高校圖書館讀者個人信息共享的促進研究*

李 儀 （重慶三峽學院公共管理學院 重慶 404100）張 娟 （重慶三峽學院圖書館 重慶 404100）

高校圖書館讀者個人信息共享的促進研究*

李 儀 （重慶三峽學院公共管理學院 重慶 404100）
張 娟 （重慶三峽學院圖書館 重慶 404100）

高校圖書館讀者個人信息的效用能夠通過共享得到發揮。但在共享活動中，讀者與管理人員信息素養的缺失對信息安全造成了風險，這又阻礙了信息效用的充分發揮。針對此問題，我國應當綜合應用立法規制與高校自律等多種手段，通過加強信息素養教育來提升管理人員的道德水平，培養讀者的信息意識，從而在確保信息安全的前提下促進共享。

讀者個人信息 信息共享 信息素養 信息安全

1 探究讀者個人信息共享的意義

1.1 高校圖書館讀者個人信息的詮釋

按照歐洲聯盟（以下簡稱歐盟）《個人數據保護指令》（以下簡稱歐盟指令）第一章的表述，個人信息（personal information）專指能將特定主體（包括高校圖書館讀者，下同）從人群中識別出來的數字、符號及它們的組合。在數字時代，個人信息是讀者人格特征的體現，該信息一般涵蓋聯系方式、身份證號碼、IP地址、網名與密碼等；在高校圖書館數字化建設環境下，個人信息還包括能夠反映讀者接受圖書館服務情況的信息，包括借閱卡上的信息、訪問圖書館的記錄（如訪問時間、次數與結果）及閱讀偏好等。

從筆者掌握的文獻來看，國內學者大多將個人信息視為讀者的隱私，進而主要對信息采取防止被他人侵害的消極保護措施［1］。然而，按照信息論奠基人香農的闡釋，讀者個人信息還能夠被圖書館等機構加以積極利用，從而消除它們在決策時面臨的不確定因素［2］。因此，高校圖書館有必要通過共享讀者個人信息來發揮其效用，進而實現信息資源的優化配置，美國與歐盟在此方面已取得了可觀的學術成果與實踐經驗。本文旨在借鑒國外經驗并立足于國內實情，就我國如何促進讀者個人信息共享的問題提出建議。

1.2 共享的內涵及主要形式

出于對讀者進行身份認證、管理與優化服務等目的，高校圖書館時常通過搜索引擎收集讀者的個人信息，進而將信息在進行歸類與整理后存儲于特定數據庫（如讀者個人信息資源特色庫以及身份認證與權限管理庫）之中；同時為了發揮信息的社會效用，高校圖書館還需要將該信息傳輸給其他用戶，再由后者對信息進行分析，以便于他們做出相應決策。根據歐盟委員會工作組在其頒布的《關于公共機構信息的再利用和個人數據保護的7/2003意見書》，前述過程即為讀者個人信息的共享［3］。

高校圖書館讀者個人信息共享主要有兩種形式：一是為發揮高校管理服務職能，信息在圖書館內的部門之間或圖書館與學校其他部門之間被共享；二是在高校圖書館社會化服務背景下，圖書館與校外公共機關或私人機構進行信息共享。尤其是為了順應信息服務產業化的趨勢，高校圖書館時常將信息有償地傳輸給從事商業性信息開發及營銷活動的私人機構。實證調查結果顯示，后一種共享方式正越來越多地被國內高校圖書館所采用［4］。

1.3 促進的必要性：消除安全風險所造成的共享障礙

在信息管理學視野中，信息安全是共享活動得以開展的前提。就讀者個人信息本身的內容與運行方式而言，信息安全主要包括如下幾個要素：一是真實性，即共享者應運用合理網絡技術以確保信息處于完整與真實狀態，同時避免信息因被篡改與亂序而變得殘缺與失真；二是保密性，即未經讀者授權，共享者不得對信息實施收集、傳輸與分析等行為；三是可用性，即信息的社會效用應能通過共享得到發揮［5］。

然而在實踐中，以上安全要素均面臨著風險，共享活動的開展也勢必受到阻礙。畢竟從性質而言，信息共享是管理人員（由高校圖書館與其他用戶等共享者所管轄）所實施的信息行為。根據信息行為具有任意性的原理，管理人員為提高共享效率，時常在未向讀者告知并取得其授權的情況下任意收集與傳輸個人信息，進而改變信息的內容及信息之間的組合排列方式 ；同時，由于多數讀者尚缺乏信息安全意識，他們也很少對此提出異議。前述行為在破壞了信息真實性與保密性的同時，又阻礙了信息可用性的實現以及信息的正常流通與共享。在近年來幾份關于高校圖書館發展現狀的調查報告當中，前述問題已顯現了出來［6］。

