敖顏思文

(國(guó)家開(kāi)放大學(xué) 組織部，北京 100039)

一、相關(guān)概念厘清

(一)政府?dāng)?shù)據(jù)開(kāi)放的概念及其發(fā)展

政府?dāng)?shù)據(jù)開(kāi)放運(yùn)動(dòng)源于美國(guó)，2009年美國(guó)運(yùn)行政府?dāng)?shù)據(jù)開(kāi)放網(wǎng)站“Data.gov”，《開(kāi)放政府?dāng)?shù)據(jù)法案》作為專門法案也于2018年通過(guò)。2010年英國(guó)上線數(shù)據(jù)開(kāi)放網(wǎng)站“Data.gov.uk”以響應(yīng)歐盟開(kāi)放數(shù)據(jù)戰(zhàn)略。歐盟于2018年和2020年相繼出臺(tái)《通用數(shù)據(jù)保護(hù)條例》和《歐盟數(shù)據(jù)戰(zhàn)略》，強(qiáng)調(diào)數(shù)據(jù)主體的權(quán)利保障。我國(guó)政府?dāng)?shù)據(jù)開(kāi)放實(shí)踐始于2012年上海市首建的政府?dāng)?shù)據(jù)服務(wù)網(wǎng)“Datashanghai.gov.cn”。此后，京、黔、浙、魯?shù)仁∈嘘懤m(xù)跟進(jìn)，廣東省率先構(gòu)建了三級(jí)政府?dāng)?shù)據(jù)開(kāi)放網(wǎng)絡(luò)。國(guó)家各政府部門也陸續(xù)發(fā)文強(qiáng)調(diào)和指導(dǎo)政府?dāng)?shù)據(jù)的開(kāi)放與共享。我國(guó)政府?dāng)?shù)據(jù)開(kāi)放實(shí)踐開(kāi)始由地方試行發(fā)展到國(guó)家頂層設(shè)計(jì)階段。

政府?dāng)?shù)據(jù)具有以下幾個(gè)特點(diǎn)：一是政府?dāng)?shù)據(jù)要求政府部門不得憑借主觀意志篩選和處理；二是政府?dāng)?shù)據(jù)由政務(wù)工作中產(chǎn)生，數(shù)據(jù)產(chǎn)生所需經(jīng)費(fèi)來(lái)源于財(cái)政稅收，應(yīng)屬于全體公民共有，因此政府?dāng)?shù)據(jù)應(yīng)當(dāng)無(wú)差別開(kāi)放并提供數(shù)據(jù)獲取的便利；三是政府?dāng)?shù)據(jù)具有極高價(jià)值，其開(kāi)放內(nèi)容已不限于“三公”經(jīng)費(fèi)、權(quán)力清單、政策文件等政務(wù)信息，還包括公民個(gè)人的消費(fèi)、出行、信用等數(shù)據(jù)，甚至還涉及氣象變化、文化偏好、社會(huì)心理等內(nèi)容。由于政府?dāng)?shù)據(jù)總量大、更新快，數(shù)據(jù)交互性強(qiáng)，在不同數(shù)據(jù)分析技術(shù)整合下，將實(shí)現(xiàn)多樣性數(shù)據(jù)價(jià)值，供不同主體各取所需。由于政府?dāng)?shù)據(jù)的強(qiáng)交互性和極高的使用價(jià)值，不同主體獲取和分析政府?dāng)?shù)據(jù)的意愿強(qiáng)烈，個(gè)人信息泄露的可能性隨之增加。

(二)個(gè)人信息保護(hù)的概念及其發(fā)展

在我國(guó)立法文本中，2021年《個(gè)人信息保護(hù)法》和《網(wǎng)絡(luò)安全法》明確個(gè)人信息具有“識(shí)別”和“記錄”兩個(gè)要素，即能夠識(shí)別自然人身份的各項(xiàng)信息均為個(gè)人信息，因此個(gè)人信息所涵蓋的范圍極為廣泛。個(gè)人信息的法律性質(zhì)方面，2015年公布的《民法總則專家意見(jiàn)稿》將“信息”納入民事權(quán)利客體，凸顯了信息的財(cái)產(chǎn)權(quán)屬性。2017年《民法總則》將個(gè)人信息從知識(shí)產(chǎn)權(quán)規(guī)定中移除，獲得了單獨(dú)的法條表述，傳統(tǒng)隱私權(quán)保護(hù)路徑難以實(shí)現(xiàn)個(gè)人信息保護(hù)需求已成為學(xué)界共識(shí)并已得到實(shí)踐驗(yàn)證。在大數(shù)據(jù)信息技術(shù)加持下，個(gè)人信息流動(dòng)、開(kāi)發(fā)和使用日益頻繁，個(gè)人信息已承載諸如隱私、財(cái)產(chǎn)、安全等諸多法益[1]，與公共利益甚至國(guó)家安全的關(guān)系更為緊密。

