田淑嫻

大數(shù)據(jù)時代，為給用戶提供個性化精準(zhǔn)服務(wù)，大數(shù)據(jù)挖掘、分析等技術(shù)會廣泛應(yīng)用在圖書館各項(xiàng)服務(wù)中，這樣會增加了用戶個人信息泄露的風(fēng)險[1]。為了減少用戶對個人信息泄露的顧慮，無論是國外還是國內(nèi)圖書館都或多或少做出了保護(hù)用戶個人信息的規(guī)定，其中，最普遍的做法是制定用戶個人信息保護(hù)政策。然而，個人信息保護(hù)政策的實(shí)施效果如何，圖書館及第三方數(shù)據(jù)庫服務(wù)商在實(shí)際提供服務(wù)過程中能否按規(guī)定進(jìn)行操作，大多數(shù)圖書館無法客觀地評估個人信息保護(hù)政策的條款是否過于專門化而無法理解或閱讀。因此，筆者建議用戶個人信息保護(hù)認(rèn)證機(jī)制在圖書館應(yīng)逐步構(gòu)建，以此來保護(hù)用戶個人信息的必要安全。

1 對國內(nèi)外認(rèn)證機(jī)制現(xiàn)狀的調(diào)查與分析

1.1 國內(nèi)外個人信息保護(hù)認(rèn)證機(jī)制現(xiàn)狀調(diào)查

筆者通過采用文獻(xiàn)調(diào)研、網(wǎng)絡(luò)調(diào)研等方式，對大量的國內(nèi)外文獻(xiàn)、網(wǎng)站進(jìn)行研讀發(fā)現(xiàn)：目前國內(nèi)外均已設(shè)用戶個人信息保護(hù)認(rèn)證機(jī)構(gòu)。在國外，美國的Truste 和BBBonline 比較知名，國內(nèi)的中國電子商務(wù)等信用評價中心及大連軟件行業(yè)協(xié)會等影響力較大，然而針對信息文化服務(wù)業(yè)的個人信息保護(hù)認(rèn)證機(jī)構(gòu)或信用評價中心還未制定。為此，通過比較知名的個人信息保護(hù)的實(shí)現(xiàn)影響認(rèn)證機(jī)構(gòu)和信用評估中心在國內(nèi)外信息服務(wù)行業(yè)，作者選擇Truste美國和中國大連軟件行業(yè)協(xié)會為代表，分析并介紹其具體實(shí)踐，提出構(gòu)建圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制的建議。

1）TRUSTe 隱私認(rèn)證機(jī)制。TRUSTe 是美國的非盈利性機(jī)構(gòu)，它是一家數(shù)據(jù)保密管理公司，也是亞太經(jīng)濟(jì)組織認(rèn)可的個人信息保護(hù)認(rèn)證組織。它通過提供個人信息保護(hù)的相關(guān)知識、方法和技術(shù)解決出現(xiàn)的個人信息保護(hù)問題，并且它制訂的認(rèn)證標(biāo)準(zhǔn)現(xiàn)已納入亞太經(jīng)合組織建立的個人信息保護(hù)框架的原則中。它的整個工作流程包括：對申請加入該組織的機(jī)構(gòu)進(jìn)行審核，對審核通過的機(jī)構(gòu)進(jìn)行監(jiān)督，對發(fā)生個人信息泄露事故的機(jī)構(gòu)進(jìn)行調(diào)解。在其評估申請機(jī)構(gòu)是否可以通過認(rèn)證時，主要通過對影響個人信息保護(hù)認(rèn)證的因素、標(biāo)準(zhǔn)等進(jìn)行評估。同時，它也為網(wǎng)站運(yùn)營機(jī)構(gòu)提供實(shí)踐操作方面的指導(dǎo)文書。這是一個兩面利好的個人信息保護(hù)機(jī)構(gòu)，不僅能為用戶提供安全的網(wǎng)站信息，而且能有效監(jiān)測評估用戶的個人信息行為[2]。

