面向公共數據融合的個人信息風險演化與保護機制

余 立 張 橦 黃 萃*

(1.浙江大學公共管理學院，浙江 杭州 310058；2.大連理工大學人文與社會科學學部，遼寧 大連 116024)

隨著數字政府建設進程不斷深化，跨領域、跨部門、跨層級的應用場景成為推動公共數據歸集整合的重要手段。但海量公共數據的融合、開放與價值挖掘，往往催生出個人信息安全問題[1]。例如，涉及個人信息的碎片化數據經過匯聚共享、融合關聯和深度挖掘，往往可以形成對個體行為軌跡、個性需求、價值認知等方面的具象認識[2]。這類數據一旦泄露或被非法利用，將嚴重損害個體利益與公共利益，對國家安全帶來較高風險。2022年6月23日，國務院印發《關于加強數字政府建設的指導意見》明確指出，全面強化數字政府安全管理責任，加快構建制度、管理和技術銜接配套的安全防護體系，確保個人信息安全。因此，探討數字政府建設中個人信息安全保護機制，推動公共數據安全有效融合，具有較強的理論與現實意義。

公共數據融合有助于進一步釋放公共數據價值，但與此同時，也增大了個人信息安全的風險。當零碎的個人數據被廣泛收集后，容易導致當事人隱私被泄露[3]。現有研究多聚焦平臺經濟中個人隱私泄露問題[4-5]，防止市場主體進行數據標簽化[6]、大數據殺熟[7]和算法歧視[8]等行為，從而降低數據融合帶來的風險。僅有少部分研究指出，個人信息在公共數據的流動環節也可能存在被政府部門過度攫取、違法披露以及不當使用的風險[9]。事實上，公共數據融合涉及政府各部門間的協同與博弈，容易導致個人信息保護的職責模糊與追責困難[10]。因此，探究公共數據中個人信息風險演化模式和影響因素，構建與其相適應的保護機制，已成為公共數據治理的重要課題。

本文從公共數據分級分類標準和數據生命周期理論出發，構建了數據風險—數據責任的整合分析框架；結合杭州城市大腦實踐的具體應用場景，進行案例分析并試圖回答以下問題：①公共數據融合中的個人信息安全風險是如何動態演變的；②在公共數據跨部門、跨領域、跨業務流轉過程，個人信息的安全問題的影響因素有哪些，如何清晰評估其安全風險；③個人信息安全發生風險演化時，如何建立相應部門的保護機制。

1 研究現狀與問題

公共數據的大規模融合給個人信息保護帶來了極大考驗，如何建立與之適應的個人信息保護機制，不僅事關個體權益與公共利益，更影響國家安全與經濟社會發展。然而，涉及個人信息的公共數據具有動態性、碎片化、海量性和公共性的特點[11]，使個人信息保護面臨較大困難。本文圍繞現有公共數據治理模式、個人信息保護機制和數據融合的治理趨勢這3個方面，對當前公共數據中個人信息保護所面臨的問題進行系統化梳理和總結。

1.1 公共數據治理模式

隨著公共數據的不斷鏈接、融合與挖掘，個人信息泄露風險呈現“乘數效應”，公共數據傳統的治理模式顯得力不從心[6]。一方面，從管理機制上看，對公共數據開展目錄編制、分類分級是當前個人信息保護的重要手段，例如，《廣東省公共數據管理辦法》提出，遵循“一數一源一標準”原則，應當從根源上對數據類型和數據敏感度進行標準劃分。這在一定程度上有利于梳理數據脈絡，保障公共數據時效性、可用性和安全性，但這種靜態分類的數據治理手段，并未充分識別數據流轉過程中個人信息安全風險的演變[12]，難以動態感知公共數據共享、開放、融合和挖掘中非敏感數據有可能演變為敏感數據的問題；另一方面，從安全技術應用上看，當前主流的個人信息保護技術多為個人隱私數據的隱式化處理，例如，數據匿名、數據去標識化、數據沙箱、區塊鏈留痕等[13]。這種隱式化手段，杜絕了個人信息的直接暴露，但通過數據挖掘等技術手段仍有間接獲取個人信息的可能性[14]。由此看出，僅依賴單一的分級分類等傳統靜態規制方法[15]，難以應對當前數字政府背景下的個人信息安全風險問題。

