開放政府數據的隱私風險控制
——斯洛文尼亞的經驗

梁乙凱 陳 美

(1.山東財經大學管理科學與工程學院，山東 濟南 250014；2.中南財經政法大學公共管理學院，湖北 武漢 430073)

當今世界，政府數據的影響越來越大，這些數據有時會過多地侵犯個人隱私。當發生這種情況時，所涉及的是開放政府數據和隱私權之間的沖突。當開放政府數據主體不遵守個人數據保護的規定時，也可能發生這種情況。在個人數據處理方面，個人數據保障并不只是作為一種具體的隱私權而設立，它還在保護數據隱私。在保障人權方面，個人數據保障是一個相對較新的范疇，但在全球化趨勢和信息技術突飛猛進的影響下，其發展迅速。公共部門在許多活動領域收集、制作和傳播廣泛的數據，如社會事務、經濟、地理、天氣、旅游、企業家精神、專利、司法事務、文化、教育和政策制定方面的數據。公共登記冊中有許多上述領域的數據，這就要求保障開放政府數據的隱私安全。因此，有必要充分了解這一領域的規定和現行做法。

1 政府數據開放中個人隱私的評判標準

1.1 個人隱私保護法

斯洛文尼亞修訂了若干部門法律，并起草一份關于《通用數據保護條例》(General Data Protection Regulation，GDPR)的法律草案《個人數據保護法案》(ZVOP-2)。2017年10—11月，法律草案ZVOP-2接受公眾咨詢。ZVOP-2提案由司法部于2018年1月23日公布，并于2018年4月5日通過，但由于2018年4月14日暫停，因而該提案未在議會進行討論。2019年3月，斯洛文尼亞司法部再次發布了ZVOP-2的提案。這項提案再次引起了公眾的討論，而且提交意見的截止日期是2019年3月25日。正如擬議法案本身所述，該法案計劃最早于2019年7月生效[5]。該提案的案文已經在2017年或2018年或2019年3月的公開討論或專業和部際協調中得到討論。該版本具有一些創新，其中強調了該提案與相關規定之間的一致性(以減少其規定的復制和鏈接的方式)以及對警察和刑事司法領域中有關個人數據保護的指令進行了更全面的轉換。關于個人數據處理的基本內容，可以在第Ⅰ部分(一般條款，包括法律依據)和第Ⅲ部分中找到。法案的一部分(部門安排，如視頻監控)、監管機構的法定權限(法律草案第Ⅰ部分第7章)和有關授權保護個人數據的人員的規定(法律草案第Ⅰ部分第5章)也很重要[6]。

根據《斯洛文尼亞共和國憲法》第38條，ZVOP-2提案的目標是：確保按照斯洛文尼亞的法律執行相關規定，從系統的角度來看待如何盡可能多地規范或解決個人數據保護領域的問題，從而確保每個人都有權將已收集與自身有關的個人信息告知他們，并有權在任何濫用情況下獲得法律補救[7]。更具體地說，必須確保尊重法律確定性(包括以盡可能多的規定“集中在一處”的方式有效行使對個人數據保護的個人人權)[8]。因此，該立法的出發點是人及其權利(個人或個人權利)，使人們(數據主體)成為可能，并且公共機構和企業實體(運營商和加工商)對個人數據的保護應盡可能緊密相關或具有解釋性，以便在個人數據保護領域實施統一的權利保護辦法。

1.2 個人隱私界定

為了理解開放政府數據中個人隱私保護，有必要了解一些基礎概念，包括：個人數據、個人、敏感個人數據、數據控制者。根據ZVOP-2第6條第1款，個人數據是與個人有關的任何數據，無論其表示形式如何。這一概念中涉及“個人”。根據ZVOP-2第6條第2款，個人是與個人數據有關的已識別或可識別的自然人；可識別的自然人是指可以直接或間接識別的人，特別是通過參考識別號或特定于其身體、生理、心理、經濟、文化或社會身份的一個或多個因素進行識別，其中識別方法不會產生高昂的成本或不成比例的工作，也不會花費大量時間。個人身份識別的隱私保護和地理位置隱私保護是開放政府數據活動亟待解決的重要問題[9]。個人數據中所涉及的一種特別類型的數據是敏感個人數據。根據該法第6條第19款，敏感的個人數據是關于種族、民族或族裔血統、政治、宗教或哲學信仰、工會會員資格、健康狀況、性生活、從犯罪記錄中刪除或保留的輕罪記錄的數據；如果生物統計特征的使用可以結合任何上述情況來識別個人，那么它們也是敏感的個人數據。根據該法第6條第6款，數據控制者是自然人或法人或其他公共或私營部門的人，他們獨自或與他人共同確定個人數據處理的目的和方式，或者由法規提供的人確定個人數據處理的目的和方式。

