我國大學圖書館隱私權政策探討

我國大學圖書館隱私權政策探討

A Study on Privacy Policy

of University/Academic Libraries in Taiwan

林呈潢

輔仁大學圖書資訊學系助理教授

Cheng-Huang Lin

Assistant professor, Department of Library and Information Science,

Fu-Jen Catholic University, Taiwan（R.O.C.）

E-mail: [email protected]

陳虹碩

輔仁大學圖書資訊學系碩士班研究生

Hong-Shi Chen

Graduate Student, Department of Library and Information Science,

Fu-Jen Catholic University, Taiwan（R.O.C.）

E-mail: [email protected]

關鍵詞（

Keywords）： 隱私權（Privacy）；隱私權政策（Privacy Policy）；大學圖書館

（

Academic Libraries）

【摘要】

保障使用者隱私的概念，在我國圖書館界

已存在多年，但訂有隱私權政策之大學圖書

館仍屬少數；2010 年我國修正《個人資料保

護法》

(以下簡稱個資法)，強調「個人資料自

主決定權」(資訊自主權)、「安全維護義務」

以及「合理利用」等三個重點。規範個人資

料的蒐集（個資法§5）、處理（個資法§2）

及利用（個資法§

16）有助於隱私權的保護。

同時，一舉將個資法外洩賠償上限從現行法

二千萬元提高到二億元，圖書館身為握有大

量使用者個人資料的機構應更加謹慎小心。

本研究採用內容分析法，分析國外大學圖書

館隱私權政策，整理出重要的隱私權保護內

容。再依據內容分析法結果，整理出隱私權

政策內涵，做為結構性訪談的依據，以探討

目前我國大學圖書館所面臨的隱私權議題和

面對這些隱私權問題的處理方式、對於制定

隱私權政策的看法（含動機與困境），以及

制定隱私權政策的相關做法，最後彙整可供

我 國 大 學 圖 書 館 建 置 隱 私 權 政 策 參 考 之 內

容，包括人員權限控管、使用者個人資料的

用途、適用範圍等

11 個項目。

【

Abstract】

The concept of privacy protection has been

around in librarianship in Taiwan for years,

but only a few academic/university libraries

have set up the privacy policy for library

patrons. In 2010, revised edition of the

Personal Information Protection Act

(hereinafter “ the PIPA”) was enacted to

enforce namely “the rights of

self-determination of personal information”

(named hereinafter “The Information Right of

Self-Determination”), “the obligation of proper

security measures” and “the fair use.” The

PIPA, enacted to govern the collection (§5),

processing (§2) and use (§16) of personal

information, is significantly helpful for the

privacy protection. In the meantime, the

revised PIPA governs the total amount of fine

for disclosing the personal information should

from NT 20,000 to up to NT$200 million. The

libraries, as organizations that possess a

great quantity of the patrons’ personal

information, should be keen to this issue.

This study utilized content analysis as its

primary research method for data collection

and analysis. The first step is to analyze the

privacy policy of academic libraries in other

countries, and to extract the important issues

in their privacy policy. The second step is to

organize the meaningful contents of the

privacy policy based on the results of the first

step of content analysis. The acquired

meaningful contents are then used as a basis

of structured interviews. There are four

research themes in this study, namely

discussion of the key topics of the privacy

policy concerned by the academic libraries in

Taiwan; the strategies of dealing the

problems of privacy policy; the opinions of

formulating the privacy policy (including

motivation and dilemma); and

decision-making process of the policy. Last,

this study aims to synthesize the significant

issues of privacy policy for the reference of

academic libraries in Taiwan. There are 11

key aspects contained in the policy, including

access control, the use of personal

information, the proper scope, and so on.

前言

圖書館為及時提供使用者資訊的需要，採用許多 新的科技，這些科技使圖書館可能在無意中收集到 屬於使用者隱私的個人資訊，對使用者個人資料的 保護造成一定程度的威脅。加上透過網路蒐集資料 的快速，新科技對個人隱私所造成的威脅，已超出 傳統法律系統的處理範圍（Fifarek, 2002）。 有鑑於此，美國圖書館學會（American Library Association, ALA）於 1999 年成立「電子資源隱私 與 機 密 任 務 小 組 」（Task Force on Privacy and Confidentiality in the Electronic Environment），並於 2000 年 7 月提出報告指出使用者隱私正受到威脅， 並提出三點建言：（一）修正ALA 的相關政策（包 含網路隱私）；（二）發展隱私政策模式、建構工具 和最佳隱私常規的文件；（三）在網頁或圖書館與網 路相關的隱私政策中採用隱私聲明（Coombs, 2004, p.493）。 2003 年，ALA 進一步提出《網路化世界中圖書館 的 原 則 》（Library Principles for a Networked World），建議網路環境下，圖書館隱私保護的五項 原則：（一）隱私權是一切社會成員的權利，在網路 化世界中必須保護這種權利；（二）保護人們在檢索 資訊和交換資訊中的隱私權是知識自由不可或缺的 要素；（三）長期建立起來做為美國和其他國家隱私 權法案基礎的「公平資訊原則」（Fair Information Practices）必須為網路化世界隱私權政策的核心； （四）使用者有權充分了解網路化世界中的隱私權 政策和原則；（五）圖書館使用者的隱私必須受法律 和政策的保護（ALA, 2003）。 隱私權雖非我國憲法明列之權利，但法務部1982 年7 月 26 日法律字第 9168 號函釋即曾出現隱私權 之用語，將隱私等同秘密，認為屬於民法上的人格 權。2005 年 9 月 28 日大法官釋字第 603 號進一步 解釋隱私權乃為不可或缺之基本權利，受憲法第二 十二條所保障。2010 年我國修正《個人資料保護法》

（以下簡稱個資法），強調「個人資料自主決定權」 （資訊自主權）、「安全維護義務」以及「合理利用」 等三個重點；規範個人資料的蒐集（個資法§5）、 處理（個資法§2）及利用（個資法§16），有助於 隱私權的保護。 保障使用者隱私的概念，在我國圖書館界已存在 多年，但訂有隱私權政策之大學圖書館仍屬少數， 大多以專業倫理守則要求館員自律；根據報導，我 國因個人資料遭到外洩、且外洩個資被犯罪集團利 用於詐欺的犯行相當嚴重，所以朝野達成重大共 識，一舉將《個資法》外洩賠償上限從現行法二千 萬元提高到二億元，圖書館身為握有大量使用者個 人資料的機構，應更加謹慎小心。 目前企業界及國外圖書館，大多有相關隱私權政 策的制定；反觀國內大學圖書館訂定有隱私權政策 者並不多。故本研究希望利用目前國內外的隱私權 規範，並參酌學者對保護使用者隱私權做法的建 議，以內容分析以及訪談的方式對我國大學圖書館 制定隱私權政策的現況進行一項探索性研究。 換言之，本研究希望探討目前我國大學圖書館所 面臨的隱私權議題和面對這些隱私權問題的處理方 式、我國大學圖書館對於制定隱私權政策的看法（含 動機與困境），以及制定隱私權政策的相關做法，最 後彙整可供我國大學圖書館建置隱私權政策參考之 內容。依此，本研究的研究問題包含以下五項： 一、 我國大學圖書館有哪些常見的隱私問題？ 二、 我國大學圖書館目前有哪些處理個人資料的 方式？ 三、 大學圖書館不訂定隱私權政策的原因為何？ 四、 影響我國大學圖書館訂定隱私權政策的動機 為何？ 五、 隱私權政策之制定，有那些必要的程序？ 六、 我國大學圖書館隱私權政策應涵蓋哪些內容？

