陈 美

(中南财经政法大学公共管理学院 武汉 430073)

0 引 言

自美国领先全球建构政府开放数据平台以来，世界各国皆陆续着手推动各项开放数据措施。但是，政府开放数据在提高经济和社会效益的同时，也给个人和团体的隐私保护带来极大风险和挑战[1]。之所以选择美国作为政府开放数据的隐私风险控制的案例研究，原因在于：从国际实践角度来看，美国政府开放数据起步相对较早，而且在万维网基金会于2017年5月发布的《开放数据晴雨表：全球报告》(第四版)中，美国在全世界综合排名第四[2]；从国内研究情况来看，目前有学者对美国开放政府数据中个人隐私保护进行了研究，但主要分析美国个人隐私保护的法律法规、政府数据开放政策、隐私保护机构[3]，而本文则侧重从美国在政府数据开放中个人隐私评判、隐私影响评估和政策逻辑分析来梳理理论和实践经验。因此，本文利用文献调研和案例分析的方法，以美国为研究对象，对其政府开放数据隐私风险控制进行分析，以期为我国政府开放数据的隐私保护提供借鉴。

1 美国政府数据开放中个人隐私的评判标准

1.1个人隐私界定美国对于个人数据并没有一个通用的定义，但2015年2月27日所发布的《消费者隐私权法》(Consumer Privacy Bill of Rights Act)草案中对于个人数据进行了定义。依照第四条的规定，所谓个人数据是指：覆盖实体所管理的数据，而且一般公众无法合法的获取，它包括覆盖实体的链接，或是实践上得以链接到个人，或关系个人，或得以链接个人日常使用机器的数据。这些数据种类包括但不限于姓名、地址、电话、社会安全号码、护照号码、指纹、声纹等生理识别数据、数字或字母的网络识别数据、个人计算机的识别数据等[4]。

就保护内容而言，美国《宪法》的若干个修正案中都有隐私权的相关规定。

a.根据第一修正案(First Amendment)，人们享有其社团和信仰方面的隐私权[5]。在1958年全国有色人种协会与亚拉巴马州政府的案子(NAACP v. Alabama，357 U.S. 449)[5]中，NAACP是一个纽约州的公司，通过当地一些没有登记的社团法人团体在亚拉巴马州进行运营。1956年，亚拉巴马州要求法院禁止NAACP继续在亚拉巴马州进行这种活动，原因是NAACP没有符合相关规定：外国公司如果要经营商业，那么必须进行本州岛登记。在这个诉讼停止的过程中，亚拉巴马州要求NAACP提供很多的记录，如NACCP的会员名册等重要数据，但NACCP认为，亚拉巴马州要求公开的这些信息是违宪的。最终，美国最高法院在对这个案子做出裁决后，结社自由就成为基本权利，而且这个权利受到美国第一修正案的保护。这个案件就是一个典型的悖论及其合理性诉求：在“信息公开”与“隐私保护”之间存在冲突的情况下，如何在信息公开中保护个人隐私。

b.公民对家中的隐私和个人物品也可有合理的期望。根据美国宪法第四修正案第四条规定：人民有保护其人身、住宅、文件与财物的权利，不受不合理拘捕、搜索与扣押，而且不得非法侵犯；除非有正当理由，经过宣誓或确认过的证据支持下的合理原因存在，并详细说明搜索的地点、被拘捕人或收押物，才能进行搜索及扣押[6]。因此，美国联邦最高法院John Marshall Harlan大法官在1967年的Katz v. United States案中提出“合理隐私期待”(reasonable expectation of privacy)来判断国家机关行为是否构成属于前述条款“搜索”的保护范围，即：搜索不限于家、办公室或其他场所，甚至可能在任何有合理隐私期待的地方实施，即使这个地方是非特定人可进出的公共场所[7]。

c.在第五修正案和第十四修正案中体现的是，隐私权以自由和正当程序而存在。在1965年Griswold v.Connecticute[8]一案中，涉及的是康乃迪克州的心理医生及耶鲁大学医学院的教授。他们为了避免夫妇怀孕，向已婚夫妇提供相关信息以及医疗建议。尽管这些夫妇中有几对是免费的，但这些服务通常要收取费用。这个案件中涉及宪法的有两个问题：一方面，如果使用药物、药剂或设备来预防怀孕，那么会被罚款或处相应刑罚；另一方面，主犯罪者以其他协助犯罪者负共犯的刑事责任。可见，这个隐私权的指标性判决涉及的是女性是否自由享有生育的权利，也肯定了联邦宪法第十四修正案中所保障的权利，即身体自主是隐私权的范畴。在2003年Lawrence v. Texas[9]一案中，也明确指出，宪法所保障的隐私权旨在确保同性恋者在其住宅内及其私人生活中自由选择并形成亲密关系，从而保有作为一个自由人所应享有的人性尊严。

