李 瀛 杨 芮

(大连理工大学 大连 116024)

随着大数据时代的到来以及社会公众、企业对于公共数据需求的日益增加，政府数据开放已然成为数据增值和创新应用的重要途径。政府数据开放不仅向社会提供有用的信息和数据资源，提高了政府部门的透明度和公信力，也极大地提升了政府决策与公共服务的质量，避免了数据资源的浪费，为创新和经济发展提供新机遇。近年来，我们国家与地方各级政府积极促进政府数据开放的发展，并在数据开放的广度和深度上取得了一定成效。一方面，我国先后印发了《促进大数据发展行动纲要》《关于推进公共信息资源开放的若干意见》以及《“十四五”国家信息化规划》等一系列文件，明确提出要加快政府数据开放共享，推动了我国政府数据开放的步伐。另一方面，地方各级政府加速推进政府数据开放平台的建设工作，截至2021年10月，我国已有193个省市级政府上线了政府数据开放平台[1]。

然而，随着我国政府数据开放的不断深入，数据开放与隐私保护之间的矛盾日益突显，我国政府数据开放平台在隐私保护方面也面临着整体表现不佳的问题[2]。一些政府数据开放官网仍存在泄露个人隐私信息的现象，涉及个人电话号码、住址、身份证号等，给个人的工作及生活带来多重隐患。同时，据IBM《数据泄露成本报告》显示，2021年数据泄露的平均成本已达到424万美元[3]。政府数据开放引发的隐私泄露事件不仅侵犯了公民的权益、给政府部门造成经济与声誉上的损失，也严重制约了政府数据开放的发展。

我国非常重视政府数据开放中的隐私安全问题。在国家陆续出台的《数据安全法》、《个人信息保护法》以及《“十四五”国家信息化规划》等一系列法规政策中，明确了数据隐私安全的重要性，为隐私保护提供了必要的保障。各地方政府也在积极探索数据开放中的隐私保护实践，如2019年上海市通过了《上海市公共数据开放暂行办法》，提出政府要采取措施保护隐私数据，进一步提升公共数据的治理能力。尽管各地方政府相继制定和出台类似办法与条例，强调数据安全与隐私保护的要求，但对于隐私管理体制和机制的设计仍缺乏具体指导。因此，探析我国政府数据开放在隐私保护方面存在的困境，提出用于指导实践的管理框架具有重要意义。

1 我国政府数据开放的隐私保护困境

政府数据开放与隐私保护存在一定的矛盾关系。一方面，政府数据开放对于国民经济发展具有巨大推动作用，持续推进数据开放是大势所趋。另一方面，政府所拥有的隐私数据涉及公民几乎所有的个人重要信息，因个人隐私权受到法律的保护，这对数据共享与开放提出了挑战。尽管矛盾存在，但并不是不可调和。从国外先进经验来看，通过完善管理机制体制设计，实现隐私保护前提下的政府数据开放是完全可行的。就现阶段来说，我国在政府数据开放的隐私管理方面面临着诸多困境，有待破解。

1.1 数据开放建设与隐私保护水平不均衡

在大力建设政府数据开放的背景下，一些地方政府数据开放进程与隐私保护水平不均衡[4]，阻碍了政府数据开放的健康发展。一方面，一些部门在推进政府数据开放过程中出现了“重建设轻保护”的现象，导致数据开放水平高，但隐私保护相对滞后，存在诸多隐私风险。根据2021下半年《中国地方政府数据开放报告》，宁波、厦门两个城市的开放数林指数在全国所有173个城市中排名前30[1]，而相关研究表明这两个地区的政府数据开放平台在隐私保护方面的得分为零，隐私管理缺失[5]。另一方面，由于开放数据面临较多的安全隐患，一些地方政府基于风险规避和责任担当的考虑，不愿或不敢推动数据开放，导致这些地方虽然能够做到隐私保护，但数据开放进程相对缓慢[6]。截至2021年10月，我国还有48.67%的城市(包括直辖市、副省级与地级行政区)未上线政府数据开放平台[1]。由此可见，如何缓解数据开放与隐私保护之间的矛盾，平衡好二者关系，促进政府数据开放的健康发展，是当前政府部门必须要面对的议题。

