歐盟法視野下我國政府數據開放中個人信息保護的制度完善

[摘 要：政府數據開放是激發數據要素潛能的關鍵舉措，但政府數據中包含大量個人信息，信息主體權益可能會因行政機關的處理不當而受到損害。縱觀各個國家和地區的個人數據保護制度，歐盟制定的《通用數據保護條例》是走在世界前列的個人數據權利保護立法。我國的政府數據開放存在個人信息權利的法律性質不明確、政府開放個人信息的裁量權過大、個人信息安全監管不嚴等問題。為構建科學合理的政府數據開放制度，需明確個人信息權不僅是一項私法權利還包含公權屬性，兼顧有效利用和安全保障對數據開放范圍進行分類分級管理，可借鑒歐盟立法設立專門的數據保護機構和專員。

關鍵詞：政府數據開放；個人信息保護；通用數據保護條例；歐盟立法

中圖分類號：D912.1

DOI： 10.19504/j.cnki.issn1671[-]5365.2025.02.06]

2015年國務院印發《促進大數據發展行動綱要》，明確要推動政府數據開放共享，促進社會事業數據融合和資源整合。2016年“十三五”規劃綱要將“加快政府數據開放共享”作為“實施國家大數據戰略”的重點內容。2020年，《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》中再次強調，“推進政府數據開放共享”是加快培育數據要素市場的重要內容。在深化數據要素改革的戰略目標下，政府數據開放已成為促進數據高效利用的關鍵舉措。但與此同時，由于政府數據中包含大量個人信息，信息主體的隱私風險因此成為社會關注的熱點問題?？v觀不同國家、地區的個人信息處理實踐和制度經驗，歐盟的個人數據權利保護立法走在世界前列。2018年，《通用數據保護條例》（General Data Protection Regulation，GDPR）正式施行，為歐盟保護自然人的基本權利和自由，尤其是在互聯網和大數據崛起的新環境下保護個人數據的權利，同時確保會員國間個人數據自由流動以促進經濟和社會進步提供了藍圖。

我國實定法中的“個人信息”對應歐盟法中的“個人數據”，我國的“信息主體”“信息權利”對應歐盟的“數據主體”“數據權利”。雖然在嚴謹的邏輯思維中，“個人數據”與“個人信息”并不必然等同，但在網絡世界里，二者有很大重合①。按照GDPR對“個人數據”的界定②，“可識別性”成為判斷個人數據的關鍵要素。我國在制定《個人信息保護法》時可充分借鑒歐盟的立法經驗，將“個人信息”定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”；同時，明確個人信息的處理包括收集、存儲、加工、公開等。就政府公開個人信息的行為性質而言，其當然屬于政府處理活動，應當受制于該法中對“個人信息處理者”的一般行為規范，與此同時，還應當適用國家機關處理個人信息的特別規定。但《個人信息保護法》中對于國家機關處理個人信息的規定僅具有指導、宣示作用，不具有很強的行為規范屬性，由此引發行政機關數據處理不當導致自然人權益受損，且難以獲得有效救濟的問題。

一、我國政府數據開放中個人信息保護存在的問題

在我國，伴隨政府數據開放的全面展開及《個人信息保護法》的立法進程，圍繞個人信息保護和利用，學界和實務界從不同角度進行了探討，內容聚焦在個人信息權利的法律性質為何、政府公開個人信息的權力邊界以及采取何種措施保障個人信息的安全。

（一）個人信息權利的法律性質不明確

個人信息權利的法律屬性決定了對其進行保護的法律規范的性質，以及該法律規范對基于個人信息處理而產生的法律關系的控制力。就個人信息權利是私權還是公權這一問題，學界一直爭議較大。一種觀點認為，個人信息權是一種純粹的民事權利。有學者提出，從經濟社會發展來看，個人信息保護立法是為了實現個人信息全面保護和合理流通的平衡，而只有將個人信息權益視為民事權利，才能將個人信息“商品化”并實現其市場化利用[1]。還有學者指出，個人信息不同于數據或隱私，理應將其作為一種權利進行保護；并且，個人信息權應當被定性為一種人格權，并融入民事權利體系。[2]概言之，民法學界目前形成的普遍共識是自然人對個人信息享有人格權益。作為“權利”和“利益”的集合體，“權益”因此成為個人信息保護的法律基礎。

