周淑云 杨叶青

（湘潭大学公共管理学院 湖南湘潭 411105）

1 引言

在大数据环境下，社会对于个人信息安全重要性的认识日趋清晰，各种新的服务手段被运用到图书馆的读者服务中。无论是在经营模式、服务内容、读者需求还是应对整个市场环境变化等方面，图书馆都面临着新的挑战。其馆藏资源不再成为制约服务水平和服务质量的关键因素，通过对读者的阅读或其他行为所产生出来的信息数据进行收集、归纳、整合、研究和分析，对用户需求和用户习惯进行判断和预测，能够得到读者的阅读习惯和喜欢的阅读内容，可以更加科学地对图书馆的服务内容进行修改，针对性地为读者提供个性化定制服务，从而进一步增强图书馆的服务能力、用户满意度和市场竞争力。

在此背景下，基于大数据环境具有的复杂、不确定和应用要求高等特点，读者的个人隐私信息被窃取的风险增加，图书馆的信息服务质量也受到了威胁。因此，读者个人信息安全的保护问题成为当下图书馆急需攻克的难题之一，其重要性主要体现在以下三个方面：首先，保护读者个人信息安全有利于促进图书馆核心价值的实现，体现图书馆以人为本的经营理念。其次，保护读者个人信息安全能很好地维护隐私权和所有权以及与之相关的其他读者个人信息权利。最后，解决读者个人信息安全问题也是图书馆整个行业发展的需要，可以确保图书馆与读者建立起和谐信任的关系，从而为图书馆树立一个以读者为本、切实保护读者个人信息的安全的社会公共服务形象，使图书馆事业的发展能够在社会扎稳根基、站稳脚步，增加社会的认可度以及支持度。

此外，这一问题也引发了图书馆界的高度重视，《中华人民共和国公共图书馆法》第四十三条指出：“公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息，不得出售或者以其他方式非法向他人提供。”可见，保护读者的个人信息安全业已成为重要现实与立法核心关注点。

2 图书馆读者个人信息安全问题的成因

2.1 图书馆管理活动引发的读者个人信息安全隐患

随着数字化时代的发展，图书馆转变发展模式，在业务管理中融入大数据的技术力量，通过对读者个人数据进行整合、数字化处理与备份，同时对收集到的相关数据展开全面、高效的梳理与利用，使图书馆的管理更具现代化、标准化、专业化。

首先，图书馆在对读者个人数据进行搜集、研究和使用的过程中，任何步骤的漏洞与疏忽都可能造成读者个人信息的泄露。其次，读者在图书馆数据管理过程中始终处于被动地位，对涉及个人的信息无法拥有主导权，即无法决定个人信息如何被使用。例如，2018年7月，中国消费者协会网络调查了5 458份问卷，其调查分析结果揭示，泄露个人信息最为多见的原因是信息搜集方在没有得到数据信息所有人允许的前提下就对个人数据进行收集和利用，其占比达85.2%[1]。当图书馆和读者对划定其管理权、隐私权的界限模糊不清时，个人信息泄露的概率将明显增加。例如，图书馆员将没有及时归还图书的读者信息发布在网上，就是个需要讨论的做法。

其次，为了能够进一步发挥数据的价值，图书馆会与多方进行协商，通过合作的方式，与企业、相关政府部门、非政府组织等第三方实现数据共享。读者数据被第三方掌握后，读者个人信息被泄露、被使用的概率也会增加，图书馆及读者都很难通过自身力量保护私有的数据信息。

