高校图书馆情景敏感服务中的用户隐私保护研究*
2015-02-13贾聪聪李思艺
袁 静 贾聪聪 李思艺
(郑州大学信息管理学院 河南郑州 450001)
随着移动定位技术和无线通讯网络的发展,一种新型的基于移动终端位置的服务得到广泛应用,即位置敏感服务。与此相应的还有时间敏感服务、设备敏感服务、活动任务敏感服务等。位置、时间、设备状况、活动任务等描述的都是用户所处的情景状态,因此基于这些信息提供个性化的服务都属于情景敏感(Context-aware)服务。用户情景敏感服务作为个性化信息服务的一种,已不再是只考虑用户的兴趣和偏好,而是根据用户接受服务当时当地的具体情景信息自适应地提供用户所需的服务。[1]用户在享受便捷服务的同时,也面临着个人隐私泄露风险。随着情景敏感服务在图书馆领域的逐渐开展,用户的隐私安全问题也成为高校图书馆提供服务时需要重点关注的内容。
1 相关研究概述
基于位置的服务(Location-based service, LBS)作为情景敏感服务的一种,是目前应用最广泛、也是最容易实现的。位置信息作为一种特殊的用户隐私信息,能否得到妥善保护将成为LBS服务能否进一步普及的主要原因,因此受到国内学者的关注。何泾沙等在传统二维访问控制模型分析的基础上,为了满足对位置隐私信息进行保护的特殊需要,提出了一个新的三维访问控制模型,即由主体(提出访问请求的用户)、客体(隐私信息)、隐私相关者(隐私信息所涉及的相关用户)三个因素共同确定主体是否拥有对客体的访问权限。[2]陈玉凤等从技术上提出一种基于博弈分析思想的用户协作的位置隐私保护方法,即通过用户协作产生匿名组,以匿名组的密度中心作为锚点代替真实位置发起查询,同时根据用户的不同位置隐私需求,通过设置不同的隐私保护参数水平,达到不同的匿名保护效果,并且采用改进的增量查询方法提高近邻查询效率。[3]毛典辉等提出一种基于用户协作的自适应情境的位置隐私保护方法,即移动用户消费LBS服务时,需从服务提供商处实时下载“粗糙化”的路网数据,并以此为基础,通过情境感知自主模糊个人真实位置,然后选择具有互助意愿的代理用户进行自适应情境的增量近邻查询。[4]
国外学者针对情景敏感服务中的用户隐私保护主要是从访问控制和身份验证两个角度提出了技术解决方案。Urs Hengartner等介绍一种访问控制算法来避免情景敏感服务造成的隐私侵犯问题,该算法提出访问权限图和潜在约束两个概念,在此基础上提出一个分布式的、基于证书的访问控制架构,给出了两个示例应用,并进行了效果评估。[5]Sheikh I Ahamed等指出,普适计算下开放、动态的协作环境使得传统的基于角色的访问控制模型已经过时了,因此提出一个基于信任的访问控制模型解决泛在保健卫生环境下信息泄露导致的隐私侵犯,该模型适用于手机、PDA等小型设备的隐私保护。[6]Kui Ren等指出隐私和安全是泛在计算环境(PCE)下两个重要而且看似矛盾的客观存在,并提出一个新型的隐私保护身份认证和访问控制方案,来保障PCE环境下移动用户和服务之间的交互,该方案无缝集成了两个加密基元,即盲签名(blind signature)和散列链(hash chain),给用户和服务商之间提供了明确的相互认证,同时允许用户以匿名方式与服务商进行交互。[7]Jalal Al-Muhtadi等提出智能空间中一个集成的、情景敏感的安全方案Cerberus,该安全机制集成情景感知和自动推理来执行泛在计算环境下的认证和访问控制,并且支持多层次认证。[8]
由上可知,国内外主要是从技术角度探讨了情景敏感服务中的用户隐私保护问题,提出了一些新的解决方案。关于图书馆中的用户隐私保护研究,国外不仅注重立法,更注重技术手段以及图书馆员在实践中所采取的措施。国内则主要从法律、技术、自律等方面提出隐私保护策略。而专门针对图书馆情景敏感服务中的用户隐私问题进行系统的研究还很鲜见。
