云時代下圖書館數據保護合規體系的提倡與構建
2024-04-30 12:25:21劉夢
四川圖書館學報 2024年1期
摘 要:對云時代下圖書館的數據類別與面臨風險進行了研究,考察了域外以美國為代表的圖書館數據保護行業合規模式和以德國為代表的圖書館數據保護法律合規模式,立足于我國圖書館核心價值與信息組織變革原理的理論基礎、數據立法及圖書館數據安保法定義務的規范基礎、國內企業合規與數據合規浪潮勃興的實踐基礎,提出我國應以數據保護合規治理理念為“一體”,以數據保護合規計劃、數據保護合規崗位組織體系、圖書館全數據保護合規文化、圖書館全數據保護合規技術為“四翼”,形成圖書館全流程數據保護合規體系。
關鍵詞:云時代圖書館;數據保護合規;一體四翼;本土構建
中圖分類號:G251? 文獻標識碼:A? 文章編號:
Advocacy and Construction of Data Protection Compliance System of Libraries in the Cloud Era
LIU Meng
Abstract: This paper studies the data categories and risks faced by libraries in the cloud era, examines the compliance model of library data protection industry represented by the United States and the legal compliance model of library data protection represented by Germany. Based on the theoretical basis of China's library core values and information organization reform principles, the normative basis of data legislation and library data security legal obligations, and the practical basis of the booming tide of domestic enterprise compliance and data compliance, the paper proposes that China should take the concept of data protection compliance governance as "one body", and take the data protection compliance plan, the data protection compliance post organization system, the library full data protection compliance culture, and the library full data protection compliance technology as "four wings" to form a library full process data protection compliance system.
Keywords: cloud era library; data protection compliance; one body with four wings; local construction
云計算技術(Cloud Computing)正在日益將我們的時代帶入全新的云時代[1],與之相應的是,云計算的應用給圖書館帶來了巨大變革。在閱讀空間領域,各地圖書館不斷以網站、微信公眾號、APP等信息網絡形式的數字圖書館為廣大用戶拓展閱讀云端空間;在閱讀管理領域,人臉識別門禁系統、自助借還書系統、圖書館員工考勤系統、研討空間預約管理系統等智慧化服務系統不斷上線,給廣大用戶帶來了全新的閱讀服務體驗。