2 吸取歐美促進信息共享的經驗

圖書館數字化建設是由信息素養培育與有序的信息資源共享等因素所構成的有機整體。同時在信息學家們看來，信息道德與信息意識培養在信息素養培育中處于基礎地位［7］。據此，我國應當通過提升管理人員道德水平與培養讀者安全意識等途徑來確保讀者個人信息安全，從而消除信息有序共享所面臨的障礙，以下是對美國與歐盟在此方面所取得的成果與經驗的簡介。

2.1 美國

美國大學與圖書館研究協會于2012年發布了有關影響圖書館發展趨勢的報告，該項報告的核心內容之一是：高校圖書館需要獲取讀者個人信息，進而通過技術手段對信息進行科學分析，并在必要時將信息傳輸給圖書館以外的其他用戶共享，以此來優化圖書館服務［8］。在此指引下，美國高校圖書館紛紛采取措施來促進讀者個人信息的共享活動。Mac Whinnie所做的調查報告顯示，從2003年起，美國先后有近20所高校實施了一項名為Information Commons的建設計劃，該計劃旨在促進讀者個人信息資源在校內外互通，實施該項計劃的包括華盛頓大學、堪薩斯州立大學、亞利桑那大學及科羅拉多州立大學等［8］。

針對該項計劃，美國圖書館協會前主席Nancy Kranich評述到：圖書館與他方共享信息資源當然必要，然而如若這一活動是以犧牲信息安全為代價的話，則圖書館的發展必將因此受阻［9］。為維護個人信息的真實性與保密性等安全要素，實施Information Commons計劃的高校幾乎都制定了相關政策，以此來培育讀者與圖書館管理人員的信息素養。例如，根據亞利桑那大學董事會制定的政策，圖書館應當確保讀者對共享活動知情，同時讀者有權反對該活動的開展；又如，根據科羅拉多州立大學圖書館制定的政策，圖書館有義務提升其管理人員的信息道德水平，并制止其實施任意破壞信息真實性與保密性的行為。前述內容也被寫入了美國圖書館協會職業道德準則中，該準則對作為協會會員的高校圖書館具有拘束力［8］。

2.2 歐盟

根據《歐洲人權公約》第10條，人人均得以通過獲取與傳輸信息來自由表達其觀點；歐盟指令第一章也規定，在滿足合法訴求的必要范圍內，個人信息的利用與共享行為應當被允許；英國不列顛圖書館在于21世紀初發布的《讀者個人信息保護政策》中進一步聲明，圖書館出于優化讀者服務等目的，有權與他方共享讀者的個人信息，除非出現法定的例外情形，這一權利不容被限制與剝奪；芬蘭《官方文件公開法》也做了近似的規定［3］。

根據歐盟委員會數據保護工作組制定的關于互聯網上個人數據處理的工作文件，個人信息得以被共享活動的前提是各成員國通過立法與司法途徑督促共享者提高自身的信息素養，同時提高主體的信息風險防范意識，以此來確保個人信息的保密性與真實性等安全要素不被破壞［3］。歐盟指令第17條進一步規定，共享者應當采取合理措施防止個人信息被歪曲與篡改，以此來保障信息的真實性；同時第7、12與14條規定，原則上共享者在收集與傳輸信息之前應取得主體的授權，以此來維護信息的保密性［3］。《德國聯邦個人資料保護法》第二編、法國《數據處理、數據文件及個人自由法》第五章及《西班牙個人數據保護基本法》也做了類似規定［3］。

2.3 比較

通過比較可知，美國與歐盟都注重培育讀者與共享者的信息素養進而確保信息安全，以此來促進個人信息共享；但二者所采用的促進方式有所不同：美國主要是由高校及其圖書館或者圖書館行業協會制定自律性的政策與準則，而歐盟主要是通過立法者頒行正式的法律來促進信息的共享。

3 提出促進信息共享的基本思路

3.1 以培育信息素養進而維護信息安全作為根本途徑

生產者是信息資源最重要的組成部分。個人信息對讀者的識別功能決定了它是讀者的私人信息，因而其原始生產者是讀者，這不同于圖書館館藏信息等公共信息。由此，只有讀者的需求得到充分滿足，他們才具有生產信息的充分動力，信息共享也才有來源保障。在個人信息共享活動中，信息安全的真實性與保密性得以維護正是讀者最重要的需求，其理由是：按照美國心理學家亞伯拉罕·馬斯諾的解說，尊嚴與自由是讀者的基本心理需求［10］。為使讀者獲得社會公正評價從而維護尊嚴，個人信息需要被保持在真實狀態；為使讀者得以自主支配其與生俱來的人格從而確保自由，個人信息需要被保密，未經讀者授權的用戶不得進行信息共享。

