政府數(shù)據(jù)開放中個人信息保護的范式轉(zhuǎn)變

摘 要：政府數(shù)據(jù)開放并非靜態(tài)的單一行為，而是動態(tài)的系統(tǒng)過程。借助數(shù)據(jù)生命周期理論，可以將政府數(shù)據(jù)開放解構(gòu)為數(shù)據(jù)收集、轉(zhuǎn)換、存儲、公開和使用五個階段。根據(jù)《個人信息保護法》和《數(shù)據(jù)安全法》確立的最新規(guī)則，個人信息保護風險可能同時存在于政府數(shù)據(jù)開放生命周期的各個階段。然而，政府數(shù)據(jù)開放中現(xiàn)有的個人信息保護范式主要采取“基于結(jié)果的方法”，重點關(guān)注政府數(shù)據(jù)在公開時的狀態(tài)，依靠技術(shù)性匿名化手段，難以有效應(yīng)對政府數(shù)據(jù)開放中的個人信息保護風險。與此相對應(yīng)，“基于過程的方法”與政府數(shù)據(jù)生命周期、個人信息保護的程序化和數(shù)據(jù)安全全流程管理相契合，可以彌補“基于結(jié)果的方法”的不足。通過將風險預(yù)防原則和程序、技術(shù)、經(jīng)濟、教育和法律等手段分散放置在政府數(shù)據(jù)開放生命周期的每個階段，能夠最大限度減少個人信息保護風險，在個人信息保護與政府數(shù)據(jù)開放之間實現(xiàn)動態(tài)平衡。

關(guān)鍵詞：政府數(shù)據(jù)開放;個人信息保護;基于過程的方法;匿名化

中圖分類號：DF36? 文獻標志碼：A

DOI：10.3969/j.issn.1001-2397.2022.01.09

一、問題的提出

隨著“數(shù)據(jù)”成為第五類生產(chǎn)要素，數(shù)據(jù)開放共享對于數(shù)字經(jīng)濟發(fā)展和數(shù)字社會建設(shè)至關(guān)重要。政府部門維護著大量數(shù)據(jù)，這些數(shù)據(jù)已經(jīng)成為一種寶貴的資源，可以被從個人到企業(yè)甚至其他政府機構(gòu)的各種實體所利用。開放數(shù)據(jù)是釋放政府數(shù)據(jù)價值的重要方法，它意味著任何人都可以從任何渠道獲取以公開形式存在，并且滿足一些特定條件的政府數(shù)據(jù)。①事實證明，政府數(shù)據(jù)開放不僅具有經(jīng)濟價值，如促進產(chǎn)業(yè)轉(zhuǎn)型、助推大眾創(chuàng)業(yè)等，而且還具有社會價值和政治價值，如提升公眾生活品質(zhì)、增強政府透明度、優(yōu)化公共決策水平等。[張濤：《藏智于民：開放政府數(shù)據(jù)的法理基礎(chǔ)與規(guī)范重塑》，載《電子政務(wù)》2019年第8期，第78-80頁。]政府數(shù)據(jù)開放的重要性也獲得了我國有關(guān)政策文件和立法的肯認，正逐漸向法制化方向發(fā)展。[張濤：《開放政府數(shù)據(jù)法制化的地方實踐與制度完善——以浙江等9個省市為分析樣本》，載《貴州大學學報（社會科學版）》2019年第5期，第78頁。]2015年8月，國務(wù)院印發(fā)的《促進大數(shù)據(jù)發(fā)展行動綱要》將“加快政府數(shù)據(jù)開放共享，推動資源整合，提升治理能力”確立為促進大數(shù)據(jù)發(fā)展的“主要任務(wù)”;2020年3月，中共中央、國務(wù)院印發(fā)的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》將“推進政府數(shù)據(jù)開放共享”作為“加快培育數(shù)據(jù)要素市場”重要舉措。貴州、浙江、上海等地通過地方性法規(guī)、地方政府規(guī)章的形式對政府數(shù)據(jù)開放共享予以專門規(guī)范，如《貴州省政府數(shù)據(jù)共享開放條例》《上海市公共數(shù)據(jù)開放暫行辦法》等。

然而，政府數(shù)據(jù)開放在創(chuàng)造巨大價值的同時，也帶來潛在風險，主要包括：一是開放數(shù)據(jù)本身有可能泄露國家秘密、商業(yè)機密和個人隱私;二是開放數(shù)據(jù)被誤用或濫用后會損害公共利益及第三方利益;三是開放數(shù)據(jù)由于質(zhì)量問題會對數(shù)據(jù)使用者和社會造成損失。[鄭磊：《開放的數(shù)林：政府數(shù)據(jù)開放的中國故事》，上海人民出版社2018年版，第21頁。]如何平衡政府數(shù)據(jù)開放的效用與風險，已經(jīng)成為一個亟待解決的重要課題。[蔣冰晶、李少軍：《包容與合作：大數(shù)據(jù)時代政府數(shù)據(jù)開放的行政法治理念》，載《河北法學》2019年第12期，第103頁。]實證研究表明，與泄露機密信息（如個人信息和商業(yè)秘密）相關(guān)的風險已經(jīng)成為政府部門拒絕開放共享其數(shù)據(jù)的主要理由。[See Bernd W. Wirtz， Robert Piehler & Marc-Julian Thomas et al.， Resistance of Public Personnel to Open Government： A cognitive theory view of implementation barriers towards open government data， 18 Public Management Review 1335， 1356（2016）.]隨著我國《個人信息保護法》和《數(shù)據(jù)安全法》的出臺，與個人信息保護相關(guān)的原則、規(guī)則以及機制得以確立，這意味著政府部門在處理數(shù)據(jù)開放共享與個人信息保護的關(guān)系時將面臨新的、更高的要求。[商希雪、韓海庭：《政府數(shù)據(jù)開放中個人信息保護路徑研究》，載《電子政務(wù)》2021年第6期，第113頁。]現(xiàn)有的研究成果主要聚焦于政府數(shù)據(jù)開放中的隱私保護，倡導(dǎo)將隱私法的一些原則和規(guī)則運用到政府數(shù)據(jù)開放中，以求在隱私利益和其他利益之間維持平衡。[鄒東升：《政府開放數(shù)據(jù)和個人隱私保護：加拿大的例證》，載《中國行政管理》2018年第6期，第75頁。]然而，傳統(tǒng)的隱私法過于關(guān)注個人信息的收集、使用或者披露的信息的性質(zhì)，當具體的損害難以表述，甚至難以定位時，事后的、個性化的補救措施常常會失去效用。[王學輝、趙昕：《隱私權(quán)之公私法整合保護探索——以“大數(shù)據(jù)時代”個人信息隱私為分析視點》，載《河北法學》2015年第5期，第65頁。]

此外，個人信息與個人隱私之間存在明顯的區(qū)別[王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學》2013年第4期，第66-68頁。]，而現(xiàn)有的隱私法規(guī)范也未給政府數(shù)據(jù)開放提供明確的指引，這意味著我們需要一個更為復(fù)雜和精細的數(shù)據(jù)保護方法來為個人數(shù)據(jù)提供強有力的保護，并提高政府數(shù)據(jù)開放的效用。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 720-721（2016）.]本文便以此作為重點，探討相關(guān)問題，密切關(guān)注法學、數(shù)據(jù)科學、統(tǒng)計學等學科在個人信息保護方面的最新進展，并通過如下結(jié)構(gòu)展開論證：首先，以數(shù)據(jù)生命周期理論為指引對政府數(shù)據(jù)開放進行階段性解構(gòu)，并以《個人信息保護法》和《數(shù)據(jù)安全法》的有關(guān)規(guī)定，檢視不同階段可能存在的個人信息保護風險。其次，對政府數(shù)據(jù)開放中現(xiàn)有的個人信息保護模式進行評析，在此基礎(chǔ)上，嘗試以“基于過程的方法”來建構(gòu)新的個人信息保護范式。最后，從不同角度就如何在政府數(shù)據(jù)開放中落實“基于過程的”個人信息保護機制提出建議。

二、政府數(shù)據(jù)開放中個人信息保護面臨的風險

從廣義上看，政府數(shù)據(jù)開放是一個動態(tài)的系統(tǒng)過程，而非靜態(tài)的單一行為。[See Judie Attard， Fabrizio Orlandi & Simon Scerri et al.， A Systematic Review of Open Government Data Initiatives， 32 Government Information Quarterly 399， 399（2015）.]在數(shù)據(jù)科學中，學者們用“數(shù)據(jù)生命周期”理論來描述數(shù)據(jù)從“產(chǎn)生”到“解釋”、從原始比特轉(zhuǎn)化為終端用戶價值的過程，并且強調(diào)在生命周期的每個階段都需要考慮數(shù)據(jù)隱私和數(shù)據(jù)倫理。[See Jeannette M. Wing， The Data Life Cycle， 1 Harvard Data Science Review 1， 1（2019）.]為了能夠?qū)φ當?shù)據(jù)開放中個人信息保護面臨的風險有一個較為準確的把握，我們有必要以數(shù)據(jù)生命周期理論為指引對政府數(shù)據(jù)開放過程進行階段性解構(gòu)，并具體分析每個階段可能存在的風險。

（一）政府數(shù)據(jù)開放過程的階段性解釋

在數(shù)據(jù)科學中，一般認為，“數(shù)據(jù)生命周期”概念的目標是“提供一種結(jié)構(gòu)來組織與項目或者組織內(nèi)的數(shù)據(jù)管理有關(guān)的任務(wù)和活動”。[Line Pouchard， Revisiting the Data Lifecycle with Big Data Curation， 10 International Journal of Digital Curation 176， 180（2015）.]這個概念被具體化為各種數(shù)據(jù)生命周期模型，涵蓋了數(shù)據(jù)從生產(chǎn)到歸檔（或者刪除）的整個生命周期，并將整個過程視為同一過程的下一次迭代，使其形成一個循環(huán)。這樣一個概念對于政府數(shù)據(jù)開放而言至關(guān)重要，因為它“提供了一個結(jié)構(gòu)來考慮數(shù)據(jù)記錄在整個生命周期中需要執(zhí)行的諸多操作”。[Alex Ball，Review of Data Management Lifecycle Models （version 1.0）， University of Bath， 2012， p.4.]

