澳大利亚高校图书馆个人信息保护政策的研究与启示

鲁唱晚

(安徽大学管理学院，安徽合肥 230039)

1 引言

近年来，我国对个人信息保护的重视程度越来越高，颁布了多部法律法规。2013年实施的《电信和互联网用户个人信息保护规定》中对电信业和互联网中个人信息收集、使用、保护列出具体规定，切实保障用户的合法权益[1]。2017年实施的《中华人民共和国网络安全法》就个人信息安全与保护对网络运营者做出了要求[2]。在图书馆领域，我国颁布的相应法律中，也强调了对个人信息的保护。比如《中华人民共和国公共图书馆法》要求公共图书馆必须保护读者的个人信息[3]，为读者个人信息保护提供了法律依据。部分省级公共图书馆，比如江西省图书馆[4]、浙江图书馆[5]制定了相关声明，对读者个人信息的保护进行规定。然而，我国高校图书馆的个人信息保护意识较为淡薄。2016年，韩娟娟调查发现，仅有中央民族大学图书馆对个人隐私的保护做出声明[6]。截至2020年6月29日，笔者通过浏览“双一流”大学图书馆网站发现，仍仅有一小部分的高校制定了读者个人信息保护的声明，反映出我国高校图书馆在个人信息保护政策制定方面的发展较为缓慢。

在国内相关研究中，以中国学术期刊数据库为数据源，以“图书馆隐私保护”“图书馆个人信息保护政策”“高校图书馆信息保护”为主题进行检索，不限来源。将所得结果进行整理发现，现有研究主题主要包括以下几个方面。首先，对国外各类型图书馆的个人信息保护政策的研究，主要涉及美[7]、英[8]、加拿大[9]、澳大利亚[10]、日本等国家地区，比如李振从政策的修订与更新、收集个人信息的原则等方面，对美国公共图书馆的个人信息保护政策的内容进行分析[11]；吴雪敏从个人信息保护的原则、管理体制等方面探析了日本国立国会图书馆的读者个人信息保护政策内容[12]。其次，对港澳台地区高校图书馆隐私保护研究。李剑分析28所台湾地区的高校图书馆读者隐私政策中的读者权利、保密条款等内容，认为我国图书馆应学习优秀经验，加快出台相应法律政策[13]。韩娟娟对港澳台地区高校图书馆的个人信息保护政策进行调研，并与我国进行对比发现，内地高校图书馆注重知识产权保护，很少关注个人信息保护。最后，对我国图书馆读者隐私政策的研究。魏海燕等人调查了我国公共图书馆个人信息保护政策，并指出要提高读者对信息保护的重视程度、构建读者个人信息保护救济机制等建议[14]。陆康等人对我国省级公共图书馆和“双一流”高校图书馆的隐私政策展开调研，指出我国图书馆需遵守相关法律标准，以行业规则为前提制定相关政策[15]。

纵观现有研究，在研究主体类别上，以公共图书馆为主，对高校图书馆的分析较少。目前已有学者对澳大利亚国家图书馆[16]的个人信息保护政策进行了研究，以澳大利亚的大学图书馆作为研究对象的研究成果较少。但澳大利亚大学对个人信息的保护措施也较多，制定了一系列相关政策条款。基于此，本文选择澳大利亚的高校图书馆作为研究样本，对其个人信息保护政策内容进行分析，以期为我国高校图书馆编制个人信息保护政策时提供借鉴，充实相关理论。

