梁乙凱 陳 美

(1.山東財經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，山東 濟南 250014；2.中南財經(jīng)政法大學(xué)公共管理學(xué)院，湖北 武漢 430073)

當(dāng)今世界，政府?dāng)?shù)據(jù)的影響越來越大，這些數(shù)據(jù)有時會過多地侵犯個人隱私。當(dāng)發(fā)生這種情況時，所涉及的是開放政府?dāng)?shù)據(jù)和隱私權(quán)之間的沖突。當(dāng)開放政府?dāng)?shù)據(jù)主體不遵守個人數(shù)據(jù)保護的規(guī)定時，也可能發(fā)生這種情況。在個人數(shù)據(jù)處理方面，個人數(shù)據(jù)保障并不只是作為一種具體的隱私權(quán)而設(shè)立，它還在保護數(shù)據(jù)隱私。在保障人權(quán)方面，個人數(shù)據(jù)保障是一個相對較新的范疇，但在全球化趨勢和信息技術(shù)突飛猛進的影響下，其發(fā)展迅速。公共部門在許多活動領(lǐng)域收集、制作和傳播廣泛的數(shù)據(jù)，如社會事務(wù)、經(jīng)濟、地理、天氣、旅游、企業(yè)家精神、專利、司法事務(wù)、文化、教育和政策制定方面的數(shù)據(jù)。公共登記冊中有許多上述領(lǐng)域的數(shù)據(jù)，這就要求保障開放政府?dāng)?shù)據(jù)的隱私安全。因此，有必要充分了解這一領(lǐng)域的規(guī)定和現(xiàn)行做法。

1 政府?dāng)?shù)據(jù)開放中個人隱私的評判標(biāo)準(zhǔn)

1.1 個人隱私保護法

斯洛文尼亞修訂了若干部門法律，并起草一份關(guān)于《通用數(shù)據(jù)保護條例》(General Data Protection Regulation，GDPR)的法律草案《個人數(shù)據(jù)保護法案》(ZVOP-2)。2017年10—11月，法律草案ZVOP-2接受公眾咨詢。ZVOP-2提案由司法部于2018年1月23日公布，并于2018年4月5日通過，但由于2018年4月14日暫停，因而該提案未在議會進行討論。2019年3月，斯洛文尼亞司法部再次發(fā)布了ZVOP-2的提案。這項提案再次引起了公眾的討論，而且提交意見的截止日期是2019年3月25日。正如擬議法案本身所述，該法案計劃最早于2019年7月生效[5]。該提案的案文已經(jīng)在2017年或2018年或2019年3月的公開討論或?qū)I(yè)和部際協(xié)調(diào)中得到討論。該版本具有一些創(chuàng)新，其中強調(diào)了該提案與相關(guān)規(guī)定之間的一致性(以減少其規(guī)定的復(fù)制和鏈接的方式)以及對警察和刑事司法領(lǐng)域中有關(guān)個人數(shù)據(jù)保護的指令進行了更全面的轉(zhuǎn)換。關(guān)于個人數(shù)據(jù)處理的基本內(nèi)容，可以在第Ⅰ部分(一般條款，包括法律依據(jù))和第Ⅲ部分中找到。法案的一部分(部門安排，如視頻監(jiān)控)、監(jiān)管機構(gòu)的法定權(quán)限(法律草案第Ⅰ部分第7章)和有關(guān)授權(quán)保護個人數(shù)據(jù)的人員的規(guī)定(法律草案第Ⅰ部分第5章)也很重要[6]。

根據(jù)《斯洛文尼亞共和國憲法》第38條，ZVOP-2提案的目標(biāo)是：確保按照斯洛文尼亞的法律執(zhí)行相關(guān)規(guī)定，從系統(tǒng)的角度來看待如何盡可能多地規(guī)范或解決個人數(shù)據(jù)保護領(lǐng)域的問題，從而確保每個人都有權(quán)將已收集與自身有關(guān)的個人信息告知他們，并有權(quán)在任何濫用情況下獲得法律補救[7]。更具體地說，必須確保尊重法律確定性(包括以盡可能多的規(guī)定“集中在一處”的方式有效行使對個人數(shù)據(jù)保護的個人人權(quán))[8]。因此，該立法的出發(fā)點是人及其權(quán)利(個人或個人權(quán)利)，使人們(數(shù)據(jù)主體)成為可能，并且公共機構(gòu)和企業(yè)實體(運營商和加工商)對個人數(shù)據(jù)的保護應(yīng)盡可能緊密相關(guān)或具有解釋性，以便在個人數(shù)據(jù)保護領(lǐng)域?qū)嵤┙y(tǒng)一的權(quán)利保護辦法。