2 政府數據開放中隱私影響評估(PIA)框架

2.1 隱私影響評估(PIA)的目標

2014年1月14日，斯洛文尼亞信息專員發布《引入新警察權力的隱私影響評估(PIA)指南》[10]，該指南代表了一種謹慎、合理和合法地采用新措施的方法論框架，特別是那些具有技術性質的措施，如數據保留、特洛伊木馬。該指南旨在作為一種工具，在采取新措施之前幫助執法機構，包括：①設計風險和保障措施，以防止不公正地影響隱私權；②產生PIA并提出論點建議措施的必要性、適當性、有效性和相稱性；③對該主題進行公開討論[11]。

2.2 隱私影響評估(PIA)的過程

《引入新警察權力的隱私影響評估(PIA)指南》對PIA過程進行了說明：①發起方(Initiating Party)是提出新措施的一方，通常是斯洛文尼亞警方或內政部，將使用這些指南對措施進行PIA，然后向信息專員提交書面報告征求意見；②信息專員審查報告并根據需要提出意見；③發起方提出意見并在必要時對分析報告進行修改；④發起方起草關于新警察權力的立法提案，并與PIA報告一起提交給負責刑事訴訟法的部門(司法部)，同時附上關于文本是否尊重信息專員的意見的說明；⑤提案進入標準立法程序。總體來看，發起方最適合進行PIA，因為他們擁有有關建議措施的最多信息，因而最適合評估與這些措施有關的風險。將信息專員納入PIA程序，可確保信息專員對整個程序進行獨立檢討，并由數據保護專家向發起方提供有價值的反饋信息，以改善最終的立法建議，這對主管部門以及整個立法程序都是一個好信號。

2.3 隱私影響評估(PIA)的主體

斯洛文尼亞信息專員的指導方針目的是，為個人提供常見的個人數據處理的實用指導以及法律和其他實體過程符合《個人數據保護法》的規定。因此，信息專員于2010年7月22日發布《電子政務項目中PIA》[12]，對PIA主體進行了規定。具體而言，包括內部和外部PIA，而且這兩項工作已經以非正式方式在斯洛文尼亞進行。內部PIA由個人數據控制者自己進行，而外部PIA則由公司聘請外部顧問或向主管當局信息專詢個人數據保護事宜。信息專員發布不具約束力的書面意見，并在個人數據保護方面增加風險的計劃推出前，咨詢相關專家。信息專員不僅向公共部門機構和當局發布，而且還提供其關于遵守擬議的法規以及與有關個人數據保護的法律和其他法規的指導方針和決定。這種工作方式正日益得到加強，而且所有這些指導原則主要用于PIA的內部行為，其結果也可以成為后面與信息專員協商的主題。

2.4 隱私影響評估(PIA)的階段

PIA的主要內容是引入新的警察權力，包括及時識別所有涉及的隱私風險，以及減輕這些風險所需的保障措施。因此，《引入新警察權力的隱私影響評估(PIA)指南》指出，PIA應包括以下4個階段：①對當前問題的初步分析；②風險分析；③風險緩解；④比例性檢驗，包括必要性、充分性、有效性、比例性。該文件還要求，按照上述模式進行的PIA應為起草具體立法條款提供有用的信息。

3 隱私風險應對的數據處理規范與機構

3.1 隱私風險應對的數據處理規范

針對如前所述的一般個人數據和敏感個人數據，斯洛文尼亞存在不同的個人數據處理規范。

3.1.1 一般個人數據處理

根據《個人數據保護法案》(ZVOP-2)第8條，只有符合法令規定來對個人數據進行處理的情況下，或者在處理某些個人數據時已獲得個人同意的情況下，才可以處理個人數據；處理個人數據的目的必須由法規規定，并且在基于個人同意而進行處理的情況下，必須事先書面或以其他適當方式告知個人處理數據的目的。

