●姜明芳 趙奇釗

(湖南第一師范學(xué)院 長沙 410205)

隨著“互聯(lián)網(wǎng)+”行動計劃的穩(wěn)步推進(jìn)，大數(shù)據(jù)已經(jīng)滲透到當(dāng)今每個行業(yè)和業(yè)務(wù)功能區(qū)域，不僅改變了人們的生活方式，也改變了人們的閱讀方式，催生了圖書館服務(wù)方式的變革與移動圖書館的產(chǎn)生。人們在享受移動圖書館帶來的數(shù)字化閱讀便利的同時，也不得不面臨個人信息泄漏的風(fēng)險[1]。2018年1月1日開始實施的《中華人民共和國公共圖書館法》(以下簡稱《公共圖書館法》)首次以法律形式對讀者個人信息保護(hù)做出了規(guī)定，說明了公共圖書館中讀者個人信息保護(hù)的重要性與緊迫性，同時也為讀者個人信息保護(hù)帶來新的要求與挑戰(zhàn)[2]。

1 《公共圖書館法》中讀者個人信息保護(hù)相關(guān)條款釋義

《公共圖書館法》第四十三條規(guī)定“公共圖書館應(yīng)當(dāng)妥善保護(hù)讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供”[3]。該條款從法律層面明確了公共圖書館需要保護(hù)的讀者信息的基本范疇，規(guī)定了讀者個人信息的非法出售或提供給他人的行為是非法的，這是對讀者隱私權(quán)的法律保護(hù)，有利于公共圖書館運(yùn)行管理過程中對讀者的尊重和對讀者權(quán)益的保護(hù)，有助于提升公共圖書館的服務(wù)效能，促進(jìn)其健康持續(xù)地發(fā)展。為切實保護(hù)讀者個人隱私，圖書館首先要加強(qiáng)《公共圖書館法》等讀者隱私保護(hù)相關(guān)法律法規(guī)的宣傳與學(xué)習(xí)，明確圖書館館員與讀者各自的權(quán)利和增強(qiáng)館員與讀者的隱私保護(hù)意識。其次要更新管理理念，完善規(guī)章制度，內(nèi)化行為規(guī)范。將“維護(hù)讀者權(quán)益，保守讀者秘密”的現(xiàn)代圖書館管理理念引入日常工作之中，并就隱私保護(hù)規(guī)范做出進(jìn)一步補(bǔ)充與完善，在公共圖書館運(yùn)行管理過程中引導(dǎo)形成一種讀者隱私保護(hù)行為規(guī)范[4]。

《公共圖書館法》第五十條明確指出，公共圖書館及其工作人員以出售或者其他方式非法向他人提供讀者個人信息、借閱信息以及其他讀者隱私信息行為是違法的[3]。這是從法律上對侵犯讀者隱私行為的處罰與保護(hù)方式進(jìn)行規(guī)范與界定，通過制裁與懲罰違法行為保障《公共圖書館法》的實施，從而規(guī)范違法行為，預(yù)防讀者個人信息保護(hù)違法犯罪行為，為圖書館公共數(shù)字文化服務(wù)提供讀者個人信息安全保障。

2 《公共圖書館法》界定的讀者個人信息保護(hù)范疇

2012年12月審議通過了《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，首次從法律上界定了個人信息的內(nèi)涵與范圍。2016年11月發(fā)布的《中華人民共和國網(wǎng)絡(luò)安全法》和2017年提請人大審議的《中華人民共和國個人信息保護(hù)法(草案)2017版》進(jìn)一步明確個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等[5，6]。歐盟《個人數(shù)據(jù)保護(hù)指令》將個人信息分為三類：基本信息、社會屬性信息和網(wǎng)絡(luò)信息，其中基本信息包括身高、體重、年齡、性別等；社會屬性信息包括家庭住址、工作單位、宗教信仰、學(xué)歷、房產(chǎn)等；網(wǎng)絡(luò)信息包括社交軟件號碼(如Facebook、QQ)、網(wǎng)銀賬號、購物網(wǎng)站賬號等[7]。這些法律法規(guī)確立了個人信息保護(hù)的基本原則，明確了個人信息主體的基本權(quán)利，并規(guī)范了各不同類別信息主體的相關(guān)活動，但未能針對公共圖書館行業(yè)具體規(guī)范讀者個人信息的內(nèi)容與分類，在細(xì)節(jié)劃分和具體實施措施方面還存在較大改善空間。

