國外政府行政檔案數據共享中的信任平衡研究——以英國NHS 健康數據為例

羅亞利

世界各地的政府部門和機構定期收集公民與國家政府機構互動產生的行政檔案數據，視其為“信息資產”[1]，通過共享和重復利用來開發行政檔案數據潛力，提高政府工作效率，促進各項社會研究。隨著信息技術的發展，信息檢索和處理的效率更高，數據統計的技術更強，當數據共享與商業行為結合在一起時，共享數據的動機難免令人生疑，甚至有時會侵犯公民隱私權，這便會損害公眾與政府部門的良性互動及其參與國家事務管理的信心。數據主體和廣大公眾的信任是實施政府數據共享計劃的必要因素，其中核心問題是公眾是否能夠相信政府具備在數據共享與隱私保護之間保持平衡的能力。本文探討英國在共享和重復利用政府行政檔案數據的過程中涉及的信任概念，以期論證公眾對政府數據共享計劃的信任取決于數據管理與利用的各方參與者之間的信任平衡。雖然文章只是對英國2014 年到2017 年的健康數據管理進行案例研究，但其所涉及的信任問題具有較強的代表性。

一、研究方法及相關概念

1. 研究方法。文章對英國行政檔案數據研究中心（Administrative Data Research Centre in England，ADRC-E）提供的2014 年到2017 年政府健康檔案數據進行案例研究，探討各方利益相關者對行政檔案數據共享和重復利用的觀點，提高公眾對數據共享的認識。此研究通過網絡搜尋獲得關于英國公民健康數據的結構化訪談資料，以文獻分析和系統文獻綜述為支撐，以相對非結構化概念框架進行深入分析和探究。文章所利用的健康數據來自英國國家醫療服務體系（National Health Service，NHS）。NHS 于 2013 年成立，其日常工作嚴格遵守英國政府2012 年出臺的《健康與社會保障法案》（Health and Social Care Act）所含的收集、處理和訪問數據的規定[2]。英國公民健康和社會保健信息中心（Health and Social Care Information Centre,HSCIC）是NHS 的下屬機構，通過ADRC-E 網站公開發布自2014年度以來的公民健康數據，并定期添加和更新數據，其中主要是醫院統計數據，包含10 億多人次急診和門診就診記錄。

從ADRC-E 可知，健康數據案例研究采訪了35 位匿名調查對象，如表1。

表1 健康數據案例研究采訪對象

采訪提綱如下：A.介紹研究類型。B.介紹最近利用政府行政檔案數據所進行的研究項目。C.研究項目所利用的行政檔案數據來自某個單一部門？還是涉及到多個部門？D.是將行政檔案數據用于某個研究項目？還是重復利用相同的數據進行其他研究?

2.相關概念：信任的檔案學意義。信任的檔案學意義是以記錄作為對象，圍繞著什么使檔案記錄“值得信賴”這一問題展開探討。信任定義包含“公眾信任”，“公眾信任”取決于數據是否記錄事實的本來面貌，即具有真實性；并且不受篡改影響，即具有可靠性。而公眾對數據可靠性和真實性的信任取決于記錄有足夠的監管條件，強調數據應該由“可信托管人”和“可信儲存庫”進行雙重保護。可信記錄、可信托管人和可信存儲庫之間的三方關系是加拿大多倫多大學教授、檔案學家Heather MacNeil 所指出的傳統檔案科學“中心內核”[3]。

“可信托管人”和“可信存儲庫”是保證記錄真實性和可靠性的重要機制，但廣大用戶與記錄的互動對記錄真實性和可靠性的影響基本上未被考慮。現代數字記錄呈很強的流動性和多樣性，記錄存在的時空狀態不斷變化，使得公眾對記錄的信任呈流動變化的結構。因此，可以從社會學和心理學層面解讀信任，將信任概念化為態度和情感。如：美國加利福尼亞大學哲學教授Philip·Nickel 強調，信任者和被信任者之間的關系由責任感和義務感支撐；英國哲學家O’Neill 認為，信任是在“不確定情況下”的理性判斷，認為信任在促進合作性社會關系中有重要作用；美國社會學家Luhmann N認為，信任是“允許承擔風險的決定”[4]。以上的信任概念表明，對人和事物的信任可以在動態和多層次的社會結構聚合中運行，關于政府行政檔案數據共享和重復利用，當用戶與政府機構、數據管理系統和流程進行交互時，便可建立不同層次的聚合實體之間的信任。

