利益衡量視角下的讀者個人信息保護探究*
——基于《公共圖書館法》第43條

姜盼盼 （吉林大學法學院 吉林 長春 130012）

1 引 言

我國《公共圖書館法》第43條對讀者個人信息保護作出了專門規定，即公共圖書館應當妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息，不得出售或者以其他方式非法向他人提供。然而，第43條的規定過于抽象，對于其理解和適用還存在一定的解釋空間，不能有效地緩解現實中讀者個人信息的合理使用與讀者個人信息保護之間的利益沖突，難以在平衡個人利益和公共利益時發揮其應有的積極作用，因此，在利益衡量視角下探討讀者個人信息保護問題變得尤為重要。第43條的具體問題主要是：第一，如何理解第43條中的“應當”與“妥善保護”，其法律文本背后映射出來的法理是什么？第二，如何界定讀者個人信息的屬性？第三，如何框定讀者個人信息的范圍以及如何界分讀者個人信息與讀者隱私？第四，如何認定“出售”與“提供”的內涵以及如何把握“以其他方式非法向他人提供”中的“非法”判斷標準。本文立足于對《公共圖書館法》第43條讀者個人信息保護條文的解釋展開，試圖在利益衡量視角下對第43條讀者個人信息保護制度的理解和適用提出自己的見解。

2 《公共圖書館法》第43條的利益衡量檢討

2.1 “應當”與“妥善保護”的背后法理：人格利益與信息自由之間的衡量

讀者個人信息保護旨在維護讀者的人格尊嚴，信息自由則有助于增加社會公正的透明，正是人格利益與信息自由背后的價值沖突引發兩者在實證中的對峙，也使得制度安排陷入利益取向的尷尬境地[1]。

2.1.1 讀者個人信息保護的法理基礎是人格利益

從《民法總則》第109條“自然人的人身自由、人格尊嚴受法律保護”、第111條“自然人的個人信息受法律保護”以及第113條“民事主體的財產權利受法律平等保護”的規定可以看出，個人信息保護的法理基礎主要是人格利益，兼顧保護其財產利益[2]。個人信息具有主體的人格特征，在價值維度中，人格利益是個人信息的本質屬性，財產利益則是具有商業化的形式屬性[3]。讀者個人信息保護是圖書館核心價值的體現，國際圖聯對圖書館核心價值的解釋是尊重讀者的人格和個性[4]。同樣，我國《公共圖書館法》第43條將尊重讀者的人格利益以立法的形式固定下來，以實現讀者的人格價值[5]。有學者對《民法總則》第111條的個人信息解讀為自然人享有的具體人格權，即個人信息權[6]，從權利的角度強調法律保護個人信息的人格利益，權利的核心就是利益，也是讀者個人信息權利的客體。

2.1.2 信息自由是圖書館價值的核心概念

圖書館的信息自由內涵，在這里專指圖書館員在從事服務管理活動中對讀者的個人信息進行自由收集和傳輸的權利[7]，主要包括兩個方面內容：其一，圖書館與讀者進行聯系的紐帶是其對讀者個人信息的收集與傳輸，比如說讀者的借閱次數、下載次數、用書偏好、利用文獻的情況以及利用圖書館服務設施的情況等，這些都是讀者個人使用圖書館后留下來的記錄，這些記錄最真實、最客觀地反映了讀者利用圖書館資源的情況，圖書館利用讀者的記錄改進基礎業務工作，因此，收集與傳輸的讀者個人信息是圖書館與讀者進行聯系的重要途徑；其二，讀者應當將屬于自己的個人信息部分讓渡給圖書館，以實現圖書館公共服務的價值，圖書館有義務管理讀者的個人信息，并利用這些個人信息提升圖書館公共服務職能，促進圖書館建設的發展。利用讀者個人信息是圖書館開展基礎工作的前提，圖書館開展個性化服務的前提就是合理利用讀者個人信息，讀者個人信息的保護和利用是實現圖書館核心價值的需要。