1.2开放数据政策中个人隐私保护2009年12月8日，美国发布的《开放政府指令》指出，无限制性的开放将会妨碍一些被合法保护的数据，而这些数据一旦释放，会威胁国家安全、侵犯个人隐私、违反保密或损害其他真正引人注目的利益[10]。2011年9月16日，美国发布的《奥巴马政府的开放政府承诺》指出，政府追求开放政府时，必须平衡那些影响公民福利的事项，如国家安全、执法需要、政府特权、个人隐私和商业机密保护、鼓励健康和坦诚的讨论以及其他重要的关注事项[11]。2011年9月20日，美国颁布的《开放政府伙伴关系——美国国家行动计划》规定，通过美国政府开放数据网站Data.gov获取的所有数据必须符合当前的隐私要求，而且政府机构负责确保通过Data.gov获取的数据集有任何所需的隐私影响评估(PIA)或记录通告(SORN)，并且很容易在其网站上被获取[12]。

2013年5月9日，美国发布的《执行M-13-13数据开放政策备忘录的执行指导纲要》指出，为了遵守《隐私法》《电子政务法》(E-Government Act)《联邦信息安全管理法案》《保护机密信息和统计效率法》，机构应当基于《公平信息实践原则》(Fair Information Practice Principles，FIPP)和《针对联邦信息系统和组织的安全和隐私控制的NIST指南》[13]来执行信息政策；各个政府机关应指定专门部门与高级隐私官员或相关官员合作，从而为隐私及机密提供完全的安全保障，与首席信息安全官(Chief Information Security Officer)及相关任务负责人评估释放潜在敏感数据以及依风险进行决定的影响[14]。

2018年12月，美国参议院、众议院通过《开放、公共、电子化与必要的政府数据法》(Open, Public, Electronic, and Necessary Government Data Act)，随后由美国总统特朗普于2019年1月14日签署并公布，成为具有约束力的联邦法律。这部法律不只是美国走向开放政府的一步，也是《基于证据的政策制定基础法案》(Foundations for Evidence-Based Policymaking Act of 2017)的一部分。这部法律促使开放数据不再只是行政法规，而是成为具全国强制力的统一法律。这部法律明文要求，除了国家安全与个人隐私的考虑外，其他数据都应该以机器可读的开放格式在网络上开放。

美国政府开放数据网站Data.gov试图将各个政府机构所提供的数据集整合成一个数据目录，让公众及企业可以使用这些原始数据，并可按照个人用途进行再次开发和利用，从而提供新的基于数据的服务[15]。对于Data.gov而言，其关注点不只是过去强调的公众可以广泛使用数据，而是在更加高效提供更多数据的同时，保证和提高隐私、保密和安全。通过对Data.gov隐私政策进行研读发现，其内容主要包括：自动收集和存储的信息、Cookies、个人信息、在线评论、评论和职位的审核、网站上收集的浏览器信息、网站安全、外部链接、儿童隐私、禁止事项、政策变更[16]。

2 美国政府开放数据中隐私影响评估(PIA)和风险应对原则

2.1隐私影响评估(PIA)的运行逻辑与流程框架“隐私影响评估”(Privacy Impact Assessment，PIA)是衡量隐私风险的有效工具，实践中已发展为标准化操作流程，成为国际上日益认同的理念与最佳实务[17]。美国于2002年颁布的《电子政务法》在“Findings and Purposes”的第11款规定：本法的目的在于，以符合个人隐私保护、国家安全、记录保存、残疾人获取以及其他相关法律的方式来促进政府信息和服务的获取。该法第208条隐私条款(Privacy Provisions)要求，美国政府机构要为使用个人可识别信息的新方案或重大变化方案的技术进行隐私影响评估(PIA)；首席信息官(CIO)或相关人员对PIA进行审查；除非有必要保护评估中所涉及的机密、敏感或私人信息，否则评估结果应当进行公开[18]。这意味着，各个机构需要向其主管请求提供信息供给系统的PIA副本。此外，每一机构主管也必须向其机构发布指南，具体说明PIA所要求的内容。这一做法也被推荐为所有组织处理个人数据的最佳实践，并将有助于捍卫与隐私侵犯有关的索赔。2018年6月，美国司法部将PIA的执行过程划分为7个步骤[19]：

