训，其目的是建立符合监视系统要求的个人记录而获取某种优待。如，许多图书馆利用监视获得庞大的读者个人信息并整合形成了“信用借阅”系统，信用分高的读者可以享受图书借阅延期、免押金、送书上门等优惠服务［26］。在这一过程中，读者实际上非常享受良好信用为自己所带来的利益，甚至愿意主动交出读者个人信息以获得更多利益，信息主体与信息处理者形成了一种合作。尽管个人信息是信息主体的产物，但正因为这种关系的存在，同一信息就具有多重功能与使用途径，不同的使用途径又有不同的价值取向与信息流动规范。换言之，建立在个人信息之上的利益关系是流动的，私人领域与公共领域是重叠与混杂的，不存在绝对的控制者与被控制者，也不存在绝对值得优先保护的价值［27］。

监视理论对于反思个人信息保护意义重大。一方面，监视理论从主体角度进一步论证了个人信息因兼具个人性与社会性而承载多元利益的原因。另一方面，监视理论指出要在特定时空下对变化的个人信息进行具体分析。这意味着个人信息承载多元利益的平衡并非静态、空泛的，而是一种动态、具体的情境考量。这一结论同Walzer的多元正义理论不谋而合。Walzer认为，正义并非单一的，而是多元的，其并非社会益品在所有情境中平等分配，而是要求在具体情境中自主分配，满足各自情境中自生自发形成的分配原则［28］，即情境满足即为正义，这也为下文对个人信息的情景化保护奠定了基础。

3.3 视角转变：通过风险控制达到多元利益平衡

通过利益分析可知，采取自上而下的视角，试图从价值出发，为个人信息探寻一个统一概念十分困难。其根本原因在于：在主观的观念世界中发现与探寻终极价值，必然会受到个体与集体主义的影响，进而陷入个体与集体价值的“诸神之战”。而在方法论层面，无论是个体主义还是集体主义，都会因单向还原的线性思维走向片面与极端①，影响多元利益平衡目标的实现［29］。2004年，李晓辉博士指出，信息（权利）极其复杂，其并非具体的权利概念而是一个类型化的权利束，该权利同其他权利存在解释力上的交叉关系，既不能简单将其并入公法抑或私法，更不能将其放置于封闭权利体系［30］。

个人信息利益内生的复杂性与利益发现路径的失败要求我们采取一种新的视角以达到多元利益平衡的目标。本文认为，从个人信息面临的风险（以下简称“风险”）出发可以为个人信息保护问题提供新的路径。①风险能够避免价值偏好，以更为中立、客观的视野来考察个人信息。事实上，个人信息利益与个人信息风险本就是一体两面，利益发现有赖于主观世界的逻辑演绎，不可避免地具有主观性。正如Whitman所述，“归根结底，个人信息保护法律仍是直觉主义者主观臆测的社会焦虑与理想主义的产物”［31］。而风险分析采取自下而上的视角，其认识来源于客观世界的一般人的经验归纳，具有中立性与客观性，能够有效控制因“恐惧”而产生的主观认识偏差。②风险能够暂时搁置价值矛盾，以更为宏观的视野把握个人信息问题。风险理论指出，事物内在的“二相”对偶性是风险产生的直接原因，风险是二相性矛盾综合所致结果的体现［32］。因此，在价值论层面，风险理论承认个人信息多元价值，力求在方法论层面通过对信息处理者信息行为的客观风险分析与控制，将风险控制在各方主体皆可承担的程度。③风险能够有效解释并应对因信息主体与信息处理者合作而产生的个人信息承载利益的动态性。这种承载利益的动态性与风险的“测不准性”异曲同工，即因事物具有内生复杂性与不确定性机制，其复杂性程度无法被精准地刻画与描述。在方法论层面，风险理论反对单一的还原论，即仅在价值论层面进行保护性论证，通过立法者制定单一、固定的规范，司法者严格、机械地执行规则来实现目的。风险理论借法于复杂性科学（又名整体论科学），要求立法者采取系统性、协同性方法，通过制定多元、灵活的规范框架，使得司法者能够在个案中结合具体案情进行灵活判断，进而实现综合性风险治理。

