图书馆读者数据泄露及其防范机制摭谈

孙丽敏

摘 要：图书馆读者数据泄露的原因包括法律不健全、技术不完善、管理不到位等，读者自身、图书馆和第三方都可能成为读者数据泄露的主体。在大数据技术条件下，图书馆应针对读者数据的泄露问题采取事前、事中和事后的管理对策，防范读者数据被不合理传播、使用和侵犯。

关键词：图书馆；读者；数据；隐私

中图分类号：G250 文献标识码：A 文章编号：1003-1588（2023）08-0120-03

在“互联网+”“人工智能+”环境下，大数据成为云计算、区块链、数字孪生等现代信息技术发展不可或缺的元素。然而，在数据爆炸、数据超载、数据失衡背景下，行为失范、技术漏洞、管理不善等问题引发了人们对隐私风险问题的担忧。图书馆在业务和服务活动中汇聚、存储了海量的读者数据，并对这些数据进行有计划、有目的和动态的归类、挖掘、研判、分享等形式的利用，因而被认为是数据保护的重要场所^[1]。2016年，国际图书馆学会联合会（IFLA）在发布的《图书馆员和其他信息工作者的道德准则》中指出，图书馆员和其他信息工作者应尊重个人隐私，保护个人数据^[2]。在大数据环境下，读者数据泄露的风险增大，加强对读者数据的科学管理，保护读者隐私，对图书馆建设与发展的意义非常重大。

1 图书馆读者数据泄露的成因

1.1 法律因素

法律是圭臬和准据，图书馆保护读者数据需要完备的法律体系提供行为规范，如：美国以其宪法第一修正案为依据，分门别类地制定了若干部隐私权法，特别是在2019年修订了《图书馆权利法案》，为图书馆保护读者隐私提供了更健全的制度规范。不仅如此，美国几乎所有的州都制定了地方性的图书馆隐私保护法，如佛罗里达州的《图书馆记录保护法》、肯塔基州的《图书馆隐私法》等，这些立法涉及读者隐私概念、被约束图书馆范围、读者隐私保护基本原则、读者隐私披露和使用方法、读者的追责权利等^[3]。2009年，我国《侵权责任法》首次承认了隐私权的法律地位，2017年的《民法总则》把隐私权当成独立的民事权利加以对待，迄今形成了以《民法典》《网络安全法》《个人信息保护法》《数据安全法》等法律法规共同构成的与隐私保护有关的法律体系，但其适用性、针对性还存在不足。例如，《中华人民共和国公共图书馆法》第四十三条规定，公共图书馆负有保护读者个人信息的法定义务，但规制的个人信息的范围较窄，且不具体明晰，也没有厘定“非法”行为的边界，没有涉及读者享有的更正权、删除权等，体现出原则性、纲领性较强，而适用性、操作性较弱的特征。法律法规的失位和不健全，使图书馆在许多情况下无法判断使用读者数据行为是否合法以及可能承担的法律后果。

1.2 技术因素

为了保护读者数据，图书馆需要建立基于数据生命全周期的隐私技术战略。2022年，国际图书馆联合会在《关于网络安全的声明》中，要求图书馆建设标准化的网络安全技术体系，包括对关键应用程序的支持、加强网络安全的软件开发、保障最终用户或客户端环境的安全等^[4]。目前，常用的读者数据保护技术有跟踪识别技术、数据加密技术、防火墙技术、数据溯源和删除技术、入侵检测技术、系统认证技术、防病毒技术等。然而，传统技术在应对数据超载、非法交易、内部泄露、外部攻击、滥用误传、超界提取等侵犯数据风险时往往力不从心。例如，加密技术的算法复杂，限制了其在网络环境中的适用性，应对窃取读者数据的问题乏力；虽然假名法可以一定程度地消除读者和数据的同一性，但由于读者的身份未得到确认，图书馆会收集许多无用数据，对信息服务造成负面影响，并且这种技術无法被应用于必须进行身份认证的图书馆服务场景^[5]。此外，技术的脆弱性也使保护读者数据的能力大打折扣，如：当图书馆利用Cookie技术采集读者数据时，图书馆就有了进一步聚类、跟踪、分析读者数据的可能性，但这类技术的防火墙功能尚不成熟，其包含的读者数据容易被监听、盗取和变造；当图书馆与第三方合作时，对方可能在程序模块中植入恶意代码，致使读者数据遭受风险。

