[摘 要]《中華人民共和國個(gè)人信息保護(hù)法》將個(gè)人信息判斷路徑由“識別”拓展至“關(guān)聯(lián)”，意在強(qiáng)調(diào)個(gè)人信息界定的動(dòng)態(tài)性和場景化?；陉P(guān)聯(lián)路徑，圖書館對讀者個(gè)人信息概念的界定應(yīng)側(cè)重從信息主體的角度出發(fā)，按照信息在特定場景中與讀者的關(guān)聯(lián)形式，將讀者個(gè)人信息區(qū)分為指向個(gè)體身份、特征或行為的內(nèi)容關(guān)聯(lián)信息以及目的或結(jié)果關(guān)聯(lián)信息兩大類，并在此基礎(chǔ)上構(gòu)建讀者個(gè)人信息風(fēng)險(xiǎn)層級，據(jù)此明確不同類別個(gè)人信息處理目的、方式及相應(yīng)的保護(hù)義務(wù)。

[關(guān)鍵詞]圖書館 讀者 個(gè)人信息 識別 關(guān)聯(lián)

[分類號]G251.3；D923.4

科學(xué)界定讀者個(gè)人信息是大數(shù)據(jù)時(shí)代圖書館推進(jìn)讀者個(gè)人信息保護(hù)工作的邏輯起點(diǎn)和核心關(guān)切。《中華人民共和國公共圖書館法》第四十三條對讀者個(gè)人信息保護(hù)作出了專門規(guī)定，即“公共圖書館應(yīng)當(dāng)妥善保護(hù)讀者的個(gè)人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供?！比欢摋l款并未對讀者個(gè)人信息概念做出明確說明，需要援引其他有關(guān)個(gè)人信息保護(hù)的法律法規(guī)。彼時(shí)我國尚未出臺統(tǒng)一的個(gè)人信息保護(hù)法，分散保護(hù)的和碎片化的立法模式導(dǎo)致了讀者個(gè)人信息概念及保護(hù)范圍援引依據(jù)的不確定性，不利于大數(shù)據(jù)時(shí)代讀者個(gè)人信息的保護(hù)。2021年，《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱“《個(gè)人信息保護(hù)法》”）正式實(shí)施，作為我國首部針對個(gè)人信息保護(hù)的專門性立法，其施行翻開了我國圖書館讀者個(gè)人信息安全治理的新篇章。在《個(gè)人信息保護(hù)法》統(tǒng)一規(guī)范框架下，圖書館有必要對讀者個(gè)人信息概念予以重新審視和科學(xué)界定，這對于當(dāng)下新技術(shù)被廣泛應(yīng)用和智慧圖書館服務(wù)理念不斷深入背景下的讀者個(gè)人信息保護(hù)具有十分迫切且重要的現(xiàn)實(shí)意義。

1 國內(nèi)外立法實(shí)踐中的個(gè)人信息概念界定

“個(gè)人信息”是個(gè)人信息保護(hù)法律制度中最核心的概念，其法律同義詞為“個(gè)人數(shù)據(jù)”，各國在相關(guān)立法實(shí)踐中主要采取“數(shù)據(jù)”和“信息”二選一的方式。根據(jù)具體場景，筆者使用個(gè)人信息和個(gè)人數(shù)據(jù)兩種表述方式。

1.1 域外立法中的個(gè)人信息概念界定

德國是最早專門制定個(gè)人信息保護(hù)法的國家。1977年，德國頒布《聯(lián)邦數(shù)據(jù)保護(hù)法》（BDSG），其后歷經(jīng)多次修訂。根據(jù)BDSG的規(guī)定，個(gè)人數(shù)據(jù)指“與一個(gè)已識別的或者可識別的自然人（數(shù)據(jù)主體）的私人或者實(shí)際情況有關(guān)的任何信息”[1]。這些信息可能成為個(gè)人的識別特征或者從其內(nèi)容得出唯一確定的身份，也可能通過結(jié)合其他信息得以建立與某個(gè)特定個(gè)人的聯(lián)系。

歐盟于2016 年通過的《通用數(shù)據(jù)保護(hù)條例》（GDPR）在個(gè)人數(shù)據(jù)定義上沿襲了其前身——1995年《數(shù)據(jù)保護(hù)指令（95/46/EC）》的規(guī)定，即“個(gè)人數(shù)據(jù)是指與已識別或可識別的自然人（數(shù)據(jù)主體）相關(guān)的任何信息?！蓖瑫r(shí)界定了可識別的標(biāo)準(zhǔn)，即“能夠通過姓名、身份號碼等一個(gè)標(biāo)識符實(shí)現(xiàn)識別，或者是通過自然人的一個(gè)或多個(gè)身體、生理、基因、心理、經(jīng)濟(jì)、文化或社會身份要素實(shí)現(xiàn)識別”[2]。

