东 方

（衡阳师范学院图书馆 湖南衡阳 421008）

1 引言

大数据环境下，数据挖掘与利用极大地促进了数字经济的发展和人民生活的便利，但个人信息遭泄露、被盗用现象也较为突出[1-2]。图书馆收集并保存了大量读者的个人信息，在分析、利用过程中隐含着泄露、侵犯个人信息的风险。如何有效保护读者的个人信息、维护读者的人格权，对于图书馆来说显得重要而迫切。放眼国外，美国国会图书馆[3]、英国国家图书馆[4]、日本国立国会图书馆[5]、澳大利亚的高校图书馆[6]等都制定了读者个人信息保护政策和详细细则。然而我国图书馆界保护读者个人信息的意识薄弱，政策法规不够完善。值得欣慰的是，我国关于个人信息保护的正式法律——《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）已于 2021年8月获准通过，并于11月1日起正式实施[7]；这部法律对于保护公民的个人信息、维护公民的合法权益具有重要意义。作为社会文化服务和教育机构的图书馆，对读者个人信息的利用、处理等行为理所当然在《个人信息保护法》的法律规制范围之内。笔者认真研读该法律全文条款，并联系图书馆的实际进行思考：在《个人信息保护法》规制下，我国图书馆读者个人信息保护的法理基础和依据是什么？究竟保护读者的哪些权益？又该如何寻求一条实现读者个人信息保护与个人信息服务利用之间平衡的有效路径？这正是本文的研究主题。

2 图书馆读者个人信息保护的法理分析与思考——以《个人信息保护法》为指引

2.1 我国有关“个人信息保护”立法概况及《个人信息保护法》内容框架

我国学术界一直致力于“个人信息保护”的理论研究和立法探索工作，并取得一定成效。原有的相关法律未对公民的个人信息作明确界定，一般认为包括姓名、性别、年龄等基础信息和受教育水平、家庭情况、婚姻、从事职业等个人状况信息。按照施行时间的先后排列，迄今为止我国关于个人信息保护的法律有四部（不含条例、指南）：《中华人民共和国网络安全法》[8]、《中华人民共和国公共图书馆法》[9]、《中华人民共和国民法典》[10]、《个人信息保护法》[7]。详情如表1、表2所示。

表1 我国有关“个人信息保护”立法概况一览表

表2 我国《个人信息保护法》内容框架一览表

2.2 保护读者个人信息是图书馆应尽的法律义务

《个人信息保护法》第五章“个人信息处理者的义务”、第六章“履行个人信息保护职责的部门”对相关主体部门保护公民个人信息的义务和职责作了详细的规定[7]。《个人信息保护法》为图书馆保护读者个人信息提供了很好的指引和法制保障，保护读者个人信息是图书馆应尽的法律义务。

受《个人信息保护法》的启发，可将图书馆读者个人信息界定为：在整体图书馆范围内，以电子方式或以其他方式记录、并据此识别某特定读者的各类信息。一般来说，图书馆读者个人信息的范围包括个人基础信息、借阅信息、敏感个人信息，这三类信息具有某种关联性，但在实质上存在差别[11]。图书馆为了提升服务层次，推动全民阅读和公共文化服务进程，不可避免地将进行读者个人信息的收集、储存、传输、公开、加工、利用等信息处理活动。图书馆读者个人信息处理面临一定的困境，影响图书馆核心价值的体现[12]。《个人信息保护法》第五十一条明确规定，个人信息处理者应当依据有关目的、方式、影响、安全风险等因素，采取必要措施确保个人信息处理活动依法进行，防止个人信息泄露及被非法篡改等[7]。图书馆对读者个人信息的处理理当遵守《个人信息保护法》的规定，尽义务保护读者个人信息。如：一方面，图书馆要遵照《个人信息保护法》的法律条文规定，主动履行读者个人信息保护义务。图书馆对读者个人信息进行处理时，要按照《个人信息保护法》的立法精神，发挥自身职能，根据读者的申请要求，坚持“个人同意、合法使用”的基本原则[13]，有效开展个性化服务和深层次服务，满足读者的信息需求。若不作为或泄露读者个人信息，损害读者权益，图书馆需承担相应的法律责任。另一方面，图书馆有义务提醒读者自觉保护个人信息。在图书馆网站显著位置标明读者保护个人信息的提示和声明，注意个人信息安全，引导读者树立“保护个人信息”的法律意识。

