许碧涵 杨九龙
摘要:信息安全政策是图书馆可持续运行的制度保障,数据时代图书馆信息安全政策的科学设定及规范实施具有重要意义。基于核心研究文献的分析,研究界定了图书馆信息安全政策内涵,调查了美国10所主要高校图书馆信息安全政策,认为从图书馆信息资源内容安全、信息交流安全和用户隐私安全三方面进行政策制定,可确保图书馆信息安全,保障服务的连续性与发展的稳健性。
关键词:图书馆;信息安全;政策法规;美国高校
中图分类号:G251 文献标识码:A
DOI:10.13897/j.cnki.hbkjty.2023.0011
0 引言
随着大数据时代的来临,在享受大数据分析带来的精准信息服务的同时诸如信息泄露、黑客袭击、病毒传播等安全问题亦层出不穷。为此,国家层面出台了系列法律法规文件,如2017年起实施的《中华人民共和国网络安全法》将信息安全等级保护制度上升到了法律的高度,2018年起《网络安全等级保护条例》等等级保护2.0标准陆续发布,《互联网个人信息安全保护指南》《信息安全技术个人信息安全规范》等也陆续出台实施。国际上,2018年欧盟《通用数据保护条例》(以下简称GDPR)生效,旨在加强对欧盟境内居民的个人数据和隐私保护,同时通过统一数据和隐私条例来简化对跨国企业的监管框架。GDPR被视为“史上最严”的数据保护立法,是欧盟起草的最全面的数据隐私法,也将为主权国家的数据隐私设置先例。这些法规政策为图书馆信息安全政策的研究提供了重要参考。
信息安全政策是一个组织内信息安全的指导性文件。高校图书馆不仅汇聚了海量文献信息,同时也是互联网上信息密集交流的重要节点,在信息技术服务、信息工具应用、数据开放获取、文献资源共享等方面均涉及信息安全问题,制定全面合理的信息安全政策对图书馆健康可持续发展、确保用户权益、提供高品质服务极其重要。当前,部分欧美国家已经在其学校规章中明确图书馆的信息安全要求或图书馆专门制定有相关的信息安全政策,然而国内学界对此问题关注较少,国内高校图书馆的信息安全实践呈现零星碎片化的态势。本文提出图书馆信息安全政策的内涵并通过调查美国高校图书馆信息安全政策的制定现状,以期为国内图书馆信息安全政策的制定与完善提供参考。
1 图书馆信息安全政策研究综述
国外关于图书馆信息安全政策着重于技术维度,其研究主要集中在三个方面:一是圖书馆信息系统构建及技术安全。通过加密认证、设置保护软件、程序编写等科学技术预防和纠正信息处理和传输过程中的安全问题并控制威胁,以维护图书馆信息系统的安全性[1];通过在图书馆引入保护数据机密性的机制,模块化处理数据并实施动态解密,从而保证图书馆程序中信息流的安全[2]。二是数字图书馆信息安全风险评估模型及案例研究。根据信息安全管理要求ISO27001,构建了适用于数字图书馆的基于模糊数学、威胁场景生成、CVSS和风险矩阵的综合评价模型[3];以一个典型的数字图书馆为例,采用数字图书馆信息安全评估方法对图书馆的信息安全性进行评估,为提高图书馆信息安全性提供了建议[4]。三是对数字图书馆的信息安全进行分析。通过对数字图书馆信息安全现状的探究,得出计算机硬件软件、网络安全风险、缺乏管理和有效的安全机制是使其容易遭受攻击和瘫痪的主要因素,并提出应对的信息安全政策策略[5]。总体而言,其图书馆信息安全政策的研究大多集中于技术维度,关注物理环境、网络通信、设备计算和应用数据安全,并针对图书馆信息资源可能存在的不安全因素提出技术层面的解决方法。
国内关于图书馆信息安全政策的研究则相对较少,主要集中在两个方面:一是对国外信息政策及信息资源建设的发展介绍,进而提出对国内的启示建议。如借鉴国外大学的信息政策提出信息政策应包含有学校机密、个人信息保护政策等的信息保护政策和计算机、网络、信息资源、数据安全政策等的信息安全政策