2 澳大利亚高校图书馆个人信息保护政策制定情况调查

本文以2020年QS世界大学排名为依据选取研究对象。QS世界大学排名根据学生就业评价、学术领域同行评价等参数对每所大学打分，所得排名结果具有一定的客观性与可靠性，并在全球具较高的影响力。本文选择在QS世界大学前200名的9所澳大利亚高校作为研究主体[17]，保证了调查对象的代表性。截至2020年7月30日，通过浏览各高校网站、高校图书网站以及通过其内嵌搜索栏搜索发现，悉尼大学图书馆、悉尼科技大学图书馆独立制定了相关信息保护政策，剩余7所高校图书馆网站中未见其独立制定的个人信息保护政策，但其所属高校都公布了个人信息保护政策。这7所高校基本都设置有专门办公室，来负责在校师生的信息安全，制定相关个人信息保护政策，政策适用范围一般包括高校所有成员、所有部门机构。而图书馆作为高校的一部分，属于高校个人信息保护政策的保护范围之内。因此笔者将上述7所大学的个人信息保护政策作为图书馆的个人信息保护政策。澳大利亚高校除了制定政策，仍配备有隐私声明、隐私影响评估指南等相关文件，作为对个人信息保护政策的补充完善，共同保护学校相关成员的个人信息。比如墨尔本大学根据不同类型的学校成员，制定了一般性隐私声明、员工隐私声明、学生隐私声明等多部隐私声明，对每类群体的个人信息收集、保护、利用做出详细规定。此外，部分大学就其在个人信息保护中的责任和义务做出了详细阐述，澳大利亚国立大学还面向学校成员提供免费的在线隐私知识学习培训资源，并设置专门页面，集合常见的隐私相关问题，供学校成员参考。由此可见，澳大利亚高校普遍重视对个人信息的保护，在个人信息保护政策制定方面，也形成了比较完备的体系。基于此，本文将其制定的个人信息保护政策、隐私声明等一系列相关文件或指南均作为本研究对象，对其进行内容分析。

在个人信息保护政策的位置方面，7所大学将其放置在网站主页底部，以“隐私”(privacy)等字眼明确标识。悉尼科技所大学图书馆将个人信息保护政策放置在图书馆政策子栏内，悉尼大学图书馆的个人信息保护政策则通过站内搜索引擎查找获取。总体来看，9所大学图书馆的个人信息保护政策均能够直接获取，对于用户来说，查找相对便捷迅速。9所澳大利亚高校图书馆个人信息保护政策具体设置情况如表1所示。

表1 9所澳大利亚高校图书馆个人信息保护政策设置具体情况

3 澳大利亚高校图书馆个人信息保护政策文本的内容分析

3.1 法律政策指导

澳大利亚出台了《隐私法》《信息隐私法》《隐私和数据保护法》等多部法律，在个人隐私保护方面具有较为完备的法律体系。高校图书馆个人信息保护政策的制定和保护措施的实施过程中，需要受到上述法律政策的约束。7所大学的个人信息保护政策中指出本馆遵循的相关法律政策，对其进行统计发现，主要包括以下相关法律政策：①1988年发布的《隐私法》。该部法律中对个人信息的收集、使用等情况做出了详细的规定。澳大利亚国立大学、莫纳什大学等5所大学在个人信息保护政策中明确表示依据《隐私法》的要求，制定本校的隐私政策。但西澳大学和墨尔本大学指出，大学仅在特定的条件下受到此部法律的约束或仅仅遵循部分条款，比如在处理个人税收号(Tax File Numbers)相关信息时，需要遵守《隐私法》的规定[18][19]。个人税收号是澳大利亚税务局分配给个人管理税务的号码标识，通常由9位数组成。②欧盟《通用数据保护条例》。2018年5月，此项条例颁布实施，对保护欧盟成员国个人数据做出了具体规定[20]。墨尔本大学、西澳大学表示当收集来自欧盟成员国个人信息时，会遵守《通用数据保护条例》的相关规定。③2001年《健康记录法》。此部法律规定了如何收集、处理、保护个人的健康信息[21]。2所高校声明在这两部法律的个人信息收集原则之下，编制个人信息保护政策。由此可见，澳大利亚十分重视个人信息的保护，多部国家政府出台的法律为大学图书馆制定个人信息保护政策提供了指导。7所大学个人信息保护政策所遵守的相关法律政策如表2所示。

