楊郁霞

［福建農(nóng)林大學(xué)學(xué)報（自然科學(xué)版）編輯部，福建 福州 350002］

隨著科技的進(jìn)步和網(wǎng)絡(luò)化的發(fā)展，我國越來越多的學(xué)術(shù)期刊通過構(gòu)建網(wǎng)站實現(xiàn)了在線辦公，這不僅提高了期刊出版部門的工作效率、進(jìn)一步優(yōu)化了對稿件的系統(tǒng)管理，而且方便了作者對所投稿件的實時跟蹤和審稿專家對稿件的查詢和審閱。據(jù)報道，2015年中國科協(xié)1081種科技期刊中有915種通過自建網(wǎng)站形式上網(wǎng)，占中國科協(xié)科技期刊總數(shù)的84.6%[1]。近幾年，學(xué)術(shù)期刊建網(wǎng)比例還在逐年攀升。

期刊在適應(yīng)網(wǎng)絡(luò)化發(fā)展的同時，用戶信息安全問題也日益凸顯。學(xué)術(shù)期刊網(wǎng)站的對外用戶主要是作者和審稿專家，其在投稿或?qū)徃迩熬鑼€人信息進(jìn)行注冊和完善。因此，作者和審稿專家信息作為一種重要的網(wǎng)絡(luò)資源普遍存在于多個期刊平臺上。這些信息資源中，有些是用戶自愿提供且可以公開的，如學(xué)位、職稱、研究方向等；有些則是應(yīng)期刊出版部門要求而提供且不適宜公開的，如手機(jī)號碼、身份證號碼等，這些都是需要期刊出版部門重視和保護(hù)的重要信息。然而，實際工作中，辦刊人員更側(cè)重于對用戶信息的采集和使用，而忽略了對這些信息的保護(hù)；理論研究層面，學(xué)者們對期刊用戶信息保護(hù)方面的探討較少，主要集中于作者信息的公開與保護(hù)方面的權(quán)衡[2-5]，而沒有針對期刊網(wǎng)站用戶（作者和審稿專家）隱私信息保護(hù)的系統(tǒng)論述。鑒于此，本文以我國農(nóng)業(yè)科學(xué)核心期刊為例，調(diào)查其網(wǎng)站對用戶隱私信息的采集情況，并在此基礎(chǔ)上分析用戶信息泄露的潛在風(fēng)險，進(jìn)而從期刊工作者的視角提出相應(yīng)的保護(hù)措施，以期為增強(qiáng)期刊出版部門的信息安全意識和實施有效的信息保護(hù)措施提供參考。

一、學(xué)術(shù)期刊網(wǎng)站采集用戶隱私信息的狀況

（一）用戶隱私信息的界定

陳麗華等[2]認(rèn)為，學(xué)術(shù)期刊采集的作者個人信息所需保護(hù)的人格領(lǐng)域范圍為個人及隱私。個人領(lǐng)域范圍主要包括姓名、單位等公開不會影響作者工作和生活的信息；隱私領(lǐng)域則主要指限制他人接近自己的范圍，包括照片、手機(jī)號碼、社交賬號、身份證號等會對作者工作和生活產(chǎn)生影響的信息。余筱瑤[3]認(rèn)為，作者個人信息分為敏感隱私信息（包括身份證號碼、個人視頻、照片等）、可以公開信息、完全公開信息（包括姓名、職業(yè)、研究領(lǐng)域及Email）3個等級，其中，可以公開信息又分為對特定人可以公開信息（包括銀行賬號、第三方支付賬號、電話號碼等）和對非特定人可以公開信息（包括性別、職稱、年齡等）。綜合兩位學(xué)者的看法并結(jié)合工作實際，筆者認(rèn)為，期刊網(wǎng)站采集的用戶隱私信息即僅供期刊出版部門作特定用途的不可對外界公開的個人信息，如身份證號碼、手機(jī)號碼、銀行卡信息等。

