政务数据共享与个人信息保护

邢会强

（中央财经大学法学院教授、博士生导师）

摘要：政务数据共享中的数据如含有个人信息，则应遵守《个人信息保护法》。但我国现行政务数据共享的某些做法对个人信息保护不足。为夯实政务数据的合法性基础，防范相关风险，我国应制定一部政务数据共享法，为政务数据共享划定禁区，明确可以共享的个人信息类型，完善相关法律责任制度。同时，我国应避免建立大型中央数据库，而是以隐私计算技术实现数据共享。

关键词：数据共享；数据开放；政务数据；个人信息保护；隐私计算

政务数据共享，有助于深化体制改革、转变政府职能、创新管理方式、提高行政效率。党中央、国务院高度重视政务数据共享工作，并出台了相关的法规或政策对各地方、各部门的政务数据工作提供指导。各地方、各部门也纷纷出台政策文件予以落实，我国的政务数据共享取得了长足成效。但政务数据共享的相关理论研究却比较匮乏，政务数据共享中的个人信息保护法律问题的相关研究更是不足，政务数据共享的法治化程度有待进一步提升。本文在厘定政务数据共享概念的基础上，追踪我国政务数据共享的发展状况、特色做法，分析其存在的个人信息保护法律问题及相关风险，最后从个人信息保护的角度提出我国政务数据共享的风险防范与法律完善的对策建议。

一、政务数据共享与政府数据开放的分殊及与个人信息保护的关系

有的地方将政务数据共享称为政府数据共享或公共数据共享。《中华人民共和国数据安全法》（以下简称《数据安全法》）虽然多处提及“政务数据”这一概念但未给出定义，《安徽省政务数据资源管理办法》给出的定义颇具代表性：政务数据“是指政府部门及法律、法规授权具有行政职能的组织（以下称政务部门）在履行职责过程中制作或者获取的，以电子或者非电子形式记录、保存的文字、数字、图表、图像、音频、视频等，包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等”。这一定义实际上是对国务院发布的《政务信息资源共享管理暂行办法》中“政务信息资源”定义的另一种表述。因此，本文采用这一定义。从目前的地方立法来看，“政府数据共享”或“公共数据共享”中的“政府数据”或“公共数据”的涵义与“政务数据”的涵义等同，尽管在原初的意义上“公共数据”的涵义大于“政务数据”的涵义。

在我国的地方立法实践中，政务数据共享与政府数据开放自始就是分开的。早在2017年，《贵阳市政府数据共享开放条例》就区分了政府数据共享与政府数据开放，将政府数据共享定义为“行政机关因履行职责需要使用其他行政机关的政府数据或者为其他行政机关提供政府数据的行为”，将政府数据开放定义为“行政机关面向公民、法人和其他组织提供政府数据的行为”。此后出台的《贵州省政府数据共享开放条例》《湖北省政务数据资源应用与管理办法》《安徽省政务数据资源管理办法》《黔南州政府数据共享开放管理办法（试行）》等也采取了同样的区分。复旦大学数字与移动治理实验室主任郑磊在2018年的论文中也特意区分了政府数据开放与政府数据共享。

但在为数不多的关于政府数据开放或共享的学术研究中，有的并未区分政府数据开放与政府数据共享，甚至将二者放在一起研究。王利明教授则在私法层面上研究数据共享。他认为：“数据共享概念主要是在机构、平台层面上使用，它是指不同机构、平台之间的数据交换。”

诚然，如果不严格区分“开放”与“共享”的含义，理论上，数据开放与共享可以按照数据披露方与接受方的不同分为九种类型：政府持有的数据在政府部门之间的开放与共享（G2G）、政府持有的数据向企业的开放与共享（G2B）、政府持有的数据向个人的开放与共享（G2C）、企业持有的数据向政府部门的开放与共享（B2G）、企业持有的数据向其他企业的开放与共享（B2B）、企业持有的数据向个人的开放与共享（B2C）、个人数据对政府部门的开放与共享（C2G）、个人数据对企业的开放与共享（C2B）、个人数据对其他个人的开放与共享（C2C）。这里“政府持有的数据”“企业持有的数据”，既可能含有个人信息，也可能不含。由此可见，我国的“政务数据共享”实际上是指G2G。

在西方文献中，数据开放与数据共享尽管有一定的交错，但二者各有独特的涵义，并不混同。西方文献中的数据开放或开放数据（open data），是指政府持有的数据向企业和个人开放，即G2B和G2C。西方文献中的数据共享（data sharing），目前主要在三个层面上使用。最宏观的层面是指国家（或超国家组织）之间的数据跨境流动，如英国和欧盟之间的数据流动。其次是指政府持有的数据的对内与对外共享，即G2G、G2B、G2C，但主要是G2B。最后是指企业持有的数据向政府部门共享、向其他企业共享以及向个人开放访问权限，即B2G、B2B和B2C。

从数据内容的维度上看，数据开放与数据共享也有细微的差别。数据开放语境下的数据，一般是数据集，不含个人信息；如果包含个人信息，则应进行匿名化处理。但数据共享语境下的数据，既可以是数据集，也可以不是数据集；既可以含有个人信息，也可以不含。当含有个人信息时，应遵守个人信息保护法。当然，如果能进行“预处理”即假名化甚至匿名化则更好。因此，相比于政府数据开放，政务数据共享与个人信息保护法的关系更为密切。