不過，數(shù)據(jù)生命周期理論仍面臨挑戰(zhàn)，那就是沒有統(tǒng)一的數(shù)據(jù)生命周期模型，因為數(shù)據(jù)生命周期在每個領(lǐng)域、場域或組織中都存在差異。盡管如此，仍然有一些學者嘗試開發(fā)出應(yīng)用于政府數(shù)據(jù)開放的數(shù)據(jù)生命周期模型。德國波恩大學學者朱迪·阿塔德（Judie Attard）等人將政府數(shù)據(jù)開放生命周期（open government data life-cycle）劃分為“3個板塊9個階段”：預(yù)處理（pre-processing）板塊是準備要發(fā)布的數(shù)據(jù)，包括創(chuàng)建、選擇、協(xié)調(diào)、發(fā)布等4個階段;開采（exploitation）板塊是使用已發(fā)布的數(shù)據(jù)，包括互聯(lián)、發(fā)現(xiàn)、探索、挖掘等4個階段;維護（maintenance）板塊是維護已發(fā)布的數(shù)據(jù)，使其具有可持續(xù)性，包括管護。[See JSee Judie Attard， Fabrizio Orlandi & Simon Scerri et al.， A Systematic Review of Open Government Data Initiatives， 32 Government Information Quarterly 399， 403（2015）.]希臘愛琴海大學學者亞尼斯·查拉比迪斯（Yannis Charalabidis）等人在開放數(shù)據(jù)支持工作組提出的鏈接OGD（Open Government Data）生命周期的基礎(chǔ)上，開發(fā)了一個擴展的政府數(shù)據(jù)開放生命周期，它由9個階段構(gòu)成，包括創(chuàng)建、預(yù)處理、策劃、存儲/獲得（store/obtain）、發(fā)布、檢索/購得（retrieve/acquire）、處理、使用和用戶協(xié)作。[See Yannis Charalabidis， Charalampos Alexopoulos & Euripidis Loukis， A Taxonomy of Open Government Data Research Areas and Topics， 26 Journal of Organizational Computing and Electronic Commerce 41， 56（2016）.]國內(nèi)學者鮑靜等人將政府數(shù)據(jù)開放生命周期劃分為6個階段，包括數(shù)據(jù)生成和發(fā)布、權(quán)限配置管理、網(wǎng)上流轉(zhuǎn)、數(shù)據(jù)呈現(xiàn)、利用管理和更新管理。[鮑靜、張勇進、董占廣：《我國政府數(shù)據(jù)開放管理若干基本問題研究》，載《行政論壇》2017年第1期，第28頁。]黃如花等人則將政府數(shù)據(jù)開放生命周期劃分為5個階段，包括創(chuàng)建與采集、組織與處理、存儲與發(fā)布、發(fā)現(xiàn)與獲取、增值與評價。[黃如花、賴彤：《數(shù)據(jù)生命周期視角下我國政府數(shù)據(jù)開放的障礙研究》，載《情報理論與實踐》2018年第2期，第8頁。]

事實上，數(shù)據(jù)的不同用途可能對應(yīng)不同的生命周期。例如，數(shù)據(jù)可能只是為了保存記錄而被歸檔，也可能被用于一次性的法律決策，還有可能在決策支持系統(tǒng)中被持續(xù)處理。當我們在開發(fā)一個特定的數(shù)據(jù)生命周期模型時，面臨著在通用性和復(fù)雜性之間進行權(quán)衡：數(shù)據(jù)生命周期模型越復(fù)雜，它就越能描述簡單個案，但在描述其他大數(shù)據(jù)使用案例時卻可能缺乏通用性。[See Simon Vydra， Andrei Poama & Sarah Giest et al.， Big Data Ethics： A Life Cycle Perspective， Erasmus Law Review， Issue 1， 2021， http：//www.erasmuslawreview.nl/tijdschrift/ELR/2021/1%20（incomplete）/ELR-D-20-00036.pdf（Last visited on July 11， 2021）.]為了在通用性與復(fù)雜性之間取得平衡，以現(xiàn)有的研究成果為基礎(chǔ)，本文采用的政府數(shù)據(jù)開放生命周期模型主要有兩個目標：一是模型足夠簡單，以概括其他法律領(lǐng)域中許多大數(shù)據(jù)用例的共同特征;二是模型足夠具體，以捕獲政府數(shù)據(jù)開放過程中有意義的、獨特的“階段”。在這個數(shù)據(jù)生命周期模型中，主要分為5個不同的階段：數(shù)據(jù)收集、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)存儲、數(shù)據(jù)公開和數(shù)據(jù)使用，下文將分別對這5個階段進行簡單描述，同時分析可能存在的個人信息保護風險。

（二）數(shù)據(jù)收集階段侵害個人信息權(quán)益

政府數(shù)據(jù)開放生命周期的第一個階段始于數(shù)據(jù)收集。本文在廣義上使用“收集”一詞，包括接受、提取或者獲取數(shù)據(jù)。數(shù)據(jù)無處不在，正以不易察覺又顯而易見的方式嵌入“我們?nèi)粘Ｉ畹慕Y(jié)構(gòu)”中，而技術(shù)正在改變數(shù)據(jù)產(chǎn)生、收集、維護和利用的方式。[See Barbara L. Cohn， Data Governance： A Quality Imperative in the Era of Big Data， Open Data and Beyond，10 A Journal of Law and Policy for the Information Society 811， 811（2015）. ]在大數(shù)據(jù)時代，政府數(shù)據(jù)的收集主要呈以下特點：（1）政府數(shù)據(jù)收集的主體越來越多元化。除了傳統(tǒng)負責交通運輸、環(huán)境保護、治安管理、教育衛(wèi)生、文化旅游等業(yè)務(wù)的行政機關(guān)在履行職責的過程中會收集各種數(shù)據(jù)外，代行政府管理職能的組織在履行職責的過程中也會采集各類數(shù)據(jù)。（2）政府數(shù)據(jù)收集的類型越來越多樣化。除了個人信息以外，環(huán)境數(shù)據(jù)、氣象數(shù)據(jù)、稅務(wù)數(shù)據(jù)、交通數(shù)據(jù)等也在政府數(shù)據(jù)收集的范圍之內(nèi)。（3）政府數(shù)據(jù)收集的方式越來越隱蔽和便捷。在傳統(tǒng)的行政管理或者政務(wù)服務(wù)中，行政機關(guān)往往通過線下訪問以紙質(zhì)文件等形式來采集數(shù)據(jù)。隨著數(shù)字政府建設(shè)的不斷推進，很多行政任務(wù)由線下轉(zhuǎn)為線上辦理，行政機關(guān)可以借助移動應(yīng)用程序、生物識別設(shè)備等快速、無接觸地采集數(shù)據(jù)。（4）政府數(shù)據(jù)收集的途徑更加多元。行政機關(guān)除了可以通過在履行法定職責時直接收集數(shù)據(jù)外，還可能從第三方數(shù)據(jù)中介組織或者其他政府部門收集數(shù)據(jù)。

大數(shù)據(jù)技術(shù)雖然給政府數(shù)據(jù)收集帶來了諸多革命性變革，但也存在違反《個人信息保護法》的風險，主要體現(xiàn)在以下幾個方面：

1.過度收集個人信息?！秱€人信息保護法》第34條規(guī)定，國家機關(guān)為履行法定職責收集個人信息，不得超出履行法定職責所必需的范圍和限度。實踐中，一些政府部門在收集個人信息時，往往采取“應(yīng)采盡采、應(yīng)歸盡歸”的方法，超越職責和權(quán)限收集個人信息。2020年12月，APP違法違規(guī)收集使用個人信息治理工作組發(fā)布了35款存在個人信息收集使用問題的APP，其中，安徽省數(shù)據(jù)資源管理局負責運營的“皖事通”存在“未明示收集用戶詳細地址、支付寶賬號、社保賬號等個人信息的目的、方式和范圍”。[申佳平：《35款A(yù)PP存在個人信息收集問題 “鄂匯辦”等多個政務(wù)平臺被通報》，載人民網(wǎng)2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

2.未履行告知義務(wù)收集個人信息?！秱€人信息保護法》第35條規(guī)定，國家機關(guān)為履行法定職責處理個人信息，應(yīng)當履行告知義務(wù)。在APP違法違規(guī)收集使用個人信息治理工作組發(fā)布的35款存在個人信息收集使用問題的APP中，由湖北省人民政府主辦、湖北省楚天云有限公司運營的“鄂匯辦”存在“未明示收集的人臉特征等個人信息的目的、方式和范圍，且收集時未同步告知用戶其目的”。[申佳平：《35款A(yù)PP存在個人信息收集問題 “鄂匯辦”等多個政務(wù)平臺被通報》，載人民網(wǎng)2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

3.未經(jīng)同意收集個人信息。根據(jù)《個人信息保護法》第13條的規(guī)定，國家機關(guān)不需取得個人同意而處理個人信息的條件是“為履行法定職責或者法定義務(wù)所必需”，這意味著若收集的個人信息并非履行法定職責所必需，則仍然需要取得個人同意。在前面提到的“皖事通”和“鄂匯辦”都存在未經(jīng)同意收集個人信息的問題，如“鄂匯辦”在“用戶明確表示不同意打開位置權(quán)限后，仍頻繁征求用戶同意，干擾用戶正常使用”。[申佳平：《35款A(yù)PP存在個人信息收集問題 “鄂匯辦”等多個政務(wù)平臺被通報》，載人民網(wǎng)2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

（三）數(shù)據(jù)轉(zhuǎn)換階段侵害個人信息權(quán)益

數(shù)據(jù)轉(zhuǎn)換（data transformation）是將一種格式或者狀態(tài)的數(shù)據(jù)轉(zhuǎn)換為對另一種目的有用的格式或狀態(tài)的過程。[朱東妹：《數(shù)據(jù)倉庫與數(shù)據(jù)挖掘概念、方法及圖書館應(yīng)用》，安徽師范大學出版社2017年版，第38-39頁。]數(shù)據(jù)轉(zhuǎn)換的目的是使數(shù)據(jù)可使用、可管理，并符合現(xiàn)行的數(shù)據(jù)治理標準，一旦數(shù)據(jù)被轉(zhuǎn)換，數(shù)據(jù)使用者就可以使用分析方法，從中獲得可信賴的、可操作的信息。數(shù)據(jù)轉(zhuǎn)換是“提取、轉(zhuǎn)換和加載”過程的中間行動，為分析準備數(shù)據(jù)，而“提取、轉(zhuǎn)換和加載”是一個數(shù)據(jù)管道，用于從各種來源收集數(shù)據(jù)，根據(jù)業(yè)務(wù)規(guī)則轉(zhuǎn)換數(shù)據(jù)，并將其加載到一個目標數(shù)據(jù)存儲。[羅會蘭：《數(shù)據(jù)提取、轉(zhuǎn)換和裝載技術(shù)研究》，載《計算機工程與設(shè)計》2004年第5期，第764頁。]數(shù)據(jù)轉(zhuǎn)換通常涉及各種操作，如過濾、排序、聚合、連接數(shù)據(jù)、清洗數(shù)據(jù)、重復(fù)數(shù)據(jù)和驗證數(shù)據(jù)等;數(shù)據(jù)轉(zhuǎn)換通常也包括一系列的改變，轉(zhuǎn)換可能是結(jié)構(gòu)性的或者語義性的，也可能是有損的或者無損的。[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2020（2015）.]

