摘 要：在大數(shù)據(jù)時代和《中華人民共和國個人信息保護法》出臺的背景下，讀者個人信息保護成為公共圖書館面臨的新課題。文章分析了讀者個人信息的范疇，明確了公共圖書館個人信息處理活動中讀者的知情權(quán)、決定權(quán)、查詢權(quán)、復(fù)制權(quán)、信息可攜帶權(quán)、更正權(quán)、刪除權(quán)和解釋說明權(quán)等相關(guān)權(quán)利，指出了公共圖書館保護讀者相關(guān)權(quán)利方面存在保護意識和能力不足、缺乏行業(yè)指導(dǎo)、與第三方合作存在風(fēng)險等問題，并從意識層面、制度層面、實踐層面、技術(shù)層面提出了對策建議。

關(guān)鍵詞：公共圖書館；讀者個人信息；《個人信息保護法》

中圖分類號：G258.2 文獻(xiàn)標(biāo)識碼：A

Research on the Protection of Readers' Personal Information Rights in Public Libraries： From the Perspective of Personal Information Protection Law

Abstract In the era of big data and the promulgation of the Personal Information Protection Law of the People's Republic of China， the protection of readers' personal information has become a new issue facing public libraries. This article analyzes the scope of readers' personal information and clarifies the relevant rights such as the right to be informed， the right to decide， the right to access， the right to copy， the right to data portability， the right to rectification， the right to erasure， and the right to explanation and interpretation of readers in public library's personal information processing activities. The article also points out the problems of inadequate awareness and ability to protect readers' rights， lack of industry guidance， and risks associated with third-party cooperation in protecting readers' rights in public libraries. Furthermore， the article proposes countermeasures and suggestions from the aspects of awareness， system， practice， and technology to improve the protection of readers' personal information in public libraries.

Key words public library; personal information of readers; Personal Information Protection Law

大數(shù)據(jù)時代，個人信息保護的重要性毋庸贅言。作為公共服務(wù)機構(gòu)，公共圖書館在為讀者提供服務(wù)的同時必然涉及讀者個人信息的應(yīng)用與處理，特別是依托互聯(lián)網(wǎng)開展的新業(yè)務(wù)更是有賴于個人信息的支撐。處理個人信息的行為與讀者個人信息的人格、財產(chǎn)等權(quán)益密切相關(guān)，作為一類重要的個人信息處理者[1]，公共圖書館必須重視讀者個人信息的保護工作。

長期以來，公共圖書館在個人信息保護方面缺乏法律法規(guī)指導(dǎo)。2018年1月施行的《中華人民共和國公共圖書館法》（以下簡稱《公共圖書館法》）明確規(guī)定：“公共圖書館應(yīng)當(dāng)妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息”[2]。2021年11月施行的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）作為專門性法律，對全社會各領(lǐng)域活動提出了保護個人信息的具體要求。此間，業(yè)界逐步開始探討圖書館讀者個人信息保護問題，研究多從信息的分類分級、處理信息的合規(guī)行為、網(wǎng)絡(luò)服務(wù)中的信息安全等視角展開。個人信息受到應(yīng)有的保護是信息主體的法定權(quán)利，為此，筆者試圖從讀者個人信息權(quán)利的角度進(jìn)行研究，以期讓公共圖書館直接全面地認(rèn)識讀者在個人信息處理活動中的權(quán)利，結(jié)合實際制定讀者個人信息保護方面的行業(yè)規(guī)范。

1 讀者個人信息范疇

保護讀者個人信息相關(guān)權(quán)利，首先要明確讀者個人信息范疇。國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）是關(guān)于信息安全的重要規(guī)范，列舉了個人信息的主要范圍，包括“姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等”?！秱€人信息保護法》第四條則規(guī)定，個人信息是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”[3]。該條采取“識別+相關(guān)說”的標(biāo)準(zhǔn)界定個人信息，“已識別”是指根據(jù)一定的信息，特定自然人已經(jīng)被識別出來，“可識別”是指根據(jù)一定的信息，特定自然人的身份雖然還沒有被識別出來，但是可以通過某種方式加以識別[4]。據(jù)此，讀者個人信息應(yīng)是公共圖書館記錄的與已識別或者可識別的讀者有關(guān)的各種信息。

