陈美　梁乙凯

DOI：10.3969/j.issn.1008-0821.2021.09.013

[中图分类号]D63-39 [文献标识码]A [文章编号]1008-0821（2021）09-0127-08

自2009年以来，巴西法律明确规定，在网上可以获取各级政府公共预算和机构的数据。2011年6月20日，时任巴西总统Neto将其竞选活动中承诺的1156号法案进行颁布，以促进立法机关的透明度。该法案的内容包括议会程序中实施开放数据的基础，如目标、原则、概念和限制等。这一法案的目标是通过提供电子形式和开放格式的非机密数据库，向社会提供资源，以便监测立法机关，并参与立法机关的政治与行政决策。为了实现该法案，巴西市议会网站中创建了一个网页，包含开放格式的议会数据。但是，该网站还包括账单数据、市议员个人数据和人力资源数据，容易产生隐私风险。在2013年发布《开放数据晴雨表：全球报告》中，巴西在全球77个国家中排名第28位，在美洲地区排名第5，位于美国、加拿大、墨西哥和智利之后。这次评估显示，巴西在政府、公民社会和企业实现开放数据效益的准备方面表现相对较好，但仍有改进的空间，如数据集影响和可用性相对较弱。随着不断的改进，巴西在万维网基金会于2017年5月发布的《开放数据晴雨表：全球报告》（第4版）中综合排名全世界第18。从国内研究情况来看，目前有研究针对巴西政府数据开放的特点进行研究，但尚无对巴西开放政府数据中个人隐私保护进行研究。因此，本文对巴西政府开放数据中隐私风险控制进行研究，以期为我国政府数据开放和个人隐私保护提供参考。

1开放政府数据中个人隐私的评判标准

1.1个人隐私保护的法律内容

1）《个人数据保护法》（Lei GerN de Protecao de Dados Pessoais，以下简称LGPD）。2018年8月14日，巴西颁布了第13709/2018号法律LGPD，并将于2020年生效。这一法律的灵感来自与之类似的《通用数据保护条例》（General Data Protec-tion Regulation，GDPR）。LGPD第3条明确了该法的适用范围。该条规定，LGPD适用于所有由私人机构、个人及政府处理的个人数据：数据是在巴西收集或处理，或数据处理目的是在巴西提供商品或服务。这表明该法具有域外影响力。LGPD第4条指出，本法不适用于个人数据处理的情形包括：①由自然人出于私人和非经济目的而进行的数据处理;②专为新闻、艺术或学术目的而进行的数据处理;③专为公共安全、国防、国家安全或对刑事犯罪的调查和起诉而进行的数据处理：④与源自其他国家且仅在数据传输途中通过巴西的个人数据有关的数据处理。

2）《公共信息获取法》（2011年第12527号法律）。2011年11月18日，巴西通过了《公共信息获取法》，该法对政府拥有的数据和信息的获取进行了规范。该法使得公民不仅可以向公共部门请求个人数据内容，还可以更新和修正公共数据库中可用的任何错误数据。可见，该法是巴西公共数据民主化的里程碑，提倡公民所要求的数据必须遵循巴西相关开放数据法律法规中的技术标准。在这种情况下，巴西开放數据门户网站可视为政府建立用于集中搜索和获取公共数据和信息的工具。根据该法第25条，国家有义务控制其机关和部门对其产生和获取的机密数据的获取和披露，以确保其得到保护。第31条规定，个人数据处理必须以透明的方式进行，并要尊重人们的隐私、名誉和形象，以及个人的自由和保障。第34条规定，公共机构和部门应对因未经授权披露或不当使用机密数据或个人数据而造成的损害负直接责任，并在有意或有罪的情况下确定职责，以确保各自的归还权。

3）《宪法》。巴西于1988年10月颁布的《宪法》不仅保护包括通信、电报、电话和数据通信保密性在内的隐私权，还涉及消费者保护。这些条款使得所有人都有权从公共机构接受与本人有关的私人利益或任何公共机构中存储的集体或普遍利益的数据，但对国家安全至关重要的数据则被排除在外，如该法第5ⅩⅩⅩⅠ条将消费者保护作为一项基本权利;第170Ⅴ条确立的原则是，消费者保护是维护国家经济秩序的一个方面。