2.2 图书馆服务方式引发的读者个人信息安全隐患

大数据时代不仅带来了新的发展思路和技术力量，也倒逼着图书馆必须尽快转型，为读者提供更为多样化、针对性更强的服务。在这种发展趋势下，图书馆开始尝试为读者提供个性化的定制服务，并寄希望于通过定制服务提升自己的市场竞争力与消费者口碑。图书馆要充分平衡好读者需求和自身实际能力之间的区别，通过及时创新、推出多样的服务方案来最大限度地满足读者的服务需求。如南京大学研发的配合无限射频识别技术（RFID）解决图书馆找书难的新型智能机器人[2]；澳大利亚卧龙岗大学图书馆与该校绩效指标管理中心共同合作创立了“图书馆立方”项目，将学生使用图书馆的相关数据信息进行搜集整合，同时将这部分数据与PIU（Path Information Unit，路径信息单元）的数据库进行关联，通过数据入库的方式进一步分析、挖掘图书馆如何对教学活动产生作用，并借助这一分析结果及时为如何充分发挥图书馆在教学中的影响提出积极有效的策略[3]。然而，因为数据的庞杂等客观原因，读者个人隐私数据暴露和被窃取的可能性也会增加。例如，法国的波兰电信公司Telekomunikacja Polska是波兰最大的语音和宽带固网供应商，该企业为了能够进一步挖掘客户的意愿，分析客户去留的原因，采取了多种策略对客户的流失问题进行预判。他们在对客户群体进行细分的基础上形成了一种覆盖面广的“社交图谱”，以此对大量的客户电话信息进行记录与整合，并将整合的结果分为两个层次的问题：其一是谁向谁打电话，其二是打电话的次数。通过这样一种能够透视出大量信息的“社交图谱”，电信企业能够更加明确地掌握到客户的忠诚度等信息。我国的淘宝、天猫等购物软件，其利用“推荐算法”，通过用户的浏览记录来分析消费者需求，并在此基础上为消费者介绍其可能有购买意愿的商品或服务。相应地，图书馆读者也会面临着个人数据的挖掘引发的信息安全隐患。

2.3 图书馆技术应用引发的读者个人信息安全隐患

云计算技术、RFID技术、移动定位与移动计算等技术的发展，提高了图书馆的服务质量与变革服务模式，也加剧了读者个人隐私数据信息的不安全因素。

参考云计算这一技术的功能与原理可以发现，云计算提供了非常可观的存储容量，同时能够随时随地把原有的数据信息进行及时更新，使得信息数据的规模越来越大[4]。图书馆为了扩大储存空间，会把读者的个人信息储存在云计算服务平台中，图书馆则无法在可控的前提下对用户信息进行合法权限内的使用与控制，通过云计算技术进行存储的个人信息在很大程度上会被服务运营商使用或修改，从而破坏信息的真实性与隐秘性[5]。其次，云计算服务虽然通过数据多副本容错、计算节点同构可互换等措施进一步强化了对用户信息的保护力度。然而，许多大型、权威的云计算服务也曾出现过事故，如亚马逊S3服务的中断、Google Apps的中断服务、微软的云计算平台Azure停止运行约22小时服务等，让人不得不对云计算的安全性和可用性产生担忧[6]。再次，一些云计算服务提供商所制定的服务合同存在着许多不规范的问题，可能会导致用户的权益受损。如亚马逊的云服务合同中提到：如果用户访问或者使用那些没有经过权限通过的程序，并导致数据被破坏、删除等问题的，云服务不承担一切责任[7]。云服务提供方为了最大限度地避免风险，保障自己的利益，不承担一切数据被泄露、被破坏的行为，逃避了相应的义务与责任，使用户独自承受信息不安全的风险。

RFID技术具有较强的识别与追踪功能，能够在数据信息传输过程中对商品的标签进行智能化识别与追踪，这些标签都包含电子储存的信息。无线射频识别无需将读取器与标签对齐，且标签可安置在物品内部。当无线射频识别的标签序号跟用户个人信息关联时，就可能在本人不知情的情况下读取用户的个人信息，从而给读者的个人信息安全造成威胁。图书馆通过移动定位、移动计算技术也可以获取读者静态及相关时空动态信息，而这些数据恰恰全面、客观地把读者的数据信息与动态情况完整地呈现出来[8]。

2.4 图书馆系统漏洞引发的读者个人信息安全隐患

大数据包含着大量有价值的信息，黑客可以凭借窃取到的资料和信息谋取经济利益。1998年10月，福建省图书馆曾经被不法分子技术入侵，图书馆首页的部分内容被恶意修改，并增加了一些其他无关页面信息，图书馆无奈之下只能多次关闭服务器，阻止黑客的再次入侵。2009年，太原科技大学图书馆网络链接中毒，致使图书馆的工作一度陷入混乱[9]。因此，大数据时代图书馆存储的读者个人信息，同样也存在被他人或组织以不合法的手段或者途径获取、修改甚至删除的风险。

首先，黑客等不法分子会挖掘系统中存在的安全漏洞，通过获得图书馆操作系统的权限而获取读者个人信息。其次，黑客会对图书馆网络进行攻击，以达到对读者信息进行恶意控制的目的，或者在图书馆的操作系统中植入木马程序以及一些恶意软件，对读者个人信息进行监听与窃取。

