梅傲罗迪

（1.西南政法大学国际法学院 重庆 401120）

在信息技术革命浪潮的影响之下，互联网络平台成为人们当下生活获取信息资源的主流形式，数字资源成为保存人类文明成果的重要内容，数字图书馆的建设也将成为大数据时代公共文化服务体系发展的必然趋势。由于数字图书馆业务活动中囊括的信息是由数据表达出的内容，“数据”自然就成为了整个图书馆产业变革的核心，而用户是其开展各项业务活动的轴心。在新兴科技的智能支持下，图书馆为用户量身打造的个性化精准服务应运而生。监控、传感及移动设备、社交平台、智能终端以及无线射频识别技术等被有效运用于追踪采集和整合用户的浏览信息与借阅记录，从而实现对用户阅读偏好、行为习惯和服务需求进行深度挖掘与分析的目的。用户自身的个人信息及其他关联数据无一例外会参与整个信息采集与整合的过程。然而，科学技术在支持图书馆迭代升级的同时，也给其智能运营带来了相应的阻碍。用户数据囿于技术层面固有的风险，有遭遇篡改、丢失、损坏、盗取与泄露之虞。图书馆作为用户数据控制者，如何对其进行保护，又应该保护到何种程度，是它必须正视的问题。因此，本文将从用户数据面临的固有技术风险出发，在对其进行分类总结的基础上，结合数据特征对各种风险行为的特点与法律后果加以阐释，挖掘与图书馆用户数据存在直接联系的风险行为主体，进而论述各方主体与图书馆间的义务构成与责任分配问题，力求从现行法律框架中探寻合理的防范思路，以期助力于数字图书馆用户数据保护之路地构建。

1 图书馆用户数据的风险识别：数据属性与行为类型的分析

图书馆用户数据因为身处开放复杂的网络环境而不得不面对纷纭的系统漏洞和木马病毒，其在得不到有效而及时的监测保护时，自然就会面临安全威胁。因此，近年来不乏对用户数据面临的风险进行识别和防范的研究。而如若站在法律的角度来思考用户数据的保护问题时，应当先对数据属性进行界定，再来谈论风险识别和防护问题。

1.1 数据属性界定

社会向大数据时代跃进的同时，也带来了信息的数据化。原有社会的治理框架和秩序，因为数据这一新兴元素的加入而有待调整。对因数据引发的法律问题进行研究，既要聚焦于其性质与特点的剖析，又要回归到传统“权利-救济”结构的思考，判断其背后利益是否具有独立性，以此厘清数据权利与数据法益的争论。

1.1.1 数据权利与数据法益的探讨

就数据而言，学者们对于是否要将其作为权利予以保护尚且众说纷纭。权利乃享受特定利益的法律之力。与之相对立的建议是将数据作为法益进行保护。法益是能够符合立法者预期，客观上能够受到侵害并获得有效救济的利益。数据作为智能时代的热点话题，其背后代表着民众的个人利益、企业的战略利益和国家的主权利益。从这一点出发，数据背后不仅代表着利益，且这些利益具有独立性。加上数据的确定性和价值量是真实存在的，其在客观上有被侵害之可能，有被救济之必要。尽管从涵义上来看，将数据作为法益或是权利进行保护都是可以的，但要回归我国法律救济之现实，权利保护的框架更为完善与全面。因此，将数据作为权利，以法律之力进行保护，并探讨其侵害问题更为适当。

1.1.2 数据特点与性质的聚焦剖析

客体作为权利的必备要素，是界定权利的必要工具。作为权利客体的数据是对事实、活动状态等的数字化记录，通常以比特、图形或其他符号作为表现形式。而这些媒介形式与数据本身，无论是从观念上还是从制度上，都能实现分离，因此，数据具有独立性。加之数据并不需要具体的物质载体，并存在于人身之外，在形式上还具有无体性。以信息技术作为依托的数据不仅具有可传输性，还基于价值创造与实现的目的而具有共享性。对于尚未进入传输环节而仅仅只是被作为资源收集起来的数据，其还具有原始性特征。基于以上特点，数据与具备有体性、排他性的典型物权客体之物相区别，又有别于具有独创性、期限性的知识产权客体之智力成果。因此，数据本身是具有确定内容、独立存在且因包含个人信息而具有经济利益或涉及人格利益的新兴权利客体。