1.2 個人信息保護機制

本文研究重點是政府部門如何建立適用于公共數據融合的個人信息保護機制。已有的法律法規和部門制度通常是劃定政府部門職責邊界和保護方式的重要依據。由于公共數據權屬等理論問題尚不明晰，政府部門在個人信息保護方面的相關制度供給仍處于底線約束、原則遵守層面[16]。例如，《個人信息保護法》明確了政府機關在處理個人信息時的角色定位，相關法條偏向原則底線的闡釋；《浙江省公共數據條例》明確規定了“誰收集誰負責、誰使用誰負責、誰運行誰負責”的責任機制，并未細致性探討數據多跨協同下個人信息保護的責任邊界。應當指出，公共數據是政府履職產生的，本身具有公共性特征[17]，但涉及的個人數據又存在明顯私權特征，這一雙重屬性使得部門行為規制變得愈發困難[15]。為此，歐美國家采用數據隱私風險的審核技術(Privacy Impact Assessment)[18]，由第三方數據公司專業評估政府機構相關活動對個人隱私造成的影響，界定部門機構的職責范圍，減少隱私侵犯的發生。我國《個人信息安全影響評估指南》[19]部分借鑒了此思路，評估對象集中于各類互聯網企業，較少涉及數字政府中的公共數據治理。總體來講，厘清公共數據使用過程中政府部門的職責邊界仍然是一個難點問題。

1.3 數據融合的治理趨勢

公共數據融合往往意味著跨層級、跨系統、跨部門的現實情境。為此，個人信息保護不能只依賴單一的數據管理部門，更需要政府各部門間的協同配合與積極作為。近年來，各省市紛紛設立的數據管理機構被賦予了數據安全與個人信息保護的職能[20]，統籌負責轄區內的公共數據歸集整合和共享開發的安全問題。然而，傳統的政府職能劃分不能解決由于公共數據融合引發的責任主體漂移的問題[21]。一方面，數據管理機構對數據流、信息流和事件流實現“一管到底”并不現實，甚至其自身工作都不同程度依賴其他部門的協同配合上[22]。例如，由于數據管理機構對相關部門業務工作并不了解，其負責的數據安全檢查工作，通常會變成依據寬泛指標展開的例行公事，或是核驗安全記錄臺賬的規定動作；另一方面，政府機構保護個人信息的能力往往存在“木桶效應”，整體水平取決于數據安全能力最薄弱的部門，只有各部門協同配合才能保障個人信息安全[23-24]。

總之，公共數據融合已經成為數字政府建設的常態模式，多跨協同場景使得部門間業務生態交錯復雜，個人信息保護更加需要環環相扣，而現在單一部門統籌、業務部門配合的治理模式難以應對當前發展需求。目前在理論與實踐中，對公共數據融合過程中的個人信息安全問題探討還不充分，尤其是對個人信息風險的演變機制、影響因素與保護路徑等方面缺乏實證分析探討。

2 整合分析框架

為此，本文構建了公共數據治理下個人信息安全演化的整合分析框架，如圖1所示，即考慮“數據風險”和“數據責任”的兩個維度，整合分析公共數據融合過程中個人信息的安全風險演化以及相應政府部門的職責邊界。

