郑晓圳 钟晓雯

（1.广州商学院图书馆 广东广州 511363）

（2.西南政法大学民商法学院 重庆 401120）

1 问题的提出

在《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）颁布之前，《中华人民共和国电子商务法》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国测绘法》等数十部法律法规不同程度地规定了信息主体的“同意”是处理个人信息的合法性基础。《一般数据保护条例》（General Data Protection Regulation,GDPR）第6条也明确“同意”是处理个人数据的合法性事由之一。据此，理论界也高度关注个人信息处理中的同意规则，并主要聚焦于其正当性及适用效果的议题上。学者们或试图在同意的单一合法性基础上扩张为多元合法性基础[1]；或尝试排除同意的合法性基础并重构个人信息保护的制度范式[2]。直至2020年《民法典》颁布，其中第1035条第1款正式奠定了将信息主体的“同意”作为个人信息处理的合法性来源的基调，随后《个人信息保护法》就同意规则作了更为全面的一般性规定。自此，关于同意规则的学理研究从立法论转向解释论，重点探讨同意的适用路径。因此，结合具体场景化应用，探讨个人信息处理活动中同意的适用路径颇具价值。

本文主要聚焦于在图书馆的场域下探讨读者同意的适用路径，在探讨这一问题之前，需要明确读者个人信息的定义。目前我国未有立法明文规定读者个人信息的定义，但可以明确的是，读者个人信息是个人信息在图书馆领域的具体体现，涵摄于“个人信息”的范畴内[3]。故欲在图书馆的场域下定义读者个人信息，需结合“个人信息”这一措辞的法律定义。国际上既有立法关于个人信息①的定义并非完全一致，但均强调个人信息的两个特性：身份可识别性②与固定载体性③。我国《个人信息保护法》在“个人信息”定义表述中采用了“以电子或者其他方式记录的”“已识别或者可识别”等措辞④，可以认为，我国也已经直接以立法的形式肯认了个人信息的这两个特性。因此，读者个人信息的内涵与外延可被界定为：以电子或者其他方式记录的，能够单独或与其他信息结合、对比后识别读者身份的所有信息，包括读者注册信息、读者生物识别信息、图书馆网页浏览记录等。

在图书馆场域中，处理读者个人信息时适用同意机制的完整链条是：图书馆向读者充分履行告知义务且读者在充分知悉的前提下作出自愿有效的同意允诺后，图书馆得以在读者同意的范畴内处理其个人信息[4]。目前我国《个人信息保护法》区分一般个人信息与敏感个人信息，并基于此种分类模式确立了概括同意结合特定例外的同意机制。但我国《民法典》、《中华人民共和国公共图书馆法》（以下简称《公共图书馆法》）与《个人信息保护法》对于个人信息的分类存在差异。例如，从文义解释来看，《公共图书馆法》第43条将个人信息划分为读者的“个人信息”“借阅信息”和“其他可能涉及读者隐私的信息”。由此直接引发的问题是：立足于一般个人信息与敏感个人信息分类基础上的概括同意结合特定例外的同意机制，如何在《民法典》《公共图书馆法》的框架体系下适用于读者个人信息的处理[5]。欲解决此问题，需要从体系化的角度厘清不同法律法规确立的各种类型的个人信息间的法律关系，廓清读者个人信息的分类谱系，进而类型化探索读者个人信息处理中“同意”的适用路径。

2 读者个人信息的类型化谱系

2.1 既有法律秩序对读者个人信息的分类

纵观我国当前既有立法，涉及读者个人信息分类的法律法规主要集中于《民法典》《个人信息保护法》和《公共图书馆法》中，其中《民法典》与《个人信息保护法》致力于构建普适性的个人信息类型化谱系，而《公共图书馆法》则充当着规制读者个人信息处理的专门性立法角色。下文将就三部法律法规关于读者个人信息分类的条文作体系化解释，并基于隐私场景理论归纳总结出读者个人信息的合理类型化谱系。

