盛豪杰

（安徽大學法學院 合肥 230601）

隨著社會數(shù)字化轉(zhuǎn)型的逐漸深入，圖書館也逐步由傳統(tǒng)圖書館向數(shù)字化、智能化圖書館轉(zhuǎn)變。數(shù)字圖書館主要以數(shù)據(jù)作為信息的重要載體，并形成圖書館數(shù)據(jù)，進而為讀者提供更加便利、個性化的服務(wù)。根據(jù)數(shù)據(jù)來源不同，圖書館數(shù)據(jù)可以分為圖書館自身數(shù)據(jù)和讀者數(shù)據(jù)。圖書館自身數(shù)據(jù)是圖書館的館藏文獻和相關(guān)信息以數(shù)據(jù)的形式記載下來，如圖書館數(shù)字資源等；讀者數(shù)據(jù)是指讀者在享受圖書館相關(guān)服務(wù)時需要提供的個人信息或者享受服務(wù)時自動產(chǎn)生的相關(guān)數(shù)據(jù)，如讀者個人資料、閱讀記錄等。圖書館數(shù)據(jù)是數(shù)字圖書館的重要組成，其安全需要予以重點保障。但是，當下圖書館對自身數(shù)據(jù)安全的保障存在內(nèi)控缺欠之問題，不僅影響圖書館數(shù)據(jù)安全的有效保護，也存在法律風險。圖書館需要對該問題予以解決，強化圖書館數(shù)據(jù)保障的內(nèi)部管控。對此，本文認為圖書館數(shù)據(jù)合規(guī)制度有利于解決圖書館數(shù)據(jù)安全保障的內(nèi)控缺欠問題，即通過圖書館數(shù)據(jù)合規(guī)的具體構(gòu)建，可以將圖書館數(shù)據(jù)安全保障的重心轉(zhuǎn)移至圖書館內(nèi)部，以事前預防機制應(yīng)對圖書館數(shù)據(jù)可能遭受的侵權(quán)風險。

1 緣起：圖書館數(shù)據(jù)安全保障的內(nèi)控缺欠

圖書館數(shù)據(jù)安全保障的內(nèi)控缺欠的問題主要體現(xiàn)在三個方面：數(shù)據(jù)獲取的非信用交易、數(shù)據(jù)流轉(zhuǎn)的多中心化以及數(shù)據(jù)處理的第三方依賴。

1.1 數(shù)據(jù)獲取的非信用交易

讀者數(shù)據(jù)是圖書館數(shù)據(jù)的重要組成部分，讀者數(shù)據(jù)的獲取需要具備合法性，其中“知情同意原則”是獲取讀者數(shù)據(jù)的重要法律標準。所謂“知情同意原則”是指信息（數(shù)據(jù)）處理者獲取他人信息時，應(yīng)當告知信息主體，并征得其讓渡信息的同意，一般而言，非經(jīng)信息主體同意不能強制獲取他人信息。獲取讀者數(shù)據(jù)本質(zhì)上屬于數(shù)據(jù)的信用交易，具言之，圖書館給付自身信用，而讀者基于對圖書館的信任而讓渡自身數(shù)據(jù)，以期嗣后能夠得到相應(yīng)的利益（服務(wù)）。但是，當下圖書館讀者數(shù)據(jù)獲取呈現(xiàn)出非信用交易的現(xiàn)象，即讀者并非基于圖書館信用，而是由于非信用因素來讓渡自身數(shù)據(jù)。

非信用交易現(xiàn)象的出現(xiàn)既有讀者方面的原因，也有圖書館方面的原因。讀者方面的原因是指讀者讓渡個人數(shù)據(jù)源于非信用因素的考量，其非信用因素既包括讀者數(shù)據(jù)安全意識的欠缺，又包括讀者對圖書館相應(yīng)服務(wù)的急切需要，這使得讀者容易讓渡個人數(shù)據(jù)。圖書館方面的原因是指圖書館無法給予知情保障。在數(shù)據(jù)獲取的信用交易中，非信用交易現(xiàn)象源于圖書館無法提供較為周全的知情保障，讀者無法對圖書館的數(shù)據(jù)安全保障能力形成信任。通過對圖書館門戶網(wǎng)站的考察，圖書館無法給予知情保障主要有三種表現(xiàn)：第一，部分圖書館并無隱私協(xié)議。部分圖書館在用戶注冊或使用時，并未提供隱私協(xié)議讓讀者知曉其數(shù)據(jù)安全保障義務(wù)與能力。如南京圖書館僅通過手機號即可獲取圖書館賬號，但是收集數(shù)據(jù)種類少并不意味著可免除圖書館保障讀者數(shù)據(jù)安全的法律義務(wù)。第二，部分圖書館并未在協(xié)議中表明自身安全保障能力。部分圖書館在用戶注冊時，雖然提供隱私協(xié)議，并且聲明圖書館保護讀者數(shù)據(jù)或隱私，但是這類協(xié)議僅是概括性聲明，對讀者數(shù)據(jù)的保護方式、保護內(nèi)容等具體信息卻未予說明。如廣西壯族自治區(qū)圖書館的《廣西圖書館在線實名注冊使用協(xié)議》。第三，部分圖書館協(xié)議雖表明圖書館采取一定手段履行數(shù)據(jù)安全保障義務(wù)，但并未告知具體的保障手段、方式等。例如浙江圖書館的《浙江圖書館隱私聲明》[1]，雖表明該館為了保障數(shù)據(jù)安全，在制度規(guī)范與應(yīng)用技術(shù)上給予了相應(yīng)的保證，至于以何種制度、何種技術(shù)來保障數(shù)據(jù)安全，讀者卻不得而知。

1.2 數(shù)據(jù)流轉(zhuǎn)的多中心化

為了提供個性化、智能化的圖書館服務(wù)，圖書館需要將其數(shù)據(jù)在不同主體間進行流轉(zhuǎn)。圖書館數(shù)據(jù)流轉(zhuǎn)主要包含兩種情況：第一種情況是委托式流轉(zhuǎn)。委托式流轉(zhuǎn)主要是指圖書館數(shù)據(jù)在圖書館與第三方機構(gòu)之間流轉(zhuǎn)，原因在于圖書館需要提供讀者個性化服務(wù)，這要求圖書館對圖書館數(shù)據(jù)（主要是讀者數(shù)據(jù)）進行深入分析、解讀，而大多數(shù)圖書館不具有這一數(shù)據(jù)分析的軟硬件條件，無法獨立完成對相關(guān)圖書館數(shù)據(jù)的剖析[2]。對此，圖書館往往需要委托第三方機構(gòu)對相關(guān)圖書館數(shù)據(jù)進行分析。第二種情況是共享式流轉(zhuǎn)。共享式流轉(zhuǎn)是指圖書館出于特定目的將其所擁有的數(shù)據(jù)在多個平臺之間公開、共享，這主要是指圖書館與非營利機構(gòu)之間的流轉(zhuǎn)。有的學者將非營利主體間的圖書館數(shù)據(jù)共享形式，歸納為圖書館聯(lián)盟、圖書館聯(lián)合體和館際互借等形式[3]。