關(guān)于讀者個人信息的分類，《公共圖書館法》第43條劃分為個人信息、借閱信息和可能涉及隱私的信息，有的學(xué)者將其進(jìn)一步表述為個人身份信息、借閱信息、隱私信息[5]，可以看出是結(jié)合信息的重要性和產(chǎn)生信息的業(yè)務(wù)行為進(jìn)行的綜合分類。為了更加貼近公共圖書館的場景特性，結(jié)合《個人信息保護法》的限定，筆者把受保護的讀者個人信息范疇概括為以下三類：

一是身份信息，包括個人基本資料和身份信息，如姓名、性別、民族、住址、通訊聯(lián)系方式以及證件號碼等。此類信息的作用是直接說明讀者身份，屬于與已識別的讀者有關(guān)的信息。

二是借閱信息，包括圖書館紙質(zhì)資源的借還記錄和數(shù)字資源的瀏覽記錄，廣義上還應(yīng)包括參加閱讀推廣活動的記錄。此類信息屬于與可識別的讀者有關(guān)的信息。

三是公共場所相關(guān)信息，包括讀者進(jìn)入圖書館和離開圖書館的記錄，以及圖書館通過圖像采集設(shè)備或個人身份識別設(shè)備收集的個人圖像、身份識別信息。此類信息屬于與可識別的讀者有關(guān)的信息。

2 讀者在個人信息處理活動中的相關(guān)權(quán)利

在個人信息保護法律關(guān)系中，讀者是權(quán)利人，享有相應(yīng)的權(quán)利，公共圖書館是義務(wù)人，應(yīng)承擔(dān)相應(yīng)的義務(wù)。《個人信息保護法》明確規(guī)定了個人在個人信息處理活動中的權(quán)利，對個人相關(guān)權(quán)利的保護是多角度的，同時規(guī)范了信息處理者的行為，規(guī)定了信息處理者的義務(wù)，其中有關(guān)條款適用在公共圖書館領(lǐng)域體現(xiàn)為讀者的相關(guān)權(quán)利和公共圖書館的義務(wù)。當(dāng)前，各國個人信息保護立法主要是賦予信息主體信息訪問權(quán)、更正權(quán)、被遺忘權(quán)和信息可攜帶權(quán)等，同時要求信息處理者履行告知、安全防護等相應(yīng)的保護義務(wù)[6]。我國《個人信息保護法》賦予讀者的權(quán)利和圖書館的義務(wù)也基本對應(yīng)，只是表述不盡一致，具體內(nèi)容如表1所示。

2.1 知情權(quán)

《個人信息保護法》第四章為個人在個人信息處理活動中的權(quán)利，其中第四十四條規(guī)定個人對其個人信息的處理享有知情權(quán)、決定權(quán)。《個人信息保護法》構(gòu)建的處理個人信息的規(guī)則是以“告知—同意”為核心的[7]，其中“告知”是前提。有關(guān)研究中統(tǒng)計信息處理者義務(wù)核心詞的詞頻，“告知”“取得”詞頻最高[8]，由此可以看出知情權(quán)的重要性。

《個人信息保護法》第七條規(guī)定，處理個人信息應(yīng)當(dāng)遵循公開、透明原則，明示處理的目的、方式和范圍。第十七條則從方式、語言到內(nèi)容提出了告知的具體要求，即方式要顯著明了，語言要清晰易懂、準(zhǔn)確完整，內(nèi)容則包括個人信息處理者的名稱和聯(lián)系方式、處理目的、處理方式、處理的信息種類、保存期限等。按照上述兩條規(guī)定，圖書館在辦理讀者證、招募志愿者、閱讀推廣活動報名等工作中涉及處理讀者個人信息時，應(yīng)提前制定個人信息處理規(guī)則，并通過相應(yīng)的線上線下途徑公開，使得讀者在提交個人信息時能夠便捷地獲得和準(zhǔn)確地知曉規(guī)則，即明白圖書館為什么要收集個人信息，怎樣合理使用個人信息，如何安全存儲個人信息，何時刪除不再必要的個人信息等，以及行使個人信息相關(guān)權(quán)利的方式和程序。