2.1.1 《民法典》对读者个人信息的分类

将个人信息纳入调整范围是《民法典》立法的亮点之一。《民法典》第110条体现了立法对个人信息的间接保护，盖因该条明确了自然人享有姓名权、肖像权、名誉权、隐私权等具体人格权，而各个具体人格权中蕴含着对个人信息的保护。例如，自然人的姓名不仅应落入姓名权的保护范畴，同时又是个人信息保护的内容之一。此外，《民法典》第111条还对个人信息保护作了直接的一般性规定，宣示性地承认了个人信息的民事权益地位，明令禁止非法处理（收集、使用、加工、传输、买卖等）个人信息的行为。可见，《民法典》第110条、第111条将个人信息划分为“具体个人信息”与“一般个人信息”。

除“具体个人信息”与“一般个人信息”的分类外，《民法典》实际上也将个人信息划分为“隐私信息”与“非隐私信息”。《民法典》第1034 条延续了第111条的规定，宣示性地将自然人的个人信息纳入保护范畴，同时以“概括+列举”的方式对个人信息的内涵与外延作出界定。值得注意的是，该条第3款明确“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。从文义解释的角度来看，第1034条将个人信息划分为“隐私信息”与“非隐私信息”。因此，在《民法典》的框架体系下，读者个人信息的类型化方式有两种：一是将其划分为读者一般个人信息、读者具体个人信息；二是将其划分为读者隐私信息、读者非隐私信息。

2.1.2 《个人信息保护法》对读者个人信息的分类

1981 年欧洲联盟通过的《关于个人数据自动化处理中的个人保护公约》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）第6 条明确规定：“除非国内法提供了适当的保护措施，否则不能对揭示种族出身、政治观点、宗教或其他信仰的个人数据，以及有关健康或性生活的个人数据进行自动化处理。”[6]随后该条款在2012年被修改为“敏感数据的处理”，明确提出了敏感个人数据（Sensitive Personal Data）的概念，同时增加了基因数据、刑事犯罪相关数据、工会成员资格三类敏感数据的来源。此后GDPR基本延续了前述公约对个人信息的类型化方式及定义，仅增加列举了“生物特征数据”（Biometric Data）这一种敏感个人数据的来源。我国《个人信息保护法》也借鉴了这一规定，在第28条第1款以“抽象+列举”的方式明确了敏感个人信息的含义，强调“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”属于敏感个人信息。此外，我国《个人信息保护法》在第二章“个人信息处理规则”中还并列规定了“一般规则”与“敏感个人信息的处理规则”。据此可以推断出，《个人信息保护法》将读者个人信息区分为读者一般个人信息与读者敏感个人信息。

2.1.3 《公共图书馆法》对读者个人信息的分类

《公共图书馆法》第43条历来是学者们对读者个人信息进行类型化的条文范本，该条明确将“读者的个人信息”、“读者借阅信息”和“其他可能涉及读者隐私的信息”并列安排，但却未对前述三者的具体定义及相互间的关系作出解释[7]。因此，学者们以该条作为读者个人信息类型化的基础时产生了不同的观点：或将读者个人信息划分为读者隐私信息、读者敏感个人信息、读者一般个人信息和读者借阅信息[8]；或认为读者的个人信息包括读者一般个人信息（借阅信息是其中的具体类型之一）和读者隐私信息[9]。实际上，从立法技术的角度来看，《公共图书馆法》第43条将“读者的个人信息”、“读者借阅信息”和“其他可能涉及读者隐私的信息”并列分布，这意味着三者在范畴大小上应为相当，且三者结合应当形成读者个人信息的全部外延。故“读者的个人信息”可理解为读者个人身份信息，是读者个人信息的属概念（或称下位概念）。因此，从文义解释上看，《公共图书馆法》将读者个人信息划分为读者个人身份信息、读者借阅信息、其他可能涉及读者隐私的信息。

2.2 法解释学对读者个人信息分类的诉求

结合《民法典》《个人信息保护法》《公共图书馆法》关于读者个人信息的分类方法，从法解释学和隐私场景理论的角度来看，读者个人信息应划分为读者隐私信息、读者敏感个人信息、读者一般个人信息和读者借阅信息，并以此作为讨论读者个人信息处理中“同意”的类型化适用之基础。

