图书馆用户个人信息保护认证机制构建研究

2020-11-29田淑娴

科技传播 2020年18期

田淑娴

大数据时代，为给用户提供个性化精准服务，大数据挖掘、分析等技术会广泛应用在图书馆各项服务中，这样会增加了用户个人信息泄露的风险[1]。为了减少用户对个人信息泄露的顾虑，无论是国外还是国内图书馆都或多或少做出了保护用户个人信息的规定，其中，最普遍的做法是制定用户个人信息保护政策。然而，个人信息保护政策的实施效果如何，图书馆及第三方数据库服务商在实际提供服务过程中能否按规定进行操作，大多数图书馆无法客观地评估个人信息保护政策的条款是否过于专门化而无法理解或阅读。因此，笔者建议用户个人信息保护认证机制在图书馆应逐步构建，以此来保护用户个人信息的必要安全。

1 对国内外认证机制现状的调查与分析

1.1 国内外个人信息保护认证机制现状调查

笔者通过采用文献调研、网络调研等方式，对大量的国内外文献、网站进行研读发现：目前国内外均已设用户个人信息保护认证机构。在国外，美国的Truste 和BBBonline 比较知名，国内的中国电子商务等信用评价中心及大连软件行业协会等影响力较大，然而针对信息文化服务业的个人信息保护认证机构或信用评价中心还未制定。为此，通过比较知名的个人信息保护的实现影响认证机构和信用评估中心在国内外信息服务行业，作者选择Truste美国和中国大连软件行业协会为代表，分析并介绍其具体实践，提出构建图书馆用户个人信息保护认证机制的建议。

1）TRUSTe 隐私认证机制。TRUSTe 是美国的非盈利性机构，它是一家数据保密管理公司，也是亚太经济组织认可的个人信息保护认证组织。它通过提供个人信息保护的相关知识、方法和技术解决出现的个人信息保护问题，并且它制订的认证标准现已纳入亚太经合组织建立的个人信息保护框架的原则中。它的整个工作流程包括：对申请加入该组织的机构进行审核，对审核通过的机构进行监督，对发生个人信息泄露事故的机构进行调解。在其评估申请机构是否可以通过认证时，主要通过对影响个人信息保护认证的因素、标准等进行评估。同时，它也为网站运营机构提供实践操作方面的指导文书。这是一个两面利好的个人信息保护机构，不仅能为用户提供安全的网站信息，而且能有效监测评估用户的个人信息行为[2]。

2）大连软件行业协会认证机制。大连软件行业协会是中国制定的个人信息保护标准的机构。它依据制定的个人信息保护评价体系开展个人信息保护评价工作。去帮助企业建立个人信息保护的规范制度，提高企业保护个人信息的能力，确保客户个人信息的安全[3]。在实施机制时，它通过对企业进行审核，并给审核通过的企业颁发个人信息安全标志及证书[4]。在使用标志期间，若发现企业未遵守承诺，该协会会根据情节轻重采取惩罚措施。该认证机制的影响越来越大，目前所影响的城市已包括北京、广州、上海等地，它的认证机制也逐渐在信息服务业具有代表性[4]。

1.2 对国内外认证机制的建设进行分析

通过对国内外个人信息保护认证机构的调查发现，建立个人信息保护认证机制可以有效保护用户的个人信息，为电子商务和信息服务行业的发展赢得了一个相对宽松的环境，并且，使用认证标志也带来了便利，用户不再需看难懂冗长的个人信息保护政策。但是，它们也存在缺陷。例如，经济来源存在依赖性，主要依靠企业的认证，这使得对企业的监管不够严格，缺乏独立性；另外，申请加入的运营机构只能凭自觉，使其缺乏普遍性[5]等等。

2 构建图书馆用户个人信息保护认证机制的建议

因为图书馆身为我国信息服务产业的一个主要方面，所以，其用户的个人信息保护认证机制需要及时有效的建立起来，图书馆用户的个人信息保护机制构建过程中，要善于吸取和借鉴国内外类似的成功经验，并且通过不断地改进以达到相对的完善，并且，正确的结合我国图书馆自律意识不强等实际问题，制定出符合我们自身发展所需要的用户个人信息保护认证机制。

2.1 组建图书馆用户个人信息保护认证机构

1）由图书馆学会主导成立“中国图书馆用户个人信息保护认证机构”。设置认证机制的领导机构只有具有行业威信，才能对认证机构产生影响。中国图书馆学会是我国图书馆行业的领导机构，会在一定程度上引导和影响地方各级图书馆事务的发展，由中国图书馆学会率先建立个人信息保护认证相关机构，可以加快我国图书馆用户个人信息保护认证机构的建设。

