数字图书馆用户信息隐私的安全威胁分析

2017-03-09张万里

网络安全技术与应用 2017年6期

◆张万里

数字图书馆用户信息隐私的安全威胁分析

◆张万里

（太原师范学院图书馆山西 030031）

随着数字图书馆的广泛应用，用户的信息隐私面临着来自不同环节的安全威胁。本文即从用户信息隐私的内容入手，对隐私权的内涵和国内外法律政策进行解读，分析了信息隐私面临的安全威胁内容，从立法规制、图书馆自律机制和用户隐私意识几方面阐述了隐私保护对策。

数字图书馆；用户信息隐私；安全威胁

1 数字图书馆用户信息隐私概述

1.1用户隐私权的内涵

隐私是有关个人生活领域的、一切不愿为人所知的事情。隐私权则是指自然人享有的对自己的个人秘密和个人私生活进行支配并排除他人干涉的一种人格权。隐私权包括个人活动自由权、个人信息保密权、以及个人隐私使用权。

对于数字图书馆的用户信息隐私和隐私权，国内外的专家学者存在不同的概念认定，总体来看，我国图书馆界的学者基本认为，图书馆中用户信息隐私指的是图书馆的服务对象在利用图书馆的信息资源与服务设施时，享有的用户活动和用户信息的隐私。图书馆隐私权的主体是用户，具有隐秘性，且必须合乎法律、政治及公序良俗，保护范围受到公共利益限制。

1.2数字图书馆用户信息隐私权内容

由于学界对图书馆的用户信息隐私权具有不同定义，因此，它们之间所代表的“用户信息隐私内容”也存在一定区别。整体来讲，隐私权涉及到个人信息和活动信息不受侵犯，用户对自己的个人信息资料的支配权利，还有用户的私人信息、私人生活受到保护的人格权利。

这里以隐私权的法律规定作为分类方式，将隐私权的主要内容分割成用户的占有权、支配权、隐私被意外侵犯问题三个部分。

占有权和支配权是个人享有对图书馆系统中收集的个人数据信息的个人占有和自由支配的权利，图书馆网站不能强制要求个人提供数据，也不得在未经用户允许的情况下对信息进行支配。

隐私权被意外侵犯的原因较多，比如图书馆网络本身安全等级存在缺陷，遭到黑客攻击，或者图书馆未经授权向别的图书馆或者其他机构提供了个人的数据信息，在数字图书馆存储、传输和利用过程中出现意外，也有可能导致用户信息隐私面临着安全威胁。

1.3用户信息隐私领域的国内外研究情况

在国外，国际图书馆联合会、美国图书馆协会、澳大利亚图书馆情报协会等图书馆协会都将尊重读者，保护读者的隐私和秘密正式列入图书馆宣言当中。国外学者通常会将图书馆用户的隐私保护和其他行业的隐私保护结合起来进行研究，在探讨用户信息隐私时，往往借鉴其他行业的相关政策，采用的研究方法和提出的保护隐私措施诸如个性化服务、通过统计学方法了解用户对隐私权的看法和建议等。

2 数字图书馆用户信息隐私面临的安全威胁

2.1隐私安全威胁的内容

用户在注册数字图书馆时所提供的信息以及用户在使用图书馆资源、接受图书馆服务时涉及到的一切相关信息都有可能面临着安全的威胁。其中用户个人注册信息可能包含了用户的个人身份和背景信息，即用户的姓名、性别、年龄、联系电话、电子邮箱、联系地址、学历、职业、单位等一系列内容。用户在使用过程中产生的信息可能包括IP地址、访问内容、访问时间等诸多信息，通过这些信息，可以完成对用户阅读行为和检索行为的初步分析，从而了解用户的研究领域、阅读兴趣等。

2.2隐私安全威胁的发生阶段

图书馆在对用户信息进行搜集、传递和利用的过程中，都有可能产生侵权风险。

用户信息搜集通常包含对用户图像信息、个人信息及行为信息的搜集，从图书馆角度来说，安装公共摄像监视系统是为了防止馆藏图书遗失，但同时造成图书馆读者个人丧失了对个人信息的控制权和选择暴露权，安装在电子阅览室的摄像头更是如此。收集用户个人信息是图书馆为用户提供借阅服务和个性化推送的基础，目的是提供有针对性的信息服务，但如果强制要求提供个人信息或者数据保存不当出现外泄，则会为隐私权带来危害。此外，数字图书馆会自动完成行为信息搜集，最后形成用户描述文件，揭示用户信息需求的特点，如果处理不当，也可能导致用户出现信任危机。

