APP下载

政府数据开放平台用户协议合规性评估

2021-09-05完颜邓邓陶成煦

图书馆论坛 2021年7期
关键词:开放平台条款信息安全

完颜邓邓,陶成煦

0 引言

政府数据开放平台是指由政府牵头、各政务部门共同参与建设的平台,其致力于各政府部门可开放数据的下载和服务,为企业和个人开展政府数据资源的社会化开发利用提供支持,推动信息资源增值服务业的发展以及相关数据分析与研究工作的开展[1]。政府数据开放平台在提供服务时应注重保障用户的合法权益,这不仅关系到政府数据开放平台的健康发展,映射出平台对用户权益的重视程度,而且还会影响用户使用平台的意愿。因此,政府数据开放平台制定合乎规范并体现正当权利义务关系的用户协议尤为重要。

作为格式条款,在用户协议制定程序上,平台具有单方面制定规则以及随时修改的权力,这就不可避免地会导致平台出于自身利益的考虑,凭借这一优势地位制定过多利己的条款,而压缩用户正当权益,从而造成平台与用户之间权利义务的失衡。

目前国内相关研究主要围绕政府数据开放平台的研究述评[2]、利用效果[3-4]、平台建设[5-11]、发展模式[12-13]、隐私政策[14-15]、用户体验[16-20]、绩效评估[21-23]、国外实践[24-26]、数据标准与质量[27-29]等方面。而关于政府数据开放平台用户协议尚未得到国内学者的关注,鉴于此,本文选择省级和部分市级的“统一专有式”政府数据开放平台的用户协议作为调查对象,利用所设计的观测指标,并根据我国现行政策法规,如《消费者权益保护法》《网络安全法》《民法总则》《信息安全技术 个人信息安全规范》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等,对其进行合规性审查,以发现其存在的不合规问题,探讨其合规路径。本文对于推动我国政府数据开放平台用户协议的制定与完善,维护平台用户的正当权益,并促进政府数据开放平台的健康发展具有一定现实意义。

1 研究设计

1.1 调查对象与方法

目前有18个省级行政单位建立了“统一专有式”的政府数据开放平台。其中,由于安徽、湖北、陕西、海南以及宁夏5个省级单位的政府数据开放平台没有制定用户协议,故这5个平台不在本文的研究范围内。另外,本文还选取了17个符合条件的市级政府数据开放平台作为研究对象,原则上优先选择省会城市的政府数据开放平台(见表1)。调查时间为2020 年2 月3-16日。本文采用统计分析法与比较分析法对所选取的政府数据开放平台的用户协议进行合规性审查。

1.2 指标设计

尽管各政府数据开放平台并未就“用户协议”作出统一表述,但在内容上基本一致。“用户协议”包括“平台声明”“服务条款”“隐私政策”等一系列用于规制用户与平台权利义务关系的文本内容。然而,由于鲜有政府数据开放平台用户协议的研究,但用户协议与网络服务条款、隐私政策等存在诸多共性,仅在内容制定的范围上存在差异。因此,政府数据开放平台用户协议的评估指标可以参考其他网络平台服务条款、隐私政策的相关研究。例如,杜荷花从政府义务告知、隐私安全保护管理与个人权利保障三个主要方面(包括信息收集告知、信息使用告知、信息存储安全告知、隐私安全保障、投诉反馈渠道、更新与免责声明、一般权利保护、特殊权利保护)对政府数据开放平台隐私保护的整体情况进行了评价[14]。陈旭茹对政府数据开放网站的服务政策进行调查,并从用户权利义务、网站收集信息情况、网站如何处理个人信息、网站许可协议、数据规范及使用政策、数据可访问性政策、免责声明等方面分析比较[30]。以上研究均能为本文设计政府数据开放平台用户协议观测指标提供参考。

为把握各政府数据开放平台用户协议之间的共性及特点,本文对所选取的30个政府数据开放平台进行了调查。调查发现,政府数据开放平台用户协议除了涵盖安全保障措施、用户个人数据权利、用户信息收集、使用与存储、平台免责范围、意见反馈渠道、协议更新提醒、服务变更、中止或终止声明等一般网络平台用户协议的基本内容外,还包括开放数据授权、敏感数据开放利用规则等内容。本文依据《消费者权益保护法》《网络安全法》《合同法》等现行法律法规,结合《中国地方政府数据开放报告》,综合考量了平台用户协议应当涉及的实体性权利义务关系,共设计了9个观测指标,并对每一项指标进行了简要说明(见表2)。

