西班牙开放政府数据的隐私风险控制研究*
2022-01-21梁乙凯
陈 美 梁乙凯
(1. 中南财经政法大学公共管理学院 武汉 430073;2.山东财经大学管理科学与工程学院 济南 250014)
开放数据具有这样一种思想:对任何人来说,他们都能如自己所愿那样免费使用和再次发布某些数据,而不受版权、专利或其它控制机制的限制。开放数据运动的目标与诸如开放源代码、开放内容、开放存取这样的“开放”运动的目标相类似。开放数据背后的理念早就确定,但术语“开放数据”一词本身是最近兴起,而且是随着互联网和万维网的崛起而逐渐流行,尤其随着诸如Data.gov这样的美国开放政府数据倡议发起之后更为突出。从任何开放数据计划开始,确保公民的隐私是首要任务。之所以选择西班牙作为政府开放数据中隐私保护的案例研究,原因在于:一方面,从国内研究情况来看,尽管有学者围绕美国、英国、德国、澳大利亚等国的开放数据中隐私保护进行研究,但尚未对西班牙进行系统研究;另一方面,从实践的角度来看,西班牙的开放数据相对较好。2017年5月,在万维网基金会发布的《开放数据晴雨表:全球报告》(第四版)中,西班牙在全世界综合排名第11[1]。因此,本文对西班牙政府开放数据的隐私风险评估与防控进行系统调研,旨在为我国政府开放数据和个人隐私保护提供借鉴。
1 西班牙政府开放数据中个人隐私的评判标准
1.1个人隐私界定由于大数据时代个人数据的全样本收集与分析技术的不断升级,使得“个人数据”与“个人信息”之间的界限模糊化[2]。西班牙《宪法》(Spanish Constitution)和《关于个人数据保护的组织法》(de desarrollo de la ley Orgnica 15/1999,简称“《组织法》”)[3]则对个人数据、个人信息、特定个人数据种类分别进行了界定。根据《组织法》的3(a)条,个人数据是有关已识别或可识别个人的任何信息。根据《组织法》第5(f)条,个人信息是任何有关已识别或可识别个人的数字、字母、图形、摄影、声学或任何其它信息。针对这一定义中的“可识别”,《组织法》第5(o)条也进行了界定:可识别的人是可以被识别身份的人,其识别方式是直接或间接地通过利用他的身体、生理、心理、经济、文化或社会身份的任何信息,如果这种识别过程需要不成比例的期限或活动,那么自然人将不被视为可识别身份。就个人数据范围而言,《组织法》第2.4条强调,死人的数据一般不属于个人数据,但有例外:属于死者家属或基于类似原因而与死者相关联的人为了发布死亡通告。就特定个人数据种类而言,《宪法》第16.2条规定,没有人有义务去公开它们自身的意识形态、宗教、信仰;《组织法》也指出,涉及受保护的特定个人数据类别包括意识形态、工会归属、宗教和信仰、种族、健康、性生活[4]。
1.2个人隐私保护的法律内容在西班牙,个人隐私保护的法律框架包括:《里斯本条约》(Lisbon Treaty)《宪法》《组织法》《刑法》。《宪法》是西班牙于1978年所颁布,将原本高度集权的西班牙转变为自治的分权化国家。隐私权主要涉及西班牙《宪法》第18.1条,即保障荣誉权、个人和家庭隐私权以及个人自身形象,并将这些人格权作为基本权利。《宪法》第18(4)条承认个人数据保护权,并且将其与隐私权相分开:“法律将限制信息技术使用,旨在保护荣誉和公民的个人隐私和家庭隐私”[5]。从具体条文来看,《宪法》中所使用的术语是“intimacy”而不是“privacy”。《组织法》是在1999年颁布且在2000年1月14日生效,将欧盟《数据保护指令》(Data Protection Directive)转化为西班牙法律并确立了数据保护的范围。《组织法》为荣誉权、个人和家庭隐私权以及个人自身形象提供了民事保护[6]。此外,根据《刑法》(Criminal Code)第197条,可能会在刑事指控下起诉侵犯隐私权的不披露行为。