BDSG和GDPR確立了個(gè)人信息以識別為核心的關(guān)聯(lián)性寬泛界定標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)后為許多采用個(gè)人信息保護(hù)統(tǒng)一立法的國家所沿用。如英國《數(shù)據(jù)保護(hù)法》（DPA）將個(gè)人數(shù)據(jù)定義為“與已識別或可識別的在世的人相關(guān)的任何信息”[3]；加拿大《個(gè)人信息保護(hù)與電子文件法》（PIPEDA）將個(gè)人信息定義為“與可識別個(gè)人有關(guān)的信息”[4]；新加坡《個(gè)人數(shù)據(jù)保護(hù)法》（PDPA）將個(gè)人數(shù)據(jù)定義為“無論真實(shí)與否，與可被識別的個(gè)人有關(guān)的數(shù)據(jù)”[5]；巴西《通用數(shù)據(jù)保護(hù)法》（LGPD）將個(gè)人數(shù)據(jù)定義為“與已識別或可識別的自然人有關(guān)的信息”[6]等。

與歐洲法的統(tǒng)一立法模式不同，美國對于個(gè)人信息的保護(hù)以行業(yè)分散立法為特點(diǎn)，至今尚無聯(lián)邦統(tǒng)一的個(gè)人信息保護(hù)法[7]。受GDPR啟發(fā)，加利福尼亞州于2018年通過州法規(guī)《加州消費(fèi)者隱私保護(hù)法案》（CCPA），作為全美首部全面的個(gè)人隱私保護(hù)法案，其在美國州隱私立法中最具典型意義。2020年該州再次通過《加州隱私權(quán)法案》（CPRA），該法案對CCPA進(jìn)行了修訂和強(qiáng)化，使之更加趨向GDPR條款。根據(jù)CCPA或CPRA規(guī)定，個(gè)人信息是指“直接或間接地識別、關(guān)系到、描述、能夠相關(guān)聯(lián)或可合理地聯(lián)結(jié)到特定消費(fèi)者或家庭的信息”[8]。CCPA或CPRA對個(gè)人信息的定義與受歐洲法模式影響的法律文本有所區(qū)別，但同樣強(qiáng)調(diào)個(gè)人信息界定的“識別”和“關(guān)聯(lián)”標(biāo)準(zhǔn)。2021年，弗吉尼亞州《消費(fèi)者數(shù)據(jù)保護(hù)法》（VCDPA）獲簽署通過，成為繼CCPA之后美國第二部全面的隱私保護(hù)立法。VCDPA采用了“個(gè)人數(shù)據(jù)”的表述方式，并將其定義為“與已識別或可識別的自然人相關(guān)聯(lián)或可合理關(guān)聯(lián)的任何信息”[9]，與CCPA相比，VCDPA對個(gè)人信息的定義更接近于GDPR的表述。

1.2 我國立法中個(gè)人信息概念界定的演進(jìn)路徑

在《個(gè)人信息保護(hù)法》頒布前，我國相關(guān)法律、司法解釋和國家標(biāo)準(zhǔn)對于個(gè)人信息概念已有不少界定，具體如表1所示。

我國立法及相關(guān)規(guī)范對個(gè)人信息概念的界定標(biāo)準(zhǔn)經(jīng)過了從“識別”到“關(guān)聯(lián)”的演進(jìn)。2016年《中華人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定了身份識別單一界定標(biāo)準(zhǔn)。2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》和2020年修訂的國家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》將個(gè)人信息概念界定標(biāo)準(zhǔn)從身份識別擴(kuò)展到行為關(guān)聯(lián)，將“識別”和“關(guān)聯(lián)”作為兩個(gè)平行的標(biāo)準(zhǔn)來判定個(gè)人信息，從而與域外主流定義更加趨同。2020年《中華人民共和國民法典》（以下簡稱“《民法典》”）對個(gè)人信息概念的界定看似退回至單一識別標(biāo)準(zhǔn)，但定義中去掉了“身份”二字，可見《民法典》對“識別”的理解有泛化趨勢?！睹穹ǖ洹吩趥€(gè)人信息概念外延的部分列舉中，除姓名、身份證號等顯著的身份識別信息，健康信息、行蹤信息等反映個(gè)體特征或行為的信息也在個(gè)人信息之列，這種對識別標(biāo)準(zhǔn)的泛化理解實(shí)際上與關(guān)聯(lián)性界定標(biāo)準(zhǔn)的精神已經(jīng)有所相通。2021年《個(gè)人信息保護(hù)法》則在個(gè)人信息概念界定上做出了更多的突破：一方面以識別為核心確立了個(gè)人信息關(guān)聯(lián)性的界定標(biāo)準(zhǔn)，從而與世界主流定義保持一致，在表述上相較以往法律更加寬泛而周延；另一方面，《個(gè)人信息保護(hù)法》僅抽象概括了個(gè)人信息的基本內(nèi)涵，并未對個(gè)人信息概念外延予以明確列舉，意在保持概念的開放性和法律適用的靈活性。