1.2个人隐私界定

在个人隐私的具体保护范围上，大多数国家（地区）对于个人隐私的界定与保护都十分宽泛，在法律中仅以“个人敏感数据”或“个人信息”一言以蔽之，而少数国家（地区），如挪威、希腊和乌克兰等国（地区）则对所纳入保护的个人信息有较明确的定义。就巴西而言，根据LGPD第5条第1款，个人数据是“与已识别或可识别自然人有关的数据”。“可识别”一词扩大了LGPD的范围，即不仅仅指那些明显识别个人的数据。正如GDPR和新的《加州消费者隐私法案》（CCPA）一样，LGPD的目标是那些可以用来识别个人的数据，即使这个人的面部信息并没有被这样做。针对“可识别”，LGPD没有进一步进行界定，但LGPD第12条第2款指出，就本法而言，个人数据（如果已识别）也可以被视为用于形成特定自然人的行为特征的数据。此外，巴西相关法律没有针对“去识别化”和“假名”进行界定，但LGPD第5条第Ⅺ款将“匿名”界定为：在数据处理时，使用合理且可用的技术手段，从而使数据失去与个人直接或间接关联的可能性。LGPD第5条第Ⅲ款进一步对“匿名数据”进行界定：考虑到数据处理时使用合理和可用的技术手段，无法确定与持有人有关的数据。针对匿名数据与个人数据的关系，LGPD第12条指出，匿名数据在本法中将不被视为个人数据，除非当匿名提交数据的过程被逆转，而且这一逆转是通过其自身手段或合理努力来实现。这个规定意味着，匿名数据可以自由处理，即如果不采取合理的努力而不能逆转匿名过程，那么无需在法律基础上认可该处理。敏感的个人数据通常被定义为个人数据的子类别，并且数据处理时会有所涉及。根据第5条第Ⅱ款，敏感个人数据包括“种族或族裔血统、宗教信仰、政治见解、与工会或其他宗教组织的隶属关系、哲学或政治组织成员、与健康或性生活相关的数据、遗传或生物特征数据”。

2开放政府数据中数据保护影响评估（DPIA）和风险评估

2.1数据保护影响评估（DPIA）的框架

当前，除了LGPD外，巴西没有法律对DPIA进行规定。一旦LGPD正式生效后，国家数据保护局（Autoridade Nacional de Protecao de Dados，AN-PD）将有权订购一份涉及管制数据处理操作的DPIA报告。为了评估数据处理活动在特定情况下对数据主体的权利和自由所造成的风险，GDPR和LGPD都制定了DPIA的执行要求。GDPR规定了需要实施DPIA的情况，而LGPD中DPIA的执行标准比GDPR少，如表1所示。

1）DPIA执行必要性。ANPD被授权制定相应规则来规定哪些数据处理操作需要进行DPIA，如根据第4条第3款，ANPD应针对LGPD中所涉及国家安全例外情况发布技术意见或建议，并要求在这些情况下进行DPIA。根据第55-J条第ⅩⅢ款，ANPD的一项任务是，当数据处理可能会对LGPD所述数据保护原则产生高风险时，可以就隐私和数据保护以及DPIA发布相应规则和程序。第32条规定，ANPD可以要求公共机构向公民发布其个人数据的DPIA报告，并可以针对公共机构采用的个人数据处理标准和良好做法提供建议。与之相同的是，GDPR也规定了特定情况下实施DPIA的要求，而且欧盟成员国的监督部门可以进一步确定哪些数据处理需要进行DPIA。

2）DPIA界定。根据LGPD第5条第ⅩⅦ款，DPIA是数据控制者提供的文件，描述可能对公民自由和基本权利产生风险的个人数据处理流程、保障措施和风险缓解机制。这一界定与GDPR的不同。GDPR认为，DPIA是“对所设想的处理业务对个人数据保护的影响的评估”。

3）DPIA适用情况。LGPD不确定什么时候需要进行DPIA，但ANPD可以请求数据控制者执行DPIA并提供报告。例如，根据LGPD第10条第3款，如果数据控制者基于合法权益而对个人数据进行处理，那么ANPD可以要求数据控制者提供一份关于个人数据保护的影响报告（DPIAs），并遵守商业和工业秘密。这个方面也与GDPR不同。GDPR规定，需要进行DPIA的情况包括：当数据处理过程可能对自然人的权利和自由造成高风险：基于数据自动化处理，对涉及自然人的个人方面进行系统而广泛的评价;大规模处理特殊类别数据;对公共区域进行大规模系统监控。

