陳 美

(中南財經(jīng)政法大學(xué)公共管理學(xué)院 武漢 430073)

0 引 言

自美國領(lǐng)先全球建構(gòu)政府開放數(shù)據(jù)平臺以來，世界各國皆陸續(xù)著手推動各項開放數(shù)據(jù)措施。但是，政府開放數(shù)據(jù)在提高經(jīng)濟(jì)和社會效益的同時，也給個人和團(tuán)體的隱私保護(hù)帶來極大風(fēng)險和挑戰(zhàn)[1]。之所以選擇美國作為政府開放數(shù)據(jù)的隱私風(fēng)險控制的案例研究，原因在于：從國際實踐角度來看，美國政府開放數(shù)據(jù)起步相對較早，而且在萬維網(wǎng)基金會于2017年5月發(fā)布的《開放數(shù)據(jù)晴雨表：全球報告》(第四版)中，美國在全世界綜合排名第四[2]；從國內(nèi)研究情況來看，目前有學(xué)者對美國開放政府?dāng)?shù)據(jù)中個人隱私保護(hù)進(jìn)行了研究，但主要分析美國個人隱私保護(hù)的法律法規(guī)、政府?dāng)?shù)據(jù)開放政策、隱私保護(hù)機構(gòu)[3]，而本文則側(cè)重從美國在政府?dāng)?shù)據(jù)開放中個人隱私評判、隱私影響評估和政策邏輯分析來梳理理論和實踐經(jīng)驗。因此，本文利用文獻(xiàn)調(diào)研和案例分析的方法，以美國為研究對象，對其政府開放數(shù)據(jù)隱私風(fēng)險控制進(jìn)行分析，以期為我國政府開放數(shù)據(jù)的隱私保護(hù)提供借鑒。

1 美國政府?dāng)?shù)據(jù)開放中個人隱私的評判標(biāo)準(zhǔn)

1.1個人隱私界定美國對于個人數(shù)據(jù)并沒有一個通用的定義，但2015年2月27日所發(fā)布的《消費者隱私權(quán)法》(Consumer Privacy Bill of Rights Act)草案中對于個人數(shù)據(jù)進(jìn)行了定義。依照第四條的規(guī)定，所謂個人數(shù)據(jù)是指：覆蓋實體所管理的數(shù)據(jù)，而且一般公眾無法合法的獲取，它包括覆蓋實體的鏈接，或是實踐上得以鏈接到個人，或關(guān)系個人，或得以鏈接個人日常使用機器的數(shù)據(jù)。這些數(shù)據(jù)種類包括但不限于姓名、地址、電話、社會安全號碼、護(hù)照號碼、指紋、聲紋等生理識別數(shù)據(jù)、數(shù)字或字母的網(wǎng)絡(luò)識別數(shù)據(jù)、個人計算機的識別數(shù)據(jù)等[4]。

就保護(hù)內(nèi)容而言，美國《憲法》的若干個修正案中都有隱私權(quán)的相關(guān)規(guī)定。

a.根據(jù)第一修正案(First Amendment)，人們享有其社團(tuán)和信仰方面的隱私權(quán)[5]。在1958年全國有色人種協(xié)會與亞拉巴馬州政府的案子(NAACP v. Alabama，357 U.S. 449)[5]中，NAACP是一個紐約州的公司，通過當(dāng)?shù)匾恍]有登記的社團(tuán)法人團(tuán)體在亞拉巴馬州進(jìn)行運營。1956年，亞拉巴馬州要求法院禁止NAACP繼續(xù)在亞拉巴馬州進(jìn)行這種活動，原因是NAACP沒有符合相關(guān)規(guī)定：外國公司如果要經(jīng)營商業(yè)，那么必須進(jìn)行本州島登記。在這個訴訟停止的過程中，亞拉巴馬州要求NAACP提供很多的記錄，如NACCP的會員名冊等重要數(shù)據(jù)，但NACCP認(rèn)為，亞拉巴馬州要求公開的這些信息是違憲的。最終，美國最高法院在對這個案子做出裁決后，結(jié)社自由就成為基本權(quán)利，而且這個權(quán)利受到美國第一修正案的保護(hù)。這個案件就是一個典型的悖論及其合理性訴求：在“信息公開”與“隱私保護(hù)”之間存在沖突的情況下，如何在信息公開中保護(hù)個人隱私。

