姜盼盼 （吉林大學(xué)法學(xué)院 吉林 長(zhǎng)春 130012）

1 引 言

我國(guó)《公共圖書(shū)館法》第43條對(duì)讀者個(gè)人信息保護(hù)作出了專門規(guī)定，即公共圖書(shū)館應(yīng)當(dāng)妥善保護(hù)讀者的個(gè)人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。然而，第43條的規(guī)定過(guò)于抽象，對(duì)于其理解和適用還存在一定的解釋空間，不能有效地緩解現(xiàn)實(shí)中讀者個(gè)人信息的合理使用與讀者個(gè)人信息保護(hù)之間的利益沖突，難以在平衡個(gè)人利益和公共利益時(shí)發(fā)揮其應(yīng)有的積極作用，因此，在利益衡量視角下探討讀者個(gè)人信息保護(hù)問(wèn)題變得尤為重要。第43條的具體問(wèn)題主要是：第一，如何理解第43條中的“應(yīng)當(dāng)”與“妥善保護(hù)”，其法律文本背后映射出來(lái)的法理是什么？第二，如何界定讀者個(gè)人信息的屬性？第三，如何框定讀者個(gè)人信息的范圍以及如何界分讀者個(gè)人信息與讀者隱私？第四，如何認(rèn)定“出售”與“提供”的內(nèi)涵以及如何把握“以其他方式非法向他人提供”中的“非法”判斷標(biāo)準(zhǔn)。本文立足于對(duì)《公共圖書(shū)館法》第43條讀者個(gè)人信息保護(hù)條文的解釋展開(kāi)，試圖在利益衡量視角下對(duì)第43條讀者個(gè)人信息保護(hù)制度的理解和適用提出自己的見(jiàn)解。

2 《公共圖書(shū)館法》第43條的利益衡量檢討

2.1 “應(yīng)當(dāng)”與“妥善保護(hù)”的背后法理：人格利益與信息自由之間的衡量

讀者個(gè)人信息保護(hù)旨在維護(hù)讀者的人格尊嚴(yán)，信息自由則有助于增加社會(huì)公正的透明，正是人格利益與信息自由背后的價(jià)值沖突引發(fā)兩者在實(shí)證中的對(duì)峙，也使得制度安排陷入利益取向的尷尬境地[1]。

2.1.1 讀者個(gè)人信息保護(hù)的法理基礎(chǔ)是人格利益

從《民法總則》第109條“自然人的人身自由、人格尊嚴(yán)受法律保護(hù)”、第111條“自然人的個(gè)人信息受法律保護(hù)”以及第113條“民事主體的財(cái)產(chǎn)權(quán)利受法律平等保護(hù)”的規(guī)定可以看出，個(gè)人信息保護(hù)的法理基礎(chǔ)主要是人格利益，兼顧保護(hù)其財(cái)產(chǎn)利益[2]。個(gè)人信息具有主體的人格特征，在價(jià)值維度中，人格利益是個(gè)人信息的本質(zhì)屬性，財(cái)產(chǎn)利益則是具有商業(yè)化的形式屬性[3]。讀者個(gè)人信息保護(hù)是圖書(shū)館核心價(jià)值的體現(xiàn)，國(guó)際圖聯(lián)對(duì)圖書(shū)館核心價(jià)值的解釋是尊重讀者的人格和個(gè)性[4]。同樣，我國(guó)《公共圖書(shū)館法》第43條將尊重讀者的人格利益以立法的形式固定下來(lái)，以實(shí)現(xiàn)讀者的人格價(jià)值[5]。有學(xué)者對(duì)《民法總則》第111條的個(gè)人信息解讀為自然人享有的具體人格權(quán)，即個(gè)人信息權(quán)[6]，從權(quán)利的角度強(qiáng)調(diào)法律保護(hù)個(gè)人信息的人格利益，權(quán)利的核心就是利益，也是讀者個(gè)人信息權(quán)利的客體。

2.1.2 信息自由是圖書(shū)館價(jià)值的核心概念

圖書(shū)館的信息自由內(nèi)涵，在這里專指圖書(shū)館員在從事服務(wù)管理活動(dòng)中對(duì)讀者的個(gè)人信息進(jìn)行自由收集和傳輸?shù)臋?quán)利[7]，主要包括兩個(gè)方面內(nèi)容：其一，圖書(shū)館與讀者進(jìn)行聯(lián)系的紐帶是其對(duì)讀者個(gè)人信息的收集與傳輸，比如說(shuō)讀者的借閱次數(shù)、下載次數(shù)、用書(shū)偏好、利用文獻(xiàn)的情況以及利用圖書(shū)館服務(wù)設(shè)施的情況等，這些都是讀者個(gè)人使用圖書(shū)館后留下來(lái)的記錄，這些記錄最真實(shí)、最客觀地反映了讀者利用圖書(shū)館資源的情況，圖書(shū)館利用讀者的記錄改進(jìn)基礎(chǔ)業(yè)務(wù)工作，因此，收集與傳輸?shù)淖x者個(gè)人信息是圖書(shū)館與讀者進(jìn)行聯(lián)系的重要途徑；其二，讀者應(yīng)當(dāng)將屬于自己的個(gè)人信息部分讓渡給圖書(shū)館，以實(shí)現(xiàn)圖書(shū)館公共服務(wù)的價(jià)值，圖書(shū)館有義務(wù)管理讀者的個(gè)人信息，并利用這些個(gè)人信息提升圖書(shū)館公共服務(wù)職能，促進(jìn)圖書(shū)館建設(shè)的發(fā)展。利用讀者個(gè)人信息是圖書(shū)館開(kāi)展基礎(chǔ)工作的前提，圖書(shū)館開(kāi)展個(gè)性化服務(wù)的前提就是合理利用讀者個(gè)人信息，讀者個(gè)人信息的保護(hù)和利用是實(shí)現(xiàn)圖書(shū)館核心價(jià)值的需要。