从法解释学的角度来分析，首先，《民法典》区分“一般个人信息”与“具体个人信息”的目的在于赋予不同的请求权基础，即明确当非法处理个人信息的行为侵犯的是信息主体的具体人格权（姓名权、隐私权等）时，信息主体可以《民法典》第110条为请求权基础；当非法处理个人信息的行为侵犯的并非信息主体的具体人格权时，信息主体可援引《民法典》第111条——“一般个人信息”保护条款。这与探讨读者“同意”的适用路径并无密切关联，故此种分类方式不应被采纳。其次，《公共图书馆法》中提及的“读者个人身份信息”可分别纳入读者一般个人信息、读者敏感个人信息的范畴内，故毋需单独列举为一个类型。类似的，“其他可能涉及读者隐私的信息”可归入读者隐私信息的范畴内，同样无须单独列出。复次，对于敏感个人信息而言，《个人信息保护法》第28条第1款明确规定：“敏感信息是……容易导致自然人的人格尊严受到侵害……的个人信息。”其中“人格尊严”一词直接指向了隐私范畴，这直观反映出了《个人信息保护法》中的敏感个人信息与个人隐私存在范畴上的包含与被包含关系，换言之，可以理解为敏感个人信息包括了个人隐私信息。而在敏感个人信息包括个人隐私信息的情形下，《民法典》又同时规定了隐私权和个人信息，这就引发一个问题：读者隐私信息与读者敏感个人信息在适用读者同意机制时是应当有所差异抑或是应当相同。因此，读者隐私信息与读者敏感个人信息有必要区分讨论。最后，读者借阅信息作为《公共图书馆法》中的特别规定，其如何适用读者同意机制理应受到图书馆学界和法学界的重点关注。

2.3 隐私场景理论对读者个人信息分类的启示

场景理论最初为社会学研究者创设，旨在解释一些无法用传统理论阐明的社会现象。伴随着互联网的发展，传媒学研究者开始将场景理论运用至传媒现象的研究中，这意味着场景理论的适用域从物理场景延伸到了电子信息场景。20世纪90年代，特里·尼科尔斯·克拉克（Terry Nichols Clark）就曾完整地提出了场景理论（the theory of scenes）。他认为场景由社区、有型建筑物、不同主体单独或联合构成的一种特色活动[10]。在大数据时代到来后，罗伯特·斯考伯（Robert Scoble）和谢尔·伊斯雷尔（Shel Israel）断言：互联网在未来25年间将进入新时代——场景时代（Age of ContextR）[11]。这不仅标志着场景理论的发展进入征程，也预示着场景理论将成为解释与互联网相关行为的重要工具。

在现实生活中，无论是立基于物理空间的有形场景抑或是立基于网络空间的无形场景，社会交流互动都是其核心要义，而个体在各种场景中欲实现更好的交流互动，无可避免地需要披露必要的个人信息以便于识别、交流、了解和评价。因此，有学者认为，个人信息充当着将无数个社交场景串联并编织成网络的重要角色[12]。但个人信息在为人们的交流互动提供便利的同时，其作为一种流动要素也衍生了个人信息安全问题。

在公共私人对立状况下，由于隐私的定义极其困难，静态隐私分配规则也难以适用，海伦·尼森鲍姆（Helen Nissenbaum）提出了隐私场景理论（Contextual Inetegrity Theory）。该理论认为场景公正是一个中心原则，医疗、消费、教育等生活领域虽然均发生于由信息构成的场景中，但信息处理需要由信息持有者、传播者、接收者等多方主体共同完成，不同主体在信息处理过程中的角色定位不同，信息控制能力不同，风险承担能力不同，合理利益诉求不同，这决定了不同场景下的信息处理活动中的主体所应当遵守的行为准则也应当有所差异[13]。换言之，不同场景下的信息处理的规范约束应当存在合理差异。个人信息保护与隐私保护相似，同样存在着定义困难，静态个人信息流动风险和利益分配规则难以适用的问题。因此，可以尝试运用隐私场景理论来解释个人信息处理中的相关法律问题。如此一来，“同意”作为个人信息处理的合法性基础，也应当在隐私场景理论的框架下结合不同的场景差异化设置适用规则。

