智慧圖書館用戶數(shù)據(jù)隱私保護(hù)研究——基于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《一般數(shù)據(jù)保護(hù)條例》的文本啟示

陸 康，劉 慧，任貝貝， 張 婧

（1．南京曉莊學(xué)院圖書館；2．上海市網(wǎng)絡(luò)技術(shù)綜合應(yīng)用研究所）

隨著以開放共享為核心的互聯(lián)網(wǎng)思維深入人心，數(shù)據(jù)價(jià)值逐漸被重視，數(shù)據(jù)隱私問題也愈發(fā)嚴(yán)重。關(guān)于“大數(shù)據(jù)與隱私保護(hù)”的相關(guān)研究發(fā)端于2013年左右，爆發(fā)于“棱鏡門”事件，且由“發(fā)現(xiàn)問題”向“解決問題”轉(zhuǎn)變。［1］我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》以及歐盟《一般數(shù)據(jù)保護(hù)條例》分別于2017年6月1日、2018年5月25日正式施行，由此，數(shù)據(jù)隱私的保護(hù)逐步規(guī)范。目前，全球范圍內(nèi)數(shù)據(jù)隱私問題呈現(xiàn)出三大趨勢(shì)：用戶保護(hù)數(shù)據(jù)的意識(shí)逐漸加強(qiáng)、數(shù)據(jù)使用規(guī)范化水平參差不齊、用戶數(shù)據(jù)智能化處理的倫理問題。［2］智慧圖書館建立在大數(shù)據(jù)以及相關(guān)互聯(lián)網(wǎng)技術(shù)的基礎(chǔ)上，用戶數(shù)據(jù)隱私保護(hù)是智慧圖書館研究的重要方向之一。數(shù)據(jù)隱私保護(hù)的核心在于規(guī)范化使用數(shù)據(jù)并通過法律、法規(guī)、標(biāo)準(zhǔn)、技術(shù)等方法對(duì)核心數(shù)據(jù)和信息加以保護(hù)，形成完善的圖書館安全保障體系，因此，圖書館管理者急需借助法律法規(guī)與技術(shù)方案來構(gòu)建數(shù)據(jù)隱私與安全保障體系，進(jìn)一步推進(jìn)智慧圖書館的建設(shè)。

1 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》有關(guān)數(shù)據(jù)隱私問題

1.1 發(fā)布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的意義

2016年11月7日，第十二屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》），并于2017年6月1日正式施行。《網(wǎng)絡(luò)安全法》為國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略構(gòu)建與網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)提供了保障，為網(wǎng)絡(luò)空間的管理提供了依據(jù)，形成了我國(guó)網(wǎng)絡(luò)空間管轄的基本法律。同時(shí)，在互聯(lián)網(wǎng)領(lǐng)域深入貫徹依法治國(guó)的精神也成為了互聯(lián)網(wǎng)社會(huì)中用戶、機(jī)構(gòu)遵守的法律準(zhǔn)則。［3］

