摘 要：政府?dāng)?shù)據(jù)開放并非靜態(tài)的單一行為，而是動(dòng)態(tài)的系統(tǒng)過程。借助數(shù)據(jù)生命周期理論，可以將政府?dāng)?shù)據(jù)開放解構(gòu)為數(shù)據(jù)收集、轉(zhuǎn)換、存儲(chǔ)、公開和使用五個(gè)階段。根據(jù)《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》確立的最新規(guī)則，個(gè)人信息保護(hù)風(fēng)險(xiǎn)可能同時(shí)存在于政府?dāng)?shù)據(jù)開放生命周期的各個(gè)階段。然而，政府?dāng)?shù)據(jù)開放中現(xiàn)有的個(gè)人信息保護(hù)范式主要采取“基于結(jié)果的方法”，重點(diǎn)關(guān)注政府?dāng)?shù)據(jù)在公開時(shí)的狀態(tài)，依靠技術(shù)性匿名化手段，難以有效應(yīng)對(duì)政府?dāng)?shù)據(jù)開放中的個(gè)人信息保護(hù)風(fēng)險(xiǎn)。與此相對(duì)應(yīng)，“基于過程的方法”與政府?dāng)?shù)據(jù)生命周期、個(gè)人信息保護(hù)的程序化和數(shù)據(jù)安全全流程管理相契合，可以彌補(bǔ)“基于結(jié)果的方法”的不足。通過將風(fēng)險(xiǎn)預(yù)防原則和程序、技術(shù)、經(jīng)濟(jì)、教育和法律等手段分散放置在政府?dāng)?shù)據(jù)開放生命周期的每個(gè)階段，能夠最大限度減少個(gè)人信息保護(hù)風(fēng)險(xiǎn)，在個(gè)人信息保護(hù)與政府?dāng)?shù)據(jù)開放之間實(shí)現(xiàn)動(dòng)態(tài)平衡。

關(guān)鍵詞：政府?dāng)?shù)據(jù)開放;個(gè)人信息保護(hù);基于過程的方法;匿名化

中圖分類號(hào)：DF36? 文獻(xiàn)標(biāo)志碼：A

DOI：10.3969/j.issn.1001-2397.2022.01.09

一、問題的提出

隨著“數(shù)據(jù)”成為第五類生產(chǎn)要素，數(shù)據(jù)開放共享對(duì)于數(shù)字經(jīng)濟(jì)發(fā)展和數(shù)字社會(huì)建設(shè)至關(guān)重要。政府部門維護(hù)著大量數(shù)據(jù)，這些數(shù)據(jù)已經(jīng)成為一種寶貴的資源，可以被從個(gè)人到企業(yè)甚至其他政府機(jī)構(gòu)的各種實(shí)體所利用。開放數(shù)據(jù)是釋放政府?dāng)?shù)據(jù)價(jià)值的重要方法，它意味著任何人都可以從任何渠道獲取以公開形式存在，并且滿足一些特定條件的政府?dāng)?shù)據(jù)。①事實(shí)證明，政府?dāng)?shù)據(jù)開放不僅具有經(jīng)濟(jì)價(jià)值，如促進(jìn)產(chǎn)業(yè)轉(zhuǎn)型、助推大眾創(chuàng)業(yè)等，而且還具有社會(huì)價(jià)值和政治價(jià)值，如提升公眾生活品質(zhì)、增強(qiáng)政府透明度、優(yōu)化公共決策水平等。[張濤：《藏智于民：開放政府?dāng)?shù)據(jù)的法理基礎(chǔ)與規(guī)范重塑》，載《電子政務(wù)》2019年第8期，第78-80頁。]政府?dāng)?shù)據(jù)開放的重要性也獲得了我國有關(guān)政策文件和立法的肯認(rèn)，正逐漸向法制化方向發(fā)展。[張濤：《開放政府?dāng)?shù)據(jù)法制化的地方實(shí)踐與制度完善——以浙江等9個(gè)省市為分析樣本》，載《貴州大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2019年第5期，第78頁。]2015年8月，國務(wù)院印發(fā)的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》將“加快政府?dāng)?shù)據(jù)開放共享，推動(dòng)資源整合，提升治理能力”確立為促進(jìn)大數(shù)據(jù)發(fā)展的“主要任務(wù)”;2020年3月，中共中央、國務(wù)院印發(fā)的《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》將“推進(jìn)政府?dāng)?shù)據(jù)開放共享”作為“加快培育數(shù)據(jù)要素市場”重要舉措。貴州、浙江、上海等地通過地方性法規(guī)、地方政府規(guī)章的形式對(duì)政府?dāng)?shù)據(jù)開放共享予以專門規(guī)范，如《貴州省政府?dāng)?shù)據(jù)共享開放條例》《上海市公共數(shù)據(jù)開放暫行辦法》等。

然而，政府?dāng)?shù)據(jù)開放在創(chuàng)造巨大價(jià)值的同時(shí)，也帶來潛在風(fēng)險(xiǎn)，主要包括：一是開放數(shù)據(jù)本身有可能泄露國家秘密、商業(yè)機(jī)密和個(gè)人隱私;二是開放數(shù)據(jù)被誤用或?yàn)E用后會(huì)損害公共利益及第三方利益;三是開放數(shù)據(jù)由于質(zhì)量問題會(huì)對(duì)數(shù)據(jù)使用者和社會(huì)造成損失。[鄭磊：《開放的數(shù)林：政府?dāng)?shù)據(jù)開放的中國故事》，上海人民出版社2018年版，第21頁。]如何平衡政府?dāng)?shù)據(jù)開放的效用與風(fēng)險(xiǎn)，已經(jīng)成為一個(gè)亟待解決的重要課題。[蔣冰晶、李少軍：《包容與合作：大數(shù)據(jù)時(shí)代政府?dāng)?shù)據(jù)開放的行政法治理念》，載《河北法學(xué)》2019年第12期，第103頁。]實(shí)證研究表明，與泄露機(jī)密信息（如個(gè)人信息和商業(yè)秘密）相關(guān)的風(fēng)險(xiǎn)已經(jīng)成為政府部門拒絕開放共享其數(shù)據(jù)的主要理由。[See Bernd W. Wirtz， Robert Piehler & Marc-Julian Thomas et al.， Resistance of Public Personnel to Open Government： A cognitive theory view of implementation barriers towards open government data， 18 Public Management Review 1335， 1356（2016）.]隨著我國《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》的出臺(tái)，與個(gè)人信息保護(hù)相關(guān)的原則、規(guī)則以及機(jī)制得以確立，這意味著政府部門在處理數(shù)據(jù)開放共享與個(gè)人信息保護(hù)的關(guān)系時(shí)將面臨新的、更高的要求。[商希雪、韓海庭：《政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)路徑研究》，載《電子政務(wù)》2021年第6期，第113頁。]現(xiàn)有的研究成果主要聚焦于政府?dāng)?shù)據(jù)開放中的隱私保護(hù)，倡導(dǎo)將隱私法的一些原則和規(guī)則運(yùn)用到政府?dāng)?shù)據(jù)開放中，以求在隱私利益和其他利益之間維持平衡。[鄒東升：《政府開放數(shù)據(jù)和個(gè)人隱私保護(hù)：加拿大的例證》，載《中國行政管理》2018年第6期，第75頁。]然而，傳統(tǒng)的隱私法過于關(guān)注個(gè)人信息的收集、使用或者披露的信息的性質(zhì)，當(dāng)具體的損害難以表述，甚至難以定位時(shí)，事后的、個(gè)性化的補(bǔ)救措施常常會(huì)失去效用。[王學(xué)輝、趙昕：《隱私權(quán)之公私法整合保護(hù)探索——以“大數(shù)據(jù)時(shí)代”個(gè)人信息隱私為分析視點(diǎn)》，載《河北法學(xué)》2015年第5期，第65頁。]

此外，個(gè)人信息與個(gè)人隱私之間存在明顯的區(qū)別[王利明：《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期，第66-68頁。]，而現(xiàn)有的隱私法規(guī)范也未給政府?dāng)?shù)據(jù)開放提供明確的指引，這意味著我們需要一個(gè)更為復(fù)雜和精細(xì)的數(shù)據(jù)保護(hù)方法來為個(gè)人數(shù)據(jù)提供強(qiáng)有力的保護(hù)，并提高政府?dāng)?shù)據(jù)開放的效用。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 720-721（2016）.]本文便以此作為重點(diǎn)，探討相關(guān)問題，密切關(guān)注法學(xué)、數(shù)據(jù)科學(xué)、統(tǒng)計(jì)學(xué)等學(xué)科在個(gè)人信息保護(hù)方面的最新進(jìn)展，并通過如下結(jié)構(gòu)展開論證：首先，以數(shù)據(jù)生命周期理論為指引對(duì)政府?dāng)?shù)據(jù)開放進(jìn)行階段性解構(gòu)，并以《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》的有關(guān)規(guī)定，檢視不同階段可能存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)。其次，對(duì)政府?dāng)?shù)據(jù)開放中現(xiàn)有的個(gè)人信息保護(hù)模式進(jìn)行評(píng)析，在此基礎(chǔ)上，嘗試以“基于過程的方法”來建構(gòu)新的個(gè)人信息保護(hù)范式。最后，從不同角度就如何在政府?dāng)?shù)據(jù)開放中落實(shí)“基于過程的”個(gè)人信息保護(hù)機(jī)制提出建議。

二、政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)面臨的風(fēng)險(xiǎn)

從廣義上看，政府?dāng)?shù)據(jù)開放是一個(gè)動(dòng)態(tài)的系統(tǒng)過程，而非靜態(tài)的單一行為。[See Judie Attard， Fabrizio Orlandi & Simon Scerri et al.， A Systematic Review of Open Government Data Initiatives， 32 Government Information Quarterly 399， 399（2015）.]在數(shù)據(jù)科學(xué)中，學(xué)者們用“數(shù)據(jù)生命周期”理論來描述數(shù)據(jù)從“產(chǎn)生”到“解釋”、從原始比特轉(zhuǎn)化為終端用戶價(jià)值的過程，并且強(qiáng)調(diào)在生命周期的每個(gè)階段都需要考慮數(shù)據(jù)隱私和數(shù)據(jù)倫理。[See Jeannette M. Wing， The Data Life Cycle， 1 Harvard Data Science Review 1， 1（2019）.]為了能夠?qū)φ當(dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)面臨的風(fēng)險(xiǎn)有一個(gè)較為準(zhǔn)確的把握，我們有必要以數(shù)據(jù)生命周期理論為指引對(duì)政府?dāng)?shù)據(jù)開放過程進(jìn)行階段性解構(gòu)，并具體分析每個(gè)階段可能存在的風(fēng)險(xiǎn)。

（一）政府?dāng)?shù)據(jù)開放過程的階段性解釋

在數(shù)據(jù)科學(xué)中，一般認(rèn)為，“數(shù)據(jù)生命周期”概念的目標(biāo)是“提供一種結(jié)構(gòu)來組織與項(xiàng)目或者組織內(nèi)的數(shù)據(jù)管理有關(guān)的任務(wù)和活動(dòng)”。[Line Pouchard， Revisiting the Data Lifecycle with Big Data Curation， 10 International Journal of Digital Curation 176， 180（2015）.]這個(gè)概念被具體化為各種數(shù)據(jù)生命周期模型，涵蓋了數(shù)據(jù)從生產(chǎn)到歸檔（或者刪除）的整個(gè)生命周期，并將整個(gè)過程視為同一過程的下一次迭代，使其形成一個(gè)循環(huán)。這樣一個(gè)概念對(duì)于政府?dāng)?shù)據(jù)開放而言至關(guān)重要，因?yàn)樗疤峁┝艘粋€(gè)結(jié)構(gòu)來考慮數(shù)據(jù)記錄在整個(gè)生命周期中需要執(zhí)行的諸多操作”。[Alex Ball，Review of Data Management Lifecycle Models （version 1.0）， University of Bath， 2012， p.4.]

