智慧圖書館用戶數據隱私保護研究——基于《中華人民共和國網絡安全法》和《一般數據保護條例》的文本啟示

陸 康，劉 慧，任貝貝， 張 婧

（1．南京曉莊學院圖書館；2．上海市網絡技術綜合應用研究所）

隨著以開放共享為核心的互聯網思維深入人心，數據價值逐漸被重視，數據隱私問題也愈發嚴重。關于“大數據與隱私保護”的相關研究發端于2013年左右，爆發于“棱鏡門”事件，且由“發現問題”向“解決問題”轉變。［1］我國《中華人民共和國網絡安全法》以及歐盟《一般數據保護條例》分別于2017年6月1日、2018年5月25日正式施行，由此，數據隱私的保護逐步規范。目前，全球范圍內數據隱私問題呈現出三大趨勢：用戶保護數據的意識逐漸加強、數據使用規范化水平參差不齊、用戶數據智能化處理的倫理問題。［2］智慧圖書館建立在大數據以及相關互聯網技術的基礎上，用戶數據隱私保護是智慧圖書館研究的重要方向之一。數據隱私保護的核心在于規范化使用數據并通過法律、法規、標準、技術等方法對核心數據和信息加以保護，形成完善的圖書館安全保障體系，因此，圖書館管理者急需借助法律法規與技術方案來構建數據隱私與安全保障體系，進一步推進智慧圖書館的建設。

1 《中華人民共和國網絡安全法》有關數據隱私問題

1.1 發布《中華人民共和國網絡安全法》的意義

2016年11月7日，第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），并于2017年6月1日正式施行。《網絡安全法》為國家網絡安全戰略構建與網絡強國建設提供了保障，為網絡空間的管理提供了依據，形成了我國網絡空間管轄的基本法律。同時，在互聯網領域深入貫徹依法治國的精神也成為了互聯網社會中用戶、機構遵守的法律準則。［3］

1.2 內容分析

《網絡安全法》第四章設立了專門條款（第四十條至四十五條）保護公民個人信息安全，［4］其中既包括互聯網運營者在保護公民個人信息中應當履行的義務，也包括個人在維護自身信息安全時享有的權利。隨著互聯網技術的快速發展以及大數據、人工智能、云計算、區塊鏈的廣泛應用，互聯網運營者收集的用戶數據范圍不斷擴大，擁有收集數據功能的應用系統不斷增多。《網絡安全法》要求互聯網運營者等數據控制者和處理者做到以下四點。① 制度保障。互聯網運營者對其收集的用戶數據須嚴格保密，并健全用戶信息保護制度。② 合法按需使用用戶數據、堅持流程公開。數據控制者在收集、使用個人數據時須遵循合法、正當、必要的原則，且應經過被收集者同意，其收集、使用個人數據的目的、方法和內容應當公開，不得進行超出目的范圍的個人數據收集活動。③ 危機應急機制。數據控制者在收集、使用用戶數據時應保障數據安全，防止數據泄露、損毀、丟失。一旦出現安全風險時，應立即啟動應急機制并及時告知數據主體（用戶）以及報告相關部門。④ 數據主體（用戶）的授權原則，即數據控制者、處理者向第三方提供用戶數據時應當征得用戶的同意。《網絡安全法》規定，數據主體擁有個人數據的刪除權和更正權。［4］如果數據控制者在使用數據時出現收集/使用行為不具備合法性、收集/使用用戶個人數據的目的消失、約定的收集/使用用戶數據的期限屆滿、用戶數據存在不完整或不準確等情況，數據主體有權要求數據控制者予以刪除、改正、補充，而數據控制者應當及時回應并采取相應措施。

