边倩（吉林省图书馆，吉林长春130021）

微服务背景下图书馆用户信息保护研究

边倩
（吉林省图书馆，吉林长春130021）

[摘要]由于移动图书馆服务的兴起和微信息环境的发展，复杂而庞大的宏信息结构正在变为易于接受的碎片式微信息。在这种形势之下，读者个人隐私信息发生泄露的危险很大，图书馆在开展微服务时应当重视对用户信息的保护工作。分析了图书馆微服务的理念与意义，指出用户信息保护的针对性策略。

[关键词]微服务读者个人信息信息保护

[分类号]G252.0

伴随移动互联网时代的来临，各类社交网络及移动类服务俨然成为活力无限的互联网主营业务。4G网络、移动无线网及智能终端等新兴词汇正在无形中改变着人们的观念及上网方式，微博、微信等信息传播方式使人们步入到了微时代。与此同时，用户个人隐私信息也更容易发生外泄。如何缓解这一问题，实现微服务的正规化、安全化，是相关部门与工作人员应探讨的重点问题。

1基本理念

图书馆网络历经多年数字化发展，已经具有了积极开展和拓宽微服务的能力，很多图书馆均在不同程度地应用微博、微信等平台进行微服务。根据一项调查结果显示：截至2013年末，我国所有的省一级图书馆均开通了官方微博、微信，而其他各类图书馆开通微博、微信也达到了65%以上。

1.1微服务的理念

在微时代来临以前，位于上海的赞禾公司就曾经提到过一种独特的营销理念，即全构架与微服务并举[1]，主要针对中小企业进行个性化服务。在当时（2002年），不管是行业内部还是学者专家，均未曾对微服务理念进行深入探讨，一直到微时代真正来临，微服务才为世人所瞩目。而微服务理念的贯彻应用则依然是一个方兴未艾的话题。对于图书馆来说，始终没能给微服务下一个统一的定义。笔者认为，可以将其定义为：在微时代环境中，图书馆将用户视作工作核心，依靠各种媒体信息技术，借助方便快捷的通讯设备，给读者用户提供细致化与个性化服务。微服务摒除了传统意义上的宏服务模式，给用户提供更富有细节感的个性化服务，它把图书馆的整条服务链予以拆分，使之还原到各自服务单元，明确每个服务单元在目标及标准上的内容。当然服务链分解并非表明各服务单元的各行其是，图书馆服务工作的基本目标是统一的，服务理念也没有出现拆分现象，各单元（如图1所示）需要共同支撑微服务综合框架[2]。

图1　微服务范畴

1.2个人信息保护的作用

1.2.1维护用户权益

在富于细节特点的服务过程中所收集到的个人信息，是数字图书馆同读者用户间的隐私，可是在如今的信息化环境之中，个人信息非常具有资源诱惑性，一些不法分子极有可能因为潜在利益的驱动，利用各种不正当方法获取个人信息，并且对其随意篡改使用，以图非法牟利，这使得用户正常的工作生活受到极大影响与威胁。为了使个人信息处理工作得到规范，确保用户对其自身信息所享有的控制权利不被他人随意占有，很多国家都制定形成了与个人信息保护有关的法律法规。比如早在1980年，欧洲理事会即制定颁布了《个人数据处理保护协定》，而日本于2003年开始实施《个人信息保护法》等[3]。我国也已经开始关注这一问题，正研究制定《个人信息保护法》，从法理上看，凡是涉及侵犯他人信息的做法，均应当承担相应的民事责任甚至刑事责任。在这样的背景下，图书馆进行微服务时如何保护用户个人信息，应当成为一个首先要解决的问题，以便使服务更能实现维护读者利益、确保读者隐私的效果。

1.2.2发挥服务功能

微服务的开展，给图书馆服务质量的提升带来了无限可能，传统意义上的人找信息已经转化为新兴的信息找人、按需供应，可以满足读者用户的各类需求。若是图书馆在开展此类服务时无法做到恰当保护个人信息，就可能造成个人隐私性信息的外泄，导致用户利益受损等情况出现，用户自然会对图书馆所开展的服务产生敌视心理。所以，只有做好用户个人信息保护工作，使读者用户同图书馆建立必要的尊重与信任，才能让老客户心态平衡、新客户主动加入，实现服务功能的扩大化。

