導語：法律風險內部技術研究一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1引言

許可使用是圖書館獲得數字資源使用權的主要方式，圖書館通過支付一定對價獲得在特定時間、地域范圍內，按照約定的方式使用數字資源的權利。數字資源出版商或提供商（以下簡稱數據庫商）為了維護自身的市場壟斷地位，十分注重對數字資源內容的保護，往往會在許可協(xié)議中對數字資源的使用嚴加限制，不僅限制使用的地域、使用者身份，而且限制使用數量、使用方式以及復制和傳播的途徑。在數字資源許可使用法律關系中，圖書館代表本機構讀者與數據庫商簽約。但圖書館并非最終用戶，對于大學圖書館而言，終端用戶不僅包括本校師生、臨時的訪學研究人員，還包括一定數量的社會讀者。對于數字資源的訪問權限，讀者與圖書館之間存在信息不對稱，讀者不了解每個數據庫許可協(xié)議中對于使用行為的具體規(guī)定，圖書館對讀者的具體使用行為也無法知情、引導及控制。盡管有一種代表性的觀點認為，圖書館只要盡到告知義務便可以免責[1]，但是在工作實踐中由此引發(fā)的讀者盜用、濫用數據庫等違規(guī)使用行為的問題均要圖書館協(xié)調解決。圖書館不僅要應付數字資源管理和服務中的問題，而且還面臨著違反約定承擔法律責任的風險。如何通過信息技術手段有效地構建防控數字資源違規(guī)使用行為的內部控制機制，從而降低此類風險的發(fā)生，一直是圖書館技術部門致力研究的問題。近年來，國內外圖書館界利用網絡信息技術，就控制數字資源違規(guī)使用問題做了大量的研究和應用，并取得一定的效果。本文在對國內外電子資源使用進行統(tǒng)計分析和控制研究的基礎上，以西安交通大學圖書館數字資源內部控制平臺搭建和使用為依據，對數字資源許可合理使用提供一些思考和建議。

2國內外防控數字資源違規(guī)使用的現(xiàn)狀

2.1數字資源違規(guī)使用行為概述。數字資源違規(guī)使用主要是指違反電子資源授權許可協(xié)議中約定的使用者、使用范圍、使用方式等條款的所有行為。違規(guī)使用的劃分是以“授權用戶”為基點，包括“盜用”和“濫用”兩種類型。其中“盜用”是指非授權用戶的非法使用行為（本文暫不討論）。“濫用”是指授權用戶的不當使用，其具體行為包括“超量下載”“系統(tǒng)下載”“使用網絡下載工具”等。數字資源的“濫用”問題是困擾圖書館管理與服務工作的難題[2]。許可協(xié)議中通常對“濫用”行為做了嚴格的禁止性規(guī)定，數據庫商也在技術上進行了防控，大多數據庫平臺都對機器人、蜘蛛、爬蟲等自動多線程下載和自動搜索、抓取、深鏈接等使用做出限制并在數據提供端進行檢測和阻止。雖然對于超量下載沒有明確規(guī)定，但通常認為超過正常閱讀速度或瀏覽速度的下載即為超量。盡管大多數圖書館都在電子資源合理使用的規(guī)范中對這兩種使用方式進行了提醒和禁止性聲明，盡到了告知和提醒的義務，但這種方式依然是被動式的防控，在以往的管理工作中效果不佳。圖書館需要通過先進的技術手段，以事前預防為目標，以主動式的內部控制機制預防違規(guī)使用行為的發(fā)生，確保機構用戶的正常使用，規(guī)避因此導致的法律風險。2.2目前防控違規(guī)使用行為的技術機制實踐狀況。國外學者在防控數字資源違規(guī)使用方面實踐探索的基本技術路線是通過使用網絡服務監(jiān)控軟件，采用遠程登錄到被監(jiān)控機器上或者安裝軟件等方式，進行網絡流量監(jiān)測，并根據設置的參數進行阻斷或放行，如SolarWinds公司的OrionNetworkPerformanceMonitor、網路崗、聚生網管等軟件，均是按此思路設計并實現(xiàn)的。