美國高校圖書館信息安全政策的實施及啟示

許碧涵 楊九龍

摘要：信息安全政策是圖書館可持續(xù)運行的制度保障，數(shù)據(jù)時代圖書館信息安全政策的科學設定及規(guī)范實施具有重要意義?；诤诵难芯课墨I的分析，研究界定了圖書館信息安全政策內(nèi)涵，調(diào)查了美國10所主要高校圖書館信息安全政策，認為從圖書館信息資源內(nèi)容安全、信息交流安全和用戶隱私安全三方面進行政策制定，可確保圖書館信息安全，保障服務的連續(xù)性與發(fā)展的穩(wěn)健性。

關鍵詞：圖書館；信息安全；政策法規(guī)；美國高校

中圖分類號：G251?? 文獻標識碼：A

DOI：10.13897/j.cnki.hbkjty.2023.0011

0 引言

隨著大數(shù)據(jù)時代的來臨，在享受大數(shù)據(jù)分析帶來的精準信息服務的同時諸如信息泄露、黑客襲擊、病毒傳播等安全問題亦層出不窮。為此，國家層面出臺了系列法律法規(guī)文件，如2017年起實施的《中華人民共和國網(wǎng)絡安全法》將信息安全等級保護制度上升到了法律的高度，2018年起《網(wǎng)絡安全等級保護條例》等等級保護2.0標準陸續(xù)發(fā)布，《互聯(lián)網(wǎng)個人信息安全保護指南》《信息安全技術個人信息安全規(guī)范》等也陸續(xù)出臺實施。國際上，2018年歐盟《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）生效，旨在加強對歐盟境內(nèi)居民的個人數(shù)據(jù)和隱私保護，同時通過統(tǒng)一數(shù)據(jù)和隱私條例來簡化對跨國企業(yè)的監(jiān)管框架。GDPR被視為“史上最嚴”的數(shù)據(jù)保護立法，是歐盟起草的最全面的數(shù)據(jù)隱私法，也將為主權(quán)國家的數(shù)據(jù)隱私設置先例。這些法規(guī)政策為圖書館信息安全政策的研究提供了重要參考。

信息安全政策是一個組織內(nèi)信息安全的指導性文件。高校圖書館不僅匯聚了海量文獻信息，同時也是互聯(lián)網(wǎng)上信息密集交流的重要節(jié)點，在信息技術服務、信息工具應用、數(shù)據(jù)開放獲取、文獻資源共享等方面均涉及信息安全問題，制定全面合理的信息安全政策對圖書館健康可持續(xù)發(fā)展、確保用戶權(quán)益、提供高品質(zhì)服務極其重要。當前，部分歐美國家已經(jīng)在其學校規(guī)章中明確圖書館的信息安全要求或圖書館專門制定有相關的信息安全政策，然而國內(nèi)學界對此問題關注較少，國內(nèi)高校圖書館的信息安全實踐呈現(xiàn)零星碎片化的態(tài)勢。本文提出圖書館信息安全政策的內(nèi)涵并通過調(diào)查美國高校圖書館信息安全政策的制定現(xiàn)狀，以期為國內(nèi)圖書館信息安全政策的制定與完善提供參考。

1 圖書館信息安全政策研究綜述

國外關于圖書館信息安全政策著重于技術維度，其研究主要集中在三個方面：一是圖書館信息系統(tǒng)構(gòu)建及技術安全。通過加密認證、設置保護軟件、程序編寫等科學技術預防和糾正信息處理和傳輸過程中的安全問題并控制威脅，以維護圖書館信息系統(tǒng)的安全性［1］；通過在圖書館引入保護數(shù)據(jù)機密性的機制，模塊化處理數(shù)據(jù)并實施動態(tài)解密，從而保證圖書館程序中信息流的安全［2］。二是數(shù)字圖書館信息安全風險評估模型及案例研究。根據(jù)信息安全管理要求ISO27001，構(gòu)建了適用于數(shù)字圖書館的基于模糊數(shù)學、威脅場景生成、CVSS和風險矩陣的綜合評價模型［3］；以一個典型的數(shù)字圖書館為例，采用數(shù)字圖書館信息安全評估方法對圖書館的信息安全性進行評估，為提高圖書館信息安全性提供了建議［4］。三是對數(shù)字圖書館的信息安全進行分析。通過對數(shù)字圖書館信息安全現(xiàn)狀的探究，得出計算機硬件軟件、網(wǎng)絡安全風險、缺乏管理和有效的安全機制是使其容易遭受攻擊和癱瘓的主要因素，并提出應對的信息安全政策策略［5］。總體而言，其圖書館信息安全政策的研究大多集中于技術維度，關注物理環(huán)境、網(wǎng)絡通信、設備計算和應用數(shù)據(jù)安全，并針對圖書館信息資源可能存在的不安全因素提出技術層面的解決方法。