2.1 數據風險：基于數據敏感性—數據功能

數據分類分級是確保涉及個人信息的公共數據有序安全的重要方式[25-26]。本文基于“數據敏感性—數據功能”探討公共數據的分級分類與動態風險演變。具體為，“數據敏感性”考量數據涉及個人隱私的程度；“數據功能”主要從數據的使用目標上進行劃分，包括公共服務和監控監管兩大類。分析框架借鑒了Zoonen L對公共價值與個人隱私關系的思考，他指出公眾對個人隱私數據的保護意愿主要受到數據類別、數據收集目的以及數據使用機構的影響[27-28]。在數據敏感性上，公眾通常關注能直接或間接標識到個人信息的數據類別，而常常忽略與自身信息不相關的公共數據；在數據功能上，公眾通過衡量個人收益情況，決定是否讓渡個人信息，進而形成讓渡偏好[29]，比如相比于用于監控功能的執法部門，公眾更愿意讓渡給重視公共服務的醫療、教育、金融機構及社會公益組織[24,30]。

在此基礎上，本文對公共數據進行風險討論，如圖1所示：①第Ⅰ象限為高風險數據，是指可以直接關聯個人特征并具有監控功能的一類數據，例如個體身份、生物識別信息等；②第Ⅱ和第Ⅳ象限為中風險數據，例如第Ⅱ象限中直接關聯個人敏感信息的公共服務數據，比如學歷、社保、醫保等數據，第Ⅳ象限為具有監管功能但個體屬性不高的數據，比如交通流量、物聯感知設備等群體性識別數據；③第Ⅲ象限為低風險數據，即偏公共服務又與個體不緊密的數據，包括氣象、環境、地理信息系統等數據。

2.2 數據責任：基于數據生命周期

數據生命周期作為公共數據治理的經典理論，通過考察數據采集、數據共享、數據挖掘、數據分析等環節，可以對公共數據狀態和承載主體進行有效分析。事實上，公共數據融合過程中會涉及多個數據層[31]：基礎服務層(IaaS)提供數據存儲交互的網絡和服務器等基礎硬件；平臺服務層(PaaS)提供數據管理運算和業務協同載體；軟件服務層(SaaS)實現不同場景應用模塊的開發設計。

當前，公共數據主要從技術上的數據服務層來界定職能邊界[32]。一個常見方案是由數據資源管理機構將所有數字政府業務數據歸集至IaaS和PaaS進行統籌管理，而各業務部門通過數據共享，進行調用開發各自的應用場景。這一數據管理策略，具有統分結合的權責體系，但在應對跨部門應用場景時，卻很難厘清部門間的安全責任，個人信息保護的全部責任可能被集中在單個機構部門[20]。例如，業務部門調用了多部門數據進行SaaS的應用開發，數據融合產生新的數據，這些由業務部門產生的新增數據被存儲在IaaS或PaaS，將不斷增加數據管理機構的風險防范責任。因此，一個較為穩健的分析框架是將傳統的數據生命周期理論與公共數據融合中對應的責任部門進行結合，在數據融合的各個環節中厘清個人信息保護的部門責任。

3 城市大腦案例分析與保護機制研究

本文結合調查訪談數據以及在政府數據管理部門的實際工作經驗，基于構建的整合分析框架，對杭州城市大腦建設中所涉及的個人信息安全風險動態演化問題進行深入分析，試圖厘清公共數據治理過程中政府相應部門的職責邊界。在此基礎上，歸納總結了4種個人信息保護機制，為公共部門降低個人信息安全風險提供建議。

杭州城市大腦作為研究對象，得益于它在數字政府建設領域具有較好的類型學分析意義。①就代表性而言，杭州市率先提出通過建設城市大腦推進城市治理現代化，截至目前，全球23個城市引入城市大腦，國內500多個城市正積極推進建設城市大腦[33]；②在實踐效果上，杭州城市大腦以公共數據歸集、開放與共享為核心，累計融合公共數據837億條，搭建48個應用場景[34]，覆蓋交通、城管、衛健、旅游、疫情防控等11個領域，習近平總書記考察杭州城市大腦運營指揮中心后對相關創新應用給予肯定；③在個人信息保護方面，不少學者提出杭州城市大腦在個人信息收集使用合法性、正當性和安全性等方面仍存在風險隱患[35]。