現(xiàn)今實(shí)踐中個(gè)人信息通常以“集合”的方式被收集，大數(shù)據(jù)的價(jià)值更多源于收集后的開(kāi)發(fā)[2]，以及多種集合的交叉利用。一方面，網(wǎng)絡(luò)虛擬空間中信息流動(dòng)具有高度的便利性，由于網(wǎng)絡(luò)空間的高風(fēng)險(xiǎn)和信息技術(shù)的不對(duì)稱，個(gè)人信息中包含的個(gè)人隱私和安全要素被泄露并廣泛傳播的風(fēng)險(xiǎn)極大，短時(shí)間內(nèi)難以采取技術(shù)手段進(jìn)行彌補(bǔ)，具有損害范圍大、周期長(zhǎng)的特點(diǎn)；另一方面，個(gè)人信息應(yīng)用廣泛推廣，使用場(chǎng)景增多，出現(xiàn)了以數(shù)據(jù)交易為代表的產(chǎn)業(yè)新形態(tài)和以社區(qū)健康信息碼為代表的公共管理新方式。在此背景下，個(gè)人信息的快速流通和頻繁使用已呈常態(tài)化，通過(guò)保護(hù)個(gè)人隱私的方式保護(hù)個(gè)人信息難以適應(yīng)數(shù)據(jù)產(chǎn)業(yè)發(fā)展實(shí)踐的需要，個(gè)人信息所承載的多元化法益愈發(fā)受到學(xué)界重視，個(gè)人信息保護(hù)由傳統(tǒng)的“保護(hù)”轉(zhuǎn)向“開(kāi)發(fā)利用中的保護(hù)”。

(三)政府?dāng)?shù)據(jù)開(kāi)放與個(gè)人信息保護(hù)的關(guān)系

從政府?dāng)?shù)據(jù)開(kāi)放與個(gè)人信息保護(hù)的關(guān)系上看，對(duì)個(gè)人信息的合理采集和開(kāi)發(fā)利用是政府?dāng)?shù)據(jù)開(kāi)放的邏輯起點(diǎn)和實(shí)踐基礎(chǔ)。一方面?zhèn)€人信息的采集存儲(chǔ)和分析利用能有效節(jié)約政府治理成本，提高行政履職的精細(xì)度。如新型冠狀病毒防治過(guò)程中，公眾對(duì)確診和疑似病人的行程軌跡和診治情況等信息的公開(kāi)有著極高的期待，這既需要統(tǒng)一數(shù)據(jù)獲取渠道的搭建，同時(shí)也需要建立信息分類、整合、發(fā)布、存儲(chǔ)和刪除的全周期流程，從而在滿足公眾知情和病人隱私間實(shí)現(xiàn)協(xié)調(diào)。

另一方面，政府掌握和管理最完整、最全面的公民個(gè)人信息，在大數(shù)據(jù)信息技術(shù)的加持下，公民個(gè)人財(cái)產(chǎn)、安全、隱私等信息被間接或直接追蹤、定位、泄露的風(fēng)險(xiǎn)隨之增加；由于信息技術(shù)的不對(duì)稱，一旦發(fā)生公民信息泄露難以在短時(shí)間內(nèi)彌合，其損害也無(wú)法根本消除。同時(shí)伴隨著技術(shù)的發(fā)展，信息存在的載體也由存儲(chǔ)優(yōu)先轉(zhuǎn)變?yōu)榱鲃?dòng)優(yōu)先，政府信息更多以電子化、數(shù)據(jù)化形式出現(xiàn)，公眾發(fā)掘和收集信息的能力得以增強(qiáng)，政府信息公開(kāi)的價(jià)值也由傳統(tǒng)上的保障公眾知情權(quán)向搭建公眾參與社會(huì)治理和民主監(jiān)督渠道轉(zhuǎn)變。