b.公民對家中的隱私和個人物品也可有合理的期望。根據(jù)美國憲法第四修正案第四條規(guī)定：人民有保護(hù)其人身、住宅、文件與財物的權(quán)利，不受不合理拘捕、搜索與扣押，而且不得非法侵犯；除非有正當(dāng)理由，經(jīng)過宣誓或確認(rèn)過的證據(jù)支持下的合理原因存在，并詳細(xì)說明搜索的地點、被拘捕人或收押物，才能進(jìn)行搜索及扣押[6]。因此，美國聯(lián)邦最高法院John Marshall Harlan大法官在1967年的Katz v. United States案中提出“合理隱私期待”(reasonable expectation of privacy)來判斷國家機關(guān)行為是否構(gòu)成屬于前述條款“搜索”的保護(hù)范圍，即：搜索不限于家、辦公室或其他場所，甚至可能在任何有合理隱私期待的地方實施，即使這個地方是非特定人可進(jìn)出的公共場所[7]。

c.在第五修正案和第十四修正案中體現(xiàn)的是，隱私權(quán)以自由和正當(dāng)程序而存在。在1965年Griswold v.Connecticute[8]一案中，涉及的是康乃迪克州的心理醫(yī)生及耶魯大學(xué)醫(yī)學(xué)院的教授。他們?yōu)榱吮苊夥驄D懷孕，向已婚夫婦提供相關(guān)信息以及醫(yī)療建議。盡管這些夫婦中有幾對是免費的，但這些服務(wù)通常要收取費用。這個案件中涉及憲法的有兩個問題：一方面，如果使用藥物、藥劑或設(shè)備來預(yù)防懷孕，那么會被罰款或處相應(yīng)刑罰；另一方面，主犯罪者以其他協(xié)助犯罪者負(fù)共犯的刑事責(zé)任?？梢姡@個隱私權(quán)的指標(biāo)性判決涉及的是女性是否自由享有生育的權(quán)利，也肯定了聯(lián)邦憲法第十四修正案中所保障的權(quán)利，即身體自主是隱私權(quán)的范疇。在2003年Lawrence v. Texas[9]一案中，也明確指出，憲法所保障的隱私權(quán)旨在確保同性戀者在其住宅內(nèi)及其私人生活中自由選擇并形成親密關(guān)系，從而保有作為一個自由人所應(yīng)享有的人性尊嚴(yán)。

1.2開放數(shù)據(jù)政策中個人隱私保護(hù)2009年12月8日，美國發(fā)布的《開放政府指令》指出，無限制性的開放將會妨礙一些被合法保護(hù)的數(shù)據(jù)，而這些數(shù)據(jù)一旦釋放，會威脅國家安全、侵犯個人隱私、違反保密或損害其他真正引人注目的利益[10]。2011年9月16日，美國發(fā)布的《奧巴馬政府的開放政府承諾》指出，政府追求開放政府時，必須平衡那些影響公民福利的事項，如國家安全、執(zhí)法需要、政府特權(quán)、個人隱私和商業(yè)機密保護(hù)、鼓勵健康和坦誠的討論以及其他重要的關(guān)注事項[11]。2011年9月20日，美國頒布的《開放政府伙伴關(guān)系——美國國家行動計劃》規(guī)定，通過美國政府開放數(shù)據(jù)網(wǎng)站Data.gov獲取的所有數(shù)據(jù)必須符合當(dāng)前的隱私要求，而且政府機構(gòu)負(fù)責(zé)確保通過Data.gov獲取的數(shù)據(jù)集有任何所需的隱私影響評估(PIA)或記錄通告(SORN)，并且很容易在其網(wǎng)站上被獲取[12]。

