李雪?。暇煼洞髮W(xué)法學(xué)院）

1 問題的提出

信息自由是當(dāng)代公共圖書館的核心價值，賦予讀者以暢通無阻地獲取知識與信息的權(quán)利，但在大數(shù)據(jù)時代，新興技術(shù)卻造成了信息自由的二律背反。一方面，新興技術(shù)變革了公共圖書館的服務(wù)模式與內(nèi)容，打破了讀者獲取信息的時空限制，促進了信息自由；另一方面，視頻監(jiān)控、人臉識別、RFID等技術(shù)對讀者個人信息的處理，導(dǎo)致讀者的行為習(xí)慣、閱讀偏好、服務(wù)需求甚至內(nèi)心所想暴露無遺，新興技術(shù)似乎又威脅到了讀者的信息自由。對此，加強對讀者個人信息的保護是維護信息自由這一核心價值的必經(jīng)途徑，能否平衡讀者信息利益與圖書館信息利用亦成為評價個人信息保護成功與否的重要標(biāo)準。

讀者個人信息保護基本范式是解決讀者個人信息與圖書館信息利用矛盾的前提。本文擬梳理并反思傳統(tǒng)私法確權(quán)范式的不足，并以此為基礎(chǔ)指出風(fēng)險控制范式應(yīng)當(dāng)成為讀者個人信息保護的應(yīng)然選擇，進而為未來《中華人民共和國公共圖書館法》（以下簡稱《公共圖書館法》）的修訂以及地方公共圖書館制定細則提供建議。出于行文需要，本文中的“信息主體”系指讀者，“信息處理者”系指公共圖書館，本文出現(xiàn)的“信息”與“數(shù)據(jù)”在同一層面予以使用。

2 讀者個人信息保護傳統(tǒng)私法確權(quán)范式的現(xiàn)實困境

面對信息社會個體對個人信息的失控，楊立新［1］、王立明［2］、王成［3］、呂炳斌［4］等學(xué)者皆主張私法確權(quán)范式。該范式以人格尊嚴與自由為價值指引，以個人信息自決權(quán)理論為理論基礎(chǔ)，以對信息主體賦權(quán)為保護手段，以私法上的侵權(quán)訴訟為救濟方式，將個人信息保護問題納入私法范疇，通過賦權(quán)重新確立信息主體地位，重拾信息主體對個人信息的控制。當(dāng)前，這一路徑已經(jīng)成為學(xué)界主流。但本文認為，私法確權(quán)這一傳統(tǒng)路徑面臨內(nèi)外困境，仍然有待證成。

2.1 私法確權(quán)范式的內(nèi)部困境

2.1.1 導(dǎo)致人格尊嚴的價值濫觴

個人信息自決權(quán)理論肇始于德國，發(fā)軔于德國《基本法》第1條的尊嚴條款與第2條第1款的人格自由條款。尊嚴是個人信息自決權(quán)的基石，康德認為，在目的王國中，與具有價格、能夠替代的物不同，尊嚴（Dignity）是一種無條件的、不可比擬的價值，自律（Autonomy）是人性中尊嚴的基礎(chǔ)，是一種對內(nèi)自我立法的能力，正是因為人能夠遵守道德法則，故而彰顯尊嚴而與物相區(qū)別，而自決（Self-determination）則是自律的重要表現(xiàn)形式［5］。據(jù)此，Bleckmann認為，“尊嚴”與“自決”：“人性尊嚴系每個人得在其行為與決定上有自由”［6］。

自決雖涉及尊嚴，但是否就有必要在法律上設(shè)立一種“自決權(quán)”呢？Rouvroy指出，歌頌尊嚴是因其表征了一種論理性、普遍性的自決能力（自律的可能性），與個體是否真正發(fā)展出自決能力無關(guān)（自律的現(xiàn)實性）［7］。換言之，缺乏自決能力的個體也擁有尊嚴（如，幼童、精神病人）?！白詻Q”不能被規(guī)定為一種法律權(quán)利，僅具有“中間價值”，憲法中公民各種權(quán)利皆與公民的生活方式相關(guān)，因而皆與“自決”有關(guān)，若缺乏相異于其他權(quán)利的保護利益存在，則個人信息權(quán)無存在的必要?！吨腥A人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條已將私密信息（敏感個人信息）歸于直接保護人格尊嚴利益的隱私權(quán)范疇［8］，從體系解釋出發(fā)，私密信息與其他個人信息的法律地位必存在不同，若仍試圖打著尊嚴的旗號奢求“個人信息自決權(quán)”，這無疑是對人格尊嚴價值的濫觴。

2.1.2 違背智慧圖書館的發(fā)展需要

個人信息是多元利益的交織體，其不僅關(guān)涉信息主體的人格尊嚴，還涵涉商業(yè)價值與公共管理價值。數(shù)據(jù)是信息時代的重要生產(chǎn)要素，具有基礎(chǔ)性資源和戰(zhàn)略性資源的重要地位。智慧圖書館的建設(shè)離不開大數(shù)據(jù)，其核心在于利用大數(shù)據(jù)技術(shù)提供智能咨詢、個性化推薦、知識庫等智慧化服務(wù)，其中個性化推薦服務(wù)已成為智慧圖書館建設(shè)的著力點。個性化推薦又稱“讀者畫像”，其目的是以讀者核心數(shù)據(jù)為中心，提取沉淀于不同系統(tǒng)中的行為信息，自動感知讀者情境，并為其提供相應(yīng)服務(wù)。個性化推薦服務(wù)有效運行依賴于由海量讀者行為信息匯聚而成的大數(shù)據(jù)，讀者信息的可流通性與可獲取性至關(guān)重要，個人信息無法流通或獲取，智慧圖書館建設(shè)將會面臨無水之源的困境。私法確權(quán)范式在個人信息之上構(gòu)建絕對排他的權(quán)利，明顯忽略了大數(shù)據(jù)對個人信息的時代需求，使大量讀者信息藏而不用，加劇了信息孤島效應(yīng)，制約了智慧圖書館發(fā)展。