《個人信息保護法》第二十六條規(guī)定，在公共場所安裝圖像采集、個人身份識別設(shè)備應(yīng)當(dāng)遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標(biāo)識，收集的個人信息只能用于維護公共安全。公共圖書館是公共場所，出于安防工作所需，或者在智慧化發(fā)展中，為了實現(xiàn)讀者自助刷臉?biāo)⒖ū憬葸M(jìn)入場館和借還文獻(xiàn)，以及精準(zhǔn)了解讀者需求的基礎(chǔ)上提供個性化服務(wù)等目的，在必要的區(qū)域會安裝圖像采集、個人身份識別等智能設(shè)備。但是，個人身份證號和面部識別信息等屬于個人敏感信息[9]，公共圖書館應(yīng)當(dāng)在采集信息的區(qū)域或設(shè)備上設(shè)置明顯的標(biāo)識，提示讀者個人信息正在被收集，保護讀者的知情權(quán)。

2.2 決定權(quán)

現(xiàn)代信息保護規(guī)范中，“同意原則”被認(rèn)為是重要基礎(chǔ)，決定權(quán)就是該原則的重要體現(xiàn)。《個人信息保護法》第四十四條在規(guī)定個人對其個人信息處理具有決定權(quán)的同時，還明確規(guī)定除法律、行政法規(guī)另有規(guī)定的，個人“有權(quán)限制或者拒絕他人對其個人信息進(jìn)行處理”。決定權(quán)是個人信息權(quán)益的核心內(nèi)容，適用到公共圖書館領(lǐng)域表現(xiàn)為，讀者能夠自主決定對其個人信息的處理，有權(quán)限制或者拒絕圖書館對其個人信息進(jìn)行處理。

《個人信息保護法》涉及決定權(quán)的內(nèi)容主要在第十三至十五條。第十三條明確了個人對于處理其個人信息的決定權(quán)，即除法律和行政法規(guī)明確規(guī)定的特殊情形以外均適用。第十四條明確了決定權(quán)有效的前置條件，即個人同意必須是“由個人在充分知情的前提下自愿、明確作出”；同時限定“當(dāng)信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意”，例如當(dāng)圖書館的讀者證制度發(fā)生變化時，應(yīng)通過公開方式提醒讀者并重新取得讀者的同意，這種情形下，當(dāng)讀者不認(rèn)可或者不接受新的制度時能夠選擇及時退證。第十五條則規(guī)定了對同意的撤回權(quán)，即個人有權(quán)撤回同意處理其個人信息的決定，且信息處理者“應(yīng)當(dāng)提供便捷的撤回同意的方式”，因此，圖書館在設(shè)計供讀者簽署或默認(rèn)許可的包含告知和同意內(nèi)容的文件及網(wǎng)絡(luò)程序時，要同時提供便捷的撤回同意決定的申請文件或功能程序。

《個人信息保護法》也有例外的制度安排，核心在于保障信息“善意使用”的空間，以對個人信息保護的最小讓渡換取社會的高效運轉(zhuǎn)[10]，即充分考慮個人信息保護和個人信息合理利用之間的平衡，賦予信息處理者在特定情形下無須取得個人同意的處理個人信息權(quán)利，包括訂立、履行個人作為一方當(dāng)事人的合同，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理；履行法定職責(zé)或者法定義務(wù)；應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全；為公共利益實施新聞報道、輿論監(jiān)督而在合理的范圍內(nèi)處理個人信息；在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；法律、行政法規(guī)規(guī)定的其他情形。以上情形在公共圖書館領(lǐng)域存在適用的可能性，如為了推進(jìn)全民閱讀而宣傳報道借閱量高的讀者，但要注意限定在合理的范圍，如只報道讀者的姓氏或者讀者證號的局部等。

2019年出臺的《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》第七條規(guī)定：“收集、存儲、使用、轉(zhuǎn)移、披露兒童個人信息的，應(yīng)當(dāng)遵循正當(dāng)必要、知情同意、目的明確、安全保障、依法利用的原則?！迸c此銜接，《個人信息保護法》特別關(guān)注了特殊人群的個人信息處理決定權(quán)。第三十一條規(guī)定，處理不滿十四周歲未成年人個人信息“應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意”。公共圖書館未成年人讀者數(shù)量龐大，其中不滿十四周歲未成年人的個人信息屬于敏感個人信息，應(yīng)當(dāng)制定專門的個人信息處理規(guī)則，處理其個人信息應(yīng)當(dāng)取得監(jiān)護人同意。