1.2 风险行为分析

2020年11月3日，英国信息专员办公室（Information Commissioner’s Office，ICO）发布声明表示，万豪酒店因未能保护客户数据安全，对其处以1.6亿元人民币的罚款。经过调查可知，本次事件是源于万豪酒店2014年遭受的网络攻击所留下的系统安全漏洞，直接造成近3亿客人个人信息的泄露。物联网计算的交互式运算环境给个人和环境带来前所未有的隐私威胁，这种威胁的直接成因是搭建网络空间的信息技术本身存在的漏洞与缺陷。由于这些漏洞与缺陷及其衍生出来的事物都不能被简单定义和类型化，如果要对其进行逐个研究，既无法穷尽也无法预见。因此，解决风险的合理思路是对造成风险的主要行为类型进行分析。

1.2.1 风险行为的界分：从技术到法律

数字图书馆对用户数据的技术处理主要是在数据流通的四个环节中实施的，即搜集、分析、传输和存储。在这些过程中，用户数据遭受的最终风险损害结果的表现形式主要是用户数据丢失，被破坏、修改、窃取和泄露。与之相对应的风险行为即是删除、损坏、修改、窃取和泄露。基于数据可共享性与可传输性的特点，除了用户数据归属主体之外，其他平台需要获得用户个人的授权才能使用、控制和处理数据。因此，不满足此条件的行为就必然会对用户数据造成损害，但不同行为的背后逻辑都各不相同，故有必要逐一对其进行分析。

其一，损坏用户数据，主要是对用户数据的完整性造成损害。基于数据的可复制性，不同的损坏行为所造成的损失程度也各不相同。以损害结果能否修复为区分标准，损坏可以分为永久性损坏和修复性损坏。很明显，前者给合法数据运营者带来的成本代价会更大。以损坏行为的对象为区分标准，损坏可以分为对备份数据的损坏和对原始数据的损坏。前者造成的是修复和再次备份的成本，而后者不仅有基础成本的付出，还有数据面临永久损坏，不可使用的风险；其二，修改用户数据，主要是对内容做有意识的调整，其最终损害的是用户数据的真实性，因这一特点而与损坏行为有所区别；其三，窃取用户数据，该行为实质上是无法定使用权能或控制权能的人利用技术、人事便利等获得数据的使用权能或控制权能。它打破了数据运行的规则，并对数据所有者造成侵扰；其四，泄露用户数据。此行为是使不特定人有获取数据使用权能或控制权能的可能性；最后，删除用户数据。该行为可以是原本拥有法定使用权能或控制权能的人，在对用户数据进行常规处理的过程中导致其灭失，也可以是原本不享有任何权能的人通过不法手段接触数据并造成其灭失的结果。

1.2.2 侵权行为的认定：从风险到侵害

上述风险行为是否进一步构成法律意义上的侵权行为，需要从一般侵权的认定因素即过错（故意或过失）、侵害行为、损害和因果关系这四个方面进行分析。

首先，侵害行为即行为的不法性，主要是判断行为是否处于不合法的状态。个人信息的侵权判定原则上要进行利益衡量。对数据侵权的认定也可以参照这一规则。当数据主体的利益大于风险行为主体对数据操作所具有的利益时，此种操作行为便构成对数据的不法或不当处理，即应当被禁止。由于数据本身兼具财产属性和人格属性，其蕴含的价值量不言而喻。前述诸如损坏、修改、窃取、泄露和删除行为，都是行为主体基于私利而给他人施加的额外负担。这其中不存在利益衡量和倾斜保护的问题，而是风险行为主体单方面附加的不利影响。

其次，过错的实质内涵是“能预见损害之发生、能避免损害之发生、未避免损害之发生”。对于风险行为主体而言，如若是故意实施上述典型行为，其当然属于“能预见、能避免而未避免”之状态。如若其系过失行为，基于数据存储的保密性，并非所有处于正常社会秩序的人都能够有机会接触到用户数据，因此本身能够有接触之可能性的人，都对用户数据的安全负有一定的注意义务。

最后，就因果关系而言，在图书馆用户数据损害之情形下，只要风险行为主体做出了如上侵害行为，其必然与产生的损害结果之间存在一定的因果关系，至于实践中如何去界定与证明则是另外的问题。因此，前述五类典型的风险行为，均是现有法律框架中的侵权行为。

