圖書館用戶個人信息保護認證機制構(gòu)建研究

田淑嫻

大數(shù)據(jù)時代，為給用戶提供個性化精準服務，大數(shù)據(jù)挖掘、分析等技術(shù)會廣泛應用在圖書館各項服務中，這樣會增加了用戶個人信息泄露的風險[1]。為了減少用戶對個人信息泄露的顧慮，無論是國外還是國內(nèi)圖書館都或多或少做出了保護用戶個人信息的規(guī)定，其中，最普遍的做法是制定用戶個人信息保護政策。然而，個人信息保護政策的實施效果如何，圖書館及第三方數(shù)據(jù)庫服務商在實際提供服務過程中能否按規(guī)定進行操作，大多數(shù)圖書館無法客觀地評估個人信息保護政策的條款是否過于專門化而無法理解或閱讀。因此，筆者建議用戶個人信息保護認證機制在圖書館應逐步構(gòu)建，以此來保護用戶個人信息的必要安全。

1 對國內(nèi)外認證機制現(xiàn)狀的調(diào)查與分析

1.1 國內(nèi)外個人信息保護認證機制現(xiàn)狀調(diào)查

筆者通過采用文獻調(diào)研、網(wǎng)絡調(diào)研等方式，對大量的國內(nèi)外文獻、網(wǎng)站進行研讀發(fā)現(xiàn)：目前國內(nèi)外均已設(shè)用戶個人信息保護認證機構(gòu)。在國外，美國的Truste 和BBBonline 比較知名，國內(nèi)的中國電子商務等信用評價中心及大連軟件行業(yè)協(xié)會等影響力較大，然而針對信息文化服務業(yè)的個人信息保護認證機構(gòu)或信用評價中心還未制定。為此，通過比較知名的個人信息保護的實現(xiàn)影響認證機構(gòu)和信用評估中心在國內(nèi)外信息服務行業(yè)，作者選擇Truste美國和中國大連軟件行業(yè)協(xié)會為代表，分析并介紹其具體實踐，提出構(gòu)建圖書館用戶個人信息保護認證機制的建議。

1）TRUSTe 隱私認證機制。TRUSTe 是美國的非盈利性機構(gòu)，它是一家數(shù)據(jù)保密管理公司，也是亞太經(jīng)濟組織認可的個人信息保護認證組織。它通過提供個人信息保護的相關(guān)知識、方法和技術(shù)解決出現(xiàn)的個人信息保護問題，并且它制訂的認證標準現(xiàn)已納入亞太經(jīng)合組織建立的個人信息保護框架的原則中。它的整個工作流程包括：對申請加入該組織的機構(gòu)進行審核，對審核通過的機構(gòu)進行監(jiān)督，對發(fā)生個人信息泄露事故的機構(gòu)進行調(diào)解。在其評估申請機構(gòu)是否可以通過認證時，主要通過對影響個人信息保護認證的因素、標準等進行評估。同時，它也為網(wǎng)站運營機構(gòu)提供實踐操作方面的指導文書。這是一個兩面利好的個人信息保護機構(gòu)，不僅能為用戶提供安全的網(wǎng)站信息，而且能有效監(jiān)測評估用戶的個人信息行為[2]。

2）大連軟件行業(yè)協(xié)會認證機制。大連軟件行業(yè)協(xié)會是中國制定的個人信息保護標準的機構(gòu)。它依據(jù)制定的個人信息保護評價體系開展個人信息保護評價工作。去幫助企業(yè)建立個人信息保護的規(guī)范制度，提高企業(yè)保護個人信息的能力，確?？蛻魝€人信息的安全[3]。在實施機制時，它通過對企業(yè)進行審核，并給審核通過的企業(yè)頒發(fā)個人信息安全標志及證書[4]。在使用標志期間，若發(fā)現(xiàn)企業(yè)未遵守承諾，該協(xié)會會根據(jù)情節(jié)輕重采取懲罰措施。該認證機制的影響越來越大，目前所影響的城市已包括北京、廣州、上海等地，它的認證機制也逐漸在信息服務業(yè)具有代表性[4]。

