云时代下图书馆数据保护合规体系的提倡与构建
2024-04-30刘梦
摘 要:对云时代下图书馆的数据类别与面临风险进行了研究,考察了域外以美国为代表的图书馆数据保护行业合规模式和以德国为代表的图书馆数据保护法律合规模式,立足于我国图书馆核心价值与信息组织变革原理的理论基础、数据立法及图书馆数据安保法定义务的规范基础、国内企业合规与数据合规浪潮勃兴的实践基础,提出我国应以数据保护合规治理理念为“一体”,以数据保护合规计划、数据保护合规岗位组织体系、图书馆全数据保护合规文化、图书馆全数据保护合规技术为“四翼”,形成图书馆全流程数据保护合规体系。
关键词:云时代图书馆;数据保护合规;一体四翼;本土构建
中图分类号:G251 文献标识码:A 文章编号:
Advocacy and Construction of Data Protection Compliance System of Libraries in the Cloud Era
LIU Meng
Abstract: This paper studies the data categories and risks faced by libraries in the cloud era, examines the compliance model of library data protection industry represented by the United States and the legal compliance model of library data protection represented by Germany. Based on the theoretical basis of China's library core values and information organization reform principles, the normative basis of data legislation and library data security legal obligations, and the practical basis of the booming tide of domestic enterprise compliance and data compliance, the paper proposes that China should take the concept of data protection compliance governance as "one body", and take the data protection compliance plan, the data protection compliance post organization system, the library full data protection compliance culture, and the library full data protection compliance technology as "four wings" to form a library full process data protection compliance system.
Keywords: cloud era library; data protection compliance; one body with four wings; local construction
云计算技术(Cloud Computing)正在日益将我们的时代带入全新的云时代[1],与之相应的是,云计算的应用给图书馆带来了巨大变革。在阅读空间领域,各地图书馆不断以网站、微信公众号、APP等信息网络形式的数字图书馆为广大用户拓展阅读云端空间;在阅读管理领域,人脸识别门禁系统、自助借还书系统、图书馆员工考勤系统、研讨空间预约管理系统等智慧化服务系统不断上线,给广大用户带来了全新的阅读服务体验。