事實上，即便被譽為“史上最嚴個人信息保護法”的《通用數(shù)據(jù)保護條例》（General DataProtection Regulation，GDPR）在立法目的上亦未忽略信息的自由流動價值［9］，只不過具體規(guī)則構(gòu)建依舊秉持了歐陸一貫的自然權(quán)利觀，用古典經(jīng)濟理論的私益最大化邏輯對個人信息領(lǐng)域格式化，進而形成對個人信息保護的一邊倒。對此，Tene O指出，GDPR正值中年危機，其創(chuàng)設(shè)的基本架構(gòu)在效益上令人存疑［10］。Eline等指出，GDPR延續(xù)了《95指令》的基本架構(gòu)，未能實現(xiàn)個人信息保護與數(shù)字經(jīng)濟發(fā)展的平衡，不利于以大數(shù)據(jù)為基礎(chǔ)的AI發(fā)展，使得歐洲在科技建設(shè)方面落后于亞洲與北美［11］。正如論者所言，個人信息權(quán)違背了數(shù)字經(jīng)濟發(fā)展的基本規(guī)律，不符合科技立法的適配與效益原則，形成對企業(yè)技術(shù)創(chuàng)新、商業(yè)模式創(chuàng)新乃至政府治理方式創(chuàng)新的阻礙［12］。

2.2 確權(quán)范式的外部困境

2.2.1 信息主體困境

私法確權(quán)理論繼承了個體主義傳統(tǒng)，在規(guī)范上預(yù)設(shè)了一個自主、理性、自決的人類圖像，即能夠堅持以成本與收益計算個人信息利益的“經(jīng)濟理性人”，在自生自發(fā)的市場機制調(diào)節(jié)下，同信息處理者能夠?qū)ふ业阶罴哑胶恻c［13］。因此，收集時的“知情同意”機制成為私法確權(quán)范式的核心。與此相對，獲取信息主體的同意亦成為信息處理者免責(zé)與否的分水嶺。

然而，隱私悖論（Privacy Paradox）表明，在信息實踐中，信息主體對個人信息所作出的決定建立在有限理性之上，知情同意的背后是雙方地位與信息的不平等［14］。一方面，有限理性決定了信息主體認識同意內(nèi)容的有限性，讀者不知道也不可能知道自己同意的將會被收集或處理的個人信息的類型、用途、限度等內(nèi)容，更不可能閱讀每一份隱私聲明。另一方面，有限理性決定了信息主體利弊計算能力的有限性，信息主體在教育水平、知識背景、理解能力等因素的影響下，得到的利弊計算結(jié)果也不同。以上使知情同意機制在實然層面產(chǎn)生“無限授權(quán)效應(yīng)”，同意效力擴張到個人信息所有的（無論目的內(nèi)外）個人信息處理行為，從而導(dǎo)致原本用來控制信息處理者的“知情同意”異化為信息處理者逃脫責(zé)任的擋箭牌。

2.2.2 信息處理者困境

首先，信息處理者面臨合規(guī)成本困境。私法確權(quán)模式視“知情同意”機制為制度核心，為避免該機制失效，必然要求信息處理者提供更加詳細的信息披露，并且隨時更新，這一定會提高信息處理者的運行成本。此外，不同信息處理者的義務(wù)履行能力不一，操作鏈條與法務(wù)支撐不一，在進行信息披露時可能難以將技術(shù)信息轉(zhuǎn)化為清晰、易懂的語言［15］。當(dāng)前，我國各級公共圖書館的技術(shù)、法務(wù)、財力等資源參差不齊，若以統(tǒng)一的高標(biāo)準來要求，將會造成一些公共圖書館的制度空轉(zhuǎn)。事實上，歐盟與美國皆發(fā)現(xiàn)了這一問題，GDPR頒行后不久，歐盟委員會便發(fā)文指出，GDPR的一些法律義務(wù)不適用于小企業(yè)［16］，美國《加州消費者隱私法》（California Consumer Privacy Act，CCPA）明確指出，本法僅適用于年收入2500萬美元以上的大企業(yè)［17］。

其次，信息處理者面臨技術(shù)失控困境。在私法確權(quán)范式中，信息主體與信息處理者皆被預(yù)設(shè)是理性的。一方面，由于算法的自我學(xué)習(xí)與自我執(zhí)行特性，信息處理者也無法說清讀者個人信息將在算法中發(fā)揮的功能、體現(xiàn)的關(guān)聯(lián)價值以及具有效用的時長。畢竟，以非預(yù)期方式使用個人信息恰恰是大數(shù)據(jù)的技術(shù)特性［18］。另一方面，對于公共圖書館而言，數(shù)據(jù)收集主體與數(shù)據(jù)處理主體通常是不一致的，且存在時間差，這導(dǎo)致信息收集主體在隱私政策透明化層面無法履行。如，在江蘇省公共圖書館大數(shù)據(jù)平臺項目中，只有江蘇省公共圖書館擁有數(shù)據(jù)處理能力，市、縣級公共圖書館只承擔(dān)數(shù)據(jù)采集功能，無法獲取省公共圖書館對讀者個人信息的具體用途與技術(shù)處理流程［19］。

