《公共图书馆法》视阈下读者个人信息保护路径研究*

●姜明芳 赵奇钊

(湖南第一师范学院 长沙 410205)

随着“互联网+”行动计划的稳步推进，大数据已经渗透到当今每个行业和业务功能区域，不仅改变了人们的生活方式，也改变了人们的阅读方式，催生了图书馆服务方式的变革与移动图书馆的产生。人们在享受移动图书馆带来的数字化阅读便利的同时，也不得不面临个人信息泄漏的风险[1]。2018年1月1日开始实施的《中华人民共和国公共图书馆法》(以下简称《公共图书馆法》)首次以法律形式对读者个人信息保护做出了规定，说明了公共图书馆中读者个人信息保护的重要性与紧迫性，同时也为读者个人信息保护带来新的要求与挑战[2]。

1 《公共图书馆法》中读者个人信息保护相关条款释义

《公共图书馆法》第四十三条规定“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息，不得出售或者以其他方式非法向他人提供”[3]。该条款从法律层面明确了公共图书馆需要保护的读者信息的基本范畴，规定了读者个人信息的非法出售或提供给他人的行为是非法的，这是对读者隐私权的法律保护，有利于公共图书馆运行管理过程中对读者的尊重和对读者权益的保护，有助于提升公共图书馆的服务效能，促进其健康持续地发展。为切实保护读者个人隐私，图书馆首先要加强《公共图书馆法》等读者隐私保护相关法律法规的宣传与学习，明确图书馆馆员与读者各自的权利和增强馆员与读者的隐私保护意识。其次要更新管理理念，完善规章制度，内化行为规范。将“维护读者权益，保守读者秘密”的现代图书馆管理理念引入日常工作之中，并就隐私保护规范做出进一步补充与完善，在公共图书馆运行管理过程中引导形成一种读者隐私保护行为规范[4]。

《公共图书馆法》第五十条明确指出，公共图书馆及其工作人员以出售或者其他方式非法向他人提供读者个人信息、借阅信息以及其他读者隐私信息行为是违法的[3]。这是从法律上对侵犯读者隐私行为的处罚与保护方式进行规范与界定，通过制裁与惩罚违法行为保障《公共图书馆法》的实施，从而规范违法行为，预防读者个人信息保护违法犯罪行为，为图书馆公共数字文化服务提供读者个人信息安全保障。

2 《公共图书馆法》界定的读者个人信息保护范畴

2012年12月审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，首次从法律上界定了个人信息的内涵与范围。2016年11月发布的《中华人民共和国网络安全法》和2017年提请人大审议的《中华人民共和国个人信息保护法(草案)2017版》进一步明确个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等[5，6]。欧盟《个人数据保护指令》将个人信息分为三类：基本信息、社会属性信息和网络信息，其中基本信息包括身高、体重、年龄、性别等；社会属性信息包括家庭住址、工作单位、宗教信仰、学历、房产等；网络信息包括社交软件号码(如Facebook、QQ)、网银账号、购物网站账号等[7]。这些法律法规确立了个人信息保护的基本原则，明确了个人信息主体的基本权利，并规范了各不同类别信息主体的相关活动，但未能针对公共图书馆行业具体规范读者个人信息的内容与分类，在细节划分和具体实施措施方面还存在较大改善空间。

2018年实施的《公共图书馆法》则针对公共图书馆读者个人信息安全保护与法律责任进行了规范，对公共文化服务领域读者个人信息保护具有指导与参考作用。《公共图书馆法》首先规定了需保护的读者个人信息的基本范畴，主要包括读者身份信息、敏感信息与借阅信息；然后初步明确了个人信息的责任认定及处罚，但未对读者个人信息的具体内容进行详细说明。为此，我们可结合相关个人信息安全立法与“互联网+”时代图书馆服务创新实践，进一步明确和完善读者个人信息保护的具体内容。第一，读者身份信息，主要是指可直接识别读者的个人信息，包括个人基本资料如读者姓名、性别、出生日期、年龄、班级、院系、地址等，个人身份信息如读者证号码、学号、身份证号码等唯一识别信息，个人生物识别信息包括人脸图像、指纹、步态、语音、虹膜信息等内容，而网络身份标识信息则是指微博、微信、QQ等网络社交号码和网络平台账号。读者身份信息的保护是对读者权益最基本的要求，是维护读者权益的基础。第二，读者敏感信息涉及读者个人社会属性，如个人经济状况、社会关系、政治背景、宗教信仰、个人兴趣爱好、生活习惯、个人经历、个人健康状况等信息，对读者敏感信息的保护充分体现了《公共图书馆法》对读者隐私的保护与对人格的尊重[8]。第三，读者借阅信息，如咨询行为、阅读行为、借阅记录、信息检索记录、浏览过的网页、读书笔记等。在当今大数据时代，利用各种数据挖掘技术，可经由读者借阅信息分析出读者个人的阅读习惯与兴趣爱好。《公共图书馆法》将读者借阅信息纳入保护范围，拓展了读者个人信息范畴，有利于更广泛地保护读者个人信息[9]。