（二）以綜合性農(nóng)業(yè)科學(xué)核心期刊網(wǎng)站為例調(diào)查用戶隱私信息的采集情況

以《中文核心期刊要目總覽（2017年版）》中32種綜合性農(nóng)業(yè)科學(xué)核心期刊為調(diào)查樣本。在前期初步調(diào)查的基礎(chǔ)上選取手機(jī)號碼、固定電話、證件號碼（包括身份證、護(hù)照等）、銀行賬號和開戶行名稱等5項隱私信息為調(diào)查項目。調(diào)查方法：先通過百度搜索引擎查詢32種期刊的建網(wǎng)情況，再進(jìn)入各期刊網(wǎng)站的作者和審稿專家注冊頁面獲取不同期刊對5項隱私信息的采集情況，分別統(tǒng)計采集各條隱私信息的期刊數(shù)量，并計算其所占比例。

調(diào)查發(fā)現(xiàn)，30種期刊有自建網(wǎng)站設(shè)有在線投審稿平臺，其余2種沒有網(wǎng)站，仍采用Email投稿。30種期刊自建網(wǎng)站均可進(jìn)行作者注冊，但其中6種期刊無法進(jìn)行審稿專家自薦注冊，只能由出版單位內(nèi)部推薦設(shè)置。因此，在計算采集作者隱私信息的期刊比例時，總數(shù)以30種計；在計算采集審稿專家隱私信息的期刊比例時，總數(shù)以24種計。由表1可知，100%的期刊都會采集作者和審稿專家的手機(jī)號碼，采集作者和審稿專家固定電話的期刊分別占80.0%和95.8%；采集作者和審稿專家證件號碼的期刊均超過50%；采集作者銀行信息的期刊較少，而采集審稿專家銀行信息的期刊占54.2%。可見，多數(shù)期刊都會采集用戶的隱私信息，尤其是審稿專家的信息。

表1 綜合性農(nóng)業(yè)科學(xué)核心期刊網(wǎng)站采集用戶隱私信息的調(diào)查結(jié)果

（三）期刊采集用戶隱私信息的用途

作者發(fā)表論文和審稿專家審閱稿件后，期刊出版部門需要向其支付相應(yīng)的稿酬和審稿費。傳統(tǒng)的支付方式是通過郵局匯款，但其存在諸多不便：相關(guān)負(fù)責(zé)人需要花費大量的時間手工填寫匯款單和辦理寄單事宜，且郵寄至對方郵局的時間較長，寄到后對方也需要花費一定時間辦理取款事宜，甚至其中還存在因種種原因（如書寫錯誤、到時間未取單等）被退單的可能性。隨著網(wǎng)絡(luò)化的發(fā)展和財務(wù)辦公系統(tǒng)的改進(jìn)，目前期刊出版部門對稿酬和審稿費的發(fā)放方式轉(zhuǎn)變?yōu)橐灾苯油ㄟ^財務(wù)部門進(jìn)行銀行轉(zhuǎn)賬為主，其相對于傳統(tǒng)的支付方式具有便捷、耗時短、效率高等優(yōu)點。因此，為確保轉(zhuǎn)賬的準(zhǔn)確性，財務(wù)部門要求作者和審稿專家提供證件號碼、手機(jī)號碼及銀行賬號和開戶行名稱等隱私信息。期刊網(wǎng)站采集和存儲這些信息，不僅方便后期相關(guān)費用的統(tǒng)一直接發(fā)放，而且有利于加強(qiáng)對信息資源的有效管理。

二、用戶隱私信息泄露的潛在風(fēng)險

（一）泄露途徑

期刊網(wǎng)站用戶隱私信息的泄露途徑包括人為和非人為兩個因素。人為泄露又可分為有意和無意兩種，其涉及的行為主體主要為期刊出版單位內(nèi)部與信息有直接接觸的編輯人員和編務(wù)人員以及負(fù)責(zé)網(wǎng)站維護(hù)的科技公司。有意泄露是這些行為主體有計劃泄露信息的行為，如倒賣信息；無意泄露是因這些行為主體未盡保護(hù)義務(wù)或保護(hù)措施不力而使信息被泄露的行為，如信息網(wǎng)頁未及時關(guān)閉造成的泄露。非人為泄露是保存信息的硬件或軟件設(shè)備被外界攻擊而造成的不可控的信息外泄，外界因素如電腦病毒以及蓄意截取信息的黑客或組織等[6]。隨著網(wǎng)絡(luò)時代的快速發(fā)展，個人信息安全正面臨較大的風(fēng)險，在國家技術(shù)監(jiān)管和法律維護(hù)等措施還不夠完善的環(huán)境下，各種非法機(jī)構(gòu)對個人信息轟炸的手段層出不窮、各式各樣，使網(wǎng)絡(luò)用戶防不勝防[7]。據(jù)報道，全球平均每20秒鐘就發(fā)生一次入侵互聯(lián)網(wǎng)涉及信息安全的事件[8]。期刊網(wǎng)站用戶隱私信息具有較高的商業(yè)價值，使得其面臨更高的安全風(fēng)險。

