孙掌印

（南京铁道职业技术学院苏州校区图书馆，江苏 苏州 2 15137）

信息时代不同的用户对信息的需求是千差万别的，信息服务者应当依据用户个性特征，主动收集用户可能感兴趣的信息，甚至预测用户可能的发展，最后以个性化方式推送给用户，更好地为用户提供服务。然而，用户要获得个性化的信息，就必须让信息服务者了解自己想要什么，这就需要用户提供个人信息。在用户提供个人信息过程中，自己的隐私也同时传送给了信息服务提供者，由此产生了各种用户信息安全问题。

1 个性化服务中个人信息交互模式分析

在个性化信息服务中，用户个人与信息提供者之间需要进行交互，信息服务者与用户之间的交互过程如图1[1]。

①信息用户与读者个性化信息需求模式进行交互，用户将自己的需求告诉信息服务者。

②通过交互之后，形成个人信息库，信息库里存有用户的各种信息。

③外部数据信息库主要由服务部门的信息资料库形成，用于为用户提供信息资料。

④用户个人信息库和外部数据信息库在选择合适的个性化服务方式的作用下，为用户提供个性化的信息服务。

⑤同时用户在选择信息服务的过程中，将用户反馈的信息需求形成新的用户资料库。

2 个性化服务中个人信息的获取方式

2.1 注册用户主动提供的信息

用户要获取网络信息服务机构的个性化信息服务，第一步就是要注册，通过注册，信息服务部门可以掌握用户的性别、年龄、身份、职业、收入、喜好等个人资料，这是判断用户个性化需求的基础，而用户对信息的使用、对服务的申请以及所有的消费行为更是构成其个性化需求的重要依据。通过对用户个人信息的分析，即利用系统记录的用户个人资料及行为记录信息，对用户进行研究和分析，为每个用户建立行为模型并在不断的应用中加以修正：系统提供个性化服务，为用户提供更加具有主动性和针对性的各种服务；并通过了解用户对服务的认识和使用程度，以发展重点服务和发掘潜在服务。

2.2 利用计算机技术对所需信息资源的分析来获取用户的个人信息

对于很多匿名的访问者，网站将他们的信息用于统计，来分析多少用户使用了网站的服务，通过此种方式改善对用户的服务。网站会通过分析，将他们可能会感兴趣的其他服务或产品信息告知用户，同时通过cookie的使用来记录匿名访问者在哪些网页停留过、访问过，以确定用户的个人身份信息，结合个人用户信息库来确定信息用户，目的在于使用户获得更好的服务，在用户登录网站时可以自动识别用户；在信息服务机构上做广告的广告商也会用cookie或其他小程序在匿名访问的基础上收集用户点击广告的信息。

3 个性化服务中个人信息的安全问题

目前，对于网络信息安全尚没有统一的概念。一般认为，个人信息权是自然人出于使其个人信息不被他人非法知悉、收集、公开、利用而对这些信息开展保护与控制的法律状况[2]。个人信息安全的内容随着时代的发展不断得到丰富，当代信息安全可以分成4种类型：一是个人资料安全，指对收集和处理个人资料或信息行为进行控制的权利；二是通讯资料安全，指邮件、电话、电子信箱和其他形式中的安全与隐私；三是个人身体信息，指保护个人的身体不受任何形式的不法侵犯，如非法医疗测试和非法搜查人身；四是领域信息安全，指对侵入家庭或其他生活、工作领域的行为进行限制所产生的隐私权利。

3.1 在用户需求数据收集阶段，强制性收集用户的个人信息

很多信息服务机构在提供个性化信息服务之前，通过对服务资源的垄断，强制要求用户必须对自己的个人信息进行详细注册，如果不注册就不给用户提供信息服务。在提供信息服务的过程中通过客户端或服务器端收集用户信息，如果没有事先征得用户的同意，就对用户的个人信息造成侵犯。