2.3 查詢權(quán)、復(fù)制權(quán)、信息可攜帶權(quán)

《個人信息保護法》第四十五條規(guī)定，個人享有個人信息的查詢權(quán)、復(fù)制權(quán)和攜帶權(quán)。公共圖書館實際工作中，讀者行使信息查詢權(quán)和復(fù)制權(quán)的情形較常見，例如查詢、復(fù)制本人的借閱記錄等。其中，個人信息可攜帶權(quán)在我國法律中首次出現(xiàn)，具體表述為“個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者，符合國家網(wǎng)信部門規(guī)定條件的，個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑”。信息攜帶權(quán)在實踐中可為個人提供便利，也利于防止數(shù)據(jù)壟斷[11]。在公共圖書館工作中，如讀者因工作生活地域變動，需要到新的經(jīng)常居住地圖書館辦理讀者證時，筆者認(rèn)為應(yīng)根據(jù)個人的申請為其轉(zhuǎn)移個人相關(guān)信息。這種轉(zhuǎn)移不僅是對讀者權(quán)利的保障，也符合圖書館資源共享的理念，既為讀者提供了便利，也有利于新的圖書館充分了解讀者個人信息，方便及時為其提供個性化的圖書和信息推送服務(wù)。

2.4 更正權(quán)

《個人信息保護法》第四十六條明確了個人信息的更正權(quán)，規(guī)定“個人發(fā)現(xiàn)其個人信息不準(zhǔn)確或者不完整的，有權(quán)請求個人信息處理者更正、補充”。該條與第一章第八條“處理個人信息應(yīng)當(dāng)保證個人信息的質(zhì)量”相呼應(yīng)，也可看作是總則條款的具體化保障措施。公共圖書館在處理個人信息時，應(yīng)保證信息準(zhǔn)確、完整，并提供讀者可編輯的信息更正途徑，及時根據(jù)讀者請求更正、補充信息，避免對讀者服務(wù)工作造成影響。

2.5 刪除權(quán)

互聯(lián)網(wǎng)環(huán)境下，信息儲存技術(shù)的發(fā)展使得遺忘的能力喪失[12]，刪除權(quán)顯得更加重要?！秱€人信息保護法》第四十七條規(guī)定了應(yīng)當(dāng)刪除個人信息的情形，包括“處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個人撤回同意；個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息”等；同時對“法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的”等特殊情形作出了相應(yīng)規(guī)定，即個人信息處理者僅可進(jìn)行存儲和采取必要的安全保護措施處理。公共圖書館在刪除讀者個人信息方面一直沒有具體的規(guī)范，對于符合上述法定情形的，公共圖書館應(yīng)當(dāng)主動嚴(yán)格執(zhí)行，及時刪除個人信息，切實保護讀者的個人信息刪除權(quán)。

2.6 解釋說明權(quán)

在制度解釋說明方面，各類機構(gòu)通常以“本制度最終解釋說明權(quán)歸本單位所有”簡單應(yīng)對?！秱€人信息保護法》第四十八條規(guī)定：“個人有權(quán)要求個人信息處理者對其個人信息處理規(guī)則進(jìn)行解釋說明?！惫矆D書館作為信息處理者，在實際工作中應(yīng)當(dāng)認(rèn)真梳理讀者的疑問，編制公布關(guān)于個人信息處理規(guī)則的專門解釋說明，讓讀者能夠充分了解、準(zhǔn)確理解規(guī)則。