尽管以上用户数据面临风险的技术成因是大数据行业领域的共性，但实施此类风险行为的主体与图书馆之间却存在特定联系。对风险行为的类型化探讨和侵权行为的认定都是引出图书馆关联主体责任义务的前提，并最终实现在权利-义务-责任-防范的有限框架内厘清图书馆应有举措的目标。

2 图书馆与风险行为主体之关系厘清：义务释明与责任分配的探讨

大数据时代孕育起来的数字图书馆，本身就不是信息的孤岛，其构建与发展取决于数据资源的开放与共享，同时也有赖于多层结构的协调与合力。数字图书馆不仅会与帮助其立足于网络生态环境的云服务器运营商发生联系，也会因人力架构的需要而与图书馆员形成天然的运营体系，还会与觊觎数据价值的外部攻击者产生关联。因此，以上三方关联主体都有可能成为侵害数据安全的风险行为者，并由此产生用户数据的侵权之争。图书馆是否应当承担侵害用户数据利益的责任，则取决于其与各个风险行为主体之间的义务关系。

2.1 图书馆义务释明

2.1.1 外部攻击者：明确外界侵扰

在数字经济时代，数据已经成为了重要的生产要素和战略资源，其蕴含的价值量也在呈指数型增长，尤其是背后隐藏着巨大商业利益的用户数据更是诸多不法分子攻击的目标。利用公共通讯网络进入存储用户数据主系统的黑帽黑客，可以实施损坏、修改、窃取、泄露和删除等侵害行为。当用户数据切实遭遇了这些侵害，作为数据收集者的数字图书馆是否负有相应的责任，则需要根据对图书馆和外部攻击者间的权利义务关系分析的结果来判定。权利是某人针对他人的强制性的请求，而义务则与此相对应。从此种概念界定出发，仅仅针对用户而言，外部攻击者实施侵害行为之后，当然会与用户产生侵权法律关系，而与图书馆间却没有直接的权利义务关系。但这并不意味着图书馆不需要对用户的损害承担相应的责任，具体情况需要在责任分配的阶段加以探讨。

2.1.2 云服务器运营商：厘清共享风险

在经济全球化和信息交融化的影响下，与数字图书馆建设与发展最密切相关的就是与之实现互利共赢的云服务器供应商。图书馆应用云服务是提升读者与馆员的服务体验感，而云服务器运营商则是为了实现与外界资源共享、促进数据资源整合和打破信息孤岛效应之目的。显然，用户数据在这个过程中会同步传输到云服务器供应商的后台数据库中，这也为其接触用户数据提供了机会。客观来说，云服务器运营商可以实施窃取、泄露和删除行为。由于云服务器运营商能共享数据的根本原因在于与图书馆间签订的云服务协议，二者之间存在合同关系，图书馆在合同中应当对共享数据的保密性做出要求。加之用户并不具备与云服务提供者平等协商谈判的可能，在此情形下，其话语权寄托到了该服务协议之上。因此，当损害发生时，无论实践情形如何，都需要根据二者之间的合同关系对填补用户损害的责任分担进行分析。

2.1.3 图书馆馆员：明晰内部失范

在法律层面上，图书馆确实是用户数据的收集者和控制者，但其作为一个公共文化服务机构，在现实层面上的确不具有直接对数据进行处理和操作的能力。作为管理者的图书馆，需要借助自然人的现实能力对数据进行基础的维护和操作，获得特殊授权的图书馆员也因此有针对用户数据实施以上五类侵害行为的机会。图书馆在雇佣馆员进行技术处理之时，二者之间基于劳务合同而产生了相应的权利义务关系，图书馆遂有义务对馆员的行为予以管理和监督。因此，一旦发生馆员利用职务便利侵害用户数据的情形，图书馆即应当对用户权益的救济承担责任。

2.2 图书馆责任分配

法谚有云：无救济则无权利。权利的主张与实现离不开救济路径的建立与落实。侵权责任法与生俱来就是保护任何人来自任何他人的权益侵害的法律规范,其主要功能在于对损害进行填补，也就是将受害人恢复到损害未发生时的应然状态。对用户数据实施侵害行为的各主体当然会受到侵权法的规范。而作为用户数据收集者的图书馆是否尽到了法律规定的保护义务，其与侵害主体之间是否存在责任分配的问题，则需要逐一进行分析。

让他们没料到的是，半个多月后的9月17日，森林公安却再次将林运娘送往看守所，而这次看守所却收监了。此时，十天的上诉时限已过，对林运娘一家来说，局面顿时变得很被动。对此，林运娘家人颇有意见。