综上所述，本文认为，个人信息保护应当以风险作为出发点、以行为作为规制重点、以情境作为研判标准，实现多元利益平衡的价值目标。

4 读者个人信息保护风险控制范式的方法展开

4.1 以风险作为个人信息保护出发点

4.1.1 正确理解风险源头

私法确权范式核心在于“通知同意”机制，“同意”被视为一种能够正确评估风险的理性人进行自我答责的风险规避方式，因此，风险主要来源于信息处理者在信息收集阶段对个人信息的不正当收集。然而，信息主体的有限理性与信息处理者的技术失控决定了收集阶段进行“一刀切”的风险控制并不现实。通过对个人信息承载利益的动态分析可知，个人信息的收集与使用成为人们的生活经验，让渡个人身份与行为数据是信息生活的常态。这说明在实然层面，不同主体、多元价值、不同目的能够自生自发地构建出一种被称为“情境”（Context）的结构化的信息秩序，而真正的风险是个人信息脱轨于正常使用情境，脱离信息主体与信息处理者的合理预期。“情境”贯穿于个人信息处理的始终，这意味着除收集阶段外，储存、使用、加工、传输等各个数据处理行为都属保护重点，任何一个环节出现纰漏都会为个人信息带来风险。

4.1.2 保护程度同客观风险相对应

为了最大程度保护信息主体利益，私法确权范式对风险采取的是消灭或者最小化的思路。然而，在承认个人信息兼载个人利益与公共利益的前提下，信息主体需接受个人信息会在一定程度上被他人使用。我们对待风险的态度应当是在承认风险存在的前提下，将风险控制在一定合理范围内，只要不致造成额外损害，即属信息主体社会容忍义务范畴［33］。因此，在个人信息的保护程度层面，风险预防原则应具象化，预防措施也应当同风险相对应，即个人信息所面临的风险越大，信息处理者应当采取的预防措施、履行的注意义务越强。这有利于提升个人信息保护的有效性与实质性，通过对个人信息及信息处理行为实施差别化与层次化的保护，减轻信息处理者的合规压力，促进个人信息的合理使用与自由流通。

4.2 以行为作为风险规制重点

正如上文所述，私法确权范式因价值独断与收集阶段的风险无法完全控制，出现了行为规制模式。所谓行为规制模式，是指从他人行为的角度进行风险控制，通过对他人行为的规制来控制风险，平衡利益享有者的利益。相较于确权模式，行为规制模式具有以下优点。

（1）有利于调和个人信息保护与利用间的矛盾，兼顾个人与社会的利益需求。与私法确权模式从正面设权以保护权利人的方式不同，行为规制模式意在从控制行为的角度构建利益空间，通过对特定行为控制圈划利益享有者的利益。行为规制模式奉行“法无明文禁止即可为”，该模式以数据行为作为规制对象，为信息处理者提供了较为清晰的合规指引与确定的行为预期［34］，信息处理者只要遵循法律所规定的行为准则，即可安心收集与使用个人信息。

（2）满足风险控制贯穿信息全生命周期的要求。以数据行为作为中心，对个人信息的收集、储存、处理等各个环节进行规制，确保个人信息使用的各个环节都能得到法律的合理介入［35］。这意味着信息主体在信息收集阶段的“授权同意”只是个人信息保护的第一步，私法确权范式中的“无限授权效应”将会因行为准则贯穿于后续每一阶段的数据处理行为而得到根本遏制。在实然层面，该模式克服了私法确权范式的弊端而具有可操作性，真正实现了对个人信息的有效保护。

4.3 以情境作为风险研判标准

真正的风险来源于个人信息脱离原有使用情境，风险与情境是个人信息保护的两个侧面，二者密不可分。风险控制必须在相应的情境中进行，而情境则是风险研判的重要标准。将情境作为风险研判标准是风险理论复杂性治理的明确要求，即“风险的复杂性既不能规避也不可消除，只能简化，而简化的前提是必须将复杂性当作复杂性来对待”［29］。

行动者主要包括信息主体与信息处理者，不同的行动者在不同的情境中存在不同的角色定位，从而存在不同的合理预期与规范期待。信息类型则指向信息敏感程度，一般情境下，越敏感的个人信息越需加强保护力度。传播原则是指在特定情境下信息流动的方式，常见的传播原则包括除非获得清晰、特定同意，否则禁止向公共领域流动的私密性原则，仅需一般同意即可流通的控制性原则和无须征得同意即可收集和处理个人信息的豁免原则。需要注意的是，行动者的角色确定、信息的类型划分、传播原则的具体适用，都应当从社会一般人的角度予以判定。即便信息主体主观上认为信息处理者的行为对自身信息利益存在风险，但只要社会一般人层面缺乏对该风险的客观认知，则该行为并无违法性。