不過，數(shù)據(jù)生命周期理論仍面臨挑戰(zhàn)，那就是沒有統(tǒng)一的數(shù)據(jù)生命周期模型，因?yàn)閿?shù)據(jù)生命周期在每個(gè)領(lǐng)域、場域或組織中都存在差異。盡管如此，仍然有一些學(xué)者嘗試開發(fā)出應(yīng)用于政府?dāng)?shù)據(jù)開放的數(shù)據(jù)生命周期模型。德國波恩大學(xué)學(xué)者朱迪·阿塔德（Judie Attard）等人將政府?dāng)?shù)據(jù)開放生命周期（open government data life-cycle）劃分為“3個(gè)板塊9個(gè)階段”：預(yù)處理（pre-processing）板塊是準(zhǔn)備要發(fā)布的數(shù)據(jù)，包括創(chuàng)建、選擇、協(xié)調(diào)、發(fā)布等4個(gè)階段;開采（exploitation）板塊是使用已發(fā)布的數(shù)據(jù)，包括互聯(lián)、發(fā)現(xiàn)、探索、挖掘等4個(gè)階段;維護(hù)（maintenance）板塊是維護(hù)已發(fā)布的數(shù)據(jù)，使其具有可持續(xù)性，包括管護(hù)。[See JSee Judie Attard， Fabrizio Orlandi & Simon Scerri et al.， A Systematic Review of Open Government Data Initiatives， 32 Government Information Quarterly 399， 403（2015）.]希臘愛琴海大學(xué)學(xué)者亞尼斯·查拉比迪斯（Yannis Charalabidis）等人在開放數(shù)據(jù)支持工作組提出的鏈接OGD（Open Government Data）生命周期的基礎(chǔ)上，開發(fā)了一個(gè)擴(kuò)展的政府?dāng)?shù)據(jù)開放生命周期，它由9個(gè)階段構(gòu)成，包括創(chuàng)建、預(yù)處理、策劃、存儲(chǔ)/獲得（store/obtain）、發(fā)布、檢索/購得（retrieve/acquire）、處理、使用和用戶協(xié)作。[See Yannis Charalabidis， Charalampos Alexopoulos & Euripidis Loukis， A Taxonomy of Open Government Data Research Areas and Topics， 26 Journal of Organizational Computing and Electronic Commerce 41， 56（2016）.]國內(nèi)學(xué)者鮑靜等人將政府?dāng)?shù)據(jù)開放生命周期劃分為6個(gè)階段，包括數(shù)據(jù)生成和發(fā)布、權(quán)限配置管理、網(wǎng)上流轉(zhuǎn)、數(shù)據(jù)呈現(xiàn)、利用管理和更新管理。[鮑靜、張勇進(jìn)、董占廣：《我國政府?dāng)?shù)據(jù)開放管理若干基本問題研究》，載《行政論壇》2017年第1期，第28頁。]黃如花等人則將政府?dāng)?shù)據(jù)開放生命周期劃分為5個(gè)階段，包括創(chuàng)建與采集、組織與處理、存儲(chǔ)與發(fā)布、發(fā)現(xiàn)與獲取、增值與評(píng)價(jià)。[黃如花、賴彤：《數(shù)據(jù)生命周期視角下我國政府?dāng)?shù)據(jù)開放的障礙研究》，載《情報(bào)理論與實(shí)踐》2018年第2期，第8頁。]

事實(shí)上，數(shù)據(jù)的不同用途可能對(duì)應(yīng)不同的生命周期。例如，數(shù)據(jù)可能只是為了保存記錄而被歸檔，也可能被用于一次性的法律決策，還有可能在決策支持系統(tǒng)中被持續(xù)處理。當(dāng)我們?cè)陂_發(fā)一個(gè)特定的數(shù)據(jù)生命周期模型時(shí)，面臨著在通用性和復(fù)雜性之間進(jìn)行權(quán)衡：數(shù)據(jù)生命周期模型越復(fù)雜，它就越能描述簡單個(gè)案，但在描述其他大數(shù)據(jù)使用案例時(shí)卻可能缺乏通用性。[See Simon Vydra， Andrei Poama & Sarah Giest et al.， Big Data Ethics： A Life Cycle Perspective， Erasmus Law Review， Issue 1， 2021， http：//www.erasmuslawreview.nl/tijdschrift/ELR/2021/1%20（incomplete）/ELR-D-20-00036.pdf（Last visited on July 11， 2021）.]為了在通用性與復(fù)雜性之間取得平衡，以現(xiàn)有的研究成果為基礎(chǔ)，本文采用的政府?dāng)?shù)據(jù)開放生命周期模型主要有兩個(gè)目標(biāo)：一是模型足夠簡單，以概括其他法律領(lǐng)域中許多大數(shù)據(jù)用例的共同特征;二是模型足夠具體，以捕獲政府?dāng)?shù)據(jù)開放過程中有意義的、獨(dú)特的“階段”。在這個(gè)數(shù)據(jù)生命周期模型中，主要分為5個(gè)不同的階段：數(shù)據(jù)收集、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)公開和數(shù)據(jù)使用，下文將分別對(duì)這5個(gè)階段進(jìn)行簡單描述，同時(shí)分析可能存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)。

（二）數(shù)據(jù)收集階段侵害個(gè)人信息權(quán)益

政府?dāng)?shù)據(jù)開放生命周期的第一個(gè)階段始于數(shù)據(jù)收集。本文在廣義上使用“收集”一詞，包括接受、提取或者獲取數(shù)據(jù)。數(shù)據(jù)無處不在，正以不易察覺又顯而易見的方式嵌入“我們?nèi)粘Ｉ畹慕Y(jié)構(gòu)”中，而技術(shù)正在改變數(shù)據(jù)產(chǎn)生、收集、維護(hù)和利用的方式。[See Barbara L. Cohn， Data Governance： A Quality Imperative in the Era of Big Data， Open Data and Beyond，10 A Journal of Law and Policy for the Information Society 811， 811（2015）. ]在大數(shù)據(jù)時(shí)代，政府?dāng)?shù)據(jù)的收集主要呈以下特點(diǎn)：（1）政府?dāng)?shù)據(jù)收集的主體越來越多元化。除了傳統(tǒng)負(fù)責(zé)交通運(yùn)輸、環(huán)境保護(hù)、治安管理、教育衛(wèi)生、文化旅游等業(yè)務(wù)的行政機(jī)關(guān)在履行職責(zé)的過程中會(huì)收集各種數(shù)據(jù)外，代行政府管理職能的組織在履行職責(zé)的過程中也會(huì)采集各類數(shù)據(jù)。（2）政府?dāng)?shù)據(jù)收集的類型越來越多樣化。除了個(gè)人信息以外，環(huán)境數(shù)據(jù)、氣象數(shù)據(jù)、稅務(wù)數(shù)據(jù)、交通數(shù)據(jù)等也在政府?dāng)?shù)據(jù)收集的范圍之內(nèi)。（3）政府?dāng)?shù)據(jù)收集的方式越來越隱蔽和便捷。在傳統(tǒng)的行政管理或者政務(wù)服務(wù)中，行政機(jī)關(guān)往往通過線下訪問以紙質(zhì)文件等形式來采集數(shù)據(jù)。隨著數(shù)字政府建設(shè)的不斷推進(jìn)，很多行政任務(wù)由線下轉(zhuǎn)為線上辦理，行政機(jī)關(guān)可以借助移動(dòng)應(yīng)用程序、生物識(shí)別設(shè)備等快速、無接觸地采集數(shù)據(jù)。（4）政府?dāng)?shù)據(jù)收集的途徑更加多元。行政機(jī)關(guān)除了可以通過在履行法定職責(zé)時(shí)直接收集數(shù)據(jù)外，還可能從第三方數(shù)據(jù)中介組織或者其他政府部門收集數(shù)據(jù)。

大數(shù)據(jù)技術(shù)雖然給政府?dāng)?shù)據(jù)收集帶來了諸多革命性變革，但也存在違反《個(gè)人信息保護(hù)法》的風(fēng)險(xiǎn)，主要體現(xiàn)在以下幾個(gè)方面：

1.過度收集個(gè)人信息?！秱€(gè)人信息保護(hù)法》第34條規(guī)定，國家機(jī)關(guān)為履行法定職責(zé)收集個(gè)人信息，不得超出履行法定職責(zé)所必需的范圍和限度。實(shí)踐中，一些政府部門在收集個(gè)人信息時(shí)，往往采取“應(yīng)采盡采、應(yīng)歸盡歸”的方法，超越職責(zé)和權(quán)限收集個(gè)人信息。2020年12月，APP違法違規(guī)收集使用個(gè)人信息治理工作組發(fā)布了35款存在個(gè)人信息收集使用問題的APP，其中，安徽省數(shù)據(jù)資源管理局負(fù)責(zé)運(yùn)營的“皖事通”存在“未明示收集用戶詳細(xì)地址、支付寶賬號(hào)、社保賬號(hào)等個(gè)人信息的目的、方式和范圍”。[申佳平：《35款A(yù)PP存在個(gè)人信息收集問題 “鄂匯辦”等多個(gè)政務(wù)平臺(tái)被通報(bào)》，載人民網(wǎng)2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

2.未履行告知義務(wù)收集個(gè)人信息。《個(gè)人信息保護(hù)法》第35條規(guī)定，國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)履行告知義務(wù)。在APP違法違規(guī)收集使用個(gè)人信息治理工作組發(fā)布的35款存在個(gè)人信息收集使用問題的APP中，由湖北省人民政府主辦、湖北省楚天云有限公司運(yùn)營的“鄂匯辦”存在“未明示收集的人臉特征等個(gè)人信息的目的、方式和范圍，且收集時(shí)未同步告知用戶其目的”。[申佳平：《35款A(yù)PP存在個(gè)人信息收集問題 “鄂匯辦”等多個(gè)政務(wù)平臺(tái)被通報(bào)》，載人民網(wǎng)2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

3.未經(jīng)同意收集個(gè)人信息。根據(jù)《個(gè)人信息保護(hù)法》第13條的規(guī)定，國家機(jī)關(guān)不需取得個(gè)人同意而處理個(gè)人信息的條件是“為履行法定職責(zé)或者法定義務(wù)所必需”，這意味著若收集的個(gè)人信息并非履行法定職責(zé)所必需，則仍然需要取得個(gè)人同意。在前面提到的“皖事通”和“鄂匯辦”都存在未經(jīng)同意收集個(gè)人信息的問題，如“鄂匯辦”在“用戶明確表示不同意打開位置權(quán)限后，仍頻繁征求用戶同意，干擾用戶正常使用”。[申佳平：《35款A(yù)PP存在個(gè)人信息收集問題 “鄂匯辦”等多個(gè)政務(wù)平臺(tái)被通報(bào)》，載人民網(wǎng)2020年11月13日，https：//baijiahao.baidu.com/s？id=1683240493240792290&wfr=spider&for=pc。]

（三）數(shù)據(jù)轉(zhuǎn)換階段侵害個(gè)人信息權(quán)益

數(shù)據(jù)轉(zhuǎn)換（data transformation）是將一種格式或者狀態(tài)的數(shù)據(jù)轉(zhuǎn)換為對(duì)另一種目的有用的格式或狀態(tài)的過程。[朱東妹：《數(shù)據(jù)倉庫與數(shù)據(jù)挖掘概念、方法及圖書館應(yīng)用》，安徽師范大學(xué)出版社2017年版，第38-39頁。]數(shù)據(jù)轉(zhuǎn)換的目的是使數(shù)據(jù)可使用、可管理，并符合現(xiàn)行的數(shù)據(jù)治理標(biāo)準(zhǔn)，一旦數(shù)據(jù)被轉(zhuǎn)換，數(shù)據(jù)使用者就可以使用分析方法，從中獲得可信賴的、可操作的信息。數(shù)據(jù)轉(zhuǎn)換是“提取、轉(zhuǎn)換和加載”過程的中間行動(dòng)，為分析準(zhǔn)備數(shù)據(jù)，而“提取、轉(zhuǎn)換和加載”是一個(gè)數(shù)據(jù)管道，用于從各種來源收集數(shù)據(jù)，根據(jù)業(yè)務(wù)規(guī)則轉(zhuǎn)換數(shù)據(jù)，并將其加載到一個(gè)目標(biāo)數(shù)據(jù)存儲(chǔ)。[羅會(huì)蘭：《數(shù)據(jù)提取、轉(zhuǎn)換和裝載技術(shù)研究》，載《計(jì)算機(jī)工程與設(shè)計(jì)》2004年第5期，第764頁。]數(shù)據(jù)轉(zhuǎn)換通常涉及各種操作，如過濾、排序、聚合、連接數(shù)據(jù)、清洗數(shù)據(jù)、重復(fù)數(shù)據(jù)和驗(yàn)證數(shù)據(jù)等;數(shù)據(jù)轉(zhuǎn)換通常也包括一系列的改變，轉(zhuǎn)換可能是結(jié)構(gòu)性的或者語義性的，也可能是有損的或者無損的。[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2020（2015）.]