另一種觀點則認為，不同于作為傳統民事權利的人格權，個人信息權是完全獨立的、新型的公法權利。信息主體不但可依此權利對抗平等的民事主體，也可以對抗公權力部門。國家要尊重和保護個人的信息控制權[3]。此外，從功能視角觀之，大數據技術下個人信息的數量大、價值密度低、相關性弱等特征使得個人無法以私權為制度工具對個人信息的產生、傳輸、利用進行有效控制。因此，應當將個人信息作為公共物品來規制，由政府專門機構對其進行治理，進而治理的法律性質應該是公法而非私法[4]。

有學者綜合上述兩種觀點，主張個人信息權同時具有公法權利和私法權利兩種屬性，并應統合于憲法基本權利框架之下[5]。

僅從當前的理論研究來看，個人信息保護制度充滿爭議，對于個人信息及其上附著的信息主體權利的法律性質分歧巨大，已嚴重影響政府數據開放中個人信息保護的體制機制構建。

（二）政府開放個人信息的裁量權過大

作為一個規模龐大的數據資源池，政府數據的包容范圍非常廣泛，但從隱私保護這一角度出發，個人信息的開放范圍應當是有限的。因此，需要尋找到行政裁量權的合理限度，才能在尊重行政權力靈活性的同時不至于侵犯公民正當的信息權利。

縱觀當前立法實踐，各地普遍將政府數據分為無條件開放、有條件開放和不予開放三種類型，并對政府數據資源實行目錄管理。涉及個人隱私的數據通常屬于“不予開放”類，但也存在例外，如《浙江省公共數據開放與安全管理暫行辦法》在明確“禁止開放”的數據類型后作出兩項特殊規定：一則，依法經過脫敏、脫密等技術處理的；二則，不開放將會對公共利益造成重大影響的。符合上述條件之一即可列為“無條件開放”類數據。該辦法的發布主體是浙江省人民政府，由此不難推斷，行政機關的裁量空間包含制定開放目錄及確定數據類型。

與此同時，在立法文本的表述中，有使用“個人隱私”，也有使用“個人信息”。從規范和學理視角來看，個人隱私與個人信息并非同一概念，后者包括隱私信息和非隱私信息。作為劃定開放類別的關鍵語素，不同術語體現出各地在政府數據開放實踐中對個人信息保護與數據利用的價值權衡。由于目前關于數據開放共享的政策文件多以地方政府規章或地方規范性文件的形式發布，起草人員多為行政機關工作人員，審議、批準主體為相關政府部門。由此可見，對于“個人信息”“個人隱私”的界定也屬于行政裁量事項。

在政府擁有制定開放目錄、確定數據類型、界定“個人信息”“個人隱私”范疇等多重職權的情況下，如何控制政府在數據開放事項上的裁量權，保障個人信息權益，成為亟需討論的重要議題。

（三）個人信息安全監管不嚴

數據安全是事關國家安全與經濟社會發展的重大問題，國家應全面承擔保障數據安全的職責[6]。但在政府治理實踐中，卻存在國家機關“主動泄密”的情況，比如身份證件號碼這類個人敏感信息③，其泄露將給自然人帶來安全和經濟風險，然而有基層政府部門卻將公民的個人聯系方式、住址、身份證號等信息以“公示”的方式發布到官方網站上，瀏覽者可任意下載獲取。雖然政府部門后續將涉事文件刪除或隱藏，但危害后果已然存在，政府信用也招致損害，此類事件反映出當下的政府數據開放還存在個人信息安全監管不嚴的問題。

