政府數據開放中個人信息保護的范式轉變

摘 要：政府數據開放并非靜態的單一行為，而是動態的系統過程。借助數據生命周期理論，可以將政府數據開放解構為數據收集、轉換、存儲、公開和使用五個階段。根據《個人信息保護法》和《數據安全法》確立的最新規則，個人信息保護風險可能同時存在于政府數據開放生命周期的各個階段。然而，政府數據開放中現有的個人信息保護范式主要采取“基于結果的方法”，重點關注政府數據在公開時的狀態，依靠技術性匿名化手段，難以有效應對政府數據開放中的個人信息保護風險。與此相對應，“基于過程的方法”與政府數據生命周期、個人信息保護的程序化和數據安全全流程管理相契合，可以彌補“基于結果的方法”的不足。通過將風險預防原則和程序、技術、經濟、教育和法律等手段分散放置在政府數據開放生命周期的每個階段，能夠最大限度減少個人信息保護風險，在個人信息保護與政府數據開放之間實現動態平衡。

關鍵詞：政府數據開放;個人信息保護;基于過程的方法;匿名化

中圖分類號：DF36? 文獻標志碼：A

DOI：10.3969/j.issn.1001-2397.2022.01.09

一、問題的提出

隨著“數據”成為第五類生產要素，數據開放共享對于數字經濟發展和數字社會建設至關重要。政府部門維護著大量數據，這些數據已經成為一種寶貴的資源，可以被從個人到企業甚至其他政府機構的各種實體所利用。開放數據是釋放政府數據價值的重要方法，它意味著任何人都可以從任何渠道獲取以公開形式存在，并且滿足一些特定條件的政府數據。①事實證明，政府數據開放不僅具有經濟價值，如促進產業轉型、助推大眾創業等，而且還具有社會價值和政治價值，如提升公眾生活品質、增強政府透明度、優化公共決策水平等。[張濤：《藏智于民：開放政府數據的法理基礎與規范重塑》，載《電子政務》2019年第8期，第78-80頁。]政府數據開放的重要性也獲得了我國有關政策文件和立法的肯認，正逐漸向法制化方向發展。[張濤：《開放政府數據法制化的地方實踐與制度完善——以浙江等9個省市為分析樣本》，載《貴州大學學報（社會科學版）》2019年第5期，第78頁。]2015年8月，國務院印發的《促進大數據發展行動綱要》將“加快政府數據開放共享，推動資源整合，提升治理能力”確立為促進大數據發展的“主要任務”;2020年3月，中共中央、國務院印發的《關于構建更加完善的要素市場化配置體制機制的意見》將“推進政府數據開放共享”作為“加快培育數據要素市場”重要舉措。貴州、浙江、上海等地通過地方性法規、地方政府規章的形式對政府數據開放共享予以專門規范，如《貴州省政府數據共享開放條例》《上海市公共數據開放暫行辦法》等。

然而，政府數據開放在創造巨大價值的同時，也帶來潛在風險，主要包括：一是開放數據本身有可能泄露國家秘密、商業機密和個人隱私;二是開放數據被誤用或濫用后會損害公共利益及第三方利益;三是開放數據由于質量問題會對數據使用者和社會造成損失。[鄭磊：《開放的數林：政府數據開放的中國故事》，上海人民出版社2018年版，第21頁。]如何平衡政府數據開放的效用與風險，已經成為一個亟待解決的重要課題。[蔣冰晶、李少軍：《包容與合作：大數據時代政府數據開放的行政法治理念》，載《河北法學》2019年第12期，第103頁。]實證研究表明，與泄露機密信息（如個人信息和商業秘密）相關的風險已經成為政府部門拒絕開放共享其數據的主要理由。[See Bernd W. Wirtz， Robert Piehler & Marc-Julian Thomas et al.， Resistance of Public Personnel to Open Government： A cognitive theory view of implementation barriers towards open government data， 18 Public Management Review 1335， 1356（2016）.]隨著我國《個人信息保護法》和《數據安全法》的出臺，與個人信息保護相關的原則、規則以及機制得以確立，這意味著政府部門在處理數據開放共享與個人信息保護的關系時將面臨新的、更高的要求。[商希雪、韓海庭：《政府數據開放中個人信息保護路徑研究》，載《電子政務》2021年第6期，第113頁。]現有的研究成果主要聚焦于政府數據開放中的隱私保護，倡導將隱私法的一些原則和規則運用到政府數據開放中，以求在隱私利益和其他利益之間維持平衡。[鄒東升：《政府開放數據和個人隱私保護：加拿大的例證》，載《中國行政管理》2018年第6期，第75頁。]然而，傳統的隱私法過于關注個人信息的收集、使用或者披露的信息的性質，當具體的損害難以表述，甚至難以定位時，事后的、個性化的補救措施常常會失去效用。[王學輝、趙昕：《隱私權之公私法整合保護探索——以“大數據時代”個人信息隱私為分析視點》，載《河北法學》2015年第5期，第65頁。]

此外，個人信息與個人隱私之間存在明顯的區別[王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，載《現代法學》2013年第4期，第66-68頁。]，而現有的隱私法規范也未給政府數據開放提供明確的指引，這意味著我們需要一個更為復雜和精細的數據保護方法來為個人數據提供強有力的保護，并提高政府數據開放的效用。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 720-721（2016）.]本文便以此作為重點，探討相關問題，密切關注法學、數據科學、統計學等學科在個人信息保護方面的最新進展，并通過如下結構展開論證：首先，以數據生命周期理論為指引對政府數據開放進行階段性解構，并以《個人信息保護法》和《數據安全法》的有關規定，檢視不同階段可能存在的個人信息保護風險。其次，對政府數據開放中現有的個人信息保護模式進行評析，在此基礎上，嘗試以“基于過程的方法”來建構新的個人信息保護范式。最后，從不同角度就如何在政府數據開放中落實“基于過程的”個人信息保護機制提出建議。

二、政府數據開放中個人信息保護面臨的風險

從廣義上看，政府數據開放是一個動態的系統過程，而非靜態的單一行為。[See Judie Attard， Fabrizio Orlandi & Simon Scerri et al.， A Systematic Review of Open Government Data Initiatives， 32 Government Information Quarterly 399， 399（2015）.]在數據科學中，學者們用“數據生命周期”理論來描述數據從“產生”到“解釋”、從原始比特轉化為終端用戶價值的過程，并且強調在生命周期的每個階段都需要考慮數據隱私和數據倫理。[See Jeannette M. Wing， The Data Life Cycle， 1 Harvard Data Science Review 1， 1（2019）.]為了能夠對政府數據開放中個人信息保護面臨的風險有一個較為準確的把握，我們有必要以數據生命周期理論為指引對政府數據開放過程進行階段性解構，并具體分析每個階段可能存在的風險。

（一）政府數據開放過程的階段性解釋

在數據科學中，一般認為，“數據生命周期”概念的目標是“提供一種結構來組織與項目或者組織內的數據管理有關的任務和活動”。[Line Pouchard， Revisiting the Data Lifecycle with Big Data Curation， 10 International Journal of Digital Curation 176， 180（2015）.]這個概念被具體化為各種數據生命周期模型，涵蓋了數據從生產到歸檔（或者刪除）的整個生命周期，并將整個過程視為同一過程的下一次迭代，使其形成一個循環。這樣一個概念對于政府數據開放而言至關重要，因為它“提供了一個結構來考慮數據記錄在整個生命周期中需要執行的諸多操作”。[Alex Ball，Review of Data Management Lifecycle Models （version 1.0）， University of Bath， 2012， p.4.]