[6]。通过对国外高校图书馆信息共享空间网站进行调研,归纳总结出其信息安全政策并提出对我国的启示建议[7]。在信息资源建设政策研究中从宏观上对国内外信息安全政策的现状加以概括,但没有聚焦于图书馆领域,并且提出对信息安全政策的讨论有待进一步深入[8]。二是结合云计算环境指出图书馆信息资源安全政策法律研究的必要性。认为云计算在给图书馆带来变革的同时也会带来数据资源的安全存储、知识产权保护、数据保密、用户权限管理及访问控制管理等安全问题,因此,在云计算环境下对图书馆信息资源安全进行政策法律研究十分必要,并构建了研究框架[9]。相关研究多涉及信息安全管理、信息安全政策,与图书馆实体无较大关联,或者多从图书馆信息安全现状、管理、防范等方面展开,与政策研究无关。
2 图书馆信息安全政策内涵
已有文献对图书馆信息安全、信息安全政策等有一定的研究,但对图书馆信息安全政策尚未明确界定。中国知网百科中有对“信息安全政策”这一词条的定义,其中从安全领域来看,信息安全政策可以分为物理信息安全政策、数据安全政策、系统安全政策、网络安全政策和应用安全政策。该定义对信息安全政策进行了界定,但图书馆信息安全政策内涵的界定并非两个名词语义的叠加。
《网络安全法》要求建立健全用户信息保护制度,对用户信息严格保密;《网络安全等级保护条例》中要求保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全。这些法规条例规定了网络大环境下的信息化发展与秩序,具体到图书馆层面,笔者认为图书馆信息安全政策范围应包括:图书馆信息资源内容安全政策、信息交流安全政策和用户隐私安全政策等三方面。信息资源内容安全政策应包含图书馆纸质及电子信息资源收集及网络传递安全、图书馆购买使用的商业及自建数据库中所采集收录内容的安全与可靠等;信息交流安全政策应包含图书馆员电子邮件传送及信息操作系统使用安全在内的各种与图书馆日常工作涉及内容相关的信息交流安全,图书馆员在解答用户参考咨询时与用户信息交流的内容安全等;用户隐私安全包括图书馆用户个人隐私安全及信息访问记录安全等内容。因此,通过在制度层面上构建图书馆信息安全政策可确保图书馆所提供数据库及纸质资源内容合法安全,馆员日常工作及与用户沟通交流过程安全,最终确保用户的阅读行为及个人隐私受到保护。
3 美国高校图书馆信息安全政策分析
根据USNews发布的2022世界大学排行榜数据,通过访问美国排名前10的大学图书馆网站了解其信息安全政策。结果显示见表1:调查表明美国高校普遍重视信息安全政策的制定,或是设置专门的实体管理部门进行信息安全管理,或是在高校的政策法规中规定有图书馆应遵循的信息安全条文,更多的图书馆则是制定有专门的信息安全政策条文。
美国高校较为重视信息安全政策体系的构建,重视制度性规范、实施性规范和监督性规范的建设,基本上各大学均建立了较为完备的信息安全政策体系,部分还设置大学首席信息安全官进行信息安全政策的监督与维护。图书馆信息安全政策部分是包含在学校统一的政策之中,图书馆作为高校重要组成部分须遵循学校整体的信息安全政策,但大多数图书馆同时制定了符合实际工作更细致的信息安全政策。如华盛顿大学制定了信息安全控制与操作规范,设置大学首席信息安全官监督大学信息安全和隐私相关政策、标准和指南的制定及维护;图书馆的信息安全政策属于学校信息安全控制与操作规范范畴,同时图书馆还制定了单独的信息安全政策,内容包括图书馆重视用户的隐私保护,力求最大限度地减少个人身份信息的收集和保留;维护的个人信息不会出售给第三方等。
结合本文对图书馆信息安全政策内涵的界定,可以看出美国排名前10的高校中,其学校信息安全政策或者图书馆信息安全政策中均包含有信息安全政策的三个方面内容:
在图书馆信息资源内容安全政策上,多数高校图书馆都要求个人在管理中或在使用信息资源时必须采取合理措施,保护它们在存储、处理或传输数据时免受未经授权的修改、披露和破坏。加州大学伯克利分校图书馆政策中除规定若要收集支持图书馆业务活动的受保护数据,除必须由大学图书馆员以书面形式授权外,还指出这些信息资源的使用必须严格遵守书面明确的处理时间表,永远不允许将受保护的数据存储在连接到计算机网络的任何服务器、台式机、笔记本电脑上,纸质格式的受保护数据必须在文件柜中保存等详细的细节,可见在其政策制定中的严谨周到。