1.2 缺乏因地制宜的隐私管理机制

随着政府数据开放的深入发展以及隐私问题的日益凸显，各地方政府原有的管理机制很难满足平衡数据开放与隐私保护的需要，亟待探索新理念、新模式。目前我国已经形成了以“数据安全国家战略”为出发点，《数据安全法》《个人信息保护法》和《网络安全法》为核心，其他专项规定、部门规章等为补充的数据安全体系[7]，为政府数据开放领域的隐私保护提供了有力保障。然而，部分地方政府部门仍然存在制度设计不完善，隐私管理水平不高的现象。由于一些地方在隐私保护实践创新方面缺乏相关经验和足够动力，在实际工作中往往局限于国家的公共决策，照搬先进地区经验，使隐私保护建设缺乏针对性和可操作性。这导致我国一些地方数据开放的隐私保护整体表现普遍欠佳[5]。由于不同地方的数据开放发展水平和发展速度不同，对于数据开放建设的规划、隐私保护的推进等也存在较大差异，因此缺乏因地制宜的隐私管理机制使得隐私保护的框架更加难以构建，隐私管理工作难以有效实施。

1.3 数据“可用不可见”考验隐私技术创新能力

根据《数据安全法》的要求，政务数据开放共享应做到数据“可用不可见”。当前，由于缺少统一的建设标准及规范，不同地区层级、不同部门的信息系统千差万别，导致彼此相互独立形成信息孤岛，这加大了数据利用阶段的隐私保护难度。尤其在一些临时产生的数据共享场景中，很容易产生隐私泄露的风险。例如疫情期间，为实现精准防控、研判疫情，需要将电信运营商、医疗、交通等多部门的数据打通，进行关联分析，在这种涉及大量隐私数据的共享需求中，数据“可用不可见”就显得十分重要。随着政府数据开放应用场景的不断丰富，为让政府数据发挥更大效能，数据“可用不可见”是必经之路。这不仅考验政府部门隐私数据管理制度的完善程度，更对隐私管理技术提出了更高的要求。隐私科技的兴起使数据“可用不可见”成为可能，为破解数据开放与隐私保护难题提供了可行的思路，但同时也考验着政府部门的技术创新能力[8]。由于我国各地经济社会发展水平差异较大，政府对隐私保护技术的投入也不尽相同，导致技术水平参差不齐，缺乏先进的隐私技术手段，技术创新成为明显短板，使得一些地方的隐私保护能力明显不足，容易造成隐私风险。

综上，政府数据开放中所要求的隐私保护是一项复杂的系统工程，尤其数据开放涉及识别性颇高的个人敏感信息等隐私数据，更易造成隐私风险的累积。当前我国大多数政府部门当中还未形成关于隐私管理的统一观点或标准，给隐私保护造成了一定的困难。本文希望在结合我国实际以及相关研究的基础上构建一个切实可行的隐私管理框架，旨在明确隐私风险的治理流程，建立完善的隐私管理体系，尽可能从源头上避免隐私风险的出现，提高政府数据开放的隐私保护水平。

2 我国政府数据开放的隐私管理框架

中央网络安全和信息化委员会于2021年12月印发《“十四五”国家信息化规划》，要求聚焦政府数据开放与安全隐私保护等多个方面，建立高效的数据要素资源体系，探索多主体协同治理机制。然而，随着技术的发展与互联网环境的变化，我国数据开放与隐私安全保护之间还未形成有效的平衡，政府部门至今尚未形成一个较为完整的数据隐私保护体系，如何协调数据开放与隐私保护的关系、稳妥推进隐私管理工作等问题还亟待解决。

从全球范围来看，许多发达国家在数据开放领域的发展较为成熟，为我国隐私管理工作的开展提供了有益的参考。加拿大税务局针对个人信息的妥善管理与保护发布了隐私管理框架，内容涉及隐私管理的目标、隐私承诺以及相应的保护措施[9]。同样，澳大利亚的公共部门出于隐私保护的考虑，提出了适用于公共部门的隐私管理框架[10]，这一框架制定了部门进行隐私管理、履行其隐私合法义务需要采取的4个举措[11]：首先，在组织中嵌入良好的隐私文化；其次，建立稳健有效的隐私实践、程序和系统；然后，进行评估以确保上一步采取的举措持续有效；最后，不断改进隐私流程以确保及时地对隐私问题做出响应。本文借鉴了澳大利亚政府部门的隐私管理思路与步骤，在结合我国数据开放实际的基础上，从制度与技术双轮驱动的视角出发，识别出了政府开放数据中进行隐私管理的关键要素并构建出了完整的隐私管理框架。如图1所示，政府开放数据的隐私管理框架由3个主要部分组成：制度创新、隐私科技与隐私管理实践。制度创新部分要求创新制度体系建设，建立与当前发展实际相适应的法律法规、隐私政策与指南等以保障隐私管理框架的执行；隐私科技部分提倡政府部门将隐私保护技术嵌入到隐私保护的日常运营流程中，在保护隐私的基础上保障数据开放进程；在制度创新与隐私科技的双轮驱动下，政府部门要进行相应的隐私管理实践，主要包括开放过程中的隐私管理和持续的隐私评估与审查两个部分。下面将更详细地讨论隐私管理框架的各个组成部分。