就政府數(shù)據(jù)開放而言，數(shù)據(jù)轉(zhuǎn)換至關(guān)重要，原因主要有兩點：第一，數(shù)據(jù)轉(zhuǎn)換是政府數(shù)據(jù)達到可機讀、非專屬等數(shù)據(jù)標準的必經(jīng)階段。為了最大限度發(fā)揮政府數(shù)據(jù)的效用，各國政府或者國際組織在制定政府數(shù)據(jù)開放政策、戰(zhàn)略、立法或者倡議時均對數(shù)據(jù)標準作出規(guī)定，要求政府數(shù)據(jù)在公開時應(yīng)當滿足可機讀、非專屬、以接口形式提供等標準。[See Ashit Talukder， Big Data Open Standards and Benchmarking to Foster Innovation， 10 A Journal of Law and Policy for the Information Society 799， 802-803（2015）.]政府數(shù)據(jù)來源廣泛、類型眾多，結(jié)構(gòu)性數(shù)據(jù)與非結(jié)構(gòu)性數(shù)據(jù)并存，要達到預(yù)期的數(shù)據(jù)標準，需要利用各種技術(shù)手段，進行數(shù)據(jù)轉(zhuǎn)換。第二，數(shù)據(jù)轉(zhuǎn)換是政府數(shù)據(jù)由收集階段邁入存儲階段的中間橋梁。如前所述，政府部門借助各種信息技術(shù)、媒介或者平臺從各種來源收集數(shù)據(jù)，如官民互動數(shù)據(jù)、行政文書、數(shù)據(jù)庫或者由機器與傳感器產(chǎn)生的流媒體數(shù)據(jù)，這些數(shù)據(jù)只有經(jīng)過適當轉(zhuǎn)換后，才能加載到云數(shù)據(jù)存儲庫。

與數(shù)據(jù)收集相比，數(shù)據(jù)轉(zhuǎn)換雖然并不直接與數(shù)據(jù)主體打交道，但也可能因為一些主觀或客觀因素的影響，侵害個人信息權(quán)益，其中最主要的風險是可能違反準確性義務(wù)（原則）。從國內(nèi)外個人信息保護立法的現(xiàn)狀與趨勢來看，準確性都被視為一項重要的原則或者義務(wù)。歐盟《通用數(shù)據(jù)保護條例》第5條第1款第（d）項規(guī)定，個人數(shù)據(jù)必須準確、及時、保持更新。新加坡《個人數(shù)據(jù)保護法》第23條規(guī)定，機構(gòu)應(yīng)當作出合理努力以確保由機構(gòu)或者代表機構(gòu)收集的個人數(shù)據(jù)是準確且完整的。我國《個人信息保護法》第8條規(guī)定：“處理個人信息應(yīng)當保證個人信息的質(zhì)量，避免因個人信息不準確、不完整對個人權(quán)益造成不利影響?！痹趯嵺`中，大部分與數(shù)據(jù)打交道的人都知道，利用數(shù)據(jù)轉(zhuǎn)化歪曲事實是有可能的。達萊爾·哈夫的經(jīng)典之作《統(tǒng)計數(shù)字會撒謊》描述了數(shù)據(jù)可以被歪曲的事實，同時創(chuàng)造一個事實的虛假表象，方法主要包括主觀的數(shù)據(jù)選擇、范圍的操控、部分數(shù)據(jù)點遺漏，這些方法直到今天還在使用。[[美]DAMA國際（Data Management International）：《DAMA數(shù)據(jù)管理知識體系指南》，DAMA中國分會翻譯組譯，機械工業(yè)出版社2020年版，第34頁。]2021年5月，江蘇南通一位市民在查詢個人征信時發(fā)現(xiàn)，其征信報告“工作單位”一欄被寫上了“專業(yè)做×十年”，該事件引發(fā)社會公眾對征信機構(gòu)公信力的質(zhì)疑，其主要原因是征信機構(gòu)在處理個人信息時未履行準確性義務(wù)。[《如此兒戲！女子個人征信報告被寫“專業(yè)做雞十年”》，載澎湃新聞2021年5月25日，http：//m.thepaper.cn/baijiahao_12853184。]

（四）數(shù)據(jù)存儲階段侵害個人信息權(quán)益

數(shù)據(jù)存儲是指記錄和保存數(shù)字信息，如應(yīng)用程序、網(wǎng)絡(luò)協(xié)議、文檔、媒體、地址簿、用戶偏好等背后的比特和字節(jié)，用于未來的操作。數(shù)據(jù)存儲是大數(shù)據(jù)的核心組成部分，也是政府數(shù)據(jù)開放生命周期中的重要階段。[See Gherardo Carullo & Christian Ernst， Data Storage by Public Administrations， 26 European Public Law 545， 545（2020）.]在某種程度上，數(shù)據(jù)的創(chuàng)造以及大數(shù)據(jù)概念的誕生，正是計算機的發(fā)展、數(shù)字數(shù)據(jù)取代模擬數(shù)據(jù)的進步，以及處理和存儲數(shù)據(jù)的速率提高等因素的結(jié)果。[[美]道恩·霍爾姆斯：《大數(shù)據(jù)》，李德俊、洪艷青譯，譯林出版社2020年版，第14頁。]在大數(shù)據(jù)技術(shù)發(fā)展的早期，數(shù)據(jù)存儲的成本十分高昂，通常以模擬數(shù)據(jù)的方式進行代替，如縮微拍攝、攝影以及紙媒等。隨著技術(shù)的進步，計算環(huán)境解決了存儲模擬數(shù)據(jù)方面的諸多難題，目前，常見的數(shù)據(jù)存儲類型包括軟件定義存儲、云存儲、網(wǎng)絡(luò)附加存儲、對象存儲、文件存儲、塊存儲等。數(shù)據(jù)存儲技術(shù)的發(fā)展與廣泛運用，也對政府數(shù)據(jù)存儲產(chǎn)生了深遠影響，使得計算環(huán)境中的政府數(shù)據(jù)具有以下特征：第一，數(shù)據(jù)可以得到完整存儲;第二，數(shù)據(jù)變得易于復(fù)制;第三，數(shù)據(jù)有高度的可訪問性;第四，較之物理存儲，數(shù)據(jù)存儲的成本顯著降低。[[美]拉塞爾·沃克：《從大數(shù)據(jù)到巨額利潤》，王正林譯，廣東人民出版社2019年版，第8頁。]

盡管政府數(shù)據(jù)存儲為后續(xù)的數(shù)據(jù)公開、使用奠定了基礎(chǔ)，但仍然可能對個人信息權(quán)益造成侵害，主要體現(xiàn)在以下幾個方面。

1.無限期存儲數(shù)據(jù)可能違反存儲限制。從國內(nèi)外個人信息保護立法的現(xiàn)狀來看，存儲限制是一項重要的原則。歐盟《通用數(shù)據(jù)保護條例》第5條第1款第（e）項對“存儲限制”進行了規(guī)定，個人數(shù)據(jù)允許以數(shù)據(jù)主體可識別的形式保存，保存時間不得超過處理個人數(shù)據(jù)所需的時間。我國《個人信息保護法》第19條規(guī)定：“除法律、行政法規(guī)另有規(guī)定外，個人信息的保存期限應(yīng)當為實現(xiàn)處理目的所必要的最短時間?！痹趯嵺`中，各種類型的數(shù)據(jù)庫不斷建立，如社會保障信息數(shù)據(jù)庫、個人身份信息數(shù)據(jù)庫、公共信用信息數(shù)據(jù)庫、車輛識別信息數(shù)據(jù)庫等，而不同類別的數(shù)據(jù)所需的保存期限不同。在大數(shù)據(jù)時代，各種基于數(shù)據(jù)驅(qū)動的預(yù)測性技術(shù)其背后的運行邏輯便是“從過去預(yù)測未來”[[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時代》，盛楊燕、周濤譯，浙江人民出版社2013年版，第16頁。]，在這種思維的主導(dǎo)下有些個人信息的保存期限可能會被有意或者無意地被延長，這樣就可能會違反存儲限制。

2.可能造成數(shù)據(jù)泄露，違反安全義務(wù)。從國內(nèi)外的個人信息保護立法現(xiàn)狀來看，數(shù)據(jù)泄露問題成為重要的規(guī)范內(nèi)容，而數(shù)據(jù)安全義務(wù)也得到不斷強化。我國《數(shù)據(jù)安全法》對“數(shù)據(jù)安全”進行了系統(tǒng)規(guī)定，明確了許多義務(wù)和機制。我國《個人信息保護法》第9條將“安全”作為一項重要原則，要求個人信息處理者應(yīng)當采取必要措施保障個人信息的安全，第36條和第40條進一步規(guī)定了“安全評估”機制。在實踐中，政府數(shù)據(jù)泄露的風險可以大致分為三個方面：一是意外數(shù)據(jù)泄露，即由于某些內(nèi)部或外部原因，數(shù)據(jù)庫中的數(shù)據(jù)被他人獲取，導(dǎo)致某些敏感數(shù)據(jù)被公布，造成隱私侵犯;二是無意中的數(shù)據(jù)泄露，即因為內(nèi)部人員操作失誤，違反安全政策，引發(fā)數(shù)據(jù)泄露，導(dǎo)致敏感數(shù)據(jù)被非法盜取、修改、復(fù)制等;三是惡意數(shù)據(jù)泄露，即外部有針對性的攻擊，如黑客攻擊、計算機病毒、“信息間諜”等，導(dǎo)致數(shù)據(jù)庫信息泄露。[See A. Michael Froomkin，Government Data Breaches， 24 Berkeley Technology Law Journal 1019， 1019（2009）.]數(shù)據(jù)泄露已經(jīng)成為近年來導(dǎo)致社會提升對個人信息保護問題關(guān)注度的重要誘因，原因在于數(shù)據(jù)泄露造成的危害可能在短期內(nèi)不會立即顯現(xiàn)，但隨著時間的推移卻可能“積少成多，積重難返”，引發(fā)“身份盜竊”、欺詐或者名譽受損等風險，而這些風險會進一步引發(fā)社會公眾的焦慮情緒，甚至可能引發(fā)公眾對政府收集數(shù)據(jù)的“寒蟬效應(yīng)”。[See Daniel J. Solove & Danielle Keats Citron， Risk and Anxiety： A Theory of Data-Breach Harms， 96 Texas Law Review 737， 737（2018）.]