就政府?dāng)?shù)據(jù)開放而言，數(shù)據(jù)轉(zhuǎn)換至關(guān)重要，原因主要有兩點(diǎn)：第一，數(shù)據(jù)轉(zhuǎn)換是政府?dāng)?shù)據(jù)達(dá)到可機(jī)讀、非專屬等數(shù)據(jù)標(biāo)準(zhǔn)的必經(jīng)階段。為了最大限度發(fā)揮政府?dāng)?shù)據(jù)的效用，各國政府或者國際組織在制定政府?dāng)?shù)據(jù)開放政策、戰(zhàn)略、立法或者倡議時(shí)均對(duì)數(shù)據(jù)標(biāo)準(zhǔn)作出規(guī)定，要求政府?dāng)?shù)據(jù)在公開時(shí)應(yīng)當(dāng)滿足可機(jī)讀、非專屬、以接口形式提供等標(biāo)準(zhǔn)。[See Ashit Talukder， Big Data Open Standards and Benchmarking to Foster Innovation， 10 A Journal of Law and Policy for the Information Society 799， 802-803（2015）.]政府?dāng)?shù)據(jù)來源廣泛、類型眾多，結(jié)構(gòu)性數(shù)據(jù)與非結(jié)構(gòu)性數(shù)據(jù)并存，要達(dá)到預(yù)期的數(shù)據(jù)標(biāo)準(zhǔn)，需要利用各種技術(shù)手段，進(jìn)行數(shù)據(jù)轉(zhuǎn)換。第二，數(shù)據(jù)轉(zhuǎn)換是政府?dāng)?shù)據(jù)由收集階段邁入存儲(chǔ)階段的中間橋梁。如前所述，政府部門借助各種信息技術(shù)、媒介或者平臺(tái)從各種來源收集數(shù)據(jù)，如官民互動(dòng)數(shù)據(jù)、行政文書、數(shù)據(jù)庫或者由機(jī)器與傳感器產(chǎn)生的流媒體數(shù)據(jù)，這些數(shù)據(jù)只有經(jīng)過適當(dāng)轉(zhuǎn)換后，才能加載到云數(shù)據(jù)存儲(chǔ)庫。

與數(shù)據(jù)收集相比，數(shù)據(jù)轉(zhuǎn)換雖然并不直接與數(shù)據(jù)主體打交道，但也可能因?yàn)橐恍┲饔^或客觀因素的影響，侵害個(gè)人信息權(quán)益，其中最主要的風(fēng)險(xiǎn)是可能違反準(zhǔn)確性義務(wù)（原則）。從國內(nèi)外個(gè)人信息保護(hù)立法的現(xiàn)狀與趨勢(shì)來看，準(zhǔn)確性都被視為一項(xiàng)重要的原則或者義務(wù)。歐盟《通用數(shù)據(jù)保護(hù)條例》第5條第1款第（d）項(xiàng)規(guī)定，個(gè)人數(shù)據(jù)必須準(zhǔn)確、及時(shí)、保持更新。新加坡《個(gè)人數(shù)據(jù)保護(hù)法》第23條規(guī)定，機(jī)構(gòu)應(yīng)當(dāng)作出合理努力以確保由機(jī)構(gòu)或者代表機(jī)構(gòu)收集的個(gè)人數(shù)據(jù)是準(zhǔn)確且完整的。我國《個(gè)人信息保護(hù)法》第8條規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)保證個(gè)人信息的質(zhì)量，避免因個(gè)人信息不準(zhǔn)確、不完整對(duì)個(gè)人權(quán)益造成不利影響。”在實(shí)踐中，大部分與數(shù)據(jù)打交道的人都知道，利用數(shù)據(jù)轉(zhuǎn)化歪曲事實(shí)是有可能的。達(dá)萊爾·哈夫的經(jīng)典之作《統(tǒng)計(jì)數(shù)字會(huì)撒謊》描述了數(shù)據(jù)可以被歪曲的事實(shí)，同時(shí)創(chuàng)造一個(gè)事實(shí)的虛假表象，方法主要包括主觀的數(shù)據(jù)選擇、范圍的操控、部分?jǐn)?shù)據(jù)點(diǎn)遺漏，這些方法直到今天還在使用。[[美]DAMA國際（Data Management International）：《DAMA數(shù)據(jù)管理知識(shí)體系指南》，DAMA中國分會(huì)翻譯組譯，機(jī)械工業(yè)出版社2020年版，第34頁。]2021年5月，江蘇南通一位市民在查詢個(gè)人征信時(shí)發(fā)現(xiàn)，其征信報(bào)告“工作單位”一欄被寫上了“專業(yè)做×十年”，該事件引發(fā)社會(huì)公眾對(duì)征信機(jī)構(gòu)公信力的質(zhì)疑，其主要原因是征信機(jī)構(gòu)在處理個(gè)人信息時(shí)未履行準(zhǔn)確性義務(wù)。[《如此兒戲！女子個(gè)人征信報(bào)告被寫“專業(yè)做雞十年”》，載澎湃新聞2021年5月25日，http：//m.thepaper.cn/baijiahao_12853184。]

（四）數(shù)據(jù)存儲(chǔ)階段侵害個(gè)人信息權(quán)益

數(shù)據(jù)存儲(chǔ)是指記錄和保存數(shù)字信息，如應(yīng)用程序、網(wǎng)絡(luò)協(xié)議、文檔、媒體、地址簿、用戶偏好等背后的比特和字節(jié)，用于未來的操作。數(shù)據(jù)存儲(chǔ)是大數(shù)據(jù)的核心組成部分，也是政府?dāng)?shù)據(jù)開放生命周期中的重要階段。[See Gherardo Carullo & Christian Ernst， Data Storage by Public Administrations， 26 European Public Law 545， 545（2020）.]在某種程度上，數(shù)據(jù)的創(chuàng)造以及大數(shù)據(jù)概念的誕生，正是計(jì)算機(jī)的發(fā)展、數(shù)字?jǐn)?shù)據(jù)取代模擬數(shù)據(jù)的進(jìn)步，以及處理和存儲(chǔ)數(shù)據(jù)的速率提高等因素的結(jié)果。[[美]道恩·霍爾姆斯：《大數(shù)據(jù)》，李德俊、洪艷青譯，譯林出版社2020年版，第14頁。]在大數(shù)據(jù)技術(shù)發(fā)展的早期，數(shù)據(jù)存儲(chǔ)的成本十分高昂，通常以模擬數(shù)據(jù)的方式進(jìn)行代替，如縮微拍攝、攝影以及紙媒等。隨著技術(shù)的進(jìn)步，計(jì)算環(huán)境解決了存儲(chǔ)模擬數(shù)據(jù)方面的諸多難題，目前，常見的數(shù)據(jù)存儲(chǔ)類型包括軟件定義存儲(chǔ)、云存儲(chǔ)、網(wǎng)絡(luò)附加存儲(chǔ)、對(duì)象存儲(chǔ)、文件存儲(chǔ)、塊存儲(chǔ)等。數(shù)據(jù)存儲(chǔ)技術(shù)的發(fā)展與廣泛運(yùn)用，也對(duì)政府?dāng)?shù)據(jù)存儲(chǔ)產(chǎn)生了深遠(yuǎn)影響，使得計(jì)算環(huán)境中的政府?dāng)?shù)據(jù)具有以下特征：第一，數(shù)據(jù)可以得到完整存儲(chǔ);第二，數(shù)據(jù)變得易于復(fù)制;第三，數(shù)據(jù)有高度的可訪問性;第四，較之物理存儲(chǔ)，數(shù)據(jù)存儲(chǔ)的成本顯著降低。[[美]拉塞爾·沃克：《從大數(shù)據(jù)到巨額利潤》，王正林譯，廣東人民出版社2019年版，第8頁。]

盡管政府?dāng)?shù)據(jù)存儲(chǔ)為后續(xù)的數(shù)據(jù)公開、使用奠定了基礎(chǔ)，但仍然可能對(duì)個(gè)人信息權(quán)益造成侵害，主要體現(xiàn)在以下幾個(gè)方面。

1.無限期存儲(chǔ)數(shù)據(jù)可能違反存儲(chǔ)限制。從國內(nèi)外個(gè)人信息保護(hù)立法的現(xiàn)狀來看，存儲(chǔ)限制是一項(xiàng)重要的原則。歐盟《通用數(shù)據(jù)保護(hù)條例》第5條第1款第（e）項(xiàng)對(duì)“存儲(chǔ)限制”進(jìn)行了規(guī)定，個(gè)人數(shù)據(jù)允許以數(shù)據(jù)主體可識(shí)別的形式保存，保存時(shí)間不得超過處理個(gè)人數(shù)據(jù)所需的時(shí)間。我國《個(gè)人信息保護(hù)法》第19條規(guī)定：“除法律、行政法規(guī)另有規(guī)定外，個(gè)人信息的保存期限應(yīng)當(dāng)為實(shí)現(xiàn)處理目的所必要的最短時(shí)間。”在實(shí)踐中，各種類型的數(shù)據(jù)庫不斷建立，如社會(huì)保障信息數(shù)據(jù)庫、個(gè)人身份信息數(shù)據(jù)庫、公共信用信息數(shù)據(jù)庫、車輛識(shí)別信息數(shù)據(jù)庫等，而不同類別的數(shù)據(jù)所需的保存期限不同。在大數(shù)據(jù)時(shí)代，各種基于數(shù)據(jù)驅(qū)動(dòng)的預(yù)測(cè)性技術(shù)其背后的運(yùn)行邏輯便是“從過去預(yù)測(cè)未來”[[英]維克托·邁爾-舍恩伯格、肯尼思·庫克耶：《大數(shù)據(jù)時(shí)代》，盛楊燕、周濤譯，浙江人民出版社2013年版，第16頁。]，在這種思維的主導(dǎo)下有些個(gè)人信息的保存期限可能會(huì)被有意或者無意地被延長，這樣就可能會(huì)違反存儲(chǔ)限制。

2.可能造成數(shù)據(jù)泄露，違反安全義務(wù)。從國內(nèi)外的個(gè)人信息保護(hù)立法現(xiàn)狀來看，數(shù)據(jù)泄露問題成為重要的規(guī)范內(nèi)容，而數(shù)據(jù)安全義務(wù)也得到不斷強(qiáng)化。我國《數(shù)據(jù)安全法》對(duì)“數(shù)據(jù)安全”進(jìn)行了系統(tǒng)規(guī)定，明確了許多義務(wù)和機(jī)制。我國《個(gè)人信息保護(hù)法》第9條將“安全”作為一項(xiàng)重要原則，要求個(gè)人信息處理者應(yīng)當(dāng)采取必要措施保障個(gè)人信息的安全，第36條和第40條進(jìn)一步規(guī)定了“安全評(píng)估”機(jī)制。在實(shí)踐中，政府?dāng)?shù)據(jù)泄露的風(fēng)險(xiǎn)可以大致分為三個(gè)方面：一是意外數(shù)據(jù)泄露，即由于某些內(nèi)部或外部原因，數(shù)據(jù)庫中的數(shù)據(jù)被他人獲取，導(dǎo)致某些敏感數(shù)據(jù)被公布，造成隱私侵犯;二是無意中的數(shù)據(jù)泄露，即因?yàn)閮?nèi)部人員操作失誤，違反安全政策，引發(fā)數(shù)據(jù)泄露，導(dǎo)致敏感數(shù)據(jù)被非法盜取、修改、復(fù)制等;三是惡意數(shù)據(jù)泄露，即外部有針對(duì)性的攻擊，如黑客攻擊、計(jì)算機(jī)病毒、“信息間諜”等，導(dǎo)致數(shù)據(jù)庫信息泄露。[See A. Michael Froomkin，Government Data Breaches， 24 Berkeley Technology Law Journal 1019， 1019（2009）.]數(shù)據(jù)泄露已經(jīng)成為近年來導(dǎo)致社會(huì)提升對(duì)個(gè)人信息保護(hù)問題關(guān)注度的重要誘因，原因在于數(shù)據(jù)泄露造成的危害可能在短期內(nèi)不會(huì)立即顯現(xiàn)，但隨著時(shí)間的推移卻可能“積少成多，積重難返”，引發(fā)“身份盜竊”、欺詐或者名譽(yù)受損等風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)會(huì)進(jìn)一步引發(fā)社會(huì)公眾的焦慮情緒，甚至可能引發(fā)公眾對(duì)政府收集數(shù)據(jù)的“寒蟬效應(yīng)”。[See Daniel J. Solove & Danielle Keats Citron， Risk and Anxiety： A Theory of Data-Breach Harms， 96 Texas Law Review 737， 737（2018）.]

（五）數(shù)據(jù)公開階段侵害個(gè)人信息權(quán)益

數(shù)據(jù)公開是政府?dāng)?shù)據(jù)開放的核心階段，在某種意義上也可以稱為狹義的政府?dāng)?shù)據(jù)開放，這也是研究政府?dāng)?shù)據(jù)開放的學(xué)者最為關(guān)注的階段，諸如數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)質(zhì)量、數(shù)據(jù)門戶等問題都與數(shù)據(jù)公開有關(guān)。從廣義上看，數(shù)據(jù)公開實(shí)際上是雙向的，既包括政府部門主動(dòng)或者依申請(qǐng)發(fā)布各種政府?dāng)?shù)據(jù)，也包括數(shù)據(jù)主體或者其他個(gè)人及組織訪問與之相關(guān)的政府?dāng)?shù)據(jù)。

在政府?dāng)?shù)據(jù)公開階段，也存在侵害個(gè)人信息權(quán)益的風(fēng)險(xiǎn)，主要體現(xiàn)在以下幾個(gè)方面。

1.敏感個(gè)人信息被過度披露。從國內(nèi)外個(gè)人信息保護(hù)立法內(nèi)容來看，“識(shí)別”都是個(gè)人信息的核心要素。[程德理、趙麗麗：《個(gè)人信息保護(hù)中的“識(shí)別”要素研究》，載《河北法學(xué)》2020年第9期，第45頁。]在信息隱私監(jiān)管中，個(gè)人可識(shí)別信息（Personally Identifiable Information，簡稱PII）是核心概念之一，隱私法的范圍通常取決于是否涉及PII，適用法律背后的基本假設(shè)是，如果不涉及PII，就不可能有隱私損害。[See Paul M. Schwartz & Daniel J. Solove， The PII Problem： Privacy and a New Concept of Personally Identifiable Information， 86 New York University Law Review 1814， 1814（2011）.]我國《個(gè)人信息保護(hù)法》專門對(duì)“敏感個(gè)人信息的處理規(guī)則”予以規(guī)定，其背后的主要考量是敏感個(gè)人信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害。在實(shí)踐中，政府?dāng)?shù)據(jù)公開階段經(jīng)常出現(xiàn)過度披露敏感個(gè)人信息的現(xiàn)象，侵犯個(gè)人信息權(quán)益。2021年4月，最高人民檢察院發(fā)公布了11件個(gè)人信息保護(hù)公益訴訟典型案例，其中，在“江西省某縣人民檢察院督促規(guī)范政府信息公開行政公益訴訟案”中，江西省某縣農(nóng)業(yè)農(nóng)村局在官方網(wǎng)站公布農(nóng)機(jī)購置補(bǔ)貼情況的政府信息時(shí)，有1044人的身份證號(hào)碼、家庭住址、銀行賬戶、手機(jī)號(hào)碼等個(gè)人信息被完整公開。[《檢察機(jī)關(guān)個(gè)人信息保護(hù)公益訴訟典型案例》，載最高人民檢察院官網(wǎng)，https：//www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.sht#2]

