侵犯讀者信息行為的刑法分層規制模式*

童云峰

技術化和信息化是現代圖書館的兩大側翼，圖書館在提供服務的過程中會保存讀者的個人資料、閱讀和瀏覽數據，為有效使用圖書館數字資源，讀者也不得不放棄諸多信息權益。技術發展也使讀者信息的范圍得以延展，Cookie技術和各類傳感器收集的數據都可能成為讀者信息，讀者有淪為“透明人”危險。盡管諸多圖書館聲明和承諾保護讀者個人信息和隱私，但仍無法扭轉讀者個人信息和隱私面臨的風險[1]。對此，各國法律均有響應，美國48個州和哥倫比亞特區均頒布圖書館隱私法規，夏威夷州和肯塔基州也以司法部長意見形式宣布保護關涉讀者隱私的信息[2]?！吨腥A人民共和國個人信息保護法》(以下簡稱《個保法》)嚴格設置保護各類個人信息的規則；《中華人民共和國公共圖書館法》(以下簡稱《公共圖書館法》)第43條則明確要求保護讀者個人信息、借閱信息和隱私信息。然而，我國法律并未明確上述三類讀者信息的關系，導致侵犯三類信息的行為，可能直接適用相同的罪名和法定刑，有違罪刑法定原則和罪刑相適應原則之嫌，可能會破壞讀者信息保護與利用的平衡關系，不利于圖書館數字化建設。由此引發多重思考：在讀者信息內部是否有必要按照重要性程度進行劃分？應當遵循何種劃分的理論依據？對重要性不同的讀者信息采用區分式刑法保護的根基何在？對不同類型的讀者信息應選擇何種刑法保護模式？本文以上述問題意識為中心，遵循教義學邏輯甄別讀者信息的領域分層化，并追溯其背后的法益根基，然后塑造相應的刑法規制模式，以促進讀者信息保護與利用的平衡。

1 理論與規范雙重視閾下讀者信息的分層化

在圖書館數字化場景下，讀者信息通常表現為讀者借閱卡信息、訪問圖書館的信息、面部信息、聯系方式、身份證號碼、閱讀偏好、登錄賬戶和密碼等，其中不乏讀者隱私信息、敏感信息和借閱信息。甄別讀者個人信息、借閱信息和隱私信息之間的關系是刑法周延涵攝和精確選擇規制模式的前提，實際上，三者對讀者的重要程度并不相同，刑法對其保護力度也應有所區別，才能兼顧信息的保護與利用。因此，亟需覓求劃分讀者信息的理論范式，并以此為據結合既有規范，對讀者信息進行科學分層。

1.1 讀者信息分層化的理論根基

《中華人民共和國民法典》(以下簡稱《民法典》)作為個人信息保護的基本法已對個人信息進行了多重區分，《個保法》作為個人信息保護的一般法也在個人信息內部進行類型區分，而《公共圖書館法》是讀者信息保護的專門法，其第43條已將讀者信息劃分為“讀者隱私信息”“讀者個人信息”“讀者借閱信息”，易言之，“讀者信息”是所有與讀者有關聯信息的總稱。然而，如何使基本法、一般法和專門法中的信息類型得以銜接是保護讀者信息亟需解決的問題。筆者認為，可以基于領域理論，將基本法與一般法嵌入專門法，將關涉讀者不同的信息依秘密性程度由高向低予以層級區分，繼而依次歸入三大領域。因此，下文將以領域理論為根基并協洽既有法律規范，闡述讀者信息的領域區分方案及其可行性，繼而實現讀者信息保護的前置法與刑法的有效溝通，為不同類型讀者信息選擇精細化的刑法保護模式。

1.2 核心層：讀者隱私信息屬于隱私領域

《民法典》第1032條將隱私的范圍限定為“私人生活”“私密空間”“私密活動”和“私密信息”，私密信息(即隱私信息)只是隱私的內容之一，只有當隱私以電子形式或其他形式記錄下來時，才能成為隱私信息。例如，自然人在家中暗設密室或穿著何種內衣等事實皆因未被特定形式記錄而只是隱私，但并非隱私信息。根據《民法典》第1034條第3款可知，個人信息與隱私是交叉關系，有的隱私屬于個人信息，有的隱私不是個人信息(如自然人的私密空間)；有的個人信息屬于隱私(如開房記錄)，有的個人信息不是隱私(如姓名和性別)[5]。因此，隱私無法包含公開的個人信息，個人信息亦無法囊括未形成記錄的隱私。二者的關系如同刑法理論上的交叉型法條競合關系(競合部分是隱私信息)，應遵循特別法(強勢的隱私權之規定)優于一般法的基本法理。