一个组织的发展离不开良好的数据治理。在社会数据治理的大背景下,数据作为图书馆开展服务的基本载体,其价值与安全需要图书馆管理人员加以万分重视。图书馆数据保护如何因应云时代的背景,创新数据保护模式,成为图书与情报学界研究人员亟须解决的一大议题。基于上述思考,本文旨在提倡我国图书馆构建“以树立基于风险防控的数据保护合规治理理念为顶层设计,以合规计划、合规岗位、合规文化、合规技术为四大支撑”的数据保护合规体系,以期在云时代下更好地保护图书馆全流程数据,防范图书馆数据可能面临的安全风险,保障图书馆云升级的顺利进行,发挥图书馆的公共资源服务功能。
1 数据风险:云时代下图书馆数据的区分与风险识别
云计算时代,数据和个人信息变成“云”上的黄金具有巨大的價值[2]。数据处理业务的数量和范围都在稳定地迅速增加,可以预见的是数据安全漏洞的数量也将增加。为对图书馆数据进行全面的保护,防止数据价值流失与数据价值被破坏,就必须对图书馆所拥有的全部数据进行梳理,并识别出相关数据可能面临的安全风险。由于新型信息网络技术的参与,图书馆数据纷繁复杂,但可以对其进行不同层次的属性划分,进而相应地发现不同层次数据所面临的不同的安全风险。云时代下图书馆的全部数据大体上可区分为微观层、中观层以及宏观层三个层次的数据,而三类数据都不同程度地面临着安全风险。
1.1 云时代下图书馆数据的属性区分
在大数据和人工智能共同驱动下,图书馆开展智慧服务客观上需要尽可能全面地掌握各方面的数据。作为阅读服务提供者,图书馆既需要掌握卷帙浩繁的数字文献资源以为用户提供数字阅读服务,也需要掌握用户个人数据以为其提供门禁识别、在线借阅、个性化推荐智慧服务;作为公益事业机构,图书馆既需要掌握员工的个人数据以实现馆舍的正常运转,也需要掌握相关的公共数据甚至国家数据来为政府提供决策咨询等工作。
在微观层面,图书馆数据涉及的主要是个人数据,而个人数据又可以被区分为用户的个人数据与员工的个人数据。在云时代下,为保障图书馆运行秩序与提供更为智能的阅读服务,图书馆往往通过注册登录、cookies、行为过程抓取等获取用户个人数据。所谓员工的个人数据,实际上指的是作为工作人员的图书馆广大员工的个人数据。无论是政府图书馆、高校图书馆还是公私共建图书馆,为实现可持续的日常运营与管理,必然需要对馆内工作人员的个人数据加以收集与利用。
在中观层面,图书馆作为公益事业机构,其云平台本身也存储着大量图书馆本身的运行数据。其一,馆藏资源数据在云时代背景下主要体现为以电子形式存在的各类图书文献资源。对图书馆来说,馆藏资源数量的多少与质量的高低直接影响图书馆的用户数量,馆藏资源数据就是智慧图书馆服务开展的立身之本。其二,图书业务数据包括馆藏资源的采编流通数据、电子资源的使用数据、业务活动的日志数据以及咨询服务的相关数据等。图书业务是图书馆开展的主要业务,业务数据记录了图书馆资源利用和服务开展的情况[3]。其三,图书馆管理数据包括人事、财务、数据商和上游产业链等数据,是图书馆运行的必要保障。和企业、政府一样,图书馆也需要建立起人事、财务等一系列管理制度,以保障图书馆的规范运营。
在宏观层面,图书馆数据还可能涉及政府与国家数据。其一,公共图书馆需要整合公共开放数据,与各级政府部门合作,关联政府开放数据,其间必然涉及众多政府数据与国家安全数据。其二,高校图书馆由于往往涉及为党和政府提供决策咨询工作,高校图书馆的数据也涉及众多政府数据与国家安全数据。其三,即使是私立图书馆,其同样具有公益事业的属性。在此期间,同样会涉及许多政府数据与国家安全数据。
1.2 云时代下图书馆数据的安全风险
云时代下,“数据分析和存储有很多问题需要解决”[4]。无论是微观层面的用户个人数据或员工个人数据,还是中观层面的图书馆云平台运行数据,抑或宏观层面的政府数据和国家安全数据,都面临着不同程度的安全风险。
一是个人数据的不当收集与利用风险。《欧盟基本权利宪章》中明确规定,个人数据保护权是一项基本权利,因此,个人数据保护权应当得到默认保护[5]。然而,云时代的图书馆中,无论是用户个人数据还是员工个人数据,在收集、存储、传输等每个环节都存在非授权访问与收集风险、信息载体的泄漏风险。
