鄭曉圳 鐘曉雯

（1.廣州商學(xué)院圖書館 廣東廣州 511363）

（2.西南政法大學(xué)民商法學(xué)院 重慶 401120）

1 問題的提出

在《中華人民共和國民法典》（以下簡稱《民法典》）《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）頒布之前，《中華人民共和國電子商務(wù)法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》《中華人民共和國測繪法》等數(shù)十部法律法規(guī)不同程度地規(guī)定了信息主體的“同意”是處理個人信息的合法性基礎(chǔ)?！兑话銛?shù)據(jù)保護(hù)條例》（General Data Protection Regulation,GDPR）第6條也明確“同意”是處理個人數(shù)據(jù)的合法性事由之一。據(jù)此，理論界也高度關(guān)注個人信息處理中的同意規(guī)則，并主要聚焦于其正當(dāng)性及適用效果的議題上。學(xué)者們或試圖在同意的單一合法性基礎(chǔ)上擴(kuò)張為多元合法性基礎(chǔ)[1]；或嘗試排除同意的合法性基礎(chǔ)并重構(gòu)個人信息保護(hù)的制度范式[2]。直至2020年《民法典》頒布，其中第1035條第1款正式奠定了將信息主體的“同意”作為個人信息處理的合法性來源的基調(diào)，隨后《個人信息保護(hù)法》就同意規(guī)則作了更為全面的一般性規(guī)定。自此，關(guān)于同意規(guī)則的學(xué)理研究從立法論轉(zhuǎn)向解釋論，重點(diǎn)探討同意的適用路徑。因此，結(jié)合具體場景化應(yīng)用，探討個人信息處理活動中同意的適用路徑頗具價值。

本文主要聚焦于在圖書館的場域下探討讀者同意的適用路徑，在探討這一問題之前，需要明確讀者個人信息的定義。目前我國未有立法明文規(guī)定讀者個人信息的定義，但可以明確的是，讀者個人信息是個人信息在圖書館領(lǐng)域的具體體現(xiàn)，涵攝于“個人信息”的范疇內(nèi)[3]。故欲在圖書館的場域下定義讀者個人信息，需結(jié)合“個人信息”這一措辭的法律定義。國際上既有立法關(guān)于個人信息①的定義并非完全一致，但均強(qiáng)調(diào)個人信息的兩個特性：身份可識別性②與固定載體性③。我國《個人信息保護(hù)法》在“個人信息”定義表述中采用了“以電子或者其他方式記錄的”“已識別或者可識別”等措辭④，可以認(rèn)為，我國也已經(jīng)直接以立法的形式肯認(rèn)了個人信息的這兩個特性。因此，讀者個人信息的內(nèi)涵與外延可被界定為：以電子或者其他方式記錄的，能夠單獨(dú)或與其他信息結(jié)合、對比后識別讀者身份的所有信息，包括讀者注冊信息、讀者生物識別信息、圖書館網(wǎng)頁瀏覽記錄等。

在圖書館場域中，處理讀者個人信息時適用同意機(jī)制的完整鏈條是：圖書館向讀者充分履行告知義務(wù)且讀者在充分知悉的前提下作出自愿有效的同意允諾后，圖書館得以在讀者同意的范疇內(nèi)處理其個人信息[4]。目前我國《個人信息保護(hù)法》區(qū)分一般個人信息與敏感個人信息，并基于此種分類模式確立了概括同意結(jié)合特定例外的同意機(jī)制。但我國《民法典》、《中華人民共和國公共圖書館法》（以下簡稱《公共圖書館法》）與《個人信息保護(hù)法》對于個人信息的分類存在差異。例如，從文義解釋來看，《公共圖書館法》第43條將個人信息劃分為讀者的“個人信息”“借閱信息”和“其他可能涉及讀者隱私的信息”。由此直接引發(fā)的問題是：立足于一般個人信息與敏感個人信息分類基礎(chǔ)上的概括同意結(jié)合特定例外的同意機(jī)制，如何在《民法典》《公共圖書館法》的框架體系下適用于讀者個人信息的處理[5]。欲解決此問題，需要從體系化的角度厘清不同法律法規(guī)確立的各種類型的個人信息間的法律關(guān)系，廓清讀者個人信息的分類譜系，進(jìn)而類型化探索讀者個人信息處理中“同意”的適用路徑。

2 讀者個人信息的類型化譜系

2.1 既有法律秩序?qū)ψx者個人信息的分類

縱觀我國當(dāng)前既有立法，涉及讀者個人信息分類的法律法規(guī)主要集中于《民法典》《個人信息保護(hù)法》和《公共圖書館法》中，其中《民法典》與《個人信息保護(hù)法》致力于構(gòu)建普適性的個人信息類型化譜系，而《公共圖書館法》則充當(dāng)著規(guī)制讀者個人信息處理的專門性立法角色。下文將就三部法律法規(guī)關(guān)于讀者個人信息分類的條文作體系化解釋，并基于隱私場景理論歸納總結(jié)出讀者個人信息的合理類型化譜系。