2018年實施的《公共圖書館法》則針對公共圖書館讀者個人信息安全保護(hù)與法律責(zé)任進(jìn)行了規(guī)范，對公共文化服務(wù)領(lǐng)域讀者個人信息保護(hù)具有指導(dǎo)與參考作用。《公共圖書館法》首先規(guī)定了需保護(hù)的讀者個人信息的基本范疇，主要包括讀者身份信息、敏感信息與借閱信息；然后初步明確了個人信息的責(zé)任認(rèn)定及處罰，但未對讀者個人信息的具體內(nèi)容進(jìn)行詳細(xì)說明。為此，我們可結(jié)合相關(guān)個人信息安全立法與“互聯(lián)網(wǎng)+”時代圖書館服務(wù)創(chuàng)新實踐，進(jìn)一步明確和完善讀者個人信息保護(hù)的具體內(nèi)容。第一，讀者身份信息，主要是指可直接識別讀者的個人信息，包括個人基本資料如讀者姓名、性別、出生日期、年齡、班級、院系、地址等，個人身份信息如讀者證號碼、學(xué)號、身份證號碼等唯一識別信息，個人生物識別信息包括人臉圖像、指紋、步態(tài)、語音、虹膜信息等內(nèi)容，而網(wǎng)絡(luò)身份標(biāo)識信息則是指微博、微信、QQ等網(wǎng)絡(luò)社交號碼和網(wǎng)絡(luò)平臺賬號。讀者身份信息的保護(hù)是對讀者權(quán)益最基本的要求，是維護(hù)讀者權(quán)益的基礎(chǔ)。第二，讀者敏感信息涉及讀者個人社會屬性，如個人經(jīng)濟(jì)狀況、社會關(guān)系、政治背景、宗教信仰、個人興趣愛好、生活習(xí)慣、個人經(jīng)歷、個人健康狀況等信息，對讀者敏感信息的保護(hù)充分體現(xiàn)了《公共圖書館法》對讀者隱私的保護(hù)與對人格的尊重[8]。第三，讀者借閱信息，如咨詢行為、閱讀行為、借閱記錄、信息檢索記錄、瀏覽過的網(wǎng)頁、讀書筆記等。在當(dāng)今大數(shù)據(jù)時代，利用各種數(shù)據(jù)挖掘技術(shù)，可經(jīng)由讀者借閱信息分析出讀者個人的閱讀習(xí)慣與興趣愛好?！豆矆D書館法》將讀者借閱信息納入保護(hù)范圍，拓展了讀者個人信息范疇，有利于更廣泛地保護(hù)讀者個人信息[9]。

3 《公共圖書館法》視閾下讀者個人信息保護(hù)路徑探索

3.1 完善讀者個人信息保護(hù)法律體系

《公共圖書館法》中第四十三條指明了讀者個人信息的內(nèi)容，但仍需明確讀者個人信息保護(hù)的目的，就是為規(guī)范讀者個人信息的收集、加工和利用，維護(hù)讀者個人信息權(quán)，促進(jìn)公共圖書館服務(wù)過程中對讀者個人信息的合理利用。為切實實現(xiàn)對讀者個人信息的有效保護(hù)，公共圖書館相關(guān)法律法規(guī)的制定與完善必須本著系統(tǒng)、科學(xué)、合理的原則展開進(jìn)行。其一是合法原則，公共圖書館在收集與利用讀者個人信息時，應(yīng)當(dāng)遵循相關(guān)法律法規(guī)的具體規(guī)定與精神。其二為系統(tǒng)原則，公共圖書館應(yīng)保護(hù)讀者個人信息在公共圖書服務(wù)全過程中的安全，并確保個人信息保護(hù)相關(guān)政策法規(guī)面向所有讀者，適用于所有讀者，防止政策的片面性。其三為明確原則，包括個人信息的收集要有明確的目的，讀者個人信息保護(hù)的范圍、規(guī)則與責(zé)任等相關(guān)概念與規(guī)范也要有明確的規(guī)定，不允許有抽象的、模棱兩可的規(guī)定。其四是責(zé)任原則，公共圖書館首先負(fù)有保護(hù)讀者個人信息的責(zé)任和義務(wù)；然后圖書館工作人員在收集、加工、利用讀者個人信息時負(fù)有保護(hù)讀者個人信息的管理責(zé)任。此外，亦要明確讀者不得故意泄露自身個人信息的責(zé)任和不得違法獲取、泄露、轉(zhuǎn)讓其他讀者個人信息的責(zé)任?！豆矆D書館法》應(yīng)充分明確與保障讀者個人信息權(quán)，讀者對自身個人信息享有主權(quán)與支配權(quán)，對個人信息的合法處理與利用應(yīng)有知情權(quán)，并且讀者有權(quán)決定其個人信息在何時、何地及以何種方式被何人收集、加工和利用[10]。最后要進(jìn)一步明確公共圖書館、圖書館工作人員、讀者等各責(zé)任主體的相關(guān)法律責(zé)任，給讀者造成人身或財產(chǎn)上的損失的，《公共圖書館法》應(yīng)規(guī)定責(zé)任主體承擔(dān)損害賠償?shù)让袷仑?zé)任。

