數字圖書館用戶信息隱私的安全威脅分析

◆張萬里

?

數字圖書館用戶信息隱私的安全威脅分析

◆張萬里

（太原師范學院圖書館 山西 030031）

隨著數字圖書館的廣泛應用，用戶的信息隱私面臨著來自不同環節的安全威脅。本文即從用戶信息隱私的內容入手，對隱私權的內涵和國內外法律政策進行解讀，分析了信息隱私面臨的安全威脅內容，從立法規制、圖書館自律機制和用戶隱私意識幾方面闡述了隱私保護對策。

數字圖書館；用戶信息隱私；安全威脅

1 數字圖書館用戶信息隱私概述

1.1用戶隱私權的內涵

隱私是有關個人生活領域的、一切不愿為人所知的事情。隱私權則是指自然人享有的對自己的個人秘密和個人私生活進行支配并排除他人干涉的一種人格權。隱私權包括個人活動自由權、個人信息保密權、以及個人隱私使用權。

對于數字圖書館的用戶信息隱私和隱私權，國內外的專家學者存在不同的概念認定，總體來看，我國圖書館界的學者基本認為，圖書館中用戶信息隱私指的是圖書館的服務對象在利用圖書館的信息資源與服務設施時，享有的用戶活動和用戶信息的隱私。圖書館隱私權的主體是用戶，具有隱秘性，且必須合乎法律、政治及公序良俗，保護范圍受到公共利益限制。

1.2數字圖書館用戶信息隱私權內容

由于學界對圖書館的用戶信息隱私權具有不同定義，因此，它們之間所代表的“用戶信息隱私內容”也存在一定區別。整體來講，隱私權涉及到個人信息和活動信息不受侵犯，用戶對自己的個人信息資料的支配權利，還有用戶的私人信息、私人生活受到保護的人格權利。

這里以隱私權的法律規定作為分類方式，將隱私權的主要內容分割成用戶的占有權、支配權、隱私被意外侵犯問題三個部分。

占有權和支配權是個人享有對圖書館系統中收集的個人數據信息的個人占有和自由支配的權利，圖書館網站不能強制要求個人提供數據，也不得在未經用戶允許的情況下對信息進行支配。

隱私權被意外侵犯的原因較多，比如圖書館網絡本身安全等級存在缺陷，遭到黑客攻擊，或者圖書館未經授權向別的圖書館或者其他機構提供了個人的數據信息，在數字圖書館存儲、傳輸和利用過程中出現意外，也有可能導致用戶信息隱私面臨著安全威脅。

1.3用戶信息隱私領域的國內外研究情況

在國外，國際圖書館聯合會、美國圖書館協會、澳大利亞圖書館情報協會等圖書館協會都將尊重讀者，保護讀者的隱私和秘密正式列入圖書館宣言當中。國外學者通常會將圖書館用戶的隱私保護和其他行業的隱私保護結合起來進行研究，在探討用戶信息隱私時，往往借鑒其他行業的相關政策，采用的研究方法和提出的保護隱私措施諸如個性化服務、通過統計學方法了解用戶對隱私權的看法和建議等。

2 數字圖書館用戶信息隱私面臨的安全威脅

2.1隱私安全威脅的內容

用戶在注冊數字圖書館時所提供的信息以及用戶在使用圖書館資源、接受圖書館服務時涉及到的一切相關信息都有可能面臨著安全的威脅。其中用戶個人注冊信息可能包含了用戶的個人身份和背景信息，即用戶的姓名、性別、年齡、聯系電話、電子郵箱、聯系地址、學歷、職業、單位等一系列內容。用戶在使用過程中產生的信息可能包括IP地址、訪問內容、訪問時間等諸多信息，通過這些信息，可以完成對用戶閱讀行為和檢索行為的初步分析，從而了解用戶的研究領域、閱讀興趣等。

2.2隱私安全威脅的發生階段

圖書館在對用戶信息進行搜集、傳遞和利用的過程中，都有可能產生侵權風險。

用戶信息搜集通常包含對用戶圖像信息、個人信息及行為信息的搜集，從圖書館角度來說，安裝公共攝像監視系統是為了防止館藏圖書遺失，但同時造成圖書館讀者個人喪失了對個人信息的控制權和選擇暴露權，安裝在電子閱覽室的攝像頭更是如此。收集用戶個人信息是圖書館為用戶提供借閱服務和個性化推送的基礎，目的是提供有針對性的信息服務，但如果強制要求提供個人信息或者數據保存不當出現外泄，則會為隱私權帶來危害。此外，數字圖書館會自動完成行為信息搜集，最后形成用戶描述文件，揭示用戶信息需求的特點，如果處理不當，也可能導致用戶出現信任危機。