2.1.3 讀者的人格利益與圖書館的信息自由應處于均衡狀態

尊重讀者的人格利益是讀者個人信息保護的第一價值維度，保護與利用讀者個人信息是讀者個人信息保護的第二價值維度[8]，兩者正好處于價值沖突的對峙狀態：尊重讀者的人格利益，就要防止讀者個人信息被不當獲取與傳輸；在尊重讀者人格利益的界標內主張對讀者個人信息加以合理使用。這種人格利益與信息自由之間的價值沖突具體表現在：圖書館基礎服務工作與讀者個人信息的沖突，如圖書館為了提高服務工作研究讀者的閱讀習慣、借閱記錄、政治傾向等其他讀者個人信息，這樣無形之中會侵犯到讀者的隱私；新技術系統在圖書館中的應用也存在著侵犯讀者個人信息以及隱私的風險，如借鑒美國圖書館的做法，將無線射頻技術（Radio Frequency Identification,簡稱RFID）應用到圖書館引發的“微監控效應”，讀者的身份識別信息、借閱信息以及地理位置信息等可能會受到威脅[9]；虛擬化服務如網上預借服務、網上續借服務、數據庫服務以及咨詢服務等也存在讀者個人信息被侵犯的風險，如圖書館網站管理員利用“Cookie”技術獲取讀者的瀏覽記錄、下載記錄等讀者個信息。因此，在讀者個人信息保護的立法過程中應當平衡兩者的利益，使得人格利益與信息自由處于均衡狀態，擺脫制度安排陷入利益取向的尷尬境地。

2.1.4 利益衡量視角下的內部調適和制度安排

鑒于讀者個人信息保護存在著人格利益與信息自由的利益沖突，有必要在利益衡量視角下對其做出適當的內部調適和制度安排。我國《公共圖書館法》第43條對于讀者個人信息之保護使用的法律用語是“應當”與“妥善保護”，所謂“應當”是一種義務性規定，強調的是圖書館對讀者個人信息保護的義務。圖書館對讀者個人信息的保護，體現的是圖書館對個人利益的保護，關于個人利益的保護方法，美國法學家龐德認為，保護個人利益的方法首先必須確定誰的利益應被認可和保護[10]，言外之意，法律保護個人利益的前提就是要確認權利，同樣，對于讀者個人信息的保護，首先就是要確認讀者的個人信息權，由于對于個人信息的屬性在理論界還沒有達成共識，加之我國立法對于個人信息權還沒有明確的規定，因此，只能通過規范義務主體的行為實現保護讀者個人信息的合理預期[11]。換句話說，個人信息權益保護的模式不是通過權利化模式，而采取的是行為規制模式?！豆矆D書館法》第50條、第54條的規定體現了該義務的性質，如第50條“公共圖書館及其工作人員有下列行為之一的，由文化主管部門責令改正，沒收違法所得......”以及第54條“違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任”的規定，從法律責任的規定可以看出，圖書館對讀者個人信息保護義務的法律責任是行政責任與刑事責任。這種法定義務的基本行為模式是圖書館應當采取措施保護讀者個人信息，并用“妥善保護”法律用語對讀者個人信息保護義務進行限制，即圖書館對讀者個人信息的全面保護義務并非單純處于被動狀態，圖書館可以基于公共利益對讀者個人信息加以利用。綜上分析，《公共圖書館法》第43條的“應當”強調了圖書館保護讀者個人信息的法定義務，旨在尊重讀者的人格利益，“妥善保護”體現了圖書館有限制地使用讀者個人信息改進基礎服務的權利，旨在維護圖書館的信息自由，這樣的內部調適和制度安排，既放大了讀者個人信息的權利，又限縮了圖書館自由使用讀者個人信息的權利。因此，“應當”與“妥善保護”的背后法理是人格利益與信息自由之間的衡量。

2.2 讀者個人信息的屬性：兼具公共利益和私人利益屬性

2.2.1 跳出框架：超越個人信息私人利益屬性的單一理解

如何界定讀者個人信息的屬性，這直接關涉到能不能對讀者個人信息作出私有化的理解，如果孤立、狹義地理解讀者個人信息，將其與大數據時代的浪潮割裂，靜態地定義其私有人格權或財產權屬性，那么，容易將讀者的個人信息利益無限膨脹，而犧牲公共利益的追求。但是，如果單純談論讀者信息利益的傷害或者傷害風險，而沒有把讀者信息保護利益作為論述基礎，則容易在追求公共利益的名義之下，掩蓋了讀者信息利益傷害的形成可能，使得讀者個人信息保護淪為公共利益追求下的犧牲品，因此，需要對讀者的個人信息屬性做出合理的解釋，讀者個人信息的屬性討論本質上就是對個人信息的屬性進行探討。