2 讀者個(gè)人信息概念內(nèi)涵的界定

讀者個(gè)人信息保護(hù)是圖書館在個(gè)人信息保護(hù)領(lǐng)域的特定內(nèi)容，“讀者個(gè)人信息”的概念應(yīng)完全攝涵于《個(gè)人信息保護(hù)法》中“個(gè)人信息”的概念范疇之內(nèi)[15]。其定義應(yīng)為：以電子或者其他方式記錄的與已識別或者可識別的讀者有關(guān)的各種信息，不包括匿名化處理后的信息。其中包含以下幾個(gè)要點(diǎn)。

2.1 識別性

識別性是個(gè)人信息的本質(zhì)屬性。參考?xì)W盟第29條數(shù)據(jù)保護(hù)工作組公布的《第4/2007號意見書：個(gè)人數(shù)據(jù)的概念》（以下簡稱“《第4/2007號意見書》”）中的解釋，“識別”是指能夠?qū)⑻囟▊€(gè)人從其所處的群體中“區(qū)分”（distinguish）出來[16]。這種區(qū)分在傳統(tǒng)語境中一般是通過身份識別來實(shí)現(xiàn)的，然而在大數(shù)據(jù)時(shí)代，對于個(gè)體的識別已經(jīng)超越了身份的單一化識別，判定“你是誰”和判定“某個(gè)不知是誰，但能確定的個(gè)體特征和行為”一樣重要，甚至后者更為重要[17]。因此，在以高度感知和精準(zhǔn)服務(wù)為特點(diǎn)的智慧圖書館理念不斷深入的背景下，“識別”不僅包括對讀者身份的識別，還應(yīng)涵蓋對讀者特征和行為的識別。

大數(shù)據(jù)時(shí)代信息關(guān)聯(lián)比對的普遍性可能導(dǎo)致可識別個(gè)人信息的潛在范圍無限擴(kuò)張，給個(gè)人信息保護(hù)帶來邊界模糊和法律適用不確定的風(fēng)險(xiǎn)。因此，識別性應(yīng)充分考慮一般社會公眾認(rèn)知、信息處理者技術(shù)能力、信息處理的目的和成本等要素，其標(biāo)準(zhǔn)應(yīng)當(dāng)是相對的和動(dòng)態(tài)的。如讀者姓名、身份證號、聯(lián)系方式等符合社會公眾對傳統(tǒng)身份的認(rèn)知期待，屬于明確的可識別信息。而“借閱信息”是否構(gòu)成可識別信息需要根據(jù)具體情境而定：對于能夠從讀者借閱記錄中挖掘閱讀偏好并據(jù)此開展智能推送等個(gè)性化服務(wù)的圖書館而言，“借閱信息”屬于特征和行為可識別的個(gè)人信息；而對于暫時(shí)不具備此類服務(wù)能力的圖書館而言，“借閱信息”的特征和行為可識別屬性則要弱化許多，屬于普通的關(guān)聯(lián)信息，但具有轉(zhuǎn)變?yōu)榭勺R別個(gè)人信息的可能。此外，匿名化信息以及群體特征和行為信息識別出特定讀者的可能性極低，不應(yīng)劃入“可識別個(gè)人信息”的范疇。

2.2 關(guān)聯(lián)性

《第4/2007號意見書》將“關(guān)聯(lián)”定義為“指向特定人的身份、特點(diǎn)或行為，或用于決定、影響該人如何被對待或評價(jià)”，同時(shí)給出了3個(gè)用于判斷關(guān)聯(lián)性的標(biāo)準(zhǔn)，即內(nèi)容（content）、目的（purpose）和結(jié)果（result）。內(nèi)容關(guān)聯(lián)是指信息內(nèi)容直接指向某個(gè)人的身份、特點(diǎn)和行為，目的和結(jié)果關(guān)聯(lián)則由數(shù)據(jù)控制者或第三方的使用目的和所產(chǎn)生的影響決定[16]。如果某個(gè)信息在內(nèi)容、被處理的目的或結(jié)果這3個(gè)標(biāo)準(zhǔn)的任一標(biāo)準(zhǔn)上與某個(gè)人相關(guān)，則這個(gè)信息就被認(rèn)為是該人的關(guān)聯(lián)信息。

