古想花

（河南省醫(yī)學情報研究所，河南 鄭州 450046）

0 引言

高校圖書館是開展人才培養(yǎng)和科學研究的重要基地，傳統(tǒng)的高校圖書館職能圍繞學生和教職工群體展開，為其提供圖書借閱、文獻傳遞等核心服務，構建了一個結構單純、穩(wěn)定的閉環(huán)系統(tǒng)。 圖書館管理者和工作人員也樂于在這種相對平衡的環(huán)境中， 偏安一隅，享受安靜的工作環(huán)境，如掃地僧一般默默吸收知識的養(yǎng)分。 進入新時期，隨著經濟水平和信息技術的快速發(fā)展，我國大踏步地進入了網絡化、智能化水平高的大數(shù)據(jù)時代。 網絡化的發(fā)展，雖然給大眾的工作和生活產生了巨大的影響，帶來了諸多的便捷，但也在一定程度上打破了高校圖書館的穩(wěn)定和平衡，帶來了更復雜和棘手的信息安全問題。 就高校圖書館而言， 其存儲有海量信息資源數(shù)據(jù)和用戶個人數(shù)據(jù)，基于大數(shù)據(jù)背景下信息技術的升級， 圖書館服務模式、自身競爭力得到了很大提升。 高校圖書館的用戶大部分為本校的師生，這部分用戶對圖書館的使用存在信息需求多、使用次數(shù)頻繁且對圖書館信任度極高的特點。 如果大數(shù)據(jù)信息技術工具使用不當，就有可能存在用戶個人隱私泄露的風險， 對用戶的信息安全、圖書館的公信力等帶來不好的影響。 這在一定程度上迫使圖書館轉變服務觀念，改變以往稍顯閉塞的信息處理環(huán)境， 以積極的心態(tài)應對大數(shù)據(jù)帶來的挑戰(zhàn)。基于此，本文通過對大數(shù)據(jù)背景下高校圖書館信息安全中面向服務對象的用戶個人隱私問題進行研究，對高校圖書館信息資源管理中的個人隱私安全建言獻策，以期能更好地保護高校圖書館用戶的隱私，促進高校圖書館更好地為核心用戶提供高質量、更可靠的多樣化服務。

1 高校圖書館用戶隱私的內涵

隱私在社會層面上是一個比較寬泛的概念，主要指公民個人生活中不愿意被他人公開或知悉的秘密，且這個秘密不危害社會，與其他人和社會公共利益沒有關系。 換言之，自己的秘密不愿被其他人知道的權利即隱私權。 我國的法律歷來對公民的隱私權進行嚴格的保護，《憲法》 第38 條對此有專門的定義，指出，隱私權是一項基本的人格權，不得被其他人非法獲悉、搜集和利用。 基于上述隱私的內涵，結合工作實踐，筆者認為以下行為可認定為侵犯了高校圖書館用戶的隱私權。 第一，未經本人同意，擅自公開用戶在辦理圖書館借閱證件時提供的姓名、手機號、身份證號、班級、住址等信息；第二，擅自獲取用戶的圖書館資源利用信息，如網站的賬戶、密碼、瀏覽的網頁痕跡、借閱記錄、文獻傳遞內容、圖書館咨詢記錄等；第三，擅自獲取用戶的個人社交信息，如興趣喜好、社交賬戶（QQ、微信）的聊天內容等，并對其進行惡意的數(shù)據(jù)整理，隨意擴散、宣傳。 以上行為無論是出于無意還是有意為之， 都在客觀上對個人用戶的隱私權造成了侵犯，輕者對圖書館用戶個人造成損失，比如無法正常借閱圖書、查找及保存的重要文獻信息丟失、甚至于出于個人矛盾對圖書館用戶隨意攻擊等，重者觸犯國家法律，比如涉嫌偷盜罪、誹謗罪、損害相關圖書館用戶的個人名譽權等，于己于人毫無益處，而且還會嚴重損壞高校圖書館的公信力，給圖書館的管理工作和正常業(yè)務開展帶來障礙。

2 大數(shù)據(jù)背景下高校圖書館用戶隱私泄露的途徑

高校圖書館用戶群體龐大， 涉及的隱私內容往往事關教師的科研、社交，學生的學業(yè)以及思想狀況等內容，如果被泄露，將會產生巨大的影響。 總結出隱私泄露的途徑， 將對用戶的隱私保護及信息安全起到精準用力、效率翻倍的作用。 筆者認為高校圖書館環(huán)境中，用戶隱私泄露的途徑可從以下幾個方面進行考慮：