一個組織的發展離不開良好的數據治理。在社會數據治理的大背景下,數據作為圖書館開展服務的基本載體,其價值與安全需要圖書館管理人員加以萬分重視。圖書館數據保護如何因應云時代的背景,創新數據保護模式,成為圖書與情報學界研究人員亟須解決的一大議題。基于上述思考,本文旨在提倡我國圖書館構建“以樹立基于風險防控的數據保護合規治理理念為頂層設計,以合規計劃、合規崗位、合規文化、合規技術為四大支撐”的數據保護合規體系,以期在云時代下更好地保護圖書館全流程數據,防范圖書館數據可能面臨的安全風險,保障圖書館云升級的順利進行,發揮圖書館的公共資源服務功能。
1 數據風險:云時代下圖書館數據的區分與風險識別
云計算時代,數據和個人信息變成“云”上的黃金具有巨大的價值[2]。數據處理業務的數量和范圍都在穩定地迅速增加,可以預見的是數據安全漏洞的數量也將增加。為對圖書館數據進行全面的保護,防止數據價值流失與數據價值被破壞,就必須對圖書館所擁有的全部數據進行梳理,并識別出相關數據可能面臨的安全風險。由于新型信息網絡技術的參與,圖書館數據紛繁復雜,但可以對其進行不同層次的屬性劃分,進而相應地發現不同層次數據所面臨的不同的安全風險。云時代下圖書館的全部數據大體上可區分為微觀層、中觀層以及宏觀層三個層次的數據,而三類數據都不同程度地面臨著安全風險。
1.1 云時代下圖書館數據的屬性區分
在大數據和人工智能共同驅動下,圖書館開展智慧服務客觀上需要盡可能全面地掌握各方面的數據。作為閱讀服務提供者,圖書館既需要掌握卷帙浩繁的數字文獻資源以為用戶提供數字閱讀服務,也需要掌握用戶個人數據以為其提供門禁識別、在線借閱、個性化推薦智慧服務;作為公益事業機構,圖書館既需要掌握員工的個人數據以實現館舍的正常運轉,也需要掌握相關的公共數據甚至國家數據來為政府提供決策咨詢等工作。
在微觀層面,圖書館數據涉及的主要是個人數據,而個人數據又可以被區分為用戶的個人數據與員工的個人數據。在云時代下,為保障圖書館運行秩序與提供更為智能的閱讀服務,圖書館往往通過注冊登錄、cookies、行為過程抓取等獲取用戶個人數據。所謂員工的個人數據,實際上指的是作為工作人員的圖書館廣大員工的個人數據。無論是政府圖書館、高校圖書館還是公私共建圖書館,為實現可持續的日常運營與管理,必然需要對館內工作人員的個人數據加以收集與利用。
在中觀層面,圖書館作為公益事業機構,其云平臺本身也存儲著大量圖書館本身的運行數據。其一,館藏資源數據在云時代背景下主要體現為以電子形式存在的各類圖書文獻資源。對圖書館來說,館藏資源數量的多少與質量的高低直接影響圖書館的用戶數量,館藏資源數據就是智慧圖書館服務開展的立身之本。其二,圖書業務數據包括館藏資源的采編流通數據、電子資源的使用數據、業務活動的日志數據以及咨詢服務的相關數據等。圖書業務是圖書館開展的主要業務,業務數據記錄了圖書館資源利用和服務開展的情況[3]。其三,圖書館管理數據包括人事、財務、數據商和上游產業鏈等數據,是圖書館運行的必要保障。和企業、政府一樣,圖書館也需要建立起人事、財務等一系列管理制度,以保障圖書館的規范運營。
在宏觀層面,圖書館數據還可能涉及政府與國家數據。其一,公共圖書館需要整合公共開放數據,與各級政府部門合作,關聯政府開放數據,其間必然涉及眾多政府數據與國家安全數據。其二,高校圖書館由于往往涉及為黨和政府提供決策咨詢工作,高校圖書館的數據也涉及眾多政府數據與國家安全數據。其三,即使是私立圖書館,其同樣具有公益事業的屬性。在此期間,同樣會涉及許多政府數據與國家安全數據。
1.2 云時代下圖書館數據的安全風險
云時代下,“數據分析和存儲有很多問題需要解決”[4]。無論是微觀層面的用戶個人數據或員工個人數據,還是中觀層面的圖書館云平臺運行數據,抑或宏觀層面的政府數據和國家安全數據,都面臨著不同程度的安全風險。
一是個人數據的不當收集與利用風險。《歐盟基本權利憲章》中明確規定,個人數據保護權是一項基本權利,因此,個人數據保護權應當得到默認保護[5]。然而,云時代的圖書館中,無論是用戶個人數據還是員工個人數據,在收集、存儲、傳輸等每個環節都存在非授權訪問與收集風險、信息載體的泄漏風險。