讀者隱私信息主要表現為讀者在圖書館領域內生成的私密性閱讀活動信息、檢索信息和文獻綜述信息等，是一種特殊的讀者個人信息。正因讀者隱私信息涉及隱私權(后文詳細闡論)，故應將其納入最核心層的隱私領域。讀者隱私權需要強化保護，因此非經讀者同意任何人不得獲取、干擾讀者隱私信息，圖書館原則上不能基于“公共利益目的”處理讀者隱私信息。對此，《民法典》第1033條也規定，對隱私的處理需要權利人的明確同意。應當明確，隱私權作為一項排他性的具體人格權，相較于個人信息的權益屬性，處于更高的保護位階，任何組織和個人都必須尊重隱私權，不得加以侵害或妨害。因此，圖書館處理讀者隱私信息除符合明示同意原則外，還應當契合正當目的原則和必要性原則，不得過度處理。對侵犯讀者隱私信息行為，不能單純以告知同意作為違法阻卻事由。

1.3 中間層：讀者個人信息屬于私人領域

讀者個人信息是從主體角度細分的個人信息類型之一，然而，關于個人信息范圍的界定，理論和規范上莫衷一是。一般認為，個人信息是指能夠直接或間接識別出特定個人的信息，我國不同規范對其范圍的劃定既有共性也有差別(見表1)。

表1 各規范對個人信息的定義

依表1可知，《網安法》《指南》規定的個人信息以具有身份識別性為前提，余下的規范只限定識別性但不限定身份性。隨著數字技術發展，若將公民個人信息限定為身份識別信息，會造成對行蹤軌跡等諸多信息保護的力有不逮，難以契合大數據時代的發展需求。實際上，《網安法》側重保護網絡空間的安全，強調網絡的實名制，故注重身份識別信息，但相較于基本法的《民法典》而言，《網安法》的法律位階居次。因此，從整體法秩序視角看，個人信息應被界定為可識別自然人的各種信息。所謂可識別性，即指通過信息可以知道信息主體為何人，是什么樣的人。包括直接識別和間接識別(結合識別)，直接識別是通過單一信息可以直接知曉信息主體是誰，是什么樣的人；而間接識別則是通過與其他少量信息的結合，簡單分析即可知曉信息主體為何人，是什么樣的人，例如，需要參考識別號碼或者特定的身體、生理、精神、經濟等與個人直接相關的因素[6]。如果需要通過其他大量信息并借助大數據挖掘技術深度分析方能識別信息主體的，則該信息不應歸入個人信息，否則會使個人信息的范圍無邊無垠，導致凡與自然人有關聯的信息皆為個人信息。

之所以要將讀者個人信息歸入中間層的私人領域，是考慮到兩層因素，一方面基于讀者個人信息的識別性，其涉及個人法益，收集利用需要讀者個人同意；另一方面，讀者個人信息作為圖書館數字化建設的基礎資源，會關涉到公共利益，當符合實現公共利益條件時，圖書館可以對其合理使用。

需要指出的是，讀者個人信息分為讀者敏感個人信息與讀者一般個人信息，除卻讀者敏感個人信息之外的讀者個人信息即為讀者一般個人信息，當前《個保法》第28條第1款已設置敏感個人信息的定義和范圍。場景理論的提倡者海倫·尼森鮑姆(Helen Nissenbaum)提出，在個人信息內部應區分敏感信息和非敏感信息，且這一劃分可能因場景不同而發生轉化，如人臉信息在線下收集可能是非敏感信息和公開信息，一旦轉為線上將可能成為敏感信息[7]。敏感信息與非敏感信息的區分標準是信息的敏感度，邊沁曾指出：“我們把一個人在一項既定效力的原因作用下，必然感覺到某一定量的苦樂的傾向，稱為敏感的程度或分量?！盵8]所謂敏感度是強調會對信息主體造成不良影響的可能性之高低，與一國的歷史文化背景休戚相關。《個保法》第28條強調，敏感個人信息一旦被非法利用將會對被害人的人身、財產等造成嚴重侵害，一般包括個人生物識別信息、銀行賬戶、兒童的個人信息等。有觀點認為，敏感個人信息應當限縮為個人敏感隱私信息[9]。亦即敏感信息是關涉個人隱私的核心領域，具有高度私密性，一旦公開將會對自然人產生重大影響[10]。概言之，這種觀點認為個人敏感信息屬于隱私信息。實際上，敏感信息并不取決于是否關涉隱私，而是關注信息可能帶來的不良影響，隱私信息則強調信息內容的私密性。二者并非種屬關系，至多具有交叉關系，有的敏感信息是隱私信息(如性取向信息)，有的敏感信息并非隱私信息，如兒童個人信息；有的隱私信息是敏感信息(如行蹤信息)，有的隱私信息并非敏感信息(如讀者的檢索記錄)。因此，隱私信息因私密性而具有固定性，而敏感信息則具有場景性，同一信息在不同場景下的敏感度可能會不同。

