未成年讀者個人信息保護政策的構(gòu)建與實施
——基于《個人信息保護法》

王者鵬

（河北省教育科學(xué)研究所 石家莊 050004）

科技始終是一把雙刃劍，信息網(wǎng)絡(luò)在推動閱讀飛速發(fā)展的同時，也帶來了巨大的信息風(fēng)險，讀者個人信息保護的命題不斷顯現(xiàn)。特別是隨著智慧閱讀不斷低齡化，未成年讀者參與程度與日俱增。由于未成年讀者心智成熟程度有限，其個人信息的保護和應(yīng)用能力相對于成年人更為缺乏，易受到各種不同形式的侵害，亟待推動其個人信息保護的不斷深化。雖然之前的個人信息保護相關(guān)立法對此有所涉及，包括圖書館領(lǐng)域也有專門立法，但是始終較為籠統(tǒng)。2021年8月，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）經(jīng)全國人大常委會表決通過，意味著我國個人信息保護專門立法正式出臺?！秱€人信息保護法》除了延續(xù)既有的規(guī)定，也對未成年人的個人信息保護與專門的個人信息處理規(guī)則作出了特別規(guī)定，圖書館領(lǐng)域亟須根據(jù)其要求探索構(gòu)建、實施科學(xué)的未成年讀者個人信息保護政策。

1 未成年讀者個人信息專門保護的必要性

讀者群體中，未成年讀者的個人信息保護具有特殊性。一方面，未成年讀者對于智慧閱讀的介入程度更深。在信息科學(xué)領(lǐng)域，低齡群體相比高齡群體總是具有天然的適應(yīng)性。未成年人對于電子設(shè)備的應(yīng)用程度和能力遠(yuǎn)超成年人，甚至其父母進行智慧閱讀還需要未成年人的指導(dǎo)。借助電子計算機、平板電腦、智能手機、Kindle等各種設(shè)備，未成年人正在全面享受智慧閱讀的紅利。另一方面，未成年人對其個人信息的保護能力存在不足。未成年讀者由于身心仍處在發(fā)育過程中，對社會各種危險的認(rèn)識不足，保護自身信息安全的意識也不夠充分，個人信息應(yīng)用的一般原則（如同意原則）在適用于未成年讀者時也存在障礙。未成年讀者個人信息保護能力和信息風(fēng)險的差距亟待關(guān)注?，F(xiàn)實中，未成年讀者個人信息面臨多重風(fēng)險。

第一，未成年讀者具有特殊的身份信息風(fēng)險、痕跡信息風(fēng)險。傳統(tǒng)的閱讀以紙書為載體，讀者身份信息綁定具體的證件，借閱信息只有讀者自己了解，不會被全面記錄和分析。智慧時代即便是紙質(zhì)書籍的借閱過程也全面走向智慧化。比如在證件層面，長寧區(qū)少年兒童圖書館即規(guī)定，14周歲以下的中國公民和外籍人士可申請辦理“一卡通”少兒證，每人限辦1張，使用有效期限截至持卡人16周歲（持有上海中小學(xué)生電子學(xué)生證的小學(xué)、初中學(xué)生，可持電子學(xué)生證借還圖書），實現(xiàn)了實體讀者證件的信息化[1]。而信息本身具有可復(fù)制性，隨著未成年讀者證件的信息化，其被復(fù)制、傳輸?shù)娘L(fēng)險也同時增加，讀者身份信息本身可能被盜用、冒用。在借閱操作層面，湖南省少年兒童圖書館的未成年讀者可以通過智能手機綁定“移動圖書館”App，并且在該App上完成操作，只要下載后登錄賬戶，點擊“借閱信息”，即可查看借閱信息，續(xù)借圖書[2]。深圳少年兒童圖書館則是開通了微信小程序預(yù)約，未成年讀者只需要點擊進入主頁“我要預(yù)約”選項卡，根據(jù)需求選擇“預(yù)約詳情”，進行微信授權(quán)登錄，點擊底部菜單“我要預(yù)約”，填寫個人信息，提交后系統(tǒng)提示預(yù)約結(jié)果即可[3]。借閱操作的信息化必然會導(dǎo)致未成年讀者閱讀習(xí)慣、痕跡被集中提取和存儲，一旦泄露可能會招致他人針對未成年讀者實施侵害行為。