無論是委托式流轉(zhuǎn)，還是共享式流轉(zhuǎn)，事實上都消解了單一個體對圖書館數(shù)據(jù)的掌控，進而呈現(xiàn)出數(shù)據(jù)安全保障的多中心化現(xiàn)象。在委托式流轉(zhuǎn)中，委托者（圖書館）與被委托者（第三方）都具有對圖書館數(shù)據(jù)的控制支配能力。在共享式流轉(zhuǎn)中，共享人之間共同掌握圖書館數(shù)據(jù)。當圖書館數(shù)據(jù)處于不同主體管理下，各主體對相關(guān)數(shù)據(jù)具有事實上的控制能力，因此各主體應(yīng)負擔相應(yīng)的數(shù)據(jù)安全保障義務(wù)。如果每個節(jié)點的控制者都能履行該義務(wù)，數(shù)據(jù)安全自然能夠得到保障。但是，多中心化的數(shù)據(jù)管理下圖書館數(shù)據(jù)安全的風險也陡然增加，其原因在于多中心下的每一節(jié)點既是安全的保衛(wèi)地，又是風險的發(fā)生地。換言之，多中心化數(shù)據(jù)管理下，圖書館數(shù)據(jù)的安全指數(shù)并非是“1+1 ≥2”，而是“1+1 ≤1”。圖書館數(shù)據(jù)安全風險的增加可以用木桶理論予以解釋，木桶理論是指一只木桶所能裝載的水量不是由木桶的最長板所決定的，而是由木桶的最短板所決定的。就圖書館數(shù)據(jù)而言，數(shù)據(jù)安全是載水量，各中心節(jié)點是木板，當圖書館數(shù)據(jù)由多個主體分別控制時，數(shù)據(jù)安全保障能力最弱的主體決定該數(shù)據(jù)的安全程度。因此，數(shù)據(jù)流轉(zhuǎn)過程中數(shù)據(jù)控制主體越多，數(shù)據(jù)安全保障的風險就越大。

1.3 數(shù)據(jù)安全的第三方依賴

在圖書館數(shù)字化、智能化進程中，數(shù)據(jù)風險應(yīng)對能力是圖書館數(shù)字化轉(zhuǎn)型的重要能力之一。為了應(yīng)對數(shù)字化進程對圖書館的挑戰(zhàn)，圖書館或成立專門的資源管理部門，或招聘具備計算機、電子信息等專業(yè)背景的工作人員。這類工作人員在圖書館中主要負責圖書館數(shù)據(jù)資源的建設(shè)與使用，例如國家圖書館在2021 年的人員招聘中對該崗位職責的要求主要是跟蹤智慧圖書館發(fā)展動態(tài)、參與圖書館知識資源建設(shè)、參與智慧圖書館建設(shè)與服務(wù)管理相關(guān)工作等等[4]。從上述崗位職責來看，圖書館招聘工作人員的主要目的在于為提供智能化服務(wù)而進行的數(shù)字資源的開發(fā)與運用[5]，而對工作人員的數(shù)據(jù)安全保障能力并未作明確要求。由此可以看出，掌握圖書館數(shù)據(jù)的工作人員是否具有較強的及時發(fā)現(xiàn)、制止數(shù)據(jù)侵害事件或挽回數(shù)據(jù)侵權(quán)損失的技術(shù)能力不無疑問。事實上，圖書館處理數(shù)據(jù)中的安全保障主要依賴于第三方專業(yè)機構(gòu)，正如浙江圖書館的《浙江圖書館隱私聲明》所規(guī)定，圖書館網(wǎng)站為讀者信息安全提供嚴格的管理與保護，在必要情形下委托專業(yè)技術(shù)人員代為對讀者信息進行電腦處理。

雖然依托第三方機構(gòu)保障圖書館數(shù)據(jù)安全更具靈活性與專業(yè)性，但是該做法也存在一定弊端。第一，第三方機構(gòu)處理具有滯后性。第三方專業(yè)機構(gòu)的介入，是在發(fā)生侵害結(jié)果的前提下，對數(shù)據(jù)侵害結(jié)果進行補救。圖書館難以委托第三方專業(yè)機構(gòu)對圖書館數(shù)據(jù)安全進行長期、實時監(jiān)管以便及時發(fā)現(xiàn)、制止數(shù)據(jù)侵害風險。第二，第三方機構(gòu)介入具有被動性。即便圖書館出現(xiàn)數(shù)據(jù)安全問題，第三方機構(gòu)也并非直接介入處理，而是要受圖書館的委托。在沒有委托等相關(guān)約定的情況下，第三方機構(gòu)不能直接進入圖書館數(shù)據(jù)系統(tǒng)，并實施相關(guān)技術(shù)操作。第三，第三方機構(gòu)僅提供技術(shù)性保障。第三方機構(gòu)對數(shù)據(jù)安全的保障作用體現(xiàn)于其提供的技術(shù)性保障，而數(shù)據(jù)安全保障不僅需要技術(shù)保障，還需要規(guī)范保障。在實踐中，造成數(shù)據(jù)侵權(quán)的原因主要有兩種：一是技術(shù)原因，即圖書館以外的人利用計算機等技術(shù)非法侵入圖書館數(shù)據(jù)庫，并獲取圖書館數(shù)據(jù)；二是制度原因，即圖書館數(shù)據(jù)的泄露源于圖書館工作人員直接接觸圖書館數(shù)據(jù)庫，并轉(zhuǎn)移圖書館數(shù)據(jù)。因此，第三方機構(gòu)只能應(yīng)對前者，而對后者束手無策。

2 架構(gòu)：圖書館數(shù)據(jù)合規(guī)的基本原理

圖書館數(shù)據(jù)安全保障的問題暴露了圖書館內(nèi)部對數(shù)據(jù)安全的風險防范能力與風險應(yīng)對能力的不足。對此，筆者認為應(yīng)當將數(shù)據(jù)安全保障的重心轉(zhuǎn)移至圖書館內(nèi)部，引入圖書館數(shù)據(jù)合規(guī)制度，以提升圖書館數(shù)據(jù)安全的內(nèi)發(fā)性與有效性。

2.1 圖書館數(shù)據(jù)合規(guī)的概念

從文義解釋上看，“圖書館數(shù)據(jù)合規(guī)”是指圖書館對其數(shù)據(jù)實施合規(guī)管理。圖書館數(shù)據(jù)合規(guī)是合規(guī)制度在特殊領(lǐng)域的具體運用，其與“合規(guī)”“數(shù)據(jù)合規(guī)”屬于包含關(guān)系，即數(shù)據(jù)合規(guī)包含于合規(guī)，圖書館數(shù)據(jù)合規(guī)包含于數(shù)據(jù)合規(guī)。

首先，所謂“合規(guī)”，是指符合相關(guān)法律規(guī)定。“合規(guī)”源于企業(yè)管理領(lǐng)域，又稱“企業(yè)合規(guī)”，是指企業(yè)內(nèi)部運作應(yīng)當符合相關(guān)法律規(guī)范的要求，企業(yè)制定、實施合規(guī)計劃是為了及時有效發(fā)現(xiàn)、阻止相關(guān)違法犯罪行為或者挽回違法犯罪導致的損失。企業(yè)合規(guī)最早源于美國的《反托拉斯法》事件[6]。之后，企業(yè)合規(guī)理念的適用領(lǐng)域逐漸從反壟斷，擴展至反腐敗、環(huán)境監(jiān)察等領(lǐng)域。

