张 健

（江苏大学法学院 江苏镇江 212013）

随着信息技术的快速发展，智慧图书馆建设成为热点话题。在享受智慧图书馆带来便利的同时，大数据技术等信息技术带来的数据安全、隐私泄露、数据鸿沟等信息伦理问题也引起人们的广泛关注。当前，研究智慧图书馆数据伦理问题，有助于研究者更加周密、细致地思考新兴技术的强大张力，使其在智慧图书馆建设上发挥更大的功用[1]。2021年6月，《中华人民共和国数据安全法》（下文简称《数据安全法》）正式出台，这标志着国家在数据领域顶层制度建构上迈出了重要一步，这也是我国第一部有关数据安全的专门法律，由此明确了数据安全是一项重要的国家战略工作。《数据安全法》多个条文强调了数据基础设施建设及数字经济发展，智慧图书馆也将进入高速发展期。同时，智慧图书馆的伦理规范问题凸显，如何更好地利用大数据技术为图书馆行业助力的同时规避其中的信息伦理风险，成为学者们普遍关注的课题。

1 《数据安全法》对智慧图书馆伦理规范提出的新要求

1.1 智慧图书馆数据安全问题

由于智慧数据的海量爆发式的增长、多样化的形态、不断增强的流动性、多归属性和多场景模式应用等不同于传统信息的特性，决定了智慧图书馆数据本身存在着被越权访问、泄露、篡改等风险。当前，针对智慧图书馆伦理问题，大多存在着重技术、轻制度的倾向[2]。然而，图书馆数据安全建设并不是仅采用一系列安全防控技术就能一蹴而就的，而更强调体系化的安全防控，它不能局限于数据层面，而要扩展到承载数据的平台、应用、基础设施甚至更大的范围，上升到制度规范、方针政策、组织架构、管理和技术相结合的综合治理层面，由此业界出现了“图书馆数据安全治理”的概念[3]。

《数据安全法》对全国数据安全工作作了统筹部署安排，在适用范围和适用主体上实现全覆盖并明确了域外管辖效力，强调了要加强数据出境管理；提出建立政府强制、平台自治、行业自律的合作治理模式，对违法行为提出了明确的处理方式，明确了数据的安全要求。具体到图书馆领域，《数据安全法》的相关内容规范了智慧图书馆的数据活动。《数据安全法》对有关部门与机构开展的监管工作以及智慧图书馆的数据建设都提出了更高的要求。短期来看，这会给智慧图书馆发展带来一定冲击，会提高智慧图书馆数据使用的压力，然而，这也是智慧图书馆由高速发展转向高质量发展的必由之路。近年来，随着业务快速发展，图书馆等机构积累了大量的数据，其中包含大量的馆藏数据与读者数据等敏感数据，这些数据如果泄露，不仅给读者带来损害，也会对图书馆的声誉造成负面影响，甚至会导致图书馆承担法律责任，支付巨额罚款[4]。而《数据安全法》的出台为图书馆数字化转型、图书馆数据安全、智慧图书馆建设提供了法律保障。

1.2 智慧图书馆用户隐私泄露问题

数字经济时代，人们既享受着技术进步带来的红利，也面临着个人信息和商业秘密泄露的风险。《数据安全法》强调了保护个人隐私和商业秘密，同时还明确了数据安全的保护义务和法律义务，强调加强风险监测和风险评估，防止发生数据安全事件，将基于保护先行的原则推动数字经济健康发展。根据《中华人民共和国民法典》第1 032条第2款的规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。智慧图书馆平台通过大数据技术能够自动抓取图书馆用户的行为轨迹、阅读偏好等基本个人信息，并在此基础上进行实时跟踪与预测分析，然而，这可能涉及公民个人隐私。如在原始数据采集方面，可能涉及公民个人不愿为他人知晓的信息；在数据深度挖掘方面，也可能涉及用户消费能力、兴趣爱好、人际关系等私密信息。公民社会活动愈加频繁，数据产生速度越快，个人信息被采集、分析的概率就会越大，个人隐私保护越难以顾及。智慧图书馆掌握了大量读者个人信息，在大数据环境下，这部分数据中所包含的隐私信息泄露的风险被放大了。