（二）泄露后果

生活中多數(shù)人都會經(jīng)歷因信息泄露而造成的困擾，如垃圾信息、推銷電話的頻繁騷擾。對于期刊網(wǎng)站用戶而言，手機(jī)號碼或固定電話一旦被泄露，就會收到各種征稿通知、代理發(fā)表文章的中介廣告、無關(guān)的會議通知等垃圾短信或電話；證件號碼或銀行卡信息泄露后果則可能更為嚴(yán)重，如被冒名辦信用卡后惡意透支消費、被冒名掛失銀行卡再重新辦卡盜取錢財、被冒用身份從事一些不法行為等，嚴(yán)重毀壞用戶個人名譽或造成個人財產(chǎn)的損失。同時，若用戶信息因辦刊人員的失職而被泄露還會損害出版部門的信譽，并影響期刊的受眾群體?？梢姡脩綦[私信息泄露不僅會影響用戶個人生活，影響出版機(jī)構(gòu)的聲譽，甚至?xí)：€人的財產(chǎn)安全，進(jìn)而破壞商業(yè)市場秩序，危害公共安全，影響社會穩(wěn)定[3]。因此，保證期刊網(wǎng)站用戶隱私信息的安全是期刊出版部門應(yīng)重視的一項重要工作。

三、期刊網(wǎng)站用戶隱私信息的保護(hù)措施

《中華人民共和國民法總則》規(guī)定：“任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全?！薄吨腥A人民共和國刑法修正案（九）》第二百八十六條明文規(guī)定網(wǎng)絡(luò)服務(wù)提供者有安全管理公民個人信息的義務(wù)。期刊網(wǎng)站是服務(wù)廣大作者和讀者的平臺，期刊出版部門作為期刊網(wǎng)站版權(quán)的所有者，對用戶隱私信息負(fù)有不可推卸的保護(hù)義務(wù)[4]。因此，建議從以下幾個方面著手加強(qiáng)對期刊網(wǎng)站用戶隱私信息的保護(hù)。

（一）內(nèi)部建立信息保護(hù)管理體制

期刊出版部門應(yīng)針對用戶隱私信息的安全制定專門的規(guī)章制度，既能增強(qiáng)辦刊人員的信息安全意識，又能讓編輯部采集和使用用戶信息的行為有據(jù)可依。規(guī)章制度的內(nèi)容應(yīng)主要明確信息采集內(nèi)容、方法、用途，以及規(guī)范信息使用流程。

關(guān)于信息的采集，一方面，建議將用戶的注冊信息分兩級設(shè)置。一級為作者和審稿專家首次注冊時的信息，以個人領(lǐng)域[2]的簡單信息為主；二級即為作者稿件被錄用或?qū)徃鍖＜覍復(fù)旮寮笮柰晟频碾[私信息，若作者稿件被拒或?qū)徃鍖＜椅磳徃寮?，則不必進(jìn)行二級操作，這不僅可以減小用戶隱私信息的傳播范圍，還能夠防止期刊對用戶信息的過度采集。另一方面，在采集信息時建議遵循告知原則和以用戶為中心的原則。告知原則是在采集信息時明確告知用戶采集信息的內(nèi)容、用途和保密承諾等相關(guān)事宜；以用戶為中心的原則即在告知的情況下尊重用戶的意愿。據(jù)了解，學(xué)術(shù)期刊每篇論文的審稿費50～200元不等，部分審稿專家不愿為了小額費用而向出版單位公開自己的隱私信息，也屬情理之中。因此，辦刊人員應(yīng)根據(jù)不同情況實行靈活的支付措施。若用戶同意提供隱私信息，期刊出版部門須做好后續(xù)的信息保護(hù)工作；若用戶確實不同意提供，期刊出版部門則應(yīng)選擇傳統(tǒng)的支付方式。