文獻回顧

隱私權的概念與發展

「隱私」和「隱私權」的內涵眾說紛紜，並沒有 一個公認的定義。雖然公認隱私權的正式提出是在 十九世紀末葉由美國的Warren 和 Brandeis 所提出， 但真正「隱私」的概念是自人類群居以來，即與之 俱存的觀念（林建中，1999，頁 1）；然而無法否認 的是，隱私的概念與認定範圍會隨著時間和地域的 不同而呈現出相當大的差異。因為隱私涉及公民的 私生活，一旦個人感到私生活受侵犯，感到人格受 損，就會產生一種不安全的狀態，個人生活安寧遭 到破壞，就會產生對他人和所處環境以及對社會的 一種防範、敵視甚至抵觸情緒（曹玉平，2006，頁 14；林敏，2007，頁 80），所以早在西元三世紀左 右，猶太人的米西納法（Mishnah）規定，不得「凝 目盯著或窺視」鄰居之家屋。九百年後，於1180 年， 又在新頒的梅木尼達法典（Code of Maimonideis [sic]）中明確使用了「隱私權（Privacy）」一詞（楊 敦和，1983，頁 78-79）。總之，對隱私的概念，大 抵 是 由 「 免 於 被 他 人 所 觀 看 或 探 知 （Not to be Observed）」以及「對於獨立於社會或他人干涉的慾 望（Desire for Solitude）」兩者所組成（林建中，1999， 頁2）。

隱私保護原則

為了保障隱私權，各國及國際組織發展出了可供 依循的隱私保護原則，茲列舉要者簡單說明如下：

（一）《

OECD 個人資料保護原則》

1980 年 9 月 23 日經濟合作發展組織（Organization for Economic Cooperation and Development，OECD） 發布《OECD 隱私權保護及個人資料與境外資訊流 指導方針》（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），該 方針已成為各國家制定隱私權保護法案之依據，主 要原則如下（Organization for Economic Cooperation and Development [OECD], 1980）：

1. 限制蒐集原則（Collection Limitation Principle）： 對於個人資料的蒐集應有所限制，且應以合

法、公正的手段，於合適的場所，並經本人同 意始得蒐集。

2. 資料品質原則（Data Quality Principle）：個人資 料之利用須符合蒐集之目的，並保持正確、完 整及新穎性。

3. 指定目的原則（Purpose Specification Principle）： 蒐集個人資料的目的應於蒐集時即明確指定，且 使用上不得有不符目的之情況產生。

4. 使用限制原則（Use Limitation Principle）：除非 取得本人的同意或是經由法律授權，個人資料 不應被揭露、取得或用於原則3 以外之目的。 5. 安全保護原則（Security Safeguards Principle）： 個人資料應受合理之安全保護，以對抗因資料 損失、為授權存取資料、資料損壞、使用、修 正或揭露等所造成之風險。 6. 公開原則（Openness Principle）：關於個人資料 的發展、應用及政策，應有一通則性之公開原 則，讓人容易取得確立個人資料存取的種類之 方法、使用資料之主要目的及確認資料管理者。 7. 個人參與原則（Individual Participation Principle）： 個人有權利向資料管理者取得或確認是否擁有 關於自己的資料、瞭解個人資料內容，並可請 求刪除或更正自己的資料。 8. 責任義務原則（Accountability Principle）：資料管 理者必須負責遵守以上各項規則，並使之生效。

（二）

美國《個人隱私權與全國資訊基礎建設：

個人資訊提供與使用原則》

除OECD 外，1995 年 7 月美國政府「資訊基礎建 設工作小組」（The Information Infrastructure Task Force，IITF）提出《個人隱私權與國家資訊基礎建 設：個人資訊提供與使用原則》（Privacy and National Information Infrastructure: Principles for Providing and Using Personal Information），強調供應者告知 （Provider Notice ） 以 及 使 用 者 同 意 （ Customer Consent）兩大原則，擴展了 OECD 的個人資料保護 原則（Loundy, 1995）。

（三）歐盟《個人資料保護指令》

歐 盟 在 1995 年 通 過 《 個 人 資 料 保 護 指 令 》 （European Union’s Directive 95/46/EC on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data），於 1998 年 10 月 25 日生效。該指令之基本 項目包括：用途限制、資料處理品質、安全性、透 明化、同意權之原則、獨立監督以及個人救濟等七 個原則（周慧蓮，2003，頁 24-27）。

（四）

APEC 隱私權保護原則

2004 年 11 月 亞 太 經 濟 合 作 會 （ Asia-Pacific Economic Cooperation，簡稱 APEC）通過《APEC 資 訊 隱 私 權 原 則 》（APEC Information Privacy Principle），成為 APEC 各會員國有關個人資料保護 之 最 高 指 導 綱 領 ， 該 綱 領 共 分 為 ： 避 免 損 害 （Preventing Harm）、告知（Notice）、限制蒐集 （Collection Limitation）、使用原則（Uses of Personal Information）、選擇原則（Choice）、完整原則（Integrity of Personal Information）、安全維護原則（Security Safeguards）、當事人查詢及更正原則（Access and Correction）、以及責任原則（Accountability）等九 大原則（APEC, 2009）。 上述隱私權原則，主要用來處理蒐集資料者與被 蒐集者之間的權利義務關係，可以歸結為：蒐集資 料者為其特定目的而需要被蒐集者提供個人資訊； 為了使個人願意提供，蒐集者自應做出保證，如： 維護資料的品質、提供設施保護資料安全或避免資 料損害；為避免資料發生損害，收集資料必須限於 特定目的、所蒐集資料也必須限於其目的，使用上 亦不得逾越；而蒐集者不但要提供保證，也要給予 被蒐集者足夠的資訊，以讓其做出決定或動作，是 以必須將蒐集的種種事實清楚告知，而被蒐集者對 於資料蒐集者提出的保證有疑義時，有權向資料蒐 集者反映並做出要求。這一切都是要資料蒐集與被 蒐集者雙方的你情我願、契約自決，當其間協議出 現問題時，則有賴法律來課以責任義務。

圖書館的隱私議題

美國研究圖書館學會（Association of Research Libraries，簡稱 ARL）2003 年一份針對全美 124 所 學術圖書館讀者隱私保護的調查研究中，將圖書館 服務中涉及使用者隱私的項目分為，包括流通系統 中的借閱記錄、帳單記錄、資料庫檢索記錄、檔案 ／特殊館藏記錄、文獻傳遞／館際互借記錄、網路 使用伺服器記錄、網頁伺服器記錄、網路參考諮詢 記錄、媒體預約使用記錄、個人化資料庫內容、個 人化入口網站記錄、電腦暫存記錄、電腦維修以及 含有使用者個人資料之各種媒體（含紙張、磁帶等） 的處理等14 個項目，也有一定比例的圖書館訂定有 相 關 項 目 的 隱 私 政 策 （Association of Research Libraries, 2003, pp.11-16）。 本研究依文獻將使用者可能受到的隱私侵害，分 為圖書館服務與圖書館管理兩個方面探討。

（一）圖書館服務方面

1. 使用者記錄 使用者記錄常成為各級警察機關、調查單位、記 者、使用者父母、民事訴訟關係人以及政客要求提 供的個人資訊。從學校的角度還包括老師要求調查 抄襲的案例，以及其他讀者想知道他們所需的書在 誰手上、什麼人對熱門書有興趣，以及查詢與自己 從事類似研究的使用者（Magi, 2007, pp.457）。 2. 參考服務記錄 參考館員為了接收使用者提問、回覆諮詢結果,很 容易接觸到使用者私生活方面的訊息，比如真實姓 名、性別、年齡、住址、職業、電話等。同時，大 學圖書館支援很多學術研究，因此參考館員可能會 接收到一些研究上的諮詢，如某一研究主題的更 新、論證和評價，或是需要某一重要資訊的線索， 為了保證其研究的新穎和唯一，這些使用者在其研 究成果正式發表前，通常不願意將其研究過程與研 究方向公諸於世，參考館員如果掌握這些資訊，應 該極力避免洩漏研究者研究詳情的情況發生（羅冰 眉，2006，頁 32）。此外，在圖書館本身回答不了 使用者提出的諮詢問題時，圖書館通常會轉介其他 合作諮詢的單位，但同時也會把使用者的私人資訊 透露給第三方（盧琰，2007，頁 77）。 3. 館際合作記錄 館際合作包括可資識別之特定人的個人資料，而 遠距的圖書館或廠商伺服器，也會讓館際合作的資 訊無遠弗界的散布（Adams et al., 2005, pp.79），對 個人研究資訊形成潛在的威脅。 4. 網路服務 1960 年後，資訊科技興起，資訊網路盛行，侵犯 個人隱私的除了來自政府單位的監控，也受到網路 的監控（藍素華，1999，頁 125），網路上出現的個 人隱私問題主要包括個人資訊蒐集、個人資訊分 析、個人資訊傳輸、個人資訊使用和個人資訊儲存 等（丁永玲、詹德優，2005，頁 11）。

