主體視域下政府數據開放中個人信息保護的協同治理機理研究

[摘要]政府數據開放活動迎來熱潮，數據開放與信息保護的平衡逐漸引起關注。從管理的角度審視，政府、企業與社會組織、公民等多個主體均參與政府數據開放活動。本文運用信息生命周期理論，分析政府數據開放中各參與主體的個人信息保護行為和隱私泄露風險表現，提出各參與主體協同治理的策略，認為必須采取差別化、精準化的管理和監督以保護個人信息，具體為注重事前防范、嚴格按規操作、謹防數據泄露、保障公民自決。

[關鍵詞]政府數據開放；個人信息保護；主體協同治理；信息生命周期理論

[中圖分類號]G203" " " [文獻標識碼]A

[DOI]：10.20122/j.cnki.2097-0536.2024.01.011

引言

政府數據開放作為提高數字政府建設水平的關鍵環節，是創新公共服務的題中之義，更是促進數字經濟發展的基礎保障。2022年國務院印發《關于加強數字政府建設的指導意見》，要求“推進公開平臺智能集約發展，提升政務公開水平”[1]。截止2022年10月，我國已有208個地方政府上線數據開放平臺[2]。開放活動日益頻繁，個人信息保護與政府數據開放之間的矛盾也逐漸顯現，如何在二者之間求得平衡，已成為政府數據開放的重要命題。

一、主體視域下政府數據開放中個人信息泄露風險的產生機理

（一）政府數據開放中“個人隱私”信息及其保護的參與主體

1.政府數據開放中“個人隱私”信息范圍

由于公私數據模糊混雜、數據易被重新識別等原因，政府數據開放中“個人隱私”的界定存在一定困難。借助《信息保護法》及相關研究，本文將“隱私信息”定義為：①基礎身份信息，屬于個人核心信息，如姓名、身份證號；②獨立敏感信息，能夠反映個人基本情況，如財務信息、健康信息；③關聯敏感信息，需要使用整合手段得到，如親屬關系。

2.個人信息保護的主要參與主體

從本質上看，政府數據開放中個人信息保護是政府公共治理問題。從管理的角度審視，主要有政府、企業與社會組織、公民三個參與主體，政府作為最大的數據收集者，把握著開放程度和保護強度；企業等組織作為活躍的使用方，對客戶進行信息收集分析是其經濟活動中的常用手段；公民則是個人信息的提供者和隱私風險的受害方。

（二）政府數據開放中個人信息泄露風險的產生機理：主體視域的分析

1.政府產生個人信息泄露風險的機理

政府向社會開放部分數據能夠促進其價值釋放，但隨之而來的隱私風險不可忽視，若僅追求公共利益而將信息保護置于低位，后果不可預估；而過度保護則會限制開放質量，數據效益將大打折扣。二者的矛盾實質上是公共利益與個人權益之間的平衡問題，目前我國并未出臺專有法規，在地方政府發布的政策中涉及個人信息保護的內容也極少，顯然這一天平傾斜于公共利益。

2.企業與社會組織產生個人信息泄露風險的機理

數字時代背景下，企業和社會組織都離不開數據和信息的支撐。我國互聯網起步晚但發展迅速，該領域行業規范滯后于技術成長，還未形成專門的體系。行業自律的欠缺也加劇了隱私泄露的風險，使用數據存在違背政府目的的情況；盡管政府會對數據進行脫敏處理，仍有不軌之徒使用技術手段以重新識別信息。

3.公民產生個人信息泄露風險的機理

公民的個人保護意識也會影響隱私安全?！缎畔⒈Ｗo法》規定“個人對其個人信息的處理享有知情權、決定權”，而我國公民個人信息保護意識淡薄，難以發覺自身正處于隱私風險之中，加之反饋渠道并不完善，使得隱私風險漏洞愈大且難以修補。