綜上所述，確權(quán)范式所繼承的古典個體主義傳統(tǒng)決定了個人信息保護理論的基調(diào)，必然擬制信息主體與信息處理者之間抽象的二元對立，在方法論上采取“賦予權(quán)利——履行義務(wù)”的方式?！白詻Q”背離了個人信息在現(xiàn)實生活中運作的“真相”，生硬割裂了應(yīng)然與實然，最終只能用“尊嚴”來彌補該理論在現(xiàn)實中的軟弱無力。從個人信息利用角度，該模式未能從正面給予信息處理者利用空間，信息處理者更傾向于利用其優(yōu)勢地位被動地逃避規(guī)制，因此立法者只能累疊限制以加強法律實效，這種非合作博弈的結(jié)果只能是個人信息保護與利用的雙輸［20］。因此，我們應(yīng)當(dāng)重歸讀者個人信息在現(xiàn)實生活中運作的“真相”，重新思考讀者個人信息保護的理論基礎(chǔ)。

3 讀者個人信息承載利益的靜態(tài)與動態(tài)分析

3.1 對象視角：個人信息承載多元利益的靜態(tài)分析

私法確權(quán)范式昭示了個人信息的個人性側(cè)面，即個人信息產(chǎn)生于信息主體，是人格的延伸，由信息主體掌控以體現(xiàn)個人意志。從分類上看，個人信息可以劃分為敏感個人信息與一般個人信息，前者指身份識別號碼、生物識別信息、醫(yī)療或健康信息等個人信息，而后者則主要為個體融入社會生活后，在社會交往中形成的訪問記錄、消費記錄等行為信息。敏感個人信息具有穩(wěn)定性與固定性，屬于信息主體最為私密的部分，更多地表現(xiàn)為信息主體的個人性。

從本體論上看，在現(xiàn)代社會，一般個人信息的本質(zhì)是一種社會關(guān)系［21］，源于信息主體的社會行動。根據(jù)Habermas的交往行為理論，這種社會行動實質(zhì)是一種在廣泛社會關(guān)系網(wǎng)絡(luò)中的交往行為，呈現(xiàn)出非主體性的主體間性。作為交往行為產(chǎn)物的一般個人信息，其控制理應(yīng)屬于一種具有規(guī)范性的集體實踐，取決于信息主體間的交互與協(xié)商，以及社會實踐的演變、公眾認知、文化承認［22］。對此，高富平指出，信息承載著人類文化傳承和社會運行發(fā)展的公共元素［23］；Kasper認為，個體通過交換個人信息（溝通）來促進個人發(fā)展、提升社會和諧、實現(xiàn)社會控制［24］。從功能上看，個人信息具有公共品（Public Goods）的核心特征——非競爭性與非排他性，即個體對個人信息的使用并不影響他人使用，多人可以同時使用個人信息而互不排斥［25］。信息化技術(shù)使“互惠共享”產(chǎn)生“放大鏡效應(yīng)”。

由于個人信息兼具個人性與公共性，使其能夠同時援引個體與社群主義哲學(xué)用以論證個人信息表征的個體利益與集體利益，無論人格尊嚴利益、數(shù)據(jù)利用利益，還是公共管理利益皆可寄寓于個人信息之上。因此，個人信息旨在“平衡爭奪資源控制的利益沖突”，需要通過多樣化的利益平衡加以實現(xiàn)，即做到保障信息主體合法權(quán)益與肯定和保障信息處理者權(quán)益并重，實現(xiàn)個人信息多元利益的平衡。

3.2 主體視角：個人信息承載多元利益的動態(tài)分析

信息主體既是個人信息的產(chǎn)出者，又是信息利益的歸屬者，更是信息行為的行動者。因此，從信息主體出發(fā)，分析信息主體與信息處理者在現(xiàn)實世界中的關(guān)系能夠幫助我們更加全面地理解蘊藏在個人信息之上的利益關(guān)系。讀者個人信息保護需求產(chǎn)生于圖書館所安裝的攝像頭、RFID、人臉識備等監(jiān)控設(shè)備之后，基于單向還原的個人主義方法論，監(jiān)視經(jīng)常被視作奧威爾式（Orwellian）極權(quán)政治的工具，而信息處理者被想象成邪惡反派，因此，信息主體常將信息處理者置于敵對位置，并加以鉗制與改造。

然而，這就忽略了監(jiān)視的核心問題：監(jiān)視并非極權(quán)者的行為，而是現(xiàn)代社會的基本特征?，F(xiàn)代社會的監(jiān)視通過誘導(dǎo)性的引導(dǎo)與規(guī)訓(xùn)重塑人們的行為、習(xí)慣與動機。Cohen的監(jiān)視理論指出，個體與監(jiān)視系統(tǒng)之間是一種共謀關(guān)系，監(jiān)視對人的規(guī)訓(xùn)實質(zhì)來源于個體對監(jiān)視了解之上的自我規(guī)訓(xùn)，其目的是建立符合監(jiān)視系統(tǒng)要求的個人記錄而獲取某種優(yōu)待。如，許多圖書館利用監(jiān)視獲得龐大的讀者個人信息并整合形成了“信用借閱”系統(tǒng)，信用分高的讀者可以享受圖書借閱延期、免押金、送書上門等優(yōu)惠服務(wù)［26］。在這一過程中，讀者實際上非常享受良好信用為自己所帶來的利益，甚至愿意主動交出讀者個人信息以獲得更多利益，信息主體與信息處理者形成了一種合作。盡管個人信息是信息主體的產(chǎn)物，但正因為這種關(guān)系的存在，同一信息就具有多重功能與使用途徑，不同的使用途徑又有不同的價值取向與信息流動規(guī)范。換言之，建立在個人信息之上的利益關(guān)系是流動的，私人領(lǐng)域與公共領(lǐng)域是重疊與混雜的，不存在絕對的控制者與被控制者，也不存在絕對值得優(yōu)先保護的價值［27］。