1.2 內(nèi)容分析

《網(wǎng)絡(luò)安全法》第四章設(shè)立了專門條款（第四十條至四十五條）保護(hù)公民個(gè)人信息安全，［4］其中既包括互聯(lián)網(wǎng)運(yùn)營(yíng)者在保護(hù)公民個(gè)人信息中應(yīng)當(dāng)履行的義務(wù)，也包括個(gè)人在維護(hù)自身信息安全時(shí)享有的權(quán)利。隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展以及大數(shù)據(jù)、人工智能、云計(jì)算、區(qū)塊鏈的廣泛應(yīng)用，互聯(lián)網(wǎng)運(yùn)營(yíng)者收集的用戶數(shù)據(jù)范圍不斷擴(kuò)大，擁有收集數(shù)據(jù)功能的應(yīng)用系統(tǒng)不斷增多?！毒W(wǎng)絡(luò)安全法》要求互聯(lián)網(wǎng)運(yùn)營(yíng)者等數(shù)據(jù)控制者和處理者做到以下四點(diǎn)。① 制度保障。互聯(lián)網(wǎng)運(yùn)營(yíng)者對(duì)其收集的用戶數(shù)據(jù)須嚴(yán)格保密，并健全用戶信息保護(hù)制度。② 合法按需使用用戶數(shù)據(jù)、堅(jiān)持流程公開。數(shù)據(jù)控制者在收集、使用個(gè)人數(shù)據(jù)時(shí)須遵循合法、正當(dāng)、必要的原則，且應(yīng)經(jīng)過被收集者同意，其收集、使用個(gè)人數(shù)據(jù)的目的、方法和內(nèi)容應(yīng)當(dāng)公開，不得進(jìn)行超出目的范圍的個(gè)人數(shù)據(jù)收集活動(dòng)。③ 危機(jī)應(yīng)急機(jī)制。數(shù)據(jù)控制者在收集、使用用戶數(shù)據(jù)時(shí)應(yīng)保障數(shù)據(jù)安全，防止數(shù)據(jù)泄露、損毀、丟失。一旦出現(xiàn)安全風(fēng)險(xiǎn)時(shí)，應(yīng)立即啟動(dòng)應(yīng)急機(jī)制并及時(shí)告知數(shù)據(jù)主體（用戶）以及報(bào)告相關(guān)部門。④ 數(shù)據(jù)主體（用戶）的授權(quán)原則，即數(shù)據(jù)控制者、處理者向第三方提供用戶數(shù)據(jù)時(shí)應(yīng)當(dāng)征得用戶的同意?！毒W(wǎng)絡(luò)安全法》規(guī)定，數(shù)據(jù)主體擁有個(gè)人數(shù)據(jù)的刪除權(quán)和更正權(quán)。［4］如果數(shù)據(jù)控制者在使用數(shù)據(jù)時(shí)出現(xiàn)收集/使用行為不具備合法性、收集/使用用戶個(gè)人數(shù)據(jù)的目的消失、約定的收集/使用用戶數(shù)據(jù)的期限屆滿、用戶數(shù)據(jù)存在不完整或不準(zhǔn)確等情況，數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者予以刪除、改正、補(bǔ)充，而數(shù)據(jù)控制者應(yīng)當(dāng)及時(shí)回應(yīng)并采取相應(yīng)措施。

2 《一般數(shù)據(jù)保護(hù)條例》的數(shù)據(jù)隱私分析

早在1974年，經(jīng)濟(jì)合作與發(fā)展組織（Organization for Economic Cooperation and Development，OECD） 就成立了有關(guān)跨境個(gè)人信息傳輸與隱私權(quán)保護(hù)的專家組，以探討個(gè)人數(shù)據(jù)傳輸過程中的保護(hù)問題。據(jù)互聯(lián)網(wǎng)數(shù)據(jù)中心（Internet Data Center，IDC）預(yù)測(cè)，到2025年，全球數(shù)據(jù)圈將擴(kuò)展到163ZB，相當(dāng)于2016年所產(chǎn)生數(shù)據(jù)的10倍。［5］數(shù)據(jù)的管理，尤其是數(shù)據(jù)安全、數(shù)據(jù)隱私等與用戶相關(guān)的問題逐漸成為各類機(jī)構(gòu)所面臨的重大挑戰(zhàn)之一?！兑话銛?shù)據(jù)保護(hù)條例》（GeneralDataProtectionRegulation，GDPR）被認(rèn)為是當(dāng)前最嚴(yán)格的個(gè)人信息保護(hù)規(guī)范，相對(duì)于《95指令》而言，GDPR擴(kuò)大了使用范圍、擴(kuò)充了原則性規(guī)定、增加了數(shù)據(jù)主體的權(quán)利。如，增設(shè)被遺忘權(quán)（刪除權(quán)）、數(shù)據(jù)可攜帶權(quán)，在“免受自動(dòng)化決策權(quán)”基礎(chǔ)上提出“數(shù)據(jù)畫像”以及延伸“知情權(quán)”與“訪問權(quán)”。①