基于關(guān)聯(lián)路徑界定個(gè)人信息擴(kuò)張了讀者個(gè)人信息的保護(hù)范圍，同時(shí)充分肯定了讀者個(gè)人信息界定的相對性和動(dòng)態(tài)性。對于圖書館不可識別的個(gè)體，其關(guān)聯(lián)信息不構(gòu)成個(gè)人信息；而對于圖書館已識別或可識別的讀者，其關(guān)聯(lián)信息皆構(gòu)成個(gè)人信息，可能是姓名、身份證號等與讀者身份識別密切相關(guān)的信息，也可能是借閱信息、地理位置、咨詢記錄等反映讀者動(dòng)態(tài)行為的信息。這些行為關(guān)聯(lián)信息大多并不以身份識別的特殊性為前提，但能夠體現(xiàn)讀者利用圖書館的行為和行為背后的個(gè)體特征。隨著大數(shù)據(jù)相關(guān)技術(shù)的廣泛應(yīng)用，用于區(qū)分特定讀者的行為模式和特征偏好完全可能從海量行為關(guān)聯(lián)信息中挖掘得到，從而使行為關(guān)聯(lián)信息具備了轉(zhuǎn)變?yōu)榭勺R別信息的潛能。除了指向特定讀者身份、行為和特征的內(nèi)容相關(guān)信息，讀者關(guān)聯(lián)信息還可能包括目的或結(jié)果相關(guān)信息，這些信息多以非個(gè)人化信息形態(tài)存在，典型的如Cookie、IP地址等數(shù)據(jù)文件或設(shè)備信息。這些信息盡管在內(nèi)容上與某特定個(gè)體并不直接相關(guān)，但其處理目的或結(jié)果可能會對個(gè)體產(chǎn)生影響，如利用Cookies跟蹤獲取個(gè)體網(wǎng)絡(luò)活動(dòng)中的興趣和偏好，通過個(gè)性化推薦影響個(gè)體行為。

2.3 匿名化

匿名化主要是針對具有身份、特征和行為識別要素的可識別個(gè)人信息而言?！秱€(gè)人信息保護(hù)法》首次在個(gè)人信息定義中明確了匿名化豁免。匿名化是促進(jìn)信息自由流動(dòng)的重要手段，匿名化豁免有助于激發(fā)圖書館對讀者信息進(jìn)行匿名化處理的動(dòng)力。但不可否認(rèn)的是，個(gè)人信息的匿名化是相對的，在識別技術(shù)突飛猛進(jìn)和算法日益強(qiáng)大的大數(shù)據(jù)時(shí)代，匿名化信息也存在再次被識別的可能，這種再識別風(fēng)險(xiǎn)使得匿名信息與個(gè)人信息之間的界限并非像通常描述的那樣清晰[18]。這可能導(dǎo)致圖書館面臨讀者個(gè)人信息保護(hù)法律適用上的困難，不利于其實(shí)施數(shù)據(jù)挖掘、共享等利用行為。因此，圖書館應(yīng)對匿名信息的自由流轉(zhuǎn)進(jìn)行規(guī)制，并引入風(fēng)險(xiǎn)評估機(jī)制，對讀者個(gè)人信息匿名化程度、匿名操作成本、使用匿名信息的再識別風(fēng)險(xiǎn)和收益等要素進(jìn)行考量，以確?！秱€(gè)人信息保護(hù)法》的排除適用。

3 讀者個(gè)人信息概念外延的界定

讀者個(gè)人信息概念外延的界定應(yīng)充分考慮圖書館服務(wù)和利用場景下信息與讀者之間存在的各種相關(guān)性，按照信息與已識別或可識別讀者個(gè)體之間的關(guān)聯(lián)形式，將其劃分為內(nèi)容關(guān)聯(lián)信息以及目的或結(jié)果關(guān)聯(lián)信息兩大類。

3.1 內(nèi)容關(guān)聯(lián)信息

內(nèi)容關(guān)聯(lián)信息是指信息內(nèi)容直接指向讀者身份、特征和行為的信息，與讀者個(gè)體直接相關(guān)，內(nèi)容關(guān)聯(lián)信息通常表現(xiàn)為個(gè)人化信息的形式，主要包括：

（1）身份識別信息

身份識別信息是指單獨(dú)或與其他信息簡單結(jié)合即可識別讀者個(gè)人身份的信息?！吧矸葑R別”是個(gè)人信息識別性的核心，故身份識別信息與讀者個(gè)體關(guān)聯(lián)程度最高。包括身份鑒權(quán)信息和特征描述信息。

身份鑒權(quán)信息通常用于實(shí)名認(rèn)證或身份核驗(yàn)，因其在一定范圍內(nèi)具有穩(wěn)定性和排他性的特點(diǎn)，這類信息大多可直接識別讀者個(gè)人身份，如讀者辦證、在線實(shí)名注冊或參與圖書館其他服務(wù)活動(dòng)時(shí)被采集的真實(shí)姓名、身份證號、讀者證號、個(gè)人電話號碼、生物識別信息等。