表2 9个指标的名称、属性及解释

2 政府数据开放平台用户协议合规性问题

2.1 开放数据授权不明确

开放授权是以契约的形式确定数据开放主体和数据使用主体之间关于数据利用的权利义务关系,有利于保障和规范数据的合理使用[31],其目的是从法律上保障数据的开放性。开放授权协议应明确授予用户免费且不受歧视获取、自由利用、自由传播与分享的权利。30个平台中,仅有福建、浙江、河南、广东、四川、贵州、北京、上海、天津、广州、贵阳以及遵义12个政府数据开放平台授予了用户上述全部四项权利,占比40%。11个平台授予用户部分权利。而江西、银川、扬州、赣州、大庆的政府数据开放平台未明确授权或语焉不详(见表3)。

表3 30个平台开放数据的授权情况

2.2 敏感数据开放与利用规则缺失

政府数据是行政机关在履行职责过程中制作或获取的数据,属于公共产品,应当在不违反相关政策法规和不损害公共利益的情况下对外开放[32]。目前,用户在政府数据开放平台上所能获取的数据比较基础,大多以公共服务类、基础设施类为主。平台没有为各类型政府数据制定合理的开放利用方式。从调查结果来看,30个平台中,绝大多数平台的用户协议没有涉及敏感数据开放与利用的内容。仅有四川公共数据开放网和上海市公共数据开放平台表示提供无条件开放与有条件开放两种数据开放方式。其中,四川公共数据开放网的声明极为简单,仅用一句话予以概述。而上海市公共数据开放平台虽明确了“无条件开放类数据”以及“有条件开放类数据”的获取方式,但其同样没有具体说明开放数据的具体类型及其相应的获取利用方式。

敏感数据开放与利用规则的普遍缺失,表明政府部门目前对不同类型、属性数据的开放方式仍不明确。而政府数据得不到充分正当的开放势必会影响政府数据开放的价值与用户获取政府数据的意愿。

2.3 平台安全保障措施不到位

《消费者权益保护法》规定经营者应对收集的个人信息严格保密并采取技术等措施确保信息安全。《信息安全技术 个人信息安全规范》也要求信息控制者对个人信息采取保护措施。然而,30个平台中,仅16个平台在隐私政策中简单地表示“尊重并保护用户的个人隐私权”。其余14 个平台表示会采取技术或制度等措施(见表4),但大多没有对其进行具体的说明。需要特别指出的是,仅有台湾地区的数据开放平台对采取的保护措施进行了详细说明:(1)使用网络入侵侦测机制,监控网络流量,以确认未经授权而企图上载或更改、网页资讯或蓄意破坏者;(2)装设防火墙防止非法入侵、破坏或窃取资料,避免平台遭到非法使用,以保障用户权益;(3)装设杀毒软件,定期杀毒,以提供安全的网页浏览环境;(4)不定期模拟黑客攻击,演练发生安全事件时的系统恢复程序,提供适当的安全防御等级;(5)定期进行备份作业,将所有资料备份到备援主机[33]。如前所述,大多数平台虽表示会采取相应技术措施或管理制度保障用户信息安全,但并未具体说明采取何种技术手段和管理制度,这反映出政府数据开放平台对用户信息安全的重视程度较低的状况。

表4 30个平台用户信息安全保障措施的声明情况

2.4 平台未履行公开信息收集与处理的义务

《消费者权益保护法》《关于加强网络信息保护的决定》《网络安全法》《电信和互联网用户个人信息保护规定》《个人信息安全规范》都明确要求服务提供者或者信息控制者应该公布用户信息收集的目的、方式和范围,以及信息收集、使用的规则。其中,《个人信息安全规范》还对个人信息的存储期限等方面进行了规制。课题组通过调查(见图1),绝大多数平台并没有遵守相关规定,仅表明不会主动将用户个人信息泄露给第三方。只有贵州省数据开放平台、台湾地区的数据开放平台、遵义市政府数据开放平台公布用户信息收集的方式、范围、目的以及用途,所占比例仅10%。此外,在披露信息存储与删除方面,贵州省数据开放平台和遵义市政府数据开放平台表示会定期删除指定网站日志。在披露用户信息利用的特殊情况方面也同样不容乐观,仅遵义、贵州、扬州、广东以及台湾地区的数据开放平台对用户信息进行了必要范围外的使用说明。可见,大多数政府数据开放平台严重忽略了本应履行的义务,侵犯了用户对其个人信息使用等各方面的知情权。

图1 平台对信息收集等方面的披露情况[11]