其次，所謂“數(shù)據(jù)合規(guī)”是指企業(yè)對數(shù)據(jù)的管理應(yīng)當滿足相關(guān)法律規(guī)定的要求，即企業(yè)對數(shù)據(jù)的收集、處理、轉(zhuǎn)移、刪除等行為都要符合法律規(guī)定[7]。數(shù)據(jù)合規(guī)是企業(yè)合規(guī)理論在數(shù)據(jù)保護領(lǐng)域的具體運用，數(shù)據(jù)合規(guī)的產(chǎn)生是數(shù)據(jù)的經(jīng)濟性與社會性共同決定的。一方面，數(shù)據(jù)具有經(jīng)濟性。隨著社會數(shù)字化轉(zhuǎn)型的縱深發(fā)展，數(shù)據(jù)蘊含的潛在經(jīng)濟價值被極大激發(fā)出來。數(shù)據(jù)的經(jīng)濟價值既包含數(shù)據(jù)本身蘊含的商業(yè)價值，也包括非法利用數(shù)據(jù)所可能造成的財產(chǎn)損失[8]。另一方面，數(shù)據(jù)具有社會性，數(shù)據(jù)所承載的內(nèi)容不同，數(shù)據(jù)侵權(quán)不僅可能會給個人利益造成損失，也可能會侵害社會秩序和國家利益。因此，數(shù)據(jù)控制的組織或者個人，應(yīng)當承擔數(shù)據(jù)安全保障之義務(wù)，妥善保管、處理相關(guān)數(shù)據(jù)。

最后，“圖書館數(shù)據(jù)合規(guī)”是指圖書館應(yīng)當承擔數(shù)據(jù)合規(guī)義務(wù)，在圖書館內(nèi)部制定并實施有效的數(shù)據(jù)合規(guī)制度。圖書館數(shù)據(jù)合規(guī)是數(shù)據(jù)合規(guī)在圖書館領(lǐng)域的具體運用，這是由圖書館本身的特殊性所決定的。根據(jù)性質(zhì)不同，圖書館分為私益性圖書館與公益性圖書館。私益性圖書館具有營利性，圖書館提供優(yōu)質(zhì)閱讀服務(wù)是為了占有市場、吸引用戶，進而獲取更多經(jīng)濟利潤。若該圖書館的數(shù)據(jù)安全得不到保障或者受人質(zhì)疑，則潛在用戶無法基于信任提供自身數(shù)據(jù)，進而導致該圖書館無法獲得足夠用戶數(shù)據(jù)用以提升自身服務(wù)[9]，自身優(yōu)質(zhì)服務(wù)的欠缺無疑會阻礙其獲取更多經(jīng)濟利潤。對公益性圖書館而言，雖然其不以營利為主要目的，但具有更強的社會屬性，應(yīng)當對他人、社會、國家承擔更多的安全管理義務(wù)。公益性圖書館一旦產(chǎn)生數(shù)據(jù)侵權(quán)事件，至少存在三個方面的嚴重危害：第一，直接影響社會公共生活。公益性圖書館以為公眾提供文化閱讀公共服務(wù)為主要職能，公益性圖書館發(fā)生數(shù)據(jù)侵權(quán)事件，直接影響圖書館為公眾提供優(yōu)良的公共閱讀服務(wù)，進而對人們的公共文化生活產(chǎn)生負面影響[10]。第二，有損政府公共管理形象。作為事業(yè)單位的公益性圖書館隸屬于當?shù)卣幕芾聿块T，接受政府領(lǐng)導，因此公益性圖書館的管理水平與政府管理水平相掛鉤，公益性圖書館發(fā)生嚴重數(shù)據(jù)侵害事件，有損政府的公共管理形象[11]。第三，浪費公共資源。與營利性單位不同，公益性圖書館由財政撥款支持。雖然公益性圖書館并不參與市場競爭，但是圖書館數(shù)據(jù)侵權(quán)事件會挫傷公眾信任，進而影響讀者對圖書館公共服務(wù)活動的參與。此時，受財政支持的公益性圖書館處于支出大于收入的逆差環(huán)境，這顯然是對公共資源的極大浪費。

2.2 圖書館數(shù)據(jù)合規(guī)的正當性

圖書館數(shù)據(jù)合規(guī)具有正當性，包含圖書館數(shù)據(jù)合規(guī)具有法律依據(jù)與理論依據(jù)，為圖書館數(shù)據(jù)合規(guī)提供合法基礎(chǔ)與合理基礎(chǔ)。

2.2.1 圖書館數(shù)據(jù)合規(guī)的法律依據(jù)

圖書館實施數(shù)據(jù)合規(guī)可以從現(xiàn)行法律規(guī)定中找到合法性依據(jù)。有關(guān)圖書館數(shù)據(jù)安全管理的法律法規(guī)主要有《個人信息保護法》《數(shù)據(jù)安全法》《公共圖書館法》等。《個人信息保護法》第五十一條規(guī)定了個人信息處理者的義務(wù)，個人信息處理者應(yīng)當制定內(nèi)部管理制度和操作規(guī)程以確保處理他人信息活動的合法性與妥當性?！稊?shù)據(jù)安全法》第二十七條規(guī)定了數(shù)據(jù)安全保護義務(wù)，數(shù)據(jù)處理者應(yīng)當依照法律、法規(guī)的規(guī)定開展數(shù)據(jù)處理活動，建立健全全流程數(shù)據(jù)安全管理制度以保障數(shù)據(jù)安全?！豆矆D書館法》第十五條規(guī)定了，設(shè)立公共圖書館，應(yīng)當具備安全保障設(shè)施、制度及應(yīng)急預案。由此可見，無論是信息數(shù)據(jù)處理者，還是公共圖書館，都需要承擔數(shù)據(jù)（信息）安全保障義務(wù)，制定相應(yīng)的內(nèi)部管理制度是履行數(shù)據(jù)安全保障義務(wù)的重要措施。法律之所以要求信息數(shù)據(jù)處理者、公共圖書館等制定相應(yīng)的規(guī)章制度，意在保障數(shù)據(jù)安全。

2.2.2 圖書館數(shù)據(jù)合規(guī)的理論依據(jù)