国家（或超国家组织）之间的数据跨境流动由个人信息保护法的专门条款予以解决。G2B和G2C的问题，主要由数据开放法予以解决，其中涉及的个人信息保护问题，由个人信息保护法解决。我国特别重视G2G的问题，致力于破解“数据烟囱”问题。但在不少西方国家，G2G受到诸多限制，进展比较缓慢。B2C的问题已经由个人信息保护法上的可访问权等予以解决。B2G和B2B是尚未解决或正在解决的难题。而C2G、C2B和C2C也无须特别强调，这是因为，政府和企业都有能力在其服务或业务过程中收集个人信息，对此传统法律足以调整，而其中的个人信息保护问题，则由个人信息保护法予以解决；个人之间的信息互享关系属于社会规范（惯例）和一般民法调整的范围，无须特别法予以调整。总而言之，数据开放主要是G2B和G2C，数据共享主要是G2G、B2G和B2B。数据开放并不因区分开放的对象是企业还是个人而有所不同，且开放的数据大多数为创业企业所利用，因此，G2C可以为G2B所吸收。

数据开放（G2B和G2C）已有相关立法，如美国、德国、澳大利亚等均有立法，进展比较快，各方已经基本上达成共识。而数据共享（G2G、B2G和B2B），是否应进行立法，以及如何立法，各方正在探索和研讨。B2B的数据共享问题主要是一种商业实践，既可以通过数据可携权来实现，也可以通过数据交易来实现。对于数据可携权，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第45条已经予以规定，当然尚有待进一步细化。至于数据交易，《数据安全法》第33条亦有关于数据中介服务的规定，各地也正在通过大数据交易所等形式进行探索，尚需专门研讨。至于B2G的数据共享问题，主要通过政府机关的法定职责来收集，对此，《个人信息保护法》和相关的规定政府职责的法律（如《中华人民共和国税收征收管理法》《中华人民共和国反洗钱法（修订草案公开征求意见稿）》等）进行了规定。因此，有必要专门讨论G2G数据共享问题，这正是本文研究的主要对象。

二、我国政务数据共享的发展状况、特色做法

我国近年来大力推进政务数据共享。梳理其发展历程与状况，总结其特色做法，有助于我们认识我国政务数据共享的特质，进一步明确我国政务数据共享涉及的个人信息保护法律问题与相关风险所在的重点领域。

（一）我国政务数据共享的发展状况

2015年，国务院发布的《促进大数据发展行动纲要》提出建立政府数据统一共享交换平台，大力推进国家基础数据资源以及相关信息系统跨部门、跨区域共享。2016年，国务院制定了《政务信息资源共享管理暂行办法》。2019年，全国一体化在线政务服务平台建设和管理协调小组办公室印发了《全国一体化在线政务服务平台数据共享服务管理暂行办法》。2019年5月，国家政务服务平台开始上线试运行，这是全国政务服务的总枢纽。

据国务院的部署和要求，各地纷纷跟进出台相应的政策措施。例如，在省级层面上，比较有代表性的地方立法或政策有：2017年，贵阳市通过了《贵阳市政府数据共享开放条例》；2018年，上海市人民政府颁布了《上海市公共数据和一网通办管理办法》；2020年，安徽省人民政府颁布了《安徽省政务数据资源管理办法》，贵州省人民代表大会常务委员会通过了《贵州省政府数据共享开放条例》；2021年，湖北省人民政府颁布了《湖北省政务数据资源应用与管理办法》，广东省人民政府颁布了《广东省公共数据管理办法》；等等。

2022年6月，《国务院关于加强数字政府建设的指导意见》则在以国家政务服务平台为总枢纽的全国一体化在线政务服务平台的基础上，进一步提出了“深化数据高效共享”的要求。

（二）我国政务数据共享的特色做法

从我国政务数据共享的法律法规和实践来看，其已经形成了如下特色做法：

第一，以共享为原则，不共享为例外，即尽可能共享。国务院《政务信息资源共享管理暂行办法》确立了政务信息资源“以共享为原则，不共享为例外”的原则，将其分为无条件共享、有条件共享、不予共享三类，并明确规定“凡列入不予共享类的政务信息资源，必须有法律、行政法规或党中央、国务院政策依据”。各地关于政府数据共享的地方性规定都落实了这一规定。例如，《上海市公共数据和一网通办管理办法》在将公共数据分为无条件共享、授权共享和非共享的同时，提出“应用场景授权”的制度设想，即只要共享需求符合具体应用场景，就可以直接使用共享数据。《湖北省政务数据资源应用与管理办法》规定，有条件共享类的政务数据，数据共享申请被拒绝的，政务数据使用部门可以提请本级政务数据主管部门协调解决。