除上述法律外,西班牙特定行业法规也包含数据保护规定(见表1)。
表1 西班牙特定行业的数据保护规定
2 隐私风险应对的数据处理规范与机构
2.1隐私风险应对的数据处理规范在个人数据处理规范方面,主要包括:个人数据处理原则、不同阶段数据处理操作、个人数据合法处理。
第一,个人数据处理原则。西班牙《组织法》提出了7条原则,具体内容如下:a.当数据收集目的具体、明确和合法时,个人数据才能被收集。b.个人数据不得用于与数据收集目的不相容的目的。对于以历史、统计或科学目的而进行的后续处理,不会被认为与最初目的不相容。c.个人数据是准确和更新的,以便能够真实地回应数据受影响者的现状。d.如果个人数据被证明是全部或部分不准确或不完整,那么这些数据将被取消,而且通过纠正或完成相应的数据替代。e.当数据持有者不再需要时,个人数据将被删除;个人数据的保存方式是,不允许识别利益相关者的时间超过数据收集或数据登记目的所需的时间;根据具体立法确定的特殊历史、统计或科学价值的程序将确定某些数据的全面维护情况。f.除非个人数据被合法删除,否则个人数据将以允许行使数据获取权的方式得到存储。g.禁止以欺诈、不忠诚或非法手段来收集数据。
第二,不同阶段数据处理操作。根据《组织法》第3(c)条,数据处理意味着操作过程和技术过程中自动或非自动地进行收集、记录、存储、加工、修改、咨询、使用、撤销、阻断或消除、披露来自通信、协商、互连和传输所得到的数据。通常而言,它包括六个不同阶段:a.描述数据的生命周期;b.分析数据保护影响评估(DPIA)的必要性;c.判别威胁和风险;d.评估风险;e.管理风险;f.数据处理行动计划和结论[19]。
第三,个人数据合法性处理。《组织法》针对一般个人数据和特定个人数据提供了不同规范:对于一般个人数据目录,具有一般规则(第6条);针对特定个人数据目录,存在特别严格条款(第7条)。《组织法》第6条规定,除非存在法律条款提供例外情形,否则个人数据处理需要数据主体的明确同意。具体而言,这一“同意原则”的例外情况包括:属于公共行政部门执行任务时所需;属于合同或者前合同协议中的内容;有严重医疗或健康理由;当数据被包含在公共资源中且它们应当得到处理。与“同意原则”相反的是,《组织法》第6条第4点提供了“无同意准则”:当没有必要对个人数据处理进行同意且不存在其它法律规定时,如果针对个体情况存在合法和正当理由,那么数据主体能够反对数据处理。针对受特别保护的数据,《组织法》第7.2条规定,只有得到数据主体的明确书面同意,才能处理那些揭示意识形态、工会归属、宗教和信仰的个人数据;《组织法》第7.3条规定,只有当存在一般利益的原因时,由法律或有关人员明确同意的情况下,才可以收集、处理和分配涉及种族、健康和性生活的个人数据;《组织法》第7.4条规定,禁止为了存储揭示意识形态、工会隶属关系、宗教信仰、种族或民族血统或性生活的个人数据而创建文件;《组织法》第7.5条规定,与犯罪或行政违法行为有关的个人数据只能包含在各自监管标准规定的主管公共行政部门的档案中。