2.1.1 《民法典》對讀者個人信息的分類

將個人信息納入調(diào)整范圍是《民法典》立法的亮點(diǎn)之一?！睹穹ǖ洹返?10條體現(xiàn)了立法對個人信息的間接保護(hù)，蓋因該條明確了自然人享有姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、隱私權(quán)等具體人格權(quán)，而各個具體人格權(quán)中蘊(yùn)含著對個人信息的保護(hù)。例如，自然人的姓名不僅應(yīng)落入姓名權(quán)的保護(hù)范疇，同時又是個人信息保護(hù)的內(nèi)容之一。此外，《民法典》第111條還對個人信息保護(hù)作了直接的一般性規(guī)定，宣示性地承認(rèn)了個人信息的民事權(quán)益地位，明令禁止非法處理（收集、使用、加工、傳輸、買賣等）個人信息的行為。可見，《民法典》第110條、第111條將個人信息劃分為“具體個人信息”與“一般個人信息”。

除“具體個人信息”與“一般個人信息”的分類外，《民法典》實(shí)際上也將個人信息劃分為“隱私信息”與“非隱私信息”?！睹穹ǖ洹返?034 條延續(xù)了第111條的規(guī)定，宣示性地將自然人的個人信息納入保護(hù)范疇，同時以“概括+列舉”的方式對個人信息的內(nèi)涵與外延作出界定。值得注意的是，該條第3款明確“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定”。從文義解釋的角度來看，第1034條將個人信息劃分為“隱私信息”與“非隱私信息”。因此，在《民法典》的框架體系下，讀者個人信息的類型化方式有兩種：一是將其劃分為讀者一般個人信息、讀者具體個人信息；二是將其劃分為讀者隱私信息、讀者非隱私信息。

2.1.2 《個人信息保護(hù)法》對讀者個人信息的分類

1981 年歐洲聯(lián)盟通過的《關(guān)于個人數(shù)據(jù)自動化處理中的個人保護(hù)公約》（Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）第6 條明確規(guī)定：“除非國內(nèi)法提供了適當(dāng)?shù)谋Ｗo(hù)措施，否則不能對揭示種族出身、政治觀點(diǎn)、宗教或其他信仰的個人數(shù)據(jù)，以及有關(guān)健康或性生活的個人數(shù)據(jù)進(jìn)行自動化處理?！盵6]隨后該條款在2012年被修改為“敏感數(shù)據(jù)的處理”，明確提出了敏感個人數(shù)據(jù)（Sensitive Personal Data）的概念，同時增加了基因數(shù)據(jù)、刑事犯罪相關(guān)數(shù)據(jù)、工會成員資格三類敏感數(shù)據(jù)的來源。此后GDPR基本延續(xù)了前述公約對個人信息的類型化方式及定義，僅增加列舉了“生物特征數(shù)據(jù)”（Biometric Data）這一種敏感個人數(shù)據(jù)的來源。我國《個人信息保護(hù)法》也借鑒了這一規(guī)定，在第28條第1款以“抽象+列舉”的方式明確了敏感個人信息的含義，強(qiáng)調(diào)“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息”屬于敏感個人信息。此外，我國《個人信息保護(hù)法》在第二章“個人信息處理規(guī)則”中還并列規(guī)定了“一般規(guī)則”與“敏感個人信息的處理規(guī)則”。據(jù)此可以推斷出，《個人信息保護(hù)法》將讀者個人信息區(qū)分為讀者一般個人信息與讀者敏感個人信息。

2.1.3 《公共圖書館法》對讀者個人信息的分類

《公共圖書館法》第43條歷來是學(xué)者們對讀者個人信息進(jìn)行類型化的條文范本，該條明確將“讀者的個人信息”、“讀者借閱信息”和“其他可能涉及讀者隱私的信息”并列安排，但卻未對前述三者的具體定義及相互間的關(guān)系作出解釋[7]。因此，學(xué)者們以該條作為讀者個人信息類型化的基礎(chǔ)時產(chǎn)生了不同的觀點(diǎn)：或?qū)⒆x者個人信息劃分為讀者隱私信息、讀者敏感個人信息、讀者一般個人信息和讀者借閱信息[8]；或認(rèn)為讀者的個人信息包括讀者一般個人信息（借閱信息是其中的具體類型之一）和讀者隱私信息[9]。實(shí)際上，從立法技術(shù)的角度來看，《公共圖書館法》第43條將“讀者的個人信息”、“讀者借閱信息”和“其他可能涉及讀者隱私的信息”并列分布，這意味著三者在范疇大小上應(yīng)為相當(dāng)，且三者結(jié)合應(yīng)當(dāng)形成讀者個人信息的全部外延。故“讀者的個人信息”可理解為讀者個人身份信息，是讀者個人信息的屬概念（或稱下位概念）。因此，從文義解釋上看，《公共圖書館法》將讀者個人信息劃分為讀者個人身份信息、讀者借閱信息、其他可能涉及讀者隱私的信息。