1.3 管理因素

国际图书馆联合会在《关于网络安全的声明》中明确要求图书馆履行保护读者隐私的职责，包括制定与发布隐私政策、定义读者数据收集的范围和描述使用场景、遵循图书馆行业隐私政策和业务流程规范，并对图书馆管理读者数据提出了最小化原则、删除原则、透明原则、告知原则等。在对读者数据的科学管理方面，国外图书馆进行了卓有成效的探索。例如，澳大利亚大多数图书馆（尤其是大学图书馆）设立了读者数据保护办公室，建立了较为完善的隐私保护规范，专门处理数据权益纠纷的投诉^[6]。美国行业性的隐私政策为图书馆开展读者数据管理提供了模板，这是其重要特点之一，如：美国图书馆协会制定了诸多读者数据政策，包括《图书馆记录保密政策》《关于保留图书馆使用记录的决议》《美国图书馆协会道德规范》《图书馆使用者可辨识个人身份资料的保密政策》《在自助借阅实践中保护图书馆用户机密的解决方案》等。相比之下，我国图书馆无论是行业隐私政策建构，还是图书馆管理读者数据实践，都尚有较大的差距。据统计，目前在我国33家省级以上公共图书馆中，制定隐私政策的不到10%^[7]。即便如此，我国图书馆隐私政策仍存在主要概念不清、主要内容缺失、可操作性不强等问题。

2 泄露图书馆读者数据的主体

2.1 读者

基于社会地位、社会责任和其所秉持的读者服务精神，图书馆成为深受读者信赖的社会组织机构，读者相信图书馆在收集和使用其个人数据时能够并且有能力为其提供一个绝对隐私的保护空间，从而自愿或者在图书馆管理规则之下不加思索地向图书馆提供个人数据，甚至是将与其身份紧密联系的数据提供给图书馆，心理上的不设防和事后读者对其个人数据监管的乏力导致泄密。虽然泄密并非图书馆自身或刻意而为，但的确增加了个人数据被侵权的风险。读者个人数据保护意识不强，盲目信任服务协议的承诺同样造成了其个人数据被泄露的风险，如：许多读者在签订协议时根本没有明晰协议的内容，或者因专业知识的欠缺无法分辨条款的合理性、合法性，只能照着协议文本的要求去做。另外，读者保护个人数据的技能不高也是造成其个人数据被泄露的原因之一，如：有的读者在退出图书馆系统时，并没有将机器完全关闭，或者彻底清除上网轨迹和个人数据，这就给下一位读者看到其数据，进而传播、篡改其个人数据提供了可能性。

2.2 图书馆

研究表明，个人数据外泄的风险主要来自外部威胁，但图书馆内部人员篡改、窃取、盗用个人数据的概率虽然比较小，但其危害性往往更大^[8]。不可否认，读者个人数据泄露在极个别情况下是图书馆员出于私利的恶意行为，如将读者姓名、电话号码、电子邮箱、家庭住址、身份证号码等数据转售给第三方，造成读者受到骚扰或遭受诈骗，造成金融财产等方面的损失^[9]。然而，在绝大多数情况下，读者个人数据的内部泄露是由于图书馆员保护读者隐私的意识不强，对个人数据管理的自律建设薄弱造成的。例如，一项研究证实，图书馆员往往对隐私侵权问题有较高的认知度，但对读者隐私保护的认识并不高，尤其是不明白哪些服务性操作会危及读者个人数据安全^[10]。另外，问责机制不完善也是造成读者个人数据从图书馆内部外泄的重要原因之一。

2.3 第三方

技术越先进，图书馆的数字化、网络化、智能化建设就越有开展合作的必要性。因此，图书馆也必然会与第三方共享读者个人数据，其情形包括：图书馆委托供应商核实读者信息的准确性；图书馆请供应商提供读者借阅图书种类、册数和利用图书馆时间，或者与供应商合作开发“画像模型”；为了得到供应商在技术、设备、人力等方面的支持，图书馆向其提供部分读者数据等^[11]。为了防止图书馆在与第三方合作中造成读者数据泄露，国际图书馆联合会在《关于网络安全的声明》中指出：如果图书馆是一个更大的组成部分或依赖第三方供应商，那么图书馆应该倡导第三方实施隐私友好政策和采取有意义的安全措施，确保读者在使用图书馆时可以规避不可接受的风险。然而，事实是图书馆在与第三方合作中读者数据被泄露的风险仍然很大，一方面，第三方往往不关注图书馆读者数据的保护问题，不能像图书馆那样采取有效的隐私管理措施；另一方面，读者数据在合作中可能被多途径流转、多主体使用、多节点暴露，增加了被侵权的不确定性。