圖書館實施數(shù)據(jù)合規(guī)具有堅實的理論基礎(chǔ)，其理論基礎(chǔ)主要有風險社會理論、成本收益理論以及領(lǐng)域支配理論等。

圖書館數(shù)據(jù)合規(guī)第一個重要理論基礎(chǔ)是風險社會理論，風險社會理論是德國社會學家烏爾里希·貝克（Ulrich Beck）所創(chuàng)建。在他的經(jīng)典著作《風險社會：新的現(xiàn)代性之路》中，貝克對他的風險社會理論進行了系統(tǒng)闡述。根據(jù)風險社會理論，當下社會已然進入后工業(yè)社會，科技的快速發(fā)展不僅賦能社會生產(chǎn)與生活，也為現(xiàn)代社會帶來新的伴生風險。傳統(tǒng)社會風險主要是疾病、戰(zhàn)爭、溫飽等等，而后工業(yè)社會的社會風險主要是由于科技發(fā)展所帶來的核能、環(huán)境污染等等。由此可以看出，貝克所提出的風險社會理論實質(zhì)上是對社會現(xiàn)代化與科技發(fā)展的深刻反思[12]。現(xiàn)代社會是一種新型風險社會，其風險不僅發(fā)生難以預測，而且后果難以估量，因此現(xiàn)代社會治理應(yīng)當采取預防式治理模式，事后補救式治理模式不利于阻止危險的實現(xiàn)與損害的擴大。圖書館數(shù)據(jù)風險同樣是現(xiàn)代科技發(fā)展的衍生物，即數(shù)字技術(shù)與智能科技的發(fā)展一方面可以優(yōu)化圖書館的服務(wù)水平[13]，另一方面也為數(shù)據(jù)安全埋下禍根。因此，對圖書館數(shù)據(jù)安全的保障，傳統(tǒng)事后懲戒所產(chǎn)生的預防作用難以紓解人們對風險本身的擔憂，圖書館需要采取預防性管理措施，以防范數(shù)據(jù)安全風險的現(xiàn)實化。圖書館數(shù)據(jù)合規(guī)理論天然契合了在風險社會中人們事前預防風險現(xiàn)實化的需要，通過圖書館內(nèi)部的合規(guī)管理，為識別、阻止風險及其現(xiàn)實化提供良好的制度保障。

成本收益理論，是經(jīng)濟學經(jīng)典理論之一，該理論可以為圖書館數(shù)據(jù)合規(guī)的正當性提供堅實基礎(chǔ)。成本收益理論是美國經(jīng)濟學家加里·S.貝克爾（Gary S. Becker）所提出，貝克爾首次利用經(jīng)濟學理論分析人類行為。成本收益理論的基本前提在于：作出行為選擇的個人應(yīng)當是理性的個人，能夠認識與衡量所實施行為需要付出的成本和獲取的收益。圖書館是否應(yīng)當實行數(shù)據(jù)合規(guī)同樣可以利用成本收益理論進行闡述。圖書館數(shù)據(jù)合規(guī)既是一項制度規(guī)范，也是一項制度選擇。圖書館是否應(yīng)當采納數(shù)據(jù)合規(guī)，需要衡量合規(guī)的成本與收益[14]。圖書館數(shù)據(jù)合規(guī)的成本在于合規(guī)計劃的制定與實施，包括合規(guī)計劃的制定成本、運行成本以及監(jiān)督成本等等。合規(guī)的收益在于通過合規(guī)的實施能夠阻止針對圖書館數(shù)據(jù)的違法犯罪行為。阻止相關(guān)違法犯罪行為，一方面有利于避免違法犯罪行為對他人、社會以及國家所造成的損害，這一收益不僅關(guān)乎圖書館自身利益，還關(guān)乎他人利益、社會國家利益；另一方面有利于降低圖書館本身由于違法犯罪行為而需要承擔的法律責任風險與經(jīng)濟信任風險，圖書館的法律責任風險是圖書館作為單位犯罪主體所承擔的罰金，經(jīng)濟信任風險是圖書館由于其數(shù)據(jù)安全保障能力不足而喪失潛在用戶與市場份額的經(jīng)濟損失。由此可見，通過對比圖書館數(shù)據(jù)合規(guī)的成本與收益的質(zhì)性與量性，圖書館數(shù)據(jù)合規(guī)實際上是利用較少的內(nèi)部管理成本獲取較大的風險預防利益。

領(lǐng)域支配理論是刑法學界用以解決作為義務(wù)來源的理論依據(jù)。張明楷教授認為當侵害法益的危險發(fā)生于行為人的支配領(lǐng)域時，行為人應(yīng)當實施積極行為以排除該法益侵害風險，否則就構(gòu)成相應(yīng)的不作為犯罪[15]。領(lǐng)域支配理論能夠與圖書館數(shù)據(jù)合規(guī)相銜接，它能夠說明圖書館數(shù)據(jù)合規(guī)的理論正當性。從事實支配狀態(tài)上，圖書館所獲取、保存的數(shù)據(jù)一般保存在圖書館內(nèi)部之中，由此形成對圖書館數(shù)據(jù)事實上的支配控制狀態(tài)。被保存在圖書館內(nèi)部的相關(guān)數(shù)據(jù)，其他主體無法對其進行直接的接觸與使用，此時，圖書館應(yīng)當承擔相關(guān)數(shù)據(jù)的安全保障義務(wù)。根據(jù)單位責任理論，在單位犯罪中如果單位存在組織管理過錯，則應(yīng)當承擔相應(yīng)的刑事責任[16]。對于圖書館而言，如果其未有效實施數(shù)據(jù)合規(guī)，表明其未排除支配領(lǐng)域的法益侵害風險，因而構(gòu)成相關(guān)單位不作為犯罪。

2.3 圖書館數(shù)據(jù)合規(guī)的功能性

圖書館數(shù)據(jù)合規(guī)不僅具有正當性基礎(chǔ)，還具有重要的現(xiàn)實功能，圖書館數(shù)據(jù)合規(guī)的特殊功能主要包括優(yōu)化內(nèi)部管理、便于行政監(jiān)管以及減免法律責任。

2.3.1 優(yōu)化內(nèi)部管理

圖書館數(shù)據(jù)合規(guī)是對圖書館內(nèi)部管理規(guī)范的要求，圖書館數(shù)據(jù)合規(guī)的重要功能之一就是能夠優(yōu)化圖書館內(nèi)部管理，而圖書館優(yōu)化內(nèi)部管理的最終目的是通過有效的合規(guī)管理來及時識別、防范、阻止侵害數(shù)據(jù)安全的違法犯罪行為。優(yōu)化內(nèi)部管理有兩個方面的具體要求：第一，合規(guī)需要符合現(xiàn)實狀況。合規(guī)制度具有廣泛的適用性，可用于不同企業(yè)、不同領(lǐng)域等。但是由于合規(guī)對象與合規(guī)主體等因素的不同，不同主體所制定的合規(guī)制度必然存在相當大的差異，想套用同一合規(guī)制度來解決任何內(nèi)部風險預防問題都是不可能實現(xiàn)的。圖書館數(shù)據(jù)合規(guī)的合規(guī)對象是數(shù)據(jù)，合規(guī)主體是圖書館，對象與主體的特殊性決定了圖書館數(shù)據(jù)合規(guī)的制定與實施必須具體問題具體分析，使合規(guī)切合自身實際情況。第二，合規(guī)需要得到有效性保障。合規(guī)制度側(cè)重于內(nèi)部管理和內(nèi)部監(jiān)督。相較于上級管理與外部監(jiān)督，內(nèi)部管理監(jiān)督既具有優(yōu)越性，也具有局限性。一方面，內(nèi)部監(jiān)督具有監(jiān)督的靈活性，能夠及時發(fā)現(xiàn)問題并采取靈活措施解決問題；另一方面，內(nèi)部監(jiān)督的有效性存在不足，由于組織體內(nèi)部管理層級與利益交纏，組織體內(nèi)部監(jiān)督可能難以發(fā)揮實際效用。為了解決這一有效性問題，合規(guī)制度的設(shè)計與構(gòu)建應(yīng)當實現(xiàn)合適的管理權(quán)力制衡，以及職權(quán)與職權(quán)相對應(yīng)等。