2.3 尊重人格权是图书馆保护读者个人信息的法理基础

《个人信息保护法》第二十八条指出，公民个人信息特别是个人敏感信息如果遭到泄露或侵犯，将导致其人格尊严和人身、财产安全受损[7]，法律强调了人格尊严对于个人信息保护的重要性。《中华人民共和国民法典》也规定，公民个人信息保护需建立在尊重和保护公民人格权、人格利益的基础之上[10]。图书馆也在这些法律条款规定的约束范围之内，尊重人格权是图书馆保护读者个人信息的重要法理基础。图书馆读者通过图书馆的借阅、公共文化服务、网络个性化服务等途径，提升自身的综合素质和文化素养，进而求学深造或参加工作，这本身就是人格尊严价值的社会体现。图书馆在保护读者个人信息的前提下进行必要的个人信息处理行为，进行数据挖掘，给予读者人格关怀，帮助读者实现人格发展[12]。图书馆读者个人信息维系着主体的人格尊严，也是其人格利益的重要载体；图书馆实行读者个人信息保护首先应尊重和维护读者的人格权。国际图书馆协会与机构联合会（International Federation of Library Associations and Institutions,IFLA）的解释认为，尊重读者的人格尊严方能彰显图书馆的核心价值[14]。保护读者个人信息，给予读者人格关怀，促进信息资源的开发利用，这是新时代图书馆社会价值的集中体现。

2.4 图书馆读者拥有法律赋予的个人信息知情权和自主决定权

《个人信息保护法》第四十四条规定，公民对自身个人信息的处理享有知情权、决定权，有权限制或拒绝他人使用；第十四条规定，对公民个人信息进行处理，必须事先征得个人的知情同意[7]。可见法律赋予了公民对个人信息的知情权、自决权，图书馆读者亦拥有法律赋予的个人信息知情权和自主决定权。图书馆读者对个人信息拥有的这些权利是保障读者合理享受与利用图书馆服务、确保个人信息安全的重要体现。图书馆应遵守《个人信息保护法》的相关规定，维护和保障读者对个人信息的知情权和自主决定权，在图书馆网站的显著位置向读者公开读者个人信息种类、获取、利用等流程说明，保障读者对其个人信息的充分知情，并承诺保护读者个人信息。同时，图书馆还应该对读者的个人信息严加管理，充分尊重读者的自主决定权，如：因需要随时增加、修改或删除个人信息，随时申请查询或读取个人信息等。图书馆要承诺并做到未经读者同意，不得擅自公开、泄露、篡改读者个人信息。我国图书馆界在这方面作了有益的探索和尝试，如江西省图书馆、浙江图书馆、贵阳图书馆等出台了有关读者个人信息保护的声明，体现了个人信息保护过程中读者的知情权和自决权[15]，但具体规则尚需进一步完善。

3 《个人信息保护法》视野下我国图书馆读者个人信息保护的实现路径

3.1 力求读者个人信息保护与个人信息服务利用之间的平衡，彰显图书馆核心价值

中国图书馆学会在《图书馆服务宣言》中指出，图书馆的核心价值之一是“有效促进读者个人信息资源的利用，体现读者人文关怀”[16]。《个人信息保护法》第十条明确规定，从事个人信息处理活动时不得危害国家安全和社会公共利益[7]。随着现代信息技术在图书馆的不断发展和应用，图书馆获取读者个人信息并加以分析挖掘，根据读者的需求和偏好进行用户画像，提供更为高效、精准的个性化知识服务成为推进新时代图书馆事业进步的重要课题。然而，图书馆在促进个人信息服务利用过程中，势必涉及到读者个人信息的处理。因此，图书馆应有效解决读者个人信息保护与提供个性化服务之间的潜在冲突，力求读者个人信息保护与个人信息服务利用之间的平衡，彰显图书馆的社会价值。一方面，图书馆要把握好信息资源有效利用与读者个人信息保护、数据挖掘利用与数据安全保障之间的平衡，全面贯彻执行《个人信息保护法》的原则和法律规定，建立保障监督机制，合理利用读者个人信息中蕴藏的数据，提升图书馆的服务质量。另一方面，图书馆应探求平衡个人信息服务利用与读者个人信息保护之间的限度，避免过度保护。图书馆在总体遵循《个人信息保护法》的前提下，可细化规定读者个人信息利用和处理的相关标准，增加与读者的交互环节（如同意、许可、匿名使用、合理使用）等，对读者个人敏感数据及合理使用范围之外的数据应加大保护力度，减少读者个人信息的泄露、遭侵犯风险（见图1）。

图1 读者个人信息保护、个人信息服务利用、图书馆核心价值平衡图

3.2 立足《个人信息保护法》，完善图书馆读者个人信息保护的法规体系

《个人信息保护法》是维护我国公民合法权益、推进公民个人信息保护事业发展的普遍约束性法律，其确定的个人信息保护基本原则与规定开启了我国个人信息保护的“新征程”。《个人信息保护法》为图书馆的读者个人信息保护工作提供了强大的法律支撑，对于读者个人信息保护政策的制定和实施具有较重要的理论参考价值和现实指导意义。然而，我们要实事求是地看到，《个人信息保护法》总体上是一部提纲挈领式的基础性法律，不足以囊括和解决现实实践中的所有问题。图书馆读者个人信息保护工作有自身的特殊性，最主要的表现就是要将读者个人信息保护与深化读者服务结合起来。因此，图书馆要在《个人信息保护法》基本框架约束的基础上，积极主动完善有关读者个人信息保护的法规体系与配套规章制度。