2.1.3 讀者的人格利益與圖書(shū)館的信息自由應(yīng)處于均衡狀態(tài)

尊重讀者的人格利益是讀者個(gè)人信息保護(hù)的第一價(jià)值維度，保護(hù)與利用讀者個(gè)人信息是讀者個(gè)人信息保護(hù)的第二價(jià)值維度[8]，兩者正好處于價(jià)值沖突的對(duì)峙狀態(tài)：尊重讀者的人格利益，就要防止讀者個(gè)人信息被不當(dāng)獲取與傳輸；在尊重讀者人格利益的界標(biāo)內(nèi)主張對(duì)讀者個(gè)人信息加以合理使用。這種人格利益與信息自由之間的價(jià)值沖突具體表現(xiàn)在：圖書(shū)館基礎(chǔ)服務(wù)工作與讀者個(gè)人信息的沖突，如圖書(shū)館為了提高服務(wù)工作研究讀者的閱讀習(xí)慣、借閱記錄、政治傾向等其他讀者個(gè)人信息，這樣無(wú)形之中會(huì)侵犯到讀者的隱私；新技術(shù)系統(tǒng)在圖書(shū)館中的應(yīng)用也存在著侵犯讀者個(gè)人信息以及隱私的風(fēng)險(xiǎn)，如借鑒美國(guó)圖書(shū)館的做法，將無(wú)線射頻技術(shù)（Radio Frequency Identification,簡(jiǎn)稱RFID）應(yīng)用到圖書(shū)館引發(fā)的“微監(jiān)控效應(yīng)”，讀者的身份識(shí)別信息、借閱信息以及地理位置信息等可能會(huì)受到威脅[9]；虛擬化服務(wù)如網(wǎng)上預(yù)借服務(wù)、網(wǎng)上續(xù)借服務(wù)、數(shù)據(jù)庫(kù)服務(wù)以及咨詢服務(wù)等也存在讀者個(gè)人信息被侵犯的風(fēng)險(xiǎn)，如圖書(shū)館網(wǎng)站管理員利用“Cookie”技術(shù)獲取讀者的瀏覽記錄、下載記錄等讀者個(gè)信息。因此，在讀者個(gè)人信息保護(hù)的立法過(guò)程中應(yīng)當(dāng)平衡兩者的利益，使得人格利益與信息自由處于均衡狀態(tài)，擺脫制度安排陷入利益取向的尷尬境地。

2.1.4 利益衡量視角下的內(nèi)部調(diào)適和制度安排

鑒于讀者個(gè)人信息保護(hù)存在著人格利益與信息自由的利益沖突，有必要在利益衡量視角下對(duì)其做出適當(dāng)?shù)膬?nèi)部調(diào)適和制度安排。我國(guó)《公共圖書(shū)館法》第43條對(duì)于讀者個(gè)人信息之保護(hù)使用的法律用語(yǔ)是“應(yīng)當(dāng)”與“妥善保護(hù)”，所謂“應(yīng)當(dāng)”是一種義務(wù)性規(guī)定，強(qiáng)調(diào)的是圖書(shū)館對(duì)讀者個(gè)人信息保護(hù)的義務(wù)。圖書(shū)館對(duì)讀者個(gè)人信息的保護(hù)，體現(xiàn)的是圖書(shū)館對(duì)個(gè)人利益的保護(hù)，關(guān)于個(gè)人利益的保護(hù)方法，美國(guó)法學(xué)家龐德認(rèn)為，保護(hù)個(gè)人利益的方法首先必須確定誰(shuí)的利益應(yīng)被認(rèn)可和保護(hù)[10]，言外之意，法律保護(hù)個(gè)人利益的前提就是要確認(rèn)權(quán)利，同樣，對(duì)于讀者個(gè)人信息的保護(hù)，首先就是要確認(rèn)讀者的個(gè)人信息權(quán)，由于對(duì)于個(gè)人信息的屬性在理論界還沒(méi)有達(dá)成共識(shí)，加之我國(guó)立法對(duì)于個(gè)人信息權(quán)還沒(méi)有明確的規(guī)定，因此，只能通過(guò)規(guī)范義務(wù)主體的行為實(shí)現(xiàn)保護(hù)讀者個(gè)人信息的合理預(yù)期[11]。換句話說(shuō)，個(gè)人信息權(quán)益保護(hù)的模式不是通過(guò)權(quán)利化模式，而采取的是行為規(guī)制模式。《公共圖書(shū)館法》第50條、第54條的規(guī)定體現(xiàn)了該義務(wù)的性質(zhì)，如第50條“公共圖書(shū)館及其工作人員有下列行為之一的，由文化主管部門責(zé)令改正，沒(méi)收違法所得......”以及第54條“違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任”的規(guī)定，從法律責(zé)任的規(guī)定可以看出，圖書(shū)館對(duì)讀者個(gè)人信息保護(hù)義務(wù)的法律責(zé)任是行政責(zé)任與刑事責(zé)任。這種法定義務(wù)的基本行為模式是圖書(shū)館應(yīng)當(dāng)采取措施保護(hù)讀者個(gè)人信息，并用“妥善保護(hù)”法律用語(yǔ)對(duì)讀者個(gè)人信息保護(hù)義務(wù)進(jìn)行限制，即圖書(shū)館對(duì)讀者個(gè)人信息的全面保護(hù)義務(wù)并非單純處于被動(dòng)狀態(tài)，圖書(shū)館可以基于公共利益對(duì)讀者個(gè)人信息加以利用。綜上分析，《公共圖書(shū)館法》第43條的“應(yīng)當(dāng)”強(qiáng)調(diào)了圖書(shū)館保護(hù)讀者個(gè)人信息的法定義務(wù)，旨在尊重讀者的人格利益，“妥善保護(hù)”體現(xiàn)了圖書(shū)館有限制地使用讀者個(gè)人信息改進(jìn)基礎(chǔ)服務(wù)的權(quán)利，旨在維護(hù)圖書(shū)館的信息自由，這樣的內(nèi)部調(diào)適和制度安排，既放大了讀者個(gè)人信息的權(quán)利，又限縮了圖書(shū)館自由使用讀者個(gè)人信息的權(quán)利。因此，“應(yīng)當(dāng)”與“妥善保護(hù)”的背后法理是人格利益與信息自由之間的衡量。