國內(nèi)關于圖書館信息安全政策的研究則相對較少，主要集中在兩個方面：一是對國外信息政策及信息資源建設的發(fā)展介紹，進而提出對國內(nèi)的啟示建議。如借鑒國外大學的信息政策提出信息政策應包含有學校機密、個人信息保護政策等的信息保護政策和計算機、網(wǎng)絡、信息資源、數(shù)據(jù)安全政策等的信息安全政策

［6］。通過對國外高校圖書館信息共享空間網(wǎng)站進行調(diào)研，歸納總結(jié)出其信息安全政策并提出對我國的啟示建議［7］。在信息資源建設政策研究中從宏觀上對國內(nèi)外信息安全政策的現(xiàn)狀加以概括，但沒有聚焦于圖書館領域，并且提出對信息安全政策的討論有待進一步深入［8］。二是結(jié)合云計算環(huán)境指出圖書館信息資源安全政策法律研究的必要性。認為云計算在給圖書館帶來變革的同時也會帶來數(shù)據(jù)資源的安全存儲、知識產(chǎn)權(quán)保護、數(shù)據(jù)保密、用戶權(quán)限管理及訪問控制管理等安全問題，因此，在云計算環(huán)境下對圖書館信息資源安全進行政策法律研究十分必要，并構(gòu)建了研究框架［9］。相關研究多涉及信息安全管理、信息安全政策，與圖書館實體無較大關聯(lián)，或者多從圖書館信息安全現(xiàn)狀、管理、防范等方面展開，與政策研究無關。

2 圖書館信息安全政策內(nèi)涵

已有文獻對圖書館信息安全、信息安全政策等有一定的研究，但對圖書館信息安全政策尚未明確界定。中國知網(wǎng)百科中有對“信息安全政策”這一詞條的定義，其中從安全領域來看，信息安全政策可以分為物理信息安全政策、數(shù)據(jù)安全政策、系統(tǒng)安全政策、網(wǎng)絡安全政策和應用安全政策。該定義對信息安全政策進行了界定，但圖書館信息安全政策內(nèi)涵的界定并非兩個名詞語義的疊加。

《網(wǎng)絡安全法》要求建立健全用戶信息保護制度，對用戶信息嚴格保密；《網(wǎng)絡安全等級保護條例》中要求保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全。這些法規(guī)條例規(guī)定了網(wǎng)絡大環(huán)境下的信息化發(fā)展與秩序，具體到圖書館層面，筆者認為圖書館信息安全政策范圍應包括：圖書館信息資源內(nèi)容安全政策、信息交流安全政策和用戶隱私安全政策等三方面。信息資源內(nèi)容安全政策應包含圖書館紙質(zhì)及電子信息資源收集及網(wǎng)絡傳遞安全、圖書館購買使用的商業(yè)及自建數(shù)據(jù)庫中所采集收錄內(nèi)容的安全與可靠等；信息交流安全政策應包含圖書館員電子郵件傳送及信息操作系統(tǒng)使用安全在內(nèi)的各種與圖書館日常工作涉及內(nèi)容相關的信息交流安全，圖書館員在解答用戶參考咨詢時與用戶信息交流的內(nèi)容安全等；用戶隱私安全包括圖書館用戶個人隱私安全及信息訪問記錄安全等內(nèi)容。因此，通過在制度層面上構(gòu)建圖書館信息安全政策可確保圖書館所提供數(shù)據(jù)庫及紙質(zhì)資源內(nèi)容合法安全，館員日常工作及與用戶溝通交流過程安全，最終確保用戶的閱讀行為及個人隱私受到保護。