2.1 基于管理途徑的泄露

高校圖書館包含的隱私內容主要是師生用戶個人隱私和在圖書館內產生的相關信息資源記錄兩部分，這些內容都存儲在圖書館的云服務系統(tǒng)， 是圖書館用戶進行自我知識更新、 提高， 圖書館自身進行服務創(chuàng)新、職能擴展的重要基礎。所以，在各個級別和領域的圖書館管理中，都比較重視對用戶隱私的重點保護，不但在日常工作會議中進行重點強調， 同時也在圖書館的規(guī)章制度中， 對用戶信息的保護進行了專門的說明和論述。圖書館用戶的重要隱私信息遭到泄露和攻擊，首先就要對圖書館自身管理內容進行排查。

高校圖書館涉及師生用戶隱私的內容一般由圖書館信息專員進行專職管理，本來是為減少多環(huán)節(jié)、多人員的復雜接觸，打造專人專管的高效、安全、扁平化的管理體系， 但如果管理人員產生疏忽或者失職，將會導致高校圖書館用戶隱私的大面積嚴重泄漏，致使用戶的個人利益遭受損失，圖書館工作職能受到影響。 另外，高校圖書館每年都會由于新生的到來而產生海量的個人信息數(shù)據(jù)、借閱數(shù)據(jù)、文獻計量類科研數(shù)據(jù)等各類信息，也會因為畢業(yè)生的離校，有一部分數(shù)據(jù)將處于“冷凍”期，對于這些基本不會重新活躍的大數(shù)據(jù)，理應進行刪除或者銷毀，但在目前的圖書館管理工作中，由于管理職責不清、技術所限等原因，這部分數(shù)據(jù)仍然存在于高校圖書館信息系統(tǒng)中，造成大量的冗余， 不但影響高校圖書館信息系統(tǒng)的運行，也會時刻面臨有意或者無意被泄露的風險。

2.2 基于技術途徑的泄露

圖書館的大數(shù)據(jù)需要通過信息技術途徑進行管理，由于信息技術的特殊性、高校圖書館的校內網絡共享要求以及購買的某些第三方服務等，在信息的傳輸過程中可能會存在技術漏洞。 如果這些技術漏洞沒有被及時修復， 就會導致用戶的數(shù)據(jù)信息被惡意竊取。 特別是對于某些付費服務，比如付費文獻下載、付費閱讀、付費科研查新等業(yè)務，一旦被黑客盯上，入侵高校圖書館系統(tǒng)，用戶的平臺賬號、密碼等重要信息將會變成沒有外衣的透明存在， 不但個人隱私被泄露，還可能造成嚴重的財產損失。

2.3 基于數(shù)據(jù)采集途徑的泄露

圖書館系統(tǒng)內部儲存的海量用戶個人數(shù)據(jù)不但是用戶借閱圖書、查找資料、在線付費的入口，還是圖書館實施相關業(yè)務的重要源頭。大數(shù)據(jù)時代，高校圖書館基于提高自身的競爭力、擴寬服務內容、為用戶提供個性化服務、增加管理決策的科學性等目的，會形成以數(shù)據(jù)搜集、分析、整合為核心的數(shù)據(jù)管理業(yè)務。在數(shù)據(jù)管理、服務提升的過程中，對用戶的個人信息、閱讀習慣、檢索偏好的數(shù)據(jù)挖掘將會是工作的重要內容。這時，如果沒有把握好個人隱私和公開信息的邊界， 將會造成用戶隱私的泄露。

2.4 基于內部人員途徑的泄露

圖書館系統(tǒng)內生成的各種形式、各種特征和各級范圍的大數(shù)據(jù)， 只有內部相關人員才能看到全貌，內部工作人員的職業(yè)素養(yǎng)和道德水平對于用戶個人隱私安全起著至關重要的作用。 如果某些內部人員被利益驅使， 將圖書館內部的用戶大數(shù)據(jù)信息比如姓名、手機號、身份證號、班級、專業(yè)等信息透露給第三方機構以牟取利益，輕者會讓用戶屢屢遭受騷擾，重則將會造成用戶的人身安全和財務安全得不到保障。 現(xiàn)實生活中，各級平臺和機構內部人員將用戶個人大數(shù)據(jù)信息打包賣給不良機構的例子數(shù)不勝數(shù)，正所謂“禍起蕭墻”，防不勝防。

2.5 基于政府公權力途徑的泄露

政府出于國家安全、社會治理的考慮，有權通過一定的大數(shù)據(jù)跟蹤技術手段對公民的個人信息進行實時監(jiān)控，并要求相關人員和部門配合執(zhí)法需要，圖書館等公益機構也在此之列，這部分數(shù)據(jù)往往是最精準、最全面的信息來源。 當國家有執(zhí)法需求，調取某些高校圖書館的用戶信息時，有可能造成其他用戶信息的泄露，引起用戶個人隱私信息安全問題。