2.2 讀者個(gè)人信息的屬性：兼具公共利益和私人利益屬性

2.2.1 跳出框架：超越個(gè)人信息私人利益屬性的單一理解

如何界定讀者個(gè)人信息的屬性，這直接關(guān)涉到能不能對(duì)讀者個(gè)人信息作出私有化的理解，如果孤立、狹義地理解讀者個(gè)人信息，將其與大數(shù)據(jù)時(shí)代的浪潮割裂，靜態(tài)地定義其私有人格權(quán)或財(cái)產(chǎn)權(quán)屬性，那么，容易將讀者的個(gè)人信息利益無(wú)限膨脹，而犧牲公共利益的追求。但是，如果單純談?wù)撟x者信息利益的傷害或者傷害風(fēng)險(xiǎn)，而沒(méi)有把讀者信息保護(hù)利益作為論述基礎(chǔ)，則容易在追求公共利益的名義之下，掩蓋了讀者信息利益?zhèn)Φ男纬煽赡?，使得讀者個(gè)人信息保護(hù)淪為公共利益追求下的犧牲品，因此，需要對(duì)讀者的個(gè)人信息屬性做出合理的解釋，讀者個(gè)人信息的屬性討論本質(zhì)上就是對(duì)個(gè)人信息的屬性進(jìn)行探討。

傳統(tǒng)意義上對(duì)個(gè)人信息屬性的討論，是在私人利益的屬性下展開(kāi)的，始終沒(méi)有跳出私人利益屬性的框架?！睹穹倓t》第111條“自然人的個(gè)人信息受法律保護(hù)”的規(guī)定，僅僅是一個(gè)宣示性的規(guī)定，立法機(jī)關(guān)對(duì)個(gè)人信息屬性的態(tài)度仍舊不夠明晰，有所缺憾，在理論界大致存在著所有權(quán)客體說(shuō)、隱私權(quán)客體說(shuō)、基本人權(quán)客體說(shuō)、人格權(quán)客體說(shuō)等個(gè)人屬性的學(xué)說(shuō)劃分，大多數(shù)學(xué)者都對(duì)個(gè)人信息具有人格利益與財(cái)產(chǎn)利益的雙重屬性形成了共識(shí)[12]。但是，對(duì)于個(gè)人屬性的理解，不能僅僅局限于私人利益的屬性，而忽略大數(shù)據(jù)時(shí)代個(gè)人信息的公共利益屬性，個(gè)人信息的屬性具有兩面性：個(gè)人信息的保護(hù)強(qiáng)調(diào)的是私人利益的屬性，個(gè)人信息的利用強(qiáng)調(diào)的是公共利益的屬性，個(gè)人信息保護(hù)應(yīng)從個(gè)人控制走向社會(huì)控制[13]。

2.2.2 角色嬗變：私人利益的退卻與公共利益的顯現(xiàn)

在傳統(tǒng)意義上，個(gè)人信息保護(hù)的是個(gè)人的人格權(quán)，以保護(hù)私人利益為主導(dǎo)。隨著大數(shù)據(jù)時(shí)代的到來(lái)，個(gè)人信息所保護(hù)的法益也隨之發(fā)生改變。大數(shù)據(jù)作為一種信息資產(chǎn)，具有4個(gè)特征（簡(jiǎn)稱4個(gè)V）：數(shù)據(jù)量大（Volume）、數(shù)據(jù)種類多樣化（Variety）、價(jià)值密度低（Value）與數(shù)據(jù)處理速度快（Velocity）[14]。公共圖書(shū)館也是大數(shù)據(jù)的產(chǎn)生渠道，比如說(shuō)讀者借閱量的數(shù)據(jù)、RFID數(shù)據(jù)、網(wǎng)絡(luò)交互數(shù)據(jù)、傳感器數(shù)據(jù)等，這給圖書(shū)館對(duì)讀者的服務(wù)方式帶來(lái)了變革：根據(jù)讀者借閱量的數(shù)據(jù)分析讀者的需求；從圖書(shū)館的結(jié)構(gòu)化或者非結(jié)構(gòu)化數(shù)據(jù)資源中構(gòu)建智能化知識(shí)服務(wù)；根據(jù)讀者需求的數(shù)據(jù)量建立知識(shí)服務(wù)導(dǎo)航機(jī)制[15]。讀者的個(gè)人信息構(gòu)成了圖書(shū)館大數(shù)據(jù)的一部分，被廣泛應(yīng)用到個(gè)性化信息服務(wù)中，所謂個(gè)性化信息服務(wù)，是指圖書(shū)館根據(jù)讀者的閱讀興趣、閱讀習(xí)慣、服務(wù)需求等數(shù)據(jù)資源，改善現(xiàn)有的服務(wù)方式，為讀者提供精準(zhǔn)的專業(yè)化服務(wù)[16]。當(dāng)然，在數(shù)據(jù)收集、存儲(chǔ)、挖掘與傳輸?shù)拳h(huán)節(jié)中，讀者處于被動(dòng)狀態(tài)，在某些情況下可能會(huì)被侵犯到私人利益，比如說(shuō)，讀者數(shù)據(jù)的非授權(quán)訪問(wèn)與收集、信息載體的泄露等。在這種情況下，讀者的角色發(fā)生了由信息主體到信息客體的變化。