ZVOP-2第9條為公共部門處理個人數據提供了法律依據：①如果法令規定可以進行的個人數據處理或正在處理的個人數據符合規范，則可以處理公共部門的個人數據。法規可能規定只能在個人同意的基礎上處理某些個人數據；②公共權力持有人也可以在沒有法律依據的情況下，根據個人的同意而處理個人數據，這不涉及其作為公共權力持有人所履行的職責。在這種基礎上建立的文件系統必須與根據公共權力持有人的職責建立的文件系統分開持有；③無論本條第1款的規定如何，在公共部門中，都可以處理與公共部門有合同關系的個人的數據，也可以根據個人的主動權在訂立合同時進行談判，前提是個人數據處理對于進行談判以訂立合同或履行合同是必要且適當的；④不論本條第1款如何，在公共部門處理個人數據對于公共部門行使合法權限、職責或義務必不可少的情況下，都可以在公共部門進行例外處理，但前提是該處理必須不侵犯與個人數據有關的個人的正當利益。

3.1.2 敏感個人數據處理規范

《個人數據保護法案》(ZVOP-2)第14條涉及敏感個人數據的保護：①在處理過程中，必須對個人敏感數據進行特殊標記和保護，以防止未經授權的個人獲取它們，但本法第13條第5款規定的情況除外；②在通過電信網絡傳輸敏感的個人數據時，如果使用加密方法和電子簽名發送數據，以確保在傳輸過程中其不易辨認或不可識別，則應認為該數據受到了適當的保護。

ZVOP-2第13條規定，僅在以下情況下才能處理敏感的個人數據：①如果個人對此表示明確的個人同意，則該同意通常是書面規定，并且是法規所規定的公共部門；②是否有必要進行處理，以便根據法規履行數據管理員在就業領域的義務和特殊權利，這也為個人的權利提供了保證；③為了保護與個人數據有關的個人或他人的生命或身體而必須進行處理，而與個人數據有關的個人在身體上或合同上沒有能力表示同意；④出于機構、社會、協會、宗教團體、工會或其他具有政治、哲學、宗教或工會目的的非營利組織為合法活動的目的而進行的處理，但僅限于與他們的成員或個人為此目的而定期接觸的問題有關；⑤與敏感個人數據有關的個人是否公開宣布它們，而沒有任何明顯或明確的目的限制其使用；⑥為保護公眾和個人的健康以及衛生服務的管理和運行，是否由醫務人員按照法規進行處理；⑦主張或反對法律主張是否必要；⑧為實現公共利益而由另一法規提供。

3.2 隱私風險應對的機構

在斯洛文尼亞，信息專員是開放政府數據隱私風險控制的機構，既監督個人數據的保護，也監督公共信息獲取。以下將從歷史、組成、職責3個方面對其進行闡述。

3.2.1 歷史

2003年9月1日，根據當時通過的《公共信息獲取法》(ZDIJZ)[13]成立的公共信息獲取專員開始工作。2005年1月1日，《個人數據保護法》(ZVOP-1)生效，提出設立一個保護個人數據的主要國家監管機構；任命程序于2005年7月1日開始，而且要求國家監督機構最遲于2006年1月1日開始運作。根據2005年12月31日生效的《信息專員法》(ZinfP)[14]，個人數據保護檢查局和公共信息獲取專員合并為一個獨立的國家機構，即信息專員。因此，隨著ZinfP的通過，ZVOP-1的規定得到了遵守，即具有獨立國家機構身份的國家個人信息保護監管機構從2006年1月1日開始運作。ZinfP為斯洛文尼亞的法律秩序帶來了重要的創新，即該法律建立了一個新的國家機構信息專員，而且該專員在獲取公共信息領域和個人數據保護領域中行使著許多職能。除了關于信息專員的職位和任命的規定之外，ZinfP還包含有關個人數據保護主管、信息專員的程序的某些細節以及某些刑事條款的規定。

