姚 荔 葛 鹏 朱琪芳 张 欣
(西安图书馆,陕西西安 710018)
大数据是一个相对抽象的概念,是指无法在有限时间内用常规软件工具对其进行存储、获取、管理和处理的数据集合,具有容量大、内容多、速度快和价值高四个特点。借助计算机技术和信息技术聚集的大数据是增强业务效率、提升管理水平和提高服务质量的重要保证和依托[1]。在此背景下,公共图书馆各项业务及管理工作在自动化、集成化、智能化以及向智慧化迈进的进程中,不断产生和归集了大量的文献数据和读者数据等一系列大数据集群,其中的读者个人信息已成为图书馆数字化建设的基础资源。但是因为读者没有意识到、无从知晓或无法按照自己的意愿掌控数据的产生、存储、转移和利用,客观上就存在着读者个人信息数据有被信息数据的采集者违规违法进行关联分析、过度开发利用、泄露和侵犯的可能和风险[2]。如何重视读者的信息知情权、谨慎管理读者个人信息、规范读者数据使用、保障读者数据安全等一系列问题,是大数据时代公共图书馆必须面对和解决的一个重要、严肃和急切的课题。
1.1 个人信息与数据
个人信息,依据《中华人民共和国民法典》第1034条第二款之规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”[3]。结合《中华
人民共和国个人信息保护法》《中华人民共和国数据安全法》以及《中华人民共和国公共图书馆法》(以下称公共图书馆法)等现行法律综合比较分析可以得出:个人信息与数据在本质上是相同的,个人信息是具有可识别性的内容,数据是其表现形式的载体,将社会空间的个人信息转移到网络空间就体现为大数据,是个人信息在网络上的映射。大数据时代个人信息已成为一种非常重要的社会资源,世界各国都广泛重视大数据时代带来的隐私威胁。
1.2 公共图书馆在读者个人信息管理中的双重身份
《公共图书馆法》的颁布实施,在立法和制度供给上为公共图书馆的运行和读者文化权利的保障提供了坚强后盾,赋予了公共图书馆提供“服务”和“管理”的法定职责。公共图书馆作为独立事业法人,在法理层面具有双重身份:一是民事主体身份。公共图书馆日常提供的各项服务与读者之间实际上形成了一个无偿服务合同,公共图书馆与读者是平等主体之间的双务民事法律关系。二是行政主体身份。公共图书馆作为提供公共文化服务的事业单位,为了维持正常的图书馆秩序、读者的合法权益以及国家财产安全,必然要对进入公共图书馆,利用图书馆文献资源、工具和软硬件设施的读者行使管理人的权利和职责,其中就包括对读者个人信息的收集、管理和使用。因此,公共图书馆与读者实际上又形成了一种公法上的管理关系,成为了行政管理人,而读者也就相应地成为行政管理的相对人[4]。这是公共图书馆基于开展业务需要对读者个人信息采集利用的法律依据和保障。
2.1 读者个人信息采集对象更加宽泛
多年来我国实行“一国两制”和改革开放国策,使得港澳台人士、外籍人士入境办厂做生意、讲学、受聘工作、暂居,驻外代表以及各国使、领馆工作人员等聚集我国各大城市已成常态,他们时常会来图书馆办理读者证,当然地成为当地公共图书馆的读者。因此,公共图书馆读者个人信息的采集对象不只是内地居民还包括港澳台和外籍人士。同时,持证读者不仅仅是本馆读者,还可以是跨地域、跨行政区划各类型图书馆合作或联盟成员馆间通借通还读者。
2.2 读者个人信息载体更加多元化
大数据视阈下读者个人信息的主要载体是读者证,其形态在不断更新和融合,已不像过去那样仅仅只是具有借阅功能的一张卡片而已。目前,国内已有不少公共图书馆采用居民身份证兼具读者证功能;居民社保卡与读者证实现功能融合;手机上可以用支付宝芝麻信用分申请电子读者证(虚拟读者证);上海市规定中小学生可持电子学生证借还图书[5];刷脸借书等读者证新样态。
