王 英

（湖北大学历史文化学院）

1 引言

大数据环境下，图书馆员在业务工作中面临的信息伦理问题日益突出，如数据隐私、数据可获得性、数据产权等。作为伦理典范的先行者，图书馆员必须要正视信息伦理问题并需要明确的指导原则，因此，图书馆协会制定了伦理准则（Code of Ethics）。作为处理伦理冲突情况的框架，伦理准则将图书馆员职业的知识自由价值转化为可能被该职业个体成员和图书馆雇佣的其他人使用的广泛原则的文件。［1］图书馆员和其他信息工作者尊重个人隐私，保护个人数据，图书馆与用户之间的关系是一种保密关系，图书馆员和其他信息工作者将采取适当措施确保用户数据在原始交易之外不被共享。［2］图书馆员一直有保护用户隐私的历史，他们相信自由人有不受监督、评判、排斥或监视而自由阅读的权利，诸多国家或地区的图书馆协会伦理准则已经表达了对这种权利的支持，甚至有些还专门制定了具体化的隐私政策。［3］2012年，笔者调查了国际图联（International Federation of Library Associations and Institutions，IFLA）公布的若干国家或地区图书馆协会的伦理准则中关于隐私原则和隐私政策的内容。但时至2017年，图书馆行业所面临的环境已经改变，社交媒体等信息技术已经融入到图书馆，其面临的信息伦理问题理应重新引起研究者的注意，尤其是隐私问题。而作为行业领导者的图书馆协会要对此做出新的回应，故需要纵向分析图书馆协会伦理准则中隐私原则和隐私政策的演变。

IFLA强调图书馆和信息服务机构应保护每个用户寻求、接受、咨询、借阅、获得和传递信息的隐私权。［4］2011年，IFLA颁布《图书馆员道德准则草案（2011）》，其中第三章“隐私权、保密度及透明度”规定“图书馆员尊重所有用户的个人隐私权，除非其危害公众利益的不端、贪腐或犯罪行为被揭露”。［5］因此，本研究以IFLA公布的国家或地区图书馆协会伦理准则为基础，调查制定伦理准则（尤其是包含隐私原则的）的图书馆协会隐私政策的存在性和内容的纵向变化：伦理准则中包含隐私原则的数目有变化吗？将隐私原则具体化为隐私政策的数目及隐私政策内容有变化吗？（见图1）本研究不仅能展示若干国家或地区图书馆协会在尊重并保护用户隐私方面的实践发展，还能验证图书馆协会遵从隐私原则并将其具体化为隐私政策的程度及内容，对树立准则的权威性以及制定和完善隐私政策都具有非常重要的指导意义。

图1 伦理准则、隐私原则、隐私政策的关系

2 数据、方法与工具

2.1 数据来源与研究过程

本文以2012年的论文《若干国家或地区图书馆协会隐私政策内容分析》［3］和2017年6月15日IFLA公布的“National Codes of Ethics for Librarians by countries”为数据来源。

第一步，笔者于2017年9月底到10月底之间登录IFLA官网，发现62个国家或地区图书馆协会的伦理准则链接；［6］2019年7月1-12日，笔者进行核查，发现IFLA官网公布的图书馆协会伦理准则页面的更新日期仍为2017年6月15日。

第二步，一一点击并查看所有伦理准则，发现9个国家或地区（博茨瓦纳、巴西、萨尔瓦多、冰岛、拉脱维亚、马耳他、巴拿马、波多黎各、泰国）图书馆协会的伦理准则页面出现站点不存在或者拒绝访问、文件没有找到、链接错误、无法接入等现象，9个国家或地区（智利、哥斯达黎加、古巴、卢森堡、尼加拉瓜、秘鲁、乌拉圭、委内瑞拉）图书馆协会的伦理准则没有可供理解的英文版。在可获取范围内，受语言认知影响，余下的44个国家或地区图书馆协会的伦理准则是调查其中是否包含隐私原则的样本。