二、信任平衡抽象系統

為了理解信任和信任關系如何在政府行政檔案數據的共享和重復利用中發揮作用，基于以上的研究方法和相關概念，本文分析了ADRC-E 上所列出的采訪數據，構建出一個信任平衡抽象系統模型（如圖1 所示），用以描述共享和重復利用健康數據的各利益相關者間的相互依存關系。該模型把利益相關者分成三大組：數據提供者、數據用戶和數據主體。這些利益相關者的關系是由監督機構、媒介群體、媒體和廣大公眾形成的。模型中的每個利益相關者之間有著復雜的相互依存關系，并受到責任和義務約束，力求保持平衡。

圖1 信任平衡抽象系統

1. 抽象系統中的匿名聯接。英國著名社會理論家Anthony Giddens 在《現代性的后果》中指出現代抽象系統的興起是全球化特征之一，傳統的面對面互動模式讓位給了包含多種技術或專業知識體系的遠程關系，重構了各種交互關系，人們以匿名方式與世界互動，人與人之間的關系存在很大的時空間隔[5]。同樣，查閱利用政府行政檔案數據的研究人員與數據提供者之間的關系發生了本質轉變，以前的研究人員通常與政府行政檔案數據保管者建立牢固的一對一關系，通過非正式訪問途徑獲取目標數據；而現在主要采用一種標準化的、非個人的數據訪問機制。從圖1 可知，構成政府行政檔案數據的共享和重復利用抽象系統的匿名鏈接的主要因素有：數據延伸遠離了原始的交互關系；系統內數據流的復雜性和不透明性；參與數據管理和交互的機構數量增多；系統內部相互作用的非個人化特征日趨明顯。

以英國健康數據為例，將患者信息通過數據編碼提取出來，作為大數據集的一部分，并在重新配置中對之進一步編碼。隨著與健康和社會保障領域的全面連接，這些數據集被擴展并延伸到多個時空，并被第三方重復利用。這些交互都將數據從創建環境中進一步編碼提取，數據使用者和數據提供者之間的關系變得越來越疏遠。相同的數據保管者對不同的數據集負責，從個人網關獲取的抽象和匿名的標準化協議是管理數據提供者與研究人員之間關系的依據，監管主體和安全環境提供者負責數據的質量和安全，匿名的管理過程完全取代了傳統的人際關系紐帶。大多數研究人員認為匿名訪問更公平，能得到更廣泛的數據專業知識，促進其對政府行政檔案數據的充分理解和科學分析。

2.抽象系統中的相互依存關系。抽象系統中的信任平衡關系的概念，是通過深入分析受訪者對存在于利益相關者之間的相互依存關系而得出的。受訪的研究人員探討了界定、調整和開展數據共享的活動及其過程，從自身利益出發，以負責任的方式處理數據，而不負責任的行為將導致個人及其機構聲譽受損，并被排除在未來的研究活動之外。在英國，大多數研究人員在研究機構或大學工作，當他們被允許獲得政府行政檔案數據時，必須遵守利用數據的規則，違反或濫用這套規則的懲罰是相當嚴厲的，如無限期地取消其獲得英國經濟與社會研究委員會（ESRC）研究資助的資格[6]。所以，研究人員認識到個人行為會影響系統整體，盡力確保自身行為的合理性，也意識到維護包括數據提供者、數據主體、廣大公眾、研究機構和研究團體在內的其他利益相關者的關系（見圖1）的重要性。

關于這種相互依存關系，Philip Nickel 認為是由責任感和義務感共同驅動的；英國社會學家Russell Hardin 則認為是基于“封裝利益”驅動的信任：研究人員和研究機構之間存在利益關系，每個利益相關者的行為都會影響到研究群體的聲譽以及所有的信任關系。利益相關者之間相互依存，要求每個人履行自身的責任和義務，這使抽象系統的信任平衡變得穩定。