2.2隐私风险应对的机构和职位西班牙的数据保护机构是数据保护局(Agencia Espaola de Protección de Datos,AEPD),该机构于1993年根据第428/1993号皇家法令设立,也代表西班牙参加欧洲数据保护委员会。这个机构的权利如下:a.调查权利。根据西班牙《组织法》Sección 2,AEPD有广泛的权利命令数据控制者和处理者提供执行任务所需的任何信息,以数据保护审计的形式进行调查,对根据《通用数据保护条例》(General Data Protection Regulation,简称GDPR)颁发的证书进行审查,对那些涉嫌违反GDPR的数据控制者或处理者进行通知,获取所有个人数据和执行数据控制者或处理者任务所需的所有信息;b.纠正权。AEPD能够对违规行为进行警告或谴责,命令数据控制者向数据主体披露个人数据泄露情况,进行永久性或临时性禁止处理,撤销认证并进行行政罚款。c.授权和咨询权。AEPD可以向数据控制者、认证机构提供建议,能够授权证书、发布合同条款、行政安排和具有约束性的公司规则[20]。
就具体数据保护职位而言,根据西班牙《组织法》第34条[20],属于以下组织或出现以下情况时,必须强制性任命数据保护官:a.专业协会及其总理事会;b.提供教育权利立法规定的任何级别教育的教育中心,以及公立和私立大学;c.在定期和系统地大规模处理个人数据时,按照具体立法的规定运营网络并提供电子通信服务的实体;d.信息社会的服务提供者大规模开发服务用户的概况;e.属于《6月26日第10/2014号法律》第1条中所涉及的关于信贷机构的组织、监督和偿付能力的实体;f.信贷金融机构;g.保险和再保险实体;h.受证券市场法规监管的投资服务公司;i.电力分销商和营销商以及天然气分销商和营销商;j.负责评估资产和信用偿付能力的一般文件或管理和防止欺诈的共同文件的实体,包括那些旨在防止洗钱的法律管辖的文件;k.开展广告和商业勘探活动的实体根据受影响者的偏好进行治疗或开展涉及编制相关概况的活动;l.法律要求保留患者医疗记录的健康中心;m.旨在发布可能涉及自然人的商业报告的实体;n.游戏规则是以电子方式、远程方式和交互方式开展活动的游戏运营商;o.私人保安公司;p.体育联合会处理未成年人的数据。可见,《组织法》包括需要指定数据保护官的组织和公司列表,即保险或再保险公司、金融信贷机构、教育机构、电力和天然气分销商、广告和营销公司等都必须指定一名数据保护官。当然,《组织法》也允许组织和公司自愿指定数据保护官,但在任何一种情况下,数据保护官的任命必须传达给AEPD。
3 西班牙政府开放数据中的数据影响评估和风险识别
3.1数据影响评估的应用标准根据GDPR第35条,如果某种数据处理活动需要使用新技术,并考虑其性质、范围、背景和目的可能会对自然人的权利和自由造成高风险,那么数据管理员有义务在实施此类处理活动之前进行数据保护影响评估[21]。可见,根据GDPR,当使用“新技术”进行处理时,风险将增加。尽管GDPR建立了有助于识别涉及高风险的数据处理操作标准,但监管机构应建立并公布一份受数据保护影响评估要求约束的处理操作清单。在这种情况下,AEPD在2019年5月6日公布了一份认为可能对其人员的权利和自由产生高风险的数据处理活动的处理操作清单,强调如果出现满足这一清单上两个或更多标准的情况,那么有必要进行数据保护影响评估。此外,特定数据处理活动所满足的标准越多,意味着涉及的风险就越大,那么进行数据保护影响评估的需求就越确定。
具体而言,这份清单包括的11种情形如下。①对自然人进行概况分析或评估,具体行为包括从数据主体的生活(工作表现、个性和行为)的多个领域收集数据,涵盖其个性或习惯的各个方面。②自动决策制定或处理极其有助于做出此类决策的行为,包括阻止数据主体行使权利,或获取商品或服务,或成为合同一部分的任何类型的决策。③对数据主体进行系统和详尽地观察、监测、监督、地理定位或控制,具体行为包括通过网络、应用程序或公共可访问区域收集数据和元数据,以及处理允许识别信息社会服务用户的唯一标识符,这些信息社会服务如网络服务、互动电视、移动应用等。