香港高校图书馆网站用户隐私政策调查研究

2016-05-14 14:33何宁宇
新世纪图书馆 2016年5期

摘 要 香港高校图书馆网站的用户隐私政策不尽相同,论文对此进行了全面调查研究,内容包括个人信息收集声明、个人信息收集相关问题、个人信息公开、个人信息安全、用户和图书馆权利、免责声明等,并简述了它的不足,以及此调查给内地图书馆用户隐私政策建设的启示。

关键词 用户隐私 隐私政策 图书馆网站 香港高校图书馆

分类号 G250.72

Abstract This paper gives a comprehensive survey on user privacy policies of university library websites in Hong Kong, and studies the contents of privacy policies, including the personal information collection statement, personal information collection related issues, personal information disclosure, the content of personal information security, user and library rights, disclaimers, and then outlines its shortcomings, and finally provides a brief overview of the eulightenment to the mainlands libraries about the user privacy policy construction.

Keywords User privacy. Privacy policy. Library website. University library in Hong Kong.

近年来,对图书馆用户隐私权问题的研究,在我国渐受重视[1]。在图书馆中,用户的隐私主要涉及到两个方面:一是用户活动的隐私;二是用户信息的隐私[2]。为了切实保护用户隐私,内地个别图书馆已经制定了隐私保护政策。但对于绝大部分内地图书馆而言,用户隐私仍未被提上日程,更无从谈起保护。随着网络的发展,“网站”已经成为图书馆网络化、数字化系统不可或缺的重要组成部分[3],网站用户隐私保护问题也被逐渐提上日程。图书馆网站如何保护用户的隐私,已成为图书馆网络化建设过程中面临的一个重要课题[4],然而在图书馆的相关政策中却没有对隐私权的保护进行详细的表述[5]。为进一步分析和研究图书馆网站用户隐私政策问题,本文对香港19所高校图书馆网站隐私政策进行了全面调查研究,以期能为内地图书馆网站用户隐私政策建设提供有益的指引。

这19所中有7所大学图书馆网站无用户隐私政策,占调查总数的36.8%,它们是:明爱专上学院[6]、珠海学院[7]、明德学院[8]、恒生管理学院[9]、香港高等科技教育学院[10]、香港树仁大学[11]、香港能仁专上学院[12]。除此之外的12所大学图书馆网站均有用户隐私政策,它们是:香港大学[13]、香港理工大学[14]、香港科技大学[15]、香港浸会大学[16]、香港教育学院[17]、岭南大学[18]、香港城市大学[19]、香港公开大学[20]、东华学院[21]、港专学院[22]、香港中文大学[23]、香港演艺学院[24]。但其中的香港中文大学图书馆网站和香港演艺学院图书馆网站均无独立的用户隐私政策,香港中文大学图书馆网站引用了学校的隐私政策,而香港演艺学院图书馆则直接引用了香港特别行政区的《个人资料(私隐)条例》。余下的10所大学图书馆网站均有自己独立的隐私政策,它们占调查总数的52.6%。本文将对这10所具有独立用户隐私政策的大学图书馆网站进行详细分析研究。

1 用户隐私政策制定概况

1.1 所处位置

这10所大学图书馆中有8所的用户隐私政策位于图书馆网站首页,一般位于首页底端,与版权声明或免责条款邻近。另外2所:香港科技大学图书馆则是将其放在了“Library Policies and Rules”栏目下,而香港浸会大学图书馆则是放在了“Library Policies”栏目下。

1.2 中英文名称

中文名称方面:这10所大学图书馆网站中只有香港教育学院、香港公开大学、港专学院具有中文名称,但他们使用的中文名称不同于内地的“隐私政策”。其中香港教育学院和港专学院图书馆使用的是“私隐政策”,而香港公开大学图书馆使用的是“私隐声明”。

英文名称方面:有7所大学图书馆网站(香港大学、香港理工大学、香港科技大学、香港教育学院、香港浸会大学、香港城市大学、港专学院)使用了“Privacy Policy”,另外,岭南大学和东华学院2所图书馆使用了“Privacy Policy Statement”,而香港公开大学图书馆则直接使用了“Privacy”。