4）DPIA包含内容。LGPD第38条规定，AN-PD可以要求数据控制者根据商业和工业保密或相关规定，参考其数据处理操作，针对个人数据（包括敏感数据）进行DPIAs。在遵守本条款规定的前提下，这个DPIA报告必须至少包含对所收集数据类型的描述，用于数据收集和保证信息安全的方法，以及数据控制者所采取的减轻风险的安全措施和保障机制。这点与GDPR的规定不同。GDPR规定，DPIA至少应包括：系统地说明数据处理流程和目的：评估数据处理流程与目的有关的必要性和相称性;评估数据主体的权利和自由所面临的风险。

5）基于DPIA的措施。LGPD并没有就DPIA后的风险减缓措施作出任何明确规定。与之不同的是，GDPR规定了为处理有关风险而拟采取的措施，包括保障措施、安全措施及机制，以保护个人数据并证明符合规定。

6）DPIA事先咨询程序。LGPD并没有建立一个关于DPIA的事先咨询程序。与之不同的是，GDPR规定，如监察主任认为没有采取相应措施来减低风险，可能使有关处理工作将会导致高风险，那么监察主任须在处理前咨询监察部门。

2.2隐私风险评估

LGPD中有相关隐私风险的规定。①根据第44条第Ⅱ款，当非法或不满足数据主体期望的安全l生的情况下，没有考虑数据处理的结果和人们可以合理预期的风险，那么个人数据的处理应被视为不规范;②根据第48条，数据控制者必须针对可能会给数据主体带来重大风险或损害的安全事件而与国家主管部门和数据主体进行沟通。这一沟通应在国家主管部门规定的合理时间内进行，并至少应包括：对受影响的个人数据的性质的描述：有关数据主体的信息;表明用于保护数据的技术和安全措施，但须遵守商业和工业保密规定;与事件有关的风险;如果这一沟通没有立即执行，需要说明延迟的原因;已经采取或将采取哪些措施来扭转或减轻损害的影响。此外，国家主管部门应核实事件的严重性，并可能在必要时维护数据主体的权利，命令数据控制者采取以下措施：在传播媒体中广泛披露该事件;扭转或减轻事件影响的措施。在判断事件的严重性时，将评估是否有足够的技术措施使受影响的个人数据在其服务范围和技术范围之内变得难以理解，而对于未经授权的第三方，则将对其进行评估;③根据第50条第1款，在制定良好操作规范时，数据控制者和操作者应考虑因对数据主体的数据进行处理而产生的风险和收益的性质、范围、目的、可能性以及严重性;④根据第50条第2款第d项，应在对隐私影响和风险进行系统评估的过程的基础上，制定适当的政策和保障措施。这意味着，这个条款将风险评估作为隐私合规计划的可能要素。

3隐私风险应对的数据处理规范

3.1隐私风险应对的数据处理原则

根据LGPD第6条，个人数据处理活动必须遵守相应原则，如表2所示。

3.2隐私风险应对的数据处理法律基础

LGPD第7条，提供个人数据处理的法律基础，即用于合法处理个人数据的10个法律依据;第11条中规定了允许处理敏感个人数据的情况。第7条和第11條分别针对个人数据和敏感个人数据提供了不同的数据处理法律依据，而且各自有不同适用情况，如表3所示。通过比较发现，该法不允许处理敏感的个人数据来满足数据控制者或第三方的合法利益或进行信用保护。针对数据主体同意，根据LGPD第5条第Ⅻ款，“同意”是数据主体的一种自由、知情和明确的表现，它授权出于特定目的对其个人数据进行处理。这意味着，如果没有特定、明确和知情目的的授权，那么这一同意无效。根据第8条，“同意”必须以书面形式或其他方式表明数据主体的意图：必须告知数据主体不同意的权利以及拒绝的后果。当然，数据主体也可以撤回“同意”，这必须通过自由而简单的程序才能实现。