不過，數據生命周期理論仍面臨挑戰，那就是沒有統一的數據生命周期模型，因為數據生命周期在每個領域、場域或組織中都存在差異。盡管如此，仍然有一些學者嘗試開發出應用于政府數據開放的數據生命周期模型。德國波恩大學學者朱迪·阿塔德（Judie Attard）等人將政府數據開放生命周期（open government data life-cycle）劃分為“3個板塊9個階段”：預處理（pre-processing）板塊是準備要發布的數據，包括創建、選擇、協調、發布等4個階段;開采（exploitation）板塊是使用已發布的數據，包括互聯、發現、探索、挖掘等4個階段;維護（maintenance）板塊是維護已發布的數據，使其具有可持續性，包括管護。[See JSee Judie Attard， Fabrizio Orlandi & Simon Scerri et al.， A Systematic Review of Open Government Data Initiatives， 32 Government Information Quarterly 399， 403（2015）.]希臘愛琴海大學學者亞尼斯·查拉比迪斯（Yannis Charalabidis）等人在開放數據支持工作組提出的鏈接OGD（Open Government Data）生命周期的基礎上，開發了一個擴展的政府數據開放生命周期，它由9個階段構成，包括創建、預處理、策劃、存儲/獲得（store/obtain）、發布、檢索/購得（retrieve/acquire）、處理、使用和用戶協作。[See Yannis Charalabidis， Charalampos Alexopoulos & Euripidis Loukis， A Taxonomy of Open Government Data Research Areas and Topics， 26 Journal of Organizational Computing and Electronic Commerce 41， 56（2016）.]國內學者鮑靜等人將政府數據開放生命周期劃分為6個階段，包括數據生成和發布、權限配置管理、網上流轉、數據呈現、利用管理和更新管理。[鮑靜、張勇進、董占廣：《我國政府數據開放管理若干基本問題研究》，載《行政論壇》2017年第1期，第28頁。]黃如花等人則將政府數據開放生命周期劃分為5個階段，包括創建與采集、組織與處理、存儲與發布、發現與獲取、增值與評價。[黃如花、賴彤：《數據生命周期視角下我國政府數據開放的障礙研究》，載《情報理論與實踐》2018年第2期，第8頁。]

事實上，數據的不同用途可能對應不同的生命周期。例如，數據可能只是為了保存記錄而被歸檔，也可能被用于一次性的法律決策，還有可能在決策支持系統中被持續處理。當我們在開發一個特定的數據生命周期模型時，面臨著在通用性和復雜性之間進行權衡：數據生命周期模型越復雜，它就越能描述簡單個案，但在描述其他大數據使用案例時卻可能缺乏通用性。[See Simon Vydra， Andrei Poama & Sarah Giest et al.， Big Data Ethics： A Life Cycle Perspective， Erasmus Law Review， Issue 1， 2021， http：//www.erasmuslawreview.nl/tijdschrift/ELR/2021/1%20（incomplete）/ELR-D-20-00036.pdf（Last visited on July 11， 2021）.]為了在通用性與復雜性之間取得平衡，以現有的研究成果為基礎，本文采用的政府數據開放生命周期模型主要有兩個目標：一是模型足夠簡單，以概括其他法律領域中許多大數據用例的共同特征;二是模型足夠具體，以捕獲政府數據開放過程中有意義的、獨特的“階段”。在這個數據生命周期模型中，主要分為5個不同的階段：數據收集、數據轉換、數據存儲、數據公開和數據使用，下文將分別對這5個階段進行簡單描述，同時分析可能存在的個人信息保護風險。

（二）數據收集階段侵害個人信息權益

政府數據開放生命周期的第一個階段始于數據收集。本文在廣義上使用“收集”一詞，包括接受、提取或者獲取數據。數據無處不在，正以不易察覺又顯而易見的方式嵌入“我們日常生活的結構”中，而技術正在改變數據產生、收集、維護和利用的方式。[See Barbara L. Cohn， Data Governance： A Quality Imperative in the Era of Big Data， Open Data and Beyond，10 A Journal of Law and Policy for the Information Society 811， 811（2015）. ]在大數據時代，政府數據的收集主要呈以下特點：（1）政府數據收集的主體越來越多元化。除了傳統負責交通運輸、環境保護、治安管理、教育衛生、文化旅游等業務的行政機關在履行職責的過程中會收集各種數據外，代行政府管理職能的組織在履行職責的過程中也會采集各類數據。（2）政府數據收集的類型越來越多樣化。除了個人信息以外，環境數據、氣象數據、稅務數據、交通數據等也在政府數據收集的范圍之內。（3）政府數據收集的方式越來越隱蔽和便捷。在傳統的行政管理或者政務服務中，行政機關往往通過線下訪問以紙質文件等形式來采集數據。隨著數字政府建設的不斷推進，很多行政任務由線下轉為線上辦理，行政機關可以借助移動應用程序、生物識別設備等快速、無接觸地采集數據。（4）政府數據收集的途徑更加多元。行政機關除了可以通過在履行法定職責時直接收集數據外，還可能從第三方數據中介組織或者其他政府部門收集數據。

大數據技術雖然給政府數據收集帶來了諸多革命性變革，但也存在違反《個人信息保護法》的風險，主要體現在以下幾個方面：

1.過度收集個人信息?！秱€人信息保護法》第34條規定，國家機關為履行法定職責收集個人信息，不得超出履行法定職責所必需的范圍和限度。實踐中，一些政府部門在收集個人信息時，往往采取“應采盡采、應歸盡歸”的方法，超越職責和權限收集個人信息。2020年12月，APP違法違規收集使用個人信息治理工作組發布了35款存在個人信息收集使用問題的APP，其中，安徽省數據資源管理局負責運營的“皖事通”存在“未明示收集用戶詳細地址、支付寶賬號、社保賬號等個人信息的目的、方式和范圍”。[申佳平：《35款APP存在個人信息收集問題 “鄂匯辦”等多個政務平臺被通報》，載人民網2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

2.未履行告知義務收集個人信息?！秱€人信息保護法》第35條規定，國家機關為履行法定職責處理個人信息，應當履行告知義務。在APP違法違規收集使用個人信息治理工作組發布的35款存在個人信息收集使用問題的APP中，由湖北省人民政府主辦、湖北省楚天云有限公司運營的“鄂匯辦”存在“未明示收集的人臉特征等個人信息的目的、方式和范圍，且收集時未同步告知用戶其目的”。[申佳平：《35款APP存在個人信息收集問題 “鄂匯辦”等多個政務平臺被通報》，載人民網2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

3.未經同意收集個人信息。根據《個人信息保護法》第13條的規定，國家機關不需取得個人同意而處理個人信息的條件是“為履行法定職責或者法定義務所必需”，這意味著若收集的個人信息并非履行法定職責所必需，則仍然需要取得個人同意。在前面提到的“皖事通”和“鄂匯辦”都存在未經同意收集個人信息的問題，如“鄂匯辦”在“用戶明確表示不同意打開位置權限后，仍頻繁征求用戶同意，干擾用戶正常使用”。[申佳平：《35款APP存在個人信息收集問題 “鄂匯辦”等多個政務平臺被通報》，載人民網2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

（三）數據轉換階段侵害個人信息權益

數據轉換（data transformation）是將一種格式或者狀態的數據轉換為對另一種目的有用的格式或狀態的過程。[朱東妹：《數據倉庫與數據挖掘概念、方法及圖書館應用》，安徽師范大學出版社2017年版，第38-39頁。]數據轉換的目的是使數據可使用、可管理，并符合現行的數據治理標準，一旦數據被轉換，數據使用者就可以使用分析方法，從中獲得可信賴的、可操作的信息。數據轉換是“提取、轉換和加載”過程的中間行動，為分析準備數據，而“提取、轉換和加載”是一個數據管道，用于從各種來源收集數據，根據業務規則轉換數據，并將其加載到一個目標數據存儲。[羅會蘭：《數據提取、轉換和裝載技術研究》，載《計算機工程與設計》2004年第5期，第764頁。]數據轉換通常涉及各種操作，如過濾、排序、聚合、連接數據、清洗數據、重復數據和驗證數據等;數據轉換通常也包括一系列的改變，轉換可能是結構性的或者語義性的，也可能是有損的或者無損的。[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2020（2015）.]