1.2 對國內(nèi)外認證機制的建設(shè)進行分析

通過對國內(nèi)外個人信息保護認證機構(gòu)的調(diào)查發(fā)現(xiàn)，建立個人信息保護認證機制可以有效保護用戶的個人信息，為電子商務和信息服務行業(yè)的發(fā)展贏得了一個相對寬松的環(huán)境，并且，使用認證標志也帶來了便利，用戶不再需看難懂冗長的個人信息保護政策。但是，它們也存在缺陷。例如，經(jīng)濟來源存在依賴性，主要依靠企業(yè)的認證，這使得對企業(yè)的監(jiān)管不夠嚴格，缺乏獨立性；另外，申請加入的運營機構(gòu)只能憑自覺，使其缺乏普遍性[5]等等。

2 構(gòu)建圖書館用戶個人信息保護認證機制的建議

因為圖書館身為我國信息服務產(chǎn)業(yè)的一個主要方面，所以，其用戶的個人信息保護認證機制需要及時有效的建立起來，圖書館用戶的個人信息保護機制構(gòu)建過程中，要善于吸取和借鑒國內(nèi)外類似的成功經(jīng)驗，并且通過不斷地改進以達到相對的完善，并且，正確的結(jié)合我國圖書館自律意識不強等實際問題，制定出符合我們自身發(fā)展所需要的用戶個人信息保護認證機制。

2.1 組建圖書館用戶個人信息保護認證機構(gòu)

1）由圖書館學會主導成立“中國圖書館用戶個人信息保護認證機構(gòu)”。設(shè)置認證機制的領(lǐng)導機構(gòu)只有具有行業(yè)威信，才能對認證機構(gòu)產(chǎn)生影響。中國圖書館學會是我國圖書館行業(yè)的領(lǐng)導機構(gòu)，會在一定程度上引導和影響地方各級圖書館事務的發(fā)展，由中國圖書館學會率先建立個人信息保護認證相關(guān)機構(gòu)，可以加快我國圖書館用戶個人信息保護認證機構(gòu)的建設(shè)。

2）以圖書館學會分支機構(gòu)為主要成員。圖書館學會主要由高等學校圖書館分會等9 個分支機構(gòu)組成[6]。各分支機構(gòu)承擔著引導各類型圖書館的發(fā)展及業(yè)務培訓等任務，代表著各類型圖書館事業(yè)的發(fā)展情況。在設(shè)置圖書館用戶個人信息保護認證機構(gòu)時，既需要中國圖書館學會帶頭領(lǐng)導，又需要圖書館各分支機構(gòu)共同參與。

3）與個人信息保護方面的法律專家進行合作。圖書館用戶在使用圖書館資源過程中，不僅會用到圖書館內(nèi)部資源還經(jīng)常用到與圖書館合作的第三方數(shù)據(jù)庫服務商，為此，在構(gòu)建圖書館用戶個人信息保護認證機制的過程中，需要與相關(guān)法律專家進行合作，明確圖書館用戶個人信息的保護范圍及雙方的責任。

4）需要得到相關(guān)部門認可和支持。國家相關(guān)部門的認可和大力支持不僅可以加快圖書館用戶個人信息保護認證機構(gòu)構(gòu)建的步伐，還可以做到保證該機制的順利建設(shè)和完成。所以，構(gòu)建圖書館用戶個人信息保護認證機構(gòu)既要符合政府政策要求，更要積極的獲得政府相關(guān)部門的認可和支持。

5）相關(guān)職能管理部門設(shè)置。為保護圖書館使用者的個人資料而設(shè)立的認證機構(gòu)，將對圖書館業(yè)產(chǎn)生積極的影響。更是對用戶個人信息保護起到很大作用。為確保個人信息保護認證機構(gòu)作用的有效發(fā)揮，需要在其內(nèi)部設(shè)置具有不同管理職能的部門，圖書館個人信息保護認證辦公室、個人信息保護認證評價專家組（簡稱評價專家組）、個人信息保護工作委員會（簡稱工作委員會）等部門。

2.2 構(gòu)建圖書館用戶個人信息保護認證機制

1）注重與合作機構(gòu)協(xié)作發(fā)展。信息服務行業(yè)個人信息保護認證機制普遍存在對申請認證的企業(yè)監(jiān)管不嚴，在行業(yè)影響力不夠等問題。因此，構(gòu)建該認證機制要充分發(fā)揮各自的職業(yè)所長，加強他們的協(xié)作發(fā)展。