2 高校图书馆情景敏感服务中的用户隐私问题
2.1 隐私权和图书馆用户隐私
隐私权是公民享有的私生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。简言之,隐私权就是指个人对其私生活安宁、私生活秘密等享有的权利。[9]图书馆用户隐私主要包括用户活动的隐私和用户信息的隐私。用户活动隐私是指在不违反法律和规章制度的情况下,用户自由使用服务设施和享受服务的个人活动不受监视和限制。用户信息隐私是指用户为更方便的利用设施和享受个性化的服务所需要向服务商提供的有关个人的信息,其中可能包括个人的基本信息和个人的兴趣爱好等信息,有些信息涉及用户不宜公开的隐私。
2.2 情景敏感服务中涉及的用户隐私内容
高校图书馆情景敏感服务是以用户为中心,根据用户情景信息的变化建立一种自适应调整机制,通过自动感知获取用户所处的情景信息(如时间、地点、人物、活动、任务等)自动发现用户需求,将图书馆服务嵌入用户的活动任务过程中,实现图书馆空间与用户空间的融合。情景敏感服务的提供以情景信息的获取为基础,情景信息是描述用户所处状态和情形的任何信息,它具有来源广泛、范畴宽泛、类型多样等特征,而获取用户的情景信息必然涉及用户隐私内容。高校图书馆情景敏感服务的对象是教师和学生,其中涉及的用户隐私内容主要包括以下几个方面:(1)用户基本信息。主要包括性别、年龄、学科专业、机构、课程、QQ或邮箱地址等联系方式、认知能力、学科专长、习惯偏好等。(2)用户行为情景信息。具体包括用户的位置信息、查询信息、借阅信息、网络状况信息等。这部分内容记载了用户在何时、何地、通过何种方式、实施了何种行为,如借阅了哪些图书,检索、浏览、下载了哪些信息内容等,这些直接反映了用户的实时活动状况。(3)用户社会关系信息。情景敏感服务的提供不仅考虑用户所处的物理环境信息,还要考虑周围的朋友、附近的人,绘出用户社会关系网,以实现协同推荐。用户希望通过移动网络服务的自动推荐功能发现有共同兴趣爱好的新朋友,因此用户社会关系信息的获取也会涉及用户的隐私。
高校图书馆在用户情景信息的收集、传输与利用等环节都会涉及到用户隐私内容。(1)情景敏感服务的即时性、动态性要求实时获取用户个人信息,为了保证服务的时效性,图书馆需要通过用户注册、RFID、传感器、移动定位技术等多种方式,实现对用户静态信息及其相关时空动态信息的获取,而这些信息恰恰准确、适时地反映了用户个人敏感数据和实时动态。(2)由于无线网络安全技术尚未发展完善,现有的安全技术还不能有效抵御全部的黑客、病毒入侵,因此通过移动终端等智能设备所获取的用户情景信息可能会在传输与利用过程中存在一定的泄露风险。
2.3 情景敏感服务中用户隐私保护的新要求
移动泛在环境下出现的新问题给高校图书馆情景敏感服务中的用户隐私安全保护提出了一些新要求。(1)安全服务本身必须是“动态”、“无处不在”、“非侵入式的”、“透明的”。泛在的网络环境要求服务提供者能够随时随地提供安全服务,这种服务要建立在双方同意的基础上,还需要保证一定的透明度。(2)安全服务必须是多层次的。用户的隐私安全受多种因素制约,其中包括服务商提供的安全策略、享受服务时的环境状况和资源的可利用性,因此服务提供者需要结合这三者的状况提供不同层次的安全服务。(3)安全服务系统必须支持安全策略语言。任何系统都需要有自己可以识别的语言,安全系统也不例外。安全系统需要能够识别描述性的、定义良好的、灵活的安全策略语言,这些语言应该能够融入丰富的情景信息和物理安全意识。[10](4)安全服务的开展需要更先进的技术支持。无线网络本身的不稳定性、移动终端设备本身的安全隐患都给隐私保护提出了更高的要求,因此安全保护需要更高的技术支持。(5)安全服务需要更高的自我保护意识。由于情景敏感服务需要实时获取用户动态信息,隐私泄露风险更大,因此用户和图书馆员更应提升隐私保护意识,采取有效的保护措施。
