吴宁博 李金燕 杨 帆 丁红发,2

(1.贵州财经大学 贵阳 550025;2.公共大数据国家重点实验室 贵阳 550025)

0 引 言

近年来,我国政府数据开放以及开放平台建设得到了蓬勃发展。截至2022年10月,我国已有208个省级和城市的地方政府上线了政府数据开放平台,其中省级平台21个(含省和自治区,不包括直辖市和港澳台),城市平台187个(含直辖市、副省级与地方行政区)[1]。我国政府数据开放有利于实现协同高效的数字政府服务和数字社会治理,提升数字政府建设水平和公共服务质量。然而,随着我国政府数据开放实践的广度与深度推进,逐渐显现出政府数据开放平台整体面临隐私保护欠佳的问题,突显出数据开放与隐私保护的矛盾[2-3]。我国政府数据开放过程中存在的个人隐私泄露风险会引发隐私侵害,甚至危害自然人的人身及财产安全,阻碍政府数据开放的发展,因此数据隐私问题需要得到政府关注[4]。2016年至今,我国颁布实施的《数据安全法》《网络安全法》以及《互联网个人信息安全防护指南》等法规政策[5-7],在条款内容中明确了个人隐私安全的重要性。尤其是2021年11月1日起实施的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)[8]更是为保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用而有针对性的法律条款文件。因此,我国政府数据开放实践中加强个人隐私保护更是迫不及待,要合理、合规地获得数据开放与隐私保护的均衡,实现两者的协同发展成为了亟待解决的问题。

为解决政府数据开放中的个人隐私安全问题,实现数据开放与隐私保护均衡发展,提升政府开放数据治理能力。本文贯彻落实《个人信息保护法》等相关法规政策条款内容,构建隐私风险检查表,分析我国政府数据开放中存在的隐私风险,利用风险程度相适应的制度和技术方面的隐私保护措施,研究探讨我国政府数据开放中的隐私安全治理实施路径,以期对我国政府数据开放实践加强个人信息保护提供借鉴,促进“十四五”时期我国打造数字政府服务体系和提升数字社会治理能力。

1 研究综述

关于政府数据开放中涉及的个人隐私安全问题,目前学术研究者主要从隐私风险分析及其风险治理两个方面开展研究与探讨。隐私风险问题的相关研究可依据研究视角不同划分为政府数据开放过程的隐私风险分析、隐私风险来源及类型和隐私风险识别等方面。对于隐私风险的研究与探讨是提出隐私风险治理策略方案的前提,当前隐私治理主要从法律政策、隐私管理、用户视角和技术应用等方面进行探讨。

从政府数据开放过程的角度,黄如花、等提出数据创建与采集、数据组织与处理、数据存储与发布、数据发现与获取、数据利用与增值5阶段政府数据开放生命周期管理模型[9],为开放过程的隐私风险分析提供了理论基础。借鉴政府数据开放生命周期理论,张聪丛[3]、丁红发[10]、吴钟灿[11]等分析了政府数据开放各生命周期阶段所面临的隐私风险问题。从隐私风险来源及类型角度,夏义堃将政府数据开放中的风险隐患分为国家安全风险、政治风险、行政风险、隐私风险、社会风险、经济风险等几类,从数据泄露、数据权侵害等方面论述政府数据开放风险的表现形态[12]。陈美指出城市政府数据开放中会面临直接识别数据、间接识别数据、元数据、地址数据、地理坐标等隐私风险[13]。从隐私风险识别角度,才世杰等阐释了政府数据开放风险的内涵,提出建立政府数据开放风险识别与应对的具体对策[14]。郝文强[15]构建政府数据开放隐私风险识别机制框架进行隐私风险识别,指出政府数据开放中存在目的无关、告知意外等8个隐私风险要素。这些不同视角出发开展的政府数据开放隐私风险研究具有客观性,但受研究者视角不同,给出的隐私风险因素存在差异,尚缺乏合规性和针对性,因为政府数据开放中只有涉及个人信息的数据泄露才存在隐私风险,因此从个人信息在政府数据开放的处理过程中分析隐私风险才能更科学、精准地判定隐私风险。

