澳大利亞高校圖書館個人信息保護政策的研究與啟示

魯唱晚

(安徽大學管理學院，安徽合肥 230039)

1 引言

近年來，我國對個人信息保護的重視程度越來越高，頒布了多部法律法規。2013年實施的《電信和互聯網用戶個人信息保護規定》中對電信業和互聯網中個人信息收集、使用、保護列出具體規定，切實保障用戶的合法權益[1]。2017年實施的《中華人民共和國網絡安全法》就個人信息安全與保護對網絡運營者做出了要求[2]。在圖書館領域，我國頒布的相應法律中，也強調了對個人信息的保護。比如《中華人民共和國公共圖書館法》要求公共圖書館必須保護讀者的個人信息[3]，為讀者個人信息保護提供了法律依據。部分省級公共圖書館，比如江西省圖書館[4]、浙江圖書館[5]制定了相關聲明，對讀者個人信息的保護進行規定。然而，我國高校圖書館的個人信息保護意識較為淡薄。2016年，韓娟娟調查發現，僅有中央民族大學圖書館對個人隱私的保護做出聲明[6]。截至2020年6月29日，筆者通過瀏覽“雙一流”大學圖書館網站發現，仍僅有一小部分的高校制定了讀者個人信息保護的聲明，反映出我國高校圖書館在個人信息保護政策制定方面的發展較為緩慢。

在國內相關研究中，以中國學術期刊數據庫為數據源，以“圖書館隱私保護”“圖書館個人信息保護政策”“高校圖書館信息保護”為主題進行檢索，不限來源。將所得結果進行整理發現，現有研究主題主要包括以下幾個方面。首先，對國外各類型圖書館的個人信息保護政策的研究，主要涉及美[7]、英[8]、加拿大[9]、澳大利亞[10]、日本等國家地區，比如李振從政策的修訂與更新、收集個人信息的原則等方面，對美國公共圖書館的個人信息保護政策的內容進行分析[11]；吳雪敏從個人信息保護的原則、管理體制等方面探析了日本國立國會圖書館的讀者個人信息保護政策內容[12]。其次，對港澳臺地區高校圖書館隱私保護研究。李劍分析28所臺灣地區的高校圖書館讀者隱私政策中的讀者權利、保密條款等內容，認為我國圖書館應學習優秀經驗，加快出臺相應法律政策[13]。韓娟娟對港澳臺地區高校圖書館的個人信息保護政策進行調研，并與我國進行對比發現，內地高校圖書館注重知識產權保護，很少關注個人信息保護。最后，對我國圖書館讀者隱私政策的研究。魏海燕等人調查了我國公共圖書館個人信息保護政策，并指出要提高讀者對信息保護的重視程度、構建讀者個人信息保護救濟機制等建議[14]。陸康等人對我國省級公共圖書館和“雙一流”高校圖書館的隱私政策展開調研，指出我國圖書館需遵守相關法律標準，以行業規則為前提制定相關政策[15]。

縱觀現有研究，在研究主體類別上，以公共圖書館為主，對高校圖書館的分析較少。目前已有學者對澳大利亞國家圖書館[16]的個人信息保護政策進行了研究，以澳大利亞的大學圖書館作為研究對象的研究成果較少。但澳大利亞大學對個人信息的保護措施也較多，制定了一系列相關政策條款。基于此，本文選擇澳大利亞的高校圖書館作為研究樣本，對其個人信息保護政策內容進行分析，以期為我國高校圖書館編制個人信息保護政策時提供借鑒，充實相關理論。