就政府數據開放而言，數據轉換至關重要，原因主要有兩點：第一，數據轉換是政府數據達到可機讀、非專屬等數據標準的必經階段。為了最大限度發揮政府數據的效用，各國政府或者國際組織在制定政府數據開放政策、戰略、立法或者倡議時均對數據標準作出規定，要求政府數據在公開時應當滿足可機讀、非專屬、以接口形式提供等標準。[See Ashit Talukder， Big Data Open Standards and Benchmarking to Foster Innovation， 10 A Journal of Law and Policy for the Information Society 799， 802-803（2015）.]政府數據來源廣泛、類型眾多，結構性數據與非結構性數據并存，要達到預期的數據標準，需要利用各種技術手段，進行數據轉換。第二，數據轉換是政府數據由收集階段邁入存儲階段的中間橋梁。如前所述，政府部門借助各種信息技術、媒介或者平臺從各種來源收集數據，如官民互動數據、行政文書、數據庫或者由機器與傳感器產生的流媒體數據，這些數據只有經過適當轉換后，才能加載到云數據存儲庫。

與數據收集相比，數據轉換雖然并不直接與數據主體打交道，但也可能因為一些主觀或客觀因素的影響，侵害個人信息權益，其中最主要的風險是可能違反準確性義務（原則）。從國內外個人信息保護立法的現狀與趨勢來看，準確性都被視為一項重要的原則或者義務。歐盟《通用數據保護條例》第5條第1款第（d）項規定，個人數據必須準確、及時、保持更新。新加坡《個人數據保護法》第23條規定，機構應當作出合理努力以確保由機構或者代表機構收集的個人數據是準確且完整的。我國《個人信息保護法》第8條規定：“處理個人信息應當保證個人信息的質量，避免因個人信息不準確、不完整對個人權益造成不利影響?！痹趯嵺`中，大部分與數據打交道的人都知道，利用數據轉化歪曲事實是有可能的。達萊爾·哈夫的經典之作《統計數字會撒謊》描述了數據可以被歪曲的事實，同時創造一個事實的虛假表象，方法主要包括主觀的數據選擇、范圍的操控、部分數據點遺漏，這些方法直到今天還在使用。[[美]DAMA國際（Data Management International）：《DAMA數據管理知識體系指南》，DAMA中國分會翻譯組譯，機械工業出版社2020年版，第34頁。]2021年5月，江蘇南通一位市民在查詢個人征信時發現，其征信報告“工作單位”一欄被寫上了“專業做×十年”，該事件引發社會公眾對征信機構公信力的質疑，其主要原因是征信機構在處理個人信息時未履行準確性義務。[《如此兒戲！女子個人征信報告被寫“專業做雞十年”》，載澎湃新聞2021年5月25日，http：//m.thepaper.cn/baijiahao_12853184。]

（四）數據存儲階段侵害個人信息權益

數據存儲是指記錄和保存數字信息，如應用程序、網絡協議、文檔、媒體、地址簿、用戶偏好等背后的比特和字節，用于未來的操作。數據存儲是大數據的核心組成部分，也是政府數據開放生命周期中的重要階段。[See Gherardo Carullo & Christian Ernst， Data Storage by Public Administrations， 26 European Public Law 545， 545（2020）.]在某種程度上，數據的創造以及大數據概念的誕生，正是計算機的發展、數字數據取代模擬數據的進步，以及處理和存儲數據的速率提高等因素的結果。[[美]道恩·霍爾姆斯：《大數據》，李德俊、洪艷青譯，譯林出版社2020年版，第14頁。]在大數據技術發展的早期，數據存儲的成本十分高昂，通常以模擬數據的方式進行代替，如縮微拍攝、攝影以及紙媒等。隨著技術的進步，計算環境解決了存儲模擬數據方面的諸多難題，目前，常見的數據存儲類型包括軟件定義存儲、云存儲、網絡附加存儲、對象存儲、文件存儲、塊存儲等。數據存儲技術的發展與廣泛運用，也對政府數據存儲產生了深遠影響，使得計算環境中的政府數據具有以下特征：第一，數據可以得到完整存儲;第二，數據變得易于復制;第三，數據有高度的可訪問性;第四，較之物理存儲，數據存儲的成本顯著降低。[[美]拉塞爾·沃克：《從大數據到巨額利潤》，王正林譯，廣東人民出版社2019年版，第8頁。]

盡管政府數據存儲為后續的數據公開、使用奠定了基礎，但仍然可能對個人信息權益造成侵害，主要體現在以下幾個方面。

1.無限期存儲數據可能違反存儲限制。從國內外個人信息保護立法的現狀來看，存儲限制是一項重要的原則。歐盟《通用數據保護條例》第5條第1款第（e）項對“存儲限制”進行了規定，個人數據允許以數據主體可識別的形式保存，保存時間不得超過處理個人數據所需的時間。我國《個人信息保護法》第19條規定：“除法律、行政法規另有規定外，個人信息的保存期限應當為實現處理目的所必要的最短時間。”在實踐中，各種類型的數據庫不斷建立，如社會保障信息數據庫、個人身份信息數據庫、公共信用信息數據庫、車輛識別信息數據庫等，而不同類別的數據所需的保存期限不同。在大數據時代，各種基于數據驅動的預測性技術其背后的運行邏輯便是“從過去預測未來”[[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數據時代》，盛楊燕、周濤譯，浙江人民出版社2013年版，第16頁。]，在這種思維的主導下有些個人信息的保存期限可能會被有意或者無意地被延長，這樣就可能會違反存儲限制。

2.可能造成數據泄露，違反安全義務。從國內外的個人信息保護立法現狀來看，數據泄露問題成為重要的規范內容，而數據安全義務也得到不斷強化。我國《數據安全法》對“數據安全”進行了系統規定，明確了許多義務和機制。我國《個人信息保護法》第9條將“安全”作為一項重要原則，要求個人信息處理者應當采取必要措施保障個人信息的安全，第36條和第40條進一步規定了“安全評估”機制。在實踐中，政府數據泄露的風險可以大致分為三個方面：一是意外數據泄露，即由于某些內部或外部原因，數據庫中的數據被他人獲取，導致某些敏感數據被公布，造成隱私侵犯;二是無意中的數據泄露，即因為內部人員操作失誤，違反安全政策，引發數據泄露，導致敏感數據被非法盜取、修改、復制等;三是惡意數據泄露，即外部有針對性的攻擊，如黑客攻擊、計算機病毒、“信息間諜”等，導致數據庫信息泄露。[See A. Michael Froomkin，Government Data Breaches， 24 Berkeley Technology Law Journal 1019， 1019（2009）.]數據泄露已經成為近年來導致社會提升對個人信息保護問題關注度的重要誘因，原因在于數據泄露造成的危害可能在短期內不會立即顯現，但隨著時間的推移卻可能“積少成多，積重難返”，引發“身份盜竊”、欺詐或者名譽受損等風險，而這些風險會進一步引發社會公眾的焦慮情緒，甚至可能引發公眾對政府收集數據的“寒蟬效應”。[See Daniel J. Solove & Danielle Keats Citron， Risk and Anxiety： A Theory of Data-Breach Harms， 96 Texas Law Review 737， 737（2018）.]

（五）數據公開階段侵害個人信息權益

數據公開是政府數據開放的核心階段，在某種意義上也可以稱為狹義的政府數據開放，這也是研究政府數據開放的學者最為關注的階段，諸如數據標準、數據質量、數據門戶等問題都與數據公開有關。從廣義上看，數據公開實際上是雙向的，既包括政府部門主動或者依申請發布各種政府數據，也包括數據主體或者其他個人及組織訪問與之相關的政府數據。

在政府數據公開階段，也存在侵害個人信息權益的風險，主要體現在以下幾個方面。

1.敏感個人信息被過度披露。從國內外個人信息保護立法內容來看，“識別”都是個人信息的核心要素。[程德理、趙麗麗：《個人信息保護中的“識別”要素研究》，載《河北法學》2020年第9期，第45頁。]在信息隱私監管中，個人可識別信息（Personally Identifiable Information，簡稱PII）是核心概念之一，隱私法的范圍通常取決于是否涉及PII，適用法律背后的基本假設是，如果不涉及PII，就不可能有隱私損害。[See Paul M. Schwartz & Daniel J. Solove， The PII Problem： Privacy and a New Concept of Personally Identifiable Information， 86 New York University Law Review 1814， 1814（2011）.]我國《個人信息保護法》專門對“敏感個人信息的處理規則”予以規定，其背后的主要考量是敏感個人信息一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。在實踐中，政府數據公開階段經常出現過度披露敏感個人信息的現象，侵犯個人信息權益。2021年4月，最高人民檢察院發公布了11件個人信息保護公益訴訟典型案例，其中，在“江西省某縣人民檢察院督促規范政府信息公開行政公益訴訟案”中，江西省某縣農業農村局在官方網站公布農機購置補貼情況的政府信息時，有1044人的身份證號碼、家庭住址、銀行賬戶、手機號碼等個人信息被完整公開。[《檢察機關個人信息保護公益訴訟典型案例》，載最高人民檢察院官網，https：//www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.sht#2]

