政府數據開放中的個人信息保護研究

曹海軍 孫乙萌

（東北大學，遼寧沈陽 110169）

隨著信息時代的到來，作為公眾個人數據最為集中的擁有者，政府在履行職能過程中所產生、采集、存儲的信息高速增長，不斷積累的數據成為實現國家治理現代化的重要要素與資源。目前，各國政府紛紛公開其所掌握的公共數據資源供社會公眾使用，以實現繁榮經濟、改善服務、提升公共福祉的治理目標。政府數據開放也成為我國當前推進數字經濟、數字社會、數字政府建設的重要舉措。

在推動數據開放的同時，人們對個人信息保護問題的隱憂也進一步加劇。一方面，信息的過度收集與公開會使得隱私權這一公民基本權利面臨受到侵害的風險；另一方面，個人信息在數據開放領域呈現出了更多的公共面向，過于偏重隱私保護有可能降低數據本身的質量，從而影響社會效益與國家綜合競爭力。因此，尋求政府開放數據的透明性與個人隱私保護的平衡，在為個人信息提供必要保護的基礎上最大化其價值，實現公共利益與私人利益之間張力的舒緩，是當前亟須解決的重要議題。

一、政府數據開放中的個人信息保護具有特殊性

政府數據中包含了大量由政府部門直接收集、通過第三方采集整理或依法管理的個人及其行為相關的信息，是一種典型的兼具非排他性和非競爭性的公共物品[1]。政府數據開放中的個人信息保護與企業等私主體的個人信息處理活動不同，也與公權力主體在其他領域的個人信息處理行為不同，在行為性質、處理主體、處理對象、最終目的等方面均呈現出特殊性[2]。首先，與私主體基于私法關系的信息處理活動不同，承擔公共管理職能的行政機關依法進行數據的共享，是一種具有公共服務性質的公權行為。其次，政府的數據資源對外公開后，公民、法人、其他組織等私主體都可以參與處理，其處理主體更加多元而不再限于國家機關與法定授權組織[2]，因此所面臨的風險也更為復雜多樣。再次，作為多國看重的新型國有資產，政府數據某種程度上可被視作公物，信息公開能夠滿足多方面的社會公共需要，最大限度地創造公共價值，但也對其中可識別身份的個人信息的安全管理提出了更多的挑戰。最后，實現公共利益、增進社會公共福祉是催生政府數據開放的深層動因與最終目的。公民的個人隱私保護往往要為經濟社會的整體發展讓步，但公共屬性并不是忽視各類風險的“擋箭牌”。由此可見，若要促進政府數據資源的高質量開放，必須重視個人信息保護活動的特殊性。

二、政府數據開放中個人信息保護存在的不足

與傳統的政府信息公開不同，政府數據開放的是未經加工、分析與解讀的底層數據集合，具有更高的挖掘潛力與社會價值，而公眾對這些數據也不再局限于“知情”，還能夠加以開發利用，釋放更多的數據潛能。信息化的時代背景對數據安全治理提出了更高的要求，我國政府數據開放中個人信息保護目前還存在著諸多不足。

（一）治理依據有限，政策法規待完善

大數據時代催生了政府數據開放，但我國的政府數據開放起步較晚，相關法律法規制度建設存在滯后性[3]。一方面，我國現行的各類指導性政策法規中，政府數據開放的程序、分工、保障措施較為宏觀，大多以整體框架為主，很難取得理想的執行效果。比如，作為政府數據開放的指導依據，《政府信息公開條例》在頒布與修訂的過程中雖然一再強調了隱私保護的重要性，但在具體條款的制定上仍然有所欠缺。另一方面，現有法規對政府數據開放中個人隱私保護的特殊性認知不足，沒有考慮到個人信息在特定領域的公共面向。2021 年8 月20 日通過的《個人信息保護法》以個人權益保護為中心，通過賦予個人知情權、決定權等控制權，經由知情同意規則等私法保護路徑規范私主體的信息處理活動[2]。這種基于私權關系建立起的保護模式并不完全適用于公權處理場景，遠不足以為數據開放中的隱私保護提供規范性支撐。此外，現有法律法規對個人隱私的界定標準過于模糊，相關主體很難精準判斷自身行為是否屬于泄露隱私的范疇；政府也難以確定數據開放的具體范圍，由此導致的個人隱私侵犯行為也無法得到及時的制止與糾正，無形之中損害了公民的實際利益。

（二）治理主體單一，協同參與程度低

政府數據開放涉及企業、非營利組織、公民個體等多個利益相關方，數據安全問題與過去相比更加復雜難解。目前我國的信息治理工作由政府主導，有關部門廣泛收集公眾的戶籍、納稅情況、社會保險等多種信息并加以整理存檔，對個人隱私數據處于相對強勢的掌控地位。然而，我國政府目前尚未出臺專門的信息資源管理辦法，《政府信息公開條例》又將隱私信息公開與否的標準——重大影響與公共利益的決定與判斷權賦予行政機關所有，使該行政法規在執行中傾向于維護其自身部門利益[4]。作為數據開放尺度與范圍的主要把控者，政府在進行數據公開時缺乏科學引導與有效監督，許多政策難以落到實處。

從當前實踐來看，政府部門以外的各利益相關主體并未完全發揮自身功能。比如，大數據技術研發領域的企業沒有深入參與到隱私保護工作中來，其行為也缺乏統一的行業規范加以約束，泄露公民隱私的情況時有發生。再如，政府與非營利組織缺乏合作，行業協會也沒有發揮好帶頭作用，行業自律性總體較差。又如，社會公眾作為信息主體，其自我保護意識相對不強，對維權渠道的了解也相對匱乏，不利于隱私安全保護機制的長期構建。