2.2 法解釋學(xué)對讀者個人信息分類的訴求

結(jié)合《民法典》《個人信息保護(hù)法》《公共圖書館法》關(guān)于讀者個人信息的分類方法，從法解釋學(xué)和隱私場景理論的角度來看，讀者個人信息應(yīng)劃分為讀者隱私信息、讀者敏感個人信息、讀者一般個人信息和讀者借閱信息，并以此作為討論讀者個人信息處理中“同意”的類型化適用之基礎(chǔ)。

從法解釋學(xué)的角度來分析，首先，《民法典》區(qū)分“一般個人信息”與“具體個人信息”的目的在于賦予不同的請求權(quán)基礎(chǔ)，即明確當(dāng)非法處理個人信息的行為侵犯的是信息主體的具體人格權(quán)（姓名權(quán)、隱私權(quán)等）時，信息主體可以《民法典》第110條為請求權(quán)基礎(chǔ)；當(dāng)非法處理個人信息的行為侵犯的并非信息主體的具體人格權(quán)時，信息主體可援引《民法典》第111條——“一般個人信息”保護(hù)條款。這與探討讀者“同意”的適用路徑并無密切關(guān)聯(lián)，故此種分類方式不應(yīng)被采納。其次，《公共圖書館法》中提及的“讀者個人身份信息”可分別納入讀者一般個人信息、讀者敏感個人信息的范疇內(nèi)，故毋需單獨(dú)列舉為一個類型。類似的，“其他可能涉及讀者隱私的信息”可歸入讀者隱私信息的范疇內(nèi)，同樣無須單獨(dú)列出。復(fù)次，對于敏感個人信息而言，《個人信息保護(hù)法》第28條第1款明確規(guī)定：“敏感信息是……容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害……的個人信息?！逼渲小叭烁褡饑?yán)”一詞直接指向了隱私范疇，這直觀反映出了《個人信息保護(hù)法》中的敏感個人信息與個人隱私存在范疇上的包含與被包含關(guān)系，換言之，可以理解為敏感個人信息包括了個人隱私信息。而在敏感個人信息包括個人隱私信息的情形下，《民法典》又同時規(guī)定了隱私權(quán)和個人信息，這就引發(fā)一個問題：讀者隱私信息與讀者敏感個人信息在適用讀者同意機(jī)制時是應(yīng)當(dāng)有所差異抑或是應(yīng)當(dāng)相同。因此，讀者隱私信息與讀者敏感個人信息有必要區(qū)分討論。最后，讀者借閱信息作為《公共圖書館法》中的特別規(guī)定，其如何適用讀者同意機(jī)制理應(yīng)受到圖書館學(xué)界和法學(xué)界的重點(diǎn)關(guān)注。

2.3 隱私場景理論對讀者個人信息分類的啟示

場景理論最初為社會學(xué)研究者創(chuàng)設(shè)，旨在解釋一些無法用傳統(tǒng)理論闡明的社會現(xiàn)象。伴隨著互聯(lián)網(wǎng)的發(fā)展，傳媒學(xué)研究者開始將場景理論運(yùn)用至傳媒現(xiàn)象的研究中，這意味著場景理論的適用域從物理場景延伸到了電子信息場景。20世紀(jì)90年代，特里·尼科爾斯·克拉克（Terry Nichols Clark）就曾完整地提出了場景理論（the theory of scenes）。他認(rèn)為場景由社區(qū)、有型建筑物、不同主體單獨(dú)或聯(lián)合構(gòu)成的一種特色活動[10]。在大數(shù)據(jù)時代到來后，羅伯特·斯考伯（Robert Scoble）和謝爾·伊斯雷爾（Shel Israel）斷言：互聯(lián)網(wǎng)在未來25年間將進(jìn)入新時代——場景時代（Age of ContextR）[11]。這不僅標(biāo)志著場景理論的發(fā)展進(jìn)入征程，也預(yù)示著場景理論將成為解釋與互聯(lián)網(wǎng)相關(guān)行為的重要工具。

在現(xiàn)實(shí)生活中，無論是立基于物理空間的有形場景抑或是立基于網(wǎng)絡(luò)空間的無形場景，社會交流互動都是其核心要義，而個體在各種場景中欲實(shí)現(xiàn)更好的交流互動，無可避免地需要披露必要的個人信息以便于識別、交流、了解和評價。因此，有學(xué)者認(rèn)為，個人信息充當(dāng)著將無數(shù)個社交場景串聯(lián)并編織成網(wǎng)絡(luò)的重要角色[12]。但個人信息在為人們的交流互動提供便利的同時，其作為一種流動要素也衍生了個人信息安全問題。