2.1 《一般數(shù)據(jù)保護(hù)條例》的數(shù)據(jù)主體權(quán)利分析

數(shù)據(jù)主體一般是指能夠識(shí)別自然人的信息，如姓名、身份證件、生物、互聯(lián)網(wǎng)ID等能夠直接識(shí)別的信息以及間接獲取相互關(guān)聯(lián)的信息。GDPR數(shù)據(jù)主體權(quán)利保護(hù)的模式（體系）以及涉及的利益平衡問題是數(shù)據(jù)主體權(quán)益探討的重點(diǎn)（見表1）。

表1 GDPR的數(shù)據(jù)主體權(quán)利保護(hù)體系與利益平衡問題

2.2《一般數(shù)據(jù)保護(hù)條例》的數(shù)據(jù)控制者義務(wù)與責(zé)任分析

數(shù)據(jù)主體在整個(gè)數(shù)據(jù)領(lǐng)域中處于弱勢(shì)群體地位。數(shù)據(jù)控制者擁有數(shù)據(jù)的管理權(quán)，其義務(wù)與責(zé)任需進(jìn)一步明確。GDPR第四章“數(shù)據(jù)控制者和處理者”規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者的義務(wù)（見表2）。GDPR認(rèn)為，對(duì)數(shù)據(jù)控制者與處理者的限制不但尊重了數(shù)據(jù)主體的基本權(quán)利和自由，也是實(shí)現(xiàn)社會(huì)民主的必要與適當(dāng)措施。但是，對(duì)數(shù)據(jù)主體的限制不應(yīng)違背《歐盟基本權(quán)利憲章》和《歐洲保護(hù)人權(quán)和基本自由公約》中的相關(guān)規(guī)定。此外，數(shù)據(jù)控制者、數(shù)據(jù)處理者應(yīng)該承擔(dān)最低限度的義務(wù)：① 技術(shù)與組織方面實(shí)施數(shù)據(jù)保護(hù)原則以提高數(shù)據(jù)使用效率，實(shí)施數(shù)據(jù)最小化原則以明確數(shù)據(jù)數(shù)量、存儲(chǔ)時(shí)間；② 數(shù)據(jù)處理者應(yīng)與業(yè)務(wù)相結(jié)合，數(shù)據(jù)處理行為必須要留痕，并積極配合數(shù)據(jù)溯源與監(jiān)管；③ 數(shù)據(jù)處理過程必須保密、完整，定期測(cè)試、評(píng)估，驗(yàn)證評(píng)價(jià)技術(shù)與策略方案的有效性、安全性與穩(wěn)定性，同時(shí)配備具有較高數(shù)據(jù)素養(yǎng)的人員進(jìn)行數(shù)據(jù)維護(hù)與保障；④ 數(shù)據(jù)管理是一項(xiàng)系統(tǒng)性的工作，數(shù)據(jù)接觸者的數(shù)據(jù)素養(yǎng)教育不僅涉及到數(shù)據(jù)安全，也關(guān)系到數(shù)據(jù)利用效率。因此，數(shù)據(jù)素養(yǎng)教育是數(shù)據(jù)控制者、處理者的必修課程之一。

