高校图书馆读者个人信息共享的促进研究*

2015-02-12 16:33重庆三峡学院公共管理学院重庆404100重庆三峡学院图书馆重庆404100
图书馆建设 2015年3期
关键词:保密性个人信息信息安全

李 仪 (重庆三峡学院公共管理学院 重庆 404100)张 娟 (重庆三峡学院图书馆 重庆 404100)

高校图书馆读者个人信息共享的促进研究*

李 仪 (重庆三峡学院公共管理学院 重庆 404100)
张 娟 (重庆三峡学院图书馆 重庆 404100)

高校图书馆读者个人信息的效用能够通过共享得到发挥。但在共享活动中,读者与管理人员信息素养的缺失对信息安全造成了风险,这又阻碍了信息效用的充分发挥。针对此问题,我国应当综合应用立法规制与高校自律等多种手段,通过加强信息素养教育来提升管理人员的道德水平,培养读者的信息意识,从而在确保信息安全的前提下促进共享。

读者个人信息 信息共享 信息素养 信息安全

1 探究读者个人信息共享的意义

1.1 高校图书馆读者个人信息的诠释

按照欧洲联盟(以下简称欧盟)《个人数据保护指令》(以下简称欧盟指令)第一章的表述,个人信息(personal information)专指能将特定主体(包括高校图书馆读者,下同)从人群中识别出来的数字、符号及它们的组合。在数字时代,个人信息是读者人格特征的体现,该信息一般涵盖联系方式、身份证号码、IP地址、网名与密码等;在高校图书馆数字化建设环境下,个人信息还包括能够反映读者接受图书馆服务情况的信息,包括借阅卡上的信息、访问图书馆的记录(如访问时间、次数与结果)及阅读偏好等。

从笔者掌握的文献来看,国内学者大多将个人信息视为读者的隐私,进而主要对信息采取防止被他人侵害的消极保护措施[1]。然而,按照信息论奠基人香农的阐释,读者个人信息还能够被图书馆等机构加以积极利用,从而消除它们在决策时面临的不确定因素[2]。因此,高校图书馆有必要通过共享读者个人信息来发挥其效用,进而实现信息资源的优化配置,美国与欧盟在此方面已取得了可观的学术成果与实践经验。本文旨在借鉴国外经验并立足于国内实情,就我国如何促进读者个人信息共享的问题提出建议。

1.2 共享的内涵及主要形式

出于对读者进行身份认证、管理与优化服务等目的,高校图书馆时常通过搜索引擎收集读者的个人信息,进而将信息在进行归类与整理后存储于特定数据库(如读者个人信息资源特色库以及身份认证与权限管理库)之中;同时为了发挥信息的社会效用,高校图书馆还需要将该信息传输给其他用户,再由后者对信息进行分析,以便于他们做出相应决策。根据欧盟委员会工作组在其颁布的《关于公共机构信息的再利用和个人数据保护的7/2003意见书》,前述过程即为读者个人信息的共享[3]。

高校图书馆读者个人信息共享主要有两种形式:一是为发挥高校管理服务职能,信息在图书馆内的部门之间或图书馆与学校其他部门之间被共享;二是在高校图书馆社会化服务背景下,图书馆与校外公共机关或私人机构进行信息共享。尤其是为了顺应信息服务产业化的趋势,高校图书馆时常将信息有偿地传输给从事商业性信息开发及营销活动的私人机构。实证调查结果显示,后一种共享方式正越来越多地被国内高校图书馆所采用[4]。

1.3 促进的必要性:消除安全风险所造成的共享障碍

在信息管理学视野中,信息安全是共享活动得以开展的前提。就读者个人信息本身的内容与运行方式而言,信息安全主要包括如下几个要素:一是真实性,即共享者应运用合理网络技术以确保信息处于完整与真实状态,同时避免信息因被篡改与乱序而变得残缺与失真;二是保密性,即未经读者授权,共享者不得对信息实施收集、传输与分析等行为;三是可用性,即信息的社会效用应能通过共享得到发挥[5]。

然而在实践中,以上安全要素均面临着风险,共享活动的开展也势必受到阻碍。毕竟从性质而言,信息共享是管理人员(由高校图书馆与其他用户等共享者所管辖)所实施的信息行为。根据信息行为具有任意性的原理,管理人员为提高共享效率,时常在未向读者告知并取得其授权的情况下任意收集与传输个人信息,进而改变信息的内容及信息之间的组合排列方式 ;同时,由于多数读者尚缺乏信息安全意识,他们也很少对此提出异议。前述行为在破坏了信息真实性与保密性的同时,又阻碍了信息可用性的实现以及信息的正常流通与共享。在近年来几份关于高校图书馆发展现状的调查报告当中,前述问题已显现了出来[6]。