当前，以风险为个人信息保护出发点，并结合情境作风险研判成为立法的重要原则之一。2020年1月，CCPA中“与情境相匹配”（Compatieble with the cotext）成为信息处理者使用个人信息的核心原则，GDPR第6条第4段也将“个人信息收集时的情境”认定为信息处理是否合法的基本依据［9］。因此，读者个人信息保护在以风险为出发点，以行为为风险规制重点的同时，更应当注意风险的情景化判断。值得注意的是，在欧美等国，风险的情景化判断主要依赖于司法者与执法者的能动性，在立法上仅作原则性规定，而我国属于成文法国家，司法者与执法者对明确的法律规则具有天然的依赖性。因此，《公共图书馆法》后续修订及地方公共图书馆细则应以行动者、信息类型与传播原则为切入点，在《民法典》《中华人民共和国个人信息保护法》（以下简称《个保法》）等一般个人信息法律的指导下，为司法者与执法者提供指引与能动空间。

5 风险控制范式下读者个人信息保护行为规范的完善建议

尽管《公共图书馆法》将读者个人信息保护纳入立法层面，但囿于立法时间较早、理论研究深度不足等原因，除第四十三条规定“不得出售或以其他方式非法向他人提供读者个人信息”［37］外，其他信息处理行为规范皆处于缺位状态。因此，下文拟从风险控制出发，结合图书馆实践，明确信息处理者需要遵守的信息处理行为规范，为未来《公共图书馆法》修订及公共图书馆制定具体细则提供参考意见。限于篇幅，本文仅针对至关重要的收集、储存、利用行为规范予以讨论。

5.1 明确信息处理者收集行为规范

公共图书馆在收集读者个人信息时，应履行告知义务与征求读者同意义务。《民法典》第一千零三十五条、《个保法》第十三条、第十八条［38］皆要求公共图书馆明确告知读者收集个人信息的范围、目的、处理方式、保存期限等具体事项，且要求公共图书馆以清晰、易懂的方式征得读者同意。公共图书馆在履行告知义务时，应足够明确，使读者对个人信息的使用产生较为清晰的认识和预期。

5.1.1 履行告知义务

首先，明确读者个人信息的范围。由于《公共图书馆法》在立法时，《民法典》《个保法》等法律尚未出台，故《公共图书馆法》存在与后续立法的相关概念与分类衔接不畅的问题，直接影响图书馆具体细则的修订与实施。时诚指出，《公共图书馆法》第四十三条［37］所规定的读者个人信息、借阅信息、其他可能涉及读者隐私的信息的三分法具有“形似神异”的特点，三者外延彼此交错，未能从本质上对三者进行区分，使得读者个人信息在保护方式、处理规则等方面难以分类适用［39］。《民法典》第一千零三十五条将私密信息归于隐私权范畴［8］，打造出隐私权与个人信息的二元保护模式，要求私密信息与个人信息采取不同的保护方式与处理规则。《个保法》第二十九条区分了敏感个人信息（私密信息）与一般个人信息［38］，并对敏感个人信息的处理规则提出特别要求②。二者区分敏感信息与一般个人信息的做法与本文以风险为切入点、以情境为研判标准的保护框架相契合。因此，《公共图书馆法》在后续修订时，应当总结并结合图书馆实践，将读者个人信息的三分法转换为敏感读者个人信息与一般读者个人信息的二分法，并对敏感个人信息进行“列举+兜底”式的规定，为后续差别化的保护措施与义务履行奠定基础。

其次，细化说明信息处理目的。《个保法》第6条确立了“目的限制原则”［38］，该原则在收集阶段要求信息处理者具有特定的收集、使用目的，且所收集的个人信息应为目的实现所必要。因此，图书馆应当细化说明收集读者个人信息的目的。由于风险控制框架要求保护措施与风险相适应，故而在目的告知义务履行上，敏感个人信息与一般个人信息理应存在差异。未来《公共图书馆法》应同《个保法》第二十九条、第三十一条［38］相衔接，图书馆处理敏感个人信息需有“特定且充分”的目的，尤其需要论证处理必要性及其对读者的影响。当前，我国已有部分图书馆进行了探索性规定，如《国家数字图书馆在线实名注册使用协议》［40］、《广西图书馆在线实名注册使用协议》［41］皆指出读者个人信息将用于“研究或运行监控”等目的，但仍存在内容概括且未区分个人信息类别的问题，建议公共图书馆在区分敏感与一般个人信息的前提下，在具体细则中细化说明信息处理目的。