二、政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)規(guī)范存在的問(wèn)題

我國(guó)傳統(tǒng)保障模式以信息的“保護(hù)”為優(yōu)先價(jià)值。傳統(tǒng)個(gè)人信息立法保護(hù)模式并未對(duì)大數(shù)據(jù)的時(shí)代背景與政府?dāng)?shù)據(jù)開(kāi)放的廣泛實(shí)踐做出有效回應(yīng)。個(gè)人信息作為被保護(hù)的客體，要求政府制定具體的保護(hù)規(guī)定和標(biāo)準(zhǔn)，在保證信息安全的前提下實(shí)現(xiàn)開(kāi)放與保護(hù)的協(xié)調(diào)?，F(xiàn)階段個(gè)人信息保護(hù)在立法模式上仍采取分散立法模式，同時(shí)存在個(gè)人信息保護(hù)理念落后、保護(hù)內(nèi)容虛化等問(wèn)題。

(一)個(gè)人信息保護(hù)理念之窠臼

當(dāng)前我國(guó)個(gè)人信息保護(hù)在觀念上仍以隱私代替信息。一方面，在基礎(chǔ)概念上未能給出個(gè)人信息與個(gè)人隱私的明確界分。在中央立法層面，《網(wǎng)絡(luò)安全法》突出了個(gè)人信息的技術(shù)性，本質(zhì)上仍是傳統(tǒng)個(gè)人隱私管制型保護(hù)的延續(xù)。在地方立法層面，絕大多數(shù)地方政府在數(shù)據(jù)開(kāi)放相關(guān)立法文本中普遍采取個(gè)人隱私的表述，將個(gè)人隱私與國(guó)家秘密、商業(yè)秘密并列，反映出立法機(jī)關(guān)對(duì)個(gè)人信息和個(gè)人隱私的基礎(chǔ)概念尚不明晰。個(gè)人信息并不是以個(gè)人為主體來(lái)研究信息，而應(yīng)是從信息出發(fā)來(lái)研究牽涉其中的個(gè)人[3]。個(gè)人信息與個(gè)人隱私概念的混用將在事實(shí)上造成對(duì)個(gè)人信息使用的限制。

另一方面，剛生效的《個(gè)人信息保護(hù)法》中，個(gè)人信息的保護(hù)更多的強(qiáng)調(diào)信息采集和使用方在信息采集方式和范圍上的告知義務(wù)，未能對(duì)實(shí)踐中用戶出于使用便利而選擇忽視告知協(xié)議的情形予以回應(yīng)，造成實(shí)際上的告知失效，在個(gè)人信息權(quán)利的有效實(shí)現(xiàn)方面尚缺乏可操作性規(guī)定。

(二)個(gè)人信息保護(hù)分散立法之弊端

目前我國(guó)在政府?dāng)?shù)據(jù)開(kāi)放領(lǐng)域關(guān)于個(gè)人信息保護(hù)的條文散見(jiàn)于各類各級(jí)政策法規(guī)及標(biāo)準(zhǔn)之中。分散立法模式存在以下弊端：其一是保障規(guī)范的非體系化，表現(xiàn)為相關(guān)立法中基本概念與內(nèi)涵不統(tǒng)一。相關(guān)規(guī)范往往是針對(duì)中央或上級(jí)政府要求而制定的政策，與當(dāng)?shù)貙?shí)際的符合度不足，在內(nèi)容上缺乏體系性，且出于節(jié)約立法時(shí)間成本的考慮，地方政府普遍采取規(guī)范性文件的形式，效力層級(jí)較低。另一方面，不同立法文本間的相互銜接不暢，不同立法文本中對(duì)信息保護(hù)的主體表述不一，存在“個(gè)人”“用戶”“消費(fèi)者”“個(gè)人信息主體”等不同表述。如2016年“放管服工作要點(diǎn)”中規(guī)定向社會(huì)公開(kāi)的例外僅限于個(gè)人隱私，與《政府信息公開(kāi)條例(2019)》第15條的規(guī)定①不符，在涉及到“公共利益”可能受到重大影響時(shí)，部分可以公開(kāi)的信息可能也屬于個(gè)人隱私。

