国内外研究高校图书馆隐私的文献分析
2024-01-26赵菲儿
赵菲儿
(复旦大学文献信息中心,上海 200433)
1 引 言
随着大数据时代的来临,高校图书馆作为知识资源的重要承载者和服务提供者,正面临着日益凸显的隐私问题。大数据技术的快速发展和广泛应用,为高校图书馆提供了更多机会和挑战,同时也引发关于隐私的争议和讨论。随着图书馆采集、存储和分析用户信息的能力不断增强,个人隐私泄露和滥用等问题愈发引人关注。本文旨在对国内外研究高校图书馆隐私的文献进行分析,以期揭示该研究领域各方面成果与主要进展,为相关研究提供参考和借鉴,同时为高校图书馆管理者和决策者提供有益的思考和指导。
2 文献调研
2.1 文献样本选择
本文选择CNKI和Web of Science核心数据库为检索平台。在中国知网数据库中,以SU=(高校图书馆+大学图书馆)*(隐私+个人信息)进行检索,检索时间为2023年7月6日,起止时间为2000年—2023年7月,共检索到299篇相关文献,通过逐一阅读,筛选出与研究主题相关的文献248篇。
在Web of Science核心数据库中以TS =privacy AND TS=librar*为检索式进行检索,文献类型限制为论文,检索时间为2023年7月10日,共检索到1 547篇文献,因本文主要关注高校图书馆相关研究,因此,进一步细化检索式为TS=((University or Academic or College) and librar*)AND TS=privacy,起止时间为1995年—2023年7月,共检索到204篇相关文献,通过逐一阅读,筛选出符合条件的论文191篇。
2.2 文献发表时间
从文献发表时间来看,2008年以前,鲜有学者对高校图书馆隐私进行研究;2008—2015年,相关文献发表量开始逐渐增多,呈现出较明显的上升趋势;2016—2019年是该研究热度增长的关键时期;2020年开始相关文献发表量保持相对稳定的水平。国外研究高校图书馆隐私的文献发表时间普遍集中在2018—2022年,且国外文献的最早发表时间早于国内,可以追溯到1995年。
2.3 关键词共现分析
利用VOSviewer软件,基于关键词对高校图书馆隐私国内外研究热点进行了分析。从分析结果来看,在国内研究中,“大数据”“智慧图书馆”“个性化服务”“用户画像”“学习分析”“隐私政策”等关键词出现的节点较大、频次较高,表明国内学者在此领域的研究热点集中在大数据隐私保护、个性化服务与隐私权衡、隐私保护技术、政策等方面。而在国外研究中,“信息”“大数据”“教育”“科技”“态度”“挑战”等关键词出现的节点较大、频次较高,涉及隐私保护面临的挑战和问题、用户态度和行为研究、隐私教育和意识培养、隐私保护的技术手段等多个方面。
3 高校图书馆隐私的研究主题
3.1 隐私问题研究
3.1.1 用户信息采集中的隐私问题。新一代信息技术的普及和广泛应用为高校图书馆收集用户个人信息创造了条件,但这容易引起用户对自身敏感信息泄露的担忧,从而产生用户自身权益保护和享有图书馆高质量服务之间失衡的问题。随着高校图书馆用户范围的扩大,数据搜集、分析、整合为核心的数据管理业务相继出现,采集用户个人信息所带来的隐私风险也会相应增加[1]。Ellern等[2]在研究美国北卡罗来纳州的所有学术图书馆的身份验证实践状态后发现,在该州113个接受调查的学术图书馆中,有66%(或75个)的公共计算机需要某种形式的用户身份验证,身份验证所固有的用户信息采集风险与安全保护的原则存在极大的冲突。
3.1.2 个性化数据服务中的隐私问题。随着高校图书馆服务空间的扩展,用户需求变得更加多元化和复杂化,个性化服务逐渐成为图书馆新型服务的主流。其充分利用图书馆馆藏资源,主动以用户为中心进行全方位服务,能更好地服务于学习、教学和科研。信息化时代,精准推荐学习资源、提供个性化服务已成为大数据技术的亮点,如何平衡隐私保护与为用户提供个性化服务是高校图书馆需要思考的重要议题[3]。