（二）圖書館管理方面

高科技產品的廣泛利用，為人類日常生活帶來了 便利的同時，也可能成為侵害隱私權的工具，常見 的可能侵權工具包括： 1. 監視器 鑑於圖書館館藏及使用者安全，應運而生的防範 措施就是防盜監測儀器與監視技術的結合，這是圖 書館現代化管理的無奈之舉，雖然在防止竊盜及安 全方面確有其作用，但對人的行為全面監控，實際 上影響了所有到館使用者的隱私。 2. 電子化資訊檢索區 為方便使用者使用線上電子資源，圖書館經常設 置電腦的資訊檢索區，電子化資訊檢索區管理系統 也應運而生，這些管理系統的軟體，如整合式的電 子閱覽系統以及專為電子化資訊檢索區或網咖開發 的管理系統；硬體管理如IC 卡管理系統。無論何種 系統都可能有使用者資料管理、螢幕監控管理等功 能。系統開發的目的無非是為了使管理上能更完善 與嚴密，但也同時產生了監控的作用。從隱私的觀 點來看，館員應該既不願也不該是控制使用者在網 路工作站的網路警察（Adams et al., 2005, pp.82）。

3. 無線射頻辨識系統（RFID）

無線射頻辨識系統（Radio Frequency Identification System，簡稱 RFID）是一種結合防竊、資源追蹤與 辨識的機制；圖書館利用射頻技術來讀取館藏目標 物，也兼具傳統防竊功能，這項技術強大的監控管 理功能也讓人關切其所帶來的隱私問題，ALA 智識 自由辦公室（ALA Office for Intellectual Freedom），在 美國公共圖書館學會（Public Library Association，簡 稱 PLA）2005 年的年會中，提出了《圖書館裝設 RFID 技術指南草案》（Guidelines for Implementing RFID Technologies in Libraries），建議限制 RFID 只 能在文件中列舉的情況下裝設，並且隨時向使用者 警告其危險（Walters, 2005, pp.313）。

圖書館保障隱私的態度

圖書館應該要保障使用者隱私有幾個特別的理 由。其一，是使用者對圖書館保護個人隱私的信任， 圖書館也應相對的回應，得到使用者對圖書館的信 任，圖書館才可得以發揮其功能。謝拉（Shera）曾 經提出「當圖書館不能完成社會交給他的既定任務 和特殊使命時，社會就一定會將他拋棄」（林敏， 2007，頁 80），也呼應了Crawford 與 Gorman（1995, pp.8）提出的新圖書館五律中圖書館要「確保知識 的暢通」（Protect Free Access to Knowledge）；其二， 使用者在網路上的隱私極受重視，而圖書館也正是 網路的一部份（Coombs, 2004, pp.495）； 其三，隱 私權的本質因資訊時代而有所轉變的時期，圖書館 不出聲會是種危機 （Johnson, 2000, pp.515-516）， 圖書館保障使用者隱私，可以宣告圖書館是守法的 典範，對於塑造圖書館形象、提高館員素質、提高 圖書館社會地位、效益與影響都有重要意義（姚林， 2004，頁 161；盧琰，2007，頁 77；林敏，2007， 頁 80）；其四，若交由使用者個人來保護隱私權， 會產生兩大問題，一是個人經常無法發現其隱私的 受損，二是即使發現了也難以舉證（Adams et al., 2005, pp.186）。最後，因圖書館館員傳統的角色就 是資訊專家，在資訊時代，圖書館員可以站上資訊 隱私權監督者的位置（Coombs, 2004, pp.495），舒勒 （Shuler）進一步提出，館員可以成為學術機構社群 對其隱私權覺醒的領導者（Shuler, 2004, pp.158）。 2001 年 911 事件後，美國國會通過了《愛國者法 案》（USA PATRIOT Act），ALA 透過各種管道表達 對該法案的看法。2003 年 1 月 29 日 ALA 提出《對 於愛國者法案與和相關違背使用者隱私措施的決 議》（Resolution on the USA PATRIOT Act and Related Measures That Infringe on the Rights of Library Users），鼓勵圖書館員教育他們的使用者、館員和 社群如何配合愛國者法案的程序，以及這些措施對 個人隱私和圖書館記錄機密造成的威脅。ALA 智識 自由辦公室也積極的從事維護使用者隱私的保護， 2003 年 9 月，該辦公室公布了 ALA 隱私工具組（tool kits），包括：（1）提供 ALA 為隱私所做努力的歷史； （2）解釋聯邦法和州法；（3）隱私審查如何執行的 細節，並提供隱私政策；（4）執法機關來訪時的建 議。這些圖書館界對於愛國者法案中有害圖書館隱 私權部分所做的奮鬥與努力，也為圖書館界贏得各 界的敬重（Adams et al., 2005, pp.60-61; Magi, 2007, pp.457）。 圖書館保護隱私權的態度則可見於其保障隱私的 各 種 宣 言 與 守 則 上 。 透 過 倫 理 守 則 （Codes of Ethics），專業團體向社會大眾宣示社會責任與服務 信念。所謂倫理守則，是一份專供專業人員從事專 業服務工作時，應該遵守的行為準則，這些行為準 則的內容，清楚地表達該專業服務應有的精神與內 涵。倫理守則通常由專業學會依據其專業服務宗旨 加以制定，並且透過專業學會的力量要求會員遵守 （莊道明，1995，頁 27）。雖然倫理守則強制力不 如法律，但仍清楚地說明該專業服務應有的精神與 內涵，故很多國家的圖書館學會仍訂出了其專業倫 理守則，其中都表現了圖書館對隱私權保障的態度。 除上述各國的倫理守則，保障圖書館隱私尚可見 於各種宣言，如《隱私：圖書館權利宣言的解釋文》 （Privacy: An Interpretation of the Library Bill of Rights）中第四條提到：「圖書館應與相關人士及團 體合作，關注於自由表達及自由取用思想被剝奪之 情事」，而解釋為「當使用者認定或害怕其隱私將要 因其他事而妥協時，真正調查資料的自由就不存 在」。第五條「使用圖書館的權利，不得因種族、年 齡、背景或觀點之不同而遭受到否定或剝奪」，其解 釋為「這項條款是要排除任何侵害隱私的可能性，

使用者有使用圖書館而免於被剝奪其查詢資料和其 他行為的權利」（ALA, 2002）。國際圖書館聯盟（The International Federation of Library Associations and Institutions，簡稱 IFLA）的《IFLA 圖書館與智識自 由宣言》（IFLA Statement on Libraries and Intellectual Freedom）中明列：「圖書館使用者保有隱私權及匿 名權，不能把使用者的身分和使用資料的記錄，洩 漏給第三者」（IFLA, 2004）。另外由世界各地圖書 館和圖書館組織組成的團體「國際圖書館學會聯盟」 （ International Coalition of Library Consortia, ICOLC）亦曾頒布《電子資源廠商隱私權準則》 （ Privacy Guidelines for Electronic Resources Vendors），聲明：「圖書館學首要準則，在保障使用 者資訊搜尋的隱私，ICOLC 的成員承諾遵循此準 則。因此，ICOLC 的成員發布此準則來保障組織合 作館使用者隱私利益，承諾只和產品或服務有經我 方核可的公司來往」（ICOLC, 2002）。

