智慧图书馆用户数据隐私保护研究——基于《中华人民共和国网络安全法》和《一般数据保护条例》的文本启示

陆 康，刘 慧，任贝贝， 张 婧

（1．南京晓庄学院图书馆；2．上海市网络技术综合应用研究所）

随着以开放共享为核心的互联网思维深入人心，数据价值逐渐被重视，数据隐私问题也愈发严重。关于“大数据与隐私保护”的相关研究发端于2013年左右，爆发于“棱镜门”事件，且由“发现问题”向“解决问题”转变。［1］我国《中华人民共和国网络安全法》以及欧盟《一般数据保护条例》分别于2017年6月1日、2018年5月25日正式施行，由此，数据隐私的保护逐步规范。目前，全球范围内数据隐私问题呈现出三大趋势：用户保护数据的意识逐渐加强、数据使用规范化水平参差不齐、用户数据智能化处理的伦理问题。［2］智慧图书馆建立在大数据以及相关互联网技术的基础上，用户数据隐私保护是智慧图书馆研究的重要方向之一。数据隐私保护的核心在于规范化使用数据并通过法律、法规、标准、技术等方法对核心数据和信息加以保护，形成完善的图书馆安全保障体系，因此，图书馆管理者急需借助法律法规与技术方案来构建数据隐私与安全保障体系，进一步推进智慧图书馆的建设。

1 《中华人民共和国网络安全法》有关数据隐私问题

1.1 发布《中华人民共和国网络安全法》的意义

2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》（以下简称《网络安全法》），并于2017年6月1日正式施行。《网络安全法》为国家网络安全战略构建与网络强国建设提供了保障，为网络空间的管理提供了依据，形成了我国网络空间管辖的基本法律。同时，在互联网领域深入贯彻依法治国的精神也成为了互联网社会中用户、机构遵守的法律准则。［3］

1.2 内容分析

《网络安全法》第四章设立了专门条款（第四十条至四十五条）保护公民个人信息安全，［4］其中既包括互联网运营者在保护公民个人信息中应当履行的义务，也包括个人在维护自身信息安全时享有的权利。随着互联网技术的快速发展以及大数据、人工智能、云计算、区块链的广泛应用，互联网运营者收集的用户数据范围不断扩大，拥有收集数据功能的应用系统不断增多。《网络安全法》要求互联网运营者等数据控制者和处理者做到以下四点。① 制度保障。互联网运营者对其收集的用户数据须严格保密，并健全用户信息保护制度。② 合法按需使用用户数据、坚持流程公开。数据控制者在收集、使用个人数据时须遵循合法、正当、必要的原则，且应经过被收集者同意，其收集、使用个人数据的目的、方法和内容应当公开，不得进行超出目的范围的个人数据收集活动。③ 危机应急机制。数据控制者在收集、使用用户数据时应保障数据安全，防止数据泄露、损毁、丢失。一旦出现安全风险时，应立即启动应急机制并及时告知数据主体（用户）以及报告相关部门。④ 数据主体（用户）的授权原则，即数据控制者、处理者向第三方提供用户数据时应当征得用户的同意。《网络安全法》规定，数据主体拥有个人数据的删除权和更正权。［4］如果数据控制者在使用数据时出现收集/使用行为不具备合法性、收集/使用用户个人数据的目的消失、约定的收集/使用用户数据的期限届满、用户数据存在不完整或不准确等情况，数据主体有权要求数据控制者予以删除、改正、补充，而数据控制者应当及时回应并采取相应措施。