3 图书馆防范读者数据泄露的机制

3.1 事前防范

首先，完善立法，使图书馆有明晰、全面和可操作的法律依据，是保护读者数据最重要的事前措施之一，如：对《中华人民共和国公共图书馆法》中保护读者数据的主体地位予以确认，界定读者数据的范围，与《个人信息保护法》《数据安全性》《网络安全法》等法律规定相协调等。其次，图书馆学会应根据法律的原则性规定细化操作规则，建立行业性的读者数据保护和管理指南，这方面可以借鉴的外国模板有美国图书馆协会的《图书馆隐私管理工具包》《公共访问计算机和网络的图书馆隐私指南》《图书馆管理系统的隐私指南》等。再次，图书馆要针对读者数据保护建立完善的制度体系和机制，把隐私保护的规则嵌入业务、服务和技术建设，如：借鉴澳大利亚国立大学图书馆、悉尼大学图书馆的做法，在图书馆设置“隐私图书馆员”，专门从事读者数据管理工作；对图书馆员、读者开展隐私法律法规的知识宣传教育，提高个人数据保护意识；在与第三方合作时，通过合作协议约束供应商对读者数据的收集、利用与传播行为。更为重要的是，图书馆要制定完备的读者数据保护政策，建立和执行隐私风险预警和危机应对预案。

3.2 事中防范

在收集、聚类、整合、利用、共享读者数据的过程中，图书馆需要高度重视技术措施对隐私的保护功能。目前，保护读者数据的技术种类较多，如访问控制技术、加密技术、假名技术、追踪技术、防火墙技术、数据脱敏技术等，这些技术的特点不同，有不同的适用领域，图书馆应加以综合选择，分别应用于读者数据采集、传输、存储、访问、共享的不同阶段，构成完整的技术体系^[12]。区块链、人工智能、逻辑算法、数据感知等更先进的迭代技术的出现，将为图书馆读者数据保护提供新的保障。在图书馆读者数据风险的事中防范中，建立隐私风险评估机制是必要的，如：图书馆可以聘请有关专家成立数据保护委员会，评价数据政策的合规性、科学性、可操作性，评价读者数据收集方法、内容和程序是否安全，在具体的业务和服务项目中启动数据评估程序，行使是否继续执行或终止项目的决定权，提出实施方案的改进建议。为了提高评价的客观性和公正性，图书馆可以聘请有资质的第三方作为评价和监督机构，行使相关职能。

3.3 事后防范

图书馆对读者数据的管理效果要定期和不定期地进行总结，归纳经验、汲取教训，特别是在一些重大业务和服务项目结束或正在进行的某个关键节点、阶段要开展有针对性的“回头看”，发现问题及时改进。在对读者数据的采集、加工、存储、传输和共享过程中，图书馆要加强知识管理，将图书馆员、读者、第三方和其他数据保护专家的智慧、感悟和有益做法汇集起来，开展知识管理，使隐性知识转化为显性知识，建立知识库，为图书馆读者数据保护的可持续化、可提升化提供理论和实践支撑。当发生读者数据被泄露、篡改和非正常传播等危机时，图书馆应按照应对预案规定的方法和程序采取有效措施，即刻查明原因，堵塞漏洞。当受到读者投诉，或者是被读者起诉而接到法院传票时，图书馆要正面应对，主动与读者联系沟通，积极回应舆论关切，寻求图书馆学会和律师的帮助，承担必要的法律责任。图书馆要建立危机溯源和责任追究机制，倒查读者数据被侵害的根源，对责任人进行处罚。如果是因为第三方泄露读者数据而给圖书馆造成不良社会影响和经济损失的，图书馆应拿起法律武器，维护自身的合法权益。

参考文献：

[1] 胡婧.美国公共图书馆隐私管理规范研究[J].图书与情报，2021（4）：104-112.

[2] 何爽.图书馆员对保护用户隐私的认知与实践程度调研[J].四川图书馆学报，2019（5）：57-59.

[3] 肖雪，曹羽飞，王雨虹.美国各州图书馆用户个人信息保护法规的内容分析与启示[J].图书情报工作，2022（16）：137-148.

[4] 胡洋，屠淑敏.国际图联关于网络安全的声明[J].图书馆研究与工作，2022（5）：97-98.

[5] 吴宗大，刘曦洋，赵又霖.数字图书馆用户行为隐私保护研究[J].国家图书馆学刊，2020（1）：50-57.

[6] 鲁唱晚.澳大利亚高校图书馆个人信息保护政策的研究与启示[J].山东图书馆学刊，2021（2）：105-111.

[7] 安琳.公共图书馆隐私政策框架透明度优化研究[J].图书馆工作与研究，2022（5）：52-58.

[8] 赵文慧，赵润娣.图书馆数据开放服务中用户隐私保护问题探讨[J].图书馆学研究，2020（13）：64-67.

[9] 杨晓东.大数据环境下图书馆用户隐私保护策略[J].合作经济与科技，2021（6）：182-183.

[10] 刘妍.图书馆读者个人信息泄露风险及其场景化治理[J].图书馆学研究，2022（6）：18-25.

[11] 陈春雷.大数据时代美国图书馆隐私管理规范研究[J].图书馆建设，2020（3）：76-81.

[12] 梅振荣.智慧图书馆用户行为数据的隐私保护指南[J].中华医学图书情报杂志，2021（4）：27-31.

（编校：崔萌）