圖書館的隱私權政策

政策的重要性在於使決策和行動與圖書館任務一 致。政策明確了圖書館宗旨，並幫助圖書館實現其 角色與提供其選擇要滿足其服務社群的服務。政策 也定義了圖書館的價值，並連結圖書館任務與目 標。簡而言之，政策是行動的綱領，創造組織行為 的一致性與貫徹性，讓所有位階的人都能處理這些 情況，並可用來訓練新人。政策還應該有明文並可 以被取得，人員和一般民眾才能清楚地瞭解。總之， 圖書館隱私權政策有兩個基本目的：保護與告知。 館員應先告知使用者他們的隱私權，以及法律和圖 書館隱私政策提供的保護，同時也要確定使用者同 樣地瞭解圖書館保護他們隱私權的責任與能力的限 制（Adams et al., 2005, p.96）。

（一）隱私權政策的原則

美國聯邦貿易委員會（Federal Trade Communications， FTC）在 2000 年時提出《公平資訊原則》（Fair Information Practice），指出網路隱私權政策有四要 件，即「告知」──告知客戶將如何蒐集資訊，如 何使用；「選擇」──客戶可選擇願不願意讓企業將 其個人資訊分享給他人；「存取」──客戶可進入企 業網站資料庫，修改自己的資料；「安全」－所蒐集 的個人資料，不論在企業內部或外部都應保護其安 全不被侵犯（FTC, 2007）。一般而言，隱私權保護 政策大都包含以下內容（Hafner, Keating & Lin, 2000, pp.22）： 1. 揭示：讓使用者明白個人資訊被蒐集及運用的 方式。 2. 選擇：使用者有權利決定個人資訊使用的範 圍，是否可以二次使用。 3. 存取：使用者可以存取、修正以及管理，甚至 移除其個人資訊。 4. 安全性：保證個人資訊不受毀損與竊盜。 5. 實施：讓使用者明白個人資訊蒐集的範圍、主 題，以及訂定合適、單獨的規章以在任何爭議 情況發生時有規則可循。 圖書館在建構隱私權政策時，可以依下列原則制 訂（林敏，2007，頁 81-82）： 1. 政策告知原則：在圖書館網站上將隱私權政策 予以發布，供使用者討論，允許使用者就政策 提出修改建議。 2. 區別對待原則：以「識別性」為標準，將使用 者的個人資料分為一般資料與敏感資料兩大 類。就敏感資料而言，使用者的同意必須是明 確無誤的，甚至以書面為之。 3. 使用者中心原則：包括兩方面意義，一指圖書 館對使用者資料的蒐集需合法進行；另一層含 義是保護使用者的參與權，使用者得參與個人 資料的蒐集、管理和利用的過程。 4. 資訊合理流通原則：依有關國家和地區法律的 規定，在特定情況下，可以對個人權益進行限 制，圖書館蒐集資料、利用個人資料或轉讓給 第三人，可以不經當事人同意，變更利用目的 也不需履行通知、公開、停止使用等義務。 5. 誠信使用原則：圖書館對使用者個人資料蒐 集、利用目的必須明確，必須根據誠實信用的 基本法律原則，在該目的範圍內使用。 6. 安全保障原則：確保使用者個人資料安全，除

了採取建立規範，加強管理等實際措施外，應 配合利用各種技術嚴格保護。

（二）隱私權政策的形成

以美國為例，大學圖書館隱私權政策的形成，須 考慮聯邦法、州法、大學與其各部門的政策和圖書 館社群產生的文件（Adams et al., 2005, p.144）。ALA 的倫理守則（ALA Code of Ethics）可視為圖書館隱 私權政策的基本架構；其中明言：「保護每位使用者 搜尋、取得資訊與諮詢、瀏覽、獲得與傳遞資訊的 隱私權」（ALA, 2008a）。大學圖書館還可參考《聯 邦和首都領地政府網站綱領》（Guidelines for Federal and ACT Government Web Sites），該綱領在提供採用 隱私權執行方法之協助，並且能符合1988 年的《隱 私權法案》（Privacy Act）的規定（Adams et al., 2005, pp.144）。 Adams（2006, pp.37）曾提出要保障學校圖書館的 隱私權，要有兩種不同的隱私權政策，分別適用於 館員及外部使用者。對內的部份，如系統管理程序 及流通資料之保護，只是程序不宜太細，否則易造 成新的隱私風險。而對外的政策也不宜太長。隱私 權政策最好有多種方式公告週知，書面的隱私權政 策可置於圖書館公共服務區域：若置於圖書館網 頁，則要注意連結（Adams et al., 2005, pp.154）。不 同個人對隱私資訊可能有不同的理解，圖書館在製 作對外部的隱私權政策時，可以先做調查，再以之 作為訂定隱私權政策的參考（劉景宇，2007，頁 59）。 大學圖書館主要服務服務對象是學生，館員可以藉 由與大學教師合作，瞭解學生對行為倫理的認知， 以 訂 定 有 效 的 隱 私 權 政 策 （Adams et al., 2005, pp.153）。 此外，隱私權政策訂定或修正前需執行「隱私查 核」（Privacy Audit）。隱私查核是圖書館員檢查對使 用者收集何種資料，以及對個人使用圖書館的資 源、服務與功能所產生記錄的一種程序。此外，查 核還可追蹤資料如何被使用、儲存、傳遞和因保護 資料安全的永久銷毀（Adams, 2007, pp.35）。

（三）大學圖書館的隱私權政策

隱私權政策聲明是評價大學圖書館在平衡智識自 由（Intellectual Freedom）與隱私權保護成效的先決 條件（Adams et al., 2005, pp.141）。根據 2006 年在 美國佛蒙特（Vermont）州的一項研究顯示，儘管圖 書館常收到提供個人資料的要求，圖書館學文獻以 及其他形式資料也關注到隱私議題，但超過一半 （52%）的佛蒙特州公共與大學圖書館仍沒有明文 政策引導圖書館如何回覆這些要求（Magi, 2007, pp.466-467）。同時，研究者在檢視最近20 年來對隱 私政策普及率的研究後，發現引用的文獻中，圖書 館有明文的隱私權政策者都沒有超過72%，大部分 顯示的比例更低。佛蒙特州的研究結果，說明了許 多圖書館還沒有對其倫理及隱私相關議題訂定書面 政策的證明（Magi, 2007, pp.467）。 在臺灣，有隱私權政策的大學圖書館比例可能更 低，在個資法即將啟動之前，探討臺灣目前的圖書 館隱私權政策現況，也許是引起國內圖書館重視此 一問題的契機。

我國圖書館隱私權的相關法規

我國保障隱私權的規定，散見於各大法律中，為 數亦不少，列舉和圖書館保障隱私權相關者如下：

（一）憲法

我國現行憲法中雖然沒有條文明列保障「隱私權」 之字樣，但憲法第八條人身自由、第十條居住及遷 徙之自由與第一二條秘密通訊之自由等可說是與隱 私有關利益之保護。憲法第二二條概括規定「凡人 民之其他自由及權利，不妨害社會秩序公共利益 者，均受憲法之保障」，以及第二三條規定「以上各 條列舉之自由權利，除為防止防礙他人自由，避免 緊急危難，維持社會秩序或增進公共利益所必要者 外，不得以法律限制之。」概括性人權條款規定， 做為保障個人隱私權利的主要依據，隱私權可被納 入憲法第二二條概括條款內，受到憲法保障，非有 必要情形，不得以法律限制之。