（五）數(shù)據(jù)公開階段侵害個人信息權(quán)益

數(shù)據(jù)公開是政府數(shù)據(jù)開放的核心階段，在某種意義上也可以稱為狹義的政府數(shù)據(jù)開放，這也是研究政府數(shù)據(jù)開放的學者最為關(guān)注的階段，諸如數(shù)據(jù)標準、數(shù)據(jù)質(zhì)量、數(shù)據(jù)門戶等問題都與數(shù)據(jù)公開有關(guān)。從廣義上看，數(shù)據(jù)公開實際上是雙向的，既包括政府部門主動或者依申請發(fā)布各種政府數(shù)據(jù)，也包括數(shù)據(jù)主體或者其他個人及組織訪問與之相關(guān)的政府數(shù)據(jù)。

在政府數(shù)據(jù)公開階段，也存在侵害個人信息權(quán)益的風險，主要體現(xiàn)在以下幾個方面。

1.敏感個人信息被過度披露。從國內(nèi)外個人信息保護立法內(nèi)容來看，“識別”都是個人信息的核心要素。[程德理、趙麗麗：《個人信息保護中的“識別”要素研究》，載《河北法學》2020年第9期，第45頁。]在信息隱私監(jiān)管中，個人可識別信息（Personally Identifiable Information，簡稱PII）是核心概念之一，隱私法的范圍通常取決于是否涉及PII，適用法律背后的基本假設(shè)是，如果不涉及PII，就不可能有隱私損害。[See Paul M. Schwartz & Daniel J. Solove， The PII Problem： Privacy and a New Concept of Personally Identifiable Information， 86 New York University Law Review 1814， 1814（2011）.]我國《個人信息保護法》專門對“敏感個人信息的處理規(guī)則”予以規(guī)定，其背后的主要考量是敏感個人信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害。在實踐中，政府數(shù)據(jù)公開階段經(jīng)常出現(xiàn)過度披露敏感個人信息的現(xiàn)象，侵犯個人信息權(quán)益。2021年4月，最高人民檢察院發(fā)公布了11件個人信息保護公益訴訟典型案例，其中，在“江西省某縣人民檢察院督促規(guī)范政府信息公開行政公益訴訟案”中，江西省某縣農(nóng)業(yè)農(nóng)村局在官方網(wǎng)站公布農(nóng)機購置補貼情況的政府信息時，有1044人的身份證號碼、家庭住址、銀行賬戶、手機號碼等個人信息被完整公開。[《檢察機關(guān)個人信息保護公益訴訟典型案例》，載最高人民檢察院官網(wǎng)，https：//www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.sht#2]

2.過于關(guān)注個人而忽略群體隱私保護。從個人隱私保護到個人信息保護，存在一種“原子化”（atomistic）的本體論，即單獨照顧每個成員，群體也會自動沒事。換言之，只要我們保護好可識別個人的個人信息，對群體的保護就會自行解決。[See Luciano Floridi， Open Data， Data Protection， and Group Privacy， 27 Philosophy & Technology 1， 2（2014）.]這從國內(nèi)外個人信息保護立法對“個人信息”或者“個人數(shù)據(jù)”的界定以及與之相關(guān)的一系列保護機制可以得到印證。我國《個人信息保護法》第4條規(guī)定，個人信息是與“已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理的信息”。然而，我們應(yīng)該看到，開放數(shù)據(jù)的友好和非友好用戶可能并不關(guān)心具體的“張三”或者“李四”，而是關(guān)心這些人（不管他們是誰）是否屬于高（低）收入、是否經(jīng)常去高（低）消費地方消費或者是否屬于患有某種疾病等。在先進的數(shù)據(jù)收集技術(shù)和分析技術(shù)的加持下，“群體”的概念比以往任何時候都更有意義：首先，更多關(guān)于現(xiàn)有群體的信息得以發(fā)現(xiàn)和披露;其次，可以在個人不知情的情況下，通過“提取”數(shù)據(jù)中的群體特征，將他們推斷為某一群體的成員;最后，可以在數(shù)據(jù)分析階段發(fā)生不為人知的“分組”過程，而分析者本人并不知情。[See Lanah Kammourieh， Thomas Baar & Jos Berens， et al.， Group Privacy in the Age of Big Data， in Linnet Taylor， Luciano Floridi & Bart van der Sloot（eds.）， Group Privacy： New Challenges of Data Technologies， Springer， 2017， p.38.]在這種情況下，個人隱私有可能得到有效保護，但群體本身卻得不到充分保護。

（六）數(shù)據(jù)使用階段侵害個人信息權(quán)益

政府數(shù)據(jù)開放的重要目的之一是通過政府數(shù)據(jù)的“再利用”進而激發(fā)政府數(shù)據(jù)所蘊含的各種價值。不過，一旦政府數(shù)據(jù)從正式的數(shù)據(jù)庫系統(tǒng)中釋放后，可以有效應(yīng)用的一系列控制措施就可能發(fā)生變化，個人信息保護風險也會隨之發(fā)生演變。具體而言，主要體現(xiàn)在以下幾個方面：

1.數(shù)據(jù)使用違反目的限制。目的限制原則是個人信息保護的基本原則之一，被稱為個人信息保護法的“帝王條款”，我國《個人信息保護法》第6條專門對該原則進行了規(guī)定：“處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式?！痹谡當?shù)據(jù)開放中，政府部門在收集個人信息時，可能是嚴格按照“目的限制原則”的規(guī)定，具有明確、合理的目的。然而，一旦包含個人信息的政府數(shù)據(jù)隨著政府數(shù)據(jù)公開而進入使用階段，則有可能違反目的限制原則，原因在于使用政府數(shù)據(jù)的主體可能性質(zhì)各異，既有企業(yè)，也有個人，還有其他政府機構(gòu)或者研究機構(gòu)，而這些使用者處理數(shù)據(jù)的目的也不盡相同，使用數(shù)據(jù)有可能違背政府最初收集數(shù)據(jù)時所宣示的目的。例如，包含個人信息的醫(yī)療保健數(shù)據(jù)，其最初處理目的可能在于改進與個人相關(guān)的醫(yī)療保健服務(wù)，但如果保險公司獲得了這些數(shù)據(jù)，那么這些數(shù)據(jù)就很有可能被用來改進和支撐保險公司的市場營銷策略。[See Liane Colonna， Privacy， Risk， Anonymization and Data Sharing in the Internet of Health Things， 20 Pittsburgh Journal of Technology Law and Policy 148， 148（2020）.]

2.匿名化數(shù)據(jù)被“去匿名化”，導(dǎo)致個人信息被“再識別”。為了避免政府數(shù)據(jù)公開給個人隱私造成的侵害，很多政府數(shù)據(jù)開放倡議或者立法都要求政府部門在公布包含個人信息在內(nèi)的政府數(shù)據(jù)時，應(yīng)當進行匿名化處理或者去標識化處理。[張濤：《大數(shù)據(jù)時代個人信息匿名化的規(guī)制治理》，載《華中科技大學學報（社會科學版）》2019年第2期，第76頁。]盡管匿名化處理使個人信息的“再識別”變得異常困難，但卻并非完全不可再識別，原因主要有兩個方面。一方面，匿名化技術(shù)本身可能存在缺陷，導(dǎo)致個人信息的匿名化并不徹底，出現(xiàn)“偽匿名化數(shù)據(jù)”;另一方面，盡管匿名化技術(shù)在不斷改進，但是，去匿名化技術(shù)亦在不斷發(fā)展，曾經(jīng)或現(xiàn)在成功實現(xiàn)匿名化的個人信息，也有可能因為去匿名化技術(shù)的使用而再次被識別。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701， 1701（2010）.]

3.不同數(shù)據(jù)的聚合，引發(fā)新的隱私風險。政府數(shù)據(jù)的使用者（消費者）獲得的政府數(shù)據(jù)可能來自不同的政府部門，屬于不同的數(shù)據(jù)類型，孤立地看這些單一的數(shù)據(jù)集，可能并不存在侵犯隱私的問題。然而，當多個不同來源的數(shù)據(jù)被整合到一個數(shù)據(jù)集時，政府數(shù)據(jù)使用者便可以作出新的推斷：數(shù)據(jù)的“組合”可以創(chuàng)建關(guān)于個人的新數(shù)據(jù)。在預(yù)測模型和自主學習算法的幫助下，數(shù)據(jù)使用者可以在個人并未主動提供的情況下生成個人信息，而這些信息可能準確預(yù)測某人未來生活的細節(jié)。[[荷蘭]瑪農(nóng)·奧斯特芬：《數(shù)據(jù)的邊界——隱私與個人數(shù)據(jù)保護》，曹博譯，上海人民出版社2020年版，第49頁。]

三、以“基于過程的方法”應(yīng)對個人信息保護風險

面對政府數(shù)據(jù)開放中可能存在的個人信息保護風險，現(xiàn)有的法律框架采取了“基于結(jié)果的方法”，即重點關(guān)注政府數(shù)據(jù)在公開之時的“狀態(tài)”或者“性質(zhì)”，最典型的便是要求對個人信息進行“脫敏處理”，使之變?yōu)椤澳涿麛?shù)據(jù)”或者“假名數(shù)據(jù)”。本文認為，結(jié)果保護范式下以“技術(shù)性匿名化”為核心的保護手段并不足以應(yīng)對政府數(shù)據(jù)開放中存在的或隱藏的個人信息保護風險，應(yīng)當以風險預(yù)防原則重新確立政府數(shù)據(jù)開放中個人信息的保護理念，在此基礎(chǔ)上，以“基于過程的方法”重塑政府數(shù)據(jù)開放中個人信息保護范式。

（一）結(jié)果保護范式下“技術(shù)性匿名化”之不足

現(xiàn)有的法律框架在對政府數(shù)據(jù)開放中的個人信息保護問題進行規(guī)范時，主要受到傳統(tǒng)隱私法的影響，重點關(guān)注行為是否會產(chǎn)生某種可見的損害后果，其背后的邏輯是：“可識別性”是個人信息的核心標準，要想避免侵犯個人信息權(quán)益，那么通過技術(shù)手段“消除”政府數(shù)據(jù)中個人信息的“可識別性”就可以解決問題。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 726-727 （2016）.]在這種結(jié)果主義思維的主導(dǎo)下，“匿名化”或者“去標識化”等技術(shù)手段逐漸獲得法律規(guī)范的肯認[張濤：《歐盟個人數(shù)據(jù)匿名化治理：法律、技術(shù)與風險》，載《圖書館論壇》2019年第12期，第91頁。]，并成為解決政府數(shù)據(jù)開放中個人信息保護問題最為重要的手段之一，逐漸演化為“發(fā)布即遺忘模式”，即去標識化的個人信息可能會通過互聯(lián)網(wǎng)向公眾發(fā)布，一旦以這種方式發(fā)布，一個組織可能很難或者不可能召回這些信息。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701， 1711-1712 （2010）.]