三、基于抽象系統的公眾信任

1.確保數據完整性和可靠性。如圖1 所示，在共享政府行政檔案數據的信任平衡抽象系統模型中，政府數據監管主體保證數據本身的完整性和可靠性是獲得公眾信任的前提。為此，專家們開展了各種探討，最具影響力的是受采訪的英國檔案數據政策顧問Caldicott提出的數據安全審查措施。

她以健康數據的利用為例，認為數據共享包括直接治療和間接參考。她指出，醫院通常將病人的二級護理數據與病人初級保健數據聯系起來，識別出有疾病風險的病人，并通知家庭醫生檢查他們的醫療計劃。然而，數據外推的有效性依賴于潛在的數據質量和鏈接的匹配率。但數據提供者不能保證數據的完整性及其鏈接質量和可靠性，根據NHS 的內部報告顯示，標識符用于數據集內部和跨數據集之間的記錄鏈接，不完整或不準確的標識符會導致數據鏈接錯誤，出現“錯過匹配”，即記錄數據不能被準確鏈接；或者出現“錯誤匹配”，即屬于不同數據主體的記錄數據被錯誤地鏈接在一起，而且這些鏈接錯誤通常是隨機分布的，對臨床實踐和病例分析產生不利影響[7]。

因此，Caldicott 指出，NHS 的醫療服務人員跟不上信息技術發展的步伐，應該由信息技術承包商、英國公民健康和社會保健信息中心（HSCIC）的專業技術人員來評估信息技術的發展程度，及其對政府行政檔案數據管理和共享的方式的影響程度，采取必要的管理、檢查和保障措施，來加強對NHS 健康數據的監管，以保證數據的完整性，并確保在個體病人數據共享中所利用的數據的適用性、有效性和可靠性。

2.定位透明度臨界點。受訪者提出了他們關于確保公眾信任政府行政檔案數據共享計劃的建議，指出關于此項計劃的目的、實施及其保障，并強調設置透明度是確保公眾信任的最有效措施，它使公眾明白自己的數據因何種目的被利用。受訪者認為，應該增強數據流、系統及方案的透明度，為那些期待對數據共享計劃、系統和流程有更深入了解的人們提供認知機制。

雖然提倡透明度，但大多數受訪者認識到數據流、控制系統、組織角色、數據類型及數據用戶的多樣性，并指出法律監管框架和監督機構構成的監測和保護系統具有很強的復雜性和技術性。Anthony Gidden 認為，抽象系統中的公眾信任依賴于公眾對其中各種知識的掌握程度：“這很有挑戰性，因為數據共享和數據鏈接是非常復雜的，人們通常不了解他們的信息是如何被社會研究機構利用的，尤，在跨機構共享、整合健康和社會醫療數據方面存在知識空白，因此必須盡早幫人們建立相關知識庫，使其認識數據共享和社會研究的關系。”[8]

然而，由于社會立法框架支持信息自由，政府數據共享計劃的執行比較公開，當公眾通過媒體而不是公共機構得知數據共享計劃的相關知識時，會滋長懷疑情緒，因此透明度太強可能會產生反效果。在處理透明度問題時，重點是研究如何在信息過多和信息過少之間取得平衡，關于這個問題的更深層次的研究與接受點有關，即在建立政府行政檔案數據共享和利用信任平衡時，需要一個點作為研究人員和公眾在數據使用過程中均可接受的邊界的共同起點（如圖1 所示）。不妨將之描述為透明度臨界點，從這個點上，公眾了解數據共享系統及流程的相關知識，控制數據利用過程中的透明度，從而形成牢固的公眾信任平衡關系。