图1 政府数据开放的隐私管理框架

2.1 制度创新

当前，我国在政府数据开放隐私保护方面的法律法规相对滞后，主要依靠政策与实践来推动相关法律法规的建设。我们国家和地方层面都缺少可依据的、明确的关于如何保护隐私的制度体系，导致实际的隐私管理工作很难展开。建议政府部门针对政府数据开放中的隐私管理，研究制定配套的法规制度，如相关法律法规、隐私政策及隐私评估指南等，进一步推动数据隐私安全相关的制度体系建设，规范政府的隐私管理工作。例如，对数据开放的范围、格式、时效及优先顺序等做出明确规定，确保数据开放有据可循，从而减少数据开放的随意性，推动政府数据开放有序、规范发展。另外，由于大数据时代数据开放面临的隐私问题层出不穷，涉及因素众多且较为复杂，因此隐私保护的相关制度必须与时俱进，不断适应数据开放的发展要求。通过支持制度创新，鼓励政府部门在数据开放过程中持续地、定期地审视当前的隐私保护政策、法律法规及相关的隐私评估指南等，进一步明确我国政府数据开放的新要求，在数据开放的过程中不断调整、完善和发展这些制度与规则，进而为政府部门顺利开展隐私保护工作提供强有力的制度支撑。

2.2 隐私科技

隐私科技是指嵌入到日常运营流程中用于保护隐私的一系列技术解决方案，如同态加密、差分隐私、联邦学习、区块链及多方安全计算等[12]。目前，日益复杂的网络环境对隐私保护提出了更高的要求，传统的隐私保护技术也无法有效应对新的以个人信息为核心的数据隐私问题。而且，大数据时代海量数据动态变化，数据环境十分复杂，而数据共享开放涉及多个环节，精准严密的隐私科技是应对政府数据开放中隐私问题的有效手段。因此，针对政府数据开放中的隐私风险，既要在管理方面保障隐私科技的安全，也要用技术手段提升保护隐私安全的能力。一方面，政府可以建立专门的数据安全机构，通过完善技术相关的标准、更新管理手段来构建科学全面的隐私安全技术体系，从而减少新兴科技带来的不确定性。另一方面，政府自身要及时掌握隐私科技的发展态势，充分发挥新兴技术的优势，不断提升隐私保护的技术水平，逐步实现数据开放与隐私保护共赢的目标。

2.3 制度创新与隐私科技双轮驱动下的隐私管理实践

针对政府数据开放中出现的隐私风险，在制度创新和隐私科技的驱动下开展隐私管理的创新与实践是应对隐私风险的重要手段。因此，在政府的隐私管理实践当中，不仅要全方位地渗透隐私科技的力量、全流程地融入制度创新的元素，还要根据隐私实践的效果不断地改进制度与技术，形成维护开放数据隐私安全的长效机制，从而更好地应对诸多隐私风险与挑战。政府数据开放的隐私管理实践主要包括开放过程中的运营隐私和持续的隐私评估与审查两大要素，每个部分都有其各自的特点与构成，下面将逐一进行讨论。

2.3.1开放过程中的隐私管理

开放过程中的隐私管理是指将隐私保护融入到政府的运营政策和程序中，这有助于完善和改进隐私流程，以确保政府符合数据隐私法规和法律要求。开放过程中的隐私管理共包含开放流程管理、数据安全管理、服务提供商管理与突发事件管理4个部分。

a.开放流程管理。

政府数据开放涉及数据的创建与采集、组织与处理、披露与发布、存储与更新以及访问与使用等多个流程，需要不同部门的相互协同与配合。国家出台的《政务信息资源共享管理暂行办法》、《政府信息公开条例》以及各地方出台的《政府数据共享开放条例》等均强调了要加强对数据处理各个环节的把控，要求尽量避免数据开放流程中可能出现的各类隐私风险。因此，开放流程管理部分要求政府部门加强流程管理，指定当前开放数据管理的具体责任单位并明确其职责，做好本部门开放数据的收集整理、目录编制、开放共享、更新维护及安全保障工作，做到依法收集、提供、使用开放数据。