2.過于關(guān)注個(gè)人而忽略群體隱私保護(hù)。從個(gè)人隱私保護(hù)到個(gè)人信息保護(hù)，存在一種“原子化”（atomistic）的本體論，即單獨(dú)照顧每個(gè)成員，群體也會(huì)自動(dòng)沒事。換言之，只要我們保護(hù)好可識(shí)別個(gè)人的個(gè)人信息，對(duì)群體的保護(hù)就會(huì)自行解決。[See Luciano Floridi， Open Data， Data Protection， and Group Privacy， 27 Philosophy & Technology 1， 2（2014）.]這從國內(nèi)外個(gè)人信息保護(hù)立法對(duì)“個(gè)人信息”或者“個(gè)人數(shù)據(jù)”的界定以及與之相關(guān)的一系列保護(hù)機(jī)制可以得到印證。我國《個(gè)人信息保護(hù)法》第4條規(guī)定，個(gè)人信息是與“已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理的信息”。然而，我們應(yīng)該看到，開放數(shù)據(jù)的友好和非友好用戶可能并不關(guān)心具體的“張三”或者“李四”，而是關(guān)心這些人（不管他們是誰）是否屬于高（低）收入、是否經(jīng)常去高（低）消費(fèi)地方消費(fèi)或者是否屬于患有某種疾病等。在先進(jìn)的數(shù)據(jù)收集技術(shù)和分析技術(shù)的加持下，“群體”的概念比以往任何時(shí)候都更有意義：首先，更多關(guān)于現(xiàn)有群體的信息得以發(fā)現(xiàn)和披露;其次，可以在個(gè)人不知情的情況下，通過“提取”數(shù)據(jù)中的群體特征，將他們推斷為某一群體的成員;最后，可以在數(shù)據(jù)分析階段發(fā)生不為人知的“分組”過程，而分析者本人并不知情。[See Lanah Kammourieh， Thomas Baar & Jos Berens， et al.， Group Privacy in the Age of Big Data， in Linnet Taylor， Luciano Floridi & Bart van der Sloot（eds.）， Group Privacy： New Challenges of Data Technologies， Springer， 2017， p.38.]在這種情況下，個(gè)人隱私有可能得到有效保護(hù)，但群體本身卻得不到充分保護(hù)。

（六）數(shù)據(jù)使用階段侵害個(gè)人信息權(quán)益

政府?dāng)?shù)據(jù)開放的重要目的之一是通過政府?dāng)?shù)據(jù)的“再利用”進(jìn)而激發(fā)政府?dāng)?shù)據(jù)所蘊(yùn)含的各種價(jià)值。不過，一旦政府?dāng)?shù)據(jù)從正式的數(shù)據(jù)庫系統(tǒng)中釋放后，可以有效應(yīng)用的一系列控制措施就可能發(fā)生變化，個(gè)人信息保護(hù)風(fēng)險(xiǎn)也會(huì)隨之發(fā)生演變。具體而言，主要體現(xiàn)在以下幾個(gè)方面：

1.數(shù)據(jù)使用違反目的限制。目的限制原則是個(gè)人信息保護(hù)的基本原則之一，被稱為個(gè)人信息保護(hù)法的“帝王條款”，我國《個(gè)人信息保護(hù)法》第6條專門對(duì)該原則進(jìn)行了規(guī)定：“處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式?！痹谡?dāng)?shù)據(jù)開放中，政府部門在收集個(gè)人信息時(shí)，可能是嚴(yán)格按照“目的限制原則”的規(guī)定，具有明確、合理的目的。然而，一旦包含個(gè)人信息的政府?dāng)?shù)據(jù)隨著政府?dāng)?shù)據(jù)公開而進(jìn)入使用階段，則有可能違反目的限制原則，原因在于使用政府?dāng)?shù)據(jù)的主體可能性質(zhì)各異，既有企業(yè)，也有個(gè)人，還有其他政府機(jī)構(gòu)或者研究機(jī)構(gòu)，而這些使用者處理數(shù)據(jù)的目的也不盡相同，使用數(shù)據(jù)有可能違背政府最初收集數(shù)據(jù)時(shí)所宣示的目的。例如，包含個(gè)人信息的醫(yī)療保健數(shù)據(jù)，其最初處理目的可能在于改進(jìn)與個(gè)人相關(guān)的醫(yī)療保健服務(wù)，但如果保險(xiǎn)公司獲得了這些數(shù)據(jù)，那么這些數(shù)據(jù)就很有可能被用來改進(jìn)和支撐保險(xiǎn)公司的市場營銷策略。[See Liane Colonna， Privacy， Risk， Anonymization and Data Sharing in the Internet of Health Things， 20 Pittsburgh Journal of Technology Law and Policy 148， 148（2020）.]

2.匿名化數(shù)據(jù)被“去匿名化”，導(dǎo)致個(gè)人信息被“再識(shí)別”。為了避免政府?dāng)?shù)據(jù)公開給個(gè)人隱私造成的侵害，很多政府?dāng)?shù)據(jù)開放倡議或者立法都要求政府部門在公布包含個(gè)人信息在內(nèi)的政府?dāng)?shù)據(jù)時(shí)，應(yīng)當(dāng)進(jìn)行匿名化處理或者去標(biāo)識(shí)化處理。[張濤：《大數(shù)據(jù)時(shí)代個(gè)人信息匿名化的規(guī)制治理》，載《華中科技大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2019年第2期，第76頁。]盡管匿名化處理使個(gè)人信息的“再識(shí)別”變得異常困難，但卻并非完全不可再識(shí)別，原因主要有兩個(gè)方面。一方面，匿名化技術(shù)本身可能存在缺陷，導(dǎo)致個(gè)人信息的匿名化并不徹底，出現(xiàn)“偽匿名化數(shù)據(jù)”;另一方面，盡管匿名化技術(shù)在不斷改進(jìn)，但是，去匿名化技術(shù)亦在不斷發(fā)展，曾經(jīng)或現(xiàn)在成功實(shí)現(xiàn)匿名化的個(gè)人信息，也有可能因?yàn)槿ツ涿夹g(shù)的使用而再次被識(shí)別。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701， 1701（2010）.]

3.不同數(shù)據(jù)的聚合，引發(fā)新的隱私風(fēng)險(xiǎn)。政府?dāng)?shù)據(jù)的使用者（消費(fèi)者）獲得的政府?dāng)?shù)據(jù)可能來自不同的政府部門，屬于不同的數(shù)據(jù)類型，孤立地看這些單一的數(shù)據(jù)集，可能并不存在侵犯隱私的問題。然而，當(dāng)多個(gè)不同來源的數(shù)據(jù)被整合到一個(gè)數(shù)據(jù)集時(shí)，政府?dāng)?shù)據(jù)使用者便可以作出新的推斷：數(shù)據(jù)的“組合”可以創(chuàng)建關(guān)于個(gè)人的新數(shù)據(jù)。在預(yù)測(cè)模型和自主學(xué)習(xí)算法的幫助下，數(shù)據(jù)使用者可以在個(gè)人并未主動(dòng)提供的情況下生成個(gè)人信息，而這些信息可能準(zhǔn)確預(yù)測(cè)某人未來生活的細(xì)節(jié)。[[荷蘭]瑪農(nóng)·奧斯特芬：《數(shù)據(jù)的邊界——隱私與個(gè)人數(shù)據(jù)保護(hù)》，曹博譯，上海人民出版社2020年版，第49頁。]

三、以“基于過程的方法”應(yīng)對(duì)個(gè)人信息保護(hù)風(fēng)險(xiǎn)

面對(duì)政府?dāng)?shù)據(jù)開放中可能存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，現(xiàn)有的法律框架采取了“基于結(jié)果的方法”，即重點(diǎn)關(guān)注政府?dāng)?shù)據(jù)在公開之時(shí)的“狀態(tài)”或者“性質(zhì)”，最典型的便是要求對(duì)個(gè)人信息進(jìn)行“脫敏處理”，使之變?yōu)椤澳涿麛?shù)據(jù)”或者“假名數(shù)據(jù)”。本文認(rèn)為，結(jié)果保護(hù)范式下以“技術(shù)性匿名化”為核心的保護(hù)手段并不足以應(yīng)對(duì)政府?dāng)?shù)據(jù)開放中存在的或隱藏的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，應(yīng)當(dāng)以風(fēng)險(xiǎn)預(yù)防原則重新確立政府?dāng)?shù)據(jù)開放中個(gè)人信息的保護(hù)理念，在此基礎(chǔ)上，以“基于過程的方法”重塑政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)范式。

（一）結(jié)果保護(hù)范式下“技術(shù)性匿名化”之不足

現(xiàn)有的法律框架在對(duì)政府?dāng)?shù)據(jù)開放中的個(gè)人信息保護(hù)問題進(jìn)行規(guī)范時(shí)，主要受到傳統(tǒng)隱私法的影響，重點(diǎn)關(guān)注行為是否會(huì)產(chǎn)生某種可見的損害后果，其背后的邏輯是：“可識(shí)別性”是個(gè)人信息的核心標(biāo)準(zhǔn)，要想避免侵犯個(gè)人信息權(quán)益，那么通過技術(shù)手段“消除”政府?dāng)?shù)據(jù)中個(gè)人信息的“可識(shí)別性”就可以解決問題。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 726-727 （2016）.]在這種結(jié)果主義思維的主導(dǎo)下，“匿名化”或者“去標(biāo)識(shí)化”等技術(shù)手段逐漸獲得法律規(guī)范的肯認(rèn)[張濤：《歐盟個(gè)人數(shù)據(jù)匿名化治理：法律、技術(shù)與風(fēng)險(xiǎn)》，載《圖書館論壇》2019年第12期，第91頁。]，并成為解決政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)問題最為重要的手段之一，逐漸演化為“發(fā)布即遺忘模式”，即去標(biāo)識(shí)化的個(gè)人信息可能會(huì)通過互聯(lián)網(wǎng)向公眾發(fā)布，一旦以這種方式發(fā)布，一個(gè)組織可能很難或者不可能召回這些信息。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701， 1711-1712 （2010）.]

盡管匿名化技術(shù)在政府?dāng)?shù)據(jù)開放共享中確實(shí)為保護(hù)個(gè)人信息提供了重要支撐，但理論界與實(shí)務(wù)界圍繞匿名化展開的論戰(zhàn)也一直在持續(xù)。不看好匿名化的學(xué)者認(rèn)為，長期以來，我們一直認(rèn)為匿名化能夠“拯救我們”，然而，科學(xué)研究已經(jīng)表明，隱藏在匿名數(shù)據(jù)中的個(gè)人能夠被“再識(shí)別”或者“去匿名化”，因此，監(jiān)管機(jī)構(gòu)必須迅速而有力地應(yīng)對(duì)這種顛覆性的技術(shù)變革，以恢復(fù)法律的平衡，保護(hù)我們免受迫在眉睫的重大傷害。[See Paul Ohm，Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization， 57 UCLA Law Review 1701，1723 （2010）.]支持匿名化的學(xué)者認(rèn)為，一方面，匿名化的批判者對(duì)“數(shù)據(jù)公地”的社會(huì)效用存在誤解，并大大低估了其價(jià)值，如果政策制定者終止或者限制公開發(fā)布非識(shí)別數(shù)據(jù)集，社會(huì)將遭受新的數(shù)據(jù)“公地悲劇”;另一方面，匿名化的批判者錯(cuò)誤地解釋了計(jì)算機(jī)科學(xué)文獻(xiàn)，過度強(qiáng)調(diào)了匿名化的無用性，事實(shí)上“去匿名化”或者“再識(shí)別”風(fēng)險(xiǎn)主要是理論上的，數(shù)據(jù)共享所帶來的現(xiàn)實(shí)風(fēng)險(xiǎn)可以忽略不計(jì)。[See Jane Yakowitz， Tragedy of the Data Commons， 25 Harvard Journal of Law & Technology 1， 1（2011）.]