3.2 健全讀者個人信息保護(hù)管理制度

公共圖書館要制定讀者個人信息管理章程，向圖書館工作人員和讀者廣泛宣傳《公共圖書館法》等法律中讀者個人信息保護(hù)相關(guān)條款，明確圖書館在讀者個人信息保護(hù)具體實施過程中的管理責(zé)任，并且要依據(jù)法律法規(guī)為收集、加工與利用讀者個人信息制定具體操作細(xì)則，依法管理讀者個人信息，維護(hù)讀者權(quán)益，保守讀者秘密。讀者個人信息管理制度應(yīng)具體規(guī)定讀者個人信息收集的目的、方式、范圍與操作程序，個人信息處理或利用的目的、范圍和使用期限，并確定好個人信息收集、加工、利用等不同階段的工作人員，實現(xiàn)分工與責(zé)權(quán)明確。同時，個人信息保護(hù)涉及到讀者本身的權(quán)利和義務(wù)，公共圖書館亦需增加與完善讀者個人信息保護(hù)相關(guān)細(xì)則，明確讀者的義務(wù)和責(zé)任，促進(jìn)讀者有效參與個人信息保護(hù)，維護(hù)個人信息權(quán)。此外，讀者個人信息的保護(hù)涉及到圖書館、圖書館工作人員、讀者等多個主體，圖書館應(yīng)就此建立讀者個人信息保護(hù)領(lǐng)導(dǎo)小組、讀者個人信息管理利用審批小組、執(zhí)行監(jiān)督小組，形成多方協(xié)調(diào)聯(lián)動機(jī)制，形成集審批許可、監(jiān)督管理和違法監(jiān)督一體的讀者個人信息保護(hù)管理體系。

3.3 發(fā)展讀者個人信息保護(hù)技術(shù)策略

物聯(lián)網(wǎng)與大數(shù)據(jù)的融合不斷深入，圖書館所面臨的惡意攻擊手段和安全隱患也更加多樣化，這對圖書館數(shù)據(jù)中心的安全保障提出了更高的要求。僅僅依靠法律法規(guī)與管理措施不足以全面保護(hù)讀者個人信息安全，我們還需要對讀者個人信息收集、加工和利用的全過程進(jìn)行安全防護(hù)，全方位構(gòu)建公共圖書館可信讀者個人信息安全體系[11]。公共圖書館在采集讀者個人信息時，可采用數(shù)字水印技術(shù)以后臺嵌入方式驗證讀者數(shù)據(jù)完整性；讀者個人信息的準(zhǔn)確性則需由數(shù)字簽名技術(shù)予以保障；為防止數(shù)據(jù)采集過程中用戶數(shù)據(jù)被三方截取，防止信息泄露，需要采用數(shù)據(jù)加密技術(shù)以維護(hù)讀者信息隱私安全[12]。在讀者個人信息加工利用階段，要研究面向數(shù)據(jù)挖掘的隱私保護(hù)技術(shù)，在保證讀者個人信息可用性的前提下，防止對讀者個人信息的挖掘利用引起的讀者隱私泄露。比如面向讀者身份信息的數(shù)據(jù)匿名技術(shù)，面向讀者敏感信息(社會屬性信息)的數(shù)據(jù)泛化、數(shù)據(jù)脫敏與數(shù)據(jù)偽裝技術(shù)[13]，以及針對讀者借閱信息的差分隱私保護(hù)技術(shù)、基于同態(tài)加密的隱私保護(hù)技術(shù)和基于安全多方計算機(jī)隱私保護(hù)技術(shù)。

《公共圖書館法》從法律層面明確了讀者個人信息保護(hù)的重要性，但其未就如何實施讀者個人信息保護(hù)給出具體操作細(xì)則。在此背景下，本文結(jié)合個人信息保護(hù)相關(guān)法律法規(guī)，進(jìn)一步明確了讀者個人信息的分類與主要內(nèi)容，提出完善法律體系、健全管理制度、發(fā)展技術(shù)策略的讀者個人信息保護(hù)實施路徑，從而實現(xiàn)讀者個人信息收集、加工、利用全過程的安全防護(hù)，切實保護(hù)讀者隱私，維護(hù)讀者權(quán)益，推動公共圖書館事業(yè)科學(xué)、規(guī)范、健康發(fā)展。