1.2 個人隱私界定

為了理解開放政府?dāng)?shù)據(jù)中個人隱私保護，有必要了解一些基礎(chǔ)概念，包括：個人數(shù)據(jù)、個人、敏感個人數(shù)據(jù)、數(shù)據(jù)控制者。根據(jù)ZVOP-2第6條第1款，個人數(shù)據(jù)是與個人有關(guān)的任何數(shù)據(jù)，無論其表示形式如何。這一概念中涉及“個人”。根據(jù)ZVOP-2第6條第2款，個人是與個人數(shù)據(jù)有關(guān)的已識別或可識別的自然人；可識別的自然人是指可以直接或間接識別的人，特別是通過參考識別號或特定于其身體、生理、心理、經(jīng)濟、文化或社會身份的一個或多個因素進行識別，其中識別方法不會產(chǎn)生高昂的成本或不成比例的工作，也不會花費大量時間。個人身份識別的隱私保護和地理位置隱私保護是開放政府?dāng)?shù)據(jù)活動亟待解決的重要問題[9]。個人數(shù)據(jù)中所涉及的一種特別類型的數(shù)據(jù)是敏感個人數(shù)據(jù)。根據(jù)該法第6條第19款，敏感的個人數(shù)據(jù)是關(guān)于種族、民族或族裔血統(tǒng)、政治、宗教或哲學(xué)信仰、工會會員資格、健康狀況、性生活、從犯罪記錄中刪除或保留的輕罪記錄的數(shù)據(jù)；如果生物統(tǒng)計特征的使用可以結(jié)合任何上述情況來識別個人，那么它們也是敏感的個人數(shù)據(jù)。根據(jù)該法第6條第6款，數(shù)據(jù)控制者是自然人或法人或其他公共或私營部門的人，他們獨自或與他人共同確定個人數(shù)據(jù)處理的目的和方式，或者由法規(guī)提供的人確定個人數(shù)據(jù)處理的目的和方式。

2 政府?dāng)?shù)據(jù)開放中隱私影響評估(PIA)框架

2.1 隱私影響評估(PIA)的目標(biāo)

2014年1月14日，斯洛文尼亞信息專員發(fā)布《引入新警察權(quán)力的隱私影響評估(PIA)指南》[10]，該指南代表了一種謹(jǐn)慎、合理和合法地采用新措施的方法論框架，特別是那些具有技術(shù)性質(zhì)的措施，如數(shù)據(jù)保留、特洛伊木馬。該指南旨在作為一種工具，在采取新措施之前幫助執(zhí)法機構(gòu)，包括：①設(shè)計風(fēng)險和保障措施，以防止不公正地影響隱私權(quán)；②產(chǎn)生PIA并提出論點建議措施的必要性、適當(dāng)性、有效性和相稱性；③對該主題進行公開討論[11]。

2.2 隱私影響評估(PIA)的過程

《引入新警察權(quán)力的隱私影響評估(PIA)指南》對PIA過程進行了說明：①發(fā)起方(Initiating Party)是提出新措施的一方，通常是斯洛文尼亞警方或內(nèi)政部，將使用這些指南對措施進行PIA，然后向信息專員提交書面報告征求意見；②信息專員審查報告并根據(jù)需要提出意見；③發(fā)起方提出意見并在必要時對分析報告進行修改；④發(fā)起方起草關(guān)于新警察權(quán)力的立法提案，并與PIA報告一起提交給負責(zé)刑事訴訟法的部門(司法部)，同時附上關(guān)于文本是否尊重信息專員的意見的說明；⑤提案進入標(biāo)準(zhǔn)立法程序?？傮w來看，發(fā)起方最適合進行PIA，因為他們擁有有關(guān)建議措施的最多信息，因而最適合評估與這些措施有關(guān)的風(fēng)險。將信息專員納入PIA程序，可確保信息專員對整個程序進行獨立檢討，并由數(shù)據(jù)保護專家向發(fā)起方提供有價值的反饋信息，以改善最終的立法建議，這對主管部門以及整個立法程序都是一個好信號。

2.3 隱私影響評估(PIA)的主體

斯洛文尼亞信息專員的指導(dǎo)方針目的是，為個人提供常見的個人數(shù)據(jù)處理的實用指導(dǎo)以及法律和其他實體過程符合《個人數(shù)據(jù)保護法》的規(guī)定。因此，信息專員于2010年7月22日發(fā)布《電子政務(wù)項目中PIA》[12]，對PIA主體進行了規(guī)定。具體而言，包括內(nèi)部和外部PIA，而且這兩項工作已經(jīng)以非正式方式在斯洛文尼亞進行。內(nèi)部PIA由個人數(shù)據(jù)控制者自己進行，而外部PIA則由公司聘請外部顧問或向主管當(dāng)局信息專詢個人數(shù)據(jù)保護事宜。信息專員發(fā)布不具約束力的書面意見，并在個人數(shù)據(jù)保護方面增加風(fēng)險的計劃推出前，咨詢相關(guān)專家。信息專員不僅向公共部門機構(gòu)和當(dāng)局發(fā)布，而且還提供其關(guān)于遵守擬議的法規(guī)以及與有關(guān)個人數(shù)據(jù)保護的法律和其他法規(guī)的指導(dǎo)方針和決定。這種工作方式正日益得到加強，而且所有這些指導(dǎo)原則主要用于PIA的內(nèi)部行為，其結(jié)果也可以成為后面與信息專員協(xié)商的主題。

2.4 隱私影響評估(PIA)的階段

PIA的主要內(nèi)容是引入新的警察權(quán)力，包括及時識別所有涉及的隱私風(fēng)險，以及減輕這些風(fēng)險所需的保障措施。因此，《引入新警察權(quán)力的隱私影響評估(PIA)指南》指出，PIA應(yīng)包括以下4個階段：①對當(dāng)前問題的初步分析；②風(fēng)險分析；③風(fēng)險緩解；④比例性檢驗，包括必要性、充分性、有效性、比例性。該文件還要求，按照上述模式進行的PIA應(yīng)為起草具體立法條款提供有用的信息。