2013年5月9日，美國發(fā)布的《執(zhí)行M-13-13數(shù)據(jù)開放政策備忘錄的執(zhí)行指導(dǎo)綱要》指出，為了遵守《隱私法》《電子政務(wù)法》(E-Government Act)《聯(lián)邦信息安全管理法案》《保護(hù)機密信息和統(tǒng)計效率法》，機構(gòu)應(yīng)當(dāng)基于《公平信息實踐原則》(Fair Information Practice Principles，F(xiàn)IPP)和《針對聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制的NIST指南》[13]來執(zhí)行信息政策；各個政府機關(guān)應(yīng)指定專門部門與高級隱私官員或相關(guān)官員合作，從而為隱私及機密提供完全的安全保障，與首席信息安全官(Chief Information Security Officer)及相關(guān)任務(wù)負(fù)責(zé)人評估釋放潛在敏感數(shù)據(jù)以及依風(fēng)險進(jìn)行決定的影響[14]。

2018年12月，美國參議院、眾議院通過《開放、公共、電子化與必要的政府?dāng)?shù)據(jù)法》(Open, Public, Electronic, and Necessary Government Data Act)，隨后由美國總統(tǒng)特朗普于2019年1月14日簽署并公布，成為具有約束力的聯(lián)邦法律。這部法律不只是美國走向開放政府的一步，也是《基于證據(jù)的政策制定基礎(chǔ)法案》(Foundations for Evidence-Based Policymaking Act of 2017)的一部分。這部法律促使開放數(shù)據(jù)不再只是行政法規(guī)，而是成為具全國強制力的統(tǒng)一法律。這部法律明文要求，除了國家安全與個人隱私的考慮外，其他數(shù)據(jù)都應(yīng)該以機器可讀的開放格式在網(wǎng)絡(luò)上開放。

美國政府開放數(shù)據(jù)網(wǎng)站Data.gov試圖將各個政府機構(gòu)所提供的數(shù)據(jù)集整合成一個數(shù)據(jù)目錄，讓公眾及企業(yè)可以使用這些原始數(shù)據(jù)，并可按照個人用途進(jìn)行再次開發(fā)和利用，從而提供新的基于數(shù)據(jù)的服務(wù)[15]。對于Data.gov而言，其關(guān)注點不只是過去強調(diào)的公眾可以廣泛使用數(shù)據(jù)，而是在更加高效提供更多數(shù)據(jù)的同時，保證和提高隱私、保密和安全。通過對Data.gov隱私政策進(jìn)行研讀發(fā)現(xiàn)，其內(nèi)容主要包括：自動收集和存儲的信息、Cookies、個人信息、在線評論、評論和職位的審核、網(wǎng)站上收集的瀏覽器信息、網(wǎng)站安全、外部鏈接、兒童隱私、禁止事項、政策變更[16]。

2 美國政府開放數(shù)據(jù)中隱私影響評估(PIA)和風(fēng)險應(yīng)對原則

2.1隱私影響評估(PIA)的運行邏輯與流程框架“隱私影響評估”(Privacy Impact Assessment，PIA)是衡量隱私風(fēng)險的有效工具，實踐中已發(fā)展為標(biāo)準(zhǔn)化操作流程，成為國際上日益認(rèn)同的理念與最佳實務(wù)[17]。美國于2002年頒布的《電子政務(wù)法》在“Findings and Purposes”的第11款規(guī)定：本法的目的在于，以符合個人隱私保護(hù)、國家安全、記錄保存、殘疾人獲取以及其他相關(guān)法律的方式來促進(jìn)政府信息和服務(wù)的獲取。該法第208條隱私條款(Privacy Provisions)要求，美國政府機構(gòu)要為使用個人可識別信息的新方案或重大變化方案的技術(shù)進(jìn)行隱私影響評估(PIA)；首席信息官(CIO)或相關(guān)人員對PIA進(jìn)行審查；除非有必要保護(hù)評估中所涉及的機密、敏感或私人信息，否則評估結(jié)果應(yīng)當(dāng)進(jìn)行公開[18]。這意味著，各個機構(gòu)需要向其主管請求提供信息供給系統(tǒng)的PIA副本。此外，每一機構(gòu)主管也必須向其機構(gòu)發(fā)布指南，具體說明PIA所要求的內(nèi)容。這一做法也被推薦為所有組織處理個人數(shù)據(jù)的最佳實踐，并將有助于捍衛(wèi)與隱私侵犯有關(guān)的索賠。2018年6月，美國司法部將PIA的執(zhí)行過程劃分為7個步驟[19]：