3 高校图书馆情景敏感服务中的用户隐私保护机制
3.1 情景敏感服务中用户隐私保护的范围界定
高校图书馆在开展情景敏感服务过程中,应该将保护用户隐私和提高服务质量放在同等重要的位置。只有构建有效的用户隐私保护体系,用户才会放心地享受图书馆提供的情景敏感服务。高校图书馆情景敏感服务的提供需要获取各种用户情景信息,这些信息大体可以分为显性信息和被挖掘出来的隐性信息。这两类信息都是高校图书馆用户隐私保护的范围。显性信息包括用户的姓名、年龄、性别、电话、专业、所在院系、个人偏好、地理位置、应用系统、网络状况等。被挖掘出来的隐性信息包括用户的行为模式、行为习惯、社会关系网络等。高校图书馆在开展情景敏感服务中,为了更好地保护用户隐私,需要注意以下几点:(1)用户许可。获取用户信息必须在与用户协商沟通的基础上,经过用户的许可才能进行,即用户同意图书馆跟踪获取用户情景数据以获得个性化的服务。(2)合理合法。在收集用户情景数据的过程中,所采用的方法、途径必须是合法的、合理的,对于为了提高服务准确性确实需要获取的信息才收集,对于与开展服务无关的信息则不要收集。(3)目的正当。高校图书馆必须将用户信息数据用于正当的服务提供中,不能打着提供服务的幌子来谋取利益或将其泄露给第三方。(4)保障安全。高校图书馆必须采取各种有效的安全技术和严格的安全管理防止用户个人信息被破坏、更改、泄露,确保用户信息的安全性。
3.2 情景敏感服务中的用户隐私保护机制构建
目前国内外关于情景敏感服务中用户隐私保护的研究多是从技术上提出新的解决方案,但是技术并不能解决所有的问题。由于高校图书馆情景敏感服务中涉及的用户隐私信息内容广泛、隐私泄露途径多样,如用户泄露、移动终端泄露、服务提供商泄露、图书馆泄露、数据被窃取泄露、黑客攻击泄露等。因此用户隐私的保护更加复杂,需要综合考虑各种因素、采用多种方式协同构建隐私保护体系。从宏观、中观、微观三个层面和技术、管理两个维度构建用户隐私保护机制,相辅相成,共同构成用户隐私保护的完整体系。
3.2.1 宏观层面:制定国家法规政策
法律是保障公民隐私权最有力的工具。对于个人信息的保护和合法利用,国外先后出台了相关法案。如,欧洲理事会1980年颁布了《有关个人数据自动化处理的个人保护协定》,欧盟1995年出台了《个人数据保护指南》,日本2003年发布了《个人信息保护法》等等。[11]我国于2013年2月1日开始实施首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》,该标准最显著的特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。因此,图书馆在采集、使用用户隐私数据时,应自觉遵守国家的相关隐私保护法律规定。Coombs指出除了开发相应的技术和措施保护用户隐私外,图书馆用户隐私保护更重要的是有法可依,并提出制定有效的隐私政策应注意的关键点,指出隐私政策不仅仅是一个书面文件,而且是动态发展着的有机体。[12]国外对图书馆用户隐私的保护政策发展比较完善,如1978年,《图书馆记录机密法》作为全美第一部关于信息服务隐私权的州立法颁布,明确规定“图书馆的流通记录以及其它可识别图书馆用户姓名的记录属于机密”,并对这些记录的使用和披露条件制定了具体细致的规范。[13]我国可以借鉴国外隐私保护政策制定的经验,结合本国国情,制定出相应的法规政策保护用户隐私,从而推动图书馆服务的深入发展。
3.2.2 中观层面:建立社会行业标准规范
