郭維嘉　郭少友

摘 要：開(kāi)放政府?dāng)?shù)據(jù)所包含的個(gè)人數(shù)據(jù)給個(gè)人隱私的泄露帶來(lái)風(fēng)險(xiǎn)。本文在分析個(gè)人隱私風(fēng)險(xiǎn)類(lèi)型的基礎(chǔ)上，提出了一種基于全生命周期的個(gè)人隱私風(fēng)險(xiǎn)動(dòng)態(tài)消解機(jī)制，可對(duì)數(shù)據(jù)采集、披露、保存、訪問(wèn)、使用時(shí)期的個(gè)人隱私風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)性的預(yù)防和消解。

關(guān)鍵詞：開(kāi)放政府?dāng)?shù)據(jù)；個(gè)人數(shù)據(jù)；個(gè)人隱私；隱私風(fēng)險(xiǎn)

中圖分類(lèi)號(hào)：G250 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-5168（2018）04-0021-04

Types and Resolution Mechanism of Personal Privacy

Risks in Open Government Data

GUO Weijia GUO Shaoyou

（School of Information Management， Zhengzhou University， Zhengzhou Henan 450001）

Abstract： Personal data contained in open government data poses risks to personal privacy. Based on the analysis of types of personal privacy risks， this paper proposed a dynamic lifecycle-based resolution mechanism of personal privacy risks that could prevent and mitigate personal privacy risks during data collection， disclosure， preservation， access and use.

Keywords： open government data； personal data；personal privacy；privacy risk

1 研究背景

開(kāi)放數(shù)據(jù)是指允許任何人以任何目的免費(fèi)使用、共享的數(shù)據(jù)[1]。各級(jí)政府所發(fā)布的開(kāi)放數(shù)據(jù)可稱(chēng)為開(kāi)放政府?dāng)?shù)據(jù)?，F(xiàn)有研究表明，開(kāi)放政府?dāng)?shù)據(jù)具有促進(jìn)政府透明度、刺激經(jīng)濟(jì)增長(zhǎng)、提高政府服務(wù)和響應(yīng)能力等多種作用[2]，同時(shí)也面臨著侵犯商業(yè)秘密、侵犯?jìng)€(gè)人隱私等風(fēng)險(xiǎn)，其中侵犯?jìng)€(gè)人隱私是較為嚴(yán)重的一種風(fēng)險(xiǎn)。本文將對(duì)開(kāi)放政府?dāng)?shù)據(jù)中的個(gè)人隱私風(fēng)險(xiǎn)類(lèi)型進(jìn)行分析，并在此基礎(chǔ)上提出相應(yīng)的隱私風(fēng)險(xiǎn)消解機(jī)制。

2 開(kāi)放政府?dāng)?shù)據(jù)中的個(gè)人隱私風(fēng)險(xiǎn)類(lèi)型

2.1 開(kāi)放政府?dāng)?shù)據(jù)中的個(gè)人數(shù)據(jù)類(lèi)型

個(gè)人數(shù)據(jù)是指任何與可識(shí)別的自然人有關(guān)的數(shù)據(jù)[3]。隱私是指不愿告人的或不愿公開(kāi)的個(gè)人事宜[4]。從根本上講，只有當(dāng)開(kāi)放政府?dāng)?shù)據(jù)中包含有個(gè)人數(shù)據(jù)時(shí)，才可能出現(xiàn)侵犯?jìng)€(gè)人隱私的情況。討論開(kāi)放政府?dāng)?shù)據(jù)中的個(gè)人數(shù)據(jù)類(lèi)型，有助于識(shí)別其中的個(gè)人隱私風(fēng)險(xiǎn)。

按照數(shù)據(jù)的敏感程度可將個(gè)人數(shù)據(jù)分為兩大類(lèi)，即低敏感度數(shù)據(jù)和高敏感度數(shù)據(jù)。其中，高敏感度數(shù)據(jù)主要包括個(gè)人的健康狀況、犯罪情況、財(cái)務(wù)情況等數(shù)據(jù)。