3 公共圖書館保護讀者個人信息相關(guān)權(quán)利面臨的問題

3.1 保護意識和能力不足

公共圖書館和讀者雙方均存在個人信息保護意識缺位的問題。從公共圖書館角度看，在認(rèn)識層面存在局限性，往往把處理讀者個人信息局限于辦理讀者證、借閱文獻(xiàn)和瀏覽數(shù)字資源等環(huán)節(jié)，而在其他情境中，在讀者的活動報名及參與信息是否及時刪除、讀者為圖書館捐贈圖書的信息發(fā)布是否取得個人同意等問題上，由于讀者本身不再是關(guān)注的唯一側(cè)重點，讀者的個人信息保護也就常常容易被忽視；在實踐層面缺乏系統(tǒng)完善的保護制度，筆者登錄全國省級公共圖書館和獨立建制少年兒童圖書館的官網(wǎng)查看讀者證辦理規(guī)則和少年兒童閱讀推廣活動報名規(guī)則，結(jié)果與《個人信息保護法》發(fā)布之初其他學(xué)者的調(diào)查一致，即省級公共圖書館中僅有6家發(fā)布有保護讀者個人信息的內(nèi)容，且相似度較高，少年兒童圖書館均未履行征求監(jiān)護人同意及告知程序[13]，可見專法的出臺并未提升公共圖書館的個人信息保護意識。從讀者角度看，個人信息保護的意識普遍較為薄弱，認(rèn)為公共圖書館屬于公益性的事業(yè)單位，出賣個人信息或應(yīng)用于其他非圖書館業(yè)務(wù)的可能性極低，從而忽視了存在個人信息泄露的可能性[14]。

公共圖書館保護讀者個人信息的能力相對薄弱，一方面，館員群體中缺乏個人信息保護的專業(yè)技術(shù)力量，專門負(fù)責(zé)讀者個人信息保護工作的專業(yè)人員數(shù)量非常少[15]；另一方面，圖書館業(yè)務(wù)和服務(wù)的信息化程度愈來愈高，讀者個人信息泄露的風(fēng)險增大，公共圖書館在配備不斷更新升級的專業(yè)網(wǎng)絡(luò)安全設(shè)備上經(jīng)費不足。

3.2 缺乏行業(yè)指導(dǎo)

《民法典》《個人信息保護法》都提出了保護個人信息的要求，公共圖書館順應(yīng)時代發(fā)展，也提倡保護讀者個人信息，但缺乏行業(yè)方面的專業(yè)指導(dǎo)和具體規(guī)則，對讀者在個人信息處理活動中的權(quán)利保護尚不到位。專門法律層面，《公共圖書館法》第四十三條規(guī)定：“公共圖書館應(yīng)當(dāng)妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。”行業(yè)準(zhǔn)則與規(guī)范方面，由中國圖書館學(xué)會制定并于2002年11月通過的《中國圖書館職業(yè)道德準(zhǔn)則》第四條表述為“維護讀者權(quán)益，保守讀者秘密”，但在保護讀者個人信息方面均缺乏指導(dǎo)意見，更沒有具體細(xì)則，難以有效達(dá)到保護讀者個人信息的目的。由東莞圖書館牽頭向全國圖書館標(biāo)準(zhǔn)化技術(shù)委員會申報立項的《公共圖書館讀者信息集》系列標(biāo)準(zhǔn)也未見公布。目前，公共圖書館行業(yè)對讀者個人信息保護的相關(guān)規(guī)則還處于探索構(gòu)建階段，對圖書館自身應(yīng)承擔(dān)的義務(wù)沒有明確的指導(dǎo)意見，實踐中各類保護讀者個人信息的聲明也缺乏對讀者權(quán)利的提示，讀者難以直接、明確地了解自己享有的權(quán)利。

3.3 與第三方機構(gòu)合作存在風(fēng)險

當(dāng)前，公共圖書館的社會化合作已經(jīng)成為行業(yè)常態(tài)，從業(yè)務(wù)建設(shè)到對外服務(wù)普遍存在與第三方合作的形式，從信息收集到存儲環(huán)節(jié)都更容易發(fā)生讀者個人信息泄露風(fēng)險，客觀上可能侵犯讀者在個人信息處理活動中的權(quán)利。在業(yè)務(wù)系統(tǒng)方面，使用第三方平臺收集、存儲讀者個人信息的過程中，工作人員的行為存在泄露風(fēng)險[16]，特別是大數(shù)據(jù)環(huán)境下，分布式數(shù)據(jù)存儲技術(shù)、5G數(shù)據(jù)傳輸技術(shù)、MapReduce/Hadoop數(shù)據(jù)處理平臺和分類分析、聚類分析、關(guān)聯(lián)分析、預(yù)測分析等數(shù)據(jù)挖掘技術(shù)綜合發(fā)力，讓圖書館用戶在個人信息的存儲、分析、傳播、使用等環(huán)節(jié)均失去實際控制權(quán)[17]。在開展閱讀推廣活動方面，第三方提供活動資源和經(jīng)費支持，并出于當(dāng)面直接或事后間接推薦其非公益性業(yè)務(wù)的目的而收集讀者個人信息，則一定意義上圖書館將讀者個人信息以非買賣的形式提供給了第三方。