2.5 平台未切实披露用户的信息权利

《民法总则》中明确个人信息权利包括决定权、保密权、查询权、更正权、封锁权、删除权以及报酬请求权。其中,信息决定权是指个人有权决定其个人信息被收集、利用,以及以何种方式收集、利用的权利,在各项权力中居于核心地位。《网络安全法》规定个人有权要求网络运营者对收集的个人信息予以删除或更正。除此之外,《个人信息安全规范》亦明确规定信息控制者应该公布个人信息主体的权利和实现机制。然而,绝大多数政府数据开放平台并没有遵守相关规定(见图2)。30个平台中,仅有贵州省数据开放平台、哈尔滨市政府数据开放平台、银川市城市数据开放平台、扬州数据开放平台以及遵义市政府数据开放平台表示用户有权随时对个人资料进行查看、更新、补充、修改、请求删除及停止平台处理及利用,仅占16.7%。其中,贵州、银川、扬州以及遵义这4个数据开放平台还披露了用户信息权利的实现机制,表示用户可以通过电子邮件或平台数据申请功能提出申请。总体而言,用户个人信息权利的知情权并没有得到保障。

图2 平台对用户信息权利的披露情况

2.6 平台不当免除自身责任

尽管课题组所调查的30个政府数据开放平台均对免责范围进行了说明,但各平台的免责范围不尽相同,并且多数存在不当免除自身责任的嫌疑。《消费者权益保护法》明确规定经营者应该保证所提供商品或服务的质量,承担因商品或服务对消费者财产造成损害的民事责任。同时,还规定经营者当未尽到安全保障义务而对消费者造成损害时,其所应承担侵权责任。提供开放数据作为政府数据开放平台的“主营业务”,平台理应保障所提供数据的质量,并承担相应责任。然而,30个平台中,有21个平台表示对数据的完整性、准确性以及及时性等方面不做担保。因此,用户需自行承担因数据本身的质量问题所造成的损失。此外,有11个平台表示任何由于黑客攻击、计算机病毒侵入或发作、政府管制而造成的暂时性关闭等影响网络正常经营及其他不可抗力原因造成的资料泄露、丢失、被盗或被篡改等,平台对此不担责(见表5)。可见,大多数平台存在利用格式条款不当免除自身责任,变相地将应承担的责任转嫁给用户的现象。

表5 平台不当免除自身责任情况

2.7 平台意见反馈渠道单一

意见反馈渠道是用户维护自身正当权益的重要途经。《个人信息安全规范》规定信息控制者应公布联系方式、个人信息主体的投诉反馈渠道。《电信和互联网用户个人信息保护规定》中明确指出互联网信息服务者应当建立用户投诉机制、公布有效的联系方式。此外,《网络安全法》亦规定运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息。尽管绝大多数平台都公布了反馈渠道,但是反馈方式不尽相同,且较为单一。设置在线反馈功能是平台收集用户意见的普遍做法。30个平台中,除遵义市、中山市、泰州市以及大庆市的政府数据开放平台外,26个平台均设置了意见提交功能。其次,在反馈渠道数量上,福建、江西、银川、赣州以及泰州这5个地区的数据开放平台提供了电话、邮箱、地址、邮编等4种方式,其余平台所公布的反馈渠道则较少。例如,烟台公共数据开放网和大庆公共数据开放平台虽然在页面下方设置了“联系我们”这一链接,但链接里并没有公布任何有效的反馈渠道。

2.8 服务变更、中止或终止的原因不明晰

《消费者权益保护法》规定经营者在经营活动中使用格式条款的,应当以显著方式提请消费者注意与其自身有重大利害关系的内容。用户作为服务的使用者与协议的当事人有权知晓服务变更的具体事由。然而,30个平台中,仅浙江数据开放平台和台湾地区的数据开放平台对服务变更的原因做了指向性的说明,占7%。四川公共数据开放网、贵州省政府数据开放平台、扬州数据开放、遵义市政府数据开放平台以及大庆公共数据开放平台则没有涉及此类信息。而其他23个平台则表示在任何情况下,网站合理地认为用户行为可能违反法律、法规,可以在任何时候终止向用户提供服务,并通知用户。或者在其免责声明中表示平台保留由于法律、法规、规章或政策调整等原因而修订、中止、终止部分或全部平台、网络服务的权利,并未对服务变动的因由做出明确的解释。在这种情况下,用户对于服务变更的原因全然不知,而平台能够随意终止服务,让用户承担服务突然终止的风险。