2 吸取欧美促进信息共享的经验

图书馆数字化建设是由信息素养培育与有序的信息资源共享等因素所构成的有机整体。同时在信息学家们看来,信息道德与信息意识培养在信息素养培育中处于基础地位[7]。据此,我国应当通过提升管理人员道德水平与培养读者安全意识等途径来确保读者个人信息安全,从而消除信息有序共享所面临的障碍,以下是对美国与欧盟在此方面所取得的成果与经验的简介。

2.1 美国

美国大学与图书馆研究协会于2012年发布了有关影响图书馆发展趋势的报告,该项报告的核心内容之一是:高校图书馆需要获取读者个人信息,进而通过技术手段对信息进行科学分析,并在必要时将信息传输给图书馆以外的其他用户共享,以此来优化图书馆服务[8]。在此指引下,美国高校图书馆纷纷采取措施来促进读者个人信息的共享活动。Mac Whinnie所做的调查报告显示,从2003年起,美国先后有近20所高校实施了一项名为Information Commons的建设计划,该计划旨在促进读者个人信息资源在校内外互通,实施该项计划的包括华盛顿大学、堪萨斯州立大学、亚利桑那大学及科罗拉多州立大学等[8]。

针对该项计划,美国图书馆协会前主席Nancy Kranich评述到:图书馆与他方共享信息资源当然必要,然而如若这一活动是以牺牲信息安全为代价的话,则图书馆的发展必将因此受阻[9]。为维护个人信息的真实性与保密性等安全要素,实施Information Commons计划的高校几乎都制定了相关政策,以此来培育读者与图书馆管理人员的信息素养。例如,根据亚利桑那大学董事会制定的政策,图书馆应当确保读者对共享活动知情,同时读者有权反对该活动的开展;又如,根据科罗拉多州立大学图书馆制定的政策,图书馆有义务提升其管理人员的信息道德水平,并制止其实施任意破坏信息真实性与保密性的行为。前述内容也被写入了美国图书馆协会职业道德准则中,该准则对作为协会会员的高校图书馆具有拘束力[8]。

2.2 欧盟

根据《欧洲人权公约》第10条,人人均得以通过获取与传输信息来自由表达其观点;欧盟指令第一章也规定,在满足合法诉求的必要范围内,个人信息的利用与共享行为应当被允许;英国不列颠图书馆在于21世纪初发布的《读者个人信息保护政策》中进一步声明,图书馆出于优化读者服务等目的,有权与他方共享读者的个人信息,除非出现法定的例外情形,这一权利不容被限制与剥夺;芬兰《官方文件公开法》也做了近似的规定[3]。

根据欧盟委员会数据保护工作组制定的关于互联网上个人数据处理的工作文件,个人信息得以被共享活动的前提是各成员国通过立法与司法途径督促共享者提高自身的信息素养,同时提高主体的信息风险防范意识,以此来确保个人信息的保密性与真实性等安全要素不被破坏[3]。欧盟指令第17条进一步规定,共享者应当采取合理措施防止个人信息被歪曲与篡改,以此来保障信息的真实性;同时第7、12与14条规定,原则上共享者在收集与传输信息之前应取得主体的授权,以此来维护信息的保密性[3]。《德国联邦个人资料保护法》第二编、法国《数据处理、数据文件及个人自由法》第五章及《西班牙个人数据保护基本法》也做了类似规定[3]。

2.3 比较

通过比较可知,美国与欧盟都注重培育读者与共享者的信息素养进而确保信息安全,以此来促进个人信息共享;但二者所采用的促进方式有所不同:美国主要是由高校及其图书馆或者图书馆行业协会制定自律性的政策与准则,而欧盟主要是通过立法者颁行正式的法律来促进信息的共享。

3 提出促进信息共享的基本思路

3.1 以培育信息素养进而维护信息安全作为根本途径

生产者是信息资源最重要的组成部分。个人信息对读者的识别功能决定了它是读者的私人信息,因而其原始生产者是读者,这不同于图书馆馆藏信息等公共信息。由此,只有读者的需求得到充分满足,他们才具有生产信息的充分动力,信息共享也才有来源保障。在个人信息共享活动中,信息安全的真实性与保密性得以维护正是读者最重要的需求,其理由是:按照美国心理学家亚伯拉罕·马斯诺的解说,尊严与自由是读者的基本心理需求[10]。为使读者获得社会公正评价从而维护尊严,个人信息需要被保持在真实状态;为使读者得以自主支配其与生俱来的人格从而确保自由,个人信息需要被保密,未经读者授权的用户不得进行信息共享。

