圖書館用戶個人信息保護認證機制構建研究

田淑嫻

大數據時代，為給用戶提供個性化精準服務，大數據挖掘、分析等技術會廣泛應用在圖書館各項服務中，這樣會增加了用戶個人信息泄露的風險[1]。為了減少用戶對個人信息泄露的顧慮，無論是國外還是國內圖書館都或多或少做出了保護用戶個人信息的規定，其中，最普遍的做法是制定用戶個人信息保護政策。然而，個人信息保護政策的實施效果如何，圖書館及第三方數據庫服務商在實際提供服務過程中能否按規定進行操作，大多數圖書館無法客觀地評估個人信息保護政策的條款是否過于專門化而無法理解或閱讀。因此，筆者建議用戶個人信息保護認證機制在圖書館應逐步構建，以此來保護用戶個人信息的必要安全。

1 對國內外認證機制現狀的調查與分析

1.1 國內外個人信息保護認證機制現狀調查

筆者通過采用文獻調研、網絡調研等方式，對大量的國內外文獻、網站進行研讀發現：目前國內外均已設用戶個人信息保護認證機構。在國外，美國的Truste 和BBBonline 比較知名，國內的中國電子商務等信用評價中心及大連軟件行業協會等影響力較大，然而針對信息文化服務業的個人信息保護認證機構或信用評價中心還未制定。為此，通過比較知名的個人信息保護的實現影響認證機構和信用評估中心在國內外信息服務行業，作者選擇Truste美國和中國大連軟件行業協會為代表，分析并介紹其具體實踐，提出構建圖書館用戶個人信息保護認證機制的建議。

1）TRUSTe 隱私認證機制。TRUSTe 是美國的非盈利性機構，它是一家數據保密管理公司，也是亞太經濟組織認可的個人信息保護認證組織。它通過提供個人信息保護的相關知識、方法和技術解決出現的個人信息保護問題，并且它制訂的認證標準現已納入亞太經合組織建立的個人信息保護框架的原則中。它的整個工作流程包括：對申請加入該組織的機構進行審核，對審核通過的機構進行監督，對發生個人信息泄露事故的機構進行調解。在其評估申請機構是否可以通過認證時，主要通過對影響個人信息保護認證的因素、標準等進行評估。同時，它也為網站運營機構提供實踐操作方面的指導文書。這是一個兩面利好的個人信息保護機構，不僅能為用戶提供安全的網站信息，而且能有效監測評估用戶的個人信息行為[2]。

2）大連軟件行業協會認證機制。大連軟件行業協會是中國制定的個人信息保護標準的機構。它依據制定的個人信息保護評價體系開展個人信息保護評價工作。去幫助企業建立個人信息保護的規范制度，提高企業保護個人信息的能力，確保客戶個人信息的安全[3]。在實施機制時，它通過對企業進行審核，并給審核通過的企業頒發個人信息安全標志及證書[4]。在使用標志期間，若發現企業未遵守承諾，該協會會根據情節輕重采取懲罰措施。該認證機制的影響越來越大，目前所影響的城市已包括北京、廣州、上海等地，它的認證機制也逐漸在信息服務業具有代表性[4]。

1.2 對國內外認證機制的建設進行分析

通過對國內外個人信息保護認證機構的調查發現，建立個人信息保護認證機制可以有效保護用戶的個人信息，為電子商務和信息服務行業的發展贏得了一個相對寬松的環境，并且，使用認證標志也帶來了便利，用戶不再需看難懂冗長的個人信息保護政策。但是，它們也存在缺陷。例如，經濟來源存在依賴性，主要依靠企業的認證，這使得對企業的監管不夠嚴格，缺乏獨立性；另外，申請加入的運營機構只能憑自覺，使其缺乏普遍性[5]等等。

2 構建圖書館用戶個人信息保護認證機制的建議

因為圖書館身為我國信息服務產業的一個主要方面，所以，其用戶的個人信息保護認證機制需要及時有效的建立起來，圖書館用戶的個人信息保護機制構建過程中，要善于吸取和借鑒國內外類似的成功經驗，并且通過不斷地改進以達到相對的完善，并且，正確的結合我國圖書館自律意識不強等實際問題，制定出符合我們自身發展所需要的用戶個人信息保護認證機制。

2.1 組建圖書館用戶個人信息保護認證機構

1）由圖書館學會主導成立“中國圖書館用戶個人信息保護認證機構”。設置認證機制的領導機構只有具有行業威信，才能對認證機構產生影響。中國圖書館學會是我國圖書館行業的領導機構，會在一定程度上引導和影響地方各級圖書館事務的發展，由中國圖書館學會率先建立個人信息保護認證相關機構，可以加快我國圖書館用戶個人信息保護認證機構的建設。

2）以圖書館學會分支機構為主要成員。圖書館學會主要由高等學校圖書館分會等9 個分支機構組成[6]。各分支機構承擔著引導各類型圖書館的發展及業務培訓等任務，代表著各類型圖書館事業的發展情況。在設置圖書館用戶個人信息保護認證機構時，既需要中國圖書館學會帶頭領導，又需要圖書館各分支機構共同參與。

