基于大數據生命周期理論的讀者隱私風險管理與保護框架構建

馬曉亭 陳 臣

（蘭州財經大學信息工程學院 蘭州 730020）

·學術論壇·

基于大數據生命周期理論的讀者隱私風險管理與保護框架構建

馬曉亭 陳 臣

（蘭州財經大學信息工程學院 蘭州 730020）

圖書館讀者大數據的安全和隱私保護面臨著諸如安全架構、數據隱私風險管理、個人數據被全天候和全方位監視、讀者大數據被二次利用等風險，傳統的隱私保護技術已不適應大數據時代圖書館隱私保護需求。文章總結歸納了大數據環境下面臨的隱私問題，通過分析現有隱私保護機制的不足，構建基于大數據生命周期理論的圖書館讀者隱私風險管理與保護框架。

大數據 生命周期理論 隱私風險管理與保護

1 前言

隨著移動互聯網、云計算、傳感器網絡和物聯網技術的發展，圖書館已進入大數據時代。大數據具有海量(Volume)、多樣性(Variety)、快速處理(Velocity)、高價值(Value)的4V特征[1]，傳統的數據安全管理與防范策略，已不適應當前圖書館復雜、多變的大數據環境安全管理需求，極易受到黑客與病毒的攻擊而導致數據被截取、篡改和非法濫用。此外，圖書館對大數據的過度挖掘和分析，也可能會泄露讀者隱私和侵犯敏感數據。因此，大數據環境下如何有效保護數據安全和讀者隱私，已成為關系圖書館服務效益、可信度和讀者滿意度的重要問題。

美國是世界上最早提出隱私權并予以法律保護的國家，于1974年通過了《隱私法案》。奧巴馬政府于2015年初公布了《2015年消費者隱私權法案》，該法案明確規定了大數據的所有權屬于用戶，并對第三方在使用用戶個體數據的透明性和安全性上進行了限制。2012年3月，歐盟也提出改革《數據保護法規》，幫助歐盟民眾進一步保護個人信息，幫助企業利用“單一數字市場”帶來的機遇。與歐美等國在法律上較完善的數據隱私保護相比，我國相關法律中僅提及“公民的個人數據不得非法搜集、傳輸、處理和利用”，但我國《民法通則》并未將隱私權作為一項獨立的人格權加以保護，還未頒布相關大數據時代公民隱私保護法律[2]。

2 大數據時代圖書館讀者隱私保護面臨的問題與挑戰

2.1 大數據時代讀者的隱私范疇難以界定

圖書館通過視頻監控器、傳感器、移動設備、讀者管理系統和閱讀終端等，采集到的讀者個體特征數據具有海量、多樣化、復雜、動態、縱深和分布的特點，圖書館難以對所采集的讀者數據進行隱私范疇劃分與界定。據獨立調研機構Ponemon Institute調研報告顯示：84%的公司在軟件開發與測試期間使用真實的客戶信息，70%的公司使用消費者的數據，51%的公司使用信貸或其它支付信息，而且其中45%的公司沒有對開發和測試中使用的真實數據予以保護。這意味著商業公司或政府機構在使用客戶數據的過程中，存在著嚴重的安全風險和個人隱私泄露隱患[3]。

圖書館不同部門采集的大數據具有數據海量、多類型、數據條塊分割嚴重和不易融合的特點。此外，各部門在大數據的采集、傳輸和存儲中采用不同的數據標準和操作規范，易導致“數據孤島”現象發生，圖書館難以有效劃分讀者隱私數據的內容和數量。其次，為了提升大數據的價值總量和數據可用性，圖書館會與第三方通過數據交換、共享的方式進行數據交易，這種數據交易方式可能會破壞圖書館原有的數據安全監管、防護體系，導致讀者的隱私范疇劃分復雜化。第三，為了增強大數據的管理效率和降低大數據應用成本，圖書館會采用租賃云存儲空間和云計算資源的方式，實現海量大數據的高速云存儲和實時計算。圖書館如果將大數據存儲于云空間，大數據的主體范圍、地域、時空等都發生了變化，而現有法律制度還未對存儲于云空間的數據所有權進行明確規定，圖書館可能會喪失數據的主權（數據主權是指一個國家對其管轄地域范圍內個人、企業和相關組織所產生的數據擁有的最高權力）和數據控制權。第四，讀者位置信息和移動路徑數據，是圖書館判定讀者個性化閱讀需求的關鍵數據。圖書館雖然可通過用戶知情、授權使用和匿名化等方式保護讀者隱私，但如何在保證位置數據可用性前提下保護讀者隱私，以及準確度量讀者敏感信息泄露的程度，是大數據時代讀者隱私范疇界定的一個難點問題。