④处理GDPR第9条第(1)款所述的特殊数据类别,或者与GDPR第10条所述的定罪或刑事犯罪相关的数据,或者可以确定财务状况或信誉或推断与特殊类别数据有关的人员的信息。⑤旨在特定地识别自然人而使用生物识别数据。⑥旨在以各种目的来使用遗传数据。⑦大规模使用数据。在确定是否可以大规模处理时,将考虑指南WP243 《数据保护官员指南(DPO)》(Guidelines on Data Protection Officers(DPOs))第29条中规定的标准。⑧当出于不同目的或由不同数据控制者所控制时,对数据库记录进行关联、组合或链接。⑨处理有关脆弱数据主体或有社会排斥风险的人的数据,这些群体包括14岁以下的儿童;有一定程度残疾的老年人、残疾人;获得社会服务的人和性暴力受害者,以及他们的后代和受照顾和监护的人。⑩使用新技术或创新使用既定技术,具体行为包括使用新规模、新目标或与其它技术相结合的技术,从而采用新的收集形式和使用可能侵犯个人权利和自由的数据。数据处理会阻碍数据主体行使其权利、使用服务或执行合同。例如,处理已被数据控制者收集的数据而不是将要处理的数据[22]。
3.2数据影响评估流程框架2014年,APED基于《数据保护指令》(Data Protection Directive 95/46 EC)发布了《数据保护影响评估指南》(Guía para una Evaluación de Impacto en la Protección de Datos Personales)[23]。这一指南指出,一些机构会处理受GDPR规制的个人数据,而数据保护影响评估是这些机构的一项固定的强制性义务,即这些机构有必要评估每项个人数据处理活动的风险,以确定应采取哪些安全措施来保护所处理的个人数据,或分析是否必须执行数据保护影响评估。该指南强调,在数据得到实际处理之前的最早阶段,构建数据保护风险评估模型。在2018年3月,APED发布这个指南的更新版本《数据保护影响评估实践指南》[19],旨在与GDPR的最新规定相一致。
2019年7月,AEPD发布《针对公共部门的数据保护影响评估报告模型》[24],以促进数据保护影响评估的实施,并根据《数据保护影响评估实践指南》来具体操作。这一模型是AEPD与工作、移民和社会保障部以及社会安全计算机管理信息安全中心合作开发的。该模型收集了生成影响评估报告时必须考虑的所有方面,其中包括:对策描述、合理的法律依据、对策分析、构建评估模型或绩效的义务、降低风险措施、行动计划以及调查结果和建议。虽然这一模型并非针对那些负责处理低风险数据的组织或个人,但在影响评估属于非强制性的情况下,有助于以其它目进行评估,如深入研究对策;改善组织流程的整体管理;产生数据保护的知识和文化;积极主动地承担责任[25]。这一模型涵盖适合实施的安全措施,以减轻此类高风险。总体来看,上述指南对于数据保护专业人员非常有用,有助于他们在GDPR得到完全适用之前根据客户的利益了解数据保护影响评估的标准。
3.3数据影响评估阶段数据保护影响评估包括8个阶段(见图1)。①分析需要。在这一初始阶段,必须考虑是否明确需要进行数据保护影响评估。如果数据处理规模不是很大或公司不需要利用第三方的数据,那么影响评估可能不那么详尽。②项目描述。详细描述风险,有助于明确隐私影响因素。因此,在这一阶段,重点检查可能影响第三方数据的隐私风险,需要好好学习业务的目标,明确谁是利益相关者、对什么数据类别进行处理、技术使用目的等。③定义风险。根据前一阶段提供的信息,确定本组织数据处理所存在的风险。根据AEPD提交的文件,这些风险可分为两类:影响人们的因素,即可能侵犯其权利的风险;影响公司的因素,即那些源于未实施良好数据保护政策的公司,而且具体情况取决于当前法规的规定。④风险管理。