3 隱私風(fēng)險應(yīng)對的數(shù)據(jù)處理規(guī)范與機構(gòu)

3.1 隱私風(fēng)險應(yīng)對的數(shù)據(jù)處理規(guī)范

針對如前所述的一般個人數(shù)據(jù)和敏感個人數(shù)據(jù)，斯洛文尼亞存在不同的個人數(shù)據(jù)處理規(guī)范。

3.1.1 一般個人數(shù)據(jù)處理

根據(jù)《個人數(shù)據(jù)保護法案》(ZVOP-2)第8條，只有符合法令規(guī)定來對個人數(shù)據(jù)進行處理的情況下，或者在處理某些個人數(shù)據(jù)時已獲得個人同意的情況下，才可以處理個人數(shù)據(jù)；處理個人數(shù)據(jù)的目的必須由法規(guī)規(guī)定，并且在基于個人同意而進行處理的情況下，必須事先書面或以其他適當(dāng)方式告知個人處理數(shù)據(jù)的目的。

ZVOP-2第9條為公共部門處理個人數(shù)據(jù)提供了法律依據(jù)：①如果法令規(guī)定可以進行的個人數(shù)據(jù)處理或正在處理的個人數(shù)據(jù)符合規(guī)范，則可以處理公共部門的個人數(shù)據(jù)。法規(guī)可能規(guī)定只能在個人同意的基礎(chǔ)上處理某些個人數(shù)據(jù)；②公共權(quán)力持有人也可以在沒有法律依據(jù)的情況下，根據(jù)個人的同意而處理個人數(shù)據(jù)，這不涉及其作為公共權(quán)力持有人所履行的職責(zé)。在這種基礎(chǔ)上建立的文件系統(tǒng)必須與根據(jù)公共權(quán)力持有人的職責(zé)建立的文件系統(tǒng)分開持有；③無論本條第1款的規(guī)定如何，在公共部門中，都可以處理與公共部門有合同關(guān)系的個人的數(shù)據(jù)，也可以根據(jù)個人的主動權(quán)在訂立合同時進行談判，前提是個人數(shù)據(jù)處理對于進行談判以訂立合同或履行合同是必要且適當(dāng)?shù)?；④不論本條第1款如何，在公共部門處理個人數(shù)據(jù)對于公共部門行使合法權(quán)限、職責(zé)或義務(wù)必不可少的情況下，都可以在公共部門進行例外處理，但前提是該處理必須不侵犯與個人數(shù)據(jù)有關(guān)的個人的正當(dāng)利益。

3.1.2 敏感個人數(shù)據(jù)處理規(guī)范

《個人數(shù)據(jù)保護法案》(ZVOP-2)第14條涉及敏感個人數(shù)據(jù)的保護：①在處理過程中，必須對個人敏感數(shù)據(jù)進行特殊標(biāo)記和保護，以防止未經(jīng)授權(quán)的個人獲取它們，但本法第13條第5款規(guī)定的情況除外；②在通過電信網(wǎng)絡(luò)傳輸敏感的個人數(shù)據(jù)時，如果使用加密方法和電子簽名發(fā)送數(shù)據(jù)，以確保在傳輸過程中其不易辨認(rèn)或不可識別，則應(yīng)認(rèn)為該數(shù)據(jù)受到了適當(dāng)?shù)谋Ｗo。

ZVOP-2第13條規(guī)定，僅在以下情況下才能處理敏感的個人數(shù)據(jù)：①如果個人對此表示明確的個人同意，則該同意通常是書面規(guī)定，并且是法規(guī)所規(guī)定的公共部門；②是否有必要進行處理，以便根據(jù)法規(guī)履行數(shù)據(jù)管理員在就業(yè)領(lǐng)域的義務(wù)和特殊權(quán)利，這也為個人的權(quán)利提供了保證；③為了保護與個人數(shù)據(jù)有關(guān)的個人或他人的生命或身體而必須進行處理，而與個人數(shù)據(jù)有關(guān)的個人在身體上或合同上沒有能力表示同意；④出于機構(gòu)、社會、協(xié)會、宗教團體、工會或其他具有政治、哲學(xué)、宗教或工會目的的非營利組織為合法活動的目的而進行的處理，但僅限于與他們的成員或個人為此目的而定期接觸的問題有關(guān)；⑤與敏感個人數(shù)據(jù)有關(guān)的個人是否公開宣布它們，而沒有任何明顯或明確的目的限制其使用；⑥為保護公眾和個人的健康以及衛(wèi)生服務(wù)的管理和運行，是否由醫(yī)務(wù)人員按照法規(guī)進行處理；⑦主張或反對法律主張是否必要；⑧為實現(xiàn)公共利益而由另一法規(guī)提供。

3.2 隱私風(fēng)險應(yīng)對的機構(gòu)

在斯洛文尼亞，信息專員是開放政府?dāng)?shù)據(jù)隱私風(fēng)險控制的機構(gòu)，既監(jiān)督個人數(shù)據(jù)的保護，也監(jiān)督公共信息獲取。以下將從歷史、組成、職責(zé)3個方面對其進行闡述。