盡管匿名化技術(shù)在政府數(shù)據(jù)開放共享中確實為保護個人信息提供了重要支撐，但理論界與實務(wù)界圍繞匿名化展開的論戰(zhàn)也一直在持續(xù)。不看好匿名化的學者認為，長期以來，我們一直認為匿名化能夠“拯救我們”，然而，科學研究已經(jīng)表明，隱藏在匿名數(shù)據(jù)中的個人能夠被“再識別”或者“去匿名化”，因此，監(jiān)管機構(gòu)必須迅速而有力地應(yīng)對這種顛覆性的技術(shù)變革，以恢復(fù)法律的平衡，保護我們免受迫在眉睫的重大傷害。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701，1723 （2010）.]支持匿名化的學者認為，一方面，匿名化的批判者對“數(shù)據(jù)公地”的社會效用存在誤解，并大大低估了其價值，如果政策制定者終止或者限制公開發(fā)布非識別數(shù)據(jù)集，社會將遭受新的數(shù)據(jù)“公地悲劇”;另一方面，匿名化的批判者錯誤地解釋了計算機科學文獻，過度強調(diào)了匿名化的無用性，事實上“去匿名化”或者“再識別”風險主要是理論上的，數(shù)據(jù)共享所帶來的現(xiàn)實風險可以忽略不計。[See Jane Yakowitz， Tragedy of the Data Commons， 25 Harvard Journal of Law & Technology 1， 1（2011）.]

本文認為，上述觀點均有一定的合理性，但卻是相反的兩個極端，并且?guī)缀醵紝⒎治鐾耆拗圃趥€人信息在“公開”這個時點是否處于“匿名”狀態(tài)，低估了政府數(shù)據(jù)開放中個人信息保護風險及其應(yīng)對機制的復(fù)雜性，導(dǎo)致“匿名化技術(shù)”必須承擔平衡個人信息保護和使用的全部“重量”，造成功能過載?？傮w而言，本文認為，以“技術(shù)性匿名化”為中心的結(jié)果保護范式難以有效應(yīng)對政府數(shù)據(jù)開放生命周期不同階段的個人信息保護風險，也難以擔負平衡個人信息保護與使用的大任，具體理由如下。

1.匿名化與數(shù)據(jù)再利用之間存在沖突，無法實現(xiàn)預(yù)期的平衡目標。如前所述，匿名化已經(jīng)成為世界主要國家個人信息保護法治用以解決平衡個人信息保護與使用問題的重要方法。這種方法在理論上運行良好，但前提是來自數(shù)據(jù)的輸出潛力仍然保持其效用，而實際情況卻并非如此。這是因為通過使用自動化算法軟件尋找模式（即鏈接數(shù)據(jù)點之間的關(guān)系），可以使從分析數(shù)據(jù)集中獲得的價值或者知識最大化。然而，匿名化的目的是解除這種數(shù)據(jù)點之間的聯(lián)系，因為它們與可以收集到的關(guān)于特定個人及其身份的信息有關(guān)。[See Sophie Stalla-Bourdillon & Alison Knight， Anonymous Data v. Personal Data - False Debate： An EU Perspective on Anonymization， Pseudonymization and Personal Data， 34 Wisconsin International Law Journal 284， 285（2016）.]這便引發(fā)了一個問題：政府部門如何確保對自己擁有的數(shù)據(jù)進行有效的匿名化，同時保留這些數(shù)據(jù)的效用，以便將來可能向第三方披露，并由第三方進一步處理？

2.匿名化只關(guān)注數(shù)據(jù)本身的狀態(tài)，忽視數(shù)據(jù)保護的過程。如前所述，以匿名化技術(shù)為核心的結(jié)果保護范式主要受到傳統(tǒng)隱私法的影響，但是傳統(tǒng)隱私法的許多策略并不真正適合于與政府數(shù)據(jù)開放有關(guān)的具體場景，因為大多數(shù)現(xiàn)有的隱私法都是采取一種“原子主義”方法論，將著力點放在特定的信息主體和離散的信息類型，而不是整個數(shù)據(jù)集。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 726（2016）.]這種“原子主義”方法論也影響到現(xiàn)有的個人信息保護立法，導(dǎo)致與“去標識化”制度或者數(shù)據(jù)披露有關(guān)的法律規(guī)則都與數(shù)據(jù)本身的“輸出”有關(guān)。我國《個人信息保護法》和歐盟《通用數(shù)據(jù)保護條例》都將“匿名數(shù)據(jù)”排除在個人信息保護范圍之外，美國《健康保險可攜性和問責法》（The Health Insurance Portabicity and Accountability Act，HIPAA）的去標識化制度也取決于數(shù)據(jù)是否缺乏某些屬性。這種保護方法忽視了信息運行的周期性、過程性特征，將關(guān)注點聚焦于數(shù)據(jù)本身在公開這一時點的狀態(tài)，無法滿足個人信息保護的程序性要求。

3.匿名化強調(diào)“技術(shù)制衡技術(shù)”，忽視技術(shù)與其他工具的協(xié)同。面對新興技術(shù)給法律規(guī)范體系帶來的沖擊，囿于法律本身的滯后性，一些學者主張轉(zhuǎn)變監(jiān)管思路，采用“技術(shù)制衡技術(shù)”的方法。[季衛(wèi)東：《數(shù)據(jù)、隱私以及人工智能時代的憲法創(chuàng)新》，載《南大法學》2020年第1期，第1頁。]匿名化技術(shù)在個人信息保護中的重要地位得以確立，也受“技術(shù)制衡技術(shù)”思維的影響。然而，這也帶來一個弊端，那就是保護方法上的“一刀切”，引發(fā)的問題便是過度保護或者保護不足。此外，要求政府部門在開放數(shù)據(jù)之前進行匿名化處理，容易營造兩種引人誤解的表象：一是匿名數(shù)據(jù)肯定是已經(jīng)滿足適當保護措施的數(shù)據(jù);二是匿名化處理僅僅是政府部門的責任。事實上，由于政府數(shù)據(jù)開放本身是一個系統(tǒng)性工程，影響因素、利益相關(guān)者眾多，這就意味著我們在應(yīng)對個人信息保護風險時，除了要發(fā)揮技術(shù)的作用外，還要充分激發(fā)法律、教育、經(jīng)濟等手段的作用;除了政府部門要承擔責任外，信息主體、社會公眾、政府數(shù)據(jù)的再使用者等主體也應(yīng)當積極參與個人信息保護。

需要說明的是，本文對以技術(shù)性匿名化為核心手段的結(jié)果保護范式提出批評意見，并非是對匿名化技術(shù)的全盤否定，而是不贊同政府部門在政府數(shù)據(jù)開放過程中將保護個人信息的重任全部放置在匿名化技術(shù)上，忽視了在其他階段采用不同的個人信息保護手段，以降低個人信息保護不足的風險。

（二）以風險預(yù)防原則確立個人信息保護理念

近年來，“風險”概念開始在個人信息保護理論與實踐中得以擴散，風險管理已經(jīng)成為確保數(shù)據(jù)得到適當處理和個人基本權(quán)利得到有效保護的重要工具。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 95（2015）.]面對技術(shù)風險，法律規(guī)范通?？梢詤^(qū)分為兩種面向：一種是壓制性的（repressive），即在事故發(fā)生后才開始行動，所關(guān)注的問題是：是否有人應(yīng)當對該事故負責？是否需要有人支付費用（民法）？是否有人會受到懲罰（刑法）？另一種是預(yù)防性的（preventive），即試圖規(guī)范風險活動，以避免事故發(fā)生，這主要是行政法的目的，它包含成百上千的法律和條例，傾向于限制特定技術(shù)活動的風險。[See Hansjrg Seiler， Harmonised Risk Based Regulation — A Legal Viewpoint， 40 Safety Science 31， 31（2002）.]就個人信息保護領(lǐng)域而言，預(yù)防性法律規(guī)范呈現(xiàn)爆炸式增長，尤其是歐盟《通用數(shù)據(jù)保護條例》制定出臺以后，個人信息保護法制的“風險化”已經(jīng)成為一種趨勢。在歐盟，個人數(shù)據(jù)保護法的“風險化”主要體現(xiàn)在兩個方面：一是在實踐層面，轉(zhuǎn)向基于風險的數(shù)據(jù)保護執(zhí)法和合規(guī);二是在更廣泛而堅實的規(guī)制層面，轉(zhuǎn)向了風險規(guī)制。[See Milda Macenaite， The ‘Riskification’ of European Data Protection Law through a two-fold Shift， 8 European Journal of Risk Regulation 506， 506（2017）.]在我國，“風險”一詞在《個人信息保護法》中出現(xiàn)了4次，在《數(shù)據(jù)安全法》中出現(xiàn)了10次，《個人信息保護法》第11條確立了“風險預(yù)防”原則，《數(shù)據(jù)安全法》第22條要求建立集中統(tǒng)一、高效權(quán)威的“數(shù)據(jù)安全風險評估機制”。

需要指出的是，盡管風險管理已經(jīng)成為遵守個人信息保護法、確保個人信息得到適當處理和個人基本權(quán)益得到有效保護的關(guān)鍵工具，并且已經(jīng)初步實現(xiàn)了法制化。然而，在實踐中，諸多風險管理過程或者工具往往還是非正式的、非結(jié)構(gòu)化的，未能充分利用其他領(lǐng)域已經(jīng)廣泛接受的風險管理的諸多原則和工具，因此基于風險的方法（risk-based approach）仍然沒有為個人信息保護實踐或者法律提供廣泛而堅實的基礎(chǔ)。[See Maria Eduarda Gonalves， The Risk-Based Approach under the New EU Data Protection Regulation： A Critical Perspective， 23 Journal of Risk Research 139， 139（2020）.]對于我國現(xiàn)階段的個人信息保護而言，這既是機遇，也是挑戰(zhàn)。一方面，我們可以充分吸收借鑒其他領(lǐng)域長期積累的風險管理經(jīng)驗，開發(fā)一個現(xiàn)代化的、有效的風險管理框架;另一方面，我們需要積極采取行動，以跟上新興技術(shù)的巨大變化。一般認為，風險管理主要涉及三個關(guān)鍵要素：一是識別和評估危害和其他負面影響的系統(tǒng)過程;二是避免或者減輕那些不能用利益和其他積極影響來證明的危害;三是接受和管理剩余風險。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 96-97（2015）.]本文認為，政府部門應(yīng)當在政府數(shù)據(jù)開放過程中建構(gòu)一個現(xiàn)代化的風險管理框架，同時開發(fā)有效的風險管理工具，以“風險預(yù)防”來重新確立政府數(shù)據(jù)開放中個人信息保護的理念與目標。一方面，基于風險的政府數(shù)據(jù)開放制度契合當前個人信息保護的趨勢;另一方面，基于風險的政府數(shù)據(jù)開放制度將幫助我們超越關(guān)于匿名化有效或者無效的爭論。