本文認(rèn)為，上述觀點(diǎn)均有一定的合理性，但卻是相反的兩個(gè)極端，并且?guī)缀醵紝⒎治鐾耆拗圃趥€(gè)人信息在“公開”這個(gè)時(shí)點(diǎn)是否處于“匿名”狀態(tài)，低估了政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)風(fēng)險(xiǎn)及其應(yīng)對(duì)機(jī)制的復(fù)雜性，導(dǎo)致“匿名化技術(shù)”必須承擔(dān)平衡個(gè)人信息保護(hù)和使用的全部“重量”，造成功能過載。總體而言，本文認(rèn)為，以“技術(shù)性匿名化”為中心的結(jié)果保護(hù)范式難以有效應(yīng)對(duì)政府?dāng)?shù)據(jù)開放生命周期不同階段的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，也難以擔(dān)負(fù)平衡個(gè)人信息保護(hù)與使用的大任，具體理由如下。

1.匿名化與數(shù)據(jù)再利用之間存在沖突，無法實(shí)現(xiàn)預(yù)期的平衡目標(biāo)。如前所述，匿名化已經(jīng)成為世界主要國家個(gè)人信息保護(hù)法治用以解決平衡個(gè)人信息保護(hù)與使用問題的重要方法。這種方法在理論上運(yùn)行良好，但前提是來自數(shù)據(jù)的輸出潛力仍然保持其效用，而實(shí)際情況卻并非如此。這是因?yàn)橥ㄟ^使用自動(dòng)化算法軟件尋找模式（即鏈接數(shù)據(jù)點(diǎn)之間的關(guān)系），可以使從分析數(shù)據(jù)集中獲得的價(jià)值或者知識(shí)最大化。然而，匿名化的目的是解除這種數(shù)據(jù)點(diǎn)之間的聯(lián)系，因?yàn)樗鼈兣c可以收集到的關(guān)于特定個(gè)人及其身份的信息有關(guān)。[See Sophie Stalla-Bourdillon & Alison Knight， Anonymous Data v. Personal Data - False Debate： An EU Perspective on Anonymization， Pseudonymization and Personal Data， 34 Wisconsin International Law Journal 284， 285（2016）.]這便引發(fā)了一個(gè)問題：政府部門如何確保對(duì)自己擁有的數(shù)據(jù)進(jìn)行有效的匿名化，同時(shí)保留這些數(shù)據(jù)的效用，以便將來可能向第三方披露，并由第三方進(jìn)一步處理？

2.匿名化只關(guān)注數(shù)據(jù)本身的狀態(tài)，忽視數(shù)據(jù)保護(hù)的過程。如前所述，以匿名化技術(shù)為核心的結(jié)果保護(hù)范式主要受到傳統(tǒng)隱私法的影響，但是傳統(tǒng)隱私法的許多策略并不真正適合于與政府?dāng)?shù)據(jù)開放有關(guān)的具體場景，因?yàn)榇蠖鄶?shù)現(xiàn)有的隱私法都是采取一種“原子主義”方法論，將著力點(diǎn)放在特定的信息主體和離散的信息類型，而不是整個(gè)數(shù)據(jù)集。[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 726（2016）.]這種“原子主義”方法論也影響到現(xiàn)有的個(gè)人信息保護(hù)立法，導(dǎo)致與“去標(biāo)識(shí)化”制度或者數(shù)據(jù)披露有關(guān)的法律規(guī)則都與數(shù)據(jù)本身的“輸出”有關(guān)。我國《個(gè)人信息保護(hù)法》和歐盟《通用數(shù)據(jù)保護(hù)條例》都將“匿名數(shù)據(jù)”排除在個(gè)人信息保護(hù)范圍之外，美國《健康保險(xiǎn)可攜性和問責(zé)法》（The Health Insurance Portabicity and Accountability Act，HIPAA）的去標(biāo)識(shí)化制度也取決于數(shù)據(jù)是否缺乏某些屬性。這種保護(hù)方法忽視了信息運(yùn)行的周期性、過程性特征，將關(guān)注點(diǎn)聚焦于數(shù)據(jù)本身在公開這一時(shí)點(diǎn)的狀態(tài)，無法滿足個(gè)人信息保護(hù)的程序性要求。

3.匿名化強(qiáng)調(diào)“技術(shù)制衡技術(shù)”，忽視技術(shù)與其他工具的協(xié)同。面對(duì)新興技術(shù)給法律規(guī)范體系帶來的沖擊，囿于法律本身的滯后性，一些學(xué)者主張轉(zhuǎn)變監(jiān)管思路，采用“技術(shù)制衡技術(shù)”的方法。[季衛(wèi)東：《數(shù)據(jù)、隱私以及人工智能時(shí)代的憲法創(chuàng)新》，載《南大法學(xué)》2020年第1期，第1頁。]匿名化技術(shù)在個(gè)人信息保護(hù)中的重要地位得以確立，也受“技術(shù)制衡技術(shù)”思維的影響。然而，這也帶來一個(gè)弊端，那就是保護(hù)方法上的“一刀切”，引發(fā)的問題便是過度保護(hù)或者保護(hù)不足。此外，要求政府部門在開放數(shù)據(jù)之前進(jìn)行匿名化處理，容易營造兩種引人誤解的表象：一是匿名數(shù)據(jù)肯定是已經(jīng)滿足適當(dāng)保護(hù)措施的數(shù)據(jù);二是匿名化處理僅僅是政府部門的責(zé)任。事實(shí)上，由于政府?dāng)?shù)據(jù)開放本身是一個(gè)系統(tǒng)性工程，影響因素、利益相關(guān)者眾多，這就意味著我們?cè)趹?yīng)對(duì)個(gè)人信息保護(hù)風(fēng)險(xiǎn)時(shí)，除了要發(fā)揮技術(shù)的作用外，還要充分激發(fā)法律、教育、經(jīng)濟(jì)等手段的作用;除了政府部門要承擔(dān)責(zé)任外，信息主體、社會(huì)公眾、政府?dāng)?shù)據(jù)的再使用者等主體也應(yīng)當(dāng)積極參與個(gè)人信息保護(hù)。

需要說明的是，本文對(duì)以技術(shù)性匿名化為核心手段的結(jié)果保護(hù)范式提出批評(píng)意見，并非是對(duì)匿名化技術(shù)的全盤否定，而是不贊同政府部門在政府?dāng)?shù)據(jù)開放過程中將保護(hù)個(gè)人信息的重任全部放置在匿名化技術(shù)上，忽視了在其他階段采用不同的個(gè)人信息保護(hù)手段，以降低個(gè)人信息保護(hù)不足的風(fēng)險(xiǎn)。

（二）以風(fēng)險(xiǎn)預(yù)防原則確立個(gè)人信息保護(hù)理念

近年來，“風(fēng)險(xiǎn)”概念開始在個(gè)人信息保護(hù)理論與實(shí)踐中得以擴(kuò)散，風(fēng)險(xiǎn)管理已經(jīng)成為確保數(shù)據(jù)得到適當(dāng)處理和個(gè)人基本權(quán)利得到有效保護(hù)的重要工具。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 95（2015）.]面對(duì)技術(shù)風(fēng)險(xiǎn)，法律規(guī)范通?？梢詤^(qū)分為兩種面向：一種是壓制性的（repressive），即在事故發(fā)生后才開始行動(dòng)，所關(guān)注的問題是：是否有人應(yīng)當(dāng)對(duì)該事故負(fù)責(zé)？是否需要有人支付費(fèi)用（民法）？是否有人會(huì)受到懲罰（刑法）？另一種是預(yù)防性的（preventive），即試圖規(guī)范風(fēng)險(xiǎn)活動(dòng)，以避免事故發(fā)生，這主要是行政法的目的，它包含成百上千的法律和條例，傾向于限制特定技術(shù)活動(dòng)的風(fēng)險(xiǎn)。[See Hansjrg Seiler， Harmonised Risk Based Regulation — A Legal Viewpoint， 40 Safety Science 31， 31（2002）.]就個(gè)人信息保護(hù)領(lǐng)域而言，預(yù)防性法律規(guī)范呈現(xiàn)爆炸式增長，尤其是歐盟《通用數(shù)據(jù)保護(hù)條例》制定出臺(tái)以后，個(gè)人信息保護(hù)法制的“風(fēng)險(xiǎn)化”已經(jīng)成為一種趨勢(shì)。在歐盟，個(gè)人數(shù)據(jù)保護(hù)法的“風(fēng)險(xiǎn)化”主要體現(xiàn)在兩個(gè)方面：一是在實(shí)踐層面，轉(zhuǎn)向基于風(fēng)險(xiǎn)的數(shù)據(jù)保護(hù)執(zhí)法和合規(guī);二是在更廣泛而堅(jiān)實(shí)的規(guī)制層面，轉(zhuǎn)向了風(fēng)險(xiǎn)規(guī)制。[See Milda Macenaite， The ‘Riskification’ of European Data Protection Law through a two-fold Shift， 8 European Journal of Risk Regulation 506， 506（2017）.]在我國，“風(fēng)險(xiǎn)”一詞在《個(gè)人信息保護(hù)法》中出現(xiàn)了4次，在《數(shù)據(jù)安全法》中出現(xiàn)了10次，《個(gè)人信息保護(hù)法》第11條確立了“風(fēng)險(xiǎn)預(yù)防”原則，《數(shù)據(jù)安全法》第22條要求建立集中統(tǒng)一、高效權(quán)威的“數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制”。

需要指出的是，盡管風(fēng)險(xiǎn)管理已經(jīng)成為遵守個(gè)人信息保護(hù)法、確保個(gè)人信息得到適當(dāng)處理和個(gè)人基本權(quán)益得到有效保護(hù)的關(guān)鍵工具，并且已經(jīng)初步實(shí)現(xiàn)了法制化。然而，在實(shí)踐中，諸多風(fēng)險(xiǎn)管理過程或者工具往往還是非正式的、非結(jié)構(gòu)化的，未能充分利用其他領(lǐng)域已經(jīng)廣泛接受的風(fēng)險(xiǎn)管理的諸多原則和工具，因此基于風(fēng)險(xiǎn)的方法（risk-based approach）仍然沒有為個(gè)人信息保護(hù)實(shí)踐或者法律提供廣泛而堅(jiān)實(shí)的基礎(chǔ)。[See Maria Eduarda Gonalves， The Risk-Based Approach under the New EU Data Protection Regulation： A Critical Perspective， 23 Journal of Risk Research 139， 139（2020）.]對(duì)于我國現(xiàn)階段的個(gè)人信息保護(hù)而言，這既是機(jī)遇，也是挑戰(zhàn)。一方面，我們可以充分吸收借鑒其他領(lǐng)域長期積累的風(fēng)險(xiǎn)管理經(jīng)驗(yàn)，開發(fā)一個(gè)現(xiàn)代化的、有效的風(fēng)險(xiǎn)管理框架;另一方面，我們需要積極采取行動(dòng)，以跟上新興技術(shù)的巨大變化。一般認(rèn)為，風(fēng)險(xiǎn)管理主要涉及三個(gè)關(guān)鍵要素：一是識(shí)別和評(píng)估危害和其他負(fù)面影響的系統(tǒng)過程;二是避免或者減輕那些不能用利益和其他積極影響來證明的危害;三是接受和管理剩余風(fēng)險(xiǎn)。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 96-97（2015）.]本文認(rèn)為，政府部門應(yīng)當(dāng)在政府?dāng)?shù)據(jù)開放過程中建構(gòu)一個(gè)現(xiàn)代化的風(fēng)險(xiǎn)管理框架，同時(shí)開發(fā)有效的風(fēng)險(xiǎn)管理工具，以“風(fēng)險(xiǎn)預(yù)防”來重新確立政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)的理念與目標(biāo)。一方面，基于風(fēng)險(xiǎn)的政府?dāng)?shù)據(jù)開放制度契合當(dāng)前個(gè)人信息保護(hù)的趨勢(shì);另一方面，基于風(fēng)險(xiǎn)的政府?dāng)?shù)據(jù)開放制度將幫助我們超越關(guān)于匿名化有效或者無效的爭論。

1.在政府?dāng)?shù)據(jù)開放過程中應(yīng)當(dāng)考慮不同的風(fēng)險(xiǎn)因素。風(fēng)險(xiǎn)管理從本質(zhì)上講是一種平衡測(cè)試，它需要考慮諸多因素，包括個(gè)人的基本權(quán)益、擬議的處理將損害個(gè)人的可能性、發(fā)生損害的嚴(yán)重程度、可用來降低風(fēng)險(xiǎn)的措施、數(shù)據(jù)控制者的權(quán)益等。[See Christopher Kuner， Fred H. Cate & Christopher Millard et al.， Risk Management in Data Protection， 5 International Data Privacy Law 95， 98（2015）.]因此，在建構(gòu)風(fēng)險(xiǎn)管理框架時(shí)，政府部門也需要確定不同的風(fēng)險(xiǎn)因素，以確定在公開政府?dāng)?shù)據(jù)時(shí)需要采取何種保護(hù)措施。參照美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of standards and Technology，NIST）發(fā)布的《個(gè)人信息去標(biāo)識(shí)化》（De-Identification of Personal Information）報(bào)告[See National Institute of Standards and Technology， De-Identification of Personal Information， https：//nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf（Last visited on July 11， 2021）.]，本文認(rèn)為，在政府?dāng)?shù)據(jù)開放過程中至少應(yīng)當(dāng)考慮以下風(fēng)險(xiǎn)因素：一是政府?dāng)?shù)據(jù)的數(shù)量，信息量會(huì)影響重新識(shí)別和敏感屬性披露的風(fēng)險(xiǎn);二是政府?dāng)?shù)據(jù)的敏感性，生物識(shí)別信息、行動(dòng)軌跡信息、銀行賬戶信息等是比較敏感的，也更有可能成為攻擊目標(biāo);三是政府?dāng)?shù)據(jù)的接收者，至少包括內(nèi)部接收者、受信任的接收者和普通公眾三種不同類型的數(shù)據(jù)接收者，并且風(fēng)險(xiǎn)呈遞增趨勢(shì);四是政府?dāng)?shù)據(jù)的用途，數(shù)據(jù)的不同用途可能會(huì)給攻擊者帶來不同的再識(shí)別動(dòng)機(jī);五是數(shù)據(jù)的公開方式，不同的公開方式引發(fā)的風(fēng)險(xiǎn)不同，受控制的公開比無條件開放的風(fēng)險(xiǎn)低。