1.3 智慧图书馆数据鸿沟问题

图书馆行业与大数据技术结合后，特别是人工智能设备在智慧图书馆的广泛运用，导致图书馆数据鸿沟的难题愈演愈烈[5]。不同群体或不同个体由于对智能设备的获取难易度不同，使用能力不对等，造成了图书馆数据鸿沟难题。数字鸿沟实际上体现出数据信息资源分配的失衡，它的出现还会导致不同主体在价值享受、资源利用及情感获得等方面的不公平[6]。《数据安全法》第15条明确了对老年人、残疾人等弱势群体的倾斜保护，回应了数字化时代人文关怀的需求。2020年12月，工信部提出开展“互联网应用适老化及无障碍改造专项行动”，着力解决老年人、残疾人等特殊群体在使用互联网等智能技术时遇到的困难，并于2021年4月份要求相关互联网网站、App参考《互联网网站适老化通用设计规范》和《移动互联网应用（App）适老化通用设计规范》完成适老化及无障碍改造。数据鸿沟本质上属于一种新的社会不公平，数据鸿沟的存在要求我们构建一个更加公平的信息技术环境。

1.4 智慧图书馆数据异化问题

图书馆数据异化指图书馆活动参与者过度依赖新兴技术而使数据本身处于主体地位，忽略了人的主观能动性而形成“唯数据论”。图书馆与新兴技术结合的根本目的是运用新兴技术推动图书馆事业的发展，从而更好地服务读者，这遵循了以人为本的原则。然而，当人们面临新兴技术挑战时，并不能坚持科学态度和人文精神，反而过度追求“唯数据论”，忽略用户本身的价值，使用户最终工具化而产生图书馆数据异化。这时，人的主体身份以数据的形式被认识，这便是大数据对人的异化。

《数据安全法》的多款条文遵循了数字发展服务于人的理念，充分尊重人的主体性，反映了以人为本的思想。该法第8条还规定，开展数据处理活动时相关主体应当尊重社会公德和伦理，遵守商业道德和职业道德，承担社会责任等。《数据安全法》出台后，智慧图书馆将面临越来越大的合规压力。合规，从字面上看，就是符合规定，而这个“规定”在实践中包含了国家法律、行业规范、国际规则以及自身的规章制度等，以使智慧图书馆的数据处理行为不受行政处罚、刑事处罚、行业制约、国际组织的制裁等。因此，为了保障智慧图书馆的健康发展，避免消极后果，智慧图书馆数据伦理必须随着新兴技术的发展不断完善。

2 当前智慧图书馆数据伦理失范的成因

2.1 信息技术固有的缺陷

与传统图书馆相比，智慧图书馆在用户服务理念和对用户数据的采集、运用以及使用方式上有了很大改善。具体体现在以下几个方面：其一，用户数据采集信息更完整。智慧图书馆不仅采集读者的年龄、身体状况、个人偏好等文字类信息，同时还采集用户的图像、轨迹数据、入馆规律等非文字类信息。其二，用户数据采集方式更智能化。相比于传统图书馆采集数据的方式，智慧图书馆更多通过智能设备在用户未察觉的状态下对用户的行为数据、形体数据进行采集。其三，数据采集效率更高。传统图书馆通过人工方式对图书馆内具体场地利用情况、每天的人流情况、用户的相关隐私等方面进行数据采集，不仅会出现数据采集效率低的问题，同时还会出现由于各种人为因素导致其所采集的数据存在错误的问题。相比之下，智慧图书馆可以通过智慧系统非常容易地掌握整个场馆的利用情况和用户情况，并形成准确、详细的用户画像以供决策层参考[7]。其四，数据创造的价值更高。受制于各种条件，传统图书馆采集的用户数据未能很好地体现经济效益。而智慧图书馆通过对所采集的数据进行智能化分析，不仅能够有效提高服务水平，同时还能创造出更高的数据价值。