2.過于關注個人而忽略群體隱私保護。從個人隱私保護到個人信息保護，存在一種“原子化”（atomistic）的本體論，即單獨照顧每個成員，群體也會自動沒事。換言之，只要我們保護好可識別個人的個人信息，對群體的保護就會自行解決。[See Luciano Floridi， Open Data， Data Protection， and Group Privacy， 27 Philosophy & Technology 1， 2（2014）.]這從國內外個人信息保護立法對“個人信息”或者“個人數據”的界定以及與之相關的一系列保護機制可以得到印證。我國《個人信息保護法》第4條規定，個人信息是與“已識別或者可識別的自然人有關的各種信息，不包括匿名化處理的信息”。然而，我們應該看到，開放數據的友好和非友好用戶可能并不關心具體的“張三”或者“李四”，而是關心這些人（不管他們是誰）是否屬于高（低）收入、是否經常去高（低）消費地方消費或者是否屬于患有某種疾病等。在先進的數據收集技術和分析技術的加持下，“群體”的概念比以往任何時候都更有意義：首先，更多關于現有群體的信息得以發現和披露;其次，可以在個人不知情的情況下，通過“提取”數據中的群體特征，將他們推斷為某一群體的成員;最后，可以在數據分析階段發生不為人知的“分組”過程，而分析者本人并不知情。[See Lanah Kammourieh， Thomas Baar & Jos Berens， et al.， Group Privacy in the Age of Big Data， in Linnet Taylor， Luciano Floridi & Bart van der Sloot（eds.）， Group Privacy： New Challenges of Data Technologies， Springer， 2017， p.38.]在這種情況下，個人隱私有可能得到有效保護，但群體本身卻得不到充分保護。

（六）數據使用階段侵害個人信息權益

政府數據開放的重要目的之一是通過政府數據的“再利用”進而激發政府數據所蘊含的各種價值。不過，一旦政府數據從正式的數據庫系統中釋放后，可以有效應用的一系列控制措施就可能發生變化，個人信息保護風險也會隨之發生演變。具體而言，主要體現在以下幾個方面：

1.數據使用違反目的限制。目的限制原則是個人信息保護的基本原則之一，被稱為個人信息保護法的“帝王條款”，我國《個人信息保護法》第6條專門對該原則進行了規定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。”在政府數據開放中，政府部門在收集個人信息時，可能是嚴格按照“目的限制原則”的規定，具有明確、合理的目的。然而，一旦包含個人信息的政府數據隨著政府數據公開而進入使用階段，則有可能違反目的限制原則，原因在于使用政府數據的主體可能性質各異，既有企業，也有個人，還有其他政府機構或者研究機構，而這些使用者處理數據的目的也不盡相同，使用數據有可能違背政府最初收集數據時所宣示的目的。例如，包含個人信息的醫療保健數據，其最初處理目的可能在于改進與個人相關的醫療保健服務，但如果保險公司獲得了這些數據，那么這些數據就很有可能被用來改進和支撐保險公司的市場營銷策略。[See Liane Colonna， Privacy， Risk， Anonymization and Data Sharing in the Internet of Health Things， 20 Pittsburgh Journal of Technology Law and Policy 148， 148（2020）.]

2.匿名化數據被“去匿名化”，導致個人信息被“再識別”。為了避免政府數據公開給個人隱私造成的侵害，很多政府數據開放倡議或者立法都要求政府部門在公布包含個人信息在內的政府數據時，應當進行匿名化處理或者去標識化處理。[張濤：《大數據時代個人信息匿名化的規制治理》，載《華中科技大學學報（社會科學版）》2019年第2期，第76頁。]盡管匿名化處理使個人信息的“再識別”變得異常困難，但卻并非完全不可再識別，原因主要有兩個方面。一方面，匿名化技術本身可能存在缺陷，導致個人信息的匿名化并不徹底，出現“偽匿名化數據”;另一方面，盡管匿名化技術在不斷改進，但是，去匿名化技術亦在不斷發展，曾經或現在成功實現匿名化的個人信息，也有可能因為去匿名化技術的使用而再次被識別。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701， 1701（2010）.]

3.不同數據的聚合，引發新的隱私風險。政府數據的使用者（消費者）獲得的政府數據可能來自不同的政府部門，屬于不同的數據類型，孤立地看這些單一的數據集，可能并不存在侵犯隱私的問題。然而，當多個不同來源的數據被整合到一個數據集時，政府數據使用者便可以作出新的推斷：數據的“組合”可以創建關于個人的新數據。在預測模型和自主學習算法的幫助下，數據使用者可以在個人并未主動提供的情況下生成個人信息，而這些信息可能準確預測某人未來生活的細節。[[荷蘭]瑪農·奧斯特芬：《數據的邊界——隱私與個人數據保護》，曹博譯，上海人民出版社2020年版，第49頁。]

三、以“基于過程的方法”應對個人信息保護風險

面對政府數據開放中可能存在的個人信息保護風險，現有的法律框架采取了“基于結果的方法”，即重點關注政府數據在公開之時的“狀態”或者“性質”，最典型的便是要求對個人信息進行“脫敏處理”，使之變為“匿名數據”或者“假名數據”。本文認為，結果保護范式下以“技術性匿名化”為核心的保護手段并不足以應對政府數據開放中存在的或隱藏的個人信息保護風險，應當以風險預防原則重新確立政府數據開放中個人信息的保護理念，在此基礎上，以“基于過程的方法”重塑政府數據開放中個人信息保護范式。

（一）結果保護范式下“技術性匿名化”之不足

現有的法律框架在對政府數據開放中的個人信息保護問題進行規范時，主要受到傳統隱私法的影響，重點關注行為是否會產生某種可見的損害后果，其背后的邏輯是：“可識別性”是個人信息的核心標準，要想避免侵犯個人信息權益，那么通過技術手段“消除”政府數據中個人信息的“可識別性”就可以解決問題。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 726-727 （2016）.]在這種結果主義思維的主導下，“匿名化”或者“去標識化”等技術手段逐漸獲得法律規范的肯認[張濤：《歐盟個人數據匿名化治理：法律、技術與風險》，載《圖書館論壇》2019年第12期，第91頁。]，并成為解決政府數據開放中個人信息保護問題最為重要的手段之一，逐漸演化為“發布即遺忘模式”，即去標識化的個人信息可能會通過互聯網向公眾發布，一旦以這種方式發布，一個組織可能很難或者不可能召回這些信息。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701， 1711-1712 （2010）.]

盡管匿名化技術在政府數據開放共享中確實為保護個人信息提供了重要支撐，但理論界與實務界圍繞匿名化展開的論戰也一直在持續。不看好匿名化的學者認為，長期以來，我們一直認為匿名化能夠“拯救我們”，然而，科學研究已經表明，隱藏在匿名數據中的個人能夠被“再識別”或者“去匿名化”，因此，監管機構必須迅速而有力地應對這種顛覆性的技術變革，以恢復法律的平衡，保護我們免受迫在眉睫的重大傷害。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701，1723 （2010）.]支持匿名化的學者認為，一方面，匿名化的批判者對“數據公地”的社會效用存在誤解，并大大低估了其價值，如果政策制定者終止或者限制公開發布非識別數據集，社會將遭受新的數據“公地悲劇”;另一方面，匿名化的批判者錯誤地解釋了計算機科學文獻，過度強調了匿名化的無用性，事實上“去匿名化”或者“再識別”風險主要是理論上的，數據共享所帶來的現實風險可以忽略不計。[See Jane Yakowitz， Tragedy of the Data Commons， 25 Harvard Journal of Law & Technology 1， 1（2011）.]