由此,正如国际图书馆协会和机构联合会在2002年发布的《格拉斯哥宣言》中所言,图书馆读者个人信息得以共享的根本前提是信息的安全及读者的权益能得到保障,安全与权益的保障又有赖于管理人员及读者信息素养的提高,这一点对于我们探寻高校图书馆数字化建设的路径而言具有现实意义[3]。按照美国学者安德里与西蒙兹构建的关于读者对高校图书馆服务满意度的模型,管理人员信息道德水平的高低是决定读者满意度高低的重要参数之一,具体体现就是他们是否主动维护读者权益[11]。同时,高校图书馆的主要读者——在校大学生、教学科研工作者及部分工勤人员多具有较高文化层次,这决定了他们对自身权益的关注度高于其他读者群体。由此,高校图书馆尤其需要通过确保个人信息的真实性与保密性来维护读者的尊严与自由权益,并以此来提高读者满意度,进而维护与巩固图书馆在知识传播活动中的中心地位。

3.2 以立法规制与高校自律相结合作为促进手段

国内高校图书馆的管理机制与运行方式等因素决定了我国很难像美国那样主要通过图书馆所在高校或行业协会进行自律的方式来促进信息共享,其理由是:一方面,迄今为止,我国高校(尤其是公办高校)图书馆主要是按照“教育行政机关—高校—图书馆—图书馆内部门”的方式来进行管理的,加之图书馆主要服务于学校的教学科研工作,这决定了它们与其他系统图书馆以及图书馆协会之间的联系较少,其行为很难通过行业协会来有效监管与制约;另一方面,在现有高校管理体制下,图书馆除了对读者提供服务外,在很多情况下还参与到了对读者的学籍与人事进行管理等工作中。无论在谈判能力还是信息掌握能力等方面,读者相对于作为管理者的高校及其图书馆而言都处于明显的弱势地位。这就决定了,当管理者制定与执行有损于读者个人信息安全的政策时,读者往往难以知情进而提出异议。因此,我国需要制订具有权威性与强制性的法律规范来约束高校图书馆等共享者的行为,促使其提升管理人员的信息道德水平,改变他们为了片面追求共享效率而任意收集与更改信息的不良偏好,从而在确保信息安全的基础上促进信息共享。

与此同时,高校及其图书馆制定的政策对信息共享的促进作用也不可忽视。毕竟它们对读者的服务具有很强的专业性,故而立法者难以对其行为进行具体引导;加之立法作为权威的制度安排手段,它的制定与颁行往往需要经历漫长的利益博弈过程。尤其是我国现今对图书馆读者个人信息保护的立法研究尚处于萌芽阶段,在短时期内通过立法来满足社会对信息共享的燃眉之需是不现实的。由此,根据教育部颁布的《普通高等学校图书馆规程(修订)》,国内高校及其图书馆需要发挥专业与环境优势,通过制定与实施相应政策来对管理人员与学生进行信息素养教育,并通过维护信息安全来促进信息共享。

3.3 对不同形式的共享采取相应的促进策略

不同形式的共享对读者个人信息安全所带来的风险是不同的:在校内共享情形下,由于多数高校已实现了信息一体化管理,当信息在图书馆各部门之间或图书馆与高校其他部门之间被共享时,共享者通常使用的是图书馆内部的局域网或者校内资源专网(如城域网),高校及其图书馆可以运用访问控制技术来限制高校以外的用户任意获取信息,因而,读者个人信息被披露与篡改的几率较小;与此不同的是,当高校图书馆与校外用户(尤其是私人机构)共享信息时,所采用的是一般的网络技术,由此,图书馆很难制止用户任意获取与利用个人信息的行为。尤其是随着网络设备的更新及网络技术的提高,用户能够越来越多地通过高效手段来接收信息,而且私人机构出于追求商业利润的偏好,更易于擅自改变信息内容进而将信息披露给他方,这使得信息真实性与保密性面临更大的威胁。

正是考虑到前述情况,美国与欧盟都对信息在高校与外界之间的共享活动进行了更为严格的限制。按照《德国联邦个人资料保护法》第二编的规定,除非读者明确授权,高校图书馆不得任意将其收集到的个人信息传输给校外私人机构共享;另外,即使取得了授权,共享者也应采取合理技术措施以确保信息的真实性[3]。美国亚利桑那大学图书馆制定的政策也明确要求,与学校建立业务关系的公司在接触到读者个人信息后,不得任意更改与披露信息[8]。

