國內外研究高校圖書館隱私的文獻分析

趙菲兒

(復旦大學文獻信息中心,上海 200433)

1 引 言

隨著大數據時代的來臨,高校圖書館作為知識資源的重要承載者和服務提供者,正面臨著日益凸顯的隱私問題。大數據技術的快速發展和廣泛應用,為高校圖書館提供了更多機會和挑戰,同時也引發關于隱私的爭議和討論。隨著圖書館采集、存儲和分析用戶信息的能力不斷增強,個人隱私泄露和濫用等問題愈發引人關注。本文旨在對國內外研究高校圖書館隱私的文獻進行分析,以期揭示該研究領域各方面成果與主要進展,為相關研究提供參考和借鑒,同時為高校圖書館管理者和決策者提供有益的思考和指導。

2 文獻調研

2.1 文獻樣本選擇

本文選擇CNKI和Web of Science核心數據庫為檢索平臺。在中國知網數據庫中,以SU=(高校圖書館+大學圖書館)*(隱私+個人信息)進行檢索,檢索時間為2023年7月6日,起止時間為2000年—2023年7月,共檢索到299篇相關文獻,通過逐一閱讀,篩選出與研究主題相關的文獻248篇。

在Web of Science核心數據庫中以TS =privacy AND TS=librar*為檢索式進行檢索,文獻類型限制為論文,檢索時間為2023年7月10日,共檢索到1 547篇文獻,因本文主要關注高校圖書館相關研究,因此,進一步細化檢索式為TS=((University or Academic or College) and librar*)AND TS=privacy,起止時間為1995年—2023年7月,共檢索到204篇相關文獻,通過逐一閱讀,篩選出符合條件的論文191篇。

2.2 文獻發表時間

從文獻發表時間來看,2008年以前,鮮有學者對高校圖書館隱私進行研究;2008—2015年,相關文獻發表量開始逐漸增多,呈現出較明顯的上升趨勢;2016—2019年是該研究熱度增長的關鍵時期;2020年開始相關文獻發表量保持相對穩定的水平。國外研究高校圖書館隱私的文獻發表時間普遍集中在2018—2022年,且國外文獻的最早發表時間早于國內,可以追溯到1995年。

2.3 關鍵詞共現分析

利用VOSviewer軟件,基于關鍵詞對高校圖書館隱私國內外研究熱點進行了分析。從分析結果來看,在國內研究中,“大數據”“智慧圖書館”“個性化服務”“用戶畫像”“學習分析”“隱私政策”等關鍵詞出現的節點較大、頻次較高,表明國內學者在此領域的研究熱點集中在大數據隱私保護、個性化服務與隱私權衡、隱私保護技術、政策等方面。而在國外研究中,“信息”“大數據”“教育”“科技”“態度”“挑戰”等關鍵詞出現的節點較大、頻次較高,涉及隱私保護面臨的挑戰和問題、用戶態度和行為研究、隱私教育和意識培養、隱私保護的技術手段等多個方面。

3 高校圖書館隱私的研究主題

3.1 隱私問題研究

3.1.1 用戶信息采集中的隱私問題。新一代信息技術的普及和廣泛應用為高校圖書館收集用戶個人信息創造了條件,但這容易引起用戶對自身敏感信息泄露的擔憂,從而產生用戶自身權益保護和享有圖書館高質量服務之間失衡的問題。隨著高校圖書館用戶范圍的擴大,數據搜集、分析、整合為核心的數據管理業務相繼出現,采集用戶個人信息所帶來的隱私風險也會相應增加[1]。Ellern等[2]在研究美國北卡羅來納州的所有學術圖書館的身份驗證實踐狀態后發現,在該州113個接受調查的學術圖書館中,有66%(或75個)的公共計算機需要某種形式的用戶身份驗證,身份驗證所固有的用戶信息采集風險與安全保護的原則存在極大的沖突。

3.1.2 個性化數據服務中的隱私問題。隨著高校圖書館服務空間的擴展,用戶需求變得更加多元化和復雜化,個性化服務逐漸成為圖書館新型服務的主流。其充分利用圖書館館藏資源,主動以用戶為中心進行全方位服務,能更好地服務于學習、教學和科研。信息化時代,精準推薦學習資源、提供個性化服務已成為大數據技術的亮點,如何平衡隱私保護與為用戶提供個性化服務是高校圖書館需要思考的重要議題[3]。