2 《一般數據保護條例》的數據隱私分析

早在1974年，經濟合作與發展組織（Organization for Economic Cooperation and Development，OECD） 就成立了有關跨境個人信息傳輸與隱私權保護的專家組，以探討個人數據傳輸過程中的保護問題。據互聯網數據中心（Internet Data Center，IDC）預測，到2025年，全球數據圈將擴展到163ZB，相當于2016年所產生數據的10倍。［5］數據的管理，尤其是數據安全、數據隱私等與用戶相關的問題逐漸成為各類機構所面臨的重大挑戰之一。《一般數據保護條例》（GeneralDataProtectionRegulation，GDPR）被認為是當前最嚴格的個人信息保護規范，相對于《95指令》而言，GDPR擴大了使用范圍、擴充了原則性規定、增加了數據主體的權利。如，增設被遺忘權（刪除權）、數據可攜帶權，在“免受自動化決策權”基礎上提出“數據畫像”以及延伸“知情權”與“訪問權”。①

2.1 《一般數據保護條例》的數據主體權利分析

數據主體一般是指能夠識別自然人的信息，如姓名、身份證件、生物、互聯網ID等能夠直接識別的信息以及間接獲取相互關聯的信息。GDPR數據主體權利保護的模式（體系）以及涉及的利益平衡問題是數據主體權益探討的重點（見表1）。

表1 GDPR的數據主體權利保護體系與利益平衡問題

2.2《一般數據保護條例》的數據控制者義務與責任分析

數據主體在整個數據領域中處于弱勢群體地位。數據控制者擁有數據的管理權，其義務與責任需進一步明確。GDPR第四章“數據控制者和處理者”規定了數據控制者和數據處理者的義務（見表2）。GDPR認為，對數據控制者與處理者的限制不但尊重了數據主體的基本權利和自由，也是實現社會民主的必要與適當措施。但是，對數據主體的限制不應違背《歐盟基本權利憲章》和《歐洲保護人權和基本自由公約》中的相關規定。此外，數據控制者、數據處理者應該承擔最低限度的義務：① 技術與組織方面實施數據保護原則以提高數據使用效率，實施數據最小化原則以明確數據數量、存儲時間；② 數據處理者應與業務相結合，數據處理行為必須要留痕，并積極配合數據溯源與監管；③ 數據處理過程必須保密、完整，定期測試、評估，驗證評價技術與策略方案的有效性、安全性與穩定性，同時配備具有較高數據素養的人員進行數據維護與保障；④ 數據管理是一項系統性的工作，數據接觸者的數據素養教育不僅涉及到數據安全，也關系到數據利用效率。因此，數據素養教育是數據控制者、處理者的必修課程之一。

表2 GDPR的數據控制者與處理者內容

2.3 《一般數據保護條例》的數據流動規則分析

GDPR對數據控制者提出了相應要求，如要求以結構化數據的格式向數據主體（用戶）提供與其有關的個人數據。在此前提下，GDPR支持數據控制者進一步開發數據的可移植性與互操作性格式，便于數據的流動與共享。數據處理的前提是征得數據主體的同意或者履行合同，數據主體也享有數據可移植性的權利，需注意的是，當該權利與公共利益相悖時無效。數據主體擁有對其他數據進行操作的權利，但不能強制數據控制者進行相應的技術開發與保障，即數據主體遇到數據處理問題時需自行解決。遇到多來源的數據主體時，數據主體之間具有相等的權利與自由，數據主體的刪除權與限制處理權受到保障，數據主體有權將個人數據從一個數據控制者傳遞給另外一個數據控制者。2018年10月4日，歐洲議會通過《非個人數據自由流動條例》，旨在促進歐盟境內非個人數據自由流動、消除歐盟成員國數據本地化的限制，［6］同時，補充了個人數據的立法，促進了數據經濟的發展。我國各領域可鑒歐盟數據管理的經驗，在加強個人數據、重要數據保護的同時，促進除數據隱私、商業機密外的與國家安全無關的數據流動，從而推動我國數字經濟的繁榮與發展。

