摘要:政府数据开放中个人信息处理活动具有特殊性:与私主体处理信息行为相比,处理行为为公权行为,处理目的指向公共利益,处理对象属于公物;与国家机关其他领域处理信息行为相比,处理主体更为多元、处理行为有所侧重、处理目的具有不特定性。知情同意规则、目的限制原则等个人信息保护核心规制手段无法适用于政府数据开放场景。应当立足个人信息种类与政府数据开放类型的关联,基于风险管理理念区分不同数据开放类型面临的风险等级,设置差异化、以促进个人信息合理利用为目的的个人信息保护义务体系。
关键词:数据开放;数字政府;个人信息;个人信息保护法;知情同意
问题的提出
数字时代的到来催生了政府数据开放制度,各国政府纷纷在线公开其掌握的公共数据资源供社会公众利用。政府数据开放与传统的政府信息公开制度虽表现形式相似,但并不以公民知情权为基础建立,也不为实现透明问责的政治目的。它是政府结合数字技术实现国家治理变革的制度工具,旨在通过开放数据、鼓励数据创新应用实现繁荣经济、改善服务、提升治理能力等良好行政目标。政府数据开放已成为数字国家发展的一项重要内容。根据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》对数字化驱动下的数字中国建设的统一部署,政府数据开放既是提高数字政府建设水平的关键举措,也是创新公共服务、推动数字社会建设的题中之义,更为激活数据要素潜能,促进数字经济发展提供基础保障。可见,政府数据开放是数字政府、数字经济、数字社会一体建设的关键环节。
数字时代爆炸式增长的数据资源主要是和人及其行为相关的数据信息,政府数据也不例外,其中包含大量由政府直接收集、通过第三方采集或依法管理的个人信息。政府数据开放与个人信息保护之间存在天然张力。为有效发挥政府数据开放的制度功能,应尽可能开放政府数据资源供社会利用。但含有大量个人信息的政府数据资源的开放利用给个人隐私等合法权益带来严重威胁。从个人本位出发,为保护公民个人信息权益,应将个人信息从政府数据开放资源中完全剔除,禁止一切基于个人信息的再利用行为。然而,个人信息并不是绝对的私权,在政府数据开放领域反而呈现出更多的公共面向,应当在为其提供必要保护基础上促进合理利用,以提升公共福祉,有助于推动实现国家治理体系和治理能力现代化。因此,如何在保护公民个人信息权益和促进个人信息合理利用之间寻求平衡,探索最佳的个人信息保护与利用机制成为政府数据开放制度的重要命题。
我国中央层面尚未制定政府数据开放相关立法。2021年8月20日通过的《个人信息保护法》调整国家机关的个人信息处理活动,成为规范政府数据开放中个人信息保护问题的法律依据。根据《个人信息保护法》的相关规定,现阶段我国地方政府能否开放利用包含个人信息在内的政府数据资源,主要取决于公民个人的知情同意。但在政府数据开放场景适用知情同意规则将极大减损政府数据资源的应用价值,严重阻碍数据开放制度功能的实现,其正当性亟待反思。虽然《个人信息保护法》明文规定调整国家机关的个人信息处理行为,但其立法定位和立意主要是以个人权益保护为中心,通过赋予个人知情权、决定权等个人控制权,经由知情同意规则等私法保护路径规范私主体的信息处理活动。这种基于私权关系建立起的保护模式并不完全适用于公权处理场景,《个人信息保护法》在第二章第三节所规定的五个条文远不足以为国家机关个人信息处理活动的特殊性提供规范支撑。《个人信息保护法》现有的规范框架未考虑到个人信息的公共面向,没有为处于实践探索阶段的政府数据开放制度中个人信息的合理利用预留相应空间。本文拟从政府数据开放中个人信息保护问题的特殊性出发,论证个人信息保护制度中确立的知情同意规则、目的限制原则在政府数据开放场域的适用不能,进而基于个人信息种类与政府数据开放类型的关联,探讨在不同开放类型下差异化的个人信息保护路径。
一、政府数据开放中个人信息保护的特殊性
政府数据开放中的个人信息处理既不同于企业等私主体的个人信息处理活动,也不同于公权力主体在其他领域的个人信息处理行为,在个人信息处理主体、处理对象、处理行为和处理目的等方面均呈现出特殊性。