總之，讀者敏感個人信息與讀者一般個人信息皆屬于讀者個人信息范疇，讀者敏感個人信息與讀者隱私信息具有交叉關系，讀者敏感個人信息相較于讀者一般個人信息，保護方式需更細致，保護程度應更高。因此，國外有學者提出，圖書館工作人員在處理讀者敏感個人信息時，需揭示對敏感信息的特殊保護，不僅要遵守法律義務，更要遵守道德保密義務[11]。因此，讀者敏感個人信息與讀者一般個人信息雖均屬于私人領域，但刑法保護程度應有所區別。

1.4 最外層：非識別型借閱信息屬于社會領域

數字時代的讀者借閱信息是以數據形式記錄的讀者在借閱圖書資料或接受圖書館服務過程中產生的各種信息，如讀者借閱數據、瀏覽數據和閱讀偏好數據。應當看到，讀者借閱信息中的瀏覽記錄、閱讀偏好等諸多類型實為讀者“用戶畫像”。根據《規范》第3.8條規定，用戶畫像是收集、匯聚和分析個人信息，對自然人的特征進行分析或預測，以形成個人特征模型。以讀者的瀏覽記錄為例，若具有主體的人格特征，含有人格利益，滿足識別性特征，則應屬于個人信息[12]。根據表現理論(Darstellungstheorie)，個人參與社會生活的實質就是公開和使用個人信息以形成自己的社會形象(Soziale Profile)，以此為據參與社會交往[13]。諸多借閱信息可以反映讀者的個人形象，可以據此識別讀者。然而，并非所有借閱信息均有識別性。例如，在圖書館后臺可以查詢到特定時間內，讀者群體檢索關鍵詞的頻率、某書籍或文獻的下載頻次、自助服務電腦上匿名檢索記錄等，雖確知該類借閱信息來源于讀者，但無法識別出是何人[14]。因此，讀者借閱信息可劃分為“可識別型借閱信息”與“非識別型借閱信息”，前者因具有識別性，故已進入前述讀者個人信息范疇，即應歸入中間層的私人領域；而后者只是圖書館享有的普通數據，不涉及個人權益而具有公共性，圖書館可以自由使用，應當納入最外層的社會領域。

綜上所述，可以厘清讀者隱私信息、讀者個人信息與讀者借閱信息的層次遞進邏輯(見圖1)，并依次將其歸入相應的領域。

圖1 各類讀者信息的領域區分圖

2 法益識別：讀者信息刑法分層保護的依據

《中華人民共和國數據安全法》(以下簡稱《數據安全法》)第21條規定，國家建立數據分類分級保護制度?？梢姡瑢ψx者信息予以領域區分呼應了分級保護制度的要求，也是貫徹刑法罪刑相適應原則的要求。前文主要是提出對讀者信息進行領域區分的方案，但為什么能夠如此區分？仍需進一步論證，下文從法益視角探討前述領域區分的依據，并為后文刑法分層保護模式尋找著力點。實際上，之所以能夠對讀者信息進行領域區分，是因為不同領域的讀者信息背后的法益存有差別。