3 美國高校圖書館信息安全政策分析

根據(jù)USNews發(fā)布的2022世界大學排行榜數(shù)據(jù)，通過訪問美國排名前10的大學圖書館網(wǎng)站了解其信息安全政策。結(jié)果顯示見表1：調(diào)查表明美國高校普遍重視信息安全政策的制定，或是設置專門的實體管理部門進行信息安全管理，或是在高校的政策法規(guī)中規(guī)定有圖書館應遵循的信息安全條文，更多的圖書館則是制定有專門的信息安全政策條文。

美國高校較為重視信息安全政策體系的構(gòu)建，重視制度性規(guī)范、實施性規(guī)范和監(jiān)督性規(guī)范的建設，基本上各大學均建立了較為完備的信息安全政策體系，部分還設置大學首席信息安全官進行信息安全政策的監(jiān)督與維護。圖書館信息安全政策部分是包含在學校統(tǒng)一的政策之中，圖書館作為高校重要組成部分須遵循學校整體的信息安全政策，但大多數(shù)圖書館同時制定了符合實際工作更細致的信息安全政策。如華盛頓大學制定了信息安全控制與操作規(guī)范，設置大學首席信息安全官監(jiān)督大學信息安全和隱私相關政策、標準和指南的制定及維護；圖書館的信息安全政策屬于學校信息安全控制與操作規(guī)范范疇，同時圖書館還制定了單獨的信息安全政策，內(nèi)容包括圖書館重視用戶的隱私保護，力求最大限度地減少個人身份信息的收集和保留；維護的個人信息不會出售給第三方等。

結(jié)合本文對圖書館信息安全政策內(nèi)涵的界定，可以看出美國排名前10的高校中，其學校信息安全政策或者圖書館信息安全政策中均包含有信息安全政策的三個方面內(nèi)容：

在圖書館信息資源內(nèi)容安全政策上，多數(shù)高校圖書館都要求個人在管理中或在使用信息資源時必須采取合理措施，保護它們在存儲、處理或傳輸數(shù)據(jù)時免受未經(jīng)授權(quán)的修改、披露和破壞。加州大學伯克利分校圖書館政策中除規(guī)定若要收集支持圖書館業(yè)務活動的受保護數(shù)據(jù)，除必須由大學圖書館員以書面形式授權(quán)外，還指出這些信息資源的使用必須嚴格遵守書面明確的處理時間表，永遠不允許將受保護的數(shù)據(jù)存儲在連接到計算機網(wǎng)絡的任何服務器、臺式機、筆記本電腦上，紙質(zhì)格式的受保護數(shù)據(jù)必須在文件柜中保存等詳細的細節(jié)，可見在其政策制定中的嚴謹周到。

在圖書館信息交流安全政策上，政策保護用戶與館員交流的內(nèi)容；但在危害公共安全、違反大學相關政策等的情況下圖書館信息交流安全政策仍然以大多數(shù)公眾的利益為重。如麻省理工學院圖書館信息安全政策中指出，對于用戶向館員進行參考咨詢時所提出的問題，即使在執(zhí)行必要規(guī)定時，也將對提問者進行模糊處理，以便隱去提問者個人信息，保護用戶與館員交流的內(nèi)容。加州大學伯克利分校圖書館政策指出，圖書館在大多數(shù)情況下不會透露用戶所咨詢的信息，但在有搜查令或傳票要求，或者有充分理由相信用戶違反法律、大學或圖書館政策的行為時會依據(jù)相關要求將用戶信息向相關執(zhí)法機關披露。

在用戶隱私安全政策上，保護用戶隱私是圖書館長期的價值追求，上述高校圖書館信息安全政策制定中幾乎都標明其注重用戶個人基本信息、借閱信息、圖書館網(wǎng)頁瀏覽查詢等敏感信息的保護，并不輕易向外界提供披露，不會出售用戶數(shù)據(jù)，最大限度地減少個人身份信息的收集和保留，同時不分享并拒絕將用戶信息透露給商業(yè)組織或政府等第三方組織。