2.3 读者个人信息内涵更加丰富
大数据环境下公共图书馆读者个人信息是指读者按照公共图书馆的相关要求和规定,由读者自己提供的信息以及在使用图书馆的过程中产生的以一切方式记录、保存,单独或者与其他信息结合用于识别读者身份的各种信息[6]。应该看到,一方面,公共图书馆为了不断满足读者个体不同层次的阅读需求,努力做到个性化和精准化服务,总是在不断探索、尝试和开创新的服务模式、服务项目和服务内容,客观上使得收集、存储的读者个人信息内涵和外延不断扩展丰富。另一方面,公共图书馆读者在利用网络文献资源和新信息技术服务带来便利的同时,也在有意无意或无奈地提供着各类信息,诸如社会关系数据、注册信息及位置移动数据等等个人信息。笔者认为读者个人信息已经不再囿于《公共图书馆法》第43条所列举的个人基本信息、借阅信息以及其他可能涉及读者隐私的信息,而是涵盖了读者参与图书馆的所有行为记录,既有线上又有线下,既有实体活动记录又有网络浏览痕迹,既有本馆读者又有外馆读者(各类型图书馆合作或联盟馆间的通借通还读者),既有内地居民、港澳台居民又有外籍人士以及信用服务读者个人征信记录[7],还有人脸识别等总计六大分项十四个小类(见表1)。总体表现为内容更加丰富、呈现方式更加多维、表征更加隐秘等新特点和新态势。
表1 公共图书馆读者个人信息内容划分
大数据视阈下笔者认为读者个人信息不只《公共图书馆法》列举的三种信息,应有更为细致的内容分类和划分,只有这样我们才能针对不同的信息属性采取不同的保护级别和措施,使读者个人信息保护真正落到实处。
3.1 未成年人读者信息
未成年人在访问、使用图书馆的过程中,由于欠缺自我辨识和保护能力,公共图书馆应该给予特别注意和保护,避免发生未成年人信息泄露事件。
3.2 读者个人信息保护的例外
现实工作中下列几种的读者个人信息不受保护。(1)用伪造证件办理读者证。(2)参加图书馆活动填写虚假个人信息。根据《中华人民共和国个人信息保护法》第4条规定,经过匿名化处理的信息不属于读者个人信息保护范畴。(3)公共图书馆销毁的废旧信息。这样做可以有效避免浪费公共存储空间[8]。只有准确明晰读者个人信息的法律界定和范围边界,才能更有效地规避潜在的法律风险和保护有效的读者个人信息。
4.1 侵害读者个人信息的行为主体
根据《公共图书馆法》的立法精神和宗旨及第43条规定,涉及侵害读者个人信息的行为主体有:文化主管相关部门及工作人员、图书馆与工作人员、其他社会组织与个人和读者4类行为主体。本文只探讨公共图书馆与工作人员,其他的暂不做讨论。
4.2 公共图书馆
读者个人信息是公共图书馆管理、统计、业务服务和拓展等方面最基础的数据,是开展一切工作的根本,也是图书馆独有的信息数据,数量庞大。其不但有着巨大的公共管理价值和业务研究价值,也蕴涵着巨大的商业利益[9],但这并不意味着公共图书馆对读者个人信息就可以任意处置使用。公共图书馆在收集、存储、分析、使用和提供读者个人信息过程中,任何一个步骤和环节上的管理疏忽和程序漏洞都有可能导致侵犯读者个人信息行为的发生,必须给予足够的重视和注意义务,决不能逾越管理和利用的界限和范围,要均衡掌握读者信息处分和信息管理之间的权利义务关系,切不可本末倒置。鉴于此,公共图书馆需要从以下几个方面来转变思维和规范约束自身的行为。
4.2.1 积极适应大数据时代,改变读者个人信息管理模式
