開放政府數據中的個人隱私風險類型及消解機制研究

郭維嘉　郭少友

摘 要：開放政府數據所包含的個人數據給個人隱私的泄露帶來風險。本文在分析個人隱私風險類型的基礎上，提出了一種基于全生命周期的個人隱私風險動態消解機制，可對數據采集、披露、保存、訪問、使用時期的個人隱私風險進行動態性的預防和消解。

關鍵詞：開放政府數據；個人數據；個人隱私；隱私風險

中圖分類號：G250 文獻標識碼：A 文章編號：1003-5168（2018）04-0021-04

Types and Resolution Mechanism of Personal Privacy

Risks in Open Government Data

GUO Weijia GUO Shaoyou

（School of Information Management， Zhengzhou University， Zhengzhou Henan 450001）

Abstract： Personal data contained in open government data poses risks to personal privacy. Based on the analysis of types of personal privacy risks， this paper proposed a dynamic lifecycle-based resolution mechanism of personal privacy risks that could prevent and mitigate personal privacy risks during data collection， disclosure， preservation， access and use.

Keywords： open government data； personal data；personal privacy；privacy risk

1 研究背景

開放數據是指允許任何人以任何目的免費使用、共享的數據[1]。各級政府所發布的開放數據可稱為開放政府數據。現有研究表明，開放政府數據具有促進政府透明度、刺激經濟增長、提高政府服務和響應能力等多種作用[2]，同時也面臨著侵犯商業秘密、侵犯個人隱私等風險，其中侵犯個人隱私是較為嚴重的一種風險。本文將對開放政府數據中的個人隱私風險類型進行分析，并在此基礎上提出相應的隱私風險消解機制。

2 開放政府數據中的個人隱私風險類型

2.1 開放政府數據中的個人數據類型

個人數據是指任何與可識別的自然人有關的數據[3]。隱私是指不愿告人的或不愿公開的個人事宜[4]。從根本上講，只有當開放政府數據中包含有個人數據時，才可能出現侵犯個人隱私的情況。討論開放政府數據中的個人數據類型，有助于識別其中的個人隱私風險。

按照數據的敏感程度可將個人數據分為兩大類，即低敏感度數據和高敏感度數據。其中，高敏感度數據主要包括個人的健康狀況、犯罪情況、財務情況等數據。

按照對個人數據的加工程度，可將其分為原始數據、假名數據和匿名數據三類。假名數據用自動生成的唯一標識符來替代原始數據中的姓名。匿名數據是指采用匿名方法對原始數據中的姓名和身份證號等標識符、疾病和財產狀況等敏感數據進行處理后所生成的數據。

按照是否應依法公開，可將個人數據分為依法應公開的個人數據、依法應不公開的個人數據。其中，前者主要是指政治人物的數據，以及企業、社會團體中依法應公開的個人數據。

開放政府數據中的個人數據類型具體見表1。

2.2 個人數據的隱私風險類型

隱私風險是指個人隱私數據面臨的各種危險，可分為如下幾種類型。

2.2.1 實名數據的披露風險

2.2.1.1 實名數據的未授權披露。從目前的實際情況來看，政府機構掌握著大量的個人數據，這些數據一般有兩個來源。一是政府機構直接從個人那里采集的，例如，在辦理身份證、駕駛證、護照、健康證及結婚證等由政府部門頒發的證件時，需要個人填寫姓名、性別、家庭住址和聯系方式等基本數據，有些還需要現場采集一些數據，如指紋、頭像、血型等有助于識別個人身份的數據，以及辨色力、四肢活動能力、是否有傳染病等身體狀況數據。二是政府機構出于監管、服務的需要，從企業、事業單位獲取的個人數據，例如，各級政府的衛生主管部門從醫院、疾病控制中心獲取的個人健康數據，公安部門從互聯網公司、通信運營商獲取的個人上網數據。

政府機構在披露上述數據時存在一定的隱私風險，主要是未經授權的披露。目前，很多國家都頒布了與個人隱私保護相關的法律法規，如我國的《中華人民共和國政府信息公開條例》第十四條明確規定，政府機構不得公開涉及個人隱私的政府信息，但經權利人同意公開或者政府機構認為不公開可能對公共利益造成重大影響的涉及個人隱私的政府信息，可以予以公開。該條例在實際執行過程中可能存在以下風險：一是在數據發布環節監管不力，導致未經權利人同意的個人數據被披露；二是對“不公開可能對公共利益造成重大影響的涉及個人隱私的政府信息”把握不準確，披露了實際上可以不披露的數據。