2.1 讀者隱私信息的法益為隱私權

隱私信息是隱私和個人信息的競合部分，根據《民法典》第1034條規定優先適用隱私權。應當注意，我國隱私權和美國隱私權存在明顯區別，我國隱私權作為具體人格權只保護自然人的私密空間、私密活動和私密信息，是狹義的隱私；而美國隱私權具有廣義性，甚至包含一般個人信息。隱私權濫觴于英國阿爾伯特親王訴斯特蘭奇案，進入法學視野是沃倫和布蘭代斯于1890年發表的經典論文《隱私權》，強調隱私權是保護個人情感免受不必要的公諸于眾之打擾。1977年美國聯邦最高法院在惠倫訴羅案(Whalen v.Roe)中系統闡述“信息性隱私權”，即自然人對個人信息的控制權，由此美國隱私權的保護范圍得以擴張，近年甚至轉為包含對數據控制的理論。我國采納個人信息隱私權說的學者皆受美國廣義隱私的影響，對本土的隱私缺乏認知。我國《民法典》采取個人信息與隱私二分立法模式，足以說明我國采用狹義隱私論，隱私信息是隱私和個人信息的重疊部分，且優先適用隱私權規則。因此，作為隱私信息類型之一的讀者隱私信息，背后的法益應是隱私權。

2.2 讀者個人信息的法益為一般人格權

讀者個人信息是依主體而分的公民個人信息類型之一，對公民個人信息法益屬性的界定，存在不同觀點，有學者統計出8種觀點[15]。也有學者將這8種觀點歸納為三大類型：人格利益說(隱私權或具體人格權)；個人信息權說；人格兼財產權說[16]。筆者認為可以從兩大層面概括上述關涉個人信息法益屬性的觀點，即私法法益觀和公法法益觀。

(1)私法法益觀。將個人信息背后的法益理解為個人私權利(或利益)，又可分為3種類型：一是人格權說。在人格權內部又可細分為多種觀點。首先，一般人格權說，個人信息不同于隱私等具體人格要素，只能歸入一般人格權[17]。其次，具體人格權說，其內部也存在兩種觀點，一則將個人信息解釋入傳統隱私權范疇，作為隱私權積極權能的體現[18]；二則將個人信息獨立成權，包括個人信息權說[19]和個人信息自決權說[20]。二是財產權說。個人信息財產權保護在美國較受歡迎，得到波斯納、萊斯格的支持[21]。三是人格財產復合說。主張在大數據時代，以數據為載體的個人信息既具有獨立的人格屬性也具有鮮明的財產屬性，呈現為“信息自決權”和“數據財產權”兩個面向[22]。

(2)公法法益觀。認為歐美個人信息保護均來源于憲法案例，美國通過一系列憲法案例不斷拓辟隱私權的保護范圍，美國的“憲法性信息隱私權”是從美國《聯邦憲法》第一、第三、第四及第五修正案推斷而來；而德國的信息自決權來源于1983年聯邦憲法法院的“人口普查案”，《歐洲基本權利憲章》亦直接規定個人信息保護，因此個人信息應是憲法人權的客體[23]。個人信息的法益觀不能局限于私法法益，否則會忽視其中的公共利益屬性，需要兼顧公法法益和私法法益[24]。

筆者認為，不應將私法法益和公法法益割裂看待，具有公法屬性并不能說明只能是公法權利。以財產權和繼承權為例，兩者是被憲法宣示要保護的權益，具有一定的公法根基和屬性，但毋庸置疑，財產權和繼承權是典型的私權利。同理，公民個人信息受到公法保護，具有公法屬性，但不能據此認為公民個人信息背后的法益只能是公法權利。應當明確，公民個人信息既受憲法、行政法和刑法等公法保護，也受以民法為代表的私法保護，是兼具公法和私法屬性的權益。同時，在私法內部個人信息的法益并不具有絕對性和唯一性，需要分層分析。