國內部分高校圖書館在此方面所做的實踐與國外略有不同，通常不采用安裝軟件，主要是通過流量采集卡或者其他硬件設備抓取讀者使用行為數據，監(jiān)控數字資源使用原始流量數據，自動分析讀者使用行為，對違規(guī)行為進行預警和阻斷，及時防止數字資源違規(guī)使用情況的發(fā)生。例如，上海交通大學通過TCP（TransmissionControlProtocol，傳輸控制協(xié)議）會話劫持技術，在正常TCP的會話里注入額外的第三方信息，當系統(tǒng)按照默認閾值判斷違規(guī)主機與外部數據庫通訊時，違規(guī)封禁程序會偵聽相應報文并采取措施來重定向頁面或終止該TCP連接[3]。清華大學圖書館的電子資源訪問管理與控制系統(tǒng)針對用戶和數字資源間的已知協(xié)議（主要是http協(xié)議）進行抓取分析，獲取用戶訪問內容，在用戶端利用客戶端軟件Privoxy獲取訪問數據庫的URL全文信息，當讀者訪問內容超過系統(tǒng)設置的違規(guī)閾值時，系統(tǒng)自動發(fā)送提醒頁面，多次提醒后會終止該IP訪問[4]。復旦大學圖書館建立了一個對常用網絡服務、電子資源服務平臺、常用數據庫服務、圖書館專有的Z39.50等服務綜合監(jiān)控的平臺，自動捕獲用戶訪問、瀏覽、下載行為，從而監(jiān)控讀者使用網絡服務的情況，對數字資源訪問故障及時發(fā)郵件和短信通知系統(tǒng)管理員，全文下載量達到系統(tǒng)規(guī)定閾值后，管理員在后臺切斷訪問進程并自動通知讀者進行處理[5]。西安交通大學圖書館對網絡流量進行采集處理，構建了一個基于目標IP地址網絡分析的統(tǒng)計和控制綜合服務平臺，對用戶超量使用數據資源自動進行阻斷[6]。孟曉蓓、陳默等學者利用netflow分析技術，構建了一個針對特定數據庫的控制單個IP流量以及并發(fā)數的流量監(jiān)控系統(tǒng)，以控制惡意下載及規(guī)避知識產權風險[7-9]。流量監(jiān)控系統(tǒng)與使用統(tǒng)計系統(tǒng)是相輔相成的，有部分國內高校圖書館雖未構建單獨的流量監(jiān)控系統(tǒng)，卻構建了使用統(tǒng)計系統(tǒng)以對數字資源的使用行為進行數據抓取和分析。例如，哈爾濱工業(yè)大學圖書館引進了360Counter統(tǒng)計平臺，圖書館可以通過一個用戶友好界面查詢并下載在線電子資源使用量統(tǒng)計報告，搜集期刊采購決策的可靠數據[10]，也可以發(fā)現(xiàn)違規(guī)使用情況，但缺少及時預警和阻斷的效果。深圳大學圖書館的USSER通過收集DRAA（DigitalResourceAcquisitionAllianceofChineseAcademicLibraries，高校數字資源采購聯(lián)盟）平臺、OpenERMS系統(tǒng)、第三方知識庫、數據庫商使用統(tǒng)計平臺等的統(tǒng)計數據，為圖書館提供一個深度挖掘和比較數字資源統(tǒng)計利用的平臺[11-12]。從國內外研究及實踐可以看出，現(xiàn)有的數字資源防控主要針對用戶使用流量進行分析，按照系統(tǒng)預先設置的閾值對用戶違規(guī)使用行為進行事前干預和限制，避免違規(guī)使用。本研究綜合并吸取了國內外在防控數字資源違規(guī)使用行為方面的實踐經驗，形成了以數字資源使用統(tǒng)計數據為基礎，通過預先設置閾值對違規(guī)使用行為自動做出判斷，并提前做出適度預警，及時阻斷嚴重違規(guī)行為的機制。這種機制不僅可以有效防控違規(guī)使用法律風險，同時可以利用收集到的使用統(tǒng)計數據，分析不同學科用戶的使用特征，靈活分配數據庫訪問控制流量，適度調整這部分用戶的預警閾值，充分滿足其對文獻的需求；此外還可以通過本館獲取的使用統(tǒng)計數據與數據庫商提供的使用統(tǒng)計數據之間進行對比，分析二者的差異點，及時發(fā)現(xiàn)數據庫商未按照許可協(xié)議約定使用國際通用統(tǒng)計標準的情況，并督促其糾正，以防范數據庫商在限制圖書館合理使用權問題上的權利濫用，從而維護圖書館和讀者的合法使用權益。通過雙向調節(jié)，達到防控數字資源違規(guī)使用、提高數字資源使用效益的目的。