按照對(duì)個(gè)人數(shù)據(jù)的加工程度，可將其分為原始數(shù)據(jù)、假名數(shù)據(jù)和匿名數(shù)據(jù)三類(lèi)。假名數(shù)據(jù)用自動(dòng)生成的唯一標(biāo)識(shí)符來(lái)替代原始數(shù)據(jù)中的姓名。匿名數(shù)據(jù)是指采用匿名方法對(duì)原始數(shù)據(jù)中的姓名和身份證號(hào)等標(biāo)識(shí)符、疾病和財(cái)產(chǎn)狀況等敏感數(shù)據(jù)進(jìn)行處理后所生成的數(shù)據(jù)。

按照是否應(yīng)依法公開(kāi)，可將個(gè)人數(shù)據(jù)分為依法應(yīng)公開(kāi)的個(gè)人數(shù)據(jù)、依法應(yīng)不公開(kāi)的個(gè)人數(shù)據(jù)。其中，前者主要是指政治人物的數(shù)據(jù)，以及企業(yè)、社會(huì)團(tuán)體中依法應(yīng)公開(kāi)的個(gè)人數(shù)據(jù)。

開(kāi)放政府?dāng)?shù)據(jù)中的個(gè)人數(shù)據(jù)類(lèi)型具體見(jiàn)表1。

2.2 個(gè)人數(shù)據(jù)的隱私風(fēng)險(xiǎn)類(lèi)型

隱私風(fēng)險(xiǎn)是指?jìng)€(gè)人隱私數(shù)據(jù)面臨的各種危險(xiǎn)，可分為如下幾種類(lèi)型。

2.2.1 實(shí)名數(shù)據(jù)的披露風(fēng)險(xiǎn)

2.2.1.1 實(shí)名數(shù)據(jù)的未授權(quán)披露。從目前的實(shí)際情況來(lái)看，政府機(jī)構(gòu)掌握著大量的個(gè)人數(shù)據(jù)，這些數(shù)據(jù)一般有兩個(gè)來(lái)源。一是政府機(jī)構(gòu)直接從個(gè)人那里采集的，例如，在辦理身份證、駕駛證、護(hù)照、健康證及結(jié)婚證等由政府部門(mén)頒發(fā)的證件時(shí)，需要個(gè)人填寫(xiě)姓名、性別、家庭住址和聯(lián)系方式等基本數(shù)據(jù)，有些還需要現(xiàn)場(chǎng)采集一些數(shù)據(jù)，如指紋、頭像、血型等有助于識(shí)別個(gè)人身份的數(shù)據(jù)，以及辨色力、四肢活動(dòng)能力、是否有傳染病等身體狀況數(shù)據(jù)。二是政府機(jī)構(gòu)出于監(jiān)管、服務(wù)的需要，從企業(yè)、事業(yè)單位獲取的個(gè)人數(shù)據(jù)，例如，各級(jí)政府的衛(wèi)生主管部門(mén)從醫(yī)院、疾病控制中心獲取的個(gè)人健康數(shù)據(jù)，公安部門(mén)從互聯(lián)網(wǎng)公司、通信運(yùn)營(yíng)商獲取的個(gè)人上網(wǎng)數(shù)據(jù)。