一方面,在数据收集过程中,图书馆用户个人数据和员工个人数据面临着未经同意收集和过度收集的风险。对用户个人数据而言,APP、网站等形式的智慧图书馆通常以“个人信息保护协议”“隐私声明”等形式告知用户,但图书馆用户面对具体告知内容处于明显的弱势地位[6]。对员工个人数据而言,图书馆收集员工个人数据同样需要履行“告知—同意”程序。如果图书馆未履行这一程序,在办公场所安装视频监控或人脸识别设备,安装电脑监控软件监控员工的电子邮件、社交媒体聊天记录等,以及为员工配备智能手环以监控其行踪轨迹,均有可能侵犯员工的个人数据受保护权[7]。
另一方面,在数据利用过程中,图书馆用户个人数据和员工个人数据还面临着不当利用的风险。在国外,曾有美国公司通过综合运用人脸识别、定位追踪与社交网络数据分析等技术手段,准确预判了员工的离职意向,并将其提前解雇。我国,囿于立法时间较早、理论研究深度不足等原因,由于尚无统一标准的个人数据处理操作规程,导致用户个人数据和员工个人数据被泄露、丢失、盗用、编造、篡改、毁损、出售等情况无法杜绝。
二是平台数据与国家数据的泄漏风险。部分平台运行数据属于商业秘密的范畴,其泄露可能会影响图书管理市场;政府数据和国家数据直接影响国家安全,其泄露则直接影响我国在全球的数据市场主体地位。近日国家互联网信息办公室公布对滴滴全球股份有限公司依法作出网络安全审查行政处罚80.2 6亿元的决定[8],这表明,即使是私人企业也有可能因为侵犯国家数据安全而被科处法律责任。举轻以明重,云时代图书馆对所涉及的政府数据与国家数据的处理行为同样需要受到重视。
2 他山之石:域外图书馆数据保护合规的考察借鉴
在全球范围内,数据的有效保护已经成为各行各业保持长久生命力的必要前提,而合规成为数据保护的最有效途径。纵览域外,英美法系逐渐形成了以美国为代表的图书馆数据保护行业合规模式;大陆法系逐渐形成了以德国为代表的图书馆数据保护法律合规模式。两大法系的图书馆数据保护合规模式,为我国图书馆数据保护提供了制度与经验借鉴。
2.1 英美法系:美国图书馆数据保护的行业合规模式
英美法系对图书馆数据保护的意识较为前卫,美国从联邦到各州自上而下普遍比较重视图书馆数据的保护,形成了以行业自律为主、法律规范为辅的图书馆数据保护行业合规模式。
从美国图书馆数据保护合规的规范进程来看,在美国图书馆数据保护的行业合规模式中,发挥最大作用的主體是美国图书馆协会(American Library Association,简称ALA)。自20世纪上半叶至今,ALA颁布了众多图书馆数据保护合规文件,并构建了一套相对成熟的图书馆数据保护内控体系,推动了图书馆数据的全面保护。从图书馆数据保护合规文件来看,一是1939年采用的《图书馆权利法案》。2019年的新增条款指出:“图书馆应该保护所有图书馆使用数据,包括个人身份信息。”[9]二是1939年颁布的《伦理准则》,该准则宣称“图书馆员有义务将在工作中获得的用户私人信息视作机密”。以上两份文件均在宏观上表明了美国图书馆协会对于数据保护的积极态度和原则。三是2005年出台的政策性文件《制定图书馆隐私政策指南》。该指南在微观上明确了图书馆数据保护的若干合规措施[10]。从图书馆数据保护内控体系来看,一是确立了图书馆隐私管理的组织框架,为图书馆开展隐私管理工作奠定了坚实的组织基础;二是设置了图书馆隐私官,用来监控用户隐私方面的新闻和信息,制定响应公众、媒体、政府机构有关数据请求的程序等;三是明确了信息技术人员的隐私管理职责[11]。
从美国图书馆数据保护合规的实践探索来看,美国图书馆数据保护的行业合规模式在实践中得到了广泛应用。例如,美国国会图书馆官网上的《网站用户和在线馆藏隐私政策》对用户数据、馆藏数据等图书馆数据保护提供了合规政策。图书馆制定了保护措施来保护存储的信息,包括仅允许需要访问以履行其职责的指定员工和承包商进行访问[12]。又如,纽约公共图书馆在其官网上也有数据保护合规的相关声明,2021年7月修订的《纽约公共图书馆隐私政策》规定,图书馆仅收集提供读者当时使用的服务所需的最少信息,并尽最大努力尽早将其删除。图书馆不会尝试识别个人读者或其使用习惯,也不会在顾客拥有的设备上安装任何软件。与此同时,网站还公布了首席数据官的联系方式,读者可以利用图书馆网站提供的渠道投诉,通过专门的保护渠道维护权益[13]。
2.2 大陆法系:德国图书馆数据保护的法律合规模式