(一)政府数据开放中不同于私主体处理个人信息的面向
政府数据开放中处理个人信息,较一般私主体处理个人信息而言,在行为性质、处理目的、处理客体方面存在鲜明差异。
1.处理行为是公权行为
政府数据开放中的个人信息处理(除开放后公众利用行为外)属于有权机关行使公权力行为。处理个人信息的主体是数据开放主体,一般具体表现为行政机关或承担公共管理和服务职能的机构。不同于企业等私主体基于私法关系的个人信息处理行为,政府数据开放主体是依法行使公权力处理个人信息。目前我国政府数据开放的制度建构采用“中央政策引导、地方立法先行先试的立法路径”。《促进大数据发展行动纲要》《公共信息资源开放试点工作方案》等中央政策,贵州、上海、浙江等地出台的地方立法为开放主体职责权限提供直接政策和法律依据。鉴于公民和数据开放主体处于不平等地位,二者之关系也不同于私法领域的公民与私主体处理者之间的平等关系。但这种不平等地位区别于一般行政管理活动中政府与公民的管理与被管理、监督与被监督的对立关系。政府数据开放的服务性更强,有学者认为其“本质上就是政府提供的一项公共服务”。政府数据开放开创了政府服务的“共同生产”甚至“共同创造”的新形式。其中,数据开放主体在处理个人信息时,二者之间更体现为一种保护与被保护关系。
2.处理目的指向公共利益
政府数据开放主体对个人信息的处理是基于公共目的,为实现公共利益。政府数据开放制度的形成动因和最终目的都指向增进整个社会公共福祉,促进人类社会更好发展。在此之下,各国政府分别在政治、经济、社会等领域为政府数据开放设置能够创造公共价值的具体目标。以最先制定政府数据开放立法的美国为例,美国于2018年12月21日通过专门立法《开放政府数据法案》,确立了提升政府透明度、提高行政效能和促进创新等政府数据开放具体目标。继美国后,英国和许多欧洲国家也相继出台数据开放政策,主要目标包括提升透明度和问责制、刺激创新、改进和支持决策、促进数据重用、打击腐败以及提供新产品和服务等。我国虽尚未出台国家层面专门的政府数据开放立法,但在先行先试的地方立法中,也体现出开放数据的公共目的属性。例如,我国首部地方数据开放专门立法《上海市公共数据开放暂行办法》将提升政府治理能力和公共服务水平,推动数字经济发展列为立法目的。首部省域政府数据开放专门立法《浙江省公共数据开放与安全管理暂行办法》规定,加快政府数字化转型,推动数字经济、数字社会发展是规范和促进公共数据开放的目标。相较于西方国家预设的广泛公益目标,我国对政府数据开放的目标定位更侧重经济、社会方面的公共价值创造。
3.处理客体属于公物
政府数据具有财产属性,多国将其列为新型国有财产。政府数据开放中与个人无关的数据被划归国有公物供公众利用并无疑问,但涉及个人信息部分会遭到来自私权保护理论的诘问。将个人信息视为公物可以很好解决这一问题。
首先,开放利用包括个人信息在内的政府数据资源能够满足社会共同需要。政府数据开放是满足社会对政府数据共同需要的必要途径。政府数据不仅能够满足企业和公民创新发展、追求自身价值最大化的个体需要,也能满足促进经济发展、提升公共服务水平与治理能力的国家需要。而公共产品本质上是满足社会共同需要的产物。其次,数据开放中的个人信息符合公物的基本特征。“所谓公物是指行政主体支配之下的直接服务于公共利益并供公众无须许可或根据特定的许可使用的,或者是服务于行政活动的物品。”政府数据开放中包含个人信息的数据开放利用即是开放主体出于公益目的开放其管理控制的数据信息资源,通过鼓励公众创新使用进而增进整个社会公共福祉的有效举措。“根据公众同时使用公产的人数区别,使用方式可分为集体的共同使用和个别的独占使用两种。”鉴于政府数据开放分为完全开放和有限开放两大类别,对其中个人信息的使用也相应分为一般公众的共同使用和特定主体的独占使用。最后,将个人信息定性为公物能够回避其在政府数据中的权利归属困境,为个人信息的合理使用另辟蹊径。“公物不限于公有财产中的公物,公物也可以为私人所有。公有财产侧重于谁对财产享有所有权,而公物则侧重于财产为谁服务”。将个人信息作为公物使用,无需以明确其权利归属为前提,只需径直关注其基于公共目的的合理使用问题。