第1步，信息系统描述：提供非技术性系统整体描述，以实现：记录或系统设计想要实现的特定目的；想要实现特定目的的系统运作方式；通过系统来搜集、处理、利用或传播的信息的类型；在系统中获取信息的人；用户在系统中如何萃取信息；系统如何传输信息；与其他系统的任何相互连接。

第2步，系统的信息。a.通过检查表(见表1)来表明系统中被搜集、处理或传播的信息，这些检查表包括不同类型的表，分别检查识别码(Identifying numbers)、一般个人数据(General personal data)、工作相关数据(Work-related data)、区别性特征(Distinguishing features)、生物统计(Biometrics)、系统管理(System admin)、审计数据(Audit data)、其他信息(Other information)。b.通过检查表来说明系统中信息来源，这些检查表包括三类表：获取方式、政府来源、非政府组织来源。c.分析：识别与评估前述信息隐私的潜在威胁，描述将采用预防或降低隐私威胁的组成部分。

第3步，系统的特定目的与使用。a.通过检查表来说明系统中信息的搜集、处理或传播的特定目的。b.分析：解释关于信息利用的规范与其实现特定目的的理由。c.通过检查表来说明系统中信息被搜集的政策法规或协议。d.阐述如何为实现特定目的来处理信息保存期限与到期信息(如果可以的话，需提出保存时间表的国家档案与记录管理的参考文献)。e.描述各个组成部分信息利用结果的潜在威胁，而且确保存在适当地操纵、保存、处理信息的控制措施(例如，系统用户的强制性训练，信息清除的自动化设施)。

第4步，信息共享。a.通过检查表来说明共享系统中信息的单位及其共享的方式，该表关注四个方面：个案(Case-by-case)、批量传输(Bulk transfer)、直接获取(Direct access)与其他。b.分析：描述因信息共享所增加的衍生风险，而且提供预防或降低隐私可能威胁其组成部分的控制措施。

第5步，告知、同意与矫正。a.通过检查表来告知数据当事人，通过系统来搜集、处理或传播信息的情况。b.通过检查表来详述当事人是否存在拒绝提供信息的方法或理由。c.通过检查表详述当事人是否存在拒绝同意其特别利用其信息的方法或理由。d.分析：当事人信息被搜集与利用的告知/免予告知、同意与矫正权利。

第6步，信息安全。a.通过“信息安全”检查表来检查，具体内容包括：信息已达到遵守美国《联邦信息安全管理法(FISMA)》要求的安全性，而且提供近期的验证与认证报告；是否已进行安全风险评估；描述已识别与实践的适当安全控制措施来应对通过安全风险评估出的风险；详述如何来监视、测试或评估预防信息误用的保护机制；已有确保的遵循安全标准的审核程序，而且包含基于角色的获取(role-based access)与预防数据误用的测量；存取系统的合约商的契约已遵守《隐私法》的条款；存取系统的合约商的契约已遵守司法部要求的信息安全规范；被授权存取或接收系统信息的用户应要求接受相关训练，包括信息安全一般性训练、被授权使用系统的单位内人员的规范性训练、被授权使用系统的单位外人员的规范性训练以及其它相关训练。b.描述如何利用获取和安全控制措施来保护隐私以及降低非自动化获取和披露所产生的风险。