表2 7所大学个人信息保护政策所遵守的 相关法律政策

3.2 个人信息相关概念界定

在个人信息保护政策中明确个人信息的概念，有助于用户了解被收集信息的内容。6所高校图书馆在个人信息保护政策中阐明了本政策所保护的个人信息的概念。阿德莱德大学、西澳大学沿用1988《隐私法》中对个人信息的定义：能够识别出个人身份的信息或观点，不论这些信息或观点是否属实，只要能够从中实现个人识别，即属于个人信息[22]；墨尔本大学沿用2014年《隐私和数据保护法》中个人信息的定义，与上述定义大体相同；新南威尔士大学根据1998《隐私和个人信息保护法》，认为个人信息包括个人姓名、电话号码等内容，并将已死亡超过30年的人的信息与可在公开出版物中获取的信息排除在保护范围之内[23]；昆士兰大学将个人信息定义为任何能够识别出个人身份的信息，学校教职工的工资、学生在图书馆的借阅记录、个人的照片都属于个人信息[24]。由此可见虽然澳大利亚高校图书馆个人信息保护政策遵从不同的法律的规定，但其对个人信息的概念界定比较统一，即为任何有关识别个人身份的信息。此外，个人信息保护政策中还包括对以下相关概念的定义：①敏感信息。敏感信息是与个人的种族、政治观点、宗教信仰等有关的信息。②健康信息。墨尔本大学遵从2001年《健康记录法》，将健康信息定义为有关个人身心健康信息、个人在接受医疗服务中的信息、个人的遗传信息等[21]。

3.3 个人信息收集的内容和目的

多部政策中表示，只有在符合法律政策要求或者大学开展相关工作需要时才会收集个人信息，并在收集前通知用户。昆士兰大学指出会提前告知用户信息收集的原因、大学信息收集的权限以及可获取这些信息的第三方。如果个人拒绝提供个人信息，一般情况下大学会尊重其选择，但可能会导致个人无法享受大学提供的部分服务。对于个人信息收集的内容，这9所高校政策的表述各不相同，总结来看，其收集的个人信息主要有两类：①个人身份信息。这类信息可以用于识别出个人的真实身份，比如悉尼大学图书馆收集个人的姓名、联系电话、电子邮箱等[25]。悉尼科技大学图书馆表示在借阅服务中收集到的个人姓名等信息，不会向第三方透露，完全尊重用户的隐私[26]。②个人访问记录。这类信息包括用户使用图书馆资源的记录、个人浏览器的网址、访问网站的日期和时间、登入站点的用户名等。澳大利亚国立大学声明当用户访问学校网站时，其服务器会收集用户的浏览器地址、使用的浏览器类型等信息，这些信息不用于识别个人身份，仅作为系统维护与管理时的依据[27]。

针对收集信息的内容不同，相应的目的也不同。①收集个人身份信息的目的。高校图书馆收集个人信息主要是为了执行特定的职能，或者在某些活动中不得不收集信息。比如在管理学生入学、住宿、使用图书馆、申请就业等相关事宜时，必须采集本校学生的真实信息。②收集个人访问记录的目的。整合分析用户的访问记录能够帮助图书馆判断网站的使用情况，对网站系统进行定期的维护和更新。新南威尔士大学在其网站上设置了反馈渠道，使用户能够为网站的未来发展提供意见。用户使用此项服务时，必须提供姓名与邮件地址以便及时收到回复，在此项服务中收集的个人信息不会被利用在其他的服务中。

3.4 个人信息安全的维护

澳大利亚高校致力于保护个人信息的安全与完整性，6所高校在政策中强调个人信息安全的重要性，并通过以下三个方面从源头预防个人信息被泄露盗用的风险：①利用物理技术来保证所有个人信息的安全。莫纳什大学网站设有防止信息丢失、误用、更改的安全措施，并且在与某些签约服务提供商合作时，确保其受到相关隐私法律的约束，或者要求其提供个人信息保护的声明[28]。②及时销毁废旧信息。西澳大学保障收集个人信息系统安全，防止数据丢失与未经授权的访问，并及时销毁大学不需要再次利用的个人信息。但对于由第三方恶意窃取数据或因技术故障而导致丢失的数据，西澳大学不承担任何责任[18]。③提高大学职员个人信息保护的意识。澳大利亚国立大学除了在技术层面来维护个人信息、定期销毁老旧信息之外，还要求职员遵守隐私政策及相关法律，秉持认真负责的态度处理个人信息[27]。昆士兰大学要求职工采取有效的预防措施来确保在工作中不会泄露个人信息，并妥善保管任何纸质文件[24]。