2.9 协议更新的通知方式不合理

虽然格式条款中不可协商这一特性赋予了条款制定方单方面修改条款的权力,但是,由于合同涉及当事人之间的权利义务关系,条款制定方应当遵守诚实信用及公平原则,合理提请当事人注意条款所修改的内容。从调查来看,30个平台中,香港特别行政区的数据开放平台明确表示可在无须预先通知任何人的情况下,不时对使用条款作出修改或修订。“开放广东”平台则表示协议内容一旦发生变动,会以适当方式通知用户。其余28个平台中,8个平台没有涉及此类信息,20个平台表示协议一经变动,会及时在页面上提示(见表6)。尽管这些平台会就协议更新这一事项通知用户,但是却无一例外地表示用户不同意协议变动,可放弃访问或使用平台,如果用户在协议变更后继续访问或使用平台,则视为接受协议变动。一方面,平台并没有给予用户足够的时间思考协议更新后权利义务关系的变化对自身可能产生的影响;另一方面,用户仅能够对协议变更表示同意或者不同意,面对可能侵害自身正当权益的条款,用户没有申诉的权利,用户实际上在这一过程中完全处于被动地位。

表6 平台用户协议更新的通知方式

3 政府数据开放平台用户协议合规路径

3.1 建立政府数据开放平台用户协议的强制性标准

目前,我国尚未建立对协议内容进行规制的强制性标准,这将会造成各平台用户协议对同一问题的表述不尽相同、规定不一的局面,由此侵害到用户的合法权益。为了促使平台切实履行责任与义务,建立政府数据开放平台用户协议的强制性标准十分必要。强制性标准的制定应从用户的角度出发。由于用户群体知识水平的不一致,用户协议用词应通俗易懂,避免出现晦涩难懂的专业化术语,如确实需要,平台应该对其进行简要注释以便于用户理解。协议内容的指代对象还应当明确、具体,以免造成歧义。另外,条款订立的数量宜少不宜多,且在必要的情况下制定,尽量减少过多且无用的条款。

除了上述要求之外,强制性标准还应对协议的基本内容进行规制。提供开放数据作为政府数据开放平台的“主营业务”,标准应规定平台制定专门的开放授权协议为用户在利用数据时提供行动依据;要求平台在用户协议中公布用户信息收集的目的、如用于提供个性化的服务等。标准应详细说明信息收集的方式、范围、用途以及存储期限,同时列明用户信息使用的特殊情况;还应要求平台对服务变动的原因作出具体的说明,并且以特殊的字体字号进行标记以区别于其他一般条款,让用户注意并有意识地规避可能导致服务变动的事项。此外,为了保障用户反馈渠道的畅通,用户协议应当尽可能多地公布有效的意见反馈渠道,加强平台与用户之间的交流。

3.2 明确用户和平台的权利义务关系

虽然我国现行的诸多法规条例对网络服务者或数据控制者与用户之间的权利义务作出了明确的规定,但现实中,格式条款的订立方往往会凭借其单方面制定和修改条款的权力有意回避本该履行的义务而相对减少用户享有的权利。政府数据开放平台应明确用户与平台之间的权利与义务关系,履行自身责任义务的同时,保障用户的合法权益。

搭建政府数据开放平台的初衷是促进开放数据得到广泛的开发利用。因而,平台应减少用户使用开放数据的限制,在开放授权协议中明确授予用户对数据免费获取、非歧视性、自由利用、自由传播与分享的权利,从而在法律上保障数据的开放性。同时,平台不得对权利的行使附加模糊的期限或限制,如“现阶段免费”或“保留收费权利”。另外,除开放授权,平台还应明确用户个人的信息权利,如信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权、信息请求报酬权等,并对每一项权利进行简要解释。在其后的表述中还应详细说明行使上述权利的实现机制,如通过平台所公布的电话、邮箱等。此外,用户协议还应当明确平台的信息安全保障义务,具体应包括建立平台信息安全管理制度、制定内部信息安全监督机制、采取信息安全保障措施、承担信息安全事件责任等。还应当对发生的信息安全事件所承担的责任进行具体说明,如发生哪些信息安全事件平台将会承担哪些责任,承担责任的程度是多少,以何种方式承担,用户是否有请求损害赔偿的权利等。

此外,用户协议不应出现不合理的免责事由以及不当增加用户责任的条款,诸如“对数据的完整性、准确性、及时性不做担保,对用户因使用数据造成的损失不担责”以及“由于黑客攻击、计算机病毒侵入或发作、政府管制而造成的暂时性关闭等影响网络正常经营及其他不可抗力原因造成的资料泄露、丢失、被盗或被篡改等,平台不担责”等。