2.2.1 外部攻击者

《个人信息保护法》（草案）第9条确定了个人信息收集者需要通过采取必要措施来承担个人信息安全责任的要求，但由于外部攻击者的行为通常极具技术性和隐秘性，如果要求图书馆对其有意进行的所有攻击行为都要防范到位，既不具有实践上的可行性，也不符合理论上的义务相当性。因此，图书馆仅在未采取必要措施的情形下，才会受到法律的规制并承担相应的责任。这其中最关键的因素在于如何界定“必要措施”。由于技术发展的日新月异，立法者不可能预见大数据时代所有会发生的非法行为，因此，对于“必要”的认定标准也不宜过于机械，而是应以体现立法目的之原则性规定为主，以指引实践之列举式说明为辅。就前者来说，图书馆应当采用符合市面上通常防范标准的软硬件设备并配以相应的管理措施。就后者来说，即可从设备更新的程度、技术监测的频率以及人员配置的数量和专业性等加以体现。然而，立法总是滞后的。数据权利与侵权救济并未在法律中得到明确规定。因此，对于图书馆尚未履行对用户数据进行必要措施保护之义务时，其责任承担可回归侵权法损害填补的思想，即在用户因此遭受的损失范围内承担适当的排除妨碍、损害赔偿的责任。

2.2.2 云服务器运营商

云服务器运营商在可直接接触用户数据的情况下，无论是由其主动实施侵害行为，还是网络攻击或图书馆自身应用操作不当，都可以对用户数据造成现实的损害结果。由于图书馆与云服务器运营商之间是单独的合同关系，当运营商主动实施损坏、修改、窃取和泄露等一系列侵害用户数据权益的行为时，图书馆并不直接参与到运营商与用户个人的侵权关系中。但云服务协议作为图书馆与云服务器运营商之间有效沟通和问题解决的契约，却可以起到事先约定义务和事后分配救济的作用。这就说明图书馆在与运营商签订服务协议时，不仅可以提前约定运营商对确保图书馆信息资源完整性、保密性和可用性的义务，还可以约定运营商在出现义务违反情形时，其所应承担的责任。当图书馆自身存在影响云服务提供的数据使用行为时，运营商有通知提醒之义务。图书馆仅对其罔顾运营商提醒事项时实施的不利行为承担独立责任。其余事项则都可以借助协议提前约定。

2.2.3 图书馆馆员

由于图书馆与馆员之间存在着劳务关系，因此馆员在执行工作任务的过程中造成用户数据损害的，图书馆即需要对用户的损失承担侵权责任。如果是馆员故意为之，图书馆可以事后向其进行追责。然而实务中却并不缺少员工在执行工作任务之外的侵权行为。2020年11月16日，圆通员工将其系统账号有偿租借给不法分子，进而造成40万条个人信息泄露的新闻席卷社交平台。尽管以上行为并不是由员工直接实施的，但从本质上来说，仍然是一种泄露行为，能使其他人无法律上正当理由而获得数据的使用，且有继续扩大之风险。此种非执行工作任务所造成的侵害行为，不能当然地归责于图书馆，仅在图书馆的确无法证明其尽到了应有的监管审查义务，图书馆才在用户遭受损害的范围内承担相应的责任。

3 用户数据风险防范的应对策略：现行法律与未来制度的对话

在信息技术不断发展的背景下，数字图书馆面临的核心问题是数据安全。各个可能与图书馆产生特定联系的主体都有对用户数据实施侵害行为的风险。数字图书馆此时的发展命题便更替为如何做到规范与共担风险。显然，法律规则和法律体系必然要应用到科技前沿领域来回应其带来的风险与挑战。数字图书馆风险防范的眼光要在现行法律框架中来回穿梭，寻求可掘之处与合理路径。

3.1 现有法律框架的考量

3.1.1 细化“必要措施”