3 读者个人信息保护策略

3.1 科学管理数据，合法利用信息

大数据时代，数据本身不是隐私，但是通过对数据的采集、挖掘、分析、梳理，就能够获得用户的大量信息。从这个角度而言，图书馆应对读者隐私数据所有权和使用权进行科学管理，最大限度地避免因数据信息所有权与使用权的分离而造成读者个人信息被窃取。

一方面，图书馆要加强对读者数据信息的管理能力与水平，确保数据信息搜集、备份过程中的安全系数。要与合作的第三方签订条款明确、合理的合作协议，强调对用户隐私信息的保护，并在此基础上加大对第三方使用读者信息的监管力度。另外，对于那些可能会涉及数据共享问题的隐私数据，应保证读者对隐私数据共享的内容和方式有知情权和决定权，经读者同意后方可传播、共享和使用。另一方面，在对读者个人隐私信息进行搜集汇总的过程中，要以不记名的方式采集，同时要及时界定数据的过滤范畴，以及对过滤后数据的可用性与价值性进行评估，合法地利用读者个人信息，严禁采集读者私有账号、支付密码等与服务无关的数据。个人信息控制者确需共享、转让时，应充分重视风险。例如，中关村数海大数据交易平台通过数据脱敏技术，对数据信息展开全方位的清洗，做好技术屏蔽的工作，经过一系列环节与程序的审核完成安全测试后，再将数据提供给需求方[10]。最后，应以制定图书馆行业规范的方式，强化行业的职业道德意识，充分发挥行业自律的力量来确保读者的隐私，从而保障读者在阅读活动中的个人信息安全。

3.2 立足我国国情，完善法律制度

国外一些发达国家在图书馆服务中非常注重读者的个人信息安全问题。美国从立法层面考虑，出台了大量法律规范来强化对个人信息的保护，除了以联邦政府为主导形成的《隐私权法》外，美国大部分州都结合当地实际，创造性地制定出台了《图书馆记录机密法》。英国对于个人信息安全的保护工作已经开展了较长的时间，并先后制定出台了《数据保护法案1998》《信息自由法案2000》等。日本国立国会图书馆通过充分参考个人信息安全保障方面的制度规范，针对性地形成了当地的《个人信息保护标准》，并围绕个人信息存在的问题进行相关规定与要求，包括个人信息的获取、管理与保护等方面的内容。在这一基础上，日本图书馆个人信息保护工作开始步入了一个全新的阶段[11]。

我国在发展的早期阶段并没有意识到读者信息保护工作的重要性，相关工作的发展起步较晚，虽然后续出台了一系列的制度规定，但许多都是以事后处理的角度制定的法律救济内容，且维权成本较高。我国为了进一步推进国内对个人信息安全的保护工作，保障群众的信息安全不受威胁，制定出台了《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》。这项研究报告为我国的个人信息保护立法起到了很大的推动作用，但报告终究不如法律更有效力，我国应以这项报告为基础，充分借鉴国外一些针对性强、覆盖面广的保护法案与制度，并紧紧围绕我国的实际问题，建立系统的法律秩序和规则体系，有效地规范图书馆行为，使图书馆可以在法律的引导下更好、更高效地保护读者个人信息。

3.3 强化信息保护观念，提高自身维权意识

大数据时代，除了图书馆以及法律的外在保障外，读者也要加强个人信息保护意识。首先，读者应对个人信息权、个人信息保护政策等有一定程度的了解，强化个人信息保护观念，如不访问非法网站，在网络上慎重填写个人信息，在安全的环境下登录账号并增加账号密码的复杂程度，主动掌握如何保护个人信息数据的理论知识与技术能力，培养科学的上网行为。其次，读者在发现自己的个人信息被泄露或非法使用时，要提高维权意识，对于那些有悖于法律规定的、不合法的数据交易行为，我国的相关制度提出了具体的要求。《中华人民共和国网络安全法》第四十三条规定：“用户发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息”。因此，读者要主动联系图书馆及相关部门单位，及时删除网络上的个人信息，在最大程度上进行补救。若由此产生了一些不良后果，应通过合法、合规的方式寻求法律援助，确保自己的权益不受侵害。