近年來，隨著互聯網和電子信息技術的飛速發展，個人信息泄露事件頻發。究其原因，承載個人信息的數據有一個重要特點——易被復制。這樣的特點使得即使經過脫敏和加密處理，數據也無法保證能夠安全可靠地流轉[7]。在這種情況下，開放政府數據的相關部門理應建立個人信息安全監管制度。但事實上，就目前我國整體情況而言，在政府數據安全方面的投入較匱乏，不少政府部門存在“重建設輕運維”“重管理輕安全”的情況，無論是資金還是技術和人才方面的投入，都還不足[8]。在對數據進行分類分級保護方面，難以按需提供，尤其是在個人敏感數據的保護方面，安全等級還難以匹配。

二、歐盟關于政府數據開放中個人信息保護的制度構建

為了更好地確保數據主體的隱私安全，歐盟于2016年通過GDPR，對個人數據權利保護體系進行更新和完善。從個人角度，其賦予自然人以個人數據保護的基本權利；從控制者和處理者角度④，其規定了處理個人數據的基本原則，并明確在特定情形下應當設置數據保護官以履行監督職能。

（一）自然人享有個人數據保護的基本權利

GDPR第1條規定，該條例保護自然人的基本權利和自由，特別是保護個人數據的權利。由此可見，歐盟不僅將個人數據保護視為一項權利，還將其納入基本權利范疇。而在內容框架方面，GDPR通過一個完整章節規定了數據主體權利及對權利的限制（見表1）。

GDPR是歐盟為了平衡數據自由和數據主體權利之間的沖突而設計的法律條例，不同于美國更加注重對數據的利用，歐盟在架構個人數據權利體系時，更偏重對數據主體權利的保護。正如歐盟委員會前副主席芮丁女士（Viviane Reding） 所言，“個人數據保護對于歐洲人而言是一項基本權利”，歐洲一直將“隱私視為一種建立在基本人權之上的政治要求”[9]。

（二）處理個人數據的基本原則

GDPR第5條規定，在處理個人數據時，應當恪守6項基本原則，即合法、公平、透明性原則，目的限制原則，數據最小化原則，準確性原則，存儲限制原則，完整性和保密性原則（見表2）。基本原則統一適用于私主體和公權力機構對個人數據的處理，但當限定為政府部門開放個人數據這一討論范疇時，“合法性原則”和“目的限制原則”成為研究的重點。首先，何謂滿足“合法性”要求？GDPR第6條列舉出具體情形，如基于數據主體的同意、為保護數據主體或其他自然人的切身利益、為公共利益或執行官方任務等。其次，對于目的限制原則，一般認為其體現在兩個階段：一是收集階段的目的明確，即在開始收集數據前，數據控制者應有特定的收集、使用目的；二是使用階段的限制，即數據控制者或處理者在實際使用個人數據時的目的不得與先前確定的目的相違背[10]。

（三）歐盟數據保護官

GDPR第37條規定了在三種情況下，數據控制者和處理者應當指定一名數據保護官（簡稱“DPO”）：其一，公共當局或機構處理個人數據（不包括法院履行司法職能）。其二，需要對自然人進行定期、系統的大規模監控。其三，數據處理活動涉及大量“特殊類別的個人數據”（special categories of personal data）⑤或者與刑事犯罪有關的個人數據。依據GDPR第9條規定，“特殊類別的個人數據”包括揭示種族或民族出身、政治觀點、宗教或哲學信仰（或信仰缺失）、工會會員資格、健康，或者自然人性生活或性取向的個人數據。由于處理此類數據會增大侵害個人權利和自由的風險，因而需要接受更為嚴格的保護，設立DPO即是一項重要舉措。

對于DPO的地位和職責，GDPR明確其具有獨立性，數據控制者和處理者應當為其履行相應職責提供必要條件。DPO負有監督數據控制者和處理者遵守個人數據保護相關政策、提供有關數據保護影響評估的建議、與監管機構合作等職責。隨著技術的進步，數據處理工具、方法的多樣化、復雜化，以往的歐盟數據保護機構已經無法匹配數據利用的治理需求[11]。因此需要設立一個全新的職位，以確保更高的數據保護標準，保障個人數據的基本權利。

