图书馆读者信息刑法保护范式的困境与优化

李 想

（中南财经政法大学 刑事司法学院，湖北 武汉 430073）

1 引言

大数据技术在图书馆的应用包括对读者信息（读者信息为读者个人信息、借阅信息和隐私信息的上位概念）的收集、存储、挖掘、传输和利用等，其中的每个环节都极易导致读者信息的泄露，进而不当侵害读者的合法利益。尽管诸多国家与国际组织承诺保护读者信息，并采取各种方法应对数字环境下读者信息面临的挑战，但依旧难以完全扭转读者信息被侵犯的困局［1］。我国整体法秩序对读者信息实行一体化保护。《公共图书馆法》第 43条和第50条第2款禁止非法向他人提供关于读者的各类信息，否则将依梯度追究法律责任［2］。刑法作为其他法的“保障法”，对于读者信息保护的重要性不言而喻。但现阶段刑事司法实务对侵犯读者信息行为不区分读者信息类型而笼统地适用同一罪名与刑罚，如此有违罪刑法定与罪刑均衡之顶层设计的嫌疑。如图书馆技术服务部负责系统管理的员工张某将8万余条读者信息无偿提供给春藤教育培训机构的法定代表人赵某。审理法院认为张某的行为构成侵犯公民个人信息罪，判处有期徒刑三年，缓刑四年，并处罚金人民币5000元［3］。法益的甄别对于读者信息之保护尤为重要，该案中的8万余条读者信息可能囊括读者个人信息、借阅信息和隐私信息，不同读者信息的法益属性不同，而审理法院对此却置若罔闻。基于这一问题意识，本文旨在澄清各种读者信息的规范内涵与相互关系的基础上，探求不同读者信息背后蕴含的法益根基，继而确立与之相对的刑法保护范式，以期实现罪刑法定与罪刑均衡。

2 读者信息之概念解读及其法益识别

法益是确立读者信息刑法保护范式的关键依托，指引、检验、批判着读者信息刑法保护体系的构建［4］。然而，关于各种读者信息的内涵及其相互关系目前学界尚未形成清晰且统一的认识。如有学者认为，读者个人信息为直接定位读者的信息，而读者借阅信息与读者隐私信息则是间接甄别读者的信息［5］。有学者认为，读者个人信息和读者隐私信息的内涵大相径庭，读者借阅信息应归进读者个人信息的领域［6］。根据语言理论，不同词语可能意味着不同的东西，而一个名词就是一个人或一件事，而不是其他的［7］。可见，在识别读者信息背后蕴含的法益前，首要任务是澄清各种读者信息的具体内涵及其相互关系。

2.1 读者信息之概念解读

2.1.1 读者个人信息的界定

读者个人信息是依据信息主体对个人信息进行的划分。然而，我国不同的法律规范对个人信息的界定并不一致。具体来说，相对《关于依法惩处侵害公民个人信息犯罪活动的通知》（下称《通知》）第2 条，《网络安全法》第76 条对个人信息的界定未提及“涉及公民个人隐私的信息、数据资料”。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）第1条没有延续《网络安全法》的逻辑构建个人信息的内涵，而是对其予以较大拓展。详言之，在个人身份信息之外，只要反映具体个人的活动情况，就应当认定为个人信息。而《解释》对个人信息的界定比《通知》显得更加宽博，因为即便与私密性无关的信息同样可以成为《解释》规定的个人信息。早期的《通知》和《网络安全法》将个人信息限定为个人身份信息，如此界定恐会造成对行踪信息、cookie等诸多信息的保护力有不逮，难以应因大数据时代个人信息的保护需求。因此，《民法典》和《个人信息保护法》第4 条对个人信息的定义相对《通知》和《网络安全法》来说更具合理性。刑法上个人信息的定义虽与《民法典》第1034 条与《个人信息保护法》略微不同，但这不意味着刑法中的个人信息可以剔除可识别性要素。因为不同部门法的规范目的不同，以致概念使用上殊异是正常的现象。

读者个人信息是个人信息的子项，对读者个人信息的界定当然要遵照法律规范为个人信息设置的认定规则。从整体法秩序视角来看，读者个人信息的构成兼具实体与形体两个要素。一方面，可识别性是读者个人信息的实体构成要素。可识别性是指通过单一信息或者引用其他标识符即可直接或者间接知晓信息主体［8］。各个法律规范对于个人信息的界定都要求具有可识别性要素，显然具有可识别性与否对于读者个人信息的界定不可或缺。另一方面，读者个人信息的形体要素对于读者个人信息的界定至关重要。《网络安全法》《解释》《民法典》和《个人信息保护法》均要求个人信息以电子或者其他方式记录下来；反过来说，如果信息没有以此种形式记录下来，即使具有可识别性也不属于个人信息，进而难以取得相应的法律地位。据此，“以电子或者其他方式记录”是个人信息的形体要素。尽管《通知》没有强调个人信息的形体要素，但相对于其他规范而言，其效力位阶居次。因此，形式要素仍然是构成个人信息不可遗漏的要素。综上，读者个人信息是指可以识别特定读者，且以电子或其他方式记录的与读者相关的各种信息。