2.3.2 便于行政監(jiān)管

無論是私益性圖書館，還是公益性圖書館，都要受到相應(yīng)行政機關(guān)的行政監(jiān)管，圖書館對數(shù)據(jù)的獲取、儲存、處理等都應(yīng)當置于行政監(jiān)管之下。圖書館數(shù)據(jù)合規(guī)為行政主體的行政監(jiān)管提供極大便利，具體表現(xiàn)在三個方面：首先，合規(guī)計劃本身的存在。圖書館實施數(shù)據(jù)合規(guī)制度的前提在于圖書館存在有效合規(guī)計劃，合規(guī)計劃是圖書館實施合規(guī)制度的具體方案步驟，這不僅能夠為圖書館內(nèi)部合規(guī)管理提供具體指導，也能夠為行政主體的監(jiān)管提供直接線索。其次，合規(guī)計劃的實施。存在合理有效的合規(guī)計劃僅是圖書館數(shù)據(jù)安全保障的首要前提，合規(guī)計劃的具體實施才能使得“紙上的規(guī)定”變?yōu)椤艾F(xiàn)實的規(guī)定”。行政主體只需依照合規(guī)計劃的規(guī)定查驗圖書館數(shù)據(jù)合規(guī)的實施情況，即可快速獲取圖書館內(nèi)部的合規(guī)管理狀況并查驗數(shù)據(jù)安全保障的真實性。最后，合規(guī)計劃的記錄。合規(guī)計劃的實施便于行政監(jiān)管機關(guān)查驗圖書館當下的數(shù)據(jù)保障情況，合規(guī)計劃的記錄則便于對圖書館數(shù)據(jù)保障的溯源審查。圖書館數(shù)據(jù)合規(guī)必然要求圖書館內(nèi)部對相關(guān)數(shù)據(jù)事務(wù)進行記錄與整理，這種記錄與整理也無疑為行政監(jiān)管提供了極大便利。通過對記錄材料的細致審查，行政主體可以發(fā)現(xiàn)圖書館獲取、處理相關(guān)數(shù)據(jù)的具體操作。對合規(guī)記錄的溯源審查，有利于倒逼圖書館在日常經(jīng)營中進行合規(guī)管理。

2.3.3 減免法律責任

與常規(guī)的企業(yè)管理不同，合規(guī)制度具備外部法律效果，合規(guī)制度的法律效果既包含減免行政責任，也包含減免刑事責任[17]。具體而言，圖書館有效實施企業(yè)合規(guī)，即便發(fā)生了違法犯罪行為需要受到行政處罰或者刑法懲罰，圖書館也可以依據(jù)內(nèi)部存在并實施合規(guī)制度而主張減輕或者免除相應(yīng)的法律責任。合規(guī)制度減免法律責任具有理論依據(jù)，可以通過期待可能性理論與預防必要性理論予以說明。所謂“期待可能性”是指是否能夠期待行為人在行為時實施適法行為，如果能夠期待行為人實施適法行為，則行為人需要為其違法犯罪行為承擔法律責任，如果不能夠期待，則行為人不構(gòu)成犯罪，不需要承擔法律責任。合規(guī)制度的制定與實施表明合規(guī)主體為阻止組織體內(nèi)部相關(guān)違法犯罪行為做出了極大努力與成本投入，當仍出現(xiàn)相關(guān)違法犯罪行為時，這說明該行為已經(jīng)超脫企業(yè)的能力控制范圍。如果仍強制企業(yè)承擔全部法律責任，明顯強人所能，不具有期待可能性。所謂“預防必要性”是指國家機關(guān)懲治違法犯罪行為不僅要考量行為已經(jīng)造成的社會危害，還需要考量行為人的預防必要。在相同危害結(jié)果下，如果行為人預防必要性較低，其應(yīng)當承擔的法律責任也應(yīng)當降低；如果預防必要性較高，則行為人具有較大的再犯可能性，需要加大懲罰。圖書館實施合規(guī)管理，能夠說明圖書館本身反對違法犯罪行為。實施合規(guī)管理的圖書館具有較小的預防必要性，因而應(yīng)當降低其相應(yīng)的法律責任。

3 展開：圖書館數(shù)據(jù)合規(guī)的具體構(gòu)建

3.1 數(shù)據(jù)合規(guī)的責任主體

數(shù)據(jù)合規(guī)的責任主體是指圖書館內(nèi)部主要負責處理數(shù)據(jù)合規(guī)事務(wù)的部門或者人員，筆者認為圖書館可以設(shè)立數(shù)據(jù)合規(guī)部門或者數(shù)據(jù)合規(guī)專員（數(shù)據(jù)合規(guī)部門與數(shù)據(jù)合規(guī)專員均在以下統(tǒng)稱“合規(guī)專員”）。為了能夠滿足圖書館數(shù)據(jù)合規(guī)的崗位要求，圖書館所設(shè)立的合規(guī)專員需要具備以下三種基本素養(yǎng)：第一，技術(shù)素養(yǎng)。作為保障數(shù)據(jù)安全的專門人員，合規(guī)專員首先應(yīng)當具備扎實的計算機、互聯(lián)網(wǎng)等技術(shù)功底。具備相當技術(shù)素養(yǎng)的合規(guī)專員至少可以應(yīng)對以下三種情況：首先，合規(guī)專員能夠利用技術(shù)設(shè)備建立與完善圖書館安全保障系統(tǒng)，例如利用區(qū)塊鏈或者聯(lián)盟鏈等維護圖書館數(shù)據(jù)存儲安全等[18]；其次，合規(guī)專員能夠及時發(fā)現(xiàn)技術(shù)漏洞，識別數(shù)據(jù)泄露的技術(shù)風險；最后，當他人利用技術(shù)手段破解圖書館系統(tǒng)保護，非法獲取圖書館相關(guān)數(shù)據(jù)時，合規(guī)專員能夠盡可能地利用技術(shù)手段阻止該黑客行為的深入、彌補系統(tǒng)安全漏洞、回溯相關(guān)數(shù)據(jù)損失等。

第二，法律素養(yǎng)。圖書館數(shù)據(jù)合規(guī)是讓圖書館的數(shù)據(jù)管理符合法律規(guī)范的要求，合規(guī)專員制定、實施數(shù)據(jù)合規(guī)制度的必要前提在于了解我國當下有關(guān)數(shù)據(jù)安全的法律規(guī)范[19]。合規(guī)專員的法律素養(yǎng)至少應(yīng)包括對以下三個方面的了解：首先是民法、刑法、行政法等法律。合規(guī)專員對民法、刑法、行政法等法律的掌握，主要包括兩個方面：一是有關(guān)圖書館面對數(shù)據(jù)侵害事件需要承擔的法律責任，包括民事侵權(quán)責任、行政法責任以及刑事責任；二是相關(guān)法律對數(shù)據(jù)信息安全保障的具體規(guī)定，圖書館數(shù)據(jù)合規(guī)無疑需要切合相應(yīng)法律規(guī)范的要求，例如《個人信息保護法》《數(shù)據(jù)安全法》等。其次是圖書館領(lǐng)域的專門法律。圖書館數(shù)據(jù)合規(guī)專員不僅要掌握有關(guān)數(shù)據(jù)信息的一般性法律規(guī)定，也要掌握圖書館領(lǐng)域內(nèi)的具體特殊規(guī)定。我國圖書館方面的法律主要是指《公共圖書館法》，合規(guī)專員在制定、實施圖書館數(shù)據(jù)合規(guī)時應(yīng)當結(jié)合圖書館領(lǐng)域的具體規(guī)定，避免數(shù)據(jù)合規(guī)與圖書館法律規(guī)范相沖突。最后是域外合規(guī)法律規(guī)范。在我國，企業(yè)合規(guī)、數(shù)據(jù)合規(guī)等仍屬于新興理念與制度，我國理論與實踐人員對合規(guī)的研究還屬于探索時期，不可避免地存在不完善之處。相較于國內(nèi)經(jīng)驗的缺乏，域外合規(guī)制度的理論與實踐發(fā)展更加深入、也更為成熟，這可以為我國圖書館數(shù)據(jù)合規(guī)提供大量有益經(jīng)驗。因此，我國圖書館的合規(guī)專員應(yīng)當對域外合規(guī)法律規(guī)范具有一定程度的了解與掌握。