大数据时代要深刻认识到读者个人信息的内涵、外延以及存在形态都较以往有了很大的不同。随着信息技术的不断迭代和运用,“读者”已不是一个固定不变的概念,而是一个不断发展变化着的动态变量,这就要求管理思维、模式和手段也要随之进行改变和变革,要重视读者个人信息数据安全,重视读者个人信息存储设备、技术的不断升级改造和更新换代。比如,改变服务模式,把直接向读者推送服务的模式转向经读者知情同意后主动获取服务的模式。在提供服务的条款中严格限制、慎用或最好不用默示同意,原则上宜采用明示同意,用来保证读者个人信息的知情权。
4.2.2 读者个人信息处置原则
(1)合法、正当原则。对读者个人信息的采集、管理和使用要遵守我国相关法律法规,遵循合法、正当原则,法律为公共图书馆提供了平衡读者个人信息保护与利用的行为范式。(2)合理利用原则。要严格把握读者信息处分和公共图书馆信息管理之间的关系,一定要在必要限度内对读者个人信息进行收集利用,与提供服务没有关系的不得收集。(3)公开原则。公共图书馆在收集读者个人信息时应说明收集目的、范围、用途和方式,并需经过读者明确同意。(4)分级分类原则。应根据读者个人信息的具体内容,实行分级分类管理,一是有助于图书馆日常业务工作顺利开展;二是节约管理成本。
4.2.3 加强内部管理,建立防控机制
公共图书馆要避免侵害读者个人信息行为的发生,就要练好内功,对读者个人信息加强内部管理、控制和防犯。(1)建立读者个人信息管理规范和制度。明确收集原则和范围、使用条件和程序、保存要求和保证读者个人信息数据安全等内容。(2)采取技术防范措施。从安全防护和实时监测两方面,实施对读者个人信息相互补充保障的保护。防火墙技术用来建立第一道屏障,对个人信息进行安全保护;实时监测技术用来发现个人信息保护系统漏洞,阻止黑客攻击。(3)加强数据存储安全防护。构筑数据安全防护体系,通过采取身份验证、数据加密、云端备份等措施,用来保证存储数据的安全和应用。(4)组织宣传普及相关法律知识。可以通过举办培训讲座、在本馆“两微一端”、馆内显著位置和读者须知中公示和张贴有关读者个人信息保护法律法规和制度,让读者清楚地知晓自己的权益以及相关赔偿救济制度等知识,不断增强个人信息的自我保护意识和自我保护技能。(5)建立高效的应急和处置预案。一旦接到读者个人信息被泄露或者被非法使用、侵害的反映、要求、举报和投诉时,要第一时间果断采取有效措施消除影响,控制范围,防止个人信息泄露扩大化,同时积极地和有关网络服务提供商进行沟通、协商,并且向有关部门汇报情况,以期将读者的损失降低到最小。
4.2.4 审慎对待读者个人信息的二次开发利用
公共图书馆要在对读者个人信息实行分级分类保护的基础上,开展对读者个人信息的二次开发利用。在涉及有关读者个人敏感信息及社会属性内容时,要做数据清洗、脱敏和过滤技术处置,解除特定信息和特定个人身份之间的映射关系,以匿名化、模糊化、数据重构和数据加密等方式呈现。比如,对咨询请求和回复信息,要将咨询回复内容选取纳入知识库时,必须要对相关机构和个人信息做过滤处理。比如,公布年度借阅排行榜不宜将读者姓名、借阅证号完全呈现,书目信息可完整显示。前一时期温暖图书馆界的东莞外来务工人员留言以及身份信息,东莞图书馆比较周全稳妥的办法应该是在征得该读者的同意后才对外公布。
4.2.5 监督提供服务的第三方