2.2 讀者的個人隱私數據可能會被肆意收集

大數據環境下，圖書館可根據IT服務基礎設施構建、讀者閱讀需求預測、數據中心運營管理和用戶QOS（服務質量）保證需求，全方位、不間斷地采集讀者的特征大數據。采集讀者個體大數據的方式主要通過搜索引擎、用戶管理系統、監控視頻、移動閱讀終端、服務器監控設備等，獲取讀者的個體特征數據、閱讀歷史行為數據、閱讀社會關系數據、移動路徑與位置數據、工作與居住地信息、個人習慣和偏好數據等，這些特征數據的采集通常未經讀者授權，讀者也很少思考與過問這些數據的使用內容、對象、范圍和被監管主體，存在較大的隱私安全隱患。

《大數據時代》一書作者維克托·邁爾-舍恩伯格，在出席北京第八屆中國云計算大會期間描述道：“我們當前的方式是詢問每一個客戶、個人是否同意搜集其個人數據，這種個人數據保護方式是完全錯誤的，政府應做出某種程度上的規定，判定數據收集的合理性和合法性”[4]。當前，隨著圖書館傳感器網絡存儲、計算能力的提升和設備使用成本的下降，大數據的采集、存儲和計算已不再是影響圖書館大數據應用的關鍵因素，如何制定符合大數據應用實際的法律、法規，有效保護讀者隱私安全才是關系圖書館服務可信度的關鍵。其次，大數據時代圖書館為了提升服務的開放性和可用性，會支持第三方開發相應的個性化閱讀與應用軟件，而第三方應用軟件也可能會采集、竊取讀者的隱私數據。因此，如何在采集的內容、范圍、程度和應用對象等方面，有效監督和限制第三方的應用軟件，是防止讀者個人隱私被肆意收集的重要舉措。第三，為了提高大數據采集的效率和速度，圖書館通常會利用網絡爬蟲來采集讀者的閱讀行為數據，并以出售和共享的方式轉讓給第三方。這種對圖書館大數據的過度采集、共享、融合和分析方式，雖然極大程度挖掘了讀者大數據的價值，但存在讀者隱私被侵犯的風險。

2.3 大數據清洗不能實現數據的完全脫敏

傳統數據清洗是對數據進行重新審查和校驗的過程，目的在于刪除重復信息和糾正錯誤，并提供數據一致性。而在大數據時代，圖書館希望通過大數據清洗后隱匿讀者的個人身份信息、個人隱私和社會關系數據，確保圖書館在大數據分析與決策中不會泄露讀者的隱私。其次，圖書館期望通過大數據清洗后，改變讀者原有個體數據的知識結構和所有權歸屬，使圖書館獲得讀者個體數據的使用和所有權。實際上，傳統的數據清洗并不能實現讀者個體大數據的脫敏，更無法實現將“底層數據”的所有權轉移到所謂的“數據結果”上，因而圖書館無法獲得法律意義上的數據所有權和支配權。

Internet網絡是大數據采集、傳輸和處理的支撐平臺，大數據環境下的Internet網絡具有更強的開放性、交互性、及時性和多元性等特點，傳統IT環境下通過告知與許可、模糊化與匿名化等保護讀者隱私的方式，已不適用于圖書館大數據復雜環境。此外，大數據時代黑客侵犯讀者隱私權的手段更加廣泛、多樣、智能和隱蔽，即使是匿名脫敏后的大數據也可以被重新定義并歸屬到具體的讀者個體，難以防范。