監(jiān)視理論對于反思個人信息保護意義重大。一方面，監(jiān)視理論從主體角度進一步論證了個人信息因兼具個人性與社會性而承載多元利益的原因。另一方面，監(jiān)視理論指出要在特定時空下對變化的個人信息進行具體分析。這意味著個人信息承載多元利益的平衡并非靜態(tài)、空泛的，而是一種動態(tài)、具體的情境考量。這一結(jié)論同Walzer的多元正義理論不謀而合。Walzer認為，正義并非單一的，而是多元的，其并非社會益品在所有情境中平等分配，而是要求在具體情境中自主分配，滿足各自情境中自生自發(fā)形成的分配原則［28］，即情境滿足即為正義，這也為下文對個人信息的情景化保護奠定了基礎(chǔ)。

3.3 視角轉(zhuǎn)變：通過風(fēng)險控制達到多元利益平衡

通過利益分析可知，采取自上而下的視角，試圖從價值出發(fā)，為個人信息探尋一個統(tǒng)一概念十分困難。其根本原因在于：在主觀的觀念世界中發(fā)現(xiàn)與探尋終極價值，必然會受到個體與集體主義的影響，進而陷入個體與集體價值的“諸神之戰(zhàn)”。而在方法論層面，無論是個體主義還是集體主義，都會因單向還原的線性思維走向片面與極端①，影響多元利益平衡目標(biāo)的實現(xiàn)［29］。2004年，李曉輝博士指出，信息（權(quán)利）極其復(fù)雜，其并非具體的權(quán)利概念而是一個類型化的權(quán)利束，該權(quán)利同其他權(quán)利存在解釋力上的交叉關(guān)系，既不能簡單將其并入公法抑或私法，更不能將其放置于封閉權(quán)利體系［30］。

個人信息利益內(nèi)生的復(fù)雜性與利益發(fā)現(xiàn)路徑的失敗要求我們采取一種新的視角以達到多元利益平衡的目標(biāo)。本文認為，從個人信息面臨的風(fēng)險（以下簡稱“風(fēng)險”）出發(fā)可以為個人信息保護問題提供新的路徑。①風(fēng)險能夠避免價值偏好，以更為中立、客觀的視野來考察個人信息。事實上，個人信息利益與個人信息風(fēng)險本就是一體兩面，利益發(fā)現(xiàn)有賴于主觀世界的邏輯演繹，不可避免地具有主觀性。正如Whitman所述，“歸根結(jié)底，個人信息保護法律仍是直覺主義者主觀臆測的社會焦慮與理想主義的產(chǎn)物”［31］。而風(fēng)險分析采取自下而上的視角，其認識來源于客觀世界的一般人的經(jīng)驗歸納，具有中立性與客觀性，能夠有效控制因“恐懼”而產(chǎn)生的主觀認識偏差。②風(fēng)險能夠暫時擱置價值矛盾，以更為宏觀的視野把握個人信息問題。風(fēng)險理論指出，事物內(nèi)在的“二相”對偶性是風(fēng)險產(chǎn)生的直接原因，風(fēng)險是二相性矛盾綜合所致結(jié)果的體現(xiàn)［32］。因此，在價值論層面，風(fēng)險理論承認個人信息多元價值，力求在方法論層面通過對信息處理者信息行為的客觀風(fēng)險分析與控制，將風(fēng)險控制在各方主體皆可承擔(dān)的程度。③風(fēng)險能夠有效解釋并應(yīng)對因信息主體與信息處理者合作而產(chǎn)生的個人信息承載利益的動態(tài)性。這種承載利益的動態(tài)性與風(fēng)險的“測不準性”異曲同工，即因事物具有內(nèi)生復(fù)雜性與不確定性機制，其復(fù)雜性程度無法被精準地刻畫與描述。在方法論層面，風(fēng)險理論反對單一的還原論，即僅在價值論層面進行保護性論證，通過立法者制定單一、固定的規(guī)范，司法者嚴格、機械地執(zhí)行規(guī)則來實現(xiàn)目的。風(fēng)險理論借法于復(fù)雜性科學(xué)（又名整體論科學(xué)），要求立法者采取系統(tǒng)性、協(xié)同性方法，通過制定多元、靈活的規(guī)范框架，使得司法者能夠在個案中結(jié)合具體案情進行靈活判斷，進而實現(xiàn)綜合性風(fēng)險治理。

綜上所述，本文認為，個人信息保護應(yīng)當(dāng)以風(fēng)險作為出發(fā)點、以行為作為規(guī)制重點、以情境作為研判標(biāo)準，實現(xiàn)多元利益平衡的價值目標(biāo)。