特征描述信息是指能夠反映特定讀者身體狀態(tài)、人際交往、從事社會活動(dòng)情況等諸多個(gè)體特征的信息，如生理健康、社會關(guān)系、教育工作信息等。特征描述信息大多具有相對的穩(wěn)定性和區(qū)分某特定個(gè)體的獨(dú)特性，多個(gè)特征描述信息的簡單結(jié)合即存在識別特定讀者身份的可能，因而大多屬于可間接識別讀者個(gè)人身份的信息。另外，對于已識別的特定讀者而言，特征描述信息能夠豐富給定讀者個(gè)體的既有畫像，使他人知曉更多關(guān)于該讀者的情況。因而特征描述信息具有“識別性”和“歸屬性”的雙重屬性。

（2）行為關(guān)聯(lián)信息

行為關(guān)聯(lián)信息是指在讀者對圖書館資源、環(huán)境和服務(wù)的利用行為中被圖書館記錄的各種動(dòng)態(tài)信息，包括閱讀信息、位置信息和交互信息。

閱讀信息反映的是讀者對圖書館文獻(xiàn)資源的利用情況。包括紙質(zhì)文獻(xiàn)資源借閱種類、借還時(shí)間、續(xù)借情況等傳統(tǒng)借閱信息，以及讀者利用圖書館數(shù)字資源平臺過程中被圖書館所記錄的訪問、檢索、瀏覽、收藏及下載的時(shí)間、次數(shù)、內(nèi)容等數(shù)字閱讀信息。

位置信息反映的是讀者在圖書館實(shí)體環(huán)境中的活動(dòng)情況。傳統(tǒng)的門禁和視頻監(jiān)控系統(tǒng)以及藍(lán)牙、WiFi、RFID、NFC等室內(nèi)定位技術(shù)，可記錄下讀者到訪圖書館的時(shí)間頻次以及在圖書館內(nèi)不同活動(dòng)區(qū)域的地理位置、移動(dòng)軌跡、區(qū)域停留時(shí)長等信息。

交互信息反映的是讀者在利用圖書館服務(wù)過程中與圖書館的交流互動(dòng)情況。包括讀者利用圖書館參考咨詢服務(wù)時(shí)所產(chǎn)生的咨詢記錄；對圖書館舉辦的交流座談、知識講座、展覽等活動(dòng)的參與情況；利用留言板、電子郵件、微博、微信等信息交互工具或平臺與圖書館互動(dòng)的情況記錄等。

行為關(guān)聯(lián)信息體現(xiàn)的是讀者在圖書館的行為活動(dòng)以及對圖書館的利用情況，身份識別屬性在行為關(guān)聯(lián)信息中并不具備主導(dǎo)價(jià)值。然而在以大數(shù)據(jù)技術(shù)廣泛應(yīng)用為背景的泛識別語境下，行為關(guān)聯(lián)信息為圖書館或第三方提供了挖掘讀者行為特征并據(jù)此開展讀者畫像和區(qū)分讀者個(gè)體的可能，因而屬于潛在的可識別信息。行為關(guān)聯(lián)信息向可識別信息轉(zhuǎn)化的趨勢是圖書館開展更深入個(gè)性化服務(wù)的基礎(chǔ)，也是大數(shù)據(jù)時(shí)代讀者隱私風(fēng)險(xiǎn)的重要來源。

3.2 目的或結(jié)果關(guān)聯(lián)信息

目的或結(jié)果關(guān)聯(lián)信息在信息內(nèi)容上與讀者個(gè)體不直接相關(guān)，通常表現(xiàn)為設(shè)備信息等非個(gè)人化信息的形式。這些信息雖然在內(nèi)容上與讀者個(gè)體關(guān)聯(lián)度較低，但圖書館或第三方對此類信息的處理可能影響甚至決定讀者被如何對待及評價(jià)，甚至可追蹤到讀者的行為或身份。例如手機(jī)App通常會收集手機(jī)IMEI、IDFA等設(shè)備的唯一標(biāo)識用于保障網(wǎng)絡(luò)或運(yùn)營安全，但如果這些設(shè)備標(biāo)識被用于追蹤和分析個(gè)體瀏覽操作記錄，形成精準(zhǔn)畫像并進(jìn)行定向內(nèi)容推送，則會對個(gè)體產(chǎn)生影響。

從內(nèi)容關(guān)聯(lián)信息到目的或結(jié)果關(guān)聯(lián)信息，個(gè)人信息與讀者個(gè)體之間的關(guān)聯(lián)程度呈現(xiàn)自高向低的分布趨勢，具體見表2。

4 讀者個(gè)人信息風(fēng)險(xiǎn)層級建構(gòu)與分類保護(hù)