杭州城市大腦依賴于“統一地址庫”場景的建設推進全市公共數據的歸集融合。其具體模式是：將全市所有地址進行編碼，如表1所示，以27位統一地址碼為紐帶，關聯依附在地址上的相關社會治理要素，包括實有人口、組織機構、建筑物信息、重點場所等公共數據，進而融合人、房、企、事、物、通信等信息，通過數據全局調用、接口調用和接口推送核驗等模式，實現公安、民政、人社、應急、測繪等跨部門數據的共享協同。

表1 杭州城市大腦公共數據融合模式——“統一地址庫”

表1(續)

3.1 機制一：數據采集下的部門溯源

公共數據采集和分類是進行數據融合的首要環節。在統一地址庫進行公共數據匯聚的基礎上，杭州城市大腦形成了以城市治理為目標、跨部門協同為特色的數字政府應用場景集合。一個典型案例就是杭州市智慧安防小區(智安小區)。根據《杭州市智慧安防小區建設標準(試行)》和《杭州市智慧安防小區建設三年行動計劃》等政策，該場景涉及的小區、住戶、車輛、人防、設備、訪客和門禁信息等8大類數據、44個字段。基于分析框架，識別每個字段的數據類別和數據流轉情況，從而得出對數據采集的靜態分析結果，如圖2所示。智安小區這類安防應用，大部分采集的公共數據都具有個人敏感性高、監控監管的特征，例如“戶主姓名”“身份證”“人臉標識”“房產信息”，都可以直接反映個人信息，是相關部門需要重點保護、公眾應當審慎讓渡的高風險數據；“門禁信息”和“攝像頭設備信息”由于具有個人信息關聯可能性，被列為中風險數據；而類似小區名稱、小區地址這一類公示服務數據則屬于低風險的公共數據。

在相應的政府部門職責邊界方面，智安小區的個人信息保護策略是清晰的：該應用場景的公共數據來源和隸屬部門都可以進行統一溯源，比如小區信息數據來自測繪，住戶信息來自公安、政法和民政。雖然存在多部門的實時數據采集、調用和共享，但這種數據融合的信息增益并不明顯，相應數據的敏感性和功能形態不會產生過多變化。為此，在這樣一個靜態分類視角下，任何一個環節出現個人信息安全問題都可以進行明確的部門責任界定，也方便政府部門制定對應的個人信息保護方案。

3.2 機制二：數據共享下的審慎授權

不同于上述靜態視角，數字政府場景建設中公共數據風險演變的動態過程更值得關注。尤其是當公共數據融合后導致某些數據從中、低風險象限演化到高風險象限的情況。杭州城市大腦“垃圾分類”應用場景，就是一個非常有趣的案例，不經意的公共數據鏈接共享，使得大量低風險的公共數據演變成為與個體身份息息相關的高風險數據。

垃圾分類場景致力于用數字化手段推動生活垃圾分類處置的精細化管理。垃圾治理的難點在于需要全民自覺參與分類工作，而分類環節缺少監督考評。依托統一地址庫匯聚的數據，垃圾分類場景建立了小區常態化的垃圾分類服務指導和監督評價平臺，通過向社區住戶發放“一戶一碼(二維碼)”垃圾袋，實現居民垃圾源頭可溯，結合基層網格員掃碼巡檢、按戶評分，實時跟蹤統計每戶居民的垃圾分類情況，從而建立小區垃圾分類的信用檔案。梳理該應用場景的公共數據發現，垃圾分類涉及的數據主要集中在第Ⅱ和第Ⅲ象限，靜態分布如圖3所示，包含“小區信息”“住戶信息”“垃圾車輛信息”“人房信息”“垃圾分類設備”5大類目、29個字段。