(二)政府数据开放中不同于国家机关处理其他领域个人信息的面向
政府数据开放中处理个人信息,与国家机关处理其他领域个人信息相比,呈现出处理主体更为多元、处理行为有所侧重、处理目的具有不特定性等特征。
1.处理主体更为多元
一般个人信息处理场景主要涉及二元主体,即个人信息主体和个人信息处理主体。其中,公法关系中的个人信息处理主体主要是指国家机关或依据法定授权处理个人信息的组织。而政府数据开放中的个人信息处理主体更为复杂,除了基本的二元主体外,还涉及广泛的、不特定的第三方处理主体。在政府数据资源对外开放前,处理主体主要是数据开放主体,由其对包括个人信息在内的数据资源进行汇聚、整合、分类、储存等处理活动。而政府数据资源对外开放后,处理主体不再限于国家机关和法定授权组织,公民、法人、其他组织等私主体也被纳入进来。具体而言,对于经过去标识化处理完全开放的政府数据,所有不特定的社会主体都可进行再使用,从而成为处理主体。对于保留个体识别性有限开放的政府数据,符合特定条件的私主体也能处理个人信息。
2.处理行为有所侧重
通常情况下,国家机关为履行法定职责处理个人信息,从收集行为开始,后续可能涉及储存、使用、加工、传输、提供等行为,但一般不得公开,除非取得个人同意。即便取得个人同意,个人信息处理者公开个人信息前也要履行风险评估、过程记录等程序要求。而政府数据开放中的个人信息处理行为从汇聚开始。由作为数据开放主体的行政机关以及公共管理和服务机构将其控制的数据信息汇聚整合到统一开放平台。数据汇聚后,可能涉及对开放平台上数据的储存、传输、公开、利用等处理行为。与一般国家机关的个人信息处理不同,在政府数据开放中,公开是最为关键的个人信息处理行为类型,是政府数据资源公共利用的前提。政府数据开放后,处理主体由开放主体转移至数据利用者,处理行为也随即丰富起来。
3.处理目的具有不特定性
政府数据开放具有促进更有效率和效能的知识生产,并产生经济创新、社会创新和财富创造的能力。这些能力的发挥源于对政府数据资源的开发应用。政府数据资源价值的挖掘程度,高度依赖于数据使用者的创新度。如果要求用户只能基于预设的特定目的使用数据,将极大限制用户的创新能力,进而影响大数据的潜能释放。“更杂”是大数据时代思维变革的一大特征,即接受混杂性而放弃精确性。对精确性的放弃,也包括放弃对预先设定好数据处理目的的执着。大数据技术尤其擅长从不相关中发现关联,通过聚合海量数据信息获得意外收获。这意味着数据应用最初并不具有某一强烈的目的性,即便有预设目的,结果也很可能偏离初衷。例如,“政府基于经济目的实行一个开放数据项目,结果却发现这个系统使提供文件和纠正腐败变得更加便捷。”可见,政府数据开放制度所支持的数据处理目的是不特定的,而且这种不特定应当被鼓励,以保障在更广泛意义上促进创新,进而实现政府数据开放不特定的、多元化的制度目标。
二、知情同意和目的限制不适用于政府数据开放场景
知情同意规则和目的限制原则是全球个人信息保护立法中普遍采用的规制手段,我国也不例外,《个人信息保护法》也将二者作为规范个人信息处理活动的核心规则。然而,鉴于政府数据开放与私主体以及国家机关在处理其他领域个人信息上的区别,知情同意和目的限制在政府数据开放领域均呈现出适用困境。
(一)知情同意规则在政府数据开放中的适用不能
个人信息在政府数据资源中占据重要比重,政府数据开放中的汇聚整合、共享交换、开放使用等环节均涉及个人信息处理活动。《个人信息保护法》明确规定,国家机关处理个人信息的活动适用本法,并设专节对国家机关的个人信息处理行为作出更为严格的特别规定。据此,政府数据开放中的个人信息处理活动受《个人信息保护法》规范调整。根据《个人信息保护法》第13条对个人信息处理前提的一般规定,政府数据开放主体仅在取得个人同意或符合法定豁免情形时方可处理个人信息。第13条明确列举的、个人同意以外的五项豁免情形中,政府数据开放场景可能适用的只有“(三)为履行法定职责或者法定义务所必需”。法定职责或法定义务中的“法”应该如何理解?