政府數據開放平臺用戶協議合規性評估

完顏鄧鄧，陶成煦

0 引言

政府數據開放平臺是指由政府牽頭、各政務部門共同參與建設的平臺，其致力于各政府部門可開放數據的下載和服務，為企業和個人開展政府數據資源的社會化開發利用提供支持，推動信息資源增值服務業的發展以及相關數據分析與研究工作的開展[1]。政府數據開放平臺在提供服務時應注重保障用戶的合法權益，這不僅關系到政府數據開放平臺的健康發展，映射出平臺對用戶權益的重視程度，而且還會影響用戶使用平臺的意愿。因此，政府數據開放平臺制定合乎規范并體現正當權利義務關系的用戶協議尤為重要。

作為格式條款，在用戶協議制定程序上，平臺具有單方面制定規則以及隨時修改的權力，這就不可避免地會導致平臺出于自身利益的考慮，憑借這一優勢地位制定過多利己的條款，而壓縮用戶正當權益，從而造成平臺與用戶之間權利義務的失衡。

目前國內相關研究主要圍繞政府數據開放平臺的研究述評[2]、利用效果[3-4]、平臺建設[5-11]、發展模式[12-13]、隱私政策[14-15]、用戶體驗[16-20]、績效評估[21-23]、國外實踐[24-26]、數據標準與質量[27-29]等方面。而關于政府數據開放平臺用戶協議尚未得到國內學者的關注，鑒于此，本文選擇省級和部分市級的“統一專有式”政府數據開放平臺的用戶協議作為調查對象，利用所設計的觀測指標，并根據我國現行政策法規，如《消費者權益保護法》《網絡安全法》《民法總則》《信息安全技術 個人信息安全規范》《關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》等，對其進行合規性審查，以發現其存在的不合規問題，探討其合規路徑。本文對于推動我國政府數據開放平臺用戶協議的制定與完善，維護平臺用戶的正當權益，并促進政府數據開放平臺的健康發展具有一定現實意義。

1 研究設計

1.1 調查對象與方法

目前有18個省級行政單位建立了“統一專有式”的政府數據開放平臺。其中，由于安徽、湖北、陜西、海南以及寧夏5個省級單位的政府數據開放平臺沒有制定用戶協議，故這5個平臺不在本文的研究范圍內。另外，本文還選取了17個符合條件的市級政府數據開放平臺作為研究對象，原則上優先選擇省會城市的政府數據開放平臺(見表1)。調查時間為2020 年2 月3-16日。本文采用統計分析法與比較分析法對所選取的政府數據開放平臺的用戶協議進行合規性審查。

1.2 指標設計

盡管各政府數據開放平臺并未就“用戶協議”作出統一表述，但在內容上基本一致。“用戶協議”包括“平臺聲明”“服務條款”“隱私政策”等一系列用于規制用戶與平臺權利義務關系的文本內容。然而，由于鮮有政府數據開放平臺用戶協議的研究，但用戶協議與網絡服務條款、隱私政策等存在諸多共性，僅在內容制定的范圍上存在差異。因此，政府數據開放平臺用戶協議的評估指標可以參考其他網絡平臺服務條款、隱私政策的相關研究。例如，杜荷花從政府義務告知、隱私安全保護管理與個人權利保障三個主要方面(包括信息收集告知、信息使用告知、信息存儲安全告知、隱私安全保障、投訴反饋渠道、更新與免責聲明、一般權利保護、特殊權利保護)對政府數據開放平臺隱私保護的整體情況進行了評價[14]。陳旭茹對政府數據開放網站的服務政策進行調查，并從用戶權利義務、網站收集信息情況、網站如何處理個人信息、網站許可協議、數據規范及使用政策、數據可訪問性政策、免責聲明等方面分析比較[30]。以上研究均能為本文設計政府數據開放平臺用戶協議觀測指標提供參考。