一方面,在數據收集過程中,圖書館用戶個人數據和員工個人數據面臨著未經同意收集和過度收集的風險。對用戶個人數據而言,APP、網站等形式的智慧圖書館通常以“個人信息保護協議”“隱私聲明”等形式告知用戶,但圖書館用戶面對具體告知內容處于明顯的弱勢地位[6]。對員工個人數據而言,圖書館收集員工個人數據同樣需要履行“告知—同意”程序。如果圖書館未履行這一程序,在辦公場所安裝視頻監控或人臉識別設備,安裝電腦監控軟件監控員工的電子郵件、社交媒體聊天記錄等,以及為員工配備智能手環以監控其行蹤軌跡,均有可能侵犯員工的個人數據受保護權[7]。
另一方面,在數據利用過程中,圖書館用戶個人數據和員工個人數據還面臨著不當利用的風險。在國外,曾有美國公司通過綜合運用人臉識別、定位追蹤與社交網絡數據分析等技術手段,準確預判了員工的離職意向,并將其提前解雇。我國,囿于立法時間較早、理論研究深度不足等原因,由于尚無統一標準的個人數據處理操作規程,導致用戶個人數據和員工個人數據被泄露、丟失、盜用、編造、篡改、毀損、出售等情況無法杜絕。
二是平臺數據與國家數據的泄漏風險。部分平臺運行數據屬于商業秘密的范疇,其泄露可能會影響圖書管理市場;政府數據和國家數據直接影響國家安全,其泄露則直接影響我國在全球的數據市場主體地位。近日國家互聯網信息辦公室公布對滴滴全球股份有限公司依法作出網絡安全審查行政處罰80.2 6億元的決定[8],這表明,即使是私人企業也有可能因為侵犯國家數據安全而被科處法律責任。舉輕以明重,云時代圖書館對所涉及的政府數據與國家數據的處理行為同樣需要受到重視。
2 他山之石:域外圖書館數據保護合規的考察借鑒
在全球范圍內,數據的有效保護已經成為各行各業保持長久生命力的必要前提,而合規成為數據保護的最有效途徑。縱覽域外,英美法系逐漸形成了以美國為代表的圖書館數據保護行業合規模式;大陸法系逐漸形成了以德國為代表的圖書館數據保護法律合規模式。兩大法系的圖書館數據保護合規模式,為我國圖書館數據保護提供了制度與經驗借鑒。
2.1 英美法系:美國圖書館數據保護的行業合規模式
英美法系對圖書館數據保護的意識較為前衛,美國從聯邦到各州自上而下普遍比較重視圖書館數據的保護,形成了以行業自律為主、法律規范為輔的圖書館數據保護行業合規模式。
從美國圖書館數據保護合規的規范進程來看,在美國圖書館數據保護的行業合規模式中,發揮最大作用的主體是美國圖書館協會(American Library Association,簡稱ALA)。自20世紀上半葉至今,ALA頒布了眾多圖書館數據保護合規文件,并構建了一套相對成熟的圖書館數據保護內控體系,推動了圖書館數據的全面保護。從圖書館數據保護合規文件來看,一是1939年采用的《圖書館權利法案》。2019年的新增條款指出:“圖書館應該保護所有圖書館使用數據,包括個人身份信息。”[9]二是1939年頒布的《倫理準則》,該準則宣稱“圖書館員有義務將在工作中獲得的用戶私人信息視作機密”。以上兩份文件均在宏觀上表明了美國圖書館協會對于數據保護的積極態度和原則。三是2005年出臺的政策性文件《制定圖書館隱私政策指南》。該指南在微觀上明確了圖書館數據保護的若干合規措施[10]。從圖書館數據保護內控體系來看,一是確立了圖書館隱私管理的組織框架,為圖書館開展隱私管理工作奠定了堅實的組織基礎;二是設置了圖書館隱私官,用來監控用戶隱私方面的新聞和信息,制定響應公眾、媒體、政府機構有關數據請求的程序等;三是明確了信息技術人員的隱私管理職責[11]。
從美國圖書館數據保護合規的實踐探索來看,美國圖書館數據保護的行業合規模式在實踐中得到了廣泛應用。例如,美國國會圖書館官網上的《網站用戶和在線館藏隱私政策》對用戶數據、館藏數據等圖書館數據保護提供了合規政策。圖書館制定了保護措施來保護存儲的信息,包括僅允許需要訪問以履行其職責的指定員工和承包商進行訪問[12]。又如,紐約公共圖書館在其官網上也有數據保護合規的相關聲明,2021年7月修訂的《紐約公共圖書館隱私政策》規定,圖書館僅收集提供讀者當時使用的服務所需的最少信息,并盡最大努力盡早將其刪除。圖書館不會嘗試識別個人讀者或其使用習慣,也不會在顧客擁有的設備上安裝任何軟件。與此同時,網站還公布了首席數據官的聯系方式,讀者可以利用圖書館網站提供的渠道投訴,通過專門的保護渠道維護權益[13]。
2.2 大陸法系:德國圖書館數據保護的法律合規模式