b.数据安全管理。

数据安全管理是指在数据的收集、存储、使用以及公开等过程中采取必要的措施，确保数据始终处于有效保护和合法利用的状态。目前，我国政府部门的数据安全管理仍然存在一定问题：一方面，不同地区的政府部门之间的数据安全管理水平参差不齐，尚未建立起统一的标准[13]；另一方面，现有的政策法规还不能完全覆盖数据安全保护的范围，侵犯数据隐私的方式也愈加多样而难以防范。因此，对开放数据的安全管理则显得尤为重要。

2021年1月，国务院办公厅出台了《关于建立健全政务数据共享协调机制加快推进数据有序共享的意见》，对政务数据有序共享作了明确要求，强调要全面构建政务数据共享安全的管理体系。政府部门是数据的直接责任者，整个开放流程都离不开政府部门的管控。全方位的数据安全管理要求各部门建立健全数据安全管理规范，进一步细化与量化数据分级分类的标准及规则，对于不同类型、不同风险级别的开放数据应当制定与其相适应的开放与访问机制。另外，政府部门的工作人员要树立数据安全意识，在日常工作中自觉加强隐私数据保护，逐步在实践中形成切实可行的隐私安全管理机制。

c.服务提供商管理。

随着信息化建设的日益深入，政府部门所积累的数据规模也越来越庞大。因此，政府部门越来越需要依靠外包机构及其提供的技术服务等来帮助运营和维护数据开放系统[14]，并在必要的时候参与数据的处理。由此，政府部门在采用服务提供商时就会面临一定的隐私问题，例如当外包产品不可靠时，极大地增加了隐私泄露的风险。在进行服务提供商管理时，政府部门应当针对数据隐私保护的实际情况，从隐私风险的角度确立清晰的服务提供商选择标准，对于在外包过程中可能发生的隐私风险进行定期的分析与评估，并确保风险控制措施的有效性与及时性，不断地调整与改进控制措施，避免因过度依赖服务提供商而造成的隐私风险。

d.突发事件管理。

近年来，我国由于数据开放所造成的隐私泄露事件层出不穷，不仅给公众的安全造成威胁，甚至还危害到国家安全和社会稳定。《数据安全法》规定：国家应建立数据安全应急处置机制。因此，政府部门可以借鉴其他领域的应急管理经验，制定本部门隐私泄露事件的应急预案，建立隐私泄露的通知制度，形成协同联动、动态响应、及时处置的隐私泄露应急体系[15]。当隐私泄露事件发生时，要依法采取相应的应急处置措施，及时通知相关部门与个人，将隐私泄露的影响降至最低，及时消除安全隐患，做到对泄露事件的高效、精确处置。

2.3.2持续的隐私评估与审查

隐私评估与审查应当在整个开放流程管理的过程中持续地进行。此部分的重点是实施隐私风险的控制流程即隐私影响评估来识别与降低隐私风险。持续的隐私影响评估审查能够控制开放过程中政府对于数据处理的自由裁量权，从而避免隐私泄露事件的发生。持续的隐私评估与审查包括4个方面：计划制定、隐私风险识别、监管与报告以及反馈与控制。

a.计划制定。

此部分涉及如何制定隐私影响评估计划，确保隐私风险评估的有序开展。在大数据时代，隐私影响评估不仅是政府部门加强隐私保护的重要手段，而且会成为常态化的工作理念与工作方式[16]。然而需要指出的是，隐私影响评估并不是一蹴而就的，而是一个持续的评估过程。因此，在数据开放的早期就应该将隐私的保护纳入其管理的每一个环节，即对整体项目的规划当中。因此，在进行隐私影响评估之前需要对其做出合理的规划，这要求政府部门明确隐私评估的目标、数据开放当前的发展状况、具体的实施步骤以及评估方式等关键要素。政府部门可以参照现有的《信息安全技术—个人信息安全影响评估指南》，制定针对政府数据开放的隐私影响评估指南，明确评估框架、评估流程以及反馈内容，为隐私影响评估的实施提供具体的指引。只有在数据开放过程当中对所收集、产生和共享的数据如何进行隐私评估做出合理规划，政府部门才能在数据开放中有序落实隐私影响评估，及时把握实施进程，确保隐私影响评估的顺利进行。