目前,國內外較多高校圖書館都為學生提供了個性化數據服務。例如,云南大學利用RSS技術,重慶大學、浙江大學等利用微信平臺,將技術與圖書館服務相結合,為用戶提供個性化資源推送服務;南京航空航天大學圖書館使用用戶畫像技術作為實現和提升精準服務的重要工具,在構建用戶畫像的過程中要進行用戶個人信息的收集,用戶畫像模型構建完成后會被利用到各種項目、服務和活動中[4];美國加利福尼亞大學、雪城大學等知名高校的圖書館參與學習的分析項目在記錄和分析學生的圖書館數據時都會使用可識別的個人信息來推薦學習資源[5]。高校圖書館在提供這些服務的過程中,在用戶數據采集和授權、用戶數據傳輸和保管、用戶數據利用等問題上存在不同程度的風險和隱患。

3.1.3 數據共享中的隱私問題。高校圖書館需要與校內各職能部門協調合作,也需要進行館際合作,以實現館際資源和服務的開放,為用戶提供更多資源和服務。但是,用戶的個人信息通過各種渠道共享后,隨著圖書館的館藏向數字化轉型以及開放共享的逐步深入,數據共享中的隱私問題將成為高校圖書館與其他主體合作時需要考慮的重要問題[1]。

3.2 隱私態度研究

在圖書館員和大學生對隱私的態度進行研究方面,國外學者更為深入。這些研究表明了人們對隱私的關心和重視,并為未來的圖書館政策和計劃提供指導,旨在創造一個保護隱私權的環境。

在對圖書館員態度的研究上,Tummon等[6]調查了加拿大學術圖書館員對圖書館實踐和在線隱私行為的看法和態度,研究結果表明,調查對象認為保護用戶隱私并教育用戶有關在線隱私的問題非常重要,然而,許多學術圖書館員對圖書館是否充分保護用戶隱私表示懷疑。Avuglah等[7]改編并應用了Zimmer開發的工具,該工具評估了美國圖書館員對隱私權和保護圖書館用戶隱私的態度和做法。研究發現,加納大學的圖書館員和學生都表示不喜歡國家和企業對其個人數據的壟斷,盡管他們對圖書館員在保護其個人數據方面的強大作用持積極態度,但其中相當多的人對圖書館員實現其個人數據的保護缺乏信心。此外,研究還注意到學術圖書館員的隱私態度和關切與該校大學生的隱私態度和關切相一致。莫楊海[8]通過發送電子郵件的方式對國內圖書館員對隱私的態度和實踐進行了調研,結果顯示所有的受訪者都認為應該對查看讀者個人信息的行為進行嚴格監管,91.8%的受訪者擔心第三方供應商和政府搜集的個人信息過多。

在對學生態度的研究上,Asher等[9]在8所美國高等教育機構開展了一項調查,記錄學生對學術圖書館參與學習分析和隱私問題的想法,該調查收到了2 200份回復。盡管大多數學生表示對圖書館和圖書館員有很高的信任度,但仍有的少數學生持相反觀點。調查結果還顯示,雖然學生認為圖書館員訪問和共享個人身份信息構成侵犯隱私,但他們對圖書館所依賴的數據和分析實踐缺乏了解。在另一項研究中,Connell等[10]選擇了366名瓦爾帕萊索大學的新生作為樣本,以了解他們對使用Facebook和MySpace作為外展工具的圖書館員的感受。絕大多數受訪者都有在線社交網絡個人資料,盡管大多數人表示他們將接受通過這些網站與圖書館聯系,但少數人對此反應消極,因為他們擔心可能侵犯個人隱私。

3.3 隱私保護措施研究

3.3.1 隱私保護措施類型。

(1)政策文本

圖書館隱私政策是大數據環境下讀者個人信息保護的基石。為了尊重和保護用戶權利,圖書館通過制訂隱私政策,對線上線下可能涉及的讀者隱私保護問題作出規定。目前,已有較多學者對高校圖書館隱私政策的制訂、內容、可見性和可讀性等進行分析和研究。

在隱私政策的制訂上,澳大利亞國立大學、墨爾本大學等9所澳大利亞高校的圖書館對個人信息的保護措施較多,制訂了一系列相關政策條款,且均設置了個人信息保護辦公室,可見,澳大利亞高校圖書館普遍重視對用戶個人信息的保護[11]。奧克蘭大學圖書館為制訂隱私政策聲明成立了一個工作組,并明確了搜集、存儲和處置圖書館用戶私人信息時所涉及的一系列內部考慮事項[12]。