4 讀者個人信息保護風(fēng)險控制范式的方法展開

4.1 以風(fēng)險作為個人信息保護出發(fā)點

4.1.1 正確理解風(fēng)險源頭

私法確權(quán)范式核心在于“通知同意”機制，“同意”被視為一種能夠正確評估風(fēng)險的理性人進行自我答責(zé)的風(fēng)險規(guī)避方式，因此，風(fēng)險主要來源于信息處理者在信息收集階段對個人信息的不正當(dāng)收集。然而，信息主體的有限理性與信息處理者的技術(shù)失控決定了收集階段進行“一刀切”的風(fēng)險控制并不現(xiàn)實。通過對個人信息承載利益的動態(tài)分析可知，個人信息的收集與使用成為人們的生活經(jīng)驗，讓渡個人身份與行為數(shù)據(jù)是信息生活的常態(tài)。這說明在實然層面，不同主體、多元價值、不同目的能夠自生自發(fā)地構(gòu)建出一種被稱為“情境”（Context）的結(jié)構(gòu)化的信息秩序，而真正的風(fēng)險是個人信息脫軌于正常使用情境，脫離信息主體與信息處理者的合理預(yù)期?！扒榫场必灤┯趥€人信息處理的始終，這意味著除收集階段外，儲存、使用、加工、傳輸?shù)雀鱾€數(shù)據(jù)處理行為都屬保護重點，任何一個環(huán)節(jié)出現(xiàn)紕漏都會為個人信息帶來風(fēng)險。

4.1.2 保護程度同客觀風(fēng)險相對應(yīng)

為了最大程度保護信息主體利益，私法確權(quán)范式對風(fēng)險采取的是消滅或者最小化的思路。然而，在承認個人信息兼載個人利益與公共利益的前提下，信息主體需接受個人信息會在一定程度上被他人使用。我們對待風(fēng)險的態(tài)度應(yīng)當(dāng)是在承認風(fēng)險存在的前提下，將風(fēng)險控制在一定合理范圍內(nèi)，只要不致造成額外損害，即屬信息主體社會容忍義務(wù)范疇［33］。因此，在個人信息的保護程度層面，風(fēng)險預(yù)防原則應(yīng)具象化，預(yù)防措施也應(yīng)當(dāng)同風(fēng)險相對應(yīng)，即個人信息所面臨的風(fēng)險越大，信息處理者應(yīng)當(dāng)采取的預(yù)防措施、履行的注意義務(wù)越強。這有利于提升個人信息保護的有效性與實質(zhì)性，通過對個人信息及信息處理行為實施差別化與層次化的保護，減輕信息處理者的合規(guī)壓力，促進個人信息的合理使用與自由流通。

4.2 以行為作為風(fēng)險規(guī)制重點

正如上文所述，私法確權(quán)范式因價值獨斷與收集階段的風(fēng)險無法完全控制，出現(xiàn)了行為規(guī)制模式。所謂行為規(guī)制模式，是指從他人行為的角度進行風(fēng)險控制，通過對他人行為的規(guī)制來控制風(fēng)險，平衡利益享有者的利益。相較于確權(quán)模式，行為規(guī)制模式具有以下優(yōu)點。

（1）有利于調(diào)和個人信息保護與利用間的矛盾，兼顧個人與社會的利益需求。與私法確權(quán)模式從正面設(shè)權(quán)以保護權(quán)利人的方式不同，行為規(guī)制模式意在從控制行為的角度構(gòu)建利益空間，通過對特定行為控制圈劃利益享有者的利益。行為規(guī)制模式奉行“法無明文禁止即可為”，該模式以數(shù)據(jù)行為作為規(guī)制對象，為信息處理者提供了較為清晰的合規(guī)指引與確定的行為預(yù)期［34］，信息處理者只要遵循法律所規(guī)定的行為準則，即可安心收集與使用個人信息。

（2）滿足風(fēng)險控制貫穿信息全生命周期的要求。以數(shù)據(jù)行為作為中心，對個人信息的收集、儲存、處理等各個環(huán)節(jié)進行規(guī)制，確保個人信息使用的各個環(huán)節(jié)都能得到法律的合理介入［35］。這意味著信息主體在信息收集階段的“授權(quán)同意”只是個人信息保護的第一步，私法確權(quán)范式中的“無限授權(quán)效應(yīng)”將會因行為準則貫穿于后續(xù)每一階段的數(shù)據(jù)處理行為而得到根本遏制。在實然層面，該模式克服了私法確權(quán)范式的弊端而具有可操作性，真正實現(xiàn)了對個人信息的有效保護。

4.3 以情境作為風(fēng)險研判標(biāo)準

真正的風(fēng)險來源于個人信息脫離原有使用情境，風(fēng)險與情境是個人信息保護的兩個側(cè)面，二者密不可分。風(fēng)險控制必須在相應(yīng)的情境中進行，而情境則是風(fēng)險研判的重要標(biāo)準。將情境作為風(fēng)險研判標(biāo)準是風(fēng)險理論復(fù)雜性治理的明確要求，即“風(fēng)險的復(fù)雜性既不能規(guī)避也不可消除，只能簡化，而簡化的前提是必須將復(fù)雜性當(dāng)作復(fù)雜性來對待”［29］。

行動者主要包括信息主體與信息處理者，不同的行動者在不同的情境中存在不同的角色定位，從而存在不同的合理預(yù)期與規(guī)范期待。信息類型則指向信息敏感程度，一般情境下，越敏感的個人信息越需加強保護力度。傳播原則是指在特定情境下信息流動的方式，常見的傳播原則包括除非獲得清晰、特定同意，否則禁止向公共領(lǐng)域流動的私密性原則，僅需一般同意即可流通的控制性原則和無須征得同意即可收集和處理個人信息的豁免原則。需要注意的是，行動者的角色確定、信息的類型劃分、傳播原則的具體適用，都應(yīng)當(dāng)從社會一般人的角度予以判定。即便信息主體主觀上認為信息處理者的行為對自身信息利益存在風(fēng)險，但只要社會一般人層面缺乏對該風(fēng)險的客觀認知，則該行為并無違法性。