1.在政府數(shù)據(jù)開放過程中應(yīng)當考慮不同的風險因素。風險管理從本質(zhì)上講是一種平衡測試，它需要考慮諸多因素，包括個人的基本權(quán)益、擬議的處理將損害個人的可能性、發(fā)生損害的嚴重程度、可用來降低風險的措施、數(shù)據(jù)控制者的權(quán)益等。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 98（2015）.]因此，在建構(gòu)風險管理框架時，政府部門也需要確定不同的風險因素，以確定在公開政府數(shù)據(jù)時需要采取何種保護措施。參照美國國家標準與技術(shù)研究院（National Institute of standards and Technology，NIST）發(fā)布的《個人信息去標識化》（De-Identification of Personal Information）報告[See National Institute of Standards and Technology， De-Identification of Personal Information， https：//nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf（Last visited on July 11， 2021）.]，本文認為，在政府數(shù)據(jù)開放過程中至少應(yīng)當考慮以下風險因素：一是政府數(shù)據(jù)的數(shù)量，信息量會影響重新識別和敏感屬性披露的風險;二是政府數(shù)據(jù)的敏感性，生物識別信息、行動軌跡信息、銀行賬戶信息等是比較敏感的，也更有可能成為攻擊目標;三是政府數(shù)據(jù)的接收者，至少包括內(nèi)部接收者、受信任的接收者和普通公眾三種不同類型的數(shù)據(jù)接收者，并且風險呈遞增趨勢;四是政府數(shù)據(jù)的用途，數(shù)據(jù)的不同用途可能會給攻擊者帶來不同的再識別動機;五是數(shù)據(jù)的公開方式，不同的公開方式引發(fā)的風險不同，受控制的公開比無條件開放的風險低。

2.在政府數(shù)據(jù)開放過程中應(yīng)區(qū)分不同的風險等級。與其他領(lǐng)域的風險管理相似，個人信息保護中的風險管理也應(yīng)當根據(jù)不同的風險因素、管理目標，確定不同的風險等級。歐盟《通用數(shù)據(jù)保護條例》采用了基于風險的數(shù)據(jù)保護方法，鼓勵控制個人數(shù)據(jù)的組織實施與其數(shù)據(jù)處理活動的風險水平相適應(yīng)的保護措施：首先是高風險，《通用數(shù)據(jù)保護條例》對從事“高風險”活動的數(shù)據(jù)控制者提出了更高的要求。具體而言，在從事這種活動之前，數(shù)據(jù)控制者可能被要求咨詢數(shù)據(jù)保護機構(gòu)并進行詳細的隱私影響評估;在發(fā)生數(shù)據(jù)泄露的情況下，數(shù)據(jù)控制者可能被要求通知可能受影響的個人。其次是風險，對于沒有被標記為“高風險”的活動，數(shù)據(jù)控制者仍然必須采取與該活動的風險水平相適應(yīng)的措施。例如，數(shù)據(jù)控制者被要求“確保與風險相適應(yīng)的數(shù)據(jù)安全水平”，并實施基于風險的措施以遵守一般法律義務(wù)。最后是低風險，如果對數(shù)據(jù)主體的風險很小，數(shù)據(jù)控制者可以免于向數(shù)據(jù)保護機構(gòu)通報數(shù)據(jù)泄露的要求。盡管《通用數(shù)據(jù)保護條例》沒有提及數(shù)據(jù)控制者應(yīng)當如何評估和量化風險，但是這種基于風險等級采取不同控制措施的思路仍然值得我國政府部門在建構(gòu)政府數(shù)據(jù)開放的風險管理框架時予以借鑒。

（三）以“基于過程的方法”重塑個人信息保護模式

“基于過程的方法”（process-based approach）是以數(shù)據(jù)生命周期為基礎(chǔ)，全面、動態(tài)地考察政府數(shù)據(jù)開放整個過程的一種保護模式，它為我們觀察政府數(shù)據(jù)開放提供了一種全新的視角，改變了傳統(tǒng)結(jié)果保護范式的認知與適用局限。從邏輯與事實的關(guān)聯(lián)性來看，“基于過程的方法”與政府數(shù)據(jù)開放中個人信息保護之間具有內(nèi)在關(guān)聯(lián)和外在契合。

1.“基于過程的方法”與政府數(shù)據(jù)開放生命周期之間存在內(nèi)在契合。如前所述，政府數(shù)據(jù)開放本身就是一個動態(tài)的過程，遵循了數(shù)據(jù)生命周期的一般規(guī)律，可以分為收集、轉(zhuǎn)換、存儲、公開和使用等5個階段，這與“基于過程的方法”本身所主張的全面、動態(tài)的觀察視角相吻合。

2.“基于過程的方法”與政府數(shù)據(jù)開放的風險管理相契合?！盎陲L險的方法”已經(jīng)逐漸成為個人信息保護領(lǐng)域的重要方法，風險管理也成為關(guān)鍵工具，而風險管理本身就包括風險識別、風險量度、風險評估、風險應(yīng)對等階段，這與“基于過程的方法”存在外在關(guān)聯(lián)。

3.“基于過程的方法”與當前個人信息保護的程序主義進路相吻合。從國內(nèi)外個人信息保護立法的現(xiàn)狀來看，無論是信息主體享有的權(quán)利，還是信息處理者應(yīng)當承擔的義務(wù)，以及最終的權(quán)利救濟機制，都出現(xiàn)了大量的程序性規(guī)則。[See Antonella Galetta & Paul De Hert， The Proceduralisation of Data Protection Remedies under EU Data Protection Law： Towards a More Effective and Data Subject-oriented Remedial System？ 8 Review of European Administrative Law 125， 125（2015）.]個人信息保護已經(jīng)成為一個不斷識別、預(yù)防、降低風險的過程，即使信息處理者沒有實際的違規(guī)行為，只要其未能采取行業(yè)內(nèi)普遍認可的措施來充分降低風險，其就有可能承擔法律責任[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 730（2016）.]，這與“基于過程的方法”的核心理念是相吻合的。

4.“基于過程的方法”與數(shù)據(jù)安全全流程管理制度是相吻合的。我國《數(shù)據(jù)安全法》第27條規(guī)定，開展數(shù)據(jù)處理應(yīng)當“建立健全全流程數(shù)據(jù)安全管理制度”，這意味著數(shù)據(jù)安全管理應(yīng)當融入整個數(shù)據(jù)生命周期，這與“基于過程的方法”的基本主張是一致的。

對于政府數(shù)據(jù)開放中的個人信息保護而言，一個更加具有可持續(xù)性的方法是將重點側(cè)重于保護所需的前提條件和過程。政府部門在制定政府數(shù)據(jù)開放策略時，應(yīng)當以更為全面的、動態(tài)的視角來看待政府數(shù)據(jù)開放過程，而不是僅僅關(guān)注政府數(shù)據(jù)在公開這個時點所處的狀態(tài)。本文認為，“基于過程的方法”可以為政府數(shù)據(jù)開放與個人信息保護提供一個平衡框架，它可以考慮不同的信息類型和保護手段，最終實現(xiàn)全生命周期的協(xié)同保護。

第一，區(qū)分不同的信息類型。在政府數(shù)據(jù)開放中，根據(jù)信息類型不同，會產(chǎn)生不同程度的個人信息保護風險。[宋爍：《論政府數(shù)據(jù)開放中個人信息保護的制度構(gòu)建》，載《行政法學研究》2021年第6期，第85頁。]為了平衡個人信息保護與政府數(shù)據(jù)效用之間的關(guān)系，可以區(qū)分四種不同的信息類型：（1）原始個人信息，即未經(jīng)處理或者簡化的信息，包括姓名、身份證號碼、電話號碼等。目前，絕大多數(shù)國家或地區(qū)的政府數(shù)據(jù)開放政策都規(guī)定，開放數(shù)據(jù)通常不應(yīng)當包含原始個人信息。當然，在某些特定情況下，原始個人信息也可以公開，條件是公開的公共利益超過了個人利益。（2）假名化信息，這意味著一個人的身份識別信息被隨機的唯一標識符所取代。（3）匿名化信息，這是不再可識別的信息，從數(shù)據(jù)集中刪除了所有個人可識別信息，并將可識別信息轉(zhuǎn)化為匿名。不過，隨著大量數(shù)據(jù)的積累，數(shù)據(jù)挖掘者可以從數(shù)據(jù)集中發(fā)現(xiàn)隱藏的個人信息，導(dǎo)致個人信息被再識別。（4）非個人信息，主要是指不包含個人信息的數(shù)據(jù)集，如公共交通時間、天氣狀況、公共部門預(yù)算、環(huán)境污染等。[See Frederik Zuiderveen Borgesius， Jonathan Gray & Mireille Van Eechoud， Open Data， Privacy， and Fair Information Principles： Towards a Balancing Framework， 30 Berkeley Technology Law Journal 2073， 2120（2015）.]不過，需要說明的是，盡管從理論上可以對政府數(shù)據(jù)中不同的信息類型進行相對獨立的區(qū)分，但是，在實踐中這四類信息的邊界仍然是比較模糊的，匿名化信息可以再識別或者去匿名化，而非個人信息也有可能提供關(guān)于個人的信息。

第二，采用不同的保護手段。隨著信息技術(shù)的快速發(fā)展，個人信息保護變得越發(fā)復(fù)雜，僅僅依靠單一的主體、工具均無法為個人和社會提供有效的保護，“合作規(guī)制”逐漸成為一種趨勢，要求整合多元治理主體和多元治理手段[See Irene Kamara， Co-regulation in EU Personal Data Protection： The Case of Technical Standards and the Privacy by Design Standardisation ‘Mandate’， 8 European Journal of Law and Technology 1， 1（2017）.]，我國《個人信息保護法》第11條亦對此進行了規(guī)定。在政府數(shù)據(jù)開放過程中，為了保護個人信息，可以采取的保護手段大致有以下五類：（1）程序手段，廣義上是指在組織內(nèi)部采用各種程序，如執(zhí)行通知、制定數(shù)據(jù)清單、審查數(shù)據(jù)庫訪問等。（2）技術(shù)手段，廣義上是指包括統(tǒng)計方法、計算方法（如加密）和人為因素分析（如隱私政策的可讀性分析）等在內(nèi)的技術(shù)手段。（3）教育手段，廣義上是指包括任何旨在告知信息主體、信息處理者、信息接收者或者廣大公眾有關(guān)個人信息保護規(guī)則與風險的干預(yù)措施。（4）經(jīng)濟手段，廣義上是指任何旨在改變利益相關(guān)者經(jīng)濟動機的干預(yù)措施，如征稅、收費、罰款或者提供保險等。（5）法律手段，廣義上是指任何旨在改變利益相關(guān)者的法律權(quán)利義務(wù)或者法律關(guān)系的干預(yù)措施，如私人訴訟、行政問責、公益訴訟等。[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2016-2017（2015）.]