由信息主體到信息客體的這種角色嬗變，超越了對(duì)于讀者個(gè)人信息私人屬性的單一理解，而將目光由私人利益轉(zhuǎn)移到公共利益上面來(lái)。圖書(shū)館之所以收集、挖掘讀者的個(gè)人信息，就是為了滿足讀者的實(shí)際需求，提供更專一的知識(shí)服務(wù)。讀者個(gè)人信息在未知的情形下在網(wǎng)絡(luò)空間中不斷地進(jìn)行自動(dòng)聯(lián)系，以滿足圖書(shū)館追求公共利益的需求，因此，對(duì)于讀者個(gè)人信息的屬性理解，不應(yīng)僅僅局限于美國(guó)法中的隱私權(quán)概念和德國(guó)法中的個(gè)人信息自決權(quán)概念這樣的框架，應(yīng)從歐盟《一般數(shù)據(jù)保護(hù)條例》及美國(guó)《消費(fèi)者隱私權(quán)法案》等相關(guān)立法闡述的本意來(lái)看，更多的是強(qiáng)調(diào)對(duì)數(shù)據(jù)企業(yè)的信息行為進(jìn)行法律規(guī)制，突破了原有對(duì)個(gè)人信息私人利益的單一解釋，大數(shù)據(jù)時(shí)代下讀者的私人利益，正逐漸被大數(shù)據(jù)技術(shù)產(chǎn)生的公共利益擴(kuò)張所排擠，并退縮到敏感個(gè)人信息的狹小領(lǐng)域。因此，以讀者個(gè)人信息為基礎(chǔ)的大數(shù)據(jù)以及派生出來(lái)的信息資產(chǎn)，已經(jīng)成為現(xiàn)有法律真正規(guī)制的重點(diǎn)，由此產(chǎn)生的讀者信息修改權(quán)、讀者信息被遺忘權(quán)應(yīng)該備受重視，這些權(quán)利的實(shí)現(xiàn)離不開(kāi)圖書(shū)館的行為，讀者不再享有個(gè)人信息的全部利益，信息保護(hù)與信息自由要保持平衡，應(yīng)將以讀者私人利益為中心的目光轉(zhuǎn)移到圖書(shū)館的處理讀者數(shù)據(jù)的行為正當(dāng)性和公共利益的需求上面來(lái)。

2.3 從抽象到具體：讀者個(gè)人信息范圍的利益衡量與制度安排

《公共圖書(shū)館法》第43條規(guī)定保護(hù)讀者信息的范圍是讀者個(gè)人信息、借閱信息以及其他可能涉及讀者隱私的信息，該規(guī)定過(guò)于碎片化。由于術(shù)語(yǔ)過(guò)于抽象，不夠具體，宣示性規(guī)定只是流于形式，不具有可操作性，無(wú)疑給實(shí)踐中的法律適用帶來(lái)一定的困難，應(yīng)當(dāng)在《公共圖書(shū)館法》的附錄中將具體術(shù)語(yǔ)加以明確。讀者個(gè)人信息的范圍與利益衡量有著密切的關(guān)系，讀者個(gè)人信息保護(hù)牽涉的是讀者的私人利益，而讀者個(gè)人信息利用牽涉的是圖書(shū)館的公共利益，因此，只有將讀者個(gè)人信息的范圍明確化，才能有針對(duì)性地保護(hù)讀者的私人利益，也能明晰圖書(shū)館保護(hù)讀者個(gè)人信息的程度，因此，需要對(duì)讀者個(gè)人信息范圍進(jìn)行利益再衡量以做出合理的制度安排。

2.3.1 立法碎片化：讀者個(gè)人信息范圍援引依據(jù)的不確定性

《公共圖書(shū)館法》第43條沒(méi)有明確讀者個(gè)人信息范圍，需要援引有關(guān)個(gè)人信息保護(hù)的法律法規(guī)、部門規(guī)章和其他規(guī)定，但由于目前還沒(méi)有統(tǒng)一的個(gè)人信息保護(hù)法，加之個(gè)人信息保護(hù)的立法碎片化，導(dǎo)致讀者個(gè)人信息范圍援引依據(jù)的不確定性。而學(xué)界對(duì)個(gè)人信息范圍的界定，都提出了自己不同的看法，如從個(gè)人信息定義的模式看，結(jié)合“隱私型、關(guān)聯(lián)型、識(shí)別型”3種定義模式來(lái)談個(gè)人信息的范圍[17]，最終得出學(xué)界達(dá)成共識(shí)的“識(shí)別型”結(jié)論，即只要是已經(jīng)被識(shí)別或者可以被識(shí)別的自然人的信息都屬于個(gè)人信息的范圍；從個(gè)人信息定義的具體表現(xiàn)形式看，結(jié)合“單純定義、單純定義加列舉”定義的表現(xiàn)形式來(lái)談個(gè)人信息的范圍[18]，最終認(rèn)為個(gè)人信息的范圍界定僅僅考慮動(dòng)態(tài)性和場(chǎng)景性是完全不夠的，還要對(duì)個(gè)人信息的權(quán)利進(jìn)行確權(quán)，然后通過(guò)事前同意、事中評(píng)估和事后個(gè)案認(rèn)定機(jī)制對(duì)個(gè)人信息的范圍進(jìn)行框定；從個(gè)人信息的類型看，結(jié)合“敏感個(gè)人信息、非敏感個(gè)人信息”兩種類型來(lái)談個(gè)人信息的范圍[19]，最終還是得出“識(shí)別型”的唯一確定標(biāo)準(zhǔn)。概言之，理論界對(duì)于個(gè)人信息范圍的界定主要集中在抽象層面和具體層面，所謂抽象層面，就是給個(gè)人信息的范圍一個(gè)界定標(biāo)準(zhǔn)，比如說(shuō)“直接識(shí)別型、間接識(shí)別型”的識(shí)別標(biāo)準(zhǔn)；所謂具體層面，即前提是給出一個(gè)抽象標(biāo)準(zhǔn)，然后通過(guò)列舉的方式界定個(gè)人信息的范圍。