目前,我国尚未制定政府数据开放相关法律、行政法规,各地方以地方性法规、地方政府规章形式出台的法律依据是否属于第(三)款规定的“法”?理解这一问题还需结合第13条第一款第(七)项的规定,即“法律、行政法规规定的其他情形”。根据这一兜底条款,可以看出《个人信息保护法》对个人信息处理者不经个人同意的个人信息处理豁免情形采取严格、审慎的态度,只有法律、行政法规才可作出此类规定。同理,第(三)项法定职责、法定义务中的“法”也应理解为仅限于法律、行政法规,其他层级的立法无权赋予个人信息处理者豁免个人同意的权限。如此,在中央层面政府数据开放立法缺位的情况下,各地想要开展政府数据开放中的个人信息处理活动,只能寻求个人的知情同意。由此,知情同意规则成为我国目前规范数据开放主体个人信息处理活动的核心规制手段,并在实质上极大阻碍了政府数据开放中个人信息的开放空间。
然而,知情同意规则在政府数据开放中不能适用。首先,政府数据开放中的个人信息处理活动的合法性并不源于知情同意,而是基于公共利益等豁免事由对个人信息的合理使用。知情同意的基础是个人信息自决权,权利人享有对个人信息的收集和处理的知情同意权。而合理使用是将个人信息权益与他人合法权益、公共利益进行法益权衡,最终对个体权益进行限缩保护的结果。自然人个人信息中受保护的法益主要有两类:隐私权和个人信息处理活动中的权利。其中,隐私权以个人信息中的私密信息为保护对象,主要体现为防御功能,要求任何组织或个人不得侵害公民享有的隐私权。除了对私密信息的隐私保护以外,自然人对其他主体基于可识别其身份的个人信息所作的处理行为享有积极控制权,用以抵御其他主体对其个人信息的非法处理。然而,自然人基于个人信息享有的法益并不具有绝对优先保护地位。有些个人信息权利的行使,可能会影响到他人的信息权利、企业的正当权益、市场机制以及公共利益。此时立法者应基于价值考量通过法律对个人信息受保护的民事权益作出正当与合理的限制。因此,各国的个人信息保护立法中都规定了个人信息处理的豁免情形,包括国家利益、公共利益和他人合法利益豁免等。
《个人信息保护法》第13条具体列举了五项个人同意豁免事由,但不包括政府数据开放利用场景。而政府数据开放的制度定位决定了应当将其纳入豁免情形。政府数据开放作为数字政府、数字经济、数字社会建设的重要制度设计,以开放数据资源鼓励社会创新利用为基点,以实现经济社会等广泛领域公共利益为目标,决定了其具有合理使用个人信息的正当性基础。例如,繁荣经济是各国政府开放数据资源的主要动因,我国上海市、浙江省等地均明确将推动数字经济发展作为公共数据开放的重要目标。鉴于政府数据资源中与个人相关信息占据重要比重,一概优先保护个人信息权益可能严重阻碍数字经济发展进程。而在欧盟《通用数据保护条例》中,国家重要经济利益被明确列为属于公共利益范畴。除了公共利益豁免外,政府数据开放中还存在他人合法权益豁免情形。个人信息保护法益与平等主体的数据使用权益发生冲突时,也存在合理使用空间。大数据具有低价值密度特征,数据量越大,价值越大。具体到政府数据开放情形,面对庞大的政府数据量,每个独立自然人信息的人格利益和财产利益极低。只有越多的个人信息汇聚成大规模数据,其中蕴涵的人格利益和财产利益才越大。当作为数据使用者的合法利益显著大于公民个人信息权益时,就应优先保障他人合法利用权益。目前《个人信息保护法》尚未考虑到政府数据开放对于整个数字国家发展的重要作用,应当将其纳入合理使用豁免情形,从而促进对个人信息的合理使用和价值释放。个人对于公共利益豁免等情形并无自主决定权,不能适用知情同意规则,应当遵循法律保留原则,由法律、行政法规对政府数据开放豁免作出明文规定。
其次,从实然层面看,在政府数据开放中适用知情同意规则也不具有可行性。知情同意这一基于私权自决原理建立起来的个人信息保护规则的有效性已遭到普遍质疑。“大数据技术下的个人信息具有数量大、价值密度低、智能处理以及信息获得和其使用结果之间相关性弱等特征,这使得个人无法以私权为制度工具对个人数据信息的产生、储存、转移和使用进行符合自己意志的控制。”而该规则的规范失灵在政府数据开放场景时的体现更为明显。要求数据开放主体向统一开放平台提供个人信息前,以及作为接收方的开放平台和社会公众变更处理目的、处理方式前取得个人同意的规则,在政府数据开放中无法适用:一方面,在汇聚环节适用知情同意规则,不仅会耗费巨大运行成本,数据资源价值也会因个人拒绝而极大减损;另一方面,政府数据开放制度的核心要义是促进社会公众基于不特定目的充分利用数据释放潜能,要求变更处理目的需重新取得个人同意不具有可操作性。
