西班牙開放政府數(shù)據(jù)的隱私風險控制研究*

陳 美 梁乙凱

(1. 中南財經(jīng)政法大學公共管理學院 武漢 430073；2.山東財經(jīng)大學管理科學與工程學院 濟南 250014)

開放數(shù)據(jù)具有這樣一種思想：對任何人來說，他們都能如自己所愿那樣免費使用和再次發(fā)布某些數(shù)據(jù)，而不受版權、專利或其它控制機制的限制。開放數(shù)據(jù)運動的目標與諸如開放源代碼、開放內容、開放存取這樣的“開放”運動的目標相類似。開放數(shù)據(jù)背后的理念早就確定，但術語“開放數(shù)據(jù)”一詞本身是最近興起，而且是隨著互聯(lián)網(wǎng)和萬維網(wǎng)的崛起而逐漸流行，尤其隨著諸如Data.gov這樣的美國開放政府數(shù)據(jù)倡議發(fā)起之后更為突出。從任何開放數(shù)據(jù)計劃開始，確保公民的隱私是首要任務。之所以選擇西班牙作為政府開放數(shù)據(jù)中隱私保護的案例研究，原因在于：一方面，從國內研究情況來看，盡管有學者圍繞美國、英國、德國、澳大利亞等國的開放數(shù)據(jù)中隱私保護進行研究，但尚未對西班牙進行系統(tǒng)研究；另一方面，從實踐的角度來看，西班牙的開放數(shù)據(jù)相對較好。2017年5月，在萬維網(wǎng)基金會發(fā)布的《開放數(shù)據(jù)晴雨表：全球報告》(第四版)中，西班牙在全世界綜合排名第11[1]。因此，本文對西班牙政府開放數(shù)據(jù)的隱私風險評估與防控進行系統(tǒng)調研，旨在為我國政府開放數(shù)據(jù)和個人隱私保護提供借鑒。

1 西班牙政府開放數(shù)據(jù)中個人隱私的評判標準

1.1個人隱私界定由于大數(shù)據(jù)時代個人數(shù)據(jù)的全樣本收集與分析技術的不斷升級，使得“個人數(shù)據(jù)”與“個人信息”之間的界限模糊化[2]。西班牙《憲法》(Spanish Constitution)和《關于個人數(shù)據(jù)保護的組織法》(de desarrollo de la ley Orgnica 15/1999，簡稱“《組織法》”)[3]則對個人數(shù)據(jù)、個人信息、特定個人數(shù)據(jù)種類分別進行了界定。根據(jù)《組織法》的3(a)條，個人數(shù)據(jù)是有關已識別或可識別個人的任何信息。根據(jù)《組織法》第5(f)條，個人信息是任何有關已識別或可識別個人的數(shù)字、字母、圖形、攝影、聲學或任何其它信息。針對這一定義中的“可識別”，《組織法》第5(o)條也進行了界定：可識別的人是可以被識別身份的人，其識別方式是直接或間接地通過利用他的身體、生理、心理、經(jīng)濟、文化或社會身份的任何信息，如果這種識別過程需要不成比例的期限或活動，那么自然人將不被視為可識別身份。就個人數(shù)據(jù)范圍而言，《組織法》第2.4條強調，死人的數(shù)據(jù)一般不屬于個人數(shù)據(jù)，但有例外：屬于死者家屬或基于類似原因而與死者相關聯(lián)的人為了發(fā)布死亡通告。就特定個人數(shù)據(jù)種類而言，《憲法》第16.2條規(guī)定，沒有人有義務去公開它們自身的意識形態(tài)、宗教、信仰；《組織法》也指出，涉及受保護的特定個人數(shù)據(jù)類別包括意識形態(tài)、工會歸屬、宗教和信仰、種族、健康、性生活[4]。

1.2個人隱私保護的法律內容在西班牙，個人隱私保護的法律框架包括：《里斯本條約》(Lisbon Treaty)《憲法》《組織法》《刑法》。《憲法》是西班牙于1978年所頒布，將原本高度集權的西班牙轉變?yōu)樽灾蔚姆謾嗷瘒?。隱私權主要涉及西班牙《憲法》第18.1條，即保障榮譽權、個人和家庭隱私權以及個人自身形象，并將這些人格權作為基本權利?！稇椃ā返?8(4)條承認個人數(shù)據(jù)保護權，并且將其與隱私權相分開：“法律將限制信息技術使用，旨在保護榮譽和公民的個人隱私和家庭隱私”[5]。從具體條文來看，《憲法》中所使用的術語是“intimacy”而不是“privacy”。《組織法》是在1999年頒布且在2000年1月14日生效，將歐盟《數(shù)據(jù)保護指令》(Data Protection Directive)轉化為西班牙法律并確立了數(shù)據(jù)保護的范圍?！督M織法》為榮譽權、個人和家庭隱私權以及個人自身形象提供了民事保護[6]。此外，根據(jù)《刑法》(Criminal Code)第197條，可能會在刑事指控下起訴侵犯隱私權的不披露行為。