本文認為，上述觀點均有一定的合理性，但卻是相反的兩個極端，并且幾乎都將分析完全限制在個人信息在“公開”這個時點是否處于“匿名”狀態，低估了政府數據開放中個人信息保護風險及其應對機制的復雜性，導致“匿名化技術”必須承擔平衡個人信息保護和使用的全部“重量”，造成功能過載?？傮w而言，本文認為，以“技術性匿名化”為中心的結果保護范式難以有效應對政府數據開放生命周期不同階段的個人信息保護風險，也難以擔負平衡個人信息保護與使用的大任，具體理由如下。

1.匿名化與數據再利用之間存在沖突，無法實現預期的平衡目標。如前所述，匿名化已經成為世界主要國家個人信息保護法治用以解決平衡個人信息保護與使用問題的重要方法。這種方法在理論上運行良好，但前提是來自數據的輸出潛力仍然保持其效用，而實際情況卻并非如此。這是因為通過使用自動化算法軟件尋找模式（即鏈接數據點之間的關系），可以使從分析數據集中獲得的價值或者知識最大化。然而，匿名化的目的是解除這種數據點之間的聯系，因為它們與可以收集到的關于特定個人及其身份的信息有關。[See Sophie Stalla-Bourdillon & Alison Knight， Anonymous Data v. Personal Data - False Debate： An EU Perspective on Anonymization， Pseudonymization and Personal Data， 34 Wisconsin International Law Journal 284， 285（2016）.]這便引發了一個問題：政府部門如何確保對自己擁有的數據進行有效的匿名化，同時保留這些數據的效用，以便將來可能向第三方披露，并由第三方進一步處理？

2.匿名化只關注數據本身的狀態，忽視數據保護的過程。如前所述，以匿名化技術為核心的結果保護范式主要受到傳統隱私法的影響，但是傳統隱私法的許多策略并不真正適合于與政府數據開放有關的具體場景，因為大多數現有的隱私法都是采取一種“原子主義”方法論，將著力點放在特定的信息主體和離散的信息類型，而不是整個數據集。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 726（2016）.]這種“原子主義”方法論也影響到現有的個人信息保護立法，導致與“去標識化”制度或者數據披露有關的法律規則都與數據本身的“輸出”有關。我國《個人信息保護法》和歐盟《通用數據保護條例》都將“匿名數據”排除在個人信息保護范圍之外，美國《健康保險可攜性和問責法》（The Health Insurance Portabicity and Accountability Act，HIPAA）的去標識化制度也取決于數據是否缺乏某些屬性。這種保護方法忽視了信息運行的周期性、過程性特征，將關注點聚焦于數據本身在公開這一時點的狀態，無法滿足個人信息保護的程序性要求。

3.匿名化強調“技術制衡技術”，忽視技術與其他工具的協同。面對新興技術給法律規范體系帶來的沖擊，囿于法律本身的滯后性，一些學者主張轉變監管思路，采用“技術制衡技術”的方法。[季衛東：《數據、隱私以及人工智能時代的憲法創新》，載《南大法學》2020年第1期，第1頁。]匿名化技術在個人信息保護中的重要地位得以確立，也受“技術制衡技術”思維的影響。然而，這也帶來一個弊端，那就是保護方法上的“一刀切”，引發的問題便是過度保護或者保護不足。此外，要求政府部門在開放數據之前進行匿名化處理，容易營造兩種引人誤解的表象：一是匿名數據肯定是已經滿足適當保護措施的數據;二是匿名化處理僅僅是政府部門的責任。事實上，由于政府數據開放本身是一個系統性工程，影響因素、利益相關者眾多，這就意味著我們在應對個人信息保護風險時，除了要發揮技術的作用外，還要充分激發法律、教育、經濟等手段的作用;除了政府部門要承擔責任外，信息主體、社會公眾、政府數據的再使用者等主體也應當積極參與個人信息保護。

需要說明的是，本文對以技術性匿名化為核心手段的結果保護范式提出批評意見，并非是對匿名化技術的全盤否定，而是不贊同政府部門在政府數據開放過程中將保護個人信息的重任全部放置在匿名化技術上，忽視了在其他階段采用不同的個人信息保護手段，以降低個人信息保護不足的風險。

（二）以風險預防原則確立個人信息保護理念

近年來，“風險”概念開始在個人信息保護理論與實踐中得以擴散，風險管理已經成為確保數據得到適當處理和個人基本權利得到有效保護的重要工具。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 95（2015）.]面對技術風險，法律規范通?？梢詤^分為兩種面向：一種是壓制性的（repressive），即在事故發生后才開始行動，所關注的問題是：是否有人應當對該事故負責？是否需要有人支付費用（民法）？是否有人會受到懲罰（刑法）？另一種是預防性的（preventive），即試圖規范風險活動，以避免事故發生，這主要是行政法的目的，它包含成百上千的法律和條例，傾向于限制特定技術活動的風險。[See Hansjrg Seiler， Harmonised Risk Based Regulation — A Legal Viewpoint， 40 Safety Science 31， 31（2002）.]就個人信息保護領域而言，預防性法律規范呈現爆炸式增長，尤其是歐盟《通用數據保護條例》制定出臺以后，個人信息保護法制的“風險化”已經成為一種趨勢。在歐盟，個人數據保護法的“風險化”主要體現在兩個方面：一是在實踐層面，轉向基于風險的數據保護執法和合規;二是在更廣泛而堅實的規制層面，轉向了風險規制。[See Milda Macenaite， The ‘Riskification’ of European Data Protection Law through a two-fold Shift， 8 European Journal of Risk Regulation 506， 506（2017）.]在我國，“風險”一詞在《個人信息保護法》中出現了4次，在《數據安全法》中出現了10次，《個人信息保護法》第11條確立了“風險預防”原則，《數據安全法》第22條要求建立集中統一、高效權威的“數據安全風險評估機制”。

需要指出的是，盡管風險管理已經成為遵守個人信息保護法、確保個人信息得到適當處理和個人基本權益得到有效保護的關鍵工具，并且已經初步實現了法制化。然而，在實踐中，諸多風險管理過程或者工具往往還是非正式的、非結構化的，未能充分利用其他領域已經廣泛接受的風險管理的諸多原則和工具，因此基于風險的方法（risk-based approach）仍然沒有為個人信息保護實踐或者法律提供廣泛而堅實的基礎。[See Maria Eduarda Gonalves， The Risk-Based Approach under the New EU Data Protection Regulation： A Critical Perspective， 23 Journal of Risk Research 139， 139（2020）.]對于我國現階段的個人信息保護而言，這既是機遇，也是挑戰。一方面，我們可以充分吸收借鑒其他領域長期積累的風險管理經驗，開發一個現代化的、有效的風險管理框架;另一方面，我們需要積極采取行動，以跟上新興技術的巨大變化。一般認為，風險管理主要涉及三個關鍵要素：一是識別和評估危害和其他負面影響的系統過程;二是避免或者減輕那些不能用利益和其他積極影響來證明的危害;三是接受和管理剩余風險。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 96-97（2015）.]本文認為，政府部門應當在政府數據開放過程中建構一個現代化的風險管理框架，同時開發有效的風險管理工具，以“風險預防”來重新確立政府數據開放中個人信息保護的理念與目標。一方面，基于風險的政府數據開放制度契合當前個人信息保護的趨勢;另一方面，基于風險的政府數據開放制度將幫助我們超越關于匿名化有效或者無效的爭論。