5.1.2 履行征求同意义务

在风险控制框架下，一方面，敏感读者个人信息与一般读者个人信息要求履行征求同意义务的方式、程度皆有不同。另一方面，履行征求同意义务还因不同情境下的传播原则而不同。

首先，敏感个人信息属于隐私权范畴，需适用获取信息主体清晰、明确同意的私密性原则，且应采取书面方式征求信息主体同意。而对于一般个人信息，则仅需要适用默示或概括同意的控制性原则，公示个人信息保护政策即视为图书馆已履行征求同意义务。需要注意的是，保护政策应公示于图书馆门口、大厅等显著位置，内容也应简单易懂，在网络环境中，保护政策应当遍布首页及每个子页面，确保读者能够随时获取、了解保护政策。

其次，《公共图书馆法》在后续修订时，应当注意为豁免原则留有适用空间，即图书馆中所提供的部分服务可能在客观上无法征求用户同意，读者个人信息的收集与处理需要适用流动规范中的豁免原则。如，RFID盘点机器人技术，RFID内存有读者借阅信息，盘点机器人运行的基本原理是通过读取RFID对图书进行读者是否归还、是否已复归原位的判断［42］，由于盘点工作在闭馆后进行，图书馆无取得读者同意的可能。因此，类似情况可以适用豁免原则以免除图书馆的征求同意义务。

再次，公共图书馆需要注意同意的二次获取与未成年读者个人信息的同意问题。当处理读者个人信息的目的、方式及其种类发生变更，公共图书馆应重新取得读者同意。此外，一般认为，未成年人天生缺乏对个人信息的理解能力而具有脆弱性，遭受风险的可能更大［43］，因此《个保法》第十五条［38］与《儿童个人信息网络保护规定》第九条［44］皆要求收集不满十四周岁的未成年读者个人信息时，应当特别取得其监护人同意。

5.2 明确信息处理者储存行为规范

读者个人信息储存是图书馆利用读者个人信息的前提，具有衔接个人信息收集环节与信息使用环节的作用。在储存环节，读者个人信息面临的风险主要源于信息处理者内部或外部未经授权的访问、个人信息泄露以及被窃取、窜改和删除。《2017政企机构信息泄露形势分析报告》指出，造成机构信息泄露的主要原因是内鬼出卖和黑客入侵，图书馆应采取相应的预防措施以防止上述风险发生［45］。根据信息储存环节的个人信息保护实践，《公共图书馆法》未来修订应参考《个保法》第五十一条［38］，在区分敏感个人信息与一般个人信息的前提下，从内部人员管理与安全技术层面出发，构建风险预防措施体系。

5.2.1 强化图书馆内部人员管理

（1）为不同岗位的工作人员设置不同权限，建立责任监督机制。我国公共图书馆普遍缺乏合理权限划分，无论是正式馆员还是“临时工”“劳务外派人员”等外包人员皆具有随意访问个人信息的权限。因此，图书馆应控制工作人员获取、访问读者个人信息的权限，设置敏感个人信息访问、获取专有账户，将员工权限控制在正常履职所需的最小范围之内。对于因工作需要而难以有效限定权限的情况，图书馆应建立专人责任机制，工作人员在访问、获取敏感个人信息时，需由特定人员予以审核并批准。此外，图书馆还应当形成读者个人信息访问、获取记录备案机制，通过定期审查访问、获取记录，形成有效的事后监督，真正做到每一条读者个人信息的访问与获取都能寻找到相关责任人。

（2）加强安全教育培训，提高个人信息安全保障意识。图书馆馆员应肩负保护读者个人信息的神圣使命，图书馆应提升馆员的个人信息保护意识，加强个人信息保护技能培训，帮助馆员形成对网络个人信息保护的科学认识，明晰读者个人信息泄露所带来的危害，进一步完善读者个人信息保护制度。