美国图书馆协会历来重视读者隐私权的保护,出台了一系列政策确保读者隐私权的实现。如《职业道德规范声明》、《美国图书馆协会的伦理守则》、《网络化世界中图书馆的原则》等。[14]在美国,绝大多数州立的公共图书馆的网站上均将用户的隐私保护政策列在显著位置。有的是在其网站主页上直接以隐私政策或隐私条款的方式显示,有的是在图书馆相关的指南、政策或规章制度的页面上显示。目前我国图书馆界相关政策中没有对隐私权的保护进行详细论述,在图书馆的规章制度中也没有具体说明如何保护用户隐私、用户隐私保护的内容和范围、用户的权利等。[15]图书馆作为提供服务的主体,应该依据国家法规体系建立完善的用户隐私保障制度规范,坚守行业自律,建立隐私保护屏障,加强访问控制和用户权限管理,根据用户需求,有针对性地开展情景敏感服务。首先,图书馆应该制定专门的《图书馆用户隐私保护制度》,明确界定用户的隐私范围和等级,对用户的权利和义务做出相应的规定。其次,图书馆可以借助新媒体对用户隐私保护进行宣传,开展各种教育活动,让用户明白自己在享有权利的同时,也应该履行一定的义务。最后,当用户的隐私权受到侵害时,要能够及时运用有效手段进行维权。我国图书馆在制定行业政策时,可以借鉴国外行业标准规范中的内容,结合国内图书馆政策发展制度,制定适合国情的图书馆行业标准规范。
3.2.3 微观层面:强化用户和图书馆员隐私保护意识
高校图书馆开展情景敏感服务首先必须获取用户个人情景信息。用户自身应加强个人隐私保护意识,明确图书馆获取个人信息的目的和用途;图书馆也应该通过不同的方式教育用户树立个人隐私保护观念,告知用户哪些环节可能涉及信息泄露。图书馆应制定明确的用户隐私保护政策并在网站主页明确标出有关隐私政策的声明链接,告知用户图书馆将使用何种方式收集用户信息,收集的范围以及如何利用,对收集的用户信息做出安全承诺,告知用户所拥有的权利,如随时允许或拒绝收集个人资料、对个人资料进行查询、更正或删除。此外,用户在利用移动终端等设备享受图书馆提供便利服务中,应该及时对自己留下的信息行为等痕迹定时清除,建立自我控制、自我选择、自我保护机制。对于高校图书馆员来说,在为用户提供高效便捷服务的同时,也应该强化其对用户隐私的保护意识和保护自觉性,遵守职业道德,按照《中国图书馆员职业道德准则》严格要求自己,遵守纪律,保守机密,努力实现图书馆“维护读者权益,保守读者秘密”的目标和原则。
3.2.4 技术维度:构建安全的信息服务环境
高校图书馆情景敏感服务主要依托无线通信、移动网络技术来开展,最终在移动终端上为用户提供即时所需的服务,在整个服务过程中都会带来用户隐私的泄露,因此有必要加强对移动终端设备的管理。图书馆提供个性化服务中很多侵犯用户隐私权的现象都不是自愿发生的,而是跟信息保护技术存在的漏洞有关。以智能手机为例,Android系统已经成为智能手机市场的重要发展趋势,但是,用户在享用图书馆服务时,移动终端App软件也会同时记录用户的信息行为,一旦这些数据遭到泄露,被营利机构所获取,就会侵犯用户的隐私权。移动终端作为连接图书馆和用户之间的纽带,在防止用户隐私泄露中起着关键的作用。因此,应该采取隐私监控、黑白名单、数据加密和用户设置等多种技术手段确保移动终端的安全。[16]此外,还应借鉴国内外针对情景敏感服务中用户隐私保护提出的新技术解决方案,加强访问控制、身份验证、用户权限管理等。首先,要对网络环境进行严格监管,图书馆应采用网络防火墙等措施防止内部信息受到外界的非法侵入,为用户提供一个安全的网络服务环境;其次,对用户身份进行严格控制,通过匿名技术、身份认证技术、访问控制技术等过滤用户群体,规范用户的信息行为,为用户隐私保护建立一道可靠的屏障。
3.2.5 管理维度:建立隐私等级管理策略