4 國內(nèi)圖書館信息安全政策的實施現(xiàn)狀

根據(jù)軟科世界大學學術排名發(fā)布的2022年中國最好大學排行榜數(shù)據(jù)，通過訪問圖書館網(wǎng)站對國內(nèi)排名前10的大學圖書館進行了調(diào)查，以期了解我國高校圖書館信息安全政策的

制定實施情況。結(jié)果顯示：清華大學、北京大學、浙江大學、上海交通大學、復旦大學、南京大學、中國科學技術大學、華中科技大學、武漢大學和西安交通大學，在其圖書館的官網(wǎng)上都沒有直接發(fā)布關于圖書館信息安全的相關政策，在其規(guī)章制度中多數(shù)內(nèi)容是關于入館借閱、讀者證使用、文獻傳遞、禁止占座等相關對用戶的規(guī)定。部分圖書館有關于保護電子資源知識產(chǎn)權(quán)的相關規(guī)定，包含內(nèi)容為：禁止連續(xù)、系統(tǒng)、集中、批量地進行下載、瀏覽、檢索數(shù)據(jù)庫等操作，禁止私設代理服務器供校外用戶訪問圖書館的電子資源，禁止對下載的電子文檔進行重新編輯、系統(tǒng)復制、轉(zhuǎn)售、轉(zhuǎn)發(fā)和重新出版，禁止利用所獲得的文獻資料進行非法牟利，禁止泄露個人帳號和密碼給他人使用等內(nèi)容。這些對電子信息資源的規(guī)定僅為用戶在使用其資源時需要遵循的規(guī)定，并不包含有關圖書館信息資源內(nèi)容安全保護、信息交流安全及對用戶個人隱私保護的相關說明性政策文件，可以說其規(guī)章制度多是對用戶行為的限制。從中我們可以看到國內(nèi)高校圖書館在信息資源內(nèi)容安全、員工行為規(guī)范、用戶隱私保護方面仍存在制度政策支撐不足、行業(yè)操作實施缺乏指導、評估評價體系缺失等問題。

5 啟示與建議

5.1 健全信息安全制度

在信息資源急速增長的時代，信息安全便顯得尤為重要。圖書館作為信息的集散地，在對信息資源的管理上如何確保其安全成為圖書館面臨的重要問題。面對這一難題，當務之急在于制定規(guī)章制度以確保圖書館信息資源的安全。國外高校及其圖書館在政策法規(guī)中均有關于信息安全政策的相關內(nèi)容，以確保圖書館信息資源內(nèi)容、信息交流及用戶隱私安全，相比之下我國高校圖書館信息安全政策法規(guī)的制定之路便顯得道阻且長，但以規(guī)章制度的形式保障圖書館信息安全卻是確保圖書館信息安全的重要方式。

5.2 構(gòu)建信息交流安全

信息交流安全是圖書館信息安全政策構(gòu)建的重要一環(huán)一方面，圖書館應盡快開啟員工信息行為規(guī)范研究，從制度性規(guī)范、實施性規(guī)范、監(jiān)督性規(guī)范和技術性規(guī)范著手，構(gòu)建完善的有特色的圖書館員工信息行為規(guī)范體系。對館員而言，通過信息交流安全政策的條款可以規(guī)范館員的信息行為，如館員在公務活動中產(chǎn)生的信息不得外漏，不得通過私人郵箱發(fā)送與用戶個人或圖書館有關的信息等；通過館員對信息政策的遵循，讓圖書館在為用戶提供更加便捷服務的同時，更好地維護個人信息安全和圖書館信息資源的安全［25］，從而在保證圖書館整體信息資源安全的情況下，最大限度地實現(xiàn)圖書館所擁有資源的共享。另一方面，在館員與讀者或當面或通過網(wǎng)頁提問留言等方式的交流溝通中，也要注意交流內(nèi)容的安全，館員作為信息的接收者與提供者，需要判斷用戶提出的問題是否涉及信息安全，所需的信息內(nèi)容是否符合國家法律規(guī)范，針對用戶咨詢的問題，作為館員是否都要進行回答，回答程度如何，這些都是構(gòu)建圖書館信息交流安全的重要問題。