為把握各政府數據開放平臺用戶協議之間的共性及特點，本文對所選取的30個政府數據開放平臺進行了調查。調查發現，政府數據開放平臺用戶協議除了涵蓋安全保障措施、用戶個人數據權利、用戶信息收集、使用與存儲、平臺免責范圍、意見反饋渠道、協議更新提醒、服務變更、中止或終止聲明等一般網絡平臺用戶協議的基本內容外，還包括開放數據授權、敏感數據開放利用規則等內容。本文依據《消費者權益保護法》《網絡安全法》《合同法》等現行法律法規，結合《中國地方政府數據開放報告》，綜合考量了平臺用戶協議應當涉及的實體性權利義務關系，共設計了9個觀測指標，并對每一項指標進行了簡要說明(見表2)。

表2 9個指標的名稱、屬性及解釋

2 政府數據開放平臺用戶協議合規性問題

2.1 開放數據授權不明確

開放授權是以契約的形式確定數據開放主體和數據使用主體之間關于數據利用的權利義務關系，有利于保障和規范數據的合理使用[31]，其目的是從法律上保障數據的開放性。開放授權協議應明確授予用戶免費且不受歧視獲取、自由利用、自由傳播與分享的權利。30個平臺中，僅有福建、浙江、河南、廣東、四川、貴州、北京、上海、天津、廣州、貴陽以及遵義12個政府數據開放平臺授予了用戶上述全部四項權利，占比40%。11個平臺授予用戶部分權利。而江西、銀川、揚州、贛州、大慶的政府數據開放平臺未明確授權或語焉不詳(見表3)。

表3 30個平臺開放數據的授權情況

2.2 敏感數據開放與利用規則缺失

政府數據是行政機關在履行職責過程中制作或獲取的數據，屬于公共產品，應當在不違反相關政策法規和不損害公共利益的情況下對外開放[32]。目前，用戶在政府數據開放平臺上所能獲取的數據比較基礎，大多以公共服務類、基礎設施類為主。平臺沒有為各類型政府數據制定合理的開放利用方式。從調查結果來看，30個平臺中，絕大多數平臺的用戶協議沒有涉及敏感數據開放與利用的內容。僅有四川公共數據開放網和上海市公共數據開放平臺表示提供無條件開放與有條件開放兩種數據開放方式。其中，四川公共數據開放網的聲明極為簡單，僅用一句話予以概述。而上海市公共數據開放平臺雖明確了“無條件開放類數據”以及“有條件開放類數據”的獲取方式，但其同樣沒有具體說明開放數據的具體類型及其相應的獲取利用方式。

敏感數據開放與利用規則的普遍缺失，表明政府部門目前對不同類型、屬性數據的開放方式仍不明確。而政府數據得不到充分正當的開放勢必會影響政府數據開放的價值與用戶獲取政府數據的意愿。

2.3 平臺安全保障措施不到位

《消費者權益保護法》規定經營者應對收集的個人信息嚴格保密并采取技術等措施確保信息安全。《信息安全技術 個人信息安全規范》也要求信息控制者對個人信息采取保護措施。然而，30個平臺中，僅16個平臺在隱私政策中簡單地表示“尊重并保護用戶的個人隱私權”。其余14 個平臺表示會采取技術或制度等措施(見表4)，但大多沒有對其進行具體的說明。需要特別指出的是，僅有臺灣地區的數據開放平臺對采取的保護措施進行了詳細說明：(1)使用網絡入侵偵測機制，監控網絡流量，以確認未經授權而企圖上載或更改、網頁資訊或蓄意破壞者；(2)裝設防火墻防止非法入侵、破壞或竊取資料，避免平臺遭到非法使用，以保障用戶權益；(3)裝設殺毒軟件，定期殺毒，以提供安全的網頁瀏覽環境；(4)不定期模擬黑客攻擊，演練發生安全事件時的系統恢復程序，提供適當的安全防御等級；(5)定期進行備份作業，將所有資料備份到備援主機[33]。如前所述，大多數平臺雖表示會采取相應技術措施或管理制度保障用戶信息安全，但并未具體說明采取何種技術手段和管理制度，這反映出政府數據開放平臺對用戶信息安全的重視程度較低的狀況。