在确定风险之后,要保证数据保护中得到正确影响评估。因此,必须与有关行为者进行内部和外部磋商,随后有必要确定将实施哪些类型的控制和措施。⑤分析对规范的遵守情况。在这个阶段,要验证正在开发的所有内容是否符合合法性。在合法性这一点上,必须考虑正在进行影响评估的部门,因为数据处理方面的法律要求可能更高或更低。⑥创建最终报告。在数据保护评估影响报告中,要正确详细说明已发现的风险以及建议,以便管理和消除这些风险。⑦实施建议。在完全修改了准备好的报告后,必须采取必要的措施来遵守它。此外,应当指定负责影响评估的人员,以确保遵守最终报告中详述的所有内容。⑧持续审查。在影响评估过程之后,必须对最终结果进行适当分析。通过这种方式,可以检查所有工作的有效性,以及是否出现了新的风险。此外,不断更新影响评估,是保证第三方数据保护的基础。
图1 数据保护影响评估阶段[23]
4 西班牙开放政府数据隐私风险控制的特征
4.1优势分析
4.1.1 开放政府数据迅速发展 Datos.gob.es是西班牙开放数据平台,提供了国家开放数据的目录,也是供西班牙公共行政部门向公民、研究人员、再利用者和其它行政机构进行咨询、下载和再利用数据的单入口点。它还包括一般数据、培训材料和有关公共部门信息再利用的新闻。在2018年,Datos.gob.es有超过21000个数据集可用,而且该数据门户网站的当年访问次数超过500次[26]。
4.1.2 推进隐私风险评估工具应用 西班牙数据保护局(AEPD)在2014年发布了第一个数据保护影响评估指导方针,而且一直鼓励在诸如大数据项目等相关案例中采用隐私影响评估。近年来,AEPD制定并继续做出巨大努力来促进充分实施GDPR所要求采取的措施。自2018年5月起,某些数据的处理必须进行数据保护影响评估,因而AEPD近年也发布了数据保护影响评估指南以及一份必须进行数据保护影响评估的案例清单。这些举措有助于隐私影响评估工具的应用,为开放政府数据的隐私风险评估提供工具保障。
4.1.3 组织结构不断优化和完善 在隐私风险应对的机构和职位方面,西班牙在中央层面设有AEPD,而且当属于所规定的组织类型或出现相应情况,就需要设立数据保护官这一职位。此外,西班牙一些自治社区也有自身的数据保护机构,如加泰罗尼亚或巴斯克地区的社区。巴斯克数据保护办公室(Datuak Babesteko Euskal Bulegoa,DBEB)是一个受公法管辖的机构,负责处理由巴斯克自治区创建或管理的个人数据。DBEB负责对个人数据保护有关的查询进行回应,并参加个人隐私保护方面的知识传播和培训活动,以提高人们对该领域法规所承认的权利的认识,增强公众对隐私价值的认识,并促进巴斯克公众尊重隐私。如果公民或公共管理部门希望索取信息或法律或技术标准,DBEB还提供了各种沟通渠道来答复公民或公共管理部门的询问。此外,DBEB还确保巴斯克公共机构遵守数据保护法规,并在必要时行使其纠正权。在向DBEB提出权利要求之前,数据主体必须联系数据控制者以行使其权利。如果数据控制者在规定的期限内未做出答复,或者他不同意答复,那么利益相关者可以向DBEB提出保护权利的要求[27]。通过中央和地方层面的机构和职位的设置,明确了隐私风险应对的主体,有助于建立隐私风险控制责任机制。
4.2劣势分析
4.2.1 “开放数据”与“隐私风险”的逻辑悖论 开放政府不是无条件和绝对的:虽然促使政府更加开放一直并且仍然是一个高优先事项,但优先级并不意味着压倒所有其它考虑的因素。没有哪个开放政府的支持者会把开放政府描绘成不顾一切的开放,而毫不顾忌后果。就西班牙而言,信息自由权受到隐私权的限制,这一事实反映在西班牙《宪法》第20(4)条中。在两者之间发生冲突的情况下,应当确定两种基本权利中哪一项必须优先于另一项,因为法律没有提供有助于解决问题的具体规则,而法官需要分析这一问题,而且根据具体情况而定[28]。