第1步，信息系統(tǒng)描述：提供非技術(shù)性系統(tǒng)整體描述，以實現(xiàn)：記錄或系統(tǒng)設(shè)計想要實現(xiàn)的特定目的；想要實現(xiàn)特定目的的系統(tǒng)運作方式；通過系統(tǒng)來搜集、處理、利用或傳播的信息的類型；在系統(tǒng)中獲取信息的人；用戶在系統(tǒng)中如何萃取信息；系統(tǒng)如何傳輸信息；與其他系統(tǒng)的任何相互連接。

第2步，系統(tǒng)的信息。a.通過檢查表(見表1)來表明系統(tǒng)中被搜集、處理或傳播的信息，這些檢查表包括不同類型的表，分別檢查識別碼(Identifying numbers)、一般個人數(shù)據(jù)(General personal data)、工作相關(guān)數(shù)據(jù)(Work-related data)、區(qū)別性特征(Distinguishing features)、生物統(tǒng)計(Biometrics)、系統(tǒng)管理(System admin)、審計數(shù)據(jù)(Audit data)、其他信息(Other information)。b.通過檢查表來說明系統(tǒng)中信息來源，這些檢查表包括三類表：獲取方式、政府來源、非政府組織來源。c.分析：識別與評估前述信息隱私的潛在威脅，描述將采用預(yù)防或降低隱私威脅的組成部分。

第3步，系統(tǒng)的特定目的與使用。a.通過檢查表來說明系統(tǒng)中信息的搜集、處理或傳播的特定目的。b.分析：解釋關(guān)于信息利用的規(guī)范與其實現(xiàn)特定目的的理由。c.通過檢查表來說明系統(tǒng)中信息被搜集的政策法規(guī)或協(xié)議。d.闡述如何為實現(xiàn)特定目的來處理信息保存期限與到期信息(如果可以的話，需提出保存時間表的國家檔案與記錄管理的參考文獻(xiàn))。e.描述各個組成部分信息利用結(jié)果的潛在威脅，而且確保存在適當(dāng)?shù)夭倏v、保存、處理信息的控制措施(例如，系統(tǒng)用戶的強制性訓(xùn)練，信息清除的自動化設(shè)施)。

第4步，信息共享。a.通過檢查表來說明共享系統(tǒng)中信息的單位及其共享的方式，該表關(guān)注四個方面：個案(Case-by-case)、批量傳輸(Bulk transfer)、直接獲取(Direct access)與其他。b.分析：描述因信息共享所增加的衍生風(fēng)險，而且提供預(yù)防或降低隱私可能威脅其組成部分的控制措施。

第5步，告知、同意與矯正。a.通過檢查表來告知數(shù)據(jù)當(dāng)事人，通過系統(tǒng)來搜集、處理或傳播信息的情況。b.通過檢查表來詳述當(dāng)事人是否存在拒絕提供信息的方法或理由。c.通過檢查表詳述當(dāng)事人是否存在拒絕同意其特別利用其信息的方法或理由。d.分析：當(dāng)事人信息被搜集與利用的告知/免予告知、同意與矯正權(quán)利。