關(guān)于信息的使用，一是嚴(yán)格遵循保密原則。期刊出版部門應(yīng)與內(nèi)部信息接觸人（編輯人員或編務(wù)人員）簽訂保密協(xié)議，并制定信息泄露問責(zé)和追責(zé)條款。二是建立審批和存檔的制度，即稿酬或?qū)徃遒M發(fā)放的用戶信息名單應(yīng)由期刊負(fù)責(zé)人簽字審批，且簽字后的單據(jù)應(yīng)復(fù)印保存?zhèn)洳椤?/p>

此外，期刊出版部門制定的規(guī)章制度可在期刊網(wǎng)站上廣而告之，以切實落實該項制度的執(zhí)行，并取得用戶的信任。

（二）與科技公司建立規(guī)范嚴(yán)謹(jǐn)?shù)暮献鳈C(jī)制

目前，大多數(shù)期刊網(wǎng)站的維護(hù)和服務(wù)器的托管都是由科技公司負(fù)責(zé)，這為用戶隱私信息通過第三方泄露提供了可能。因此，期刊出版部門有必要與科技公司建立規(guī)范嚴(yán)謹(jǐn)?shù)暮献鳈C(jī)制，以確保信息的安全。合作過程中需要特別注意技術(shù)提供和信息保密兩個方面。

幾乎全部期刊網(wǎng)站中，用戶信息均可被所有編輯人員和編務(wù)人員查看，傳播范圍較大。因此，在信息的查看方面，建議在前文所述分級的基礎(chǔ)上分權(quán)限設(shè)置，一級信息可被所有辦刊人員查看，二級隱私信息則設(shè)置為特定人才可查看，特定人為負(fù)責(zé)辦理費用支付的編務(wù)人員或部門負(fù)責(zé)人。通常一個期刊出版部門會有一位編務(wù)人員，該權(quán)限的設(shè)置無疑可以大大縮小用戶隱私信息的公開和傳播范圍。然而，目前我國學(xué)術(shù)期刊網(wǎng)站還沒有針對用戶信息分級分權(quán)限查看的功能，期刊出版部門可與科技公司共同協(xié)商該方面的解決方案。同時，通過先進(jìn)的網(wǎng)絡(luò)技術(shù)和信息系統(tǒng)保護(hù)體系可以避免信息系統(tǒng)癱瘓和重要信息大量泄流等損失[7]；重要信息加密技術(shù)也可防范非法用戶或病毒攻擊計算機(jī)系統(tǒng)而盜用信息。科技公司是期刊網(wǎng)站建設(shè)和維護(hù)的技術(shù)提供方，其在保證網(wǎng)站基本運營功能的同時應(yīng)在信息安全方面尋求進(jìn)一步的技術(shù)突破。

此外，信息保密是期刊出版部門與科技公司合作中需重視的另一個重要問題。在簽訂合作協(xié)議時，需特別注明科技公司方對期刊網(wǎng)站用戶信息進(jìn)行保護(hù)的義務(wù)和責(zé)任以及信息因其泄露的追責(zé)條款。

（三）引導(dǎo)用戶增強(qiáng)信息安全意識

信息從用戶端泄露的最大可能原因就是密碼被黑客破解或系統(tǒng)被病毒攻擊。一旦登錄信息被盜取，不僅用戶隱私信息會被泄露，網(wǎng)站的稿件資源也會受到影響。因此，用戶的安全意識對期刊網(wǎng)站信息的保護(hù)也非常重要。然而，筆者在實際工作中發(fā)現(xiàn)，部分審稿專家的安全意識并不高。因許多期刊的審稿專家資源都是從數(shù)據(jù)庫獲取，審稿專家的初始賬號和密碼都是由編輯部設(shè)置，且初始密碼通常比較簡單，審稿專家后續(xù)補(bǔ)充完整個人信息后未修改初始密碼的現(xiàn)象普遍存在。簡單的密碼設(shè)置為信息泄露提供了更大的可能性。因此，期刊出版部門應(yīng)引導(dǎo)用戶提升信息安全意識，以防止信息從用戶端泄露。一方面，期刊網(wǎng)站在用戶注冊密碼時或補(bǔ)充完整個人信息后應(yīng)給予適當(dāng)?shù)奶崾菊Z，提示其設(shè)置較復(fù)雜的密碼以確保其安全。另一方面，可在期刊網(wǎng)站首頁醒目位置或用戶注冊頁面告知信息安全的重要性，并提供一定的信息保護(hù)建議，如電腦軟硬件的維護(hù)、殺毒軟件的安裝和病毒的定時排查、防火墻體系的完善等。