政府機(jī)構(gòu)在披露上述數(shù)據(jù)時(shí)存在一定的隱私風(fēng)險(xiǎn)，主要是未經(jīng)授權(quán)的披露。目前，很多國(guó)家都頒布了與個(gè)人隱私保護(hù)相關(guān)的法律法規(guī)，如我國(guó)的《中華人民共和國(guó)政府信息公開(kāi)條例》第十四條明確規(guī)定，政府機(jī)構(gòu)不得公開(kāi)涉及個(gè)人隱私的政府信息，但經(jīng)權(quán)利人同意公開(kāi)或者政府機(jī)構(gòu)認(rèn)為不公開(kāi)可能對(duì)公共利益造成重大影響的涉及個(gè)人隱私的政府信息，可以予以公開(kāi)。該條例在實(shí)際執(zhí)行過(guò)程中可能存在以下風(fēng)險(xiǎn)：一是在數(shù)據(jù)發(fā)布環(huán)節(jié)監(jiān)管不力，導(dǎo)致未經(jīng)權(quán)利人同意的個(gè)人數(shù)據(jù)被披露；二是對(duì)“不公開(kāi)可能對(duì)公共利益造成重大影響的涉及個(gè)人隱私的政府信息”把握不準(zhǔn)確，披露了實(shí)際上可以不披露的數(shù)據(jù)。

2.2.1.2 實(shí)名數(shù)據(jù)的低質(zhì)量披露。如第一種情況所述，經(jīng)權(quán)利人同意公開(kāi)或者認(rèn)為不公開(kāi)可能對(duì)公共利益造成重大影響的涉及個(gè)人隱私的政府信息，政府機(jī)構(gòu)可以對(duì)其進(jìn)行披露，但可能存在披露數(shù)據(jù)質(zhì)量不高從而導(dǎo)致用戶(hù)隱私風(fēng)險(xiǎn)加劇的情況。兩種數(shù)據(jù)質(zhì)量問(wèn)題可能會(huì)增加隱私風(fēng)險(xiǎn)：一是披露的個(gè)人數(shù)據(jù)不準(zhǔn)確、不完整，如將個(gè)人的錯(cuò)誤信息發(fā)布到經(jīng)授權(quán)后公開(kāi)披露的DUI逮捕數(shù)據(jù)庫(kù)中，可能會(huì)對(duì)該人的就業(yè)、信貸和保險(xiǎn)前景產(chǎn)生不利影響[5]；二是披露的數(shù)據(jù)導(dǎo)致不公平，如果上述逮捕數(shù)據(jù)庫(kù)中收錄A地區(qū)的罪犯人數(shù)遠(yuǎn)遠(yuǎn)多于同一個(gè)城市中的B地區(qū)，而實(shí)際上兩個(gè)地區(qū)的罪犯人數(shù)相差并不大，可能會(huì)導(dǎo)致A地區(qū)的房?jī)r(jià)下降，或居住在A地區(qū)的受害者被懷疑成罪犯。

2.2.2 匿名數(shù)據(jù)的重新識(shí)別風(fēng)險(xiǎn)。如前所述，除了經(jīng)權(quán)利人同意公開(kāi)或者認(rèn)為不公開(kāi)可能對(duì)公共利益造成重大影響的涉及個(gè)人隱私的政府信息外，政府機(jī)構(gòu)不得發(fā)布涉及個(gè)人隱私的政府信息。為了在不暴露個(gè)人隱私的前提下向社會(huì)各界提供盡可能多的政府信息，以便提高政府透明度，政府機(jī)構(gòu)往往采取某種手段對(duì)個(gè)人隱私數(shù)據(jù)進(jìn)行匿名化處理，并將處理結(jié)果作為非個(gè)人數(shù)據(jù)加以披露。這種方式可能存在如下風(fēng)險(xiǎn)。

一是自發(fā)性的重新識(shí)別，是指外界在沒(méi)有蓄意識(shí)別個(gè)人隱私的前提下從已披露的政府?dāng)?shù)據(jù)中識(shí)別出某個(gè)人，這種情況一般發(fā)生在匿名化后的數(shù)據(jù)中包含有罕見(jiàn)特征，外界能根據(jù)該特征推斷出匿名數(shù)據(jù)的主體，重新識(shí)別的風(fēng)險(xiǎn)與特征的稀有程度成正比。