第6步，信息安全。a.通過“信息安全”檢查表來檢查，具體內(nèi)容包括：信息已達(dá)到遵守美國《聯(lián)邦信息安全管理法(FISMA)》要求的安全性，而且提供近期的驗證與認(rèn)證報告；是否已進(jìn)行安全風(fēng)險評估；描述已識別與實踐的適當(dāng)安全控制措施來應(yīng)對通過安全風(fēng)險評估出的風(fēng)險；詳述如何來監(jiān)視、測試或評估預(yù)防信息誤用的保護(hù)機制；已有確保的遵循安全標(biāo)準(zhǔn)的審核程序，而且包含基于角色的獲取(role-based access)與預(yù)防數(shù)據(jù)誤用的測量；存取系統(tǒng)的合約商的契約已遵守《隱私法》的條款；存取系統(tǒng)的合約商的契約已遵守司法部要求的信息安全規(guī)范；被授權(quán)存取或接收系統(tǒng)信息的用戶應(yīng)要求接受相關(guān)訓(xùn)練，包括信息安全一般性訓(xùn)練、被授權(quán)使用系統(tǒng)的單位內(nèi)人員的規(guī)范性訓(xùn)練、被授權(quán)使用系統(tǒng)的單位外人員的規(guī)范性訓(xùn)練以及其它相關(guān)訓(xùn)練。b.描述如何利用獲取和安全控制措施來保護(hù)隱私以及降低非自動化獲取和披露所產(chǎn)生的風(fēng)險。

第7步，《隱私法》。a.通過檢查表來確定系統(tǒng)中的記錄的合法性。b.分析：描述系統(tǒng)中信息如何合法。

2.2隱私風(fēng)險應(yīng)對的原則《執(zhí)行M-13-13數(shù)據(jù)開放政策備忘錄的執(zhí)行指導(dǎo)綱要》[14]指出，數(shù)據(jù)開放會涉及隱私保障問題，如果想避免政府所持有的個人數(shù)據(jù)因開放而造成傷害，那么應(yīng)當(dāng)使用《公平信息實踐原則》(FIPP)[20]來減輕信息系統(tǒng)及程序可能產(chǎn)生的隱私風(fēng)險，并以“馬賽克效應(yīng)”(Mosaic Effect)來評估那些可能識別出特定人的風(fēng)險，因而政府在發(fā)布敏感數(shù)據(jù)之前應(yīng)考慮并決定某些既有數(shù)據(jù)與即將發(fā)布的數(shù)據(jù)若比對后可能造成識別個人身份或造成安全顧慮問題。FIPP最早源自于1973年由美國健康、教育與福利部所發(fā)布的報告《記錄、計算機以及公民權(quán)》(Records,Computers, and the Rights of Citizens: Report of the Secretary’s Advisory Committee on Automated Personal Data Systems)[21]，并影響經(jīng)濟(jì)合作與發(fā)展組織于1980年發(fā)布的《隱私與個人數(shù)據(jù)跨境流動保護(hù)綱領(lǐng)》(guidelines governing the protection of privacy and transborder flows of personal data)以及亞太經(jīng)濟(jì)合作會議(Asia-pacific economic cooperation，APEC)所頒布的《隱私框架》(privacy framework)。FIPP在個人信息保護(hù)方面確立了兩項重要規(guī)則：一是透明規(guī)則，即在收集個人信息時應(yīng)當(dāng)告知個人其個人信息被收集、利用以及共享的范圍和方式等；二是個人參與規(guī)則，即他人在收集與利用個人信息時，應(yīng)當(dāng)征得個人同意[22]。FIPP主要包括五條原則。a.告知/察覺(Notice/Awarnece)：任何網(wǎng)站在收集個人信息之前，必須明確說明其信息使用政策。b.選擇/同意(Choice/Consent)：必須讓個人能自由決定系統(tǒng)內(nèi)屬于他自身的信息除了支持所需的交易用途之外，愿不愿意讓組織再拿去做其他的用途。c.存取/參與原則(Access/Participate)：必須提供一個方便快捷的渠道，讓消費者能隨時去檢視、審閱其本身數(shù)據(jù)的正確性與完整性。d.安全原則(Security)：為了確保數(shù)據(jù)的正確性和安全，必須采取負(fù)責(zé)的措施，防范未授權(quán)的第三者擷取這些信息。e.強化原則(Enforcement)：無論是通過行業(yè)本身的自律或者政府立法管制，都要為消費者產(chǎn)生私人補救措施以及通過民事和刑事制裁可強制執(zhí)行的監(jiān)管計劃。