5.3 保障用戶隱私安全

在圖書館信息安全的政策法規(guī)中，應加入對用戶個人隱私保護的相關內(nèi)容。作為信息服務的提供者，圖書館有責任保護用戶的個人基本信息、借閱信息、圖書館網(wǎng)頁查詢等信息的安全，不輕易向外界提供披露。近年來個人隱私保護逐漸被人們所重視，圖書館擁有用戶大量的個人信息，這些信息可以刻畫出用戶的形象，在未經(jīng)得用戶同意的情況下圖書館有義務保障用戶的個人信息安全。

5.4 建立內(nèi)容審核機制

盡管在國內(nèi)外圖書館的政策法規(guī)中都沒有提及，但筆者認為應對圖書館所保存及使用的信息資源進行內(nèi)容審核。內(nèi)容審核在我國多用于新聞領域，尤其是在視聽新型媒體出現(xiàn)后的新媒體行業(yè)中［26］。傳統(tǒng)意義上，圖書館收集保存的都是紙質(zhì)圖書資源，但在數(shù)據(jù)庫日益成為重要信息資源的當下，作為圖書館是否也應該對其購買的數(shù)據(jù)庫進行準入審核呢？人們通常意義上都認為用戶通過圖書館數(shù)據(jù)庫進行的任何訪問都是用戶個人行為，圖書館無權(quán)干涉，但作為服務提供者的圖書館，能否也應從源頭上進行干預；如借鑒媒體行業(yè)的內(nèi)容審核機制，圖書館也應對其所購買的數(shù)據(jù)庫進行內(nèi)容審核，通過機器審核與人工審核相結(jié)合的方式，加強數(shù)據(jù)庫監(jiān)管和治理，盡可能的規(guī)避色情、暴力等低俗內(nèi)容和與社會主義核心價值觀相違背的內(nèi)容，提高風險管理意識，構(gòu)建內(nèi)容安全的資源環(huán)境

［27］，凈化高校的科研生態(tài)環(huán)境。

6 結(jié)語

信息化時代下，信息安全與數(shù)據(jù)開放對圖書館信息化管理提出了更高的要求，圖書館信息安全政策的制定與實施是保障圖書館信息安全、提高信息化服務質(zhì)量、促進數(shù)據(jù)資源開放的重要舉措，通過健全信息安全制度，建立內(nèi)容審核機制，保障用戶隱私安全，從而構(gòu)建安全開放共享的信息交流環(huán)境。

參考文獻

［1］Zhen Y. Security of library information system under the network environment［C］// International Conference on Advanced Computer Theory & Engineering. IEEE，2010.

［2］Russo A ，Claessen K ， Hughes J . A library for light-weight information-flow security in haskell.［J］. AcmSigplan Notices， 2008， 44（2）：13-24.

［3］ShuiqingH.Research of Risk Assessment Model of Digital Library Information Security Based on ISO27001［J］. New Technology of Library and Information Service， 2009，25（6）：44-49.

［4］Han Z ， Huang S ， Li H ， et al. Risk assessment of digital library information security： a case study［J］. The Electronic Library， 2016， 34（3）：471-487.

［5］HaoT . The Information Security Analysis of Digital Library［C］// 2015 8th International Conference on Intelligent Computation Technology and Automation （ICICTA）. IEEE， 2015.

［6］馬海群.國外大學信息政策發(fā)展與評析［J］.大學圖書館學報，2009，27（5）：10-12，17.

［7］陳嘉慧.國外高校圖書館信息共享空間信息安全政策研究［J］.情報探索，2016（3）：76-81.

［8］張新鶴.國內(nèi)外信息資源建設政策研究進展［J］.圖書情報工作，2009，53（1）：47-51，72.

［9］孫一鋼，黃國彬.云計算環(huán)境下圖書館信息資源安全政策法律研究［J］.圖書館雜志，2011，30（11）：21-25.