3.2 在用户需求数据分析阶段，系统分析的误差

数据分析如果不能准确反映用户的真实需求，特别是发生“张冠李戴”的情况，就对用户的安宁造成干扰，据个性化信息服务接受程度的不完全调查统计表明，一半以上的用户都认为垃圾邮件、个人信息泄露及将个人信息提供给第三方等问题是他们不愿意向信息服务者提供个人信息的主要原因，归根到底，用户还是认为这些做法侵犯了他们的个人隐私[3]。

3.3 在用户需求数据使用过程中，保密措施不强就会造成用户信息泄露、盗用等侵权行为

2009年3月15日，中国消费者网发布了一条消息，中国移动对其手机用户信息进行出卖，造成了大量消费者权利受到侵害。现在只要是任何一个拥有手机的人，想必对“垃圾信息”的骚扰都不陌生。还有一些个人信息是在利用互联网、手机进行电子交易过程中被窃取。而造成这些信息泄露的都是一些信息服务部门，这给用户的日常生活带来了一定影响。

4 保护个人信息安全的建议

4.1 国家立法支持个人信息的保护

由于缺乏法律保护，生活中个人信息泄露和滥用问题日趋严重，我国有九成公民担心个人信息被泄露和利用。现今世界各国都制定了信息网络化服务中保护个人信息安全的办法，试图从法律途径对网站侵犯用户隐私予以约束[5]。1998年10月，加拿大政府制定了《个人信息保护和电子文件法案》，该法案的主旨是在网络信息的收集、整理和传输领域内，针对企业或机构收集、使用或披露个人信息，赋予加拿大公民对个人信息安全保护的权利。2000年4月，加拿大政府又通过了旨在保护电子商务的个人隐私法，要求电子商务网站在将用户的个人信息提供给第三方时，必须获得本人的明确同意。2000年4月，美国第一部网络个人信息保护法《儿童在线保护法》正式生效，该法规定，网站在收集13岁以下儿童的个人信息前必须得到其父母的同意，并允许家长保留将来阻止其使用的权利，还必须说明所要收集的内容及将如何处理这些信息。1995年10月，欧盟通过的《个人数据保护指令》几乎包括了所有关于个人信息处理方面的规定，根据该指令，信息收集者具有保证信息的品质、信息处理合法、敏感信息的禁止处理与告知信息所有者等义务。1996年9月，欧盟理事会通过了《电子通讯数据保护指令》，它是对《个人数据保护指令》的补充和特别条款，其中特别包括了隐私权的配合条款。1998年10月，欧盟制定的有关电子商务的《私有数据保密法》开始生效，其内容涉及到输入网站、存储于网站服务器上以及网上传输的私有数据的保护问题。1999年，欧盟委员会先后制定了《因特网上个人隐私权保护的一般原则》、《关于因特网上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息高速公路上个人数据收集、处理过程中个人权利保护指南》等相关法规，为用户和网络服务提供商提供了清晰可见的个人信息安全保护原则[6]。我国政府也越来越意识到保护个人信息安全的重要性，已有很多人大代表建议为保护个人信息安全，保护个人隐私，治理目前个人信息被随意泄漏的混乱状况，要尽快制定并出台《个人信息保护法》，明确国家法律保护的个人信息数据资料范围、内容，明确掌握公民个人资料机构的责任义务，规定个人信息的采集、使用、公开、查询条件和使用限制。同时，强化各种侵害个人信息行为的法律责任[7]。公安和司法部门要加大打击力度，对泄漏个人信息造成严重后果的，要追究相关责任人的刑事责任。

4.2 机构自律保护用户个人信息安全

网络信息服务机构收集个人资料目的是通过对个人资料的分析与挖掘，更好地为信息用户提供个性化的信息服务[7]。如果信息服务机构以松懈的态度对待个人信息的保护，滥用用户的信任，就将面对可能的法律惩罚和绝对的用户忠诚度的丧失；如果以严谨的态度对待隐私保护，放弃利用用户信息来提供更好的个性化信息服务，就将失去竞争优势和一部分愿意用用户信息换取个性化服务的用户。这就需要信息服务机构加强自律，信息服务网站收集个人资料应遵循“告知原则”。在信息用户注册过程中应告知用户所注册信息的安全性，并经过信息用户的个人许可，采取非强制手段对信息用户的个人信息进行收集。与此同时我们要对数据库的访问设定权限，只能让少数的管理员拥有查看读者信息的权利，把责任明确到个人。加强个人素质教育，提高管理员的思想道德水平，建立相关的规章制度，制订较为详细的读者资料保密策略，承诺读者个人信息不会被滥用，读者的任何资料都不会被泄露。