4 采取促进信息共享的具体措施

4.1 提高读者对信息共享的知情度与参与度,从而培养其信息安全意识。

为提高读者的安全意识进而维护信息安全,我国需要通过立法方式确保读者知悉共享的相关情况(如共享者身份、共享方式及被共享信息的现状),以便于他们参与到共享中来,并及时地对共享者破坏信息真实性与保密性的行为提出异议。前述内容被经济合作与发展组织(Organization for Economic Co-operation and Development,简称OECD)的《关于隐私保护与个人资料跨国流通的指针的建议》第13条概括为“主体参与原则”[3]。为此,国内高校图书馆可以效仿国外一些高校的做法,在图书馆网站主页下方提供Privacy Police链接,以便读者知悉自身的权益;另外可以将信息用密钥加密,并向读者发送密钥以便使其知悉共享情况。前述规则在第14条与《德国联邦个人资料保护法》第20节中都得到了体现[3]。

同时如前文所述,我国不能单靠立法来提高读者的信息安全意识。高校图书馆的主要读者是在校大学生,因而,高校应当发挥其对学生进行信息素养教育的职能,通过制定学校培养计划和图书馆政策等方式来加强对学生的个人信息安全意识教育。俄罗斯政府即通过制定《电子政府建设纲要》,将培养读者信息安全风险防范意识作为该国信息化建设的一个重要内容,并要求高校图书馆通过设置相关必修课来对大学生培养前述意识[3]。而从笔者掌握的实证资料来看,虽然近年来国内部分高校开始将大学生信息素养教育作为学校教育的一部分,但相关内容仅出现于新生入学教育课或选修课当中。很显然在我国,大学生信息素养教育的重要地位还需要通过课程设置来得到进一步凸显。

4.2 对管理人员设定维护信息安全的义务,以此提升其信息道德水平。

为维护读者个人信息安全,我国还需要根据保密性与真实性等安全要素的具体要求,在法律与图书馆政策中设置相应义务性规则,以促使图书馆等共享者在加强管理的同时强化对管理人员的信息道德教育,这些规则包括:第一,按照保密性的要求,管理人员在取得本人授权后方能向其他用户传输信息,同时采取合理的手段(如访问控制技术)防止信息被未获读者授权的用户取得;第二,按照真实性的要求,管理人员应采取技术措施来防止信息被不当删改。前述规则被OECD的《关于隐私保护与个人资料跨国流通的指针的建议》第10、11条概括为“限制利用”与“安全保护原则”[3]。

在数字化环境下,共享者时常对来自于两组以上不同数据库的读者个人信息加以接收与存储,进而通过计算机将它们进行比较,并在此基础上挖掘出新的信息,信息学家将这一特殊的共享形态称为“计算机比对”(computer matching)[12]。实证调查结果显示,个人信息计算机比对技术正得到国内共享者的推广运用[13]。通过比对,原有信息在内容及组合排序方式上将发生显著变化,同时信息被披露的可能性也将大增,由此信息的真实性与保密性等安全要素将面临特殊的风险。为确保信息安全,以下特殊规制措施需要得到采用:第一,图书馆与用户应达成比对协议,明确约定双方对信息安全的保护义务,否则比对行为被视为违法;第二,用户在通过比对行为挖掘出新信息后,应当对信息的真实性进行核实。当读者权益因信息失真而遭受侵害时,提供信息的图书馆与进行比对的用户应当向读者承担连带责任。以上规则在美国《计算机比对与隐私权保护法案》及欧盟《关于公共机构信息的再利用和个人数据保护的7/2003意见书》中均有体现[3]。

4.3 设定信息共享的具体方式,以便发挥信息的效用。

在保密性与真实性得以满足的前提下,共享者需要按照信息可用性的要求实现对信息的共享。为此,共享者需要采取如下手段:第一,收集与传输。这是信息得以被共享的前提,美国《图书馆权利法案》开宗明义地规定,图书馆等机构获取信息的权利应受保护,该国《国家档案与文件档案署管理法案》也做了类似规定[8];第二,接收、保存、分析、比对与再利用。这是用户得以发挥读者个人信息效用的主要手段。根据欧盟制定的《公共部门信息再利用指令》,“再利用”(re-utilization)专指收集者超出初始收集目的而将信息传输给他方利用,最典型的例子是高校图书馆出于对读者提供服务等目的而收集其个人信息,之后又将信息传输给私人机构以便利于该机构营利[3]。