3數字資源違規(guī)使用內部控制機制構建思路

對于圖書館而言，技術機制的構建應以優(yōu)化管理、改善服務為基本出發(fā)點。數字資源管理強調合同管理，即圍繞數字資源展開的一切管理和服務行為都要依據許可協(xié)議進行。對于違規(guī)使用行為的防控應以協(xié)議中數據庫商與圖書館達成的一致性條款為基礎。由于不同數據庫商對違規(guī)使用的判定不同，無論是超量下載的數量，還是不當使用的行為均無統(tǒng)一標準，協(xié)議條款的約定也各不相同，因此若以某種信息化系統(tǒng)來實現(xiàn)防控目標，需要考慮以下幾個因素。3.1能夠獲取相對準確的數字資源使用統(tǒng)計數據。超量下載是以單位時間內的下載量來判定的，因此系統(tǒng)應具備的基本功能即為可以獲取相對準確的數字資源使用統(tǒng)計數據。通常情況下，數字資源提供商會提供COUNTER、E-Metrics、ICOLCGuideline等規(guī)范格式的統(tǒng)計數據。同時，讀者訪問數字資源過程中會產生相應的訪問日志和原始訪問記錄，這些記錄以規(guī)范化格式存儲在本機構網關服務器上。兩種途徑都為數字資源使用提供了基礎分析數據，結合這兩方面原始數據，基本可以較為完整和準確地獲取本機構數字資源使用統(tǒng)計數據。3.2能夠針對不同數據庫的個性化要求設置訪問許可規(guī)則。數據庫許可協(xié)議是圖書館與數據庫商之間具有法律效力的合同文本，目前對違規(guī)使用行為的判定并無行業(yè)認定的統(tǒng)一標準，在許可協(xié)議中不同數據庫對違規(guī)使用行為的描述和懲罰措施都不一樣，有的簡單描述為超過正常閱讀速度即為違規(guī)使用，有的規(guī)定不可一次下載超過內容的1/3，有的規(guī)定不可從封面到封底（cover-to-cover）整本下載，有的規(guī)定不能用網絡螞蟻、迅雷等點對點工具下載，有的規(guī)定一次登錄不能下載超過30篇……因此，防控機制需要具有針對不同數據庫要求的閾值設定功能，需要由數據庫采訪人員根據許可協(xié)議的具體要求逐一進行配置，對于要求不明確的數據庫按照經驗閾值進行配置，配置的精確度會直接影響系統(tǒng)預警和阻斷違規(guī)使用行為的效果。3.3能夠針對不同讀者群體的個性化需求設置合理使用規(guī)則。不同學科的讀者對不同數據庫訪問的需求不盡相同，圖書館在應用技術機制防控違規(guī)使用行為的同時，應促進讀者更加有效地利用數字資源。因此防控機制需要在合理規(guī)避許可協(xié)議禁止性條款的基礎上，為讀者構建特色化的訪問規(guī)則，如NEJM、OVIDPrimalPictures、中華醫(yī)學會電子期刊等生物醫(yī)學類型數據庫的讀者對象主要是以生物醫(yī)學學科為研究對象的用戶，防控系統(tǒng)可以在分析使用統(tǒng)計數據的基礎上通過平衡網關負載設置，將主要來源于生物醫(yī)學類資源的讀者訪問需求進行負載平衡，以提高生物醫(yī)學類資源使用效率，在許可協(xié)議范圍內，為普通讀者、特色學科用戶提供差異化流量控制。

4西安交通大學圖書館數字資源統(tǒng)計與防控實踐