3.2.2 組成

如前所述，信息專員是根據《信息專員法》(ZInfP)而成立的一個自治且獨立的機構。信息專員不僅負責個人數據保護領域，而且還參與立法起草，并在個人數據保護領域提供不具約束力的法律意見，保留所有納稅人的個人數據文件的注冊。作為上訴機構，當個人獲取其個人數據的權利受到侵犯時，信息專員還可以對個人的上訴作出裁決。該機構由4個內部組織單位組成：①信息專員內閣；②公共信息部；③個人數據保護部；④行政技術服務。具體執行意見由信息專員和準備該意見的工作人員(如果適用)簽署。檢查程序中的決定包括有關該工作人員的信息，該工作人員代表信息專員發布了該決定(數據在在線發布的版本中為匿名名稱)[15]。

3.2.3 職責

根據《信息專員法》第2條第1款，信息專員負責：針對機構拒絕請求或以其他方式侵犯獲取或重復使用公共性質信息的權利的決定提出上訴；在上訴程序的框架內，還負責監督有關公共信息獲取的法律和基于該法律頒布的法規的實施；對有關保護或處理個人數據或從斯洛文尼亞輸出個人數據的法律和其他法規的執行情況進行檢查監督，并執行這些法規確定的其他任務；作為上訴機構，根據本法規定，在個人數據相關人拒絕查閱與其有關的數據的要求或拒絕查閱摘錄、清單、審查、確認、數據、解釋、文字記錄或副本的要求時，對個人的申訴作出裁決。根據《信息專員法》第2條第2款，信息專員是一個侵權救濟機構，有權對本法案和有關個人數據保護的法案進行監督。具體而言，信息專員是根據《病人權利法》[16]第41(Ⅹ)條、第42(Ⅴ)條和第45(Ⅶ)條而作為上訴機構，即因為醫療保健提供者侵犯了病人了解其醫療記錄的權利。可見，信息專員扮演著上訴、檢查和輕罪的角色。

4 評價與啟示

在從政策文本視角對斯洛文尼亞開放政府數據隱私風險應對的數據處理規范進行梳理，以及從組織層面對與斯洛文尼亞開放政府數據隱私風險應對機構的歷史、組成以及職責進行分析后，有必要從立法、組織、平臺3個維度對斯洛文尼亞開放政府數據隱私風險的經驗進行總結并進行評價。

4.1 立法層面

4.1.1 將個人隱私保護作為人權進行保障

歐洲最早的個人數據保護的法律開始出現在20世紀70年代。瑞典是世界上第一個于1973年通過《個人數據保護法》的國家，在這方面有著豐富的經驗。除了1998年所頒布的法律外，瑞典的個人數據保護還具有許多其他特定部門的法律的規定。繼瑞典之后，希臘、匈牙利、法國和芬蘭也采取了類似的措施，而且英國和北愛爾蘭于1984年也采取了類似措施。這一領域最重要的立法始于20世紀90年代，當時歐洲各國(地區)相繼通過了類似的法律，如德國、斯洛伐克、奧地利、丹麥、意大利、挪威及其他國家(地區)。作為歐洲的一個國家，斯洛文尼亞將個人數據保護作為一項基本人權進而提供保障，這是《斯洛文尼亞共和國憲法》第38條所規定的。《斯洛文尼亞共和國憲法》注重人權保護，其第二章是“人權和基本自由”，涉及第14～65條。第38條標題為“個人數據保護”，規定：應保障個人數據的保護；禁止違反收集目的使用個人數據；個人數據的收集、處理、指定使用、監督和保護，由法律規定；每個人都有權訪問所收集的與其有關的個人數據，并在此類數據被濫用的情況下有權獲得司法保護。此外，《斯洛文尼亞共和國憲法》第35條標題為“隱私權和人格權的保護”，規定：保障每個人的身心完整及其隱私權和人格權不受侵犯。與這個問題有關的是，行使公共信息獲取權利的范圍內有哪些個人數據。斯洛文尼亞《個人數據保護法》(ZVOP-1)不保護個人數據，而只是預防違憲、非法和不正當地干涉個人的隱私和尊嚴。換言之，在某些情況下，向公眾提供個人數據是可以接受的。例如，ZVOP-1第8條和第9條規定，作為一般規則，如果上述數據和正在處理的個人數據是由法律提供，或者如果相關個人的個人同意已經明確提供，那么個人數據可以被處理。