學(xué)界對(duì)個(gè)人信息范圍的爭(zhēng)議源于立法的碎片化，從宏觀上看，個(gè)人信息的范圍界定是一個(gè)從抽象到具體的認(rèn)識(shí)過(guò)程，具體如下：其一，抽象層面。例如，我國(guó)《憲法》第38條“中華人民共和國(guó)公民的人格尊嚴(yán)不受侵犯”的規(guī)定與第40條“中華人民共和國(guó)公民的通信自由和通信秘密受法律的保護(hù)”的規(guī)定，我國(guó)《刑法》第219條對(duì)商業(yè)秘密的定義①、我國(guó)《電子簽名法》第2條對(duì)電子簽名、數(shù)據(jù)電文的定義②，《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”的規(guī)定以及《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第3.2“可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過(guò)與其他信息結(jié)合識(shí)別該特定自然人的計(jì)算機(jī)數(shù)據(jù)”的規(guī)定等，透過(guò)這些規(guī)定，都體現(xiàn)了對(duì)于個(gè)人信息范圍的界定都停留在抽象層面，有的過(guò)于原則，有的則只確立了一個(gè)個(gè)人信息識(shí)別的規(guī)定。其二，具體層面。例如，我國(guó)《網(wǎng)絡(luò)安全法》第76條“個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等”的規(guī)定，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第4條關(guān)于用戶個(gè)人信息的規(guī)定③以及《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第3.1、第3.2通過(guò)定義加列舉的方式對(duì)于個(gè)人信息和個(gè)人敏感信息范圍的規(guī)定等。這些規(guī)定相比于單純地給個(gè)人信息界定范圍、確定標(biāo)準(zhǔn)更加具體，在實(shí)踐中具有可操作性，同時(shí)，這也有利于《公共圖書(shū)館法》第43條讀者個(gè)人信息范圍的界定。由于個(gè)人信息范圍界定的立法碎片化，在界定讀者個(gè)人信息范圍時(shí)到底采用抽象層面還是具體層面，有著適用的不確定性，客觀上會(huì)給圖書(shū)館的管理與服務(wù)工作帶來(lái)一定的難度，既不能完全以讀者的私人利益為主，又不能犧牲圖書(shū)館的公共利益阻滯其信息服務(wù)新技術(shù)在圖書(shū)館建設(shè)中的應(yīng)用，做出合理的制度安排已迫在眉睫。

2.3.2 關(guān)聯(lián)性與差異性：個(gè)人信息、借閱信息與隱私信息的規(guī)定探討

《公共圖書(shū)館法》第43條規(guī)定的讀者信息分別是個(gè)人信息、借閱信息與隱私信息，立法者對(duì)三者的態(tài)度是承認(rèn)它們具有差異性，但忽略了三者的關(guān)聯(lián)性。

首先，這里的關(guān)聯(lián)性，是指借閱信息與個(gè)人信息是具有關(guān)聯(lián)性的，借閱信息屬于讀者個(gè)人信息的范疇，沒(méi)有必要再列出來(lái)放入第43條的規(guī)定中。所謂借閱信息，是指讀者在圖書(shū)館發(fā)生借閱行為時(shí)所產(chǎn)生的個(gè)人信息，包括讀者在借書(shū)卡上填寫的信息（包括姓名、聯(lián)系方式、身份證號(hào)碼等）、閱讀興趣（如圖書(shū)偏好等）、借閱記錄（包括借閱次數(shù)、借閱時(shí)間等）以及網(wǎng)絡(luò)賬號(hào)密碼（包括IP地址、設(shè)備ID信息以及Cookie信息）等；所謂讀者個(gè)人信息，就是傳統(tǒng)意義上的個(gè)人信息，是指一切可以識(shí)別（包括直接識(shí)別和間接識(shí)別）讀者本人信息的總和[20]。讀者的借閱信息是讀者身份直接被識(shí)別或者結(jié)合其他信息間接識(shí)別讀者身份的任何信息，由于讀者借閱信息與個(gè)人信息有這種在識(shí)別上的關(guān)聯(lián)性，因此，讀者的借閱信息屬于讀者個(gè)人信息的范疇，第43條無(wú)需對(duì)借閱信息作出規(guī)定。