將個人信息獨立設權的觀點基本是受德國信息自決權影響，雖勾勒出這一具體人格權的輪廓，然而并不符合我國實際。首先，我國法律沒有個人信息權利的成文設置。與隱私權不同，《民法典》從來沒有關于“個人信息權”的表述，只強調個人信息應受保護，承認個人信息受法律保護并不意味著設立了個人信息權，更不會設立像所有權那樣的絕對權和支配權[25]。如同商業秘密，我國法律從未規定商業秘密權，只是通過反不正當競爭路徑將其視為利益加以保護，故普遍認為不存在商業秘密權，個人信息亦是如此。其次，個人信息自決權不利于信息的利用。個人信息自決權過于強調信息主體對信息利用的絕對同意權，忽視對信息合理利用的有效觀照。歐盟的《通用數據保護條例》正因過度強化信息自決，限制了數據有效流通，使歐洲至今尚無有影響力的互聯網(數據)企業而備受指摘。而我國不久前頒布《數據安全法》，旨在推進數據交易和構建數據交易市場，若我國也過度依賴信息自決勢必限縮數據的使用，與國家的頂層設計背道而馳。最后，為實現個人信息法益保護的周延性需采用一般人格權說。在當前技術霸凌時代，信息自決權不過是處于技術優勢的信息處理者隨意獲取數據的“遮羞布”，遮蔽了權利人毫無真實同意自由的現實。因此兼顧個人信息的利用與保護并非廢除同意原則，而是在同意之外增設更多的合理使用條件，增加處理者為合理使用所必須履行的義務。因此，個人信息的法益并非絕對的個人信息自決權，而是對信息主體人格尊嚴與自由的保護。正因個人信息具有可識別性，與個人人格直接勾連，保護個人信息旨在防止不當處理信息使人格利益被侵犯。只有將個人信息的法益界定為人格利益，才能在同意之外增加更多的合理使用規則。易言之，個人信息自決權排斥合理使用，但人格利益可基于公共利益而被限制。實際上，《民法典》未將個人信息納入具體人格權范疇，第990條第2款已以兜底條款的形式將個人信息歸入一般人格權。

總之，個人信息的法益為一般人格權，作為個人信息類型之一的讀者個人信息，其背后法益當然也應是一般人格權。

2.3 非識別型借閱信息的法益為數據權

信息與數據的關系如同文字與紙張一般，紙張有財產價值而文字是思想的反映并無直接的財產價值。讀者個人信息是公民的身份、行為等人格要素的反映，本身并無財產價值；其所謂的財產價值是讀者信息載體數據的價值，是數據處理者在加工和分析后才得以生成。因此，具有可識別性的讀者信息(如隱私信息、個人信息和可識別型借閱信息)反映了讀者的人格尊嚴，其背后法益為人格權(包括一般人格權和具體人格權)；而非識別型借閱信息是不具有可識別性的讀者信息，無法反映讀者人格，不能納入人格權范疇，但其作為一種數據，對圖書館、學校、企業、政府和社會公眾均有諸多益處，即具有獨立的數據價值。然而，當前在我國數據能否作為財產加以保護仍存在爭議。本文認為，數據并無現實的物質載體，只是存在于網絡空間中的抽象代碼或符號，與傳統財產存在明顯區別，為避免“數據財產說”陷入無謂的爭論，應當承認獨立的數據權，這一觀點實際上已被刑法認可，具體而言，對侵犯數據的犯罪，刑法并未通過盜竊罪、詐騙罪等財產犯罪加以規制，而是適用獨立的“非法獲取計算機信息系統數據罪”等數據犯罪。因此，獨立的數據權應當被認可。

非識別型借閱信息雖有信息之名，但并不具有識別性，只能歸入數據范疇，因此其背后的法益應是數據權。圖書館等數據處理者對合法獲取的非識別型借閱信息享有使用利益并可以交易，無需他人許可或授權，這也是《數據安全法》規制的重點。

一言以蔽之，讀者隱私信息背后法益為隱私權，以具體人格權的方式與刑法保護模式實現溝通；讀者個人信息(包括讀者敏感個人信息、讀者一般個人信息、讀者可識別型借閱信息)的法益為人格利益(一般人格權)，但因讀者敏感個人信息對讀者格外重要，需要刑法予以特殊保護；非識別型借閱信息并非讀者個人信息，屬于一般數據，需要刑法以保護數據的方式來保護圖書館的權益。

3 模式確立：讀者信息刑法分層保護的路徑

關于個人信息的刑法保護，有學者從法益視角總結了4種保護模式：經濟秩序保護模式、人格權保護模式、物權保護模式、公共秩序保護模式，對相關不法行為依次適用相應法益下的罪名[26]。這種觀點體現了對個人信息的刑法分層保護。筆者認為，基于前文對讀者信息的領域區分和法益識別，對讀者信息應當采用分層保護模式。