當(dāng)前，以風(fēng)險為個人信息保護出發(fā)點，并結(jié)合情境作風(fēng)險研判成為立法的重要原則之一。2020年1月，CCPA中“與情境相匹配”（Compatieble with the cotext）成為信息處理者使用個人信息的核心原則，GDPR第6條第4段也將“個人信息收集時的情境”認定為信息處理是否合法的基本依據(jù)［9］。因此，讀者個人信息保護在以風(fēng)險為出發(fā)點，以行為為風(fēng)險規(guī)制重點的同時，更應(yīng)當(dāng)注意風(fēng)險的情景化判斷。值得注意的是，在歐美等國，風(fēng)險的情景化判斷主要依賴于司法者與執(zhí)法者的能動性，在立法上僅作原則性規(guī)定，而我國屬于成文法國家，司法者與執(zhí)法者對明確的法律規(guī)則具有天然的依賴性。因此，《公共圖書館法》后續(xù)修訂及地方公共圖書館細則應(yīng)以行動者、信息類型與傳播原則為切入點，在《民法典》《中華人民共和國個人信息保護法》（以下簡稱《個保法》）等一般個人信息法律的指導(dǎo)下，為司法者與執(zhí)法者提供指引與能動空間。

5 風(fēng)險控制范式下讀者個人信息保護行為規(guī)范的完善建議

盡管《公共圖書館法》將讀者個人信息保護納入立法層面，但囿于立法時間較早、理論研究深度不足等原因，除第四十三條規(guī)定“不得出售或以其他方式非法向他人提供讀者個人信息”［37］外，其他信息處理行為規(guī)范皆處于缺位狀態(tài)。因此，下文擬從風(fēng)險控制出發(fā)，結(jié)合圖書館實踐，明確信息處理者需要遵守的信息處理行為規(guī)范，為未來《公共圖書館法》修訂及公共圖書館制定具體細則提供參考意見。限于篇幅，本文僅針對至關(guān)重要的收集、儲存、利用行為規(guī)范予以討論。

5.1 明確信息處理者收集行為規(guī)范

公共圖書館在收集讀者個人信息時，應(yīng)履行告知義務(wù)與征求讀者同意義務(wù)?！睹穹ǖ洹返谝磺Я闳鍡l、《個保法》第十三條、第十八條［38］皆要求公共圖書館明確告知讀者收集個人信息的范圍、目的、處理方式、保存期限等具體事項，且要求公共圖書館以清晰、易懂的方式征得讀者同意。公共圖書館在履行告知義務(wù)時，應(yīng)足夠明確，使讀者對個人信息的使用產(chǎn)生較為清晰的認識和預(yù)期。

5.1.1 履行告知義務(wù)

首先，明確讀者個人信息的范圍。由于《公共圖書館法》在立法時，《民法典》《個保法》等法律尚未出臺，故《公共圖書館法》存在與后續(xù)立法的相關(guān)概念與分類銜接不暢的問題，直接影響圖書館具體細則的修訂與實施。時誠指出，《公共圖書館法》第四十三條［37］所規(guī)定的讀者個人信息、借閱信息、其他可能涉及讀者隱私的信息的三分法具有“形似神異”的特點，三者外延彼此交錯，未能從本質(zhì)上對三者進行區(qū)分，使得讀者個人信息在保護方式、處理規(guī)則等方面難以分類適用［39］。《民法典》第一千零三十五條將私密信息歸于隱私權(quán)范疇［8］，打造出隱私權(quán)與個人信息的二元保護模式，要求私密信息與個人信息采取不同的保護方式與處理規(guī)則?！秱€保法》第二十九條區(qū)分了敏感個人信息（私密信息）與一般個人信息［38］，并對敏感個人信息的處理規(guī)則提出特別要求②。二者區(qū)分敏感信息與一般個人信息的做法與本文以風(fēng)險為切入點、以情境為研判標(biāo)準的保護框架相契合。因此，《公共圖書館法》在后續(xù)修訂時，應(yīng)當(dāng)總結(jié)并結(jié)合圖書館實踐，將讀者個人信息的三分法轉(zhuǎn)換為敏感讀者個人信息與一般讀者個人信息的二分法，并對敏感個人信息進行“列舉+兜底”式的規(guī)定，為后續(xù)差別化的保護措施與義務(wù)履行奠定基礎(chǔ)。

其次，細化說明信息處理目的?！秱€保法》第6條確立了“目的限制原則”［38］，該原則在收集階段要求信息處理者具有特定的收集、使用目的，且所收集的個人信息應(yīng)為目的實現(xiàn)所必要。因此，圖書館應(yīng)當(dāng)細化說明收集讀者個人信息的目的。由于風(fēng)險控制框架要求保護措施與風(fēng)險相適應(yīng)，故而在目的告知義務(wù)履行上，敏感個人信息與一般個人信息理應(yīng)存在差異。未來《公共圖書館法》應(yīng)同《個保法》第二十九條、第三十一條［38］相銜接，圖書館處理敏感個人信息需有“特定且充分”的目的，尤其需要論證處理必要性及其對讀者的影響。當(dāng)前，我國已有部分圖書館進行了探索性規(guī)定，如《國家數(shù)字圖書館在線實名注冊使用協(xié)議》［40］、《廣西圖書館在線實名注冊使用協(xié)議》［41］皆指出讀者個人信息將用于“研究或運行監(jiān)控”等目的，但仍存在內(nèi)容概括且未區(qū)分個人信息類別的問題，建議公共圖書館在區(qū)分敏感與一般個人信息的前提下，在具體細則中細化說明信息處理目的。