2微服务对用户信息的可能侵害

从技术层面上来看，图书馆聚合与推送微内容已经达到了相对成熟的状态，图书馆进行用户需求信息嵌入工作，做好个性化信息服务等已经没有什么大的技术障碍，尤其是因为云技术的发展，资源及服务空间等项内容交流更加顺畅。然而就像周鸿祎曾经说过的那样：“产品不可能是完美的，它只能无限接近完美。”在接近完美的过程中，微服务工作中还存在着一些瑕疵，其中亟须改正的就是关于用户信息保护的问题。应该说，方便快捷的微服务既给读者用户带来方便，也对个人信息造成了诸多隐患，可以将隐患分成内外两个类别，其中内部威胁出自图书馆与读者用户，外部隐患出自网络问题等行为。表1为我省某图书馆所做的个人信息保护工作纰漏统计，从中能够显示出微服务背景下用户信息存在的安全隐患来源。

表1　图书馆个人信息保护工作纰漏统计

2.1内部隐患

首先是图书馆方面，对读者用户信息过量收集是其中的主要问题，收集读者用户信息的作用是显而易见的，可是有一部分图书馆却存在过量收集信息的问题，且没有给读者一个明确的交代：这些信息资料将用于何处[4]。这是一个非常明显的隐患。而对个人信息数据的管理不当问题同样不容小视，微服务过程中，利用到联机公共检索系统的机会很多，有些工作人员缺少隐私保护意识，设置系统时把借阅文献用户的信息当作公用信息进行发布，而有些图书馆将用户初始密码直接设置为空，若读者不及时更改，则其个人信息极容易为他人获取。再者，极个别图书馆有把读者用户信息出卖以获取非法利益的现象存在，信息到了第三方（如网上书店或者出版社等），是对个人信息隐密性的严重损害。其次是读者方面，在微服务背景下，用户愿意分享自己身边的事件，他们既关心个人隐私，又常会做出外泄个人隐私的事情，这是一个难以解决的悖论。比如用户可能在社交网站里面上传借阅历史，把自己在图书馆里面的照片发到微信之中等，这些做法都是存在安全隐患的。

2.2外部隐患

首先是网络安全问题，多样化的网络安全问题对用户个人信息是非常严重的威胁，一是有线网络中的各种木马程序、黑客软件、病毒等容易拦截与篡改服务器里的用户基本数据。二是无线网络里面的隐患，像WiFi未能做好安全防范等，都容易造成信息被意外截获。三是智能终端的可能漏洞[5]，如安卓智能手机中的远程植入程序，可能使用户数据受到恶意的远程下载。

其次是第三方的非法收集问题，在微环境之中，图书馆第三方有数据库供应方、系统供应方等，现在很多数据供应商均把个性功能向检索接口处延伸，读者用户使用个性功能时，被要求提供姓名、电话等个人信息，这些供应方设置了隐私政策，但却无法达到理想标准，针对个人信息的自主控制不够完善，他们可能或者有意或者无意地把信息应用到商业环境之中。

3微服务中用户信息隐患的化解策略

就目前来讲，国际上对于用户个人信息保护方面主要利用了两类工作模式：其一是以欧盟国家为代表的借助法律进行规范的模式，其二是以美国为代表的借助行业自律进行监管的模式。前一种模式利用立法对个人信息加以保护，从法律层面解决个人信息保护难题，而后一种模式则通过行业内的自律措施达到理想效果。两种方法各有利弊。笔者认为在微服务背景下，图书馆内部借助完善的法律体系加以约束，并达到自律的措施制定效果，同时还要保证用户自我保护意识，用三重防线为个人信息保护构筑壁垒，才能让用户在享受服务的同时得到安全保障。具体有下述几项工作要做（如图2所示）。

3.1自我保护

读者用户需要建立形成自我控制与自我防范的综合化保护体系，主要是借助技术方法对个人信息进行管理，比如利用匿名注册、假名注册等方法，并及时对网站Cookie进行删除。与此同时，用户应当做好自我选择工作，也就是主动对图书馆隐私保护内容加以了解，明确图书馆或者第三方会获取哪些信息，获取这些信息的方法是什么、目的是什么等。