目前,国内外较多高校图书馆都为学生提供了个性化数据服务。例如,云南大学利用RSS技术,重庆大学、浙江大学等利用微信平台,将技术与图书馆服务相结合,为用户提供个性化资源推送服务;南京航空航天大学图书馆使用用户画像技术作为实现和提升精准服务的重要工具,在构建用户画像的过程中要进行用户个人信息的收集,用户画像模型构建完成后会被利用到各种项目、服务和活动中[4];美国加利福尼亚大学、雪城大学等知名高校的图书馆参与学习的分析项目在记录和分析学生的图书馆数据时都会使用可识别的个人信息来推荐学习资源[5]。高校图书馆在提供这些服务的过程中,在用户数据采集和授权、用户数据传输和保管、用户数据利用等问题上存在不同程度的风险和隐患。
3.1.3 数据共享中的隐私问题。高校图书馆需要与校内各职能部门协调合作,也需要进行馆际合作,以实现馆际资源和服务的开放,为用户提供更多资源和服务。但是,用户的个人信息通过各种渠道共享后,随着图书馆的馆藏向数字化转型以及开放共享的逐步深入,数据共享中的隐私问题将成为高校图书馆与其他主体合作时需要考虑的重要问题[1]。
3.2 隐私态度研究
在图书馆员和大学生对隐私的态度进行研究方面,国外学者更为深入。这些研究表明了人们对隐私的关心和重视,并为未来的图书馆政策和计划提供指导,旨在创造一个保护隐私权的环境。
在对图书馆员态度的研究上,Tummon等[6]调查了加拿大学术图书馆员对图书馆实践和在线隐私行为的看法和态度,研究结果表明,调查对象认为保护用户隐私并教育用户有关在线隐私的问题非常重要,然而,许多学术图书馆员对图书馆是否充分保护用户隐私表示怀疑。Avuglah等[7]改编并应用了Zimmer开发的工具,该工具评估了美国图书馆员对隐私权和保护图书馆用户隐私的态度和做法。研究发现,加纳大学的图书馆员和学生都表示不喜欢国家和企业对其个人数据的垄断,尽管他们对图书馆员在保护其个人数据方面的强大作用持积极态度,但其中相当多的人对图书馆员实现其个人数据的保护缺乏信心。此外,研究还注意到学术图书馆员的隐私态度和关切与该校大学生的隐私态度和关切相一致。莫杨海[8]通过发送电子邮件的方式对国内图书馆员对隐私的态度和实践进行了调研,结果显示所有的受访者都认为应该对查看读者个人信息的行为进行严格监管,91.8%的受访者担心第三方供应商和政府搜集的个人信息过多。
在对学生态度的研究上,Asher等[9]在8所美国高等教育机构开展了一项调查,记录学生对学术图书馆参与学习分析和隐私问题的想法,该调查收到了2 200份回复。尽管大多数学生表示对图书馆和图书馆员有很高的信任度,但仍有的少数学生持相反观点。调查结果还显示,虽然学生认为图书馆员访问和共享个人身份信息构成侵犯隐私,但他们对图书馆所依赖的数据和分析实践缺乏了解。在另一项研究中,Connell等[10]选择了366名瓦尔帕莱索大学的新生作为样本,以了解他们对使用Facebook和MySpace作为外展工具的图书馆员的感受。绝大多数受访者都有在线社交网络个人资料,尽管大多数人表示他们将接受通过这些网站与图书馆联系,但少数人对此反应消极,因为他们担心可能侵犯个人隐私。
3.3 隐私保护措施研究
3.3.1 隐私保护措施类型。
(1)政策文本
图书馆隐私政策是大数据环境下读者个人信息保护的基石。为了尊重和保护用户权利,图书馆通过制订隐私政策,对线上线下可能涉及的读者隐私保护问题作出规定。目前,已有较多学者对高校图书馆隐私政策的制订、内容、可见性和可读性等进行分析和研究。
在隐私政策的制订上,澳大利亚国立大学、墨尔本大学等9所澳大利亚高校的图书馆对个人信息的保护措施较多,制订了一系列相关政策条款,且均设置了个人信息保护办公室,可见,澳大利亚高校图书馆普遍重视对用户个人信息的保护[11]。奥克兰大学图书馆为制订隐私政策声明成立了一个工作组,并明确了搜集、存储和处置图书馆用户私人信息时所涉及的一系列内部考虑事项[12]。