1.在政府數據開放過程中應當考慮不同的風險因素。風險管理從本質上講是一種平衡測試，它需要考慮諸多因素，包括個人的基本權益、擬議的處理將損害個人的可能性、發生損害的嚴重程度、可用來降低風險的措施、數據控制者的權益等。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 98（2015）.]因此，在建構風險管理框架時，政府部門也需要確定不同的風險因素，以確定在公開政府數據時需要采取何種保護措施。參照美國國家標準與技術研究院（National Institute of standards and Technology，NIST）發布的《個人信息去標識化》（De-Identification of Personal Information）報告[See National Institute of Standards and Technology， De-Identification of Personal Information， https：//nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf（Last visited on July 11， 2021）.]，本文認為，在政府數據開放過程中至少應當考慮以下風險因素：一是政府數據的數量，信息量會影響重新識別和敏感屬性披露的風險;二是政府數據的敏感性，生物識別信息、行動軌跡信息、銀行賬戶信息等是比較敏感的，也更有可能成為攻擊目標;三是政府數據的接收者，至少包括內部接收者、受信任的接收者和普通公眾三種不同類型的數據接收者，并且風險呈遞增趨勢;四是政府數據的用途，數據的不同用途可能會給攻擊者帶來不同的再識別動機;五是數據的公開方式，不同的公開方式引發的風險不同，受控制的公開比無條件開放的風險低。

2.在政府數據開放過程中應區分不同的風險等級。與其他領域的風險管理相似，個人信息保護中的風險管理也應當根據不同的風險因素、管理目標，確定不同的風險等級。歐盟《通用數據保護條例》采用了基于風險的數據保護方法，鼓勵控制個人數據的組織實施與其數據處理活動的風險水平相適應的保護措施：首先是高風險，《通用數據保護條例》對從事“高風險”活動的數據控制者提出了更高的要求。具體而言，在從事這種活動之前，數據控制者可能被要求咨詢數據保護機構并進行詳細的隱私影響評估;在發生數據泄露的情況下，數據控制者可能被要求通知可能受影響的個人。其次是風險，對于沒有被標記為“高風險”的活動，數據控制者仍然必須采取與該活動的風險水平相適應的措施。例如，數據控制者被要求“確保與風險相適應的數據安全水平”，并實施基于風險的措施以遵守一般法律義務。最后是低風險，如果對數據主體的風險很小，數據控制者可以免于向數據保護機構通報數據泄露的要求。盡管《通用數據保護條例》沒有提及數據控制者應當如何評估和量化風險，但是這種基于風險等級采取不同控制措施的思路仍然值得我國政府部門在建構政府數據開放的風險管理框架時予以借鑒。

（三）以“基于過程的方法”重塑個人信息保護模式

“基于過程的方法”（process-based approach）是以數據生命周期為基礎，全面、動態地考察政府數據開放整個過程的一種保護模式，它為我們觀察政府數據開放提供了一種全新的視角，改變了傳統結果保護范式的認知與適用局限。從邏輯與事實的關聯性來看，“基于過程的方法”與政府數據開放中個人信息保護之間具有內在關聯和外在契合。

1.“基于過程的方法”與政府數據開放生命周期之間存在內在契合。如前所述，政府數據開放本身就是一個動態的過程，遵循了數據生命周期的一般規律，可以分為收集、轉換、存儲、公開和使用等5個階段，這與“基于過程的方法”本身所主張的全面、動態的觀察視角相吻合。

2.“基于過程的方法”與政府數據開放的風險管理相契合?！盎陲L險的方法”已經逐漸成為個人信息保護領域的重要方法，風險管理也成為關鍵工具，而風險管理本身就包括風險識別、風險量度、風險評估、風險應對等階段，這與“基于過程的方法”存在外在關聯。

3.“基于過程的方法”與當前個人信息保護的程序主義進路相吻合。從國內外個人信息保護立法的現狀來看，無論是信息主體享有的權利，還是信息處理者應當承擔的義務，以及最終的權利救濟機制，都出現了大量的程序性規則。[See Antonella Galetta & Paul De Hert， The Proceduralisation of Data Protection Remedies under EU Data Protection Law： Towards a More Effective and Data Subject-oriented Remedial System？ 8 Review of European Administrative Law 125， 125（2015）.]個人信息保護已經成為一個不斷識別、預防、降低風險的過程，即使信息處理者沒有實際的違規行為，只要其未能采取行業內普遍認可的措施來充分降低風險，其就有可能承擔法律責任[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 730（2016）.]，這與“基于過程的方法”的核心理念是相吻合的。

4.“基于過程的方法”與數據安全全流程管理制度是相吻合的。我國《數據安全法》第27條規定，開展數據處理應當“建立健全全流程數據安全管理制度”，這意味著數據安全管理應當融入整個數據生命周期，這與“基于過程的方法”的基本主張是一致的。

對于政府數據開放中的個人信息保護而言，一個更加具有可持續性的方法是將重點側重于保護所需的前提條件和過程。政府部門在制定政府數據開放策略時，應當以更為全面的、動態的視角來看待政府數據開放過程，而不是僅僅關注政府數據在公開這個時點所處的狀態。本文認為，“基于過程的方法”可以為政府數據開放與個人信息保護提供一個平衡框架，它可以考慮不同的信息類型和保護手段，最終實現全生命周期的協同保護。

第一，區分不同的信息類型。在政府數據開放中，根據信息類型不同，會產生不同程度的個人信息保護風險。[宋爍：《論政府數據開放中個人信息保護的制度構建》，載《行政法學研究》2021年第6期，第85頁。]為了平衡個人信息保護與政府數據效用之間的關系，可以區分四種不同的信息類型：（1）原始個人信息，即未經處理或者簡化的信息，包括姓名、身份證號碼、電話號碼等。目前，絕大多數國家或地區的政府數據開放政策都規定，開放數據通常不應當包含原始個人信息。當然，在某些特定情況下，原始個人信息也可以公開，條件是公開的公共利益超過了個人利益。（2）假名化信息，這意味著一個人的身份識別信息被隨機的唯一標識符所取代。（3）匿名化信息，這是不再可識別的信息，從數據集中刪除了所有個人可識別信息，并將可識別信息轉化為匿名。不過，隨著大量數據的積累，數據挖掘者可以從數據集中發現隱藏的個人信息，導致個人信息被再識別。（4）非個人信息，主要是指不包含個人信息的數據集，如公共交通時間、天氣狀況、公共部門預算、環境污染等。[See Frederik Zuiderveen Borgesius， Jonathan Gray & Mireille Van Eechoud， Open Data， Privacy， and Fair Information Principles： Towards a Balancing Framework， 30 Berkeley Technology Law Journal 2073， 2120（2015）.]不過，需要說明的是，盡管從理論上可以對政府數據中不同的信息類型進行相對獨立的區分，但是，在實踐中這四類信息的邊界仍然是比較模糊的，匿名化信息可以再識別或者去匿名化，而非個人信息也有可能提供關于個人的信息。

第二，采用不同的保護手段。隨著信息技術的快速發展，個人信息保護變得越發復雜，僅僅依靠單一的主體、工具均無法為個人和社會提供有效的保護，“合作規制”逐漸成為一種趨勢，要求整合多元治理主體和多元治理手段[See Irene Kamara， Co-regulation in EU Personal Data Protection： The Case of Technical Standards and the Privacy by Design Standardisation ‘Mandate’， 8 European Journal of Law and Technology 1， 1（2017）.]，我國《個人信息保護法》第11條亦對此進行了規定。在政府數據開放過程中，為了保護個人信息，可以采取的保護手段大致有以下五類：（1）程序手段，廣義上是指在組織內部采用各種程序，如執行通知、制定數據清單、審查數據庫訪問等。（2）技術手段，廣義上是指包括統計方法、計算方法（如加密）和人為因素分析（如隱私政策的可讀性分析）等在內的技術手段。（3）教育手段，廣義上是指包括任何旨在告知信息主體、信息處理者、信息接收者或者廣大公眾有關個人信息保護規則與風險的干預措施。（4）經濟手段，廣義上是指任何旨在改變利益相關者經濟動機的干預措施，如征稅、收費、罰款或者提供保險等。（5）法律手段，廣義上是指任何旨在改變利益相關者的法律權利義務或者法律關系的干預措施，如私人訴訟、行政問責、公益訴訟等。[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2016-2017（2015）.]