第二，未成年讀者具有特殊的賬戶信息風(fēng)險。隨著數(shù)字資源的普遍建設(shè)，未成年讀者可以更廣泛地享受智慧電子閱讀。比如，國家圖書館接待年滿十六周歲以上的讀者（少年兒童圖書館接待六至十五周歲的少年兒童），符合要求的未成年讀者可以訪問包括電子圖書、全文期刊、電子報紙、學(xué)位/會議論文、專利/標(biāo)準(zhǔn)、索引/文摘、工具類、音視頻、特色資源在內(nèi)的數(shù)字資源[4]。長寧區(qū)少年兒童圖書館的“數(shù)字閱讀”板塊包括自建資源、數(shù)字資源、文化共享工程等。湖南省少年兒童圖書館的“數(shù)字資源”則更為豐富，包括少兒音視頻資源庫、中華連環(huán)畫、知識視界、博看期刊、新語少兒、中華詩詞資源、中小學(xué)圖書館、中文在線、讀秀知識庫、中少報刊、中少繪本、CNKI期刊、易趣少兒數(shù)字圖書、紫葡萄藝術(shù)庫、數(shù)字圖書館總館、連環(huán)畫館、科普館、美術(shù)館、萬有文庫等[5]。訪問這些數(shù)字資源只需要登錄未成年讀者的賬戶即可，一旦其賬戶信息泄露將會導(dǎo)致閱讀權(quán)益受損。由于未成年讀者賬戶信息管理能力相較于成年人更為薄弱，其賬戶信息也更易被泄露。

第三，未成年讀者具有特殊的服務(wù)信息風(fēng)險。智慧閱讀不僅意味著閱讀方式的信息化，更是意味著閱讀服務(wù)的個性化、精準(zhǔn)化，這些服務(wù)信息與未成年讀者個人的關(guān)聯(lián)更為緊密，一旦泄露所帶來的風(fēng)險不可忽視。例如，首都圖書館少兒讀者“七彩悅讀成長計劃”規(guī)定，凡持有首都圖書館少兒讀者卡的小讀者均可參加積分活動，所獲積分均通過少兒讀者卡進行累積，具體包括閱覽積分、借書積分、活動積分和服務(wù)積分，為了鼓勵該持卡少兒讀者到館借閱并參加館內(nèi)閱讀活動，根據(jù)分值的積累情況分別給予精神和物質(zhì)獎勵[6]。這些積分信息和未成年讀者具有極強的人身關(guān)聯(lián)，如果泄露則他人可以利用這些信息騙取未成年讀者的信任進而實施侵害行為。

因此，業(yè)界應(yīng)當(dāng)充分重視未成年讀者的個人信息保護，特別是應(yīng)從政策層面對此進行系統(tǒng)的探索。

2 《個人信息保護法》有關(guān)未成年讀者個人信息保護的核心規(guī)定

總體而言，《個人信息保護法》的相關(guān)條款均適用于未成年讀者個人信息保護，但是在很多問題上并不具有特殊價值，以下規(guī)定對此具有關(guān)鍵的意義。

2.1 未成年讀者個人信息的范圍

《個人信息保護法》第四條規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！边@一條款既延續(xù)了先前立法的規(guī)定，也作出了調(diào)整。一方面，該條同樣基于識別性規(guī)定個人信息的性質(zhì)?！吨腥A人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息。”《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）第七十六條第五項規(guī)定的個人信息概念與此大致相同。雖然這些立法都是基于識別性，但是也存在一定的區(qū)別，即《個人信息保護法》基于“已識別”和“可識別”，此前的立法強調(diào)“直接識別”和“間接識別”，相比而言，《個人信息保護法》“可識別”的規(guī)定為未來適用預(yù)留了空間。另一方面，這一條款規(guī)定“不包括匿名化處理后的信息”，是先前立法未有的條款。具體到未成年讀者個人信息保護領(lǐng)域，按照《個人信息保護法》第四條的規(guī)定，我們不僅需要關(guān)注既有個人信息的保護，更需要關(guān)注未來新型個人信息的保護。