在隱私政策的內容上,許碧涵等[13]指出美國哈佛大學、麻省理工學院等10所高校的圖書館信息安全政策文本均標明重視用戶個人基本信息、借閱信息等敏感信息的保護,強調保護用戶隱私是圖書館長期的價值追求。McKinnon等[14]對加拿大學術圖書館最常合作的4家供應商SirsiDynix、OCLC、EBSCO、Ex Libris進行了審查,發現4家供應商的隱私政策包含的信息大致相同,如都含有關Cookie以及如何通過使用Cookie搜集數據的信息。其中,SirsiDynix的隱私政策中包含了更多內容。

在隱私政策的可讀性和可見性上,Katulic等[15]以45個歐洲國家圖書館的隱私文件為樣本進行調研,結果顯示歐洲國家圖書館基本遵守了歐盟的數據保護標準,其中:有27個的圖書館使用單獨的隱私頁面;有29個使用了Cookie聲明;有11個圖書館沒有發布隱私聲明或Cookie聲明。同時,其調查了歐洲國家圖書館對《一般數據保護條例》(GDPR)的強制性要素和WP29/EDPB透明度準則的服從性,結果顯示51%的歐洲國家圖書館已經按照WP29/EDPB透明度準則充分實施了隱私政策,這也說明GDPR的應用促進了歐洲國家圖書館個人信息保護的透明度。

(2)技術保護

技術是圖書館隱私保護的主要手段。傳統的技術已不能滿足現代圖書館個人信息保護的要求,有學者開始對高校圖書館針對隱私保護使用的新型技術進行探索。目前,國內清華大學、武漢大學等“雙一流”高校的圖書館的創客服務開展得如火如荼,王建功[16]提出應利用區塊鏈技術構建創客服務平臺,借助區塊鏈的數據安全與隱私保護關鍵技術如時間戳、哈希函數、非對稱加密算法等,以其加密特性保障用戶的信息安全,為大數據時代重新構造信任體系。印度浦那大學圖書館采用RFID技術,因絕大部分安裝在圖書館資料中的標簽只包含項目ID,且RFID標簽只能在兩英尺(6米左右)或更短的距離內讀取,因此能較好地保護用戶的隱私[17]。傳統上學術圖書館通過IP認證提供在線資源的訪問,但IP訪問是一種過時的技術,會給圖書館和出版商帶來安全問題。美國波士頓學院的系統圖書館員將隱私融入日常實踐,其通過實現OpenAthens來完成基于SAML的聯合身份管理的過渡。OpenAthens是一種訪問工具,它將取代大部分在線資源的IP認證,在不影響用戶隱私保護的情況下實現對在線資源的訪問[18]。美國田納西州中部州立大學圖書館正探索在其發現層中使用Matomo這一免費的開源軟件應用程序進行網絡分析的可行性,其與Google Analytics相比具有一些顯著優勢,因為前者是在Copyleft GPL免費和開源軟件(FOSS)許可下授權的,并且其在設計時以用戶隱私為核心[19]。英國巴斯溫泉大學圖書館在與IT部門和第三方軟件供應商合作的單點登錄項目中提出一種學術圖書館可以更有力地保護用戶隱私的方式,即進行身份和訪問管理:其在系統審查和限制發布給第三方提供商的數據方面扮演著專家的角色——既可以作為技術解釋和合作的代理人,也可以在協商訂閱和續訂時發揮作用[20]。

(3)保護指南

隱私保護指南是為確保個人信息在處理、使用和存儲過程中得到妥善保護而制訂的指導性文件。美國、加拿大、英國、澳大利亞等國家的圖書館行業協會或教育部門大多制訂了圖書館用戶隱私保護指南,比較具有代表性的如澳大利亞圖書館與信息協會(ALIA)《圖書館隱私保護指南》、英國圖書情報專業人員協會(CILIP)《圖書館用戶隱私指南》等,其對這些國家包括高校圖書館在內的各個圖書館用戶隱私保護均有指導作用[21]。Noh等[22]制訂了適用于任何圖書館的圖書館隱私指南,內容包括目的、定義、隱私范圍、法律和政策、一般信息、圖書館在處理個人信息方面的工作表現以及圖書館分包商等,旨在遵循修訂后的《圖書館隱私法》實施規定、改進圖書館隱私指令,確保與相關的法律法規保持一致,進而實現圖書館隱私指南的規范化。