大法官解釋第 603 號中更清楚的對隱私權做出陳 述，確認隱私權乃為不可或缺之基本權利，而受憲法 第二十二條所保障（司法院釋字第五八五號解釋）。

（二）刑法

刑法中與圖書館保障使用者隱私較相關者，有第 三一五條、第三一八之一條、第三一八之二條等數 條，分述如下： 1. 第三一五條 「無故開拆或隱匿他人之封緘信函、文書或圖畫 者，處拘役或三千元以下罰金。無故以開拆以外之 方法，窺視其內容者，亦同。」 圖書館館藏內容包含各種參考工具書、連續性出 版品、官書等悉屬文書或圖畫的範圍，苟無正當理 由遭開啟拆封或隱蔽藏匿，館方即能對違法者追究 其刑事責任，另於使用者封緘信函、文書或圖畫無 故受侵犯者亦同（廖又生，1998，頁 44）。使用者 在館內所使用之個人封緘信函、文書或圖畫可依此 條對抗其他使用者的侵害。 2. 第三一八之一條 「無故洩漏因利用電腦或其他相關設備知悉或持 有他人之秘密者，處二年以下有期徒刑、拘役或五 千元以下罰金。」 本條旨在處罰電腦間諜之非法取得及非法利用有 關機密資料以圖謀特定之不法利益，諸如以竊線方 式經由同一路線非法取得或利用工商資訊等（廖又 生，1998，頁 45-46）。目前圖書館使用者若有使用 客製化服務，其研究的過程與使用資料，就有被盜 取的風險，此條則對於此類情況提供保障。 3. 第三一八之二條 「利用電腦或其相關設備犯第三百十六條至第三 百十八條之罪者，加重其刑至二分之一。」繼上條 之後，對於一定之人以電腦或機器處理之媒體犯「洩 漏因業務得知他人秘密罪」、「洩漏業務上知悉工商 秘密罪」、「洩漏公務上知悉工商秘密罪」等採從重 科刑方式。採取資訊科技洩漏或刺探資訊者，因舉 證困難，立法特加重其刑，此亦可嚇阻館員做出此 等犯罪行為。

（三）民法

1999 年四月以前，民法沒有「隱私」這樣的字眼， 但因為隱私權是人格權的一種，所以以民法第十八 條「人格權受侵害時，得請求法院除去其侵害；有 受侵害之虞時，得請求防止之」來保障隱私權。而 民法一八四條第一項前段「因故意或過失，不法侵 害他人之權利者」。所謂權利，也包含人格權，因此 受害人對於其所受財產上之損害，亦可依民法第一 八四條求償。1999 年四月後，第一九五條修正為： 「不法侵害他人之身體、健康、名譽、自由、信用、 隱私、貞操，或不法侵害其他人格法益而情節重大 者，被害人雖非財產上之損害，亦得請求賠償相當 之金額。其名譽被侵害者，並得請求回復名譽之適 當處分。前項請求權，不得讓與或繼承。但以金額 賠償之請求權已依契約承諾，或已起訴者，不在此 限。前二項規定，於不法侵害他人基於父、母、子、 女或配偶關係之身分法益而情節重大者，準用之」。 將隱私權列入可以請求非財產上損害賠償的情形之 一，至此隱私權亦可請求非財產上之賠償。在圖書 館若有隱私權受侵害的情形，皆可依此請求除去侵 害、防止侵害或請求賠償。

（四）通訊保障及監察法

《通訊保障及監察法》（以下稱：通保法）於2007 年七月修正公布施行，第三條中規定，所謂「通訊」 為：（1）利用電信設備發送、儲存、傳輸或接收符 號、文字、影像、聲音或其他信息之有線及無線電 信；（2）郵件及書信；（3）言論及談話。前項所稱 之通訊，以有事實足認受監察人對其通訊內容有隱 私或秘密之合理期待者為限。電腦和網路屬於電信 設備，使用者在館內使用網路所瀏覽與接收、發送 的訊息，使用者對其內容有隱私或秘密之合理期 待，因此為此法保障之客體。 通保法第五條則規定政府得實施通訊監察之要 件：（1）有事實足認被告或犯罪嫌疑人有第五條各 款罪嫌之一；（2）危害國家安全或社會秩序情節重 大；（3）有相當理由可信其通訊內容與本案有關；（4） 不能或難以其他方法蒐集或調查證據者，滿足這些 要件才可發通訊監察書。圖書館堅決保障使用者隱 私權，因此應詳細瞭解上開國家實施通訊監察的相

關規定，並於政策中清楚告知使用者，讓使用者瞭 解其隱私可獲得免於國家偵察到何種程度。

（五）個人資料保護法

我國於1995 年制定《電腦處理個人資料保護法》 （行政院，2005）。而隱私權的概念，近來已由傳統 的不受窺探轉移重心到對個人資訊的控制，故此法 可為我國現在與隱私權關係最密切的法律。近年科 技日進千里， 行政院在 2005 年提針對此法之不足 提出修正草案，並在2010 年修正為《個人資料保護 法》（以下簡稱個資法），強調「個人資料自主決定 權」（資訊自主權）、「安全維護義務」，以及「合理 利用」等三個重點。規範個人資料的蒐集（個資法 §5）、處理（個資法§2）及利用（個資法§16）， 有助於隱私權的保護。 此外，違背個資法規定者，個資法第五章訂有罰 則，圖書館在研擬隱私權政策時，亦可加入其中， 讓使用者瞭解侵害隱私權者會受到之懲處，反面強 調其所受到之保障。

研究方法

為達成研究目的，本研究採用內容分析以及訪談 二種研究方法。從文獻中整理出學者對於圖書館隱 私的議題以及處理方法；再以內容分析法，針對國 外制定有完整隱私權政策之大學圖書館進行政策內 容分析，整理出重要的隱私權保護內容，並做為訪 談的依據。 在內容分析方面，本研究為求所抽取之樣本具有 學術地位，選擇以國際上三個最具影響力的世界大 學學術排名之一的上海交通大學所做之世界大學學 術排名（Academic Ranking of World Universities , 簡 稱ARWU）為抽取樣本之來源[1]，並自 2008 年該 「排名」之前三十名大學中，立意取樣找出五所具 有實體圖書館服務隱私權政策與網路服務隱私權政 策的大學，分別為：加州大學柏克萊分校（University of California, Berkeley，簡稱 UC-Berkeley）、麻省理 工學院（Massachusetts Institute of Technology，簡稱 MIT）、密西根大學（University of Michigan，簡稱 UM）、西雅圖華盛頓大學（University of Washington, Seattle, Washington，簡稱 UW）與加州大學舊金山

分校（The University of California, San Francisco，簡 稱UCSF）。 訪談則以國內大學圖書館有權制定圖書館政策或 熟悉圖書館資訊服務政策者為對象，亦即以資訊豐 富者（Information Richness）為優先，並以達成資訊 飽和為原則。本研究共訪談11 所大學圖書館，其中 公立大學7 所，私立大學 4 所。地區分別在北部（7 所）、南部（3 所），以及東部（1 所）。以受訪者職 務區分，則有館長7 人，館員 4 人。

研究結果與建議

本研究的目的在探索我國大學圖書館有哪些隱私 權問題，以及其處理之現況，並探討以隱私權政策 來保障我國大學圖書館使用者隱私的需求，與探討 我國大學圖書館制定隱私權政策的方式和其所需之 內容，以提供我國大學圖書館以制定隱私權政策以 保障使用者隱私之參考。本章綜合本研究之結果歸 納整理於第一節，並於第二節說明本研究之建議。

研究發現

（一）

我國大學圖書館對隱私議題之看法

研究結果發現，受訪圖書館對於隱私問題看法並不 一致。從隱私權議題是否存在的角度觀察，部份受訪 圖書館從圖書館使用者的反應，認為大學圖書館中確 實存在值得注意的隱私議題，如：有些讀者在圖書館 中喜歡個人桌，不喜歡他人觀看閱讀或檢索內容、得 知借閱記錄等之資訊行為，即是隱私議題。 持相反意見者，以圖書館是個公共場所，電腦也 是公用的，圖書館形象與功能都很正面；所以認為， 包括讀者借閱記錄、到館記錄或監視器影像，甚至 參考諮詢的記錄都不致產生隱私侵犯的議題。

（二）

我國大學圖書館的隱私問題類型

依研究結果，將圖書館可能會造成隱私權侵害的 問題，分為來自圖書館外部與內部二種：前者是指 由圖書館或圖書館人員以外的其他人，包括廠商、 其他使用者或是有心人士的侵害；後者則是圖書館 本身或是其他人員造成使用者在圖書館中的個人隱 私侵害。以下分別說明之。