3.2.1 歷史

2003年9月1日，根據(jù)當(dāng)時通過的《公共信息獲取法》(ZDIJZ)[13]成立的公共信息獲取專員開始工作。2005年1月1日，《個人數(shù)據(jù)保護法》(ZVOP-1)生效，提出設(shè)立一個保護個人數(shù)據(jù)的主要國家監(jiān)管機構(gòu)；任命程序于2005年7月1日開始，而且要求國家監(jiān)督機構(gòu)最遲于2006年1月1日開始運作。根據(jù)2005年12月31日生效的《信息專員法》(ZinfP)[14]，個人數(shù)據(jù)保護檢查局和公共信息獲取專員合并為一個獨立的國家機構(gòu)，即信息專員。因此，隨著ZinfP的通過，ZVOP-1的規(guī)定得到了遵守，即具有獨立國家機構(gòu)身份的國家個人信息保護監(jiān)管機構(gòu)從2006年1月1日開始運作。ZinfP為斯洛文尼亞的法律秩序帶來了重要的創(chuàng)新，即該法律建立了一個新的國家機構(gòu)信息專員，而且該專員在獲取公共信息領(lǐng)域和個人數(shù)據(jù)保護領(lǐng)域中行使著許多職能。除了關(guān)于信息專員的職位和任命的規(guī)定之外，ZinfP還包含有關(guān)個人數(shù)據(jù)保護主管、信息專員的程序的某些細節(jié)以及某些刑事條款的規(guī)定。

3.2.2 組成

如前所述，信息專員是根據(jù)《信息專員法》(ZInfP)而成立的一個自治且獨立的機構(gòu)。信息專員不僅負責(zé)個人數(shù)據(jù)保護領(lǐng)域，而且還參與立法起草，并在個人數(shù)據(jù)保護領(lǐng)域提供不具約束力的法律意見，保留所有納稅人的個人數(shù)據(jù)文件的注冊。作為上訴機構(gòu)，當(dāng)個人獲取其個人數(shù)據(jù)的權(quán)利受到侵犯時，信息專員還可以對個人的上訴作出裁決。該機構(gòu)由4個內(nèi)部組織單位組成：①信息專員內(nèi)閣；②公共信息部；③個人數(shù)據(jù)保護部；④行政技術(shù)服務(wù)。具體執(zhí)行意見由信息專員和準(zhǔn)備該意見的工作人員(如果適用)簽署。檢查程序中的決定包括有關(guān)該工作人員的信息，該工作人員代表信息專員發(fā)布了該決定(數(shù)據(jù)在在線發(fā)布的版本中為匿名名稱)[15]。

3.2.3 職責(zé)

根據(jù)《信息專員法》第2條第1款，信息專員負責(zé)：針對機構(gòu)拒絕請求或以其他方式侵犯獲取或重復(fù)使用公共性質(zhì)信息的權(quán)利的決定提出上訴；在上訴程序的框架內(nèi)，還負責(zé)監(jiān)督有關(guān)公共信息獲取的法律和基于該法律頒布的法規(guī)的實施；對有關(guān)保護或處理個人數(shù)據(jù)或從斯洛文尼亞輸出個人數(shù)據(jù)的法律和其他法規(guī)的執(zhí)行情況進行檢查監(jiān)督，并執(zhí)行這些法規(guī)確定的其他任務(wù)；作為上訴機構(gòu)，根據(jù)本法規(guī)定，在個人數(shù)據(jù)相關(guān)人拒絕查閱與其有關(guān)的數(shù)據(jù)的要求或拒絕查閱摘錄、清單、審查、確認(rèn)、數(shù)據(jù)、解釋、文字記錄或副本的要求時，對個人的申訴作出裁決。根據(jù)《信息專員法》第2條第2款，信息專員是一個侵權(quán)救濟機構(gòu)，有權(quán)對本法案和有關(guān)個人數(shù)據(jù)保護的法案進行監(jiān)督。具體而言，信息專員是根據(jù)《病人權(quán)利法》[16]第41(Ⅹ)條、第42(Ⅴ)條和第45(Ⅶ)條而作為上訴機構(gòu)，即因為醫(yī)療保健提供者侵犯了病人了解其醫(yī)療記錄的權(quán)利。可見，信息專員扮演著上訴、檢查和輕罪的角色。

4 評價與啟示

在從政策文本視角對斯洛文尼亞開放政府?dāng)?shù)據(jù)隱私風(fēng)險應(yīng)對的數(shù)據(jù)處理規(guī)范進行梳理，以及從組織層面對與斯洛文尼亞開放政府?dāng)?shù)據(jù)隱私風(fēng)險應(yīng)對機構(gòu)的歷史、組成以及職責(zé)進行分析后，有必要從立法、組織、平臺3個維度對斯洛文尼亞開放政府?dāng)?shù)據(jù)隱私風(fēng)險的經(jīng)驗進行總結(jié)并進行評價。