4.2.2 高价值数据开放不够 西班牙没有信息获取法,也没有统一的国家开放数据政策或做法,唯一积极维护的开放数据计划是由少数地方和地区政府启动的,但没有国家层面的协调或支持。为了推进政府数据开放,政府机构应该识别关键受众的数据和他们的需求,并努力为每个受众以最易懂的形式和格式提供高价值数据。但是,关于健康、教育、公共采购或官方议程的关键数据集仍被政府所拒绝,西班牙也没有计划是否发布[29]。在这方面,美国优于西班牙,如美国政府已利用Data.gov社区来利用美国人民的聪明才智,简化了人们获取高价值数据的途径,并告知创新者和私营部门那些日益增多的奖品、挑战和比赛。
5 启 示
总体来看,从国际上来看,西班牙是一个具有前瞻性的开放数据国家,这得益于其完善的隐私风险评估与防控。通过挖掘该国近年来关于数据开放所产生的各类隐私问题的案例,梳理该国在数据开放中的隐私风险控制经验,能够为我国相关政策设计提供相应支撑。
5.1明确开放政府数据环境下个人隐私权西班牙的信息自决原则起源于《宪法》第18(4)条,是更大隐私权的一部分,而且主要通过教义上的演变而发展起来。该条文规定,法律应限制信息的使用,以保证个人和家庭的荣誉、公民隐私的同时,使个人能够充分行使其权利。可见,这个条文是西班牙《宪法》中数据保护权利存在的法律依据。除了上述《宪法》条款对个人和家庭隐私进行规范以外,《组织法》确立了信息自决或信息自由,即根据西班牙宪法法院于2000年11月30日发布的《第292/2000374号决定》[30]明确承认信息自决或信息自由是与隐私分开的基本权利。这个决定不仅强调了以计算机为基础的信息系统对控制个人信息的重要影响,而且还指出,西班牙《宪法》第18(4)条所规定的基本隐私权本身并不能保证在信息通讯技术发展的新背景下所需的保护水平。最后,该决定所下的结论是,《宪法》第18(4)条构成了保障数据保护权利的宪法基础,它为个人提供了一种保护手段,使其免受对尊严、权利和自由的新威胁。因此,《组织法》不仅保护公民免受信息技术处理,而且也保护其他基本权利和个人自由免受其个人信息被自动处理。当前,随着信息技术的迅速发展,政府信息资源管理模式出现重大发展与变革,公民获取信息的方式也逐渐转向电子化。大数据对人们的日常生活产生的影响也越来越大,因而开放政府数据环境下个人数据被窃取或泄露的风险也增加,使得个人对于信息的自我决定权也开始消失。早在2013年6月18日,八国集团所签署的《开放数据宪章》(Open Data Charter)第一条原则就是默认必须开放数据:在持续保障隐私权的前提下,促进政府数据被公开发布[31]。因此,为了推进政府数据开放,应当关注隐私权,甚至可以延伸至信息隐私权,注重个人属性、个人数据、数据内容等方面的隐私权。
5.2注重各个领域的数据监管开放政府数据涉及各个不同领域的数据,而西班牙则针对这些不同领域进行监管。AEPD负责监察有关保障个人数据的法律条文是否得到遵守,因而享有绝对的自主权,不受公共部门的监管。它能够采取相应行动,从而提高公民有效促进这种保护的能力。司法部负责某些基地的登记。更具体地说,它负责包括出生、法律行为能力、失踪或死亡、国籍、婚姻在内的个人数据的民事登记,以及提供商业身份、活动说明、基本数据和文件、财务和经济数据的登记。司法部还负责有关自然人和法人的关键主数据,而且还与其他部委合作,使基地登记册合理化。财政部不仅负责地籍登记,提供土地和房地产的说明,还管理税务机构数据库,其中包含自然人和法人的税收、财政义务和财政状况的数据。