此外，該條款也對如何與《中華人民共和國公共圖書館法》（以下簡稱《公共圖書館法》）第四十三條在對象范圍上進行協(xié)調(diào)提出要求?！豆矆D書館法》第四十三條規(guī)定：“公共圖書館應(yīng)當(dāng)妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。”該條款除了出現(xiàn)“個人信息”，還出現(xiàn)了“借閱信息”和“其他可能涉及讀者隱私的信息”。這里需確定基本的立場，即對于這兩條是作一致化的解釋還是非一致化的解釋。本文認(rèn)為，雖然字面意義上二者存在分歧，但是作一致化的解釋更有利于保護未成年讀者的個人信息，因為這樣更有利于未成年讀者（或其監(jiān)護人）依照《個人信息保護法》的規(guī)定提出權(quán)利請求。因此，應(yīng)將“借閱信息”作為痕跡類個人信息、“其他可能涉及讀者隱私的信息”作為隱私類個人信息，納入《個人信息保護法》的體系架構(gòu)中。而《個人信息保護法》第四條并未限定“個人”的年齡范圍，未成年讀者個人信息自然也在保護之列。

2.2 未成年讀者個人信息的特別保護

《個人信息保護法》第二十八條、第二十九條、第三十條、第三十一條第一款規(guī)定了未成年個人信息的特殊保護規(guī)則，也適用于未成年讀者個人信息。第二十八條將“不滿十四周歲未成年人的個人信息”作為“敏感個人信息”，相對于一般個人信息保護采取了更為嚴(yán)格的規(guī)則。第二十九條、第三十條、第三十一條第一款則規(guī)定了處理“不滿十四周歲未成年人的個人信息”的若干具體要求，第二十九條規(guī)定應(yīng)當(dāng)取得個人的單獨同意（含書面同意）、第三十條規(guī)定應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響，第三十一條第一款規(guī)定應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護人的同意。對于不滿十四周歲未成年讀者的個人信息保護同樣適用以上規(guī)定。

以上條款延續(xù)了先前立法的規(guī)定。2020年修正的《中華人民共和國未成年人保護法》（以下簡稱《未成年人保護法》）第七十二條規(guī)定了信息處理者通過網(wǎng)絡(luò)處理未成年人個人信息的規(guī)則、原則，并且規(guī)定了未成年人父母（或監(jiān)護人）對于該信息的使用具有同意權(quán)，未成年人、其父母（或監(jiān)護人）有要求更正、刪除個人信息的請求權(quán)。此外，2019年《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》也保護十四周歲以下未成年人的個人信息，該規(guī)定第九條明確了監(jiān)護人對于兒童個人信息的同意權(quán)，第十條明確了相應(yīng)的拒絕權(quán)以及應(yīng)告知事項。未成年讀者的閱讀活動涉及提供、利用個人信息的情況，以及同意權(quán)的行使問題。這些規(guī)定與《個人信息保護法》的前述規(guī)定在主體、權(quán)利上具有銜接性。

2.3 未成年讀者個人信息處理規(guī)則的特別要求

《個人信息保護法》第三十一條第二款作出了一項全新的規(guī)定：“個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)制定專門的個人信息處理規(guī)則?！痹摋l款是未成年人個人信息保護的創(chuàng)造性條款，也在未成年讀者個人信息保護領(lǐng)域具有特殊意義。這意味著對于不滿十四周歲未成年讀者的個人信息保護不能再附屬于一般讀者的個人信息處理規(guī)則，而是需要確立特殊的處理規(guī)則，以契合《個人信息保護法》的要求，否則即可能承擔(dān)該法第七章規(guī)定的法律責(zé)任。