表2 GDPR的數(shù)據(jù)控制者與處理者內(nèi)容

2.3 《一般數(shù)據(jù)保護(hù)條例》的數(shù)據(jù)流動(dòng)規(guī)則分析

GDPR對(duì)數(shù)據(jù)控制者提出了相應(yīng)要求，如要求以結(jié)構(gòu)化數(shù)據(jù)的格式向數(shù)據(jù)主體（用戶）提供與其有關(guān)的個(gè)人數(shù)據(jù)。在此前提下，GDPR支持?jǐn)?shù)據(jù)控制者進(jìn)一步開發(fā)數(shù)據(jù)的可移植性與互操作性格式，便于數(shù)據(jù)的流動(dòng)與共享。數(shù)據(jù)處理的前提是征得數(shù)據(jù)主體的同意或者履行合同，數(shù)據(jù)主體也享有數(shù)據(jù)可移植性的權(quán)利，需注意的是，當(dāng)該權(quán)利與公共利益相悖時(shí)無效。數(shù)據(jù)主體擁有對(duì)其他數(shù)據(jù)進(jìn)行操作的權(quán)利，但不能強(qiáng)制數(shù)據(jù)控制者進(jìn)行相應(yīng)的技術(shù)開發(fā)與保障，即數(shù)據(jù)主體遇到數(shù)據(jù)處理問題時(shí)需自行解決。遇到多來源的數(shù)據(jù)主體時(shí)，數(shù)據(jù)主體之間具有相等的權(quán)利與自由，數(shù)據(jù)主體的刪除權(quán)與限制處理權(quán)受到保障，數(shù)據(jù)主體有權(quán)將個(gè)人數(shù)據(jù)從一個(gè)數(shù)據(jù)控制者傳遞給另外一個(gè)數(shù)據(jù)控制者。2018年10月4日，歐洲議會(huì)通過《非個(gè)人數(shù)據(jù)自由流動(dòng)條例》，旨在促進(jìn)歐盟境內(nèi)非個(gè)人數(shù)據(jù)自由流動(dòng)、消除歐盟成員國(guó)數(shù)據(jù)本地化的限制，［6］同時(shí)，補(bǔ)充了個(gè)人數(shù)據(jù)的立法，促進(jìn)了數(shù)據(jù)經(jīng)濟(jì)的發(fā)展。我國(guó)各領(lǐng)域可鑒歐盟數(shù)據(jù)管理的經(jīng)驗(yàn)，在加強(qiáng)個(gè)人數(shù)據(jù)、重要數(shù)據(jù)保護(hù)的同時(shí)，促進(jìn)除數(shù)據(jù)隱私、商業(yè)機(jī)密外的與國(guó)家安全無關(guān)的數(shù)據(jù)流動(dòng)，從而推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)的繁榮與發(fā)展。

3 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》與《一般數(shù)據(jù)保護(hù)條例》中個(gè)人信息權(quán)比較

3.1 個(gè)人信息權(quán)

GDPR賦予數(shù)據(jù)主體七項(xiàng)數(shù)據(jù)權(quán)利，即知情權(quán)、訪問權(quán)、修正權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)（反對(duì)權(quán)）、可攜帶權(quán)、拒絕權(quán)；《網(wǎng)絡(luò)安全法》及其配套的有關(guān)“個(gè)人信息權(quán)”大致也分七類，包括知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、注銷權(quán)、明示同意權(quán)、撤回權(quán)。［7］我國(guó)“個(gè)人信息權(quán)”確立的基礎(chǔ)和保護(hù)核心不僅在“個(gè)人信息”本身，同時(shí)也在于對(duì)數(shù)據(jù)控制者與處理者使用個(gè)人數(shù)據(jù)的規(guī)制。國(guó)內(nèi)相關(guān)政策法規(guī)對(duì)數(shù)據(jù)控制者與數(shù)據(jù)處理者的要求與規(guī)制較多，數(shù)據(jù)控制與處理機(jī)構(gòu)的人才培養(yǎng)、數(shù)據(jù)素養(yǎng)提升成為數(shù)據(jù)使用規(guī)范化實(shí)施的重要因素?！毒W(wǎng)絡(luò)安全法》中確立了多項(xiàng)“個(gè)人信息權(quán)”條款，但是仍存在條文不夠細(xì)化、規(guī)定原則化的現(xiàn)象。［8］2018年5月1日起施行的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》）屬于《網(wǎng)絡(luò)安全法》第四章的一項(xiàng)重要配套規(guī)范，《個(gè)人信息安全規(guī)范》相關(guān)條款的制定參照了國(guó)際最新的規(guī)則和立法標(biāo)準(zhǔn)，被認(rèn)為是中國(guó)化的GDPR。［9］但《個(gè)人信息安全規(guī)范》屬于標(biāo)準(zhǔn)，并且不屬于強(qiáng)制性標(biāo)準(zhǔn)（推薦性的標(biāo)準(zhǔn)）；而GDPR是歐盟的“條例”（編號(hào)EU-DSGVO），具有強(qiáng)制性，且是歐盟有史以來最為嚴(yán)格的網(wǎng)絡(luò)數(shù)據(jù)管理法規(guī)，如英航因泄露用戶信息被英國(guó)信息監(jiān)管局通告罰款近2億英鎊。［10］《網(wǎng)絡(luò)安全法》與GDPR也存在共性內(nèi)容。如，GDPR第23條與《網(wǎng)絡(luò)安全法》第28條中關(guān)于國(guó)家安全的內(nèi)容、GDPR第51條與《網(wǎng)絡(luò)安全法》第8條中關(guān)于治理框架的內(nèi)容、GDPR第44條與《網(wǎng)絡(luò)安全法》第37條中與數(shù)據(jù)跨境相關(guān)的內(nèi)容等。然而，對(duì)于智慧圖書館用戶服務(wù)的重要部分——用戶身份認(rèn)證方面，GDPR的第11條做了規(guī)定而《網(wǎng)絡(luò)安全法》未具體說明，只有《電子簽名法》《區(qū)塊鏈信息服務(wù)管理規(guī)定》等做了相關(guān)說明。