圖2 智安小區應用場景的靜態數據分類

值得注意的是，當引入“一戶一碼”垃圾袋后，原本處于低風險的垃圾分類設備數據直接和高風險的住戶信息數據發生鏈接，從個人敏感性低的公共服務類數據演變成為個人敏感性高的監控監管類數據。由數據共享導致的風險躍遷情況，普遍存在于強調跨部門業務協同的數字政府建設中，當第Ⅲ象限低風險數據演變為第Ⅰ象限高風險時，個人信息保護的責任界定也變得更加困難。

從部門職責邊界上看，“住戶信息”來自公安部門，而“垃圾分類設備數據”來自城管部門，一旦發生個人信息泄露等問題時，厘清兩個部門責任的關鍵在于明確躍遷過程中部門的主體角色。此時，主導數據共享的部門機構應當承擔主要責任，即垃圾分類評價平臺的建設單位應當秉持審慎授權的原則，充分考量引入“一戶一碼”垃圾袋的個人信息風險變化問題，建立相應的安全責任與響應預案，重點保護發生躍遷后的相應數據。

3.3 機制三：數據挖掘下的事前告知

公共數據從中風險演變成高風險的情況往往不易察覺。隨著人口老齡化形勢越來越嚴峻，杭州市依托城市大腦先行先試“智慧養老”模式。智慧養老中如何實現預警研判及時響應老年群體的生活需求，是民政、社區、衛健等部門共同關心的問題。杭州智慧養老平臺的一個高效做法是通過實時匯聚分析住所水表、電表、煙感等物聯感知設備(IoT)數據，24小時了解老年群體的生活狀態，尤其當獨居老人用水用電突增或長時間無數據變化時，就會觸發社區安全警報。針對該應用中的相關數據進行框架分析，如圖4所示，水力、電力等國企提供的用水用電數據位于第Ⅳ象限，是個人敏感性低、用于監管供水供電情況的一類數據。當監測城市運營體征的數據用于預測個人行為分析時，第Ⅳ象限的中風險數據極易演變成為第Ⅰ象限的高風險數據。

從部門職責邊界上看，這一情況普遍存在于基于IoT設備的數字政府應用場景中。私人領域與物理空間的固有邊界被互聯互通技術所打破，“隱私止于屋門之前”的原則不復存在，一定程度上講，未提前告知而通過觀察水電消耗情況，實時了解住戶出行和安全情況，屬于個人隱私侵犯[36]。在數據責任方面，水力、電力、交通等城市運營體征數據的采集部門，在共享此類公共數據時，應充分研判宏觀數據用于微觀個體分析的數據風險與法律責任，配套相應的數據使用原則；應用場景建設部門獲取此類數據前，應當征求社會公眾的事前認可，嚴守數據不另做它用，確保數據觀測邊界最小化。

3.4 機制四：數據標注下的倫理審查

當宏觀數據用于分析群體共性規律時，同樣也會導致個人信息風險的演變。疫情防控以來，杭州城市大腦搭建了“親清在線”惠企政策兌付平臺，實時提供政策兌現和政企交流的在線互動服務。親清在線利用公共數據挖掘實現審批兌付自動化，進而減免線下申請、蓋章審核、材料提交等傳統流程，推動政策補貼從“大水漫灌”向“精準滴灌”轉變。以“低收入企業員工500元租房補貼兌付”為例，該應用整合市場主體、從業人員、員工社保、婚姻狀況等數據信息，通過數據算法標注，精準鎖定符合申請條件的“低收入人群”這一標簽數據，實現補貼精準發放。

如圖5所示，政府利用數字化手段向公眾兌現福利時，涉及的相關數據主要是個人敏感度高的公共服務類數據(位于第Ⅱ象限)，比如社保、醫保、公租房等。這些數據雖然與個體密切相關，但由于其多數關系到公共福利問題，公眾往往對這類數據的隱私讓渡較高[22]，屬于中風險數據。在上訴政策兌換環節，平臺通過數據挖掘生成新的結果數據，即對“低收入人群”的聚類分析，這一聚類結果直接導致中風險數據躍遷成為高風險數據。