2 澳大利亞高校圖書館個人信息保護政策制定情況調查

本文以2020年QS世界大學排名為依據選取研究對象。QS世界大學排名根據學生就業評價、學術領域同行評價等參數對每所大學打分，所得排名結果具有一定的客觀性與可靠性，并在全球具較高的影響力。本文選擇在QS世界大學前200名的9所澳大利亞高校作為研究主體[17]，保證了調查對象的代表性。截至2020年7月30日，通過瀏覽各高校網站、高校圖書網站以及通過其內嵌搜索欄搜索發現，悉尼大學圖書館、悉尼科技大學圖書館獨立制定了相關信息保護政策，剩余7所高校圖書館網站中未見其獨立制定的個人信息保護政策，但其所屬高校都公布了個人信息保護政策。這7所高校基本都設置有專門辦公室，來負責在校師生的信息安全，制定相關個人信息保護政策，政策適用范圍一般包括高校所有成員、所有部門機構。而圖書館作為高校的一部分，屬于高校個人信息保護政策的保護范圍之內。因此筆者將上述7所大學的個人信息保護政策作為圖書館的個人信息保護政策。澳大利亞高校除了制定政策，仍配備有隱私聲明、隱私影響評估指南等相關文件，作為對個人信息保護政策的補充完善，共同保護學校相關成員的個人信息。比如墨爾本大學根據不同類型的學校成員，制定了一般性隱私聲明、員工隱私聲明、學生隱私聲明等多部隱私聲明，對每類群體的個人信息收集、保護、利用做出詳細規定。此外，部分大學就其在個人信息保護中的責任和義務做出了詳細闡述，澳大利亞國立大學還面向學校成員提供免費的在線隱私知識學習培訓資源，并設置專門頁面，集合常見的隱私相關問題，供學校成員參考。由此可見，澳大利亞高校普遍重視對個人信息的保護，在個人信息保護政策制定方面，也形成了比較完備的體系。基于此，本文將其制定的個人信息保護政策、隱私聲明等一系列相關文件或指南均作為本研究對象，對其進行內容分析。

在個人信息保護政策的位置方面，7所大學將其放置在網站主頁底部，以“隱私”(privacy)等字眼明確標識。悉尼科技所大學圖書館將個人信息保護政策放置在圖書館政策子欄內，悉尼大學圖書館的個人信息保護政策則通過站內搜索引擎查找獲取。總體來看，9所大學圖書館的個人信息保護政策均能夠直接獲取，對于用戶來說，查找相對便捷迅速。9所澳大利亞高校圖書館個人信息保護政策具體設置情況如表1所示。

表1 9所澳大利亞高校圖書館個人信息保護政策設置具體情況

3 澳大利亞高校圖書館個人信息保護政策文本的內容分析

3.1 法律政策指導

澳大利亞出臺了《隱私法》《信息隱私法》《隱私和數據保護法》等多部法律，在個人隱私保護方面具有較為完備的法律體系。高校圖書館個人信息保護政策的制定和保護措施的實施過程中，需要受到上述法律政策的約束。7所大學的個人信息保護政策中指出本館遵循的相關法律政策，對其進行統計發現，主要包括以下相關法律政策：①1988年發布的《隱私法》。該部法律中對個人信息的收集、使用等情況做出了詳細的規定。澳大利亞國立大學、莫納什大學等5所大學在個人信息保護政策中明確表示依據《隱私法》的要求，制定本校的隱私政策。但西澳大學和墨爾本大學指出，大學僅在特定的條件下受到此部法律的約束或僅僅遵循部分條款，比如在處理個人稅收號(Tax File Numbers)相關信息時，需要遵守《隱私法》的規定[18][19]。個人稅收號是澳大利亞稅務局分配給個人管理稅務的號碼標識，通常由9位數組成。②歐盟《通用數據保護條例》。2018年5月，此項條例頒布實施，對保護歐盟成員國個人數據做出了具體規定[20]。墨爾本大學、西澳大學表示當收集來自歐盟成員國個人信息時，會遵守《通用數據保護條例》的相關規定。③2001年《健康記錄法》。此部法律規定了如何收集、處理、保護個人的健康信息[21]。2所高校聲明在這兩部法律的個人信息收集原則之下，編制個人信息保護政策。由此可見，澳大利亞十分重視個人信息的保護，多部國家政府出臺的法律為大學圖書館制定個人信息保護政策提供了指導。7所大學個人信息保護政策所遵守的相關法律政策如表2所示。

