學術期刊網站用戶隱私信息的保護

楊郁霞

［福建農林大學學報（自然科學版）編輯部，福建 福州 350002］

隨著科技的進步和網絡化的發展，我國越來越多的學術期刊通過構建網站實現了在線辦公，這不僅提高了期刊出版部門的工作效率、進一步優化了對稿件的系統管理，而且方便了作者對所投稿件的實時跟蹤和審稿專家對稿件的查詢和審閱。據報道，2015年中國科協1081種科技期刊中有915種通過自建網站形式上網，占中國科協科技期刊總數的84.6%[1]。近幾年，學術期刊建網比例還在逐年攀升。

期刊在適應網絡化發展的同時，用戶信息安全問題也日益凸顯。學術期刊網站的對外用戶主要是作者和審稿專家，其在投稿或審稿前均需對個人信息進行注冊和完善。因此，作者和審稿專家信息作為一種重要的網絡資源普遍存在于多個期刊平臺上。這些信息資源中，有些是用戶自愿提供且可以公開的，如學位、職稱、研究方向等；有些則是應期刊出版部門要求而提供且不適宜公開的，如手機號碼、身份證號碼等，這些都是需要期刊出版部門重視和保護的重要信息。然而，實際工作中，辦刊人員更側重于對用戶信息的采集和使用，而忽略了對這些信息的保護；理論研究層面，學者們對期刊用戶信息保護方面的探討較少，主要集中于作者信息的公開與保護方面的權衡[2-5]，而沒有針對期刊網站用戶（作者和審稿專家）隱私信息保護的系統論述。鑒于此，本文以我國農業科學核心期刊為例，調查其網站對用戶隱私信息的采集情況，并在此基礎上分析用戶信息泄露的潛在風險，進而從期刊工作者的視角提出相應的保護措施，以期為增強期刊出版部門的信息安全意識和實施有效的信息保護措施提供參考。

一、學術期刊網站采集用戶隱私信息的狀況

（一）用戶隱私信息的界定

陳麗華等[2]認為，學術期刊采集的作者個人信息所需保護的人格領域范圍為個人及隱私。個人領域范圍主要包括姓名、單位等公開不會影響作者工作和生活的信息；隱私領域則主要指限制他人接近自己的范圍，包括照片、手機號碼、社交賬號、身份證號等會對作者工作和生活產生影響的信息。余筱瑤[3]認為，作者個人信息分為敏感隱私信息（包括身份證號碼、個人視頻、照片等）、可以公開信息、完全公開信息（包括姓名、職業、研究領域及Email）3個等級，其中，可以公開信息又分為對特定人可以公開信息（包括銀行賬號、第三方支付賬號、電話號碼等）和對非特定人可以公開信息（包括性別、職稱、年齡等）。綜合兩位學者的看法并結合工作實際，筆者認為，期刊網站采集的用戶隱私信息即僅供期刊出版部門作特定用途的不可對外界公開的個人信息，如身份證號碼、手機號碼、銀行卡信息等。

（二）以綜合性農業科學核心期刊網站為例調查用戶隱私信息的采集情況

以《中文核心期刊要目總覽（2017年版）》中32種綜合性農業科學核心期刊為調查樣本。在前期初步調查的基礎上選取手機號碼、固定電話、證件號碼（包括身份證、護照等）、銀行賬號和開戶行名稱等5項隱私信息為調查項目。調查方法：先通過百度搜索引擎查詢32種期刊的建網情況，再進入各期刊網站的作者和審稿專家注冊頁面獲取不同期刊對5項隱私信息的采集情況，分別統計采集各條隱私信息的期刊數量，并計算其所占比例。