第二，政务数据共享在统一的政务数据共享平台上进行。《贵阳市政府数据共享开放条例》规定，市人民政府依托“云上贵州”贵阳分平台，统一建设政府数据共享平台，用于汇聚、存储、共享、开放全市政府数据。《上海市公共数据和一网通办管理办法》规定，行政机关应当依托市大数据资源平台和区大数据资源分平台，实现公共数据整合、共享、开放等环节的统一管理。《安徽省政务数据资源管理办法》规定，本省建设江淮大数据中心平台，推进各类政务数据互联互通、归集汇聚、共享开放、开发应用；江淮大数据中心平台分为总平台、分平台和子平台，组成江淮大数据中心框架体系。2021年7月1日，江淮大数据中心总平台在合肥宣告正式上线。江淮大数据中心按照“1个江淮大数据总平台+16个市子平台+N个省直部门分平台”的“1+16+N”总体框架体系建设，实现了数据统分结合、互联互通、共建共享。该总平台是安徽省全省数据汇集共享的“总枢纽”，也是数据共享的“总调度”和数据服务的“总出口”。

第三，颁布政务数据资源目录清单，公布共享清单。国务院《政务信息资源共享管理暂行办法》要求各政务部门、各地方政府编制政务信息资源目录。《湖北省政务数据资源应用与管理办法》规定，对不予共享的政务数据资源采取负面清单管理。《上海市公共数据和一网通办管理办法》规定，本市对公共数据实行统一目录管理，明确公共数据的范围、数据提供单位、共享开放属性等要素；公共管理和服务机构根据履职需要，形成需要其他单位予以共享的数据需求清单；对法律、法规、规章明确规定不能共享的数据，列入共享负面清单。《贵阳市政府数据共享开放条例》规定，市级政府数据共享目录应当按照规定公布。《贵州省政府数据共享开放条例》规定，要“定期发布政府数据共享、开放责任清单”。

第四，“一数一源、一源多用”，可通过共享获得的数据不重复采集。我国政务数据共享的目标之一是提高政府机关的工作效率。“让数据多‘跑路’、让群众少跑腿”。国务院《政务信息资源共享管理暂行办法》提出了“一数一源”原则，并明确要求“凡属于共享平台可以获取的信息，各政务部门原则上不得要求自然人、法人或其他组织重复提交”。《贵阳市政府数据共享开放条例》《上海市公共数据和一网通办管理办法》《安徽省政务数据资源管理办法》等均规定，政务部门采集数据，应当按照一数一源、一源多用的要求，实现一次采集、共享使用，不得重复采集、多头采集；可以通过共享方式获得政务数据的，不得通过其他方式重复采集。《广东省公共数据管理办法》对“一数一源”的规定更为明确。

三、我国政务数据共享涉及的个人信息保护法律问题与相关风险

我国很多政务数据共享的法规、政策都是在2021年8月《个人信息保护法》颁布之前出台的。在《个人信息保护法》颁布之后，它们都要接受《个人信息保护法》的检验，以使政务数据共享行为符合《个人信息保护法》的规定。因此，有必要结合该法分析我国政务数据共享涉及的个人信息保护法律问题。同时，也有必要排查分析政府数据共享蕴藏的相关风险，以便未雨绸缪，提前做好防范。

（一）政务数据共享的个人信息保护法律问题

我国政务数据共享的上述四点特色，都涉及个人信息保护法律问题。

第一，“尽可能共享”与个人信息处理的合法性基础问题。在当前依法行政、依法治国时代，政府的行为必须经受法律和法治的检验，一旦政府行为遭受社会公众的合法性质疑，便会损及政府的声誉。共享的政务数据中，可能包含个人信息。从《中华人民共和国民法典》（以下简称《民法典》）开始，我国就统一使用“处理”这一概念来统称对个人信息的收集、存储、使用、加工、传输、提供、公开等活动。《个人信息保护法》继承了这一做法，在第4条对“个人信息处理”进行了同样的定义。因此，如果共享的政务数据中包含个人信息，这种数据共享行为实际上是数据“提供”行为，属于“个人信息处理”行为，应遵守《个人信息保护法》，应具备该法第13条规定的合法性基础。对于私人主体来说，其处理个人信息的主要合法性基础是《个人信息保护法》第13条第1款第1项规定的“取得个人的同意”。但对于国家机关来说，其处理个人信息的主要合法性基础是《个人信息保护法》第13条第1款第3项规定的履行法定职责所必需。国家机关为履行法定职责，收集个人信息，可不经个人同意，但这并不意味着其向其他国家机关提供个人信息时，不需要个人同意，因为向其他国家机关提供个人信息并不都是履行法定职责所必需。

第二，统一共享平台与数据集中存储问题。一些地方要求共享的数据集中存储。例如，《贵阳市政府数据共享开放条例》规定，行政机关在职责范围内采集政府数据，进行处理后实时向共享平台汇聚。《安徽省政务数据资源管理办法》规定，政务部门应当按照政务数据资源目录要求，及时向江淮大数据中心平台完整归集并更新政务数据资源，实现政务数据资源的集中存储。《广东省公共数据管理办法》规定，公共管理和服务机构应当完整、准确地将本机构公共数据资源目录中的公共数据向省政务大数据中心汇聚。集中存储的数据，如含有个人信息，是否违反了《个人信息保护法》第19条关于“除法律、行政法规另有规定外，个人信息的保存期限应当为实现处理目的所必要的最短时间”的规定，值得关注。如果违反而寻求集中存储，是否需要通过法律或行政法规对此网开一面？颇值探讨。无论多么强调安全，由于世界上不存在绝对的安全，大型中央数据库在便利数据整理与分析的同时，也存在着安全危机。“一个单一的数据库使身份盗贼和捣乱者（mischief-makers）（政府内外都可能有）更容易从事肮脏的工作（dirty work），因为访问记录要容易得多。”因此，对此要慎之又慎。