实际上，将读者个人信息划分为读者隐私信息、读者敏感个人信息、读者一般个人信息以及读者借阅信息，继而采用不同的读者“同意”机制的适用路径符合隐私场景理论的要求，盖因四者分别属于读者信息的不同场景，各方主体在这四种场景下的信息控制能力、风险承担能力、合理利益诉求等均有所区别。具体而言，读者隐私信息具有私密性，与读者的人身关联性极强，需要严格保护，理应适用严格的读者同意机制；读者敏感个人信息与读者的人身关联性较之读者隐私信息更弱，但其仍然与读者密切关联，需要强化保护，理应适用趋于严格的读者同意机制；读者一般个人信息则与读者的人身关联性较为松散，只需适度保护，理应适用较为宽松的读者同意机制；读者借阅信息则需结合其是否具有人身识别性而区分讨论。倘若读者借阅信息具有人身识别性，则应落入《个人信息保护法》中的“个人信息”范畴，可依次归入前述3种分类；倘若读者借阅信息不具有人身识别性，那么其就无法适用个人信息处理的相关规则（下文会对此问题进行详细论述，此处暂不赘述）。因此，基于场景理论，将读者个人信息划分为读者隐私信息、读者敏感个人信息、读者一般个人信息以及读者借阅信息，并以此为基础类型化探讨读者同意机制的适用路径具有合理性。

3 读者个人信息处理中“同意”的适用范畴

《个人信息保护法》第13条规定，除基于履行法定职责或法定义务、维护社会公共利益、应对突发公共卫生事件等例外情形外，处理读者一般个人信息、读者敏感个人信息时，均应在信息主体充分知情的基础上由读者自愿、明确地作出同意允诺。因此，读者同意适用于处理读者一般个人信息与读者敏感个人信息应无争议，存在争议的适用范畴是读者隐私信息与读者借阅信息。

3.1 绝对私密性的读者隐私信息不适用读者同意机制

“同意”是否是处理所有读者隐私信息的合法性基础值得商榷。在信息主体同意或其他特定情形下，立法允许企业、机构等组织体处理个人信息的根本原因是，个人信息在社会秩序运行中充当着工具和媒介的角色。社会秩序的有序运行需要通过收集、掌握、利用产生于个体的个人信息，并借此信息来了解、判断某一个体或某一群体的个性特征、行为模式等。这也是学者们认为个人信息具有可社会化的源头[14]。例如，新冠肺炎疫情防控期间，为强化网格化、精准化的管控措施，即需要收集、掌握、整合和利用大量个人信息。故读者同意机制的适用范畴应限定在可社会化的个人信息范围内。然而，并非所有的个人信息都可被社会化。《中华人民共和国宪法》第40条规定了公民通信自由和通信秘密受法律保护，《民法典》第1032条明确自然人享有隐私权，可见立法将个人隐私上升至宪法权利和基本人权的地位，并以绝对权的方式加以特别保护。而我国个人信息与个人隐私在概念范畴上存在交叉，个人信息实则包含了个人隐私，在《民法典》对隐私权与个人信息保护采用区分立法模式（以不同条款作分别规定）的情形下，可以推断出：个人信息中存在着可落入“公民通信自由和通信秘密”与隐私权规制范围内的绝对私密性个人隐私信息。这些绝对私密性的个人隐私信息因关涉人身自由和人格尊严而被纳入绝对权、宪法权利和基本人权的调整范围，应当排除在可社会化的个人信息范畴外。综前所述，读者隐私信息中存在着绝对私密性个人隐私信息，这些信息不适用读者同意机制。

3.2 读者衍生借阅信息不适用读者同意机制

《公共图书馆法》第43条将读者借阅信息纳入了调整范围，但读者借阅信息是《公共图书馆法》的特别规定，《民法典》《个人信息保护法》等并未提及此概念，因此《个人信息保护法》确立的概括同意结合特定例外的同意机制能否适用读者借阅信息需要探究。