在图书馆信息交流安全政策上,政策保护用户与馆员交流的内容;但在危害公共安全、违反大学相关政策等的情况下图书馆信息交流安全政策仍然以大多数公众的利益为重。如麻省理工学院图书馆信息安全政策中指出,对于用户向馆员进行参考咨询时所提出的问题,即使在执行必要规定时,也将对提问者进行模糊处理,以便隐去提问者个人信息,保护用户与馆员交流的内容。加州大学伯克利分校图书馆政策指出,图书馆在大多数情况下不会透露用户所咨询的信息,但在有搜查令或传票要求,或者有充分理由相信用户违反法律、大学或图书馆政策的行为时会依据相关要求将用户信息向相关执法机关披露。
在用户隐私安全政策上,保护用户隐私是图书馆长期的价值追求,上述高校图书馆信息安全政策制定中几乎都标明其注重用户个人基本信息、借阅信息、图书馆网页浏览查询等敏感信息的保护,并不轻易向外界提供披露,不会出售用户数据,最大限度地减少个人身份信息的收集和保留,同时不分享并拒绝将用户信息透露给商业组织或政府等第三方组织。
4 国内图书馆信息安全政策的实施现状
根据软科世界大学学术排名发布的2022年中国最好大学排行榜数据,通过访问图书馆网站对国内排名前10的大学图书馆进行了调查,以期了解我国高校图书馆信息安全政策的
制定实施情况。结果显示:清华大学、北京大学、浙江大学、上海交通大学、复旦大学、南京大学、中国科学技术大学、华中科技大学、武汉大学和西安交通大学,在其图书馆的官网上都没有直接发布关于图书馆信息安全的相关政策,在其规章制度中多数内容是关于入馆借阅、读者证使用、文献传递、禁止占座等相关对用户的规定。部分图书馆有关于保护电子资源知识产权的相关规定,包含内容为:禁止连续、系统、集中、批量地进行下载、浏览、检索数据库等操作,禁止私设代理服务器供校外用户访问图书馆的电子资源,禁止对下载的电子文档进行重新编辑、系统复制、转售、转发和重新出版,禁止利用所获得的文献资料进行非法牟利,禁止泄露个人帐号和密码给他人使用等内容。这些对电子信息资源的规定仅为用户在使用其资源时需要遵循的规定,并不包含有关图书馆信息资源内容安全保护、信息交流安全及对用户个人隐私保护的相关说明性政策文件,可以说其规章制度多是对用户行为的限制。从中我们可以看到国内高校图书馆在信息资源内容安全、员工行为规范、用户隐私保护方面仍存在制度政策支撑不足、行业操作实施缺乏指导、评估评价体系缺失等问题。
5 启示与建议
5.1 健全信息安全制度
在信息资源急速增长的时代,信息安全便显得尤为重要。图书馆作为信息的集散地,在对信息资源的管理上如何确保其安全成为图书馆面临的重要问题。面对这一难题,当务之急在于制定规章制度以确保图书馆信息资源的安全。国外高校及其图书馆在政策法规中均有关于信息安全政策的相关内容,以确保图书馆信息资源内容、信息交流及用户隐私安全,相比之下我国高校图书馆信息安全政策法规的制定之路便显得道阻且长,但以规章制度的形式保障图书馆信息安全却是确保图书馆信息安全的重要方式。
5.2 构建信息交流安全
信息交流安全是圖书馆信息安全政策构建的重要一环一方面,图书馆应尽快开启员工信息行为规范研究,从制度性规范、实施性规范、监督性规范和技术性规范着手,构建完善的有特色的图书馆员工信息行为规范体系。对馆员而言,通过信息交流安全政策的条款可以规范馆员的信息行为,如馆员在公务活动中产生的信息不得外漏,不得通过私人邮箱发送与用户个人或图书馆有关的信息等;通过馆员对信息政策的遵循,让图书馆在为用户提供更加便捷服务的同时,更好地维护个人信息安全和图书馆信息资源的安全[25],从而在保证图书馆整体信息资源安全的情况下,最大限度地实现图书馆所拥有资源的共享。另一方面,在馆员与读者或当面或通过网页提问留言等方式的交流沟通中,也要注意交流内容的安全,馆员作为信息的接收者与提供者,需要判断用户提出的问题是否涉及信息安全,所需的信息内容是否符合国家法律规范,针对用户咨询的问题,作为馆员是否都要进行回答,回答程度如何,这些都是构建图书馆信息交流安全的重要问题。
