政府数据开放中的个人信息保护研究
2022-03-24曹海军孙乙萌
曹海军 孙乙萌
(东北大学,辽宁沈阳 110169)
随着信息时代的到来,作为公众个人数据最为集中的拥有者,政府在履行职能过程中所产生、采集、存储的信息高速增长,不断积累的数据成为实现国家治理现代化的重要要素与资源。目前,各国政府纷纷公开其所掌握的公共数据资源供社会公众使用,以实现繁荣经济、改善服务、提升公共福祉的治理目标。政府数据开放也成为我国当前推进数字经济、数字社会、数字政府建设的重要举措。
在推动数据开放的同时,人们对个人信息保护问题的隐忧也进一步加剧。一方面,信息的过度收集与公开会使得隐私权这一公民基本权利面临受到侵害的风险;另一方面,个人信息在数据开放领域呈现出了更多的公共面向,过于偏重隐私保护有可能降低数据本身的质量,从而影响社会效益与国家综合竞争力。因此,寻求政府开放数据的透明性与个人隐私保护的平衡,在为个人信息提供必要保护的基础上最大化其价值,实现公共利益与私人利益之间张力的舒缓,是当前亟须解决的重要议题。
一、政府数据开放中的个人信息保护具有特殊性
政府数据中包含了大量由政府部门直接收集、通过第三方采集整理或依法管理的个人及其行为相关的信息,是一种典型的兼具非排他性和非竞争性的公共物品[1]。政府数据开放中的个人信息保护与企业等私主体的个人信息处理活动不同,也与公权力主体在其他领域的个人信息处理行为不同,在行为性质、处理主体、处理对象、最终目的等方面均呈现出特殊性[2]。首先,与私主体基于私法关系的信息处理活动不同,承担公共管理职能的行政机关依法进行数据的共享,是一种具有公共服务性质的公权行为。其次,政府的数据资源对外公开后,公民、法人、其他组织等私主体都可以参与处理,其处理主体更加多元而不再限于国家机关与法定授权组织[2],因此所面临的风险也更为复杂多样。再次,作为多国看重的新型国有资产,政府数据某种程度上可被视作公物,信息公开能够满足多方面的社会公共需要,最大限度地创造公共价值,但也对其中可识别身份的个人信息的安全管理提出了更多的挑战。最后,实现公共利益、增进社会公共福祉是催生政府数据开放的深层动因与最终目的。公民的个人隐私保护往往要为经济社会的整体发展让步,但公共属性并不是忽视各类风险的“挡箭牌”。由此可见,若要促进政府数据资源的高质量开放,必须重视个人信息保护活动的特殊性。
二、政府数据开放中个人信息保护存在的不足
与传统的政府信息公开不同,政府数据开放的是未经加工、分析与解读的底层数据集合,具有更高的挖掘潜力与社会价值,而公众对这些数据也不再局限于“知情”,还能够加以开发利用,释放更多的数据潜能。信息化的时代背景对数据安全治理提出了更高的要求,我国政府数据开放中个人信息保护目前还存在着诸多不足。
(一)治理依据有限,政策法规待完善
大数据时代催生了政府数据开放,但我国的政府数据开放起步较晚,相关法律法规制度建设存在滞后性[3]。一方面,我国现行的各类指导性政策法规中,政府数据开放的程序、分工、保障措施较为宏观,大多以整体框架为主,很难取得理想的执行效果。比如,作为政府数据开放的指导依据,《政府信息公开条例》在颁布与修订的过程中虽然一再强调了隐私保护的重要性,但在具体条款的制定上仍然有所欠缺。另一方面,现有法规对政府数据开放中个人隐私保护的特殊性认知不足,没有考虑到个人信息在特定领域的公共面向。2021 年8 月20 日通过的《个人信息保护法》以个人权益保护为中心,通过赋予个人知情权、决定权等控制权,经由知情同意规则等私法保护路径规范私主体的信息处理活动[2]。这种基于私权关系建立起的保护模式并不完全适用于公权处理场景,远不足以为数据开放中的隐私保护提供规范性支撑。此外,现有法律法规对个人隐私的界定标准过于模糊,相关主体很难精准判断自身行为是否属于泄露隐私的范畴;政府也难以确定数据开放的具体范围,由此导致的个人隐私侵犯行为也无法得到及时的制止与纠正,无形之中损害了公民的实际利益。
(二)治理主体单一,协同参与程度低
政府数据开放涉及企业、非营利组织、公民个体等多个利益相关方,数据安全问题与过去相比更加复杂难解。目前我国的信息治理工作由政府主导,有关部门广泛收集公众的户籍、纳税情况、社会保险等多种信息并加以整理存档,对个人隐私数据处于相对强势的掌控地位。然而,我国政府目前尚未出台专门的信息资源管理办法,《政府信息公开条例》又将隐私信息公开与否的标准——重大影响与公共利益的决定与判断权赋予行政机关所有,使该行政法规在执行中倾向于维护其自身部门利益[4]。作为数据开放尺度与范围的主要把控者,政府在进行数据公开时缺乏科学引导与有效监督,许多政策难以落到实处。
从当前实践来看,政府部门以外的各利益相关主体并未完全发挥自身功能。比如,大数据技术研发领域的企业没有深入参与到隐私保护工作中来,其行为也缺乏统一的行业规范加以约束,泄露公民隐私的情况时有发生。再如,政府与非营利组织缺乏合作,行业协会也没有发挥好带头作用,行业自律性总体较差。又如,社会公众作为信息主体,其自我保护意识相对不强,对维权渠道的了解也相对匮乏,不利于隐私安全保护机制的长期构建。