二是蓄意性的重新識(shí)別，是指蓄意地從政府披露的、已經(jīng)過(guò)匿名化處理的數(shù)據(jù)中識(shí)別出某個(gè)人，采用的手段主要有在同一個(gè)數(shù)據(jù)集合中進(jìn)行記錄鏈接、屬性鏈接、表鏈接、概率攻擊、將匿名數(shù)據(jù)與其他公開(kāi)可用的數(shù)據(jù)集或信息進(jìn)行匹配等[6]。從事這種工作的人可能是研究專(zhuān)家、數(shù)據(jù)掮客等?，F(xiàn)有研究已表明，這種蓄意性的重新識(shí)別完全可能實(shí)現(xiàn)，例如，Sweeney L[7]通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)，美國(guó)政府披露的某個(gè)數(shù)據(jù)集沒(méi)有將郵政編碼、性別和出生日期進(jìn)行匿名化處理，其中87%的個(gè)人可以根據(jù)郵政編碼、性別和出生日期進(jìn)行唯一性的重新識(shí)別。

以下兩個(gè)趨勢(shì)進(jìn)一步增加了上述蓄意性的重新識(shí)別風(fēng)險(xiǎn)：一是智慧城市技術(shù)、重新識(shí)別科學(xué)、數(shù)據(jù)集市技術(shù)、大數(shù)據(jù)技術(shù)等科學(xué)和技術(shù)的不斷發(fā)展和進(jìn)步，使得從匿名數(shù)據(jù)中識(shí)別個(gè)人的可能性提高；二是隨著開(kāi)放政府?dāng)?shù)據(jù)項(xiàng)目的不斷成熟，其數(shù)據(jù)工作重點(diǎn)逐漸從僅僅提供歷史數(shù)據(jù)和統(tǒng)計(jì)數(shù)據(jù)轉(zhuǎn)向提供關(guān)于公民及其活動(dòng)的細(xì)粒度、可搜索、可訪問(wèn)和全面的“微數(shù)據(jù)”，使得重新識(shí)別的風(fēng)險(xiǎn)進(jìn)一步提升[5]。

2.2.3 個(gè)人數(shù)據(jù)的使用風(fēng)險(xiǎn)。個(gè)人數(shù)據(jù)的披露及重新識(shí)別行為本身就存在風(fēng)險(xiǎn)，披露或重新識(shí)別之后的使用具有更大的風(fēng)險(xiǎn)性。無(wú)論是由政府機(jī)構(gòu)依法或征得權(quán)利人同意主動(dòng)披露的個(gè)人數(shù)據(jù)，還是從匿名化的政府?dāng)?shù)據(jù)中重新識(shí)別得到的個(gè)人數(shù)據(jù)，外界在使用這些數(shù)據(jù)時(shí)，都可能會(huì)對(duì)數(shù)據(jù)主體造成危害，而這些危害是個(gè)人數(shù)據(jù)使用風(fēng)險(xiǎn)的具體體現(xiàn)，至少包括以下幾種情況。

①寒蟬效應(yīng)。如果社會(huì)公眾出于對(duì)政府的信任，積極地向政府提供所需的個(gè)人數(shù)據(jù)，而政府未能有效地加以保護(hù)，致使個(gè)人隱私泄露，則社會(huì)公眾可能不愿意再將個(gè)人數(shù)據(jù)提供給政府，這種現(xiàn)象稱(chēng)為個(gè)人隱私領(lǐng)域的寒蟬效應(yīng)[8]。當(dāng)社會(huì)公眾不相信政府能保護(hù)個(gè)人隱私并進(jìn)而不愿意與政府機(jī)構(gòu)提供的信息系統(tǒng)進(jìn)行交互時(shí)，政府所提供的公共服務(wù)質(zhì)量以及社會(huì)公眾與政府之間的信任關(guān)系，都將受到一定程度的影響。