四、完善政府數據開放中基于過程的個人信息保護機制

前文闡述了政府數據開放生命周期不同階段可能存在的個人信息保護風險，并對以技術性匿名化為核心手段的結果保護范式的不足進行了分析，在此基礎上，本文提出以“基于過程的方法”重塑政府數據開放中個人信息保護模式，并且就該保護模式的基本內容與核心措施進行了初步分析。為了進一步加強政府數據開放中的個人信息保護，有針對性地就不同階段的個人信息保護風險采取措施，還需要對程序、技術、教育、經濟、法律等手段的范圍作進一步的說明，以及對它們在政府數據開放生命周期不同階段如何發揮作用進行闡述。為此，本文以本·格林（Ben Green）等人在《開放數據隱私》報告中提出的“在數據生命周期的每個階段考慮隱私問題”為基礎，[See Ben Green， Gabe Cunningham & Ariel Ekblaw et al.， Open Data Privacy （2017）， Berkman Klein Center Research Publication， https：//dash.harvard.edu/bitstream/handle/1/30340010/OpenDataPrivacy.pdf？sequence=5（Last visited on July 11， 2021）.]參照邁卡·奧特曼（Micah Altman）等人提出的分析框架[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2049-2058（2015）.]，結合我國《個人信息保護法》《數據安全法》和《信息安全技術 個人信息安全規范》（GB/T 35273—2020）的有關規定，嘗試提出一個將不同的個人信息保護手段與政府數據開放生命周期不同階段協調銜接的控制網絡。

（一）數據收集階段的個人信息保護手段

一旦個人信息被收集，它就有可能作為開放數據或者通過回應公共記錄請求而被公開，因此，限制數據收集往往是限制未來披露的最佳方式。為了應對政府數據收集階段可能存在的個人信息保護風險，政府部門可以采取如下手段。

1.確保收集個人信息的合法性。根據《個人信息保護法》第5條的規定，合法原則是個人信息保護的重要原則。政府部門在收集包含個人信息的數據時，應當依照法律、行政法規規定的權限與程序進行，不得通過其他非法手段和途徑收集個人信息。

2.確保收集個人信息的最小必要。根據《個人信息保護法》第5條的規定，必要原則是個人信息保護的基本原則。該法第6條進一步明確“收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息”。該法第34條則規定：“國家機關為履行法定職責處理個人信息，應當依照法律、行政法規的權限、程序進行，不得超越履行法定職責所必需的范圍和限度?！闭块T在收集個人信息時，所收集的個人信息類型應當與履行法定職責或者提供公共服務的業務功能直接關聯。所謂直接關聯，就是沒有上述個人信息的參與，履行職責或提供服務的功能就無法實現。

3.確保收集個人信息的誠實守信。根據《個人信息保護法》第5條的規定，誠信原則是個人信息保護的基本原則，這對政府部門在收集個人信息時提出了“正反”兩方面的要求。一方面，政府部門要嚴格落實“告知-同意”要求。在國內外個人信息保護法中，“告知-同意”是公平信息實踐原則的基石，也是保護個人信息的常用工具。就“通知”而言，除了常規的隱私政策外，還可以采取公共教育措施，讓公民了解收集的數據類型、如何使用這些數據以及與之相關的風險[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2017（2015）.];就“同意”而言，雖然履行法定職責、緊急情況下的公共利益可以成為豁免條件，但是，政府部門仍然需要制定更為有效的同意計劃，原因在于同意的效力并不僅僅局限于收集階段，而是輻射到整個數據生命周期。另一方面，這意味著政府部門不得以欺詐、誘騙、誤導等方式收集個人信息，也不得隱瞞各類政務APP所具有的收集個人信息的功能。

4.完善個人信息的內部管理機制。政府數據開放共享是政府數據治理的重要內容。隨著政府數據治理體系的不斷完善，越來越多的政府部門開始任命專門的數據治理官員或者組建專門的數據治理機構，如政府首席數據官，為政府數據治理提供組織保障。[張濤：《數據治理的組織法構造：以政府首席數據官制度為視角》，載《電子政務》2021年第9期，第58頁。]我國《個人信息保護法》第52條規定，處理個人信息達到一定規模的個人信息處理者應當指定個人信息保護負責人。就政府部門而言，應當以建立和完善政府首席數據官制度為契機，強化政府首席數據官對政府部門處理個人信息的監督職責。

5.完善個人信息保護影響評估機制。在其他風險管理領域，風險評估是最為重要的工具之一，如環境保護影響評估。在隱私和個人信息保護領域，傳統的隱私影響評估工具經常被作為平衡效用和隱私以及選擇適當隱私保障措施的工具。如今，在隱私影響評估機制的基礎上，個人信息保護影響評估機制成為個人信息保護的重要工具。盡管個人信息保護影響評估在不同的機構之間可能略有不同，但通常涉及個人信息的處理目的、處理方式是否合法、正當、必要，個人信息的預期用途和接收者，對個人權益的影響及安全風險，采取的保護措施是否合法有效等。

（二）數據轉換階段的個人信息保護手段

如前所述，盡管數據轉換階段與數據主體并不直接相關，但卻可能因為違反準確性、完整性等法律要求，產生侵害個人信息權益的風險。為了有效應對政府數據轉換階段存在的個人信息保護風險，結合相關理論研究成果和實踐經驗，政府部門可以采取如下手段。

1.完善內部的數據轉換制度和操作規程，強化專業培訓教育。數據轉換對于整個政府數據開放至關重要，要求確保在數據轉換過程中既符合個人信息保護要求，也能達到未來政府數據公開的標準，政府部門應當制定內部的數據轉換操作規程，同時加強對相關工作人員的專業培訓，既包括先進處理技術的培訓，也包括個人信息保護法規、數據安全法規、信息倫理要求等方面的培訓教育。

2.積極采取加密等技術手段，確保數據轉換過程安全。在數據轉換過程中，政府部門還應當積極采取一些先進的“隱私增強技術”或者“數據安全技術”，預防和減少數據轉換階段可能出現的信息泄露、篡改、丟失等風險，其中比較常見的便是采用加密技術，包括公鑰加密和私鑰加密。

3.保障信息主體的訪問權和更正權，增強數據轉換的透明度。為了確保數據安全，數據轉換的具體過程一般具有一定的機密性，但是數據轉換的方法及結果應當遵循透明度要求。政府部門應當通過適當的途徑，將數據轉換的方法和結果告知信息主體，保障信息主體能夠有意義地行使訪問權和更正權。

（三）數據存儲階段的個人信息保護手段

隨著數字政府建設的不斷向前推進，政府部門維護著眾多的數據集，并且這些數據集通常分布在不同的部門或者機構，使得政府部門很難跟蹤其眾多的數據資源。如果沒有對現有數據集的全面了解和掌控，政府部門就有可能做出錯誤的數據管理決策或者進行多余的數據收集、超期的數據保存。此外，未知的和未被充分監測、評估的數據集可能會帶來風險，再加上人員流動和信息管理系統定期升級增加了評估舊數據集所涉隱私及個人信息風險的難度。為了有效應對政府數據存儲階段的個人信息保護風險，政府部門可以采取如下手段。

1.制定數據清單及目錄，并確立相應的隱私與個人信息風險等級。《數據安全法》第42條規定，國家應當制定政務數據開放目錄;《個人信息保護法》第51條規定，個人信息處理者應當對個人信息實行分類管理。前文對政府數據的分類進行了初步分析，政府部門在編制數據清單時，還應當重點解決如下問題：數據是如何產生的、什么記錄管理系統產生了這些數據、這些數據是什么時候收集的、這些數據是如何收集的、是否還有與這些數據相關的其他補充信息、哪些部門和個人負責這些數據、這些數據規定的保存期限是多長等。數據清單的另一個關鍵部分是確定相應的隱私與個人信息風險等級，政府部門應當開發一個分級模式，將每個數據集的隱私與個人信息風險劃分為數個類別，如高、中、低風險，提供一個風險概覽圖，幫助政府部門將有限的資源用于降低最緊急的風險。

2.限制個人信息存儲期限，避免無限期保存。如前所述，存儲限制是《個人信息保護法》提出的明確要求，政府部門也應當積極遵守。一方面，個人信息存儲期限應為實現政府部門處理信息目的或者信息主體授權目的所必需的最短時間;另一方面，當個人信息超出上述存儲期限后，應當對個人信息進行刪除或者匿名化處理。