读者借阅信息包括原始借阅信息和衍生借阅信息（也可称为增值借阅信息），其中原始借阅信息是读者在借阅活动/接受图书馆服务过程中，以电子或其他形式记录下来的、能够识别特定读者的信息。衍生借阅信息则是图书馆对原始借阅信息进行实时脱敏、清洗、审核、安全测试、深度整合分析后形成的信息。由于未经图书馆进行脱敏加工等处理行为，原始借阅信息能够单独/与其他信息结合后达致识别特定读者的效果，故读者对其原始借阅信息仍应享有查阅、修改等控制性信息权利，能够排除他人对该信息的不法侵害。因此，原始借阅信息应当被纳入《个人信息保护法》的规制范畴。相反，读者衍生借阅信息不属于个人信息范畴，不应适用读者同意机制，理由如下：一是衍生借阅信息往往已经过图书馆匿名化处理（又称为“脱敏”）、深度整合与加工，难以达致精准识别读者的效果，失去了个人信息的本质属性——“身份可识别性”，且《个人信息保护法》也已明确将“匿名化处理后的信息”排除在个人信息范畴外。二是衍生借阅信息产生于图书馆对原始借阅信息的深度数据化处理。从广义角度来说，图书馆对原始借阅信息的处理活动（脱敏、清洗、审核和安全测试等）可归为“劳动”的范畴，生产的衍生借阅信息应视为图书馆的劳动成果，司法实践中已有相应观点⑤。

4 读者个人信息处理中“同意”的有效模式

同意规则根植于自由自主的法理基础，缘起于信息自决权。“信息自决权”是从《德国基本法》的“人性尊严”与“一般人格权”条款中衍生的权利，它在基本人权的意义上受到保护[15]，主要体现为当事人对自身信息的全面知情与把握。在图书馆处理读者个人信息过程中，不同种类的读者个人信息因其与信息主体人格利益的关联强度存在差别，造成隐私威胁程度有所不同。为避免对图书馆处理读者个人信息科以过重的个人信息和隐私保护义务，需要结合读者个人信息的不同类型，设置灵活的知情同意机理。

4.1 一般规则：概括同意与动态同意的区分适用

读者一般个人信息、读者敏感个人信息、除绝对私密性外的读者隐私信息以及读者原始借阅信息在范畴上存在交叉：除绝对私密性外的读者隐私信息可涵摄于读者敏感个人信息内；读者原始借阅信息则可根据具体内容分别划归至读者一般个人信息和读者敏感个人信息内。例如，读者在借阅活动中产生的生物识别信息归属于读者敏感个人信息⑥，在借阅活动中产生的图书借阅记录、浏览记录归属于读者一般个人信息。因此，可在《个人信息保护法》的框架体系内，区分读者一般个人信息和读者敏感个人信息，廓清读者同意的有效形式。

对于读者一般个人信息，因其与信息主体人格利益的关联度较弱，造成隐私威胁的程度较小，立法应允许图书馆采用概括同意⑦的方式。相反，读者敏感个人信息与信息主体的人格利益存在强关联，故宜采用动态同意的方式。动态同意模式以分层同意为基础，旨在将不断发展变化的信息主体的偏好嵌入到信息主体与信息开发利用人员的开放式交流过程中，是一种旨在让个人参与到数据处理过程中的新方法。我国《个人信息保护法》第29条规定处理敏感个人信息应当取得个人的“单独同意”，所谓“单独同意”是指信息处理者在处理个人信息时，不能通过一揽子告知同意的方式征得个人同意，而是需要逐一单独取得个人的同意。“单独同意”在《个人信息保护法》中的确立可以认为是立法为动态同意模式提供了合法性基础。因此，对读者一般个人信息和读者敏感个人信息的处理分别适用概括同意和动态同意具有相应的合法性基础，同时能够在读者个人信息处理过程中既保护信息主体的个人信息和隐私利益，又降低对图书馆经营管理的负面影响。