第三，公布共享清单与告知义务的履行问题。国家机关在处理个人信息之前，应按照《个人信息保护法》第17条的规定，按法定要求向个人告知若干事项。公布共享清单不等于履行告知义务，因为前者没有送达相关个人信息主体本人。如果认为对个人进行《个人信息保护法》第17条规定的告知将妨碍履行法定职责的，应寻求法律或行政法规另行规定，即由法律或行政法规明确规定国家机关处理个人信息不需要告知的具体情形，以符合《个人信息保护法》第18条的规定。《个人信息保护法》第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当履行相应的告知义务，并取得个人的单独同意。国家机关之间含有个人信息的政务数据共享行为，属于《个人信息保护法》第23条规定的个人信息对外提供，信息提供方应依照《个人信息保护法》第23条的规定履行告知义务，并取得个人的单独同意。显然，现在的很多政务信息共享，未完全做到这一点。

第四，“一数一源、一源多用”与目的限制问题。《个人信息保护法》第6条规定了“目的限制”或“目的特定”原则。第34条则规定了国家机关处理个人信息需在“履行法定职责所必需的范围和限度”内进行。虽然国务院《政务信息资源共享管理暂行办法》规定“使用部门对从共享平台获取的信息，只能按照明确的使用用途用于本部门履行职责需要，不得直接或以改变数据形式等方式提供给第三方，也不得用于或变相用于其他目的”。《贵州省政府数据共享开放条例》甚至规定，“政府数据共享开放应当具有合法目的和用途，遵循正当、必要、适度的原则”。但对于数据提供方来讲，其是否遵循了《个人信息保护法》第6条规定的“目的限制”或“目的特定”原则，不无疑问。

（二）政务数据共享的风险

除了前述合法性风险和大型中央数据库的安全风险之外，政务数据共享还存在如下风险，这些风险也同样与个人信息保护相关。

第一，大数据监控带来的正常行为减少。在数据共享之前，数据处于分散状态。在数据共享之后，数据汇聚在一起，将能够精确、深刻刻画出一个人的“数字形象”，揭示一个人的特征、爱好，甚至洞察出其更为隐蔽的行为或心理，触及一个人更为核心的隐私。因此，大规模的数据共享可能会导致大数据监控。而人们意识到被一直监控，不但会感到极度不安，还会改变他的行为。大数据监控可能导致自我审查和行为抑制。正因为监控的行为抑制效应，它才被视为一种社会控制工具。通过社会上他人的监视，会使社会规范更加有效地运作，进而提高了社会规范的权力。例如，随地吐痰的人也担心遭人白眼。正因为社会监视的有利作用，有人将其视为“天空中的友好的眼睛，不是‘老大哥’，而是和蔼而警觉的伯父或姑母”。但是，太多的社会监控，也会产生负面作用。它会影响个人的自由、创新和自我发展。“对人们迈出的每一个第一步或错误的开始进行普遍监控，将使人们的选择倾向于平庸和随大流。”社会监控还使人们的社会角色“发生了微妙而根本的变化，粗糙的边缘和有棱角的边缘将被磨平”。如果人们知道自己的信息和数字足迹处于被监控的状态之中，他们会约束自己言行，防止其自然流露，刻意控制其言行，时时处于“表演”之中。在这种压抑的状态之下，即便是天才也不再会有激情和灵感。“监控的风险在于，它会降低创造力、表达力和创新能力。”大数据监控会带来经济上的“寒蝉效应”，抑制经济创新。对经济创新的抑制，其实就是对于经济发展潜能的抑制。大数据监控对正常的活动带来的抑制效应甚至是难以预料的。2018年，英国公共卫生和英国医学协会（Public Health England and the British Medical Association）指出，政府部门之间为追踪移民目的共享数据可能会阻止人们的医疗行为，从而造成健康风险。公众对政府监控的担忧可能会减少公众对公共服务的参与。

第二，法律缺失导致不可估量之风险。任何行为都有风险，如果该风险可以估量，即可以事先预测风险出现的概率和损失的大小的话，这个风险可以通过管理予以消化，并不可怕。但如果难以事先预测风险出现的概率和损失的大小，这个风险就非常可怕了。对于政府来讲，数据提供方对于个人信息主体在数据共享之后产生的与个人信息相关的风险全然不知。例如，通过共享一个人的房产数据，可以了解一个人的财产状况，精确定位到数据主体，但这对个人的财产和人身安全带来的风险，不可估量。如果数据主体被精准诈骗，或者被坏人追踪、伤害甚至死亡，数据提供方该承担什么样的责任？目前难以预计。对于个人来讲，越多数据共享意味着越多的伦理风险。如果能够无限期地重复使用数据，就有可能发现不可预测的相关性。个人对此完全不可预计，将时刻处于惶恐不安之中。