第三步，一一阅读44个国家或地区图书馆协会的伦理准则，发现42个国家或地区图书馆协会的伦理准则中包含隐私原则，只有韩国和印度尼西亚未提到隐私或机密原则。

第四步，进一步前往这42个国家或地区的图书馆协会官网探究其隐私政策，发现6个国家或地区（亚美尼亚、爱尔兰、以色列、牙买加、马来西亚、土耳其）的图书馆协会官网无法访问或找不到，11个国家或地区（比利时、芬兰、法国、德国、意大利、立陶宛、荷兰、葡萄牙、俄罗斯联邦、西班牙［加泰罗尼亚］、乌克兰）的图书馆协会官网使用非英语显示。在可获取范围内，受语言认知影响，余下的25个国家或地区的图书馆协会（澳大利亚、保加利亚、加拿大、中国、中国［香港］、克罗地亚、捷克共和国、爱沙尼亚、匈牙利、日本、毛里求斯、墨西哥、新西兰、尼日利亚、菲律宾、波兰、塞尔维亚、新加坡、斯洛文尼亚、南非、西班牙、斯里兰卡、瑞典、英国、美国）是调查隐私政策存在性和内容的最终样本。如果网站上有隐私政策，则其政策文本和描述性特征包括：隐私政策名称、更新日期、可视度（从主页到隐私政策页面的连接数）等。

2.2 研究方法

综合运用内容分析法、纵向分析法和描述性统计等方法开展研究。其中，应用内容分析法的关键是制定编码计划和编码信度检验。

（1）编码计划。编码计划的内容类别主要基于美国联邦贸易委员会的隐私核心原则（关于其内容的科学性和适用性已在《若干国家或地区图书馆协会隐私政策内容分析》一文中论述过，这里不再赘述）以及先前文献、实践和调研数据，其在编码进程会适时进行变动（见表1）。

（2）编码信度检验。笔者采用数据三角测量（Data Triangulation）方法中的分析员三角测量（Analyst Triangulation）［7］校验本研究中数据编码的可信度。首先，对三个编码员进行培训，确保他们能理解所有的代码，清楚代码的含义，知道如何从数据中识别代码。其次，请三位编码员对同一部分数据进行编码，并比较他们编码时的明显不同之处，［8］在与原编码员讨论并获取双方一致同意后确定编码。随后，对三位编码员编码的内容进行信度检验，计算方法为：，其中，R为信度，n为分析员人数，为编码员平均相互同意度，其计算方法为：其中，Agreeij为编码员 i与j相互同意度，码员i与j相互同意的条数，Agreei为编码员i做出分析的条数，Agreej为编码员j做出分析的条数。经检验，信度为88%，因此，经过分析员三角测量，发现编码的信度较高，可以进行数据分析。

表1 隐私政策的编码计划

2.3 可读性分析工具

Flesch reading ease Formula和Flesch-kincaid grade level是为文件、书本、政策和技术材料等文本打分及判定读者阅读和理解水平的两个公式，亦可用其判断隐私政策的可读性。其中，Flesch reading ease Formula输出的值在0-100之间，这个值越高则文本的可读性越强；Flesch-kincaid grade level是对Flesch reading ease Formula的改进，输出的结果是年级数，如FKRA=9.4意味着九年级的人能够阅读该文本，这个值为判断材料的可读性提供了便利。因此，笔者将利用上述两个可读性分析工具计算隐私政策文本的可读性。

3 讨论与结果

3.1 隐私原则及隐私政策数据集的纵向分析

通过对2012年和2017年若干国家或地区图书馆协会伦理准则、伦理准则中包含的隐私原则及隐私政策数据集的比较发现：在可获取和认知的范围内，图书馆协会伦理准则包含隐私原则的数目从24个（占比86%）增加到42个（占比95%）；图书馆协会隐私政策的数目从7个（占比54%）增加到10个（占比40%）。