(二)目的限制原则与政府数据开放制度定位相左
目的限制是个人信息保护的重要手段,为世界范围内大多数个人信息保护立法所确认。例如,对全球隐私保护立法影响最为深远的,经合组织于1980年发布的《隐私保护和个人数据跨境流通指南》即提出了目的限制原则(Purpose Specification Principle),规定收集个人数据时应明确收集目的,收集后应仅限于收集目的使用,或者其他不相抵触目的。每次改变使用目的时应指明用途。
我国《个人信息保护法》也吸收借鉴了目的限制原则,第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
对个人信息处理活动实行目的限制能够起到控制信息处理行为的效果,将可能的侵害性降到最低。特别是当个人信息处理者是拥有强大公权力的国家机关时,目的限制成为预防公权恣意的有效手段,也符合比例原则对公权力行使的限度要求。
目的限制规则在大部分国家机关的个人信息处理活动中都能发挥良好作用,但却与政府数据开放的制度定位相左。汇集众智进行数据创新应用,最大程度创造公共价值是政府数据开放的原动力。私主体在商业领域进行数据创新取得的巨大成功让政府意识到大数据在创造经济价值上的潜力和在解决公共治理难题上的能力,也看到了数字技术发展应用给政府治理变革带来了重大机遇。但政府本身的数据创新应用能力极为有限,只有将数据资源开放给社会,让个体能够自由获取并创新使用,整个社会才能产生巨大的价值增量。当大数据也是开放数据时,大数据最有用,能够实现经济、社会价值的最大化。如此,政府数据开放制度应运而生。各国政府均为政府数据开放设定了多元的制度目标,旨在通过开放数据资源、促进数据创新,在不特定的广泛领域实现更多价值创造。而最终制度目标的实现程度高度依赖社会公众对政府数据资源的创新利用程度。然而,不特定用户个性化需求的满足,政府数据开放多元预设目标的实现,在更广泛领域创造更多公共价值愿望的达成,共同指向一个基本要素,即不得对数据处理行为实行目的限制。只有不对包括个人信息在内的政府数据资源的处理目的进行特定限定,政府数据开放的制度功能才得以发挥。
三、基于政府数据开放类型差异化的个人信息保护义务配置
现有的个人信息保护规制方式无法应对政府数据开放的多样化场景。政府数据开放包括多种开放类型,不同开放类型下个人信息的种类、个人信息保护的重点、相应的个人信息处理者保护义务均不同。
(一)政府数据开放类型
我国对政府数据资源实行分级分类管理。政府数据开放制度的开放类型可分为三类:完全开放、有限开放和禁止开放。完全开放是指政府通过统一数据开放平台向全社会开放政府数据资源。完全开放是政府数据开放的常态化开放方式,具有以下两大特征:一是开放对象非歧视性,针对不特定社会主体无差别开放;二是开放内容全面性,尽可能开放数据资源的全部而不是部分。有限开放是政府数据开放的独特方式,是在开放与不开放两个极端之间的平衡处理。对于何为有限开放存在不同理解。根据《上海市公共数据开放暂行办法》的规定,对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据列入有条件开放类。而《浙江省公共数据开放与安全管理暂行办法》将以下三类数据确定为受限开放类数据:一是涉及商业秘密、个人信息;二是开放将严重挤占公共数据基础设施资源,影响公共数据处理运行效率;三是开放后预计带来特别显著的经济社会效益,但现阶段安全风险难以评估。尽管不同开放主体对有限开放的具体解释不同,但都表达出只有符合特定条件的用户方可使用有限开放类数据的意思,特定条件一般指向用户的数据处理技术能力和安全保障能力。故此,有限开放本质上是对开放对象作出的合理限制。为了确保有限开放的开放性,限制条件需设置合理(不得指向唯一适用者)并向社会公开,平等对待所有符合条件者。禁止开放是开放主体基于安全、保密、隐私保护等考量,不向社会开放的政府数据类型。豁免开放的数据范围包括国家安全、公共安全、经济安全、社会稳定、国家秘密、商业秘密、个人隐私、知识产权保护等。