在隐私政策的内容上,许碧涵等[13]指出美国哈佛大学、麻省理工学院等10所高校的图书馆信息安全政策文本均标明重视用户个人基本信息、借阅信息等敏感信息的保护,强调保护用户隐私是图书馆长期的价值追求。McKinnon等[14]对加拿大学术图书馆最常合作的4家供应商SirsiDynix、OCLC、EBSCO、Ex Libris进行了审查,发现4家供应商的隐私政策包含的信息大致相同,如都含有关Cookie以及如何通过使用Cookie搜集数据的信息。其中,SirsiDynix的隐私政策中包含了更多内容。
在隐私政策的可读性和可见性上,Katulic等[15]以45个欧洲国家图书馆的隐私文件为样本进行调研,结果显示欧洲国家图书馆基本遵守了欧盟的数据保护标准,其中:有27个的图书馆使用单独的隐私页面;有29个使用了Cookie声明;有11个图书馆没有发布隐私声明或Cookie声明。同时,其调查了欧洲国家图书馆对《一般数据保护条例》(GDPR)的强制性要素和WP29/EDPB透明度准则的服从性,结果显示51%的欧洲国家图书馆已经按照WP29/EDPB透明度准则充分实施了隐私政策,这也说明GDPR的应用促进了欧洲国家图书馆个人信息保护的透明度。
(2)技术保护
技术是图书馆隐私保护的主要手段。传统的技术已不能满足现代图书馆个人信息保护的要求,有学者开始对高校图书馆针对隐私保护使用的新型技术进行探索。目前,国内清华大学、武汉大学等“双一流”高校的图书馆的创客服务开展得如火如荼,王建功[16]提出应利用区块链技术构建创客服务平台,借助区块链的数据安全与隐私保护关键技术如时间戳、哈希函数、非对称加密算法等,以其加密特性保障用户的信息安全,为大数据时代重新构造信任体系。印度浦那大学图书馆采用RFID技术,因绝大部分安装在图书馆资料中的标签只包含项目ID,且RFID标签只能在两英尺(6米左右)或更短的距离内读取,因此能较好地保护用户的隐私[17]。传统上学术图书馆通过IP认证提供在线资源的访问,但IP访问是一种过时的技术,会给图书馆和出版商带来安全问题。美国波士顿学院的系统图书馆员将隐私融入日常实践,其通过实现OpenAthens来完成基于SAML的联合身份管理的过渡。OpenAthens是一种访问工具,它将取代大部分在线资源的IP认证,在不影响用户隐私保护的情况下实现对在线资源的访问[18]。美国田纳西州中部州立大学图书馆正探索在其发现层中使用Matomo这一免费的开源软件应用程序进行网络分析的可行性,其与Google Analytics相比具有一些显著优势,因为前者是在Copyleft GPL免费和开源软件(FOSS)许可下授权的,并且其在设计时以用户隐私为核心[19]。英国巴斯温泉大学图书馆在与IT部门和第三方软件供应商合作的单点登录项目中提出一种学术图书馆可以更有力地保护用户隐私的方式,即进行身份和访问管理:其在系统审查和限制发布给第三方提供商的数据方面扮演着专家的角色——既可以作为技术解释和合作的代理人,也可以在协商订阅和续订时发挥作用[20]。
(3)保护指南
隐私保护指南是为确保个人信息在处理、使用和存储过程中得到妥善保护而制订的指导性文件。美国、加拿大、英国、澳大利亚等国家的图书馆行业协会或教育部门大多制订了图书馆用户隐私保护指南,比较具有代表性的如澳大利亚图书馆与信息协会(ALIA)《图书馆隐私保护指南》、英国图书情报专业人员协会(CILIP)《图书馆用户隐私指南》等,其对这些国家包括高校图书馆在内的各个图书馆用户隐私保护均有指导作用[21]。Noh等[22]制订了适用于任何图书馆的图书馆隐私指南,内容包括目的、定义、隐私范围、法律和政策、一般信息、图书馆在处理个人信息方面的工作表现以及图书馆分包商等,旨在遵循修订后的《图书馆隐私法》实施规定、改进图书馆隐私指令,确保与相关的法律法规保持一致,进而实现图书馆隐私指南的规范化。