2.4 大數據時代讀者隱私權的語義與范圍發生變化

大數據時代讀者隱私權涵蓋的范圍快速擴展，除傳統意義上的公民個人在生活中不愿為他人（一定范圍以外的人）公開或知悉的秘密，還包括讀者的位置信息、移動路徑、視頻監控、瀏覽記錄和閱讀社會關系等，對這些數據的深度挖掘和分析同樣會導致讀者隱私泄露。

其次，讀者隱私侵犯的不可逆性顯著增強，圖書館對讀者隱私權益保護的難度快速升級。當前，大數據的應用已擺脫了時間、空間與計算能力對數據可用性的限制，圖書館可全面、深度和不間斷地采集數據，并對所采集到的數據進行快速、實時的計算與決策分析。但是，國際上對個人隱私保護的立法相對滯后，無法滿足快速增長的大數據復雜環境變化和讀者隱私保護需求，難以有效處理大數據時代讀者隱私保護面臨的新問題。

第三，基于大數據開放和公平信息實踐的原則，圖書館在不能有效判斷讀者隱私被侵犯的前提下，不應過分限制決策層和各應用部分對讀者個體數據采集、處理、分析和決策的程度，從而影響圖書館對讀者個體數據采集的整體價值量和分析、決策的科學性。因此，重新思考該如何為讀者授權，使讀者擁有對自身數據采集、傳輸、存儲、處理、訪問、分析和決策的控制權，是大數據時代圖書館應重點關注的問題。

第四，大數據時代，圖書館如何基于相關法律支持個人數據使用協議，在法律和協議規定的時間、對象、范圍和內容等范圍內使用讀者數據，防止數據分析師通過對數據的過度挖掘、還原、整合和二次分析侵犯讀者隱私，是大數據時代讀者個人隱私永久歸屬權判定、管理和保護的關鍵點。

2.5 讀者隱私權存在被二次分析、使用的威脅

大數據時代，圖書館基于大數據的計算框架，可憑借科學的數學算法對海量數據進行全面分析，進而從雜亂無章的數據關系中發現規律，使圖書館的服務競爭環境、服務模式變化趨勢、服務收益和讀者行為變成可量化的維度，實現對圖書館發展趨勢、用戶服務模式變革和讀者閱讀需求等較為偶然事件的科學預測。圖書館在利用大數據進行分析、預測時，可通過挖掘大數據中的異常點、頻繁模式、分類模式和數據相關性，獲知用戶的隱私信息。比如Analytics是一款由谷歌分析的官方Android版手機應用，用戶可直接使用自己手機上的Google帳號進入，可以在Android手機上隨時隨地查看、分析自己的網站訪問統計數據。然而，用戶使用該工具時并不能保證自己的隱私數據不被泄露，Analytics不僅知道用戶本身網站所有的訪客信息，也可以通過關聯分析獲悉其他網站中的訪客信息[5]。

云計算技術在圖書館服務中的廣泛應用，大幅降低了圖書館大數據存儲和云計算的成本。但是，頻繁利用云計算技術對讀者大數據進行全面的采集、深度挖掘、循環利用和二次分析，雖然可快速提升圖書館大數據決策的科學性、效率和收益，但這種全方位、多層次和不間斷的大數據收集、分析與循環利用模式，在一定程度上增加了讀者隱私被侵犯的風險。

數據融合是圖書館采用鏈接操作將多個異構數據源匯聚在一起，并在一定準則下加以自動分析、綜合，以完成所需的決策和評估任務而進行的信息處理技術。然而，如果將多源數據通過關聯處理而實現決策層的融合，則即使圖書館采用匿名或者模糊化技術將讀者的隱私信息隱匿，攻擊者也可利用其他公共或者隱私數據源，對匿名之后的數據源進行鏈接攻擊，最終實現讀者身份和隱私數據的重新識別。

3 圖書館讀者隱私保護模型的構建與管理

3.1 圖書館讀者隱私保護生命周期管理模型的構建

圖書館在讀者大數據隱私保護中，相關的對象主要為讀者個體、用戶大數據采集終端、大數據網絡傳輸設備、大數據存儲服務器、云計算服務器和圖書館決策層等，涉及的大數據隱私保護流程主要為大數據的生產、大數據采集與傳輸、大數據云存儲、大數據的計算與分析、大數據的應用決策等過程。圖書館讀者隱私保護生命周期管理模型的設計原則，應符合讀者隱私數據產生、數據存儲與管理、數據處理與應用、數據銷毀的數據生命周期發展科學規律，依據讀者隱私保護的優先級別和隱私侵犯后果的嚴重性設計保護模型。圖書館讀者隱私保護生命周期管理模型見圖1所示：