四、完善政府數(shù)據(jù)開放中基于過程的個人信息保護機制

前文闡述了政府數(shù)據(jù)開放生命周期不同階段可能存在的個人信息保護風險，并對以技術(shù)性匿名化為核心手段的結(jié)果保護范式的不足進行了分析，在此基礎(chǔ)上，本文提出以“基于過程的方法”重塑政府數(shù)據(jù)開放中個人信息保護模式，并且就該保護模式的基本內(nèi)容與核心措施進行了初步分析。為了進一步加強政府數(shù)據(jù)開放中的個人信息保護，有針對性地就不同階段的個人信息保護風險采取措施，還需要對程序、技術(shù)、教育、經(jīng)濟、法律等手段的范圍作進一步的說明，以及對它們在政府數(shù)據(jù)開放生命周期不同階段如何發(fā)揮作用進行闡述。為此，本文以本·格林（Ben Green）等人在《開放數(shù)據(jù)隱私》報告中提出的“在數(shù)據(jù)生命周期的每個階段考慮隱私問題”為基礎(chǔ)，[See Ben Green， Gabe Cunningham & Ariel Ekblaw et al.， Open Data Privacy （2017）， Berkman Klein Center Research Publication， https：//dash.harvard.edu/bitstream/handle/1/30340010/OpenDataPrivacy.pdf？sequence=5（Last visited on July 11， 2021）.]參照邁卡·奧特曼（Micah Altman）等人提出的分析框架[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2049-2058（2015）.]，結(jié)合我國《個人信息保護法》《數(shù)據(jù)安全法》和《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273—2020）的有關(guān)規(guī)定，嘗試提出一個將不同的個人信息保護手段與政府數(shù)據(jù)開放生命周期不同階段協(xié)調(diào)銜接的控制網(wǎng)絡(luò)。

（一）數(shù)據(jù)收集階段的個人信息保護手段

一旦個人信息被收集，它就有可能作為開放數(shù)據(jù)或者通過回應(yīng)公共記錄請求而被公開，因此，限制數(shù)據(jù)收集往往是限制未來披露的最佳方式。為了應(yīng)對政府數(shù)據(jù)收集階段可能存在的個人信息保護風險，政府部門可以采取如下手段。

1.確保收集個人信息的合法性。根據(jù)《個人信息保護法》第5條的規(guī)定，合法原則是個人信息保護的重要原則。政府部門在收集包含個人信息的數(shù)據(jù)時，應(yīng)當依照法律、行政法規(guī)規(guī)定的權(quán)限與程序進行，不得通過其他非法手段和途徑收集個人信息。

2.確保收集個人信息的最小必要。根據(jù)《個人信息保護法》第5條的規(guī)定，必要原則是個人信息保護的基本原則。該法第6條進一步明確“收集個人信息，應(yīng)當限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息”。該法第34條則規(guī)定：“國家機關(guān)為履行法定職責處理個人信息，應(yīng)當依照法律、行政法規(guī)的權(quán)限、程序進行，不得超越履行法定職責所必需的范圍和限度?！闭块T在收集個人信息時，所收集的個人信息類型應(yīng)當與履行法定職責或者提供公共服務(wù)的業(yè)務(wù)功能直接關(guān)聯(lián)。所謂直接關(guān)聯(lián)，就是沒有上述個人信息的參與，履行職責或提供服務(wù)的功能就無法實現(xiàn)。

3.確保收集個人信息的誠實守信。根據(jù)《個人信息保護法》第5條的規(guī)定，誠信原則是個人信息保護的基本原則，這對政府部門在收集個人信息時提出了“正反”兩方面的要求。一方面，政府部門要嚴格落實“告知-同意”要求。在國內(nèi)外個人信息保護法中，“告知-同意”是公平信息實踐原則的基石，也是保護個人信息的常用工具。就“通知”而言，除了常規(guī)的隱私政策外，還可以采取公共教育措施，讓公民了解收集的數(shù)據(jù)類型、如何使用這些數(shù)據(jù)以及與之相關(guān)的風險[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2017（2015）.];就“同意”而言，雖然履行法定職責、緊急情況下的公共利益可以成為豁免條件，但是，政府部門仍然需要制定更為有效的同意計劃，原因在于同意的效力并不僅僅局限于收集階段，而是輻射到整個數(shù)據(jù)生命周期。另一方面，這意味著政府部門不得以欺詐、誘騙、誤導(dǎo)等方式收集個人信息，也不得隱瞞各類政務(wù)APP所具有的收集個人信息的功能。

4.完善個人信息的內(nèi)部管理機制。政府數(shù)據(jù)開放共享是政府數(shù)據(jù)治理的重要內(nèi)容。隨著政府數(shù)據(jù)治理體系的不斷完善，越來越多的政府部門開始任命專門的數(shù)據(jù)治理官員或者組建專門的數(shù)據(jù)治理機構(gòu)，如政府首席數(shù)據(jù)官，為政府數(shù)據(jù)治理提供組織保障。[張濤：《數(shù)據(jù)治理的組織法構(gòu)造：以政府首席數(shù)據(jù)官制度為視角》，載《電子政務(wù)》2021年第9期，第58頁。]我國《個人信息保護法》第52條規(guī)定，處理個人信息達到一定規(guī)模的個人信息處理者應(yīng)當指定個人信息保護負責人。就政府部門而言，應(yīng)當以建立和完善政府首席數(shù)據(jù)官制度為契機，強化政府首席數(shù)據(jù)官對政府部門處理個人信息的監(jiān)督職責。

5.完善個人信息保護影響評估機制。在其他風險管理領(lǐng)域，風險評估是最為重要的工具之一，如環(huán)境保護影響評估。在隱私和個人信息保護領(lǐng)域，傳統(tǒng)的隱私影響評估工具經(jīng)常被作為平衡效用和隱私以及選擇適當隱私保障措施的工具。如今，在隱私影響評估機制的基礎(chǔ)上，個人信息保護影響評估機制成為個人信息保護的重要工具。盡管個人信息保護影響評估在不同的機構(gòu)之間可能略有不同，但通常涉及個人信息的處理目的、處理方式是否合法、正當、必要，個人信息的預(yù)期用途和接收者，對個人權(quán)益的影響及安全風險，采取的保護措施是否合法有效等。

（二）數(shù)據(jù)轉(zhuǎn)換階段的個人信息保護手段

如前所述，盡管數(shù)據(jù)轉(zhuǎn)換階段與數(shù)據(jù)主體并不直接相關(guān)，但卻可能因為違反準確性、完整性等法律要求，產(chǎn)生侵害個人信息權(quán)益的風險。為了有效應(yīng)對政府數(shù)據(jù)轉(zhuǎn)換階段存在的個人信息保護風險，結(jié)合相關(guān)理論研究成果和實踐經(jīng)驗，政府部門可以采取如下手段。

1.完善內(nèi)部的數(shù)據(jù)轉(zhuǎn)換制度和操作規(guī)程，強化專業(yè)培訓(xùn)教育。數(shù)據(jù)轉(zhuǎn)換對于整個政府數(shù)據(jù)開放至關(guān)重要，要求確保在數(shù)據(jù)轉(zhuǎn)換過程中既符合個人信息保護要求，也能達到未來政府數(shù)據(jù)公開的標準，政府部門應(yīng)當制定內(nèi)部的數(shù)據(jù)轉(zhuǎn)換操作規(guī)程，同時加強對相關(guān)工作人員的專業(yè)培訓(xùn)，既包括先進處理技術(shù)的培訓(xùn)，也包括個人信息保護法規(guī)、數(shù)據(jù)安全法規(guī)、信息倫理要求等方面的培訓(xùn)教育。

2.積極采取加密等技術(shù)手段，確保數(shù)據(jù)轉(zhuǎn)換過程安全。在數(shù)據(jù)轉(zhuǎn)換過程中，政府部門還應(yīng)當積極采取一些先進的“隱私增強技術(shù)”或者“數(shù)據(jù)安全技術(shù)”，預(yù)防和減少數(shù)據(jù)轉(zhuǎn)換階段可能出現(xiàn)的信息泄露、篡改、丟失等風險，其中比較常見的便是采用加密技術(shù)，包括公鑰加密和私鑰加密。

3.保障信息主體的訪問權(quán)和更正權(quán)，增強數(shù)據(jù)轉(zhuǎn)換的透明度。為了確保數(shù)據(jù)安全，數(shù)據(jù)轉(zhuǎn)換的具體過程一般具有一定的機密性，但是數(shù)據(jù)轉(zhuǎn)換的方法及結(jié)果應(yīng)當遵循透明度要求。政府部門應(yīng)當通過適當?shù)耐緩?，將?shù)據(jù)轉(zhuǎn)換的方法和結(jié)果告知信息主體，保障信息主體能夠有意義地行使訪問權(quán)和更正權(quán)。

（三）數(shù)據(jù)存儲階段的個人信息保護手段

隨著數(shù)字政府建設(shè)的不斷向前推進，政府部門維護著眾多的數(shù)據(jù)集，并且這些數(shù)據(jù)集通常分布在不同的部門或者機構(gòu)，使得政府部門很難跟蹤其眾多的數(shù)據(jù)資源。如果沒有對現(xiàn)有數(shù)據(jù)集的全面了解和掌控，政府部門就有可能做出錯誤的數(shù)據(jù)管理決策或者進行多余的數(shù)據(jù)收集、超期的數(shù)據(jù)保存。此外，未知的和未被充分監(jiān)測、評估的數(shù)據(jù)集可能會帶來風險，再加上人員流動和信息管理系統(tǒng)定期升級增加了評估舊數(shù)據(jù)集所涉隱私及個人信息風險的難度。為了有效應(yīng)對政府數(shù)據(jù)存儲階段的個人信息保護風險，政府部門可以采取如下手段。

1.制定數(shù)據(jù)清單及目錄，并確立相應(yīng)的隱私與個人信息風險等級?！稊?shù)據(jù)安全法》第42條規(guī)定，國家應(yīng)當制定政務(wù)數(shù)據(jù)開放目錄;《個人信息保護法》第51條規(guī)定，個人信息處理者應(yīng)當對個人信息實行分類管理。前文對政府數(shù)據(jù)的分類進行了初步分析，政府部門在編制數(shù)據(jù)清單時，還應(yīng)當重點解決如下問題：數(shù)據(jù)是如何產(chǎn)生的、什么記錄管理系統(tǒng)產(chǎn)生了這些數(shù)據(jù)、這些數(shù)據(jù)是什么時候收集的、這些數(shù)據(jù)是如何收集的、是否還有與這些數(shù)據(jù)相關(guān)的其他補充信息、哪些部門和個人負責這些數(shù)據(jù)、這些數(shù)據(jù)規(guī)定的保存期限是多長等。數(shù)據(jù)清單的另一個關(guān)鍵部分是確定相應(yīng)的隱私與個人信息風險等級，政府部門應(yīng)當開發(fā)一個分級模式，將每個數(shù)據(jù)集的隱私與個人信息風險劃分為數(shù)個類別，如高、中、低風險，提供一個風險概覽圖，幫助政府部門將有限的資源用于降低最緊急的風險。

2.限制個人信息存儲期限，避免無限期保存。如前所述，存儲限制是《個人信息保護法》提出的明確要求，政府部門也應(yīng)當積極遵守。一方面，個人信息存儲期限應(yīng)為實現(xiàn)政府部門處理信息目的或者信息主體授權(quán)目的所必需的最短時間;另一方面，當個人信息超出上述存儲期限后，應(yīng)當對個人信息進行刪除或者匿名化處理。