3.2 個(gè)人信息權(quán)條款對(duì)數(shù)據(jù)共享的影響

《網(wǎng)絡(luò)安全法》以及《個(gè)人信息安全規(guī)范》在個(gè)人信息使用與保護(hù)方面借鑒了國(guó)外的立法經(jīng)驗(yàn)，如知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)等，同時(shí)也融合了我國(guó)特色內(nèi)容，如刪除權(quán)、注銷權(quán)、明示同意權(quán)與撤回權(quán)等。近年來，數(shù)據(jù)隱私問題日益受到社會(huì)的關(guān)注，智慧圖書館也需要參照《網(wǎng)絡(luò)安全法》《公共圖書館法》等法律法規(guī)以及《個(gè)人信息安全規(guī)范》等標(biāo)準(zhǔn)制定隱私條款，完善個(gè)人信息與數(shù)據(jù)安全保護(hù)機(jī)制，保障智慧圖書館的健康發(fā)展。［11］GDPR被認(rèn)為是全球保護(hù)用戶數(shù)據(jù)隱私里程碑式的立法，但是其中部分內(nèi)容對(duì)數(shù)據(jù)流動(dòng)（共享）進(jìn)行了限制，如不得以處理個(gè)人數(shù)據(jù)過程中對(duì)自然人的保護(hù)為由，限制或禁止個(gè)人數(shù)據(jù)在歐盟內(nèi)部進(jìn)行自由流動(dòng)。①GDPR中的數(shù)據(jù)“可攜帶權(quán)”規(guī)定數(shù)據(jù)主體可以索取數(shù)據(jù)控制者所掌握的數(shù)據(jù)并轉(zhuǎn)移給其他數(shù)據(jù)控制者，這類規(guī)定將數(shù)據(jù)視為財(cái)產(chǎn)的一部分，但仍存在著邏輯沖突問題。因此，智慧圖書館的數(shù)據(jù)流動(dòng)（共享）機(jī)制的規(guī)范性需隨著互聯(lián)網(wǎng)數(shù)據(jù)圈的形成而不斷完善。

4 對(duì)智慧圖書館的啟示

智慧圖書館的文獻(xiàn)資源管理、空間服務(wù)保障等業(yè)務(wù)系統(tǒng)運(yùn)行都與數(shù)據(jù)主體（用戶）存在關(guān)聯(lián)，而圖書館開展智慧服務(wù)所需的數(shù)據(jù)也是與數(shù)據(jù)主體、業(yè)務(wù)運(yùn)行相關(guān)的數(shù)據(jù)，因此，數(shù)據(jù)管理也是智慧圖書館重要的工作之一（見表3）。

表3 智慧圖書館數(shù)據(jù)主體與數(shù)據(jù)控制者、數(shù)據(jù)處理者

圖書館是數(shù)據(jù)控制者，負(fù)責(zé)智慧圖書館數(shù)據(jù)業(yè)務(wù)的宏觀設(shè)計(jì)與微觀管理。參考GDPR以及《網(wǎng)絡(luò)安全法》有關(guān)個(gè)人信息保護(hù)的內(nèi)容，圖書館的各項(xiàng)業(yè)務(wù)是數(shù)據(jù)處理者，所以圖書館應(yīng)該圍繞業(yè)務(wù)使用數(shù)據(jù)（見下圖）。