圖1 圖書館讀者隱私保護生命周期管理模型

讀者隱私保護生命周期管理模型，基于隱私數據生命周期發展各個階段所涉及的作用對象和數據傳輸流程，詳細描述、劃分了讀者隱私被侵犯所面臨的風險問題，依據讀者隱私侵犯的對象、內容、流程和手段，設計了基于讀者隱私安全動態監控、隱私安全動態評估、隱私安全管理技術保證、安全事故審計與問責制度、隱私保護法律與行業規定為主體的隱私保護生命周期管理模型。該模型可動態監控讀者的隱私安全防御系統運行狀況和所面臨的安全威脅，對隱私保護內容的重要級別和安全性進行評估，并動態選擇相應的安全策略和技術手段積極防護。此外，當讀者隱私侵犯事件發生后，還可依據隱私保護法律制度和圖書館行業規定，對圖書館發生的相關讀者隱私侵犯事故進行安全審計和事后問責[6]。

3.2 讀者應獲得對個人隱私數據采集、存儲、使用和共享的控制權

讀者既是大數據的生產者，也是圖書館大數據決策服務的受益者，讀者個體大數據的價值總量、價值密度和決策可用性，直接關系圖書館大數據應用的科學性與決策收益。但在讀者個體大數據的采集、處理、分析和決策中，如果所有的大數據應用過程都必須獲得讀者的授權與許可，則必定會影響圖書館大數據應用的效率和決策可用性。所以，圖書館大數據決策應采取讀者提前授權的方式，由讀者完全掌握個人隱私數據采集、存儲、使用和共享的控制權。

首先，讀者應完全擁有自身大數據的所有權、知情權、使用權、選擇權和銷毀權，圖書館有責任與義務保護讀者隱私數據的安全，在使用讀者個體大數據時必須履行相應的告知義務，在獲得讀者授權后，才能在相應授權范圍內進行個體大數據的采集、傳輸、存儲、計算和決策應用。同時，讀者也可根據自己獲得閱讀服務的等級和收益，決定自身大數據應用的范圍與程度。其次，圖書館對于讀者個體大數據的使用，應堅持以服務為中心的目的原則，不過度采集、處理和分析讀者的隱私數據，防止因對讀者大數據的過度挖掘、還原、整合和二次分析而侵犯讀者隱私[4]。第三，對讀者個體數據的共享與二次利用，是圖書館深度挖掘用戶大數據價值和提升數據決策科學性的重要途徑。圖書館在對讀者大數據進行共享與二次利用時，應對大數據應用的安全性和讀者隱私保護的有效性進行風險評估，特別對隱私數據的分析、利用和共享過程實行嚴格管控，必須獲得讀者授權和對數據進行脫敏處理。此外，當圖書館的服務權或者資產所有權發生改變時，圖書館在將讀者個體大數據轉給新的所有者時必須獲得讀者許可。

3.3 應對敏感大數據進行脫敏處理

大數據時代，讀者可使用智能手機、移動閱讀終端等設備訪問數字圖書館，在享受圖書館知識服務的同時，也會將自身的個體移動路徑與位置信息、瀏覽時間與地點、閱讀內容、閱讀社會關系和閱讀需求等數據傳輸給圖書館，使讀者個體數據的所有權邊界消失或者模糊不清，導致圖書館傳統IT環境下的讀者隱私保護體系失效。此外，圖書館還可通過對海量數據的全面融合和交叉分析，分析出讀者的個人隱私信息。因此，必須對與圖書館服務無關的用戶數據進行脫敏處理，才能保護讀者隱私安全。