1. 來自圖書館外部可能的隱私侵害 來自圖書館外部可能的隱私侵害又分為兩種類 型，第一種是透過圖書館正式管道取得使用者個人 資訊，第二種是非透過圖書館管道取得之使用者個 人資訊。 （1） 透過圖書館取得使用者個人資訊：圖書館 所收集的記錄，如：借閱記錄、讀者記錄 檔、館際合作記錄、錄影記錄等，都有可 能會有外部人士向圖書館要求提供使用者 個人資料的情況。 （2） 非透過圖書館管道取得使用者個人資訊： 非透過圖書館管道取得使用者隱私資訊 中，一種是圖書館無意中造成外部人士取 得館內的使用者資訊；另一種是有人利用 圖書館資訊安全的缺口，竊取圖書館內的 使用者資訊。圖書館所蒐集的資料，有時 會在服務中非刻意地造成圖書館使用者個 資洩漏的情況，如：雙面螢幕、借書證上 資料、校外人士入館申請單等。 2. 來自圖書館內部可能的隱私侵害 來自圖書館內部可能的隱私侵害又分為三種類型： （1） 圖書館對使用者的監控：圖書館可能會為 了管理的需要，而對使用者進行某種程度 的監控，這可能會造成隱私的疑慮。 （2） 圖書館對使用者個人資料的洩漏：如圖書 館公開張貼逾期還書名單，便有洩露讀者 借書資訊之疑慮；雖然在本研究之受訪 中，並沒有實際上有讀者抱怨過違規公告 的問題，但仍有受訪館認為這麼做確實會 是個隱私問題。 （3） 圖書館人員對使用者個人資料的不當處 置：圖書館工作人員，因為接觸到大量讀 者個人資料，若其對這些資料的使用不 當，就會產生隱私的疑慮。 本研究也發現，雖然電子記錄是大眾關注隱私的 重要關鍵，但實際上紙本和實體的資訊服務可能產 生的隱私問題也不在少數，例如：校外人士入館申 請記錄，是國內圖書館特有的個人資料。未來圖書 館要制定隱私權政策時，也應該關注到實體的資訊 服務部分。

（三）

我國大學圖書館對隱私議題的處理方式

隱私權保障的方式，一般是以法律法規、政策標 準、行業自律、技術保護、以及使用者教育（劉景 宇，2007，頁 58）等五方面著手。 我國圖書館目前在保護使用者隱私方面的法律有 《個人資料保護法》，行業自律方面則以《中華民國 圖書館員專業倫理守則》，至於各圖書館的政策方 面，則顯然缺乏。本研究受訪單位中只有 一所圖書 館訂定網路的隱私權政策，其他大致為零星的相關 政策，如：資訊處理的流程，或者是因為參加 ISO 等認證而訂定的相關規定，如資料的保存期限、監 視記錄調閱流程、保密協定等，大多是針對不同的 問題採取不同的做法。根據分析，我國大學圖書館 保障使用者隱私權的做法如下： 1. 不予告知：在透過館方要求借閱記錄、讀者檔、 監視記錄或校外人士入館申請記錄的情況下會 對於非特別情況拒絕提供使用者資訊，並阻止 校外人士入館申請記錄的觀看。 2. 減少蒐集資訊：減少在讀者檔、校外人士入館 申請記錄中蒐集的資訊和減少館際合作服務對 使用者要求的資訊、不留下參考問題記錄、在 重要的點才設監視器與刪除借閱記錄、讀者 檔、紙本申請單/通知單和校外人士入館申請記 錄，使一開始不蒐集不需要的資訊，或後來刪 除不需要的資訊。 3. 減少公開資訊：透過館員協調要求已借出圖 書、減少雙面螢幕出現的資訊、以等待線減少 其他人透過雙面螢幕看到使用者個人資訊、校 外人士入館線上登記、不做違規公告、公告違 規時隱匿部分讀者個人資訊的一部份、不在借 閱證上放讀者重要個人資訊，以減少圖書館在 對外管道中的使用者的資訊。 4. 人員權限控管：控管接觸借閱記錄和讀者檔的 人員，以人事管理控制能接觸與處理使用者資 訊的人員。

5. 系統防護：以帳號密碼保障使用者借閱記錄、讀 者檔與防火牆等科技的技術來防堵隱私侵害。 6. 告知讀者資料的蒐集與處理：預先告知讀者違 規將公告或監視錄影中，預先對使用者盡告知 之責。 7. 與第三方的約定：約定廠商不能有識別特定個 人的資訊，以保護使用者。 8. 建立標準流程：目前針對監視器調閱有建立一 套的標準流程。 9. 教育使用者：提醒讀者保護自己帳號密碼，以 保障自己的隱私。 10. 使用者自行抉擇：讓使用者選擇匿名，以控 制自己的資訊。 11. 對圖書館人員的要求：要求圖書館人員在收 集、處理與利用使用者資訊，都必須保障使 用者隱私。 12. 居中協調：在使用者需要館藏資料，但不便 於透露目前持有館藏使用者資訊時，圖書館 會居中幫忙溝通，不洩露使用者資料，但可 以幫助使用者尋求其所需資訊。 我國大學圖書館處理隱私問題的方式與文獻所提 出的做法大抵上相符。但是，我國大學圖書館對於 隱私問題的處理較為側重圖書館本身的作為，主要 是圖書館會減少對使用者資料的蒐集與公開，或是 館方保守使用者個人資料的機密不對外透露；對於 廠商等第三方或是對使用者的提醒和給予使用者自 決其個人資訊的做法則較為缺乏。

（四）

隱私權政策制定

本節分別就我國大學圖書館未制定隱私權政策的 原因以及影響大學圖書館制定隱私權政策的動機。 1. 大學圖書館未制定隱私權政策的原因 依據研究結果，大學圖書館未制定隱私權政策的 原因有以下四大類： （1） 沒有迫切需求：多數受訪者表示沒有隱私 權政策的原因在沒有迫切的需求，具體的 表現則如有人抗議或是發生的案例不多。 （2） 認為現有的保障已足：許多受訪圖書館則 是信賴目前已存在的對隱私的保障方式， 如圖書館員專業倫理、系統上的防護技 術、隱私保護相關法律，或是平常已減少 圖書館所蒐集的個人資料等因應方式。 （3） 增加麻煩：有些圖書館認為制定隱私權政 策可能會增添麻煩，因為有許多行政程 序；此外，也有圖書館擔心定了若不夠周 全，可能產生更多爭議，不制定反而可能 還有許多彈性空間。 （4） 不了解圖書館的隱私權政策的本質：部分 受訪者表示其原本未接觸到隱私權政策方 面的資訊，所以未曾想過要制定。雖然有 種種考量，但多數目前未制定隱私權政策 的受訪者，大都有意願制定隱私權政策； 不過若能由一個統一的單位帶領，由上而 下帶領大學圖書館制定隱私權政策，會比 較有效率。 2. 大學圖書館制定隱私權政策的動機 目前我國大學圖書館訂有隱私權政策的受訪圖書 館表示，其制定的目的在於讓讀者安心，並藉著清楚 的宣告加強彼此間的互信。至於影響圖書館制定隱私 權政策的因素，本研究依研究結果分為下列四大類： （1） 仰賴隱私權政策幫助處理隱私權問題的 需求提高 此一因素反映前述大學圖書館沒有隱私權政策的 原因在於案例少，因而沒有急迫性，所以促進制定 隱私權政策的動機就包括了隱私權問題發生次數的 增加，換言之，如果隱私侵犯的個案增加，圖書館 制定隱私權政策的動機較強。 當處理隱私問題出現了困擾，或館員對隱私的概 念不清，需要靠隱私問題來協助釐清概念時。有明 文規範的圖書館隱私權政策，有助於館員處理館內 發生的隱私問題，也可以使圖書館因為有所憑依而 獲得某種程度的保障。 而目前大學圖書館有明確隱私問題處理方法者多 和網路有關，隱私權政策可以補足和網路無關的實 體部分，使實體圖書館資訊服務問題亦有所依循。