2）建立一站式的審核機制。一站式的審核機制是指所有需要審核的材料均能在此機構(gòu)內(nèi)完成。申請加入該機構(gòu)要提供認證所需材料，并保證其有關(guān)用戶個人信息的行為合規(guī)合法，不侵犯用戶權(quán)利，如果符合上述要求就可頒發(fā)審核通過標識，不必再進行其他審核。大大加快了機構(gòu)認證的步伐。

3）有配套的懲罰措施。在實施圖書館用戶個人信息保護認證機制的建立過程中，要定期對申請加入的機構(gòu)進行評估，更要對侵犯用戶權(quán)利的機構(gòu)進行處罰。通過調(diào)查國內(nèi)外已建立的個人信息保護認證機構(gòu)可知，它們的懲罰措施是終止該機構(gòu)使用認證標志。然而，由于個人信息保護認證機構(gòu)的主要經(jīng)濟來源依賴于申請加入的機構(gòu)，因此很少有機構(gòu)被取消認證標志，致使機制的實施效果不是很好。為此，針對發(fā)生的侵權(quán)行為性質(zhì)及造成的影響設(shè)置配套的懲罰措施。

4）明確有效期限并及時更新。在機制實施過程中，要明確標志的有效期限并且根據(jù)發(fā)展需要及時作出機制更新，以有效確保圖書館用戶個人信息保護機制的實施效果。

2.3 圖書館用戶個人信息保護認證機制的實施流程

筆者通過對其他行業(yè)認證機制的分析，并結(jié)合我國圖書館現(xiàn)實情況，借鑒大連軟件行業(yè)協(xié)會的信用評價機制工作經(jīng)驗，總結(jié)出圖書館用戶個人信息保護認證機制的實施流程，即：資料審核——現(xiàn)場審查——網(wǎng)絡公示——審批階段——頒發(fā)證書。

1）資料審核。這一階段包括材料準備、機構(gòu)受理、形成審核報告3 個步驟。主要對圖書館的基本規(guī)章、個人信息安全管理體系等方面的材料進行審核。圖書館提出申請后按相關(guān)要求準備審核材料并提交受理，最后形成審核報告。

2）現(xiàn)場審查。該階段是對已通過材料審核的圖書館進行審核，審核其在運行中是否有侵犯用戶權(quán)利的行為。如若在現(xiàn)場審查過程中發(fā)現(xiàn)其實際運行情況與資料不符，將中止對該圖書館的審查，指出缺陷，三個月后才能再重新提出申請。如若發(fā)現(xiàn)存有一般性的小問題，則督促其立即整改，之后再繼續(xù)對其進行審查。最后結(jié)合現(xiàn)場審查情況形成評價報告。

3）網(wǎng)絡公示。這一階段是對通過材料審核和現(xiàn)場審核的圖書館進行公示，表示該圖書館已具備取得圖書館用戶個人信息保護認證標志的條件?？梢栽O(shè)置公示期限可為15 天。

4）審批階段。這一階段主要是根據(jù)審核情況形成審批意見書，并根據(jù)意見書判斷是否對其證書申請進行批準。如若在公示期間沒有投訴或質(zhì)疑，個人信息保護工作委員會審批通過。如若在審批前發(fā)現(xiàn)該圖書館還存有較大影響用戶個人信息安全的情況，則審批不通過，必須要等三個月后再申請。如若圖書館仍存有一些保留性問題，則要求其進行整改。

5）頒發(fā)證書。經(jīng)批準的圖書館給予頒發(fā)個人信息保護證書和標識，表明此圖書館是嚴格遵守個人信息保護的有關(guān)規(guī)定的。只要此圖書館的使用用戶在享用信息資源時看到相應的證書標識，就可以根據(jù)需要放心提供自己的個人信息。

3 結(jié)語

大數(shù)據(jù)時代，圖書館為給用戶提供精準服務，會利用大數(shù)據(jù)技術(shù)搜集到用戶一些個人信息。為了解決用戶顧慮，筆者希望早日構(gòu)建圖書館用戶個人信息保護認證機制，有效確保用戶享用個性化精準服務的同時，也能確保其個人信息安全。