三、歐盟政府數據開放中個人信息保護制度對我國的啟示

我國已有的政府數據開放實踐表明，法律制度中基礎性條件的缺失，如個人信息權利的法律屬性不明確、政府裁量權泛化、監管制度存在缺陷等問題，引發了個人信息保護的諸多爭議。對此，適度借鑒GDPR立法經驗，基于賦權（權利）、控權（權力）和監管理念，對政府數據開放中的個人信息保護進行科學合理的制度構建。

（一）明確個人信息權利的基本性質

《歐盟基本權利憲章》第8條確立的“個人數據受保護權”是歐盟個人數據保護制度的起點，在此基礎上，歐盟GDPR發展出一整套完備的數據主體權利體系并配置相應的權力監管制度，從歐盟到各成員國再到市場主體，均負有保障（至少是不侵擾）個人數據基本權利的職責和義務。對照我國，對個人信息權利的法律屬性尚存爭議，需要先確立個人信息權利的基本性質。個人信息權不應僅為一項私法權利，而應包含公權屬性。

從實然層面來看，一方面，我國《憲法》第33條規定，國家尊重和保障人權。個人信息權作為一種新興的數字權益被納入人權保障的范疇[12]。另一方面，《個人信息保護法》第1條規定“根據憲法，制定本法”，這無疑是依憲立法、堅持以憲法為依據、體現憲法精神的最直接體現[13]。從應然層面來看，步入數智化時代，數字技術滲透到各行業、各領域，影響人們生活的方方面面?！兜?2次中國互聯網絡發展統計報告》的數據顯示，截至2023年6月，我國網民規模達10.79億人，互聯網普及率達76.4%。人的本質是社會性，由于當前的社會變成一種以數據為傳輸媒介的萬物互聯的數字社會，個人信息權就成為最能體現當代人類數字化生存狀況的權利[14]。因此，應當對個人信息權給予制度性承認，將其確立為一項公法權利，并賦予國家以相應的保障義務。

政府數據開放的目的是促進社會主體對包含個人信息在內的所有數據實現最大程度的有效利用，以充分實現其要素價值。政府數據開放平臺開放的數據包含民生服務、經濟建設、教育科技、衛生健康等多個領域，為用戶的科研、商業、公益等需求提供資源支持。市場主體尤其是具備一定技術優勢的科技企業，可通過平臺獲取各類數據，并通過對個人信息的處理降低運營成本。但與之相伴的是，個人信息在被收集和處理的過程中，會產生各種風險。此時，國家所負擔的保障義務源于私主體之間個人信息處理實力的不對等，因此，需要國家介入以提供積極保護和制度保障[15]。

（二）控制政府開放個人信息的裁量權

《個人信息保護法釋義》明確，國家機關處理個人信息也應遵循本法規定的個人信息保護的基本原則和處理規則。因此，對政府開放個人信息裁量權的控制可以通過對個人信息保護基本原則的解釋和細化予以實現。

首先，合法性原則?！秱€人信息保護法》第5條規定了合法性原則，與此同時，第13條第1款第3項規定，為履行法定職責或者法定義務所必需時，個人信息處理者方可處理個人信息。那么，政府開放政府數據是履行法定職責或者法定義務嗎？根據《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》，政府負有“促進數據合規高效流通使用”“合理降低市場主體獲取數據的門檻”等職責。政府數據開放的目標是政務公開、公眾參與和經濟發展[16]。從更寬泛的角度來看，政務公開和經濟發展最終都是為了公眾的生產生活需要，通過對數據資源的開放共享最大程度地實現其公共價值。因此，基于公共價值實現之目的，政府理應負有公開政府數據（包括組成政府數據之個人數據）的職責。