然而傳統(tǒng)意義上未成年讀者的信息安全規(guī)則限于內(nèi)容領(lǐng)域，而非其個人信息。如有觀點指出，基層圖書館電子閱覽室在為未成年讀者提供服務(wù)的過程中，需要監(jiān)控其是否瀏覽暴力、色情、反動、賭博等內(nèi)容信息，并且應(yīng)重視計算機系統(tǒng)安全，保證該系統(tǒng)不因未成年讀者的相關(guān)操作遭遇信息安全問題[7]。未成年讀者個人信息保護政策無疑是前述規(guī)則官方的、系統(tǒng)的體現(xiàn)。在此背景下，業(yè)界亟須基于《個人信息保護法》的規(guī)定，梳理未成年讀者個人信息保護政策的難點，推動未成年讀者個人信息保護政策的發(fā)展完善。

3 未成年讀者個人信息保護政策的現(xiàn)實瓶頸

目前雖然未成年讀者個人信息保護有《個人信息保護法》等法規(guī)作為支撐，但是實踐中具體保護條款的落實則存在一定的障礙，影響了相關(guān)政策的落地，這有多方面的原因：

3.1 未成年讀者個人信息相關(guān)規(guī)定可操作性不強

《個人信息保護法》《民法典》《網(wǎng)絡(luò)安全法》等立法關(guān)于個人信息范圍的規(guī)定存在分歧?！秱€人信息保護法》本身未具體列舉個人信息，《民法典》第一千零三十四條第二款列舉了“自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息”等個人信息，《網(wǎng)絡(luò)安全法》則不包括“電子郵箱、健康信息、行蹤信息”，而未成年讀者個人信息的主要處理場域就是互聯(lián)網(wǎng)。

此外，未成年讀者又具有讀者屬性，關(guān)于未成年人個人信息保護的法規(guī)缺乏針對性的規(guī)定。《個人信息保護法》《未成年人保護法》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》是針對未成年人個人信息保護的一般規(guī)定，而非專門圍繞未成年讀者個人信息保護展開。如前所述，未成年讀者個人信息的威脅主要來自身份信息風(fēng)險、痕跡信息風(fēng)險、賬戶信息風(fēng)險、服務(wù)信息風(fēng)險，其保護重心和一般的未成年人個人信息保護存在差異。

再如關(guān)于同意權(quán)的行使，未成年人的行為能力顯然無法等同于成年人，事實上個人信息同意權(quán)在行使過程中存在障礙。在讀者群體中也是如此，《公共圖書館法》的個人信息保護條款針對成年讀者制定，對于未成年讀者的關(guān)注不足。

3.2 未成年讀者個人信息保護多元主體難以有效協(xié)同

未成年讀者個人信息保護牽涉多元主體，不易實現(xiàn)協(xié)同保護。未成年讀者個人信息保護的關(guān)聯(lián)主體眾多：一是《公共圖書館法》涉及的各類公共圖書館及其管理人員，其向未成年讀者提供閱讀服務(wù)，獲取、存儲和利用未成年讀者個人信息的請求和行為最終歸于該類主體；二是《網(wǎng)絡(luò)安全法》涉及的網(wǎng)絡(luò)閱讀服務(wù)提供者，在智慧閱讀背景下，各類信息網(wǎng)絡(luò)服務(wù)為未成年讀者進行閱讀活動所必需，也是其個人信息的集中存儲主體和分析利用主體；三是《個人信息保護法》《未成年人保護法》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》涉及的未成年讀者父母（或監(jiān)護人），其對于未成年讀者個人信息具有相當(dāng)程度的決定權(quán)和保護職責(zé)；四是《民法典》涉及的其他社會主體，負(fù)有不侵害未成年讀者個人信息的義務(wù)。以上主體中，任何一個環(huán)節(jié)出現(xiàn)問題，都會導(dǎo)致未成年讀者的個人信息陷入風(fēng)險之中。而上述個人信息保護規(guī)范多基于特定領(lǐng)域、特定事項展開，缺少對于關(guān)聯(lián)主體的全面覆蓋和有效協(xié)同。