1.3 组成部分

各图书馆用户隐私政策的组成成分不尽相同。其中香港理工大学等4所大学图书馆的隐私政策由“Privacy Policy Statement(PPS)”(即私隐政策声明)和“Personal Information Collection Statement(PICS)”(即收集个人资料声明)两部分组成。其余6所均由单独一部分组成,其中香港大学等3所大学图书馆由“Privacy Policy Statement”组成,另外3所大学图书馆隐私政策组成成分分别是:香港公开大学图书馆由“Personal Data(Privacy)Statement”组成,香港浸会大学图书馆由“Privacy Policy”组成,而港专学院图书馆则是由“Privacy”组成。

2 用户隐私政策制定依据

2.1 个人资料(私隐)条例

香港特别行政区《个人资料(私隐)条例》于1996年12月20日起实施。目的是在个人资料方面保障在世人士的私隐。条例适用于任何直接或间接与一名在世人士(资料当事人)有关的资料、可切实用以确定有关人士身分的资料,以及其存在形式令查阅及处理均是切实可行的数据。条例亦适用于任何控制个人资料的收集、持有、处理或使用的人士(资料用户)[25]。2012年香港特区政府对该条例做了多项修订,以提高对个人资料私隐的保障[26]。该条例是香港高校图书馆制定隐私政策的主要法律参考。

2.2 身份证号码及其他身份代号实务守则

《身分证号码及其他身分代号实务守则》于1998年生效。实务守则就私隐条例如何适用在下述两项的收集、准确性、保留、使用及保安方面,为数据用户提供实务性指引。这两个项目是:(a)身份证号码及身份证副本;及(b)其他可识辨个人身份的特定代号。任何违反实务守则的行为,可能会被用作与私隐条例有关的任何法律程序中之证据,以针对有关违规者[27]。该守则是香港高校图书馆制定用户隐私政策的参考守则之一。

2.3 个人资料私隐与互联网-资料使用者指引和保障网上私隐须知-互联网个人用户指引

香港特区政府成立了专门负责保护个人资料的机构:个人资料私隐专员专署(香港把“隐私”又称为“私隐”),该专署在1998年1月出版这两本小册子,协助各机构保障网上个人资料隐私[28]。

3 用户隐私政策内容比较分析

3.1 关于个人信息收集的声明

除了岭南大学和香港公开大学2所图书馆无明确的个人信息收集声明外,其它大学图书馆均有明确的个人信息收集声明。其目的是提醒用户注意在使用图书馆网站时,图书馆已经收集或将要收集个人相关信息。该声明的主要内容包括:信息收集目的、收集方式、收集内容限制等。如香港浸会大学图书馆的个人信息收集声明:图书馆将只收集最低限度的必要的个人身份信息,以向我们的用户提供有效的服务和设施。

3.2 关于个人信息收集的相关问题

3.2.1 收集目的

所有图书馆均罗列了个人信息收集目的,用于身份验证、服务提升、方便管理、学术研究等等。如香港公开大学图书馆个人信息收集的目的:识别读者是否是香港公开大学的有效用户、提高图书馆的服务、以及回答用户咨询时提供相关信息。

3.2.2 收集原则及内容

香港理工大学、香港科技大学、香港浸会大学和香港城市大学等图书馆均提及了信息收集的原则:只收集用户最低限度的个人信息。而其它大学图书馆则未明确提及收集原则。

在10所大学图书馆中,仅港专学院提及了收集内容,主要有:个人姓名、电话号码、传真号码、电子邮件、邮寄地址、组织/公司/学校等信息。

3.2.3 收集方式和用途

在个人信息收集方式上,香港教育学院、岭南大学、香港城市大学和港专学院等图书馆在条款中明确说明了是自愿提供。香港公开大学图书馆在条款中明确说明为强制提供。其它大学图书馆则未有明确说明。在个人信息使用上,除香港大学图书馆外,其它大学图书馆均有信息用途说明,差别只在于描述的详略程度。