（1）伦理准则包含隐私原则的比重上升是因为隐私原则是伦理准则中必不可少的一部分，是引导图书馆员做出伦理决定的重要原则。如，美国图书馆协会认可隐私原则的重要性，隐私原则在《图书馆员伦理准则指导声明》的8个原则中占有一席之地。［9］图书馆协会已经逐渐形成了尊重和保护用户隐私的意识，并在伦理准则中有所体现。

（2）图书馆协会隐私政策的绝对数目在增多，即有相当多国家或地区的图书馆协会在意识和行为上都非常重视将隐私保护落到实处。然而，图书馆协会制定隐私政策的比重却在下降，也就是说有些国家或地区的图书馆协会并未将伦理准则包含的隐私原则具体化，没有为图书馆员保护用户隐私提供具体、详实、操作性强的指导。出现这种现象的原因（但未必一定是）有以下几点。① 与图书馆协会自身的意识有关。隐私政策相较于隐私法具有独特的作用，即“政策具有指导性和灵活性，法律具有规范性和稳定性，二者协调互补，整合共生”。［10］图书馆协会隐私政策更能因地制宜地为图书馆员保护用户隐私提供指导，如果图书馆协会没有意识到隐私政策的不可替代性和独特作用，将导致隐私政策的缺失。② 根据多源流理论，一项政策的出台决定于问题源流、政策源流、政治源流的三源流汇合，同时还需满足政策之窗开启和政治家积极介入推动等条件。［11］现阶段，整个社会中存在着形形色色需要政府解决的隐私问题和以政策建议、主张为代表的问题解决方案，这说明问题源流和政策源流是存在的，但是欠缺国民情绪、公众舆论、执政党意识形态等政治源流及政策之窗开启和政治家积极介入推动等条件。因此，一些国家或地区图书馆协会并未积极制定隐私政策。③ 与该国文化的不确定性规避指数相关。不确定性规避是指一个社会对不确定性和模棱两可的忍受水平，在高不确定性规避国家中，对不确定性和模棱两可的忍受水平比较低，更容易形成规则导向型社会，更倾向于制定严格的法律法规以及安全措施来减少不确定性。与以低水平不确定性规避为特征的国家（如牙买加、马来西亚、中国［12］的不缺性规避指数分别为13、36、40）相比，以高水平不确定性规避为特征的国家（如墨西哥［12］的不确定性规避指数为82）的图书馆协会制定隐私政策的可能性更大。事实也是如此，牙买加、马来西亚、中国大陆等低水平不确定性规避国家的图书馆协会没有制定隐私政策。但也存在例外，某些高水平不确定性规避国家（如波兰，其不缺性规避指数为93）的图书馆协会也没有制定隐私政策。

3.2 隐私政策描述性特征和可读性的纵向分析

3.2.1 隐私政策描述性特征的纵向分析

环境对事物的影响作用是客观存在的，政策环境是政策实施机构之外诸多因素的总和，［13］政策环境常常影响政策执行和实现程度。［14］为此，有必要阐述隐私政策环境的描述性特征，如隐私政策的名称、可视度、更新日期等。笔者对比了2012年和2017年若干国家或地区图书馆协会隐私政策的描述性特征（见表2），总结了如下几个特点。① 可视度高（链接数不大于3）的政策占比从43%上升到64%，链接名称大都含有“隐私”“保密”等字眼，如“隐私政策”“隐私声明”“图书馆记录的保密声明”等，仅有2个政策名称为“知识自由声明”。政策执行离不开政策宣传，［15］不断提高的可视度和显而易见的政策链接和名称有利于加强政策宣传，促进政策实施，有利于引导用户关注个人可识别信息的处理，有利于促使图书馆员主动承担隐私保护的责任。② 从更新日期来看，2012年和2017年分别有100%、50%的国家或地区的图书馆协会隐私政策注明了最后更新日期；从政策修订或制定上来看，87%的国家或地区的图书馆协会实现了隐私政策的更新或政策从无到有的制定，唯有1个国家的政策在五年内未更新（日本）。这说明多数图书馆协会能够紧跟技术环境的发展及时更新并落实保护用户隐私的理念。政策的更新速度（包括政策修订的节奏和长期/短期政策视角）会影响政策执行。［16］也就是说，政策是否及时地修订将影响政策的执行效果。

