《云时代下图书馆数据保护合规体系的提倡与构建.docx》由会员分享,可在线阅读,更多相关《云时代下图书馆数据保护合规体系的提倡与构建.docx(22页珍藏版)》请在优知文库上搜索。
1、云时代下图书馆数据保护合规体系的提倡与构建摘要:对云时代下图书馆的数据类别与面临风险进行了研究,考察了域外以美国为代表的图书馆数据保护行业合规模式和以德国为代表的图书馆数据保护法律合规模式,立足于我国图书馆核心价值与信息组织变革原理的理论基础、数据立法及图书馆数据安保法定义务的规范基础、国内企业合规与数据合规浪潮勃兴的实践基础,提出我国应以数据保护合规治理理念为“一体”,以数据保护合规计划、数据保护合规岗位组织体系、图书馆全数据保护合规文化、图书馆全数据保护合规技术为“四翼”,形成图书馆全流程数据保护合规体系。关键词:云时代图书馆;数据保护合规;一体四翼;本土构建Advocacyandcons
2、tructionofDataprotectionComplianceSyStemof1.ibrariesintheCloudEraAbstract:Thispaperstudiesthedatacategoriesandrisksfacedbylibrariesinthecloudera,examinesthecompliancemodeIofIibrarydataprotectionindustryrepresentedbytheUnitedStatesandthelegalcompliancemodeIoflibrarydataprotectionrepresentedbyGermany.
3、BasedonthetheoretiCalbasisofChinarSlibrarycorevaluesandinformationorganizationreformprinciples,thenormatiVebasisofdatalegisIationandlibrarydatasecuritylegalobligations,andthepractiCalbasisoftheboomingtideofdomestIcenterprisecomplianceanddatacompliance,thepaperproposesthatChinashouldtaketheconceptofd
4、ataprotectioncompliancegovernanceas,onebody,f,andtakethedataprotectioncomplianceplan,thedataprotectioncompliancepostorganizationsystem,thelIbraryfulldataprotectioncomplianceculture,andthelibraryfulldataprotectioncompliancetechnologyas,fourwings,tofOrmalibraryfulIprocessdataprotectioncompliancesystem
5、.Keywords:Clouderalibrary;dataprotectioncompliance;Onebodywithfourwings;Iocalconstruction云计算技术(CloudComputing)正在日益将我们的时代带入全新的云时代1,与之相应的是,云计算的应用给图书馆带来了巨大变革。在阅读空间领域,各地图书馆不断以网站、微信公众号、APP等信息网络形式的数字图书馆为广大用户拓展阅读云端空间;在阅读管理领域,人脸识别门禁系统、自助借还书系统、图书馆员工考勤系统、研讨空间预约管理系统等智慧化服务系统不断上线,给广大用户带来了全新的阅读服务体验。一个组织的发展离不开良好的数