2.2.1.2 實名數據的低質量披露。如第一種情況所述，經權利人同意公開或者認為不公開可能對公共利益造成重大影響的涉及個人隱私的政府信息，政府機構可以對其進行披露，但可能存在披露數據質量不高從而導致用戶隱私風險加劇的情況。兩種數據質量問題可能會增加隱私風險：一是披露的個人數據不準確、不完整，如將個人的錯誤信息發布到經授權后公開披露的DUI逮捕數據庫中，可能會對該人的就業、信貸和保險前景產生不利影響[5]；二是披露的數據導致不公平，如果上述逮捕數據庫中收錄A地區的罪犯人數遠遠多于同一個城市中的B地區，而實際上兩個地區的罪犯人數相差并不大，可能會導致A地區的房價下降，或居住在A地區的受害者被懷疑成罪犯。

2.2.2 匿名數據的重新識別風險。如前所述，除了經權利人同意公開或者認為不公開可能對公共利益造成重大影響的涉及個人隱私的政府信息外，政府機構不得發布涉及個人隱私的政府信息。為了在不暴露個人隱私的前提下向社會各界提供盡可能多的政府信息，以便提高政府透明度，政府機構往往采取某種手段對個人隱私數據進行匿名化處理，并將處理結果作為非個人數據加以披露。這種方式可能存在如下風險。

一是自發性的重新識別，是指外界在沒有蓄意識別個人隱私的前提下從已披露的政府數據中識別出某個人，這種情況一般發生在匿名化后的數據中包含有罕見特征，外界能根據該特征推斷出匿名數據的主體，重新識別的風險與特征的稀有程度成正比。

二是蓄意性的重新識別，是指蓄意地從政府披露的、已經過匿名化處理的數據中識別出某個人，采用的手段主要有在同一個數據集合中進行記錄鏈接、屬性鏈接、表鏈接、概率攻擊、將匿名數據與其他公開可用的數據集或信息進行匹配等[6]。從事這種工作的人可能是研究專家、數據掮客等。現有研究已表明，這種蓄意性的重新識別完全可能實現，例如，Sweeney L[7]通過實驗發現，美國政府披露的某個數據集沒有將郵政編碼、性別和出生日期進行匿名化處理，其中87%的個人可以根據郵政編碼、性別和出生日期進行唯一性的重新識別。

以下兩個趨勢進一步增加了上述蓄意性的重新識別風險：一是智慧城市技術、重新識別科學、數據集市技術、大數據技術等科學和技術的不斷發展和進步，使得從匿名數據中識別個人的可能性提高；二是隨著開放政府數據項目的不斷成熟，其數據工作重點逐漸從僅僅提供歷史數據和統計數據轉向提供關于公民及其活動的細粒度、可搜索、可訪問和全面的“微數據”，使得重新識別的風險進一步提升[5]。

2.2.3 個人數據的使用風險。個人數據的披露及重新識別行為本身就存在風險，披露或重新識別之后的使用具有更大的風險性。無論是由政府機構依法或征得權利人同意主動披露的個人數據，還是從匿名化的政府數據中重新識別得到的個人數據，外界在使用這些數據時，都可能會對數據主體造成危害，而這些危害是個人數據使用風險的具體體現，至少包括以下幾種情況。

①寒蟬效應。如果社會公眾出于對政府的信任，積極地向政府提供所需的個人數據，而政府未能有效地加以保護，致使個人隱私泄露，則社會公眾可能不愿意再將個人數據提供給政府，這種現象稱為個人隱私領域的寒蟬效應[8]。當社會公眾不相信政府能保護個人隱私并進而不愿意與政府機構提供的信息系統進行交互時，政府所提供的公共服務質量以及社會公眾與政府之間的信任關系，都將受到一定程度的影響。