在公共私人對立狀況下，由于隱私的定義極其困難，靜態(tài)隱私分配規(guī)則也難以適用，海倫·尼森鮑姆（Helen Nissenbaum）提出了隱私場景理論（Contextual Inetegrity Theory）。該理論認(rèn)為場景公正是一個中心原則，醫(yī)療、消費(fèi)、教育等生活領(lǐng)域雖然均發(fā)生于由信息構(gòu)成的場景中，但信息處理需要由信息持有者、傳播者、接收者等多方主體共同完成，不同主體在信息處理過程中的角色定位不同，信息控制能力不同，風(fēng)險承擔(dān)能力不同，合理利益訴求不同，這決定了不同場景下的信息處理活動中的主體所應(yīng)當(dāng)遵守的行為準(zhǔn)則也應(yīng)當(dāng)有所差異[13]。換言之，不同場景下的信息處理的規(guī)范約束應(yīng)當(dāng)存在合理差異。個人信息保護(hù)與隱私保護(hù)相似，同樣存在著定義困難，靜態(tài)個人信息流動風(fēng)險和利益分配規(guī)則難以適用的問題。因此，可以嘗試運(yùn)用隱私場景理論來解釋個人信息處理中的相關(guān)法律問題。如此一來，“同意”作為個人信息處理的合法性基礎(chǔ)，也應(yīng)當(dāng)在隱私場景理論的框架下結(jié)合不同的場景差異化設(shè)置適用規(guī)則。

實(shí)際上，將讀者個人信息劃分為讀者隱私信息、讀者敏感個人信息、讀者一般個人信息以及讀者借閱信息，繼而采用不同的讀者“同意”機(jī)制的適用路徑符合隱私場景理論的要求，蓋因四者分別屬于讀者信息的不同場景，各方主體在這四種場景下的信息控制能力、風(fēng)險承擔(dān)能力、合理利益訴求等均有所區(qū)別。具體而言，讀者隱私信息具有私密性，與讀者的人身關(guān)聯(lián)性極強(qiáng)，需要嚴(yán)格保護(hù)，理應(yīng)適用嚴(yán)格的讀者同意機(jī)制；讀者敏感個人信息與讀者的人身關(guān)聯(lián)性較之讀者隱私信息更弱，但其仍然與讀者密切關(guān)聯(lián)，需要強(qiáng)化保護(hù)，理應(yīng)適用趨于嚴(yán)格的讀者同意機(jī)制；讀者一般個人信息則與讀者的人身關(guān)聯(lián)性較為松散，只需適度保護(hù)，理應(yīng)適用較為寬松的讀者同意機(jī)制；讀者借閱信息則需結(jié)合其是否具有人身識別性而區(qū)分討論。倘若讀者借閱信息具有人身識別性，則應(yīng)落入《個人信息保護(hù)法》中的“個人信息”范疇，可依次歸入前述3種分類；倘若讀者借閱信息不具有人身識別性，那么其就無法適用個人信息處理的相關(guān)規(guī)則（下文會對此問題進(jìn)行詳細(xì)論述，此處暫不贅述）。因此，基于場景理論，將讀者個人信息劃分為讀者隱私信息、讀者敏感個人信息、讀者一般個人信息以及讀者借閱信息，并以此為基礎(chǔ)類型化探討讀者同意機(jī)制的適用路徑具有合理性。

3 讀者個人信息處理中“同意”的適用范疇

《個人信息保護(hù)法》第13條規(guī)定，除基于履行法定職責(zé)或法定義務(wù)、維護(hù)社會公共利益、應(yīng)對突發(fā)公共衛(wèi)生事件等例外情形外，處理讀者一般個人信息、讀者敏感個人信息時，均應(yīng)在信息主體充分知情的基礎(chǔ)上由讀者自愿、明確地作出同意允諾。因此，讀者同意適用于處理讀者一般個人信息與讀者敏感個人信息應(yīng)無爭議，存在爭議的適用范疇是讀者隱私信息與讀者借閱信息。