②過(guò)度使用。政府機(jī)構(gòu)在收集個(gè)人數(shù)據(jù)時(shí)都有特定的目的，當(dāng)將個(gè)人數(shù)據(jù)用于該特定目的之外的其他目的時(shí)，則稱(chēng)之為個(gè)人數(shù)據(jù)的過(guò)度使用。目的限制是歐盟數(shù)據(jù)保護(hù)指令（Data Protection Directive）的一項(xiàng)關(guān)鍵原則[3]，按照該原則的要求，當(dāng)政府機(jī)構(gòu)個(gè)人數(shù)據(jù)采集的目的是A時(shí)，如果直接用于目的B或經(jīng)過(guò)聚合后用于目的C或被其他機(jī)構(gòu)用于目的D，即使后三種應(yīng)用本身不存在違法行為，但由于改變了個(gè)人數(shù)據(jù)最初的采集目的A，則后三種行為也被認(rèn)為違反了上述數(shù)據(jù)保護(hù)指令，屬于過(guò)度使用，對(duì)個(gè)人隱私產(chǎn)生了威脅。

③其他危害。個(gè)人數(shù)據(jù)被外界獲取并利用，可能導(dǎo)致個(gè)人的尷尬或焦慮。例如，某個(gè)數(shù)據(jù)分析中心對(duì)公安部門(mén)的犯罪記錄進(jìn)行數(shù)據(jù)挖掘，盡管數(shù)據(jù)中心從公安部門(mén)獲得的是匿名數(shù)據(jù)，但仍然存在被重新識(shí)別的可能，相關(guān)人員可能會(huì)因?yàn)閾?dān)心其犯罪記錄被公安部門(mén)之外的人員獲悉而焦慮不安。此外，個(gè)人數(shù)據(jù)及其所含隱私的泄露，可能會(huì)影響個(gè)人的就業(yè)或與他人的關(guān)系，影響個(gè)人獲得服務(wù)（如保險(xiǎn)服務(wù)）的能力，也可能造成財(cái)產(chǎn)損失或損害，可能導(dǎo)致被歧視、被頻繁騷擾或人身安全處于危險(xiǎn)之中等。

3 基于開(kāi)放政府?dāng)?shù)據(jù)全生命周期的個(gè)人隱私風(fēng)險(xiǎn)動(dòng)態(tài)消解機(jī)制

政府機(jī)構(gòu)的開(kāi)放數(shù)據(jù)項(xiàng)目涉及數(shù)據(jù)的采集、披露、保存、訪問(wèn)和使用等一系列環(huán)節(jié)，個(gè)人數(shù)據(jù)的隱私風(fēng)險(xiǎn)與每個(gè)環(huán)節(jié)都相關(guān)，需要在每個(gè)環(huán)節(jié)都建立相應(yīng)的隱私風(fēng)險(xiǎn)消解機(jī)制。由于外部環(huán)境不斷發(fā)生變化，如可用于重新識(shí)別匿名數(shù)據(jù)的外部數(shù)據(jù)集越來(lái)越多、國(guó)家的相關(guān)政策法規(guī)不斷完善等，往往需要根據(jù)這些變化不斷重復(fù)某個(gè)環(huán)節(jié)的工作，甚至修改相應(yīng)的消解機(jī)制?；诖?，本文在現(xiàn)有相關(guān)研究的基礎(chǔ)上提出一種基于開(kāi)放政府?dāng)?shù)據(jù)全生命周期的個(gè)人隱私風(fēng)險(xiǎn)動(dòng)態(tài)消解機(jī)制，其基本原理如圖1所示。開(kāi)放政府?dāng)?shù)據(jù)的全生命周期主要由數(shù)據(jù)采集、數(shù)據(jù)披露、數(shù)據(jù)保存、數(shù)據(jù)訪問(wèn)和數(shù)據(jù)使用等5個(gè)階段組成，其中數(shù)據(jù)保存階段兼具銷(xiāo)毀不宜再保存數(shù)據(jù)的功能。在圖1中，空心箭頭指明了全生命周期的過(guò)程，單實(shí)線箭頭指明了各個(gè)階段的消解機(jī)制，單虛線箭頭描述了消解的動(dòng)態(tài)性。