除上述法律外，西班牙特定行業(yè)法規(guī)也包含數(shù)據(jù)保護規(guī)定(見表1)。

表1 西班牙特定行業(yè)的數(shù)據(jù)保護規(guī)定

2 隱私風險應對的數(shù)據(jù)處理規(guī)范與機構

2.1隱私風險應對的數(shù)據(jù)處理規(guī)范在個人數(shù)據(jù)處理規(guī)范方面，主要包括：個人數(shù)據(jù)處理原則、不同階段數(shù)據(jù)處理操作、個人數(shù)據(jù)合法處理。

第一，個人數(shù)據(jù)處理原則。西班牙《組織法》提出了7條原則，具體內容如下：a.當數(shù)據(jù)收集目的具體、明確和合法時，個人數(shù)據(jù)才能被收集。b.個人數(shù)據(jù)不得用于與數(shù)據(jù)收集目的不相容的目的。對于以歷史、統(tǒng)計或科學目的而進行的后續(xù)處理，不會被認為與最初目的不相容。c.個人數(shù)據(jù)是準確和更新的，以便能夠真實地回應數(shù)據(jù)受影響者的現(xiàn)狀。d.如果個人數(shù)據(jù)被證明是全部或部分不準確或不完整，那么這些數(shù)據(jù)將被取消，而且通過糾正或完成相應的數(shù)據(jù)替代。e.當數(shù)據(jù)持有者不再需要時，個人數(shù)據(jù)將被刪除；個人數(shù)據(jù)的保存方式是，不允許識別利益相關者的時間超過數(shù)據(jù)收集或數(shù)據(jù)登記目的所需的時間；根據(jù)具體立法確定的特殊歷史、統(tǒng)計或科學價值的程序將確定某些數(shù)據(jù)的全面維護情況。f.除非個人數(shù)據(jù)被合法刪除，否則個人數(shù)據(jù)將以允許行使數(shù)據(jù)獲取權的方式得到存儲。g.禁止以欺詐、不忠誠或非法手段來收集數(shù)據(jù)。

第二，不同階段數(shù)據(jù)處理操作。根據(jù)《組織法》第3(c)條，數(shù)據(jù)處理意味著操作過程和技術過程中自動或非自動地進行收集、記錄、存儲、加工、修改、咨詢、使用、撤銷、阻斷或消除、披露來自通信、協(xié)商、互連和傳輸所得到的數(shù)據(jù)。通常而言，它包括六個不同階段：a.描述數(shù)據(jù)的生命周期；b.分析數(shù)據(jù)保護影響評估(DPIA)的必要性；c.判別威脅和風險；d.評估風險；e.管理風險；f.數(shù)據(jù)處理行動計劃和結論[19]。

第三，個人數(shù)據(jù)合法性處理?！督M織法》針對一般個人數(shù)據(jù)和特定個人數(shù)據(jù)提供了不同規(guī)范：對于一般個人數(shù)據(jù)目錄，具有一般規(guī)則(第6條)；針對特定個人數(shù)據(jù)目錄，存在特別嚴格條款(第7條)。《組織法》第6條規(guī)定，除非存在法律條款提供例外情形，否則個人數(shù)據(jù)處理需要數(shù)據(jù)主體的明確同意。具體而言，這一“同意原則”的例外情況包括：屬于公共行政部門執(zhí)行任務時所需；屬于合同或者前合同協(xié)議中的內容；有嚴重醫(yī)療或健康理由；當數(shù)據(jù)被包含在公共資源中且它們應當?shù)玫教幚怼Ｅc“同意原則”相反的是，《組織法》第6條第4點提供了“無同意準則”：當沒有必要對個人數(shù)據(jù)處理進行同意且不存在其它法律規(guī)定時，如果針對個體情況存在合法和正當理由，那么數(shù)據(jù)主體能夠反對數(shù)據(jù)處理。針對受特別保護的數(shù)據(jù)，《組織法》第7.2條規(guī)定，只有得到數(shù)據(jù)主體的明確書面同意，才能處理那些揭示意識形態(tài)、工會歸屬、宗教和信仰的個人數(shù)據(jù)；《組織法》第7.3條規(guī)定，只有當存在一般利益的原因時，由法律或有關人員明確同意的情況下，才可以收集、處理和分配涉及種族、健康和性生活的個人數(shù)據(jù)；《組織法》第7.4條規(guī)定，禁止為了存儲揭示意識形態(tài)、工會隸屬關系、宗教信仰、種族或民族血統(tǒng)或性生活的個人數(shù)據(jù)而創(chuàng)建文件；《組織法》第7.5條規(guī)定，與犯罪或行政違法行為有關的個人數(shù)據(jù)只能包含在各自監(jiān)管標準規(guī)定的主管公共行政部門的檔案中。