百度百科將數據脫敏定義為：指對某些敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護。這樣，就可以在開發、測試和其它非生產環境以及外包環境中安全地使用脫敏后的真實數據集[7]。其中敏感數據的識別與認定、脫敏規則和使用環境是圖書館讀者數據脫敏應關注的3個關鍵點。圖書館在大數據決策中，應保證讀者個體大數據價值總量、價值密度和數據可用性的前提下，脫敏與大數據決策相關性較弱的讀者姓名、身份證件號、位置信息、住址、聯系方式、銀行賬號、郵箱地址和社交關系等數據。按照脫敏規則劃分，圖書館可將敏感數據劃分為脫敏后敏感信息可恢復和不可恢復兩大類。對于敏感性評估較低的讀者姓名、閱讀終端類型、瀏覽時間與地點、閱讀需求等數據，可用復雜度較低的加解密算法進行處理。而對敏感性評估較高的諸如讀者移動路徑與位置信息、閱讀內容、閱讀社會關系和銀行帳戶等數據，則可用替換算法和生成算法等，將需要脫敏的部分用定義好的字符或字符串替換，把敏感數據轉化為真實的“假數據”進行保護。此外，對于需要實時決策的讀者敏感大數據，圖書館應采用在數據產生環境中進行動態加密和決策環境快速脫敏的方式，在保證大數據即時決策需求的前提下保護讀者隱私安全。

3.4 圖書館應依法加強對讀者隱私的保護

美國Verizon公司發布的《2015年數據泄露調查報告》顯示，據95個國家的不完全統計，僅2014年就發生了近八萬起數據安全事故，涉及上億個記錄。然而政府、企業和其他管理機構對數據泄露和不當使用的反應速度，常常要滯后數小時、幾天或者幾個月，且存在著相應的法律、法規缺失問題[8]。《大數據時代》作者維克托·邁爾-舍恩伯格認為：通過詢問每一個客戶是否同意公開數據的做法是錯誤的，每個個體并不知道我的數據會被怎樣使用，有一些人對此并不在意，往往會點同意。因此，應轉變由讀者個人成為保護自身隱私主體的模式，而由政府通過立法來明確公民隱私保護的內容、范圍、方式和權益[9]。

大數據時代，圖書館應堅持隱私保護政策開放和維護讀者利益相結合的原則，努力在讀者隱私保護有效性和大數據決策收益之間實現均衡。首先，讀者應享有圖書館對自身隱私數據采集、存儲、傳輸、處理和分析的告知權，讀者有權控制圖書館對自身大數據的采集和使用，當圖書館將讀者大數據與第三方交換、共享或交易時，讀者應擁有對交易對象選擇、審核和撤銷的權利。其次，在最有利于讀者理解隱私風險和易于個人控制風險的時間、地點，圖書館有向讀者說明個人數據采集與應用的內容、原因和決策對象的責任，以及與第三方共享讀者數據的目的和保護相關隱私數據的措施等。第三，圖書館在數據庫管理員和大數據分析師的選擇上，應根據大數據的復雜度、決策重要性和安全需求，選擇具有相應資格證書的技術人員負責，并全程對數據庫管理員和數據庫分析師的行為進行監控，確保大數據管理與分析人員嚴格執行相應的規章制度和法律規定，當發生數據安全問題時及時啟動安全預案和事后問責。

3.5 限制大數據分析與決策應用的范圍

《大數據時代》的作者維克托·邁爾-舍恩伯格認為：除了信任，我們還需要明白的是技術層面的數據安全，要求對數據進行加密，以確保一些人獲取不到這些數據。數據使用方對數據安全要承擔法律責任，任何一個機構，包括美國政府都不可以擁有獲得所有個人信息的“鑰匙”[10]。因此，圖書館在對讀者大數據進行采集、分析和決策時，首先應明確大數據應用的內容、對象和方式，諸如讀者姓名、家庭住址、銀行帳戶、手機、郵箱、身份證號等具有唯一性的隱私數據，圖書館大數據決策既然無法依據這些數據來預測讀者的需求、服務市場變化趨勢、服務模式發展和讀者QOS（閱讀服務質量），則應對這些數據進行隔離存儲、加密或脫敏處理，在不降低讀者大數據價值與可用性的前提下，保證讀者隱私安全。