尽管我国已有《数据安全法》《个人信息保护法》，但没有政务数据共享的专门法律。数据提供部门与数据使用部门在数据共享过程中究竟应该承担什么样的责任？拥有哪些权力？因数据共享产生的问责究竟由谁启动，采取何种问责方式和问责程序？均缺乏相应的明确法律规定。这种法律模糊导致一些政务部门在数据共享中担心会出现数据错误、数据泄露、数据误用等问题，可能无法明确追责或追责过度。这种责任不明导致政务数据共享推进受阻。

第三，力量对比失衡风险。“knowledge is power”有两种译法：“知识就是力量”和“信息就是力量”。谁拥有信息，谁就拥有知识。谁的信息越多，知识也就越多，力量也就越大。在大数据时代，拥有信息的一方要么是政府，要么是数字巨头，而不是个人。“信息主体与信息处理者之间在信息拥有、技术能力等方面差距拉大，已然形成巨大的权利势差。”个人与政府之间、数字企业之间的力量失衡。各种力量恰到好处的制衡，有利于事物之间关系的和谐稳定。这种力量制衡关系一旦被急剧打破，必将危及事物之间关系的和谐稳定。

四、我国政务数据共享的风险防范与法律完善

基于以上问题，笔者提出如下对策建议以防范政务数据共享的风险，夯实政务数据共享的合法性基础。

（一）制定政务数据共享法

目前我国推进政务数据共享主要靠政策。虽然政策有及时性、灵活性的优势，但其措辞弹性大，精细化程度不足，可操作性欠缺。国务院虽然颁布了《政务信息资源共享管理暂行办法》，对政务信息资源共享提出了指导原则和具体要求，但对于数据共享过程中的个人数据主体（即个人）的权利，以及政务部门如何保障这些权利、承担何种责任、权利保障的程序为何、救济措施为何等关键制度还缺乏明确的规定。政务数据共享涉及国家秘密、商业秘密、个人信息与隐私的保护，利益关系复杂，所涉法律法规较多。有些制度尚需要对现行法予以突破（后面详述），而行政法规的层级较低，难以完成这一任务。因此，应梳理所涉法律之间的关系，制定一部政务数据共享法。观诸国外，欧盟的数据共享主要是通过制定《数据治理法》和《数据法》来推动的，英国则通过《2017年数字经济法》（DEA）来推动。因此，我国也有必要制定一部政务数据共享法，以规范政务数据共享行为。

为避免大数据监控，政务数据共享法应为政务数据共享划定禁区，明确规定哪些个人信息不得共享。“共享为原则，不共享为例外”的原则适合不含个人信息的政务数据领域，但不适合个人信息领域。哪些个人信息可以共享，哪些个人信息不能共享或有条件共享，应在政务数据共享法中予以明确规定，以让社会公众可以预期。

对于可以共享的含有个人信息的政务数据，政务数据共享法应规定，哪些政务数据共享可豁免《个人信息保护法》第13条规定的“取得个人的同意”，哪些政务数据共享可豁免《个人信息保护法》第17条规定的告知义务。

为最大程度地保护个人信息，政务数据共享法应引入经设计的个人信息保护理念。数据共享的目的是挖掘数据或集中数据，使个人和社会受益并使这种受益最大化，同时将共享数据可能引发的风险最小化。经设计的个人信息保护理念倡导将个人信息保护措施贯穿于技术的整个生命周期：从早期设计到使用再到删除、销毁，使对个人信息的保护由被动转为主动，更有利于保护个人信息。这一理念已经被诸多国家或地区的个人信息保护法采纳，如欧盟《通用数据保护条例》（GDPR）第25条确立了经设计的个人数据保护条款，实现了技术标准事前预防与法律规范事后问责的有机结合。我国立法有必要进一步明确经设计的个人信息保护理念与规则，在政务数据共享过程中，将个人信息保护贯穿于数据的采集、共享、删除、销毁等整个数据生命周期过程之中。在数据共享时，优先选择去标识化甚至是匿名化后的数据，以切实保护个人信息。

政务数据共享法更为重要的任务是规定完备的政府数据共享法律责任制度。有人认为，在政府数据共享的过程中，数据真实准确性等出现问题的，如果不是由于故意或者重大过失，不应当对提供数据的政府部门以及工作人员进行问责。这主张一般过失、轻微过失可以免责，是否妥当，颇值商榷。《贵州省政府数据共享开放条例》明确规定：“行政机关按照法律、法规的规定开展政府数据共享、开放，并履行了监督管理职责和合理注意义务的，依法不承担或者免予承担因共享开放的数据质量等问题产生的相应责任。”这一规定较为科学，即如无过错则无责任。但这仅限于因共享开放的数据质量等问题而产生的相应责任，如不属于因数据质量问题而产生的责任，如因数据泄露而产生的责任，则难以免责。

我国台湾地区“个人资料保护法”第28条第1项规定了公务机关的无过错归责原则，但不可抗力除外。该条规定的损害，既包括财产损失，也包括非财产损害。甚至还规定了定额赔偿制度。由于违法侵害个人资料事件，一个行为可能有众多被害人或造成损害过于巨大，为避免赔偿额过巨无法负担并为风险预估与控管，该条第4项规定了赔偿限额。我国政务数据共享法可以借鉴我国台湾地区的上述规定，规定政务机关的个人信息侵权限额。