3.1 采集時(shí)期的隱私風(fēng)險(xiǎn)消解

政府機(jī)構(gòu)可通過(guò)各種渠道采集個(gè)人數(shù)據(jù)，包括私營(yíng)企業(yè)的社交媒體平臺(tái)，如微信等。該環(huán)節(jié)的隱私風(fēng)險(xiǎn)消解可通過(guò)兩項(xiàng)措施來(lái)完成：一是同意機(jī)制；二是公告機(jī)制。前者是指政府機(jī)構(gòu)在采集個(gè)人數(shù)據(jù)時(shí)，必須征得個(gè)人的同意，后者是指政府機(jī)構(gòu)必須將個(gè)人數(shù)據(jù)采集的類(lèi)型、目的、范圍及數(shù)據(jù)的用途、使用方式等相關(guān)內(nèi)容以公告的形式發(fā)布在數(shù)據(jù)采集網(wǎng)站的首頁(yè)，以便個(gè)人了解數(shù)據(jù)的最終去向及可能存在的隱私風(fēng)險(xiǎn)。數(shù)據(jù)采集中隱私風(fēng)險(xiǎn)消解的另一個(gè)常見(jiàn)機(jī)制是設(shè)置審查委員會(huì)來(lái)監(jiān)督個(gè)人數(shù)據(jù)的采集，該委員會(huì)的職責(zé)是監(jiān)督采集政策是否合理、同意機(jī)制和公告機(jī)制是否有效實(shí)施等。

3.2 披露時(shí)期的隱私風(fēng)險(xiǎn)消解

筆者認(rèn)為，政府機(jī)構(gòu)采集個(gè)人數(shù)據(jù)之后，即使不披露出去，也存在隱私泄露風(fēng)險(xiǎn)，但更大的風(fēng)險(xiǎn)來(lái)自披露時(shí)期。如2.2節(jié)所述，實(shí)名數(shù)據(jù)存在未授權(quán)披露和低質(zhì)量披露的風(fēng)險(xiǎn)，匿名數(shù)據(jù)存在因去標(biāo)識(shí)化不徹底而可能被重新識(shí)別的風(fēng)險(xiǎn)。為了有效降低這些風(fēng)險(xiǎn)，在披露之前應(yīng)對(duì)這些風(fēng)險(xiǎn)進(jìn)行評(píng)估，以決定是否披露、如何披露。如圖1所示，隱私風(fēng)險(xiǎn)評(píng)估包括4個(gè)步驟：①數(shù)據(jù)評(píng)估，包括識(shí)別個(gè)人數(shù)據(jù)中是否存在直接和間接標(biāo)識(shí)符、是否存在敏感屬性、是否存在難以去標(biāo)識(shí)化的信息、與其他數(shù)據(jù)集的可鏈接性等；②收益評(píng)估，包括可能受益的用戶(hù)群體、潛在收益的重要性、潛在收益變?yōu)楝F(xiàn)實(shí)的可能性等；③風(fēng)險(xiǎn)評(píng)估，包括可能的危險(xiǎn)用戶(hù)群體、潛在的隱私風(fēng)險(xiǎn)及其嚴(yán)重程度、潛在風(fēng)險(xiǎn)變?yōu)楝F(xiàn)實(shí)的可能性等；④利弊權(quán)衡，在收益評(píng)估和風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上權(quán)衡利弊，并根據(jù)權(quán)衡結(jié)果來(lái)決定是否披露個(gè)人數(shù)據(jù)，實(shí)名披露還是匿名披露。