其二是政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)的內(nèi)容虛化。當(dāng)前多數(shù)地方的數(shù)據(jù)開(kāi)放法規(guī)政策多以宣示性內(nèi)容為主，開(kāi)放政策缺乏指導(dǎo)性，規(guī)范標(biāo)準(zhǔn)的可操作性不強(qiáng)。一方面現(xiàn)有立法中個(gè)人信息保護(hù)義務(wù)的具體規(guī)制缺失：在保護(hù)責(zé)任主體上，《網(wǎng)絡(luò)安全法》中政府是否包含在規(guī)制范圍內(nèi)尚有爭(zhēng)議，《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》中也并未明確網(wǎng)絡(luò)運(yùn)營(yíng)者是否包括政府部門。又如《侵權(quán)責(zé)任法》第六十一條規(guī)定的病歷資料等病人信息不能完全涵蓋個(gè)人信息。在保護(hù)方式上，數(shù)據(jù)安全的考核、評(píng)估和問(wèn)責(zé)等配套性措施尚不完善。另一方面，不同地區(qū)存在技術(shù)發(fā)展能力和法治建設(shè)水平差異，政府?dāng)?shù)據(jù)開(kāi)放時(shí)間靠后的地區(qū)往往以先行地區(qū)為藍(lán)本，借鑒其制度規(guī)范和政策內(nèi)容，從而節(jié)約立法成本，但同時(shí)出現(xiàn)了規(guī)范內(nèi)容同質(zhì)化現(xiàn)象，缺乏可操作性。

(三)個(gè)人信息保護(hù)法律責(zé)任制度之不足

從數(shù)據(jù)開(kāi)放流程上看，政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)的義務(wù)主體既包括政府?dāng)?shù)據(jù)開(kāi)放的主管部門，也應(yīng)包括數(shù)據(jù)開(kāi)發(fā)和利用的相關(guān)組織和個(gè)人。與此相對(duì)應(yīng)，個(gè)人信息保護(hù)法律責(zé)任也應(yīng)針對(duì)二者進(jìn)行制度安排。當(dāng)前個(gè)人信息保護(hù)法律責(zé)任制度存在以下不足：一是法律責(zé)任主體規(guī)定不一致。以中央立法層面為例，《消費(fèi)者權(quán)益保護(hù)法》中個(gè)人信息保護(hù)的義務(wù)主體是“經(jīng)營(yíng)者”，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》則是“網(wǎng)絡(luò)運(yùn)營(yíng)者”，《十三五國(guó)家信息化規(guī)劃》等政策文件則未明確表述政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)的主體。二是對(duì)數(shù)據(jù)利用方個(gè)人信息保護(hù)的法律責(zé)任欠缺規(guī)定。以地方立法層面為例，《浙江省公共數(shù)據(jù)和電子政務(wù)管理辦法》和《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》均以專章的形式對(duì)“法律責(zé)任”進(jìn)行了較為詳細(xì)的規(guī)定，但所規(guī)定的法律責(zé)任制度僅涉及數(shù)據(jù)開(kāi)放的主管部門，對(duì)數(shù)據(jù)利用方的法律責(zé)任并未明確。盡管可以通過(guò)“已有法律責(zé)任規(guī)定的，從其規(guī)定”進(jìn)行問(wèn)責(zé)，但實(shí)踐中通過(guò)概括性責(zé)任條款追責(zé)仍存在制度障礙。

另外，我國(guó)民事立法對(duì)個(gè)人信息的定性、損害填補(bǔ)與救濟(jì)措施缺乏詳細(xì)的規(guī)定，對(duì)侵犯?jìng)€(gè)人信息的行為一般以《刑法》第253條為主要制裁依據(jù)，由于刑法謙抑性和信息保護(hù)的技術(shù)性，由國(guó)家網(wǎng)信部門和政府?dāng)?shù)據(jù)開(kāi)放主管部門開(kāi)展監(jiān)管執(zhí)法更為合適，這也在一定程度上表明完善專門立法和建立數(shù)據(jù)管理機(jī)構(gòu)確有必要。

三、政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)規(guī)范化建議

(一)政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)的立法思路

個(gè)人信息并不是一項(xiàng)絕對(duì)權(quán)利而是需要在具體的社會(huì)環(huán)境中去考量它的功能。在大數(shù)據(jù)時(shí)代背景下，與其強(qiáng)調(diào)信息的廣泛使用提高了信息安全風(fēng)險(xiǎn)，不如尋求個(gè)人信息使用中的安全，從而在有效維護(hù)個(gè)人信息權(quán)益的同時(shí)最大程度實(shí)現(xiàn)政府?dāng)?shù)據(jù)開(kāi)放價(jià)值。