我国图书馆界原已进行了读者个人信息保护方面的努力，也制定和出台了一些法规、条例等，但系统性不强、收效不大。举例来说，作为图书馆官方的法律，《中华人民共和国公共图书馆法》专门设有读者个人信息保护的法律条款，但数量极少、操作细则不全，在保护读者个人信息权益方面仍存在缺失，亟需完善[17]。另外也制定了一些与读者个人信息保护相关的条例规范，如：《中国图书馆员职业道德准则》《儿童个人信息网络保护规定》《公共图书馆服务规范》《江西省图书馆门户网站关于用户隐私的保护声明》《浙江图书馆隐私声明》等，取得了一定效果，但没有形成图书馆读者个人信息保护的整套法规体系。因而，我国图书馆界应该在文化与旅游部的领导下，在中国图书馆学会、地方各级图书馆学会的支持下，结合图书馆的实际，制定切实可行的《图书馆读者个人信息保护指南》，推进读者个人信息处理。《图书馆读者个人信息保护指南》要以《个人信息保护法》为依据和准绳，具体规定：图书馆读者个人信息保护的宗旨、原则、指导思想；可采集的读者个人信息的标准、类型；图书馆读者个人信息处理者的权利和义务；读者个人信息处理规则；图书馆读者个人信息安全管理；违约责任及纠纷救济措施，等等。

3.3 设立读者个人信息保护馆员，加强专职管理

《个人信息保护法》第五十二条规定，达到国家网信部门规定数量的个人信息处理部门应指定个人信息保护负责人，负责监督个人信息处理活动及其保

护措施等[7]。图书馆拥有大量的读者，达到网信部门规定的数量标准，应当设立读者个人信息保护馆员，以加强专职管理。图书馆选拔读者个人信息保护馆员时，要全盘考虑其是否具备图书情报学、法学、计算机科学等多学科背景和公正守信、诚恳兢业的职业素养，主要提供图书馆读者个人信息保护的规章制定、政策宣传和范围界定、读者个人信息提交与保护事项告知、个人信息安全监督与保护、读者个人信息受侵犯后的法律援助与救济等知识帮助和服务。读者个人信息保护馆员肩负着重要职责，主要包括：个人信息保护规则制定与责任担当职责；上传下达沟通与监督职责；读者个人信息处理职责（合法收集、存储、删除、更改、利用等）；读者个人信息保护风险预警及防范；个人信息安全技术保护职责[18]等。

3.4 区分读者群体，注重读者个人敏感信息的保护

《个人信息保护法》的亮点与特色之一是确定了个人敏感信息的处理规则。第二十八条至第三十二条对个人敏感信息的涵义和范围进行了明确界定，并确立了“知情同意”的处理规则。按照法律规定，个人敏感信息主要包括身份特征、个人信仰、健康信息、生物识别、银行账户、个人行踪等，还包括未成年人个人信息（未满十四周岁）[7]。图书馆拥有多种不同的读者群体，如师生群体、老年人群体以及未成年人群体[19]等，包含大量的个人敏感信息。读者个人敏感信息与个人的人格尊严密切相关，图书馆应该要区分不同读者群体，注重读者个人敏感信息的保护，以体现法律的威力和对读者的人文关怀。图书馆在实践中可构建读者个人敏感信息保护机制[20]，贯彻《个人信息保护法》，在征得读者个人和未成年人的父母或监护人“同意”的前提下，依法进行收集、存储、分析、利用等个人信息处理活动；建立分级分类保护体系，严格保护读者个人敏感信息，防止泄露、篡改，保障读者的个人权利与合法利益。区分读者群体，执行“同意”规则，实施读者个人敏感信息的重点保护，可以有效保障读者对个人敏感信息的参与权和控制权，防范读者个人信息泄露和遭侵犯风险。

4 结语

《个人信息保护法》的颁布和正式实施标志着我国公民的个人信息保护进入“新时代”，也为图书馆读者个人信息保护提供了新的指引与法律保障。图书馆界应认真学习、贯彻《个人信息保护法》的法制精神和规定，制定较完善的读者个人信息保护政策，认真履行读者个人信息保护义务。文章以《个人信息保护法》为指引，对图书馆读者个人信息保护进行了法理分析与思考，并详细探讨了《个人信息保护法》视野下我国图书馆读者个人信息保护的实现路径。同时应该看到，图书馆读者个人信息保护也面临着一些现实困难和障碍。如何发挥现代新信息技术的作用、构建切实有效的读者个人信息保护风险评估和实施监督机制，则是有待进一步研究的议题。