在數據保護領域,細法長牙的歐洲聯盟通過數量繁多的法律規范為數據保護織就出一張密不透風的網絡,大陸法系的諸多國家同樣通過出臺相應的數據保護法或數據保護條例來保障數據安全。以德國為例,歐盟的《通用數據保護條例》(General Data Protection Regulation,GDPR)、本國的《聯邦數據保護法》(Bundesdatenschutzgesetz,BDSG)兩部法律共同為圖書館數據保護提出了合規要求,打造出了德國圖書館數據保護的法律合規模式。
從德國圖書館數據保護合規的規范進程來看,其可以等同于德國數據保護的規范進程,因為圖書館數據作為公共機構數據的一種,共同受到整體數據保護法律規范的支配。為圖書館數據保護合規起著最大作用的是GDPR和因應該條例而出臺的本國的BDSG。
其一是2018年5月正式施行的GDPR。GDPR第4條規定,“數據控制者”指的是決定個人數據處理目的與方式的自然人或法人、公共機構、規制機構或其他實體[14]。這意味著,作為公益事業機構的圖書館同樣需要遵守GDPR的全部規定,在數據收集、利用和流動全流程中保障圖書館數據保護合規。GDPR條例第4章規定數據控制者/處理者進行數據保護的合規義務與執行細節,主要分為一般義務、數據保護影響評估和事先咨詢、數據保護專員、行為準則與認證。這五項合規義務共同構成了德國圖書館數據保護合規的完整體系,其中需要特別說明的是數據保護官(Data Protection Officer,DPO)。GDPR規定,所有公共機關和符合設立條件的私營企業或組織必須依法設立數據保護官[15]。
其二是與GDPR同日實施的BDSG。該法案許多內容參照了GDPR,并對部分內容進行了國內轉化。第一,BDSG同樣并沒有對圖書館數據保護的合規制度作出明確的規定和要求,而是以合規要素的形式散見在法案之中。第二,該法案同樣就公共主體的合規要素做了特殊規定,合規并非只是私營部門面臨的問題,而是可以擴散到其他組織體[16],因此,無論是根據國際法還是國內法,德國圖書館都需要履行數據保護合規義務。第三,BDSG 第26條對GDPR所規定的員工數據保護的進一步細節進行了規范。在進行合規檢查時,雇主必須采取適當措施,確保遵守GDPR下的數據保護原則。
從德國圖書館數據保護合規的實踐探索來看,德國圖書館數據保護的法律合規模式在各大圖書館網站的《隱私政策》等文件中體現得尤為明顯。由于有法律規范作為強制力保障,德國圖書館數據保護的合規措施效果也十分鮮明。例如,柏林國家圖書館官網的數據保護聲明即規定,其是根據GDPR所制定。該圖書館的數據保護聲明涵蓋了圖書館對所有數據保護的合規措施,主要包括負責人的姓名和地址、有關數據處理的一般信息、數據保護官等8個方面[17]。又如,科隆大學圖書館網站的《隱私政策》同樣規定,根據GDPR第13條制定本聲明,并概述了圖書館的數據保護合規體系[18]。
3 法律移植:我國圖書館引入數據保護合規的可行性
圖書館數據保護合規作為一個外來概念,能否以及在多大程度上運用進我國的圖書館領域,根本上是一個法律移植問題。英國學者沃森指出,法律的民族性并不排斥法律移植,法律移植是法律發展的重要原因,“從最早的有記錄的歷史時期起,法律移植一直是屢見不鮮的。”[19]圖書館領域能否建立起數據保護合規制度體系,關鍵在于我國是否有該制度生成的理論基礎、法律空間以及實踐土壤。幸運的是,我國圖書館引入數據保護合規具有可行性。
3.1 理論基礎:圖書館核心價值與信息組織變革原理
我國圖書館引入數據保護合規制度的理論基礎有二,一是圖書館學中的圖書館核心價值理論,二是信息管理學中的信息組織變革原理。
圖書館核心價值是圖書館和圖書館員在為社會提供服務時所用該具有并堅持的一系列價值觀。根據中國圖書館學會通過的《圖書館服務宣言》,一方面,圖書館的核心價值在于關懷讀者人格,實現和保障公民基本閱讀權利;另一方面,圖書館的核心價值還在于文獻信息資源共建與共享,促進與推動知識和信息的開放存取。因此,圖書館的核心價值包括關懷讀者人格與促進信息利用,圖書館需要在二者之間尋求平衡。那么,為了達到數據保護與信息自由兩大圖書館核心價值的平衡,云時代下圖書館就必須采取相應的措施,在進行數據保護的同時厘清信息自由的邊界,而這些措施正是數據保護合規制度發展的基礎。