笔者曾经专门撰文认为：政府开放数据造成数据使用人损害的，以及不予开放政府数据行为导致他人产生纯粹经济损失的，政府不承担赔偿责任。这两种情形、行为享有免于被他人起诉的特权，即具有不可诉性。政府共享行为与此类似，即政府机关共享数据造成数据使用人损害的，作为数据提供方的政府机关不承担赔偿责任（故意的除外）；不予共享政府数据行为导致他人产生纯粹经济损失的，政府机关也不承担赔偿责任。这两种情形、行为具有不可诉性。但政府共享数据与数据开放不同之处之一在于，数据开放前要进行匿名化处理，不得开放个人信息，而数据共享尽管尽量共享去标识化甚至匿名化的数据，但很多共享的数据都含有个人信息。无论是在政府数据开放过程中未进行好匿名化处理而给个人造成损害的，还是在共享个人信息过程中给信息主体造成损害的，信息主体认为政府开放数据或共享数据的行为侵犯其合法权益，均可以依法申请赔偿。

《中华人民共和国国家赔偿法》（以下简称《国家赔偿法》）第3条规定了行政机关及其工作人员在行使行政职权时侵犯人身权的，受害人有取得赔偿的权利，该人身损害仅限于公民身体伤害或者死亡等严重人身伤害情形；第4条规定行政机关及其工作人员在行使行政职权时侵犯财产权的，受害人有取得赔偿的权利。赔偿义务机关（行政机关）有《国家赔偿法》第3条、第4条规定情形之一的，应当给予赔偿。赔偿请求人要求赔偿，应当先向赔偿义务机关提出，也可以在申请行政复议或者提起行政诉讼时一并提出。政府共享数据的行为，造成公民身体伤害或者死亡的可能性很小。在我国《民法典》体系中，隐私权与个人信息虽然与生命权、身体权、健康权等同属“人格权（益）”，但作为具体人格权，与生命权、身体权、健康权等也是并列关系。《国家赔偿法》第3条所述的造成公民身体伤害或者死亡，分别对应了《民法典》中的身体权、健康权和生命权。侵害隐私权与个人信息，并不直接侵害个人的身体权、健康权或生命权。政府共享数据的行为，造成公民财产损失的可能也是存在的，但这属于间接损害而非直接损害。隐私权与个人信息在我国《民法典》体系中属于人格权而非财产权。政府共享数据的行为，造成公民精神损害的可能性亦存在。我国《国家赔偿法》早期赔偿范围狭窄，未明确规定精神损害赔偿。在2010年修改时增加了精神损害赔偿条款，但其责任范围仅限于公民人身权部分，即存在《国家赔偿法》第3条、第17条规定的侵犯人身自由权、生命健康权情形之一的，赔偿请求人可依法申请精神损害赔偿。但公民不能提出独立的精神损害赔偿请求，只能在以人身自由权、生命健康权受到侵犯为由申请赔偿的同时一并提起精神损害赔偿请求，且需要承担举证责任。国家赔偿制度在实践运行当中，一直存在赔偿案件偏少，赔偿标准和赔偿率较低的问题，其运行状况有待改善。此外，即便不是政府机关实施的个人信息侵权行为而是私人主体实施的个人信息侵权行为，受害人主张侵权损害赔偿亦不容易，其重要原因之一是证成侵权责任成立所需的损害要件存在困难。如果是依据界定财产损失和精神损害的方法来认定个人信息侵害引发的风险是否属于侵权法上的可赔损害，可能无法为受害人提供充分的救济。但法律毕竟是发展的，目前在政务数据开放中，政务机关工作人员还是担心个人信息侵权所导致的国家赔偿责任，更担心发生个人信息侵权事故后上级的追责。另外，《个人信息保护法》第69条规定的个人信息侵权损害赔偿是否适用于行政机关，不无争议。这亟待在政务数据共享法中明确，在政务数据共享中，何种情况下需要赔偿、追责，何种情况下可以免责。