3.完善數(shù)據(jù)安全風險評估制度，及時監(jiān)測存在的安全風險。《數(shù)據(jù)安全法》第29條規(guī)定“開展數(shù)據(jù)處理活動應(yīng)當加強風險監(jiān)測”;第30條規(guī)定：“重要數(shù)據(jù)的處理者應(yīng)當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估”。擁有眾多大型數(shù)據(jù)庫的政府部門面臨的數(shù)據(jù)安全風險并不天然地低于私營部門。因此，上述規(guī)定同樣也適用于政府部門，其更應(yīng)當積極完善數(shù)據(jù)安全風險評估制度，降低數(shù)據(jù)泄露風險。一般而言，數(shù)據(jù)安全風險評估通常包括所存儲的數(shù)據(jù)類型與數(shù)量、可能存在的風險、可能采取的應(yīng)對措施。

4.編制數(shù)據(jù)安全事件應(yīng)急預(yù)案，完善數(shù)據(jù)泄露通知制度。盡管各種保護措施可以將數(shù)據(jù)安全風險降至最低，但是，數(shù)據(jù)泄露事件仍然無法避免。為此，《數(shù)據(jù)安全法》第23條規(guī)定：“國家建立數(shù)據(jù)安全應(yīng)急處置機制”;《個人信息保護法》第51條規(guī)定，個人信息處理者應(yīng)當“制定并組織實施個人信息安全事件應(yīng)急預(yù)案”。政府部門應(yīng)當借鑒其他領(lǐng)域的應(yīng)急管理經(jīng)驗，充分聽取數(shù)據(jù)安全領(lǐng)域的技術(shù)專家、法律學者的意見，制定本部門的數(shù)據(jù)安全事件應(yīng)急預(yù)案。當發(fā)生大規(guī)模數(shù)據(jù)泄露事件時，政府部門應(yīng)當按照《個人信息保護法》第57條的規(guī)定，應(yīng)當“立即采取補救措施，并通知履行個人信息保護職責的部門和個人”，讓其能夠積極采取防護措施，避免數(shù)據(jù)泄露引發(fā)的次生傷害。

（四）數(shù)據(jù)公開階段的個人信息保護手段

如何確定要公開的數(shù)據(jù)集是政府數(shù)據(jù)開放所面臨的最常見的挑戰(zhàn)之一，因為政府部門并不總是十分清楚哪些政府數(shù)據(jù)在公開后會帶來隱私與個人信息風險，稍有不慎，就可能過度披露敏感信息。為了應(yīng)對在政府數(shù)據(jù)公開階段可能存在的個人信息保護風險，政府部門可以采取如下幾種手段。

1.區(qū)分不同的公開方式，采用不同的政府數(shù)據(jù)訪問機制。政府部門應(yīng)當清楚地認識到，并非所有的數(shù)據(jù)集都適合以“開放數(shù)據(jù)”格式公開，如數(shù)據(jù)的敏感性和顆粒度很高時，以不可控的開放數(shù)據(jù)格式公開，被再識別的風險就會很高。因此，不同類型的政府數(shù)據(jù)、不同風險級別的數(shù)據(jù)集應(yīng)當設(shè)置與其風險水平相適應(yīng)的公開方式和數(shù)據(jù)訪問機制。一般認為，在組織內(nèi)部和組織之間共享和訪問數(shù)據(jù)，可以采用的訪問機制大致包括以下幾類：一是限制性共享，政府部門可以根據(jù)預(yù)期的數(shù)據(jù)接收者類型及其相應(yīng)的風險等級，來決定如何公開數(shù)據(jù)。二是管理性訪問，政府部門可以確定到底是誰在訪問數(shù)據(jù)集，同時保持對其傳播效果的控制。三是互動方法，比較典型的是“差分隱私”（differential privacy），即在數(shù)據(jù)集中添加一定量的“噪音”或者只提供關(guān)于底層數(shù)據(jù)集的“統(tǒng)計結(jié)果”。四是混合方法（hybrid），即政府部門可以將一個包含有可能再識別的個人信息的數(shù)據(jù)庫進行拆分，再融入前述三種方法。[See Bendert Zevenbergen， Ian Brown & Joss Wright et al.， Ethical Privacy Guidelines for Mobile Connectivity Measurements， Oxford Internet Institute， https：//www.oii.ox.ac.uk/archive/downloads/research/files/Ethical_Privacy_Guidelines_for_Mobile_Connectivity_Measurements.pdf（Last visited on July 11， 2021）.]

2.廣泛使用去標識化技術(shù)，降低政府數(shù)據(jù)的被再識別風險。從技術(shù)的角度看，盡管并不存在完美無瑕的去標識化技術(shù)，但不可否認的是各類去標識化技術(shù)仍然在個人信息保護中發(fā)揮著重要的作用。政府部門在準備要公開的政府數(shù)據(jù)時，應(yīng)當廣泛使用去標識化技術(shù)，既可以由人工執(zhí)行，也可以通過自動化程序執(zhí)行，或者兩者兼?zhèn)?。一旦認定數(shù)據(jù)集已經(jīng)完成去標識化后，應(yīng)當手動審查或者以其他方式進行數(shù)據(jù)審計，以判定是否還有任何可識別信息，或者審查是否有可能通過與其他數(shù)據(jù)源的關(guān)聯(lián)來恢復(fù)被刪除的敏感屬性。

（五）數(shù)據(jù)使用階段的個人信息保護手段

一旦政府數(shù)據(jù)從數(shù)據(jù)庫中公開進入使用者手中，前面幾個階段的保護手段就可能失去效用，再加上可能存在的數(shù)據(jù)濫用、數(shù)據(jù)聚合等風險，從而導(dǎo)致個人信息權(quán)益受到侵犯。為了應(yīng)對政府數(shù)據(jù)使用階段存在的個人信息保護風險，政府部門應(yīng)當積極開發(fā)新的保護手段或者機制來消解“發(fā)布即遺忘模式”的弊端，比較常見的方法主要有以下兩種。

1.通過信用監(jiān)管強化對政府數(shù)據(jù)使用者的事前審查。盡管各國在制定政府數(shù)據(jù)開放政策時，都要求政府部門不應(yīng)當對政府數(shù)據(jù)使用者設(shè)置歧視性條件，但這并不意味著政府數(shù)據(jù)使用者不需要滿足任何條件或者達到一定要求。為了避免政府數(shù)據(jù)使用者在使用政府數(shù)據(jù)時產(chǎn)生新的隱私與個人信息保護風險，在實踐中，政府部門可以要求政府數(shù)據(jù)使用者在數(shù)據(jù)存儲、數(shù)據(jù)處理和數(shù)據(jù)安全保護能力等條件方面應(yīng)當達到相應(yīng)的信用等級。

2.通過數(shù)據(jù)使用協(xié)議強化對政府數(shù)據(jù)使用者的事后監(jiān)管。為了應(yīng)對政府數(shù)據(jù)濫用可能帶來的隱私與個人信息保護風險，數(shù)據(jù)使用協(xié)議成為常見的保護手段。在數(shù)據(jù)使用協(xié)議中，政府部門可以就政府數(shù)據(jù)再使用的目的、用途等進行約定，如禁止重新識別信息或者聯(lián)系個人，同時，要求政府數(shù)據(jù)使用者應(yīng)當依法履行相應(yīng)的數(shù)據(jù)保護職責，并接受政府部門的監(jiān)督檢查，承擔相應(yīng)的法律責任。

五、結(jié)論

政府數(shù)據(jù)開放被認為有助于實現(xiàn)各種社會、經(jīng)濟及行政目標，如提升公眾生活品質(zhì)、促進產(chǎn)業(yè)轉(zhuǎn)型、增強政府透明度等。然而，由于政府部門維護的數(shù)據(jù)集中含有大量的個人信息，因此，政府數(shù)據(jù)開放可能會對個人信息權(quán)益造成侵害。這種侵害不局限于政府數(shù)據(jù)公開階段，而且可能存在于政府數(shù)據(jù)收集、轉(zhuǎn)換、存儲、使用等多個階段。在我國《個人信息保護法》和《數(shù)據(jù)安全法》通過并實施后，如何在個人信息保護與政府數(shù)據(jù)開放之間維持平衡，成為一項重要議題。傳統(tǒng)的以技術(shù)性去匿名化為核心手段的結(jié)果保護范式由于過度關(guān)注政府數(shù)據(jù)在公開這一時點的狀態(tài)，忽視了政府數(shù)據(jù)開放本身所具有的動態(tài)性、周期性、系統(tǒng)性特征，難以有效應(yīng)對政府數(shù)據(jù)開放全生命周期各個階段存在的個人信息保護風險。對此，本文提出以“基于過程的方法”重塑政府數(shù)據(jù)開放中的個人信息保護范式，以風險預(yù)防原則重新確立個人信息保護理念與目標。為了構(gòu)建政府數(shù)據(jù)開放中基于過程的個人信息保護機制，需要將程序、技術(shù)、經(jīng)濟、教育、法律等多種手段置于在政府數(shù)據(jù)開放生命周期的不同階段，有針對性地減少隱私與個人信息風險，形成全生命周期的協(xié)同保護機制。

Paradigm Shift of Personal Information Protection in Open Government Data

ZHANG Tao

（Law School， Tsinghua University， Beijing 100084， China）

Abstract：Open government data（OGD） is not a static single behavior， but a dynamic system process. With the help of data life cycle theory， open government data can be deconstructed into five stages of data collection， transformation， storage， release， and use. According to the latest rules established by the Personal Information Protection Law and the Data Security Law， personal information protection risks may exist at all stages of the OGD life cycle. However， the existing personal information protection paradigm in OGD mainly adopts an "outcome-based approach"， focusing on the state of government data at the time of release， and relying on technical anonymization methods， it is difficult to effectively deal with personal information risks in OGD life cycle. Correspondingly， the "process-based approach" is compatible with the OGD life cycle， the proceduralization of personal information protection， and the full-process management of data security， and can make up for the shortcomings of the " outcome-based approach". By decentralizing risk precautionary principles and procedural， technical， economic， educational， and legal tools at each stage of the OGD life cycle， the risk of personal information protection can be minimized， and a dynamic balance can be achieved between personal information protection and open government data.

Key Words：open government data; personal information protection; process-based approach;?? anonymization

本文責任編輯：林士平

青年學術(shù)編輯：孫 瑩

收稿日期：2021-12-01

基金項目：2019年國家社科基金重大項目“大數(shù)據(jù)、人工智能背景下的公安法治建設(shè)研究”（19ZDA165）;2021年度教育部人文社會科學研究青年基金項目“政府數(shù)據(jù)開放利用機制研究”（21YJC820035）

作者簡介：張濤（1991），男，貴州銅仁人，清華大學法學院助理研究員、博士后，法學博士。

① [美]喬爾·古林：《開放數(shù)據(jù)——如何從無處不在的免費數(shù)據(jù)中發(fā)掘創(chuàng)意和商機》，張尚軒譯，中信出版社2015年版，第6頁。