表2 2012年和2017年隐私政策描述性特征对比

3.2.2 隐私政策可读性的纵向分析

政策文本的可读性是影响政策有效实施的关键因素之一。为了量化政策文本的可读性以及回答政策是否容易理解等问题，2017年，笔者使用Fleschreading ease score和Flesch-kincaid grade level来测算政策文本的可读性，判断用户是否能够很容易地阅读和理解隐私政策内容（见表3）。

从均值来看，Flesch reading ease score的均值从27.9增加到30.2，表示阅读政策文本的容易性由“Very confusing”上升到“Difficult”，Flesch-kincaidgrade level的均值从14.8降为14.1，但仍高于12（大学及以上学历）。二者均表明隐私政策普遍变得容易理解，但仍需要大学及以上学历的用户才能读懂。从极值来看，Flesch reading ease score的最小值从3.9变为12.8，代表隐私政策文本阅读的难度有所减少，Flesch-kincaid grade level的最大值从 22.5降为 18.2，代表隐私政策文本的阅读需要的年级数有所降低，但仍然需要大学及以上学历的用户才能读懂。另外，Flesch-kincaid grade level低于12的政策文本从2个（占比28%）增加到3个（占比30%），表示不需要大学及以上学历用户就能读懂的政策数目略有增加。这说明政策制定者在修订政策文本或制定新政策时在努力使用通俗易懂的语言表达，只是效果不够显著，仍旧有较高比例的隐私政策需要用户拥有较高学历才能看懂。可读性高的文本能加快读者的阅读速度，对于那些阅读理解能力不高的人尤其重要，在读者平均阅读理解水平较低的情况下，文章的可读性是否在一般水平决定其沟通目标的成败与否。［17］可见，隐私政策文本的可读性会直接影响用户是否有能力利用隐私政策来维护自身利益。

表3 2012年和2017年隐私政策的可读性

3.3 隐私政策内容的纵向分析

对2017年调查的隐私政策进行编码时，考虑到政策文本的实际情况，将2012年编码计划所描述的“用户的访问”更名为“访问和参与”，将“隐私政策的履行”合并到“实施和救济”，并删除“特殊群体或活动的隐私”。由图2可知，①“选择和同意”类一直是隐私政策中最经常出现的内容类别，国家占比一直稳定在70%左右。这说明大部分国家和地区的图书馆协会一直以来都比较注重赋予用户选择和同意权，用户对个人信息收集范围、使用目的、使用方式等有选择权，图书馆在收集、使用、传播用户信息时必须要事先取得同意；②“通知和开放”“数据安全”是新增的最经常出现的内容类别，分别从2012年的43%增加到2017年的80%、2012年的43%增加到2017年的50%。这说明隐私政策日益注重收集个人信息前的告知义务以及要确保数据的安全性；③“访问和参与”和“实施和救济”分别从2012年的43%下降到2017年的 40%、2012年的 86%下降到 2017年的50%。“访问和参与”是用户实施救济权的前提，没有用户访问和参与个人信息的处理，隐私救济权将不复存在。另外，应该增加为确保隐私政策能够被积极执行所采取的强制措施（如通过民事和刑事处罚执行的监管），实现用户的隐私救济权；④ 2017年除“访问和参与”出现的频率略低外，其他内容类别的占比都在50%以上。这说明隐私政策内容结构越来越完整丰富，不再局限在某一个隐私核心原则，而是逐渐对用户进行全方位保护。