3.1 侵犯讀者隱私信息：適用人格權保護模式并從嚴保護

侵犯讀者隱私信息實際上侵犯了讀者的隱私權，為保護作為具體人格權的隱私權，應當適用人格權保護模式。應當注意，德國《刑法典》第203條專設“侵犯他人隱私罪”，日本《刑法典》分則第十三章專設“侵犯秘密罪”，即該兩國以專有罪名保護隱私信息。然而，我國并不存在保護隱私信息的專有罪名，因此在人格權之下，只能借助侵犯公民個人信息罪、侵犯通信自由罪等非專有罪名保護讀者隱私信息。

一方面，適用侵犯公民個人信息罪保護讀者隱私信息。盡管侵犯公民個人信息罪保護的法益在理論上仍存在爭議，但是，《中華人民共和國刑法》(以下簡稱《刑法》)將該罪設置在分則第四章“侵犯公民人身權利、民主權利罪”中，足以證明該罪主要保護的法益為人格權，可以將其歸入人格權保護模式。讀者隱私信息處于最核心層，相較于讀者個人信息應當受到刑法更嚴格的保護。對此，《刑案解釋》第5條也予以確認，并在第(一)項和第(三)項中為侵犯隱私信息設置了較低的入罪門檻，第(一)項規定，只要出售或提供的行蹤軌跡信息(隱私信息)被他人用于犯罪，則出售或提供就構成犯罪；第(三)項規定，非法獲取、出售或提供隱私信息的入罪數量為50條，相較于侵犯個人信息的入罪標準(500條或5，000條)，侵犯隱私信息的入罪標準更低，而量刑方面對侵犯讀者隱私信息行為的處罰應當重于同層次的侵犯讀者個人信息行為。據此可為讀者隱私信息提供更高級別的刑法保護，符合領域理論的要求。需要注意，經過讀者授權的隱私信息具有使用價值，故對讀者隱私信息的保護不應過度，為避免刑法對侵犯讀者隱私信息行為規制的過度化，需要對侵犯公民個人信息罪的出罪路徑予以貫通，以兼顧信息的保護與利用，對此后文將一并闡述。

另一方面，適用侵犯通信自由罪保護讀者隱私信息。侵犯通信自由罪強調規制隱匿、毀棄和非法開拆他人信件的行為，依據傳統理解該罪只能保護傳統紙質信件，但隨著網絡技術發展，紙質信件已逐漸被電子郵件取代，若仍堅持傳統解釋只會使該罪淪為廢罪，故應對信件進行客觀解釋以將該罪由傳統社會拉入網絡社會。因此，一旦圖書館非法獲取讀者在使用數字圖書館過程中的信件往來信息，繼而侵犯讀者隱私權的，則應當構成侵犯通信自由罪。侵犯通信自由罪并非身份犯，因此，若不法分子利用技術手段侵入圖書館系統，繼而獲取讀者往來信件中的隱私信息，亦可構成侵犯通信自由罪。

3.2 侵犯讀者個人信息：適用人格權保護模式并適度保護

讀者個人信息屬于公民個人信息，其背后的法益為一般人格權，對其保護最直接的罪名是侵犯公民個人信息罪，仍是一種人格權保護模式。然而，相較于讀者隱私信息，讀者個人信息處于中間層的私人領域，刑法對其保護的程度應當有所減弱，這是因為該類信息對圖書館數字化建設具有較大的促進作用，需要在保護與利用之間尋求平衡。同時，在讀者個人信息內部仍需進行輕重區分，繼而實現差別化保護。

(1)對讀者敏感個人信息需要強勢保護。讀者敏感個人信息雖處于私人領域，但基于其敏感性，一旦被侵犯會給讀者人身、財產安全帶來危害?！秱€保法》第28條第2款要求，只有在滿足特定目的、充分必要和嚴格保護的條件下，才能處理敏感個人信息。言下之意，對于敏感個人信息需要包含刑法在內的整體法提供更強勢的保護。對此，《刑案解釋》第5條第(四)項明確規定，侵犯他人健康生理信息等敏感信息500條以上將會構成犯罪，該標準低于侵犯一般個人信息的5，000條，體現了刑法對敏感個人信息的強勢保護。可見，刑法對讀者敏感個人信息的保護要強于讀者一般個人信息，但弱于讀者隱私信息，這恰是領域理論在刑法規范上的彰顯。