3）與個人信息保護方面的法律專家進行合作。圖書館用戶在使用圖書館資源過程中，不僅會用到圖書館內部資源還經常用到與圖書館合作的第三方數據庫服務商，為此，在構建圖書館用戶個人信息保護認證機制的過程中，需要與相關法律專家進行合作，明確圖書館用戶個人信息的保護范圍及雙方的責任。

4）需要得到相關部門認可和支持。國家相關部門的認可和大力支持不僅可以加快圖書館用戶個人信息保護認證機構構建的步伐，還可以做到保證該機制的順利建設和完成。所以，構建圖書館用戶個人信息保護認證機構既要符合政府政策要求，更要積極的獲得政府相關部門的認可和支持。

5）相關職能管理部門設置。為保護圖書館使用者的個人資料而設立的認證機構，將對圖書館業產生積極的影響。更是對用戶個人信息保護起到很大作用。為確保個人信息保護認證機構作用的有效發揮，需要在其內部設置具有不同管理職能的部門，圖書館個人信息保護認證辦公室、個人信息保護認證評價專家組（簡稱評價專家組）、個人信息保護工作委員會（簡稱工作委員會）等部門。

2.2 構建圖書館用戶個人信息保護認證機制

1）注重與合作機構協作發展。信息服務行業個人信息保護認證機制普遍存在對申請認證的企業監管不嚴，在行業影響力不夠等問題。因此，構建該認證機制要充分發揮各自的職業所長，加強他們的協作發展。

2）建立一站式的審核機制。一站式的審核機制是指所有需要審核的材料均能在此機構內完成。申請加入該機構要提供認證所需材料，并保證其有關用戶個人信息的行為合規合法，不侵犯用戶權利，如果符合上述要求就可頒發審核通過標識，不必再進行其他審核。大大加快了機構認證的步伐。

3）有配套的懲罰措施。在實施圖書館用戶個人信息保護認證機制的建立過程中，要定期對申請加入的機構進行評估，更要對侵犯用戶權利的機構進行處罰。通過調查國內外已建立的個人信息保護認證機構可知，它們的懲罰措施是終止該機構使用認證標志。然而，由于個人信息保護認證機構的主要經濟來源依賴于申請加入的機構，因此很少有機構被取消認證標志，致使機制的實施效果不是很好。為此，針對發生的侵權行為性質及造成的影響設置配套的懲罰措施。

4）明確有效期限并及時更新。在機制實施過程中，要明確標志的有效期限并且根據發展需要及時作出機制更新，以有效確保圖書館用戶個人信息保護機制的實施效果。

2.3 圖書館用戶個人信息保護認證機制的實施流程

筆者通過對其他行業認證機制的分析，并結合我國圖書館現實情況，借鑒大連軟件行業協會的信用評價機制工作經驗，總結出圖書館用戶個人信息保護認證機制的實施流程，即：資料審核——現場審查——網絡公示——審批階段——頒發證書。

1）資料審核。這一階段包括材料準備、機構受理、形成審核報告3 個步驟。主要對圖書館的基本規章、個人信息安全管理體系等方面的材料進行審核。圖書館提出申請后按相關要求準備審核材料并提交受理，最后形成審核報告。

2）現場審查。該階段是對已通過材料審核的圖書館進行審核，審核其在運行中是否有侵犯用戶權利的行為。如若在現場審查過程中發現其實際運行情況與資料不符，將中止對該圖書館的審查，指出缺陷，三個月后才能再重新提出申請。如若發現存有一般性的小問題，則督促其立即整改，之后再繼續對其進行審查。最后結合現場審查情況形成評價報告。

3）網絡公示。這一階段是對通過材料審核和現場審核的圖書館進行公示，表示該圖書館已具備取得圖書館用戶個人信息保護認證標志的條件。可以設置公示期限可為15 天。

4）審批階段。這一階段主要是根據審核情況形成審批意見書，并根據意見書判斷是否對其證書申請進行批準。如若在公示期間沒有投訴或質疑，個人信息保護工作委員會審批通過。如若在審批前發現該圖書館還存有較大影響用戶個人信息安全的情況，則審批不通過，必須要等三個月后再申請。如若圖書館仍存有一些保留性問題，則要求其進行整改。

5）頒發證書。經批準的圖書館給予頒發個人信息保護證書和標識，表明此圖書館是嚴格遵守個人信息保護的有關規定的。只要此圖書館的使用用戶在享用信息資源時看到相應的證書標識，就可以根據需要放心提供自己的個人信息。

3 結語

大數據時代，圖書館為給用戶提供精準服務，會利用大數據技術搜集到用戶一些個人信息。為了解決用戶顧慮，筆者希望早日構建圖書館用戶個人信息保護認證機制，有效確保用戶享用個性化精準服務的同時，也能確保其個人信息安全。