(二)个人信息分类与政府数据开放类型的关系
匿名化是解决政府数据开放中个人信息保护问题的理想途径。经过匿名化处理的个人信息由于丧失识别身份功能而免受《个人信息保护法》的规范。据此,在政府数据开放中只需要对其中涉及的个人信息进行匿名化处理,就能彻底排除《个人信息保护法》的约束,从而最大限度实现包含个人信息政府数据的完全开放与流通利用。然而,“经过匿名化处理的信息仍可能残存一定的可识别性,将其彻底排除个人信息保护立法的规制范围,事实上难以有效消解匿名信息具有的剩余风险。”甚至有学者直接阐明,计算机科学家已经证实,对隐藏在匿名化数据中的个人进行重新识别或者去匿名化非常容易。可见,匿名化技术本身可能就是乌托邦。匿名化的去识别原理也使得经过处理的信息的再利用价值大幅缩减。
鉴于匿名化处理存在的问题,各国的个人信息保护立法也给出了替代解决方案。欧盟《通用数据保护条例》和美国《加利福尼亚州消费者隐私法案》(The California Consumer Privacy Act)等都规定了去标识化,用以指代一种使个人信息在不借助额外信息的情况下无法识别特定信息主体的个人信息处理方式。我国个人信息保护立法也吸收借鉴此内容,并要求个人信息处理者履行去标识化义务。去标识化处理只有限消除了个人信息的直接识别性,并未彻底消除间接识别性,个人身份仍然具有可识别风险。因此,不同于经过匿名化处理,经过标识化处理的个人信息仍属于个人信息范畴,受《个人信息保护法》的调整。去标识化是在个人信息安全性和可用性之间作出平衡的结果。匿名化虽然能够确保个人信息安全,但个人信息的利用价值也因此作出巨大牺牲。去标识化则是实现保障个人信息安全和促进个人信息流通利用双重目的的更优选择。
政府数据开放在划分开放类型时包含着保护个人信息的考虑。政府数据开放立法一般都会将个人隐私保护作为豁免开放事由,私密信息因而被列入政府数据开放中的禁止开放类别。除隐私信息外,不属于隐私范畴但开放利用可能导致个人受到歧视或者人身、财产安全受到严重危害的敏感个人信息,也属于禁止开放类别。根据《贵州省政务数据资源管理暂行办法》的规定,对于非涉密敏感信息的政务数据,只要经过脱敏清洗并对其使用条件和适用范围进行限制后方可完全开放或有限开放。为防范因数据汇聚、关联分析等严重加剧的个人身份重新识别风险,《浙江省公共数据开放与安全管理暂行办法》规定,对于涉及个人信息的公共数据,只有经信息主体知情同意后,方可纳入有限开放范围。可见,目前我国地方政府数据开放立法倾向于将个人信息权益保护置于较促进个人信息合理利用更优先的地位,对涉及个人信息的公共数据开放实行严格管控。
个人信息去标识化效果分类为不同开放类型下政府数据开放的个人信息保护标准提供重要指导,有利于促进政府数据的开放与应用。“个人信息科学规范的分类是强化个人信息保护措施的前提。”有学者主张应根据个人信息的不同识别能力设置相应的信息处理活动规制手段。这种精细化规制思路也同样适用于政府数据开放中的个人信息保护。2021年4月,国家信标委发布《信息安全技术个人信息去标识化效果分级评估规范》(征求意见稿),基于重标识风险,从高到低将个人信息标识度分为四级。政府数据开放可适用该国家标准,评估其中涉及的个人信息标识度级别,进而在保障个人信息安全的前提下促进政府数据再利用。具体而言,可将聚合数据、重标识风险可接受数据两类重标识风险较低的个人信息纳入完全开放范围;另根据个人信息保护与公共利益、他人合法利益在具体个案中的利益权衡,将能直接识别主体的数据和消除直接标识符的数据这两类重新识别风险较高的个人信息通过有限开放予以保护利用。
(三)完全开放类政府数据中的个人信息保护义务