5.1.2 履行征求同意義務(wù)

在風(fēng)險控制框架下，一方面，敏感讀者個人信息與一般讀者個人信息要求履行征求同意義務(wù)的方式、程度皆有不同。另一方面，履行征求同意義務(wù)還因不同情境下的傳播原則而不同。

首先，敏感個人信息屬于隱私權(quán)范疇，需適用獲取信息主體清晰、明確同意的私密性原則，且應(yīng)采取書面方式征求信息主體同意。而對于一般個人信息，則僅需要適用默示或概括同意的控制性原則，公示個人信息保護政策即視為圖書館已履行征求同意義務(wù)。需要注意的是，保護政策應(yīng)公示于圖書館門口、大廳等顯著位置，內(nèi)容也應(yīng)簡單易懂，在網(wǎng)絡(luò)環(huán)境中，保護政策應(yīng)當(dāng)遍布首頁及每個子頁面，確保讀者能夠隨時獲取、了解保護政策。

其次，《公共圖書館法》在后續(xù)修訂時，應(yīng)當(dāng)注意為豁免原則留有適用空間，即圖書館中所提供的部分服務(wù)可能在客觀上無法征求用戶同意，讀者個人信息的收集與處理需要適用流動規(guī)范中的豁免原則。如，RFID盤點機器人技術(shù)，RFID內(nèi)存有讀者借閱信息，盤點機器人運行的基本原理是通過讀取RFID對圖書進行讀者是否歸還、是否已復(fù)歸原位的判斷［42］，由于盤點工作在閉館后進行，圖書館無取得讀者同意的可能。因此，類似情況可以適用豁免原則以免除圖書館的征求同意義務(wù)。

再次，公共圖書館需要注意同意的二次獲取與未成年讀者個人信息的同意問題。當(dāng)處理讀者個人信息的目的、方式及其種類發(fā)生變更，公共圖書館應(yīng)重新取得讀者同意。此外，一般認為，未成年人天生缺乏對個人信息的理解能力而具有脆弱性，遭受風(fēng)險的可能更大［43］，因此《個保法》第十五條［38］與《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》第九條［44］皆要求收集不滿十四周歲的未成年讀者個人信息時，應(yīng)當(dāng)特別取得其監(jiān)護人同意。

5.2 明確信息處理者儲存行為規(guī)范

讀者個人信息儲存是圖書館利用讀者個人信息的前提，具有銜接個人信息收集環(huán)節(jié)與信息使用環(huán)節(jié)的作用。在儲存環(huán)節(jié)，讀者個人信息面臨的風(fēng)險主要源于信息處理者內(nèi)部或外部未經(jīng)授權(quán)的訪問、個人信息泄露以及被竊取、竄改和刪除?！?017政企機構(gòu)信息泄露形勢分析報告》指出，造成機構(gòu)信息泄露的主要原因是內(nèi)鬼出賣和黑客入侵，圖書館應(yīng)采取相應(yīng)的預(yù)防措施以防止上述風(fēng)險發(fā)生［45］。根據(jù)信息儲存環(huán)節(jié)的個人信息保護實踐，《公共圖書館法》未來修訂應(yīng)參考《個保法》第五十一條［38］，在區(qū)分敏感個人信息與一般個人信息的前提下，從內(nèi)部人員管理與安全技術(shù)層面出發(fā)，構(gòu)建風(fēng)險預(yù)防措施體系。

5.2.1 強化圖書館內(nèi)部人員管理

（1）為不同崗位的工作人員設(shè)置不同權(quán)限，建立責(zé)任監(jiān)督機制。我國公共圖書館普遍缺乏合理權(quán)限劃分，無論是正式館員還是“臨時工”“勞務(wù)外派人員”等外包人員皆具有隨意訪問個人信息的權(quán)限。因此，圖書館應(yīng)控制工作人員獲取、訪問讀者個人信息的權(quán)限，設(shè)置敏感個人信息訪問、獲取專有賬戶，將員工權(quán)限控制在正常履職所需的最小范圍之內(nèi)。對于因工作需要而難以有效限定權(quán)限的情況，圖書館應(yīng)建立專人責(zé)任機制，工作人員在訪問、獲取敏感個人信息時，需由特定人員予以審核并批準。此外，圖書館還應(yīng)當(dāng)形成讀者個人信息訪問、獲取記錄備案機制，通過定期審查訪問、獲取記錄，形成有效的事后監(jiān)督，真正做到每一條讀者個人信息的訪問與獲取都能尋找到相關(guān)責(zé)任人。

（2）加強安全教育培訓(xùn)，提高個人信息安全保障意識。圖書館館員應(yīng)肩負保護讀者個人信息的神圣使命，圖書館應(yīng)提升館員的個人信息保護意識，加強個人信息保護技能培訓(xùn)，幫助館員形成對網(wǎng)絡(luò)個人信息保護的科學(xué)認識，明晰讀者個人信息泄露所帶來的危害，進一步完善讀者個人信息保護制度。

5.2.2 提升信息安全技術(shù)水平

（1）強化匿名化技術(shù)、保密技術(shù)的適用。匿名化技術(shù)與保密技術(shù)是預(yù)防讀者個人信息泄露風(fēng)險的重要手段，也是圖書館利用讀者個人信息的前提。原生讀者個人信息經(jīng)匿名化后即轉(zhuǎn)化為衍生數(shù)據(jù)，圖書館對該數(shù)據(jù)享有相對寬松的權(quán)利。圖書館可采取DES、AES等加密技術(shù)提升讀者個人信息的保密性，采取假名化、隨機化、數(shù)據(jù)合成、K-匿名模型與差分隱私等匿名化技術(shù)消除兒童讀者個人信息的可識別性。值得注意的是，除假名化技術(shù)以外的其他匿名化技術(shù)需要較高的人力與技術(shù)成本。