在数字时代,如若共享的开展须经读者授权的规则过于绝对地被使用,个人信息可用性的实现将会面临障碍,危害信息公平的“数字鸿沟”(digital divide)问题也将由此而产生。对此,我国应当允许共享者在特定情况下得以径自收集与传输信息,即使未征得读者授权。在高校内,图书馆等各部门对信息的共享一般是出于公共目的(如优化读者服务或者进行学籍与人事管理等),由此依据公益优先的原则,只要初始收集行为取得了读者授权,那么共享者在校内对信息进行后续传输之前即无须再征得读者同意;但与此不同的是,当信息传输给校外共享者时,信息真实性与保密性所面临的风险较大,因而根据利益衡量原则,只有在共享所欲满足的诉求明显大于读者本人的权益时(如行政机关为从事社会公共事务管理,私人机构为保障他人的重大人身与财产利益),该行为才能得以任意为之,这在美国图书馆服务与技术法有所体现[8]。

[1]易 斌, 方锦平, 陈淑文. 图书馆读者隐私的自我保护问题与对策研究[J]. 图书馆学研究, 2012(9):92-95.

[2]李兴国. 信息管理学[M]. 北京:高等教育出版社, 2011:2.

[3]柳进成. 国外图书馆读者个人信息保护研究及对我国的启示[J].图书馆学研究, 2012(6):98-99.

[4]方 波. 从图书馆精神谈高校图书馆社会化服务[J]. 图书馆建设, 2012(1):10-11.

[5]刘 充, 牟海娟. 浅谈网络信息安全[J]. 中外企业家, 2012(3): 130-131.

[6]易 斌. 高校图书馆读者隐私保护现状实证研究[J]. 图书馆论坛, 2013(5):66-68.

[7]Eshet-Alkalai Y. Towards a Theory of Digital Literacy:Three Scenarios for the Next Steps[EB/OL]. [2014-07-11]. http://www. eurodl.org/materials/contrib/2006/Aharon_Aviram.htm.

[8]王一帆. 美国公立大学图书馆个人信息保护政策研究[J]. 情报资料工作, 2010(6):28-29.

[9]Haas L, Robertoson J. SPEC Kit 281:The Information Commons [EB/OL]. [2014-07-11]. http:Mwww.arl.org/spec/SPEC281web. pdf.

[10]马斯洛. 动机与人格[M].许金声, 译. 北京:中国人民大学出版社,2007:31.

[11]查先进, 张晋朝, 严亚兰, 等. 网络信息行为研究现状及发展动态述评[J]. 中国图书馆学报, 2014(4):2-4.

[12]张才琴, 齐爱民. 我国个人信息计算机比对制度刍议[J]. 法学评论, 2008(5):115-118.

[13]Nazi K, Kim M. Veterans' Voices:Use of the American Customer Satisfaction Index(ACS) Survey to Identify My Health Vet Personal Health Record Users' Characteristics, Needs, and Preferences[J]. Journal of the American Medical Information Association, 2010(2):203-211.

Research on the Promotion of the Sharing of the Readers' Personal Information in the University Library

The effect of the readers' personal information in the university library will be played by the sharing. However, in the sharing activity, the lack of the readers' and librarians' information literacy causes the risk for the information safty, and also hinders the information utility gives full play. Aiming at these problems, our country should comprehensively apply various means, such as the legislative regulation, the university self-discipline, promote the moral level of the manager and cultivate the information consciousness of the reader through strengthing the information literacy, so as to promote the sharing on the premise of ensuring the information safty.

Readers' personal information; Information sharing; Information literacy; Information safety

G252

B

李 仪 男,1980年生,法学博士,西南政法大学博士后流动站研究人员,现工作于重庆三峡学院,副教授,研究方向为读者个人信息保护。

2014-10-30 ]

*本文系国家社会科学基金项目“网络环境下个人信息安全危机与法律规制对策研究”,项目编号:12XFX021;重庆市教育委员会人文社会科学研究重点项目“网络环境下个人信息保护困境的法律应对”,项目编号:14SKL01的阶段性研究成果。

张 娟 女,1986年生,硕士,现工作于重庆三峡学院图书馆,助理馆员,研究方向为信息资源管理。

猜你喜欢
保密性个人信息信息安全
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
“以人为本,质量优先”处理方式在保密性弃血中的应用及结果分析
基于三级等级保护的CBTC信号系统信息安全方案设计
警惕个人信息泄露
计算机网络信息安全及防护策略
高校信息安全防护
家族信托的私密性保障问题解析
商事仲裁裁决公开的现实困境及理论路径
《工业控制系统信息安全》——ICSISIA联盟专刊