信息組織變革原理是信息管理學中的一個概念。當組織面臨來自顧客、員工、主管或三者皆有的內部壓力,或者面臨來自包括政府法規、外部競爭、政治與社會潮流等外部壓力之時,內外部壓力就會促使組織進行變革以提升內部管理和適應外部環境[20]。數字經濟環境下,從政府到高校,各個組織都在不同程度地隨著時代的發展而進行組織形態變革。實證研究發現,平臺型組織變革中的理念變革、結構變革與流程變革對員工創造力具有正向影響[21]。同樣,在數字經濟環境下,圖書館信息服務呈現出新特征,并需要以新特征為動因研究圖書館組織與服務變革模式。新信息環境及用戶新信息行為的涌現,信息資源結構的變遷,技術環境的日新月異,促使圖書館的信息組織的變革,要求融入新的信息組織理念[22]。
3.2 規范基礎:圖書館的數據處理者地位與安保義務
數據保護領域的立法和圖書館專門領域的立法共同為圖書館引入數據保護合規制度奠定了規范基礎。在數據保護領域的立法中,我國出臺的若干法律均在不同程度上確認了包括圖書館在內的數據處理者的數據安全保護義務和合規制度體系建設義務。其一,《網絡安全法》第10條規定了建設、運營網絡或者通過網絡提供服務者的網絡安全保障義務,第40—43條規定了網絡運營者對用戶信息的保密義務。其二,《數據安全法》規定了數據處理者的合規義務,第4章對企業開展數據活動中應承擔的數據安全管理保護義務及責任均做了明確規定。其三,《個人信息保護法》第58條明確規定了提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者按照國家規定建立健全個人信息保護合規制度體系的數據合規義務。以上三部法律從最廣義的網絡安全到數據安全再到個人信息安全,循序漸進、愈來愈細地對數據處理者的合規義務進行了明確。云時代下,圖書館往往以APP、網站、小程序等形式來提供線上數字閱讀服務,在收集和利用各類圖書館相關數據的過程中,其扮演的角色就是數據控制者及處理者,自然需要遵守以上法律的規定,履行數據合規義務。
在圖書館領域的專門立法中,以《公共圖書館法》為首的圖書館一系列法律及規范性文件同樣確立了圖書館的信息安全保障義務。其一,2018年修正的《公共圖書館法》第43條規定公共圖書館應當妥善保護讀者的個人信息、借閱信息以及其他可能涉及讀者隱私的信息,不得出售或者以其他方式非法向他人提供。其二,2012年5月1日實施的《公共圖書館服務規范》(GB/T28220—2011)規定了圖書館服務資源、服務效能、服務宣傳、服務監督與反饋等內容。在云時代下,圖書館安全定義已經從傳統物理空間安全擴張到非傳統網絡空間安全[23],因此,所謂的安全保障義務不僅存在物理空間,也存在于網絡空間。圖書館必須在網絡空間做好數據的安全保障義務。
3.3 實踐基礎:國內企業合規與數據合規浪潮的勃興
作為一個外來概念,“合規”已經不斷融入我國的司法實踐,并成為各個部門法爭相進行法律移植的重要對象。合規在我國的發展,最先于刑法部門法中出現,此后行政合規、數據合規在理論界不斷被熱議,在實務界不斷被試點,逐漸形成如火如荼之態勢。在國內企業合規與數據合規浪潮的勃興之下,作為公益事業機構的圖書館吸取我國企業數據合規的實踐經驗教訓、建立并完善數據保護合規制度體系,也就具有了實踐基礎。
其一,隨著全國企業合規改革試點工作的逐步推進,企業合規正以不可阻擋之勢,迅速席卷企業犯罪的司法實踐。2020年3月起,最高檢部署在江蘇省張家港市、深圳市寶安區等6個基層檢察院開展第一批涉案企業合規改革試點;2021年3月起在北京、上海、江蘇、浙江等10個省份開展第二期試點工作;2022年4月起,全國檢察機關全面推開涉案企業合規改革試點[24]。其二,數據合規的發展逐漸初具規模。網絡社會背景下,數據成為社會的基本生產要素,亦成為大量企業業務開展的重要依托。所謂數據合規,就是指互聯網平臺企業、高新技術企業在數據要素市場化配置過程中,通過采取合規措施,防止個人隱私數據、企業資產數據、國家安全數據等數據被濫用或泄露,以保障數據從產生至傳遞、處理、存儲到最終銷毀整個過程中的安全,進而避免自身陷入刑事追訴的境地。我國最早探索數據合規行政監管激勵機制是在證券監管領域,在實踐中,數據合規的發展已經拓展到多個領域。