4隐私风险应对的机构与职位

4.1隐私风险应对的机构

1）机构属性。根据LGPD第55-A条，ANPD是联邦公共行政部门管理下的政府机构;ANPD的法律性质是暂时性的，可以由公共机构转变为间接联邦公共行政部门（第1款）;而且第1款规定的有关转型的评估必须在ANPD制度结构出现后的两年内生效（第2款）;提供ANPD的创建和执行所必需的职位和职能，必须遵守年度预算法中明确的实物和财务授权以及预算法中的许可。

2）机构组成。根据LGPD第55-C条，ANPD将包括：董事会（Board of Directors）成员（最高管理机构）;国家个人数据和隐私保护委员会（理事会）;内部事务办公室（检查机构）;监察员;ANPD的法律咨询机构：适用本法规定所必须的行政和专业单位。

3）机构职责。根据第55-J条，ANPD职责包括：监督个人数据的保护;制定有关个人数据保护的法规和程序;在行政层面上对LGPD及其修订中遗漏的事项进行解释和讨论：针对违法处理数据情形进行监督并实施制裁;采取简化的机制，以记录有关违反LGPD的个人数据处理的投诉：通过行政程序监督和制裁违法数据处理，这些行政程序可确保获得诉讼程序的权利以及广泛的辩护和上诉权：向主管部门告知其所指的刑事犯罪;将联邦公共机构违反LGPD的任何行为告知内部控制机构：向公民披露有关个人数据保护和安全措施的规则和公共政策的信息;考虑到活动的特点和责任方的规模，鼓励采用服务和产品的标准，以减轻所有权人对其个人数据的控制和保护;对与个人数据保护和隐私有关的本地和国际惯例进行研究：促进与其他国家（地区）的国际或跨国性质的个人数据保护机构合作行动;领导公民进行咨询，以搜集有关ANPD活动范围内的公共利益相关问题的建议：在决议发布前，对负责管理特定经济部门的公共行政机构进行适当听证;与公共监督部门进行协调，以在需要监管的经济和政府活动的特定部门中行使其权力：发布有关自身活动的年度行政报告。

4.2隐私风险应对的职位

根据LGPD第41条，在包括由公共机构进行的处理活动在内的涉及个人数据处理的所有情况下，数据控制者必须任命1名数据保护官。该条第1款规定，必须明确、客观地公开数据保护官的身份和联系信息，最好在数据控制者的网站上公开。该条第2款规定，数据保护官的活动包括：接受数据主体的投诉和通知，进行澄清并采取措施;接收国家主管部门的通知并采取措施：指导组织成员在个人数据保护方面应采取相应良好措施：履行数据控制者或补充规则规定的其他职责。从以上条款可以看出，数据保护官的任命是强制性要求，但第41条第3款规定，ANPD可以根据组织性质、规模及数据处理活动的数量来确定数据保护官的职责，包括表明不需要任命数据保护官的情况。

5评价与启示

5.1开放数据政策层面

巴西在开放数据方面取得了一些进展，如制定了一项国家开放数据政策（国家开放数据基础设施，INDA），其中规定了以开放格式和分享公共部门数据的技术标准和程序。作为INDA的主要工具之一，dados.gov.br网站为各种主题的开放政府数据提供了一个数据目录。该网站是一个多方利益相关者的倡议，旨在全面存储巴西所有政府数据。该网站是许多个人和组织合作开发，如巴西开放知识基金会等。但是，巴西开放数据政策中也较少涉及隐私风险防控举措。

一方面，尽管巴西颁布了相关政策文件来推进开放政府数据行动，但对这些政策文本进行分析发现，很少涉及个人隐私保护内容。例如，巴西于2016年5月11日颁布的《2016年5月11日8777号法令》指出，需要制定联邦执行开放数据政策，而且INDA可以根据本法令的条款建立与制定开放数据计划以及在开放数据库的发布中保护个人信息有关的补充规则。此外，该文件还规定，必须在开放数据计划中根据可用数据库的优先级，对要提供的数据库进行优先排序和论证，并考虑如下适用条件：与公民的相关程度;促进社会控制;承担相应法律义务或履行相关承诺来使用该数据;数据涉及战略性政府项目;数据表明，国家向公民提供的公共服务的直接和有效结果;促进可持续发展的能力;在社会中促进业务发展的可能性。从这个文件可以看出，巴西比较重视公民，强调以公民为中心的开放数据，但较少涉猎个人隐私保护。