由此，正如國際圖書館協會和機構聯合會在2002年發布的《格拉斯哥宣言》中所言，圖書館讀者個人信息得以共享的根本前提是信息的安全及讀者的權益能得到保障，安全與權益的保障又有賴于管理人員及讀者信息素養的提高，這一點對于我們探尋高校圖書館數字化建設的路徑而言具有現實意義［3］。按照美國學者安德里與西蒙茲構建的關于讀者對高校圖書館服務滿意度的模型，管理人員信息道德水平的高低是決定讀者滿意度高低的重要參數之一，具體體現就是他們是否主動維護讀者權益［11］。同時，高校圖書館的主要讀者——在校大學生、教學科研工作者及部分工勤人員多具有較高文化層次，這決定了他們對自身權益的關注度高于其他讀者群體。由此，高校圖書館尤其需要通過確保個人信息的真實性與保密性來維護讀者的尊嚴與自由權益，并以此來提高讀者滿意度，進而維護與鞏固圖書館在知識傳播活動中的中心地位。

3.2 以立法規制與高校自律相結合作為促進手段

國內高校圖書館的管理機制與運行方式等因素決定了我國很難像美國那樣主要通過圖書館所在高?；蛐袠I協會進行自律的方式來促進信息共享，其理由是：一方面，迄今為止，我國高校（尤其是公辦高校）圖書館主要是按照“教育行政機關—高?！獔D書館—圖書館內部門”的方式來進行管理的，加之圖書館主要服務于學校的教學科研工作，這決定了它們與其他系統圖書館以及圖書館協會之間的聯系較少，其行為很難通過行業協會來有效監管與制約；另一方面，在現有高校管理體制下，圖書館除了對讀者提供服務外，在很多情況下還參與到了對讀者的學籍與人事進行管理等工作中。無論在談判能力還是信息掌握能力等方面，讀者相對于作為管理者的高校及其圖書館而言都處于明顯的弱勢地位。這就決定了，當管理者制定與執行有損于讀者個人信息安全的政策時，讀者往往難以知情進而提出異議。因此，我國需要制訂具有權威性與強制性的法律規范來約束高校圖書館等共享者的行為，促使其提升管理人員的信息道德水平，改變他們為了片面追求共享效率而任意收集與更改信息的不良偏好，從而在確保信息安全的基礎上促進信息共享。

與此同時，高校及其圖書館制定的政策對信息共享的促進作用也不可忽視。畢竟它們對讀者的服務具有很強的專業性，故而立法者難以對其行為進行具體引導；加之立法作為權威的制度安排手段，它的制定與頒行往往需要經歷漫長的利益博弈過程。尤其是我國現今對圖書館讀者個人信息保護的立法研究尚處于萌芽階段，在短時期內通過立法來滿足社會對信息共享的燃眉之需是不現實的。由此，根據教育部頒布的《普通高等學校圖書館規程（修訂）》，國內高校及其圖書館需要發揮專業與環境優勢，通過制定與實施相應政策來對管理人員與學生進行信息素養教育，并通過維護信息安全來促進信息共享。

3.3 對不同形式的共享采取相應的促進策略

不同形式的共享對讀者個人信息安全所帶來的風險是不同的：在校內共享情形下，由于多數高校已實現了信息一體化管理，當信息在圖書館各部門之間或圖書館與高校其他部門之間被共享時，共享者通常使用的是圖書館內部的局域網或者校內資源專網（如城域網），高校及其圖書館可以運用訪問控制技術來限制高校以外的用戶任意獲取信息，因而，讀者個人信息被披露與篡改的幾率較??；與此不同的是，當高校圖書館與校外用戶（尤其是私人機構）共享信息時，所采用的是一般的網絡技術，由此，圖書館很難制止用戶任意獲取與利用個人信息的行為。尤其是隨著網絡設備的更新及網絡技術的提高，用戶能夠越來越多地通過高效手段來接收信息，而且私人機構出于追求商業利潤的偏好，更易于擅自改變信息內容進而將信息披露給他方，這使得信息真實性與保密性面臨更大的威脅。