3.3 未成年讀者個人信息保護實踐缺乏

目前鮮有未成年讀者個人信息保護的具體實踐，更少有形成系統(tǒng)的保護政策。雖然立法中規(guī)定了不少個人信息保護舉措，但是現(xiàn)實中可實踐性不足，對于行為能力欠缺的未成年人來說更是如此。目前已報道的讀者個人信息安全事件并未關(guān)注未成年讀者的特殊保護。早在2012年，某省圖書館的網(wǎng)上登錄系統(tǒng)存在巨大漏洞，用戶賬戶名即為卡號，卡號和密碼完全相同，登錄后可以查看讀者的姓名、身份證號、文化程度等個人信息，容易引發(fā)實施侵害個人合法權(quán)益的行為。后該省圖書館辦公室負(fù)責(zé)人回應(yīng)，這是讀者在拿到讀書證后，沒有修改初始密碼造成的[8]。其中應(yīng)不乏未成年讀者個人信息，但是未見其具體保護實踐。

《網(wǎng)絡(luò)安全法》雖然率先規(guī)定了個人信息請求權(quán)，但是從實踐來看網(wǎng)絡(luò)用戶要求刪除、更正個人信息的情況并不多見，更鮮有基于此提起個人信息侵權(quán)之訴，其原因在于程序的復(fù)雜性和維權(quán)成本的高昂性。雖然目前司法機關(guān)在探索個人信息公益訴訟制度，如2021年1月8日，杭州互聯(lián)網(wǎng)法院依法公開審理公益訴訟起訴人下城區(qū)人民檢察院訴被告孫某個人信息保護民事公益訴訟一案，并當(dāng)庭宣判，判決由孫某支付侵害社會公共利益的損害賠償款34 000元，專門用于信息安全保護或個人信息保護等公益事項，并在《浙江法制報》向社會公眾刊發(fā)賠禮道歉聲明。據(jù)悉該案是民法典實施后，全國首例個人信息保護民事公益訴訟案件[9]。對于未成年讀者來說，上述保護模式的針對性、有效性十分有限，更難以為個人信息保護政策的出臺奠定實踐基礎(chǔ)。

4 未成年讀者個人信息保護政策的關(guān)鍵規(guī)則

根據(jù)《個人信息保護法》第三十一條第二款，需要對于不滿十四周歲的未成年讀者個人信息保護確立特殊規(guī)則，但是從政策層面則應(yīng)基于未成年讀者整體的視角進行探索，構(gòu)建若干關(guān)鍵的規(guī)則。

4.1 構(gòu)建未成年讀者個人信息區(qū)分保護規(guī)則

相關(guān)政策中，實現(xiàn)未成年讀者個人信息的妥善保護需要進行層次化的區(qū)分，從而實現(xiàn)精準(zhǔn)保護。在此過程中，相關(guān)主體應(yīng)重視未成年讀者和成年讀者個人信息的區(qū)分保護。

在《個人信息保護法》框架下，對于讀者個人信息的普遍保護和對于未成年讀者個人信息的特別保護并不矛盾。在未成年讀者和成年讀者個人信息范圍具有一致性的情況下，我們應(yīng)注重在保護程度、保護措施上設(shè)計特別的規(guī)則：第一，提升未成年讀者個人信息的保護程度。即便對于成年讀者個人信息也需要在保護程度上進行區(qū)分設(shè)計，比如對于身份證件號碼等個人信息，保護程度就比自然人的姓名、出生日期、電話號碼、電子郵箱等個人信息更高。對于未成年讀者個人信息可以在此基礎(chǔ)上進一步加強保護程度，對未成年讀者的電話號碼、電子郵箱等按照成年讀者身份證件號碼的程度加以保護，對于未成年讀者的身份證件號碼進行更強的保護。第二，設(shè)計有利于未成年讀者個人信息保護的特別程序。根據(jù)《個人信息保護法》《民法典》《網(wǎng)絡(luò)安全法》等立法，成年讀者個人信息的更正、刪除等請求權(quán)需要讀者本人提出申請，相關(guān)主體才有履行義務(wù)的職責(zé)。在此基礎(chǔ)上，可以明確對于未成年讀者的個人敏感信息，相關(guān)義務(wù)主體一旦發(fā)現(xiàn)有泄露風(fēng)險，即有責(zé)任加以更正、刪除，將程序的啟動由被動模式變?yōu)橹鲃幽Ｊ健?/p>