②過度使用。政府機構在收集個人數據時都有特定的目的，當將個人數據用于該特定目的之外的其他目的時，則稱之為個人數據的過度使用。目的限制是歐盟數據保護指令（Data Protection Directive）的一項關鍵原則[3]，按照該原則的要求，當政府機構個人數據采集的目的是A時，如果直接用于目的B或經過聚合后用于目的C或被其他機構用于目的D，即使后三種應用本身不存在違法行為，但由于改變了個人數據最初的采集目的A，則后三種行為也被認為違反了上述數據保護指令，屬于過度使用，對個人隱私產生了威脅。

③其他危害。個人數據被外界獲取并利用，可能導致個人的尷尬或焦慮。例如，某個數據分析中心對公安部門的犯罪記錄進行數據挖掘，盡管數據中心從公安部門獲得的是匿名數據，但仍然存在被重新識別的可能，相關人員可能會因為擔心其犯罪記錄被公安部門之外的人員獲悉而焦慮不安。此外，個人數據及其所含隱私的泄露，可能會影響個人的就業或與他人的關系，影響個人獲得服務（如保險服務）的能力，也可能造成財產損失或損害，可能導致被歧視、被頻繁騷擾或人身安全處于危險之中等。

3 基于開放政府數據全生命周期的個人隱私風險動態消解機制

政府機構的開放數據項目涉及數據的采集、披露、保存、訪問和使用等一系列環節，個人數據的隱私風險與每個環節都相關，需要在每個環節都建立相應的隱私風險消解機制。由于外部環境不斷發生變化，如可用于重新識別匿名數據的外部數據集越來越多、國家的相關政策法規不斷完善等，往往需要根據這些變化不斷重復某個環節的工作，甚至修改相應的消解機制。基于此，本文在現有相關研究的基礎上提出一種基于開放政府數據全生命周期的個人隱私風險動態消解機制，其基本原理如圖1所示。開放政府數據的全生命周期主要由數據采集、數據披露、數據保存、數據訪問和數據使用等5個階段組成，其中數據保存階段兼具銷毀不宜再保存數據的功能。在圖1中，空心箭頭指明了全生命周期的過程，單實線箭頭指明了各個階段的消解機制，單虛線箭頭描述了消解的動態性。

3.1 采集時期的隱私風險消解

政府機構可通過各種渠道采集個人數據，包括私營企業的社交媒體平臺，如微信等。該環節的隱私風險消解可通過兩項措施來完成：一是同意機制；二是公告機制。前者是指政府機構在采集個人數據時，必須征得個人的同意，后者是指政府機構必須將個人數據采集的類型、目的、范圍及數據的用途、使用方式等相關內容以公告的形式發布在數據采集網站的首頁，以便個人了解數據的最終去向及可能存在的隱私風險。數據采集中隱私風險消解的另一個常見機制是設置審查委員會來監督個人數據的采集，該委員會的職責是監督采集政策是否合理、同意機制和公告機制是否有效實施等。

3.2 披露時期的隱私風險消解

筆者認為，政府機構采集個人數據之后，即使不披露出去，也存在隱私泄露風險，但更大的風險來自披露時期。如2.2節所述，實名數據存在未授權披露和低質量披露的風險，匿名數據存在因去標識化不徹底而可能被重新識別的風險。為了有效降低這些風險，在披露之前應對這些風險進行評估，以決定是否披露、如何披露。如圖1所示，隱私風險評估包括4個步驟：①數據評估，包括識別個人數據中是否存在直接和間接標識符、是否存在敏感屬性、是否存在難以去標識化的信息、與其他數據集的可鏈接性等；②收益評估，包括可能受益的用戶群體、潛在收益的重要性、潛在收益變為現實的可能性等；③風險評估，包括可能的危險用戶群體、潛在的隱私風險及其嚴重程度、潛在風險變為現實的可能性等；④利弊權衡，在收益評估和風險評估的基礎上權衡利弊，并根據權衡結果來決定是否披露個人數據，實名披露還是匿名披露。

針對隱私風險評估的三種結果，即不能披露、可以實名披露和需要匿名披露，應分別采用不同的風險消解機制。對于不能披露的數據，由于保存下來仍然會有隱私泄露的風險，因此，可以直接銷毀。對于可以實名披露的數據，應采取授權審核機制來防止監管不力和判斷不準確所導致的未授權實名披露，同時采取質量監控機制來防止數據不準確、不完整、不公平所導致的低質量實名披露。對于需要匿名披露的數據，可以采用數據加密、去標識化、數據統計的方法進行數據匿名化，其中去標識化方法可采用添加噪音、排列變更、差分隱私、數據聚集、K匿名等多種手段[6]。