2）大連軟件行業(yè)協(xié)會認(rèn)證機(jī)制。大連軟件行業(yè)協(xié)會是中國制定的個人信息保護(hù)標(biāo)準(zhǔn)的機(jī)構(gòu)。它依據(jù)制定的個人信息保護(hù)評價體系開展個人信息保護(hù)評價工作。去幫助企業(yè)建立個人信息保護(hù)的規(guī)范制度，提高企業(yè)保護(hù)個人信息的能力，確?？蛻魝€人信息的安全[3]。在實(shí)施機(jī)制時，它通過對企業(yè)進(jìn)行審核，并給審核通過的企業(yè)頒發(fā)個人信息安全標(biāo)志及證書[4]。在使用標(biāo)志期間，若發(fā)現(xiàn)企業(yè)未遵守承諾，該協(xié)會會根據(jù)情節(jié)輕重采取懲罰措施。該認(rèn)證機(jī)制的影響越來越大，目前所影響的城市已包括北京、廣州、上海等地，它的認(rèn)證機(jī)制也逐漸在信息服務(wù)業(yè)具有代表性[4]。

1.2 對國內(nèi)外認(rèn)證機(jī)制的建設(shè)進(jìn)行分析

通過對國內(nèi)外個人信息保護(hù)認(rèn)證機(jī)構(gòu)的調(diào)查發(fā)現(xiàn)，建立個人信息保護(hù)認(rèn)證機(jī)制可以有效保護(hù)用戶的個人信息，為電子商務(wù)和信息服務(wù)行業(yè)的發(fā)展贏得了一個相對寬松的環(huán)境，并且，使用認(rèn)證標(biāo)志也帶來了便利，用戶不再需看難懂冗長的個人信息保護(hù)政策。但是，它們也存在缺陷。例如，經(jīng)濟(jì)來源存在依賴性，主要依靠企業(yè)的認(rèn)證，這使得對企業(yè)的監(jiān)管不夠嚴(yán)格，缺乏獨(dú)立性；另外，申請加入的運(yùn)營機(jī)構(gòu)只能憑自覺，使其缺乏普遍性[5]等等。

2 構(gòu)建圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制的建議

因?yàn)閳D書館身為我國信息服務(wù)產(chǎn)業(yè)的一個主要方面，所以，其用戶的個人信息保護(hù)認(rèn)證機(jī)制需要及時有效的建立起來，圖書館用戶的個人信息保護(hù)機(jī)制構(gòu)建過程中，要善于吸取和借鑒國內(nèi)外類似的成功經(jīng)驗(yàn)，并且通過不斷地改進(jìn)以達(dá)到相對的完善，并且，正確的結(jié)合我國圖書館自律意識不強(qiáng)等實(shí)際問題，制定出符合我們自身發(fā)展所需要的用戶個人信息保護(hù)認(rèn)證機(jī)制。

2.1 組建圖書館用戶個人信息保護(hù)認(rèn)證機(jī)構(gòu)

1）由圖書館學(xué)會主導(dǎo)成立“中國圖書館用戶個人信息保護(hù)認(rèn)證機(jī)構(gòu)”。設(shè)置認(rèn)證機(jī)制的領(lǐng)導(dǎo)機(jī)構(gòu)只有具有行業(yè)威信，才能對認(rèn)證機(jī)構(gòu)產(chǎn)生影響。中國圖書館學(xué)會是我國圖書館行業(yè)的領(lǐng)導(dǎo)機(jī)構(gòu)，會在一定程度上引導(dǎo)和影響地方各級圖書館事務(wù)的發(fā)展，由中國圖書館學(xué)會率先建立個人信息保護(hù)認(rèn)證相關(guān)機(jī)構(gòu)，可以加快我國圖書館用戶個人信息保護(hù)認(rèn)證機(jī)構(gòu)的建設(shè)。