（三）平臺建設不足，審查機制不規范

根據《2021 年度中國地方政府數據開放報告》，截至2021 年10 月，我國已有193 個省級和地方政府上線了數據開放平臺。盡管平臺數量在持續增長，但總體來說，當前我國政府數據開放平臺建設仍然處于起步摸索階段，受到各種復雜因素與矛盾的掣肘，暴露出了很多現實問題。其一，由于經濟社會發展水平參差不齊，各地政府數據開放門戶的建設水平也存在較大的差異，沒有形成國家層面上的政府數據統一開放平臺。其二，囿于技術難題、部門利益、行政體制等因素，政府數據開放平臺中的數據管理與共享水平受到了極大的制約[5]，數據更新周期長、規模小、分布零散，政府部門職能交叉、權責不明也為平臺上跨部門的數據收集整合工作帶來了阻力。其三，由于宣傳力度不足等原因，許多地區的數據開放平臺往往不為公眾所熟知，訪問量與下載量有限，付出了大量維護成本卻沒有產生相匹配的社會效益，制約了政府數據使用的便捷性、降低了使用率。概而言之，公民個人信息保護受到數據管理效率的影響。

政府數據開放平臺的審查機制也不夠規范。現行的關于數據開放范圍與具體分類的規定較為宏觀，導致當前部分平臺在數據篩選公開的過程中，對發布的信息存在審查缺位現象，僅僅局限于表面化的考察把關，審查標準的嚴格程度也有待提高，從而帶來了隱私泄露的風險。

三、加強政府數據開放中個人信息保護的幾點建議

（一）完善個人信息保護的相關法律體系

隨著大數據技術的高速發展，我國政府數據開放相關法律的滯后性越發突出，僅停留在宏觀層面的指導性文件早已無法滿足實際需求，根據我國國情出臺全面且細化的法律法規有利于政府數據的有序開放、全面共享。因此，要通過專門立法的方式對隱私信息的劃定范圍、數據開放過程中隱私泄露行為的評判標準尤其是基于公共利益而被迫公布的個人隱私作出明確界定，規范從事數據管理的政府工作人員的一系列信息處理行為，規定政府使用公眾信息時所要遵循的原則與底線，使數據信息從收集到整理過濾再到開放的整個過程都要有法可依[6]。

法條的制定也絕對不能忽視政府數據開放中個人信息的特殊性，應結合數據的公共面向與我國的具體實踐來開展立法工作，形成具有中國特色的系統化、體系化的綜合性信息保護法案，為數據公開中的個人隱私保護提供合法性依據，也為政府在數字國家建設中發揮引領作用創造條件[2]。

（二）構建多元主體參與的組織協作機制

要明確政府在個人信息治理中的主體地位，但這并不意味著政府對所有數據的壟斷，而是要發揮政府在數據開放中隱私保護的主導作用，出臺形式更加多樣化、操作性更強的政策，完善數據開放的制度體系；還應加強相關職能部門的建設，設立專業化的隱私信息保護機構，明確權責劃分，從而將數據開放政策真正落到實處。

要加強政府數據開放中個人信息保護的多元主體參與，使各類主體充分發揮優勢，促進其資源要素的有效整合[7]。具體來說，政府應當積極引導互聯網企業加大對于數據安全保護技術的研發力度，使其樹立高度的自覺意識，主動將公共利益置于經濟效益之前，盡量避免出現泄露用戶隱私的情況；督促行業協會等非營利組織提升自身影響力，制定統一的行業規范，提高信息行業的自律性；加強面向社會公眾的信息保護宣傳力度，增強公眾自我防范意識、提升公眾的數據素養，使其既能運用數據開放平臺獲取資源，又能在個人隱私被侵犯時通過法律途徑維護自身的信息安全。

（三）打造管理機制規范的數據開放平臺

作為政府與用戶溝通聯系的重要節點，數據開放平臺的建設水平能夠較為直觀地反映政府對開放數據的治理能力，平臺的功能、運行、安全保障等方面都需要進行綜合考量[8]。近年來，國務院各部委與地方各省市先后建立了數據開放門戶，但始終缺少一個國家層面的數據開放平臺來集中管控數據資源，各地區、各部門之間很難實現信息的快速交流互通。因此，應當整合現有的政府數據資源，有效聯結政府的開放數據、數據庫信息與開放數據平臺，建立起跨部門、跨系統的統一的數據開放平臺，便于為各主體提供一站式的政府數據獲取及相關服務[9]；提升數據安全管理水平，用技術進步來加強平臺的安全監管與風險防控，從而盡可能減少隱私泄露帶來的威脅。

要建立嚴格的數據審查機制。其一，對于不同類型的數據，應當有針對性地設置不同的開放級別，對涉及個人隱私信息的使用權限與范圍作出一定程度的限制。具體來說，對于涉及個人的信息，可以考慮分類分級開放——數據的獲取和利用不受任何限制的，可以無條件開放；受到相關權利義務限制的，可以有條件開放；基于法律原則作出相應解釋加以限制的，可以不開放[6]。以此規范政府數據公開行為，維護個人信息安全。其二，建立獨立的數據審查機構，引入專業技術人員，確保數據的真實性與審核流程的科學性。其三，要建立常態化的數據審查機制，固化數據發布前的審查環節，最大限度減少個人信息泄露問題發生[10]。

當然，在數據審查過程中，要注意對平臺開放數據加以過濾和清洗，一些數據須經必要的去標識化處理后方可在一定范圍內使用，也可有針對性地將可識別程度高或是不具備共享必要性的信息篩除，從而盡可能地保護公民的個人隱私。