4 本土構建:我國圖書館數據保護合規體系之展開
從我國法治的歷史進程來看,與大陸法系更具有親緣關系,因此圖書館數據保護領域的合規措施更有可能借鑒大陸法系的法律合規模式。德國注冊會計師協會關于合規的IDWPS980標準包括七個基本要素:合規文化、合規目標、合規風險、合規計劃、合規組織、合規溝通、合規監控和改進,以及許多重要的設計準則[25]。我國圖書館數據保護合規體系之展開可以以基于風險防控的數據保護合規治理理念為“一體”,以包含隱私政策在內的數據保護合規計劃、權責獨立的數據保護合規崗位組織體系、從上至下的圖書館全數據保護合規文化、快捷高效的圖書館全數據保護合規技術為“四翼”,通過“一個立足點”和“四個著力點”,進而形成圖書館全流程數據保護合規體系。
4.1 一個立足點:基于風險防控的數據保護合規治理理念
為實現圖書館數據保護的全流程合規,圖書館管理部門與工作人員需要首先樹立起基于風險防控的數據保護合規治理理念。合規意味著一種新型現代公司治理理念和治理方式,正因為從經濟價值至上到社會責任優先這一公司治理理念的變化,現代公司主體才能夠順利地走向合規的道路。對圖書館而言同樣如此。只有當所有相關人員在信念和價值觀的基礎上形成共識,才能實現合規管理的效率。
在此,需要明確的是:建立健全數據保護合規制度體系,對于圖書館而言應當是一項強制性義務還是一項選擇性義務?當前,我國各級圖書館的技術、法務、財力等資源參差不齊,若以統一的高標準來要求,將會造成一些圖書館的制度空轉[26]。因此,本文更傾向于將數據保護合規作為圖書館數據保護的激勵性措施,數據合規是圖書館的一項選擇性義務而非強制性義務。以刑事合規為例,我國學者普遍認為,刑法并不要求合規是強制性的,實施合規并不是一種刑事強制義務,而僅僅是一種刑法激勵條件[27]。在圖書館領域,限于我國當前對于合規強制性規定的欠缺,數據保護合規同樣也不是一項強制義務。
4.2 著力點之一:包含隱私政策在內的數據保護合規計劃
歐盟GDPR要求必須在集團內實施一個有效的合規管理系統,第一步是在集團內部通過一個相關的、有約束力的準則[28]。作為“基本法”的書面的數據保護合規計劃是圖書館實施數據合規的前提,因此,圖書館需要制定既面向圖書館外部又面向圖書館內部的全流程數據合規的相關合規計劃,識別圖書館數據可能面臨的各種合規風險并給出相應的對策。
面向圖書館外部,數據保護合規計劃主要體現在針對用戶的隱私政策和聲明。隱私政策需要明確地展示出圖書館保證讀者在利用圖書館資源過程中個人信息不被泄露或被第三方非法利用而所采取各種措施,在規定公共圖書館的義務與責任之外,也應規定免責聲明,防止其過分承擔法律義務。亦即,在涉及讀者過錯、不可抗力和第三方過錯,且圖書館已盡到合理注意義務和管理職責時,圖書館不承擔損害賠償責任。
面向圖書館內部,數據保護合規計劃主要體現在圖書館數據的內部流程處理規定。通過精心制定的合規協議,各方可以減少合規控制和內部調查中始終存在的數據保護風險。例如,中興公司建立了包括手冊、政策、原則性規范、場景化指引的四級數據保護合規規則架構。員工手冊分為總冊和業務領域分冊,尤其強調引入運營商業務、政企業務、消費者業務等具體業務場景后對總冊進行細化;還分別制定了管理體系類政策、通用要求類政策、專項治理類政策、相關方管理類政策[29]。圖書館可以仿照中興公司的四級數據保護合規規則架構,在圖書館內部制定出完整的數據保護合規制度。
4.3 著力點之二:權責獨立的數據保護合規崗位組織體系
在書面的數據保護合規計劃之下,需要具體的數據保護合規人員對其加以落實,這就促使圖書館制定一套完整的數據保護合規崗位組織體系。歸納而言,數據保護合規組織體系事實上包括合規部門和合規人員兩個部分。
其一,圖書館應當逐漸建立起權責獨立的數據保護合規部門。我國《個人信息保護法》等法律明確規定了信息處理者按照國家規定建立健全個人信息保護合規制度體系的數據合規義務,圖書館也應當審時度勢,設置數據安全保護部門,嚴格落實數據安全保護職責。我國圖書館可以設立處理涉及數據安全問題的專門合規機構,對圖書館信用服務中的數據管理進行監督,為圖書館用戶提供數據權益保護渠道。設置獨立的數據保護部門不僅能夠保護用戶數據不被惡意篡改和非法使用,同時也能夠推動數據保護政策的實施[30]。