2）以圖書館學(xué)會分支機(jī)構(gòu)為主要成員。圖書館學(xué)會主要由高等學(xué)校圖書館分會等9 個分支機(jī)構(gòu)組成[6]。各分支機(jī)構(gòu)承擔(dān)著引導(dǎo)各類型圖書館的發(fā)展及業(yè)務(wù)培訓(xùn)等任務(wù)，代表著各類型圖書館事業(yè)的發(fā)展情況。在設(shè)置圖書館用戶個人信息保護(hù)認(rèn)證機(jī)構(gòu)時，既需要中國圖書館學(xué)會帶頭領(lǐng)導(dǎo)，又需要圖書館各分支機(jī)構(gòu)共同參與。

3）與個人信息保護(hù)方面的法律專家進(jìn)行合作。圖書館用戶在使用圖書館資源過程中，不僅會用到圖書館內(nèi)部資源還經(jīng)常用到與圖書館合作的第三方數(shù)據(jù)庫服務(wù)商，為此，在構(gòu)建圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制的過程中，需要與相關(guān)法律專家進(jìn)行合作，明確圖書館用戶個人信息的保護(hù)范圍及雙方的責(zé)任。

4）需要得到相關(guān)部門認(rèn)可和支持。國家相關(guān)部門的認(rèn)可和大力支持不僅可以加快圖書館用戶個人信息保護(hù)認(rèn)證機(jī)構(gòu)構(gòu)建的步伐，還可以做到保證該機(jī)制的順利建設(shè)和完成。所以，構(gòu)建圖書館用戶個人信息保護(hù)認(rèn)證機(jī)構(gòu)既要符合政府政策要求，更要積極的獲得政府相關(guān)部門的認(rèn)可和支持。

5）相關(guān)職能管理部門設(shè)置。為保護(hù)圖書館使用者的個人資料而設(shè)立的認(rèn)證機(jī)構(gòu)，將對圖書館業(yè)產(chǎn)生積極的影響。更是對用戶個人信息保護(hù)起到很大作用。為確保個人信息保護(hù)認(rèn)證機(jī)構(gòu)作用的有效發(fā)揮，需要在其內(nèi)部設(shè)置具有不同管理職能的部門，圖書館個人信息保護(hù)認(rèn)證辦公室、個人信息保護(hù)認(rèn)證評價專家組（簡稱評價專家組）、個人信息保護(hù)工作委員會（簡稱工作委員會）等部門。

2.2 構(gòu)建圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制

1）注重與合作機(jī)構(gòu)協(xié)作發(fā)展。信息服務(wù)行業(yè)個人信息保護(hù)認(rèn)證機(jī)制普遍存在對申請認(rèn)證的企業(yè)監(jiān)管不嚴(yán)，在行業(yè)影響力不夠等問題。因此，構(gòu)建該認(rèn)證機(jī)制要充分發(fā)揮各自的職業(yè)所長，加強(qiáng)他們的協(xié)作發(fā)展。

2）建立一站式的審核機(jī)制。一站式的審核機(jī)制是指所有需要審核的材料均能在此機(jī)構(gòu)內(nèi)完成。申請加入該機(jī)構(gòu)要提供認(rèn)證所需材料，并保證其有關(guān)用戶個人信息的行為合規(guī)合法，不侵犯用戶權(quán)利，如果符合上述要求就可頒發(fā)審核通過標(biāo)識，不必再進(jìn)行其他審核。大大加快了機(jī)構(gòu)認(rèn)證的步伐。

3）有配套的懲罰措施。在實(shí)施圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制的建立過程中，要定期對申請加入的機(jī)構(gòu)進(jìn)行評估，更要對侵犯用戶權(quán)利的機(jī)構(gòu)進(jìn)行處罰。通過調(diào)查國內(nèi)外已建立的個人信息保護(hù)認(rèn)證機(jī)構(gòu)可知，它們的懲罰措施是終止該機(jī)構(gòu)使用認(rèn)證標(biāo)志。然而，由于個人信息保護(hù)認(rèn)證機(jī)構(gòu)的主要經(jīng)濟(jì)來源依賴于申請加入的機(jī)構(gòu)，因此很少有機(jī)構(gòu)被取消認(rèn)證標(biāo)志，致使機(jī)制的實(shí)施效果不是很好。為此，針對發(fā)生的侵權(quán)行為性質(zhì)及造成的影響設(shè)置配套的懲罰措施。