另一方面，巴西开放数据网站dados.gov.br没有专门的隐私政策条款，而是分散于该网站的相关栏目当中。第一，开放数据范围。开放数据网站dados.gov.br上提到，该门户旨在提供有关公共管理最广泛主题的数据，如有关健康、运输系统、公共安全、教育指标、政府支出、选舉过程等的数据。该门户只有开放数据，这意味着包含某些获取限制（如由于保密或隐私引起的获取限制）的数据不在此门户的范围之内。第二，隐私政策界定。根据巴西财政部开放数据词汇表的界定，隐私政策是一套正式规则，可确保用户根据其所提供的准则使用其提供或自动收集的数据。这些可以处理注册数据的共享、Cookie的使用、其他收集用户数据的机制等。就我国而言，目前还未使用Cook-ies政策，也没有使用户自主选择上传信息是否被保存，在提高用户的个性化服务与平衡隐私保护方面还有待加强。第三，个人或机密数据。开放数据网站dados.gov.br上有一个“常见问题”栏目，该栏目其中一个问题是“门户网站是否有任何个人或机密数据？”。针对这个问题，该网站进行了回答：根据《公共信息获取法》的规定，受保密性（第25条）或隐私（第31条）限制的数据必须由责任人事先根据其来源进行分类（第27条）并根据定义来确定是不是开放数据。因此，这些数据不会经过开放过程，也不应在网站dados.gov.br上进行分类，而且如果不遵守规定，那么该团体或组织可能会根据第34条条款承担责任。

2017年7月8日，国务院发布的《新一代人工智能发展规划》提出：完善落实数据开放与保护相关政策，开展公共数据开放利用改革试点，支持公众和企业充分挖掘公共数据的商业价值。尽管开放数据能够来自包括社会媒体、私营公司和科学研究在内的许多领域，但被最大量广泛使用的开放数据还是来自政府机构以及各个层级的政府。因此，我国需要制定完善的开放数据政策和工作流程来释放相关、可获取、有用的开放数据，而且也要逐渐完善开放数据网站中隐私政策条款，为开放政府数据提供隐私保障，以促进改革，形成更公平的环境，并且创造经济机会。

5.2隐私风险评估层面

起初，ANPD出现在LGPD的原始草案中，后来巴西前总统担心它违宪而将其否决，最后在2018年5月被联邦参议院再次纳入并由总统办公室批准。ANPD由两个机构组成：①由5个成员组成的董事会，这些成员具有隐私和数据保护领域的专业知识：②国民议会是由23个成员组成的顾问委员会，由政府、民间社会、研究机构和私营部门组成。ANPD的主要目标将是建立新规范、技术标准、监督和审计等，而且能夠与总统办公室联系。在职责方面，LGPD明确ANPD可以发布关于DPIA的规则，并要求组织进行这些评估。但是，LGPD没有明确这一规则的具体内容，而且巴西也没有发布相关指导文件。因此，可以考虑从以下几个方面进行完善。

第一，ANPD可以通过发布相关指导文件来完善DPIA。一方面，在ANPD发布任何指导意见并要求进行风险评估之前，它应与相关利益者进行磋商，明确隐私风险的概念以及将其用于评估政府开放数据时需要平衡的要素;另一方面，ANPD的规则和程序应就不同方面提供指导，如风险评估方法是遵从LGPD的基础，而且它为组织提供了灵活性，以决定最适合其业务和数据处理活动的方法。ANPD还应处理的事项是，组织针对ANPD所提要求而提供DPIA进程的时间表。这意味着，相关规则应当考虑到，需求的性质以及正在评估的处理业务的性质和复杂性，各组织可能需要较长的时间（如30～60天），以便根据要求提供数据处理服务。

第二，进一步完善个人数据保护机构相关职责。ANPD应以与其他监管机构相同的方式工作，其职责可以得到进一步扩展，如确保个人数据保护;详细阐述法律定义的“国家数据保护和隐私政策”;监视并对违反相关法律的行为进行制裁;针对负责数据处理和数据保护法规事务的人员执行数据主体的请求以及其他活动。