其二,圖書館應當逐漸建立起權責獨立的數據保護合規崗位。具有獨立地位的首席數據官或數據合規官的設置,是歐盟合規清單中最重要的一項事務。我國圖書館可以專門設立數據保護專員。圖書館可以立足于我國已有的為科研數據管理而服務的數據館員制度,對其加以升級改造,使數據館員成為具有中國特色的圖書館數據保護合規官。此外,數據保護合規官由圖書館內部高級管理層或合規部門中的工作人員擔任,還是應當由圖書館從外部的律師事務所或審計事務所中聘請,應視圖書館規模和具體情況加以決定。
4.4 著力點之三:從上至下的圖書館全數據保護合規文化
正確的合規性要求形成一種高度的合規文化[31]。合規文化的建設意在表明,數據保護合規并不僅是圖書館本身的責任,而是圖書館組織體從上到下的每一個個體的責任。
一方面,圖書館應當鞏固圖書館內部數據保護合規文化。數據保護合規的基本規范必須在培訓課程/電子學習中傳遞給員工,員工對政策的明確和記錄的承諾可以是這種培訓的一部分,也可以以其他方式進行,例如作為雇傭合同的一部分。與此同時,員工必須能夠在緊急情況下直接和保密的與舉報人溝通,如果有必要也可以“繞過”他們的上級(舉報人制度)。通過這條通往舉報人的“熱線”,然后也可以將信息直接匿名地提供給合規官員。
另一方面,圖書館應當形成圖書館行業數據保護合規文化。合規文化的規范性描述往往是通過對某些企業價值觀的承諾發生的,如信任、寬容、透明、尊重、對話、可靠、誠實、公開、正直、紀律、客戶導向、創新等。而這些價值觀承諾在圖書館行業領域可以共同加以遵守和維護。依托于現存的圖書館聯盟,圖書館可以構建行業數據保護合規文化。
4.5 著力點之四:快捷高效的圖書館全數據保護合規技術
圖書館全流程數據保護合規,意味著在產品和服務的設計之初以及業務開展全流程貫徹數據保護要求。對圖書館而言,在數據保護合規的過程中,還需要借助快捷高效的數據保護合規技術來保障個人數據收集的真實有效與其他數據利用的隱秘安全。
一方面,圖書館可以自行設計開發相關的圖書館數據同意管理平臺、防泄露保密系統等數據保護合規技術。簡潔上層的法律要求可以具化為繁雜且嚴格的下層技術細則,圖書館可以通過使用數據保護管理軟件統一推出流程,實現標準化,使統一報告成為可能,并在整體上有效地減少風險。
另一方面,圖書館可以借助于第三方開發的數據合規技術,引入數據保護管理軟件,搭建圖書館全流程數據保護合規的技術防線。不得不提醒的是,數據合規科技也要安全合規。作為新媒體服務的直接提供方,圖書館所采用的第三方數據保護合規技術如果對數據安全產生威脅,圖書館是最直接的損害賠償者。因此,在與第三方數據合規科技公司開展合作之時,圖書館務必要進行全方位的考察。
5 結語
博爾赫斯曾言:“我心里一直都在暗暗設想,天堂應該是圖書館的模樣。”[32]云時代下,圖書館日益從大地走向云端,包含個人數據、平臺數據、政府數據等在內的各類數據也日益面臨著安全風險。在此背景之下,借鑒國外圖書館的數據保護實踐,我國圖書館也需要構建起具有本土特色的數據保護合規體系。以“數據保護合規治理理念”為立足點,以“包含隱私政策在內的數據保護合規計劃、權責獨立的數據保護合規崗位組織體系、從上至下的圖書館全數據保護合規文化、快捷高效的圖書館全數據保護合規技術”為著力點,構筑起“一體四翼”的數據保護合規體系,能為我國圖書館的數字化轉型與全數據保護提供一條可行路徑。
參考文獻:
[1]朱利華.云時代的大數據技術與應用實踐[M].沈陽:遼寧大學出版社,2019:1.
[2]Huang Kun.Information Security Problems and Solutions in Cloud Era.Journal of Physics: Conference Series,2021(1):012005.
[3]嚴昕.公共圖書館數據治理框架構建研究[J].圖書館,2020(5):58-63.
[4]Zeadally S,Badra M.Privacy in a Digital, Networked World:Technologies, Implications and Solutions[M].Berlin:Springer,2015:38.