2.在政府?dāng)?shù)據(jù)開放過程中應(yīng)區(qū)分不同的風(fēng)險(xiǎn)等級(jí)。與其他領(lǐng)域的風(fēng)險(xiǎn)管理相似，個(gè)人信息保護(hù)中的風(fēng)險(xiǎn)管理也應(yīng)當(dāng)根據(jù)不同的風(fēng)險(xiǎn)因素、管理目標(biāo)，確定不同的風(fēng)險(xiǎn)等級(jí)。歐盟《通用數(shù)據(jù)保護(hù)條例》采用了基于風(fēng)險(xiǎn)的數(shù)據(jù)保護(hù)方法，鼓勵(lì)控制個(gè)人數(shù)據(jù)的組織實(shí)施與其數(shù)據(jù)處理活動(dòng)的風(fēng)險(xiǎn)水平相適應(yīng)的保護(hù)措施：首先是高風(fēng)險(xiǎn)，《通用數(shù)據(jù)保護(hù)條例》對(duì)從事“高風(fēng)險(xiǎn)”活動(dòng)的數(shù)據(jù)控制者提出了更高的要求。具體而言，在從事這種活動(dòng)之前，數(shù)據(jù)控制者可能被要求咨詢數(shù)據(jù)保護(hù)機(jī)構(gòu)并進(jìn)行詳細(xì)的隱私影響評(píng)估;在發(fā)生數(shù)據(jù)泄露的情況下，數(shù)據(jù)控制者可能被要求通知可能受影響的個(gè)人。其次是風(fēng)險(xiǎn)，對(duì)于沒有被標(biāo)記為“高風(fēng)險(xiǎn)”的活動(dòng)，數(shù)據(jù)控制者仍然必須采取與該活動(dòng)的風(fēng)險(xiǎn)水平相適應(yīng)的措施。例如，數(shù)據(jù)控制者被要求“確保與風(fēng)險(xiǎn)相適應(yīng)的數(shù)據(jù)安全水平”，并實(shí)施基于風(fēng)險(xiǎn)的措施以遵守一般法律義務(wù)。最后是低風(fēng)險(xiǎn)，如果對(duì)數(shù)據(jù)主體的風(fēng)險(xiǎn)很小，數(shù)據(jù)控制者可以免于向數(shù)據(jù)保護(hù)機(jī)構(gòu)通報(bào)數(shù)據(jù)泄露的要求。盡管《通用數(shù)據(jù)保護(hù)條例》沒有提及數(shù)據(jù)控制者應(yīng)當(dāng)如何評(píng)估和量化風(fēng)險(xiǎn)，但是這種基于風(fēng)險(xiǎn)等級(jí)采取不同控制措施的思路仍然值得我國政府部門在建構(gòu)政府?dāng)?shù)據(jù)開放的風(fēng)險(xiǎn)管理框架時(shí)予以借鑒。

（三）以“基于過程的方法”重塑個(gè)人信息保護(hù)模式

“基于過程的方法”（process-based approach）是以數(shù)據(jù)生命周期為基礎(chǔ)，全面、動(dòng)態(tài)地考察政府?dāng)?shù)據(jù)開放整個(gè)過程的一種保護(hù)模式，它為我們觀察政府?dāng)?shù)據(jù)開放提供了一種全新的視角，改變了傳統(tǒng)結(jié)果保護(hù)范式的認(rèn)知與適用局限。從邏輯與事實(shí)的關(guān)聯(lián)性來看，“基于過程的方法”與政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)之間具有內(nèi)在關(guān)聯(lián)和外在契合。

1.“基于過程的方法”與政府?dāng)?shù)據(jù)開放生命周期之間存在內(nèi)在契合。如前所述，政府?dāng)?shù)據(jù)開放本身就是一個(gè)動(dòng)態(tài)的過程，遵循了數(shù)據(jù)生命周期的一般規(guī)律，可以分為收集、轉(zhuǎn)換、存儲(chǔ)、公開和使用等5個(gè)階段，這與“基于過程的方法”本身所主張的全面、動(dòng)態(tài)的觀察視角相吻合。

2.“基于過程的方法”與政府?dāng)?shù)據(jù)開放的風(fēng)險(xiǎn)管理相契合。“基于風(fēng)險(xiǎn)的方法”已經(jīng)逐漸成為個(gè)人信息保護(hù)領(lǐng)域的重要方法，風(fēng)險(xiǎn)管理也成為關(guān)鍵工具，而風(fēng)險(xiǎn)管理本身就包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)量度、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)應(yīng)對(duì)等階段，這與“基于過程的方法”存在外在關(guān)聯(lián)。

3.“基于過程的方法”與當(dāng)前個(gè)人信息保護(hù)的程序主義進(jìn)路相吻合。從國內(nèi)外個(gè)人信息保護(hù)立法的現(xiàn)狀來看，無論是信息主體享有的權(quán)利，還是信息處理者應(yīng)當(dāng)承擔(dān)的義務(wù)，以及最終的權(quán)利救濟(jì)機(jī)制，都出現(xiàn)了大量的程序性規(guī)則。[See Antonella Galetta & Paul De Hert， The Proceduralisation of Data Protection Remedies under EU Data Protection Law： Towards a More Effective and Data Subject-oriented Remedial System？ 8 Review of European Administrative Law 125， 125（2015）.]個(gè)人信息保護(hù)已經(jīng)成為一個(gè)不斷識(shí)別、預(yù)防、降低風(fēng)險(xiǎn)的過程，即使信息處理者沒有實(shí)際的違規(guī)行為，只要其未能采取行業(yè)內(nèi)普遍認(rèn)可的措施來充分降低風(fēng)險(xiǎn)，其就有可能承擔(dān)法律責(zé)任[See Ira S. Rubinstein & Woodrow Hartzog， Anonymization and Risk， 91 Washington Law Review 703， 730（2016）.]，這與“基于過程的方法”的核心理念是相吻合的。

4.“基于過程的方法”與數(shù)據(jù)安全全流程管理制度是相吻合的。我國《數(shù)據(jù)安全法》第27條規(guī)定，開展數(shù)據(jù)處理應(yīng)當(dāng)“建立健全全流程數(shù)據(jù)安全管理制度”，這意味著數(shù)據(jù)安全管理應(yīng)當(dāng)融入整個(gè)數(shù)據(jù)生命周期，這與“基于過程的方法”的基本主張是一致的。

對(duì)于政府?dāng)?shù)據(jù)開放中的個(gè)人信息保護(hù)而言，一個(gè)更加具有可持續(xù)性的方法是將重點(diǎn)側(cè)重于保護(hù)所需的前提條件和過程。政府部門在制定政府?dāng)?shù)據(jù)開放策略時(shí)，應(yīng)當(dāng)以更為全面的、動(dòng)態(tài)的視角來看待政府?dāng)?shù)據(jù)開放過程，而不是僅僅關(guān)注政府?dāng)?shù)據(jù)在公開這個(gè)時(shí)點(diǎn)所處的狀態(tài)。本文認(rèn)為，“基于過程的方法”可以為政府?dāng)?shù)據(jù)開放與個(gè)人信息保護(hù)提供一個(gè)平衡框架，它可以考慮不同的信息類型和保護(hù)手段，最終實(shí)現(xiàn)全生命周期的協(xié)同保護(hù)。

第一，區(qū)分不同的信息類型。在政府?dāng)?shù)據(jù)開放中，根據(jù)信息類型不同，會(huì)產(chǎn)生不同程度的個(gè)人信息保護(hù)風(fēng)險(xiǎn)。[宋爍：《論政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)的制度構(gòu)建》，載《行政法學(xué)研究》2021年第6期，第85頁。]為了平衡個(gè)人信息保護(hù)與政府?dāng)?shù)據(jù)效用之間的關(guān)系，可以區(qū)分四種不同的信息類型：（1）原始個(gè)人信息，即未經(jīng)處理或者簡化的信息，包括姓名、身份證號(hào)碼、電話號(hào)碼等。目前，絕大多數(shù)國家或地區(qū)的政府?dāng)?shù)據(jù)開放政策都規(guī)定，開放數(shù)據(jù)通常不應(yīng)當(dāng)包含原始個(gè)人信息。當(dāng)然，在某些特定情況下，原始個(gè)人信息也可以公開，條件是公開的公共利益超過了個(gè)人利益。（2）假名化信息，這意味著一個(gè)人的身份識(shí)別信息被隨機(jī)的唯一標(biāo)識(shí)符所取代。（3）匿名化信息，這是不再可識(shí)別的信息，從數(shù)據(jù)集中刪除了所有個(gè)人可識(shí)別信息，并將可識(shí)別信息轉(zhuǎn)化為匿名。不過，隨著大量數(shù)據(jù)的積累，數(shù)據(jù)挖掘者可以從數(shù)據(jù)集中發(fā)現(xiàn)隱藏的個(gè)人信息，導(dǎo)致個(gè)人信息被再識(shí)別。（4）非個(gè)人信息，主要是指不包含個(gè)人信息的數(shù)據(jù)集，如公共交通時(shí)間、天氣狀況、公共部門預(yù)算、環(huán)境污染等。[See Frederik Zuiderveen Borgesius， Jonathan Gray & Mireille Van Eechoud， Open Data， Privacy， and Fair Information Principles： Towards a Balancing Framework， 30 Berkeley Technology Law Journal 2073， 2120（2015）.]不過，需要說明的是，盡管從理論上可以對(duì)政府?dāng)?shù)據(jù)中不同的信息類型進(jìn)行相對(duì)獨(dú)立的區(qū)分，但是，在實(shí)踐中這四類信息的邊界仍然是比較模糊的，匿名化信息可以再識(shí)別或者去匿名化，而非個(gè)人信息也有可能提供關(guān)于個(gè)人的信息。

第二，采用不同的保護(hù)手段。隨著信息技術(shù)的快速發(fā)展，個(gè)人信息保護(hù)變得越發(fā)復(fù)雜，僅僅依靠單一的主體、工具均無法為個(gè)人和社會(huì)提供有效的保護(hù)，“合作規(guī)制”逐漸成為一種趨勢(shì)，要求整合多元治理主體和多元治理手段[See Irene Kamara， Co-regulation in EU Personal Data Protection： The Case of Technical Standards and the Privacy by Design Standardisation ‘Mandate’， 8 European Journal of Law and Technology 1， 1（2017）.]，我國《個(gè)人信息保護(hù)法》第11條亦對(duì)此進(jìn)行了規(guī)定。在政府?dāng)?shù)據(jù)開放過程中，為了保護(hù)個(gè)人信息，可以采取的保護(hù)手段大致有以下五類：（1）程序手段，廣義上是指在組織內(nèi)部采用各種程序，如執(zhí)行通知、制定數(shù)據(jù)清單、審查數(shù)據(jù)庫訪問等。（2）技術(shù)手段，廣義上是指包括統(tǒng)計(jì)方法、計(jì)算方法（如加密）和人為因素分析（如隱私政策的可讀性分析）等在內(nèi)的技術(shù)手段。（3）教育手段，廣義上是指包括任何旨在告知信息主體、信息處理者、信息接收者或者廣大公眾有關(guān)個(gè)人信息保護(hù)規(guī)則與風(fēng)險(xiǎn)的干預(yù)措施。（4）經(jīng)濟(jì)手段，廣義上是指任何旨在改變利益相關(guān)者經(jīng)濟(jì)動(dòng)機(jī)的干預(yù)措施，如征稅、收費(fèi)、罰款或者提供保險(xiǎn)等。（5）法律手段，廣義上是指任何旨在改變利益相關(guān)者的法律權(quán)利義務(wù)或者法律關(guān)系的干預(yù)措施，如私人訴訟、行政問責(zé)、公益訴訟等。[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2016-2017（2015）.]