3 隱私風(fēng)險應(yīng)對的去識別化

3.1去識別化過程2010年4 月，美國國家標(biāo)準(zhǔn)與技術(shù)局(National Institute of Standards and Technology，NIST)制定并發(fā)布《個人可識別信息機密性保護(hù)指引(Guide to Protecting the Confidentiality of Personally Identifiable Information (簡稱PII))》(NIST SP800-122)，指導(dǎo)聯(lián)邦政府部門及其相關(guān)外包單位進(jìn)行個人信息保護(hù)。該文件以風(fēng)險為基礎(chǔ)，建議使用操作性與隱私相關(guān)的保護(hù)與事故回應(yīng)計劃。其中一個措施是個人信息去識別化：當(dāng)不再需要有關(guān)個人的全部記錄時，組織需要通過去除足以識別個人的相關(guān)信息，加以去識別化，使留下來的信息無法識別出特定個人。2015 年，NIST所發(fā)布的個人信息去識別化研究報告(NISTIR 8053)指出，當(dāng)組織編制、利用、歸檔、分享及開放含有個人數(shù)據(jù)的數(shù)據(jù)時，通過去識別化去技術(shù)，不僅可移除個人敏感信息，降低個人隱私風(fēng)險，從而在數(shù)據(jù)利用與個人隱私保護(hù)之間進(jìn)行平衡，而且去識別化數(shù)據(jù)在搜集后經(jīng)過最小加工處理，從而能降低數(shù)據(jù)利用與歸檔的成本，降低數(shù)據(jù)外泄的隱私風(fēng)險[23]。

在去識別化的程度與風(fēng)險方面(見圖1)，左側(cè)是與個人無關(guān)的數(shù)據(jù)(如歷史天氣記錄)，因而沒有隱私風(fēng)險，右側(cè)是直接識別特定個體的數(shù)據(jù)。在這兩端之間的是可以關(guān)聯(lián)到人群的數(shù)據(jù)或那些基于個人但不能與個人關(guān)聯(lián)起來的數(shù)據(jù)。通常而言，去識別化方法在于，將數(shù)據(jù)推向左側(cè)的同時，保留一些所需的數(shù)據(jù)效用。

圖1 去識別化的程度與風(fēng)險[23]

圖2概述了去識別過程。來自“數(shù)據(jù)主題(data subject)”的數(shù)據(jù)是涉及個人的數(shù)據(jù)，這些個人數(shù)據(jù)合并為包含個人信息的數(shù)據(jù)集。去識別化創(chuàng)造了一個新的被認(rèn)為沒有識別數(shù)據(jù)的數(shù)據(jù)集。組織內(nèi)部可以使用該數(shù)據(jù)集(不是原始數(shù)據(jù)集)，以降低隱私風(fēng)險。數(shù)據(jù)集也可以提供給受諸如數(shù)據(jù)使用協(xié)議之類的其他管理控制約束的受信任數(shù)據(jù)接受者。 另外，該數(shù)據(jù)可能會被廣泛提供給大量未知和未經(jīng)審查的數(shù)據(jù)接受者使用，如通過在互聯(lián)網(wǎng)上發(fā)布去識別的數(shù)據(jù)，這時因被重新識別的風(fēng)險比較高，因而對去識別化程度也要求較高。如圖2所示，不需要公開發(fā)布去識別數(shù)據(jù)，而且去識別化只是用于保護(hù)數(shù)據(jù)身份的若干控制措施之一。去識別化可以由人工進(jìn)行或自動化處理，或兩者的結(jié)合。一旦完成去識別化，就可以手動審查數(shù)據(jù)或以其他方式審核數(shù)據(jù)，以確定是否仍然存在有任何標(biāo)識信息。