但基于“職責”賦權政府的同時，也應當恪守法律保留原則，即一方面通過對“職責”的解釋賦權，另一方面通過對“法定”的解釋限權。對于后者，由于自然人的個人信息權利是法律層面的權利，因此對該權利的限制也應當由法律進行規定。并且，可以在個人信息分類基礎上對法律保留程度加以區分，即對敏感個人信息的利用，應當獲得狹義法律的授權；而對一般個人信息的利用，可以允許法規作為授權依據[17]。這種思想在《個人信息保護法》中也有所體現，其中第34條規定，國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行。對該條的解讀應當置于我國正式法律淵源中，嚴格限定“法律”“行政法規”的所指。

其次，必要性原則?！秱€人信息保護法》第6條規定了必要性原則，在我國行政法基本原則框架體系中，其是比例原則的組成部分，關注手段和結果，核心在于行政機關行使權力應造成最小損害。根據歐盟法的規定，如果需要在采取特定措施過程中處理個人數據，應當描述個人數據的類別。在我國，個人信息區分為一般個人信息和敏感個人信息，判定后者的核心要素是“產生重大風險”，即在存在泄露、非法提供或濫用的情況下，對個人信息主體權益帶來重大損害?；诖耍蓢@“風險”要素建立數據分級體系，并秉承“風險規制”理念確立個人信息開放標準。如果擬議的措施包括處理敏感數據，則需判定該類數據公開后對個體的影響或可能造成的危害，在評估必要性時采取更嚴格的標準。還需要考慮的是，由于“風險”具有不確定性，因此在實踐中可采用目錄管理的動態調整方式劃定開放范圍[18]，以平衡個人數據的有效利用和安全保障。

（三）完善公開個人信息的安全監管制度

從堅持“有權必有責，用權受監督”的理念出發，政府數據開放應當建立對行政機關及其工作人員的監督機制，通過相應的制度設計對有關部門進行約束。借鑒歐盟的個人數據保護監管制度，一方面，考慮建立獨立的國家數據監管機構。具體而言，在中央層面，建立國家數據局，使其在激活數據要素潛能、驅動數字產業發展的同時，關注數據背后潛藏的個人信息安全問題，承擔相應的監管職能。在地方層面，可在各地大數據局中設置專門的數據保護責任機構。

另一方面，可在政府數據開放主管部門設立數據保護人員。歐盟立法表明，數據保護官負有提供有關數據保護影響評估建議的職責。現代風險管理理論認為，安全風險是可以識別、評價、控制或規避的，而基于定性或定量的統計分析是識別、評價風險的常用方法[19]。落實到我國的個人信息保護制度中，可經由政府各部門數據保護人員采用風險因素分析法、內部控制評價法等方法，在確定風險評估對象、標準后，通過技術手段對擬開放的政府數據中涉及個人隱私的數據進行全面系統的分析和評估。

結語

數據已成為國家的基礎性戰略資源，政府數據開放是推動政府治理能力現代化和發揮數據生產要素作用、促進經濟社會快速發展的重要舉措。目前，政府數據開放在政治、經濟、社會等領域的應用效果得到證實，受到越來越多的關注。與此同時，由于政府數據中包含大量個人信息，因此面臨個人隱私泄露、個人信息權利被侵害等法治困境。歐盟經驗或為我國制定和完善政府數據開放中的個人信息保護制度提供借鑒。

注釋：

① 現實中，政府數據多是通過政務數據平臺向社會開放，存在“個人數據”“個人信息”的交叉使用，故不對二者進行區分。為行文方便，在討論我國政府數據開放實踐時，主要使用“個人信息”的表述，但在涉及歐盟法及其具體規定時，為論述準確，仍使用“個人數據”的表述。

② GDPR第4條規定：“個人數據是指有關已識別或可識別的自然人（數據主體）的任何信息?！?/p>

③ 《信息安全技術個人信息安全規范》（GB/T 35273-2020）規定：“個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內容、財產信息等。”

④ GDPR規定，“控制者”是指單獨或與他人共同確定處理個人數據的目的和方式的自然人或法人、公共當局、機構或其他機構；“處理者”是指代表控制者處理個人數據的自然人或法人、公共當局、機構或其他機構。

⑤ GDPR第9條所指“特殊類別的個人數據”對應我國《個人信息保護法》規定的“敏感個人信息”。

參考文獻：

[1] 嚴鴻雁.論個人信息權益的民事權利性質與立法路徑：兼評《個人信息保護法》（專家建議稿）的不足[J].情報理論與實踐，2013，36（4）：43-46.