在数据保护领域,细法长牙的欧洲联盟通过数量繁多的法律规范为数据保护织就出一张密不透风的网络,大陆法系的诸多国家同样通过出台相应的数据保护法或数据保护条例来保障数据安全。以德国为例,欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)、本国的《联邦数据保护法》(Bundesdatenschutzgesetz,BDSG)两部法律共同为图书馆数据保护提出了合规要求,打造出了德国图书馆数据保护的法律合规模式。
从德国图书馆数据保护合规的规范进程来看,其可以等同于德国数据保护的规范进程,因为图书馆数据作为公共机构数据的一种,共同受到整体数据保护法律规范的支配。为图书馆数据保护合规起着最大作用的是GDPR和因应该条例而出台的本国的BDSG。
其一是2018年5月正式施行的GDPR。GDPR第4条规定,“数据控制者”指的是决定个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体[14]。这意味着,作为公益事业机构的图书馆同样需要遵守GDPR的全部规定,在数据收集、利用和流动全流程中保障图书馆数据保护合规。GDPR条例第4章规定数据控制者/处理者进行数据保护的合规义务与执行细节,主要分为一般义务、数据保护影响评估和事先咨询、数据保护专员、行为准则与认证。这五项合规义务共同构成了德国图书馆数据保护合规的完整体系,其中需要特别说明的是数据保护官(Data Protection Officer,DPO)。GDPR规定,所有公共机关和符合设立条件的私营企业或组织必须依法设立数据保护官[15]。
其二是与GDPR同日实施的BDSG。该法案许多内容参照了GDPR,并对部分内容进行了国内转化。第一,BDSG同样并没有对图书馆数据保护的合规制度作出明确的规定和要求,而是以合规要素的形式散见在法案之中。第二,该法案同样就公共主体的合规要素做了特殊规定,合规并非只是私营部门面临的问题,而是可以扩散到其他组织体[16],因此,无论是根据国际法还是国内法,德国图书馆都需要履行数据保护合规义务。第三,BDSG 第26条对GDPR所规定的员工数据保护的进一步细节进行了规范。在进行合规检查时,雇主必须采取适当措施,确保遵守GDPR下的数据保护原则。
从德国图书馆数据保护合规的实践探索来看,德国图书馆数据保护的法律合规模式在各大图书馆网站的《隐私政策》等文件中体现得尤为明显。由于有法律规范作为强制力保障,德国图书馆数据保护的合规措施效果也十分鲜明。例如,柏林国家图书馆官网的数据保护声明即规定,其是根据GDPR所制定。该图书馆的数据保护声明涵盖了图书馆对所有数据保护的合规措施,主要包括负责人的姓名和地址、有关数据处理的一般信息、数据保护官等8个方面[17]。又如,科隆大学图书馆网站的《隐私政策》同样规定,根据GDPR第13条制定本声明,并概述了图书馆的数据保护合规体系[18]。
3 法律移植:我国图书馆引入数据保护合规的可行性
图书馆数据保护合规作为一个外来概念,能否以及在多大程度上运用进我国的图书馆领域,根本上是一个法律移植问题。英国学者沃森指出,法律的民族性并不排斥法律移植,法律移植是法律发展的重要原因,“从最早的有记录的历史时期起,法律移植一直是屡见不鲜的。”[19]图书馆领域能否建立起数据保护合规制度体系,关键在于我国是否有该制度生成的理论基础、法律空间以及实践土壤。幸运的是,我国图书馆引入数据保护合规具有可行性。
3.1 理论基础:图书馆核心价值与信息组织变革原理
我国图书馆引入数据保护合规制度的理论基础有二,一是图书馆学中的图书馆核心价值理论,二是信息管理学中的信息组织变革原理。
图书馆核心价值是图书馆和图书馆员在为社会提供服务时所用该具有并坚持的一系列价值观。根据中国图书馆学会通过的《图书馆服务宣言》,一方面,图书馆的核心价值在于关怀读者人格,实现和保障公民基本阅读权利;另一方面,图书馆的核心价值还在于文献信息资源共建与共享,促进与推动知识和信息的开放存取。因此,图书馆的核心价值包括关怀读者人格与促进信息利用,图书馆需要在二者之间寻求平衡。那么,为了达到数据保护与信息自由两大图书馆核心价值的平衡,云时代下图书馆就必须采取相应的措施,在进行数据保护的同时厘清信息自由的边界,而这些措施正是数据保护合规制度发展的基础。