2 《一般数据保护条例》的数据隐私分析

早在1974年，经济合作与发展组织（Organization for Economic Cooperation and Development，OECD） 就成立了有关跨境个人信息传输与隐私权保护的专家组，以探讨个人数据传输过程中的保护问题。据互联网数据中心（Internet Data Center，IDC）预测，到2025年，全球数据圈将扩展到163ZB，相当于2016年所产生数据的10倍。［5］数据的管理，尤其是数据安全、数据隐私等与用户相关的问题逐渐成为各类机构所面临的重大挑战之一。《一般数据保护条例》（GeneralDataProtectionRegulation，GDPR）被认为是当前最严格的个人信息保护规范，相对于《95指令》而言，GDPR扩大了使用范围、扩充了原则性规定、增加了数据主体的权利。如，增设被遗忘权（删除权）、数据可携带权，在“免受自动化决策权”基础上提出“数据画像”以及延伸“知情权”与“访问权”。①

2.1 《一般数据保护条例》的数据主体权利分析

数据主体一般是指能够识别自然人的信息，如姓名、身份证件、生物、互联网ID等能够直接识别的信息以及间接获取相互关联的信息。GDPR数据主体权利保护的模式（体系）以及涉及的利益平衡问题是数据主体权益探讨的重点（见表1）。

表1 GDPR的数据主体权利保护体系与利益平衡问题

2.2《一般数据保护条例》的数据控制者义务与责任分析

数据主体在整个数据领域中处于弱势群体地位。数据控制者拥有数据的管理权，其义务与责任需进一步明确。GDPR第四章“数据控制者和处理者”规定了数据控制者和数据处理者的义务（见表2）。GDPR认为，对数据控制者与处理者的限制不但尊重了数据主体的基本权利和自由，也是实现社会民主的必要与适当措施。但是，对数据主体的限制不应违背《欧盟基本权利宪章》和《欧洲保护人权和基本自由公约》中的相关规定。此外，数据控制者、数据处理者应该承担最低限度的义务：① 技术与组织方面实施数据保护原则以提高数据使用效率，实施数据最小化原则以明确数据数量、存储时间；② 数据处理者应与业务相结合，数据处理行为必须要留痕，并积极配合数据溯源与监管；③ 数据处理过程必须保密、完整，定期测试、评估，验证评价技术与策略方案的有效性、安全性与稳定性，同时配备具有较高数据素养的人员进行数据维护与保障；④ 数据管理是一项系统性的工作，数据接触者的数据素养教育不仅涉及到数据安全，也关系到数据利用效率。因此，数据素养教育是数据控制者、处理者的必修课程之一。

表2 GDPR的数据控制者与处理者内容

2.3 《一般数据保护条例》的数据流动规则分析

GDPR对数据控制者提出了相应要求，如要求以结构化数据的格式向数据主体（用户）提供与其有关的个人数据。在此前提下，GDPR支持数据控制者进一步开发数据的可移植性与互操作性格式，便于数据的流动与共享。数据处理的前提是征得数据主体的同意或者履行合同，数据主体也享有数据可移植性的权利，需注意的是，当该权利与公共利益相悖时无效。数据主体拥有对其他数据进行操作的权利，但不能强制数据控制者进行相应的技术开发与保障，即数据主体遇到数据处理问题时需自行解决。遇到多来源的数据主体时，数据主体之间具有相等的权利与自由，数据主体的删除权与限制处理权受到保障，数据主体有权将个人数据从一个数据控制者传递给另外一个数据控制者。2018年10月4日，欧洲议会通过《非个人数据自由流动条例》，旨在促进欧盟境内非个人数据自由流动、消除欧盟成员国数据本地化的限制，［6］同时，补充了个人数据的立法，促进了数据经济的发展。我国各领域可鉴欧盟数据管理的经验，在加强个人数据、重要数据保护的同时，促进除数据隐私、商业机密外的与国家安全无关的数据流动，从而推动我国数字经济的繁荣与发展。