四、完善政府?dāng)?shù)據(jù)開放中基于過程的個(gè)人信息保護(hù)機(jī)制

前文闡述了政府?dāng)?shù)據(jù)開放生命周期不同階段可能存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，并對(duì)以技術(shù)性匿名化為核心手段的結(jié)果保護(hù)范式的不足進(jìn)行了分析，在此基礎(chǔ)上，本文提出以“基于過程的方法”重塑政府?dāng)?shù)據(jù)開放中個(gè)人信息保護(hù)模式，并且就該保護(hù)模式的基本內(nèi)容與核心措施進(jìn)行了初步分析。為了進(jìn)一步加強(qiáng)政府?dāng)?shù)據(jù)開放中的個(gè)人信息保護(hù)，有針對(duì)性地就不同階段的個(gè)人信息保護(hù)風(fēng)險(xiǎn)采取措施，還需要對(duì)程序、技術(shù)、教育、經(jīng)濟(jì)、法律等手段的范圍作進(jìn)一步的說明，以及對(duì)它們?cè)谡當(dāng)?shù)據(jù)開放生命周期不同階段如何發(fā)揮作用進(jìn)行闡述。為此，本文以本·格林（Ben Green）等人在《開放數(shù)據(jù)隱私》報(bào)告中提出的“在數(shù)據(jù)生命周期的每個(gè)階段考慮隱私問題”為基礎(chǔ)，[See Ben Green， Gabe Cunningham & Ariel Ekblaw et al.， Open Data Privacy （2017）， Berkman Klein Center Research Publication， https：//dash.harvard.edu/bitstream/handle/1/30340010/OpenDataPrivacy.pdf？sequence=5（Last visited on July 11， 2021）.]參照邁卡·奧特曼（Micah Altman）等人提出的分析框架[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2049-2058（2015）.]，結(jié)合我國《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020）的有關(guān)規(guī)定，嘗試提出一個(gè)將不同的個(gè)人信息保護(hù)手段與政府?dāng)?shù)據(jù)開放生命周期不同階段協(xié)調(diào)銜接的控制網(wǎng)絡(luò)。

（一）數(shù)據(jù)收集階段的個(gè)人信息保護(hù)手段

一旦個(gè)人信息被收集，它就有可能作為開放數(shù)據(jù)或者通過回應(yīng)公共記錄請(qǐng)求而被公開，因此，限制數(shù)據(jù)收集往往是限制未來披露的最佳方式。為了應(yīng)對(duì)政府?dāng)?shù)據(jù)收集階段可能存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，政府部門可以采取如下手段。

1.確保收集個(gè)人信息的合法性。根據(jù)《個(gè)人信息保護(hù)法》第5條的規(guī)定，合法原則是個(gè)人信息保護(hù)的重要原則。政府部門在收集包含個(gè)人信息的數(shù)據(jù)時(shí)，應(yīng)當(dāng)依照法律、行政法規(guī)規(guī)定的權(quán)限與程序進(jìn)行，不得通過其他非法手段和途徑收集個(gè)人信息。

2.確保收集個(gè)人信息的最小必要。根據(jù)《個(gè)人信息保護(hù)法》第5條的規(guī)定，必要原則是個(gè)人信息保護(hù)的基本原則。該法第6條進(jìn)一步明確“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過度收集個(gè)人信息”。該法第34條則規(guī)定：“國家機(jī)關(guān)為履行法定職責(zé)處理個(gè)人信息，應(yīng)當(dāng)依照法律、行政法規(guī)的權(quán)限、程序進(jìn)行，不得超越履行法定職責(zé)所必需的范圍和限度?！闭块T在收集個(gè)人信息時(shí)，所收集的個(gè)人信息類型應(yīng)當(dāng)與履行法定職責(zé)或者提供公共服務(wù)的業(yè)務(wù)功能直接關(guān)聯(lián)。所謂直接關(guān)聯(lián)，就是沒有上述個(gè)人信息的參與，履行職責(zé)或提供服務(wù)的功能就無法實(shí)現(xiàn)。

3.確保收集個(gè)人信息的誠實(shí)守信。根據(jù)《個(gè)人信息保護(hù)法》第5條的規(guī)定，誠信原則是個(gè)人信息保護(hù)的基本原則，這對(duì)政府部門在收集個(gè)人信息時(shí)提出了“正反”兩方面的要求。一方面，政府部門要嚴(yán)格落實(shí)“告知-同意”要求。在國內(nèi)外個(gè)人信息保護(hù)法中，“告知-同意”是公平信息實(shí)踐原則的基石，也是保護(hù)個(gè)人信息的常用工具。就“通知”而言，除了常規(guī)的隱私政策外，還可以采取公共教育措施，讓公民了解收集的數(shù)據(jù)類型、如何使用這些數(shù)據(jù)以及與之相關(guān)的風(fēng)險(xiǎn)[See Micah Altman， Alexandra Wood & David R. O'Brien et al.， Towards a Modern Approach to Privacy-Aware Government Data Releases， 30 Berkeley Technology Law Journal 1967， 2017（2015）.];就“同意”而言，雖然履行法定職責(zé)、緊急情況下的公共利益可以成為豁免條件，但是，政府部門仍然需要制定更為有效的同意計(jì)劃，原因在于同意的效力并不僅僅局限于收集階段，而是輻射到整個(gè)數(shù)據(jù)生命周期。另一方面，這意味著政府部門不得以欺詐、誘騙、誤導(dǎo)等方式收集個(gè)人信息，也不得隱瞞各類政務(wù)APP所具有的收集個(gè)人信息的功能。

4.完善個(gè)人信息的內(nèi)部管理機(jī)制。政府?dāng)?shù)據(jù)開放共享是政府?dāng)?shù)據(jù)治理的重要內(nèi)容。隨著政府?dāng)?shù)據(jù)治理體系的不斷完善，越來越多的政府部門開始任命專門的數(shù)據(jù)治理官員或者組建專門的數(shù)據(jù)治理機(jī)構(gòu)，如政府首席數(shù)據(jù)官，為政府?dāng)?shù)據(jù)治理提供組織保障。[張濤：《數(shù)據(jù)治理的組織法構(gòu)造：以政府首席數(shù)據(jù)官制度為視角》，載《電子政務(wù)》2021年第9期，第58頁。]我國《個(gè)人信息保護(hù)法》第52條規(guī)定，處理個(gè)人信息達(dá)到一定規(guī)模的個(gè)人信息處理者應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人。就政府部門而言，應(yīng)當(dāng)以建立和完善政府首席數(shù)據(jù)官制度為契機(jī)，強(qiáng)化政府首席數(shù)據(jù)官對(duì)政府部門處理個(gè)人信息的監(jiān)督職責(zé)。

5.完善個(gè)人信息保護(hù)影響評(píng)估機(jī)制。在其他風(fēng)險(xiǎn)管理領(lǐng)域，風(fēng)險(xiǎn)評(píng)估是最為重要的工具之一，如環(huán)境保護(hù)影響評(píng)估。在隱私和個(gè)人信息保護(hù)領(lǐng)域，傳統(tǒng)的隱私影響評(píng)估工具經(jīng)常被作為平衡效用和隱私以及選擇適當(dāng)隱私保障措施的工具。如今，在隱私影響評(píng)估機(jī)制的基礎(chǔ)上，個(gè)人信息保護(hù)影響評(píng)估機(jī)制成為個(gè)人信息保護(hù)的重要工具。盡管個(gè)人信息保護(hù)影響評(píng)估在不同的機(jī)構(gòu)之間可能略有不同，但通常涉及個(gè)人信息的處理目的、處理方式是否合法、正當(dāng)、必要，個(gè)人信息的預(yù)期用途和接收者，對(duì)個(gè)人權(quán)益的影響及安全風(fēng)險(xiǎn)，采取的保護(hù)措施是否合法有效等。

（二）數(shù)據(jù)轉(zhuǎn)換階段的個(gè)人信息保護(hù)手段

如前所述，盡管數(shù)據(jù)轉(zhuǎn)換階段與數(shù)據(jù)主體并不直接相關(guān)，但卻可能因?yàn)檫`反準(zhǔn)確性、完整性等法律要求，產(chǎn)生侵害個(gè)人信息權(quán)益的風(fēng)險(xiǎn)。為了有效應(yīng)對(duì)政府?dāng)?shù)據(jù)轉(zhuǎn)換階段存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，結(jié)合相關(guān)理論研究成果和實(shí)踐經(jīng)驗(yàn)，政府部門可以采取如下手段。

1.完善內(nèi)部的數(shù)據(jù)轉(zhuǎn)換制度和操作規(guī)程，強(qiáng)化專業(yè)培訓(xùn)教育。數(shù)據(jù)轉(zhuǎn)換對(duì)于整個(gè)政府?dāng)?shù)據(jù)開放至關(guān)重要，要求確保在數(shù)據(jù)轉(zhuǎn)換過程中既符合個(gè)人信息保護(hù)要求，也能達(dá)到未來政府?dāng)?shù)據(jù)公開的標(biāo)準(zhǔn)，政府部門應(yīng)當(dāng)制定內(nèi)部的數(shù)據(jù)轉(zhuǎn)換操作規(guī)程，同時(shí)加強(qiáng)對(duì)相關(guān)工作人員的專業(yè)培訓(xùn)，既包括先進(jìn)處理技術(shù)的培訓(xùn)，也包括個(gè)人信息保護(hù)法規(guī)、數(shù)據(jù)安全法規(guī)、信息倫理要求等方面的培訓(xùn)教育。

2.積極采取加密等技術(shù)手段，確保數(shù)據(jù)轉(zhuǎn)換過程安全。在數(shù)據(jù)轉(zhuǎn)換過程中，政府部門還應(yīng)當(dāng)積極采取一些先進(jìn)的“隱私增強(qiáng)技術(shù)”或者“數(shù)據(jù)安全技術(shù)”，預(yù)防和減少數(shù)據(jù)轉(zhuǎn)換階段可能出現(xiàn)的信息泄露、篡改、丟失等風(fēng)險(xiǎn)，其中比較常見的便是采用加密技術(shù)，包括公鑰加密和私鑰加密。

3.保障信息主體的訪問權(quán)和更正權(quán)，增強(qiáng)數(shù)據(jù)轉(zhuǎn)換的透明度。為了確保數(shù)據(jù)安全，數(shù)據(jù)轉(zhuǎn)換的具體過程一般具有一定的機(jī)密性，但是數(shù)據(jù)轉(zhuǎn)換的方法及結(jié)果應(yīng)當(dāng)遵循透明度要求。政府部門應(yīng)當(dāng)通過適當(dāng)?shù)耐緩?，將?shù)據(jù)轉(zhuǎn)換的方法和結(jié)果告知信息主體，保障信息主體能夠有意義地行使訪問權(quán)和更正權(quán)。

（三）數(shù)據(jù)存儲(chǔ)階段的個(gè)人信息保護(hù)手段

隨著數(shù)字政府建設(shè)的不斷向前推進(jìn)，政府部門維護(hù)著眾多的數(shù)據(jù)集，并且這些數(shù)據(jù)集通常分布在不同的部門或者機(jī)構(gòu)，使得政府部門很難跟蹤其眾多的數(shù)據(jù)資源。如果沒有對(duì)現(xiàn)有數(shù)據(jù)集的全面了解和掌控，政府部門就有可能做出錯(cuò)誤的數(shù)據(jù)管理決策或者進(jìn)行多余的數(shù)據(jù)收集、超期的數(shù)據(jù)保存。此外，未知的和未被充分監(jiān)測(cè)、評(píng)估的數(shù)據(jù)集可能會(huì)帶來風(fēng)險(xiǎn)，再加上人員流動(dòng)和信息管理系統(tǒng)定期升級(jí)增加了評(píng)估舊數(shù)據(jù)集所涉隱私及個(gè)人信息風(fēng)險(xiǎn)的難度。為了有效應(yīng)對(duì)政府?dāng)?shù)據(jù)存儲(chǔ)階段的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，政府部門可以采取如下手段。

1.制定數(shù)據(jù)清單及目錄，并確立相應(yīng)的隱私與個(gè)人信息風(fēng)險(xiǎn)等級(jí)。《數(shù)據(jù)安全法》第42條規(guī)定，國家應(yīng)當(dāng)制定政務(wù)數(shù)據(jù)開放目錄;《個(gè)人信息保護(hù)法》第51條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)對(duì)個(gè)人信息實(shí)行分類管理。前文對(duì)政府?dāng)?shù)據(jù)的分類進(jìn)行了初步分析，政府部門在編制數(shù)據(jù)清單時(shí)，還應(yīng)當(dāng)重點(diǎn)解決如下問題：數(shù)據(jù)是如何產(chǎn)生的、什么記錄管理系統(tǒng)產(chǎn)生了這些數(shù)據(jù)、這些數(shù)據(jù)是什么時(shí)候收集的、這些數(shù)據(jù)是如何收集的、是否還有與這些數(shù)據(jù)相關(guān)的其他補(bǔ)充信息、哪些部門和個(gè)人負(fù)責(zé)這些數(shù)據(jù)、這些數(shù)據(jù)規(guī)定的保存期限是多長等。數(shù)據(jù)清單的另一個(gè)關(guān)鍵部分是確定相應(yīng)的隱私與個(gè)人信息風(fēng)險(xiǎn)等級(jí)，政府部門應(yīng)當(dāng)開發(fā)一個(gè)分級(jí)模式，將每個(gè)數(shù)據(jù)集的隱私與個(gè)人信息風(fēng)險(xiǎn)劃分為數(shù)個(gè)類別，如高、中、低風(fēng)險(xiǎn)，提供一個(gè)風(fēng)險(xiǎn)概覽圖，幫助政府部門將有限的資源用于降低最緊急的風(fēng)險(xiǎn)。