《個(gè)人信息保護(hù)法》在個(gè)人信息概念中所確立的基于識別的關(guān)聯(lián)路徑為圖書館讀者個(gè)人信息提供了最為寬泛的界定標(biāo)準(zhǔn)，以涵蓋所有需要保護(hù)的信息。但顯然圖書館處理不同類型的讀者個(gè)人信息對于讀者個(gè)人權(quán)益的影響是不同的，產(chǎn)生的安全風(fēng)險(xiǎn)也有差別。為了提升讀者個(gè)人信息保護(hù)的針對性和有效性，圖書館有必要根據(jù)讀者個(gè)人信息風(fēng)險(xiǎn)等級采取分類保護(hù)措施。從上述讀者個(gè)人信息概念外延的劃分可知，相關(guān)性強(qiáng)的信息通?？赡芫邆漭^高的可識別性，風(fēng)險(xiǎn)程度也相應(yīng)更高，因此信息與讀者之間的關(guān)聯(lián)度可作為讀者個(gè)人信息風(fēng)險(xiǎn)層級建構(gòu)和分類保護(hù)的依據(jù)之一。需要注意的是，《個(gè)人信息保護(hù)法》第二十八條首次對敏感個(gè)人信息作出了明確界定。由于敏感個(gè)人信息的泄露和非法使用更易導(dǎo)致權(quán)益侵害的發(fā)生，因此適用于更加嚴(yán)格的處理規(guī)則。敏感個(gè)人信息通常與讀者個(gè)體存在較強(qiáng)的關(guān)聯(lián)，然而與讀者關(guān)聯(lián)度高的個(gè)人信息并非都是敏感信息，也包括非敏感的一般信息。因此，圖書館可考慮依據(jù)關(guān)聯(lián)度和敏感性兩個(gè)維度構(gòu)建讀者個(gè)人信息風(fēng)險(xiǎn)層級，按照層級高低明確不同類別信息處理目的和方式，同時(shí)確定相應(yīng)的保護(hù)義務(wù)。

4.1 關(guān)聯(lián)度高的敏感個(gè)人信息

關(guān)聯(lián)度高的敏感個(gè)人信息包括身份識別信息中的生物識別信息，行為關(guān)聯(lián)信息中的位置信息、特殊參考咨詢記錄（如科研、醫(yī)療咨詢中可能涉及的讀者學(xué)術(shù)和健康隱私）以及不滿十四周歲讀者的個(gè)人信息等。敏感個(gè)人信息一旦泄露或被非法使用，將可能給讀者人格尊嚴(yán)或人身財(cái)產(chǎn)權(quán)益帶來重大風(fēng)險(xiǎn)，因此敏感個(gè)人信息位于讀者個(gè)人信息風(fēng)險(xiǎn)層級的頂層，圖書館對于讀者敏感個(gè)人信息的處理需承擔(dān)更高的注意義務(wù)。

（1）嚴(yán)格遵循敏感個(gè)人信息處理的法律規(guī)定

一方面，根據(jù)《個(gè)人信息保護(hù)法》第五十五條規(guī)定，圖書館處理敏感個(gè)人信息應(yīng)結(jié)合處理的性質(zhì)、范圍、場景和目的等進(jìn)行事前風(fēng)險(xiǎn)評估，確保敏感個(gè)人信息處理目的和處理方式合法、正當(dāng)且必要，以減少對讀者權(quán)益的不利影響。

另一方面，敏感個(gè)人信息大多符合排斥利用的防御性期待原則，圖書館處理敏感個(gè)人信息必須遵循《個(gè)人信息保護(hù)法》第二十八、二十九條規(guī)定，圍繞“特定目的+單獨(dú)同意”規(guī)則展開?！疤囟康摹笔侵笀D書館處理信息的目的必須是特定化的、具體的且具有充分必要性的，如進(jìn)行身份核驗(yàn)、開展讀者所要求的特定咨詢服務(wù)等；“單獨(dú)同意”則意味著圖書館不能通過默示同意或概況同意的方式取得讀者的授權(quán)。

（2）建立持續(xù)性的信息披露機(jī)制與動(dòng)態(tài)同意機(jī)制

隨著智慧圖書館服務(wù)實(shí)踐的不斷深入，一部分敏感個(gè)人信息，甚至是私密敏感信息還兼具了積極利用期待的屬性，如圖書館情景敏感服務(wù)會通過對讀者社會關(guān)系、地理位置等信息的獲取和分析來開展個(gè)性化推薦。在此類服務(wù)中，敏感個(gè)人信息處理的場景多樣，處理的風(fēng)險(xiǎn)也會隨著場景的不同而發(fā)生改變，因此有必要建立持續(xù)性的信息披露機(jī)制與動(dòng)態(tài)同意機(jī)制。除在敏感個(gè)人信息收集階段就信息處理的目的、必要性等履行告知義務(wù)并取得讀者明確授權(quán)之外，若敏感個(gè)人信息后續(xù)處理過程中的應(yīng)用相對于收集之初所取得的同意內(nèi)容發(fā)生變化，超出讀者對處理場景的合理預(yù)期，則需要重新取得讀者的授權(quán)同意[19]。