3 《公共图书馆法》视阈下读者个人信息保护路径探索

3.1 完善读者个人信息保护法律体系

《公共图书馆法》中第四十三条指明了读者个人信息的内容，但仍需明确读者个人信息保护的目的，就是为规范读者个人信息的收集、加工和利用，维护读者个人信息权，促进公共图书馆服务过程中对读者个人信息的合理利用。为切实实现对读者个人信息的有效保护，公共图书馆相关法律法规的制定与完善必须本着系统、科学、合理的原则展开进行。其一是合法原则，公共图书馆在收集与利用读者个人信息时，应当遵循相关法律法规的具体规定与精神。其二为系统原则，公共图书馆应保护读者个人信息在公共图书服务全过程中的安全，并确保个人信息保护相关政策法规面向所有读者，适用于所有读者，防止政策的片面性。其三为明确原则，包括个人信息的收集要有明确的目的，读者个人信息保护的范围、规则与责任等相关概念与规范也要有明确的规定，不允许有抽象的、模棱两可的规定。其四是责任原则，公共图书馆首先负有保护读者个人信息的责任和义务；然后图书馆工作人员在收集、加工、利用读者个人信息时负有保护读者个人信息的管理责任。此外，亦要明确读者不得故意泄露自身个人信息的责任和不得违法获取、泄露、转让其他读者个人信息的责任。《公共图书馆法》应充分明确与保障读者个人信息权，读者对自身个人信息享有主权与支配权，对个人信息的合法处理与利用应有知情权，并且读者有权决定其个人信息在何时、何地及以何种方式被何人收集、加工和利用[10]。最后要进一步明确公共图书馆、图书馆工作人员、读者等各责任主体的相关法律责任，给读者造成人身或财产上的损失的，《公共图书馆法》应规定责任主体承担损害赔偿等民事责任。

3.2 健全读者个人信息保护管理制度

公共图书馆要制定读者个人信息管理章程，向图书馆工作人员和读者广泛宣传《公共图书馆法》等法律中读者个人信息保护相关条款，明确图书馆在读者个人信息保护具体实施过程中的管理责任，并且要依据法律法规为收集、加工与利用读者个人信息制定具体操作细则，依法管理读者个人信息，维护读者权益，保守读者秘密。读者个人信息管理制度应具体规定读者个人信息收集的目的、方式、范围与操作程序，个人信息处理或利用的目的、范围和使用期限，并确定好个人信息收集、加工、利用等不同阶段的工作人员，实现分工与责权明确。同时，个人信息保护涉及到读者本身的权利和义务，公共图书馆亦需增加与完善读者个人信息保护相关细则，明确读者的义务和责任，促进读者有效参与个人信息保护，维护个人信息权。此外，读者个人信息的保护涉及到图书馆、图书馆工作人员、读者等多个主体，图书馆应就此建立读者个人信息保护领导小组、读者个人信息管理利用审批小组、执行监督小组，形成多方协调联动机制，形成集审批许可、监督管理和违法监督一体的读者个人信息保护管理体系。

3.3 发展读者个人信息保护技术策略

物联网与大数据的融合不断深入，图书馆所面临的恶意攻击手段和安全隐患也更加多样化，这对图书馆数据中心的安全保障提出了更高的要求。仅仅依靠法律法规与管理措施不足以全面保护读者个人信息安全，我们还需要对读者个人信息收集、加工和利用的全过程进行安全防护，全方位构建公共图书馆可信读者个人信息安全体系[11]。公共图书馆在采集读者个人信息时，可采用数字水印技术以后台嵌入方式验证读者数据完整性；读者个人信息的准确性则需由数字签名技术予以保障；为防止数据采集过程中用户数据被三方截取，防止信息泄露，需要采用数据加密技术以维护读者信息隐私安全[12]。在读者个人信息加工利用阶段，要研究面向数据挖掘的隐私保护技术，在保证读者个人信息可用性的前提下，防止对读者个人信息的挖掘利用引起的读者隐私泄露。比如面向读者身份信息的数据匿名技术，面向读者敏感信息(社会属性信息)的数据泛化、数据脱敏与数据伪装技术[13]，以及针对读者借阅信息的差分隐私保护技术、基于同态加密的隐私保护技术和基于安全多方计算机隐私保护技术。

《公共图书馆法》从法律层面明确了读者个人信息保护的重要性，但其未就如何实施读者个人信息保护给出具体操作细则。在此背景下，本文结合个人信息保护相关法律法规，进一步明确了读者个人信息的分类与主要内容，提出完善法律体系、健全管理制度、发展技术策略的读者个人信息保护实施路径，从而实现读者个人信息收集、加工、利用全过程的安全防护，切实保护读者隐私，维护读者权益，推动公共图书馆事业科学、规范、健康发展。