調查發現，30種期刊有自建網站設有在線投審稿平臺，其余2種沒有網站，仍采用Email投稿。30種期刊自建網站均可進行作者注冊，但其中6種期刊無法進行審稿專家自薦注冊，只能由出版單位內部推薦設置。因此，在計算采集作者隱私信息的期刊比例時，總數以30種計；在計算采集審稿專家隱私信息的期刊比例時，總數以24種計。由表1可知，100%的期刊都會采集作者和審稿專家的手機號碼，采集作者和審稿專家固定電話的期刊分別占80.0%和95.8%；采集作者和審稿專家證件號碼的期刊均超過50%；采集作者銀行信息的期刊較少，而采集審稿專家銀行信息的期刊占54.2%。可見，多數期刊都會采集用戶的隱私信息，尤其是審稿專家的信息。

表1 綜合性農業科學核心期刊網站采集用戶隱私信息的調查結果

（三）期刊采集用戶隱私信息的用途

作者發表論文和審稿專家審閱稿件后，期刊出版部門需要向其支付相應的稿酬和審稿費。傳統的支付方式是通過郵局匯款，但其存在諸多不便：相關負責人需要花費大量的時間手工填寫匯款單和辦理寄單事宜，且郵寄至對方郵局的時間較長，寄到后對方也需要花費一定時間辦理取款事宜，甚至其中還存在因種種原因（如書寫錯誤、到時間未取單等）被退單的可能性。隨著網絡化的發展和財務辦公系統的改進，目前期刊出版部門對稿酬和審稿費的發放方式轉變為以直接通過財務部門進行銀行轉賬為主，其相對于傳統的支付方式具有便捷、耗時短、效率高等優點。因此，為確保轉賬的準確性，財務部門要求作者和審稿專家提供證件號碼、手機號碼及銀行賬號和開戶行名稱等隱私信息。期刊網站采集和存儲這些信息，不僅方便后期相關費用的統一直接發放，而且有利于加強對信息資源的有效管理。

二、用戶隱私信息泄露的潛在風險

（一）泄露途徑

期刊網站用戶隱私信息的泄露途徑包括人為和非人為兩個因素。人為泄露又可分為有意和無意兩種，其涉及的行為主體主要為期刊出版單位內部與信息有直接接觸的編輯人員和編務人員以及負責網站維護的科技公司。有意泄露是這些行為主體有計劃泄露信息的行為，如倒賣信息；無意泄露是因這些行為主體未盡保護義務或保護措施不力而使信息被泄露的行為，如信息網頁未及時關閉造成的泄露。非人為泄露是保存信息的硬件或軟件設備被外界攻擊而造成的不可控的信息外泄，外界因素如電腦病毒以及蓄意截取信息的黑客或組織等[6]。隨著網絡時代的快速發展，個人信息安全正面臨較大的風險，在國家技術監管和法律維護等措施還不夠完善的環境下，各種非法機構對個人信息轟炸的手段層出不窮、各式各樣，使網絡用戶防不勝防[7]。據報道，全球平均每20秒鐘就發生一次入侵互聯網涉及信息安全的事件[8]。期刊網站用戶隱私信息具有較高的商業價值，使得其面臨更高的安全風險。

（二）泄露后果

生活中多數人都會經歷因信息泄露而造成的困擾，如垃圾信息、推銷電話的頻繁騷擾。對于期刊網站用戶而言，手機號碼或固定電話一旦被泄露，就會收到各種征稿通知、代理發表文章的中介廣告、無關的會議通知等垃圾短信或電話；證件號碼或銀行卡信息泄露后果則可能更為嚴重，如被冒名辦信用卡后惡意透支消費、被冒名掛失銀行卡再重新辦卡盜取錢財、被冒用身份從事一些不法行為等，嚴重毀壞用戶個人名譽或造成個人財產的損失。同時，若用戶信息因辦刊人員的失職而被泄露還會損害出版部門的信譽，并影響期刊的受眾群體。可見，用戶隱私信息泄露不僅會影響用戶個人生活，影響出版機構的聲譽，甚至會危害個人的財產安全，進而破壞商業市場秩序，危害公共安全，影響社會穩定[3]。因此，保證期刊網站用戶隱私信息的安全是期刊出版部門應重視的一項重要工作。