2010—2012年，西安交通大學圖書館構建了電子資源利用統(tǒng)計網關系統(tǒng)和電子資源流量控制系統(tǒng)[6，13]，實現(xiàn)了基于使用統(tǒng)計數據分析的數字資源違規(guī)使用防控機制，取得了良好的使用效果。流量控制系統(tǒng)從校園網出口獲取所有圖書館購買的數字資源的http訪問流量，根據系統(tǒng)設置的訪問閾值，實現(xiàn)電子資源流量控制。隨著Wi-Fi、VPN、移動圖書館訪問等多種數字資源訪問途徑的出現(xiàn)，校園網網絡環(huán)境復雜化程度增加，原有防控系統(tǒng)不能更好地滿足復雜環(huán)境下讀者多途徑、多方式訪問數字資源的需求。因此，需要在此基礎上進一步研究構建基于使用統(tǒng)計分析的可靈活設置預警閾值、動態(tài)實現(xiàn)負載平衡的使用統(tǒng)計與防控系統(tǒng)。4.1數字資源統(tǒng)計與防控平臺方案。基于數字資源管理實踐中的新問題和新需求，在原有系統(tǒng)的基礎上進行了功能上的優(yōu)化和整合，在一個平臺上實現(xiàn)了數字資源統(tǒng)計與防控功能。該平臺將數字資源基于讀者使用日志分析的流量控制與數據庫商使用平臺的COUNTER統(tǒng)計數據統(tǒng)一整合，同時，通過對讀者使用流量閾值的限制，實現(xiàn)對數字資源違規(guī)使用的控制。數字資源統(tǒng)計與防控平臺的具體情況如圖1所示。圖1數字資源統(tǒng)計與防制平臺示意圖從圖1中可以看出，平臺利用采集器從校園網IP池獲取目標流量，過濾后的目標流量進入統(tǒng)計控制系統(tǒng)后臺進行處理。統(tǒng)計平臺對流量進行分析統(tǒng)計并通過Web客戶端提供給管理員，同時流量控制系統(tǒng)按照系統(tǒng)預定的每一個數據庫閾值，針對單個IP地址單位時間內訪問次數、下載數量做出判斷，如果發(fā)現(xiàn)超過系統(tǒng)預設值后將阻斷信息發(fā)送給采集器處理，隨后讀者訪問被阻斷并且發(fā)送相應的違規(guī)郵件。統(tǒng)計平臺通過分析來自不同IP池的流量，針對不同分組讀者，自動負載平衡，實現(xiàn)個性化流量控制。4.2數字資源統(tǒng)計與防控平臺模塊設置。圖2數字資源統(tǒng)計與防控平臺數字資源利用統(tǒng)計平臺主要由資源、用戶管理，系統(tǒng)數據管理，SUSHI管理，資源對比分析和系統(tǒng)報表管理模塊組成。資源管理：可用于圖書館對試用數據庫、引進數據庫，開放獲取資源、自建數據資源進行管理，并可以根據不同模板導入不同類型數字資源。用戶管理：可以針對不同用戶進行分組，對不同學科的用戶設置不同訪問流量閾值。系統(tǒng)數據管理：主要針對讀者使用行為，按照讀者分組進行數字資源訪問分析，同時提供數據庫、電子期刊和電子圖書訪問統(tǒng)計。SUSHI管理：主要包括SUSHIID管理和SUSHI數據庫統(tǒng)計。資源對比分析：主要包括檢索下載成本分析以及對比分析。系統(tǒng)報表管理：主要輸出COUNTER數據報表和防控平臺產生的報表。從以上主要模塊可以看出，平臺涉及數字資源、用戶管理及相關數據統(tǒng)計分析功能。針對普通讀者和學科用戶設置不同的控制機制，網關服務器訪問高峰期按照讀者登錄類型負載平衡，為學科用戶分配額外的訪問流量。平臺支持SUSHI協(xié)議，可自動收割各個數據庫的COUNTER使用統(tǒng)計報告，并可與該平臺產生的報表進行對比分析。此外該平臺還可以對數字資源URL地址定期檢測，一旦發(fā)現(xiàn)異常鏈接將及時通知管理員。該平臺具有如下特點。