其次，這里的差異性，是指讀者個(gè)人信息與讀者隱私信息是具有差異性的。我國(guó)立法者對(duì)這兩者的概念是區(qū)分開(kāi)來(lái)的，從《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”的規(guī)定、《民法總則》第110條對(duì)隱私權(quán)保護(hù)的規(guī)定以及第111條“自然人的個(gè)人信息受法律保護(hù)”的規(guī)定等來(lái)看，立法者的態(tài)度是認(rèn)可個(gè)人信息與隱私信息是有界分的，但是對(duì)兩者的界定標(biāo)準(zhǔn)立法者卻沒(méi)有給出一個(gè)明確的答案。關(guān)于兩者的界分之爭(zhēng)，在學(xué)界已討論很久，例如，王利明教授認(rèn)為，個(gè)人信息作為一種民事權(quán)利，與隱私權(quán)是有關(guān)聯(lián)和區(qū)別的，以權(quán)利主體（都僅限于自然人）、信息自決性、客體交錯(cuò)性以及侵害后果的競(jìng)合性作為兩者關(guān)聯(lián)性的論述基礎(chǔ)，以權(quán)利屬性、權(quán)利客體、權(quán)利內(nèi)容以及保護(hù)方式作為兩者界分的論述基礎(chǔ)，最終認(rèn)為，個(gè)人信息不能等同于個(gè)人隱私[21]。還有人提出“個(gè)人信息不是隱私”的論斷，認(rèn)為個(gè)人信息與隱私在外延、主要價(jià)值以及侵害行為等方面是有區(qū)別的[22]。另外，有人在探討個(gè)人信息的保護(hù)機(jī)制時(shí)，將隱私權(quán)排除在規(guī)制的客體之外[23]。國(guó)外對(duì)于隱私權(quán)和個(gè)人信息權(quán)的保護(hù)，也有所不同，美國(guó)主要采取的是隱私權(quán)保護(hù)模式，以隱私權(quán)為基礎(chǔ)構(gòu)建一整套的保護(hù)制度，而歐盟主要側(cè)重的是個(gè)人信息的保護(hù)，將個(gè)人信息視為人格權(quán)的延伸[24]。因此，對(duì)于個(gè)人信息的概念，雖然立法規(guī)定不同，但至少有援引的法律依據(jù)，而對(duì)于隱私的概念，立法者態(tài)度不明確。因此，在實(shí)踐中應(yīng)建立一定的判斷標(biāo)準(zhǔn)，首先肯定《公共圖書(shū)館法》第43條認(rèn)可將讀者個(gè)人信息與讀者隱私信息的界分的意義，然后在考量讀者個(gè)人信息時(shí)，堅(jiān)持以“關(guān)聯(lián)性或識(shí)別性”作為判斷個(gè)人信息的基礎(chǔ)，在把握讀者隱私信息時(shí)，堅(jiān)持以“是否影響讀者的私生活安寧與私生活秘密”作為判斷個(gè)人隱私傷害風(fēng)險(xiǎn)的原則[25]，比如說(shuō)，圖書(shū)館在流通服務(wù)中可能侵犯到讀者的隱私，具體表現(xiàn)在：讀者活動(dòng)的隱私，是一種讀者本人在不受監(jiān)控的情況下，自由利用圖書(shū)館資源的情形；讀者信息的隱私，是一種讀者在圖書(shū)館在利用圖書(shū)館資源和享受圖書(shū)館服務(wù)時(shí)所產(chǎn)生的隱私；在個(gè)性化服務(wù)中產(chǎn)生的讀者隱私以及流通咨詢所涉及的讀者隱私（如心理咨詢、醫(yī)療咨詢等）[26]，這些讀者隱私都具有私密性的成分，一旦受到侵犯，就會(huì)影響到讀者的私生活安寧與私生活秘密。

2.3.3 讀者信息范圍的界定：利益衡量視角下的制度安排

讀者信息范圍的界定，事關(guān)讀者的私人利益與圖書(shū)館的公共利益平衡，因此，需要對(duì)《公共圖書(shū)館法》第43條的讀者信息范圍作出合理的制度安排：第一，取消借閱信息的規(guī)定，將借閱信息納入到讀者個(gè)人信息的范疇。讀者個(gè)人信息，通常是通過(guò)關(guān)聯(lián)性、直接識(shí)別或者間接識(shí)別就可以確定讀者身份的信息，而借閱信息，是通過(guò)讀者的借閱行為識(shí)別出來(lái)的個(gè)人信息，因此，立法上沒(méi)有必要將借閱信息與讀者個(gè)人信息并列出來(lái)，借閱信息也是讀者個(gè)人信息的一部分。第二，根據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》對(duì)個(gè)人信息的分類，可以將讀者信息分為個(gè)人信息或者個(gè)人敏感信息，這樣會(huì)規(guī)避抽象的隱私概念難以理解的問(wèn)題，既從法律上有依據(jù)，又具有可操作性。有關(guān)個(gè)人信息或者個(gè)人敏感信息的定義和具體內(nèi)容可以參照《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的規(guī)定④。第三，在《公共圖書(shū)館法》的附則中明確讀者個(gè)人信息、讀者隱私信息等術(shù)語(yǔ)的定義，并通過(guò)列舉的方式加以具體化，又或者明確讀者信息范圍援引的具體法律依據(jù)有哪些；明確公共圖書(shū)館應(yīng)當(dāng)妥善保護(hù)讀者信息的具體行為規(guī)范，形成一個(gè)具體的指引，比如說(shuō)保護(hù)讀者信息的例外原則、保護(hù)讀者信息的具體流程等。

2.4 “不得出售或者以其他方式非法向他人提供”的條文釋義

《公共圖書(shū)館法》第50條、第54條對(duì)違反保護(hù)讀者信息保護(hù)義務(wù)所承擔(dān)的法律責(zé)任做出了明確的規(guī)定，一個(gè)是行政責(zé)任，即由文化主管部門責(zé)令改正，沒(méi)收違法所得；一個(gè)是刑事責(zé)任，即構(gòu)成犯罪的，依法追究刑事責(zé)任。然而，對(duì)于“不得出售或者以其他方式非法向他人提供”的條文理解和適用，還需要參考《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱《解釋》）、《網(wǎng)絡(luò)安全法》《信息安全技術(shù) 個(gè)人信息安全規(guī)范》以及《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》（以下簡(jiǎn)稱《規(guī)定》）的具體規(guī)定。