圖 數(shù)據(jù)主體、數(shù)據(jù)控制者與數(shù)據(jù)處理者三者關(guān)系

4.1 智慧圖書館應(yīng)遵循數(shù)據(jù)處理的七項(xiàng)原則

智慧服務(wù)、空間服務(wù)、數(shù)據(jù)決策等服務(wù)理念以及人工智能、云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈等技術(shù)廣泛應(yīng)用于圖書館中，形成了以文獻(xiàn)資源保障為基礎(chǔ)、以用戶需求為中心、以空間服務(wù)為特色的綜合服務(wù)保障體系。根據(jù)GDPR與《網(wǎng)絡(luò)安全法》中個(gè)人信息使用與保護(hù)的條款內(nèi)容，圖書館的數(shù)據(jù)處理需要遵循七項(xiàng)原則：（圖書館、用戶）權(quán)責(zé)統(tǒng)一、（數(shù)據(jù)使用）目的明確、（數(shù)據(jù)主體）選擇同一、（數(shù)據(jù)）最少夠用、（數(shù)據(jù)使用）公開透明、（數(shù)據(jù)）確保安全和（用戶）主體參與。數(shù)據(jù)主體與數(shù)據(jù)控制者（處理者）之間關(guān)系的維護(hù)以及數(shù)據(jù)隱私與數(shù)據(jù)共享之間平衡性問題的處理是智慧圖書館業(yè)務(wù)開展過程中不可回避的流程之一。因此，智慧圖書館遵循數(shù)據(jù)處理的七項(xiàng)原則，使數(shù)據(jù)使用規(guī)范化、制度化，是進(jìn)一步高效完成業(yè)務(wù)的基礎(chǔ)。

4.2 智慧圖書館應(yīng)明確數(shù)據(jù)處理合法原則

數(shù)據(jù)收集、保存、處理、使用、銷毀等操作都必須遵循合法性原則。智慧圖書館在收集數(shù)據(jù)前應(yīng)告知數(shù)據(jù)主體（用戶），并征得其同意，告知內(nèi)容必須詳細(xì)、完善。用戶數(shù)據(jù)處理流程方面應(yīng)該逐條梳理個(gè)人敏感數(shù)據(jù)，規(guī)范數(shù)據(jù)控制者的行為，做到數(shù)據(jù)收集公開化并獲取用戶“明示同意”的授權(quán)。智慧圖書館的用戶畫像及個(gè)人信息安全的評(píng)估、刪除、公開披露、轉(zhuǎn)讓、共享、匿名化與去標(biāo)識(shí)化等行為也應(yīng)納入規(guī)則管理。智慧圖書館的數(shù)據(jù)流動(dòng)（共享）是保障各項(xiàng)業(yè)務(wù)有效開展的基礎(chǔ)，必須明確數(shù)據(jù)處理的合法性原則，進(jìn)一步規(guī)范以業(yè)務(wù)數(shù)據(jù)為支撐的智慧服務(wù)體系。

4.3 智慧圖書館應(yīng)完善數(shù)據(jù)主體同意條款

為了滿足用戶日益增長(zhǎng)的知識(shí)、信息的需求，圖書館開展各項(xiàng)服務(wù)必須認(rèn)識(shí)并高度重視用戶權(quán)益。［12］為了保護(hù)用戶的數(shù)據(jù)隱私、保障用戶的知情權(quán)，圖書館應(yīng)進(jìn)一步完善數(shù)據(jù)主體的同意條款機(jī)制，將數(shù)據(jù)使用的目的、意義、技術(shù)、方法、風(fēng)險(xiǎn)及時(shí)告知數(shù)據(jù)主體，并具體說明數(shù)據(jù)控制者的責(zé)任與義務(wù)。此外，數(shù)據(jù)主體同意條款的制定與語言表述需要參照《個(gè)人信息安全規(guī)范》進(jìn)行規(guī)范化處理，且應(yīng)在語言表述方面顧及不同數(shù)據(jù)主體的接受程度，盡可能獲得大部分?jǐn)?shù)據(jù)主體的理解與支持。