3.3 关于个人信息公开的相关问题

3.3.1 不公开承诺

香港理工大学、香港科技大学、香港浸会大学、香港教育学院、香港城市大学、东华学院等图书馆均有明确的个人信息不公开承诺,而其它大学图书馆未有明确的不公开承诺。

3.3.2 法律强制公开说明

香港科技大学、香港教育学院和香港城市大学等图书馆均声明了在法律强制要求下,图书馆无需知会用户本人而无条件公开个人信息。其它大学图书馆均无明确说明。

3.3.3 特别授权

仅香港教育学院、岭南大学和东华学院等图书馆有特别授权声明。特别授权是指当图书馆需要公开用户个人信息时必须得到一定的授权方可。如岭南大学图书馆声明如需将用户个人信息提供给为图书馆提供服务的适宜的组织机构时,需获得馆长或图书馆数据保存办公室的批准授权。而东华学院则声明用户个人信息不会提供给第三方个人或校外组织机构,除非另有说明或用户本人事先授权。香港教育学院则声明如用户本人同意,图书馆可向外界机构或团体提供其个人信息。

3.4 关于个人信息安全的相关问题

3.4.1 保密承诺

除了香港城市大学和港专学院2所图书馆无明确的保密承诺外,其它大学图书馆均有明确且严格的保密承诺。如香港教育学院图书馆承诺所收集的个人资料将会绝对保密。

3.4.2 安全措施

香港大学、香港理工大学等图书馆均有严格的安全措施。安全保护措施主要涉及两方面:一是限制访问工作人员,只有特别授权的工作人员才有资格访问个人信息;二是为授权工作人员设置独立的访问密码。通过以上两方面来确保信息安全。其它大学图书馆未罗列具体的安全措施。

3.4.3 保存期限

所有大学中,只有香港教育学院图书馆的明确说明:除非特别列明,图书馆一般会保留用户之申请或查询时所提供的数据十二个月。

3.4.4 信息删除

香港科技大学等图书馆均提及“过期的用户信息将被定期删除”。其中,香港教育学院图书馆还明确了具体的时间:过期的用户信息将在过期后的十二个月内删除。

3.4.5 cookies使用

香港理工大学、香港浸会大学、香港公开大学等图书馆提及了cookies的使用,其目的是帮助个人信息收集。其它图书馆均未提及。

3.4.6 谷歌统计

仅香港浸会大学和香港公开大学2所图书馆使用了谷歌统计。它会收集用户个人信息帮助网站管理员分析并优化图书馆网站。

3.5 关于用户和图书馆的权利

所有大学图书馆的隐私政策均有提及用户和图书馆权利,在具体描述时各图书馆有相同的地方也有略微差别之处。经笔者分析归纳如下:

3.5.1 用户权利

(1)网站隐私政策异议权。此项权利是指用户对图书馆网站隐私政策持有不同意见时,用户拥有向图书馆反馈个人意见或建议的权利。各图书馆网站均有提供用户反馈的途径,如email、电话号码等。

(2)信息收集自愿选择权。图书馆在收集用户个人信息时,用户拥有提供或不提供个人信息的权利,即自愿选择权。图书馆不能强制收集用户个人信息。

(3)个人信息查阅权。当用户信息被图书馆收集保存以后,用户有权查阅自己的个人信息。在查阅时,图书馆可要求用户提供有效证明,但不能拒绝用户查阅。

(4)信息用途征询权。此项权利是指用户拥有征询个人信息作何用途的权利。当用户征询信息用途时,图书馆有义务告知其用途。

(5)个人信息修改权。当用户个人信息发生变动或其它原因需要修改个人信息时,用户拥有修改图书馆已经保存的个人信息的权利,图书馆无权阻扰。

(6)要求保密权。图书馆是收集个人信息的保存主体,因此用户有权要求图书馆妥善保管此类信息。同时,为防止个人信息泄露,用户有权要求图书馆对此类信息进行加密保护,如通过员工特殊授权、单设独立密码或其它加密等方式方法对信息进行保护。

(7)公开授权权。用户拥有对个人信息公开与否的授权权。在非法律强制情况下,图书馆需要对用户个人信息公开时须征得用户授权,若无用户授权,图书馆无权将用户个人信息公开。