然而，智慧图书馆的运行增加了数据采集、存储、运用、共享过程中用户隐私泄露的风险。智慧图书馆的用户数据应用与隐私保护间矛盾的妥善解决是智慧图书馆走向善治的重要前提要件。在新兴技术发展过程中一般偏重于数据的获取、保存、分析、使用等方面的技术，却忽略了数据安全保护方面的技术，两者发展出现不均衡的现象，即前者处于日新月异的阶段，而后者发展缓慢。当非法交易、黑客攻击、秘密窃取等行为针对这一薄弱环节发起挑战时，数据安全问题就随之产生。

2.2 制度滞后，行业规范缺位

《数据安全法》作为数据安全顶层立法的重要组成部分，规制范围十分广泛，对各行业、领域均具有约束力。不过在图书馆领域，仍旧缺少针对性、行业性法律法规。依赖《中华人民共和国公共图书馆法》保护图书馆数据安全显然不足以应对现实中产生的问题。对于图书馆数据保护，尽管已经出台了《公共图书馆业务规范》等行业规范，但是对图书馆数据安全，目前缺少行业层面的设计规划。第一，在全国范围内图书馆数据安全治理未做到互联互通，技术标准和相关安全治理的方式方法未统一。只有通过国家的战略规划才能真正落实图书馆数据安全治理，实现智慧图书馆数据安全的共享共治。第二，图书馆数据安全治理制度不完善。图书馆数据分类分级、数据反馈保密、数据安全备份、数据毁损恢复机制、数据安全监控等制度仍有待健全，相关的馆员安全管理意识、专业的安全治理技能、安全管理的操作规范也是其中重要的组成部分。例如图书馆数据管理人员不及时完善系统，管理人员泄露和分享大数据账号密码、删除重要的系统管理数据，过期账号重复堆积，互联网上的病毒传播至智慧图书馆系统内部，这些都会使智慧图书馆存在数据安全治理的风险[8]。

2.3 数据信息资源分配失衡

大数据时代给数据挖掘技术带来的根本性改变是使数据的深度挖掘成为可能。然而，数据信息资源分配失衡则成为影响图书馆数据价值有效发挥的重要因素，主要表现为：第一，“数字文盲”的出现不利于数据信息资源分配。对于“数字文盲”而言，他们对图书馆数据资源的需求不高，或者由于年龄、文化水平、贫富差距等原因无法利用新兴技术满足自身需求。而图书馆数据管理工作强调要以用户为中心，当部分公民或主动或被动地无法成为“用户”时，现有的大数据技术无法将这部分人群的图书馆数据与行为数据纳入采集范围，其使用偏好等隐性诉求无法被预测，政府使用该分析结果进行决策时，可能会导致与社会广泛存在的固有偏见重叠，从而加剧资源分配不均。第二，智慧图书馆中算法歧视的存在进一步加剧了数据信息资源分配失衡现象。算法歧视是指算法在运用过程中，对有关对象进行划分并区别对待。算法分析的重要基础在于对数据进行“类别化”与“标签化”，而这往往会造成数据采集及挖掘偏差，进而加深社会偏见，导致用户不同人群间的数据信息资源分配失衡，进而扩大数字鸿沟[9]。

2.4 图书馆用户保护意识薄弱

信息非法收集、滥用等行为要从源头上遏制，应该从数据主体入手。在数据化和智能化飞速发展的今天，普通大众尚未意识到其个人信息的价值与意义，其保护信息的意识较为薄弱，主要体现为以下两个方面：一方面，新兴技术的普及意味着用户便利性的提高，大部分智慧图书馆用户在便利与信息安全之间选择了前者；另一方面，现行数据保护措施存在的缺陷凸显，比如“告知—许可”制度的实际适用效果不佳。“告知—许可”是指信息收集者必须在实际采集之前，负有先行明确告知被采集者即将对其个人信息采集的内容、深度、使用目的、违约处罚等内容的义务，然后在经过被采集者的许可后方能对其个人信息进行收集和应用。然而，“告知—许可”原则在大数据环境下对图书馆用户个人信息保护的适应性降低了。比如，部分智慧图书馆平台将用户同意隐私政策设置为享受服务的准入门槛，即便意识到勾选同意后会使自己的个人档案信息增加泄露风险，用户为了使用软件只得同意条款中的内容，使自己处于信息不对称的弱势地位。