3 《中华人民共和国网络安全法》与《一般数据保护条例》中个人信息权比较

3.1 个人信息权

GDPR赋予数据主体七项数据权利，即知情权、访问权、修正权、删除权（被遗忘权）、限制处理权（反对权）、可携带权、拒绝权；《网络安全法》及其配套的有关“个人信息权”大致也分七类，包括知情权、访问权、更正权、删除权、注销权、明示同意权、撤回权。［7］我国“个人信息权”确立的基础和保护核心不仅在“个人信息”本身，同时也在于对数据控制者与处理者使用个人数据的规制。国内相关政策法规对数据控制者与数据处理者的要求与规制较多，数据控制与处理机构的人才培养、数据素养提升成为数据使用规范化实施的重要因素。《网络安全法》中确立了多项“个人信息权”条款，但是仍存在条文不够细化、规定原则化的现象。［8］2018年5月1日起施行的《信息安全技术 个人信息安全规范》（以下简称《个人信息安全规范》）属于《网络安全法》第四章的一项重要配套规范，《个人信息安全规范》相关条款的制定参照了国际最新的规则和立法标准，被认为是中国化的GDPR。［9］但《个人信息安全规范》属于标准，并且不属于强制性标准（推荐性的标准）；而GDPR是欧盟的“条例”（编号EU-DSGVO），具有强制性，且是欧盟有史以来最为严格的网络数据管理法规，如英航因泄露用户信息被英国信息监管局通告罚款近2亿英镑。［10］《网络安全法》与GDPR也存在共性内容。如，GDPR第23条与《网络安全法》第28条中关于国家安全的内容、GDPR第51条与《网络安全法》第8条中关于治理框架的内容、GDPR第44条与《网络安全法》第37条中与数据跨境相关的内容等。然而，对于智慧图书馆用户服务的重要部分——用户身份认证方面，GDPR的第11条做了规定而《网络安全法》未具体说明，只有《电子签名法》《区块链信息服务管理规定》等做了相关说明。

3.2 个人信息权条款对数据共享的影响

《网络安全法》以及《个人信息安全规范》在个人信息使用与保护方面借鉴了国外的立法经验，如知情权、访问权、更正权、删除权等，同时也融合了我国特色内容，如删除权、注销权、明示同意权与撤回权等。近年来，数据隐私问题日益受到社会的关注，智慧图书馆也需要参照《网络安全法》《公共图书馆法》等法律法规以及《个人信息安全规范》等标准制定隐私条款，完善个人信息与数据安全保护机制，保障智慧图书馆的健康发展。［11］GDPR被认为是全球保护用户数据隐私里程碑式的立法，但是其中部分内容对数据流动（共享）进行了限制，如不得以处理个人数据过程中对自然人的保护为由，限制或禁止个人数据在欧盟内部进行自由流动。①GDPR中的数据“可携带权”规定数据主体可以索取数据控制者所掌握的数据并转移给其他数据控制者，这类规定将数据视为财产的一部分，但仍存在着逻辑冲突问题。因此，智慧图书馆的数据流动（共享）机制的规范性需随着互联网数据圈的形成而不断完善。

4 对智慧图书馆的启示

智慧图书馆的文献资源管理、空间服务保障等业务系统运行都与数据主体（用户）存在关联，而图书馆开展智慧服务所需的数据也是与数据主体、业务运行相关的数据，因此，数据管理也是智慧图书馆重要的工作之一（见表3）。

表3 智慧图书馆数据主体与数据控制者、数据处理者

图书馆是数据控制者，负责智慧图书馆数据业务的宏观设计与微观管理。参考GDPR以及《网络安全法》有关个人信息保护的内容，图书馆的各项业务是数据处理者，所以图书馆应该围绕业务使用数据（见下图）。

图 数据主体、数据控制者与数据处理者三者关系

4.1 智慧图书馆应遵循数据处理的七项原则

智慧服务、空间服务、数据决策等服务理念以及人工智能、云计算、大数据、区块链等技术广泛应用于图书馆中，形成了以文献资源保障为基础、以用户需求为中心、以空间服务为特色的综合服务保障体系。根据GDPR与《网络安全法》中个人信息使用与保护的条款内容，图书馆的数据处理需要遵循七项原则：（图书馆、用户）权责统一、（数据使用）目的明确、（数据主体）选择同一、（数据）最少够用、（数据使用）公开透明、（数据）确保安全和（用户）主体参与。数据主体与数据控制者（处理者）之间关系的维护以及数据隐私与数据共享之间平衡性问题的处理是智慧图书馆业务开展过程中不可回避的流程之一。因此，智慧图书馆遵循数据处理的七项原则，使数据使用规范化、制度化，是进一步高效完成业务的基础。