(4)隱私教育

僅僅通過制訂法律法規、政策文本和發展新興技術無法實現最佳的隱私保護效果,而開展隱私素養教育可以使用戶和館員更好地了解隱私知識和相關技術,從而提升館員隱私服務水平,增強用戶自身的隱私保護能力。

Hartman-Caverly等[23]探討學術圖書館中隱私和隱私素養(PL)教學的過去、現在和未來可能性,并通過調查確定了學術圖書館員在提供隱私素養教學時使用的理由、主題、背景、方法、評估方式以及遇到的障礙。同時,作者在美國賓夕法尼亞州立大學伯克利分校圖書館展開信息素養主題研討會,提出在尊重學生個人技術使用方面的自主權和能動性的基礎上,發展他們在隱私和個人信息商品化方面的知識實踐,同時體現知識自由的圖書館核心價值。目前,已有很多高校圖書館進行了隱私教育的實踐,如美國康奈爾大學圖書館提供的隱私服務包括了數字隱私素養教育,會定期舉辦隱私素養課程培訓及隱私研討會、講習班、座談等活動來滿足用戶隱私知識需求,提高用戶數字隱私素養[24];美國、澳大利亞、英國等國的18所高校的圖書館開展數字素養教育,呈現出多元主體實施、重視館員培訓、教育方式嵌入學術科研全過程、尊重隱私與數據安全等特點[25]。

3.3.2 隱私保護措施存在的問題。

(1)隱私政策宣傳力度不足

通過對加納3所頂尖高校的圖書館的隱私實踐進行調研,Avuglah等[7]發現其學術圖書館員在促進圖書館的隱私保護方面并不積極,圖書館員和學生普遍對與隱私有關的圖書館慣例、政策和程序缺乏認知,圖書館在提供隱私教育以及向員工和讀者傳達自身和供應商的隱私政策方面做得很少。

(2)隱私政策未達到標準

Magi[26]根據入學人數確定了美國最大的20所高校,隨后通過聯系這些高校的圖書館館長確定27個資源供應商并使用內容分析的方式來評價這些供應商的隱私政策是否符合圖書館行業和信息技術行業制訂的標準。結果顯示,雖然大多數供應商均有隱私政策,但未能表達對圖書館員職業和信息技術行業為處理和保護用戶信息而制訂的許多標準的承諾。Valentine等[27]檢查了從美國研究圖書館協會(ARL)成員館的公共網站上收集的78項政策是否符合美國圖書館協會(ALA)關于隱私政策內容的準則,其基于ALA隱私政策指南的演繹碼本對所有政策進行編碼,結果表明對ALA指南的政策依從性較低。78項政策中沒有一項包含源自指南的所有20個代碼,只有6%包含一半以上的代碼,沒有一項政策包含超過ALA建議內容的75%。這項研究表明,大多數圖書館沒有提供全面的關于如何獲取、使用和共享用戶數據的政策。

(3)技術保護存在漏洞

Obrien等[28]對279所高校的圖書館主頁進行分析以確定是否存在HTTPS、Google Analytics服務和隱私保護功能,結果表明,絕大部分圖書館都實施了Google Analytics服務,但只有極少數網站通過HTTPS安全地連接到谷歌或實施了Google Analytics IP匿名化,而這可能會造成用戶信息的泄露。

(4)執行與監督力度不強

Siskin等[29]對土耳其安卡拉15所高校的圖書館的個人數據管理實踐進行分析,發現幾乎一半的圖書館沒有獲得用戶對個人數據收集和處理的授權,這些圖書館并沒有進行個人隱私保護的實踐,也沒有人對此進行監督。Marino[30]對124個ARL成員館網站主頁上的第三方跟蹤Cookie實例進行編錄,并在41個ARL站點上被識別(33.06%),這些均為學術圖書館。雖然四分之三的圖書館網站確實在網頁的某處包含了Cookie或隱私政策的鏈接,但很少通過透明、突出和交互式的Cookie聲明讓用戶完全控制登錄在自有設備的Cookie。