第三，合規(guī)素養(yǎng)。數(shù)據(jù)合規(guī)既有技術(shù)要求，也有法律要求，但是從本質(zhì)上而言，合規(guī)是企業(yè)管理的新型模式。圖書館數(shù)據(jù)合規(guī)是圖書館內(nèi)部管理的一種理論構(gòu)建和制度設(shè)計，圖書館數(shù)據(jù)合規(guī)對合規(guī)專員最重要的要求應(yīng)當是合規(guī)管理的基本素養(yǎng)。數(shù)據(jù)合規(guī)人員除了具備技術(shù)素養(yǎng)與法律素養(yǎng)之外，根本上應(yīng)當是一種管理人才。技術(shù)要求與法律要求則是為數(shù)據(jù)合規(guī)專員能夠更好地進行數(shù)據(jù)管理而服務(wù)，屬于次要要求，合規(guī)管理素養(yǎng)則屬于根本要求。數(shù)據(jù)專員的合規(guī)管理素養(yǎng)包括管理能力與管理地位兩個方面的具體要求。對于管理能力而言，數(shù)據(jù)合規(guī)專員能夠為圖書館數(shù)據(jù)管理制定可有效運行的規(guī)章制度，還需要有面對現(xiàn)實損害時能夠冷靜處理的應(yīng)對能力。對于管理地位而言，數(shù)據(jù)合規(guī)屬于內(nèi)部監(jiān)督管理，如果數(shù)據(jù)合規(guī)專員不具備一定的管理地位，則難以調(diào)動資源以優(yōu)化圖書館內(nèi)部管理。

3.2 數(shù)據(jù)合規(guī)的主要內(nèi)容

在圖書館合規(guī)專員的負責下，根據(jù)數(shù)據(jù)處理階段的不同，圖書館數(shù)據(jù)合規(guī)內(nèi)容應(yīng)當包含不少于以下四個方面的重要內(nèi)容，如圖1 所示。

圖1 圖書館數(shù)據(jù)合規(guī)內(nèi)容示意圖

3.2.1 數(shù)據(jù)獲取的合規(guī)化

合規(guī)專員在數(shù)據(jù)獲取階段主要是代表圖書館獲取讀者數(shù)據(jù)，其重點在于保障數(shù)據(jù)獲取的合法性與正當性。首先，根據(jù)相關(guān)法律規(guī)定的要求，合規(guī)專員應(yīng)當對圖書館所需要獲取數(shù)據(jù)的種類、數(shù)量以及獲取手段等予以明確要求與嚴格規(guī)范。可獲取數(shù)據(jù)的范圍應(yīng)當嚴格限制在圖書館使用數(shù)據(jù)的必要范圍之內(nèi)，并且不能用非法手段獲取讀者相關(guān)數(shù)據(jù)。其次，合規(guī)專員應(yīng)當保障讀者知情權(quán)。由上文可知，知情同意原則的現(xiàn)實問題是知情權(quán)無法得到保障，進而形成數(shù)據(jù)獲取的非信用交易。對此，數(shù)據(jù)合規(guī)專員應(yīng)當保障讀者知情權(quán)，充分公開圖書館保障讀者數(shù)據(jù)的手段與技術(shù)，讓讀者能夠真正基于信任讓渡個人信息。最后，合規(guī)專員應(yīng)當留有與讀者溝通的通道。《個人信息法》規(guī)定了個人的知情權(quán)與刪除權(quán)等，這類權(quán)利不僅需要明確的事前規(guī)定，還需要圖書館與讀者之間有良好的溝通渠道。利用該溝通渠道，讀者可以了解圖書館的數(shù)據(jù)保障能力與措施，也可以及時刪除、撤回原有的數(shù)據(jù)讓渡同意。

3.2.2 數(shù)據(jù)儲存的合規(guī)化

在數(shù)據(jù)儲存階段，數(shù)據(jù)合規(guī)表現(xiàn)為合規(guī)專員應(yīng)當從技術(shù)上與制度上保障數(shù)據(jù)的儲存安全。技術(shù)上，圖書館數(shù)據(jù)合規(guī)應(yīng)當要求合規(guī)專員既能日常維護數(shù)據(jù)儲存系統(tǒng)的平穩(wěn)運行，又能夠適時升級數(shù)據(jù)儲存的安全系統(tǒng)。制度上，圖書館合規(guī)計劃應(yīng)當保障非合規(guī)專員無法直接接觸并開啟圖書館數(shù)據(jù)庫，圖書館其他工作人員因正常工作需要而要求獲取數(shù)據(jù)庫的數(shù)據(jù)時，應(yīng)當經(jīng)過合規(guī)專員的審核與明確同意，并且合規(guī)專員應(yīng)當對其他工作人員獲取數(shù)據(jù)的目的、種類、數(shù)據(jù)等記錄歸檔。就此，筆者認為可以建立數(shù)據(jù)出庫與入庫的雙審核制，即合規(guī)專員在圖書館數(shù)據(jù)入庫時記錄數(shù)據(jù)的種類、形式、性質(zhì)等信息，出庫時也記錄數(shù)據(jù)出庫的緣由、提取人、衍生數(shù)據(jù)情況等。對于重要的敏感信息，在出庫與入庫時，合規(guī)專員可以采取必要技術(shù)手段對相關(guān)數(shù)據(jù)進行脫敏或刪除。