信息组织变革原理是信息管理学中的一个概念。当组织面临来自顾客、员工、主管或三者皆有的内部压力,或者面临来自包括政府法规、外部竞争、政治与社会潮流等外部压力之时,内外部压力就会促使组织进行变革以提升内部管理和适应外部环境[20]。数字经济环境下,从政府到高校,各个组织都在不同程度地随着时代的发展而进行组织形态变革。实证研究发现,平台型组织变革中的理念变革、结构变革与流程变革对员工创造力具有正向影响[21]。同样,在数字经济环境下,图书馆信息服务呈现出新特征,并需要以新特征为动因研究图书馆组织与服务变革模式。新信息环境及用户新信息行为的涌現,信息资源结构的变迁,技术环境的日新月异,促使图书馆的信息组织的变革,要求融入新的信息组织理念[22]。
3.2 规范基础:图书馆的数据处理者地位与安保义务
数据保护领域的立法和图书馆专门领域的立法共同为图书馆引入数据保护合规制度奠定了规范基础。在数据保护领域的立法中,我国出台的若干法律均在不同程度上确认了包括图书馆在内的数据处理者的数据安全保护义务和合规制度体系建设义务。其一,《网络安全法》第10条规定了建设、运营网络或者通过网络提供服务者的网络安全保障义务,第40—43条规定了网络运营者对用户信息的保密义务。其二,《数据安全法》规定了数据处理者的合规义务,第4章对企业开展数据活动中应承担的数据安全管理保护义务及责任均做了明确规定。其三,《个人信息保护法》第58条明确规定了提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者按照国家规定建立健全个人信息保护合规制度体系的数据合规义务。以上三部法律从最广义的网络安全到数据安全再到个人信息安全,循序渐进、愈来愈细地对数据处理者的合规义务进行了明确。云时代下,图书馆往往以APP、网站、小程序等形式来提供线上数字阅读服务,在收集和利用各类图书馆相关数据的过程中,其扮演的角色就是数据控制者及处理者,自然需要遵守以上法律的规定,履行数据合规义务。
在图书馆领域的专门立法中,以《公共图书馆法》为首的图书馆一系列法律及规范性文件同样确立了图书馆的信息安全保障义务。其一,2018年修正的《公共图书馆法》第43条规定公共图书馆应当妥善保护读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息,不得出售或者以其他方式非法向他人提供。其二,2012年5月1日实施的《公共图书馆服务规范》(GB/T28220—2011)规定了图书馆服务资源、服务效能、服务宣传、服务监督与反馈等内容。在云时代下,图书馆安全定义已经从传统物理空间安全扩张到非传统网络空间安全[23],因此,所谓的安全保障义务不仅存在物理空间,也存在于网络空间。图书馆必须在网络空间做好数据的安全保障义务。
3.3 实践基础:国内企业合规与数据合规浪潮的勃兴
作为一个外来概念,“合规”已经不断融入我国的司法实践,并成为各个部门法争相进行法律移植的重要对象。合规在我国的发展,最先于刑法部门法中出现,此后行政合规、数据合规在理论界不断被热议,在实务界不断被试点,逐渐形成如火如荼之态势。在国内企业合规与数据合规浪潮的勃兴之下,作为公益事业机构的图书馆吸取我国企业数据合规的实践经验教训、建立并完善数据保护合规制度体系,也就具有了实践基础。
其一,随着全国企业合规改革试点工作的逐步推进,企业合规正以不可阻挡之势,迅速席卷企业犯罪的司法实践。2020年3月起,最高检部署在江苏省张家港市、深圳市宝安区等6个基层检察院开展第一批涉案企业合规改革试点;2021年3月起在北京、上海、江苏、浙江等10个省份开展第二期试点工作;2022年4月起,全国检察机关全面推开涉案企业合规改革试点[24]。其二,数据合规的发展逐渐初具规模。网络社会背景下,数据成为社会的基本生产要素,亦成为大量企业业务开展的重要依托。所谓数据合规,就是指互联网平台企业、高新技术企业在数据要素市场化配置过程中,通过采取合规措施,防止个人隐私数据、企业资产数据、国家安全数据等数据被滥用或泄露,以保障数据从产生至传递、处理、存储到最终销毁整个过程中的安全,进而避免自身陷入刑事追诉的境地。我国最早探索数据合规行政监管激励机制是在证券监管领域,在实践中,数据合规的发展已经拓展到多个领域。
4 本土构建:我国图书馆数据保护合规体系之展开