(4)隐私教育
仅仅通过制订法律法规、政策文本和发展新兴技术无法实现最佳的隐私保护效果,而开展隐私素养教育可以使用户和馆员更好地了解隐私知识和相关技术,从而提升馆员隐私服务水平,增强用户自身的隐私保护能力。
Hartman-Caverly等[23]探讨学术图书馆中隐私和隐私素养(PL)教学的过去、现在和未来可能性,并通过调查确定了学术图书馆员在提供隐私素养教学时使用的理由、主题、背景、方法、评估方式以及遇到的障碍。同时,作者在美国宾夕法尼亚州立大学伯克利分校图书馆展开信息素养主题研讨会,提出在尊重学生个人技术使用方面的自主权和能动性的基础上,发展他们在隐私和个人信息商品化方面的知识实践,同时体现知识自由的图书馆核心价值。目前,已有很多高校图书馆进行了隐私教育的实践,如美国康奈尔大学图书馆提供的隐私服务包括了数字隐私素养教育,会定期举办隐私素养课程培训及隐私研讨会、讲习班、座谈等活动来满足用户隐私知识需求,提高用户数字隐私素养[24];美国、澳大利亚、英国等国的18所高校的图书馆开展数字素养教育,呈现出多元主体实施、重视馆员培训、教育方式嵌入学术科研全过程、尊重隐私与数据安全等特点[25]。
3.3.2 隐私保护措施存在的问题。
(1)隐私政策宣传力度不足
通过对加纳3所顶尖高校的图书馆的隐私实践进行调研,Avuglah等[7]发现其学术图书馆员在促进图书馆的隐私保护方面并不积极,图书馆员和学生普遍对与隐私有关的图书馆惯例、政策和程序缺乏认知,图书馆在提供隐私教育以及向员工和读者传达自身和供应商的隐私政策方面做得很少。
(2)隐私政策未达到标准
Magi[26]根据入学人数确定了美国最大的20所高校,随后通过联系这些高校的图书馆馆长确定27个资源供应商并使用内容分析的方式来评价这些供应商的隐私政策是否符合图书馆行业和信息技术行业制订的标准。结果显示,虽然大多数供应商均有隐私政策,但未能表达对图书馆员职业和信息技术行业为处理和保护用户信息而制订的许多标准的承诺。Valentine等[27]检查了从美国研究图书馆协会(ARL)成员馆的公共网站上收集的78项政策是否符合美国图书馆协会(ALA)关于隐私政策内容的准则,其基于ALA隐私政策指南的演绎码本对所有政策进行编码,结果表明对ALA指南的政策依从性较低。78项政策中没有一项包含源自指南的所有20个代码,只有6%包含一半以上的代码,没有一项政策包含超过ALA建议内容的75%。这项研究表明,大多数图书馆没有提供全面的关于如何获取、使用和共享用户数据的政策。
(3)技术保护存在漏洞
Obrien等[28]对279所高校的图书馆主页进行分析以确定是否存在HTTPS、Google Analytics服务和隐私保护功能,结果表明,绝大部分图书馆都实施了Google Analytics服务,但只有极少数网站通过HTTPS安全地连接到谷歌或实施了Google Analytics IP匿名化,而这可能会造成用户信息的泄露。
(4)执行与监督力度不强
Siskin等[29]对土耳其安卡拉15所高校的图书馆的个人数据管理实践进行分析,发现几乎一半的图书馆没有获得用户对个人数据收集和处理的授权,这些图书馆并没有进行个人隐私保护的实践,也没有人对此进行监督。Marino[30]对124个ARL成员馆网站主页上的第三方跟踪Cookie实例进行编录,并在41个ARL站点上被识别(33.06%),这些均为学术图书馆。虽然四分之三的图书馆网站确实在网页的某处包含了Cookie或隐私政策的链接,但很少通过透明、突出和交互式的Cookie声明让用户完全控制登录在自有设备的Cookie。
4 研究结论及展望
4.1 研究述评