同时，建议引入责任保险机制，使所有过失（含重大过失、一般过失和轻微过失）致相关个人损害的，由保险公司承担赔偿责任，以消除政务工作人员的后顾之忧。

（二）未来修改《个人信息保护法》

《个人信息保护法》第23条的规定对信息共享的要求太高，并未为法律、行政法规另外规定预留法律空间。将来在修改《个人信息保护法》时，为给政务数据共享清除不必要的法律障碍，有必要予以修正。从域外比较法的经验看，告知义务和个人单独同意义务都不是国家机关共享信息时必须履行的义务。根据GDPR第14条第5款第3项，当数据控制者根据欧盟或成员国特别法获取或披露个人信息，且已采取适当措施保护数据主体的合法利益时，可免于告知。英国信息专员办公室（ICO）发布的《数据共享行为守则》指出，对于大多数的公共部门组织来说，决定其是否开展数据共享活动的依据是与其组织相关的立法。有时，公共机构在法律上有义务与特定组织共享特定信息。例如，英国2009年《银行法》第218（3）条规定，英国税务及海关总署（HMRC）应将在苏格兰或北爱尔兰发行纸币（banknote）所获得或持有的任何信息转让给英格兰银行。有时，公共机构将拥有共享信息的明示权力。例如，《2000年金融服务和市场法》第350节规定，如果披露的目的是协助或使这些监管机构能够履行法案或任何其他法案规定的职能，则法规或其他方面规定的保密义务不妨碍税务与海关部门向金融行为监管局或审慎监管局披露收入信息，或向国务大臣披露收入信息以协助其进行符合相关法律规定的调查事项。在某些有限的情况下，英国《数据保护法》规定，组织可以在个人不知情的情况下共享个人数据，甚至敏感数据。例如，数据共享是为了：预防或侦查犯罪；逮捕或起诉罪犯；税收或关税的评估或征收。ICO还在该守则中指出，在某些情况下，法律要求共享数据，例如，2007年《洗钱条例》允许金融机构在某些情况下与执法机构共享个人数据。这种法律要求凌驾于个人的同意或反对之上。

（三）颁布详细指引和协议范本

2017年英国制定了《2017年数字经济法》（DEA），引入了一个框架，用于在公共部门中的特定部门共享个人数据。DEA的第5部分为“数字政府”，提供了允许特定公共部门彼此共享数据的入口（Gateway）。其中一些入口允许共享个人数据，而其他入口允许共享非个人数据。根据DEA，数据共享各方必须遵守数据保护法规，禁止披露违反《数据保护法》的信息。根据DEA第5部分，共享信息的权力由“行为守则”补充，该行为守则必须与信息专员办公室的《数据共享行为守则》的最新版本保持一致。2020年12月，英国信息专员办公室（ICO）发布了《数据共享行为守则》，为企业和组织提供了负责任的数据共享的详尽指引和建议。作为2018年《数据保护法》的一部分，《数据共享行为守则》阐述了数据共享中数据保护的各个方面，如透明度、使用个人数据的合法方式、新的责任原则以及法律对记录数据处理活动的要求，具有非常强的指引性和可操作性。此前，ICO已经在其《隐私通知行为守则》中就隐私通知的起草和分发制定了全面的良好实践指南。ICO还要求组织之间共享数据时签订数据共享协议。建议我国也出台相关的数据共享指引、通知与协议范本，以便于数据共享各方遵守。该类指引、通知与协议范本中还载有详细的投诉路径，也有利于认为自己的权益受损的信息主体维权。

（四）避免建立大型中央数据库，以隐私计算实现数据共享

之所以避免建立大型中央数据库，是因为，一方面，大型中央数据库一旦设立，无论是内部员工的舞弊，还是外部的黑客攻击，都将使我国公民的个人信息面临大规模泄露的风险，危及我国的国家安全。这就像赤壁之战中曹军的战船因连在一起反而易受攻击的道理一样。当然，或许有人会说，可以通过提高防火墙技术来防范攻击。马其诺防线修筑时，可能也是这么想的。天下没有攻不破的防火墙，没有刺不破的盾。计算机防火墙和黑客技术从来都是竞相进化的。安全从来都是相对的。况且还有令人防不胜防的“内鬼”。最好还是不要建立这样的中央数据库，去招惹攻击者。另一方面，大型中央数据库也会招致国际上的很多非议。大数据监控一直是西方社会尤其是美国讳莫如深的话题。在美国，由于特殊的宪法背景，无论是G2G，还是B2G、B2B，数据共享都很忌讳，难以通过法律强制推进。在西方社会，人们普遍认为，大数据监控尤其是秘密监控，“令人反感，因为它故意欺骗一个人关于他的世界，出于不是他自身的原因，阻止他做出理性选择的尝试”。秘密监控还有寒蝉效应（chilling effect）。由于不知道是否会被监控，一个人即使在未被秘密监控时也会怀疑自己被监控。这就是边沁所说的“圆形监狱”，监视者可以看到狱中人，而狱中被监视的人则看不到监视者。此时狱中人理性的选择是服从监狱的规矩，因为在任何时刻，他们都可能被监控。福柯称之为社会规训。因此，意识到可能被监控，将起到实际监控的作用。在美国的司法实践中，法院在一些案例中判令公共场所的监控侵犯了个人隐私。在Nader vGeneral Motors Corp案中，法官指出：“一个人不能仅仅因为他在公共场所就自动公开他所做的一切，仅仅是原告在银行这一事实并没有赋予任何人试图发现他的具体取款金额的权利。”该案的大多数意见认为，公共场所的大规模监控能够揭示通常观测所不能发现的被隐藏的细节；公共场所的大规模监控本身不构成损害，但当它能够破坏（当事人的）秘密时，就构成了可以起诉的损害。中国的社会信用体系（SCS）旨在将数据平台集中到一个支持大数据的监控基础设施中，以管理、监控和预测中国公民、企业、组织和政府的可信度。基于信用评分的惩罚/奖励系统将决定公民和组织是否能够获得市场和税收减免等方面的服务。但却被西方新闻媒体污蔑为“老大哥”或政治控制的手段。它其实是一个复杂的系统，主要关注金融和商业活动，而不是政治活动。