2）以图书馆学会分支机构为主要成员。图书馆学会主要由高等学校图书馆分会等9 个分支机构组成[6]。各分支机构承担着引导各类型图书馆的发展及业务培训等任务，代表着各类型图书馆事业的发展情况。在设置图书馆用户个人信息保护认证机构时，既需要中国图书馆学会带头领导，又需要图书馆各分支机构共同参与。

3）与个人信息保护方面的法律专家进行合作。图书馆用户在使用图书馆资源过程中，不仅会用到图书馆内部资源还经常用到与图书馆合作的第三方数据库服务商，为此，在构建图书馆用户个人信息保护认证机制的过程中，需要与相关法律专家进行合作，明确图书馆用户个人信息的保护范围及双方的责任。

4）需要得到相关部门认可和支持。国家相关部门的认可和大力支持不仅可以加快图书馆用户个人信息保护认证机构构建的步伐，还可以做到保证该机制的顺利建设和完成。所以，构建图书馆用户个人信息保护认证机构既要符合政府政策要求，更要积极的获得政府相关部门的认可和支持。

5）相关职能管理部门设置。为保护图书馆使用者的个人资料而设立的认证机构，将对图书馆业产生积极的影响。更是对用户个人信息保护起到很大作用。为确保个人信息保护认证机构作用的有效发挥，需要在其内部设置具有不同管理职能的部门，图书馆个人信息保护认证办公室、个人信息保护认证评价专家组（简称评价专家组）、个人信息保护工作委员会（简称工作委员会）等部门。

2.2 构建图书馆用户个人信息保护认证机制

1）注重与合作机构协作发展。信息服务行业个人信息保护认证机制普遍存在对申请认证的企业监管不严，在行业影响力不够等问题。因此，构建该认证机制要充分发挥各自的职业所长，加强他们的协作发展。

2）建立一站式的审核机制。一站式的审核机制是指所有需要审核的材料均能在此机构内完成。申请加入该机构要提供认证所需材料，并保证其有关用户个人信息的行为合规合法，不侵犯用户权利，如果符合上述要求就可颁发审核通过标识，不必再进行其他审核。大大加快了机构认证的步伐。

3）有配套的惩罚措施。在实施图书馆用户个人信息保护认证机制的建立过程中，要定期对申请加入的机构进行评估，更要对侵犯用户权利的机构进行处罚。通过调查国内外已建立的个人信息保护认证机构可知，它们的惩罚措施是终止该机构使用认证标志。然而，由于个人信息保护认证机构的主要经济来源依赖于申请加入的机构，因此很少有机构被取消认证标志，致使机制的实施效果不是很好。为此，针对发生的侵权行为性质及造成的影响设置配套的惩罚措施。

4）明确有效期限并及时更新。在机制实施过程中，要明确标志的有效期限并且根据发展需要及时作出机制更新，以有效确保图书馆用户个人信息保护机制的实施效果。

2.3 图书馆用户个人信息保护认证机制的实施流程

笔者通过对其他行业认证机制的分析，并结合我国图书馆现实情况，借鉴大连软件行业协会的信用评价机制工作经验，总结出图书馆用户个人信息保护认证机制的实施流程，即：资料审核——现场审查——网络公示——审批阶段——颁发证书。

1）资料审核。这一阶段包括材料准备、机构受理、形成审核报告3 个步骤。主要对图书馆的基本规章、个人信息安全管理体系等方面的材料进行审核。图书馆提出申请后按相关要求准备审核材料并提交受理，最后形成审核报告。

2）现场审查。该阶段是对已通过材料审核的图书馆进行审核，审核其在运行中是否有侵犯用户权利的行为。如若在现场审查过程中发现其实际运行情况与资料不符，将中止对该图书馆的审查，指出缺陷，三个月后才能再重新提出申请。如若发现存有一般性的小问题，则督促其立即整改，之后再继续对其进行审查。最后结合现场审查情况形成评价报告。

3）网络公示。这一阶段是对通过材料审核和现场审核的图书馆进行公示，表示该图书馆已具备取得图书馆用户个人信息保护认证标志的条件。可以设置公示期限可为15 天。

4）审批阶段。这一阶段主要是根据审核情况形成审批意见书，并根据意见书判断是否对其证书申请进行批准。如若在公示期间没有投诉或质疑，个人信息保护工作委员会审批通过。如若在审批前发现该图书馆还存有较大影响用户个人信息安全的情况，则审批不通过，必须要等三个月后再申请。如若图书馆仍存有一些保留性问题，则要求其进行整改。

5）颁发证书。经批准的图书馆给予颁发个人信息保护证书和标识，表明此图书馆是严格遵守个人信息保护的有关规定的。只要此图书馆的使用用户在享用信息资源时看到相应的证书标识，就可以根据需要放心提供自己的个人信息。