（四）期刊出版行業(yè)協(xié)會設(shè)立監(jiān)管措施

當(dāng)前，期刊出版行業(yè)協(xié)會的注意力主要放在期刊的質(zhì)量方面，對期刊網(wǎng)絡(luò)化建設(shè)的關(guān)注較少，對網(wǎng)絡(luò)化的信息安全問題更是從未涉及。中國高?？萍计诳芯繒菢O少的關(guān)注期刊網(wǎng)絡(luò)化建設(shè)的一家協(xié)會，其每兩年評選一次中國高?？萍计诳瘍?yōu)秀網(wǎng)站，但評選指標(biāo)的設(shè)置主要為基本功能（投審稿平臺、過刊檢索、發(fā)布公告等）、擴(kuò)展功能（文獻(xiàn)服務(wù)和用戶交互）和多媒體的應(yīng)用（二維碼、APP、視頻等）方面，而沒有針對網(wǎng)站信息安全的評價指標(biāo)。網(wǎng)絡(luò)化時代，信息安全的重要性應(yīng)引起期刊出版行業(yè)協(xié)會的重視，在注重期刊質(zhì)量建設(shè)的同時，兼顧對網(wǎng)絡(luò)化信息安全保障的考查。因此，協(xié)會在開展期刊網(wǎng)站或數(shù)字化建設(shè)評選時，建議設(shè)置對用戶信息安全保障的評選指標(biāo)，如加密技術(shù)、注冊提醒等。另外，目前出版行業(yè)制定的規(guī)范標(biāo)準(zhǔn)主要集中在編校方面，關(guān)于期刊網(wǎng)絡(luò)化信息安全的保護(hù)標(biāo)準(zhǔn)仍為空白。隨著網(wǎng)絡(luò)化和電子化的不斷發(fā)展，信息安全問題越來越引起人們的關(guān)注，期刊網(wǎng)絡(luò)化信息安全的保護(hù)標(biāo)準(zhǔn)應(yīng)成為出版行業(yè)今后探索的一個方向。該標(biāo)準(zhǔn)可從信息的采集、存儲、使用、保護(hù)等方面逐一進(jìn)行規(guī)范。

四、結(jié)語

信息外泄對社會和人們的生活造成了嚴(yán)重影響，隨著新的網(wǎng)絡(luò)技術(shù)和信息系統(tǒng)的普遍運用，未來網(wǎng)絡(luò)信息安全將面臨更多的挑戰(zhàn)[9]，網(wǎng)絡(luò)用戶信息的保護(hù)將受到大眾更多的關(guān)注。然而，大數(shù)據(jù)時代信息保護(hù)的重心不再是在搜集信息時取得個人的同意上，而是應(yīng)著重于信息使用者的行為責(zé)任上，由信息搜集者承擔(dān)絕對的保護(hù)責(zé)任[3]。因此，期刊作為作者和審稿專家等用戶隱私信息的采集者，應(yīng)對網(wǎng)站信息安全起到該有的保護(hù)責(zé)任和義務(wù)。高度的風(fēng)險意識和安全管理理念是信息安全的根本保障[10]。期刊出版部門應(yīng)在增強(qiáng)風(fēng)險意識的基礎(chǔ)上，從內(nèi)部、第三方科技公司和用戶三個方面協(xié)同推進(jìn)對用戶隱私信息的保護(hù)措施；同時，期刊出版行業(yè)協(xié)會也應(yīng)在該方面起到一定的監(jiān)管作用?？傊挥型ㄟ^建立起有效的預(yù)防機(jī)制、完善期刊網(wǎng)絡(luò)信息安全管理制度，才能提高辦刊人員的安全防范意識，降低潛在的安全隱患[8]。