三、期刊網站用戶隱私信息的保護措施

《中華人民共和國民法總則》規定：“任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全。”《中華人民共和國刑法修正案（九）》第二百八十六條明文規定網絡服務提供者有安全管理公民個人信息的義務。期刊網站是服務廣大作者和讀者的平臺，期刊出版部門作為期刊網站版權的所有者，對用戶隱私信息負有不可推卸的保護義務[4]。因此，建議從以下幾個方面著手加強對期刊網站用戶隱私信息的保護。

（一）內部建立信息保護管理體制

期刊出版部門應針對用戶隱私信息的安全制定專門的規章制度，既能增強辦刊人員的信息安全意識，又能讓編輯部采集和使用用戶信息的行為有據可依。規章制度的內容應主要明確信息采集內容、方法、用途，以及規范信息使用流程。

關于信息的采集，一方面，建議將用戶的注冊信息分兩級設置。一級為作者和審稿專家首次注冊時的信息，以個人領域[2]的簡單信息為主；二級即為作者稿件被錄用或審稿專家審完稿件后需完善的隱私信息，若作者稿件被拒或審稿專家未審稿件，則不必進行二級操作，這不僅可以減小用戶隱私信息的傳播范圍，還能夠防止期刊對用戶信息的過度采集。另一方面，在采集信息時建議遵循告知原則和以用戶為中心的原則。告知原則是在采集信息時明確告知用戶采集信息的內容、用途和保密承諾等相關事宜；以用戶為中心的原則即在告知的情況下尊重用戶的意愿。據了解，學術期刊每篇論文的審稿費50～200元不等，部分審稿專家不愿為了小額費用而向出版單位公開自己的隱私信息，也屬情理之中。因此，辦刊人員應根據不同情況實行靈活的支付措施。若用戶同意提供隱私信息，期刊出版部門須做好后續的信息保護工作；若用戶確實不同意提供，期刊出版部門則應選擇傳統的支付方式。

關于信息的使用，一是嚴格遵循保密原則。期刊出版部門應與內部信息接觸人（編輯人員或編務人員）簽訂保密協議，并制定信息泄露問責和追責條款。二是建立審批和存檔的制度，即稿酬或審稿費發放的用戶信息名單應由期刊負責人簽字審批，且簽字后的單據應復印保存備查。

此外，期刊出版部門制定的規章制度可在期刊網站上廣而告之，以切實落實該項制度的執行，并取得用戶的信任。

（二）與科技公司建立規范嚴謹的合作機制

目前，大多數期刊網站的維護和服務器的托管都是由科技公司負責，這為用戶隱私信息通過第三方泄露提供了可能。因此，期刊出版部門有必要與科技公司建立規范嚴謹的合作機制，以確保信息的安全。合作過程中需要特別注意技術提供和信息保密兩個方面。

幾乎全部期刊網站中，用戶信息均可被所有編輯人員和編務人員查看，傳播范圍較大。因此，在信息的查看方面，建議在前文所述分級的基礎上分權限設置，一級信息可被所有辦刊人員查看，二級隱私信息則設置為特定人才可查看，特定人為負責辦理費用支付的編務人員或部門負責人。通常一個期刊出版部門會有一位編務人員，該權限的設置無疑可以大大縮小用戶隱私信息的公開和傳播范圍。然而，目前我國學術期刊網站還沒有針對用戶信息分級分權限查看的功能，期刊出版部門可與科技公司共同協商該方面的解決方案。同時，通過先進的網絡技術和信息系統保護體系可以避免信息系統癱瘓和重要信息大量泄流等損失[7]；重要信息加密技術也可防范非法用戶或病毒攻擊計算機系統而盜用信息。科技公司是期刊網站建設和維護的技術提供方，其在保證網站基本運營功能的同時應在信息安全方面尋求進一步的技術突破。