4 保護讀者個人信息相關(guān)權(quán)利對策建議

4.1 意識層面：樹立個人信息權(quán)利保護的理念

公共圖書館要加強宣傳培訓(xùn)，學(xué)習(xí)《民法典》《個人信息保護法》《公共圖書館法》等有關(guān)個人信息保護的相關(guān)法律，提高法律意識，樹立保護個人信息權(quán)利的理念。第一，全面了解讀者在個人信息處理活動中的權(quán)利內(nèi)容，認(rèn)識到個人信息保護的重要性，在工作實踐中遵守相關(guān)規(guī)則。第二，區(qū)別認(rèn)識已識別與可識別信息，敏感與非敏感信息的特征和內(nèi)涵，樹立分級保護的理念。第三，堅持合法、必要、同意、安全的原則，避免過度采集和使用個人信息，同時必須征得讀者本人或特殊人群監(jiān)護人同意，并要確保信息安全，保證行為合法。第四，知曉侵害個人信息的行為，特別是除了《公共圖書館法》提出的不得出售、非法提供以外，還包括公開泄露、非法利用[18]等，明白相關(guān)違法責(zé)任，對讀者個人信息進(jìn)行主動保護。

法律不保護怠于主張權(quán)利的人。公共圖書館有義務(wù)提高讀者的個人信息權(quán)利保護意識，要通過舉辦相關(guān)法律講座、展覽等方式進(jìn)行宣傳教育，讓讀者充分了解自身權(quán)益，以便在個人信息處理活動中作出恰當(dāng)決定，在自身權(quán)益受到侵犯時，能夠找到合法有效的救濟途徑。事實上，讀者的自我保護意識提高，能夠最有效地督促公共圖書館的個人信息處理行為更加規(guī)范。

4.2 制度層面：制定個人信息保護行業(yè)規(guī)范

行業(yè)規(guī)范能夠建立行業(yè)標(biāo)準(zhǔn)，優(yōu)化工作流程，約束人員行為，保障法律落實，對行業(yè)發(fā)展有重要意義。目前公共圖書館現(xiàn)行服務(wù)規(guī)范為2012年5月實施的《公共圖書館服務(wù)規(guī)范》（GB/T 28220—2011），其中尚無保護讀者個人信息相關(guān)內(nèi)容。我國個人信息保護相關(guān)立法存在重責(zé)任追究，輕過程規(guī)范和綜合治理的問題[19]，因此，建議主管部門或行業(yè)學(xué)會制定專門的公共圖書館個人信息保護規(guī)范。第一，明確讀者個人信息保護范圍?！秱€人信息保護法》明確了個人信息的內(nèi)涵，個人信息保護范圍從學(xué)術(shù)上能夠界定，但是對于公共圖書館來說，明確的讀者個人信息保護范圍能夠提供較大的實操便利性。第二，列出讀者個人信息分級保護標(biāo)準(zhǔn)。根據(jù)重要性和敏感度，按照“可以處理、非必要不處理、不得處理”等標(biāo)準(zhǔn)劃分讀者信息保護等級，以科學(xué)合理的方式保障讀者權(quán)利、規(guī)范圖書館行為。第三，建立讀者個人信息處理指導(dǎo)規(guī)則。根據(jù)《個人信息保護法》相關(guān)規(guī)定，在讀者個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等關(guān)鍵問題上給出指導(dǎo)性意見和標(biāo)準(zhǔn)，讓《個人信息保護法》在公共圖書館領(lǐng)域能夠真正落地生效。