2.2隱私風險應對的機構和職位西班牙的數(shù)據(jù)保護機構是數(shù)據(jù)保護局(Agencia Espaola de Protección de Datos，AEPD)，該機構于1993年根據(jù)第428/1993號皇家法令設立，也代表西班牙參加歐洲數(shù)據(jù)保護委員會。這個機構的權利如下：a.調查權利。根據(jù)西班牙《組織法》Sección 2，AEPD有廣泛的權利命令數(shù)據(jù)控制者和處理者提供執(zhí)行任務所需的任何信息，以數(shù)據(jù)保護審計的形式進行調查，對根據(jù)《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，簡稱GDPR)頒發(fā)的證書進行審查，對那些涉嫌違反GDPR的數(shù)據(jù)控制者或處理者進行通知，獲取所有個人數(shù)據(jù)和執(zhí)行數(shù)據(jù)控制者或處理者任務所需的所有信息；b.糾正權。AEPD能夠對違規(guī)行為進行警告或譴責，命令數(shù)據(jù)控制者向數(shù)據(jù)主體披露個人數(shù)據(jù)泄露情況，進行永久性或臨時性禁止處理，撤銷認證并進行行政罰款。c.授權和咨詢權。AEPD可以向數(shù)據(jù)控制者、認證機構提供建議，能夠授權證書、發(fā)布合同條款、行政安排和具有約束性的公司規(guī)則[20]。

就具體數(shù)據(jù)保護職位而言，根據(jù)西班牙《組織法》第34條[20]，屬于以下組織或出現(xiàn)以下情況時，必須強制性任命數(shù)據(jù)保護官：a.專業(yè)協(xié)會及其總理事會；b.提供教育權利立法規(guī)定的任何級別教育的教育中心，以及公立和私立大學；c.在定期和系統(tǒng)地大規(guī)模處理個人數(shù)據(jù)時，按照具體立法的規(guī)定運營網(wǎng)絡并提供電子通信服務的實體；d.信息社會的服務提供者大規(guī)模開發(fā)服務用戶的概況；e.屬于《6月26日第10/2014號法律》第1條中所涉及的關于信貸機構的組織、監(jiān)督和償付能力的實體；f.信貸金融機構；g.保險和再保險實體；h.受證券市場法規(guī)監(jiān)管的投資服務公司；i.電力分銷商和營銷商以及天然氣分銷商和營銷商；j.負責評估資產(chǎn)和信用償付能力的一般文件或管理和防止欺詐的共同文件的實體，包括那些旨在防止洗錢的法律管轄的文件；k.開展廣告和商業(yè)勘探活動的實體根據(jù)受影響者的偏好進行治療或開展涉及編制相關概況的活動；l.法律要求保留患者醫(yī)療記錄的健康中心；m.旨在發(fā)布可能涉及自然人的商業(yè)報告的實體；n.游戲規(guī)則是以電子方式、遠程方式和交互方式開展活動的游戲運營商；o.私人保安公司；p.體育聯(lián)合會處理未成年人的數(shù)據(jù)?？梢姡督M織法》包括需要指定數(shù)據(jù)保護官的組織和公司列表，即保險或再保險公司、金融信貸機構、教育機構、電力和天然氣分銷商、廣告和營銷公司等都必須指定一名數(shù)據(jù)保護官。當然，《組織法》也允許組織和公司自愿指定數(shù)據(jù)保護官，但在任何一種情況下，數(shù)據(jù)保護官的任命必須傳達給AEPD。