2.限制個(gè)人信息存儲(chǔ)期限，避免無限期保存。如前所述，存儲(chǔ)限制是《個(gè)人信息保護(hù)法》提出的明確要求，政府部門也應(yīng)當(dāng)積極遵守。一方面，個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)政府部門處理信息目的或者信息主體授權(quán)目的所必需的最短時(shí)間;另一方面，當(dāng)個(gè)人信息超出上述存儲(chǔ)期限后，應(yīng)當(dāng)對(duì)個(gè)人信息進(jìn)行刪除或者匿名化處理。

3.完善數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度，及時(shí)監(jiān)測(cè)存在的安全風(fēng)險(xiǎn)?！稊?shù)據(jù)安全法》第29條規(guī)定“開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)”;第30條規(guī)定：“重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估”。擁有眾多大型數(shù)據(jù)庫的政府部門面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)并不天然地低于私營部門。因此，上述規(guī)定同樣也適用于政府部門，其更應(yīng)當(dāng)積極完善數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度，降低數(shù)據(jù)泄露風(fēng)險(xiǎn)。一般而言，數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估通常包括所存儲(chǔ)的數(shù)據(jù)類型與數(shù)量、可能存在的風(fēng)險(xiǎn)、可能采取的應(yīng)對(duì)措施。

4.編制數(shù)據(jù)安全事件應(yīng)急預(yù)案，完善數(shù)據(jù)泄露通知制度。盡管各種保護(hù)措施可以將數(shù)據(jù)安全風(fēng)險(xiǎn)降至最低，但是，數(shù)據(jù)泄露事件仍然無法避免。為此，《數(shù)據(jù)安全法》第23條規(guī)定：“國家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制”;《個(gè)人信息保護(hù)法》第51條規(guī)定，個(gè)人信息處理者應(yīng)當(dāng)“制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案”。政府部門應(yīng)當(dāng)借鑒其他領(lǐng)域的應(yīng)急管理經(jīng)驗(yàn)，充分聽取數(shù)據(jù)安全領(lǐng)域的技術(shù)專家、法律學(xué)者的意見，制定本部門的數(shù)據(jù)安全事件應(yīng)急預(yù)案。當(dāng)發(fā)生大規(guī)模數(shù)據(jù)泄露事件時(shí)，政府部門應(yīng)當(dāng)按照《個(gè)人信息保護(hù)法》第57條的規(guī)定，應(yīng)當(dāng)“立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人”，讓其能夠積極采取防護(hù)措施，避免數(shù)據(jù)泄露引發(fā)的次生傷害。

（四）數(shù)據(jù)公開階段的個(gè)人信息保護(hù)手段

如何確定要公開的數(shù)據(jù)集是政府?dāng)?shù)據(jù)開放所面臨的最常見的挑戰(zhàn)之一，因?yàn)檎块T并不總是十分清楚哪些政府?dāng)?shù)據(jù)在公開后會(huì)帶來隱私與個(gè)人信息風(fēng)險(xiǎn)，稍有不慎，就可能過度披露敏感信息。為了應(yīng)對(duì)在政府?dāng)?shù)據(jù)公開階段可能存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，政府部門可以采取如下幾種手段。

1.區(qū)分不同的公開方式，采用不同的政府?dāng)?shù)據(jù)訪問機(jī)制。政府部門應(yīng)當(dāng)清楚地認(rèn)識(shí)到，并非所有的數(shù)據(jù)集都適合以“開放數(shù)據(jù)”格式公開，如數(shù)據(jù)的敏感性和顆粒度很高時(shí)，以不可控的開放數(shù)據(jù)格式公開，被再識(shí)別的風(fēng)險(xiǎn)就會(huì)很高。因此，不同類型的政府?dāng)?shù)據(jù)、不同風(fēng)險(xiǎn)級(jí)別的數(shù)據(jù)集應(yīng)當(dāng)設(shè)置與其風(fēng)險(xiǎn)水平相適應(yīng)的公開方式和數(shù)據(jù)訪問機(jī)制。一般認(rèn)為，在組織內(nèi)部和組織之間共享和訪問數(shù)據(jù)，可以采用的訪問機(jī)制大致包括以下幾類：一是限制性共享，政府部門可以根據(jù)預(yù)期的數(shù)據(jù)接收者類型及其相應(yīng)的風(fēng)險(xiǎn)等級(jí)，來決定如何公開數(shù)據(jù)。二是管理性訪問，政府部門可以確定到底是誰在訪問數(shù)據(jù)集，同時(shí)保持對(duì)其傳播效果的控制。三是互動(dòng)方法，比較典型的是“差分隱私”（differential privacy），即在數(shù)據(jù)集中添加一定量的“噪音”或者只提供關(guān)于底層數(shù)據(jù)集的“統(tǒng)計(jì)結(jié)果”。四是混合方法（hybrid），即政府部門可以將一個(gè)包含有可能再識(shí)別的個(gè)人信息的數(shù)據(jù)庫進(jìn)行拆分，再融入前述三種方法。[See Bendert Zevenbergen， Ian Brown & Joss Wright et al.， Ethical Privacy Guidelines for Mobile Connectivity Measurements， Oxford Internet Institute， https：//www.oii.ox.ac.uk/archive/downloads/research/files/Ethical_Privacy_Guidelines_for_Mobile_Connectivity_Measurements.pdf（Last visited on July 11， 2021）.]

2.廣泛使用去標(biāo)識(shí)化技術(shù)，降低政府?dāng)?shù)據(jù)的被再識(shí)別風(fēng)險(xiǎn)。從技術(shù)的角度看，盡管并不存在完美無瑕的去標(biāo)識(shí)化技術(shù)，但不可否認(rèn)的是各類去標(biāo)識(shí)化技術(shù)仍然在個(gè)人信息保護(hù)中發(fā)揮著重要的作用。政府部門在準(zhǔn)備要公開的政府?dāng)?shù)據(jù)時(shí)，應(yīng)當(dāng)廣泛使用去標(biāo)識(shí)化技術(shù)，既可以由人工執(zhí)行，也可以通過自動(dòng)化程序執(zhí)行，或者兩者兼?zhèn)洹Ｒ坏┱J(rèn)定數(shù)據(jù)集已經(jīng)完成去標(biāo)識(shí)化后，應(yīng)當(dāng)手動(dòng)審查或者以其他方式進(jìn)行數(shù)據(jù)審計(jì)，以判定是否還有任何可識(shí)別信息，或者審查是否有可能通過與其他數(shù)據(jù)源的關(guān)聯(lián)來恢復(fù)被刪除的敏感屬性。

（五）數(shù)據(jù)使用階段的個(gè)人信息保護(hù)手段

一旦政府?dāng)?shù)據(jù)從數(shù)據(jù)庫中公開進(jìn)入使用者手中，前面幾個(gè)階段的保護(hù)手段就可能失去效用，再加上可能存在的數(shù)據(jù)濫用、數(shù)據(jù)聚合等風(fēng)險(xiǎn)，從而導(dǎo)致個(gè)人信息權(quán)益受到侵犯。為了應(yīng)對(duì)政府?dāng)?shù)據(jù)使用階段存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)，政府部門應(yīng)當(dāng)積極開發(fā)新的保護(hù)手段或者機(jī)制來消解“發(fā)布即遺忘模式”的弊端，比較常見的方法主要有以下兩種。

1.通過信用監(jiān)管強(qiáng)化對(duì)政府?dāng)?shù)據(jù)使用者的事前審查。盡管各國在制定政府?dāng)?shù)據(jù)開放政策時(shí)，都要求政府部門不應(yīng)當(dāng)對(duì)政府?dāng)?shù)據(jù)使用者設(shè)置歧視性條件，但這并不意味著政府?dāng)?shù)據(jù)使用者不需要滿足任何條件或者達(dá)到一定要求。為了避免政府?dāng)?shù)據(jù)使用者在使用政府?dāng)?shù)據(jù)時(shí)產(chǎn)生新的隱私與個(gè)人信息保護(hù)風(fēng)險(xiǎn)，在實(shí)踐中，政府部門可以要求政府?dāng)?shù)據(jù)使用者在數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理和數(shù)據(jù)安全保護(hù)能力等條件方面應(yīng)當(dāng)達(dá)到相應(yīng)的信用等級(jí)。

2.通過數(shù)據(jù)使用協(xié)議強(qiáng)化對(duì)政府?dāng)?shù)據(jù)使用者的事后監(jiān)管。為了應(yīng)對(duì)政府?dāng)?shù)據(jù)濫用可能帶來的隱私與個(gè)人信息保護(hù)風(fēng)險(xiǎn)，數(shù)據(jù)使用協(xié)議成為常見的保護(hù)手段。在數(shù)據(jù)使用協(xié)議中，政府部門可以就政府?dāng)?shù)據(jù)再使用的目的、用途等進(jìn)行約定，如禁止重新識(shí)別信息或者聯(lián)系個(gè)人，同時(shí)，要求政府?dāng)?shù)據(jù)使用者應(yīng)當(dāng)依法履行相應(yīng)的數(shù)據(jù)保護(hù)職責(zé)，并接受政府部門的監(jiān)督檢查，承擔(dān)相應(yīng)的法律責(zé)任。

五、結(jié)論

政府?dāng)?shù)據(jù)開放被認(rèn)為有助于實(shí)現(xiàn)各種社會(huì)、經(jīng)濟(jì)及行政目標(biāo)，如提升公眾生活品質(zhì)、促進(jìn)產(chǎn)業(yè)轉(zhuǎn)型、增強(qiáng)政府透明度等。然而，由于政府部門維護(hù)的數(shù)據(jù)集中含有大量的個(gè)人信息，因此，政府?dāng)?shù)據(jù)開放可能會(huì)對(duì)個(gè)人信息權(quán)益造成侵害。這種侵害不局限于政府?dāng)?shù)據(jù)公開階段，而且可能存在于政府?dāng)?shù)據(jù)收集、轉(zhuǎn)換、存儲(chǔ)、使用等多個(gè)階段。在我國《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》通過并實(shí)施后，如何在個(gè)人信息保護(hù)與政府?dāng)?shù)據(jù)開放之間維持平衡，成為一項(xiàng)重要議題。傳統(tǒng)的以技術(shù)性去匿名化為核心手段的結(jié)果保護(hù)范式由于過度關(guān)注政府?dāng)?shù)據(jù)在公開這一時(shí)點(diǎn)的狀態(tài)，忽視了政府?dāng)?shù)據(jù)開放本身所具有的動(dòng)態(tài)性、周期性、系統(tǒng)性特征，難以有效應(yīng)對(duì)政府?dāng)?shù)據(jù)開放全生命周期各個(gè)階段存在的個(gè)人信息保護(hù)風(fēng)險(xiǎn)。對(duì)此，本文提出以“基于過程的方法”重塑政府?dāng)?shù)據(jù)開放中的個(gè)人信息保護(hù)范式，以風(fēng)險(xiǎn)預(yù)防原則重新確立個(gè)人信息保護(hù)理念與目標(biāo)。為了構(gòu)建政府?dāng)?shù)據(jù)開放中基于過程的個(gè)人信息保護(hù)機(jī)制，需要將程序、技術(shù)、經(jīng)濟(jì)、教育、法律等多種手段置于在政府?dāng)?shù)據(jù)開放生命周期的不同階段，有針對(duì)性地減少隱私與個(gè)人信息風(fēng)險(xiǎn)，形成全生命周期的協(xié)同保護(hù)機(jī)制。

Paradigm Shift of Personal Information Protection in Open Government Data

ZHANG Tao

（Law School， Tsinghua University， Beijing 100084， China）

Abstract：Open government data（OGD） is not a static single behavior， but a dynamic system process. With the help of data life cycle theory， open government data can be deconstructed into five stages of data collection， transformation， storage， release， and use. According to the latest rules established by the Personal Information Protection Law and the Data Security Law， personal information protection risks may exist at all stages of the OGD life cycle. However， the existing personal information protection paradigm in OGD mainly adopts an "outcome-based approach"， focusing on the state of government data at the time of release， and relying on technical anonymization methods， it is difficult to effectively deal with personal information risks in OGD life cycle. Correspondingly， the "process-based approach" is compatible with the OGD life cycle， the proceduralization of personal information protection， and the full-process management of data security， and can make up for the shortcomings of the " outcome-based approach". By decentralizing risk precautionary principles and procedural， technical， economic， educational， and legal tools at each stage of the OGD life cycle， the risk of personal information protection can be minimized， and a dynamic balance can be achieved between personal information protection and open government data.

Key Words：open government data; personal information protection; process-based approach;?? anonymization

本文責(zé)任編輯：林士平

青年學(xué)術(shù)編輯：孫 瑩

收稿日期：2021-12-01

基金項(xiàng)目：2019年國家社科基金重大項(xiàng)目“大數(shù)據(jù)、人工智能背景下的公安法治建設(shè)研究”（19ZDA165）;2021年度教育部人文社會(huì)科學(xué)研究青年基金項(xiàng)目“政府?dāng)?shù)據(jù)開放利用機(jī)制研究”（21YJC820035）

作者簡介：張濤（1991），男，貴州銅仁人，清華大學(xué)法學(xué)院助理研究員、博士后，法學(xué)博士。

① [美]喬爾·古林：《開放數(shù)據(jù)——如何從無處不在的免費(fèi)數(shù)據(jù)中發(fā)掘創(chuàng)意和商機(jī)》，張尚軒譯，中信出版社2015年版，第6頁。