5.3 保障用户隐私安全
在图书馆信息安全的政策法规中,应加入对用户个人隐私保护的相关内容。作为信息服务的提供者,图书馆有责任保护用户的个人基本信息、借阅信息、图书馆网页查询等信息的安全,不轻易向外界提供披露。近年来个人隐私保护逐渐被人们所重视,图书馆拥有用户大量的个人信息,这些信息可以刻画出用户的形象,在未经得用户同意的情况下图书馆有义务保障用户的个人信息安全。
5.4 建立内容审核机制
尽管在国内外圖书馆的政策法规中都没有提及,但笔者认为应对图书馆所保存及使用的信息资源进行内容审核。内容审核在我国多用于新闻领域,尤其是在视听新型媒体出现后的新媒体行业中[26]。传统意义上,图书馆收集保存的都是纸质图书资源,但在数据库日益成为重要信息资源的当下,作为图书馆是否也应该对其购买的数据库进行准入审核呢?人们通常意义上都认为用户通过图书馆数据库进行的任何访问都是用户个人行为,图书馆无权干涉,但作为服务提供者的图书馆,能否也应从源头上进行干预;如借鉴媒体行业的内容审核机制,图书馆也应对其所购买的数据库进行内容审核,通过机器审核与人工审核相结合的方式,加强数据库监管和治理,尽可能的规避色情、暴力等低俗内容和与社会主义核心价值观相违背的内容,提高风险管理意识,构建内容安全的资源环境
[27],净化高校的科研生态环境。
6 结语
信息化时代下,信息安全与数据开放对图书馆信息化管理提出了更高的要求,图书馆信息安全政策的制定与实施是保障图书馆信息安全、提高信息化服务质量、促进数据资源开放的重要举措,通过健全信息安全制度,建立内容审核机制,保障用户隐私安全,从而构建安全开放共享的信息交流环境。
参考文献
[1]Zhen Y. Security of library information system under the network environment[C]// International Conference on Advanced Computer Theory & Engineering. IEEE,2010.
[2]Russo A ,Claessen K , Hughes J . A library for light-weight information-flow security in haskell.[J]. AcmSigplan Notices, 2008, 44(2):13-24.
[3]ShuiqingH.Research of Risk Assessment Model of Digital Library Information Security Based on ISO27001[J]. New Technology of Library and Information Service, 2009,25(6):44-49.
[4]Han Z , Huang S , Li H , et al. Risk assessment of digital library information security: a case study[J]. The Electronic Library, 2016, 34(3):471-487.
[5]HaoT . The Information Security Analysis of Digital Library[C]// 2015 8th International Conference on Intelligent Computation Technology and Automation (ICICTA). IEEE, 2015.
[6]马海群.国外大学信息政策发展与评析[J].大学图书馆学报,2009,27(5):10-12,17.
[7]陈嘉慧.国外高校图书馆信息共享空间信息安全政策研究[J].情报探索,2016(3):76-81.
[8]张新鹤.国内外信息资源建设政策研究进展[J].图书情报工作,2009,53(1):47-51,72.