3.5 个人信息披露的声明

7部个人信息保护政策对个人信息披露的条件与场合做出了详细规定。虽然个人信息保护政策防止用户信息的外泄，通常情况下，图书馆仅在用户同意的情况下使用或披露个人信息，但在某些特殊情况中，图书馆有可能会在未经过用户同意就向第三方透露其个人相关信息，主要有以下几种情境：①相关法律的要求。新南威尔士大学明确表示除非法律要求其提供，否则不同任何第三方共享个人信息[23]。②税务局、教育部等地方政府部门要求统计师生信息。③在紧急情况下，向警察、医务人员等透露用户的个人信息。在某些紧急情况下，大学自主判断披露个人信息能够减少对个人生命、公共安全的威胁时，即使未取得用户同意，也拥有披露信息的权力。④师生的转校、晋升等情况下需要向第三方提供相关档案信息。图书馆在向外披露用户个人信息时，也会对第三方做出要求，确保其不会滥用用户信息。比如西澳要求大学向部分位于境外的第三方提供服务时，必须同其签署相关协议，确保其遵循澳大利亚的隐私原则[18]。

3.6 个人信息的查询与修改

8所大学的个人信息保护政策指出，个人有权申请查看大学所收集关于本人的信息，并要求大学更改错误的个人信息。关于个人信息查看与修改的规定，主要涉及到以下几方面内容：①身份核验。在接收到个人信息查询修改申请后，澳大利亚国立大学表示必须在本人的身份核验通过之后，才给与查询修改渠道。②申请方式。一般情况下，个人可通过政策底部所给出的联系方式进行申请，但阿德莱德大学、莫纳什大学根据不同的对象，规定了不同的申请方式。比如阿德莱德大学规定，大学职员可以通过联系人力资源管理部门查看个人档案而无需提交正式的申请，在校学生可以通过信件或发送电子邮件向大学咨询[29]。两所大学规定的申请方式具体如表3所示。③大学的权利。通过对个人申请进行审核，大学有权拒绝对信息的修改，并告知个人拒绝的原因。但如果个人申请的情况属实，大学必须无条件的修正错误信息。④回复时间。多数大学表示会在一个合理的时间范围内回复个人申请，澳大利亚国立大学明确说明将在收到请求后的30天内回复。

表3 阿德莱德大学与莫纳什大学规定的申请方式

3.7 个人信息权利的维护

当用户认为大学或者其工作人员在采集、使用、公开个人信息时违反了个人信息保护政策规定，侵害了个人利益或者用户认为大学存在着故意泄露个人信息的行为，可以通过所给联系方式进行投诉维权。昆士兰大学要求个人必须以真实身份信息进行投诉，若收到匿名投诉信息则不予受理[24]。阿德莱德大学鼓励用户在发现威胁个人信息安全的行为的6个月内进行投诉维权，以便大学能够更加及时有效的处理[30]。在回复时间方面，多数高校个人信息保护中没有明确说明，但澳大利亚国立大学与阿德莱德大学指出将在30天内回复。此外，多数高校表示，如果用户不满意大学对投诉的处理结果，可以通过向信息专员或相关政府部门再次进行投诉，进一步维护自己的权益。

4 对我国高校图书馆制定个人信息保护政策的启示

4.1 设置个人信息保护办公室，增强高校图书馆个人信息保护的主动性

本文调查的9所高校均设置了个人信息保护办公室，莫纳什大学对其职责做出了详细解释：个人信息保护办公室负责学校内的个人信息安全，处理投诉事件，解决第三方对个人信息保护政策产生的疑问，并协助大学员工个人信息相关知识的教育[28]。个人信息保护办公室的存在为个人信息的维护、政策的更新与调整提供了极大的支持。我国高校鲜少有专门设置个人信息保护办公室，因此增强高校图书馆个人信息保护的主动性可以从下述几方面着力：