4 研究結論及展望

4.1 研究述評

通過綜合全面的梳理發現,當前對高校圖書館隱私的研究已取得豐碩成果。針對隱私問題,現有研究從用戶信息采集、個性化數據服務和數據共享等多個角度進行深入分析。在隱私態度的研究方面,研究聚焦于特定問題,如圖書館員對用戶隱私保護、用戶對學術圖書館的數據分析和隱私問題等,通過調查收集了大量的數據和回復,使研究結果更具客觀性和可靠性。關于隱私保護措施的研究涵蓋了政策文本、技術保護、保護指南和隱私教育等多個方面,提供了綜合全面的視角,此外,研究還跨越了不同國家,展示了各國高校圖書館在隱私保護措施上的差異和相似之處,為國際經驗交流和借鑒提供了重要依據。

綜合來看,現有研究也存在以下不足。第一,研究的廣度相對有限,缺乏全球范圍內的綜合比較和廣泛調查,這限制了研究結果的普遍適用性。此外,對具體隱私問題和風險的深入分析相對較少,研究主要停留在問題的描述和表面現象的分析,缺乏對背后原因和潛在影響的深入研究。第二,大多數研究聚焦于圖書館員和大學生的態度,其他用戶群體的觀點和意見相對缺乏,可能導致對整體態度的理解不完整。第三,當前研究主要關注隱私保護措施的特定方面,如政策、技術、教育,但缺乏綜合性的研究,難以全面理解和分析隱私保護的整體效果和互動影響。第四,現有研究主要是對當前情況的描述和分析,缺乏對隱私保護措施的長期追蹤研究,無法評估措施的持續有效性和適應性。

4.2 現實啟示

根據前述研究,圖書館在隱私保護方面存在諸多不足,如宣傳教育不足、隱私政策未達到標準、技術保護措施不完備以及缺乏有效的執行監督等,結合國內外圖書館現有的隱私保護問題和應對措施,高校圖書館可采取以下策略科學地處理隱私問題。

在隱私政策方面,首先,高校圖書館需要加大對隱私政策的宣傳力度。加納學術圖書館的案例表明,對隱私政策和實踐的了解不足可能導致隱私保護措施的落實不力,因此,高校圖書館可以通過舉辦研討會、發布教育視頻等形式,確保圖書館員和學生都充分理解隱私政策的重要性。另外,高校圖書館在選擇數據庫和電子資源供應商時,需要審查其隱私政策,確保這些政策符合本館的隱私保護標準,并在合同中明確相關的隱私保護條款。在技術方面,高校圖書館應加強使用HTTPS、數據匿名化、區塊鏈等現代技術來保護用戶數據,同時更新訪問控制技術,并積極參與身份和訪問管理,確保必要的用戶數據被安全地處理。在執行和監督上,高校圖書館應確保個人數據管理實踐得到用戶的明確授權,并有效管理第三方跟蹤Cookie,提升透明度和用戶控制權限。同時,高校圖書館需要制訂和參照隱私保護指南,開展隱私素養教育,提升館員和用戶的隱私保護意識和技能。

4.3 未來展望

在應對不斷變化的隱私挑戰時,未來的研究和實踐需要采取更全面、更深入的方法。首先,需要擴大研究范圍,涵蓋更多不同地區和高校的圖書館以廣泛調查,提高研究結果的普適性。同時,深入分析具體的隱私問題和風險,探究其背后的原因和潛在影響。其次,應該關注其他相關群體的觀點和意見以獲得更全面的理解,準確把握用戶整體對隱私問題的態度。再次,需要進行綜合性研究,關注隱私保護措施的各個方面,并探索它們之間的相互作用,這將有助于更好地理解隱私保護措施的整體效果和效能。此外,進行長期追蹤研究,對隱私保護措施進行持續評估和調整,確保評估措施的持久有效性和適應性,并隨著技術和社會環境的變化適時調整和改進。最后,進一步關注隱私教育的有效性和策略,培養用戶和館員隱私保護的意識和能力。

除了已經涉及的研究方向,未來在高校圖書館隱私研究中還可以更多地進行隱私風險的評估與管理,探索隱私風險評估方法,建立隱私風險評估指標體系。同時,應深入研究用戶參與隱私保護決策和圖書館治理的機制與實踐,如用戶數據控制權、隱私權利的認知等。在研究方法上,可以借鑒其他學科的理論和方法,如信息科學、社會學、心理學等,進行與高校圖書館隱私保護相關的跨學科研究,以全面理解和解決隱私保護問題,為構建安全可信的高校圖書館隱私環境提供更科學的理論支撐和技術保障。