表2 7所大學個人信息保護政策所遵守的 相關法律政策

3.2 個人信息相關概念界定

在個人信息保護政策中明確個人信息的概念，有助于用戶了解被收集信息的內容。6所高校圖書館在個人信息保護政策中闡明了本政策所保護的個人信息的概念。阿德萊德大學、西澳大學沿用1988《隱私法》中對個人信息的定義：能夠識別出個人身份的信息或觀點，不論這些信息或觀點是否屬實，只要能夠從中實現個人識別，即屬于個人信息[22]；墨爾本大學沿用2014年《隱私和數據保護法》中個人信息的定義，與上述定義大體相同；新南威爾士大學根據1998《隱私和個人信息保護法》，認為個人信息包括個人姓名、電話號碼等內容，并將已死亡超過30年的人的信息與可在公開出版物中獲取的信息排除在保護范圍之內[23]；昆士蘭大學將個人信息定義為任何能夠識別出個人身份的信息，學校教職工的工資、學生在圖書館的借閱記錄、個人的照片都屬于個人信息[24]。由此可見雖然澳大利亞高校圖書館個人信息保護政策遵從不同的法律的規定，但其對個人信息的概念界定比較統一，即為任何有關識別個人身份的信息。此外，個人信息保護政策中還包括對以下相關概念的定義：①敏感信息。敏感信息是與個人的種族、政治觀點、宗教信仰等有關的信息。②健康信息。墨爾本大學遵從2001年《健康記錄法》，將健康信息定義為有關個人身心健康信息、個人在接受醫療服務中的信息、個人的遺傳信息等[21]。

3.3 個人信息收集的內容和目的

多部政策中表示，只有在符合法律政策要求或者大學開展相關工作需要時才會收集個人信息，并在收集前通知用戶。昆士蘭大學指出會提前告知用戶信息收集的原因、大學信息收集的權限以及可獲取這些信息的第三方。如果個人拒絕提供個人信息，一般情況下大學會尊重其選擇，但可能會導致個人無法享受大學提供的部分服務。對于個人信息收集的內容，這9所高校政策的表述各不相同，總結來看，其收集的個人信息主要有兩類：①個人身份信息。這類信息可以用于識別出個人的真實身份，比如悉尼大學圖書館收集個人的姓名、聯系電話、電子郵箱等[25]。悉尼科技大學圖書館表示在借閱服務中收集到的個人姓名等信息，不會向第三方透露，完全尊重用戶的隱私[26]。②個人訪問記錄。這類信息包括用戶使用圖書館資源的記錄、個人瀏覽器的網址、訪問網站的日期和時間、登入站點的用戶名等。澳大利亞國立大學聲明當用戶訪問學校網站時，其服務器會收集用戶的瀏覽器地址、使用的瀏覽器類型等信息，這些信息不用于識別個人身份，僅作為系統維護與管理時的依據[27]。

針對收集信息的內容不同，相應的目的也不同。①收集個人身份信息的目的。高校圖書館收集個人信息主要是為了執行特定的職能，或者在某些活動中不得不收集信息。比如在管理學生入學、住宿、使用圖書館、申請就業等相關事宜時，必須采集本校學生的真實信息。②收集個人訪問記錄的目的。整合分析用戶的訪問記錄能夠幫助圖書館判斷網站的使用情況，對網站系統進行定期的維護和更新。新南威爾士大學在其網站上設置了反饋渠道，使用戶能夠為網站的未來發展提供意見。用戶使用此項服務時，必須提供姓名與郵件地址以便及時收到回復，在此項服務中收集的個人信息不會被利用在其他的服務中。

3.4 個人信息安全的維護

澳大利亞高校致力于保護個人信息的安全與完整性，6所高校在政策中強調個人信息安全的重要性，并通過以下三個方面從源頭預防個人信息被泄露盜用的風險：①利用物理技術來保證所有個人信息的安全。莫納什大學網站設有防止信息丟失、誤用、更改的安全措施，并且在與某些簽約服務提供商合作時，確保其受到相關隱私法律的約束，或者要求其提供個人信息保護的聲明[28]。②及時銷毀廢舊信息。西澳大學保障收集個人信息系統安全，防止數據丟失與未經授權的訪問，并及時銷毀大學不需要再次利用的個人信息。但對于由第三方惡意竊取數據或因技術故障而導致丟失的數據，西澳大學不承擔任何責任[18]。③提高大學職員個人信息保護的意識。澳大利亞國立大學除了在技術層面來維護個人信息、定期銷毀老舊信息之外，還要求職員遵守隱私政策及相關法律，秉持認真負責的態度處理個人信息[27]。昆士蘭大學要求職工采取有效的預防措施來確保在工作中不會泄露個人信息，并妥善保管任何紙質文件[24]。