4.2 關(guān)聯(lián)度高的一般個(gè)人信息

關(guān)聯(lián)度高的一般個(gè)人信息包括身份識別信息中的電話號碼、性別、年齡等非敏感信息以及行為關(guān)聯(lián)信息中的大部分閱讀和互動(dòng)信息。這部分信息與讀者個(gè)體具備較高的關(guān)聯(lián)度，但一般不涉及讀者人格尊嚴(yán)或其他重要權(quán)益，因此大多兼具防御性期待和積極利用期待的雙重屬性。特別是在智慧圖書館中，讀者個(gè)人信息獲取更加全面、深入和動(dòng)態(tài)，許多過去孤立片面、隱私風(fēng)險(xiǎn)較小的一般關(guān)聯(lián)信息如今通過深度挖掘和聚合分析，構(gòu)成了多維度繪制讀者畫像的數(shù)據(jù)基礎(chǔ)，存在區(qū)分識別特定讀者的可能，精準(zhǔn)化、智能化服務(wù)的實(shí)現(xiàn)與更多的隱私風(fēng)險(xiǎn)相伴而生。圖書館應(yīng)重視信息安全、匿名化與合理使用、服務(wù)內(nèi)容和信息提供對等等原則，以平衡此類信息防御性隱私保護(hù)和積極利用期待之間的矛盾[20]。

（1）信息安全原則

隨著讀者個(gè)人信息采集廣度和深度的不斷擴(kuò)展，圖書館首先應(yīng)從管理、制度和技術(shù)上保證讀者個(gè)人信息安全，維護(hù)讀者個(gè)人信息的完整性、保密性和可用性。

（2）匿名化與合理使用原則

基于管理和改善服務(wù)的需要，圖書館可合理使用讀者自行公開的信息或經(jīng)加工處理后的匿名化信息及反映讀者群體特征的信息，從而避免因?qū)ψx者個(gè)體身份或行為特征識別而造成的隱私侵犯。在應(yīng)用匿名化措施的同時(shí)，圖書館還應(yīng)定期對匿名化機(jī)制的合理性以及去標(biāo)識化個(gè)人信息的再識別可能性等因素進(jìn)行風(fēng)險(xiǎn)評估，確保匿名豁免的適用性。

（3）服務(wù)內(nèi)容和信息提供對等原則

對于采集分析讀者個(gè)體特征或行為關(guān)聯(lián)信息以提供精準(zhǔn)個(gè)性化服務(wù)的舉措，圖書館應(yīng)以讀者利益最大化為目標(biāo)，根據(jù)自身管理和技術(shù)能力對信息處理行為給讀者權(quán)益帶來的正、負(fù)兩方面影響進(jìn)行綜合評估，確保服務(wù)內(nèi)容和信息提供的對等。同時(shí)明確告知讀者處理目的、方式和類型，在其授權(quán)同意的前提下開展相關(guān)服務(wù)。

4.3 關(guān)聯(lián)度低的一般個(gè)人信息

關(guān)聯(lián)度低的一般個(gè)人信息包括IP地址、Cookie、設(shè)備標(biāo)識碼等不直接體現(xiàn)讀者身份、特征和行為的非個(gè)人化信息。由于信息內(nèi)容與讀者個(gè)體不存在直接關(guān)聯(lián)，讀者對這類信息的防御性期待和積極利用期待都較低?？紤]到圖書館或第三方對此類信息的使用可能對讀者的行為或權(quán)益產(chǎn)生影響，圖書館應(yīng)在隱私政策中明示非個(gè)人化信息的收集情況和使用目的。如手機(jī)App收集IP地址和手機(jī)標(biāo)識碼等設(shè)備信息用于軟件安全運(yùn)行、風(fēng)險(xiǎn)控制和功能兼容性判斷等。域外很多圖書館在隱私聲明外還專門附有Cookie政策，向讀者說明Cookie的使用目的以及根據(jù)個(gè)人隱私偏好在瀏覽器上設(shè)置開啟或阻止Cookie的方法，對此國內(nèi)圖書館可以加以借鑒。