3.關注數據倫理問題。

（1）區分信任與可信度。在信任平衡抽象系統中，政府數據監管主體嚴加審查，建立智能問責機制，即根據數據共享和政府審查之間詳細協議尋求公眾與政府行政檔案機構之間的信任平衡，目的是通過各種檢查措施證明數據記錄系統的安全性和可靠性，增加政府數據管理系統的可信度。在信息風險社會中，遵循可信標準，采取有效和適當的審查措施，其預防和制裁功能是信任問題的補救措施，能增強被信任者的可信度。但可信度和信任不是對等的。加強政府數據管理的審查，不會獲得更穩固的公眾信任，反而會減少數據提供者和研究人員之間的信任，提高可信度可能會加深公眾對其尋求可信度的各種措施的不信任。正如O’Neill 的所說，增加可信度的措施可能會增加“官僚主義的色彩”，激起不信任感[9]。而且，增加可信度的措施會導致低效率，損害研究人員和數據提供者之間的“封裝信任”——研究人員相信能及時從數據提供者那里獲得數據，數據提供者相信研究者不會濫用數據。

英國健康醫療大數據平臺項目的失敗便是一個例子。2014 年，該項目把英國公民健康和社會保健信息中心（HSCIC）收集的數據鏈接起來，以便更好地規劃和管理，并展開更全面的整體人口健康狀況研究，進行更有效的護理，創新醫療服務模式。然而，該計劃受到了政府的嚴格審查，且過程冗長，導致了公眾信心的喪失，100 多萬公民選擇退出項目，不再提供自己的醫療數據，項目無限期被擱置。研究者指出，英國健康醫療大數據平臺項目未能產生“社會合法性”的原因是公眾懷疑項目的可信度[10]。

（2）協調透明度與數據倫理。將數據系統和數據流對公眾開放是有風險的，如果數據可以用于公共利益，那么就默許它被利用，但不能確定是否有人破壞或濫用數據。在英國，監管共享和重復利用數據的人員面臨的現狀是：行政檔案數據越來越多地由政府部門共享，并被重復用以支持其他政府政策。比如，2016 年，NHS公民健康數據用于移民執法，防止非法移民，此次數據共享舉措引發了公眾爭議，某些反對數據共享的隱私游說團體提出：“這不是一個數據共享協議，而是一項秘密政府計劃，試圖將醫療機構轉變為邊境控制部隊。”再比如，英國皇家國民健康保險基金會和谷歌的人工智能公司DeepMind 之間簽訂了數據共享協議，NHS 患者數據未經同意就被傳送到商業公司并由多方共享，公眾產生嚴重的不安全感，懷疑和指責的矛頭指向政府部門、研究機構和研究人員[11]。這就暴露出數據共享利用的倫理問題，所以在透明度和數據倫理之間需要一個協調機制。

數據共享發生在政府部門之間時，為了確保公眾信任數據共享，需要采取透明度之外的策略：由政府數據發布審核小組進行審查，受相關機構倫理研究委員會監督，并需要數據主體的同意，比如在健康數據利用過程中，在最初的醫生——患者關系之外重復利用患者的醫療數據，需要患者同意；構建政府數據共享實踐框架，普及相關知識，允許公眾參與探討潛在的數據倫理問題。雖然，如圖1 所示，媒體也可以作為一種數據主體，提供全面綜合地知識宣傳平臺，促進公眾對政府行政檔案數據共享和重復利用的認識，但媒體報道有時會造成數據隱私泄露，在公眾中形成懷疑情緒。因此，要加強媒體監管，關注數據倫理問題，以穩定信任平衡，最終獲得公眾信任。

政府機構期望通過共享和重復利用來開發行政檔案數據的潛力，提高工作效率和促進各項社會研究，公眾信任問題是政府行政檔案數據共享計劃考慮的重要因素，建立公眾對政府數據共享計劃的信任是一個復雜過程。本文通過分析英國ADRC-E 官網上的采訪數據，分析數據利益相關者之間的關系，研究英國健康數據共享過程中的各方信任平衡問題，構建數據提供者、數據用戶和數據主體之間的信任平衡關 系，并探究其涉及的數據倫理問題。

本文提出的政府行政檔案數據共享信任平衡概念可以進一步鞏固我國公眾對各類行政檔案數據共享計劃的信任，更好地挖掘各類數據的潛力，促進我國各項社會事業的發展，為增強我國“制度自信、文化自信”服務，踐行黨全心全意為人民服務的根本宗旨[12]。