从当前法律发展的程度来看，给诸如图书馆之类的信息、数据处理者附加的义务主要见之于《民法典》111条的原则性规定，即“依法取得并确保信息安全”，以及《个人信息保护法》（草案）第9条的规定，即“采取必要措施保障所处理的个人信息的安全”。这些规定都体现了立法者对个人信息的关注，也是其对图书馆在数字化进程中拟定用户数据保障措施的提醒。但仅仅只是这样的原则规定并不足以指引图书馆等数据信息处理者避免陷入与外部攻击者的责任纠扯中。在日常运营中对“必要措施”予以细化规定并执行到位是图书馆当前可以把握的规范方向，具体可以考虑以下几个方面。首先，采用市场上通行的软硬件设备，做好基础设施保障；其次，提升设备更新与技术监测频率，增强识别风险与反应解决的能力，降低外部干扰的影响；再次，配置相当数量的专业全岗人员，为前述措施的顺利执行提供人力支持与保障；最后，采取相应的管理措施，对图书馆正常运营过程中采取了“必要措施”做留痕备案处理。

3.1.2 预设服务协议

得益于契约自由的基础思想与开放包容的市场环境，图书馆与云服务器运营商可以通过先前的服务协议就数据共享、保护与责任分担问题达成合意，以尽可能规避潜在的风险。首先，明确云服务器运营商的数据保密义务。图书馆不仅自身需要采取必要措施保障数据安全，也同样要以此义务约束受益于数据共享的运营商，让其采取一切必要的物理、技术、管理和程序措施以确保数据的保密性，同时要提前约定其在合作期内做到持续维护与适当的预案调整；其次，约定云服务器运营商的风险通知义务。主要是对图书馆的不当数据处理行为以及外部干扰行为做及时且适当的提醒；最后，约束其授权第三方收集数据的资格。部分运营商会通过第三方平台去收集用户数据，这给数据安全带来了不确定性。因此，图书馆可以事先与运营商确定对第三方的审查程序。主要是授权前的资格审查，操作中的安全识别与身份认定。

3.1.3 规制馆员行为

无论馆员是基于执行工作任务的过错，还是私利驱使的侵害行为，对于图书馆来说，都需要对其采取相应的监管规制措施。《民法典》第1191条为图书馆与馆员间的侵权责任分担提供了参考依据。一方面，做好事前的安全性与保密性工作，限定馆员的权限与资格。图书馆应当注重馆员分级权限制度的构建，选聘拥有优秀专业知识的人员进行高等级数据处理操作。避免因人员理论知识与实务能力的匮乏造成低级的数据损失。而且在与馆员签订合同并授予其数据管理权限时，应当同时写明其应当履行的安全保障义务和责任承担问题。对于在执行工作任务中的故意或重大过失造成的损害，图书馆员需要承担责任，对于其出于私利自行的侵害行为，则需要担负全责；另一方面，做好日常的账号管理与考核监督。将图书馆员的工作状态，尤其是操作过失情况计入馆员个人考核，既可以起到激励机制的作用，又可以对所有数据受损情形做出统计，便于后续复盘与管理调整。而重视对图书馆员的账号管理问题也是日常易被忽视的规范方法。对有权限处理数据的馆员，可以考虑采取人脸识别技术进行身份核验，在内网设置账号登录系统，排除图书馆员对数据的非工作时间与地点的接触可能性。

3.2 未来法律制度的展望

尽管在现有法律框架的指引下，数字图书馆可以明晰解决其当前风险困境的防范，但仍然可以对后续立法上的突破抱有期待，为数字图书馆的风险防范提供直接的依据，助力其防范之路的构建。

3.2.1 界分数据侵权

侵权行为本身有作为与不作为之分，从《民法典》111条可以得出图书馆也有确保数据安全的义务，对该义务的违反遂产生不作为的侵权责任。虽然当前立法中并没有明确指向的规定，但我们仍然可以从现有法律关系的侵权调整规范中找寻到立法方向。

纵观现有法律，图书馆等数据收集者负有的数据安全保障义务与《民法典》第1198条最为相似。一方面，责任主体范围的界定存在共通之处。《民法典》第1198条第1款中的主体为“宾馆、商场等经营场所、公共场所的经营者、管理者或群众性活动的组织者”。数字图书馆本质上是在网络空间中提供公共文化服务，其运营场所只是人们现实生活空间在网络世界的延伸，虽然图书馆较之于上述具有商业性质的场所而言，通常具有公益性，但由于用户接受数字图书馆的文化服务时，其自身数据也进入了整个产业数据链的流转之中。综上，数字图书馆也是公共场所的经营者与管理者；另一方面，安全保障义务的违反判定存在相似之处。就《民法典》1198条第1款来说，判定安全保障义务人是否违反安全保障义务，需要思忖其是否达到法律规定、合同约定、行业惯例等所要求的注意程度，或者是否达到一个善良管理人应当达到的注意程度。这与图书馆等数据收集者之“必要措施”规定的内涵要求实则共通。且《民法典》1198条第2款的第三人侵权之规定，也可以为数字图书馆的应用场景提供立法思路，即外部黑客攻击者与图书馆馆员非因执行工作任务之损害，均可以此为规范思路。如同人工智能时代法律制度的设计必须要考虑风险社会的现实，并兼容一定程度的不确定性一样，有关数据侵权之未来立法也需要留有一定空间，进而根据时代的发展做出回应与调整。