4.3 實踐層面：實現(xiàn)個人信息保護權(quán)利

圖書館實踐工作中，讀者個人信息權(quán)利保護需要注意幾個關(guān)鍵和細(xì)節(jié)層面。第一，設(shè)計包含個人信息相關(guān)規(guī)則告知和讀者簽署意見的協(xié)議書，敏感信息的采集要以“一事一問”的原則詢問讀者的意見，且要明確設(shè)置不同意或拒絕的選項。協(xié)議書要在官網(wǎng)醒目位置或線下服務(wù)臺放置。第二，設(shè)置不同服務(wù)場景的信息保存期限。如德國國家圖書館網(wǎng)站保存日志文件的期限為7天；讀者訪問網(wǎng)站期間保存會話cookie期限為1年，保存跟蹤cookie期限為7天；保存讀者IP地址期限為7天[20]。第三，制定特殊人群的個人信息處理規(guī)則。包括《個人信息保護法》規(guī)定的認(rèn)知能力有限的不滿十四周歲未成年人，也包括缺乏信息技術(shù)操作能力和互聯(lián)網(wǎng)安全防范意識的老年人[21]，要通過具體的規(guī)則明確詳細(xì)流程和必要步驟，落實處理個人信息中監(jiān)護人的決定權(quán)。第四，加強對第三方機構(gòu)的監(jiān)管。要在事前評估其技術(shù)方案，審核其用戶隱私政策，合作協(xié)議中應(yīng)明確圖書館有權(quán)根據(jù)具體情形和需求對第三方收集個人信息的行為作出限制，還應(yīng)明確發(fā)生侵害讀者個人信息權(quán)益時的責(zé)任。

4.4 技術(shù)層面：保障信息處理安全

技術(shù)是把雙刃劍，圖書館要充分利用技術(shù)保護讀者個人信息，同時還要規(guī)避技術(shù)本身的負(fù)面影響，特別是在智慧圖書館建設(shè)中，讀者個人信息的高度應(yīng)用使得信息安全問題愈加關(guān)鍵。第一，業(yè)務(wù)系統(tǒng)設(shè)計、運行的各個環(huán)節(jié)要充分考慮對讀者個人信息的保護，避免濫用技術(shù)（如Cookie、SilverPush等）造成對個人信息權(quán)益的侵犯。第二，業(yè)務(wù)系統(tǒng)整體智能化設(shè)計中要把相關(guān)法律規(guī)則“翻譯”成系統(tǒng)代碼，依靠標(biāo)準(zhǔn)化流程保障各個環(huán)節(jié)有序運行，通過技術(shù)手段進(jìn)行信息追蹤和定期不定期的信息安全巡檢，確保各類型讀者個人信息處理活動的合法性。第三，業(yè)務(wù)系統(tǒng)的運行維護要注重技術(shù)糾偏，當(dāng)讀者個人信息相關(guān)權(quán)利的要求發(fā)生變化時，系統(tǒng)設(shè)計也應(yīng)及時隨之變化。第四，制定信息定期備份、災(zāi)難恢復(fù)技術(shù)方案，以及信息泄露等安全應(yīng)急預(yù)案。

5 結(jié)語

在依法治國時代，公共圖書館作為公共文化服務(wù)體系的重要組成部分，其運行和服務(wù)應(yīng)遵守法律法規(guī)，避免違法行為。為讀者提供文獻(xiàn)信息和其他相關(guān)服務(wù)是公共圖書館的義務(wù)，讀者在自由使用圖書館的同時，相關(guān)權(quán)益應(yīng)該得到保障，其中包括個人信息權(quán)益。《個人信息保護法》的出臺為讀者個人信息權(quán)益的保護提供了具體的法律支持，也為公共圖書館規(guī)范個人信息處理活動提供了明確依據(jù)，但是行業(yè)內(nèi)在法律宣貫方面，《個人信息保護法》與《公共文化服務(wù)保障法》《公共圖書館法》相比還有較大差距。公共圖書館工作的核心業(yè)務(wù)是讀者服務(wù)，信息技術(shù)的迅猛發(fā)展和個人權(quán)利意識的逐漸提高，使得個人信息保護問題受到更大程度的關(guān)注，該領(lǐng)域發(fā)生法律糾紛和違法行為的概率與以往相比也會增加。鑒于此，公共圖書館應(yīng)當(dāng)高度重視《個人信息保護法》的學(xué)習(xí)研究和貫徹落實。目前相關(guān)的研究多側(cè)重大數(shù)據(jù)環(huán)境和互聯(lián)網(wǎng)背景，本文則更多地提出了公共圖書館實際工作中非技術(shù)性的個人信息保護問題。從長遠(yuǎn)看，在保護讀者個人信息相關(guān)權(quán)利方面，例如讀者個人信息的處理規(guī)則、處理方式等，業(yè)界迫切需要進(jìn)行更多的理論探索和實踐研究，并轉(zhuǎn)化為行業(yè)標(biāo)準(zhǔn)，為依法處理讀者個人信息活動提供操作指南。

參考文獻(xiàn)：

[1] 陳祥玲，肖冬梅，楊忠.圖書館處理個人信息的合規(guī)義務(wù)研究[J].圖書情報工作，2022，66（17）：69-80.