（2） 外在的大環境 外在環境也是影響大學圖書館制定隱私權政策的 重要動機之一。包括圖書館願意追隨行業的腳步而 制定隱私權政策，比如，其他館已有制定或學界提 出，認為這可展現圖書館的專業。更進一步而言， 跨出圖書館界，全民隱私觀念的提升也會促進大學 圖書館制定隱私權政策。 （3） 上級的鼓勵或壓力 大學圖書館隸屬於大學之下，而大學又屬於高等 教育的單位，這些上級的影響無疑地十分重要。許 多受訪者表示會有隱私權政策或相關政策是因為學 校要求或是配合學校而制定。另外，若是有來自教 育部等上級主管機關的補助或是強制規定，也會使 大學圖書館樂於制定隱私權政策。 （4） 滿足使用者需求 也有受訪館表示他們願意制定隱私權政策就是為 了讓讀者放心，以滿足使用者的需求。 3. 大學圖書館隱私權政策的制定 前述多數受訪館表示願意在滿足使用者需求等動 機下制定隱私權政策；同時認為若能先行制定全國 性的隱私權政策指引，應該會有助於釐清概念，成 為圖書館制定政策的依據，更能讓有心制定的大學 圖書館省不少人力。本節說明制定隱私權政策的單 位、制定的流程以及可使用的資源。 （1） 制定隱私權政策的單位 受訪者建議由中華民國圖書館學會負起制定圖書 館隱私權政策的單位，其次為國家圖書館，因為國 家圖書館負責全國圖書館事業的輔導工作。少數圖 書館則認為無所謂那一個單位執行制定隱私權政策 較好，認為只要制定就會有幫助，畢竟是做一個指 引而非一個規範框架，所以不一定要那個特定單 位，有心去做出來的研究就有其參考價值。 （2） 大學圖書館制定隱私權政策的流程 至於大學圖書館隱私權政策制定程序，宜採取公 共政策的制定過程，包括： 釐清問題、制定議程、 制定政策、採用政策、資源整合、執行政策、評定 政策以及意見回饋。建議由讀者服務或資訊系統單 位，負責蒐集所需資料，經圖書館主管及相關人員 共同討論後，提交學校相關委員會（如圖書館委員 會、行政會議甚至校務會議）通過後，由校長公布 實施。 （3） 制定大學圖書館隱私權政策可用的資源。 制定政策所需用到的資源包括： A. 國內外圖書館的隱私權政策：所有受訪者皆表 示要制定隱私權政策時會參酌國內外他館制定 的隱私權政策，尤其希望是同質性高的大學圖 書館的隱私權政策； B. 企業界所定的隱私權政策：企業界所訂定的隱 私權政策，也是圖書館制定隱私權政策的參考 資源，雖然企業界與圖書館有所差異，但仍可 參考； C. 專業領域資料：有些受訪者則認為專業領域的 資料，如ALA 的文件或論文亦可參酌； D. 法規：受訪者認為臺灣的一些相關法規亦為可參 酌的資料，可以避免制定後反而抵觸原本規定； E. 學校規範：學校的相關母法，也是需要參酌的 資料。

（五）

隱私權政策之內容要項

研究結果發現，我國大學圖書館訂定隱私權政策 時，考慮之內容項目包括下列11 項，其中前 10 項與 國外大學圖書館大致相同，第11 項則為我國大學圖 書館所特有之需求項目。依其重要性順序排列如下： 1. 人員權限控管：即圖書館內哪些人可以接觸使 用者的哪些資料，分別可對資料作何種處理的 權限，以及接觸使用者個人資料人員對「保障 使用者隱私」的宣示； 2. 使用者個人資料的用途：即圖書館會蒐集個人 資料的目的及資料用於何處； 3. 適用範圍：指適用的在哪些人、空間或是網頁； 4. 使用者個人資料收集的情況：即在何種情況下 使用者的資料會被蒐集，以及收集後的資料會 受到何種保護的情況；

5. 使用者個人資料收集的類型：即圖書館所收集 那些個人資料； 6. 使用者個人資料透露的情況：指在什麼樣的條 件下，圖書館才會將使用者的個人資料透露給 第三方； 7. 資料保存的限制：即資料保存上會受到限制， 不會無限期或無限量保存； 8. 和廠商的關係：即在選擇廠商時會考量其對使 用者隱私保護的程度，以及資料是否有保存在 廠商的宣示； 9. 教導使用者：即提供使用者避免隱私權受侵害的方 式，或提供使用者隱私權有問題時的解決管道； 10. 母法等更詳盡的資料連結：即這些政策在網 頁上，可能會有連結更詳盡的資料，可以提 供比隱私權政策本身更多訊息，提供更多細 節與相關資訊； 11. 制定與公布的單位：大學圖書館制定與公布 政策的單位。 上述國內外大學隱私權內容，除項目略有異同，其 重要性亦因國情不同而有差異，茲列表（表1）如下： 表1 國外大學圖書館與我國大學圖書館對隱私權政策內容要項比較 內容項目 國外大學＊ _我國大學＊＊ 使用者個人資料收集的情況 1 3 使用者個人資料收集的類型 1 3 使用者個人資料的用途 1 2 使用者個人資料透露的情況 1 3 人員權限控管 2 1 政策適用的範圍 2 2 母法等更詳盡的資料連結 2 5 資料保存的限制 3 3 和廠商的關係 4 3 教導使用者 4 4 資料來源：本研究 ＊ 內容項目，依據對國外大學圖書館隱私權政策之分析，歸納其內容要項出現頻率之多寡排序，序號相同表 示出現頻率相同。 ＊＊ 我國大學圖書館排序，依受訪圖書館針對各該內容項目所表示之重要性加總排序，序號相同，表重要性 相同。

建議

（一）

對圖書館學會的建議

依研究的結果發現，國內大學圖書館，認為若有 一份「隱私權政策指引」，對圖書館會有所幫助，也 認為由中華民國圖書館學會來領導最為合適；美國 在ALA 的努力推廣下，大部分的圖書館都認同需要 有隱私權政策。 研究結果也發現，圖書館願意追隨行業的腳步制 定隱私權政策，若由學會來推動，應該會有不錯的 成效。在面對《個資法》即將啟動之際，中華民國 圖書館學會如能制定相關隱私權政策綱領，不僅可 供各級圖書館制定適合各自特性的政策，更重要的 可以讓我國圖書館對於隱私的議題有較大的共識。

（二）

給大學圖書館的建議

對於個別大學圖書館則提出以下幾點建議： 1. 克服阻礙、加強動機 目前我國大學圖書館在制定隱私權政策所面臨的 障礙因素，主要為：無迫切需要、認為現有的保障 已足、擔心反而增加麻煩以及對隱私權政策不了解 等四項所引起。關於這些阻礙的克服如下：第一項 認為需求不迫切的原因在於讀者反應隱私受侵害的 案例少，但讀者反應少，似乎不能代表其受侵害的 情況少，圖書館可以發展適合的問卷以進行調查；