表4 30個平臺用戶信息安全保障措施的聲明情況

2.4 平臺未履行公開信息收集與處理的義務

《消費者權益保護法》《關于加強網絡信息保護的決定》《網絡安全法》《電信和互聯網用戶個人信息保護規定》《個人信息安全規范》都明確要求服務提供者或者信息控制者應該公布用戶信息收集的目的、方式和范圍，以及信息收集、使用的規則。其中，《個人信息安全規范》還對個人信息的存儲期限等方面進行了規制。課題組通過調查(見圖1)，絕大多數平臺并沒有遵守相關規定，僅表明不會主動將用戶個人信息泄露給第三方。只有貴州省數據開放平臺、臺灣地區的數據開放平臺、遵義市政府數據開放平臺公布用戶信息收集的方式、范圍、目的以及用途，所占比例僅10%。此外，在披露信息存儲與刪除方面，貴州省數據開放平臺和遵義市政府數據開放平臺表示會定期刪除指定網站日志。在披露用戶信息利用的特殊情況方面也同樣不容樂觀，僅遵義、貴州、揚州、廣東以及臺灣地區的數據開放平臺對用戶信息進行了必要范圍外的使用說明。可見，大多數政府數據開放平臺嚴重忽略了本應履行的義務，侵犯了用戶對其個人信息使用等各方面的知情權。

圖1 平臺對信息收集等方面的披露情況[11]

2.5 平臺未切實披露用戶的信息權利

《民法總則》中明確個人信息權利包括決定權、保密權、查詢權、更正權、封鎖權、刪除權以及報酬請求權。其中，信息決定權是指個人有權決定其個人信息被收集、利用，以及以何種方式收集、利用的權利，在各項權力中居于核心地位。《網絡安全法》規定個人有權要求網絡運營者對收集的個人信息予以刪除或更正。除此之外，《個人信息安全規范》亦明確規定信息控制者應該公布個人信息主體的權利和實現機制。然而，絕大多數政府數據開放平臺并沒有遵守相關規定(見圖2)。30個平臺中，僅有貴州省數據開放平臺、哈爾濱市政府數據開放平臺、銀川市城市數據開放平臺、揚州數據開放平臺以及遵義市政府數據開放平臺表示用戶有權隨時對個人資料進行查看、更新、補充、修改、請求刪除及停止平臺處理及利用，僅占16.7%。其中，貴州、銀川、揚州以及遵義這4個數據開放平臺還披露了用戶信息權利的實現機制，表示用戶可以通過電子郵件或平臺數據申請功能提出申請。總體而言，用戶個人信息權利的知情權并沒有得到保障。

圖2 平臺對用戶信息權利的披露情況

2.6 平臺不當免除自身責任

盡管課題組所調查的30個政府數據開放平臺均對免責范圍進行了說明，但各平臺的免責范圍不盡相同，并且多數存在不當免除自身責任的嫌疑。《消費者權益保護法》明確規定經營者應該保證所提供商品或服務的質量，承擔因商品或服務對消費者財產造成損害的民事責任。同時，還規定經營者當未盡到安全保障義務而對消費者造成損害時，其所應承擔侵權責任。提供開放數據作為政府數據開放平臺的“主營業務”，平臺理應保障所提供數據的質量，并承擔相應責任。然而，30個平臺中，有21個平臺表示對數據的完整性、準確性以及及時性等方面不做擔保。因此，用戶需自行承擔因數據本身的質量問題所造成的損失。此外，有11個平臺表示任何由于黑客攻擊、計算機病毒侵入或發作、政府管制而造成的暫時性關閉等影響網絡正常經營及其他不可抗力原因造成的資料泄露、丟失、被盜或被篡改等，平臺對此不擔責(見表5)。可見，大多數平臺存在利用格式條款不當免除自身責任，變相地將應承擔的責任轉嫁給用戶的現象。