[2] 中華人民共和國公共圖書館法[EB/OL].[2023-04-20].http：//www.npc.gov.cn/npc/c12435/201811/3885276ceafc4ed788695e8c45c55dcc.shtml.

[3] 中華人民共和國個人信息保護法[EB/OL].[2023-04-20].http：//www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml.

[4] 王利明.《個人信息保護法》的亮點與創(chuàng)新[J].重慶郵電大學(xué)學(xué)報（社會科學(xué)版），2021（6）：1-13.

[5] 童云峰，金潔.圖書館數(shù)字化時代讀者個人信息刑法保護的限度[J].圖書館學(xué)研究，2021（18）：31-38.

[6] 童云峰.證立與提倡：讀者個人信息的民法分類分級保護[J].現(xiàn)代情報，2021，41（12）：97-106.

[7] 王利明.論《個人信息保護法》與《民法典》的適用關(guān)系[J].湖湘法學(xué)評論，2021（1）：25-35.

[8] 文禹衡，于琳.我國個人信息法律保護現(xiàn)狀、主要問題及完善路徑：基于《中華人民共和國個人信息保護法》的詞頻統(tǒng)計與分析[J].圖書館理論與實踐，2022（4）：12-21，28.

[9] 胡文濤.我國個人敏感信息界定之構(gòu)想[J].中國法學(xué)，2018（5）：235-254.

[10] 侯韋鋒，丁炫凱.論圖書館對讀者個人信息的保護：以《個人信息保護法》為中心的考察[J].圖書館論壇，2021，41（12）：77-86.

[11] 我的數(shù)據(jù)讓我?guī)ё?！江蘇法律專家解讀個人信息可攜帶權(quán)[EB/OL].[2021-11-02].https：//baijiahao.baidu.com/s？id=1715324015694098357amp;wfr=spideramp;for=pc.

[12] 劉學(xué)濤，李月.大數(shù)據(jù)時代被遺忘權(quán)本土化的考量：兼以與個人信息刪除權(quán)的比較為視角[J].科技與法律，2020（2）：78-88.

[13] 李雪健.兒童讀者網(wǎng)絡(luò)個人信息保護研究[J].圖書館工作與研究，2022（4）：13-20.

[14] 紀(jì)華圍.《公共圖書館法》實施背景下讀者個人信息保護政策的完善[J].河南圖書館學(xué)刊，2019（11）：93-94.

[15] 謝麗玉.大數(shù)據(jù)環(huán)境下圖書館用戶個人信息保護現(xiàn)狀及對策研究[J].河南圖書館學(xué)刊，2021（8）：114-118.

[16] 梅傲，勾明鳳.《中華人民共和國民法典》背景下公共圖書館讀者個人信息保護的缺失及完善[J].圖書館理論與實踐，2021（5）：29-34.

[17] 郭軍.大數(shù)據(jù)環(huán)境下圖書館用戶個人信息保護研究[J].圖書館工作與研究，2020（1）：11-19，28.

[18] 孫道銳.讀者個人信息侵權(quán)保護的完善：兼論《公共圖書館法》相關(guān)規(guī)定的修改[J].新世紀(jì)圖書館，2020（11）：10-16.DOI：10.16810/j.cnki.1672-514X.2020.11.002.

[19] 周漢華.探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向[J].法學(xué)研究，2018，40（2）：3-23.

[20] 徐磊.讀者個人信息保護的世界圖景與中國方案：以國外國家圖書館網(wǎng)站讀者個人信息保護政策為視角[J].圖書館工作與研究，2021（12）：22-31.

[21] 張曉新，劉龍垚.圖書館分群體個人信息立法策略研究[J].四川圖書館學(xué)報，2021（4）：45-49.DOI：10.3969/j.issn.1003-7136.2021.04.010.

作者簡介：郭帥，碩士，山西省圖書館館員，研究方向為讀者服務(wù)、閱讀推廣等。

收稿日期：2023-01-06本文責(zé)編：王曉琳