3 《数据安全法》视域下智慧图书馆伦理规范建设的对策

3.1 国家层面

3.1.1 强化政府监管

《数据安全法》明确了我国数据安全领域的工作，采取“中央统筹 + 地方与部门分治”的基本监管架构。该法第5条规定了中央层面数据保护的工作。在具体实施层面，第6条授权地区行政机关与行业部门对各自“工作中收集和产生的数据及数据安全负责”，二者在实践中将形成“横纵相交”的监管局面。由此，《数据安全法》确立了“地方与行业共治”的监管框架，“地方”与“行业”条线的监管部门可能会在同一数据处理事项的监管上产生重叠。故此，《数据安全法》第5条明确建立了“国家数据安全工作协调机制”，这一机制将有望在地方与行业的管辖权分工、重要数据目录自上而下的构建、数据跨境传输、数据交易制度、政务数据公开与开放等《数据安全法》尚未详细规范的关键问题上出台配套规定，提供实践指引。

《数据安全法》第44条、48条、49条、50条的规定都体现了政府部门对数据安全的监管要求和规定。政府管理机构是图书馆数据安全治理中不可或缺的力量，一方面政府管理机构监督图书馆数据安全治理机制的运行，部分机构承担着图书馆数据安全的行政事务；另一方面政府管理机构也为图书馆数据安全治理提供资金支持和政策支撑，推动图书馆数据安全治理体系的建设。未来，政府管理机构应当建立健全国家机关与图书馆行业内部的数据安全管理制度，落实图书馆数据安全责任，保障数据安全。通过建立安全可信的数据安全管理制度，确认图书馆数据开放与共享交换参与各方的职责与权力，通过规章制度来约束智慧图书馆数据管理行为，保障图书馆数据生命周期安全。

3.1.2 保证信息弱势群体的合法权益

平等与公平是人类社会重要的价值追求。受制于年龄、性别等自身原因，以及技术革新、社会资源等外部原因，在智慧治理方面社会难以实现绝对平等，但在保证信息弱势群体的合法权益方面不仅必要，也存在现实紧迫性。这既是对他们人格尊严的维护，也是国家对社会产品进行分配的必然要求。因此，政府有关机构要更加注重对图书馆数据资源的分层次开发利用，尽量让广大群众能够平等共享智慧图书馆带来的便利。从弱势群体权益保护出发，资源要适当向老少边穷地区倾斜，努力缩小地区差异、贫富差距；贯彻落实国务院办公厅印发的《关于切实解决老年人运用智能技术困难的实施方案》，加大宣传力度，让老年人熟悉智慧图书馆，对于确有需要但不懂操作的人群，配备专业人员对其进行定向辅导，努力让每一位用户都能方便、快捷、安全地利用图书馆数据资源。