从我国法治的历史进程来看,与大陆法系更具有亲缘关系,因此图书馆数据保护领域的合规措施更有可能借鉴大陸法系的法律合规模式。德国注册会计师协会关于合规的IDWPS980标准包括七个基本要素:合规文化、合规目标、合规风险、合规计划、合规组织、合规沟通、合规监控和改进,以及许多重要的设计准则[25]。我国图书馆数据保护合规体系之展开可以以基于风险防控的数据保护合规治理理念为“一体”,以包含隐私政策在内的数据保护合规计划、权责独立的数据保护合规岗位组织体系、从上至下的图书馆全数据保护合规文化、快捷高效的图书馆全数据保护合规技术为“四翼”,通过“一个立足点”和“四个着力点”,进而形成图书馆全流程数据保护合规体系。
4.1 一个立足点:基于风险防控的数据保护合规治理理念
为实现图书馆数据保护的全流程合规,图书馆管理部门与工作人员需要首先树立起基于风险防控的数据保护合规治理理念。合规意味着一种新型现代公司治理理念和治理方式,正因为从经济价值至上到社会责任优先这一公司治理理念的变化,现代公司主体才能够顺利地走向合规的道路。对图书馆而言同样如此。只有当所有相关人员在信念和价值观的基础上形成共识,才能实现合规管理的效率。
在此,需要明确的是:建立健全数据保护合规制度体系,对于图书馆而言应当是一项强制性义务还是一项选择性义务?当前,我国各级图书馆的技术、法务、财力等资源参差不齐,若以统一的高标准来要求,将会造成一些图书馆的制度空转[26]。因此,本文更倾向于将数据保护合规作为图书馆数据保护的激励性措施,数据合规是图书馆的一项选择性义务而非强制性义务。以刑事合规为例,我国学者普遍认为,刑法并不要求合规是强制性的,实施合规并不是一种刑事强制义务,而仅仅是一种刑法激励条件[27]。在图书馆领域,限于我国当前对于合规强制性规定的欠缺,数据保护合规同样也不是一项强制义务。
4.2 着力点之一:包含隐私政策在内的数据保护合规计划
欧盟GDPR要求必须在集团内实施一个有效的合规管理系统,第一步是在集团内部通过一个相关的、有约束力的准则[28]。作为“基本法”的书面的数据保护合规计划是图书馆实施数据合规的前提,因此,图书馆需要制定既面向图书馆外部又面向图书馆内部的全流程数据合规的相关合规计划,识别图书馆数据可能面临的各种合规风险并给出相应的对策。
面向图书馆外部,数据保护合规计划主要体现在针对用户的隐私政策和声明。隐私政策需要明确地展示出图书馆保证读者在利用图书馆资源过程中个人信息不被泄露或被第三方非法利用而所采取各种措施,在规定公共图书馆的义务与责任之外,也应规定免责声明,防止其过分承担法律义务。亦即,在涉及读者过错、不可抗力和第三方过错,且图书馆已尽到合理注意义务和管理职责时,图书馆不承担损害赔偿责任。
面向图书馆内部,数据保护合规计划主要体现在图书馆数据的内部流程处理规定。通过精心制定的合规协议,各方可以减少合规控制和内部调查中始终存在的数据保护风险。例如,中兴公司建立了包括手册、政策、原则性规范、场景化指引的四级数据保护合规规则架构。员工手册分为总册和业务领域分册,尤其强调引入运营商业务、政企业务、消费者业务等具体业务场景后对总册进行细化;还分别制定了管理体系类政策、通用要求类政策、专项治理类政策、相关方管理类政策[29]。图书馆可以仿照中兴公司的四级数据保护合规规则架构,在图书馆内部制定出完整的数据保护合规制度。
4.3 着力点之二:权责独立的数据保护合规岗位组织体系
在书面的数据保护合规计划之下,需要具体的数据保护合规人员对其加以落实,这就促使图书馆制定一套完整的数据保护合规岗位组织体系。归纳而言,数据保护合规组织体系事实上包括合规部门和合规人员两个部分。
其一,图书馆应当逐渐建立起权责独立的数据保护合规部门。我国《个人信息保护法》等法律明确规定了信息处理者按照国家规定建立健全个人信息保护合规制度体系的数据合规义务,图书馆也应当审时度势,设置数据安全保护部门,严格落实数据安全保护职责。我国图书馆可以设立处理涉及数据安全问题的专门合规机构,对图书馆信用服务中的数据管理进行监督,为图书馆用户提供数据权益保护渠道。设置独立的数据保护部门不仅能够保护用户数据不被恶意篡改和非法使用,同时也能够推动数据保护政策的实施[30]。