第二項認為目前法令或是圖書館員專業倫理以及系 統的保障已足，但法令和倫理的範圍都甚廣，要切 合各圖書館情況還是以政策為較適當；第三項擔心 制定反而增加麻煩，依照公共政策的一套完整程序 制定，則可以降低制定後產生爭議，且每一步有規 則可循，應該可降低麻煩；第四項對隱私權政策的 不了解，則需要蒐集相關資訊，參考有用資源，並 且由有關當局推動。 至於動機的加強，圖書館最需要做的是堅定滿足 使用者需求、努力爭取使用者信任的信念。同時應 考慮未來我國《個資法》啟動後，圖書館所可能面 臨的問題和威脅，強化制定政策的動機。 2. 依政策理論制定 研究發現目前大學圖書館制定或欲制定隱私權政 策的過程比較簡單而籠統，然而大學圖書館隱私權 政策亦屬於公共政策，本研究建議大學圖書館在制 定隱私權政策時可採用一般公共政策的制定過程。 在第一階段中先釐清圖書館內究竟有何隱私問 題；第二階段制定議程將這些問題轉化成政策欲討 論的議題；第三階段做成處理這些問題的政策，在 制定政策時，應同時考慮相關法律、大學以及其各 部門的政策使其一致；再到第四階段選擇最好或最 適合的方案採用之；第五階段進而進行各部門對於 施行政策的資源整合；第六階段則是將選出來的政 策付諸執行；在執行之後第七階段需視實際上的執 行對政策加以評量，最後意見回饋的階段則是要修 訂政策。 3. 提高對使用者隱私的保護意識 本研究發現隱私權政策在我國大學圖書館中少 有制定，有些圖書館亦認為隱私議題在圖書館並不 嚴重，或是雖然有保障隱私政策的作法，但考量者 主要都不是隱私的保護。本研究提出許多大學圖書 館中可能的隱私議題，這些都與使用者的權益息息 相關。以個人資料的保護為例，因圖書館數位資訊 的普及以及非法濫用日益受到重視，圖書館應該加 強保護個人隱私的意識，才能提供給使用者更好的 服務。 4. 提高使用者自行保護隱私的意識 保障使用者隱私，不單是圖書館的責任，使用者 也有責任保護自己的個人資訊，故圖書館可以加強 教育使用者，使其了解哪些方式可以保障自己的隱 私，如在使用者導覽中安排隱私保障相關課程；以 及提供其相關資訊讓讀者自行判斷或選擇，如：提 供完整的隱私權政策、在網頁中提供相關法令的連 結、使用者可自行決定是否透露其個人資訊的系統。 而在文獻分析中有學者提出分別制定對內及對外 隱私權政策的做法，在此也建議圖書館可以同時產 生對外給使用者以及對內給圖書館員的政策，則一 方面持續明確館方對使用者的保護，獨立出對外一 份隱私權政策，則可提醒使用者關於保護自身隱私 權的作為。

（三）

未來研究建議

本研究從圖書館角度探討隱私權訂定的必要性， 以及隱私權內容要項，也發現圖書館間對隱私問題 看法不一。隱私的概念與認定範圍會隨著時間和地 域的不同而呈現出相當大的差異，為建立圖書館員 對隱私議題的了解及共識，未來可從下列幾個方向 加以研究。 1. 使用者：本研究發現使用者的需求是促成圖書 館制定相關隱私保護政策的主要動力，為確實 了解圖書館使用者對「圖書館隱私權」的看 法，可針對使用者研究，才能真正建立圖書館 的共識。 2. 不同類型圖書館：除大學圖書館外，其他類型 圖書館是否也存在隱私保護的議題？以及隱私 保護的內容和其他類型圖書館的隱私權保護是 否不同？了解不同類型圖書館的隱私議題，有 助於建立圖書館隱私保護的共識。 3. 不同研究方法：本研究以質性方法進行探索性 研究，歸納出大學圖書館隱私權政策的11 項主 要內容；但如前所述，圖書館對隱私權議題的 看法不一，此等結果，仍有待繼續擴大研究對 象，以各種不同方式探討，進一步分析隱私保 護項目的衡量指標。

附註

[1] ARWU 是國際上三個最具影響力的世界大學 學術排名之一，除 ARWU 外，另外兩者為 Times Higher Education World University Rankings 以及 QS World University Rankings. 2005 年 9 月 8 日出版之 Economist 稱 ARWU 為最被廣泛使用的世界研究型 大學學術排名。

參考文獻

Adams, H.R. (2006). Protecting the privacy of student patrons. School Library Media Activities Monthly, 23(4), 37.

Adams, H.R. (2007). Conducting a privacy audit. School Library Media Activities Monthly, 23(6), 36. Adams, H.R., Bocher, R.F., Gordon, C.A., &

Barry-Kessler, E. (2005). Privacy in the 21st century : Issues for public, school, and academic libraries. Westpost,CT: Libraries Unlimited.

American Library Association. (2002). Privacy: An interpretation of the library bill of rights. Retrieved from http://www.ala.org/ala/oif/statementspols/statementsif/ interpretations/privacy.cfm

American Library Association. (2003). Principles of the networked world. Retrieved from http://ala.org/ ala/aboutala/offices/wo/referenceab/principles/princi ples.pdf

American Library Association. (2008a). Code of ethics of the American Library Association. Retrieved, from http://www.ala.org/ala/oif/statementspols/codeofethics /codeethics.cfm

Asia-Pacific Economic Cooperation. (2009). APEC privacy framework. Retrieved from http://www.apec. org/apec/news___media/fact_sheets/apec_privacy_fr amework.html

Association of Research Libraries.(2003). Library patron privacy. SPEC Kits. 278.

Coombs, K.A. (2004). Walking a tightrope: Academic libraries and privacy. The Journal of Academic Librarianship, 30(6), 493-498.

Crawford, W., & Gorman, M. (1995). Future libraries: Dreams, madness and reality. Chicago: American Library Association.

Fifarek, A. (2002). Technology and privacy in the academic library. Online Information Review, 26(6), 366-374.

Hafner, A.W., Keating, J.J., & Lin, Z.Y. (2000). One-to-one customization of library patron relationships using web-based networks and information technologies or the college or university campus. Journal of Library & Information Science, 16(2), 19-29.

International Coalition of Library Consortia. (2002). Privacy guidelines for electronic resources vendors. Retrieved from http://www.library.yale.edu/ consortia/2002privacyguidelines.html

International Federation of Library Associations. (2004, September 18). IFLA statement on libraries and intellectual freedom. Retrieved from http://www.ifla. org/faife/policy/iflastat/iflastat.htm

Johnson, S.D. (2000). Rethinking privacy in the public library. International Information & Library Review, 22, 509-517.

Loundy, D. (1995). Task force develops privacy principles. Retrieved from http://www.loundy.com/ CDLB/IITFPrivacy.html

Magi, T.J. (2007). The gap between theory and practice: A study of the prevalence and strength of patron confidentiality policies in public and academic libraries. Library and information Science Research 29, 455-470.

The Organization For Economic Cooperation And Development. (1980). OECD guidelines on the protection of privacy and transborder flows of personal data. Retrieved from http://www.oecd.org/document/18 /0,3343,en_2649_201185_1815186_1_1_1_1,00.html Shuler, J. (2004). Privacy and academic libraries:

Widening the frame of discussion. The Journal of Academic Librarianship, 30(2), 157-159.

Walters, D.L. (2005). RFID, biometrics, and privacy issues. Public Library, 44(5), 253-258.

丁永玲、詹德優（2005）。虛擬參考諮詢隱私問題的 研究。圖書館雜誌，24(8)，10-12。 行政院（2008 年 6 月 5 日）。電腦處理個人資料保 護法修正草案總說明。檢自：http://www.ey.gov.tw/ public/Attachment/20050301181112687.doc 周慧蓮（2003）。寬頻時代之資訊隱私權保護。未出 版之碩士論文，國立清華大學科技法律研究所， 新竹市。 林建中（1999）。隱私權概念之再思考──關於概念 範圍,定義及權利形成方法。未出版之碩士論文， 國立臺灣大學法律學研究所，台北市。 林敏（2007）。試論圖書館網站的隱私權政策。情報 資料工作，2007(2)，80-83。 姚林（2004）。數字圖書館與隱私權保護。長春師範 學院學報，23(4)，160-163。 曹玉平（2006）。圖書館網絡空間的個人數據與隱私 權保護。情報理論與實踐，2006(2)，61-64。 莊道明（1995)。圖書館專業倫理意義與內涵初探。 中國圖書館學會會報，55，27-37。 楊敦和（1983）。隱私權在美國之起源與發展。輔大 法學，2，78-79。 廖又生（1998)。論刑法分則修正對圖書館經營之影 響。台北市立圖書館館訊，15(3)，42-49。 劉景宇（2007）。虛擬參考諮詢用戶隱私問題特點分 析與策略研究。圖書情報知識，116，56-59。 盧琰（2007）。網路環境下參考諮詢用戶的隱私權保 護。圖書館學研究，2007(6)，23-25。 藍素華（1999）。圖書館參考服務中讀者與館員衝突 之探討。大學圖書館，3(1)，166-137。 羅冰眉（2006）。論讀者隱私權及其保護。法律文獻 信息與研究，2006(1)，31-36。