表5 平臺不當免除自身責任情況

2.7 平臺意見反饋渠道單一

意見反饋渠道是用戶維護自身正當權益的重要途經。《個人信息安全規范》規定信息控制者應公布聯系方式、個人信息主體的投訴反饋渠道。《電信和互聯網用戶個人信息保護規定》中明確指出互聯網信息服務者應當建立用戶投訴機制、公布有效的聯系方式。此外，《網絡安全法》亦規定運營者應當建立網絡信息安全投訴、舉報制度，公布投訴、舉報方式等信息。盡管絕大多數平臺都公布了反饋渠道，但是反饋方式不盡相同，且較為單一。設置在線反饋功能是平臺收集用戶意見的普遍做法。30個平臺中，除遵義市、中山市、泰州市以及大慶市的政府數據開放平臺外，26個平臺均設置了意見提交功能。其次，在反饋渠道數量上，福建、江西、銀川、贛州以及泰州這5個地區的數據開放平臺提供了電話、郵箱、地址、郵編等4種方式，其余平臺所公布的反饋渠道則較少。例如，煙臺公共數據開放網和大慶公共數據開放平臺雖然在頁面下方設置了“聯系我們”這一鏈接，但鏈接里并沒有公布任何有效的反饋渠道。

2.8 服務變更、中止或終止的原因不明晰

《消費者權益保護法》規定經營者在經營活動中使用格式條款的，應當以顯著方式提請消費者注意與其自身有重大利害關系的內容。用戶作為服務的使用者與協議的當事人有權知曉服務變更的具體事由。然而，30個平臺中，僅浙江數據開放平臺和臺灣地區的數據開放平臺對服務變更的原因做了指向性的說明，占7%。四川公共數據開放網、貴州省政府數據開放平臺、揚州數據開放、遵義市政府數據開放平臺以及大慶公共數據開放平臺則沒有涉及此類信息。而其他23個平臺則表示在任何情況下，網站合理地認為用戶行為可能違反法律、法規，可以在任何時候終止向用戶提供服務，并通知用戶。或者在其免責聲明中表示平臺保留由于法律、法規、規章或政策調整等原因而修訂、中止、終止部分或全部平臺、網絡服務的權利，并未對服務變動的因由做出明確的解釋。在這種情況下，用戶對于服務變更的原因全然不知，而平臺能夠隨意終止服務，讓用戶承擔服務突然終止的風險。

2.9 協議更新的通知方式不合理

雖然格式條款中不可協商這一特性賦予了條款制定方單方面修改條款的權力，但是，由于合同涉及當事人之間的權利義務關系，條款制定方應當遵守誠實信用及公平原則，合理提請當事人注意條款所修改的內容。從調查來看，30個平臺中，香港特別行政區的數據開放平臺明確表示可在無須預先通知任何人的情況下，不時對使用條款作出修改或修訂。“開放廣東”平臺則表示協議內容一旦發生變動，會以適當方式通知用戶。其余28個平臺中，8個平臺沒有涉及此類信息，20個平臺表示協議一經變動，會及時在頁面上提示(見表6)。盡管這些平臺會就協議更新這一事項通知用戶，但是卻無一例外地表示用戶不同意協議變動，可放棄訪問或使用平臺，如果用戶在協議變更后繼續訪問或使用平臺，則視為接受協議變動。一方面，平臺并沒有給予用戶足夠的時間思考協議更新后權利義務關系的變化對自身可能產生的影響；另一方面，用戶僅能夠對協議變更表示同意或者不同意，面對可能侵害自身正當權益的條款，用戶沒有申訴的權利，用戶實際上在這一過程中完全處于被動地位。