第三，完善个人数据保护职位。根据GDPR，数据控制者及加工者必须在特定情况下委任一名数据保护官，并进行DPIA。但是，根据LGPD，数据控制者必须指定一个数据保护官，但没有明确规定处理器的这一义务。因此，巴西可以进一步对这个义务进行规定，明确巴西个人数据保护机构制定行政规则，并要求他们任命数据保护官。

我国也非常关注开放政府数据隐私风险评估，如我国于2019年10月发布的《个人信息保护法（专家建议稿）》第77条“个人信息政务信息资源开放目录”规定，制作或采集个人信息类政务信息资源的部门拟增加有条件开放类或者无条件开放类政务信息资源的，应当进行个人信息保护影响评估，并采取听证会、讨论会等形式，听取有关基层和群体代表、部门、人民团体、专家、人大代表和社会有关方面的意见。因此，需要认识到，不断健全隐私影响评估政策，进行彻底的隐私影响评估有助于识别潜在的危害并帮助决策。只要有足够的数据可供公共获取，那么向公民开放的数据可以是政府收集的数据的子集，而且它有助于进行有意义的监督。此外，有必要设立和健全个人数据保护机构及相关职位，颁发精心设计和狭义定义的豁免程序，能够允许有合法安全或隐私顾虑的个人请求他们的详细信息不要发布在开放政府数据目录中。开放政府数据所强调的透明度可以在不危及个人隐私和安全的情况下实现，但隐私风险必须得到公开讨论、认识和减轻。

5.3数据处理规范层面

当前，几乎各个领域的社会实践都涉及个人数据的使用。各行各业的组织都应当适应，而且应当形成一种有关适当使用数据的新文化。考虑到巴西与诸如欧洲之类的世界其他国家（地区）不同，因而巴西在这方面仍处于起步阶段，这也是一个很难解决的问题。从这个意义上讲，个人数据保护不应被视为成本，而应被视为竞争优势和市场差异。在因个人数据滥用或误用而造成重大信息泄露的时代，遵守明确、透明、和谐的规则，可以恢复或增强公民对政府的信心。就政府开放数据而言，数据在开放共享过程中所产生的虚假、滥用、泄露是引起数据安全风险的重要因素之一。政府数据的丰富可获取性取决于一些基本的法律规定，如巴西《宪法》规定，所有人都有权获得数据，公共机构必须根据国家法律提供数据，但必须确保数据的机密性，以维护国家安全;LGPD规定，它并不适用于仅为艺术、新闻、学术工作或国家安全目的而处理的数据。如上所述，LGPD的各项规定涉及“风险”和“高风险”处理的概念，以及风险评估（包括DPIAs）。LGPD有效地整合了一种基于风险的数据保护方法，要求组织在设置隐私保护计划和实施LGPD的某些要求时，在数据处理活动给个人带来的风险和利益之间进行平衡。可见，LGPD将对巴西社会产生影响，因为这是前所未有的法律规定。但是，LGPD并没有定义“高风险”一词，也没有定义“基于风险的方法”。政府数据治理是各国政府、私营部门和民间社会在各自的角色中发展和应用共同的原则、规范、规则、决策程序和计划，这决定了政府开放数据的发展和使用。为了进一步完善数据处理规范，从而为政府开放数据提供隐私安全保障，有必要从如下两个方面进行完善。一方面，各个政府机构需要遵守相应规则，并将预期未来的数据监管视为一项投资和竞争优势。中国的个人信息保护监管框架包括刑事、民事和行政领域的法律法规。尽管《网络安全法》是中国第一部专门针对网络安全问题的法律，但是，该法的许多规定仍然非常笼统和抽象，其实施和强制执行的详细要求取决于随后的更具体的实施法规以及有关政府的意见。可以预期，一方面，我国相关监管机构将继续颁布一系列实施法规，以阐明《网络安全法》中的某些要求;另一方面，完善本国的个人数据处理规范，明确政府开放数据中隐私风险种类以及发生的可能性等，并针对这些风险减缓的措施进行规范。例如，可以参考诸如欧盟GDPR以及OECD、APEC相关隐私保护原则等国际规范，吸纳包括搜集限制、利用限制、数据质量、告知、国际传输原则等要素，从而在国际法制的接轨上符合国际组织的相关标准。