2.1.2 读者隐私信息的鉴定

读者隐私信息是依托图书馆数字化环境提炼出来的一种信息，其构成需要同时兼具个人信息的可识别性与隐私的私密性。因此读者隐私信息是指那些具有可识别性，读者不愿意被他人知悉的个人信息，比如读者的婚姻状况、行踪轨迹、家庭住址、生物识别信息、违法记录、个人嗜好，等等。对于读者隐私信息的具体判定仍需要从如下三个方面把握。

第一，读者隐私信息是读者不愿为他人知悉的信息。学者们基本上都是从个人的主观价值来理解信息隐私。如Margaret Ann Irving 认为，信息隐私——“单独的权利”［9］，即控制自己的信息，防止未经同意取得个人信息的权利。不同的读者对信息私密性的感受不同，某类信息对某位读者而言属于隐私，但对其他读者不一定私密，因此读者隐私信息的私密性特征需要由读者个人确定。

第二，读者隐私信息相对读者个人信息来说私人属性更为浓烈，原则上不触及公共利益。“信息的控制与隐瞒”［10］仅是隐私的工具性价值之一，其还具有其他重要的非工具性价值，而最重要的非工具性价值就是独立人格与人格尊严［11］。由此，每个人负有义务尊重读者的隐私信息，而且通常情况下对读者隐私信息图书馆没有合理使用的场景。除非读者隐私信息的使用牵连重大公共利益，此时能够基于重大公共利益的理由钳制个人权利的行使。

第三，读者隐私信息仅仅关乎读者个人信息的私密性检验，与读者个人信息的合法性无关。读者隐私信息的私密性仅指描述隐私信息的主观样态，只要符合私密性特征即可，纵使该信息本身具有违反法律或社会道德的内容，对读者隐私信息的成立都无伤大雅。

2.1.3 读者借阅信息的判定

读者借阅信息是读者实施借阅行为时，或者接受图书馆服务过程中，以电子形式或其他功能载体记录下来的各种与读者相关的信息，比如读者的IP 登录地址、平台登录账号与密码、图书检索记录、阅读记录及偏好，等等。有学者认为，读者借阅信息与其他信息结合可以间接识别到特定读者，因而完全可以将读者借阅信息归进读者个人信息的范畴［12］。毋庸讳言，综合分析读者阅读行为数据、读者校园设施使用数据与读者社交数据，获取与读者相关的个人信息，甚至是时间安排、行动轨迹等个人敏感信息，如探囊取物般容易。读者的检索记录、浏览记录是一种数据痕迹，而数据痕迹则是一种行为痕迹。一段时间内累积到一定程度的数字行为，可以组成并描绘出与实际人格相像的数字人格［13］。由于读者借阅信息中的检索记录、浏览记录等数据痕迹能够识别特定读者，折射读者的人格，故应视为读者个人信息。然而，并非所有的读者借阅信息均具有可识别性，都可以反映读者的人格。

虽然某些读者借阅信息开始来源于读者，且其可能指向特定读者，但经过图书馆的深度加工和匿名化处理后，信息的可识别性便会消失殆尽，难以与特定读者发生客观联系。值得一提的是，数据分析技术飞速发展，当前的匿名化不代表永久的匿名化。对新兴技术的运用或者技术环境与应用场景的变化，导致匿名化的借阅信息能够再识别到具体读者，这种情况下应当重新调整为读者个人信息。据此，本文认为可以依据信息是否具有可识别性，将读者借阅信息区分为可识别型读者借阅信息和不可识别型读者借阅信息。具有可识别性的可识别型读者借阅信息应放置于读者个人信息的“辖区”，假若其中涉及读者的隐私则属于读者隐私信息；而不可识别型读者借阅信息因不具有可识别性且掺杂图书馆的大量劳动成果，在此视为图书馆享有的数据。

综上，读者隐私信息是指那些具有可识别性，读者不愿被他人知悉的个人信息。读者个人信息是指可以识别特定读者，且以电子或其他方式记录的与读者相关的各种信息。由此可知，读者隐私信息内含于读者个人信息当中；读者借阅信息如果具有可识别性则属于读者个人信息，如果该可识别型读者借阅信息涉及读者的隐私，即属于读者隐私信息；不可识别型借阅信息应视为图书馆控制的数据。