4.2 特殊规则：监护人同意机制的嵌入

在读者个人信息处理过程中，需要针对儿童读者个人信息作特殊考虑，即探索是否适用以及如何适用监护人同意机制⑧。早在1989年，儿童个人信息安全问题就受到联合国的关注，联合国在其颁布的《儿童权利公约》中明确规定了儿童的隐私不受任意或非法干涉。美国、欧洲联盟等国家或地区也出台了一系列立法对儿童隐私加以特别保护，如美国的《儿童在线隐私保护法》《儿童网络隐私保护法》《儿童网络保护法》等。目前各个国家或地区因国情差异对儿童年龄的界定不一：联合国《儿童权利公约》将18周岁以下的人全部纳入儿童的范畴；GDPR虽未明确申明儿童的年龄界限，但其针对处理16周岁以下儿童的个人数据设置了特别措施（监护人同意），同时允许成员国自行在13周岁以上的范围内作相应调整；美国《儿童在线隐私保护法》则规范了在线收集13周岁以下儿童个人信息的程序。我国本无“儿童”这一定义，采用的是“未成年人”“限制民事行为能力人”“无民事行为能力人”等措辞，但2020年实施的《儿童个人信息网络保护规定》首次明确了儿童是未满14周岁的未成年人⑨。结合我国《个人信息保护法》第28条明确将未满14周岁的未成年人个人信息列为敏感个人信息、第31条规定处理未满14周岁的未成年人个人信息须征得监护人同意，可以推断：儿童读者个人信息属于敏感个人信息，处理儿童读者个人信息需嵌入监护人同意机制。

《个人信息保护法》确立监护人同意机制背后的法理基础是：考虑儿童（14周岁以下未成年人）的辨识能力和控制能力存在缺陷，无法正确理解和行使其个人信息权益，应当否定其在个人信息领域的行为能力，转而采用严格的监护人同意规则[16]，由监护人基于儿童利益最大化原则，替代儿童作出是否同意的表示。这一法理基础具有正当性与合理性。然而，《个人信息保护法》虽创造性地确立了监护人同意机制，但并未就如何适用该机制作出具体规定。监护人同意机制在图书馆领域的适用具体涉及到三大问题：一是如何在网络空间中核验儿童读者身份；二是监护人同意的有效形式为何；三是如何对监护人的同意进行验证。因此，下文针对这三大问题作出相应阐述。

其一，儿童读者身份的核验。在物理空间中，图书馆可以通过核查本人有效证件（二代身份证、户口本等）的方式对儿童读者身份进行核验，但在互联网环境下（如数字图书馆），儿童读者身份核验面临困境，盖因实践中存在多个现实法律主体共用一个虚拟主体的现象，也存在由一个法律主体创建多个虚拟主体的情况，难以确认网络空间中虚拟主体对应的现实法律主体的真实身份[17]。因此，如何通过技术手段精准识别正在与图书馆交互的信息主体的年龄，是核验儿童读者身份的关键。目前最常见的方法是实施网络实名制的管理方式，要求读者在接受图书馆提供的服务或产品之前提供身份信息认证，以此判断读者的年龄。当然，此种方法亦存在漏洞，只要儿童有意规避，通过借用或盗用他人有效证件进行登记核验即可轻易隐瞒身份，规避管理。因此，当图书馆在非其过错的情况下未能识别出儿童身份而非法对儿童读者个人信息进行处理时，应当在发现后及时删除相关信息（不包括已匿名化处理后的个人信息）。

其二，监护人同意的有效形式。《个人信息保护法》第31条仅为原则性规定，对于监护人同意的有效形式未有明确指引。鉴于立法已将儿童个人信息列为敏感个人信息的范畴，故监护人在替代儿童读者作出同意允诺时也应当适用前述读者敏感个人信息的有效同意形式，即监护人作出的同意允诺必须是自愿、明确的，且需要适用动态同意机制。

其三，监护人同意的验证。监护人同意作为处理儿童个人信息的合法性基础已为大多数国家的共识，但如何验证监护人的同意一直是法律与技术上的难题。GDPR第8条第2款要求在考虑可用技术的情况下，数据控制者应充分利用现有技术并作出合理努力以尽可能核验监护人作出的同意或授权。当前实践中验证监护人同意的方式主要有四种：一是由监护人签署纸面同意书后以邮寄、传真或电子扫描的方式返回给信息处理者；二是要求监护人在线勾选同意选项时提供本人使用的金融账户信息（借记卡、信用卡或其他需要用户名和密码或其他身份验证的在线支付系统等）[18]；三是要求监护人作出同意允诺时提供官方颁发的身份证明文件（身份证、户口本、机动车驾驶证等）；四是以电话连线、视频联系等方式验证监护人同意。