[5]張衠.大數據時代個人信息安全規制研究[M].上海:上海社會科學院出版社,2020:172.
[6]王倩,顧雪瑩.GDPR下涉歐企業的員工個人數據合規管理[J].德國研究,2021(2):117-131.
[7]敬力嘉.個人信息保護合規的體系構建[J].法學研究,2022(4):152-167.
[8]陸涵之.滴滴被罰80.2 6億元[N].第一財經日報,2022-07-22(A04).
[9]Anonymous.Privacy Article Added to Library Bill of Rights[J].American Libraries,2019(5):34-37.
[10]王家玲.智慧圖書館模式下讀者隱私技術保護研究[J].圖書館雜志,2017(9):82-88.
[11]ALA.Implementation of Privacy Policies and Procedures[EB/OL].[2022-09-01].http://www.ala.org/advocacy/privacy/toolkit/implementation.
[12]Library of Congress.Website User and Online Collections Privacy Policy[EB/OL].[2022-09-01].https://www.loc.gov/legal/privacy-policy/.
[13]New York Public Library.The New York Public Library Privacy Policy[EB/OL].[2022-09-02].https://www.nypl.org/help/about-nypl/legal-notices/privacy-policy/zh-cn.
[14]Art.4 GDPR [EB/OL].[2022-09-04].https://gdpr-info.eu/art-4-gdpr/.
[15]相麗玲,王秀清.中外數據保護官制度分析及啟示[J].情報雜志,2021(6):137-142.
[16]張遠煌.企業合規全球考察[M].北京:北京大學出版社,2021:232.
[17]Staatsbibliothek zu Berlin.Datenschutzerkl?倞rung nach der DSGVO (Privacy Policy) für staatsbibliothek-berlin.de[EB/OL].[2022-09-05].https://staatsbibliothek-berlin.de/extras/allgemeines/impressum/datenschutz-privacy-policy-1.
[18]Universitln.Datenschutzerklrung der Universit[EB/OL].[2022-09-05].https://portal.uni-koeln.de/datenschutz.
[19]阿蘭·沃森.法律移植論[J].賀衛方,譯.比較法研究,1989(1):61-65.
[20]約翰·森繼,弗蘭克·Y.王,凱倫·格拉維爾·達菲.社區心理學[M].曾守錘,史江英,何妮娜,譯.上海:上海教育出版社,2020:365.
[21]朱祖平,曾國鎮,朱睿劍.數字經濟下平臺型組織變革對員工創造力的影響研究[J].東南學術,2022(4):188-197.
[22]歐陽劍.泛在信息環境下圖書館信息資源組織研究[M].北京:知識產權出版社,2015:37.
[23]鄧杰明.讀者個人信息的保護:以《公共圖書館法》第四十三條為視角[J].圖書館研究,2019(3):14-20.
[24]張璁.把準適用條件 促進守法經營(法治聚焦)[N].人民日報,2022-07-14(14).
[25]Alexander Jung.Datenschutz-(Compliance-)Management-Systeme-Nachweis- und Rechenschaftspflichten nach der DS-GVO[J].ZD,2018(5):208-213.
[26]李雪健.大數據時代讀者個人信息保護范式的應然選擇[J].圖書館理論與實踐,2022(4):76-86.
[27]李曉龍.數字化時代的網絡金融刑事合規[J].南京大學學報(哲學·人文科學·社會科學),2021(5):97-111,159-160.
[28]Patrick Radner.IT-gestütztes Compliance Management System (Datenschutz) in einem Konzern[J].CCZ,2020(6):362-364.
[29]《中興通訊隱私保護白皮書(2020)》[EB/OL].[2022-09-07].https://www.zte.com.cn/china/about/trust center/Legal-and-Compliance/201901230922/202004031553.
[30]陸和建,張思琪.信用服務下圖書館構建用戶信息保護機制的若干思考[J].圖書館學研究,2019(5):14-18,79.
[31]Falk Müller.Die Vielfalt der Compliance ffentlichen Dienst[J]AT,2022(1):1-4.
[32]沈娟.光影圖書館[M].北京:中國戲劇出版社,2017:3.
作者簡介:
劉夢(1999— ),女,博士研究生,東南大學網絡安全法治研究中心研究人員,江蘇省檢察院與東南大學合作共建企業合規檢察研究基地特約研究人員。研究方向:刑事法學、圖書館學。