针对政府数据开放的隐私风险治理,黄如花[16]、杜荷花[17]、孙瑞英[6]等从法律政策角度研究了我国政府数据开放平台的隐私保护现状,提出平台加强个人隐私保护与治理的对策建议。储节旺等通过梳理分析美国政府开放数据隐私政策文本,指出我国政府开放数据中的个人隐私保护体系构建思路[18]。臧国全等分析政府数据隐私相关文本,设计了一个政府数据中敏感数据识别方案,可在政府数据隐私治理的隐私风险防范及隐私保护规范化方面提供支撑[19]。法律政策是指导,管理是实践,隐私管理方面,李瀛等构建了包含制度创新、隐私科技和隐私管理实践3方面的我国政府数据开放隐私管理框架[2]。总体上,制度、组织、技术和素养[20]是探讨隐私管理及其实现路径的四个主要层面。谈及政府数据开放的隐私治理脱离不了其中所涉及个人信息存在的隐私风险,由此从个人角度出发探讨隐私风险识别、隐私风险评估和隐私风险控制成为构建用户参与隐私风险共治的新思路[21]。依据信息主体身份,从公众角度开展政府数据开放的隐私信息治理[22]及政府数据开放平台评估[23-24]是提升政府数据隐私信息治理能力的有效途径。此外,隐私科技的技术手段被用于政府数据开放隐私风险治理中实现隐私增强,如匿名去标识[25]被应用于政府数据开放过程中,实现个人数据匿名化达到在政府数据隐私风险控制中保护用户隐私的目的[26]。这些研究工作涉及政策、制度、管理及技术等多维度,积极地推动了政府数据开放的隐私治理。

综合隐私风险及其治理的相关研究,当前我国政府数据开放中面临的隐私风险问题已成为学者关注的热点主题,研究取得了显著进展。但是现有工作较多的是围绕隐私风险来源、隐私风险识别及其类型划分和防控展开,而更进一步的隐私风险治理侧重于政策、制度、管理和技术层面,较少考虑以用户个人为主体,在政府数据开放生命周期阶段过程中面临的隐私风险因素,可能导致针对隐私风险提出的隐私风险治理欠缺精准性,使得治理不足以达到预期的效果。同时,《个人信息保护法》实施至今应该在政府数据开放隐私风险治理中发挥引领和规制作用,但是现有成果所关注的政府数据开放隐私风险及其风险治理,鲜见有学者从个人和法律政策合规性的角度,研究政府数据开放过程中个人信息隐私风险治理问题。而政府数据开放中所涉及的个人信息才可能会存在隐私风险,它是隐私风险分析和隐私风险治理的关键要素。鉴于此,本文以《个人信息保护法》的政策文本为强有力依据,遵循政府数据开放的个人信息处理阶段过程,分析判定存在的隐私风险要素,进一步探讨与之对应的隐私风险治理实施路径,将隐私风险及其治理与政府数据开放中的个人主体对应,对科学、精准实施隐私风险治理具有重要作用,推动我国政府数据开放隐私治理合规与良序发展。

2 政府数据开放的隐私风险分析

梳理政府数据开放面临的隐私风险来源、类型、风险因素等,开展隐私风险分析,是研究探讨隐私风险治理路径的重要前提。对此,政府数据开放隐私保护制度[15]、政府数据开放生命周期理论[9,11]为政府数据开放中的隐私风险分析提供可操作的方法。

2.1 隐私风险判定原则

政府数据开放中的隐私风险问题和自然人具有密切关联,由此认为,政府数据开放中的隐私风险本质上是所涉及到的个人信息在收集、传输、发布等数据信息处理过程中面临的隐私泄露风险。鉴于此,我国政府数据开放中的隐私风险分析可依据《个人信息保护法》中对个人信息处理的相关条款内容,识别判定信息处理过程中存在的隐私风险。首先内容分析法分析《个人信息保护法》的法律政策文本,确定政府数据开放中的隐私风险判定原则:

a.最小与公开透明原则

《个人信息保护法》第一章总则第六条,收集个人信息应当限于实现处理目的的最小范围,不得过度收集个人信息。由此,政府收集个人数据信息应具有明确合理的目的,收集与目的直接相关的最小范围信息,不得过度收集个人数据信息。目的相关的个人数据信息只能是一项或若干项明确合法、正当取得[15],并在合理范围内处理个人数据信息。同时,依据第七条,公开透明是指政府要公开个人数据信息处理规则,明示处理的目的、方式和范围。

b.知情与同意原则

知情是指政府要履行告知义务,保护个人在收集、存储、使用、加工、传输、公开等个人数据信息处理活动中的信息权益,向个人数据信息拥有者告知信息处理的规则,包括处理目的、方式、处理个人数据信息种类、保存期限等。同意原则是指除履行法定职责或者法定义务、应对突发公共卫生事件等规定情形,政府在处理个人数据信息时应向个人告知处理目的、方式,取得个人单独同意,获得允许和许可的个人数据信息处理。