综合前述四种验证方式，建议图书馆可采用以下两种监护人同意验证方式（两者择其一即可）：一是由监护人签署纸面同意书后以电子扫描的方式回传给信息处理者；二是要求监护人作出同意表示时提供官方颁发的身份证明文件（身份证、户口本、机动车驾驶证等）。理由如下：首先，签署纸面同意书后以邮寄和传真回传的方式消耗的时间和金钱成本较高，不宜采用，而电子扫描回传的方式具有即时性和便捷性，是可考虑的验证方式之一。其次，儿童通常无法申请个人银行账户，利用金融账户信息可以验证出同意是由具备一定资产的成年人作出的，但同时也存在泄露监护人本人敏感个人信息的隐患。而借助官方颁发的身份证明文件验证监护人同意的方法，具有极高真实性、可信赖性以及便捷性，尽管其同样存在捆绑监护人敏感个人信息的问题，但相较于需要借助金融账户信息验证监护人同意的方式，一旦发生个人信息泄露实践，身份证明文件所引发的个人信息权益损害通常较之金融账户信息要小。这也是《个人信息保护法》明确将金融账户信息列为敏感个人信息，而未将诸如二代身份证、户口本上记载的信息列为敏感个人信息的主要原因。最后，以电话连线、视频联系等方式验证监护人同意虽在实践运用中较为广泛且能够在一定程度上避免捆绑监护人的敏感个人信息，但极易出现冒名顶替进行电话连线或视频联系的情形，真实性较低，故不建议采用。

5 代结语：读者个人信息处理中“同意”的适用限制

《个人信息保护法》的出台标志着我国个人信息保护立法已进入快车道，图书馆作为履行社会功能的重要公共场所，这一浪潮也直接关涉广大读者的个人信息和隐私权益。目前《个人信息保护法》明确将“同意”作为处理读者个人信息的重要合法性基础并作了相应的制度安排，但这些制度安排仅为一般性规定，并未结合图书馆场域的特殊性形成体系化的规范，故本文在《民法典》《个人信息保护法》《公共图书馆法》等的整体法秩序框架下初步探索了读者个人信息处理中“同意”的适用范畴和有效模式。但“合法、正当、必要”三原则是个人信息处理的基本原则，三者呈现出来的是相互制衡的关系，合法原则应当受到后两个原则的约束[4]。由此衍生而来的问题是：图书馆场域下，正当、必要原则对读者同意的限制应以何种形式展开，立法应安排到何种程度，“目的限制”和比例原则在读者同意的限制中又充当着何种角色。故学界有必要就读者个人信息处理中“同意”的体系性限制作更为全面、深入的探讨。

注释：

① 关于个人信息的称谓，不同国家或地区表达各异，例如，我国台湾地区称其为“个人资料”，欧洲地区通常使用“个人数据”（Personal Data），日本和韩国采用“个人信息”（Personal Information），美国则采用“信息隐私”（Information Privacy），我国《民法典》《网络安全法》等法律文件中采用的是“个人信息”的表述。严格意义上，相关概念并非完全一致，但是在探讨个人信息法的问题时基本可混同使用。

② 身份可识别性指的是个人信息与信息主体存在客观关联性，通过个人信息能够直接识别或间接识别特定自然人的身份。其中直接识别是指能够凭借此单一信息独立识别特定自然人的身份；间接识别是指需要与其他信息进行结合或对比后，才得以识别特定自然人的身份。

③ 固定载体性指的是法律意义上的个人信息必须是已经固定化于特定媒介中的信息，盖因只有经由特定媒介固定化后的个人信息才具有手动/自动化操作的可能性和法律保护的必要性。

④ 参见《个人信息保护法》第4条。

⑤“淘宝诉美景”案的二审判决认为：“‘生意参谋’数据产品中的数据内容系淘宝公司付出了人力、物力、财力，经过长期经营积累而形成……‘生意参谋’数据产品系淘宝公司的劳动成果，其所带来的权益，应当归淘宝公司所享有。”（案件详情可见杭州市中级人民法院（2018）浙01民终7312号）

⑥《个人信息保护法》第28条第1款将“生物识别信息”列为敏感个人信息。

⑦ 概括同意指的是以一揽子告知同意的方式征得个人同意。

⑧ 监护人同意机制源于美国《儿童网络隐私保护法》，经过GDPR的完善逐步形成了国际社会中主流的保护模式。

⑨ 参见《儿童个人信息网络保护规定》第2条。