图书馆在开展情景敏感服务中应该借鉴国外的经验和教训,积极融入国际网络隐私权保护体系中,建立隐私等级管理策略。首先,应对用户的数据信息规定秘密等级,哪些属于一般隐私,即使丢失或泄露也不会给用户带来太大威胁;哪些属于重要信息,一旦丢失或泄露后果将很严重。其次根据隐私等级,运用云计算技术进行分区存储,隐私等级高的存储在重要分区,隐私等级低的存储在一般分区,对用户隐私实施专门区别对待。美国图书馆界对于读者隐私权的保护在管理工作上做的比较到位,美国图书馆协会在《图书馆员伦理准则》中提出:“图书馆员应当将与用户交互时所获得的信息视为机密,这是图书馆员的责任”。在读者借阅的各个环节均从技术和制度上保证用户的隐私权不受侵害,提高管理的透明度,使得用户能够明确其在图书馆享有的权利和义务,放心地使用图书馆提供的信息服务。
4 高校图书馆情景敏感服务中用户隐私保护需要关注的问题
4.1 用户隐私保护与图书馆服务之间的关系平衡
隐私保护是一个涉及法律、组织和技术等多方面因素的复杂问题,在制定保护机制时必须平衡各方面的利益,尤其是用户隐私保护与图书馆服务提供之间的关系平衡。为了向用户提供情景敏感的个性化服务,必然要广泛获取用户信息,这与隐私保护看似冲突,其实并不矛盾。图书馆作为提供情景敏感服务的主体,为了提供更好的信息服务,可以在征得用户同意之后,对用户信息进行合理的获取、挖掘、利用。用户作为享受服务的客体,在明确图书馆收集个人数据使用目的后,可以根据自愿原则接受图书馆的行为,但是不能以强制拒绝的态度否认图书馆的服务,两者应明确自身的权利和义务。“图书馆馆员应该同用户之间建立起一种类似于医生和病人或者是律师和被代理人之间的关系,图书馆员在保护用户隐私的同时,还要能够继续为用户提供个性化服务。”[17]
4.2 用户隐私保护的有效性评价
对用户隐私保护有效性进行及时评价,可以发现系统漏洞和隐私保护机制的不足以便采取改进措施,从而降低用户隐私受到侵犯的机率。具体操作时,可以通过建立隐私保护有效性评估模型和评估内容体系,从图书馆和用户两个角度进行综合评估。图书馆角度的评价可以从图书馆隐私保护政策是否清晰、明确,是否对用户隐私保护进行了有效的宣传,图书馆员在开展服务工作中是否遵循了用户隐私保护的要求,采用的技术措施是否完善、是否存在安全漏洞,是否对用户隐私数据进行了分级管理等方面进行考察。用户角度的评价可以采用问卷调查、用户访谈等方式,由用户对在享受图书馆情景敏感服务中所体验到的隐私问题进行评价,内容包括图书馆获取用户情景信息是否经过了用户同意,收集工作是否给用户的工作、学习带来了不便和干扰,有没有用户隐私泄露或侵犯的情况,用户是否有权访问、控制、管理自身的隐私信息等。
4.3 用户隐私数据的定期清理
一般而言,图书馆保存的用户个人数据不得超过实际需要的期限,因此图书馆应对收集的用户个人信息进行定期清理。高校图书馆的服务对象主要是教师和学生,对于学生离校或毕业后,图书馆应及时将用户数据清理掉,防止用户信息的泄漏。对于教师,如果有工作调动或退休的情况,应及时将与教师有关的个人信息进行清理。对于长期在学校工作的教师,随着时间的推移,用户的情景记录数据会不断更新,如当原有的科研项目完成结项、以及申请到新的科研项目时,教师的科研需求就会发生改变,图书馆也需要实时更新用户的需求信息,将早期存储的不需要继续保存的数据予以删除、销毁,以防止用户数据被他人获取。
5 结语
用户隐私保护一直都是信息服务领域关注的热点之一。泛在网络、移动计算、物联网等信息技术的逐渐成熟,催生了情景敏感自适应移动服务这种新的服务模式,随之而来的一系列安全、用户隐私保护等问题也变得日趋复杂。移动图书馆如何以一种安全、高效、隐私友好的方式,实施并开展情景敏感服务是服务成功需要考虑的重要问题,也是这种新的服务模式能否在图书馆中得以有效推广和广泛应用的关键所在。情景敏感服务是高校图书馆未来的发展方向与趋势,构建系统、全面、有效的用户隐私保护体系是服务提供的重要内容,也是值得深入研究的课题。
(来稿时间:2014年6月)
1.李书宁. 用户情景敏感数字信息服务的概念模型. 图书情报工作,2011(7):45-49