一是尋求個(gè)人信息使用中的安全。大數(shù)據(jù)時(shí)代賦予了個(gè)人信息新的特質(zhì)，個(gè)人信息作為法律意義上的財(cái)產(chǎn)權(quán)利客體已被學(xué)界普遍認(rèn)同?！睹穹倓t》第126、127條明確了數(shù)據(jù)的財(cái)產(chǎn)屬性，而信息作為經(jīng)過(guò)處理的數(shù)據(jù)[4]，同樣具有財(cái)產(chǎn)屬性?！侗Ｃ芊ā返?條也提出了便利信息流動(dòng)的原則。司法實(shí)踐中單純未經(jīng)明示同意的個(gè)人信息公開(kāi)行為并不當(dāng)然構(gòu)成侵權(quán)[5]；地方實(shí)踐中貴州、上海以及北京中關(guān)村等地也已建立數(shù)據(jù)交易中心，表明賦予個(gè)人信息排他性權(quán)屬并未得到實(shí)踐認(rèn)可。除財(cái)產(chǎn)屬性外，個(gè)人信息還具有公共管理價(jià)值，比如《傳染病防治法》第12條、第31條授權(quán)衛(wèi)生主管部門收集個(gè)人信息。大數(shù)據(jù)背景下信息的本質(zhì)就在于流通和使用[6]，因此強(qiáng)調(diào)對(duì)信息的控制以達(dá)到保護(hù)目的，這一做法既缺少技術(shù)支持和實(shí)踐依托，也與信息開(kāi)發(fā)的發(fā)展趨勢(shì)不符。

政府?dāng)?shù)據(jù)開(kāi)放作為信息合理使用的典型代表，其本身便帶有信息使用與保護(hù)之間的沖突，這就要求在信息保護(hù)價(jià)值取向上必須尋求信息保護(hù)與使用間的協(xié)調(diào)。在既有法律制度不足以規(guī)范政府?dāng)?shù)據(jù)開(kāi)放和有效保護(hù)個(gè)人信息的情況下，應(yīng)當(dāng)通過(guò)個(gè)人信息保護(hù)的專門立法和政府?dāng)?shù)據(jù)開(kāi)放的專門立法，在充分實(shí)現(xiàn)政府?dāng)?shù)據(jù)開(kāi)放價(jià)值的基礎(chǔ)上有效保護(hù)個(gè)人信息。

二是注重信息賦權(quán)與政府責(zé)任并舉。政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)應(yīng)當(dāng)在采納基本權(quán)利保護(hù)模式的同時(shí)，明確信息處理主體的管理職責(zé)和保護(hù)義務(wù)。個(gè)人信息的基本權(quán)利保護(hù)模式是指在憲法中確認(rèn)個(gè)人信息權(quán)的基本權(quán)利地位。目前我國(guó)立法規(guī)范中“明示同意”的規(guī)則在一定程度上承認(rèn)了個(gè)人的信息支配權(quán)[7]。當(dāng)前絕大多數(shù)國(guó)家均采納個(gè)人信息的基本權(quán)利保護(hù)模式，從實(shí)踐上看，單純地以私法構(gòu)建權(quán)利和權(quán)利救濟(jì)框架難以實(shí)現(xiàn)個(gè)人信息的有效保護(hù)。因此必須通過(guò)立法明確個(gè)人信息的相關(guān)權(quán)利，從而協(xié)調(diào)政府?dāng)?shù)據(jù)開(kāi)放與個(gè)人信息保護(hù)的沖突。

個(gè)人信息基本權(quán)利保護(hù)模式的確立并不意味著信息處理主體管理職責(zé)和保護(hù)義務(wù)的減輕。相反，在政府?dāng)?shù)據(jù)開(kāi)放領(lǐng)域，政府的行政強(qiáng)勢(shì)地位以及大數(shù)據(jù)提供的技術(shù)優(yōu)勢(shì)使得信息主體難以支配、控制所享有的信息；同時(shí)，個(gè)人信息具有的經(jīng)濟(jì)、公共管理等價(jià)值，并不以信息是否視為權(quán)利而改變。因此在賦予公民個(gè)人信息權(quán)利的同時(shí)，也應(yīng)當(dāng)明確信息處理主體的信息管理職責(zé)和保護(hù)義務(wù)。一方面，要求政府在數(shù)據(jù)開(kāi)放之前明確數(shù)據(jù)開(kāi)放的標(biāo)準(zhǔn)和范圍；另一方面要求加強(qiáng)開(kāi)放數(shù)據(jù)的監(jiān)督和控制，降低數(shù)據(jù)安全風(fēng)險(xiǎn)。