读者用户需要关注隐私保护方面的知识，防止外泄个人隐私性信息，掌握一定的个人信息保护策略，比如不去下载那些含有潜在危险的APP；不去使用不正规的WiFi地址；利用加密技术实现文件传输；不随意将个人信息留在社交网络之中；在电脑、手机里面安装杀毒软件等。

而关于用户自我保护的问题，图书馆方面也应做出积极回应，比如沈阳师范大学图书馆所开展的微讲座活动即取得了很好效果，该图书馆经常定期或者不定期进行涉及网络安全的微讲座，得到读者用户的普遍赞誉。笔者设想，若是把这部分微讲座内容加以整理，选择恰当的契机在各大图书馆推广，相信效果会非常理想。

图2　个人信息保护框架模式

3.2行业自律

首先，图书馆协会需要及时制定针对隐私保护的行业化统一规范，从源头上做好读者信息保护工作。图书馆制定完成隐私政策之后，应当及时予以公布，以便使用户可以尽快知晓。当行业隐私政策制定完成之后，各图书馆自身亦可以根据自身情况制定形成各自的隐私保护细则，包括对用户信息保护工作的权利、义务等项内容加以明确，促进信息保护工作的完善。图书馆可以把行业自律性内容公布于其网站之中，或者在微博、微信一类的服务页面加入隐私政策链接。其次，工作人员自身职业道德修养亦应逐步提升，使其业务水平能够与微服务大背景相适应[6]。有关人员需要加强针对读者的个人信息保护意识，切实履行职业道德，对于工作中遇到的读者个人信息，要严格做到合理应用、安全保密，不把信息应用到谋取自身私利上，且同时防止因为管理失当造成的信息外泄。

3.3高新技术应用

需要借助高新技术用于确保信息的真正安全。在这一方面，图书馆需要立足于技术手段强化信息保护工作，以避免信息安全受到损害[7]。图书馆一方面需要增强有线网的安全措施，另一方面尤其应当关注无线网的安全设置。对于图书馆来说，对数据加密与备份是必须要做的工作，在此过程中应当注意下列事项的适当应用。一是使用流量监控、身份认证等方法对用户访问加以控制；二是在信息传输时加入保密直接通信技术；三是利用个人隐私平台对用户信息被收集的状态进行自动提醒，以便用户做出恰当选择。四是采取实用PET隐私技术手段，让数据量减小，并实现假名与匿名应用，避免出现用户数据为人所随意处理的情况。

3.4隐私问题监督

要完善与涉及隐私问题有关的监督机制，第三方隐私政策保护用户个人信息的做法，是与图书馆界隐私处理标准极为契合的，也正因如此，早在2006年，国际图书馆工作联盟即正式实施了《电子资源隐私保护工作标准》，该标准支持供应商采取与ALA图书馆准则相符合的隐私政策，这一标准在国外许多国家都有较好的实施效果，应当成为我国微服务背景下的有力工具[8]。图书馆界需要参考成功经验，增加监督数据库供应方、软件供应方隐私政策的力度，使其与读者权益保护工作协调一致。当图书馆方面同第三方发生合作关系时，在合同文本中需要注明用户个人信息的所有权问题，特别是要求划清用户个人信息保护责、权、利问题，以及出现外泄情况时的善后处理问题，使所有与个人隐私信息有关的内容都能得到妥善保护与处理。

参考文献：

[1]侯瑞芳.微服务背景下的用户信息保护研究[J].情报理论与实践，2015（1）：17-18.

[2]许春漫.试论数字图书馆个性化服务中的个人信息保护[J].图书情报工作，2008（3）：40-41.

[3]孙平.论网络个人信息保护——以网络预约诊疗服务为例[J].法学，2013（9）：29-30.

[4]刘丽萍.图书馆微服务研究[J].图书馆建设，2013（4）：9-10.

[5]刘陶，朱璇.个人信息保护标准解读[J].大众标准化，2013 （3）：22-23.

[6]高兵.“云”环境下的图书馆“微”服务研究[J].图书与情报，2014（1）：35-36.

[7]姜笑楠.微时代背景下高职院校图书馆社会服务创新实践探讨[J].图书馆研究，2014（5）：79-82.

[8]彭春林.吉林省图书馆联盟成员馆信息资源建设现状及思考[J].图书馆学研究，2011（4）：89-91.

边倩女，1968年生。本科学历，馆员。研究方向：图书馆服务。

收稿日期：（2015-04-22；责编：杨新宽。）