4.3 采用先进的信息技术保护个人的信息安全

网络信息服务机构的很多个人信息泄露有时是由于黑客等机构外部人员获取和网络传输过程中的问题造成的，这就需要我们通过各种计算机软硬件技术来保障信息用户的个人信息安全，在硬件上主要通过安装防病毒卡、还原卡等硬件设施进行保护；在软件上可以通过cookie软件管理工具、个人隐私偏好平台、加密软件、自动删除个人资料软件等由用户自己保护个人资料的技术。信息服务机构为了禁止未经授权的人截取或查阅个人资料，可以通过设置本网站运行的服务器，自动使电子邮件传输到一个预先指定的服务器目录机密邮箱，只供获得授权的人查阅。网络信息服务的安全问题包括保密、身份认证、不可否认、完整性、安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证、安全通过等多方面的内容[8]。①数据加密：它作为网络安全的基础是指利用一定的加密算法将敏感数据加密后在网络上传输，用户解读这些数据之前，再用相应的解密算法对数据进行解密，这样就可以避免数据在传输过程中被非法窃取，从而可以保证个人信息的安全。②访问控制：访问控制技术是控制信息安全最常用的手段，它允许用户对其常用的数据信息库进行适当权利的访问，限制其随意删除、修改或拷贝数据信息文件[9]，目前最常见的访问控制技术的应用就是防火墙。防火墙技术是一种允许接入外部网络，但同时又能识别和抵抗非授权访问的网络安全技术。③身份认证：认证技术采用可信的第三方，密匙分配中心保存与所有密匙持有者通信的主密匙，每次认证都要通过密匙分配中心认证。认证技术中有一次性口令、数字凭证、数字签名等。数字签名就像个人信用卡，由认证机构发放管理。一个数字签名包括持有者名字、密匙、发行者的数字签名等信息。数字签名既是一种身份认证手段，也是一种反抵赖手段。④信息确认技术：它通过严格限定信息的共享范围来达到防止个人信息被非法伪造、篡改。⑤档案信息安全协议：整个网络系统的安全强度实际上取决于所使用的个人信息安全协议的安全性。

5 结束语

现代社会的飞速发展要求信息机构提高服务质量，这就需要信息服务机构按照信息用户的个人需求提供服务信息，但是信息服务机构服务质量的提高和个人信息的安全是两个矛盾的共合体，这就需要信息服务机构在提高信息服务质量的同时采取各种有效的措施来提高个人信息的安全性，在个人信息安全性和个性化信息服务质量之间达到平衡。现代化网络社会的信息冗余需要个性化的信息服务，但是个性化的信息服务更需要保护个人信息的安全。只有在保障个人信息安全的基础上提高个性化的信息服务质量，才能使广大的信息服务机构更好地发展。

[1] 陈凤岩，宋颖.高校图书馆个性化信息服务的对策研究[J].情报杂志，2008（6）.

[2] 王茹.图书馆个性化信息服务体系构建研究[J].情报杂志，2005（3）.

[3] 唐振宇，陈凤岩，冯玉强.基于个性化信息服务的大学图书馆信息资源整合[J].情报科学，2007（4）.

[4] 马荣贵．论电子商务中消费者隐私权的保护[J]．图书情报知识，2002（4）：58-60．

[5] 王维玉.信息服务及信息安全[J].信息技术，2002（11）.

[6] 杨福平.网络环境下的档案信息.安全应对方法的思考[J].档案与建设，2005（5）.

[7] 刘维荣.档案信息网络化服务隐私保护在欧美[J].湖北档案，2002（12）.

[8] 刘颖.论个性化信息服务中的隐私保护[J].情报科学，2007（12）.

[9] 杨福平.网络环境下的档案信息安全应对方法的思考[J].档案与建设，2009（5）.