3.1 絕對私密性的讀者隱私信息不適用讀者同意機(jī)制

“同意”是否是處理所有讀者隱私信息的合法性基礎(chǔ)值得商榷。在信息主體同意或其他特定情形下，立法允許企業(yè)、機(jī)構(gòu)等組織體處理個人信息的根本原因是，個人信息在社會秩序運(yùn)行中充當(dāng)著工具和媒介的角色。社會秩序的有序運(yùn)行需要通過收集、掌握、利用產(chǎn)生于個體的個人信息，并借此信息來了解、判斷某一個體或某一群體的個性特征、行為模式等。這也是學(xué)者們認(rèn)為個人信息具有可社會化的源頭[14]。例如，新冠肺炎疫情防控期間，為強(qiáng)化網(wǎng)格化、精準(zhǔn)化的管控措施，即需要收集、掌握、整合和利用大量個人信息。故讀者同意機(jī)制的適用范疇?wèi)?yīng)限定在可社會化的個人信息范圍內(nèi)。然而，并非所有的個人信息都可被社會化?！吨腥A人民共和國憲法》第40條規(guī)定了公民通信自由和通信秘密受法律保護(hù)，《民法典》第1032條明確自然人享有隱私權(quán)，可見立法將個人隱私上升至憲法權(quán)利和基本人權(quán)的地位，并以絕對權(quán)的方式加以特別保護(hù)。而我國個人信息與個人隱私在概念范疇上存在交叉，個人信息實(shí)則包含了個人隱私，在《民法典》對隱私權(quán)與個人信息保護(hù)采用區(qū)分立法模式（以不同條款作分別規(guī)定）的情形下，可以推斷出：個人信息中存在著可落入“公民通信自由和通信秘密”與隱私權(quán)規(guī)制范圍內(nèi)的絕對私密性個人隱私信息。這些絕對私密性的個人隱私信息因關(guān)涉人身自由和人格尊嚴(yán)而被納入絕對權(quán)、憲法權(quán)利和基本人權(quán)的調(diào)整范圍，應(yīng)當(dāng)排除在可社會化的個人信息范疇外。綜前所述，讀者隱私信息中存在著絕對私密性個人隱私信息，這些信息不適用讀者同意機(jī)制。

3.2 讀者衍生借閱信息不適用讀者同意機(jī)制

《公共圖書館法》第43條將讀者借閱信息納入了調(diào)整范圍，但讀者借閱信息是《公共圖書館法》的特別規(guī)定，《民法典》《個人信息保護(hù)法》等并未提及此概念，因此《個人信息保護(hù)法》確立的概括同意結(jié)合特定例外的同意機(jī)制能否適用讀者借閱信息需要探究。

讀者借閱信息包括原始借閱信息和衍生借閱信息（也可稱為增值借閱信息），其中原始借閱信息是讀者在借閱活動/接受圖書館服務(wù)過程中，以電子或其他形式記錄下來的、能夠識別特定讀者的信息。衍生借閱信息則是圖書館對原始借閱信息進(jìn)行實(shí)時脫敏、清洗、審核、安全測試、深度整合分析后形成的信息。由于未經(jīng)圖書館進(jìn)行脫敏加工等處理行為，原始借閱信息能夠單獨(dú)/與其他信息結(jié)合后達(dá)致識別特定讀者的效果，故讀者對其原始借閱信息仍應(yīng)享有查閱、修改等控制性信息權(quán)利，能夠排除他人對該信息的不法侵害。因此，原始借閱信息應(yīng)當(dāng)被納入《個人信息保護(hù)法》的規(guī)制范疇。相反，讀者衍生借閱信息不屬于個人信息范疇，不應(yīng)適用讀者同意機(jī)制，理由如下：一是衍生借閱信息往往已經(jīng)過圖書館匿名化處理（又稱為“脫敏”）、深度整合與加工，難以達(dá)致精準(zhǔn)識別讀者的效果，失去了個人信息的本質(zhì)屬性——“身份可識別性”，且《個人信息保護(hù)法》也已明確將“匿名化處理后的信息”排除在個人信息范疇外。二是衍生借閱信息產(chǎn)生于圖書館對原始借閱信息的深度數(shù)據(jù)化處理。從廣義角度來說，圖書館對原始借閱信息的處理活動（脫敏、清洗、審核和安全測試等）可歸為“勞動”的范疇，生產(chǎn)的衍生借閱信息應(yīng)視為圖書館的勞動成果，司法實(shí)踐中已有相應(yīng)觀點(diǎn)⑤。

4 讀者個人信息處理中“同意”的有效模式

同意規(guī)則根植于自由自主的法理基礎(chǔ)，緣起于信息自決權(quán)?！靶畔⒆詻Q權(quán)”是從《德國基本法》的“人性尊嚴(yán)”與“一般人格權(quán)”條款中衍生的權(quán)利，它在基本人權(quán)的意義上受到保護(hù)[15]，主要體現(xiàn)為當(dāng)事人對自身信息的全面知情與把握。在圖書館處理讀者個人信息過程中，不同種類的讀者個人信息因其與信息主體人格利益的關(guān)聯(lián)強(qiáng)度存在差別，造成隱私威脅程度有所不同。為避免對圖書館處理讀者個人信息科以過重的個人信息和隱私保護(hù)義務(wù)，需要結(jié)合讀者個人信息的不同類型，設(shè)置靈活的知情同意機(jī)理。

4.1 一般規(guī)則：概括同意與動態(tài)同意的區(qū)分適用

讀者一般個人信息、讀者敏感個人信息、除絕對私密性外的讀者隱私信息以及讀者原始借閱信息在范疇上存在交叉：除絕對私密性外的讀者隱私信息可涵攝于讀者敏感個人信息內(nèi)；讀者原始借閱信息則可根據(jù)具體內(nèi)容分別劃歸至讀者一般個人信息和讀者敏感個人信息內(nèi)。例如，讀者在借閱活動中產(chǎn)生的生物識別信息歸屬于讀者敏感個人信息⑥，在借閱活動中產(chǎn)生的圖書借閱記錄、瀏覽記錄歸屬于讀者一般個人信息。因此，可在《個人信息保護(hù)法》的框架體系內(nèi)，區(qū)分讀者一般個人信息和讀者敏感個人信息，廓清讀者同意的有效形式。