［10］Harvard Library.Privacy， Terms of Use & Copyright Information［EB/OL］.［2022-06-15］.https：//library.harvard.edu/privacy-terms-use-copyright-information.

［11］Massachusetts Institute of Technology. Policy on the Use of Information Technology Resources［EB/OL］.［2022-06-15］.https：//policies.mit.edu/policies-procedures/130-information-policies/132-policy-use-information-technology-resources.

［12］Massachusetts Institute of Technology. Privacy policy ［EB/OL］.［2022-06-15］.https：//libraries.mit.edu/about/guidelines/privacy-policy/.

［13］StanfordUniversity.Statement on Patron Privacy and Database Access［EB/OL］.［2022-06-16］.http：//library.stanford.edu/using/special-policies/statement-

patron-privacy-and-database-access.

［14］University of California.Library Privacy Policy［EB/OL］.［2022-06-16］. http：//www.lib.berkeley.edu/about/privacy-policy.

［15］University of California. UC Berkeley Librarys Policy on Protected PersonalInformation［EB/OL］.［2022-06-16］. http：//www.lib.berkeley.edu/about/protected-personal-information.

［16］California Institute of Technology. Caltech Development and Institute Relations Online Privacy Statement［EB/OL］.［2022-06-20］. https：//breakthrough.caltech.edu/privacy/.

［17］ Columbia University. IT Policy Summaries［EB/OL］.［2022-06-20］.https：//cuit.columbia.edu/columbia-it-policies-strategies#/cu_accordion_item-4268.

［18］Columbia University.INFORMATION SECURITY RISK MANAGEMENT POLICY［EB/OL］.［2022-06-21］.https：//policylibrary.columbia.edu/information-security-risk-management-policy.

［19］Princeton University.Policy on Confidentiality of Library Patron Records［EB/OL］.［2022-06-21］.http：//library.princeton.edu/services/access/policies/confidentiality.

［20］University of Washington. Administrative Policy Statement［EB/OL］.［2022-06-22］.http：//www.washington.edu/admin/rules/policies/APS/02.06.html.

［21］University of Washington. Administrative Policy Statement［EB/OL］.［2022-06-22］.http：//www.washington.edu/admin/rules/policies/APS/02.04.html#pubinfo.

［22］University of Washington. Privacy Statement ［EB/OL］.［2022-06-24］. http：//www.lib.washington.edu/about/policy/privacy.

［23］Yale University.Privacy Policy ［EB/OL］.［2022-06-

24］. https：//www.yale.edu/privacy-policy.

［24］Johns Hopkins University.PrivacyStatement［EB/OL］.［2022-06-25］. https：//it.johnshopkins.edu/policies/privacystatement.

［25］張立新，周秀霞，許亮.基于風險控制的大學信息安全政策體系構(gòu)建——基于美國8所大學的實踐分析［J］.現(xiàn)代情報，2016，36（10）：102-106.

［26］葛明駟.視聽新媒體自我規(guī)制：多重語境與路徑選擇［J］.西南民族大學學報（人文社科版），2018，39（8）：122-128.

［27］陳安慶.內(nèi)容審核：傳統(tǒng)媒體盈利新模式［J］.青年記者，2019（10）：12-13.

作者簡介：

許碧涵（1996-），女，西北大學圖書館助理館員。研究方向：信息資源管理。

楊九龍（1970-），男，西北大學公共管理學院教授。研究方向：公共文化服務。

（收稿日期：2022-11-10 責任編輯：張長安）

Practice and Enlightenment of Information Security Policy

of American University Libraries

Xu Bi-han Yang Jiu-long

Abstract：Information security policy is the institutional guarantee for the sustainable operation of libraries. It is of great significance to scientifically set up and standardize the implementation of information security policy of libraries in the data age. Based on the analysis of the core research literature， this paper defines the connotation of library information security policy， and investigates the information security policy of 10 major university libraries in the United States.It is believed that the policy formulation from three aspects of library information resources content security， information exchange security and user privacy security can ensure library information security， and ensure the continuity and robustness of service development.

Keywords：Library; Information Security; Policies and Regulations; American Universities