3.2 图书馆层面

3.2.1 推进《数据安全法》的落实，保证自身数据活动的合法性

《数据安全法》对各类数据的保护作出了原则性规定，而非限于个人信息保护的细化规定，它将政府部门数据、图书馆数据、个人数据等各类数据安全的保护作出了原则性规定，推动政府部门、行业组织、图书馆、个人等共同参与数据安全保护工作。其中，图书馆是图书馆数据安全治理的直接责任主体，其发挥主导作用进行大数据采集、存储、管理、运用。未来，智慧图书馆可开展以下工作：第一，图书馆行业要明确自身的权责，对图书馆数据进行管理和维护，规范化地保障馆藏大数据的安全。建议图书馆尽早开展相关的合规工作，包括启动数据处理活动核查、进行合规差距分析及风险监测、着手落实数据安全组织措施（如制定《数据安全管理制度》、对员工进行数据安全专项培训）和技术措施（例如进行数据分级分类、加密存储与传输等），重要数据的处理者则还需要进一步关注额外应当履行的安全保护义务。第二，图书馆行业需要营造良好的图书馆数据安全共治环境，主动接受读者和大数据使用者的建议和意见，为多方主体协同治理创造条件，积极响应个人图书馆信息主体的请求，推出图书馆处理公开制度以保障用户知情权，推进图书馆咨询服务、图书馆用户数据安全保护宣传工作制度化等。第三，图书馆应开展馆员数据安全培训工作，加强馆员行为管理，强化馆员职业道德和伦理观念，确保管理制度及安全防护手段有效落实，避免管理流于形式。第四，图书馆应当划分部门职能、区分工作人员工作性质，明确图书馆专职人员技术指南、工作保密协议、违法违纪惩处等内容。同时，图书馆要设置专门的数据管理员，负责向用户提供在使用智慧图书馆的相关信息资源和服务、智慧图书馆智能交流互动设备、运动信息资源服务类型的App等过程中，关于私人信息保护政策、私人信息范围的界定、私人信息提交的警示项目、私密信息的自我保护技能、大数据分析和预测对于用户造成的事实和潜在的影响、用户的个人隐私信息受到侵犯之后的法律救助等诸多方面的指导和帮助，为智慧图书馆建设提供技术支持。

3.2.2 出台图书馆数据安全保护的行业规范，强化行业自律《数据安全法》是一部既谈保护又谈发展的法律，在内容上有不少创新，《数据安全法》类似于母法，需要行政部门与各行业出台更多细则和规章。诚然，《公共图书馆法》第43条、第50条已经就数据安全保护作出了具体规定，而且将要求提高到了“妥善保护”的高度。然而，该条文依旧具有高度的概括性。未来，图书馆行业应当着重针对图书馆的特殊性作出更加细致的规定，树立全面数据合规理念，提出自身数据治理的策略，结合行业监管动态、自身的业务流程与场景，建立健全数据安全的各项制度和操作指引。

同时，要提高图书馆行业自律。行业自律能够有效提升图书馆信息保护水平。图书馆行业应当在技术标准、职业道德标准、图书馆业务外包与承保规范方面制定相关的行业规范。首先，图书馆行业需要结合智慧图书馆建设制定统一的技术标准，明确智慧图书馆用户个人信息的收集、存储、处理等环节的技术要求、术语规范等；其次，由于智慧图书馆工作的特性，图书馆行业应当特别制定统一的职业道德准则，强调图书馆工作人员的职业道德，对违反相关道德准则的人员给予停止执业处分；最后，针对部分图书馆机构外包或者图书馆运营机构承接图书馆数字化建设业务的情形，图书馆行业应当制定隐私影响评估标准、相关主体图书馆数据安全技术能力评估标准等，禁止没有相关资质的图书馆等机构承接相关业务。

3.3 用户个人层面

公民个人不仅是大数据的使用者，同时也是大数据的生产者。用户个人在利用智慧图书馆数据享受文化服务的同时，也在不断生产数据资源，尤其在大数据时代，公民个人成为了智慧图书馆数据生产的主力军。如果被保护对象没有相应的数据保护意识，那么保护的规范再详细具体，也只能是一纸空文，因此，开展对用户数据素养的教育培训是必不可少的。

总之，随着《数据安全法》的出台和落地实施，图书馆数据资源将会迸发出更强的活力。《数据安全法》的实施将会对智慧图书馆伦理规范产生深远影响。在《网络安全法》《数据安全法》《个人信息保护法》等通用领域数据合规立法相继出台的当下，各地方也会出台一系列具体实施条例以落实数据安全保护。图书馆行业在密切关注数据安全领域法律法规与实施条例的同时，也应当未雨绸缪，主动、积极、及时做好数据合规工作，以推进智慧图书馆伦理规范建设。