3 西班牙政府開放數(shù)據(jù)中的數(shù)據(jù)影響評估和風險識別

3.1數(shù)據(jù)影響評估的應用標準根據(jù)GDPR第35條，如果某種數(shù)據(jù)處理活動需要使用新技術，并考慮其性質、范圍、背景和目的可能會對自然人的權利和自由造成高風險，那么數(shù)據(jù)管理員有義務在實施此類處理活動之前進行數(shù)據(jù)保護影響評估[21]。可見，根據(jù)GDPR，當使用“新技術”進行處理時，風險將增加。盡管GDPR建立了有助于識別涉及高風險的數(shù)據(jù)處理操作標準，但監(jiān)管機構應建立并公布一份受數(shù)據(jù)保護影響評估要求約束的處理操作清單。在這種情況下，AEPD在2019年5月6日公布了一份認為可能對其人員的權利和自由產(chǎn)生高風險的數(shù)據(jù)處理活動的處理操作清單，強調如果出現(xiàn)滿足這一清單上兩個或更多標準的情況，那么有必要進行數(shù)據(jù)保護影響評估。此外，特定數(shù)據(jù)處理活動所滿足的標準越多，意味著涉及的風險就越大，那么進行數(shù)據(jù)保護影響評估的需求就越確定。

具體而言，這份清單包括的11種情形如下。①對自然人進行概況分析或評估，具體行為包括從數(shù)據(jù)主體的生活(工作表現(xiàn)、個性和行為)的多個領域收集數(shù)據(jù)，涵蓋其個性或習慣的各個方面。②自動決策制定或處理極其有助于做出此類決策的行為，包括阻止數(shù)據(jù)主體行使權利，或獲取商品或服務，或成為合同一部分的任何類型的決策。③對數(shù)據(jù)主體進行系統(tǒng)和詳盡地觀察、監(jiān)測、監(jiān)督、地理定位或控制，具體行為包括通過網(wǎng)絡、應用程序或公共可訪問區(qū)域收集數(shù)據(jù)和元數(shù)據(jù)，以及處理允許識別信息社會服務用戶的唯一標識符，這些信息社會服務如網(wǎng)絡服務、互動電視、移動應用等。④處理GDPR第9條第(1)款所述的特殊數(shù)據(jù)類別，或者與GDPR第10條所述的定罪或刑事犯罪相關的數(shù)據(jù)，或者可以確定財務狀況或信譽或推斷與特殊類別數(shù)據(jù)有關的人員的信息。⑤旨在特定地識別自然人而使用生物識別數(shù)據(jù)。⑥旨在以各種目的來使用遺傳數(shù)據(jù)。⑦大規(guī)模使用數(shù)據(jù)。在確定是否可以大規(guī)模處理時，將考慮指南WP243 《數(shù)據(jù)保護官員指南(DPO)》(Guidelines on Data Protection Officers(DPOs))第29條中規(guī)定的標準。⑧當出于不同目的或由不同數(shù)據(jù)控制者所控制時，對數(shù)據(jù)庫記錄進行關聯(lián)、組合或鏈接。⑨處理有關脆弱數(shù)據(jù)主體或有社會排斥風險的人的數(shù)據(jù)，這些群體包括14歲以下的兒童；有一定程度殘疾的老年人、殘疾人；獲得社會服務的人和性暴力受害者，以及他們的后代和受照顧和監(jiān)護的人。⑩使用新技術或創(chuàng)新使用既定技術，具體行為包括使用新規(guī)模、新目標或與其它技術相結合的技術，從而采用新的收集形式和使用可能侵犯個人權利和自由的數(shù)據(jù)。數(shù)據(jù)處理會阻礙數(shù)據(jù)主體行使其權利、使用服務或執(zhí)行合同。例如，處理已被數(shù)據(jù)控制者收集的數(shù)據(jù)而不是將要處理的數(shù)據(jù)[22]。

3.2數(shù)據(jù)影響評估流程框架2014年，APED基于《數(shù)據(jù)保護指令》(Data Protection Directive 95/46 EC)發(fā)布了《數(shù)據(jù)保護影響評估指南》(Guía para una Evaluación de Impacto en la Protección de Datos Personales)[23]。這一指南指出，一些機構會處理受GDPR規(guī)制的個人數(shù)據(jù)，而數(shù)據(jù)保護影響評估是這些機構的一項固定的強制性義務，即這些機構有必要評估每項個人數(shù)據(jù)處理活動的風險，以確定應采取哪些安全措施來保護所處理的個人數(shù)據(jù)，或分析是否必須執(zhí)行數(shù)據(jù)保護影響評估。該指南強調，在數(shù)據(jù)得到實際處理之前的最早階段，構建數(shù)據(jù)保護風險評估模型。在2018年3月，APED發(fā)布這個指南的更新版本《數(shù)據(jù)保護影響評估實踐指南》[19]，旨在與GDPR的最新規(guī)定相一致。