5 結(jié)語

《個(gè)人信息保護(hù)法》基于關(guān)聯(lián)路徑定義個(gè)人信息極大地拓展了個(gè)人信息的范疇，同時(shí)強(qiáng)調(diào)個(gè)人信息界定的相對性、動(dòng)態(tài)性和場景化，這對于大數(shù)據(jù)時(shí)代圖書館對讀者個(gè)人信息的界定和保護(hù)有著重要的現(xiàn)實(shí)意義。隨著智慧圖書館理念和實(shí)踐的不斷深入，讀者隱私風(fēng)險(xiǎn)問題愈加突出，圖書館對讀者個(gè)人信息的界定應(yīng)突破身份識別單一標(biāo)準(zhǔn)，重點(diǎn)考量信息在特定場景中與讀者的關(guān)聯(lián)，建構(gòu)讀者個(gè)人信息風(fēng)險(xiǎn)層級，根據(jù)不同層級中信息處理目的、范圍及對讀者個(gè)人造成的影響明確圖書館相關(guān)義務(wù)，以有效平衡讀者隱私保護(hù)和讀者個(gè)人信息合理利用之間的關(guān)系。

參考文獻(xiàn)：

[1] 方小敏.中德法學(xué)論壇：第14輯·下卷[M].北京：法律出版社，2018.

[2] Art. 4 GDPR： Definitions[EB/OL].[2022-07-18].https：//gdpr-info.eu/art-4-gdpr/.

[3] Data Protection Act 2018[EB/OL].[2022-07-18].https：//www.legislation.gov.uk/ukpga/2018/12/section/3.

[4] Personal Information Protection and Electronic Documents Act[EB/OL].[2022-07-18].https：//laws-lois.justice.gc.ca/eng/acts/P-8.6/page-1.html/.

[5] Personal Data Protection Act 2012[EB/OL].[2022-07-18].https：//sso.agc.gov.sg/Act/PDPA2012.

[6] Lei Geral de Prote??o de Dados Pessoais （LGPD）[EB/OL].[2022-07-18].http：//www.planalto.gov.br/ccivil_03/_Ato

2015-2018/2018/Lei/L13709.htm.

[7] 王利明.論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心[J].現(xiàn)代法學(xué)，2013（4）：62-72.

[8] Annotated Text of the California Privacy Rights Act[EB/OL].[2022-07-20].https：//www.caprivacy.org/annotated-cpra-

text-with-ccpa-changes/.

[9] The Virginia Consumer Data Protection Act （CDPA）： Key Questions and Answers[EB/OL].[2022-07-20].https：//www.jdsupra.com/legalnews/the-virginia-consumer-data-privacy-act-5689631/.

[10] 中華人民共和國網(wǎng)絡(luò)安全法[EB/OL].[2022-07-20].http：//www.cac.gov.cn/2016-11/07/c_1119867116.htm.

（下轉(zhuǎn)第14頁）（上接第6頁）

[11] 最高人民法院 最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋[EB/OL].[2022-07-20].https：//www.spp.gov.cn/xwfbh/wsfbt/2017

05/t20170509_190088.shtml.

[12] 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會.GB/T 35273—2020信息安全技術(shù) 個(gè)人信息安全規(guī)范[S].北京：中國標(biāo)準(zhǔn)出版社，2020.

[13] 中華人民共和國民法典[EB/OL].[2022-07-22].http：//www.npc.gov.cn/npc/c30834/202006/75ba6483b834459

1abd07917e1d25cc8.shtml.

[14] 中華人民共和國個(gè)人信息保護(hù)法[EB/OL].[2022-07-22].http：//www.cac.gov.cn/2021-08/20/c_16310500283552

86.htm.

[15] 侯韋鋒，丁炫凱.論圖書館對讀者個(gè)人信息的保護(hù)——以《個(gè)人信息保護(hù)法》為中心的考察[J].圖書館論壇，2021（12）：77-86.

[16] ARTICLE 29 DATA PROTECTION WORKING PARTY.Opinion 4/2007 on the concept of personal data[EB/OL].[2022-07-22].https：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp1

36_en.pdf.

[17] 蘇今.《民法總則》中個(gè)人信息的“可識別性”特征及其規(guī)范路徑[J].大連理工大學(xué)學(xué)報(bào)：社會科學(xué)版，2020（1）：82-90.

[18] 齊愛民，張哲.識別與再識別：個(gè)人信息的概念界定與立法選擇[J].重慶大學(xué)學(xué)報(bào)：社會科學(xué)版，2018（2）：119-131.

[19] 孫清白.敏感個(gè)人信息保護(hù)的特殊制度邏輯及其規(guī)制策略[J].行政法學(xué)研究，2022（1）：119-130.

[20] 謝珍，陸溯.智慧圖書館視域下用戶數(shù)據(jù)應(yīng)用與隱私保護(hù)平衡研究[J].國家圖書館學(xué)刊，2020（2）：49-59.

安 琳 女，1987年生。碩士，館員。研究方向：個(gè)人信息權(quán)利與保護(hù)。

（收稿日期：2022-12-15；責(zé)編：鄧鈺。）