傳統意義上對個人信息屬性的討論，是在私人利益的屬性下展開的，始終沒有跳出私人利益屬性的框架?！睹穹倓t》第111條“自然人的個人信息受法律保護”的規定，僅僅是一個宣示性的規定，立法機關對個人信息屬性的態度仍舊不夠明晰，有所缺憾，在理論界大致存在著所有權客體說、隱私權客體說、基本人權客體說、人格權客體說等個人屬性的學說劃分，大多數學者都對個人信息具有人格利益與財產利益的雙重屬性形成了共識[12]。但是，對于個人屬性的理解，不能僅僅局限于私人利益的屬性，而忽略大數據時代個人信息的公共利益屬性，個人信息的屬性具有兩面性：個人信息的保護強調的是私人利益的屬性，個人信息的利用強調的是公共利益的屬性，個人信息保護應從個人控制走向社會控制[13]。

2.2.2 角色嬗變：私人利益的退卻與公共利益的顯現

在傳統意義上，個人信息保護的是個人的人格權，以保護私人利益為主導。隨著大數據時代的到來，個人信息所保護的法益也隨之發生改變。大數據作為一種信息資產，具有4個特征（簡稱4個V）：數據量大（Volume）、數據種類多樣化（Variety）、價值密度低（Value）與數據處理速度快（Velocity）[14]。公共圖書館也是大數據的產生渠道，比如說讀者借閱量的數據、RFID數據、網絡交互數據、傳感器數據等，這給圖書館對讀者的服務方式帶來了變革：根據讀者借閱量的數據分析讀者的需求；從圖書館的結構化或者非結構化數據資源中構建智能化知識服務；根據讀者需求的數據量建立知識服務導航機制[15]。讀者的個人信息構成了圖書館大數據的一部分，被廣泛應用到個性化信息服務中，所謂個性化信息服務，是指圖書館根據讀者的閱讀興趣、閱讀習慣、服務需求等數據資源，改善現有的服務方式，為讀者提供精準的專業化服務[16]。當然，在數據收集、存儲、挖掘與傳輸等環節中，讀者處于被動狀態，在某些情況下可能會被侵犯到私人利益，比如說，讀者數據的非授權訪問與收集、信息載體的泄露等。在這種情況下，讀者的角色發生了由信息主體到信息客體的變化。

由信息主體到信息客體的這種角色嬗變，超越了對于讀者個人信息私人屬性的單一理解，而將目光由私人利益轉移到公共利益上面來。圖書館之所以收集、挖掘讀者的個人信息，就是為了滿足讀者的實際需求，提供更專一的知識服務。讀者個人信息在未知的情形下在網絡空間中不斷地進行自動聯系，以滿足圖書館追求公共利益的需求，因此，對于讀者個人信息的屬性理解，不應僅僅局限于美國法中的隱私權概念和德國法中的個人信息自決權概念這樣的框架，應從歐盟《一般數據保護條例》及美國《消費者隱私權法案》等相關立法闡述的本意來看，更多的是強調對數據企業的信息行為進行法律規制，突破了原有對個人信息私人利益的單一解釋，大數據時代下讀者的私人利益，正逐漸被大數據技術產生的公共利益擴張所排擠，并退縮到敏感個人信息的狹小領域。因此，以讀者個人信息為基礎的大數據以及派生出來的信息資產，已經成為現有法律真正規制的重點，由此產生的讀者信息修改權、讀者信息被遺忘權應該備受重視，這些權利的實現離不開圖書館的行為，讀者不再享有個人信息的全部利益，信息保護與信息自由要保持平衡，應將以讀者私人利益為中心的目光轉移到圖書館的處理讀者數據的行為正當性和公共利益的需求上面來。

2.3 從抽象到具體：讀者個人信息范圍的利益衡量與制度安排

《公共圖書館法》第43條規定保護讀者信息的范圍是讀者個人信息、借閱信息以及其他可能涉及讀者隱私的信息，該規定過于碎片化。由于術語過于抽象，不夠具體，宣示性規定只是流于形式，不具有可操作性，無疑給實踐中的法律適用帶來一定的困難，應當在《公共圖書館法》的附錄中將具體術語加以明確。讀者個人信息的范圍與利益衡量有著密切的關系，讀者個人信息保護牽涉的是讀者的私人利益，而讀者個人信息利用牽涉的是圖書館的公共利益，因此，只有將讀者個人信息的范圍明確化，才能有針對性地保護讀者的私人利益，也能明晰圖書館保護讀者個人信息的程度，因此，需要對讀者個人信息范圍進行利益再衡量以做出合理的制度安排。