(2)對以可識別型借閱信息為代表的讀者一般個人信息需要恰當保護。讀者一般個人信息與讀者敏感個人信息相對應，不具有敏感性的讀者個人信息即為讀者一般個人信息。而借閱信息是圖書館領域特有的概念，其范圍較廣需要細化，包含隱私信息的借閱信息應當歸入讀者隱私信息；包含敏感個人信息的借閱信息應當歸入讀者敏感個人信息；而不具有可識別性的借閱信息應當歸入非識別型借閱信息(即為普通數據)。因此，此處討論的可識別型借閱信息只是讀者一般個人信息的類型之一，侵犯以此為代表的讀者一般個人信息，只有數量達到5，000條以上才可構成犯罪。

(3)對侵犯讀者個人信息行為的刑法規制應當適度。通過前文對侵犯讀者個人信息入罪標準的分析，給我們呈現的是一幅機械化的外觀圖，若對入罪標準僵化理解容易造成刑法規制過度化，繼而阻遏讀者個人信息的合理利用，可能不利于圖書館數字化建設。應當明確，刑法規制模式不僅包含入罪路徑也涵括出罪進路，因此，當運用侵犯公民個人信息罪規制侵犯讀者個人信息行為時，有必要對出罪路徑進行疏通以實現刑法規制適度化。首先，通過勘定侵犯公民個人信息罪的性質予以出罪。侵犯公民個人信息罪以“違反國家有關規定”為前置條件，這是一種典型的法定犯邏輯，根據《刑案解釋》第2條規定，其范圍包含法律、行政法規、部門規章。在德國和日本刑法體例上，法定犯被規定在附屬刑法中，法官只需在附屬刑法中尋找處罰依據即可。而我國采用統一刑法典模式，法官的目光需要往返于前置法和刑法典之間，才能實現準確定罪量刑。侵犯公民個人信息罪中“違反國家有關規定”的設置意味著不法行為在前置法中先被置于不法狀態，然后才能被刑法典評價。因此，法官在對侵犯讀者個人信息行為定性時，不能像處理自然犯那樣目光僅局限于刑法典視野下，而是要嚴格遵循二次違法性原理，只有在前置法和刑法典中均達到違法性程度，才能定罪量刑，否則只能出罪。厘清侵犯公民個人信息罪的性質，能夠堅守雙重違法性的限制，有利于貫通出罪路徑。其次，通過明確法益實害要件而出罪。通過前文分析可知，個人信息的法益為人格權，是個人私法益而非超個人法益，因此侵犯讀者個人信息行為必須給讀者人格權益造成實質侵害才應當入罪，單純侵犯讀者個人信息管理秩序等超個人法益尚不能入罪。例如，雖然圖書館非法獲取的讀者手機號碼數量符合入罪標準，但是經查證，這些手機號碼均是已經失效的號碼，即使曾經屬于讀者個人信息，但圖書館的非法處理也不會給讀者造成任何損害，僅僅違反了管理秩序，因無刑罰處罰必要性而應當出罪，但可以給予行政處罰。最后，通過責任要素闕如而出罪。在責任層面，侵犯公民個人信息罪不僅是典型的故意犯，還應當是目的犯，對此可從《刑法》第253條之一規定的“出售”中發現端倪，根據文理解釋可知，“出售”的本意便具有獲利目的，作為犯罪行為方式也就是具有獲取非法利益的目的。據此可見，侵犯公民個人信息罪應當是目的犯，要求行為人在實施“出售”“提供”“竊取”和“非法獲取”等行為時，主觀上應具有非法目的的責任要件，否則可因不齊備責任要素而出罪。例如，行為人雖然通過爬蟲技術侵入圖書館系統非法獲取了符合一定數量的讀者個人信息，但其并非以此為據獲取非法利益，而僅是為了驗證圖書館系統防護水平的“白帽子”行為，因未造成實害和不具有非法目的，無需作為犯罪處理。對此，《刑案解釋》第5條第(七)項也予以認可，即要求至少非法獲利5，000元以上方能入罪。上述對侵犯讀者個人信息行為入罪的限制，同樣適用前文侵犯讀者隱私信息構成侵犯公民個人信息罪的認定。