(三)平台建设不足,审查机制不规范
根据《2021 年度中国地方政府数据开放报告》,截至2021 年10 月,我国已有193 个省级和地方政府上线了数据开放平台。尽管平台数量在持续增长,但总体来说,当前我国政府数据开放平台建设仍然处于起步摸索阶段,受到各种复杂因素与矛盾的掣肘,暴露出了很多现实问题。其一,由于经济社会发展水平参差不齐,各地政府数据开放门户的建设水平也存在较大的差异,没有形成国家层面上的政府数据统一开放平台。其二,囿于技术难题、部门利益、行政体制等因素,政府数据开放平台中的数据管理与共享水平受到了极大的制约[5],数据更新周期长、规模小、分布零散,政府部门职能交叉、权责不明也为平台上跨部门的数据收集整合工作带来了阻力。其三,由于宣传力度不足等原因,许多地区的数据开放平台往往不为公众所熟知,访问量与下载量有限,付出了大量维护成本却没有产生相匹配的社会效益,制约了政府数据使用的便捷性、降低了使用率。概而言之,公民个人信息保护受到数据管理效率的影响。
政府数据开放平台的审查机制也不够规范。现行的关于数据开放范围与具体分类的规定较为宏观,导致当前部分平台在数据筛选公开的过程中,对发布的信息存在审查缺位现象,仅仅局限于表面化的考察把关,审查标准的严格程度也有待提高,从而带来了隐私泄露的风险。
三、加强政府数据开放中个人信息保护的几点建议
(一)完善个人信息保护的相关法律体系
随着大数据技术的高速发展,我国政府数据开放相关法律的滞后性越发突出,仅停留在宏观层面的指导性文件早已无法满足实际需求,根据我国国情出台全面且细化的法律法规有利于政府数据的有序开放、全面共享。因此,要通过专门立法的方式对隐私信息的划定范围、数据开放过程中隐私泄露行为的评判标准尤其是基于公共利益而被迫公布的个人隐私作出明确界定,规范从事数据管理的政府工作人员的一系列信息处理行为,规定政府使用公众信息时所要遵循的原则与底线,使数据信息从收集到整理过滤再到开放的整个过程都要有法可依[6]。
法条的制定也绝对不能忽视政府数据开放中个人信息的特殊性,应结合数据的公共面向与我国的具体实践来开展立法工作,形成具有中国特色的系统化、体系化的综合性信息保护法案,为数据公开中的个人隐私保护提供合法性依据,也为政府在数字国家建设中发挥引领作用创造条件[2]。
(二)构建多元主体参与的组织协作机制
要明确政府在个人信息治理中的主体地位,但这并不意味着政府对所有数据的垄断,而是要发挥政府在数据开放中隐私保护的主导作用,出台形式更加多样化、操作性更强的政策,完善数据开放的制度体系;还应加强相关职能部门的建设,设立专业化的隐私信息保护机构,明确权责划分,从而将数据开放政策真正落到实处。
要加强政府数据开放中个人信息保护的多元主体参与,使各类主体充分发挥优势,促进其资源要素的有效整合[7]。具体来说,政府应当积极引导互联网企业加大对于数据安全保护技术的研发力度,使其树立高度的自觉意识,主动将公共利益置于经济效益之前,尽量避免出现泄露用户隐私的情况;督促行业协会等非营利组织提升自身影响力,制定统一的行业规范,提高信息行业的自律性;加强面向社会公众的信息保护宣传力度,增强公众自我防范意识、提升公众的数据素养,使其既能运用数据开放平台获取资源,又能在个人隐私被侵犯时通过法律途径维护自身的信息安全。
(三)打造管理机制规范的数据开放平台
作为政府与用户沟通联系的重要节点,数据开放平台的建设水平能够较为直观地反映政府对开放数据的治理能力,平台的功能、运行、安全保障等方面都需要进行综合考量[8]。近年来,国务院各部委与地方各省市先后建立了数据开放门户,但始终缺少一个国家层面的数据开放平台来集中管控数据资源,各地区、各部门之间很难实现信息的快速交流互通。因此,应当整合现有的政府数据资源,有效联结政府的开放数据、数据库信息与开放数据平台,建立起跨部门、跨系统的统一的数据开放平台,便于为各主体提供一站式的政府数据获取及相关服务[9];提升数据安全管理水平,用技术进步来加强平台的安全监管与风险防控,从而尽可能减少隐私泄露带来的威胁。
要建立严格的数据审查机制。其一,对于不同类型的数据,应当有针对性地设置不同的开放级别,对涉及个人隐私信息的使用权限与范围作出一定程度的限制。具体来说,对于涉及个人的信息,可以考虑分类分级开放——数据的获取和利用不受任何限制的,可以无条件开放;受到相关权利义务限制的,可以有条件开放;基于法律原则作出相应解释加以限制的,可以不开放[6]。以此规范政府数据公开行为,维护个人信息安全。其二,建立独立的数据审查机构,引入专业技术人员,确保数据的真实性与审核流程的科学性。其三,要建立常态化的数据审查机制,固化数据发布前的审查环节,最大限度减少个人信息泄露问题发生[10]。
当然,在数据审查过程中,要注意对平台开放数据加以过滤和清洗,一些数据须经必要的去标识化处理后方可在一定范围内使用,也可有针对性地将可识别程度高或是不具备共享必要性的信息筛除,从而尽可能地保护公民的个人隐私。