2.2 读者信息之法益识别

忽视各种读者信息的法益原色构建起来的刑法保护体系只能是空中楼阁，唯有释明各种读者信息的法益内容，才能知道路该走向何方。读者隐私信息蕴含的法益为隐私权，理论与实践对此已形成基本共识。但对读者个人信息与不可识别型借阅信息的法益指向，当前学界争议巨大。因而该部分主要探讨读者个人信息和不可识别型借阅信息的法益内容。

2.2.1 读者个人信息的法益为个人信息权

读者个人信息是个人信息依信息主体不同而划分的一种信息类型，如何界定个人信息的法益，有学者归纳出五种具有代表性的观点，即基本人权说、隐私权说、新型人格权说、新型民事权利说与公共物品说。笔者认为，个人信息的法益应为个人信息权，其兼具人格权属性和财产权属性，而且不能割裂个人信息权的公法属性与私法属性。

黑格尔提出的财产是主体自由意志的外在表现的重要论断，为读者个人信息的人格性与财产性认定提供了正当性依据。黑格尔认为，意志不仅是一种可能性、素质、能力，而且是一种实际无限的东西，因为意志的客观外在性就是内在的东西本身［14］。“当我们应用黑格尔关于‘意志’的定义，即概念与定在的统一时，我们得到如下结论：没有外在领域的人不过是一个概念，这个概念通过赋予其自身实在而取得实在性。”［15］可见，黑格尔的抽象世界里，人格（意志）与财产实际上是同一的。运用黑格尔关于外在物和内在物的区分诠释读者个人信息的人格属性与财产属性。一方面，读者个人信息中蕴含着读者的人格利益。读者个人信息由可以直接或者间接识别读者的一系列信息组合形成，伴随读者的出生、成长和发展，与读者联系紧密。虽然其本质上并非内化于读者的内在物，只是一般客体与外在物，但仍体现着读者的人格特征。另一方面，读者可以将自己的自由意志体现在作为外在物的个人信息中，从而主张财产权。具体来说，读者可以自由支配其个人信息，对个人信息的支配是自由意志的外在体现，这与财产支配相仿甚至趋同，且读者个人信息的财产属性会随着社会经济的发展日益凸显［16］。

网络与数据技术深刻影响并改变着社会系统，通过单一的民事、行政或者刑事手段独木难支，需要整个法律系统对读者个人信息的保护做出合理而有效的反应。有学者认为，我国《宪法》第33条与第38条以及《网络安全法》第41条、42条与第43条的规定为个人信息的公法属性提供了规范性基础［17］。这种观点仅倡导个人信息的公法属性，缺陷重大。因为某种权利具有公法属性不代表其就是公法权利。如依照《宪法》第13条，“公民的私有财产权和继承权”是被宪法宣示的要保护对象，具有一定的公法属性，但财产权和继承权无疑是个人性私权利。就法律的位阶而言，《宪法》具有统领性地位，其他部门法的制定与修改是依赖于《宪法》文本本身的内容而形成，从来都处于《宪法》文本之内。依据《宪法》第38 条与第33 条等宣示性条款的指引，《行政法》《刑法》《民法》《个人信息保护法》《网络安全法》等一系列法律规范共同构筑起个人信息的保护藩篱，其中既有公法保护，又有私法保护，因此读者个人信息是兼具公法和私法属性的权益。可见，将《宪法》中既有的基本权利条款作为公法法益的证成缺乏证明上的可信度。

2.2.2 不可识别型借阅信息的法益为数据权

主张“数据具有人格属性与财产属性”［18］的观点实际上混淆了“个人信息”和“数据”两组概念。根据《数据安全法》第3 条对“数据”的定义不难发现，其并没有将可识别性作为数据的构成要素。网络化时代数据是信息的主要表达形式，而信息数据化的根本目的是为解读人类社会的生活全貌，二者是手段与目的的关系。信息数据化，其实就是数据主体对个人信息进行整理、加工、脱敏的过程，成为数据的信息不再具有自然人的人格属性［19］。因此，数据只能是那些与信息主体的人格利益切断联系的匿名化信息。一方面，数据不与特定对象发生联系。虽然目前技术上不能对个人信息的匿名化做出绝对保障，随着个人信息匿名化的手段日臻完善，将其作为数据处理的最低限度要求仍较为合理。易言之，匿名化与否被视为理解数据与个人信息关系的关键。如果行为人经信息主体知情同意，但没有进行匿名化处理，此时行为人仅获得信息的使用权，无法形成数据财产权；只有从他人的隐私中剥离出来，征得信息主体的知情同意或具有其他合法事由，且作匿名化处理的信息，才可能成为数据财产权的客体。另一方面，数据外在于人，承载着加工者、整理者大量的劳动与智慧，当然具有财产属性。大数据时代数据因稀缺性而被诸多企业视若珍宝，作为战略性资源。企业或者个人数据的私有财产属性决定，数据的自由流动具有基础性意义，因而主体可按一定价格将其让与他人。由于需要经过去标识化处理方可利用与转让，此时的数据不再蕴含具体主体的人格利益，仅具有纯粹的财产价值。