此外，信息保密是期刊出版部門與科技公司合作中需重視的另一個重要問題。在簽訂合作協議時，需特別注明科技公司方對期刊網站用戶信息進行保護的義務和責任以及信息因其泄露的追責條款。

（三）引導用戶增強信息安全意識

信息從用戶端泄露的最大可能原因就是密碼被黑客破解或系統被病毒攻擊。一旦登錄信息被盜取，不僅用戶隱私信息會被泄露，網站的稿件資源也會受到影響。因此，用戶的安全意識對期刊網站信息的保護也非常重要。然而，筆者在實際工作中發現，部分審稿專家的安全意識并不高。因許多期刊的審稿專家資源都是從數據庫獲取，審稿專家的初始賬號和密碼都是由編輯部設置，且初始密碼通常比較簡單，審稿專家后續補充完整個人信息后未修改初始密碼的現象普遍存在。簡單的密碼設置為信息泄露提供了更大的可能性。因此，期刊出版部門應引導用戶提升信息安全意識，以防止信息從用戶端泄露。一方面，期刊網站在用戶注冊密碼時或補充完整個人信息后應給予適當的提示語，提示其設置較復雜的密碼以確保其安全。另一方面，可在期刊網站首頁醒目位置或用戶注冊頁面告知信息安全的重要性，并提供一定的信息保護建議，如電腦軟硬件的維護、殺毒軟件的安裝和病毒的定時排查、防火墻體系的完善等。

（四）期刊出版行業協會設立監管措施

當前，期刊出版行業協會的注意力主要放在期刊的質量方面，對期刊網絡化建設的關注較少，對網絡化的信息安全問題更是從未涉及。中國高校科技期刊研究會是極少的關注期刊網絡化建設的一家協會，其每兩年評選一次中國高校科技期刊優秀網站，但評選指標的設置主要為基本功能（投審稿平臺、過刊檢索、發布公告等）、擴展功能（文獻服務和用戶交互）和多媒體的應用（二維碼、APP、視頻等）方面，而沒有針對網站信息安全的評價指標。網絡化時代，信息安全的重要性應引起期刊出版行業協會的重視，在注重期刊質量建設的同時，兼顧對網絡化信息安全保障的考查。因此，協會在開展期刊網站或數字化建設評選時，建議設置對用戶信息安全保障的評選指標，如加密技術、注冊提醒等。另外，目前出版行業制定的規范標準主要集中在編校方面，關于期刊網絡化信息安全的保護標準仍為空白。隨著網絡化和電子化的不斷發展，信息安全問題越來越引起人們的關注，期刊網絡化信息安全的保護標準應成為出版行業今后探索的一個方向。該標準可從信息的采集、存儲、使用、保護等方面逐一進行規范。

四、結語

信息外泄對社會和人們的生活造成了嚴重影響，隨著新的網絡技術和信息系統的普遍運用，未來網絡信息安全將面臨更多的挑戰[9]，網絡用戶信息的保護將受到大眾更多的關注。然而，大數據時代信息保護的重心不再是在搜集信息時取得個人的同意上，而是應著重于信息使用者的行為責任上，由信息搜集者承擔絕對的保護責任[3]。因此，期刊作為作者和審稿專家等用戶隱私信息的采集者，應對網站信息安全起到該有的保護責任和義務。高度的風險意識和安全管理理念是信息安全的根本保障[10]。期刊出版部門應在增強風險意識的基礎上，從內部、第三方科技公司和用戶三個方面協同推進對用戶隱私信息的保護措施；同時，期刊出版行業協會也應在該方面起到一定的監管作用。總之，只有通過建立起有效的預防機制、完善期刊網絡信息安全管理制度，才能提高辦刊人員的安全防范意識，降低潛在的安全隱患[8]。