经济企业部负责管理自然人、法人、农业、经济、气候、科技等居住数据的登记汇编。就业和社会保障部管理着社会保障数据库,包括自然人和法人的劳动历史、社会保障权利等数据。就我国而言,许多不同的特定类型的个人数据也受不同的法律和行政法规约束,并且一些规定重叠。例如,电信和互联网服务中的“用户个人信息”是根据2013 年 7月颁布的《电信和互联网用户个人信息保护规定》而确定;在个人财务信息方面,中国人民银行发布的《关于加强银行业金融机构个人金融信息保护工作的通知》对银行业金融机构有更具体的要求。在进行数据监管的同时,也要注意避免因过度隐私保护而不利于开放数据。例如,美国Data.gov通过向公众提供整合所有机构的元数据目录来提高他们发现数据的能力,从而避免部门监管。它的好处在于,一个更加综合的信息源和探索工具可以让公众操纵联邦部门的数据,而不用去了解作为一个整体或个别机构的联邦政府是如何组织这些数据。
5.3注重利用匿名化技术BBVA Data & Analytics是西班牙对外银行的一个独立部门,旨在利用数据科学为银行创造价值,专注于利用技术和分析来优化他们的流程。为了帮助BBVA集团内其他公司开发新的或更多的服务,BBVA Data & Analytics结合可用的开放数据对这些公司的数据进行分析。基于这些分析,关联公司可以获得有关经济趋势或其客户行为的见解。通过提供他们的服务,他们收集了大量的数据,这些数据所揭示的见解也会引起其他各方的兴趣。为了向公共或私营部门的特定合作伙伴提供这些潜在有价值的信息,BBVA通过开放数据平台分享原始、汇总和匿名的数据[32]。这个例子表明,尽管没有将开放数据直接商业化成一种新产品,但通过匿名而用于增强现有产品或服务时,也会创造价值。从效用影响的角度来看,匿名可以允许有关个人的信息在多个记录之间链接,从而增加其实用程序,以实现多种目的。但是,匿名并不仅仅只是需要删除名称或其他唯一标识符。正如Ohm指出,匿名数据集中描述的人是如何很容易被重新识别或去匿名化的。例如,Ohm描述的Latanya Sweeney关于“美国人口中简单人口的独特性”的研究表明,邮政编码、出生日期和性别的组合可以唯一地识别87%的美国人口[33]。因此,我国政府机构在开放数据时,应当标出他们的数据是否包含可识别的个人信息,以及这些数据是否符合隐私保护要求。此外,在应用匿名技术来进行开放政府数据隐私风险控制时,如果对数据进行匿名和聚合,应当使用非常谨慎和公认的统计方法。
5.4积极开展隐私影响评估(PIA)为了在透明度和隐私之间取得平衡,政府和企业不应收集和披露超过达到其目标所必需的最低限度的数据,或可能造成重大损害的数据。各级政府应当明白的是,进行彻底的PIA有助于识别潜在的危害并帮助决策。向公民开放的数据可以是收集到的数据的子集,并提供给公共部门,但前提是开放足够的数据,以实现有意义的监督和透明。一个精心设计和狭义定义的豁免程序很重要,因为它允许有合法安全或隐私顾虑的个人要求他们的详细数据不被公开登记。例如,2020年2月13日,中国人民银行发布的《中国人民银行关于发布金融行业标准做好个人金融信息保护技术管理工作的通知》[34]第6.1.4.2条第a款规定,在共享和转让前,应开展个人金融信息安全影响评估,并依据评估结果采取有效措施保护个人金融信息主体权益。PIA是一个工具,可协助机构找出最有效的方法,以履行保障数据的责任,并满足个人对因素的期望。一个有效的PIA将允许组织在早期识别和解决问题,减少相关的成本和可能发生的声誉损害。PIA是通过设计方法实现隐私的一个组成部分,而且适用于政府部门,因为这些部门会发现,PIA的一个用途是,开发一组更具体的筛选问题或识别常见的隐私风险和解决方案。