b.隐私风险识别。

隐私风险的识别是隐私影响评估的关键环节。政府数据开放涉及数据的采集、披露、保存、访问和使用等一系列环节，在生命周期的任何阶段发生隐私泄露都可能会对个人或组织造成不可挽回的损失。隐私风险的识别首先需要依据相关原则对政府数据开放中的隐私风险进行明确的界定，然后识别出每个环节可能涉及的隐私风险，最后综合确定风险等级，实现隐私风险的分级管控[17]。建议政府部门按照数据开放的生命周期对可能存在的隐私风险进行识别并分类，在此基础上形成基于数据开放生命周期的隐私风险检查表[18]，并在开放过程中不断加以更新调整，从而使风险识别结果更加全面、科学，提高风险的识别能力。另外，在风险识别的基础上，政府部门还应建立完善的风险分级策略，根据风险等级确定风险控制的优先顺序和控制措施，最大限度地防控隐私风险，预防和减少隐私泄露事件的发生。

c.监管与报告。

政府部门应当建立相应的监管与报告机制，以确保隐私影响评估的有效性，及时发现政府数据开放过程中的隐私问题。定期的监管机制对于保证评估流程与评估结果的正确性十分重要。政府部门应设立隐私影响评估的责任部门或负责人，由其负责评估整个评估流程的实施与改进，并对评估结果负责，以确保评估流程的准确性。报告机制要求各部门及时地对监管结果和发现的问题进行总结与评估，并将整个评估过程记录下来并生成隐私影响评估报告。政府数据开放隐私影响评估报告的具体内容通常包括评估报告的范围、实施评估与提交报告的人员、参考的政策法规、评估内容、风险评估过程、隐私风险等级和应对方案等。同时，可以借鉴国外的先进经验，鼓励政府部门及时向社会公众公布经过简化的隐私影响评估报告，从而促进政府部门持续提升隐私保护水平，增强公信力。通过监管与报告机制，可以帮助了解数据开放的最新进展与情况，并为未来应对可能发生的突发事件做好准备。

d.反馈与控制。

政府数据开放是一个动态的过程，这要求隐私影响评估应当随着数据开放的推进而持续进行。反馈与控制强调通过组织政策、程序以及相关的活动来降低隐私风险，并动态地对隐私影响评估的过程进行更新或改进。一方面在数据开放过程中，应建立书面、电子等多种信息反馈通道，及时将评估中所发现的隐私问题反馈给管理人员。通过反馈信息，管理人员可以把握当前的发展现状，还可以确切了解存在的各种隐私风险，从而强化反馈的作用，提高应对隐私风险的效率。另一方面，在信息反馈的基础上，管理人员根据前面所获得的总结性文件及报告，可以采取有效的措施对隐私风险进行针对性的调整与控制，逐渐完善隐私保护的管理体系，最大程度避免隐私泄露事件的发生。

3 结 语

有效应对政府数据开放过程中面临的各种隐私风险，不仅要防范因技术变革而引发的各种安全威胁，也要重视制度体系自身的变革与完善[19]。将制度创新与隐私科技相结合，实现双轮驱动，是推进政府数据开放的隐私管理实践的必然选择。本文通过回顾国家的政策法规及相关研究，应用“双轮驱动”的管理模式，将制度创新与隐私科技有机结合，进一步构建了由3个部分组成的政府开放数据的隐私管理框架并对其内容进行了讨论：制度创新部分强调政府要落实各项隐私保护制度，建立健全新形势下加强隐私保护工作的新制度与科学规范的管理机制，为进行隐私管理实践提供严格的制度保障；隐私科技部分指出政府部门要利用新兴技术来促进相关体制机制的完善，使其成为驱动政府开放数据隐私管理实践的重要因素；在制度创新与隐私科技的驱动下，隐私管理实践则要求政府部门在整个数据开放过程中进行全面的隐私管理以及持续的隐私影响评估，从而有效预防与控制隐私风险的发生，促进政府数据开放的可持续发展。在未来的研究中，我们希望能够通过在政府部门实际地应用本文提出的隐私管理框架，来建立一套切实可行的数据开放隐私管理标准，从而使我国在政府数据开放过程中的隐私保护水平不断提高，进一步推动政府数据开放的发展。