對于讀者一般個人信息，因其與信息主體人格利益的關(guān)聯(lián)度較弱，造成隱私威脅的程度較小，立法應(yīng)允許圖書館采用概括同意⑦的方式。相反，讀者敏感個人信息與信息主體的人格利益存在強(qiáng)關(guān)聯(lián)，故宜采用動態(tài)同意的方式。動態(tài)同意模式以分層同意為基礎(chǔ)，旨在將不斷發(fā)展變化的信息主體的偏好嵌入到信息主體與信息開發(fā)利用人員的開放式交流過程中，是一種旨在讓個人參與到數(shù)據(jù)處理過程中的新方法。我國《個人信息保護(hù)法》第29條規(guī)定處理敏感個人信息應(yīng)當(dāng)取得個人的“單獨(dú)同意”，所謂“單獨(dú)同意”是指信息處理者在處理個人信息時，不能通過一攬子告知同意的方式征得個人同意，而是需要逐一單獨(dú)取得個人的同意。“單獨(dú)同意”在《個人信息保護(hù)法》中的確立可以認(rèn)為是立法為動態(tài)同意模式提供了合法性基礎(chǔ)。因此，對讀者一般個人信息和讀者敏感個人信息的處理分別適用概括同意和動態(tài)同意具有相應(yīng)的合法性基礎(chǔ)，同時能夠在讀者個人信息處理過程中既保護(hù)信息主體的個人信息和隱私利益，又降低對圖書館經(jīng)營管理的負(fù)面影響。

4.2 特殊規(guī)則：監(jiān)護(hù)人同意機(jī)制的嵌入

在讀者個人信息處理過程中，需要針對兒童讀者個人信息作特殊考慮，即探索是否適用以及如何適用監(jiān)護(hù)人同意機(jī)制⑧。早在1989年，兒童個人信息安全問題就受到聯(lián)合國的關(guān)注，聯(lián)合國在其頒布的《兒童權(quán)利公約》中明確規(guī)定了兒童的隱私不受任意或非法干涉。美國、歐洲聯(lián)盟等國家或地區(qū)也出臺了一系列立法對兒童隱私加以特別保護(hù)，如美國的《兒童在線隱私保護(hù)法》《兒童網(wǎng)絡(luò)隱私保護(hù)法》《兒童網(wǎng)絡(luò)保護(hù)法》等。目前各個國家或地區(qū)因國情差異對兒童年齡的界定不一：聯(lián)合國《兒童權(quán)利公約》將18周歲以下的人全部納入兒童的范疇；GDPR雖未明確申明兒童的年齡界限，但其針對處理16周歲以下兒童的個人數(shù)據(jù)設(shè)置了特別措施（監(jiān)護(hù)人同意），同時允許成員國自行在13周歲以上的范圍內(nèi)作相應(yīng)調(diào)整；美國《兒童在線隱私保護(hù)法》則規(guī)范了在線收集13周歲以下兒童個人信息的程序。我國本無“兒童”這一定義，采用的是“未成年人”“限制民事行為能力人”“無民事行為能力人”等措辭，但2020年實(shí)施的《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》首次明確了兒童是未滿14周歲的未成年人⑨。結(jié)合我國《個人信息保護(hù)法》第28條明確將未滿14周歲的未成年人個人信息列為敏感個人信息、第31條規(guī)定處理未滿14周歲的未成年人個人信息須征得監(jiān)護(hù)人同意，可以推斷：兒童讀者個人信息屬于敏感個人信息，處理兒童讀者個人信息需嵌入監(jiān)護(hù)人同意機(jī)制。

《個人信息保護(hù)法》確立監(jiān)護(hù)人同意機(jī)制背后的法理基礎(chǔ)是：考慮兒童（14周歲以下未成年人）的辨識能力和控制能力存在缺陷，無法正確理解和行使其個人信息權(quán)益，應(yīng)當(dāng)否定其在個人信息領(lǐng)域的行為能力，轉(zhuǎn)而采用嚴(yán)格的監(jiān)護(hù)人同意規(guī)則[16]，由監(jiān)護(hù)人基于兒童利益最大化原則，替代兒童作出是否同意的表示。這一法理基礎(chǔ)具有正當(dāng)性與合理性。然而，《個人信息保護(hù)法》雖創(chuàng)造性地確立了監(jiān)護(hù)人同意機(jī)制，但并未就如何適用該機(jī)制作出具體規(guī)定。監(jiān)護(hù)人同意機(jī)制在圖書館領(lǐng)域的適用具體涉及到三大問題：一是如何在網(wǎng)絡(luò)空間中核驗(yàn)兒童讀者身份；二是監(jiān)護(hù)人同意的有效形式為何；三是如何對監(jiān)護(hù)人的同意進(jìn)行驗(yàn)證。因此，下文針對這三大問題作出相應(yīng)闡述。