3.5 個人信息披露的聲明

7部個人信息保護政策對個人信息披露的條件與場合做出了詳細規定。雖然個人信息保護政策防止用戶信息的外泄，通常情況下，圖書館僅在用戶同意的情況下使用或披露個人信息，但在某些特殊情況中，圖書館有可能會在未經過用戶同意就向第三方透露其個人相關信息，主要有以下幾種情境：①相關法律的要求。新南威爾士大學明確表示除非法律要求其提供，否則不同任何第三方共享個人信息[23]。②稅務局、教育部等地方政府部門要求統計師生信息。③在緊急情況下，向警察、醫務人員等透露用戶的個人信息。在某些緊急情況下，大學自主判斷披露個人信息能夠減少對個人生命、公共安全的威脅時，即使未取得用戶同意，也擁有披露信息的權力。④師生的轉校、晉升等情況下需要向第三方提供相關檔案信息。圖書館在向外披露用戶個人信息時，也會對第三方做出要求，確保其不會濫用用戶信息。比如西澳要求大學向部分位于境外的第三方提供服務時，必須同其簽署相關協議，確保其遵循澳大利亞的隱私原則[18]。

3.6 個人信息的查詢與修改

8所大學的個人信息保護政策指出，個人有權申請查看大學所收集關于本人的信息，并要求大學更改錯誤的個人信息。關于個人信息查看與修改的規定，主要涉及到以下幾方面內容：①身份核驗。在接收到個人信息查詢修改申請后，澳大利亞國立大學表示必須在本人的身份核驗通過之后，才給與查詢修改渠道。②申請方式。一般情況下，個人可通過政策底部所給出的聯系方式進行申請，但阿德萊德大學、莫納什大學根據不同的對象，規定了不同的申請方式。比如阿德萊德大學規定，大學職員可以通過聯系人力資源管理部門查看個人檔案而無需提交正式的申請，在校學生可以通過信件或發送電子郵件向大學咨詢[29]。兩所大學規定的申請方式具體如表3所示。③大學的權利。通過對個人申請進行審核，大學有權拒絕對信息的修改，并告知個人拒絕的原因。但如果個人申請的情況屬實，大學必須無條件的修正錯誤信息。④回復時間。多數大學表示會在一個合理的時間范圍內回復個人申請，澳大利亞國立大學明確說明將在收到請求后的30天內回復。

表3 阿德萊德大學與莫納什大學規定的申請方式

3.7 個人信息權利的維護

當用戶認為大學或者其工作人員在采集、使用、公開個人信息時違反了個人信息保護政策規定，侵害了個人利益或者用戶認為大學存在著故意泄露個人信息的行為，可以通過所給聯系方式進行投訴維權。昆士蘭大學要求個人必須以真實身份信息進行投訴，若收到匿名投訴信息則不予受理[24]。阿德萊德大學鼓勵用戶在發現威脅個人信息安全的行為的6個月內進行投訴維權，以便大學能夠更加及時有效的處理[30]。在回復時間方面，多數高校個人信息保護中沒有明確說明，但澳大利亞國立大學與阿德萊德大學指出將在30天內回復。此外，多數高校表示，如果用戶不滿意大學對投訴的處理結果，可以通過向信息專員或相關政府部門再次進行投訴，進一步維護自己的權益。

4 對我國高校圖書館制定個人信息保護政策的啟示

4.1 設置個人信息保護辦公室，增強高校圖書館個人信息保護的主動性

本文調查的9所高校均設置了個人信息保護辦公室，莫納什大學對其職責做出了詳細解釋：個人信息保護辦公室負責學校內的個人信息安全，處理投訴事件，解決第三方對個人信息保護政策產生的疑問，并協助大學員工個人信息相關知識的教育[28]。個人信息保護辦公室的存在為個人信息的維護、政策的更新與調整提供了極大的支持。我國高校鮮少有專門設置個人信息保護辦公室，因此增強高校圖書館個人信息保護的主動性可以從下述幾方面著力：