（2）加強網(wǎng)絡(luò)安全技術(shù)。圖書館應(yīng)注意其門戶網(wǎng)站的安全性，使用SSL技術(shù)對數(shù)據(jù)傳輸協(xié)議進行加密，提高讀者個人信息傳輸過程的安全性。技術(shù)部門應(yīng)當(dāng)建立漏洞定期查找、修補制度，利用網(wǎng)站日志預(yù)防非法入侵行為。此外，圖書館還應(yīng)當(dāng)建立信息定期刪除制度，為敏感讀者個人信息與一般讀者個人信息設(shè)置不同的儲存與自動刪除時間，降低泄露風(fēng)險。

（3）建立預(yù)警與應(yīng)急技術(shù)體系。圖書館應(yīng)建立讀者個人信息儲存風(fēng)險預(yù)警系統(tǒng)，尤其要加強發(fā)生儲存風(fēng)險后的技術(shù)補救措施，建立讀者個人信息定期備份制度與災(zāi)難恢復(fù)制度，確保讀者個人信息在遭受到意外后能夠通過備份及時恢復(fù)。

5.3 明確信息處理者利用行為規(guī)范

除《公共圖書館法》第四十三條所要求的“不得出售或以其他方式非法向他人提供讀者個人信息”的利用行為規(guī)范外［37］，圖書館對讀者個人信息的利用需貫徹“目的限制”原則，即圖書館對讀者個人信息的利用不得違背收集時的約定目的。但公共圖書館因收集主體與處理主體不一，在收集階段難以精準、具體地描述目的，后續(xù)處理目的很有可能與收集目的不同。

當(dāng)前，各國立法為防止目的限制原則僵化，形成對個人信息合理利用的阻礙，皆對使用限制原則采取彈性理解。如GDPR在措辭上使用“不能違反約定目的”，這意味著允許處理目的與收集目的不同，但二者需要具備相關(guān)性［8］。我國《個保法》也采取這一路徑，規(guī)定“不得進行與處理目的無關(guān)的個人信息處理”［38］，即數(shù)據(jù)處理者后續(xù)的處理目的與約定目的無需完全一致，只要有關(guān)聯(lián)即屬不違反“目的限制原則”。后續(xù)《公共圖書館法》在修訂時應(yīng)與《個保法》第六條保持一致，對讀者個人信息的使用限制采取彈性理解。

值得注意的是，判斷圖書館信息利用行為是否違背目的限制原則，關(guān)鍵在于判斷圖書館與讀者約定目的與實際使用目的是否相關(guān)。本文認為采取情景化的“隱私風(fēng)險評估”（Privacy Impact Assessment），結(jié)合讀者的合理預(yù)期與圖書館的規(guī)范期待、信息敏感程度、情境傳播原則的改變，判斷處理目的是否引發(fā)了高于約定時數(shù)據(jù)處理可能產(chǎn)生的具體危險，若產(chǎn)生了具體危險，則處理目的與約定目的二者存在背離，信息處理者違背了“目的限制原則”，否則屬于“合理使用”。

以縣級公共圖書館將收集的讀者個人信息匯集至本省省級圖書館進行讀者行為分析為例。首先，根據(jù)《公共圖書館法》第三條［37］，公共圖書館屬于承擔(dān)公共文化服務(wù)的公益性組織，不以營利為目的，這一角色決定了省級公共圖書館缺乏濫用公民個人信息的內(nèi)在動機，因此將讀者個人信息交予省級公共圖書館進行處理不會升高風(fēng)險。其次，省級公共圖書館擁有縣級公共圖書館難以比擬的個人信息處理技術(shù)優(yōu)勢，將讀者個人信息交予省級公共圖書館進行處理甚至?xí)档惋L(fēng)險。最后，盡管我國公共圖書館在性質(zhì)上屬于事業(yè)單位，不同公共圖書館之間不存在隸屬關(guān)系，但在功能層面，省市縣三級公共圖書館早已實現(xiàn)館際讀者證、技術(shù)、館藏互通，這意味著讀者一館辦卡即可享受省市縣所有公共圖書館的服務(wù)，故而省市縣公共圖書館間的讀者個人信息的情境傳播原則理應(yīng)適用無須征得同意的豁免原則。結(jié)合以上三點可以判斷，雖然縣級公共圖書館將收集到的讀者個人信息統(tǒng)一交予省級公共圖書館，并進行讀者行為分析的行為超過了同讀者的約定目的，但由于這一行為不存在升高風(fēng)險可能，因此信息處理者并未違反“目的限制原則”。

［注釋］

①當(dāng)前我國已經(jīng)出現(xiàn)這種現(xiàn)象：例如，既有私法確權(quán)路徑被認為“在保護信息主體權(quán)利的同時阻礙信息的自由流通”，而在反駁的過程中，又出現(xiàn)了錨定于個人信息社會性，要求信息自由流通、社會控制的公法保護路徑，而該路徑又被認為“是以犧牲信息主體的權(quán)利為代價來確保絕對的信息自由流通”。

②需要特別指出的是，“隱秘信息”與“敏感個人信息”二者同一。張新寶教授認為，“敏感個人信息是指關(guān)涉?zhèn)€人隱私核心領(lǐng)域、具有高度私密性、對其公開或利用將會對個人造成重大影響的個人信息?！?/p>