①设置个人信息保护办公室。有条件的图书馆应成立专门的个人信息保护办公室，负责处理高校图书馆个人信息保护政策的制定、读者个人信息的维护、个人信息纠纷等问题。并设置个人信息保护专员，对政策的实施、馆员的自律进行监督评估。②加强馆员教育。图书馆馆员拥有直接接触读者个人信息的权限，因此一方面要加强馆员的行业自律，在图书馆馆员守则中强调馆员维护读者信息的重要性，对于滥用、泄露、随意更改读者信息的职员予以严肃的处罚。另一方面通过开展课程教育、专家讲座等方式，培训馆员保护个人信息的能力。③校方主动参与。比较9所澳大利亚高校的个人信息保护政策发现，在数量和内容上，图书馆独立指定的政策，均比学校制定的个人信息保护政策简略的多。而图书馆是学校的一部分，其相关工作活动必须受到学校政策的制约。基于此，学校可以主动参与制定个人信息保护政策的制定，聘请专家建立本校的个人信息保护政策体系，切实维护学校成员的个人信息安全。

4.2 并举内容数量，制定高校图书馆个人信息保护政策

内容方面，包括个人信息的定义、个人信息收集的目的、个人信息披露的条件等等详实的内容。数量方面，澳大利亚高校制定了多部文件保护学校成员的个人信息。我国高校图书馆在个人信息保护方面的意识较低，公布相关政策的高校仍在少数。基于此，我国高校图书馆个人信息保护政策的制定可以从内容和形式两个方面学习相关经验：

①政策内容数量需丰富，实施动态更新机制。个人信息保护政策内容应从个人信息收集、个人信息使用、个人信息公开、个人信息维护四个方面制定。在个人信息收集中应阐明个人信息收集的目的、原则、范围、途径等；在个人信息使用中需规定使用的条件、使用的场合；在个人信息公开中应规定公开的对象、公开的情境、公开的期限等；在个人信息维护方面需编制个人信息更改、个人隐私维权、隐私侵犯的申诉等内容。个人信息保护政策实施后，也应及时根据网站的发展、用户的使用情况灵活地做出调整，适应图书馆的发展。政策调整后也应及时提醒读者查看。比如莫纳什大学表示会不定期对个人信息保护政策做出调整，政策内容发生变化时会通过发送邮件等形式通知用户。②在数量方面，可以借鉴澳洲高校，在完成个人信息保护政策的制定后，可以着手制个人信息保护政策实施细则等文件作为其补充说明，以多部有效的文件共同维护全校师生的个人信息安全。

4.3 构建法律体系，国家加速出台《个人信息保护法》

澳大利亚在出台了多部法律来保障个人的信息与隐私，比如1988年的《隐私法》对个人隐私类型做出详细划分[31]；2012年《个人控制的电子健康记录法》出台，强调对个人健康信息的保护[32]。2017年《隐私修正案(数据泄露通报制度)》颁布，这部法案对1988年的《隐私法》进行完善，进一步推动了澳大利亚的隐私立法[33]。澳大利亚高校图书馆个人信息保护政策的制定也秉持这些法律的理念与精神。相比之下，我国的个人信息安全保护相关法制建设稍显逊色，对个人信息的保护散见于《中华人民共和国消费者权益保护法》等多部法律政策中，专门的《个人信息保护法》《数据安全法》仍在制定过程之中。因此我国应加快相关专有法律的出台，构建完备的个人信息保护法律体系。可以从以下两个方面来加快法律体系的完善：

①国家应加快出台多部保护个人数据、个人隐私的法律，为个人信息的保护构建系统的法制框架。在国家法律政策的导向下，各地教育部门出台相关个人信息保护政策，对高等学校中的个人信息收集、利用、公开等做出明确规定，并要求各高校结合自身的实际情况，发布各自的个人信息保护政策。②在《中华人民共和国公共图书馆法》中增添个人信息保护相关条款。我国的《中华人民共和国公共图书馆法》中虽然涉及到有关读者个人信息保护的问题，但是内容占比不多。而作为公共图书馆领域内的唯一法律，需要在其中规定读者个人信息的定义、图书馆允许收集读者个人信息的内容，从而为各级各类图书馆读者个人信息保护政策的制定提供借鉴参考。

5 结语

通过对澳大利亚高校图书馆个人信息保护政策的现状调查和内容分析，发现澳大利亚高校图书馆比较强调读者个人信息的保护，其国家的相关的法律基础也比较完善，其优秀的经验值得借鉴。我国高校图书馆应认识到在自身在个人信息保护方面的不足，加快制定相关政策，切实维护读者个人信息安全。