4.4 智慧圖書館應(yīng)進(jìn)一步加強(qiáng)數(shù)據(jù)安全保護(hù)

智慧圖書館運(yùn)用安全防護(hù)技術(shù)與策略加強(qiáng)系統(tǒng)平臺(tái)與數(shù)據(jù)保護(hù)，是保障智慧服務(wù)實(shí)施的基礎(chǔ)。圖書館應(yīng)該在國(guó)內(nèi)外相關(guān)大數(shù)據(jù)安全保護(hù)法律的指導(dǎo)下,構(gòu)建符合自身特點(diǎn)的行業(yè)操作安全規(guī)范和標(biāo)準(zhǔn)，使圖書館安全性評(píng)估與保護(hù)有統(tǒng)一的執(zhí)行標(biāo)準(zhǔn)和操作規(guī)范。［13］圖書館安全管理模式應(yīng)該從傳統(tǒng)的安全事件驅(qū)動(dòng)轉(zhuǎn)換為適應(yīng)智慧圖書館發(fā)展的大數(shù)據(jù)決策驅(qū)動(dòng)，以大數(shù)據(jù)分析結(jié)果建立以分布式拒絕服務(wù)攻擊 （Distributed Denial of Service Attack，DDoS） 態(tài)勢(shì)感知、溯源模型、高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊模型、防護(hù)系統(tǒng)脆弱性感知、系統(tǒng)漏洞發(fā)現(xiàn)感知等模型，并基于AI技術(shù)提升圖書館安全防御系統(tǒng)的智慧化水平。智慧圖書館建立基于安全大數(shù)據(jù)決策支持的服務(wù)系統(tǒng)安全事件監(jiān)測(cè)與預(yù)測(cè)、安全威脅與漏洞等級(jí)評(píng)估、安全防御系統(tǒng)智能響應(yīng)管理機(jī)制能有效防御智慧圖書館安全管理面臨的危險(xiǎn)，為用戶提供安全的文獻(xiàn)資源獲取環(huán)境。［14］

4.5 智慧圖書館應(yīng)建立數(shù)據(jù)共享（流動(dòng)）制度

圖書館的智慧服務(wù)存在界限，高校圖書館的界限在高校及共享聯(lián)盟范圍內(nèi)。智慧圖書館需要建立數(shù)據(jù)共享（流動(dòng)）機(jī)制，以支持文獻(xiàn)資源的共享，提高文獻(xiàn)資源的利用率。隨著共享規(guī)模的擴(kuò)大，聯(lián)盟內(nèi)數(shù)據(jù)控制者與數(shù)據(jù)處理者權(quán)限范圍亦不斷擴(kuò)大，不再局限于用戶所在的圖書館，因此，建立數(shù)據(jù)共享機(jī)制——數(shù)據(jù)共享空間（DataCommons，DC）有助于在數(shù)據(jù)安全制度范圍內(nèi)提高智慧圖書館的數(shù)據(jù)使用效率。智慧圖書館的數(shù)據(jù)館員扮演重要角色，承擔(dān)著數(shù)據(jù)治理的責(zé)任。如果圖書館員在智慧圖書館數(shù)據(jù)共享（流動(dòng)）機(jī)制中參與數(shù)據(jù)級(jí)別計(jì)量的發(fā)展，那么其將在科研數(shù)據(jù)開放共享的進(jìn)程中更具能力，能夠扮演推動(dòng)全社會(huì)創(chuàng)新發(fā)展的知識(shí)服務(wù)角色。［15］

［注釋］

① 本部分內(nèi)容由作者參照歐盟《一般數(shù)據(jù)保護(hù)條例》第 1、3、5、6、7、8、9、10、11、15、17、20、72條翻譯而來。