4.1 立法層面

4.1.1 將個人隱私保護作為人權(quán)進行保障

歐洲最早的個人數(shù)據(jù)保護的法律開始出現(xiàn)在20世紀(jì)70年代。瑞典是世界上第一個于1973年通過《個人數(shù)據(jù)保護法》的國家，在這方面有著豐富的經(jīng)驗。除了1998年所頒布的法律外，瑞典的個人數(shù)據(jù)保護還具有許多其他特定部門的法律的規(guī)定。繼瑞典之后，希臘、匈牙利、法國和芬蘭也采取了類似的措施，而且英國和北愛爾蘭于1984年也采取了類似措施。這一領(lǐng)域最重要的立法始于20世紀(jì)90年代，當(dāng)時歐洲各國(地區(qū))相繼通過了類似的法律，如德國、斯洛伐克、奧地利、丹麥、意大利、挪威及其他國家(地區(qū))。作為歐洲的一個國家，斯洛文尼亞將個人數(shù)據(jù)保護作為一項基本人權(quán)進而提供保障，這是《斯洛文尼亞共和國憲法》第38條所規(guī)定的?！端孤逦哪醽喒埠蛧鴳椃ā纷⒅厝藱?quán)保護，其第二章是“人權(quán)和基本自由”，涉及第14～65條。第38條標(biāo)題為“個人數(shù)據(jù)保護”，規(guī)定：應(yīng)保障個人數(shù)據(jù)的保護；禁止違反收集目的使用個人數(shù)據(jù)；個人數(shù)據(jù)的收集、處理、指定使用、監(jiān)督和保護，由法律規(guī)定；每個人都有權(quán)訪問所收集的與其有關(guān)的個人數(shù)據(jù)，并在此類數(shù)據(jù)被濫用的情況下有權(quán)獲得司法保護。此外，《斯洛文尼亞共和國憲法》第35條標(biāo)題為“隱私權(quán)和人格權(quán)的保護”，規(guī)定：保障每個人的身心完整及其隱私權(quán)和人格權(quán)不受侵犯。與這個問題有關(guān)的是，行使公共信息獲取權(quán)利的范圍內(nèi)有哪些個人數(shù)據(jù)。斯洛文尼亞《個人數(shù)據(jù)保護法》(ZVOP-1)不保護個人數(shù)據(jù)，而只是預(yù)防違憲、非法和不正當(dāng)?shù)馗缮鎮(zhèn)€人的隱私和尊嚴(yán)。換言之，在某些情況下，向公眾提供個人數(shù)據(jù)是可以接受的。例如，ZVOP-1第8條和第9條規(guī)定，作為一般規(guī)則，如果上述數(shù)據(jù)和正在處理的個人數(shù)據(jù)是由法律提供，或者如果相關(guān)個人的個人同意已經(jīng)明確提供，那么個人數(shù)據(jù)可以被處理。

4.1.2 區(qū)分不同主體的數(shù)據(jù)處理行為

法律的出臺在一定程度上也會減輕開放數(shù)據(jù)過程中伴隨的安全性問題[17]。目前，中國、歐盟、英國、加拿大、俄羅斯、日本、韓國、印度和新加坡等多個國家(地區(qū))均已發(fā)布個人數(shù)據(jù)保護相關(guān)政策法規(guī)[18]。斯洛文尼亞法律規(guī)定，每一個人，不論其國籍或居住地點，都應(yīng)得到個人數(shù)據(jù)的保護。個人數(shù)據(jù)需要以合法和善意的方式處理，并在收集和進一步處理個人數(shù)據(jù)的范圍及用途方面是適當(dāng)?shù)?。此外，個人數(shù)據(jù)處理必須遵守禁止歧視的原則：根據(jù)該原則，任何人不論個人情況如何，都有權(quán)保障其個人數(shù)據(jù)。重要的是，在處理個人數(shù)據(jù)的問題上，公共機構(gòu)和私營機構(gòu)應(yīng)受到不同的法律待遇。與公共部門相關(guān)的法律依據(jù)更加嚴(yán)格：只有在法律規(guī)定的情況下，該部門才允許處理個人數(shù)據(jù)。這意味著，開放政府?dāng)?shù)據(jù)中某些數(shù)據(jù)只能在事先征得個人同意的情況下才能得到處理。另外，國家機構(gòu)、地方社區(qū)機構(gòu)和公共權(quán)力持有人只有有限的范圍使用和處理個人數(shù)據(jù)。這意味著，在開放政府?dāng)?shù)據(jù)過程中，如果數(shù)據(jù)處理得到法律允許，那么沒有私人和公共部門之間的區(qū)別：處理始終是允許的，但個人數(shù)據(jù)處理和處理的目的之間的比例系數(shù)需要考慮，而且也需要法律定義。