3 读者信息刑法保护范式之具体形塑

不同读者信息的法益具有差异性，在此镜鉴“领域理论”将各种读者信息依次划归私密领域、私人领域和社会领域，刑法的约制力度应当与私密性程度呈正向关系，进而以确定分层式的刑法保护范式。

3.1 领域理论的正向镜鉴

德国跟随美国有关隐私权的讨论发展出“领域理论”（Sphärentheorie），该理论依据私密性程度将个人生活领域按照同心圆结构划分为私密领域、私人领域和社会领域［20］。私密领域个人活动的私密性程度最强，一个人可以从根本上自由决定其如何与世界发生联系，即选择积极参与或者退出世界，专注于内在发展。对于私密领域内的内容，属于一般人格权与人的尊严的重合域，具有绝对不可侵害性。私人领域与社会接触中个人活动的社会性高于私密领域，与个人隐私联系较弱，对于私人领域可以基于公共利益和比例原则进行强制干预。社会领域与社会毫无区隔，几乎没有任何个人私密性可言，对这一部分的干预遵循干预一般行为自由的标准即可［21］。由此可见，从社会领域到私人领域，再到私密领域，个人活动的私密性依次递增，社会性逐渐减退，由内向外构建个人生活领域的同心圆模型。

有学者认为，领域理论最大的问题是如何界定领域界线以及与之相关的利益群，如何实现个人性与社会性两者之间的平衡［22］。诚然，人具有动态与静态两种社会属性，仅仅根据人的静态评价很难聚焦动态的个人人格或者片段行为，我们不得不承认不同领域存在不易判断的模糊地带。此外，领域理论的要义正是区别对待个人信息，平衡个人信息的私人性与社会性［17］。各个领域相互影响，个人私密领域的人的尊严可以辐射到私人领域与社会领域，反过来，社会领域的公共利益和社会价值可以向内钳制私人领域，当然这种限制需要遵循比例原则。领域理论主张私密领域不可侵犯，任何公权力不得干预，但只要认为人具有社会属性，就能够基于重大公益反向干预私密领域（社群主义）。虽然个人生活领域的区分只是对个人社会生活的一种逻辑抽象，真实的社会生活并不存在这样一个水平同心圆结构。但是，这种逻辑抽象对于认识和规范人类社会的价值性仍然不容忽视。不同领域的读者信息具有不同的重要性，刑法对不同领域中的读者信息需要采取不同的保护立场。因此，可以借鉴德国的领域理论对读者信息进行领域性保护。而我国司法实践实际上就是采用了领域理论的合理内容。《解释》将个人信息划分为私密性信息、重要性信息和一般性信息，且根据不同类型确立不同的立案标准。不难发现，这三种个人信息的社会性和私密性具有反向关系，可知领域理论已经被我国刑法初步吸收。

3.2 读者信息刑法保护的领域划分

读者信息的法益内容之确定为领域划分奠定了根基，如下笔者将根据领域理论对读者隐私信息、读者个人信息与不可识别型借阅信息进行领域划分，并对各自的保护路径进行具体阐释。具体如图1所示，详述如下：

图1 读者信息分层图

首先，读者隐私信息属于核心层的私密领域。读者对隐私信息异常敏感，一般不愿为他人所知悉，而且此类信息对读者的外在表征反映极其强烈，他人往往因为该信息的敏感性而选择过多关注。读者隐私信息蕴含的隐私权体现着权利主体的自由与尊严，是一种典型的人格权。由于读者隐私信息位于信息之上权利体系的顶端，即核心层的私密领域，故而刑法应当对读者隐私信息实行最为严格的保护。然而，我国现行刑法并没有专门保护隐私权的罪名，对此只能依靠侵犯通信自由罪和侵犯公民个人信息罪等非专门性罪名提供补给。具体来说，未经读者同意，任何人均不得对读者隐私信息进行收集、处理，除非取得读者同意或者基于重大公益，但应符合比例原则。倘若对读者隐私信息的收集、处理超过必要限度，即使读者知情同意，也不能以此作为侵犯公民个人信息行为的正当化事由。