4.1.2 區分不同主體的數據處理行為

法律的出臺在一定程度上也會減輕開放數據過程中伴隨的安全性問題[17]。目前，中國、歐盟、英國、加拿大、俄羅斯、日本、韓國、印度和新加坡等多個國家(地區)均已發布個人數據保護相關政策法規[18]。斯洛文尼亞法律規定，每一個人，不論其國籍或居住地點，都應得到個人數據的保護。個人數據需要以合法和善意的方式處理，并在收集和進一步處理個人數據的范圍及用途方面是適當的。此外，個人數據處理必須遵守禁止歧視的原則：根據該原則，任何人不論個人情況如何，都有權保障其個人數據。重要的是，在處理個人數據的問題上，公共機構和私營機構應受到不同的法律待遇。與公共部門相關的法律依據更加嚴格：只有在法律規定的情況下，該部門才允許處理個人數據。這意味著，開放政府數據中某些數據只能在事先征得個人同意的情況下才能得到處理。另外，國家機構、地方社區機構和公共權力持有人只有有限的范圍使用和處理個人數據。這意味著，在開放政府數據過程中，如果數據處理得到法律允許，那么沒有私人和公共部門之間的區別：處理始終是允許的，但個人數據處理和處理的目的之間的比例系數需要考慮，而且也需要法律定義。

整體而言，在過去幾十年里，斯洛文尼亞做了大量工作，逐步調整其法律和監管框架，以適應正在進行的開放政府數據。受益于歐洲聯盟的監管刺激，在數字簽名、公共部門信息獲取、隱私和數據保護、數字安全或公共部門內部和整個公共部門共享政府數據等領域取得了一些進展。然而，法律和監管方法方面也存在弱點，這也是不利于開放政府數據成熟的障礙。因此，需要簡化立法，更新數字身份或信任服務等領域，并改善溝通，以加強其一致性應用。就我國而言，我國過去沒有一部完整的民法典，也沒有制定一部完整的個人信息保護法，這使得個人信息的民法保護散布在各個法規對個人信息直接或間接保護的民法規定。幸運的是，隨著2021年1月1日起施行的《民法典》以及2021年11月1日起正式實施的《個人信息保護法》的出臺，改變了上述情況，為開放政府數據的隱私保護提供了法律保障。例如，與斯洛文尼亞類似的是，《民法典》將個人信息作為人格權進行保護。我國高度重視開放政府數據中的安全問題，但多為宏觀的戰略規劃和法規保障框架，應加強個人隱私保護等環節的法律保障的研究[19]。另外，我國沒有專門的政府開放數據法。從立法角度來看，法律原則上所規定的個人數據保護的功能是防止在所有相關領域的個人隱私受到非法和不正當的侵犯。盡管《個人信息保護法》對國家機關處理個人信息提供了規范，但該法更多是通過賦予個人知情權來保護個人隱私。這種賦予個體權利的規范與作為公共部門的政府數據開放主體處理個人信息的公共權利行為存在沖突。因此，現有法律法規有必要進一步得到細化，對政府開放數據程序、流程進行規范，針對公共部門與私營部門設置不同的信息處理義務，并對侵犯個人隱私行為進行回溯和懲罰，從而降低開放政府數據的隱私風險。

4.2 組織層面

4.2.1 設置專責的個人隱私保護機構

當《信息專員法案》生效時，一個嶄新、獨立的國家機構信息專員成立。個人數據保護是斯洛文尼亞的一個重要事項，信息專員是該國個人數據保護領域的監督機構，享有很高的聲譽和公眾信任度。作為一個獨立的國家機構，信息專員在斯洛文尼亞共和國《憲法》所保護的兩項基本人權領域中具有權限：獲取公共信息的權利和保護個人數據的權利。它不僅在個人數據保護和公共信息獲取方面具有許多能力，而且還被授權監督《個人數據保護法》和該領域其他法規的執行情況。該機構不僅由信息專員領導，而且也是國家保護個人數據的主要監督者。從法律明確性的角度來看，已經強調或加強了現有條款或某些新條款，尤其是在信息專員不能擔任監管機構的領域，如從個人數據保護的角度來看，如果信息專員的行為將構成對空間或通信隱私或言論自由的不當或違憲干預。信息專員的基本任務是確保統一執行與保護個人數據有關的措施，并在與該領域有關立法的籌備階段與各部委合作，如與政府機構、主管個人信息處理工作的歐盟主管個人機構、國際組織、外國個人數據保護機構、協會以及其他機構和組織針對有關個人數據保護問題進行合作。