公共图书馆的业务都已实现了自动化和集成化管理,所用软件系统和硬件设施基本上都是通过购买或由第三方提供服务来实施。像Interlib图书馆集群管理系统、图书馆“两微一端”、支付宝信用免押金读者证、抖音等的运营和维护大多都是通过第三方提供后台支持和服务,甚至可能会出现图书馆与第三方平台共享信息的情况[10]。那么客观上就存在图书馆购买服务或平台的第三方在未经同意或授权的情况下,可能会滥用技术优势对收集与处理的读者个人信息擅自开发和违规使用,导致读者个人信息权益受到侵害。作为公共图书馆要从以下几个方面来防止和杜绝此类事情的发生。一是要与合作第三方签订完备周详的保密协议,用来规范和限制第三方的行为;二是要明示或告知读者在接受用户服务协议时,有授权其处理个人信息的选择权以及可能存在的风险;三是要定期和不定期的对提供服务的第三方进行多种能力综合评估,主要内容包括是否存在泄露信息的风险、是否建立内部自律监管机制、是否具有信息保护的能力等。
4.3 公共图书馆工作人员
图书馆工作人员在工作中处置读者个人信息时,由于存在相关法律法规知识的欠缺、错误认知、素质不高、粗心大意、违规失职或经济利益的驱使等种种行为,直接或间接导致侵害读者个人信息的侵权行为发生,会造成对读者精神和人格权的赔偿和损害。英国图书馆学会在1983年公布的《英国图书馆学会专业行为守则》中明确了图书馆员“不得泄露或默许他人泄露任何委托的保密资料、信息或行政档案给第三者”。
为了防微杜渐,应从以下几个环节来杜绝和阻止此类事件的发生。(1)通过各种培训来提高工作人员素质,使其认识到保护读者个人信息的重要性。(2)强化制度建设。公共图书馆要制定详尽的读者个人信息采集规范、整理程序和使用规范,设置每一个岗位工作人员信息访问、查阅、使用和处置层级及权限。(3)在工作制度、程序规范中,严格规定工作人员在收集读者个人信息的过程中,要履行告知义务,明确收集读者个人信息的范围、途径、方式以及目的,必须征得读者的同意或授权。(4)建立完备的自律体系和合理的惩罚机制。包括自律组织体系、自律规范体系、自律审查体系以及道德标准和技术性标准等。(5)在读者个人信息管理过程中,严格杜绝各种信息非法交换、以权谋私、失职和渎职行为,明确工作人员所应承担的行政、民事和刑事责任,增强工作人员的责任意识[11]和法律意识,从根本上防止泄露、侵犯读者个人信息和隐私权行为的发生。
综上所述,读者个人信息随着公共图书馆不断采用信息技术和计算机技术,它的内涵和外延是不断拓展变化的一个动态变量。它的载体也在不断更新和融合。目前,国内公共图书馆及其工作人员对读者个人信息安全和保护的法律意识还相对偏弱,认知程度上有待提高,采取的保护技术和手段相对单一。相信随着我国法治社会的逐步深入推进,公共图书馆职业资格认定工作的逐步开展,公共图书馆会筑牢读者个人信息保护这道防火墙。
猜你喜欢个人信息图书馆信息防范电信网络诈骗要做好个人信息保护公民与法治(2022年10期)2022-10-12个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01主题语境九:个人信息(1)疯狂英语·爱英语(2020年9期)2020-01-07警惕个人信息泄露绿色中国(2019年14期)2019-11-26图书馆小太阳画报(2018年1期)2018-05-14订阅信息中华手工(2017年2期)2017-06-06展会信息中外会展(2014年4期)2014-11-27去图书馆小天使·一年级语数英综合(2014年8期)2014-06-26健康信息祝您健康(1987年3期)1987-12-30健康信息(九则)祝您健康(1987年2期)1987-12-30本文来源:http://www.triumph-cn.com/fanwendaquan/gongwenfanwen/2023/0822/99296.html