3.3 提高用户信息安全保障能力

目前大多数政府数据开放平台仅表示“尊重并保护所有网站用户的个人隐私”或者“承诺使用相应技术,对个人资料进行管理和保护”。此类表述较含糊的声明在一定程度上反映了平台在信息安全管理层面的疏漏。

政府数据开放平台应当提高用户信息安全保障意识,开展对相关人员的培训工作,并建立严格的管理制度,从对用户信息的收集到使用以及存储进行全程的监督。同时,加强安全技术手段,完善平台的信息安全系统,建立网络入侵侦测机制,防止平台遭到恶意破坏,以避免用户个人信息泄漏。平台还应建立信息安全预防机制,并对平台信息安全风险进行评估,必要时还可与技术公司合作共同维护平台信息安全。尽管现行的相关法规条例只规定了网络服务者或信息控制者有保护用户信息安全的义务,并没有要求必须公布具体采取的安全保障措施。但本文认为,平台有必要将其公布,一则是可以显示平台对用户信息安全保护的能力,获取用户的信任;二则是可以对平台产生约束力,敦促平台落实所采取的安全保障措施,切实维护用户的信息安全。

3.4 制定不同类型数据开放获取规则

用户协议中有关敏感数据开放获取规则的缺失,是政府部门对如何妥善开放各类数据这一问题感到棘手的真实写照,同时也间接反映了我国政府数据开放水平不高这一现实问题,而解决这一问题的关键就在于对政府数据实施分类分级管理。

由于目前我国政府数据分类分级管理才刚刚起步,仅有个别地方政府出台了政府数据分类分级的指导性文件,因而现阶段我国各地区可依据已有的实践以及相关法律规定,制定政府数据分类分级标准,对不同敏感程度的数据进行划分,并由此确定数据开放方式。例如,依据我国相关法律规定,对涉及国家秘密、商业秘密、个人隐私的政府数据不予对外开放。同时,对开放风险极小的数据列为普遍开放数据,如公共服务类、基础设施类数据。此外,位于普遍开放与不予开放之间的数据则列为有条件开放的数据。在此基础上,平台用户协议需要明确各类数据的获取规则。例如,对于普遍开放的数据,用户仅需简单注册后即可下载获取;对于有条件开放的数据,用户须注册后经申请获取,申请内容应包括用户身份信息、数据名称、数据应用场景、数据利用目的等。如此一来,通过实施数据分级分类管理,并明确不同类型数据的获取方式将减少用户获取数据的限制,从而提高我国政府数据开放的水平和价值。

3.5 建立合理的协议同意机制

政府数据开放平台用户协议的更新,牵涉到用户与平台原有权利与义务之间关系的变化。由于格式条款的提供方具有随时修改条款内容的权力,这就难以避免平台增加不当条款而挤压用户正当权益的空间,作为合同当事人的用户只能被动接受,这显然违背了公平原则。因此,政府数据开放平台应就协议变更这一事项建立合理的协议同意机制。

尽管大多数平台表示协议更新后会及时在页面上提示,但是,平台并未说明在页面上提示的具体方式,一旦用户未能注意提示内容,用户就会在毫不知情的情况下接受变更后的协议。此外,即便用户注意到了提示内容,平台也要求用户须及时回应,要么接受协议变更,要么拒绝协议变更而停止使用服务。为保障用户正当利益,应将平台变更协议内容的意思视为要约,在用户为承诺的意思表示后[21],变更内容方可生效[34]。对此,一方面,平台应以适当的方式提请用户注意协议变更内容,例如以页面弹窗的方式让用户注意,将变更后的条款内容显示在弹窗上,并要求用户进行逐条勾选,以确保用户真正阅读条款内容;另一方面,平台不应该要求用户即时对变更后的协议选择同意或不同意,考虑到用户使用平台服务的切身需要,应给予用户充分的时间思考变更后的条款对自身利益可能产生的影响。在此期限内,用户仍然可以按照原有的协议继续使用服务。此外,若用户对协议的变更有异议,平台还应给予用户申诉的权利,使用户可以就条款变更内容提出异议,并充分尊重用户的合理诉求。

猜你喜欢

开放平台条款信息安全
对《电动汽车安全要求》(GB 18384—2020)若干条款的商榷
性侵未成年人新修订若干争议条款的理解与适用
基于百度地图开放平台的导航电子地图课程实践教学研究
基于在线开放平台的混合式课堂教学模式构建与实践
基于三级等级保护的CBTC信号系统信息安全方案设计
正确审视“纽约假期”条款
基于AliGenie语音开放平台的传统家居智联网解决方案
计算机网络信息安全及防护策略
高校信息安全防护
应对可转让信用证条款变更