其一，兒童讀者身份的核驗(yàn)。在物理空間中，圖書館可以通過核查本人有效證件（二代身份證、戶口本等）的方式對兒童讀者身份進(jìn)行核驗(yàn)，但在互聯(lián)網(wǎng)環(huán)境下（如數(shù)字圖書館），兒童讀者身份核驗(yàn)面臨困境，蓋因?qū)嵺`中存在多個現(xiàn)實(shí)法律主體共用一個虛擬主體的現(xiàn)象，也存在由一個法律主體創(chuàng)建多個虛擬主體的情況，難以確認(rèn)網(wǎng)絡(luò)空間中虛擬主體對應(yīng)的現(xiàn)實(shí)法律主體的真實(shí)身份[17]。因此，如何通過技術(shù)手段精準(zhǔn)識別正在與圖書館交互的信息主體的年齡，是核驗(yàn)兒童讀者身份的關(guān)鍵。目前最常見的方法是實(shí)施網(wǎng)絡(luò)實(shí)名制的管理方式，要求讀者在接受圖書館提供的服務(wù)或產(chǎn)品之前提供身份信息認(rèn)證，以此判斷讀者的年齡。當(dāng)然，此種方法亦存在漏洞，只要兒童有意規(guī)避，通過借用或盜用他人有效證件進(jìn)行登記核驗(yàn)即可輕易隱瞞身份，規(guī)避管理。因此，當(dāng)圖書館在非其過錯的情況下未能識別出兒童身份而非法對兒童讀者個人信息進(jìn)行處理時，應(yīng)當(dāng)在發(fā)現(xiàn)后及時刪除相關(guān)信息（不包括已匿名化處理后的個人信息）。

其二，監(jiān)護(hù)人同意的有效形式?！秱€人信息保護(hù)法》第31條僅為原則性規(guī)定，對于監(jiān)護(hù)人同意的有效形式未有明確指引。鑒于立法已將兒童個人信息列為敏感個人信息的范疇，故監(jiān)護(hù)人在替代兒童讀者作出同意允諾時也應(yīng)當(dāng)適用前述讀者敏感個人信息的有效同意形式，即監(jiān)護(hù)人作出的同意允諾必須是自愿、明確的，且需要適用動態(tài)同意機(jī)制。

其三，監(jiān)護(hù)人同意的驗(yàn)證。監(jiān)護(hù)人同意作為處理兒童個人信息的合法性基礎(chǔ)已為大多數(shù)國家的共識，但如何驗(yàn)證監(jiān)護(hù)人的同意一直是法律與技術(shù)上的難題。GDPR第8條第2款要求在考慮可用技術(shù)的情況下，數(shù)據(jù)控制者應(yīng)充分利用現(xiàn)有技術(shù)并作出合理努力以盡可能核驗(yàn)監(jiān)護(hù)人作出的同意或授權(quán)。當(dāng)前實(shí)踐中驗(yàn)證監(jiān)護(hù)人同意的方式主要有四種：一是由監(jiān)護(hù)人簽署紙面同意書后以郵寄、傳真或電子掃描的方式返回給信息處理者；二是要求監(jiān)護(hù)人在線勾選同意選項(xiàng)時提供本人使用的金融賬戶信息（借記卡、信用卡或其他需要用戶名和密碼或其他身份驗(yàn)證的在線支付系統(tǒng)等）[18]；三是要求監(jiān)護(hù)人作出同意允諾時提供官方頒發(fā)的身份證明文件（身份證、戶口本、機(jī)動車駕駛證等）；四是以電話連線、視頻聯(lián)系等方式驗(yàn)證監(jiān)護(hù)人同意。