3.完善數據安全風險評估制度，及時監測存在的安全風險?！稊祿踩ā返?9條規定“開展數據處理活動應當加強風險監測”;第30條規定：“重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估”。擁有眾多大型數據庫的政府部門面臨的數據安全風險并不天然地低于私營部門。因此，上述規定同樣也適用于政府部門，其更應當積極完善數據安全風險評估制度，降低數據泄露風險。一般而言，數據安全風險評估通常包括所存儲的數據類型與數量、可能存在的風險、可能采取的應對措施。

4.編制數據安全事件應急預案，完善數據泄露通知制度。盡管各種保護措施可以將數據安全風險降至最低，但是，數據泄露事件仍然無法避免。為此，《數據安全法》第23條規定：“國家建立數據安全應急處置機制”;《個人信息保護法》第51條規定，個人信息處理者應當“制定并組織實施個人信息安全事件應急預案”。政府部門應當借鑒其他領域的應急管理經驗，充分聽取數據安全領域的技術專家、法律學者的意見，制定本部門的數據安全事件應急預案。當發生大規模數據泄露事件時，政府部門應當按照《個人信息保護法》第57條的規定，應當“立即采取補救措施，并通知履行個人信息保護職責的部門和個人”，讓其能夠積極采取防護措施，避免數據泄露引發的次生傷害。

（四）數據公開階段的個人信息保護手段

如何確定要公開的數據集是政府數據開放所面臨的最常見的挑戰之一，因為政府部門并不總是十分清楚哪些政府數據在公開后會帶來隱私與個人信息風險，稍有不慎，就可能過度披露敏感信息。為了應對在政府數據公開階段可能存在的個人信息保護風險，政府部門可以采取如下幾種手段。

1.區分不同的公開方式，采用不同的政府數據訪問機制。政府部門應當清楚地認識到，并非所有的數據集都適合以“開放數據”格式公開，如數據的敏感性和顆粒度很高時，以不可控的開放數據格式公開，被再識別的風險就會很高。因此，不同類型的政府數據、不同風險級別的數據集應當設置與其風險水平相適應的公開方式和數據訪問機制。一般認為，在組織內部和組織之間共享和訪問數據，可以采用的訪問機制大致包括以下幾類：一是限制性共享，政府部門可以根據預期的數據接收者類型及其相應的風險等級，來決定如何公開數據。二是管理性訪問，政府部門可以確定到底是誰在訪問數據集，同時保持對其傳播效果的控制。三是互動方法，比較典型的是“差分隱私”（differential privacy），即在數據集中添加一定量的“噪音”或者只提供關于底層數據集的“統計結果”。四是混合方法（hybrid），即政府部門可以將一個包含有可能再識別的個人信息的數據庫進行拆分，再融入前述三種方法。[See Bendert Zevenbergen， Ian Brown & Joss Wright et al.， Ethical Privacy Guidelines for Mobile Connectivity Measurements， Oxford Internet Institute， https：//www.oii.ox.ac.uk/archive/downloads/research/files/Ethical_Privacy_Guidelines_for_Mobile_Connectivity_Measurements.pdf（Last visited on July 11， 2021）.]

2.廣泛使用去標識化技術，降低政府數據的被再識別風險。從技術的角度看，盡管并不存在完美無瑕的去標識化技術，但不可否認的是各類去標識化技術仍然在個人信息保護中發揮著重要的作用。政府部門在準備要公開的政府數據時，應當廣泛使用去標識化技術，既可以由人工執行，也可以通過自動化程序執行，或者兩者兼備。一旦認定數據集已經完成去標識化后，應當手動審查或者以其他方式進行數據審計，以判定是否還有任何可識別信息，或者審查是否有可能通過與其他數據源的關聯來恢復被刪除的敏感屬性。

（五）數據使用階段的個人信息保護手段

一旦政府數據從數據庫中公開進入使用者手中，前面幾個階段的保護手段就可能失去效用，再加上可能存在的數據濫用、數據聚合等風險，從而導致個人信息權益受到侵犯。為了應對政府數據使用階段存在的個人信息保護風險，政府部門應當積極開發新的保護手段或者機制來消解“發布即遺忘模式”的弊端，比較常見的方法主要有以下兩種。

1.通過信用監管強化對政府數據使用者的事前審查。盡管各國在制定政府數據開放政策時，都要求政府部門不應當對政府數據使用者設置歧視性條件，但這并不意味著政府數據使用者不需要滿足任何條件或者達到一定要求。為了避免政府數據使用者在使用政府數據時產生新的隱私與個人信息保護風險，在實踐中，政府部門可以要求政府數據使用者在數據存儲、數據處理和數據安全保護能力等條件方面應當達到相應的信用等級。

2.通過數據使用協議強化對政府數據使用者的事后監管。為了應對政府數據濫用可能帶來的隱私與個人信息保護風險，數據使用協議成為常見的保護手段。在數據使用協議中，政府部門可以就政府數據再使用的目的、用途等進行約定，如禁止重新識別信息或者聯系個人，同時，要求政府數據使用者應當依法履行相應的數據保護職責，并接受政府部門的監督檢查，承擔相應的法律責任。

五、結論

政府數據開放被認為有助于實現各種社會、經濟及行政目標，如提升公眾生活品質、促進產業轉型、增強政府透明度等。然而，由于政府部門維護的數據集中含有大量的個人信息，因此，政府數據開放可能會對個人信息權益造成侵害。這種侵害不局限于政府數據公開階段，而且可能存在于政府數據收集、轉換、存儲、使用等多個階段。在我國《個人信息保護法》和《數據安全法》通過并實施后，如何在個人信息保護與政府數據開放之間維持平衡，成為一項重要議題。傳統的以技術性去匿名化為核心手段的結果保護范式由于過度關注政府數據在公開這一時點的狀態，忽視了政府數據開放本身所具有的動態性、周期性、系統性特征，難以有效應對政府數據開放全生命周期各個階段存在的個人信息保護風險。對此，本文提出以“基于過程的方法”重塑政府數據開放中的個人信息保護范式，以風險預防原則重新確立個人信息保護理念與目標。為了構建政府數據開放中基于過程的個人信息保護機制，需要將程序、技術、經濟、教育、法律等多種手段置于在政府數據開放生命周期的不同階段，有針對性地減少隱私與個人信息風險，形成全生命周期的協同保護機制。

Paradigm Shift of Personal Information Protection in Open Government Data

ZHANG Tao

（Law School， Tsinghua University， Beijing 100084， China）

Abstract：Open government data（OGD） is not a static single behavior， but a dynamic system process. With the help of data life cycle theory， open government data can be deconstructed into five stages of data collection， transformation， storage， release， and use. According to the latest rules established by the Personal Information Protection Law and the Data Security Law， personal information protection risks may exist at all stages of the OGD life cycle. However， the existing personal information protection paradigm in OGD mainly adopts an "outcome-based approach"， focusing on the state of government data at the time of release， and relying on technical anonymization methods， it is difficult to effectively deal with personal information risks in OGD life cycle. Correspondingly， the "process-based approach" is compatible with the OGD life cycle， the proceduralization of personal information protection， and the full-process management of data security， and can make up for the shortcomings of the " outcome-based approach". By decentralizing risk precautionary principles and procedural， technical， economic， educational， and legal tools at each stage of the OGD life cycle， the risk of personal information protection can be minimized， and a dynamic balance can be achieved between personal information protection and open government data.

Key Words：open government data; personal information protection; process-based approach;?? anonymization

本文責任編輯：林士平

青年學術編輯：孫 瑩

收稿日期：2021-12-01

基金項目：2019年國家社科基金重大項目“大數據、人工智能背景下的公安法治建設研究”（19ZDA165）;2021年度教育部人文社會科學研究青年基金項目“政府數據開放利用機制研究”（21YJC820035）

作者簡介：張濤（1991），男，貴州銅仁人，清華大學法學院助理研究員、博士后，法學博士。

① [美]喬爾·古林：《開放數據——如何從無處不在的免費數據中發掘創意和商機》，張尚軒譯，中信出版社2015年版，第6頁。