隐私计算（Privacy Computing）可在避免建立大型中央数据库的前提下实现数据共享。通过搭建数据价值的互联互通网络，在确保数据安全可控和隐私保护的同时，实现数据的“可用不可见”“定量定向使用”，从而构建出一个分布式数据价值流通体系，这或许是我国数据要素市场建设的未来方向。中国人民银行于2021年2月发布的《金融业数据能力建设指引》提出，“建立数据规范共享机制，在保障原始数据可用不可见的前提下规范开展数据共享与融合应用”，这描述的正是“分布式数据价值分享”模式。

近年来，快速发展起来的隐私计算技术（多方安全计算、联邦学习、数据可证去标识化等）已成为分布式数据价值分享体系的技术底座。隐私计算在无需转移数据物理存储服务器的情况下实现数据建模分析，从而减少数据协作过程中的风险。联邦学习、多方安全计算等隐私计算技术秉承“数据可用不可见，数据不动模型动”的理念，不流通原始数据，只回传数据的计算模型，并以此实现数据价值出库。在隐私计算框架下，参与方的数据明文不出本地，在保护数据安全的同时实现多源数据跨域合作，可以破解数据保护与融合应用难题。隐私计算也是一些新设立的数据交易所（如北京国际大数据交易所）所倡导的数据流通与交易形式。政务领域也是隐私计算的重要需求方，隐私计算值得在政务数据共享领域大力推广。我国建立“政府数据统一共享交换平台”，应坚持目的特定原则，仅在国家机关“为履行法定职责所必需”时才可以请求信息持有人共享有关个人信息；不宜先将各部门掌握的信息汇聚到一个中央数据库，而是打通各部门的数据接口，在有关国家机关“为履行法定职责所必需”时才发起访问请求。

（五）切实保障个人信息在政务数据共享中的权益

《个人信息保护法》第4章规定了“个人在个人信息处理活动中的权利”，包括个人对其个人信息的处理享有的知情权、查询复制权、更正补充权、删除权、解释说明权等，这些权利在政务数据共享中也应得到落实。

要完善政务数据共享信息披露制度。在我国，公共利益优先、私利服务公益的思维惯性容易导致对个人数据权利的忽视。我们要强化和完善政务数据共享的信息披露制度。政务部门之间共享了哪些类型的信息，即便是通过隐私计算进行共享，也需要对外予以披露。各级大数据主管部门应编制和发布政务数据共享年报，让社会公众更加了解政务数据共享带来的便利，同时也知悉其中的问题和风险以及自己被共享的信息类型。

依法取得个人同意和履行告知义务。在英国，ICO发布的《数据共享行为守则》明确指出，在数据共享环境中，应根据ICO发布的《隐私通知行为守则》进行隐私通知，至少应该告诉个人：你是谁；为什么要共享个人数据；以及你将与谁共享——这可能是实际命名的组织或组织类型。发出通知的主要责任在于最初收集数据的组织。然而，对于所有相关组织来说，确保在整个数据共享过程中，个人始终了解谁拥有自己的个人数据以及这些数据的用途，是一种良好的做法。当数据已披露给其他组织或用于其他目的时，这一点尤为重要。个人数据的接收者最好检查最初收集数据的组织的隐私通知，检查其是否描述了接收者的类型及其对数据的使用。在我国，如不符合法律、行政法规规定的免于获取个人同意和免于告知义务的条件，政务数据共享应依法取得个人同意和履行告知义务。我国也可借鉴英国的上述做法，就告知义务的履行进行更加详细的规定，尤其是明确数据最初收集者的义务和共享之后使用者的义务。

建立双向透明机制。在今天的大多数情况下，只有政府和企业收集和利用有关民众的信息库。这造成了一种危险的不平衡，只有最强大的公共机构和私人企业才能利用这些个人数据。为此，一些专家提倡政府机关与社会公众之间的“双向透明”，即要扭转局面，就必须提高个人发现有关其监测的信息的能力。如果有权势的人要监视我们并收集有关我们生活的数据，我们难道不应该知道正在收集什么信息，并有权访问由此产生的数据库吗？如果政府收集了有关公民的信息，它就不能仅仅用这些数据来指控和定罪——或者更糟糕的是隐藏信息或混淆信息来源——让个人无法进行辩护。根据公认的取证权，必须向被告提供信息，以防止错误定罪，并为已经定罪的人开脱罪责。因此，有学者提出了“数字清白”的概念。“由于政府和商业实体的大规模间谍活动，它们有义务向刑事被告提供可能开脱罪责的证据。企业和政府监控的深度和广度实际上保证了使用大数据工具可以找到数字无辜的证据。”由此，政府应设计一定的程序，让公民能够行使《个人信息保护法》第45条规定的查阅、复制权，并防止政府机关随意以查询、复制可能会妨碍政府机关履行职责为由拒绝公民的查阅、复制请求。

建立数据异议机制，保障个人的救济权。不同部门数据汇聚后，对数据真实性和准确性存在异议的，应当有畅通的渠道和机制接受投诉，并对数据进行更正、补充。数据共享方发现数据质量不高的，应停止共享。此外，《个人信息保护法》第50条规定了个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。政务数据共享也应切实保障该投诉处理权。