在用户信息传递和利用过程中，第三方可能通过网络漏洞或技术攻击，完成对信息的监视、修改或者窃取，如果对这些信息进行了非法交易或者非法开发，隐私信息受到侵犯的用户很可能会面临着骚扰电话、广告推销或者垃圾邮件的困扰，更有甚者会卷入诈骗或其他违法案件当中，用户隐私权面临着非常大的安全威胁。

3 用户信息隐私权的保护对策

3.1通过立法进行规制，强制保护信息隐私

将隐私权正式纳入法律，使隐私权保护具备强制性，可以从根本上要求图书馆注重保护用户信息隐私权。从20世纪70年代开始，西方国家就已经颁布了隐私权保护的相关法律，比如英国的《数据保护法》、法国的《数据处理、档案与自由法》、美国的《数据通信隐私法》和《数据权法》等，我国现行法律中没有对个人信息隐私的规定，而是通过体现在民法通则中，对名誉权的保护等个别法条，缺乏直接的法律依据。

我国需要从立法入手，制定统一的隐私权保护法，保护公民应当享有的隐私权利。首先，在民法典中应当将隐私权独立出来，明确它的权利和地位，其次，可以制定《个人信息保护法》，将隐私权的条件、程序、法律救济作为一项单独法律进行体现。最后，还可以以《图书馆法》或者《图书馆用户隐私保护条例》对图书馆用户信息隐私做出具体规范，以法律武器规制侵犯用户信息隐私的现象。

3.2加强图书馆自律机制，制定隐私保护指南

除立法的强制性规定之外，图书馆的自律模式也是防范用户隐私安全威胁的重要环节。行业自律是很多国家倡导的保护个人用户隐私权的重要模式，其中最重要的组成部分是建立完善的隐私权准则，如日本电信协会的《ISP业务守则的指导原则》、美国商务促进委员会的《BBB online 个人隐私计划》等，都是为规范行业行为制定的指导原则或指南。

图书馆要形成自律机制，需要建立完整的保护政策和具体的规章制度，在进行数据收集时，就明确告知数据收集的目的并作出安全保证承诺，告知读者他们享有的隐私权认定。在进行具体的用户信息整理和数据处理时，图书馆还需要以具体规章制度规范行为，包括确保数据的正确性，对不同重要程度的数据信息采取不同等级的保护措施，对涉及到敏感内容的数据信息，只有特定人员才允许查看、收集和传播，积极提升图书馆整体信息技术保护水平，防止第三方侵入窃取信息等内容。

针对图书馆的隐私保护机制，还可以由国家或者行业牵头，设置针对数字图书馆保护用户信息隐私权的资格认证，从而让用户清楚地分辨不同数字图书馆的隐私权保护程度并进行自由选择，还能够加强图书馆对用户信息保护的重视，形成对它的约束和规范。

图书馆隐私保护指南应当由行业内的权威机构制定，指南要有可操作性、实用性、谦和性和可行性，明确规定问责制度，既要考虑到大数据时代发展的需要，也要形成对用户信息强有力的保护。

3.3开展科普教育工作，增强用户隐私意识

增强用户隐私意识包括两个方面，一是使用户具备隐私保护意识，即通过主动询问或查找，了解数字图书馆采用的隐私保护政策，如图书馆收集隐私信息的内容、种类、方式、目的，采用什么技术方式保护数据信息，读者提供或者不提供这些信息将会获得什么权利或者限制，在充分了解之后做出自己的选择。二是使用户具备隐私保护的能力，这种能力可能是技术方面的能力，如通过技术手段加强对于隐私的控制，采用匿名注册或者浏览方式等，也可能是追责方面的能力，对侵犯隐私权的行为绝不姑息，可以通过不同的信息注册要点，找到侵犯隐私权或者造成信息安全威胁的主要责任者，借助法律或者政策维护自己的权益。