6、据治理。在社会数据治理的大背景下,数据作为图书馆开展服务的基本载体,其价值与安全需要图书馆管理人员加以万分重视。图书馆数据保护如何因应云时代的背景,创新数据保护模式,成为图书与情报学界研究人员亟须解决的一大议题。基于上述思考,本文旨在提倡我国图书馆构建“以树立基于风险防控的数据保护合规治理理念为顶层设计,以合规计划、合规岗位、合规文化、合规技术为四大支撑”的数据保护合规体系,以期在云时代下更好地保护图书馆全流程数据,防范图书馆数据可能面临的安全风险,保障图书馆云升级的顺利进行,发挥图书馆的公共资源服务功能。1数据风险:云时代下图书馆数据的区分与风险识别云计算时代,数据和个人信息变成“云”上的黄
7、金具有巨大的慎值2O数据处理业务的数量和范围都在稳定地迅速增加,可以预见的是数据安全漏洞的数量也将增加。为对图书馆数据进行全面的保护,防止数据价值流失与数据价值被破坏,就必须对图书馆所拥有的全部数据进行梳理,并识别出相关数据可能面临的安全风险。由于新型信息网络技术的参与,图书馆数据纷繁复杂,但可以对其进行不同层次的属性划分,进而相应地发现不同层次数据所面临的不同的安全风险。云时代下图书馆的全部数据大体上可区分为微观层、中观层以及宏观层三个层次的数据,而三类数据都不同程度地面临着安全风险。1.1云时代下图书馆数据的属性区分在大数据和人工智能共同驱动下,图书馆开展智慧服务客观上需要尽可能全面地掌握
8、各方面的数据。作为阅读服务提供者,图书馆既需要掌握卷帙浩繁的数字文献资源以为用户提供数字阅读服务,也需要掌握用户个人数据以为其提供门禁识别、在线借阅、个性化推荐智慧服务;作为公益事业机构,图书馆既需要掌握员工的个人数据以实现馆舍的正常运转,也需要掌握相关的公共数据甚至国家数据来为政府提供决策咨询等工作。在微观层面,图书馆数据涉及的主要是个人数据,而个人数据又可以被区分为用户的个人数据与员工的个人数据。在云时代下,为保障图书馆运行秩序与提供更为智能的阅读服务,图书馆往往通过注册登录、COOkieS、行为过程抓取等获取用户个人数据。所谓员工的个人数据,实际上指的是作为工作人员的图书馆广大员工的个人
9、数据。无论是政府图书馆、高校图书馆还是公私共建图书馆,为实现可持续的日常运营与管理,必然需要对馆内工作人员的个人数据加以收集与利用。在中观层面,图书馆作为公益事业机构,其云平台本身也存储着大量图书馆本身的运行数据。其一,馆藏资源数据在云时代背景下主要体现为以电子形式存在的各类图书文献资源。对图书馆来说,馆藏资源数量的多少与质量的高低直接影响图书馆的用户数量,馆藏资源数据就是智慧图书馆服务开展的立身之本。其二,图书业务数据包括馆藏资源的采编流通数据、电子资源的使用数据、业务活动的日志数据以及咨询服务的相关数据等。图书业务是图书馆开展的主要业务,业务数据记录了图书馆资源利用和服务开展的情况3。其三
10、,图书馆管理数据包括人事、财务、数据商和上游产业链等数据,是图书馆运行的必要保障。和企业、政府一样,图书馆也需要建立起人事、财务等一系列管理制度,以保障图书馆的规范运营。在宏观层面,图书馆数据还可能涉及政府与国家数据。其一,公共图书馆需要整合公共开放数据,与各级政府部门合作,关联政府开放数据,其间必然涉及众多政府数据与国家安全数据。其二,高校图书馆由于往往涉及为党和政府提供决策咨询工作,高校图书馆的数据也涉及众多政府数据与国家安全数据。其三,即使是私立图书馆,其同样具有公益事业的属性。在此期间,同样会涉及许多政府数据与国家安全数据。1.2云时代下图书馆数据的安全风险云时代下,“数据分析和存储有
11、很多问题需要解决”4。无论是微观层面的用户个人数据或员工个人数据,还是中观层面的图书馆云平台运行数据,抑或宏观层面的政府数据和国家安全数据,都面临着不同程度的安全风险。一是个人数据的不当收集与利用风险。欧盟基本权利宪章中明确规定,个人数据保护权是一项基本权利,因此,个人数据保护权应当得到默认保护5。然而,云时代的图书馆中,无论是用户个人数据还是员工个人数据,在收集、存储、传输等每个环节都存在非授权访问与收集风险、信息载体的泄漏风险。一方面,在数据收集过程中,图书馆用户个人数据和员工个人数据面临着未经同意收集和过度收集的风险。对用户个人数据而言,APP,网站等形式的智慧图书馆通常以“个人信息保护