其二,图书馆应当逐渐建立起权责独立的数据保护合规岗位。具有独立地位的首席数据官或数据合规官的设置,是欧盟合规清单中最重要的一项事务。我国图书馆可以专门设立数据保护专员。图书馆可以立足于我国已有的为科研数据管理而服务的数据馆员制度,对其加以升级改造,使数据馆员成为具有中国特色的图书馆数据保护合规官。此外,数据保护合规官由图书馆内部高级管理层或合规部门中的工作人员担任,还是应当由图书馆从外部的律师事务所或审计事务所中聘请,应视图书馆规模和具体情况加以决定。
4.4 着力点之三:从上至下的图书馆全数据保护合规文化
正确的合规性要求形成一种高度的合规文化[31]。合规文化的建设意在表明,数据保护合规并不仅是图书馆本身的责任,而是图书馆组织体从上到下的每一个个体的责任。
一方面,图书馆应当巩固图书馆内部数据保护合规文化。数据保护合规的基本规范必须在培训课程/电子学习中传递给员工,员工对政策的明确和记录的承诺可以是这种培训的一部分,也可以以其他方式进行,例如作为雇佣合同的一部分。与此同时,员工必须能够在紧急情况下直接和保密的与举报人沟通,如果有必要也可以“绕过”他们的上级(举报人制度)。通过这条通往举报人的“热线”,然后也可以将信息直接匿名地提供给合规官员。
另一方面,图书馆应当形成图书馆行业数据保护合规文化。合规文化的规范性描述往往是通过对某些企业价值观的承诺发生的,如信任、宽容、透明、尊重、对话、可靠、诚实、公开、正直、纪律、客户导向、创新等。而这些价值观承诺在图书馆行业领域可以共同加以遵守和维护。依托于现存的图书馆联盟,图书馆可以构建行业数据保护合规文化。
4.5 著力点之四:快捷高效的图书馆全数据保护合规技术
图书馆全流程数据保护合规,意味着在产品和服务的设计之初以及业务开展全流程贯彻数据保护要求。对图书馆而言,在数据保护合规的过程中,还需要借助快捷高效的数据保护合规技术来保障个人数据收集的真实有效与其他数据利用的隐秘安全。
一方面,图书馆可以自行设计开发相关的图书馆数据同意管理平台、防泄露保密系统等数据保护合规技术。简洁上层的法律要求可以具化为繁杂且严格的下层技术细则,图书馆可以通过使用数据保护管理软件统一推出流程,实现标准化,使统一报告成为可能,并在整体上有效地减少风险。
另一方面,图书馆可以借助于第三方开发的数据合规技术,引入数据保护管理软件,搭建图书馆全流程数据保护合规的技术防线。不得不提醒的是,数据合规科技也要安全合规。作为新媒体服务的直接提供方,图书馆所采用的第三方数据保护合规技术如果对数据安全产生威胁,图书馆是最直接的损害赔偿者。因此,在与第三方数据合规科技公司开展合作之时,图书馆务必要进行全方位的考察。
5 结语
博尔赫斯曾言:“我心里一直都在暗暗设想,天堂应该是图书馆的模样。”[32]云时代下,图书馆日益从大地走向云端,包含个人数据、平台数据、政府数据等在内的各类数据也日益面临着安全风险。在此背景之下,借鉴国外图书馆的数据保护实践,我国图书馆也需要构建起具有本土特色的数据保护合规体系。以“数据保护合规治理理念”为立足点,以“包含隐私政策在内的数据保护合规计划、权责独立的数据保护合规岗位组织体系、从上至下的图书馆全数据保护合规文化、快捷高效的图书馆全数据保护合规技术”为着力点,构筑起“一体四翼”的数据保护合规体系,能为我国图书馆的数字化转型与全数据保护提供一条可行路径。
参考文献:
[1]朱利华.云时代的大数据技术与应用实践[M].沈阳:辽宁大学出版社,2019:1.
[2]Huang Kun.Information Security Problems and Solutions in Cloud Era.Journal of Physics: Conference Series,2021(1):012005.
[3]严昕.公共图书馆数据治理框架构建研究[J].图书馆,2020(5):58-63.
[4]Zeadally S,Badra M.Privacy in a Digital, Networked World:Technologies, Implications and Solutions[M].Berlin:Springer,2015:38.
[5]张衠.大数据时代个人信息安全规制研究[M].上海:上海社会科学院出版社,2020:172.