3.2.2 确定数据产权

数据法律规范的发展滞后于数据产业，有关用户数据安全的争议焦点即“数据”之产权利益尚未进入完整的法律规范体系内。《民法典》第127条只是将数据初步纳入民法视野，如何科学系统地设计数据法律规范以促进数据的保护、流通与共享还并无定论，图书馆等数字产业无法面对后续发展所带来的多变危机。数据权利化是寻求大数据开发与内含隐私的用户数据保护之间的有机平衡与协调的现实所需。具体的立法路径可以考虑以下几个方面：一是明确数据权利的法律地位。这既能为用户数据的保障带来新的生机与思路，又能为数据交易、转让制度奠定基础，并为整个大数据市场秩序的构建助力；二是保护用户数据，需要从“隐私权保护”的框架中跳脱出来，着眼于更多的数据权利主体，最为关键的就是确保数字图书馆等数据产业主体在对由用户等产生的原始数据进行处理的过程中所衍生出的产业数据权利。将图书馆纳入数据权利体系之中，更能从全方位保障其所有利益，更符合大数据产业挖掘核心利益与持久发展的要求。

3.2.3 规范隐私措施

对用户数据的隐私保护是图书馆核心价值的体现。在大数据产业蓬勃发展的潮流之下，以用户服务为关键导向的图书馆不仅要做数据风险的防控者，还要做数据利用的主体，积极参与到保护用户数据的事业当中。概言之，图书馆要强化自身的责任意识。具体而言，需要做到以下两点：一方面，重视隐私声明的作用，完善隐私保护条款的拟定。美国国会图书馆官方政策制定了保护用户隐私的具体规则，有关个人信息保护的内容占整体法律声明三分之二的篇幅。同时，美国《图书馆权利法案》于2019年进行了一次重大的修改，其新增条款指出：“所有人，不论出身、年龄、背景或观点如何，都平等地享有隐私权。图书馆应该倡导、教育和保护人们的隐私，保护所有图书馆使用数据，包括个人身份信息。”该条款赋予了图书馆保护隐私之主体责任，同时成为了美国图书馆对于各个年龄段之隐私权保护的正式声明。ALA法案修订的意图体现了图书馆界对于隐私权保护的关注与重视。这充分说明了图书馆网站设定用户隐私保护条款的重要性。然而，我国目前大多数图书馆网站都未制定或细化专门的隐私条款。因此，图书馆可以从明示数据收集使用目的、信息披露条件和安全保障措施等方面制定或完善网站隐私声明，并在用户注册登录页面明示隐私声明链接，保障其阅读审验的便利，以此履行充分明确的告知义务；另一方面，建立图书馆隐私保护小组。既要监督图书馆相关工作人员严格按照隐私声明的内容对数据予以合目的、合流程的处理，还要注重对馆内工作人员隐私保护意识和数据安全操作的双向培训，真正实现图书馆用户隐私保护措施的全方面规范，达致智慧化、人性化的现代服务。

4 结语

大数据在为图书馆带去智能模式与创新道路的同时，也极大改变与重塑了人们的文化生活。日新月异的信息技术是数字图书馆构建发展的最佳助力，同时也是用户数据安全风险的主要归因。在数字经济时代因造福普罗大众而迎来一片欢呼声时，其孕育促进的图书馆数字产业要想探索一条持续健康发展的应有之道，还需要从多个方面做出努力，从内而外多维度化解大数据开发利用之风险。图书馆既要有所思：提升忧患意识，保有对规则、用户的敬畏之心；还要有所为：采取必要措施扫清外部侵扰，预设服务协议厘清共享风险，规制馆员行为明晰内部失范；更要有所愿：期待未来法律制度回应数据侵权界分与数据权利确定之命题。如是，数字图书馆才能直面风险挑战，抓住时代机遇，实现价值俱增。