綜合前述四種驗(yàn)證方式，建議圖書館可采用以下兩種監(jiān)護(hù)人同意驗(yàn)證方式（兩者擇其一即可）：一是由監(jiān)護(hù)人簽署紙面同意書后以電子掃描的方式回傳給信息處理者；二是要求監(jiān)護(hù)人作出同意表示時提供官方頒發(fā)的身份證明文件（身份證、戶口本、機(jī)動車駕駛證等）。理由如下：首先，簽署紙面同意書后以郵寄和傳真回傳的方式消耗的時間和金錢成本較高，不宜采用，而電子掃描回傳的方式具有即時性和便捷性，是可考慮的驗(yàn)證方式之一。其次，兒童通常無法申請個人銀行賬戶，利用金融賬戶信息可以驗(yàn)證出同意是由具備一定資產(chǎn)的成年人作出的，但同時也存在泄露監(jiān)護(hù)人本人敏感個人信息的隱患。而借助官方頒發(fā)的身份證明文件驗(yàn)證監(jiān)護(hù)人同意的方法，具有極高真實(shí)性、可信賴性以及便捷性，盡管其同樣存在捆綁監(jiān)護(hù)人敏感個人信息的問題，但相較于需要借助金融賬戶信息驗(yàn)證監(jiān)護(hù)人同意的方式，一旦發(fā)生個人信息泄露實(shí)踐，身份證明文件所引發(fā)的個人信息權(quán)益損害通常較之金融賬戶信息要小。這也是《個人信息保護(hù)法》明確將金融賬戶信息列為敏感個人信息，而未將諸如二代身份證、戶口本上記載的信息列為敏感個人信息的主要原因。最后，以電話連線、視頻聯(lián)系等方式驗(yàn)證監(jiān)護(hù)人同意雖在實(shí)踐運(yùn)用中較為廣泛且能夠在一定程度上避免捆綁監(jiān)護(hù)人的敏感個人信息，但極易出現(xiàn)冒名頂替進(jìn)行電話連線或視頻聯(lián)系的情形，真實(shí)性較低，故不建議采用。

5 代結(jié)語：讀者個人信息處理中“同意”的適用限制

《個人信息保護(hù)法》的出臺標(biāo)志著我國個人信息保護(hù)立法已進(jìn)入快車道，圖書館作為履行社會功能的重要公共場所，這一浪潮也直接關(guān)涉廣大讀者的個人信息和隱私權(quán)益。目前《個人信息保護(hù)法》明確將“同意”作為處理讀者個人信息的重要合法性基礎(chǔ)并作了相應(yīng)的制度安排，但這些制度安排僅為一般性規(guī)定，并未結(jié)合圖書館場域的特殊性形成體系化的規(guī)范，故本文在《民法典》《個人信息保護(hù)法》《公共圖書館法》等的整體法秩序框架下初步探索了讀者個人信息處理中“同意”的適用范疇和有效模式。但“合法、正當(dāng)、必要”三原則是個人信息處理的基本原則，三者呈現(xiàn)出來的是相互制衡的關(guān)系，合法原則應(yīng)當(dāng)受到后兩個原則的約束[4]。由此衍生而來的問題是：圖書館場域下，正當(dāng)、必要原則對讀者同意的限制應(yīng)以何種形式展開，立法應(yīng)安排到何種程度，“目的限制”和比例原則在讀者同意的限制中又充當(dāng)著何種角色。故學(xué)界有必要就讀者個人信息處理中“同意”的體系性限制作更為全面、深入的探討。

注釋：

① 關(guān)于個人信息的稱謂，不同國家或地區(qū)表達(dá)各異，例如，我國臺灣地區(qū)稱其為“個人資料”，歐洲地區(qū)通常使用“個人數(shù)據(jù)”（Personal Data），日本和韓國采用“個人信息”（Personal Information），美國則采用“信息隱私”（Information Privacy），我國《民法典》《網(wǎng)絡(luò)安全法》等法律文件中采用的是“個人信息”的表述。嚴(yán)格意義上，相關(guān)概念并非完全一致，但是在探討個人信息法的問題時基本可混同使用。

② 身份可識別性指的是個人信息與信息主體存在客觀關(guān)聯(lián)性，通過個人信息能夠直接識別或間接識別特定自然人的身份。其中直接識別是指能夠憑借此單一信息獨(dú)立識別特定自然人的身份；間接識別是指需要與其他信息進(jìn)行結(jié)合或?qū)Ρ群?，才得以識別特定自然人的身份。

③ 固定載體性指的是法律意義上的個人信息必須是已經(jīng)固定化于特定媒介中的信息，蓋因只有經(jīng)由特定媒介固定化后的個人信息才具有手動/自動化操作的可能性和法律保護(hù)的必要性。

④ 參見《個人信息保護(hù)法》第4條。

⑤“淘寶訴美景”案的二審判決認(rèn)為：“‘生意參謀’數(shù)據(jù)產(chǎn)品中的數(shù)據(jù)內(nèi)容系淘寶公司付出了人力、物力、財力，經(jīng)過長期經(jīng)營積累而形成……‘生意參謀’數(shù)據(jù)產(chǎn)品系淘寶公司的勞動成果，其所帶來的權(quán)益，應(yīng)當(dāng)歸淘寶公司所享有?！保ò讣斍榭梢姾贾菔兄屑壢嗣穹ㄔ海?018）浙01民終7312號）

⑥《個人信息保護(hù)法》第28條第1款將“生物識別信息”列為敏感個人信息。

⑦ 概括同意指的是以一攬子告知同意的方式征得個人同意。

⑧ 監(jiān)護(hù)人同意機(jī)制源于美國《兒童網(wǎng)絡(luò)隱私保護(hù)法》，經(jīng)過GDPR的完善逐步形成了國際社會中主流的保護(hù)模式。

⑨ 參見《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第2條。