在用戶信息傳遞和利用過程中，第三方可能通過網絡漏洞或技術攻擊，完成對信息的監視、修改或者竊取，如果對這些信息進行了非法交易或者非法開發，隱私信息受到侵犯的用戶很可能會面臨著騷擾電話、廣告推銷或者垃圾郵件的困擾，更有甚者會卷入詐騙或其他違法案件當中，用戶隱私權面臨著非常大的安全威脅。

3 用戶信息隱私權的保護對策

3.1通過立法進行規制，強制保護信息隱私

將隱私權正式納入法律，使隱私權保護具備強制性，可以從根本上要求圖書館注重保護用戶信息隱私權。從20世紀70年代開始，西方國家就已經頒布了隱私權保護的相關法律，比如英國的《數據保護法》、法國的《數據處理、檔案與自由法》、美國的《數據通信隱私法》和《數據權法》等，我國現行法律中沒有對個人信息隱私的規定，而是通過體現在民法通則中，對名譽權的保護等個別法條，缺乏直接的法律依據。

我國需要從立法入手，制定統一的隱私權保護法，保護公民應當享有的隱私權利。首先，在民法典中應當將隱私權獨立出來，明確它的權利和地位，其次，可以制定《個人信息保護法》，將隱私權的條件、程序、法律救濟作為一項單獨法律進行體現。最后，還可以以《圖書館法》或者《圖書館用戶隱私保護條例》對圖書館用戶信息隱私做出具體規范，以法律武器規制侵犯用戶信息隱私的現象。

3.2加強圖書館自律機制，制定隱私保護指南

除立法的強制性規定之外，圖書館的自律模式也是防范用戶隱私安全威脅的重要環節。行業自律是很多國家倡導的保護個人用戶隱私權的重要模式，其中最重要的組成部分是建立完善的隱私權準則，如日本電信協會的《ISP業務守則的指導原則》、美國商務促進委員會的《BBB online 個人隱私計劃》等，都是為規范行業行為制定的指導原則或指南。

圖書館要形成自律機制，需要建立完整的保護政策和具體的規章制度，在進行數據收集時，就明確告知數據收集的目的并作出安全保證承諾，告知讀者他們享有的隱私權認定。在進行具體的用戶信息整理和數據處理時，圖書館還需要以具體規章制度規范行為，包括確保數據的正確性，對不同重要程度的數據信息采取不同等級的保護措施，對涉及到敏感內容的數據信息，只有特定人員才允許查看、收集和傳播，積極提升圖書館整體信息技術保護水平，防止第三方侵入竊取信息等內容。

針對圖書館的隱私保護機制，還可以由國家或者行業牽頭，設置針對數字圖書館保護用戶信息隱私權的資格認證，從而讓用戶清楚地分辨不同數字圖書館的隱私權保護程度并進行自由選擇，還能夠加強圖書館對用戶信息保護的重視，形成對它的約束和規范。

圖書館隱私保護指南應當由行業內的權威機構制定，指南要有可操作性、實用性、謙和性和可行性，明確規定問責制度，既要考慮到大數據時代發展的需要，也要形成對用戶信息強有力的保護。

3.3開展科普教育工作，增強用戶隱私意識

增強用戶隱私意識包括兩個方面，一是使用戶具備隱私保護意識，即通過主動詢問或查找，了解數字圖書館采用的隱私保護政策，如圖書館收集隱私信息的內容、種類、方式、目的，采用什么技術方式保護數據信息，讀者提供或者不提供這些信息將會獲得什么權利或者限制，在充分了解之后做出自己的選擇。二是使用戶具備隱私保護的能力，這種能力可能是技術方面的能力，如通過技術手段加強對于隱私的控制，采用匿名注冊或者瀏覽方式等，也可能是追責方面的能力，對侵犯隱私權的行為絕不姑息，可以通過不同的信息注冊要點，找到侵犯隱私權或者造成信息安全威脅的主要責任者，借助法律或者政策維護自己的權益。

4 結束語

數字圖書館基于網絡服務存在，對圖書館用戶信息隱私進行保護，不僅是保護用戶合法權益的需要，也是數字圖書館自身發展的必然要求。從多角度、多方位出發，采取多種途徑保護用戶的隱私信息，減少安全威脅，是我國數字圖書館的長期工作目標。

[1]汪強.讀者個人信息保護有法可依——解讀《全國人大常委會關于加強網絡信息保護的決定[J].圖書館工作與研究，2014.

[2]田淑嫻,許春漫.國外圖書館用戶隱私保護指南文本分析與啟示[J].圖書情報工作，2015.