三是注重個(gè)人信息保護(hù)的社會(huì)監(jiān)督。從信息技術(shù)能力上看，相較于公民個(gè)體，信息行業(yè)組織不存在明顯的技術(shù)劣勢(shì)，發(fā)現(xiàn)政府?dāng)?shù)據(jù)開(kāi)放中的管理缺陷和信息風(fēng)險(xiǎn)的可能性較高，同時(shí)信息行業(yè)通過(guò)技術(shù)標(biāo)準(zhǔn)和行業(yè)自律規(guī)范約束行業(yè)組織成員的信息使用行為[8]，也在一定程度上降低了政府?dāng)?shù)據(jù)開(kāi)放過(guò)程中個(gè)人信息泄露風(fēng)險(xiǎn)；從數(shù)據(jù)開(kāi)放參與主體上看，除作為信息主體的個(gè)人、信息開(kāi)放主體的政府部門外，還存在作為信息利用方的社會(huì)組織或個(gè)人，信息利用方出于使用便利的主觀需求，對(duì)政府?dāng)?shù)據(jù)開(kāi)放范圍、程序以及開(kāi)放文件格式提出的改善建議，也將有助于提升政府?dāng)?shù)據(jù)開(kāi)放中信息管理的標(biāo)準(zhǔn)化水平。在政府?dāng)?shù)據(jù)開(kāi)放參與主體眾多以及信息技術(shù)不確定的情況下，應(yīng)當(dāng)構(gòu)建政府?dāng)?shù)據(jù)開(kāi)放的社會(huì)監(jiān)督機(jī)制，結(jié)合數(shù)據(jù)開(kāi)放規(guī)范的技術(shù)約束，充分運(yùn)用社會(huì)力量對(duì)政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)進(jìn)行監(jiān)督。

(二)政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息保護(hù)的立法原則

與互聯(lián)網(wǎng)和大數(shù)據(jù)應(yīng)用技術(shù)相比，數(shù)據(jù)安全技術(shù)的開(kāi)發(fā)因不符合成本控制需要而處于明顯劣勢(shì)[9]，明確政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人信息采集和使用原則以指導(dǎo)政府?dāng)?shù)據(jù)的采集、存儲(chǔ)、開(kāi)放及使用程序顯得尤為重要?！毒W(wǎng)絡(luò)安全法》等涉及個(gè)人信息保護(hù)的諸多法律共同確立了用戶同意前置的基本原則，其既與個(gè)人信息的社會(huì)地位不吻合，也不具有法律上的正當(dāng)性，在政府?dāng)?shù)據(jù)開(kāi)放領(lǐng)域，應(yīng)當(dāng)確立以下個(gè)人信息采集和使用原則：

一是政府?dāng)?shù)據(jù)合理采集和使用優(yōu)先原則?！秶?guó)家安全法》第83條明確了個(gè)人信息依法收集和必要限度的原則。一方面，在數(shù)據(jù)和信息被廣泛采集、存儲(chǔ)和使用的現(xiàn)實(shí)狀況下，政府在推動(dòng)數(shù)據(jù)使用和開(kāi)放過(guò)程中依托數(shù)據(jù)分析技術(shù)輔助決策，從而提升決策的科學(xué)性；另一方面，從個(gè)人出發(fā)強(qiáng)調(diào)對(duì)信息的絕對(duì)自主并不符合現(xiàn)實(shí)需要，應(yīng)當(dāng)通過(guò)立法明確政府?dāng)?shù)據(jù)合理采集和使用優(yōu)先原則。政府?dāng)?shù)據(jù)合理采集和使用優(yōu)先并不意味著個(gè)人信息權(quán)利的喪失，而是要求在追求數(shù)據(jù)的價(jià)值最大化的同時(shí)，達(dá)到將公共領(lǐng)域和私人領(lǐng)域風(fēng)險(xiǎn)最小化的效果。當(dāng)前個(gè)人信息安全規(guī)范中已提及信息主體統(tǒng)一的例外規(guī)定，在今后專門立法中應(yīng)予吸收。