圖5 “親清在線”應用場景的數據分析與風險躍遷

在部門職責邊界方面，“低收入群體”的結果數據使得公眾個體被“算法標簽化”，如果不對這類數據實行有效監管和保護，后續極易產生“社會分選”，甚至引發公共資源分配不公與數據歧視等問題。大數據時代背景下，數據挖掘產生的“增值數據”通常具有高風險的屬性，對這類數據的個人信息保護也是當前數字政府建設的重點課題。當公共數據產生高風險“增值數據”后，相關應用的建設部門應重點關注“數據標簽化”問題，同時從倫理角度考量由算法驅動產生該結果數據的必要性，加強此類結果數據的倫理審查與保護，避免數據歧視和社會極化的發生。

3.5 4種機制的特征比較

通過上述案例剖析可以看出，公共數據融合主要是為了發揮多源數據的整體信息效益以實現應用場景的建設需求。公共數據融合貫穿于整個數據生命周期各個階段，相對應本文數據采集、數據共享、數據挖掘和數據標注的4種機制。

如表2所示，公共數據融合的不同方式將引致個人信息風險演化的不同路徑與保護機制。從融合模式和治理技術看，根據公共數據融合過程中交互程度深淺，可以分為靜態分類、動態鏈接、信息增益(異質性識別或共性規律聚類)3個層次。最淺層是數據采集下的靜態分類，通過簡單定性比較、分類分級實現數據歸類組合，數據屬性未發生本質變化；第二層是數據共享下的動態鏈接，采用特征匹配等方式，梳理數據之間的邏輯鏈條與共同價值，實現屬性交互[37]；最深層是數據挖掘或數據標注中產生的信息增益，例如：數據挖掘下通過差異化統計等技術識別異質性數據、數據標簽中通過用戶畫像聚類共性規律等，這種分析技術手段催生了數據融合過程中的新信息。從風險態勢上看，淺層的融合方式不易產生個人信息安全風險問題，部門溯源是與之相適應的保護策略，數據共享過程中容易導致從低風險向高風險的顯著風險演化，但這種演化通常容易引起數據管理部門警覺，并配套審慎授權的管理規制；在深度融合階段，個人信息風險演化并不顯著，多為中風險到高風險的小幅度躍遷，此時事先干預是保護個人信息的關鍵，包括涉及個體權益的事前告知以及群體共同利益的倫理審查。

表2 公共數據融合中的4種保護機制

4 結 論

為探討公共數據融合過程中的個人信息風險演化問題，本文基于公共數據分級分類標準和數據生命周期理論，構建了“數據風險—數據責任”的整合分析框架。結合杭州城市大腦案例，探討了面向公共數據融合過程中個人信息保護的4種機制，即部門溯源、審慎授權、事前告知與倫理審查。從靜態層面上看，在公共數據采集環節，可以通過部門溯源界定個人信息保護的職責歸屬，但在數據共享、數據挖掘和數據標注等動態環節，數據敏感性和數據類型都可能產生風險演變。當數據風險發生演變時，傳統安全責任劃分機制往往失效，需要適配更為精準的部門保護策略。本文對面向公共數據融合的個人信息保護提出如下建議：一是重視數據保護級別從“低風險”向“高風險”躍遷的定責問題，引發風險演化部門要進行審慎授權；二是強化數據保護級別從“中風險”向“高風險”演化下的事前告知機制，要針對數據提供方和使用方進行事前責任界定和規則配套；三是要通過倫理審查處理“增值數據”的高風險問題，避免數據標簽與數據歧視。同時，本文仍存在一定的不足之處，例如，數據敏感性僅從個體角度出發，還需從場景效益、組織變革等整體權益上進行綜合思考。在數據功能方面，某些公共數據兼具“公共服務”和“監控監管”的功能，應當綜合權衡后進行數據歸類。另外，數字政府建設中個人信息保護也應當倡導多元化參與，需要建立政府主導，市場組織和社會公眾相互聯動的局面，這些問題都值得進一步研究。