3 大數(shù)據(jù)時代高校圖書館用戶的隱私保護策略

3.1 提高圖書館管理水平

首先，加強對內部人員愛崗敬業(yè)、誠實守信等道德素養(yǎng)教育，形成以學生、教職工個人隱私安全教育為中心的法律、法規(guī)培訓，提高圖書館內部人員的法制意識和法律認知。 其次，在購買第三方服務之前，與服務商就用戶個人隱私安全問題達成一致協(xié)議，不以忽視用戶隱私安全為代價受第三方服務商裹挾，讓本校用戶的隱私被非法利用、盜取，損害用戶的合法權益。最后，在圖書館政策制定中嵌入PbD 理論，即從設計著手隱私。 對高校圖書館用戶個人隱私進行分級與界定，做到隱私數(shù)據(jù)最小化和全生命周期的隱私保護管理措施。 這一原理的基本原則是主動防御而不是被動補救，這就要求高校圖書館的領導和管理人員有未雨綢繆的前瞻性，在零的基礎上對用戶隱私安全可能出現(xiàn)的問題進行先期預判， 做到大數(shù)據(jù)環(huán)境下，隱私數(shù)據(jù)的全生命周期防護，包括數(shù)據(jù)產生、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)共享、數(shù)據(jù)存儲、數(shù)據(jù)存檔、數(shù)據(jù)銷毀等七個不同的階段。

3.2 升級大數(shù)據(jù)治理手段

大數(shù)據(jù)時代背景下，高校圖書館應該借助先進的互聯(lián)網信息技術等大數(shù)據(jù)治理手段，圍繞信息資源開發(fā)利用、用戶隱私安全、圖書館服務升級合理化等方面，構建綠色、高效的圖書館信息化資源利用環(huán)境。 首先，應該聘請專業(yè)的信息安全團隊，對于現(xiàn)存的圖書館系統(tǒng)內部漏洞進行技術上的“打補丁”，并對現(xiàn)有系統(tǒng)進行升級、完善，構建入侵檢測系統(tǒng)和防火墻，防火墻數(shù)據(jù)包過濾、IP 及端口限制、會話監(jiān)測等功能，能夠實時保障內網與外網之間進行信息存取和交換。 入侵檢測系統(tǒng)對數(shù)據(jù)包進行監(jiān)測檢查，一旦發(fā)現(xiàn)某個數(shù)據(jù)包對系統(tǒng)有攻擊動作，就會及時斷開會話鏈接，并由管理員預設值定義處理單元獲取侵入者的詳細信息，為事件處理提供依據(jù)。 其次，要與政府信息安全部門建立積極聯(lián)系，請求對第三方網站及相關運營商進行網絡監(jiān)督，保障師生用戶的隱私安全。

3.3 加強個人隱私保護立法工作

目前，我國尚未出臺專門的針對高校圖書館用戶隱私安全的法律法規(guī)，因此，通過立法手段來保障高校圖書館師生用戶的隱私安全迫在眉睫。 雖然我國現(xiàn)有涉及個人數(shù)據(jù)安全的法律、 法規(guī)等多達200 多部，但一是針對性不強，內容寬泛；二是這些法律、法規(guī)基本上是從事后對數(shù)據(jù)安全進行被動的完善、 救助，成本太高。 2013 年2 月開始實施的《信息安全技術——公共及商用服務信息系統(tǒng)個人信息保護指南》被認為是我國第一部保護個人信息的國家標準，然而因為其沒有行政執(zhí)行及法律上的強制性，只能作為指導性的技術文件，操作性不強。2018 年1 月正式實施的《中華人民共和國公共圖書館法》， 首次明晰讀者隱私權保護問題，但對侵犯讀者隱私權的行為要用法律手段進行制裁這一論述，缺乏進一步的解釋，因此還需要進一步完善。

4 結語

在互聯(lián)互通的大數(shù)據(jù)環(huán)境下， 信息安全所涉面廣、結構復雜，高校圖書館用戶的隱私安全防護問題任重而道遠，這就需要各高校圖書館聯(lián)合信息技術行業(yè)、政府、法律等部門在提升圖書館管理水平、升級大數(shù)據(jù)治理手段、加強個人隱私保護立法等方面展開通力合作。 只有多方力量的加入，才能為高校圖書館的用戶筑起牢固的信息安全防護屏障，構建高校圖書館潔凈的閱讀、學習環(huán)境，推動我國高校大數(shù)據(jù)治理水平更上一個臺階。