2019年7月，AEPD發(fā)布《針對公共部門的數(shù)據(jù)保護影響評估報告模型》[24]，以促進數(shù)據(jù)保護影響評估的實施，并根據(jù)《數(shù)據(jù)保護影響評估實踐指南》來具體操作。這一模型是AEPD與工作、移民和社會保障部以及社會安全計算機管理信息安全中心合作開發(fā)的。該模型收集了生成影響評估報告時必須考慮的所有方面，其中包括：對策描述、合理的法律依據(jù)、對策分析、構建評估模型或績效的義務、降低風險措施、行動計劃以及調查結果和建議。雖然這一模型并非針對那些負責處理低風險數(shù)據(jù)的組織或個人，但在影響評估屬于非強制性的情況下，有助于以其它目進行評估，如深入研究對策；改善組織流程的整體管理；產(chǎn)生數(shù)據(jù)保護的知識和文化；積極主動地承擔責任[25]。這一模型涵蓋適合實施的安全措施，以減輕此類高風險?？傮w來看，上述指南對于數(shù)據(jù)保護專業(yè)人員非常有用，有助于他們在GDPR得到完全適用之前根據(jù)客戶的利益了解數(shù)據(jù)保護影響評估的標準。

3.3數(shù)據(jù)影響評估階段數(shù)據(jù)保護影響評估包括8個階段(見圖1)。①分析需要。在這一初始階段，必須考慮是否明確需要進行數(shù)據(jù)保護影響評估。如果數(shù)據(jù)處理規(guī)模不是很大或公司不需要利用第三方的數(shù)據(jù)，那么影響評估可能不那么詳盡。②項目描述。詳細描述風險，有助于明確隱私影響因素。因此，在這一階段，重點檢查可能影響第三方數(shù)據(jù)的隱私風險，需要好好學習業(yè)務的目標，明確誰是利益相關者、對什么數(shù)據(jù)類別進行處理、技術使用目的等。③定義風險。根據(jù)前一階段提供的信息，確定本組織數(shù)據(jù)處理所存在的風險。根據(jù)AEPD提交的文件，這些風險可分為兩類：影響人們的因素，即可能侵犯其權利的風險；影響公司的因素，即那些源于未實施良好數(shù)據(jù)保護政策的公司，而且具體情況取決于當前法規(guī)的規(guī)定。④風險管理。在確定風險之后，要保證數(shù)據(jù)保護中得到正確影響評估。因此，必須與有關行為者進行內部和外部磋商，隨后有必要確定將實施哪些類型的控制和措施。⑤分析對規(guī)范的遵守情況。在這個階段，要驗證正在開發(fā)的所有內容是否符合合法性。在合法性這一點上，必須考慮正在進行影響評估的部門，因為數(shù)據(jù)處理方面的法律要求可能更高或更低。⑥創(chuàng)建最終報告。在數(shù)據(jù)保護評估影響報告中，要正確詳細說明已發(fā)現(xiàn)的風險以及建議，以便管理和消除這些風險。⑦實施建議。在完全修改了準備好的報告后，必須采取必要的措施來遵守它。此外，應當指定負責影響評估的人員，以確保遵守最終報告中詳述的所有內容。⑧持續(xù)審查。在影響評估過程之后，必須對最終結果進行適當分析。通過這種方式，可以檢查所有工作的有效性，以及是否出現(xiàn)了新的風險。此外，不斷更新影響評估，是保證第三方數(shù)據(jù)保護的基礎。

圖1 數(shù)據(jù)保護影響評估階段[23]

4 西班牙開放政府數(shù)據(jù)隱私風險控制的特征

4.1優(yōu)勢分析

4.1.1 開放政府數(shù)據(jù)迅速發(fā)展 Datos.gob.es是西班牙開放數(shù)據(jù)平臺，提供了國家開放數(shù)據(jù)的目錄，也是供西班牙公共行政部門向公民、研究人員、再利用者和其它行政機構進行咨詢、下載和再利用數(shù)據(jù)的單入口點。它還包括一般數(shù)據(jù)、培訓材料和有關公共部門信息再利用的新聞。在2018年，Datos.gob.es有超過21000個數(shù)據(jù)集可用，而且該數(shù)據(jù)門戶網(wǎng)站的當年訪問次數(shù)超過500次[26]。