二是政府?dāng)?shù)據(jù)安全原則。政府?dāng)?shù)據(jù)安全原則的實(shí)現(xiàn)包括政府?dāng)?shù)據(jù)安全管理和政府?dāng)?shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)兩項(xiàng)內(nèi)容，一方面要求政府在數(shù)據(jù)采集、存儲(chǔ)和使用過(guò)程中遵循安全可控、目的明確、權(quán)責(zé)明確的要求[10]，制定政府?dāng)?shù)據(jù)安全管理規(guī)范、流程、標(biāo)準(zhǔn)及相關(guān)配套措施，保障信息主體對(duì)信息使用的知情、查詢、更改、刪除和被遺忘權(quán)等權(quán)利，完善公民個(gè)人信息被侵犯的救濟(jì)途徑；另一方面，整合已有大數(shù)據(jù)應(yīng)用和政府?dāng)?shù)據(jù)開(kāi)放平臺(tái)管理規(guī)則，明確數(shù)據(jù)保存期限、處理標(biāo)準(zhǔn)和開(kāi)放范圍，從而確保各領(lǐng)域政府?dāng)?shù)據(jù)的安全銜接，這既需要數(shù)據(jù)安全管理專業(yè)人員的培養(yǎng)，同時(shí)也要求專門政府?dāng)?shù)據(jù)管理機(jī)構(gòu)的保障。

三是利益協(xié)調(diào)原則。政府?dāng)?shù)據(jù)開(kāi)放過(guò)程中存在公共利益與個(gè)人利益之間的沖突，而利益協(xié)調(diào)又以數(shù)據(jù)安全領(lǐng)域法律規(guī)范的完善為前提。一般而言，各國(guó)法律將同意原則作為數(shù)據(jù)使用的前提，但也規(guī)定了個(gè)人同意的例外事由。但目前在涉及數(shù)據(jù)管理和個(gè)人信息保護(hù)法律規(guī)范中國(guó)家安全和公共利益的判斷依據(jù)尚付闕如，也因此產(chǎn)生了政府?dāng)?shù)據(jù)開(kāi)放過(guò)程中公共利益與個(gè)人利益難以協(xié)調(diào)的問(wèn)題。因此，應(yīng)當(dāng)吸收我國(guó)2018年公布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》“徑直采集個(gè)人信息事由”的規(guī)定，基于法律保留原則，適當(dāng)限制個(gè)人信息權(quán)利的行使，以保障公共管理和服務(wù)目的的實(shí)現(xiàn)。同時(shí)，也應(yīng)基于比例原則，依據(jù)其所保障的國(guó)家利益或公共利益的性質(zhì)和重要程度，明確信息采集和使用的標(biāo)準(zhǔn)和范圍。隨著社會(huì)治理要求的不斷拓展，實(shí)踐中普遍存在公民信息采集和公共利益保護(hù)的協(xié)調(diào)問(wèn)題?？紤]到社會(huì)治理需要，如避免新冠疫情防治實(shí)踐中頻繁出現(xiàn)隱瞞接觸史的行為，應(yīng)當(dāng)在政府?dāng)?shù)據(jù)開(kāi)放過(guò)程中，通過(guò)專門立法進(jìn)一步明確政府?dāng)?shù)據(jù)采集的標(biāo)準(zhǔn)和范圍。

四是個(gè)人信息的類型化區(qū)分原則?，F(xiàn)有規(guī)范中概括和列舉式的表述方式難以窮盡個(gè)人信息的范圍，同時(shí)不加區(qū)分地對(duì)個(gè)人信息依照單一標(biāo)準(zhǔn)進(jìn)行保護(hù)規(guī)制，既不利于個(gè)人信息價(jià)值的實(shí)現(xiàn)，同時(shí)也無(wú)助于政府?dāng)?shù)據(jù)開(kāi)放與個(gè)人信息保護(hù)之間矛盾的協(xié)調(diào)。因此應(yīng)當(dāng)對(duì)個(gè)人信息進(jìn)行類型化區(qū)分，針對(duì)不同類型的個(gè)人信息采取相對(duì)應(yīng)的保護(hù)措施。