2.3.1 立法碎片化：讀者個人信息范圍援引依據的不確定性

《公共圖書館法》第43條沒有明確讀者個人信息范圍，需要援引有關個人信息保護的法律法規、部門規章和其他規定，但由于目前還沒有統一的個人信息保護法，加之個人信息保護的立法碎片化，導致讀者個人信息范圍援引依據的不確定性。而學界對個人信息范圍的界定，都提出了自己不同的看法，如從個人信息定義的模式看，結合“隱私型、關聯型、識別型”3種定義模式來談個人信息的范圍[17]，最終得出學界達成共識的“識別型”結論，即只要是已經被識別或者可以被識別的自然人的信息都屬于個人信息的范圍；從個人信息定義的具體表現形式看，結合“單純定義、單純定義加列舉”定義的表現形式來談個人信息的范圍[18]，最終認為個人信息的范圍界定僅僅考慮動態性和場景性是完全不夠的，還要對個人信息的權利進行確權，然后通過事前同意、事中評估和事后個案認定機制對個人信息的范圍進行框定；從個人信息的類型看，結合“敏感個人信息、非敏感個人信息”兩種類型來談個人信息的范圍[19]，最終還是得出“識別型”的唯一確定標準。概言之，理論界對于個人信息范圍的界定主要集中在抽象層面和具體層面，所謂抽象層面，就是給個人信息的范圍一個界定標準，比如說“直接識別型、間接識別型”的識別標準；所謂具體層面，即前提是給出一個抽象標準，然后通過列舉的方式界定個人信息的范圍。

學界對個人信息范圍的爭議源于立法的碎片化，從宏觀上看，個人信息的范圍界定是一個從抽象到具體的認識過程，具體如下：其一，抽象層面。例如，我國《憲法》第38條“中華人民共和國公民的人格尊嚴不受侵犯”的規定與第40條“中華人民共和國公民的通信自由和通信秘密受法律的保護”的規定，我國《刑法》第219條對商業秘密的定義①、我國《電子簽名法》第2條對電子簽名、數據電文的定義②，《關于加強網絡信息保護的決定》第1條“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”的規定以及《信息安全技術公共及商用服務信息系統個人信息保護指南》第3.2“可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據”的規定等，透過這些規定，都體現了對于個人信息范圍的界定都停留在抽象層面，有的過于原則，有的則只確立了一個個人信息識別的規定。其二，具體層面。例如，我國《網絡安全法》第76條“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”的規定，《電信和互聯網用戶個人信息保護規定》第4條關于用戶個人信息的規定③以及《信息安全技術 個人信息安全規范》第3.1、第3.2通過定義加列舉的方式對于個人信息和個人敏感信息范圍的規定等。這些規定相比于單純地給個人信息界定范圍、確定標準更加具體，在實踐中具有可操作性，同時，這也有利于《公共圖書館法》第43條讀者個人信息范圍的界定。由于個人信息范圍界定的立法碎片化，在界定讀者個人信息范圍時到底采用抽象層面還是具體層面，有著適用的不確定性，客觀上會給圖書館的管理與服務工作帶來一定的難度，既不能完全以讀者的私人利益為主，又不能犧牲圖書館的公共利益阻滯其信息服務新技術在圖書館建設中的應用，做出合理的制度安排已迫在眉睫。

2.3.2 關聯性與差異性：個人信息、借閱信息與隱私信息的規定探討

《公共圖書館法》第43條規定的讀者信息分別是個人信息、借閱信息與隱私信息，立法者對三者的態度是承認它們具有差異性，但忽略了三者的關聯性。

首先，這里的關聯性，是指借閱信息與個人信息是具有關聯性的，借閱信息屬于讀者個人信息的范疇，沒有必要再列出來放入第43條的規定中。所謂借閱信息，是指讀者在圖書館發生借閱行為時所產生的個人信息，包括讀者在借書卡上填寫的信息（包括姓名、聯系方式、身份證號碼等）、閱讀興趣（如圖書偏好等）、借閱記錄（包括借閱次數、借閱時間等）以及網絡賬號密碼（包括IP地址、設備ID信息以及Cookie信息）等；所謂讀者個人信息，就是傳統意義上的個人信息，是指一切可以識別（包括直接識別和間接識別）讀者本人信息的總和[20]。讀者的借閱信息是讀者身份直接被識別或者結合其他信息間接識別讀者身份的任何信息，由于讀者借閱信息與個人信息有這種在識別上的關聯性，因此，讀者的借閱信息屬于讀者個人信息的范疇，第43條無需對借閱信息作出規定。

