法律风险内部技术研究.docVIP

法律风险内部技术研究 1引言 许可使用是图书馆获得数字资源使用权的主要方式，图书馆通过支付一定对价获得在特定时间、地域范围内，按照约定的方式使用数字资源的权利。数字资源出版商或提供商（以下简称数据库商）为了维护自身的市场垄断地位，十分注重对数字资源内容的保护，往往会在许可协议中对数字资源的使用严加限制，不仅限制使用的地域、使用者身份，而且限制使用数量、使用方式以及复制和传播的途径。在数字资源许可使用法律关系中，图书馆代表本机构读者与数据库商签约。但图书馆并非最终用户，对于大学图书馆而言，终端用户不仅包括本校师生、临时的访学研究人员，还包括一定数量的社会读者。对于数字资源的访问权限，读者与图书馆之间存在信息不对称，读者不了解每个数据库许可协议中对于使用行为的具体规定，图书馆对读者的具体使用行为也无法知情、引导及控制。尽管有一种代表性的观点认为，图书馆只要尽到告知义务便可以免责[1]，但是在工作实践中由此引发的读者盗用、滥用数据库等违规使用行为的问题均要图书馆协调解决。图书馆不仅要应付数字资源管理和服务中的问题，而且还面临着违反约定承担法律责任的风险。如何通过信息技术手段有效地构建防控数字资源违规使用行为的内部控制机制，从而降低此类风险的发生，一直是图书馆技术部门致力研究的问题。近年来，国内外图书馆界利用网络信息技术，就控制数字资源违规使用问题做了大量的研究和应用，并取得一定的效果。本文在对国内外电子资源使用进行统计分析和控制研究的基础上，以西安交通大学图书馆数字资源内部控制平台搭建和使用为依据，对数字资源许可合理使用提供一些思考和建议。 2国内外防控数字资源违规使用的现状 2.1数字资源违规使用行为概述。数字资源违规使用主要是指违反电子资源授权许可协议中约定的使用者、使用范围、使用方式等条款的所有行为。违规使用的划分是以“授权用户”为基点，包括“盗用”和“滥用”两种类型。其中“盗用”是指非授权用户的非法使用行为（本文暂不讨论）。“滥用”是指授权用户的不当使用，其具体行为包括“超量下载”“系统下载”“使用网络下载工具”等。数字资源的“滥用”问题是困扰图书馆管理与服务工作的难题[2]。许可协议中通常对“滥用”行为做了严格的禁止性规定，数据库商也在技术上进行了防控，大多数据库平台都对机器人、蜘蛛、爬虫等自动多线程下载和自动有哪些信誉好的足球投注网站、抓取、深链接等使用做出限制并在数据提供端进行检测和阻止。虽然对于超量下载没有明确规定，但通常认为超过正常阅读速度或浏览速度的下载即为超量。尽管大多数图书馆都在电子资源合理使用的规范中对这两种使用方式进行了提醒和禁止性声明，尽到了告知和提醒的义务，但这种方式依然是被动式的防控，在以往的管理工作中效果不佳。图书馆需要通过先进的技术手段，以事前预防为目标，以主动式的内部控制机制预防违规使用行为的发生，确保机构用户的正常使用，规避因此导致的法律风险。2.2目前防控违规使用行为的技术机制实践状况。国外学者在防控数字资源违规使用方面实践探索的基本技术路线是通过使用网络服务监控软件，采用远程登录到被监控机器上或者安装代理软件等方式，进行网络流量监测，并根据设置的参数进行阻断或放行，如SolarWinds公司的OrionNetworkPerformanceMonitor、网路岗、聚生网管等软件，均是按此思路设计并实现的。国内部分高校图书馆在此方面所做的实践与国外略有不同，通常不采用安装代理软件，主要是通过流量采集卡或者其他硬件设备抓取读者使用行为数据，监控数字资源使用原始流量数据，自动分析读者使用行为，对违规行为进行预警和阻断，及时防止数字资源违规使用情况的发生。例如，上海交通大学通过TCP（TramissionControlProtocol，传输控制协议）会话劫持技术，在正常TCP的会话里注入额外的第三方信息，当系统按照默认阈值判断违规主机与外部数据库通讯时，违规封禁程序会侦听相应报文并采取措施来重定向页面或终止该TCP连接[3]。清华大学图书馆的电子资源访问管理与控制系统针对用户和数字资源间的已知协议（主要是http协议）进行抓取分析，获取用户访问内容，在用户端利用客户端代理软件Privoxy获取访问数据库的URL全文信息，当读者访问内容超过系统设置的违规阈值时，系统自动发送提醒页面，多次提醒后会终止该IP访问[4]。复旦大学图书馆建立了一个对常用网络服务、电子资源服务平台、常用数据库服务、图书馆专有的Z39.50等服务综合监控的平台，自动捕获用户访问、浏览、下载行为，从而监控读者使用网络服务的情况，对数字资源访问故障及时发邮件和短信通知系统管理员，全文下载量达到系统规定阈值后，管理员在后台切断访问进程并自动通知读者进行处理[5]。西安交通大学图书馆对网络流量进行采集处理，构建了一个基于目标IP地址网络分析的统计和控制综合