4.2 構(gòu)建未成年讀者個人信息協(xié)作保護規(guī)則

如前所述，未成年讀者個人信息保護涉及未成年讀者本人、未成年讀者的父母（或監(jiān)護人）、各類公共圖書館及其管理人員、網(wǎng)絡(luò)閱讀服務(wù)提供者等多重社會主體，現(xiàn)實中以上主體之間并未形成良好的協(xié)作機制，影響了保護效果。因此，相關(guān)政策應(yīng)當(dāng)建立有效協(xié)作規(guī)則，推動上述主體共同助力未成年讀者個人信息保護實踐。

4.2.1 構(gòu)建未成年讀者與其父母（或監(jiān)護人）的協(xié)作規(guī)則

關(guān)于未成年人與父母（或監(jiān)護人）就個人信息同意權(quán)的行使規(guī)則本身即為理論和實踐關(guān)注的焦點問題。許多旨在保護兒童隱私的法律都是從家長式的觀點制度制定的，即父母對孩子個人信息的披露擁有獨家控制權(quán)[10]。

《個人信息保護法》第二十八條、第三十一條第一款僅作出概括規(guī)定，還需要結(jié)合相關(guān)立法對此加以明確?！秲和瘋€人信息網(wǎng)絡(luò)保護規(guī)定》率先對于父母（或監(jiān)護人）對未成年人個人信息的同意權(quán)作出規(guī)定。該規(guī)定第九條明確，網(wǎng)絡(luò)運營者收集、使用、轉(zhuǎn)移、披露兒童（不滿14周歲的未成年人）個人信息的，應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護人，并應(yīng)當(dāng)征得兒童監(jiān)護人的同意。2020年修訂的《未成年人保護法》則對此作出更為系統(tǒng)、全面的規(guī)定。該法第七十二條第一款明確，處理不滿14周歲未成年人個人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護人同意，但法律、行政法規(guī)另有規(guī)定的除外；第二款明確更正、刪除未成年人個人信息的請求權(quán)由其父母行使。

但是對于未成年讀者的個人信息保護而言，仍有問題需要厘清：《個人信息保護法》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》《未成年人保護法》僅明確了不滿14周歲的未成年人個人信息同意權(quán)規(guī)則，對于年滿14周歲、不滿18周歲的未成年讀者個人信息如何保護并未作出規(guī)定。未成年讀者個人信息面臨身份信息風(fēng)險、痕跡信息風(fēng)險、賬戶信息風(fēng)險、服務(wù)信息風(fēng)險等多種風(fēng)險。

由此，基于未成年讀者個人信息保護的現(xiàn)實狀況，可以年齡劃分為基礎(chǔ)，確立分層次的個人信息同意權(quán)行使框架：對于涉及身份信息風(fēng)險、痕跡信息風(fēng)險、服務(wù)信息風(fēng)險的情形，由于多涉及個人敏感信息，只要未成年讀者不滿18周歲，均需要未成年讀者父母（或監(jiān)護人）的介入；對于涉及賬戶信息風(fēng)險的情形，由于通常僅涉及賬號密碼等信息，一般年滿14周歲的未成年讀者可以獨立決定其個人信息的去向。

4.2.2 構(gòu)建公共圖書館與網(wǎng)絡(luò)閱讀服務(wù)提供者的協(xié)作規(guī)則

目前各類公共圖書館都致力于推進各類網(wǎng)站、App、微信小程序等應(yīng)用的建設(shè)，以推動閱讀的智慧化，包括向未成年讀者提供閱讀服務(wù)。但是如何與網(wǎng)絡(luò)閱讀服務(wù)提供者協(xié)作，進而有效保護未成年讀者個人信息卻鮮有實踐。比如，早在2015年就有網(wǎng)絡(luò)技術(shù)人員披露某市圖書館網(wǎng)站登錄漏洞可泄露數(shù)萬用戶身份證及借閱信息（密碼規(guī)則分析），眾多用戶沒有修改默認(rèn)密碼，續(xù)借登錄時缺少驗證碼，賬戶體系控制不嚴(yán)，據(jù)此破解某個區(qū)縣內(nèi)固定出生年月的所有人的身份證信息僅需花費50秒左右[11]。從域外角度看，《兒童網(wǎng)絡(luò)隱私保護法》的主要成就也在于限制數(shù)據(jù)控制者對于兒童個人信息的收集行為[12]。