整體而言，在過去幾十年里，斯洛文尼亞做了大量工作，逐步調(diào)整其法律和監(jiān)管框架，以適應(yīng)正在進行的開放政府?dāng)?shù)據(jù)。受益于歐洲聯(lián)盟的監(jiān)管刺激，在數(shù)字簽名、公共部門信息獲取、隱私和數(shù)據(jù)保護、數(shù)字安全或公共部門內(nèi)部和整個公共部門共享政府?dāng)?shù)據(jù)等領(lǐng)域取得了一些進展。然而，法律和監(jiān)管方法方面也存在弱點，這也是不利于開放政府?dāng)?shù)據(jù)成熟的障礙。因此，需要簡化立法，更新數(shù)字身份或信任服務(wù)等領(lǐng)域，并改善溝通，以加強其一致性應(yīng)用。就我國而言，我國過去沒有一部完整的民法典，也沒有制定一部完整的個人信息保護法，這使得個人信息的民法保護散布在各個法規(guī)對個人信息直接或間接保護的民法規(guī)定。幸運的是，隨著2021年1月1日起施行的《民法典》以及2021年11月1日起正式實施的《個人信息保護法》的出臺，改變了上述情況，為開放政府?dāng)?shù)據(jù)的隱私保護提供了法律保障。例如，與斯洛文尼亞類似的是，《民法典》將個人信息作為人格權(quán)進行保護。我國高度重視開放政府?dāng)?shù)據(jù)中的安全問題，但多為宏觀的戰(zhàn)略規(guī)劃和法規(guī)保障框架，應(yīng)加強個人隱私保護等環(huán)節(jié)的法律保障的研究[19]。另外，我國沒有專門的政府開放數(shù)據(jù)法。從立法角度來看，法律原則上所規(guī)定的個人數(shù)據(jù)保護的功能是防止在所有相關(guān)領(lǐng)域的個人隱私受到非法和不正當(dāng)?shù)那址?。盡管《個人信息保護法》對國家機關(guān)處理個人信息提供了規(guī)范，但該法更多是通過賦予個人知情權(quán)來保護個人隱私。這種賦予個體權(quán)利的規(guī)范與作為公共部門的政府?dāng)?shù)據(jù)開放主體處理個人信息的公共權(quán)利行為存在沖突。因此，現(xiàn)有法律法規(guī)有必要進一步得到細化，對政府開放數(shù)據(jù)程序、流程進行規(guī)范，針對公共部門與私營部門設(shè)置不同的信息處理義務(wù)，并對侵犯個人隱私行為進行回溯和懲罰，從而降低開放政府?dāng)?shù)據(jù)的隱私風(fēng)險。

4.2 組織層面

4.2.1 設(shè)置專責(zé)的個人隱私保護機構(gòu)

當(dāng)《信息專員法案》生效時，一個嶄新、獨立的國家機構(gòu)信息專員成立。個人數(shù)據(jù)保護是斯洛文尼亞的一個重要事項，信息專員是該國個人數(shù)據(jù)保護領(lǐng)域的監(jiān)督機構(gòu)，享有很高的聲譽和公眾信任度。作為一個獨立的國家機構(gòu)，信息專員在斯洛文尼亞共和國《憲法》所保護的兩項基本人權(quán)領(lǐng)域中具有權(quán)限：獲取公共信息的權(quán)利和保護個人數(shù)據(jù)的權(quán)利。它不僅在個人數(shù)據(jù)保護和公共信息獲取方面具有許多能力，而且還被授權(quán)監(jiān)督《個人數(shù)據(jù)保護法》和該領(lǐng)域其他法規(guī)的執(zhí)行情況。該機構(gòu)不僅由信息專員領(lǐng)導(dǎo)，而且也是國家保護個人數(shù)據(jù)的主要監(jiān)督者。從法律明確性的角度來看，已經(jīng)強調(diào)或加強了現(xiàn)有條款或某些新條款，尤其是在信息專員不能擔(dān)任監(jiān)管機構(gòu)的領(lǐng)域，如從個人數(shù)據(jù)保護的角度來看，如果信息專員的行為將構(gòu)成對空間或通信隱私或言論自由的不當(dāng)或違憲干預(yù)。信息專員的基本任務(wù)是確保統(tǒng)一執(zhí)行與保護個人數(shù)據(jù)有關(guān)的措施，并在與該領(lǐng)域有關(guān)立法的籌備階段與各部委合作，如與政府機構(gòu)、主管個人信息處理工作的歐盟主管個人機構(gòu)、國際組織、外國個人數(shù)據(jù)保護機構(gòu)、協(xié)會以及其他機構(gòu)和組織針對有關(guān)個人數(shù)據(jù)保護問題進行合作。

4.2.2 注重個人隱私保護宣傳

為了提高大家的個人隱私保護意識，信息專員還負責(zé)編寫、發(fā)布有關(guān)特定領(lǐng)域個人數(shù)據(jù)保護的非強制性建議和指示。此外，一方面，信息專員在網(wǎng)頁上或以其他合適的方式發(fā)布有關(guān)遵守積極法律和其他法律提案的初步意見，這些法律建議涉及個人數(shù)據(jù)保護領(lǐng)域的法律和其他法規(guī)，以及發(fā)布對憲法進行審查的請求；另一方面，信息專員還發(fā)布內(nèi)部公告和專家出版物、有關(guān)個人數(shù)據(jù)保護的決定和法院決議，以及有關(guān)個人數(shù)據(jù)保護的非強制性意見、解釋、立場和建議。例如，該機構(gòu)有一個專門網(wǎng)站https://www.ip-rs.si/en/，其內(nèi)容非常豐富，不僅包括《憲法》《通用數(shù)據(jù)保護條例》《信息專員法》《個人數(shù)據(jù)保護法》《公共信息獲取法》《檢查法》等立法文本，以及該機構(gòu)發(fā)布的年度報告、出版物和準(zhǔn)則、文章等，還對該機構(gòu)的組成等內(nèi)容進行詳細介紹。例如，《公共信息獲取法》規(guī)定，責(zé)任機構(gòu)必須在20天內(nèi)對獲取請求作出回應(yīng)，而且對機密數(shù)據(jù)、商業(yè)秘密、侵犯隱私的個人信息等實施獲取限制。信息專員盡力確保在其網(wǎng)站上發(fā)布的信息是準(zhǔn)確和最新的，但對于信息的準(zhǔn)確性，他們不承擔(dān)任何責(zé)任，而用戶使用所有發(fā)布的內(nèi)容需自擔(dān)風(fēng)險。盡管根據(jù)《斯洛文尼亞版權(quán)和鄰接權(quán)法》的規(guī)定，該網(wǎng)站上的官方立法、行政和司法文本均未受版權(quán)保護，但用戶可以復(fù)制、公開披露、分發(fā)、租賃或轉(zhuǎn)換在信息專員網(wǎng)站上發(fā)布的文檔，唯一前提是，如果使用免費提供的已發(fā)布信息，則應(yīng)注明“信息專員”[20]。可見，正是由于這一機構(gòu)在各個領(lǐng)域廣泛涉獵，從而為開放政府?dāng)?shù)據(jù)隱私風(fēng)險控制提供強有力的組織保障。應(yīng)完善相關(guān)監(jiān)管機制，增強對政府部門的約束力[21]。