針對(duì)隱私風(fēng)險(xiǎn)評(píng)估的三種結(jié)果，即不能披露、可以實(shí)名披露和需要匿名披露，應(yīng)分別采用不同的風(fēng)險(xiǎn)消解機(jī)制。對(duì)于不能披露的數(shù)據(jù)，由于保存下來(lái)仍然會(huì)有隱私泄露的風(fēng)險(xiǎn)，因此，可以直接銷(xiāo)毀。對(duì)于可以實(shí)名披露的數(shù)據(jù)，應(yīng)采取授權(quán)審核機(jī)制來(lái)防止監(jiān)管不力和判斷不準(zhǔn)確所導(dǎo)致的未授權(quán)實(shí)名披露，同時(shí)采取質(zhì)量監(jiān)控機(jī)制來(lái)防止數(shù)據(jù)不準(zhǔn)確、不完整、不公平所導(dǎo)致的低質(zhì)量實(shí)名披露。對(duì)于需要匿名披露的數(shù)據(jù)，可以采用數(shù)據(jù)加密、去標(biāo)識(shí)化、數(shù)據(jù)統(tǒng)計(jì)的方法進(jìn)行數(shù)據(jù)匿名化，其中去標(biāo)識(shí)化方法可采用添加噪音、排列變更、差分隱私、數(shù)據(jù)聚集、K匿名等多種手段[6]。

3.3 保存時(shí)期的隱私風(fēng)險(xiǎn)消解

從數(shù)據(jù)所有者的角度看，包含著個(gè)人隱私的政府?dāng)?shù)據(jù)保存在政府機(jī)構(gòu)或其代理機(jī)構(gòu)中，隱私被泄露的風(fēng)險(xiǎn)并不比保存在其他機(jī)構(gòu)中的風(fēng)險(xiǎn)低。實(shí)名數(shù)據(jù)或匿名數(shù)據(jù)披露之后，除了采用常規(guī)的數(shù)據(jù)保護(hù)措施來(lái)保障個(gè)人隱私安全之外，還應(yīng)考慮本地原始數(shù)據(jù)的去留對(duì)個(gè)人隱私安全的影響?？刹捎脛h除機(jī)制和透明機(jī)制來(lái)降低原始數(shù)據(jù)的隱私泄露風(fēng)險(xiǎn)。刪除機(jī)制用于保證在數(shù)據(jù)披露之后的規(guī)定時(shí)間點(diǎn)上刪除原始數(shù)據(jù)。對(duì)于那些必須由政府機(jī)構(gòu)長(zhǎng)期持有的個(gè)人數(shù)據(jù)，可通過(guò)透明機(jī)制來(lái)保障個(gè)人的知情權(quán)，政府機(jī)構(gòu)應(yīng)允許個(gè)人通過(guò)某種手段（例如，電話查詢(xún)、網(wǎng)站查詢(xún)、手機(jī)APP查詢(xún)）查詢(xún)保存在政府信息系統(tǒng)中的個(gè)人原始數(shù)據(jù)。

3.4 訪問(wèn)時(shí)期的隱私風(fēng)險(xiǎn)消解

外界對(duì)包含個(gè)人數(shù)據(jù)的政府?dāng)?shù)據(jù)進(jìn)行訪問(wèn)時(shí)，可以通過(guò)預(yù)設(shè)的訪問(wèn)控制機(jī)制來(lái)降低訪問(wèn)過(guò)程中的隱私風(fēng)險(xiǎn)，訪問(wèn)許可證、可視化是兩個(gè)重要的舉措。前者可在現(xiàn)有開(kāi)放數(shù)據(jù)許可協(xié)議如Creative Commons Attribution、UK Open Government License等的基礎(chǔ)上添加一項(xiàng)“禁止重新識(shí)別個(gè)人隱私數(shù)據(jù)”，將其作為新的開(kāi)放政府?dāng)?shù)據(jù)使用許可協(xié)議，并放置在開(kāi)放政府?dāng)?shù)據(jù)網(wǎng)站的顯著位置，以便禁止以重新識(shí)別個(gè)人隱私數(shù)據(jù)為目的的用戶(hù)訪問(wèn)并獲取數(shù)據(jù)。后者通過(guò)查詢(xún)系統(tǒng)來(lái)限制外界對(duì)個(gè)人數(shù)據(jù)的訪問(wèn)行為，具體辦法是政府機(jī)構(gòu)通過(guò)API接口來(lái)開(kāi)放政府?dāng)?shù)據(jù)，外界需要輸入查詢(xún)條件來(lái)獲取檢索結(jié)果，且該結(jié)果以可視化方式呈現(xiàn)，從而進(jìn)一步降低了從中重新識(shí)別個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)。