其次，這里的差異性，是指讀者個人信息與讀者隱私信息是具有差異性的。我國立法者對這兩者的概念是區分開來的，從《關于加強網絡信息保護的決定》第1條“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”的規定、《民法總則》第110條對隱私權保護的規定以及第111條“自然人的個人信息受法律保護”的規定等來看，立法者的態度是認可個人信息與隱私信息是有界分的，但是對兩者的界定標準立法者卻沒有給出一個明確的答案。關于兩者的界分之爭，在學界已討論很久，例如，王利明教授認為，個人信息作為一種民事權利，與隱私權是有關聯和區別的，以權利主體（都僅限于自然人）、信息自決性、客體交錯性以及侵害后果的競合性作為兩者關聯性的論述基礎，以權利屬性、權利客體、權利內容以及保護方式作為兩者界分的論述基礎，最終認為，個人信息不能等同于個人隱私[21]。還有人提出“個人信息不是隱私”的論斷，認為個人信息與隱私在外延、主要價值以及侵害行為等方面是有區別的[22]。另外，有人在探討個人信息的保護機制時，將隱私權排除在規制的客體之外[23]。國外對于隱私權和個人信息權的保護，也有所不同，美國主要采取的是隱私權保護模式，以隱私權為基礎構建一整套的保護制度，而歐盟主要側重的是個人信息的保護，將個人信息視為人格權的延伸[24]。因此，對于個人信息的概念，雖然立法規定不同，但至少有援引的法律依據，而對于隱私的概念，立法者態度不明確。因此，在實踐中應建立一定的判斷標準，首先肯定《公共圖書館法》第43條認可將讀者個人信息與讀者隱私信息的界分的意義，然后在考量讀者個人信息時，堅持以“關聯性或識別性”作為判斷個人信息的基礎，在把握讀者隱私信息時，堅持以“是否影響讀者的私生活安寧與私生活秘密”作為判斷個人隱私傷害風險的原則[25]，比如說，圖書館在流通服務中可能侵犯到讀者的隱私，具體表現在：讀者活動的隱私，是一種讀者本人在不受監控的情況下，自由利用圖書館資源的情形；讀者信息的隱私，是一種讀者在圖書館在利用圖書館資源和享受圖書館服務時所產生的隱私；在個性化服務中產生的讀者隱私以及流通咨詢所涉及的讀者隱私（如心理咨詢、醫療咨詢等）[26]，這些讀者隱私都具有私密性的成分，一旦受到侵犯，就會影響到讀者的私生活安寧與私生活秘密。

2.3.3 讀者信息范圍的界定：利益衡量視角下的制度安排

讀者信息范圍的界定，事關讀者的私人利益與圖書館的公共利益平衡，因此，需要對《公共圖書館法》第43條的讀者信息范圍作出合理的制度安排：第一，取消借閱信息的規定，將借閱信息納入到讀者個人信息的范疇。讀者個人信息，通常是通過關聯性、直接識別或者間接識別就可以確定讀者身份的信息，而借閱信息，是通過讀者的借閱行為識別出來的個人信息，因此，立法上沒有必要將借閱信息與讀者個人信息并列出來，借閱信息也是讀者個人信息的一部分。第二，根據《信息安全技術 個人信息安全規范》對個人信息的分類，可以將讀者信息分為個人信息或者個人敏感信息，這樣會規避抽象的隱私概念難以理解的問題，既從法律上有依據，又具有可操作性。有關個人信息或者個人敏感信息的定義和具體內容可以參照《信息安全技術 個人信息安全規范》的規定④。第三，在《公共圖書館法》的附則中明確讀者個人信息、讀者隱私信息等術語的定義，并通過列舉的方式加以具體化，又或者明確讀者信息范圍援引的具體法律依據有哪些；明確公共圖書館應當妥善保護讀者信息的具體行為規范，形成一個具體的指引，比如說保護讀者信息的例外原則、保護讀者信息的具體流程等。