基于此，公共圖書館應(yīng)進一步推動與網(wǎng)絡(luò)閱讀服務(wù)提供者的協(xié)作，提升讀者個人信息保護要求，特別是針對未成年讀者個人信息進行專門保護，在這一過程中應(yīng)當(dāng)強調(diào)以下規(guī)則：一是事前約定規(guī)則，即對于未成年讀者個人信息的保護，應(yīng)作為網(wǎng)絡(luò)閱讀服務(wù)提供者的義務(wù)加以事先約定；二是權(quán)利限定規(guī)則，即網(wǎng)絡(luò)閱讀服務(wù)提供者應(yīng)當(dāng)在約定的范圍內(nèi)獲取、利用未成年讀者個人信息，不得超越約定加以濫用；三是及時通知規(guī)則，即對于未成年讀者個人信息的獲取、處理進度應(yīng)當(dāng)及時通知公共圖書館。

4.2.3 構(gòu)建未成年讀者個人信息同意方與獲取方的協(xié)作規(guī)則

“同意方”指未成年讀者與其父母（或監(jiān)護人），“獲取方”指公共圖書館與網(wǎng)絡(luò)閱讀服務(wù)提供者。現(xiàn)實中，雙方往往在相關(guān)信息獲取、理解方面存在差異，導(dǎo)致難以實現(xiàn)未成年讀者個人信息的有效保護。比如，未成年父母（或監(jiān)護人）不一定具有充分的信息素養(yǎng)，其對于未成年讀者個人信息的風(fēng)險認(rèn)識可能不足，導(dǎo)致該信息最終受到侵害。作為監(jiān)護人，很難對網(wǎng)絡(luò)運營者所提供的產(chǎn)品和服務(wù)中潛在的技術(shù)風(fēng)險形成科學(xué)客觀的判斷[13]。因此，雙方必須強化溝通，確立有效的溝通規(guī)則。浙江圖書館對此進行了探索，在其官方網(wǎng)站的“法律聲明”中專門設(shè)有“隱私聲明”，明確其要求提供的個人識別資料包括姓名、性別、年齡、單位、電話、通信地址、住址、電子郵件等情況，并且列舉了具體的規(guī)則[14]。

未來應(yīng)進一步推動未成年讀者個人信息同意方與獲取方的充分協(xié)作，特別應(yīng)設(shè)立以下規(guī)則：一是充分告知規(guī)則，即獲取方應(yīng)對獲取、利用的未成年讀者個人信息范圍和去向進行充分告知，確保同意方能夠充分了解，并據(jù)此作出真實的意圖表示；二是平等溝通規(guī)則，獲取方應(yīng)當(dāng)提供平等、真實、全面的隱私聲明等文本，杜絕通過格式合同等方式強迫同意方作出選擇；三是及時通知規(guī)則，獲取方在存儲、利用未成年讀者個人信息過程中，除了需要遵守事前約定外，也需要將后續(xù)的處理步驟及時告知同意方。

5 構(gòu)建未成年讀者個人信息保護政策的實踐支撐

未成年讀者個人信息保護政策若要切實發(fā)揮作用，除了需要確立科學(xué)的內(nèi)容之外，也需要實踐的現(xiàn)實基礎(chǔ)，否則這些規(guī)則就難以發(fā)揮效果，未成年讀者個人信息安全也將成為空中樓閣。實踐中，以下幾個層面的支撐至關(guān)重要：

5.1 加強行業(yè)引導(dǎo)