2.何泾沙,徐菲,徐晶. 基于位置的服务中用户隐私保护方法. 北京工业大学学报,2010(8):1130-1134
3.陈玉凤,刘学军,李斌. 基于博弈论的用户相互协作的位置隐私保护方法. 计算机科学,2013(10):92-97
4.毛典辉,蔡强,李海生等. 用户协作模式下自适应情境的LBS隐私保护方法. 四川大学学报(工程科学版),2013(4):124-130
5.Hengartner U, Steenkiste P. Avoiding privacy violations caused by context-aware services. Pervasive and Mobile Computing,2006(2):427-452
6.Ahamed S I, Talukder N, Haque M M. Privacy Challenges in Context-sensitive Access Control for Pervasive Computing Environment. In Proceedings of the 4th Annual International Conference on Mobile and Ubiquitous Systems: Computing,Networking and Services (MOBIQUITOUS 2007) Workshop
7.Ren K, Lou WJ, Kim K, et al. A Novel Privacy Preserving Authentication and Access Control Scheme for Pervasive Computing Environments. IEEE Transactions on Vehicular Technology, 2006,55(4):1373-1384
8,10.Al-Muhtadi J, Ranganathan A, Campbell R, et al.Cerberus: A Context-Aware Security Scheme for Smart Spaces. In proceeding of Pervasive Computing and Communications,2003 [2014-05-27].http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.13.2802&rep=rep1&type=pdf
9.彭万林. 民法学. 北京:中国政法大学出版社,1994:161
11.许春漫. 试论数字图书馆个性化服务中的个人信息保护. 图书情报工作,2008(3):135-138,56
12.Coombs K A. Protecting User Privacy in the Age of Digital Libraries. Computers in Libraries, 2005, 25(6):16-20
13.周武华. 当代图书馆信息服务中的隐私权及其保护.图书馆建设,2007(4):49-52
14.郭华. 美国图书馆协会与读者隐私权的保护. 图书馆学研究,2009(12):75-77
15.廖璠,黄丹珠.国外图书馆用户隐私保护理论与实践进展研究. 情报理论与实践,2012(4):120-123,128
16.吴剑华,莫兰芳,李湘. Android 用户隐私保护系统.信息网络安全,2012(9):50-53
17.Trina M. A study of US library directors’ confidence and practice regarding patron confidentiality. Library Management,2008,29(8/9): 746-756