3.5.2 图书馆权利

(1)网站隐私政策修改权。图书馆是其网站隐私政策的制定主体,当环境发生变化致使某些条款已经不符合现实情况或其它原因时,图书馆拥有对隐私政策的修改权。

(2)信息收集权。图书馆拥有收集或不收集某位用户个人信息的权利,以及制定详细的用户个人信息收集内容的权利。

(3)个人信息使用权。图书馆拥有对个人信息的使用权,这是其信息收集的初衷。但图书馆在使用信息时不得违反相应的法律法规及行业准则。

(4)个人信息保存/删除权。图书馆对个人信息的使用往往无法确定一个具体的时间点,或者需要在将来某个时间内对它们做统计分析,因此需要对用户个人信息加以保存,以方便使用。同样图书馆拥有对信息的删除权。

(5)个人信息修改权。当图书馆收集的用户个人信息发生变化,或者用户主动要求修改个人信息时,图书馆拥有对个人信息的修改权。

(6)服务限制提供权。图书馆的某些服务项目需要根据用户个人信息的完备程度来判断是否给予提供。当用户个人信息相当完备,达到某服务项目的要求时,此时该用户可以使用该项服务。但当用户个人信息不完备,未能达到某服务项目的要求时,此时该用户无法获取该项服务。只有当用户补充其信息达到要求时,方可获得该项服务。

(7)拒绝非法查阅个人信息权。除了用户本人且提供有效证件的情况下可以查阅本人信息外,图书馆有权拒绝其他非法查阅个人信息的权利,以维护个人信息安全。

(8)法律强制公开信息权。在法律强制要求公开用户个人信息时,图书馆拥有在不知会用户本人的情况下公开用户个人信息的权利。

3.6 关于免责声明

3.6.1 服务提供受限免责声明

香港理工大学、香港科技大学、香港教育学院、岭南大学、香港城市大学、香港公开大学、港专学院等图书馆均有服务受限免责声明。此声明是指当用户提供的个人信息不足或信息不准确时,图书馆可能无法为用户提供正常的服务项目,此时用户处于限制服务状态,只有当用户提供的个人信息达到要求时方可享受服务。如香港公开大学声明:“如果你不能为我们提供所要求的信息,或者所提供的信息是不准确或不完整的,我们可能无法为你提供服务。”

3.6.2 信息泄露免责声明

仅香港浸会大学和香港教育学院2所图书馆有此声明,该声明主要是指用户个人信息在传输过程中,由于第三方原因造成的信息不安全或因此而导致的用户损失等情况,图书馆是不负责任的。如香港教育学院声明:“用户以电子方式传递的数据,有机会在过程中被第三者窃取。用户如因此引致损失,图书馆或教院将不会负责。

3.6.3 馆外/校外网站访问免责声明

仅香港城市大学有此声明,其声明内容是:邵逸夫图书馆网站上包含指向图书馆内和香港城市大学校园网络以外的其它独立运行的网站,图书馆对这些网站上的隐私政策或内容是不负责任的。

4 调查思考

4.1 不足之处

4.1.1 认识不统一

在此次调查的全部样本中约有37%的大学图书馆无隐私政策声明,说明香港高校图书馆对隐私政策的认识仍未统一,虽然部分图书馆已经对此给予足够重视且已经付诸行动,但仍有部分图书馆未给予重视,政策形同虚设,更有个别图书馆直接忽视了隐私政策。

4.1.2 未明确说明收集内容

从已有的图书馆网站隐私政策分析中发现,所有大学图书馆均声明要收集用户个人信息,但至于要收集用户哪些内容却不明确。此外,绝大部分图书馆未详细说明其收集内容。

4.1.3 信息用途含糊

几乎所有大学图书馆均提及了个人信息的用途,但仅仅是轻描淡写、含糊其辞,使得用户不清楚图书馆收集的用户个人信息究竟作何之用。

4.1.4 披露条件和范围不清晰

披露条件仅有少数几家图书馆提及,但内容较为简略,大多数图书馆均未详细说明,尤其是涉及个人信息公开时的披露条件。至于披露范围,未有一家图书馆加以说明。

4.1.5 未明确规定信息保存期限与删除规定

信息保存期限仅有一家图书馆做了说明,而对于删除规定,大多数图书馆均未提及。这对于用户信息安全保障来说极其不利。图书馆应该明确信息保存期限及删除条件。

4.1.6 缺乏违法违规等惩罚措施

所有的大学图书馆均未说明用户或图书馆如果违反法律或相关规定应如何处置。这不利于约束双方可能出现的违规行为。图书馆应该对此做出明确规定,让图书馆和用户均了解该方面的规定,从而减少违规行为的出现,同时便于违规行为出现后跟进处理。