第一，“出售”與“提供”的理解。這里的“出售”是指圖書(shū)館單位或者個(gè)人以經(jīng)濟(jì)利益為目的，以金錢或者實(shí)物作價(jià)，將掌握的讀者個(gè)人信息銷售給他人(包括個(gè)人或單位）的行為。對(duì)于“出售”行為的理解，沒(méi)有理解和適用上的疑問(wèn)。但是對(duì)于“提供”的理解，《解釋》第3條有了明確的規(guī)定⑤，向特定人提供公民個(gè)人信息，屬于“提供”公民個(gè)人信息，對(duì)此不存在疑義。但是，對(duì)于通過(guò)網(wǎng)絡(luò)途徑或者其他途徑散發(fā)公民個(gè)人信息，存在不同認(rèn)識(shí)，因?yàn)橥ㄟ^(guò)網(wǎng)絡(luò)途徑或者其他途徑散發(fā)公民個(gè)人信息，針對(duì)的對(duì)象是不特定的多數(shù)人，向特定的人提供公民個(gè)人信息的行為屬于“提供”，根據(jù)“舉輕明重”的法理，這種針對(duì)不特定的多數(shù)人依然被認(rèn)定為“提供”。另外，合法收集公民個(gè)人信息后非法提供的認(rèn)定，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，經(jīng)被收集者同意，以及做匿名化處理，是合法提供公民個(gè)人信息的兩種情形?；诖耍凑铡督忉尅返囊?guī)定：“未經(jīng)被收集者同意，將合法收集的公民個(gè)人信息向他人提供的，屬于刑法第253條之一規(guī)定的‘提供公民個(gè)人信息’，但是經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。”因此，針對(duì)《公共圖書(shū)館法》第43條中的“提供”的理解是：圖書(shū)館單位或者個(gè)人向特定人或者通過(guò)信息網(wǎng)絡(luò)途徑等其他途徑散發(fā)讀者信息的行為，抑或是未經(jīng)讀者同意，將合法收集的讀者信息向他人提供的行為，這里的他人包括單位和個(gè)人，都應(yīng)該被認(rèn)定為“提供”的行為。通過(guò)利益識(shí)別，讀者作為信息主體，其個(gè)人信息有被保護(hù)的需求，而圖書(shū)館作為信息從業(yè)者，有對(duì)讀者信息利用的需求，因此，合理地認(rèn)定“出售”與“提供”行為，影響著讀者信息的保護(hù)與利用的利益平衡。

第二，“以其他方式非法向他人提供”中的“非法”判斷標(biāo)準(zhǔn)。《刑法》第253條之一的規(guī)定關(guān)于“非法”的判斷是以“違反國(guó)家有關(guān)規(guī)定”為前提，特別是判斷“提供”的行為是否“非法”，不能僅僅以是否經(jīng)過(guò)權(quán)利人同意作為判斷標(biāo)準(zhǔn)，而是應(yīng)當(dāng)以國(guó)家有關(guān)規(guī)定作為判斷標(biāo)準(zhǔn)[27]148-149?！督忉尅返?條規(guī)定：違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個(gè)人信息保護(hù)的規(guī)定的，應(yīng)當(dāng)認(rèn)定為刑法第253條之一規(guī)定的“違反國(guó)家有關(guān)規(guī)定”，根據(jù)《解釋》第2條的規(guī)定，將“國(guó)家有關(guān)規(guī)定”的涵義明確限于法律、行政法規(guī)、部門規(guī)章等國(guó)家層面的規(guī)定，不包括地方性法規(guī)、部門規(guī)范性文件、國(guó)家標(biāo)準(zhǔn)等其他有關(guān)規(guī)定。《解釋》第2條將信息控制者違反法律、行政法規(guī)、部分規(guī)章的有關(guān)規(guī)定向他人提供公民個(gè)人信息，情節(jié)嚴(yán)重的或者情節(jié)特別嚴(yán)重的，包括將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息提供給他人的，納入到刑事規(guī)制的范圍。如果信息控制者違反地方性法規(guī)、部門規(guī)范性文件、國(guó)家標(biāo)準(zhǔn)等國(guó)家有關(guān)規(guī)定，同樣其應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。另外，為了國(guó)家利益、社會(huì)公共利益等向有關(guān)國(guó)家部門、有關(guān)單位提供個(gè)人信息的，雖未經(jīng)權(quán)利人同意，但符合相關(guān)法律的規(guī)定，屬于合法提供。根據(jù)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第5.4（j）的規(guī)定，“個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)，出于公共利益開(kāi)展統(tǒng)計(jì)或?qū)W術(shù)研究所必要，且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的”情形屬于征得授權(quán)同意的例外，也就是說(shuō)個(gè)人信息控制者收集、使用個(gè)人信息無(wú)需征得個(gè)人信息主體的授權(quán)同意。再看《規(guī)定》第12條，“學(xué)校、科研機(jī)構(gòu)等基于公共利益為學(xué)術(shù)研究或者統(tǒng)計(jì)的目的，經(jīng)自然人書(shū)面同意，且公開(kāi)的方式不足以識(shí)別特定自然人”的情形，網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用公民個(gè)人信息，不承擔(dān)侵權(quán)責(zé)任。按照《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第5.4（j）和《規(guī)定》第12條的應(yīng)有之義，如果公共圖書(shū)館按照國(guó)家有關(guān)規(guī)定向相關(guān)學(xué)術(shù)研究機(jī)構(gòu)（如高校）提供讀者個(gè)人信息（主要是借閱信息等）進(jìn)行分析挖掘，那么，公共圖書(shū)館基于此目的利用讀者個(gè)人信息的行為是符合法律規(guī)定的，這種讀者個(gè)人信息的利用方式在實(shí)際中更有可能出現(xiàn)，應(yīng)屬于“為了國(guó)家利益、社會(huì)公共利益等向有關(guān)國(guó)家部門、有關(guān)單位提供個(gè)人信息的，雖未經(jīng)權(quán)利人同意，但符合相關(guān)法律的規(guī)定”的合法提供類型。