3.3 保存時期的隱私風險消解

從數據所有者的角度看，包含著個人隱私的政府數據保存在政府機構或其代理機構中，隱私被泄露的風險并不比保存在其他機構中的風險低。實名數據或匿名數據披露之后，除了采用常規的數據保護措施來保障個人隱私安全之外，還應考慮本地原始數據的去留對個人隱私安全的影響。可采用刪除機制和透明機制來降低原始數據的隱私泄露風險。刪除機制用于保證在數據披露之后的規定時間點上刪除原始數據。對于那些必須由政府機構長期持有的個人數據，可通過透明機制來保障個人的知情權，政府機構應允許個人通過某種手段（例如，電話查詢、網站查詢、手機APP查詢）查詢保存在政府信息系統中的個人原始數據。

3.4 訪問時期的隱私風險消解

外界對包含個人數據的政府數據進行訪問時，可以通過預設的訪問控制機制來降低訪問過程中的隱私風險，訪問許可證、可視化是兩個重要的舉措。前者可在現有開放數據許可協議如Creative Commons Attribution、UK Open Government License等的基礎上添加一項“禁止重新識別個人隱私數據”，將其作為新的開放政府數據使用許可協議，并放置在開放政府數據網站的顯著位置，以便禁止以重新識別個人隱私數據為目的的用戶訪問并獲取數據。后者通過查詢系統來限制外界對個人數據的訪問行為，具體辦法是政府機構通過API接口來開放政府數據，外界需要輸入查詢條件來獲取檢索結果，且該結果以可視化方式呈現，從而進一步降低了從中重新識別個人數據的風險。

3.5 使用時期的隱私風險消解

為了進一步降低個人數據在使用時期的隱私風險，可以建立必要的審計機制和問責機制。前者用于檢查個人數據如何被利用和共享，以及是否存在濫用行為，后者用于對侵犯隱私權的行為進行民事或刑事處罰。如圖1所示，在開放政府數據全生命周期的5個時期中，對個人數據隱私風險的控制都是動態的，當外部條件（如與個人隱私保護相關的國家政策、法律、法規，外部數據源）發生變化時，需要及時調整原有的隱私風險控制機制。

4 結語

開放政府數據中包含著大量的個人數據，應采取必要的措施來預防個人隱私的泄露。本文在分析開放政府數據中個人隱私風險類型的基礎上，提出了一種基于全生命周期的個人隱私風險動態消解機制，可對采集、披露、保存、訪問、使用時期的個人隱私風險進行動態性的預防和消解。

參考文獻：

[1]Open Definition 2.1[EB/OL].（2017-12-16）[2018-01-01].http：//opendefinition.org/od/2.1/en/ .

[2]Kucera J， Chlapek D. Benefits and risks of open government data[J]. Journal of Systems Integration，2014（1）：30-41.

[3]Graux H. Open government data： reconciling PSI reuse rights and privacy concerns [EB/OL]. （2017-11-16）[2018-01-01].https：//www.europeandataportal.eu/sites/default/files/2011_open_government_ data_reconciling_psi_re_use_rights_and_privacy_concerns.pdf.

[4]中國社會科學院語言研究所.現代漢語詞典[M].北京：商務印書館，1991.

[5]City of Seattle open data risk assessment[EB/OL].（2017-11-12）[2018-01-01]. https：//fpf.org/wp-content/uploads/2017/08/FPF-Seattle-Open-Data-Report_Proposed-Draft-August-2017.pdf.

[6]Chen R，Fung B C M，Mohammed N，et al. Privacy-preserving trajectory data publishing by local suppression[J]. Information Sciences，2013（1）：83-97.

[7]Sweeney L. Simple Demographics Often Identify People Uniquely[J]. Pittsburgh，2000 （2000）： 1-34.

[8]Zuiderveen Borgesius F，Van Eechoud M，Gray J. Open data， privacy， and fair information principles： towards a balancing framework[J]. Social Science Electronic Publishing，2015（30）：1-47.