2.4 “不得出售或者以其他方式非法向他人提供”的條文釋義

《公共圖書館法》第50條、第54條對違反保護讀者信息保護義務所承擔的法律責任做出了明確的規定，一個是行政責任，即由文化主管部門責令改正，沒收違法所得；一個是刑事責任，即構成犯罪的，依法追究刑事責任。然而，對于“不得出售或者以其他方式非法向他人提供”的條文理解和適用，還需要參考《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）、《網絡安全法》《信息安全技術 個人信息安全規范》以及《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（以下簡稱《規定》）的具體規定。

第一，“出售”與“提供”的理解。這里的“出售”是指圖書館單位或者個人以經濟利益為目的，以金錢或者實物作價，將掌握的讀者個人信息銷售給他人(包括個人或單位）的行為。對于“出售”行為的理解，沒有理解和適用上的疑問。但是對于“提供”的理解，《解釋》第3條有了明確的規定⑤，向特定人提供公民個人信息，屬于“提供”公民個人信息，對此不存在疑義。但是，對于通過網絡途徑或者其他途徑散發公民個人信息，存在不同認識，因為通過網絡途徑或者其他途徑散發公民個人信息，針對的對象是不特定的多數人，向特定的人提供公民個人信息的行為屬于“提供”，根據“舉輕明重”的法理，這種針對不特定的多數人依然被認定為“提供”。另外，合法收集公民個人信息后非法提供的認定，根據《網絡安全法》的規定，經被收集者同意，以及做匿名化處理，是合法提供公民個人信息的兩種情形?；诖?，按照《解釋》的規定：“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第253條之一規定的‘提供公民個人信息’，但是經過處理無法識別特定個人且不能復原的除外?！币虼?，針對《公共圖書館法》第43條中的“提供”的理解是：圖書館單位或者個人向特定人或者通過信息網絡途徑等其他途徑散發讀者信息的行為，抑或是未經讀者同意，將合法收集的讀者信息向他人提供的行為，這里的他人包括單位和個人，都應該被認定為“提供”的行為。通過利益識別，讀者作為信息主體，其個人信息有被保護的需求，而圖書館作為信息從業者，有對讀者信息利用的需求，因此，合理地認定“出售”與“提供”行為，影響著讀者信息的保護與利用的利益平衡。

第二，“以其他方式非法向他人提供”中的“非法”判斷標準?！缎谭ā返?53條之一的規定關于“非法”的判斷是以“違反國家有關規定”為前提，特別是判斷“提供”的行為是否“非法”，不能僅僅以是否經過權利人同意作為判斷標準，而是應當以國家有關規定作為判斷標準[27]148-149?！督忉尅返?條規定：違反法律、行政法規、部門規章有關公民個人信息保護的規定的，應當認定為刑法第253條之一規定的“違反國家有關規定”，根據《解釋》第2條的規定，將“國家有關規定”的涵義明確限于法律、行政法規、部門規章等國家層面的規定，不包括地方性法規、部門規范性文件、國家標準等其他有關規定?！督忉尅返?條將信息控制者違反法律、行政法規、部分規章的有關規定向他人提供公民個人信息，情節嚴重的或者情節特別嚴重的，包括將在履行職責或者提供服務過程中獲得的公民個人信息提供給他人的，納入到刑事規制的范圍。如果信息控制者違反地方性法規、部門規范性文件、國家標準等國家有關規定，同樣其應承擔相應的法律責任。另外，為了國家利益、社會公共利益等向有關國家部門、有關單位提供個人信息的，雖未經權利人同意，但符合相關法律的規定，屬于合法提供。根據《信息安全技術 個人信息安全規范》第5.4（j）的規定，“個人信息控制者為學術研究機構，出于公共利益開展統計或學術研究所必要，且其對外提供學術研究或描述的結果時，對結果中所包含的個人信息進行去標識化處理的”情形屬于征得授權同意的例外，也就是說個人信息控制者收集、使用個人信息無需征得個人信息主體的授權同意。再看《規定》第12條，“學校、科研機構等基于公共利益為學術研究或者統計的目的，經自然人書面同意，且公開的方式不足以識別特定自然人”的情形，網絡用戶或者網絡服務提供者利用公民個人信息，不承擔侵權責任。按照《信息安全技術 個人信息安全規范》第5.4（j）和《規定》第12條的應有之義，如果公共圖書館按照國家有關規定向相關學術研究機構（如高校）提供讀者個人信息（主要是借閱信息等）進行分析挖掘，那么，公共圖書館基于此目的利用讀者個人信息的行為是符合法律規定的，這種讀者個人信息的利用方式在實際中更有可能出現，應屬于“為了國家利益、社會公共利益等向有關國家部門、有關單位提供個人信息的，雖未經權利人同意，但符合相關法律的規定”的合法提供類型。