3.2.3 數(shù)據(jù)流轉(zhuǎn)的合規(guī)化

當圖書館數(shù)據(jù)由獲取主體的圖書館流轉(zhuǎn)至其他主體時，相關(guān)數(shù)據(jù)的安全保障重心發(fā)生轉(zhuǎn)移，或轉(zhuǎn)移至他人領(lǐng)域，或產(chǎn)生多中心保護重心。數(shù)據(jù)流轉(zhuǎn)往往為數(shù)據(jù)安全增添新風險，對此作為數(shù)據(jù)移送主體的圖書館應(yīng)當采取一定的風險規(guī)避措施。在數(shù)據(jù)流轉(zhuǎn)階段，移送主體應(yīng)當審慎衡量數(shù)據(jù)接受主體的數(shù)據(jù)安全保障能力[20]，既包括技術(shù)上的數(shù)據(jù)安全保障能力，也包括制度上的數(shù)據(jù)安全保障能力。制度上的數(shù)據(jù)安全保障能力主要指對方單位是否實施數(shù)據(jù)合規(guī)，基于對數(shù)據(jù)合規(guī)制度的信任，移送主體可以根據(jù)數(shù)據(jù)合規(guī)來判斷對方單位的安全保障能力。審查對方數(shù)據(jù)安全保障能力具有必要性：第一，保障讀者知情同意?！秱€人信息保護法》規(guī)定，信息處理者轉(zhuǎn)移個人信息時，應(yīng)當向個人告知接受方的名稱或姓名、聯(lián)系方式、處理目的與種類等信息，并單獨獲取他人同意。簡言之，圖書館數(shù)據(jù)流轉(zhuǎn)應(yīng)當告知權(quán)利人并征得其同意。事實上，數(shù)據(jù)流轉(zhuǎn)是由移送的圖書館所實施，接受方也是由該圖書館決定，讀者個人難以獲取接受方的相關(guān)信息。此時，如果讀者需基于真實意愿同意數(shù)據(jù)流轉(zhuǎn)，該圖書館必須審查接受方安全保障能力，并告知權(quán)利人。第二，降低自身責任風險。數(shù)據(jù)流轉(zhuǎn)并非意味著移送主體對流轉(zhuǎn)后數(shù)據(jù)免除責任，根據(jù)《個人信息保護法》的規(guī)定，信息處理者共同處理個人信息時，造成個人信息權(quán)益受損害的，應(yīng)當承擔連帶責任。圖書館審查接受方的數(shù)據(jù)安全保障能力，有利于避免發(fā)生數(shù)據(jù)損害事件，進而有利于降低自身責任風險。

3.2.4 損害應(yīng)對的合規(guī)化

數(shù)據(jù)合規(guī)側(cè)重于風險預防，但也包括損害救濟。在發(fā)生數(shù)據(jù)損害階段，數(shù)據(jù)合規(guī)并非毫無作為，合規(guī)專員及其單位應(yīng)當積極地采取措施阻止損害行為繼續(xù)進行，并及時盡力挽回數(shù)據(jù)侵權(quán)所造成的損失。除此之外，在數(shù)據(jù)損害發(fā)生之后，合規(guī)專員還應(yīng)及時與監(jiān)管機關(guān)、圖書館、讀者溝通。第一，自查事件內(nèi)部原因，及時明確事件責任人。當數(shù)據(jù)損害事件發(fā)生時，圖書館內(nèi)部應(yīng)當啟動事件調(diào)查機制，查找事件發(fā)生的內(nèi)部原因，明確事件責任人，并依照圖書館管理規(guī)定對相關(guān)責任人予以適當懲罰。數(shù)據(jù)合規(guī)的內(nèi)部自查機制，不僅為監(jiān)管機關(guān)的介入調(diào)查提供便利，還體現(xiàn)了圖書館對數(shù)據(jù)安全的重視。第二，與監(jiān)管機關(guān)溝通，并積極配合監(jiān)管機關(guān)調(diào)查。監(jiān)管機關(guān)既包括行政機關(guān)，也包括刑事司法機關(guān)。當數(shù)據(jù)損害事件發(fā)生后，圖書館應(yīng)當及時報案，主動接受監(jiān)管機關(guān)的介入，并積極配合監(jiān)管機關(guān)調(diào)查。與監(jiān)管機關(guān)溝通并配合調(diào)查，不僅有利于責任的追究，也有利于節(jié)省國家資源。第三，及時告知權(quán)利人，并積極協(xié)商損害賠償。讀者數(shù)據(jù)是圖書館數(shù)據(jù)的重要組成部分，讀者也因此是數(shù)據(jù)侵權(quán)的最終受害人。當數(shù)據(jù)侵權(quán)事件發(fā)生時，作為利益相關(guān)人的讀者應(yīng)當具有知情權(quán)，圖書館應(yīng)當就數(shù)據(jù)侵權(quán)事件對相關(guān)權(quán)利人予以說明。圖書館需要承擔相應(yīng)的賠償責任時，應(yīng)當積極與權(quán)利人協(xié)商，賠償其相應(yīng)損失。

3.3 數(shù)據(jù)合規(guī)的重要保障

圖書館數(shù)據(jù)合規(guī)屬于組織體管理改革，但是由于內(nèi)部監(jiān)督的局限性、組織層級的壓制性以及合規(guī)管理的成本性等因素，圖書館數(shù)據(jù)合規(guī)的有效性必然受限，因此應(yīng)當對圖書館數(shù)據(jù)合規(guī)采取一定的保障措施。對圖書館數(shù)據(jù)合規(guī)的保障可以從微觀、中觀、宏觀三個角度予以著手。

3.3.1 微觀保障：合規(guī)專員獨立化

圖書館數(shù)據(jù)合規(guī)的微觀保障應(yīng)當著眼于合規(guī)專員在機構(gòu)內(nèi)的地位，即合規(guī)專員應(yīng)當具有獨立地位。圖書館數(shù)據(jù)合規(guī)專員在圖書館中主要負責合規(guī)計劃的制定與實施，但是合規(guī)計劃具有較多的管理、監(jiān)督的內(nèi)容，如果數(shù)據(jù)合規(guī)專員僅屬于普通職員，容易受到單位內(nèi)部其他管理人員的影響，難以真正推動數(shù)據(jù)合規(guī)的有效實行。因此，圖書館數(shù)據(jù)合規(guī)應(yīng)當保障合規(guī)專員的獨立性，具體可以從以下三個方面操作：第一，崗位的獨立性。數(shù)據(jù)合規(guī)部門應(yīng)當屬于獨立的圖書館管理機構(gòu)，不從屬于圖書館其他管理機構(gòu)。即便囿于圖書館規(guī)模的限制，圖書館僅設(shè)立了數(shù)據(jù)合規(guī)專員，但是合規(guī)專員也并不應(yīng)從屬于已有的信息管理部門，應(yīng)當是獨立于其他部門而存在。第二，職位的管理性。合規(guī)專員不僅需要在崗位上獨立，還需要具有一定的管理權(quán)能，屬于圖書館管理人員。合規(guī)專員所承擔的職責決定了合規(guī)專員不能僅由普通職工擔任，作為管理人員的合規(guī)專員不僅需要排除圖書館其他工作人員的干涉，還需要能夠調(diào)動圖書館其他人員對合規(guī)工作的配合與支持。第三，職務(wù)的豁免性。合規(guī)專員的監(jiān)管可能侵犯圖書館內(nèi)部成員的利益，可能遭致報復與不滿，對此，合規(guī)專員需要得到職務(wù)豁免，即不能懲罰合規(guī)專員正當履行監(jiān)督管理職務(wù)的行為。當合規(guī)專員因履行職務(wù)而受到不合理的對待時，合規(guī)專員可以向圖書館高層領(lǐng)導或者行政監(jiān)管部門進行舉報，并尋求相應(yīng)保護。