正是考慮到前述情況，美國與歐盟都對信息在高校與外界之間的共享活動進行了更為嚴格的限制。按照《德國聯邦個人資料保護法》第二編的規定，除非讀者明確授權，高校圖書館不得任意將其收集到的個人信息傳輸給校外私人機構共享；另外，即使取得了授權，共享者也應采取合理技術措施以確保信息的真實性［3］。美國亞利桑那大學圖書館制定的政策也明確要求，與學校建立業務關系的公司在接觸到讀者個人信息后，不得任意更改與披露信息［8］。

4 采取促進信息共享的具體措施

4.1 提高讀者對信息共享的知情度與參與度，從而培養其信息安全意識。

為提高讀者的安全意識進而維護信息安全，我國需要通過立法方式確保讀者知悉共享的相關情況（如共享者身份、共享方式及被共享信息的現狀），以便于他們參與到共享中來，并及時地對共享者破壞信息真實性與保密性的行為提出異議。前述內容被經濟合作與發展組織（Organization for Economic Co-operation and Development，簡稱OECD）的《關于隱私保護與個人資料跨國流通的指針的建議》第13條概括為“主體參與原則”［3］。為此，國內高校圖書館可以效仿國外一些高校的做法，在圖書館網站主頁下方提供Privacy Police鏈接，以便讀者知悉自身的權益；另外可以將信息用密鑰加密，并向讀者發送密鑰以便使其知悉共享情況。前述規則在第14條與《德國聯邦個人資料保護法》第20節中都得到了體現［3］。

同時如前文所述，我國不能單靠立法來提高讀者的信息安全意識。高校圖書館的主要讀者是在校大學生，因而，高校應當發揮其對學生進行信息素養教育的職能，通過制定學校培養計劃和圖書館政策等方式來加強對學生的個人信息安全意識教育。俄羅斯政府即通過制定《電子政府建設綱要》，將培養讀者信息安全風險防范意識作為該國信息化建設的一個重要內容，并要求高校圖書館通過設置相關必修課來對大學生培養前述意識［3］。而從筆者掌握的實證資料來看，雖然近年來國內部分高校開始將大學生信息素養教育作為學校教育的一部分，但相關內容僅出現于新生入學教育課或選修課當中。很顯然在我國，大學生信息素養教育的重要地位還需要通過課程設置來得到進一步凸顯。

4.2 對管理人員設定維護信息安全的義務，以此提升其信息道德水平。

為維護讀者個人信息安全，我國還需要根據保密性與真實性等安全要素的具體要求，在法律與圖書館政策中設置相應義務性規則，以促使圖書館等共享者在加強管理的同時強化對管理人員的信息道德教育，這些規則包括：第一，按照保密性的要求，管理人員在取得本人授權后方能向其他用戶傳輸信息，同時采取合理的手段（如訪問控制技術）防止信息被未獲讀者授權的用戶取得；第二，按照真實性的要求，管理人員應采取技術措施來防止信息被不當刪改。前述規則被OECD的《關于隱私保護與個人資料跨國流通的指針的建議》第10、11條概括為“限制利用”與“安全保護原則”［3］。

在數字化環境下，共享者時常對來自于兩組以上不同數據庫的讀者個人信息加以接收與存儲，進而通過計算機將它們進行比較，并在此基礎上挖掘出新的信息，信息學家將這一特殊的共享形態稱為“計算機比對”（computer matching）［12］。實證調查結果顯示，個人信息計算機比對技術正得到國內共享者的推廣運用［13］。通過比對，原有信息在內容及組合排序方式上將發生顯著變化，同時信息被披露的可能性也將大增，由此信息的真實性與保密性等安全要素將面臨特殊的風險。為確保信息安全，以下特殊規制措施需要得到采用：第一，圖書館與用戶應達成比對協議，明確約定雙方對信息安全的保護義務，否則比對行為被視為違法；第二，用戶在通過比對行為挖掘出新信息后，應當對信息的真實性進行核實。當讀者權益因信息失真而遭受侵害時，提供信息的圖書館與進行比對的用戶應當向讀者承擔連帶責任。以上規則在美國《計算機比對與隱私權保護法案》及歐盟《關于公共機構信息的再利用和個人數據保護的7/2003意見書》中均有體現［3］。

4.3 設定信息共享的具體方式，以便發揮信息的效用。

在保密性與真實性得以滿足的前提下，共享者需要按照信息可用性的要求實現對信息的共享。為此，共享者需要采取如下手段：第一，收集與傳輸。這是信息得以被共享的前提，美國《圖書館權利法案》開宗明義地規定，圖書館等機構獲取信息的權利應受保護，該國《國家檔案與文件檔案署管理法案》也做了類似規定［8］；第二，接收、保存、分析、比對與再利用。這是用戶得以發揮讀者個人信息效用的主要手段。根據歐盟制定的《公共部門信息再利用指令》，“再利用”（re-utilization）專指收集者超出初始收集目的而將信息傳輸給他方利用，最典型的例子是高校圖書館出于對讀者提供服務等目的而收集其個人信息，之后又將信息傳輸給私人機構以便利于該機構營利［3］。