讀者大數據具有較高的價值量，是圖書館與第三方服務商爭相獲取的寶貴資源，在讀者許可和保證隱私安全的前提下交換、共享數據，是提升圖書館服務質量的重要環節。因此，圖書館在讀者大數據應用前，應評估相關讀者大數據的價值、安全需求和可用性，并對相關大數據的共享、出售、租賃、使用對象和使用方式進行明確，通過簽署相應的隱私保護協議對數據使用方進行法律約束，在保護讀者隱私的前提下為讀者提供更好的服務和體驗。

4 結語

伴隨大數據時代的到來，讀者的隱私數據面臨著被循環利用、過度分析、共享竊取和用戶控制權丟失的威脅。因此，在確保圖書館基于大數據的知識獲取過程高效、預測結果精確和決策科學的前提下，如何安全、高效、經濟和可控地保護讀者隱私，是關系圖書館服務有效性和讀者滿意度的重要問題。

大數據環境下，圖書館讀者隱私保護過程應符合大數據的生命周期發展規律，圍繞讀者大數據在產生、采集、傳輸、存儲、計算、分析和決策過程中可能面臨的隱私侵犯威脅，在完善和優化傳統的防火墻、入侵檢測、系統認證、病毒防范、安全審計、網絡隔離和數據加密等安全防護技術外，還應采用符合大數據復雜環境的大數據安全性評估、云存儲安全管理、大數據脫敏、讀者自身大數據管控等技術，不斷提升圖書館讀者隱私保護的風險評估和安全管理水平[1]。此外，在保證圖書館大數據分析、決策科學性的前提下，還應嚴格遵守相應的讀者隱私保護法律法規、行業規定和大數據應用安全操作規范，才能確保圖書館大數據服務具有較高的可信度和用戶滿意度，保證圖書館大數據服務可持續發展。

（來稿時間：2016年7月）

1.（英）維克托·邁爾-舍恩伯格，肯尼思·庫克耶.大數據時代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013

2.朱光,崔維軍,張薇薇.信息生命周期視角下的大數據隱私風險管理框架研究[J].情報資料工作，2016（1）：99-103

3.王忠.大數據時代個人數據隱私泄露舉報機制研究[J].情報雜志，2016, 35（3）：165-168, 79

4.王忠，趙惠.大數據時代個人數據的隱私顧慮研究——基于調研數據的分析[J].情報理論與實踐，2014， 37（11）：26-29

5.馬曉亭.大數據時代基于服務等級協議的圖書館讀者隱私感知與保護研究[J].情報理論與實踐， 2014， 37（4）：57-60

6.李可風,沈揚.大數據環境下移動數字圖書館信息推送策略研究[J].圖書館學研究，2015（21）：66-70

7.馬蕾,楊洪雪,劉建平.大數據環境下用戶隱私數據存儲方法的研究[J].計算機仿真，2016, 33（2）：465-468

8.周水庚,李豐,陶宇飛,等.面向數據庫應用的隱私保護研究綜述[J].計算機學報，2009, 32（5）：847-861

9.孟小峰,張嘯劍.大數據隱私管理[J].計算機研究與發展，2015, 52（2）：265-281

10.王璐,孟小峰.位置大數據隱私保護研究綜述[J].軟件學報，2014, 25（4）：693, 712

Construction of the Privacy Risk Management and Protection Framework for Library Readers Based on Big Data Life Cycle Theory

Ma Xiaoting Chen Chen ( School of Information Engineering, Lanzhou University of Finance and Economics )

Readers’ big data security and privacy face a lot of challenges in the aspects of security architecture, data privacy risk management, personal data monitored all-day and all-round, reader data secondary used, and so on, traditional privacy preserving technologies are no longer meeting the needs of the library privacy protection in era of big data.This paper summarizes the problems of big data privacy in library, and analyzes the deficiency of the existing privacy protection mechanism, and constructions of the privacy risk management and protection framework for library readers based on big data life cycle theory.

Big data Life cycle theory Privacy risk management and protection

G250.76

格式〕 馬曉亭，陳臣.基于大數據生命周期理論的讀者隱私風險管理與保護框架構建[J].圖書館，2016（12）：62-66

馬曉亭（1974-），女，碩士，教授，研究方向：大數據、數字圖書館建設；陳臣（1974-），男，碩士，副教授，研究方向：云計算、數字圖書館建設。