[6]王倩,顾雪莹.GDPR下涉欧企业的员工个人数据合规管理[J].德国研究,2021(2):117-131.
[7]敬力嘉.个人信息保护合规的体系构建[J].法学研究,2022(4):152-167.
[8]陆涵之.滴滴被罚80.2 6亿元[N].第一财经日报,2022-07-22(A04).
[9]Anonymous.Privacy Article Added to Library Bill of Rights[J].American Libraries,2019(5):34-37.
[10]王家玲.智慧图书馆模式下读者隐私技术保护研究[J].图书馆杂志,2017(9):82-88.
[11]ALA.Implementation of Privacy Policies and Procedures[EB/OL].[2022-09-01].http://www.ala.org/advocacy/privacy/toolkit/implementation.
[12]Library of Congress.Website User and Online Collections Privacy Policy[EB/OL].[2022-09-01].https://www.loc.gov/legal/privacy-policy/.
[13]New York Public Library.The New York Public Library Privacy Policy[EB/OL].[2022-09-02].https://www.nypl.org/help/about-nypl/legal-notices/privacy-policy/zh-cn.
[14]Art.4 GDPR [EB/OL].[2022-09-04].https://gdpr-info.eu/art-4-gdpr/.
[15]相麗玲,王秀清.中外数据保护官制度分析及启示[J].情报杂志,2021(6):137-142.
[16]张远煌.企业合规全球考察[M].北京:北京大学出版社,2021:232.
[17]Staatsbibliothek zu Berlin.Datenschutzerkl?倞rung nach der DSGVO (Privacy Policy) für staatsbibliothek-berlin.de[EB/OL].[2022-09-05].https://staatsbibliothek-berlin.de/extras/allgemeines/impressum/datenschutz-privacy-policy-1.
[18]Universitln.Datenschutzerklrung der Universit[EB/OL].[2022-09-05].https://portal.uni-koeln.de/datenschutz.
[19]阿兰·沃森.法律移植论[J].贺卫方,译.比较法研究,1989(1):61-65.
[20]约翰·森继,弗兰克·Y.王,凯伦·格拉维尔·达菲.社区心理学[M].曾守锤,史江英,何妮娜,译.上海:上海教育出版社,2020:365.
[21]朱祖平,曾国镇,朱睿剑.数字经济下平台型组织变革对员工创造力的影响研究[J].东南学术,2022(4):188-197.
[22]欧阳剑.泛在信息环境下图书馆信息资源组织研究[M].北京:知识产权出版社,2015:37.
[23]邓杰明.读者个人信息的保护:以《公共图书馆法》第四十三条为视角[J].图书馆研究,2019(3):14-20.
[24]张璁.把准适用条件 促进守法经营(法治聚焦)[N].人民日报,2022-07-14(14).
[25]Alexander Jung.Datenschutz-(Compliance-)Management-Systeme-Nachweis- und Rechenschaftspflichten nach der DS-GVO[J].ZD,2018(5):208-213.
[26]李雪健.大数据时代读者个人信息保护范式的应然选择[J].图书馆理论与实践,2022(4):76-86.
[27]李晓龙.数字化时代的网络金融刑事合规[J].南京大学学报(哲学·人文科学·社会科学),2021(5):97-111,159-160.
[28]Patrick Radner.IT-gestütztes Compliance Management System (Datenschutz) in einem Konzern[J].CCZ,2020(6):362-364.
[29]《中兴通讯隐私保护白皮书(2020)》[EB/OL].[2022-09-07].https://www.zte.com.cn/china/about/trust center/Legal-and-Compliance/201901230922/202004031553.
[30]陆和建,张思琪.信用服务下图书馆构建用户信息保护机制的若干思考[J].图书馆学研究,2019(5):14-18,79.
[31]Falk Müller.Die Vielfalt der Compliance ffentlichen Dienst[J]AT,2022(1):1-4.
[32]沈娟.光影图书馆[M].北京:中国戏剧出版社,2017:3.
作者简介:
刘梦(1999— ),女,博士研究生,东南大学网络安全法治研究中心研究人员,江苏省检察院与东南大学合作共建企业合规检察研究基地特约研究人员。研究方向:刑事法学、图书馆学。