目前學(xué)界主要以識(shí)別性、敏感度、信息主體為標(biāo)準(zhǔn)，將個(gè)人信息類型化為直接或間接信息、敏感或一般信息、普通群體或特殊群體信息三類[11]。比較而言，敏感信息與一般信息的區(qū)分對(duì)個(gè)人信息保護(hù)的意義更為明顯。一方面，敏感信息與一般信息的劃分已在我國(guó)《個(gè)人信息保護(hù)指南》《征信業(yè)管理?xiàng)l例》等規(guī)范中予以體現(xiàn)。2007年《信息安全等級(jí)保護(hù)管理辦法》劃分了信息安全的5個(gè)等級(jí)，但未對(duì)等級(jí)劃定標(biāo)準(zhǔn)和具體信息保護(hù)措施作細(xì)致說(shuō)明，可操作性不強(qiáng)。2017年《個(gè)人信息安全規(guī)范》也以國(guó)家推薦性標(biāo)準(zhǔn)的形式列舉了個(gè)人敏感信息的范圍，使得敏感信息的判斷標(biāo)準(zhǔn)和范圍有章可循。另一方面，以信息的敏感度為標(biāo)準(zhǔn)，適當(dāng)調(diào)整政府?dāng)?shù)據(jù)開(kāi)放中的數(shù)據(jù)管理規(guī)范和標(biāo)準(zhǔn)，在實(shí)踐層面能夠兼顧政府?dāng)?shù)據(jù)開(kāi)放的安全與效率?！豆I(yè)數(shù)據(jù)分類分級(jí)指南(試行)》(工信廳信發(fā)〔2020〕6號(hào))根據(jù)數(shù)據(jù)的風(fēng)險(xiǎn)程度設(shè)置了相應(yīng)的管理流程；2020年10月正式生效的新版《個(gè)人信息安全規(guī)范》單獨(dú)強(qiáng)調(diào)了個(gè)人生物信息的特殊性，規(guī)定個(gè)人生物信息收集前的單獨(dú)告知和限制存儲(chǔ)的特殊要求，也體現(xiàn)了個(gè)人信息“場(chǎng)景式”保護(hù)的需要。

我國(guó)目前對(duì)敏感信息的界定主要采取結(jié)果導(dǎo)向的判斷標(biāo)準(zhǔn)，認(rèn)為應(yīng)當(dāng)將信息泄露后對(duì)信息主體產(chǎn)生消極影響的視作敏感信息。相較而言，《個(gè)人信息安全規(guī)范》對(duì)信息泄露后產(chǎn)生的影響程度、影響方式等進(jìn)行了更為清晰的界定，而《個(gè)人信息保護(hù)指南》中“敏感信息的判定需綜合分析主觀意愿和服務(wù)特征確定”[12]的表述對(duì)敏感信息的判斷進(jìn)行了綜合考量，留下了后續(xù)立法完善的解釋空間。就域外立法上看，生物特征信息、金融信息、位置信息普遍被納入敏感信息范疇。鑒于此，我國(guó)敏感信息與一般信息應(yīng)當(dāng)延續(xù)《個(gè)人信息安全規(guī)范》中“定義+列舉”的規(guī)范方式，增加綜合考量的解釋空間，為后續(xù)實(shí)踐中敏感信息和一般信息的變化提供制度調(diào)整空間。對(duì)政府?dāng)?shù)據(jù)開(kāi)放過(guò)程中已納入敏感信息的數(shù)據(jù)應(yīng)當(dāng)進(jìn)行嚴(yán)格審查，做好敏感信息的篩選和篩除工作。對(duì)于非敏感、較小風(fēng)險(xiǎn)或通過(guò)技術(shù)手段能及時(shí)修正的信息類型，仍應(yīng)強(qiáng)調(diào)信息存儲(chǔ)和使用主體的管理義務(wù)。

注釋：

①參見(jiàn)《政府信息公開(kāi)條例(2019)》第十五條：涉及商業(yè)秘密、個(gè)人隱私等公開(kāi)會(huì)對(duì)第三方合法權(quán)益造成損害的政府信息，行政機(jī)關(guān)不得公開(kāi)。但是，第三方同意公開(kāi)或者行政機(jī)關(guān)認(rèn)為不公開(kāi)會(huì)對(duì)公共利益造成重大影響的，予以公開(kāi)。