图2 隐私政策内容类别纵向对比

由于“实施和救济”类别编码变化较大，“特殊群体或活动的隐私”类别已消失，“选择和同意”类别的子类“隐私信息的使用”编码变化较大（将2012年编码计划中的“来自公众对隐私信息的请求”“来自警察和其他安全机构对隐私信息的请求”“其他”纳入其中）且纵向变化几乎为零，因此被排除在纵向分析之外。下文将分析隐私政策的“通知和开放”“访问和参与”“完整性和安全”三个类别的纵向变化。

3.3.1 通知和开放类的纵向分析

2012年和2017年分别有43%和80%的国家或地区的图书馆协会意识到在收集个人信息前有责任将相关信息通知给具体用户，即隐私政策中的“通知和开放类”，通过对比发现（见图3）：① 2017年，增加了“标识收集数据的实体机构”（占比10%）、“收集隐私信息的方式”（占比30%）和“尊重隐私信息的保证或声明”（占比70%）三个子类别。表明隐私政策关于“通知和开放类”的内容更加全面，已将信息收集的实体机构、范围和方式等纳入其中，图书馆协会更愿意向用户承诺其一直尊重用户的隐私权并在努力保证用户隐私不受侵犯；②“收集隐私信息的目的”占比从2012年的14%上升到2017年的50%，“公开颁布隐私政策”的占比从2012年的43%下降到2017年的10%，“保存隐私信息的时间段”和“收集隐私信息的范围”没有显著的变化。上述数据表明更多的图书馆协会愿意向用户说明信息收集目的，以尽量争取用户的同意。但是，仍只有较少的图书馆协会会公开其成员图书馆隐私政策情况，这可能是因其还未认识到公开隐私政策颁布情况的意义。“公开颁布隐私政策”能够向公众展示其隐私政策内容的完整性，证明它已经得到成员图书馆的积极响应，这样能提升用户对图书馆协会的尊重。

图3 隐私政策关于通知和开放类的内容对比

3.3.2 访问和参与类的纵向分析

2012年和2017年分别有43%和40%的国家或地区图书馆协会在隐私政策中提到用户有浏览、更新个人信息、以及审查、纠正和删除个人信息的权利，即隐私政策中的“访问和参与类”。通过对比发现（见图4）：“浏览、更新隐私信息”的占比从 2012年的29%下降到2017年的20%，“审查、纠正和删除隐私信息”的占比从2012年的14%升高到2017年的40%，这表明图书馆协会更加注重用户个人信息准确性的保障，因此赋予了用户更多的审查、纠正和删除隐私信息的权利，以“审查”发现“数据的不准确”、以“修正和删除”实现“控制”、以“数据访问权”实现“个人数据”的“处理”。［18］这与隐私法中确保个人信息准确性的规定相一致。3.3.3 数据安全类的纵向分析

图4 隐私政策关于访问和参与类的内容对比

2012年和2017年分别有43%和50%的国家或地区图书馆协会的隐私政策描述了图书馆应该如何确保用户信息安全，即隐私政策中的“完整性和安全类”。通过对比发现（见图5）：① 2017年，增加了“匿名处理隐私信息”的内容，占比为10%。匿名处理隐私信息是指对隐私信息进行去身份化以保护用户隐私权的一种方式，且已经得到了很多国家隐私法的认可。当然，在一些情况下，个人信息的匿名化也可去匿名化（去匿名化是指一种数据挖掘策略，其中的匿名数据和其他数据来源相互对照来重新识别匿名的数据来源），但它依旧不失为确保个人信息安全的一种手段；② 2017年，“使用互联网”“第三方安全”“安全措施”的内容占比都存在不同程度地降低。但是，相较于2012年，“数据安全”类内容总占比在稳步增加，这似乎是矛盾的，这可能是因为更多的图书馆协会仅在确保少数几个领域的数据安全，并未同时涉及数据安全的多个领域。