5.2.2 提升信息安全技术水平

（1）强化匿名化技术、保密技术的适用。匿名化技术与保密技术是预防读者个人信息泄露风险的重要手段，也是图书馆利用读者个人信息的前提。原生读者个人信息经匿名化后即转化为衍生数据，图书馆对该数据享有相对宽松的权利。图书馆可采取DES、AES等加密技术提升读者个人信息的保密性，采取假名化、随机化、数据合成、K-匿名模型与差分隐私等匿名化技术消除儿童读者个人信息的可识别性。值得注意的是，除假名化技术以外的其他匿名化技术需要较高的人力与技术成本。

（2）加强网络安全技术。图书馆应注意其门户网站的安全性，使用SSL技术对数据传输协议进行加密，提高读者个人信息传输过程的安全性。技术部门应当建立漏洞定期查找、修补制度，利用网站日志预防非法入侵行为。此外，图书馆还应当建立信息定期删除制度，为敏感读者个人信息与一般读者个人信息设置不同的储存与自动删除时间，降低泄露风险。

（3）建立预警与应急技术体系。图书馆应建立读者个人信息储存风险预警系统，尤其要加强发生储存风险后的技术补救措施，建立读者个人信息定期备份制度与灾难恢复制度，确保读者个人信息在遭受到意外后能够通过备份及时恢复。

5.3 明确信息处理者利用行为规范

除《公共图书馆法》第四十三条所要求的“不得出售或以其他方式非法向他人提供读者个人信息”的利用行为规范外［37］，图书馆对读者个人信息的利用需贯彻“目的限制”原则，即图书馆对读者个人信息的利用不得违背收集时的约定目的。但公共图书馆因收集主体与处理主体不一，在收集阶段难以精准、具体地描述目的，后续处理目的很有可能与收集目的不同。

当前，各国立法为防止目的限制原则僵化，形成对个人信息合理利用的阻碍，皆对使用限制原则采取弹性理解。如GDPR在措辞上使用“不能违反约定目的”，这意味着允许处理目的与收集目的不同，但二者需要具备相关性［8］。我国《个保法》也采取这一路径，规定“不得进行与处理目的无关的个人信息处理”［38］，即数据处理者后续的处理目的与约定目的无需完全一致，只要有关联即属不违反“目的限制原则”。后续《公共图书馆法》在修订时应与《个保法》第六条保持一致，对读者个人信息的使用限制采取弹性理解。

值得注意的是，判断图书馆信息利用行为是否违背目的限制原则，关键在于判断图书馆与读者约定目的与实际使用目的是否相关。本文认为采取情景化的“隐私风险评估”（Privacy Impact Assessment），结合读者的合理预期与图书馆的规范期待、信息敏感程度、情境传播原则的改变，判断处理目的是否引发了高于约定时数据处理可能产生的具体危险，若产生了具体危险，则处理目的与约定目的二者存在背离，信息处理者违背了“目的限制原则”，否则属于“合理使用”。

以县级公共图书馆将收集的读者个人信息汇集至本省省级图书馆进行读者行为分析为例。首先，根据《公共图书馆法》第三条［37］，公共图书馆属于承担公共文化服务的公益性组织，不以营利为目的，这一角色决定了省级公共图书馆缺乏滥用公民个人信息的内在动机，因此将读者个人信息交予省级公共图书馆进行处理不会升高风险。其次，省级公共图书馆拥有县级公共图书馆难以比拟的个人信息处理技术优势，将读者个人信息交予省级公共图书馆进行处理甚至会降低风险。最后，尽管我国公共图书馆在性质上属于事业单位，不同公共图书馆之间不存在隶属关系，但在功能层面，省市县三级公共图书馆早已实现馆际读者证、技术、馆藏互通，这意味着读者一馆办卡即可享受省市县所有公共图书馆的服务，故而省市县公共图书馆间的读者个人信息的情境传播原则理应适用无须征得同意的豁免原则。结合以上三点可以判断，虽然县级公共图书馆将收集到的读者个人信息统一交予省级公共图书馆，并进行读者行为分析的行为超过了同读者的约定目的，但由于这一行为不存在升高风险可能，因此信息处理者并未违反“目的限制原则”。

［注释］

①当前我国已经出现这种现象：例如，既有私法确权路径被认为“在保护信息主体权利的同时阻碍信息的自由流通”，而在反驳的过程中，又出现了锚定于个人信息社会性，要求信息自由流通、社会控制的公法保护路径，而该路径又被认为“是以牺牲信息主体的权利为代价来确保绝对的信息自由流通”。

②需要特别指出的是，“隐秘信息”与“敏感个人信息”二者同一。张新宝教授认为，“敏感个人信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息。”