2014年10月18日 星期六

政大人,你可能因為上圖書館網站而被監控!

各位政大的同學們注意了!
你可曾想過自己因為使用圖書館的網站、資料庫,而相關資訊卻有可能為政府或相關職權機關因為各種「合法」的原因而利用或檢視?致使你因為各種莫名其妙的原因被貼上標籤,這類標籤可能因為你瀏覽、蒐集或檢索了與文化道德或國家政策相悖的資訊而被冠上,例如在戒嚴時期,你瘋狂的查詢國關中心的資料,或者積極尋找禁書名單上的書籍,那麼你可能就會被國安局盯上,貼上叛國嫌疑的標籤,從而監控你未來的一舉一動。
這不是不可能的事情!觀察政大圖書館的網站過程,意外讓我發現一個有趣的東西,原來政大圖書館基於保護使用者隱私而制定了《國立政治大學圖書館網站使用者隱私權保護要點》,以前沒有注意到,此要點是民國93年所通過,其後並歷經98年、99年及101年等3次修正,全文共計5條,開宗明義即稱要點之制定目的在於「確保本館網站使用者之隱私權」,看起來頗peace,沒啥問題。該要點第2條列舉所稱個人資料包括使用者個人姓名、學號(證號)、身分證號、住址、電話、電子郵件信箱、個人認證碼及個人圖書借閱紀錄、檢索紀錄等,將其所認定之個人資料逐一列出,綜觀而言,就是與個人相關且具有識別性之資訊,而這些資料的來源是由教務處提供的學籍資料或由使用者使用圖書館相關網站、資料庫所記錄下的資訊,此要點制定的目的即在於保護這些資訊受到濫用。
有趣的是,該要點第3條豁免了部分具有識別性資訊的利用,其中第5款我實在有點看沒有:
本館網站不會蒐集單純瀏覽、檢索、下載等行為之使用者個人資料;惟本館網站會記錄使用者上站的IP位址、上網時間及瀏覽之網頁等資料,做為提昇本館網站服務品質之總量分析,但不會對個別使用者進行分析。
意思是否在說明個人下載了些什麼、看了些什麼或檢索些什麼,圖書館並不會蒐集?可是都已經將IP記錄下來了,倘若該使用者使用的IP是具有識別性的固定IP,只要與網路提供者聯繫,那豈不是很容易就可以辨識?而且使用圖書館網站進行書籍預約、資料庫使用等功能是需要登錄的,難道完全不會有任何具有辨識性的log留存?雖然圖書館都說此目的在於「提昇本館網站服務品質之總量分析,但不會對個別使用者進行分析」,且「會要求廠商施以最嚴格之保護」,並稱「館員工作平台端即無法查取使用者過去之借閱歷史,但使用者仍可於其個人借閱紀錄中查得」(這句話好像沒有太大意義,因為紀錄還是有留存,有權限的人還是看得到),當然我們也很想相信這些資料應該不會有損個人權益,但此要點最有趣的地方在於,第4條第4款明定圖書館可以將個人資料提供予他人的條件包括5項:
  1. 配合司法單位合法的調查。
  2. 配合相關職權機關依職務需要之調查或使用。
  3. 基於善意,相信揭露為法律上之需要,或為改進本館網站服務之管理上需要。
  4. 危害本館或其他相關網站使用者的使用權或其他相關權利者。
  5. 對使用者資料保護造成威脅者。
這實在太有趣了!各位使用政大圖書館網站的時候,在這項條文之下,你的個人資訊安全其實是有疑慮的。有個案例在圖書館學界頗為知名,因為受到恐怖攻擊,美國政府基於《愛國者法案》,有權力調用圖書館的個人資料以排除危害國家安全之疑慮,這其中包括瞭解哪些人所閱覽的圖書主題是激進的、哪些人使用電腦連結的網站是有危害因子的、哪些人蒐集的資料具有潛在危機的、哪些人做的研究主題涉及反叛思想的,甚至哪些人與被列管名單中的人員是有聯繫的,從而將這些人進行監控,並將這些人列為潛在危險分子,且宣稱這一切都是為了維護國家安全,因此美國政府監控民眾的個人紀錄是有理的、合法的。
在我們眼裡看來,美國政府的做法強烈侵害人權,使人民在威權的監控之下,無法安心、自由的攫取資訊、閱覽圖書,從而使民眾取得資訊的自由受到剝奪。(都已經知道未來相關資訊可能作為判定良民與否的依據,那誰還敢亂看一些有爭議的主題?)
事實上,以美國政府因應恐怖攻擊的做法,對照政大圖書館《國立政治大學圖書館網站使用者隱私權保護要點》第4條第4款所列諸項開放條件,美國政府調閱民眾各項個人資訊係依據《愛國者法案》,符合第1項;配合相關職權機關依職務需要,符合第2項;基於維護國家安全之善意,並相信(假設)揭露為法律上之需要,符合第3項。所以,在這樣的情形之下,我們可以推斷政大圖書館認同美國政府取得讀者個人資訊的做法,那麼,各位善良的政大圖書館使用者呀,你們真的願意有朝一日自己莫名其妙受到政府監控,只因為你喜歡看血腥的小說?只因為你對於國際激進分子感興趣?只因為你點選了政大圖書館網站上最新消息香港民主主題書展的連結?只因為你的研究剛好有反政府因子存在?只因為你莫名其妙下載了一份你也搞不清楚是什麼的人所寫的資料,而那個人剛好是政府列管清單上的人?你生氣的跑去與圖書館爭執,圖書館的人員卻告訴你他們是依法行事,是基於相信國家是正義的存在,不會胡作非為,所以你只能乖乖的接受這一切,讓你的個人資訊在高度的風險之下被圖書館「保護」著?
因此,在此呼籲政大圖書館是否應該重新檢討此要點所規範提供個人資料的條件?制定的過程是否應請教或納入人權或法律等相關專家學者?倘若依據此要點目前的規定,相信對於原本想要保護使用者隱私的目的,倒頭來反令人感到有所疑慮。
 