第7步，《隐私法》。a.通过检查表来确定系统中的记录的合法性。b.分析：描述系统中信息如何合法。

2.2隐私风险应对的原则《执行M-13-13数据开放政策备忘录的执行指导纲要》[14]指出，数据开放会涉及隐私保障问题，如果想避免政府所持有的个人数据因开放而造成伤害，那么应当使用《公平信息实践原则》(FIPP)[20]来减轻信息系统及程序可能产生的隐私风险，并以“马赛克效应”(Mosaic Effect)来评估那些可能识别出特定人的风险，因而政府在发布敏感数据之前应考虑并决定某些既有数据与即将发布的数据若比对后可能造成识别个人身份或造成安全顾虑问题。FIPP最早源自于1973年由美国健康、教育与福利部所发布的报告《记录、计算机以及公民权》(Records,Computers, and the Rights of Citizens: Report of the Secretary’s Advisory Committee on Automated Personal Data Systems)[21]，并影响经济合作与发展组织于1980年发布的《隐私与个人数据跨境流动保护纲领》(guidelines governing the protection of privacy and transborder flows of personal data)以及亚太经济合作会议(Asia-pacific economic cooperation，APEC)所颁布的《隐私框架》(privacy framework)。FIPP在个人信息保护方面确立了两项重要规则：一是透明规则，即在收集个人信息时应当告知个人其个人信息被收集、利用以及共享的范围和方式等；二是个人参与规则，即他人在收集与利用个人信息时，应当征得个人同意[22]。FIPP主要包括五条原则。a.告知/察觉(Notice/Awarnece)：任何网站在收集个人信息之前，必须明确说明其信息使用政策。b.选择/同意(Choice/Consent)：必须让个人能自由决定系统内属于他自身的信息除了支持所需的交易用途之外，愿不愿意让组织再拿去做其他的用途。c.存取/参与原则(Access/Participate)：必须提供一个方便快捷的渠道，让消费者能随时去检视、审阅其本身数据的正确性与完整性。d.安全原则(Security)：为了确保数据的正确性和安全，必须采取负责的措施，防范未授权的第三者撷取这些信息。e.强化原则(Enforcement)：无论是通过行业本身的自律或者政府立法管制，都要为消费者产生私人补救措施以及通过民事和刑事制裁可强制执行的监管计划。

3 隐私风险应对的去识别化

3.1去识别化过程2010年4 月，美国国家标准与技术局(National Institute of Standards and Technology，NIST)制定并发布《个人可识别信息机密性保护指引(Guide to Protecting the Confidentiality of Personally Identifiable Information (简称PII))》(NIST SP800-122)，指导联邦政府部门及其相关外包单位进行个人信息保护。该文件以风险为基础，建议使用操作性与隐私相关的保护与事故回应计划。其中一个措施是个人信息去识别化：当不再需要有关个人的全部记录时，组织需要通过去除足以识别个人的相关信息，加以去识别化，使留下来的信息无法识别出特定个人。2015 年，NIST所发布的个人信息去识别化研究报告(NISTIR 8053)指出，当组织编制、利用、归档、分享及开放含有个人数据的数据时，通过去识别化去技术，不仅可移除个人敏感信息，降低个人隐私风险，从而在数据利用与个人隐私保护之间进行平衡，而且去识别化数据在搜集后经过最小加工处理，从而能降低数据利用与归档的成本，降低数据外泄的隐私风险[23]。

在去识别化的程度与风险方面(见图1)，左侧是与个人无关的数据(如历史天气记录)，因而没有隐私风险，右侧是直接识别特定个体的数据。在这两端之间的是可以关联到人群的数据或那些基于个人但不能与个人关联起来的数据。通常而言，去识别化方法在于，将数据推向左侧的同时，保留一些所需的数据效用。

图1 去识别化的程度与风险[23]

图2概述了去识别过程。来自“数据主题(data subject)”的数据是涉及个人的数据，这些个人数据合并为包含个人信息的数据集。去识别化创造了一个新的被认为没有识别数据的数据集。组织内部可以使用该数据集(不是原始数据集)，以降低隐私风险。数据集也可以提供给受诸如数据使用协议之类的其他管理控制约束的受信任数据接受者。 另外，该数据可能会被广泛提供给大量未知和未经审查的数据接受者使用，如通过在互联网上发布去识别的数据，这时因被重新识别的风险比较高，因而对去识别化程度也要求较高。如图2所示，不需要公开发布去识别数据，而且去识别化只是用于保护数据身份的若干控制措施之一。去识别化可以由人工进行或自动化处理，或两者的结合。一旦完成去识别化，就可以手动审查数据或以其他方式审核数据，以确定是否仍然存在有任何标识信息。

图2 数据搜集、去识别化及利用[23]

3.2去识别化标准美国国会在1996年颁布了《健康保险可携及责任法案》(HIPAA)，随后美国卫生与公众服务部(HHS)实施了多部法规，以便在实践中贯彻该法案。HIPAA 的主要规定包括安全规则、隐私规则和违规通知规则。HIPAA将18种识别信息移除来判断是否去识别化，这些信息包括：姓名、地理信息、日期信息、电话号码、传真号码、电子邮件地址、设备编号或序号、网络地址(URLs)、IP地址、社会安全号码、病历号码、医疗计划或健保号码、账号、证照编号、车牌、车籍信息、生物辨识信息(如指纹、声纹)、脸部照片及其他可识别个人的编号或特征。换言之，HIPAA要求通过去除18 种个人信息，从而达成去识别化。尽管去识别化有助于隐私保护，但过度强调去识别化也会使得这些数据变得毫无意义，降低了数据的价值。HIPAA隐私准则明文规定去识别化的标准或方式：以个人医疗信息为例，该准则45 CFR 164.514(b)中，明确以专家判断法或安全港准则来判定。此外，HIPAA还针对受保护医疗信息(PHI)的安全和隐私来制定了相应的国家标准。PHI是识别个人身份并与个人的过去、现在或未来的身体或精神健康状况有关，与向个人提供医疗保健服务有关或者与支付过去、现在或未来的医疗服务费用有关的信息，这意味着，PHI包括相关实体以电子、纸面或口头陈述形式持有或传送，可以确定个人身份的健康或心理健康信息，不包括无法识别个人身份的信息。