（1）精準數據流量采集平臺在不影響校園網正常訪問情況下，以旁路獲取方式從校園網接口獲取用戶所有原始訪問流量，此后通過采集器進行目標流量采集、過濾和阻斷發(fā)送，采集器對所有訪問數字資源的流量（以http協(xié)議訪問流量為主）按照設定規(guī)則過濾后綴為gif、swf、css等無效訪問記錄及返回狀態(tài)代碼大于299的日志記錄。處理后的目標流量進入流量采集系統(tǒng)進行數據分析，采集器每天可以處理10GB網絡原始流量。同時，對于用戶使用數字資源超過系統(tǒng)閾值的IP地址，采集器采用逆向發(fā)送阻斷信息包模式，在3~5分鐘內阻斷該用戶對話，可適度預警防止數據庫違規(guī)使用情況發(fā)生。（2）自動流量調節(jié)用戶使用數字資源具有相對的學科特征。統(tǒng)計平臺通過分析用戶訪問地址，下載數字資源學科特征，為管理員推薦特定的學科讀者群。針對不同學科讀者，數字資源統(tǒng)計與防控平臺可以自動進行流量調節(jié)，及時調整學科用戶流量閾值，為學科讀者提供個性化的服務。例如，OVIDPrimalPictures數據庫主要使用對象是醫(yī)學和生物醫(yī)學讀者，統(tǒng)計平臺選取2015—2017年用戶訪問該數據庫統(tǒng)計記錄，選取使用量最大的IP地址，與校園網提供的IP地址對照，可以判斷主要訪問讀者IP集中在醫(yī)學校區(qū)和生命學院。管理員將這些IP地址設定為生物醫(yī)學學科用戶，在整個系統(tǒng)網關出口對這些IP訪問OVIDPrimalPictures數據庫自動進行流量調整，確保這些學科用戶可以在可控范圍最大程度使用數字資源。（3）開放性的數據接口平臺采用標準API架構、開放數據分析和阻斷控制接口，可以與圖書館電子資源管理系統(tǒng)（ElectronicResourceManagementSystem，簡稱ERMS）、下一代圖書館信息管理系統(tǒng)、校園網資源整合系統(tǒng)進行數據對接。實現(xiàn)數據對接后，平臺可以給對接系統(tǒng)提供數字資源訪問、讀者行為等元數據，為這些系統(tǒng)中的使用統(tǒng)計、資源評估等相關功能提供數據支撐。4.3平臺運行情況。目前平臺內已設置本館引進數據庫184個，試用數據庫7個，OpenAccess資源4個，覆蓋中文電子期刊27217種，外文電子期刊24651種。此外，根據本校學科特色，系統(tǒng)建立了生物醫(yī)學、法律經管類、機械化工類等10多個學科用戶組，按照學科用戶分組自動分配網絡負載，在確保不違反數字資源使用的禁止性條款的前提下使學科用戶在合理范圍內最大程度地使用數字資源。平臺試運行以來在機制上較好地實現(xiàn)了使用統(tǒng)計和防控兩種功能的結合，實現(xiàn)了對配置數據庫近一年內使用情況的有效統(tǒng)計和防控（見圖3），同時對Elsevier出版社電子期刊數據庫、WileyInterScience電子期刊數據庫、CNKI中國期刊網全文數據庫等容易被數據庫商投訴的數據資源違規(guī)使用也進行了20萬次以上的有效阻斷（見圖4），很大程度上緩解了數字資源違規(guī)使用給圖書館帶來的壓力。

5基于內部防控系統(tǒng)防范數字資源違規(guī)使用法律風險的思考