通过综合全面的梳理发现,当前对高校图书馆隐私的研究已取得丰硕成果。针对隐私问题,现有研究从用户信息采集、个性化数据服务和数据共享等多个角度进行深入分析。在隐私态度的研究方面,研究聚焦于特定问题,如图书馆员对用户隐私保护、用户对学术图书馆的数据分析和隐私问题等,通过调查收集了大量的数据和回复,使研究结果更具客观性和可靠性。关于隐私保护措施的研究涵盖了政策文本、技术保护、保护指南和隐私教育等多个方面,提供了综合全面的视角,此外,研究还跨越了不同国家,展示了各国高校图书馆在隐私保护措施上的差异和相似之处,为国际经验交流和借鉴提供了重要依据。
综合来看,现有研究也存在以下不足。第一,研究的广度相对有限,缺乏全球范围内的综合比较和广泛调查,这限制了研究结果的普遍适用性。此外,对具体隐私问题和风险的深入分析相对较少,研究主要停留在问题的描述和表面现象的分析,缺乏对背后原因和潜在影响的深入研究。第二,大多数研究聚焦于图书馆员和大学生的态度,其他用户群体的观点和意见相对缺乏,可能导致对整体态度的理解不完整。第三,当前研究主要关注隐私保护措施的特定方面,如政策、技术、教育,但缺乏综合性的研究,难以全面理解和分析隐私保护的整体效果和互动影响。第四,现有研究主要是对当前情况的描述和分析,缺乏对隐私保护措施的长期追踪研究,无法评估措施的持续有效性和适应性。
4.2 现实启示
根据前述研究,图书馆在隐私保护方面存在诸多不足,如宣传教育不足、隐私政策未达到标准、技术保护措施不完备以及缺乏有效的执行监督等,结合国内外图书馆现有的隐私保护问题和应对措施,高校图书馆可采取以下策略科学地处理隐私问题。
在隐私政策方面,首先,高校图书馆需要加大对隐私政策的宣传力度。加纳学术图书馆的案例表明,对隐私政策和实践的了解不足可能导致隐私保护措施的落实不力,因此,高校图书馆可以通过举办研讨会、发布教育视频等形式,确保图书馆员和学生都充分理解隐私政策的重要性。另外,高校图书馆在选择数据库和电子资源供应商时,需要审查其隐私政策,确保这些政策符合本馆的隐私保护标准,并在合同中明确相关的隐私保护条款。在技术方面,高校图书馆应加强使用HTTPS、数据匿名化、区块链等现代技术来保护用户数据,同时更新访问控制技术,并积极参与身份和访问管理,确保必要的用户数据被安全地处理。在执行和监督上,高校图书馆应确保个人数据管理实践得到用户的明确授权,并有效管理第三方跟踪Cookie,提升透明度和用户控制权限。同时,高校图书馆需要制订和参照隐私保护指南,开展隐私素养教育,提升馆员和用户的隐私保护意识和技能。
4.3 未来展望
在应对不断变化的隐私挑战时,未来的研究和实践需要采取更全面、更深入的方法。首先,需要扩大研究范围,涵盖更多不同地区和高校的图书馆以广泛调查,提高研究结果的普适性。同时,深入分析具体的隐私问题和风险,探究其背后的原因和潜在影响。其次,应该关注其他相关群体的观点和意见以获得更全面的理解,准确把握用户整体对隐私问题的态度。再次,需要进行综合性研究,关注隐私保护措施的各个方面,并探索它们之间的相互作用,这将有助于更好地理解隐私保护措施的整体效果和效能。此外,进行长期追踪研究,对隐私保护措施进行持续评估和调整,确保评估措施的持久有效性和适应性,并随着技术和社会环境的变化适时调整和改进。最后,进一步关注隐私教育的有效性和策略,培养用户和馆员隐私保护的意识和能力。
除了已经涉及的研究方向,未来在高校图书馆隐私研究中还可以更多地进行隐私风险的评估与管理,探索隐私风险评估方法,建立隐私风险评估指标体系。同时,应深入研究用户参与隐私保护决策和图书馆治理的机制与实践,如用户数据控制权、隐私权利的认知等。在研究方法上,可以借鉴其他学科的理论和方法,如信息科学、社会学、心理学等,进行与高校图书馆隐私保护相关的跨学科研究,以全面理解和解决隐私保护问题,为构建安全可信的高校图书馆隐私环境提供更科学的理论支撑和技术保障。