3 《中華人民共和國網絡安全法》與《一般數據保護條例》中個人信息權比較

3.1 個人信息權

GDPR賦予數據主體七項數據權利，即知情權、訪問權、修正權、刪除權（被遺忘權）、限制處理權（反對權）、可攜帶權、拒絕權；《網絡安全法》及其配套的有關“個人信息權”大致也分七類，包括知情權、訪問權、更正權、刪除權、注銷權、明示同意權、撤回權。［7］我國“個人信息權”確立的基礎和保護核心不僅在“個人信息”本身，同時也在于對數據控制者與處理者使用個人數據的規制。國內相關政策法規對數據控制者與數據處理者的要求與規制較多，數據控制與處理機構的人才培養、數據素養提升成為數據使用規范化實施的重要因素。《網絡安全法》中確立了多項“個人信息權”條款，但是仍存在條文不夠細化、規定原則化的現象。［8］2018年5月1日起施行的《信息安全技術 個人信息安全規范》（以下簡稱《個人信息安全規范》）屬于《網絡安全法》第四章的一項重要配套規范，《個人信息安全規范》相關條款的制定參照了國際最新的規則和立法標準，被認為是中國化的GDPR。［9］但《個人信息安全規范》屬于標準，并且不屬于強制性標準（推薦性的標準）；而GDPR是歐盟的“條例”（編號EU-DSGVO），具有強制性，且是歐盟有史以來最為嚴格的網絡數據管理法規，如英航因泄露用戶信息被英國信息監管局通告罰款近2億英鎊。［10］《網絡安全法》與GDPR也存在共性內容。如，GDPR第23條與《網絡安全法》第28條中關于國家安全的內容、GDPR第51條與《網絡安全法》第8條中關于治理框架的內容、GDPR第44條與《網絡安全法》第37條中與數據跨境相關的內容等。然而，對于智慧圖書館用戶服務的重要部分——用戶身份認證方面，GDPR的第11條做了規定而《網絡安全法》未具體說明，只有《電子簽名法》《區塊鏈信息服務管理規定》等做了相關說明。

3.2 個人信息權條款對數據共享的影響

《網絡安全法》以及《個人信息安全規范》在個人信息使用與保護方面借鑒了國外的立法經驗，如知情權、訪問權、更正權、刪除權等，同時也融合了我國特色內容，如刪除權、注銷權、明示同意權與撤回權等。近年來，數據隱私問題日益受到社會的關注，智慧圖書館也需要參照《網絡安全法》《公共圖書館法》等法律法規以及《個人信息安全規范》等標準制定隱私條款，完善個人信息與數據安全保護機制，保障智慧圖書館的健康發展。［11］GDPR被認為是全球保護用戶數據隱私里程碑式的立法，但是其中部分內容對數據流動（共享）進行了限制，如不得以處理個人數據過程中對自然人的保護為由，限制或禁止個人數據在歐盟內部進行自由流動。①GDPR中的數據“可攜帶權”規定數據主體可以索取數據控制者所掌握的數據并轉移給其他數據控制者，這類規定將數據視為財產的一部分，但仍存在著邏輯沖突問題。因此，智慧圖書館的數據流動（共享）機制的規范性需隨著互聯網數據圈的形成而不斷完善。

4 對智慧圖書館的啟示

智慧圖書館的文獻資源管理、空間服務保障等業務系統運行都與數據主體（用戶）存在關聯，而圖書館開展智慧服務所需的數據也是與數據主體、業務運行相關的數據，因此，數據管理也是智慧圖書館重要的工作之一（見表3）。

表3 智慧圖書館數據主體與數據控制者、數據處理者

圖書館是數據控制者，負責智慧圖書館數據業務的宏觀設計與微觀管理。參考GDPR以及《網絡安全法》有關個人信息保護的內容，圖書館的各項業務是數據處理者，所以圖書館應該圍繞業務使用數據（見下圖）。

圖 數據主體、數據控制者與數據處理者三者關系

4.1 智慧圖書館應遵循數據處理的七項原則

智慧服務、空間服務、數據決策等服務理念以及人工智能、云計算、大數據、區塊鏈等技術廣泛應用于圖書館中，形成了以文獻資源保障為基礎、以用戶需求為中心、以空間服務為特色的綜合服務保障體系。根據GDPR與《網絡安全法》中個人信息使用與保護的條款內容，圖書館的數據處理需要遵循七項原則：（圖書館、用戶）權責統一、（數據使用）目的明確、（數據主體）選擇同一、（數據）最少夠用、（數據使用）公開透明、（數據）確保安全和（用戶）主體參與。數據主體與數據控制者（處理者）之間關系的維護以及數據隱私與數據共享之間平衡性問題的處理是智慧圖書館業務開展過程中不可回避的流程之一。因此，智慧圖書館遵循數據處理的七項原則，使數據使用規范化、制度化，是進一步高效完成業務的基礎。