其次，读者个人信息属于中间层的私人领域。读者对这一部分信息尽管会给予关注，但对读者的外在表征反映没有像读者隐私信息那般强烈，而且他人同样会因该信息的敏感性产生兴趣而予以关注。读者个人信息显示出读者的社会属性，以及因读者对该信息的敏感性而具有人格属性。然而，此类信息并非读者不愿为人知晓而刻意掩藏的信息，他人可以征得读者的同意合理利用。此类信息的范围远大于私密性信息，从而决定个人信息权的覆盖面必然宽于隐私权。既有的社会显性样态上，整体法秩序并没有像隐私权一样对个人信息权的保护单一而严格。读者个人信息权虽然具有人格属性与财产属性，但其中的人格属性要低于隐私权反映出来的人格属性。对于侵犯读者个人信息之行为，刑法可以直接适用侵犯公民个人信息罪予以规制。不过，相对于私密领域的读者隐私信息，由于读者个人信息处于中间层的私人领域，此时刑法应当减弱读者个人信息的保护力度。再者，我国现行法律体系采取利益衡量的进路，强调平衡数据经济的保护与社会秩序的控制［23］。在此语景下有必要对读者个人信息进行内部区分，实现读者个人信息的差别化保护。具体来说，基于法益保护的考虑，刑法应当对读者重要个人信息与读者一般个人信息进行分类保护；基于利益衡量的视角，刑法应当放宽读者已公开的个人信息的保护规则。

最后，不可识别型借阅信息属于最外层的社会领域。数据是指无法识别具体信息主体的信息，不可识别型借阅信息因可识别性阙如故被归进数据的范畴。由于不可识别型借阅信息不与具体读者发生联系，此时读者对这种信息漠不关心，无敏感可言，因此其丧失人格属性，仅具有财产价值。此类权利只对数据控制者（图书馆）有意义，不再对读者生发价值。总而言之，不可识别型借阅信息不涉及个人权益而仅具有社会性，数据控制者可以自由转让，其应位于最外层的社会领域。侵犯不可识别型读者借阅信息刑法该如何规制？有学者认为，不可识别型读者借阅信息不能直接识别读者的身份信息，因此对其没有保护的必要［24］。这种观点值得商榷。不可识别型读者借阅信息形成于图书馆系统，或者由图书馆自行深加工而来，图书馆作为不可识别型读者借阅信息的控制者，且实现了数据价值上的提升，其当然对自己的“作品”享有控制和支配的权能。刑法对不可识别型读者借阅信息的保护并不是为了保护读者权益免受不法侵害，而是为了保护图书馆的数据权益，这种保护模式称为转化式保护。侵犯商业秘密罪可以为数据权益提供保护。如果商业数字图书馆对不可识别型读者借阅信息采取了相应的保密措施，即可认定为商业秘密，此时行为人非法获取的，可能构成侵犯商业秘密罪。非法获取计算机信息系统数据罪和破坏计算机信息系统罪均作为保护数据安全的犯罪。当行为人违反国家规定，通过爬虫等技术手段侵入图书馆的信息系统，非法爬取其中的不可识别型读者借阅信息，应当按照非法获取计算机信息系统数据罪定罪处罚。倘若行为人通过技术手段侵入图书馆信息系统，非法获取非识别型借阅信息过程中破坏图书馆计算机信息系统中存储、处理或传输的数据或者应用程序，造成计算机信息系统不能正常运行的，其可能构成破坏计算机信息系统罪。由于一行为侵犯数个法益，此时应与非法获取计算机信息系统数据罪想象竞合，择一重罪处罚。

4 结语

web3.0时代科技与犯罪的迭代共生，刑法规制犯罪必须准确界定犯罪的侵害法益、追责对象与定罪标准［25］。读者隐私信息的法益为隐私权，读者个人信息的法益为个人信息权，不可识别型读者借阅信息的法益为数据权，通过对领域理论的正向吸收，刑法应当对三种迥异的法益类型采取分层式保护。具体来说，侵犯读者隐私信息的行为主要适用侵犯公民个人信息罪与侵犯通信自由罪，并从严制裁；需要对读者个人信息进行内部的再区分，进而实现侵犯读者个人信息行为的刑法差别化保护；不可识别型读者借阅信息的法益为数据权，侵犯不可识别型读者借阅信息行为适用侵犯商业秘密罪、非法获取计算机信息系统数据罪与破坏计算机信息系统罪协同规制，实行转化式制裁。