12、协议”“隐私声明”等形式告知用户,但图书馆用户面对具体告知内容处于明显的弱势地位6。对员工个人数据而言,图书馆收集员工个人数据同样需要履行“告知一同意”程序。如果图书馆未履行这一程序,在办公场所安装视频监控或人脸识别设备,安装电脑监控软件监控员工的电子邮件、社交媒体聊天记录等,以及为员工配备智能手环以监控其行踪轨迹,均有可能侵犯员工的个人数据受保护权7。另一方面,在数据利用过程中,图书馆用户个人数据和员工个人数据还面临着不当利用的风险。在国外,曾有美国公司通过综合运用人脸识别、定位追踪与社交网络数据分析等技术手段,准确预判了员工的离职意向,并将其提前解雇。我国,囿于立法时间较早、理论研究深度不
13、足等原因,由于尚无统一标准的个人数据处理操作规程,导致用户个人数据和员工个人数据被泄露、丢失、盗用、编造、篡改、毁损、出售等情况无法杜绝。二是平台数据与国家数据的泄漏风险。部分平台运行数据属于商业秘密的范畴,其泄露可能会影响图书管理市场;政府数据和国家数据直接影响国家安全,其泄露则直接影响我国在全球的数据市场主体地位。近日国家互联网信息办公室公布对滴滴全球股份有限公司依法作出网络安全审查行政处罚80.26亿元的决定8,这表明,即使是私人企业也有可能因为侵犯国家数据安全而被科处法律责任。举轻以明重,云时代图书馆对所涉及的政府数据与国家数据的处理行为同样需要受到重视。2他山之石:域外图书馆数据保护
14、合规的考察借鉴在全球范围内,数据的有效保护已经成为各行各业保持长久生命力的必要前提,而合规成为数据保护的最有效途径。纵览域外,英美法系逐渐形成了以美国为代表的图书馆数据保护行业合规模式;大陆法系逐渐形成了以德国为代表的图书馆数据保护法律合规模式。两大法系的图书馆数据保护合规模式,为我国图书馆数据保护提供了制度与经验借鉴。2.1 英美法系:美国图书馆数据保护的行业合规模式英美法系对图书馆数据保护的意识较为前卫,美国从联邦到各州自上而下普遍比较重视图书馆数据的保护,形成了以行业自律为主、法律规范为辅的图书馆数据保护行业合规模式。从美国图书馆数据保护合规的规范进程来看,在美国图书馆数据保护的行业合规
15、模式中,发挥最大作用的主是美国图书馆协会(American1.ibraryAssociation,简称A1.A)。自20世纪上半叶至今,A1.A颁布了众多图书馆数据保护合规文件,并构建了一套相对成熟的图书馆数据保护内控体系,推动了图书馆数据的全面保护。从图书馆数据保护合规文件来看,一是1939年采用的图书馆权利法案。2019年的新增条款指出:“图书馆应该保护所有图书馆使用数据,包括个人身份信息。”9二是1939年颁布的伦理准则,该准则宣称“图书馆员有义务将在工作中获得的用户私人信息视作机密”。以上两份文件均在宏观上表明了美国图书馆协会对于数据保护的积极态度和原则。三是2005年出台的政策性文件
16、制定图书馆隐私政策指南。该指南在微观上明确了图书馆数据保护的若干合规措施10o从图书馆数据保护内控体系来看,一是确立了图书馆隐私管理的组织框架,为图书馆开展隐私管理工作奠定了坚实的组织基础;二是设置了图书馆隐私官,用来监控用户隐私方面的新闻和信息,制定响应公众、媒体、政府机构有关数据请求的程序等;三是明确了信息技术人员的隐私管理职责111o从美国图书馆数据保护合规的实践探索来看,美国图书馆数据保护的行业合规模式在实践中得到了广泛应用。例如,美国国会图书馆官网上的网站用户和在线馆藏隐私政策对用户数据、馆藏数据等图书馆数据保护提供了合规政策。图书馆制定了保护措施来保护存储的信息,包括仅允许需要访问以履行其职责的指定员工和承包商进行访问12o又如,纽约公共图书馆在其官网上也有数据保护合规的相关声明,2021年7月修订的纽约公共图书馆隐私政策规定,图书馆仅收集提供读
免费区 