就我國而言，有學(xué)者發(fā)現(xiàn)，當(dāng)被要求填寫負責(zé)信息公開工作的具體部門時，超過一半(58.3%)的單位填寫的是辦公室，只有7.8%的單位填寫政務(wù)公開辦公室，還有一些單位填寫了秘書處等，說明被調(diào)查單位的政府信息公開工作主要集中在辦公室，專職部門較少[22]。幸運的是，我國信息安全負責(zé)人職責(zé)基本等同于國外的數(shù)據(jù)保護官，反映出數(shù)據(jù)保護官制度(DPO)在我國初步建立[23]。廣州、深圳、珠海、佛山、河源近年都在試點政府首席數(shù)據(jù)官，但由于這一職位設(shè)置還是一個相對較新的嘗試，使得關(guān)于這一職位的職責(zé)、權(quán)利等方面都比較模糊，更多強調(diào)政府?dāng)?shù)據(jù)開放共享，如深圳首席數(shù)據(jù)官制度中規(guī)定，其中一個工作目標(biāo)就是促進公共數(shù)據(jù)開發(fā)利用。因此，可以參考斯洛文尼亞的信息專員職責(zé)設(shè)置做法，將我國政府首席數(shù)據(jù)官的職權(quán)擴展至開放政府?dāng)?shù)據(jù)和個人隱私保護兩方面，從而實現(xiàn)數(shù)據(jù)利用與隱私保護之間的平衡。

另一方面，如果不承認(rèn)數(shù)據(jù)可能被利用和濫用，圍繞開放政府?dāng)?shù)據(jù)隱私風(fēng)險控制的公共討論就不完整。公民和企業(yè)對如何處理個人敏感數(shù)據(jù)抱有很高的期望，因為任何失敗都會對公眾信任產(chǎn)生不利影響。如果政府希望確保將開放政府?dāng)?shù)據(jù)的公共價值最大化，而不是削弱信任，那么透明度、道德、隱私和同意以及安全就不能是開放政府?dāng)?shù)據(jù)中可有可無的選項。因此，可以在相關(guān)網(wǎng)站上發(fā)布個人隱私保護相關(guān)立法的法律法規(guī)文本以及開放政府?dāng)?shù)據(jù)隱私保護的年度報告、出版物和準(zhǔn)則、文章等內(nèi)容，不僅能為政府開放數(shù)據(jù)主體的數(shù)據(jù)處理行為提供參考，而且也有利于提升政府?dāng)?shù)據(jù)開放主體以及個人的隱私保護意識。

4.3 平臺層面

4.3.1 良好的開放政府?dāng)?shù)據(jù)平臺發(fā)展路徑

對于深刻認(rèn)識開放政府?dāng)?shù)據(jù)這場偉大的數(shù)據(jù)運動，科學(xué)合理的評價無疑是十分必要的[24]。成熟度模型提供了一種階梯式的改進框架，較之“開放數(shù)據(jù)晴雨表”“開放數(shù)據(jù)指數(shù)”等評估體系，它為政府部門提供了一個更為清晰的開放數(shù)據(jù)發(fā)展線路圖，更為詳細的過程改進和優(yōu)化路徑[25]。斯洛文尼亞在2016年的開放數(shù)據(jù)成熟度評估中被視為“快速跟蹤”，它正在進一步制定其開放數(shù)據(jù)計劃，并采取措施來提高人們的意識和透明度。斯洛文尼亞以RDF和XML等機器可讀格式發(fā)布了所有可開放獲得的政府文件，這是進一步提高透明度的重要發(fā)展[26]。2016年底，斯洛文尼亞公共部門開放數(shù)據(jù)發(fā)布制度改革啟動實施，導(dǎo)致公共管理部發(fā)布了新的開放數(shù)據(jù)門戶。