二、主體視域下不同數據生命周期個人信息泄露機理

（一）基于信息生命周期理論的參與主體分析

Loukis在數據管理生命周期基礎上提出開放政府數據生命周期理論，由創建、預處理、策劃、存儲/獲取、發布等9個階段組成。對比各類信息生命周期劃分方式，兼顧過程完整與簡潔，本研究將信息生命周期定義為采集、處理、存儲、分享、銷毀5個環節，如圖1。

圖1 信息生命周期

1.數據采集，指政府和企業在履行職責的過程中產生并收集數據，該階段涉及公民、企事業單位、政府機構、第三方組織。

2.數據處理，指有關部門按照一定的管理辦法和技術標準，對數據類目、格式、元素等進行規范處理，該階段涉及政府機構、技術人員、第三方組織。

3.數據存儲，指將數據資源通過特定的技術手段轉存至數據庫中，該階段涉及技術人員、運維人員、第三方組織。

4.數據分享，指政府通過數據開放平臺將數據信息向社會公開，該階段涉及政府數據管理系統、政府數據開放平臺、數據使用方。

5.數據銷毀，指失去價值或超出使用期限的數據需要得到及時的清理，該階段涉及政府部門、數據管理系統、技術人員。

（二）信息生命周期理論和參與主體框架下個人信息泄露機理

政府數據開放中的隱私保護成為難題的一個重要原因在于，社會各界在不知不覺中或多或少地參與開放活動，因此各主體在各階段內存在著不同程度的、造成個人信息泄露隱患的不當行為。

1.采集環節各主體的不當行為分析

過度采集是目前數據采集中的常見現象，不僅將個人信息置于險境，也增加了后續環節的成本。2020年某項針對APP違規行為的調查中，湖北省人民政府推出的“鄂匯辦”因不明確收集信息目的被列入違規名單[3]。而公民作為主要的信息提供者，往往在不知情的情況下被收集隱私信息，對其流向與使用方式一無所知。

2.處理環節各主體的不當行為分析

《2022年政務公開工作要點》明確說明，應選擇適當的公開方式，防止泄露個人隱私。

數據處理環節的隱私風險來源可分類為“不知”與“不力”。前者是指數據處理方意識不足，操作過程避繁就簡，在武漢市公共數據平臺2023年發布的某數據中，相關人員的身份證號等信息被完全公開，如此開放敏感信息不僅會引發隱私風險，也降低了政府部門的可信度。后者是指技術方面的欠缺導致保密系數降低，一些匿名技術已落后于時代，別有用心的人可通過信息溯源、數據拼湊等技術手段對公開信息進行操作以還原數據、惡意利用。

3.存儲環節各主體的不當行為分析

數據存儲是維護信息安全的重要陣地，該環節風險主要來自于傳輸過程和存儲環境，風險因素可歸類為技術方面與道德方面。數據信息背后的經濟利益引得許多不軌之徒不惜以身試法，在政府專門機構與平臺的傳輸和存儲過程中，使用技術手段盜取數據以從中獲利。道德方面則指內部人員主動與犯罪團伙勾結，以權謀私，例如2022年浙江公安查明，邱某利用職務之便獲取用戶信息并在境外出售，非法獲利20余萬元，不僅對社會造成惡劣影響，更損害了政府形象[4]。

4.分享環節各主體的不當行為分析

首先，政府公開的數據存在被違規使用的風險，由于行業意識的缺乏和經濟利益的驅使，信息使用者往往無視目的原則。其次，由于利用場景復雜程度難以評估，政府公開的數據存在被逆向處理的風險。最后，由于相關的事后處理機制還未完善，數據開放過程中的個人信息保護機制無法形成閉環，一些新穎性較強的泄露難題往往陷入追責困境。

5.銷毀環節各主體的不當行為分析

數據銷毀在保障公民個人信息安全中起著后衛作用，該階段隱私信息面臨著數據殘留與惡意恢復的風險，主要原因是數字化信息的復制成本不高、相關部門、操作人員的意識缺乏等。

三、基于信息生命周期的各參與主體協同治理路徑

綜上，信息生命周期各階段都存在個人隱私信息泄露風險。政府數據開放作為一項多方參與的活動，以政府為中心的傳統科層制治理容易導致效率低下、碎片化等問題，因此需要參與主體協同合作、共同治理。