4.1.2 推進隱私風險評估工具應用 西班牙數(shù)據(jù)保護局(AEPD)在2014年發(fā)布了第一個數(shù)據(jù)保護影響評估指導方針，而且一直鼓勵在諸如大數(shù)據(jù)項目等相關案例中采用隱私影響評估。近年來，AEPD制定并繼續(xù)做出巨大努力來促進充分實施GDPR所要求采取的措施。自2018年5月起，某些數(shù)據(jù)的處理必須進行數(shù)據(jù)保護影響評估，因而AEPD近年也發(fā)布了數(shù)據(jù)保護影響評估指南以及一份必須進行數(shù)據(jù)保護影響評估的案例清單。這些舉措有助于隱私影響評估工具的應用，為開放政府數(shù)據(jù)的隱私風險評估提供工具保障。

4.1.3 組織結構不斷優(yōu)化和完善 在隱私風險應對的機構和職位方面，西班牙在中央層面設有AEPD，而且當屬于所規(guī)定的組織類型或出現(xiàn)相應情況，就需要設立數(shù)據(jù)保護官這一職位。此外，西班牙一些自治社區(qū)也有自身的數(shù)據(jù)保護機構，如加泰羅尼亞或巴斯克地區(qū)的社區(qū)。巴斯克數(shù)據(jù)保護辦公室(Datuak Babesteko Euskal Bulegoa，DBEB)是一個受公法管轄的機構，負責處理由巴斯克自治區(qū)創(chuàng)建或管理的個人數(shù)據(jù)。DBEB負責對個人數(shù)據(jù)保護有關的查詢進行回應，并參加個人隱私保護方面的知識傳播和培訓活動，以提高人們對該領域法規(guī)所承認的權利的認識，增強公眾對隱私價值的認識，并促進巴斯克公眾尊重隱私。如果公民或公共管理部門希望索取信息或法律或技術標準，DBEB還提供了各種溝通渠道來答復公民或公共管理部門的詢問。此外，DBEB還確保巴斯克公共機構遵守數(shù)據(jù)保護法規(guī)，并在必要時行使其糾正權。在向DBEB提出權利要求之前，數(shù)據(jù)主體必須聯(lián)系數(shù)據(jù)控制者以行使其權利。如果數(shù)據(jù)控制者在規(guī)定的期限內未做出答復，或者他不同意答復，那么利益相關者可以向DBEB提出保護權利的要求[27]。通過中央和地方層面的機構和職位的設置，明確了隱私風險應對的主體，有助于建立隱私風險控制責任機制。

4.2劣勢分析

4.2.1 “開放數(shù)據(jù)”與“隱私風險”的邏輯悖論 開放政府不是無條件和絕對的：雖然促使政府更加開放一直并且仍然是一個高優(yōu)先事項，但優(yōu)先級并不意味著壓倒所有其它考慮的因素。沒有哪個開放政府的支持者會把開放政府描繪成不顧一切的開放，而毫不顧忌后果。就西班牙而言，信息自由權受到隱私權的限制，這一事實反映在西班牙《憲法》第20(4)條中。在兩者之間發(fā)生沖突的情況下，應當確定兩種基本權利中哪一項必須優(yōu)先于另一項，因為法律沒有提供有助于解決問題的具體規(guī)則，而法官需要分析這一問題，而且根據(jù)具體情況而定[28]。

4.2.2 高價值數(shù)據(jù)開放不夠 西班牙沒有信息獲取法，也沒有統(tǒng)一的國家開放數(shù)據(jù)政策或做法，唯一積極維護的開放數(shù)據(jù)計劃是由少數(shù)地方和地區(qū)政府啟動的，但沒有國家層面的協(xié)調或支持。為了推進政府數(shù)據(jù)開放，政府機構應該識別關鍵受眾的數(shù)據(jù)和他們的需求，并努力為每個受眾以最易懂的形式和格式提供高價值數(shù)據(jù)。但是，關于健康、教育、公共采購或官方議程的關鍵數(shù)據(jù)集仍被政府所拒絕，西班牙也沒有計劃是否發(fā)布[29]。在這方面，美國優(yōu)于西班牙，如美國政府已利用Data.gov社區(qū)來利用美國人民的聰明才智，簡化了人們獲取高價值數(shù)據(jù)的途徑，并告知創(chuàng)新者和私營部門那些日益增多的獎品、挑戰(zhàn)和比賽。