c.合法与合理原则

合法原则是政府对个人数据信息处理过程要符合《个人信息保护法》等法律法规的政策要求,规范个人数据信息处理规则,不得非法买卖、提供或者公开他人个人数据信息;不得从事危害国家安全、公共利益的个人信息处理活动。政府要遵从法律条款,为合法正当目的而采用合适的方式处理个人数据信息。合理原则是指政府要有合法充分必要的目的,在必要的范围和限度内合理处理个人数据信息。

d.安全与保护原则

安全原则是指政府应对个人数据信息种类的分类管理,采取合理而必要的安全措施。例如,敏感个人信息、未成年个人信息等特殊种类的数据信息处理;处理目的已实现、保存期限已届满应主动删除个人数据信息。保护原则是政府为防止个人数据信息的泄露、篡改、丢失,应采取必要的制度规范和安全技术措施。制度规范包括管理制度、操作规程、专门的处理规则和标准等;安全技术措施包括加密、去标识化、访问控制等。

2.2 隐私风险判定

隐私风险存在于政府数据开过程中涉及个人信息处理的各个阶段中,由此从个人信息生命周期角度着手分析政府数据开放中的隐私风险问题成为较好的选择。关于个人信息生命周期,2019年公安部网络安全保卫局等三部门联合发布的《互联网个人信息安全保护指南》,在3.8节将其定义为包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。然而,在《个人信息保护法》第一章总则中的第四条定义个人信息的处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。两者在其表述中侧重点略有不同,前者使用“应用”表达个人信息适应需要,以供使用,体现出个人信息处理系统涉及的个人信息生命历程,后者采用“使用”和“加工”侧重个人信息的处理活动,分别表达出个人信息的一次使用和二次使用,既是说为数据红利而对个人信息的直接使用和开发利用。在仔细分析与对比现有成果中不同政府数据开放生命周期阶段[3,9,11]的划分,均体现出数据的开发利用与增值。由此,我们本着“规范个人信息处理活动,促进个人信息合理利用”的目标,提出政府数据开放中的个人信息生命周期6阶段理论,包括个人信息的收集、存储、应用、传输、发布、删除6个阶段。其中,收集是初始阶段;存储涉及组织和管理;应用涉及个人数据信息的使用和加工,体现出为适应数据使用需要而对个人数据信息进行的开发利用从而产生数据增值的处理过程;传输是个人数据信息的二次流转与分发;发布包含提供和公开两个信息处理活动,是实现数据利用与增值的关键处理环节;删除指个人信息的遗忘和销毁。

隐私风险检查表[15]包含风险检查项目的核心要点,能够发现个人数据信息在处理流转过程中面临的各种风险要素,为分析政府数据开放中的隐私风险提供了科学的方法。隐私风险分析从个人信息角度出发更有利于系统全面的识别判定隐私风险要素。为此,本文依据所构建的个人信息生命周期理论,利用政府数据开放的隐私风险判定原则,编制隐私风险检查表(如表1所示),从隐私风险的来源、隐私风险要素等方面逐阶段的分析判定个人信息在政府数据开放中面临的隐私风险。

表1 基于个人信息生命周期的隐私风险检查表

《2022中国地方政府数据开放报告》(省域指数)[1]显示截至2022年10月,我国已有安徽、福建等21个省本级上线了政府数据开放平台。由于在2023年2月,甘肃省公共数据开放平台、湖北省公共数据开放平台等3家政务数据开放平台暂处于无法访问状态。所以,本文以现有的18个省本级平台为样本,实证调研分析政府数据开放平台的隐私政策,平台使用注册的个人信息收集以及保存和使用等方面的内容披露,文本内容逐项对比分析所编制的隐私风险检查表的检查项目与平台披露,最终获得18个省本级政府数据开放平台的调查结果,如表2所示。

图1 基于个人信息生命周期的政府数据开放隐私风险判定

省本级政府数据开放平台的调查结果表明,不会主动地将用户个人信息泄露给任意第三方的占比61.1%,承若严格管理和保护个人信息的有38.9%,披露个人信息收集目的、内容和方式的有27.8%,数据开放平台注册使用时要求提供姓名、身份证号等敏感隐私信息的有61.1%。同时,调查还发现目前我国政府数据开放平台关于个人隐私信息的披露差别明显,整体上体现出对个人隐私风险管控不完善的现状,尚存在诸多的隐私风险。根据检查结果,我们利用政府数据开放中的个人信息生命周期,遵循隐私风险判定原则,仔细剖析、判定各阶段存在的隐私风险要素,得到如图1所示的隐私风险判定结果,(见图1):