表6 平臺用戶協議更新的通知方式

3 政府數據開放平臺用戶協議合規路徑

3.1 建立政府數據開放平臺用戶協議的強制性標準

目前，我國尚未建立對協議內容進行規制的強制性標準，這將會造成各平臺用戶協議對同一問題的表述不盡相同、規定不一的局面，由此侵害到用戶的合法權益。為了促使平臺切實履行責任與義務，建立政府數據開放平臺用戶協議的強制性標準十分必要。強制性標準的制定應從用戶的角度出發。由于用戶群體知識水平的不一致，用戶協議用詞應通俗易懂，避免出現晦澀難懂的專業化術語，如確實需要，平臺應該對其進行簡要注釋以便于用戶理解。協議內容的指代對象還應當明確、具體，以免造成歧義。另外，條款訂立的數量宜少不宜多，且在必要的情況下制定，盡量減少過多且無用的條款。

除了上述要求之外，強制性標準還應對協議的基本內容進行規制。提供開放數據作為政府數據開放平臺的“主營業務”，標準應規定平臺制定專門的開放授權協議為用戶在利用數據時提供行動依據；要求平臺在用戶協議中公布用戶信息收集的目的、如用于提供個性化的服務等。標準應詳細說明信息收集的方式、范圍、用途以及存儲期限，同時列明用戶信息使用的特殊情況；還應要求平臺對服務變動的原因作出具體的說明，并且以特殊的字體字號進行標記以區別于其他一般條款，讓用戶注意并有意識地規避可能導致服務變動的事項。此外，為了保障用戶反饋渠道的暢通，用戶協議應當盡可能多地公布有效的意見反饋渠道，加強平臺與用戶之間的交流。

3.2 明確用戶和平臺的權利義務關系

雖然我國現行的諸多法規條例對網絡服務者或數據控制者與用戶之間的權利義務作出了明確的規定，但現實中，格式條款的訂立方往往會憑借其單方面制定和修改條款的權力有意回避本該履行的義務而相對減少用戶享有的權利。政府數據開放平臺應明確用戶與平臺之間的權利與義務關系，履行自身責任義務的同時，保障用戶的合法權益。

搭建政府數據開放平臺的初衷是促進開放數據得到廣泛的開發利用。因而，平臺應減少用戶使用開放數據的限制，在開放授權協議中明確授予用戶對數據免費獲取、非歧視性、自由利用、自由傳播與分享的權利，從而在法律上保障數據的開放性。同時，平臺不得對權利的行使附加模糊的期限或限制，如“現階段免費”或“保留收費權利”。另外，除開放授權，平臺還應明確用戶個人的信息權利，如信息決定權、信息保密權、信息查詢權、信息更正權、信息封鎖權、信息刪除權、信息請求報酬權等，并對每一項權利進行簡要解釋。在其后的表述中還應詳細說明行使上述權利的實現機制，如通過平臺所公布的電話、郵箱等。此外，用戶協議還應當明確平臺的信息安全保障義務，具體應包括建立平臺信息安全管理制度、制定內部信息安全監督機制、采取信息安全保障措施、承擔信息安全事件責任等。還應當對發生的信息安全事件所承擔的責任進行具體說明，如發生哪些信息安全事件平臺將會承擔哪些責任，承擔責任的程度是多少，以何種方式承擔，用戶是否有請求損害賠償的權利等。

此外，用戶協議不應出現不合理的免責事由以及不當增加用戶責任的條款，諸如“對數據的完整性、準確性、及時性不做擔保，對用戶因使用數據造成的損失不擔責”以及“由于黑客攻擊、計算機病毒侵入或發作、政府管制而造成的暫時性關閉等影響網絡正常經營及其他不可抗力原因造成的資料泄露、丟失、被盜或被篡改等，平臺不擔責”等。

3.3 提高用戶信息安全保障能力

目前大多數政府數據開放平臺僅表示“尊重并保護所有網站用戶的個人隱私”或者“承諾使用相應技術，對個人資料進行管理和保護”。此類表述較含糊的聲明在一定程度上反映了平臺在信息安全管理層面的疏漏。