4.2.2 注重個人隱私保護宣傳

為了提高大家的個人隱私保護意識，信息專員還負責編寫、發布有關特定領域個人數據保護的非強制性建議和指示。此外，一方面，信息專員在網頁上或以其他合適的方式發布有關遵守積極法律和其他法律提案的初步意見，這些法律建議涉及個人數據保護領域的法律和其他法規，以及發布對憲法進行審查的請求；另一方面，信息專員還發布內部公告和專家出版物、有關個人數據保護的決定和法院決議，以及有關個人數據保護的非強制性意見、解釋、立場和建議。例如，該機構有一個專門網站https://www.ip-rs.si/en/，其內容非常豐富，不僅包括《憲法》《通用數據保護條例》《信息專員法》《個人數據保護法》《公共信息獲取法》《檢查法》等立法文本，以及該機構發布的年度報告、出版物和準則、文章等，還對該機構的組成等內容進行詳細介紹。例如，《公共信息獲取法》規定，責任機構必須在20天內對獲取請求作出回應，而且對機密數據、商業秘密、侵犯隱私的個人信息等實施獲取限制。信息專員盡力確保在其網站上發布的信息是準確和最新的，但對于信息的準確性，他們不承擔任何責任，而用戶使用所有發布的內容需自擔風險。盡管根據《斯洛文尼亞版權和鄰接權法》的規定，該網站上的官方立法、行政和司法文本均未受版權保護，但用戶可以復制、公開披露、分發、租賃或轉換在信息專員網站上發布的文檔，唯一前提是，如果使用免費提供的已發布信息，則應注明“信息專員”[20]。可見，正是由于這一機構在各個領域廣泛涉獵，從而為開放政府數據隱私風險控制提供強有力的組織保障。應完善相關監管機制，增強對政府部門的約束力[21]。

就我國而言，有學者發現，當被要求填寫負責信息公開工作的具體部門時，超過一半(58.3%)的單位填寫的是辦公室，只有7.8%的單位填寫政務公開辦公室，還有一些單位填寫了秘書處等，說明被調查單位的政府信息公開工作主要集中在辦公室，專職部門較少[22]。幸運的是，我國信息安全負責人職責基本等同于國外的數據保護官，反映出數據保護官制度(DPO)在我國初步建立[23]。廣州、深圳、珠海、佛山、河源近年都在試點政府首席數據官，但由于這一職位設置還是一個相對較新的嘗試，使得關于這一職位的職責、權利等方面都比較模糊，更多強調政府數據開放共享，如深圳首席數據官制度中規定，其中一個工作目標就是促進公共數據開發利用。因此，可以參考斯洛文尼亞的信息專員職責設置做法，將我國政府首席數據官的職權擴展至開放政府數據和個人隱私保護兩方面，從而實現數據利用與隱私保護之間的平衡。

另一方面，如果不承認數據可能被利用和濫用，圍繞開放政府數據隱私風險控制的公共討論就不完整。公民和企業對如何處理個人敏感數據抱有很高的期望，因為任何失敗都會對公眾信任產生不利影響。如果政府希望確保將開放政府數據的公共價值最大化，而不是削弱信任，那么透明度、道德、隱私和同意以及安全就不能是開放政府數據中可有可無的選項。因此，可以在相關網站上發布個人隱私保護相關立法的法律法規文本以及開放政府數據隱私保護的年度報告、出版物和準則、文章等內容，不僅能為政府開放數據主體的數據處理行為提供參考，而且也有利于提升政府數據開放主體以及個人的隱私保護意識。

4.3 平臺層面

4.3.1 良好的開放政府數據平臺發展路徑

對于深刻認識開放政府數據這場偉大的數據運動，科學合理的評價無疑是十分必要的[24]。成熟度模型提供了一種階梯式的改進框架，較之“開放數據晴雨表”“開放數據指數”等評估體系，它為政府部門提供了一個更為清晰的開放數據發展線路圖，更為詳細的過程改進和優化路徑[25]。斯洛文尼亞在2016年的開放數據成熟度評估中被視為“快速跟蹤”，它正在進一步制定其開放數據計劃，并采取措施來提高人們的意識和透明度。斯洛文尼亞以RDF和XML等機器可讀格式發布了所有可開放獲得的政府文件，這是進一步提高透明度的重要發展[26]。2016年底，斯洛文尼亞公共部門開放數據發布制度改革啟動實施，導致公共管理部發布了新的開放數據門戶。