图5 隐私政策关于数据安全类的内容对比

4 结论和启示

4.1 研究结论

（1）图书馆协会制定或发布隐私政策的比重从54%下降到40%，但是，伦理准则及其包含隐私原则的比例在显著提高，表明隐私政策并未与伦理准则中的隐私原则保持同步。隐私政策的制定是一个系统工程，既需要回应隐私法的要求，也要平衡与政府数据开放政策等相关政策的关系，同时还要顾及图书馆员、用户等的利益冲突。因此，对于最近五年内新增的伦理准则而言，以隐私政策的形式响应隐私原则的要求必然要花费一些时间，这是可以理解的。

（2）隐私政策的可视度明显提高，原有隐私政策的更新或新隐私政策的制定比率都比较高，政策文本可读性有所上升但依然比较难懂。可视度的提高和政策的更新推动了图书馆员对政策的执行力度，也更好地保护了用户的隐私权。政策的可读性不高会导致用户难以理解，从而致使此政策形同虚设。

（3）隐私政策的内容范围越来越广泛，每个政策平均横跨内容类别的比重从57%上升到60%，横跨所有内容类别的政策数目从0个增加到2个。经过五年，图书馆协会隐私政策的内容愈加完整，结构愈加健全，能够更加全方位地保护用户隐私，逐步将用户的数据主体控制权落到实处。

本研究的局限性主要有两点：① 假设图书馆协会网站代表其遵守伦理准则的行为，事实上，某些图书馆协会隐私政策可能并未通过网站公布；② 研究焦点集中在国家图书馆协会，忽略了其他政策中也可能有专门的条款，略显片面性，但这也恰好佐证了前面的观点——隐私政策的可视度。

4.2 对我国实践的启示

《中国图书馆员职业道德准则（试行）》第4条规定“维护读者权益，保守读者秘密”，［19］这是我国图书馆协会伦理准则的隐私原则，但隐私政策是缺位的。隐私政策的缺位，无法为用户彰显图书馆贯彻和践行伦理准则条款的行为示范，不利于引导图书馆员注重维护用户隐私。因而，必须要制定图书馆协会隐私政策，具体可以从以下几个方面进行。

（1）推动个人信息保护法尽快出台，为图书馆协会制定隐私政策（及模板）提供国家政府意志的推力。虽然个人信息保护法缺位，但是适用于规范各类组织个人信息处理活动的国家标准《信息安全技术 个人信息安全规范》（GB/T 35273-2017）［20］可为图书馆协会隐私政策的制定提供一定的依据，但是它的力度不够，仍然需要个人信息保护法。《中华人民共和国个人信息保护法（草案）》已经于2017年两会期间作为附件提交；［21］2019年两会期间，全国人大常委会将《中华人民共和国个人信息保护法》列入本届立法规划，相关部门正在抓紧研究和起草，它的出台将会为图书馆协会的隐私政策提供国家层面的指导。

（2）图书馆协会发布隐私政策（网络版），并由此促进图书馆员将保护用户隐私内化为自己的行为准则。第43次《中国互联网络发展状况统计报告》显示，截至2018年12月，我国网民规模达8.29亿，其中，在线教育用户规模达2.01亿。［22］根据行为强化理论，隐私政策可以使图书馆员开始认同保护用户隐私的行为方式，并通过奖惩机制使图书馆员遵从隐私政策，进而将保护用户隐私内化为自己的行为准则。

（3）保障隐私政策描述性特征突出、可读性强、内容广泛。① 隐私政策名称要直观清晰，政策可视度高，可以在网站首页显眼处提供政策文本的链接；② 政策文本的可读性要高，使用户能懂并学会利用；③ 政策文本要附带制定日期和更新日期，同时要随着政策环境、法律变化和技术发展定期更新；④ 政策内容至少应包括通知和开放、选择和同意、完整性和安全、实施和救济、访问和参与五个类别，以全方位保护用户的隐私，尊重数据主体的控制权。

（4）图书馆协会对图书馆员开展隐私保护培训，推动图书馆员完善伦理行为、坚持隐私准则。培训内容可以包括隐私政策的主要内容和隐私服务要求等，以增强图书馆员对隐私政策的认知并提高其服务水平。