圖2 數(shù)據(jù)搜集、去識別化及利用[23]

3.2去識別化標(biāo)準(zhǔn)美國國會在1996年頒布了《健康保險可攜及責(zé)任法案》(HIPAA)，隨后美國衛(wèi)生與公眾服務(wù)部(HHS)實施了多部法規(guī)，以便在實踐中貫徹該法案。HIPAA 的主要規(guī)定包括安全規(guī)則、隱私規(guī)則和違規(guī)通知規(guī)則。HIPAA將18種識別信息移除來判斷是否去識別化，這些信息包括：姓名、地理信息、日期信息、電話號碼、傳真號碼、電子郵件地址、設(shè)備編號或序號、網(wǎng)絡(luò)地址(URLs)、IP地址、社會安全號碼、病歷號碼、醫(yī)療計劃或健保號碼、賬號、證照編號、車牌、車籍信息、生物辨識信息(如指紋、聲紋)、臉部照片及其他可識別個人的編號或特征。換言之，HIPAA要求通過去除18 種個人信息，從而達(dá)成去識別化。盡管去識別化有助于隱私保護(hù)，但過度強調(diào)去識別化也會使得這些數(shù)據(jù)變得毫無意義，降低了數(shù)據(jù)的價值。HIPAA隱私準(zhǔn)則明文規(guī)定去識別化的標(biāo)準(zhǔn)或方式：以個人醫(yī)療信息為例，該準(zhǔn)則45 CFR 164.514(b)中，明確以專家判斷法或安全港準(zhǔn)則來判定。此外，HIPAA還針對受保護(hù)醫(yī)療信息(PHI)的安全和隱私來制定了相應(yīng)的國家標(biāo)準(zhǔn)。PHI是識別個人身份并與個人的過去、現(xiàn)在或未來的身體或精神健康狀況有關(guān)，與向個人提供醫(yī)療保健服務(wù)有關(guān)或者與支付過去、現(xiàn)在或未來的醫(yī)療服務(wù)費用有關(guān)的信息，這意味著，PHI包括相關(guān)實體以電子、紙面或口頭陳述形式持有或傳送，可以確定個人身份的健康或心理健康信息，不包括無法識別個人身份的信息。

4 總結(jié)與展望

從國際上來看，美國是政府開放數(shù)據(jù)發(fā)展的先驅(qū)，通過開放個人數(shù)據(jù)來促進(jìn)公民安全獲取個人數(shù)據(jù)，如“藍(lán)色按鈕”(Blue Button)和“綠色按鈕”(Green Button)，這得益于其較為完善的隱私風(fēng)險控制體系。一方面，公私分立的立法模式。美國在1974年通過的聯(lián)邦《隱私法》范圍過廣且主要規(guī)范政府部門。伴隨著近年來個人數(shù)據(jù)泄露的事件頻繁爆發(fā)，美國開始針對私人企業(yè)的個人數(shù)據(jù)保護(hù)采取立法，如《健康保險便利和責(zé)任法案》(HIPAA)、《金融服務(wù)現(xiàn)代化法》(GLBA)、《公平信用報告法》(FCRA)、《有線通信政策法》(CCPA)、《兒童線上隱私保護(hù)法》(COPPA)、《金融隱私權(quán)法》(RFPA)、《家庭教育權(quán)利及隱私法》(FERPA)。通過不同領(lǐng)域的立法，鞏固不同政府開放數(shù)據(jù)領(lǐng)域的個人數(shù)據(jù)搜集、處理和利用，修正聯(lián)邦隱私法，從而完善政府開放數(shù)據(jù)中個人數(shù)據(jù)保護(hù)機制。另一方面，注重隱私侵犯的救濟(jì)。在美國，基于確鑿的證據(jù)，在數(shù)據(jù)泄露的情況下，訴訟變得越來越普遍。例如，美國的ChoicePoint公司發(fā)生過客戶數(shù)據(jù)泄露事件，并為此支付了超過2 600萬美元的費用和罰款，其中包括聯(lián)邦貿(mào)易委員會采取的行動[24]。