4.3.2 注重開放政府數據平臺的多重保障

在這個名為“OPSI-Odprti Podatki Slovenije”的開放數據門戶上，整個斯洛文尼亞公共部門的開放數據匯集在一起，并向公眾提供。該門戶基于開放源代碼軟件構建，也是國家互操作框架門戶(National Interoperability Framework Portal，簡稱NIO門戶)的間接后繼者。該門戶網站是使用英國開放數據門戶網站的源代碼而創建。除了開發門戶網站外，還介紹了一份手冊，以促進公共部門數據開放，這有利于推進公共部門開放數據的進程。盡管這個開放數據門戶網站已經提供了大量開放數據集，但提供開放數據并不是其核心活動。為了確保它主要關注用戶和開放數據，此新門戶專門用于開放數據活動[27]。NIO門戶于2010年10月23日啟動，是斯洛文尼亞國家互操作性框架的基石。該門戶允許不同的利益相關者發布有關互操作性的標準和指南，這在國家一級很重要，并鼓勵開放數據和應用程序的發布。該門戶允許發布互操作性以及互操作性資產(技術、語義、法律和組織)的不同標準和準則，旨在為了說明由政府機構管理的數據的經濟和社會潛力。隨著2013年NIO門戶的更新，為開放數據、應用程序和互操作性產品建立了斯洛文尼亞公共行政管理的新站點和中心。

4.3.3 強調開放政府數據平臺數據發布

在2015年4月發布的《2015—2020年公共行政發展戰略》中，有一個章節專門討論透明度以及數據重復使用和開放數據(第6.4.1章)[28]。在這個戰略的基礎上，斯洛文尼亞的相關行動計劃規定了與“開放公共部門信息”有關的具體措施，包括對相關法律修訂和更新國家開放數據門戶網站。自2016年9月9日起，“數據”將發布在新開放數據門戶“OPSI”上[29]。

4.3.4 缺乏開放政府數據平臺隱私保護政策

盡管斯洛文尼亞在開放數據方面取得了一些進展，但可惜的是，斯洛文尼亞開放數據網站沒有專門的隱私政策條款，而只是在使用條款第12條“處理和保護個人數據的目的”規定，開放數據網站管理者宣布，將根據《個人數據保護法》(ZVOP-1)，對用戶以任何方式提供的所有數據進行無條件保護和處理[30]。

總體來看，斯洛文尼亞由于法律上的確定性等系統原因而具有高水平的個人數據保護，如個人數據控制者過多義務以及財務上過高的罰款。通過政府開放數據平臺，公眾可以免費下載大量無需授權、機器可讀、可重復利用的原始政府數據，進一步對其進行挖掘、分析和利用，從而產生增值效應[31]。但是，隱私和開放政府數據只是一枚硬幣的兩面，而且一方永遠無法戰勝另一方。就我國而言，現有的地方級政府數據開放平臺的數據管理功能還很不完善，數據發布數量少，數據可用性、可獲取性水平比較低，數據組織和檢索功能較弱，用戶對數據的開發利用率較低[32]。因此，政府開放數據主管部門應該制定清晰的發展路線圖和行動計劃，為開放政府數據平臺提供技術、組織等多重保障，關注數據發布內容、時效等領域，從而提升開放政府數據平臺質量。另外，需要考慮去制定完善的開放政府數據平臺隱私保護政策，對公民和政府機構進行平衡和比例檢驗，而且這也是一項防止公眾混淆的法律審查政策。具體而言，各個地方政府數據開放平臺的隱私政策有必要得到優化，其內容應當明確平臺處理用戶信息的目的，可以包括兩個方面。①基本目的：申請提供和使用公共數據；用戶管理，用于公共數據注冊/管理；②選擇性目的：提供有關公共數據門戶和數據利用的信息；關于公共數據使用情況的調查。如果用戶不同意選擇性目的，那么用戶將被排除在與門戶以及數據利用率和使用情況調查有關的信息之外。