2.2.1个人信息收集阶段的隐私风险分析

依据最小与公开透明原则,收集阶段主要存在着目的无关风险、过度收集风险和告知外风险。目的无关风险[11]是政府在收集个人信息时目的不明确或与职能活动和目的不相关,从而导致用户个人隐私权益受到侵害的风险。过度收集风险是和目的相关,但违背了最小信息收集原则,政府收集过多额外信息从而加剧个人信息泄露的风险。政府收集履行告知义务,但存在数据收集内容、目的和使用方式等告知不合规的问题,从而无形或潜在的侵犯个人信息处理知情权,产生告知外风险。

2.2.2个人信息存储阶段的隐私风险分析

尽管调研的政府数据开放平台大多声明采用相应技术措施严格管理保护个人信息,但有平台在免责声明中对不可抗力因素做了解释。因此,平台存储阶段仍然面临着计算机病毒、黑客攻击等和平台管理疏漏两大类隐私风险。第一,个人隐私信息存储可能遭受计算机病毒、黑客恶意攻击从而导致数据信息泄露和窃取;第二,由于信息安全管理、存取访问控制等制度疏忽,个人信息可能遭受披露风险。

2.2.3个人信息应用阶段的隐私风险分析

依据合法与合理原则,在对个人信息进行使用、加工的应用处理过程中主要存在着四类隐私风险。a.非严格保护措施下的敏感个人信息处理风险是指使用、加工敏感信息时没有严格的保护措施而导致个人隐私信息泄露;b.质量低下风险主要是指个人信息的残缺或错误风险,由于信息的不准确或者不完整甚至错误对个人信息使用产生的不利影响;c.非必要范围的个人信息处理风险是指违背最小原则,处理实现目的外的非必要信息而带来的风险;d.必要措施不完善风险是指在使用、加工个人信息时所需要采用的必要制度和技术措施不完善而产生的隐私风险。

2.2.4个人信息传输阶段的隐私风险分析

数据信息的流转分发等传输阶段存在着未授权同意风险和传输泄露、丢失、篡改风险。前者是指违背了知情与同意原则,政府在数据流转、加工等传输过程中未告知征求个人同意而产生的未授权风险;后者是指由于遭受窃听、攻击、入侵等因素造成的泄露、丢失和被伪造篡改,给个人信息造成的破坏和伤害。

2.2.5个人信息发布阶段的隐私风险分析

依据安全与保护原则,个人信息在提供和公开披露等发布过程中需要采取合理的安全保护措施,但其仍面临着四类隐私风险。首先,重新识别的风险是指政府采取的匿名技术措施落后,去标识化程度不高,身份隐藏不足,导致在有可辅助数据背景下能够连接重新识别个人身份,披露个人标识;其次,发布披露个人信息时,存在应用安全技术保障不足而产生隐私风险,如匿名泛化程度不高等;此外,定期开展安全风险评估滞后,导致发布时未能及时准确的预料风险,采取必要的防范措施,从而引起个人信息泄露,成为隐私风险要素;最后,存在没有按照安全保护原则制定的管理制度、处理规则等,因操作违规不合理加剧个人隐私泄露,从而具有操作违规风险。

2.2.6个人信息删除阶段的隐私风险分析

安全原则中要求政府在处理目的已实现、停止提供产品或者服务,或者保存期限已届满等情形下,应主动删除个人信息。但是,删除阶段可能因未履行删除与遗忘,产生失信违约风险从而具有个人隐私信息泄露的隐患。

3 隐私风险治理实施路径

为促进政府数据开放的安全合规,保障个人信息安全权益,防范存在的隐私安全风险,解决我国政府数据开放的隐私问题,本研究提出以下隐私风险治理路径:

3.1 制定管理制度和规范操作规程

根据政府数据开放中涉及的个人信息种类以及使用、加工等信息处理的目的和方式,针对个人信息生命周期阶段中面临的目的无关、过度收集以及告知外风险等隐私风险要素,政府部门需制定完善的管理制度和操作规范,实施隐私风险治理。a.政府部门要分析有关个人信息的处理目的,制定信息收集标准、内容、范围和方式,以最小化收集的制度规范规避目的无关和过度收集风险,同时,对收集的内容和范围等形成合规性声明及时告知信息所有者,降低告知外风险发生的可能。b.政府部门要依据个人信息种类,制定数据分级分类管控制度,形成各阶段的数据信息处理规范。首先,建立个人数据信息的分类组织与存储和必要范围的个人信息处理制度规范是政府部门有效降低非必要范围的个人信息处理风险的途径;其次,制定并完善严格保护措施的个人信息处理制度规范及授权同意的管理制度规范是规避非严格保护措施下的敏感个人信息处理风险、必要措施不完善和未授权同意风险的有效方法;最后,政府部门应当建立并完善数据审查和发布的标准制度规范,遏制质量低下风险。c.定期开展事前、事后隐私风险评估,规范合规审计流程。首先,合规性角度依据《个人信息保护法》,政府部门有必要成立独立的隐私管理职能部门,建立并完善隐私风险评估体系,拟定隐私风险评估指标,指派专门的隐私专员周期性开展隐私风险评估工作,降低安全风险评估滞后带来的风险;其次,制度化形成隐私风险评估记录规范,加强规范隐私审查流程,防控平台管理疏漏风险和人员操作违规风险发生。d.建立健全社会监督和投诉反馈制度,一方面政府部门定期发布数据开放的个人信息保护社会责任报告,接受社会监督;另一方面,政府部门开通隐私侵权的投诉反馈渠道,成立隐私投诉处理专人小组,及时收集意见和建议。利用监督和反馈机制协同治理平台管理疏漏和操作违规风险。

3.2 采取风险适应的安全技术措施

根据《个人信息保护法》五十一条款内容,可以应用加密、匿名、访问控制等安全技术措施实现政府数据开放的隐私风险治理。第一,政府部门在保护个人数据信息机密性、完整性方面,应针对个人信息种类敏感性不同,分类应用对称密码和非对称密码技术对关键信息要素进行加密,降低计算机病毒、黑客攻击等带来的数据窃取、篡改,抵御存储和传输阶段存在的信息泄露、丢失以及篡改的隐私风险。第二,政府部门要积极开展隐私风险评估工作,事前评估后制定匿名去标识化、身份隐匿方案;事后评估去标识化被连接重新识别身份信息的风险,动态调整隐私保护强度,降低重新识别的风险。第三,政府部门有必要明确个人数据信息的访问授权规则,利用身份、角色授权的访问控制技术实现专人专员的个人信息处理,防止未授权的非法访问导致个人信息泄露。综合上述三点,政府部门要能够根据个人信息种类及其面临的隐私风险,由专门的隐私专员在开展隐私风险评估后合理的选择、采用与隐私风险相适应的加密、匿名去标识化、访问控制等安全技术措施,避免安全技术保障不足的风险,保障个人隐私安全。

3.3 提升人员隐私素养和实施用户参与共治

政府数据开放的隐私风险治理需要政府部门人员、用户等多方参与实现协同共治,政府部门能够定期开展隐私教育培训,提升人员隐私素养,增强隐私保护意识,将会对政府数据的隐私保护具有重要作用[21]。主要体现在两方面:一是《个人信息保护法》第五章个人信息处理者的义务部分指出政府部门是政府数据开放的第一责任方,具有履行保护职责的义务,由此政府部门在隐私风险治理中开展隐私教育培训,让相关从业人员在教育培训中认识到个人隐私信息面临的风险以及信息泄露的后果,进而强化提升加强个人隐私保护的意识;同时,教育培训中学习掌握所制定的制度规范、操作章程、安全技术保障措施等,有利于加强平台管理,做到操作合规。二是根据《个人信息保护法》六十一条、六十五条,政府部门实施隐私风险治理,有必要面向用户个人开展宣传教育,普及隐私安全知识,有针对性的进行实际操作、法律知识方面的教育培训,增强个人隐私安全和法律维权意识。此外,结合社会监督和投诉反馈制度,为用户参与隐私风险治理提供便捷的交流反馈渠道,提高用户参与隐私风险治理的成就感和满意度,激发用户参与共治的积极性,这能够规避平台管理疏漏和失信违约风险。

4 结 语

政府数据开放的隐私风险治理目标是保障所涉及个人隐私信息安全的同时促进数据的利用增值,实现数据开放与隐私保护均衡发展。为提升我国政府数据开放的隐私风险治理水平,本文分析了《个人信息保护法》的政策文本内容,确定隐私风险判定原则,编制隐私风险检查表。进一步,从个人和法律政策合规性的角度,提出面向政府数据开放的个人信息生命周期理论,分析判定各阶段存在的隐私风险要素。针对隐私风险要素,提出应对各隐私风险的治理对策,从而探讨我国政府数据开放的隐私风险治理路径,为相关隐私风险分析及其治理研究提供一种新的可借鉴思路,有助于推动我国政府数据开放健康发展。