[9]孙一钢,黄国彬.云计算环境下图书馆信息资源安全政策法律研究[J].图书馆杂志,2011,30(11):21-25.
[10]Harvard Library.Privacy, Terms of Use & Copyright Information[EB/OL].[2022-06-15].https://library.harvard.edu/privacy-terms-use-copyright-information.
[11]Massachusetts Institute of Technology. Policy on the Use of Information Technology Resources[EB/OL].[2022-06-15].https://policies.mit.edu/policies-procedures/130-information-policies/132-policy-use-information-technology-resources.
[12]Massachusetts Institute of Technology. Privacy policy [EB/OL].[2022-06-15].https://libraries.mit.edu/about/guidelines/privacy-policy/.
[13]StanfordUniversity.Statement on Patron Privacy and Database Access[EB/OL].[2022-06-16].http://library.stanford.edu/using/special-policies/statement-
patron-privacy-and-database-access.
[14]University of California.Library Privacy Policy[EB/OL].[2022-06-16]. http://www.lib.berkeley.edu/about/privacy-policy.
[15]University of California. UC Berkeley Librarys Policy on Protected PersonalInformation[EB/OL].[2022-06-16]. http://www.lib.berkeley.edu/about/protected-personal-information.
[16]California Institute of Technology. Caltech Development and Institute Relations Online Privacy Statement[EB/OL].[2022-06-20]. https://breakthrough.caltech.edu/privacy/.
[17] Columbia University. IT Policy Summaries[EB/OL].[2022-06-20].https://cuit.columbia.edu/columbia-it-policies-strategies#/cu_accordion_item-4268.
[18]Columbia University.INFORMATION SECURITY RISK MANAGEMENT POLICY[EB/OL].[2022-06-21].https://policylibrary.columbia.edu/information-security-risk-management-policy.
[19]Princeton University.Policy on Confidentiality of Library Patron Records[EB/OL].[2022-06-21].http://library.princeton.edu/services/access/policies/confidentiality.
[20]University of Washington. Administrative Policy Statement[EB/OL].[2022-06-22].http://www.washington.edu/admin/rules/policies/APS/02.06.html.
[21]University of Washington. Administrative Policy Statement[EB/OL].[2022-06-22].http://www.washington.edu/admin/rules/policies/APS/02.04.html#pubinfo.
[22]University of Washington. Privacy Statement [EB/OL].[2022-06-24]. http://www.lib.washington.edu/about/policy/privacy.
[23]Yale University.Privacy Policy [EB/OL].[2022-06-
24]. https://www.yale.edu/privacy-policy.
[24]Johns Hopkins University.PrivacyStatement[EB/OL].[2022-06-25]. https://it.johnshopkins.edu/policies/privacystatement.
[25]張立新,周秀霞,许亮.基于风险控制的大学信息安全政策体系构建——基于美国8所大学的实践分析[J].现代情报,2016,36(10):102-106.
[26]葛明驷.视听新媒体自我规制:多重语境与路径选择[J].西南民族大学学报(人文社科版),2018,39(8):122-128.
[27]陈安庆.内容审核:传统媒体盈利新模式[J].青年记者,2019(10):12-13.
作者简介:
许碧涵(1996-),女,西北大学图书馆助理馆员。研究方向:信息资源管理。
杨九龙(1970-),男,西北大学公共管理学院教授。研究方向:公共文化服务。
(收稿日期:2022-11-10 责任编辑:张长安)
Practice and Enlightenment of Information Security Policy
of American University Libraries
Xu Bi-han Yang Jiu-long
Abstract:Information security policy is the institutional guarantee for the sustainable operation of libraries. It is of great significance to scientifically set up and standardize the implementation of information security policy of libraries in the data age. Based on the analysis of the core research literature, this paper defines the connotation of library information security policy, and investigates the information security policy of 10 major university libraries in the United States.It is believed that the policy formulation from three aspects of library information resources content security, information exchange security and user privacy security can ensure library information security, and ensure the continuity and robustness of service development.
Keywords:Library; Information Security; Policies and Regulations; American Universities