這里具體指發(fā)揮圖書館、互聯(lián)網(wǎng)行業(yè)的積極作用。一方面，應(yīng)當(dāng)加強圖書館行業(yè)對于未成年讀者個人信息保護政策的引導(dǎo)。中國圖書館學(xué)會及其他圖書館界權(quán)威性協(xié)會組織可以發(fā)揮積極作用，基于政策條款、保護程序、保護工具、教程設(shè)置、活動開展等方面發(fā)揮作用，加強對于讀者信息隱私的保護。具體措施可包括宣傳信息隱私保護理念、監(jiān)督指導(dǎo)圖書館開展相關(guān)活動、提供輔助工具和資源、開設(shè)專門信息隱私課程、舉辦讀者信息隱私論壇等[15]。未成年讀者個人信息保護同樣可以從這些方面著眼，只不過還可將未成年讀者父母（或監(jiān)護人）納入視野。此外，行業(yè)標(biāo)準(zhǔn)的制定和實施也具有重要作用。2020年文化行業(yè)標(biāo)準(zhǔn)《公共圖書館讀者個人信息集》公開征求意見，其中4.2即為“未成年讀者個人基本信息”，并附有未成年讀者個人基本信息數(shù)據(jù)項列表[16]。這些行業(yè)標(biāo)準(zhǔn)的制定和實施對于推動未成年讀者個人信息保護政策實踐也具有十分重要的作用。另一方面，網(wǎng)絡(luò)行業(yè)規(guī)范網(wǎng)絡(luò)閱讀服務(wù)提供者的相關(guān)活動同樣具有重要意義。對此有觀點指出，可以通過評估不同場景下的要件來判斷信息流通是否合理，對于存在不合理的信息流通的網(wǎng)絡(luò)服務(wù)提供者不予頒發(fā)認(rèn)證標(biāo)志，在行業(yè)官網(wǎng)公示警告等[17]。對于向未成年讀者提供服務(wù)的網(wǎng)絡(luò)閱讀服務(wù)提供者，筆者認(rèn)為應(yīng)該在此基礎(chǔ)上設(shè)置更為嚴(yán)格的要求，督促其出臺、落實未成年讀者個人信息保護政策。

5.2 開展系統(tǒng)教育

構(gòu)建未成年讀者個人信息保護支撐體系，應(yīng)系統(tǒng)開展未成年讀者個人信息政策宣傳教育。未成年人要提高信息網(wǎng)絡(luò)安全意識，特別是自我保護意識，重視個人信息安全[18]。對于未成年讀者而言也是如此，圖書館應(yīng)當(dāng)致力于全面提升其認(rèn)識、了解讀者個人信息保護政策的能力，使其在達(dá)到14周歲、18周歲時都能事實上具有決定相應(yīng)個人信息的能力，從而為相關(guān)政策的實踐奠定最為關(guān)鍵的主體基礎(chǔ)。除圍繞《個人信息保護法》等規(guī)定內(nèi)容進行教育外，應(yīng)特別重視相關(guān)政策中以下幾個方面的內(nèi)容：一是個人信息的范圍、內(nèi)容、重要性。對于未成年讀者而言，姓名、出生日期、住址、電話號碼等個人信息較易于理解，但是諸如生物識別信息、行蹤信息則需要專門的學(xué)習(xí)。二是個人信息收集、獲取、利用的過程和影響。未成年讀者應(yīng)充分了解其個人信息如何被收集、獲取、利用，以及對于其生活的積極、消極影響，從而能夠充分權(quán)衡利弊。三是個人信息受侵害之后的救濟。即未成年讀者了解到其個人信息受到侵害時，該如何正當(dāng)、依法維護自身的信息權(quán)利。

5.3 探索規(guī)范流程

《個人信息保護法》第十四條規(guī)定：“基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出?！边@就要求未成年讀者個人信息政策的實踐流程更加規(guī)范、透明。公共圖書館與網(wǎng)絡(luò)閱讀服務(wù)提供者應(yīng)有效磋商，逐漸形成標(biāo)準(zhǔn)化的政策實踐流程，并且針對未成年讀者個人信息設(shè)置特別審慎的操作環(huán)節(jié)。前述浙江圖書館的實踐值得肯定，在其“隱私聲明”中，使用者非個人化信息、個人資料、信息安全、限制利用原則、個人資料之披露、Cookies、免責(zé)都得以闡明，內(nèi)容相對具體。但是該聲明仍然使用了“個人資料”而非個人信息的表述，也說明相關(guān)實踐尚不夠系統(tǒng)、成熟，未來應(yīng)廣泛推動各方主體積極參與，引導(dǎo)未成年讀者個人信息政策實踐流程不斷走向規(guī)范化。