3.5 使用時(shí)期的隱私風(fēng)險(xiǎn)消解

為了進(jìn)一步降低個(gè)人數(shù)據(jù)在使用時(shí)期的隱私風(fēng)險(xiǎn)，可以建立必要的審計(jì)機(jī)制和問(wèn)責(zé)機(jī)制。前者用于檢查個(gè)人數(shù)據(jù)如何被利用和共享，以及是否存在濫用行為，后者用于對(duì)侵犯隱私權(quán)的行為進(jìn)行民事或刑事處罰。如圖1所示，在開(kāi)放政府?dāng)?shù)據(jù)全生命周期的5個(gè)時(shí)期中，對(duì)個(gè)人數(shù)據(jù)隱私風(fēng)險(xiǎn)的控制都是動(dòng)態(tài)的，當(dāng)外部條件（如與個(gè)人隱私保護(hù)相關(guān)的國(guó)家政策、法律、法規(guī)，外部數(shù)據(jù)源）發(fā)生變化時(shí)，需要及時(shí)調(diào)整原有的隱私風(fēng)險(xiǎn)控制機(jī)制。

4 結(jié)語(yǔ)

開(kāi)放政府?dāng)?shù)據(jù)中包含著大量的個(gè)人數(shù)據(jù)，應(yīng)采取必要的措施來(lái)預(yù)防個(gè)人隱私的泄露。本文在分析開(kāi)放政府?dāng)?shù)據(jù)中個(gè)人隱私風(fēng)險(xiǎn)類(lèi)型的基礎(chǔ)上，提出了一種基于全生命周期的個(gè)人隱私風(fēng)險(xiǎn)動(dòng)態(tài)消解機(jī)制，可對(duì)采集、披露、保存、訪問(wèn)、使用時(shí)期的個(gè)人隱私風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)性的預(yù)防和消解。

參考文獻(xiàn)：

[1]Open Definition 2.1[EB/OL].（2017-12-16）[2018-01-01].http：//opendefinition.org/od/2.1/en/ .

[2]Kucera J， Chlapek D. Benefits and risks of open government data[J]. Journal of Systems Integration，2014（1）：30-41.

[3]Graux H. Open government data： reconciling PSI reuse rights and privacy concerns [EB/OL]. （2017-11-16）[2018-01-01].https：//www.europeandataportal.eu/sites/default/files/2011_open_government_ data_reconciling_psi_re_use_rights_and_privacy_concerns.pdf.

[4]中國(guó)社會(huì)科學(xué)院語(yǔ)言研究所.現(xiàn)代漢語(yǔ)詞典[M].北京：商務(wù)印書(shū)館，1991.

[5]City of Seattle open data risk assessment[EB/OL].（2017-11-12）[2018-01-01]. https：//fpf.org/wp-content/uploads/2017/08/FPF-Seattle-Open-Data-Report_Proposed-Draft-August-2017.pdf.

[6]Chen R，F(xiàn)ung B C M，Mohammed N，et al. Privacy-preserving trajectory data publishing by local suppression[J]. Information Sciences，2013（1）：83-97.

[7]Sweeney L. Simple Demographics Often Identify People Uniquely[J]. Pittsburgh，2000 （2000）： 1-34.

[8]Zuiderveen Borgesius F，Van Eechoud M，Gray J. Open data， privacy， and fair information principles： towards a balancing framework[J]. Social Science Electronic Publishing，2015（30）：1-47.