（一）采集環節：注重事前防范

事前防范是基點，要從源頭堵住隱私風險的漏洞。我國目前亟需制定專門的法律法規，明確數據收集中相關機構的權責。數據采集方應當明確數據的采集目的，秉持范圍最小原則；建立安全責任制，將采集和審核任務落實到機構與個人；建立數據開放審核機構，增強審核力度，明確權屬。而公民在被收集信息時應提高敏感度，主動了解采集目的和使用去向，自覺行使權力。

（二）處理環節：嚴格按規操作

按規操作是必需，要加強保密技術、完善標準規范，并保證加密措施謹密執行。數據處理方需在各類新興技術的圍堵之中保證脫敏操作的有效程度，例如MD2算法、P2P架構、數字水印、差分隱私保護等技術都是頗有價值的研究成果。政府在擬訂數據規范時應結合信息學、統計學等，保證其專業性與可行性，數據處理方在分級分類、加密操作、脫敏處理等過程中必須遵循規范指導，做到嚴防死守。

（三）存儲環節：謹防數據泄露

謹防泄露是關鍵，要確保數據的傳輸路徑安全牢靠、維護數據庫保密程度和穩定性。數據存儲方應加強工作人員的理論和實操培訓，通過案例推廣信息保護的理念，培養其必要的數據安全意識和隱私保護意識。

政府應完善法律中有關使用權限的條例，嚴厲打擊非法監聽、截取、流通隱私信息的行為，設立專門的隱私保護機構，完善訪問監管制度，構建數據庫安全系數評估制度。企業與社會組織應自覺遵守權利對等原則，主動承擔社會責任，同時需引進數據庫防火墻技術等，確保系統運行安全。

（四）分享環節：保障公民自決

公民自決是根本，要保證數據的合法獲取與合理使用。應構建相關政策框架，加強政企合作監管；企業與社會組織應對信息進行去個人化處理，合法利用；政府和媒體需做好數據保護宣傳工作，呼吁公眾關注隱私安全等新興問題。當公民的保護意識和防范能力都有所提升，信息保護成為一種集體意識和社會氛圍，整個保護流程才能形成閉環。

（五）銷毀環節：依律落實銷毀

落實銷毀是保險，要確保隱私數據按照規定被完全清除。政府需規定服務商的數據使用權限和留存期限等，強制要求服務商提供明文的可用數據，設立回訪制度，及時檢測數據銷毀日志。企業與社會組織必須堅守職責，遵循規定銷毀數據。

四、結語

信息時代催生了政府數據開放這一新生的公共服務活動，隨之而來的公民個人信息安全風險需引起重視。政府數據開放主要有政府、企業與社會組織、公民三個主體，在數據生命周期內不同環節，各主體的不當行為均會引起個人信息泄露風險，必須采取差別化的、精準的管理和監督——各主體通過協同治理的路徑為各環節的個人信息保護提供多元力量，努力實現數據開放與個人信息保護的平衡。

參考文獻：

[1]國務院關于加強數字政府建設的指導意見[EB/OL].2022-6-23. https：//www.gov.cn/zhengce/content/2022-06/23/content_5697299.htm

[2]復旦大學數字與移動治理實驗室.中國地方政府數據開放報告——城市指數（2022年度）[EB/OL].2023-01-10. http：//ifopendata.fudan.edu.cn/report

[3]中華人民共和國國家互聯網信息辦公室.關于35款App存在個人信息收集使用問題的通告[EB/OL].2020-11-17. http：//www.cac.gov.cn/2020-11/17/c_1607178245870454.htm

[4]中華人民共和國公安部.公安機關依法嚴厲打擊侵犯公民個人信息犯罪：公安部公布8起典型案例[EB/OL].2023-3-15. https：//www.mps.gov.cn/n2254098/n4904352/c8922483/content.html

作者簡介：宋曉鴿（1999.3-），女，漢族，河南南陽人，碩士，研究方向：行政管理。