4 总结与展望

从国际上来看，美国是政府开放数据发展的先驱，通过开放个人数据来促进公民安全获取个人数据，如“蓝色按钮”(Blue Button)和“绿色按钮”(Green Button)，这得益于其较为完善的隐私风险控制体系。一方面，公私分立的立法模式。美国在1974年通过的联邦《隐私法》范围过广且主要规范政府部门。伴随着近年来个人数据泄露的事件频繁爆发，美国开始针对私人企业的个人数据保护采取立法，如《健康保险便利和责任法案》(HIPAA)、《金融服务现代化法》(GLBA)、《公平信用报告法》(FCRA)、《有线通信政策法》(CCPA)、《儿童线上隐私保护法》(COPPA)、《金融隐私权法》(RFPA)、《家庭教育权利及隐私法》(FERPA)。通过不同领域的立法，巩固不同政府开放数据领域的个人数据搜集、处理和利用，修正联邦隐私法，从而完善政府开放数据中个人数据保护机制。另一方面，注重隐私侵犯的救济。在美国，基于确凿的证据，在数据泄露的情况下，诉讼变得越来越普遍。例如，美国的ChoicePoint公司发生过客户数据泄露事件，并为此支付了超过2 600万美元的费用和罚款，其中包括联邦贸易委员会采取的行动[24]。

美国政府开放数据的隐私风险控制也面临许多挑战。一方面，存在法律冲突。如前所述，美国为各种类型的数据分别制定了隐私管理，这些类型的数据受到不同甚至相互冲突的联邦和各州政府的监管，包括财务隐私(GLBA)、儿童隐私权(COPPA)及医疗隐私(HIPAA)，而且执法主要取决于私营部门和自律。另一方面，忽略隐私政策的可选择性。美国企业制定自己的隐私政策，其他企业和个人负责通知自己并采取相应行动。这种方式存在的问题是，个人处于相对较弱的地位，因为他们很少意识到隐私政策所提供选择的重要性，并且在不通知自己的情况下普遍同意这些选择。

总体来看，开放政府数据问题是近期学界的研究热点，特别是如何解决政府数据充分利用和个人隐私保护的冲突，是学界的难点问题。本文通过梳理和介绍美国立法通过隐私评判、隐私保护影响评估和风险识别、去识别化等制度保障政府数据开放过程中的个人隐私，对我国立法提供了借鉴，因而有必要在借鉴美国相关制度的基础上，提出我国开放政府数据个人隐私保护的具体制度设计。因此，在对美国政府开放数据的隐私风险控制进行梳理的同时，我国应借鉴其经验来保障政府开放数据的隐私安全，包括：形成完善的立法模式，及时修订和完善隐私保护的相关法律，避免法律之间相互冲突的情形；积极参与国际隐私保护规则体系构建，提高中国在这一领域的话语权；增强救济力度，完善政府开放数据中侵犯隐私权的救济体系；对企业、公民、非政府组织等政府开放数据利益相关者进行隐私政策咨询，增加隐私政策的可选择性，加强隐私政策的认同；允许用户针对政府开放数据提出原始数据分析需求，其分析结果经去识别化后提供，以发挥数据的效益，而不是一味强调去识别化。从制度层面来说，尽管中国民法草案及专家建议稿虽有列出一些个人信息保护的规定，但因仅是草案且民法是基本法，不能如专法那样可详尽规定，也不如专法辅以民法及其他法律共同保护的方式完善，因而中国应尽快制定发布个人信息保护法，并制定和完善不同领域的个人信息保护立法，始能完整维护人民的个人信息权利。幸运的是，第十三届全国人大常委会第二十二次会议对《中华人民共和国个人信息保护法(草案)》进行了审议，并向社会公开征求意见。此外，尽管我国已经颁布并修订了《政府信息公开条例》，但这只是行政法规，而且停留政府信息公开而非开放政府数据层面，因而可以考虑借鉴美国的做法而将其上升为法律或修改为开放政府数据法。