5 啟 示

總體來看，從國際上來看，西班牙是一個具有前瞻性的開放數(shù)據(jù)國家，這得益于其完善的隱私風險評估與防控。通過挖掘該國近年來關于數(shù)據(jù)開放所產(chǎn)生的各類隱私問題的案例，梳理該國在數(shù)據(jù)開放中的隱私風險控制經(jīng)驗，能夠為我國相關政策設計提供相應支撐。

5.1明確開放政府數(shù)據(jù)環(huán)境下個人隱私權西班牙的信息自決原則起源于《憲法》第18(4)條，是更大隱私權的一部分，而且主要通過教義上的演變而發(fā)展起來。該條文規(guī)定，法律應限制信息的使用，以保證個人和家庭的榮譽、公民隱私的同時，使個人能夠充分行使其權利?？梢?，這個條文是西班牙《憲法》中數(shù)據(jù)保護權利存在的法律依據(jù)。除了上述《憲法》條款對個人和家庭隱私進行規(guī)范以外，《組織法》確立了信息自決或信息自由，即根據(jù)西班牙憲法法院于2000年11月30日發(fā)布的《第292/2000374號決定》[30]明確承認信息自決或信息自由是與隱私分開的基本權利。這個決定不僅強調了以計算機為基礎的信息系統(tǒng)對控制個人信息的重要影響，而且還指出，西班牙《憲法》第18(4)條所規(guī)定的基本隱私權本身并不能保證在信息通訊技術發(fā)展的新背景下所需的保護水平。最后，該決定所下的結論是，《憲法》第18(4)條構成了保障數(shù)據(jù)保護權利的憲法基礎，它為個人提供了一種保護手段，使其免受對尊嚴、權利和自由的新威脅。因此，《組織法》不僅保護公民免受信息技術處理，而且也保護其他基本權利和個人自由免受其個人信息被自動處理。當前，隨著信息技術的迅速發(fā)展，政府信息資源管理模式出現(xiàn)重大發(fā)展與變革，公民獲取信息的方式也逐漸轉向電子化。大數(shù)據(jù)對人們的日常生活產(chǎn)生的影響也越來越大，因而開放政府數(shù)據(jù)環(huán)境下個人數(shù)據(jù)被竊取或泄露的風險也增加，使得個人對于信息的自我決定權也開始消失。早在2013年6月18日，八國集團所簽署的《開放數(shù)據(jù)憲章》(Open Data Charter)第一條原則就是默認必須開放數(shù)據(jù)：在持續(xù)保障隱私權的前提下，促進政府數(shù)據(jù)被公開發(fā)布[31]。因此，為了推進政府數(shù)據(jù)開放，應當關注隱私權，甚至可以延伸至信息隱私權，注重個人屬性、個人數(shù)據(jù)、數(shù)據(jù)內容等方面的隱私權。

5.2注重各個領域的數(shù)據(jù)監(jiān)管開放政府數(shù)據(jù)涉及各個不同領域的數(shù)據(jù)，而西班牙則針對這些不同領域進行監(jiān)管。AEPD負責監(jiān)察有關保障個人數(shù)據(jù)的法律條文是否得到遵守，因而享有絕對的自主權，不受公共部門的監(jiān)管。它能夠采取相應行動，從而提高公民有效促進這種保護的能力。司法部負責某些基地的登記。更具體地說，它負責包括出生、法律行為能力、失蹤或死亡、國籍、婚姻在內的個人數(shù)據(jù)的民事登記，以及提供商業(yè)身份、活動說明、基本數(shù)據(jù)和文件、財務和經(jīng)濟數(shù)據(jù)的登記。司法部還負責有關自然人和法人的關鍵主數(shù)據(jù)，而且還與其他部委合作，使基地登記冊合理化。財政部不僅負責地籍登記，提供土地和房地產(chǎn)的說明，還管理稅務機構數(shù)據(jù)庫，其中包含自然人和法人的稅收、財政義務和財政狀況的數(shù)據(jù)。經(jīng)濟企業(yè)部負責管理自然人、法人、農(nóng)業(yè)、經(jīng)濟、氣候、科技等居住數(shù)據(jù)的登記匯編。就業(yè)和社會保障部管理著社會保障數(shù)據(jù)庫，包括自然人和法人的勞動歷史、社會保障權利等數(shù)據(jù)。就我國而言，許多不同的特定類型的個人數(shù)據(jù)也受不同的法律和行政法規(guī)約束，并且一些規(guī)定重疊。例如，電信和互聯(lián)網(wǎng)服務中的“用戶個人信息”是根據(jù)2013 年 7月頒布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》而確定；在個人財務信息方面，中國人民銀行發(fā)布的《關于加強銀行業(yè)金融機構個人金融信息保護工作的通知》對銀行業(yè)金融機構有更具體的要求。在進行數(shù)據(jù)監(jiān)管的同時，也要注意避免因過度隱私保護而不利于開放數(shù)據(jù)。例如，美國Data.gov通過向公眾提供整合所有機構的元數(shù)據(jù)目錄來提高他們發(fā)現(xiàn)數(shù)據(jù)的能力，從而避免部門監(jiān)管。它的好處在于，一個更加綜合的信息源和探索工具可以讓公眾操縱聯(lián)邦部門的數(shù)據(jù)，而不用去了解作為一個整體或個別機構的聯(lián)邦政府是如何組織這些數(shù)據(jù)。