第三，在大數(shù)據(jù)時(shí)代下，基于大數(shù)據(jù)的整合需求，《網(wǎng)絡(luò)安全法》第44條“不得非法出售或者非法向他人提供個(gè)人信息”的規(guī)定，在立法層面為個(gè)人信息的交易留有一定空間，即既允許合法提供公民個(gè)人信息，又允許合法出售和交易公民個(gè)人信息，但是《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條第2款“不得出售或者非法向他人提供公民個(gè)人電子信息”的規(guī)定，出售公民個(gè)人信息屬于禁止的范疇，不存在合法交易的空間。在大數(shù)據(jù)時(shí)代下，法律允許合法提供公民個(gè)人信息的交易空間，不允許出售公民個(gè)人信息的交易行為。因此，《公共圖書(shū)館法》第43條中的出售行為是法律禁止的行為，只要圖書(shū)館單位或者個(gè)人實(shí)施了出售讀者信息的行為，就是法律所不允許的行為，應(yīng)當(dāng)承擔(dān)行政責(zé)任或者刑事責(zé)任，但是圖書(shū)館單位或者個(gè)人如果是基于維護(hù)國(guó)家利益、社會(huì)公共利益的需要，提供讀者信息的行為，即使未經(jīng)讀者的同意，也應(yīng)當(dāng)認(rèn)定為合法的提供行為，這也是利益衡量的結(jié)果?？傊?，關(guān)于“以其他方式非法向他人提供”中的“非法”判斷標(biāo)準(zhǔn)，堅(jiān)持客觀判斷的標(biāo)準(zhǔn)，即“違反國(guó)家有關(guān)規(guī)定”，這樣的判斷標(biāo)準(zhǔn)對(duì)于個(gè)人信息的保護(hù)全面化，也符合個(gè)人信息保護(hù)由個(gè)人控制到社會(huì)控制的變化趨勢(shì)。

3 結(jié) 語(yǔ)

《公共圖書(shū)館法》第43條對(duì)于讀者個(gè)人信息保護(hù)的規(guī)定，充分體現(xiàn)了讀者個(gè)人信息保護(hù)和利用的利益衡量，本質(zhì)上是讀者的人格利益與圖書(shū)館的信息自由的衡量，這樣的衡量在新技術(shù)應(yīng)用到圖書(shū)館資源建設(shè)和服務(wù)建設(shè)所發(fā)揮的作用顯得彌足珍貴。踏著利益的足跡，對(duì)于讀者個(gè)人信息保護(hù)，應(yīng)采用“雙管齊下”的策略，不僅在立法層面對(duì)讀者個(gè)人信息保護(hù)作出具體的規(guī)定，同時(shí)也應(yīng)合理地理解和適用該規(guī)定，這是核心；在實(shí)踐層面，讀者應(yīng)提高個(gè)人信息的自我保護(hù)意識(shí)，圖書(shū)館應(yīng)建立完善的隱私保護(hù)政策，圖書(shū)館員應(yīng)認(rèn)真履行讀者個(gè)人信息的保護(hù)義務(wù)，同時(shí)發(fā)揮新技術(shù)措施在保護(hù)讀者個(gè)人信息的功能，建立相應(yīng)的信息保護(hù)監(jiān)督機(jī)制和信息風(fēng)險(xiǎn)評(píng)估機(jī)制。

注 釋：

①《刑法》第219條對(duì)商業(yè)秘密的定義：“本條所稱商業(yè)秘密，是指不為公眾所知悉，能為權(quán)利人帶來(lái)經(jīng)濟(jì)利益，具有實(shí)用性并經(jīng)權(quán)利人采取保密措施的技術(shù)信息和經(jīng)營(yíng)信息。”

② 《電子簽名法》第2條對(duì)電子簽名的定義：“本法所稱的電子簽名，是指數(shù)據(jù)電文中以電子形式所包含、所附用于識(shí)別簽名人身份并標(biāo)明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)”；第2條對(duì)“數(shù)據(jù)電文”的定義：“本法所稱的數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。”

③《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第4條關(guān)于用戶個(gè)人信息的規(guī)定：“本規(guī)定所稱用戶個(gè)人信息，是指電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過(guò)程中收集的用戶姓名、出生日期、身份證號(hào)碼、住址、電話號(hào)碼、賬號(hào)和密碼等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息。”

④《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第3.1規(guī)定：個(gè)人信息（personal information） 以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。注 1：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。注 2：關(guān)于個(gè)人信息的范圍和類型可參見(jiàn)附錄 A。

第 3.2 規(guī)定：個(gè)人敏感信息（personal sensitive information） 一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。注 1：個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下（含）兒童的個(gè)人信息等。注 2：關(guān)于個(gè)人敏感信息的范圍和類型可參見(jiàn)附錄 B。

⑤《解釋》第3條規(guī)定：向特定人提供公民個(gè)人信息，以及通過(guò)信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個(gè)人信息的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“提供公民個(gè)人信息”。

未經(jīng)被收集者同意，將合法收集的公民個(gè)人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的“提供公民個(gè)人信息”，但是經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。