3.3 侵犯非識別型借閱信息：適用公共秩序保護模式并轉化保護

諸如讀者群體檢索關鍵詞的頻率、某期刊論文或研究報告的下載頻次等非識別型借閱信息，因無法識別特定讀者，已不能勾連讀者個人權益，無法納入讀者個人信息的保護范疇，但這類信息是在圖書館系統中生成或由圖書館加工而成，應當作為數據權利由圖書館享有。因此，刑法保護非識別型借閱信息并非保護讀者權益，而是在保護圖書館的數據權益，以促進圖書館數字化建設，保護對象由讀者轉移至圖書館，即為轉化保護。由于此時的非識別型借閱信息作為圖書館公共秩序利益而存在，故而應適用公共秩序保護模式，主要適用非法獲取計算機信息系統數據罪和破壞計算機信息系統罪等。

(1)非法獲取非識別型借閱信息構成非法獲取計算機信息系統數據罪。非識別型借閱信息作為數據由圖書館享有數據權利，數據權利并非財產權利而應當是獨立的新型權利，因此，侵犯數據權利的行為不能構成侵犯財產犯罪。根據《刑法》第285條第2款可知，當行為人違反國家規定，通過爬蟲等技術手段侵入圖書館信息系統非法獲取其中的非識別型借閱信息，應當構成非法獲取計算機信息系統數據罪。為了避免刑法適用的過度，應當對該罪的出罪路徑予以疏通。其一，對該罪“違反國家規定”的準確識別。該罪的“違反國家規定”比前述侵犯公民個人信息罪中的“違反國家有關規定”的范圍要窄，根據《刑法》第96條規定，前者只包含法律、行政法規級別的規范性文件，不包含后者中的部門規章，但是兩者均彰顯兩罪的法定犯屬性。因此，在認定侵犯非識別型借閱信息構成非法獲取計算機信息系統數據罪時，也需遵循雙重違法性原理，不僅要有刑法處罰依據，還要在作為前置法的法律和行政法規中，查詢到行為人究竟違反了哪條規定，且不能追溯至部門規章，如果查詢無果則不能入罪。其二，堅守實質可罰性立場。該罪的司法解釋已為入罪門檻設置了一定的數量標準，但機械化適用只會使刑法適用泛化，可能波及不具有法益侵害性的行為。例如，對于行為人通過非法手段獲取已經失效的非識別型借閱信息，因不具有法益侵害性，亦不該作為犯罪處理。上述兩項出罪的方案同樣適用下文的破壞計算機信息系統罪和非法侵入計算機信息系統罪。

(2)破壞了圖書館信息系統構成破壞計算機信息系統罪。如果行為人在通過技術手段侵入圖書館信息系統非法獲取非識別型借閱信息的過程中，有刪除、修改和干擾等破壞系統行為的，則構成破壞計算機信息系統罪，若同時構成非法獲取計算機信息系統數據罪，則屬于想象競合犯，擇一重罪認定。

(3)侵入特殊的圖書館信息系統構成非法侵入計算機信息系統罪。根據刑法規定，單純通過技術手段侵入普通系統，不獲取數據又不實施破壞行為，并不構成犯罪，根據《刑法》第285條第1款規定，只有侵入國家事務、國防建設等特殊系統才能構成犯罪。因此，當行為人本欲抓取非識別型借閱信息而侵入國家事務、國防事務或尖端科學的圖書館系統，即使未抓取到數據，亦應構成非法侵入計算機信息系統罪。

4 結語

21世紀新興數字技術革新了生活模式和社會條件[27]，在此數字時代圖書館儼然成為數據存儲和使用的中心。讀者信息已成為圖書館數字化建設的基礎資源，需要法律平衡讀者信息的保護與利用。通過領域區分可以得知，讀者隱私信息的法益為隱私權；讀者個人信息的法益兼具公法和私法屬性，應是作為一般人格權的人格利益；非識別型借閱信息的法益為數據權益。讀者隱私信息因以隱私權為底色，故應選擇人格權保護模式，適用侵犯公民個人信息罪和侵犯通信自由罪加以規制；讀者個人信息以一般人格權為血脈，亦應選擇人格權保護模式，適用侵犯公民個人信息罪予以規制，需要對其中的敏感信息和一般信息設置輕重有別的保護力度；處于最外層的讀者非識別型借閱信息，以普通數據為紋理，在刑法視閾內應選擇公共秩序保護模式，適用相關數據犯罪進行規制。為有效平衡讀者信息的保護與利用，應當對上述罪名的出罪路徑進行適度的貫通，以防止刑罰泛化而阻礙數據流通。