4.2 智慧圖書館應明確數據處理合法原則

數據收集、保存、處理、使用、銷毀等操作都必須遵循合法性原則。智慧圖書館在收集數據前應告知數據主體（用戶），并征得其同意，告知內容必須詳細、完善。用戶數據處理流程方面應該逐條梳理個人敏感數據，規范數據控制者的行為，做到數據收集公開化并獲取用戶“明示同意”的授權。智慧圖書館的用戶畫像及個人信息安全的評估、刪除、公開披露、轉讓、共享、匿名化與去標識化等行為也應納入規則管理。智慧圖書館的數據流動（共享）是保障各項業務有效開展的基礎，必須明確數據處理的合法性原則，進一步規范以業務數據為支撐的智慧服務體系。

4.3 智慧圖書館應完善數據主體同意條款

為了滿足用戶日益增長的知識、信息的需求，圖書館開展各項服務必須認識并高度重視用戶權益。［12］為了保護用戶的數據隱私、保障用戶的知情權，圖書館應進一步完善數據主體的同意條款機制，將數據使用的目的、意義、技術、方法、風險及時告知數據主體，并具體說明數據控制者的責任與義務。此外，數據主體同意條款的制定與語言表述需要參照《個人信息安全規范》進行規范化處理，且應在語言表述方面顧及不同數據主體的接受程度，盡可能獲得大部分數據主體的理解與支持。

4.4 智慧圖書館應進一步加強數據安全保護

智慧圖書館運用安全防護技術與策略加強系統平臺與數據保護，是保障智慧服務實施的基礎。圖書館應該在國內外相關大數據安全保護法律的指導下,構建符合自身特點的行業操作安全規范和標準，使圖書館安全性評估與保護有統一的執行標準和操作規范。［13］圖書館安全管理模式應該從傳統的安全事件驅動轉換為適應智慧圖書館發展的大數據決策驅動，以大數據分析結果建立以分布式拒絕服務攻擊 （Distributed Denial of Service Attack，DDoS） 態勢感知、溯源模型、高級持續性威脅（Advanced Persistent Threat，APT）攻擊模型、防護系統脆弱性感知、系統漏洞發現感知等模型，并基于AI技術提升圖書館安全防御系統的智慧化水平。智慧圖書館建立基于安全大數據決策支持的服務系統安全事件監測與預測、安全威脅與漏洞等級評估、安全防御系統智能響應管理機制能有效防御智慧圖書館安全管理面臨的危險，為用戶提供安全的文獻資源獲取環境。［14］

4.5 智慧圖書館應建立數據共享（流動）制度

圖書館的智慧服務存在界限，高校圖書館的界限在高校及共享聯盟范圍內。智慧圖書館需要建立數據共享（流動）機制，以支持文獻資源的共享，提高文獻資源的利用率。隨著共享規模的擴大，聯盟內數據控制者與數據處理者權限范圍亦不斷擴大，不再局限于用戶所在的圖書館，因此，建立數據共享機制——數據共享空間（DataCommons，DC）有助于在數據安全制度范圍內提高智慧圖書館的數據使用效率。智慧圖書館的數據館員扮演重要角色，承擔著數據治理的責任。如果圖書館員在智慧圖書館數據共享（流動）機制中參與數據級別計量的發展，那么其將在科研數據開放共享的進程中更具能力，能夠扮演推動全社會創新發展的知識服務角色。［15］

［注釋］

① 本部分內容由作者參照歐盟《一般數據保護條例》第 1、3、5、6、7、8、9、10、11、15、17、20、72條翻譯而來。