4）明確有效期限并及時更新。在機(jī)制實(shí)施過程中，要明確標(biāo)志的有效期限并且根據(jù)發(fā)展需要及時作出機(jī)制更新，以有效確保圖書館用戶個人信息保護(hù)機(jī)制的實(shí)施效果。

2.3 圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制的實(shí)施流程

筆者通過對其他行業(yè)認(rèn)證機(jī)制的分析，并結(jié)合我國圖書館現(xiàn)實(shí)情況，借鑒大連軟件行業(yè)協(xié)會的信用評價機(jī)制工作經(jīng)驗(yàn)，總結(jié)出圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制的實(shí)施流程，即：資料審核——現(xiàn)場審查——網(wǎng)絡(luò)公示——審批階段——頒發(fā)證書。

1）資料審核。這一階段包括材料準(zhǔn)備、機(jī)構(gòu)受理、形成審核報告3 個步驟。主要對圖書館的基本規(guī)章、個人信息安全管理體系等方面的材料進(jìn)行審核。圖書館提出申請后按相關(guān)要求準(zhǔn)備審核材料并提交受理，最后形成審核報告。

2）現(xiàn)場審查。該階段是對已通過材料審核的圖書館進(jìn)行審核，審核其在運(yùn)行中是否有侵犯用戶權(quán)利的行為。如若在現(xiàn)場審查過程中發(fā)現(xiàn)其實(shí)際運(yùn)行情況與資料不符，將中止對該圖書館的審查，指出缺陷，三個月后才能再重新提出申請。如若發(fā)現(xiàn)存有一般性的小問題，則督促其立即整改，之后再繼續(xù)對其進(jìn)行審查。最后結(jié)合現(xiàn)場審查情況形成評價報告。

3）網(wǎng)絡(luò)公示。這一階段是對通過材料審核和現(xiàn)場審核的圖書館進(jìn)行公示，表示該圖書館已具備取得圖書館用戶個人信息保護(hù)認(rèn)證標(biāo)志的條件。可以設(shè)置公示期限可為15 天。

4）審批階段。這一階段主要是根據(jù)審核情況形成審批意見書，并根據(jù)意見書判斷是否對其證書申請進(jìn)行批準(zhǔn)。如若在公示期間沒有投訴或質(zhì)疑，個人信息保護(hù)工作委員會審批通過。如若在審批前發(fā)現(xiàn)該圖書館還存有較大影響用戶個人信息安全的情況，則審批不通過，必須要等三個月后再申請。如若圖書館仍存有一些保留性問題，則要求其進(jìn)行整改。

5）頒發(fā)證書。經(jīng)批準(zhǔn)的圖書館給予頒發(fā)個人信息保護(hù)證書和標(biāo)識，表明此圖書館是嚴(yán)格遵守個人信息保護(hù)的有關(guān)規(guī)定的。只要此圖書館的使用用戶在享用信息資源時看到相應(yīng)的證書標(biāo)識，就可以根據(jù)需要放心提供自己的個人信息。

3 結(jié)語

大數(shù)據(jù)時代，圖書館為給用戶提供精準(zhǔn)服務(wù)，會利用大數(shù)據(jù)技術(shù)搜集到用戶一些個人信息。為了解決用戶顧慮，筆者希望早日構(gòu)建圖書館用戶個人信息保護(hù)認(rèn)證機(jī)制，有效確保用戶享用個性化精準(zhǔn)服務(wù)的同時，也能確保其個人信息安全。