个人信息标识度为4级和3级的个人信息可以采用完全开放的方式。4级是对数据进行汇总分析得出的聚合数据,并不包括单个主体的个人信息,完全开放造成个人信息侵权的风险最低。3级是已消除直接标识符,虽然包含准标识符,但重标识风险低于设定阈值,当其被不当利用时对自然人权益产生的影响较小,在可接受范围。此类个人信息的识别能力较弱,开放利用面临的侵权风险较小,个人信息处理者的保护义务也应相应降低或免除。
首先,自然人对于此类个人信息不再具有个人控制权,个人信息处理者也无需履行目的限制等义务要求。对于被纳入完全开放类的个人信息,公民个人信息权益要受到公共利益及他人合法权益的限制。具体表现为个人信息处理者处理完全开放的个人信息,无需经过信息主体的知情同意,也不受目的限制规则及比例原则等限制。数据开放主体汇聚、整合、储存、开放数据资源目的的明确性与合理性不言自明,数据使用主体基于豁免事由对个人信息的合理开发利用,也不受由私权保护衍伸出的目的限制等规则约束。
其次,作为个人信息处理者的数据开放主体应当严格落实安全保障义务。开放前,开放主体应首先对拟开放数据资源中涉及的个人信息进行去标识化处理及效果分级,根据分级结果确定拟开放范围,未经去标识化处理不得向社会开放。进而,开放主体就拟开放的个人信息进行风险评估。《个人信息保护法》明确规定了个人信息保护影响评估制度,相关的国家标准《信息安全技术个人信息安全影响评估指南》对个人信息评估的操作流程作出详细指引。有学者提出,个人信息风险评估固然重要,但也应建立起评估有效性的监督机制,比如要求评估结果报告向社会公开等。除了开放前采取去标识化技术措施并开展个人信息风险评估外,数据开放主体在开放后还要履行数据利用监管、安全事件应对等义务。
最后,作为个人信息处理者的数据使用主体应当履行最低限度的保护义务。因完全开放类下的个人信息侵权风险较低,数据使用者主要履行禁止性义务。一是禁止非法使用。政府数据完全开放并不对用户的个人信息处理目的作出明确、合理、有限等正面限制,相反主要表现为反向限制,即要求用户不得基于非法目的使用个人信息。例如,浙江省数据开放平台公布的数据开放授权许可使用协议第3条规定,“用户基于本平台公共数据资源开发的各类应用和服务,应遵守有关法律、法规和规章的规定,不得用于任何可能危害国家安全和社会公共利益、侵犯商业秘密和个人隐私或其他不正当的用途。”二是禁止重新识别。重新识别抵消了数据开放主体为保护个人信息所做的努力,使大量个人信息暴露于数据使用者面前,不仅给信息主体的隐私、人格等个人信息权益带来侵扰,还可能严重威胁公共利益和国家安全。因此,应当禁止数据使用者的重新识别行为,在《个人信息保护法》明确信息使用者的禁止再识别义务,并建立健全相应的民事、行政、刑事法律责任体系。具体而言,可在政府数据开放许可使用协议中与用户约定违约赔偿责任,违约后监管机构可对其进行处罚,“对以非法交易或从事违法犯罪活动为目的的再识别行为,借鉴英国《数据保护法案》中施以刑事制裁。”
(四)有限开放类政府数据中的个人信息保护义务
政府数据资源中个人信息标识度为1级或2级的个人信息可采用有限开放方式。虽然此类个人信息经过利益衡量可以有限开放,但开放利用面临的侵权风险较高,应当课予个人信息处理者与重新识别风险防范相当的、较完全开放更为严格的个人信息保护义务。其中,数据开放主体应当更加审慎、严格地履行去标识化处理、个人信息风险评估、数据利用监管、安全事件应对等义务,但数据使用者的安全保障义务则不只是程度上的加深,还有内容上的变化。
第一,不适用知情同意等个人控制规则,使用政府数据开放许可协议规制数据使用行为。虽然有限开放类中的个人信息能够直接识别身份或具有重新识别的高风险,但依然没有个人控制权的适用空间。政府数据开放中包含的个人信息具有显著的公共性,性质上应当将其定为公物。“数据作为天然的公共品服从固有的互惠分享的原理,在此基础上个人信息保护观念应从私益保护面向到公益保护面向转变,从社会风险和防范角度来理解个人信息保护目的。”政府数据开放中个人信息保护目的更多体现在公共领域,排斥通过赋予自然人控制权以保护个人信息的权利保护方式。