4.1.7 员工工作规范不详细

仅有少数图书馆规定了在信息安全保护时员工的工作规范,而其它图书馆均未提及。同时,其它方面的规范,如信息收集规范、信息使用规范、信息公开规范、信息删除规范等也未提及。

4.1.8 未提及政策修订

所有图书馆均未提及本馆隐私政策修订的相关事宜,如在什么条件下需要修订,隐私政策修订的频率、修订流程、修订者的组成及其身份,以及修订后的政策披露等等。

4.1.9 缺乏行业指导原则

隐私权保护在许多国家被当成图书馆行业面临的重要问题来对待[29]。香港地区无论是高校图书馆还是公共图书馆,均未有针对图书馆网站隐私政策的行业性的指导原则。这不利于香港地区的协调发展。

4.2 对于内地图书馆的启示

4.2.1 提高对隐私政策的认识

我国大陆地区的图书馆大多没有制定用户隐私权政策[30],说明我国大陆地区图书馆对用户隐私重要性的认识程度还不够,还未将此列入图书馆工作日程。因此需要提高认识,并深入了解相关知识,为开展用户隐私政策工作做好准备。

4.2.2 制定行业指导原则

由于我国隐私保护立法的滞后,图书馆学会未出台具体的行业政策,因此制定完备的隐私保护政策对保护用户权益方面起着非常重要的自律作用[31]。制定图书馆行业的用户隐私政策指导原则,将促进各图书馆对此的认识和了解,同时加快此项工作进程。

4.2.3 制定隐私政策

内地图书馆应根据我国法律法规及行业相关准则,制定本馆用户隐私政策。所有图书馆网站都要发布用户隐私保护政策,内容应涉及用户的选择权、用户的知情权、用户对网站隐私政策提出建议或反馈的权利,以及用户查阅、变更个人信息的权利等,要突出图书馆用户这一信息主体的权利本位[32]。

4.2.4 平衡双方权利

用户隐私政策制定中,需要平衡用户和图书馆的权利。一方面要保证用户享有充分的权利,同时也不能无限制的为图书馆增加负担,“既充分体现用户的权利本位,又不过分加重图书馆的责任”[33]。因此,需要政策制定者充分了解用户需求,并量化融入到图书馆工作中,在此基础上提出图书馆所能承担的责任,使政策具有可操作性。

4.2.5 加强宣传和教育

一方面是加强对用户的宣传和教育。首先要让用户了解图书馆制定隐私政策的目的,使得用户对此给予理解和支持;其次要让用户清楚图书馆制定的隐私政策的详细内容,知晓其具体含义;最后要让用户明白如何保护个人隐私,同时配合图书馆做好个人信息安保工作。另一方面是对图书馆工作人员的宣传和教育。首先要让图书馆工作人员理解制定隐私政策目的;其次要让所有工作人员学习并理解隐私政策的详细内容,并知晓每一条款的含义;最后需要知道怎样保护用户隐私,同时做好用户个人信息的安保工作。

5 结语

通过对香港高校图书馆网站用户隐私政策的详细分析和研究,一方面梳理了香港高校图书馆的隐私政策工作现状,另一方面可以看出,其在用户隐私相关工作上,有许多地方值得内地图书馆学习和借鉴。内地各类型、各级别的图书馆均应将此提上日程,尽快出台针对自己图书馆网站的用户隐私政策,从而将用户隐私保护工作落到实处,切实维护用户个人隐私安全。

参考文献:

[ 1 ] 付立宏,丁娜.港澳台高校图书馆网站用户隐私政策浅探[J].图书馆学研究,2011(10):23-27.

[ 2 ] 罗曼.论图书馆用户的隐私保护[J].大学图书馆学报,2005(1):63-65.

[ 3 ] 唐亦兵.试论图书馆网站的读者隐私权管理[J].图书馆工作与研究,2010(8):46-49.

[ 4 ] 付立宏,李平辉.美国三大国家图书馆网站隐私政策比较研究[J].图书馆杂志,2011(11):82-85.

[ 5 ] 陈嘉慧.美国州立公共图书馆网站用户隐私政策探微[J].图书馆学研究,2007(4):81-83.