《國立政治大學圖書館網站使用者隱私權保護要點》
 
中華民國93年2月5日第222次圖書館主管會議通過
中華民國98年12月29日第308次圖書館主管會報修正通過
中華民國99年5月26日第314次圖書館主管會報修正通過
中華民國101年01月03日第338次圖書館主管會報修正通過
 
第一條:國立政治大學圖書館(以下簡稱本館)為確保本館網站使用者之隱私權,特訂定「國立政治大學圖書館網站使用者隱私權保護要點」(以下簡稱本要點)。
 
第二條:適用範圍
  1. 本要點適用使用者在本館全球資訊網、自動化系統網站及各資料庫系統(以下簡稱本館網站)之網站活動時,所涉及個人資料之建立、運用與保護;但經由本館網站連結至其他網站者,則請參考該網站隱私權保護聲明。
  2. 本要點所稱之個人資料,包含使用者個人姓名、學號(證號)、身分證號、住址、電話、電子郵件信箱、個人認證碼及個人圖書借閱紀錄、檢索紀錄等。
第三條:個人資料之建立與使用
  1. 本館網站的個人資料來源,新生是在入學時由教務處提供的學籍資料經轉檔程序轉入本館自動化系統,其餘使用者之個人資料係於申辦本館服務時,填寫表單後由館員輸入至所屬系統或由使用者線上申請。
  2. 使用者個人資料於該項服務終止並於本館完成年度統計後一年內銷毀刪除。
  3. 檢索資料庫的檢索紀錄,係由館外各資料庫供應商所保留或刪除,本館會要求廠商施以最嚴格之保護。
  4. 個人圖書借閱紀錄於使用者進行圖書借閱時,本館自動化系統更新借書紀錄乃為必要之程序;使用者還書後,本館自動化系統會立刻更新其借閱紀錄,館員工作平台端即無法查取使用者過去之借閱歷史,但使用者仍可於其個人借閱紀錄中查得。
  5. 本館網站不會蒐集單純瀏覽、檢索、下載等行為之使用者個人資料;惟本館網站會記錄使用者上站的IP位址、上網時間及瀏覽之網頁等資料,做為提昇本館網站服務品質之總量分析,但不會對個別使用者進行分析。
  6. 凡來信對於本館有任何疑問或建議事項所提供之個人資料,除電子郵件須做為本館業務承辦人回覆使用,其餘個人資料及來信內容僅做為本館內部評估改進之用。
第四條:資料之維護及保全
  1. 使用者得在本館自動化系統中自行修改與維護其個人地址、電話及電子郵件信箱。
  2. 惟有經過授權的本館館員為業務上的需求,才能處理使用者的個人資料;未經授權之個人不得以任何不法的途徑取得他人資料。(包含儲存於磁帶上的備份)
  3. 使用者應自行妥善保管個人帳號及密碼;若與他人共用電腦或使用公用電腦,亦需要登出或關閉瀏覽器視窗,以防止他人讀取個人資料。
  4. 本館網站有義務保護使用者之個人資料,絕不會任意出售、交換給其他團體、或個人等第三者。但有下列情況之一者,本館得不經使用者同意,可對於收集資料逕行處置或移轉:
(1) 配合司法單位合法的調查。
(2) 配合相關職權機關依職務需要之調查或使用。
(3) 基於善意,相信揭露為法律上之需要,或為改進本館網站服務之管理上需要。
(4) 危害本館或其他相關網站使用者的使用權或其他相關權利者。
(5) 對使用者資料保護造成威脅者。
第五條:本要點經本館主管會報通過後實施,修正時亦同。

2 則留言 :

  1. 這不是各個有登帳密、有記錄log的網站都會有的聲明嗎,不然要怎麼記錄使用者的使用行為?有違法大量下載或其他侵權行為的時候怎麼處理?怎麼做資料庫的使用統計?監控跟留下使用者的使用行為完全是兩回事,這篇文章是在危言聳聽嗎?用這種像是記者般的聳動標題是怎麼回事?

    回覆刪除
  2. 的確,真是個危言聳聽的標題呀!建議您再仔細了解這篇文章的重點,我很樂意與您討論。

    回覆刪除

此網誌為本人看法,欲討論者請保持冷靜