①設置個人信息保護辦公室。有條件的圖書館應成立專門的個人信息保護辦公室，負責處理高校圖書館個人信息保護政策的制定、讀者個人信息的維護、個人信息糾紛等問題。并設置個人信息保護專員，對政策的實施、館員的自律進行監督評估。②加強館員教育。圖書館館員擁有直接接觸讀者個人信息的權限，因此一方面要加強館員的行業自律，在圖書館館員守則中強調館員維護讀者信息的重要性，對于濫用、泄露、隨意更改讀者信息的職員予以嚴肅的處罰。另一方面通過開展課程教育、專家講座等方式，培訓館員保護個人信息的能力。③校方主動參與。比較9所澳大利亞高校的個人信息保護政策發現，在數量和內容上，圖書館獨立指定的政策，均比學校制定的個人信息保護政策簡略的多。而圖書館是學校的一部分，其相關工作活動必須受到學校政策的制約。基于此，學校可以主動參與制定個人信息保護政策的制定，聘請專家建立本校的個人信息保護政策體系，切實維護學校成員的個人信息安全。

4.2 并舉內容數量，制定高校圖書館個人信息保護政策

內容方面，包括個人信息的定義、個人信息收集的目的、個人信息披露的條件等等詳實的內容。數量方面，澳大利亞高校制定了多部文件保護學校成員的個人信息。我國高校圖書館在個人信息保護方面的意識較低，公布相關政策的高校仍在少數。基于此，我國高校圖書館個人信息保護政策的制定可以從內容和形式兩個方面學習相關經驗：

①政策內容數量需豐富，實施動態更新機制。個人信息保護政策內容應從個人信息收集、個人信息使用、個人信息公開、個人信息維護四個方面制定。在個人信息收集中應闡明個人信息收集的目的、原則、范圍、途徑等；在個人信息使用中需規定使用的條件、使用的場合；在個人信息公開中應規定公開的對象、公開的情境、公開的期限等；在個人信息維護方面需編制個人信息更改、個人隱私維權、隱私侵犯的申訴等內容。個人信息保護政策實施后，也應及時根據網站的發展、用戶的使用情況靈活地做出調整，適應圖書館的發展。政策調整后也應及時提醒讀者查看。比如莫納什大學表示會不定期對個人信息保護政策做出調整，政策內容發生變化時會通過發送郵件等形式通知用戶。②在數量方面，可以借鑒澳洲高校，在完成個人信息保護政策的制定后，可以著手制個人信息保護政策實施細則等文件作為其補充說明，以多部有效的文件共同維護全校師生的個人信息安全。

4.3 構建法律體系，國家加速出臺《個人信息保護法》

澳大利亞在出臺了多部法律來保障個人的信息與隱私，比如1988年的《隱私法》對個人隱私類型做出詳細劃分[31]；2012年《個人控制的電子健康記錄法》出臺，強調對個人健康信息的保護[32]。2017年《隱私修正案(數據泄露通報制度)》頒布，這部法案對1988年的《隱私法》進行完善，進一步推動了澳大利亞的隱私立法[33]。澳大利亞高校圖書館個人信息保護政策的制定也秉持這些法律的理念與精神。相比之下，我國的個人信息安全保護相關法制建設稍顯遜色，對個人信息的保護散見于《中華人民共和國消費者權益保護法》等多部法律政策中，專門的《個人信息保護法》《數據安全法》仍在制定過程之中。因此我國應加快相關專有法律的出臺，構建完備的個人信息保護法律體系。可以從以下兩個方面來加快法律體系的完善：

①國家應加快出臺多部保護個人數據、個人隱私的法律，為個人信息的保護構建系統的法制框架。在國家法律政策的導向下，各地教育部門出臺相關個人信息保護政策，對高等學校中的個人信息收集、利用、公開等做出明確規定，并要求各高校結合自身的實際情況，發布各自的個人信息保護政策。②在《中華人民共和國公共圖書館法》中增添個人信息保護相關條款。我國的《中華人民共和國公共圖書館法》中雖然涉及到有關讀者個人信息保護的問題，但是內容占比不多。而作為公共圖書館領域內的唯一法律，需要在其中規定讀者個人信息的定義、圖書館允許收集讀者個人信息的內容，從而為各級各類圖書館讀者個人信息保護政策的制定提供借鑒參考。

5 結語

通過對澳大利亞高校圖書館個人信息保護政策的現狀調查和內容分析，發現澳大利亞高校圖書館比較強調讀者個人信息的保護，其國家的相關的法律基礎也比較完善，其優秀的經驗值得借鑒。我國高校圖書館應認識到在自身在個人信息保護方面的不足，加快制定相關政策，切實維護讀者個人信息安全。