3.3.2 中觀保障：圖書館合規(guī)文化

圖書館數(shù)據(jù)合規(guī)的中觀保障在于圖書館本身應(yīng)當具有良好的合規(guī)氛圍與合規(guī)文化，這是對圖書館的整體要求。圖書館數(shù)據(jù)合規(guī)的事務(wù)范圍并不局限于合規(guī)專員或者合規(guī)部門，其范圍涉及圖書館全部人員。隨著圖書館數(shù)字化轉(zhuǎn)型的不斷深入，圖書館各個部門都有可能產(chǎn)生相關(guān)數(shù)據(jù)，也都有可能需要使用相關(guān)數(shù)據(jù)。合規(guī)部門僅是圖書館數(shù)據(jù)的集散地，而非數(shù)據(jù)存在的全部范圍。對于圖書館合規(guī)文化的塑造，應(yīng)當由圖書館數(shù)據(jù)合規(guī)專員牽頭，圖書館其他部門積極配合。首先，進行日常合規(guī)宣傳。圖書館合規(guī)文化的培養(yǎng)，離不開日常宣傳活動。對于圖書館數(shù)據(jù)合規(guī)文化，圖書館可以利用宣傳欄、宣傳手冊以及宣傳海報等多種形式宣傳數(shù)據(jù)合規(guī)的基本內(nèi)容與重要作用。其次，開展數(shù)據(jù)合規(guī)教育培訓。除了日常的合規(guī)宣傳，圖書館也可以定期或者不定期開展數(shù)據(jù)合規(guī)的教育培訓活動。集中化、專業(yè)化的教育培訓活動，可以深化圖書館工作人員對合規(guī)的認識與認同，極大提高數(shù)據(jù)合規(guī)在圖書館工作中的重視程度。最后，將合規(guī)操作納入工作考核。日常宣傳與教育培訓都是以引導的方式提升圖書館工作人員的合規(guī)意識，這種方式有利于人們對數(shù)據(jù)合規(guī)的真正認同，但是缺乏一定效率。對此，圖書館應(yīng)當將數(shù)據(jù)合規(guī)操作納入工作考核，以考核的方式倒逼圖書館合規(guī)文化與合規(guī)秩序快速形成。

3.3.3 宏觀保障：激勵式行政監(jiān)管

保障圖書館數(shù)據(jù)合規(guī)的有效性，還有賴于國家力量的介入，即數(shù)據(jù)合規(guī)需要行政監(jiān)管。通過對合規(guī)監(jiān)管實踐的考察，世界范圍內(nèi)不同國家主要存在三種行政監(jiān)管方式，即激勵模式、懲罰模式以及激勵-懲罰模式?！凹钅Ｊ健笔侵感姓C關(guān)引導各單位實行合規(guī)制度主要是通過減免法律責任的方式誘導各單位自行實施合規(guī)制度[21]?！皯土P模式”是指實施合規(guī)制度是企業(yè)的法律義務(wù)，如果單位不制定或者不實施合規(guī)制度，則由行政機關(guān)予以行政處罰[22]。甚至有學者認為制定實施合規(guī)制度可以成為刑法義務(wù)，不履行合規(guī)義務(wù)可能遭受刑事處罰[23]?！凹?懲罰模式”則是采用減免責任與強制實施兩種方式，形成“蘿卜加大棒”的監(jiān)管模式。在我國司法實踐中，數(shù)據(jù)合規(guī)的行政監(jiān)管模式仍有待探究。筆者認為我國應(yīng)該構(gòu)建以激勵為主的行政監(jiān)管模式，懲罰式監(jiān)管模式不符合我國合規(guī)發(fā)展狀況。從我國合規(guī)實踐來看，理論探討多于實踐運用，合規(guī)制度的社會接納程度仍較低，并且對于我國不同領(lǐng)域、不同行業(yè)應(yīng)當實行何種有效合規(guī)制度仍無定論。倉促地實行懲罰模式強制企業(yè)合規(guī)，無疑是不合理地加重企業(yè)負擔，進而有引發(fā)社會不滿、擾亂社會秩序之虞。因此，在我國現(xiàn)階段，行政監(jiān)管應(yīng)當以激勵措施為主，進行正向引導，在引導過程中探索有效的本土合規(guī)制度。

但是純粹的激勵模式對督促圖書館實行數(shù)據(jù)合規(guī)仍存在不足，責任減免是一種未來利益、預期利益，激勵模式無力促進數(shù)據(jù)合規(guī)制度的快速發(fā)展。對此，筆者認為在采納激勵模式的前提下可以將合理的合規(guī)制度作為圖書館（抑或企業(yè)）登記的基本要求之一。無論是私益性圖書館，還是公益性圖書館，其成立都需要向相關(guān)登記機關(guān)申請設(shè)立登記，無登記則不能設(shè)立。圖書館在向行政登記機關(guān)申請設(shè)立登記時，應(yīng)當提供相應(yīng)的合規(guī)制度證明，包括合規(guī)計劃、合規(guī)部門等等；登記機關(guān)應(yīng)當核查圖書館數(shù)據(jù)合規(guī)制度的證明材料，進而決定是否予以登記。對于已經(jīng)設(shè)立的圖書館，一方面相關(guān)行政監(jiān)管機關(guān)應(yīng)當督促其盡快實行數(shù)據(jù)合規(guī)，另一方面登記機關(guān)可以在圖書館變更登記時將數(shù)據(jù)合規(guī)制度作為變更登記的“其他材料”，以此督促圖書館實行合規(guī)制度。通過登記制度促使企業(yè)與機構(gòu)實行合規(guī)制度，既能夠避免使用懲罰性措施而不合理地增加負擔，又能夠極大促進其對合規(guī)制度的重視與構(gòu)建。值得強調(diào)的是：登記機關(guān)審查合規(guī)制度意在督促其設(shè)立合規(guī)制度，無法監(jiān)督合規(guī)制度的有效實施，合規(guī)制度的有效實施目前主要還是依靠合規(guī)專員獨立化、合規(guī)文化以及激勵式行政監(jiān)管等予以保障。

4 結(jié)語

在實踐中，由于圖書館數(shù)據(jù)安全保護能力的內(nèi)發(fā)性欠缺，圖書館內(nèi)部管理制度無法對數(shù)據(jù)安全形成有效保護，主要表現(xiàn)在數(shù)據(jù)獲取的非信用交易、數(shù)據(jù)處理的第三方依賴以及數(shù)據(jù)流轉(zhuǎn)的多中心化等方面，對此，我國圖書館領(lǐng)域應(yīng)當構(gòu)建數(shù)據(jù)合規(guī)制度。圖書館數(shù)據(jù)合規(guī)是合規(guī)理論在圖書館領(lǐng)域針對數(shù)據(jù)對象的具體運用，兼具正當性與功能性。構(gòu)建圖書館數(shù)據(jù)合規(guī)制度需要明確責任主體、具體內(nèi)容以及保障措施。對于責任主體，圖書館應(yīng)當設(shè)立數(shù)據(jù)合規(guī)專員或者數(shù)據(jù)合規(guī)部門具體負責合規(guī)事項。對于具體內(nèi)容，合規(guī)專員的職責包括但不限于實施數(shù)據(jù)獲取、數(shù)據(jù)儲存、數(shù)據(jù)流轉(zhuǎn)以及損害應(yīng)對等過程的合規(guī)化。對于保障措施，為了保障圖書館數(shù)據(jù)合規(guī)的有效運行，需要在微觀、中觀、宏觀三個方面設(shè)立保障制度，依次為合規(guī)專員獨立化、圖書館合規(guī)文化以及激勵式行政監(jiān)管。

（來稿時間：2022 年 3 月）