美國政府開放數(shù)據(jù)的隱私風(fēng)險控制也面臨許多挑戰(zhàn)。一方面，存在法律沖突。如前所述，美國為各種類型的數(shù)據(jù)分別制定了隱私管理，這些類型的數(shù)據(jù)受到不同甚至相互沖突的聯(lián)邦和各州政府的監(jiān)管，包括財務(wù)隱私(GLBA)、兒童隱私權(quán)(COPPA)及醫(yī)療隱私(HIPAA)，而且執(zhí)法主要取決于私營部門和自律。另一方面，忽略隱私政策的可選擇性。美國企業(yè)制定自己的隱私政策，其他企業(yè)和個人負(fù)責(zé)通知自己并采取相應(yīng)行動。這種方式存在的問題是，個人處于相對較弱的地位，因為他們很少意識到隱私政策所提供選擇的重要性，并且在不通知自己的情況下普遍同意這些選擇。

總體來看，開放政府?dāng)?shù)據(jù)問題是近期學(xué)界的研究熱點，特別是如何解決政府?dāng)?shù)據(jù)充分利用和個人隱私保護(hù)的沖突，是學(xué)界的難點問題。本文通過梳理和介紹美國立法通過隱私評判、隱私保護(hù)影響評估和風(fēng)險識別、去識別化等制度保障政府?dāng)?shù)據(jù)開放過程中的個人隱私，對我國立法提供了借鑒，因而有必要在借鑒美國相關(guān)制度的基礎(chǔ)上，提出我國開放政府?dāng)?shù)據(jù)個人隱私保護(hù)的具體制度設(shè)計。因此，在對美國政府開放數(shù)據(jù)的隱私風(fēng)險控制進(jìn)行梳理的同時，我國應(yīng)借鑒其經(jīng)驗來保障政府開放數(shù)據(jù)的隱私安全，包括：形成完善的立法模式，及時修訂和完善隱私保護(hù)的相關(guān)法律，避免法律之間相互沖突的情形；積極參與國際隱私保護(hù)規(guī)則體系構(gòu)建，提高中國在這一領(lǐng)域的話語權(quán)；增強救濟(jì)力度，完善政府開放數(shù)據(jù)中侵犯隱私權(quán)的救濟(jì)體系；對企業(yè)、公民、非政府組織等政府開放數(shù)據(jù)利益相關(guān)者進(jìn)行隱私政策咨詢，增加隱私政策的可選擇性，加強隱私政策的認(rèn)同；允許用戶針對政府開放數(shù)據(jù)提出原始數(shù)據(jù)分析需求，其分析結(jié)果經(jīng)去識別化后提供，以發(fā)揮數(shù)據(jù)的效益，而不是一味強調(diào)去識別化。從制度層面來說，盡管中國民法草案及專家建議稿雖有列出一些個人信息保護(hù)的規(guī)定，但因僅是草案且民法是基本法，不能如專法那樣可詳盡規(guī)定，也不如專法輔以民法及其他法律共同保護(hù)的方式完善，因而中國應(yīng)盡快制定發(fā)布個人信息保護(hù)法，并制定和完善不同領(lǐng)域的個人信息保護(hù)立法，始能完整維護(hù)人民的個人信息權(quán)利。幸運的是，第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護(hù)法(草案)》進(jìn)行了審議，并向社會公開征求意見。此外，盡管我國已經(jīng)頒布并修訂了《政府信息公開條例》，但這只是行政法規(guī)，而且停留政府信息公開而非開放政府?dāng)?shù)據(jù)層面，因而可以考慮借鑒美國的做法而將其上升為法律或修改為開放政府?dāng)?shù)據(jù)法。