政府數據開放平臺應當提高用戶信息安全保障意識，開展對相關人員的培訓工作，并建立嚴格的管理制度，從對用戶信息的收集到使用以及存儲進行全程的監督。同時，加強安全技術手段，完善平臺的信息安全系統，建立網絡入侵偵測機制，防止平臺遭到惡意破壞，以避免用戶個人信息泄漏。平臺還應建立信息安全預防機制，并對平臺信息安全風險進行評估，必要時還可與技術公司合作共同維護平臺信息安全。盡管現行的相關法規條例只規定了網絡服務者或信息控制者有保護用戶信息安全的義務，并沒有要求必須公布具體采取的安全保障措施。但本文認為，平臺有必要將其公布，一則是可以顯示平臺對用戶信息安全保護的能力，獲取用戶的信任；二則是可以對平臺產生約束力，敦促平臺落實所采取的安全保障措施，切實維護用戶的信息安全。

3.4 制定不同類型數據開放獲取規則

用戶協議中有關敏感數據開放獲取規則的缺失，是政府部門對如何妥善開放各類數據這一問題感到棘手的真實寫照，同時也間接反映了我國政府數據開放水平不高這一現實問題，而解決這一問題的關鍵就在于對政府數據實施分類分級管理。

由于目前我國政府數據分類分級管理才剛剛起步，僅有個別地方政府出臺了政府數據分類分級的指導性文件，因而現階段我國各地區可依據已有的實踐以及相關法律規定，制定政府數據分類分級標準，對不同敏感程度的數據進行劃分，并由此確定數據開放方式。例如，依據我國相關法律規定，對涉及國家秘密、商業秘密、個人隱私的政府數據不予對外開放。同時，對開放風險極小的數據列為普遍開放數據，如公共服務類、基礎設施類數據。此外，位于普遍開放與不予開放之間的數據則列為有條件開放的數據。在此基礎上，平臺用戶協議需要明確各類數據的獲取規則。例如，對于普遍開放的數據，用戶僅需簡單注冊后即可下載獲取；對于有條件開放的數據，用戶須注冊后經申請獲取，申請內容應包括用戶身份信息、數據名稱、數據應用場景、數據利用目的等。如此一來，通過實施數據分級分類管理，并明確不同類型數據的獲取方式將減少用戶獲取數據的限制，從而提高我國政府數據開放的水平和價值。

3.5 建立合理的協議同意機制

政府數據開放平臺用戶協議的更新，牽涉到用戶與平臺原有權利與義務之間關系的變化。由于格式條款的提供方具有隨時修改條款內容的權力，這就難以避免平臺增加不當條款而擠壓用戶正當權益的空間，作為合同當事人的用戶只能被動接受，這顯然違背了公平原則。因此，政府數據開放平臺應就協議變更這一事項建立合理的協議同意機制。

盡管大多數平臺表示協議更新后會及時在頁面上提示，但是，平臺并未說明在頁面上提示的具體方式，一旦用戶未能注意提示內容，用戶就會在毫不知情的情況下接受變更后的協議。此外，即便用戶注意到了提示內容，平臺也要求用戶須及時回應，要么接受協議變更，要么拒絕協議變更而停止使用服務。為保障用戶正當利益，應將平臺變更協議內容的意思視為要約，在用戶為承諾的意思表示后[21]，變更內容方可生效[34]。對此，一方面，平臺應以適當的方式提請用戶注意協議變更內容，例如以頁面彈窗的方式讓用戶注意，將變更后的條款內容顯示在彈窗上，并要求用戶進行逐條勾選，以確保用戶真正閱讀條款內容；另一方面，平臺不應該要求用戶即時對變更后的協議選擇同意或不同意，考慮到用戶使用平臺服務的切身需要，應給予用戶充分的時間思考變更后的條款對自身利益可能產生的影響。在此期限內，用戶仍然可以按照原有的協議繼續使用服務。此外，若用戶對協議的變更有異議，平臺還應給予用戶申訴的權利，使用戶可以就條款變更內容提出異議，并充分尊重用戶的合理訴求。