应由数据开放主体与数据使用者通过签订政府数据开放许可使用协议的方式,根据有限开放项目的具体情况实现对个人信息风险的灵活管控。《浙江省公共数据开放与安全管理暂行办法》第17条即明确要求对于受限开放类公共数据,开放主体应当与利用主体签订公共数据开放利用协议,并要求协议应对数据利用情况反馈、数据开放情况评价、数据利用用途、限制传播、署名、安全保障、监督检查等内容作出约定。开放许可使用协议的内容明确了在对特定开放数据的使用中,数据开放主体和数据使用者双方的权利义务。据此,政府数据有限开放利用的数据使用秩序得以确立,同时达到保护个人信息并促进数据再利用的双重目的。
第二,增加对个人信息处理者的使用限制。有限开放中个人信息的重新识别风险较高,且个人信息处理者的处理技术能力较强,因此个人信息处理活动要受到较完全开放更为严格的限制。例如,根据个人信息重新识别风险高低设置限制使用措施。对于1级能直接识别身份的个人信息,可采用领地开放方式,在开放主体确定的物理范围内开放。对于2级仍具有间接识别性的个人信息,可在禁止重新识别义务之上,增设访问对象范围等限制条件。再如,在许可协议中约定使用目的。个人信息保护立法中的目的限制原则、公开透明原则在有限开放中适用于许可协议双方主体。有限开放中数据使用者对个人信息主体不负目的限制和公开透明义务,但应当向数据开放主体履行此类义务。这是从风险管理角度作出的制度安排。由于有限开放类个人信息具有识别性,除了防止数据使用者进行重新识别外,还要预防基于识别性展开的不当应用。比如,将有限开放的个人信息用于社会分类。根据社会分类选择特定对象进行的数据分析应用,产生的结果很可能是歧视性的、不公平的,甚至导致社会两极分化。只有数据使用者的使用目的向数据开放主体公开透明,开放主体才能实行有效的数据使用风险监管。数据开放主体与有限开放用户应当事先商议数据应用目的,并约定由数据使用者向数据开放主体公开处理目的。如果协议履行过程中数据使用方需要变更使用目的,应当告知开放数据主体并征得其同意。此外,对使用者的使用限制还包括禁止传播等。未经开放主体许可,数据使用者禁止向他人传播或向公众公开其基于有限开放方式获取的个人信息,以及个人信息处理结果。
第三,加强个人信息使用者的安全保障义务。保障信息处理安全被各国个人信息保护立法列为个人信息处理者的重要法定义务。使用包含个人信息的政府数据资源,使用者应当采取必要措施保障个人信息处理活动的安全性。由于有限开放类的数据处理风险较高,相应地对数据使用者的安全保障能力要求也更高。除了在数据利用前使用匿名化、去标识化等技术保护措施外,安保措施还应贯穿数据利用全过程。为欧美法律和执法机构认可的经设计的隐私(Privacy By Design)理念可为数据使用者履行安全保护义务提供借鉴思路。该理念要求使用数据全过程中将个人信息保护作为数据合规流程和管理机制的重要一环,从前端产品开发到后台数据管理,都将个人信息保护作为重要原则融入数据处理全过程。政府数据开放许可协议中应当约定由数据使用者提供数据使用全流程的个人信息保护策略,并随时接受数据主体的安全评估与监督检查。为增强监督的有效性,可对提供基础性互联网平台服务主体的义务设置条款,如成立独立监督机构、定期发布使用报告接受社会监督等。
结语
政府数据开放语境下个人信息保护的根本目的在于促进个人信息的合理利用,通过释放政府数据资源潜能增进整个社会的公共福祉。因此,相较于其他场景的个人信息保护,个人信息处理者在政府数据开放中的个人信息保护义务在很大程度上得以减免。当然,公共属性并不是个人信息保护义务豁免的“帝王条款”。基于风险管理理念,区分不同数据开放类型面临的风险等级,设置差异化的义务体系才是政府数据开放中的个人信息保护之道。个人信息保护制度对政府数据开放中个人信息处理活动特殊性的忽视,不仅会严重阻碍政府数据开放制度本身发展,还会影响数字经济发展中的资源配置,以及数字政府和数字社会的协同建设。我国应尽快出台法律或行政法规级别的政府数据开放相关立法,从而为政府数据开放中的个人信息处理行为提供合法依据,也为促进政府在数字国家建设中发挥引领作用创造条件。