4.3.2 注重開放政府?dāng)?shù)據(jù)平臺的多重保障

在這個名為“OPSI-Odprti Podatki Slovenije”的開放數(shù)據(jù)門戶上，整個斯洛文尼亞公共部門的開放數(shù)據(jù)匯集在一起，并向公眾提供。該門戶基于開放源代碼軟件構(gòu)建，也是國家互操作框架門戶(National Interoperability Framework Portal，簡稱NIO門戶)的間接后繼者。該門戶網(wǎng)站是使用英國開放數(shù)據(jù)門戶網(wǎng)站的源代碼而創(chuàng)建。除了開發(fā)門戶網(wǎng)站外，還介紹了一份手冊，以促進公共部門數(shù)據(jù)開放，這有利于推進公共部門開放數(shù)據(jù)的進程。盡管這個開放數(shù)據(jù)門戶網(wǎng)站已經(jīng)提供了大量開放數(shù)據(jù)集，但提供開放數(shù)據(jù)并不是其核心活動。為了確保它主要關(guān)注用戶和開放數(shù)據(jù)，此新門戶專門用于開放數(shù)據(jù)活動[27]。NIO門戶于2010年10月23日啟動，是斯洛文尼亞國家互操作性框架的基石。該門戶允許不同的利益相關(guān)者發(fā)布有關(guān)互操作性的標(biāo)準(zhǔn)和指南，這在國家一級很重要，并鼓勵開放數(shù)據(jù)和應(yīng)用程序的發(fā)布。該門戶允許發(fā)布互操作性以及互操作性資產(chǎn)(技術(shù)、語義、法律和組織)的不同標(biāo)準(zhǔn)和準(zhǔn)則，旨在為了說明由政府機構(gòu)管理的數(shù)據(jù)的經(jīng)濟和社會潛力。隨著2013年NIO門戶的更新，為開放數(shù)據(jù)、應(yīng)用程序和互操作性產(chǎn)品建立了斯洛文尼亞公共行政管理的新站點和中心。

4.3.3 強調(diào)開放政府?dāng)?shù)據(jù)平臺數(shù)據(jù)發(fā)布

在2015年4月發(fā)布的《2015—2020年公共行政發(fā)展戰(zhàn)略》中，有一個章節(jié)專門討論透明度以及數(shù)據(jù)重復(fù)使用和開放數(shù)據(jù)(第6.4.1章)[28]。在這個戰(zhàn)略的基礎(chǔ)上，斯洛文尼亞的相關(guān)行動計劃規(guī)定了與“開放公共部門信息”有關(guān)的具體措施，包括對相關(guān)法律修訂和更新國家開放數(shù)據(jù)門戶網(wǎng)站。自2016年9月9日起，“數(shù)據(jù)”將發(fā)布在新開放數(shù)據(jù)門戶“OPSI”上[29]。

4.3.4 缺乏開放政府?dāng)?shù)據(jù)平臺隱私保護政策

盡管斯洛文尼亞在開放數(shù)據(jù)方面取得了一些進展，但可惜的是，斯洛文尼亞開放數(shù)據(jù)網(wǎng)站沒有專門的隱私政策條款，而只是在使用條款第12條“處理和保護個人數(shù)據(jù)的目的”規(guī)定，開放數(shù)據(jù)網(wǎng)站管理者宣布，將根據(jù)《個人數(shù)據(jù)保護法》(ZVOP-1)，對用戶以任何方式提供的所有數(shù)據(jù)進行無條件保護和處理[30]。

總體來看，斯洛文尼亞由于法律上的確定性等系統(tǒng)原因而具有高水平的個人數(shù)據(jù)保護，如個人數(shù)據(jù)控制者過多義務(wù)以及財務(wù)上過高的罰款。通過政府開放數(shù)據(jù)平臺，公眾可以免費下載大量無需授權(quán)、機器可讀、可重復(fù)利用的原始政府?dāng)?shù)據(jù)，進一步對其進行挖掘、分析和利用，從而產(chǎn)生增值效應(yīng)[31]。但是，隱私和開放政府?dāng)?shù)據(jù)只是一枚硬幣的兩面，而且一方永遠無法戰(zhàn)勝另一方。就我國而言，現(xiàn)有的地方級政府?dāng)?shù)據(jù)開放平臺的數(shù)據(jù)管理功能還很不完善，數(shù)據(jù)發(fā)布數(shù)量少，數(shù)據(jù)可用性、可獲取性水平比較低，數(shù)據(jù)組織和檢索功能較弱，用戶對數(shù)據(jù)的開發(fā)利用率較低[32]。因此，政府開放數(shù)據(jù)主管部門應(yīng)該制定清晰的發(fā)展路線圖和行動計劃，為開放政府?dāng)?shù)據(jù)平臺提供技術(shù)、組織等多重保障，關(guān)注數(shù)據(jù)發(fā)布內(nèi)容、時效等領(lǐng)域，從而提升開放政府?dāng)?shù)據(jù)平臺質(zhì)量。另外，需要考慮去制定完善的開放政府?dāng)?shù)據(jù)平臺隱私保護政策，對公民和政府機構(gòu)進行平衡和比例檢驗，而且這也是一項防止公眾混淆的法律審查政策。具體而言，各個地方政府?dāng)?shù)據(jù)開放平臺的隱私政策有必要得到優(yōu)化，其內(nèi)容應(yīng)當(dāng)明確平臺處理用戶信息的目的，可以包括兩個方面。①基本目的：申請?zhí)峁┖褪褂霉矓?shù)據(jù)；用戶管理，用于公共數(shù)據(jù)注冊/管理；②選擇性目的：提供有關(guān)公共數(shù)據(jù)門戶和數(shù)據(jù)利用的信息；關(guān)于公共數(shù)據(jù)使用情況的調(diào)查。如果用戶不同意選擇性目的，那么用戶將被排除在與門戶以及數(shù)據(jù)利用率和使用情況調(diào)查有關(guān)的信息之外。