5.1圖書館應采取合理措施防控數字資源違規(guī)使用。在數字資源許可使用法律關系中，圖書館雖然參與商務部分的談判和許可合同的簽署，但實質上只是所在機構及用戶的人。圖書館既不是最終用戶，也無法控制最終用戶的使用行為，所以不應承擔因用戶違規(guī)使用帶來的法律風險。國外學術界有一種觀點認為，圖書館不應對出版商承擔任何的賠償責任，包括用戶違規(guī)使用電子資源的情況，因為圖書館完全無法控制用戶使用電子資源的行為，但是圖書館應當為阻止濫用的發(fā)生采取合理措施，包括拒絕濫用者訪問電子資源[14]。圖書館可采取的合理措施有很多，目前普遍采用的是在圖書館主頁上保護數字資源知識產權公告，在讀者培訓或數字資源推廣活動中宣傳合理使用的相關知識等方式，但這些措施能否奏效主要圖3部分數據庫使用統(tǒng)計情況圖4部分數據庫訪問被拒統(tǒng)計取決于用戶的自覺。基于技術手段的內部防控機制也是圖書館采取的合理措施之一，它通過數據抓取和分析及時預警，能夠更加客觀和準確地阻斷濫用者的違規(guī)使用行為，使圖書館采訪人員和技術人員不再時常陷入紛繁復雜的違規(guī)使用事件的調查工作中。5.2內部防控機制是圖書館為維護。權益平衡而進行的主動作為數據庫商、圖書館、讀者是維持學術信息交流生態(tài)系統(tǒng)正常運轉的3個重要主體，三者的利益不同，承擔的權利義務也不同。數據庫商作為數字資源的版權人必然會維護自身的壟斷利益，圖書館作為社會公益機構則以推廣和促進知識的傳播與交流為己任，讀者作為知識產品的最終使用者和潛在創(chuàng)造者希望可以最大化無障礙地使用資源。如何實現(xiàn)版權人的私權利益與社會公共利益之間的利益平衡，是解決數據庫商、圖書館和讀者之間在數字資源使用問題上限制與反限制的理論基礎[15]。構建自動化的預防違規(guī)使用的數字資源統(tǒng)計與防控機制是圖書館為維護權益平衡而采取的一種主動作為的方式，其目的不是限制讀者的使用，而是通過一定的技術手段適時提醒讀者從而引導讀者合理使用數字資源，逐漸養(yǎng)成良好的使用行為習慣，在學習科研的過程中尊重他人的智力成果和知識產權，避免因此給自身和機構帶來數字資源使用障礙。5.3防控違規(guī)使用是手段而不是目的。通過技術手段防控違規(guī)使用并非是圖書館的初衷，幫助和促進讀者使用數字資源、實現(xiàn)讀者權益最大化才是圖書館的任務目標。從委托關系的角度來考察，圖書館作為讀者的人，應當盡力維護讀者權益。在數字資源管理實踐工作中，讀者本應享有的數字資源的使用權常常被數據庫商以違規(guī)使用為由而剝奪，數據庫商經常以超量下載或使用工具下載為由，封鎖讀者的IP。更有甚者會因為一個IP的違規(guī)使用而中止對整個機構的訪問服務，這種對違規(guī)使用的認定通常是由數據庫商單方面進行的，缺少權威第三方的認證，其中不乏不合理之處，圖書館應利用自身的專業(yè)優(yōu)勢和技術手段維護讀者權利，并通過完善許可協(xié)議中的相關條款為讀者爭取更多的使用權益。例如，西安交通大學圖書館引進的某知名數據庫曾以讀者在短時間內下載量超過萬篇為由封閉了該館若干IP的訪問權限，并要求對讀者進行相關處理才可予以開通。采訪館員通過使用流量控制系統(tǒng)獲取了該數據庫的使用統(tǒng)計數據，并與數據庫商的訪問日志和統(tǒng)計數據進行了深入的分析與比對，發(fā)現(xiàn)數據庫商的統(tǒng)計數據并未嚴格遵從COUNTER4.0的統(tǒng)計標準，與其在許可協(xié)議中的承諾不符。經過圖書館的據理力爭，數據庫商在12小時內即恢復了被封IP的訪問權限，同時圖書館督促數據庫商對許可協(xié)議中關于使用統(tǒng)計數據標準和違規(guī)使用的條款進行了細化和修訂，合理有效地維護了讀者的使用權益。因此從另一個角度看，這種內部控制系統(tǒng)對數據庫商也可起到監(jiān)督作用，督促其按照國際通行標準的模式和方式提供使用統(tǒng)計數據，尤其是在雙方對違規(guī)使用行為的認定發(fā)生分歧時，圖書館不會因為沒有第一手的數據而失去話語權和抗辯權，對于規(guī)避數字資源許可使用中的法律風險有較為重要的實踐意義。

作者:張靜 魏青山 史淑英 閆曉弟 單位:西安交通大學圖書館