4.2 智慧图书馆应明确数据处理合法原则

数据收集、保存、处理、使用、销毁等操作都必须遵循合法性原则。智慧图书馆在收集数据前应告知数据主体（用户），并征得其同意，告知内容必须详细、完善。用户数据处理流程方面应该逐条梳理个人敏感数据，规范数据控制者的行为，做到数据收集公开化并获取用户“明示同意”的授权。智慧图书馆的用户画像及个人信息安全的评估、删除、公开披露、转让、共享、匿名化与去标识化等行为也应纳入规则管理。智慧图书馆的数据流动（共享）是保障各项业务有效开展的基础，必须明确数据处理的合法性原则，进一步规范以业务数据为支撑的智慧服务体系。

4.3 智慧图书馆应完善数据主体同意条款

为了满足用户日益增长的知识、信息的需求，图书馆开展各项服务必须认识并高度重视用户权益。［12］为了保护用户的数据隐私、保障用户的知情权，图书馆应进一步完善数据主体的同意条款机制，将数据使用的目的、意义、技术、方法、风险及时告知数据主体，并具体说明数据控制者的责任与义务。此外，数据主体同意条款的制定与语言表述需要参照《个人信息安全规范》进行规范化处理，且应在语言表述方面顾及不同数据主体的接受程度，尽可能获得大部分数据主体的理解与支持。

4.4 智慧图书馆应进一步加强数据安全保护

智慧图书馆运用安全防护技术与策略加强系统平台与数据保护，是保障智慧服务实施的基础。图书馆应该在国内外相关大数据安全保护法律的指导下,构建符合自身特点的行业操作安全规范和标准，使图书馆安全性评估与保护有统一的执行标准和操作规范。［13］图书馆安全管理模式应该从传统的安全事件驱动转换为适应智慧图书馆发展的大数据决策驱动，以大数据分析结果建立以分布式拒绝服务攻击 （Distributed Denial of Service Attack，DDoS） 态势感知、溯源模型、高级持续性威胁（Advanced Persistent Threat，APT）攻击模型、防护系统脆弱性感知、系统漏洞发现感知等模型，并基于AI技术提升图书馆安全防御系统的智慧化水平。智慧图书馆建立基于安全大数据决策支持的服务系统安全事件监测与预测、安全威胁与漏洞等级评估、安全防御系统智能响应管理机制能有效防御智慧图书馆安全管理面临的危险，为用户提供安全的文献资源获取环境。［14］

4.5 智慧图书馆应建立数据共享（流动）制度

图书馆的智慧服务存在界限，高校图书馆的界限在高校及共享联盟范围内。智慧图书馆需要建立数据共享（流动）机制，以支持文献资源的共享，提高文献资源的利用率。随着共享规模的扩大，联盟内数据控制者与数据处理者权限范围亦不断扩大，不再局限于用户所在的图书馆，因此，建立数据共享机制——数据共享空间（DataCommons，DC）有助于在数据安全制度范围内提高智慧图书馆的数据使用效率。智慧图书馆的数据馆员扮演重要角色，承担着数据治理的责任。如果图书馆员在智慧图书馆数据共享（流动）机制中参与数据级别计量的发展，那么其将在科研数据开放共享的进程中更具能力，能够扮演推动全社会创新发展的知识服务角色。［15］

［注释］

① 本部分内容由作者参照欧盟《一般数据保护条例》第 1、3、5、6、7、8、9、10、11、15、17、20、72条翻译而来。