第三，在大數據時代下，基于大數據的整合需求，《網絡安全法》第44條“不得非法出售或者非法向他人提供個人信息”的規定，在立法層面為個人信息的交易留有一定空間，即既允許合法提供公民個人信息，又允許合法出售和交易公民個人信息，但是《關于加強網絡信息保護的決定》第1條第2款“不得出售或者非法向他人提供公民個人電子信息”的規定，出售公民個人信息屬于禁止的范疇，不存在合法交易的空間。在大數據時代下，法律允許合法提供公民個人信息的交易空間，不允許出售公民個人信息的交易行為。因此，《公共圖書館法》第43條中的出售行為是法律禁止的行為，只要圖書館單位或者個人實施了出售讀者信息的行為，就是法律所不允許的行為，應當承擔行政責任或者刑事責任，但是圖書館單位或者個人如果是基于維護國家利益、社會公共利益的需要，提供讀者信息的行為，即使未經讀者的同意，也應當認定為合法的提供行為，這也是利益衡量的結果?？傊?，關于“以其他方式非法向他人提供”中的“非法”判斷標準，堅持客觀判斷的標準，即“違反國家有關規定”，這樣的判斷標準對于個人信息的保護全面化，也符合個人信息保護由個人控制到社會控制的變化趨勢。

3 結 語

《公共圖書館法》第43條對于讀者個人信息保護的規定，充分體現了讀者個人信息保護和利用的利益衡量，本質上是讀者的人格利益與圖書館的信息自由的衡量，這樣的衡量在新技術應用到圖書館資源建設和服務建設所發揮的作用顯得彌足珍貴。踏著利益的足跡，對于讀者個人信息保護，應采用“雙管齊下”的策略，不僅在立法層面對讀者個人信息保護作出具體的規定，同時也應合理地理解和適用該規定，這是核心；在實踐層面，讀者應提高個人信息的自我保護意識，圖書館應建立完善的隱私保護政策，圖書館員應認真履行讀者個人信息的保護義務，同時發揮新技術措施在保護讀者個人信息的功能，建立相應的信息保護監督機制和信息風險評估機制。

注 釋：

①《刑法》第219條對商業秘密的定義：“本條所稱商業秘密，是指不為公眾所知悉，能為權利人帶來經濟利益，具有實用性并經權利人采取保密措施的技術信息和經營信息?！?/p>

② 《電子簽名法》第2條對電子簽名的定義：“本法所稱的電子簽名，是指數據電文中以電子形式所包含、所附用于識別簽名人身份并標明簽名人認可其中內容的數據”；第2條對“數據電文”的定義：“本法所稱的數據電文，是指以電子、光學、磁或者類似手段生成、發送、接收或者儲存的信息?！?/p>

③《電信和互聯網用戶個人信息保護規定》第4條關于用戶個人信息的規定：“本規定所稱用戶個人信息，是指電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息?！?/p>

④《信息安全技術 個人信息安全規范》第3.1規定：個人信息（personal information） 以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注 1：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。注 2：關于個人信息的范圍和類型可參見附錄 A。

第 3.2 規定：個人敏感信息（personal sensitive information） 一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。注 1：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下（含）兒童的個人信息等。注 2：關于個人敏感信息的范圍和類型可參見附錄 B。

⑤《解釋》第3條規定：向特定人提供公民個人信息，以及通過信息網絡或者其他途徑發布公民個人信息的，應當認定為刑法第二百五十三條之一規定的“提供公民個人信息”。

未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的“提供公民個人信息”，但是經過處理無法識別特定個人且不能復原的除外。