[ 6 ] 明爱专上学院图书馆[EB/OL].[2015-03-24].http://

library.cihe.edu.hk/library.html.

[ 7 ] 珠海学院图书馆[EB/OL].[2015-03-24].http://lib.chu-

hai.hk/,2015-03-24.

[ 8 ] 明德学院[EB/OL].[2015-03-24].http://www.centennialcollege.hku.hk/sc/.

[ 9 ] 恒生管理学院图书馆[EB/OL].[2015-03-24].http://

library.hsmc.edu.hk/.

[10] 香港高等科技教育学院图书馆[EB/OL].[2015-03-24].

http://library.vtc.edu.hk/web/index.php.

[11] 香港树仁大学图书馆[EB/OL].[2015-03-24].http://www.hksyu.edu.hk/lib/index.php.

[12] 香港能仁专上学院图书馆[EB/OL].[2015-03-24].http://www.lib.ny.edu.hk/.

[13] Privacy policy statement[EB/OL].[2015-03-22].http://www.lib.hku.hk/general/privacy.html.

[14] Privacy policy & personal information collection statem-

ent[EB/OL].[2015-03-22].https://www.lib.polyu.edu.hk/about-us/library/regulations/privacy-policy-personal

informationcollection-statement.

[15] Privacy policy[EB/OL].[2015-03-22].http://library.ust.hk/privacy.html.

[16] Privacy policy[EB/OL].[2015-03-22].http://library.hkbu.edu.hk/others/privacy.html.

[17] Privacy policy & personal information collection[EB/OL].[2015-03-23].http://www.lib.ied.edu.hk/info/pps.html#pps.

[18] Privacy policy statements[EB/OL].[2015-03-23].http://www.library.ln.edu.hk/about/rules regulations-policies

/privacy-policy-statements.

[19] Privacy policy[EB/OL].[2015-03-23].http://www.cityu.edu.hk/lib/pps.htm.

[20] Personal data(privacy)statement[EB/OL].[2015-03-23].

http://info.lib.ouhk.edu.hk/other_html/privacy.html.

[21] Privacy policy statement[EB/OL].[2015-03-23].http://www.twc.edu.hk/privacy-policy-statement/.

[22] Privacy[EB/OL].[2015-03-23].http://www.ctihe.edu.hk/EN/privacy.php.

[23] Privacy policy[EB/OL].[2015-03-24].http://www.cuhk.edu.hk/english/privacy.html.

[24] Privacy policy[EB/OL].[2015-03-24].http://www.hkapa.edu/site/privacy-policy/.

[25] 保障个人资料(私隐)[EB/OL].[2015-03-25].http://www.cuhk.edu.hk/policy/pdo/b5/.

[26] 2012年个人资料(私隐)(修订条例)[EB/OL].[2015-03-25].http://www.pcpd.org.hk/chinese/publications/files

/ordinance2012_over-view_c.pdf.

[27] 使用身分证号码及身分证副本[EB/OL].[2015-03-25].http://www.hkclic.org/tc/topics/personalDataPrivacy/id

_card_no_and_copy/index.shtml.

[28] 匡凌.网络隐私权研究[EB/OL].[2015-03-25].http://www.chinacourt.org/article/detail/2004/02/id/105170.shtml.

[29] 唐亦兵.试论图书馆网站的读者隐私权管理[J].图书馆工作与研究,2010(8):46-49.

[30] 代晓飞.台湾地区公共图书馆网站用户隐私权政策研究[J].图书馆建设,2011(12):38-40,44.

[31] 易斌.读者隐私保护政策研究[J].情报理论与实践,2011(8):7-10.

[32] 付立宏,李灵慧.中美两国图书馆网站隐私政策比较研究[J].图书馆学研究,2011(7):8,17-21.

[33] 付立宏,李平辉.澳大利亚、新西兰、新加坡和丹麦国家图书馆网站隐私政策比较研究[J].图书馆工作研究,2011(9):78-81,143.

何宁宇 北京大学信息管理系图书馆学在读硕士生。北京,100871;香港中文大学(深圳)图书馆技术服务部高级主管。广东深圳,518100。

(收稿日期:2015-09-29 编校:刘 明)