在數字時代，如若共享的開展須經讀者授權的規則過于絕對地被使用，個人信息可用性的實現將會面臨障礙，危害信息公平的“數字鴻溝”（digital divide）問題也將由此而產生。對此，我國應當允許共享者在特定情況下得以徑自收集與傳輸信息，即使未征得讀者授權。在高校內，圖書館等各部門對信息的共享一般是出于公共目的（如優化讀者服務或者進行學籍與人事管理等），由此依據公益優先的原則，只要初始收集行為取得了讀者授權，那么共享者在校內對信息進行后續傳輸之前即無須再征得讀者同意；但與此不同的是，當信息傳輸給校外共享者時，信息真實性與保密性所面臨的風險較大，因而根據利益衡量原則，只有在共享所欲滿足的訴求明顯大于讀者本人的權益時（如行政機關為從事社會公共事務管理，私人機構為保障他人的重大人身與財產利益），該行為才能得以任意為之，這在美國圖書館服務與技術法有所體現［8］。

［1］易 斌， 方錦平， 陳淑文. 圖書館讀者隱私的自我保護問題與對策研究［J］. 圖書館學研究， 2012（9）:92-95.

［2］李興國. 信息管理學［M］. 北京:高等教育出版社， 2011:2.

［3］柳進成. 國外圖書館讀者個人信息保護研究及對我國的啟示［J］.圖書館學研究， 2012（6）:98-99.

［4］方 波. 從圖書館精神談高校圖書館社會化服務［J］. 圖書館建設， 2012（1）:10-11.

［5］劉 充， 牟海娟. 淺談網絡信息安全［J］. 中外企業家， 2012（3）: 130-131.

［6］易 斌. 高校圖書館讀者隱私保護現狀實證研究［J］. 圖書館論壇， 2013（5）:66-68.

［7］Eshet-Alkalai Y. Towards a Theory of Digital Literacy:Three Scenarios for the Next Steps［EB/OL］. ［2014-07-11］. http://www. eurodl.org/materials/contrib/2006/Aharon_Aviram.htm.

［8］王一帆. 美國公立大學圖書館個人信息保護政策研究［J］. 情報資料工作， 2010（6）:28-29.

［9］Haas L， Robertoson J. SPEC Kit 281:The Information Commons ［EB/OL］. ［2014-07-11］. http:Mwww.arl.org/spec/SPEC281web. pdf.

［10］馬斯洛. 動機與人格［M］.許金聲， 譯. 北京:中國人民大學出版社，2007:31.

［11］查先進， 張晉朝， 嚴亞蘭， 等. 網絡信息行為研究現狀及發展動態述評［J］. 中國圖書館學報， 2014（4）:2-4.

［12］張才琴， 齊愛民. 我國個人信息計算機比對制度芻議［J］. 法學評論， 2008（5）:115-118.

［13］Nazi K， Kim M. Veterans' Voices:Use of the American Customer Satisfaction Index（ACS） Survey to Identify My Health Vet Personal Health Record Users' Characteristics， Needs， and Preferences［J］. Journal of the American Medical Information Association， 2010（2）:203-211.

Research on the Promotion of the Sharing of the Readers' Personal Information in the University Library

The effect of the readers' personal information in the university library will be played by the sharing. However， in the sharing activity， the lack of the readers' and librarians' information literacy causes the risk for the information safty， and also hinders the information utility gives full play. Aiming at these problems， our country should comprehensively apply various means， such as the legislative regulation， the university self-discipline， promote the moral level of the manager and cultivate the information consciousness of the reader through strengthing the information literacy， so as to promote the sharing on the premise of ensuring the information safty.

Readers' personal information； Information sharing； Information literacy； Information safety

G252

B

李 儀 男，1980年生，法學博士，西南政法大學博士后流動站研究人員，現工作于重慶三峽學院，副教授，研究方向為讀者個人信息保護。

2014-10-30 ］

*本文系國家社會科學基金項目“網絡環境下個人信息安全危機與法律規制對策研究”，項目編號：12XFX021；重慶市教育委員會人文社會科學研究重點項目“網絡環境下個人信息保護困境的法律應對”，項目編號：14SKL01的階段性研究成果。

張 娟 女，1986年生，碩士，現工作于重慶三峽學院圖書館，助理館員，研究方向為信息資源管理。