5.3注重利用匿名化技術BBVA Data & Analytics是西班牙對外銀行的一個獨立部門，旨在利用數(shù)據(jù)科學為銀行創(chuàng)造價值，專注于利用技術和分析來優(yōu)化他們的流程。為了幫助BBVA集團內其他公司開發(fā)新的或更多的服務，BBVA Data & Analytics結合可用的開放數(shù)據(jù)對這些公司的數(shù)據(jù)進行分析?；谶@些分析，關聯(lián)公司可以獲得有關經(jīng)濟趨勢或其客戶行為的見解。通過提供他們的服務，他們收集了大量的數(shù)據(jù)，這些數(shù)據(jù)所揭示的見解也會引起其他各方的興趣。為了向公共或私營部門的特定合作伙伴提供這些潛在有價值的信息，BBVA通過開放數(shù)據(jù)平臺分享原始、匯總和匿名的數(shù)據(jù)[32]。這個例子表明，盡管沒有將開放數(shù)據(jù)直接商業(yè)化成一種新產(chǎn)品，但通過匿名而用于增強現(xiàn)有產(chǎn)品或服務時，也會創(chuàng)造價值。從效用影響的角度來看，匿名可以允許有關個人的信息在多個記錄之間鏈接，從而增加其實用程序，以實現(xiàn)多種目的。但是，匿名并不僅僅只是需要刪除名稱或其他唯一標識符。正如Ohm指出，匿名數(shù)據(jù)集中描述的人是如何很容易被重新識別或去匿名化的。例如，Ohm描述的Latanya Sweeney關于“美國人口中簡單人口的獨特性”的研究表明，郵政編碼、出生日期和性別的組合可以唯一地識別87%的美國人口[33]。因此，我國政府機構在開放數(shù)據(jù)時，應當標出他們的數(shù)據(jù)是否包含可識別的個人信息，以及這些數(shù)據(jù)是否符合隱私保護要求。此外，在應用匿名技術來進行開放政府數(shù)據(jù)隱私風險控制時，如果對數(shù)據(jù)進行匿名和聚合，應當使用非常謹慎和公認的統(tǒng)計方法。

5.4積極開展隱私影響評估(PIA)為了在透明度和隱私之間取得平衡，政府和企業(yè)不應收集和披露超過達到其目標所必需的最低限度的數(shù)據(jù)，或可能造成重大損害的數(shù)據(jù)。各級政府應當明白的是，進行徹底的PIA有助于識別潛在的危害并幫助決策。向公民開放的數(shù)據(jù)可以是收集到的數(shù)據(jù)的子集，并提供給公共部門，但前提是開放足夠的數(shù)據(jù)，以實現(xiàn)有意義的監(jiān)督和透明。一個精心設計和狹義定義的豁免程序很重要，因為它允許有合法安全或隱私顧慮的個人要求他們的詳細數(shù)據(jù)不被公開登記。例如，2020年2月13日，中國人民銀行發(fā)布的《中國人民銀行關于發(fā)布金融行業(yè)標準做好個人金融信息保護技術管理工作的通知》[34]第6.1.4.2條第a款規(guī)定，在共享和轉讓前，應開展個人金融信息安全影響評估，并依據(jù)評估結果采取有效措施保護個人金融信息主體權益。PIA是一個工具，可協(xié)助機構找出最有效的方法，以履行保障數(shù)據(jù)的責任，并滿足個人對因素的期望。一個有效的PIA將允許組織在早期識別和解決問題，減少相關的成本和可能發(fā)生的聲譽損害。PIA是通過設計方法實現(xiàn)隱私的一個組成部分，而且適用于政府部門，因為這些部門會發(fā)現(xiàn)，PIA的一個用途是，開發(fā)一組更具體的篩選問題或識別常見的隱私風險和解決方案。