[2] 呂炳斌.個人信息權作為民事權利之證成：以知識產權為參照[J].中國法學，2019（4）：44-65.

[3] 周漢華.個人信息保護的法律定位[J].法商研究，2020，37（3）：44-56.

[4] 吳偉光.大數據技術下個人數據信息私權保護論批判[J].政治與法律，2016（7）：116-132.

[5] 彭錞.憲法視角下的個人信息保護：性質厘清、強度設定與機制協調[J].法治現代化研究，2022，6（4）：50-64.

[6] 王玎.論數據處理者的數據安全保護義務[J].當代法學，2023，37（2）：40-49.

[7] 楊東，毛智琪.公共數據開放與價值利用的制度建構[J].北京航空航天大學學報（社會科學版），2023，36（2）：36-45.

[8] 肖冬梅，蘇瑩.我國政府數據開放中的安全風險及其防范對策[J].現代情報，2022，42（6）：112-120，131.

[9] 丁曉東.什么是數據權利？：從歐洲《一般數據保護條例》看數據隱私的保護[J].華東政法大學學報，2018，21（4）：39-53.

[10] 梁澤宇.個人信息保護中目的限制原則的解釋與適用[J].比較法研究，2018（5）：16-30.

[11] Kakhaber Goshadze. The Data Protection Officer （DPO） - Ensuring Greater Data Protection Compliance[J].Law and World，2020，14：41-47.

[12] 張龑，江爍.數字人權的概念及其對基本權利的重塑[J].人權，2023（5）：23-41.

[13] 張震.“根據憲法，制定本法”的規范蘊涵與立法表達[J].政治與法律，2022（3）：108-119.

[14] 張濤.風險預防原則在個人信息保護中的適用與展開[J].現代法學，2023，45（5）：52-72.

[15] 張婉婷.個人信息“合理利用”的規范分析[J].法學評論，2023，41（6）：109-120.

[16] 任丹麗.政務數據使用的法理基礎及其風險防范[J].法學論壇，2023，38（2）：142-150.

[17] 林鴻潮.個人信息在社會風險治理中的利用及其限制[J].政治與法律，2018（4）：2-14.

[18] 宋爍.政府數據開放是升級版的政府信息公開嗎？：基于制度框架的比較[J].環球法律評論，2021，43（5）：52-66.

[19] 劉力皸.論基于標準化的大型活動安全管理[J].湖南警察學院學報，2017，29（4）：80-88.

【責任編輯：許潔】

Institutional Improvement of Personal Information Protection in the Field of Opening Government Data in China from the Perspective of EU Law

TIAN Yujie

（Law School of Sichuan University， Chengdu， Sichuan 610207， China）

Abstract： Opening government data is a key initiative to stimulate the potential of data elements， however， because of a large amount of personal information involved， the rights and interests of information subjects may be damaged due to improper handling by administrative organs. Looking at the personal data protection systems of various countries and regions， the General Data Protection Regulation （GDPR） formulated by the European Union is the legislation on the protection of personal data rights that is at the forefront of the world. In the practice of opening government data in China， there are problems such as the unclear legal nature of personal information rights， the excessive discretion of the government to open personal information， and the lax supervision of personal information security. In order to build a scientific and reasonable system for opening government data in China， it is necessary to make it clear that the right to personal information is not only a private right but also contains the attribute of public right， to classify and manage the scope of opening data with consideration for effective utilization and security， and to set up a specialized data protection agency and commissioner by drawing on the legislation of the EU.

Keywords： opening government data; personal information protection; General Data Protection Regulation; EU legislation