黄如花 刘 龙
(武汉大学信息管理学院 湖北 武汉 430072)
英国政府数据开放中的个人隐私保护研究*
黄如花 刘 龙
(武汉大学信息管理学院 湖北 武汉 430072)
英国个人隐私保护不仅体现在相关法律法规中,而且还体现在各种开放数据政策当中,法律法规与政策相辅相成。在政府数据开放许可方面,英国采用了英国国家档案馆制定的开放政府许可协议,这使得英国对可豁免开放数据规定更为自主,并且信息专员办公室的存在让个人隐私保护体系更加完善。但其也存在着不足,如缺少专门的个人隐私保护法。我国应从个人隐私保护的法律法规、政策、政府数据开放许可协议以及个人隐私保护机构层面着手,构建一个相对完善的、多层次的个人隐私保护体系。
政府数据开放 个人隐私 英国
隐私是一种国际公认的人权,被写进了《世界人权宣言》《公民权利和政治权利国际公约》以及全世界100多个国家的宪法当中[1]。世界上大多数国家都比较重视公民个人隐私的保护,并通过立法等形式来建立和完善本国的个人隐私保护体系。近些年,随着政府开放数据运动的兴起与发展,政府数据开放与个人隐私保护之间的矛盾越来越凸显,如何在最大限度地开放政府数据的同时又能保障个人隐私的安全成为各国关注的焦点之一。英国是政府数据开放的先驱者,同时也是世界上政府数据开放程度最高的国家。根据2016年发布的《开放数据晴雨表(第3版)》(Open Data Barometer 3nd Edition)显示,英国的政府数据开放得分在参与排名的92个国家中位列第一,其中作为评价重要分指标之一的“国家保护个人数据的监管框架以及法律保护程度(DPL)”原始得分为7分(总分10分);而我国的政府数据开放得分仅仅位列第55名,DPL原始得分更是只有1分[2],与英国的差距非常明显。本文拟通过对英国政府数据开放中个人隐私保护的相关政策、法律法规、开放许可协议等方面进行分析,总结其个人隐私保护的有益经验及不足,以期为我国提供一些启示。
与美国、澳大利亚、加拿大等国家不同,虽然英国历来比较重视个人隐私的保护,但是英国法律却不承认独立的隐私权,更没有制定专门的隐私保护法。在英国政府数据开放实践中,个人隐私保护主要通过《数据保护法案1998》(Data Protection Act 1998)、《信息自由法2000》(Freedom of Information Act 2000)、《 2015公共部门信息再利用条例》(The Re-use of Public Sector Information Regulations 2015)等法律法规来实现。
1.1 《数据保护法案1998》
《数据保护法案1998》是目前英国保护个人数据的主要法律,主要用于规范相关主体获取、持有、使用和披露等有关个人信息的行为。其对个人隐私的保护主要体现在以下几个方面[3]:(1)对个人数据、敏感性个人数据等给出明确的定义和范围,如通过列举的形式对“敏感性个人数据”进行了界定,包括关于种族或种族起源主题的数据、个人政治观点、宗教信仰或类似性质的信仰、身体或精神健康状况等8种信息。(2)赋予公众获取和处理公众信息的权利。依据该法案,公众不仅可以获取与其相关的个人数据,而且可以基于一定的理由要求政府等数据管理者(data controller)停止处理其个人相关数据,如出现数据处理可能对个人造成伤害或者数据处理直接用于商业目的等情况时,公众就可以要求数据管理者停止处理其个人数据。如果个人权利受到损害,当事人还可以依据该法案申请司法赔偿。(3)对数据管理者的行为进行规范。法案要求所有的数据管理者都必须进行登记,登记的内容包括数据管理者的名字、地址,数据处理的目的及用途等信息,并指出未经登记的数据管理者不得处理个人信息,否则将视为犯罪行为。(4)确立数据保护应遵循的8项基本原则,如处置个人数据应当正当合法,获取个人数据应当依据一个或多个明确、合法的目的,并且不得以此目的之外的任何形式处置个人数据等。
《数据保护法案1998》是英国处理和保护个人数据的法律基础,在保护个人隐私方面起着非常重要的作用。虽然该法案本身并没有直接提及个人隐私,但它仍为公众提供了一种有效掌控自己个人信息的途径,而且该法案是根据欧盟《个人数据保护指令》要求而制定的,并且《个人数据保护指令》中明确要求成员国保护人民的基本权利和自由,特别是个人数据处理中的隐私权保护。
1.2 《信息自由法2000》
《信息自由法2000》于2000年在英国议会通过,自2005年1月1日起正式实施,并于2012年进行了修订。该法案的颁布在很大程度上扫除了公众获取公共部门信息的障碍,并尽力寻求个人隐私保护与公共部门数据开放之间的平衡。一方面,以法律的形式赋予了公众获取和利用公共部门持有的信息的权利。依据该法案,公众有权向公共部门申请相关信息。2012年,英国对该法案进行修订后,正式提出“数据权”概念,要求公共部门必须以可再利用的格式并附以允许再利用许可协议来回复公众的数据请求,对于开放获取的数据集,可以不经过附加申请而自动取得再利用的权利;同时修订《数据保护法案1998》中有关公共部门持有的个人信息的内容,扩大“数据”一词的内涵,增加了“获取公共部门持有的非结构化个人数据的权利”等内容,以适应英国政府数据开放的要求。另一方面,为了保护个人隐私,该法案规定了多种豁免情形,根据这些规定,当出现申请者申请对个人身心健康、个人安全带来威胁的信息,或者申请者访问与《数据保护法案1998》的规定相违背的他人的个人信息等情形时,公共部门等信息持有者可以拒绝提供[4]。此外,该法案还确立了信息专员一职,保护个人隐私是其职责之一。
1.3 《 2015公共部门信息再利用条例》
《2015公共部门信息再利用条例》是在欧盟《公共部门信息再利用指令》及其修订版基础上而制定的本土化样本,旨在促进公共部门的信息能够更容易地被再利用,以发挥其政治、经济及社会效益。该条例同时兼顾了政府数据的开放及个人隐私保护。在政府数据开放方面,它赋予了公众再利用公共部门信息的权利。条例规定,如果公众提出公共部门信息利用申请,公共部门必须在规定的时间内(一般20个工作日)进行答复,并且要尽可能以开放的、可再利用的格式将文件提供给申请者,并附以相应的元数据[5]。在个人隐私保护方面,该条例仍然采用豁免的形式,明确规定以下两种情况下不属于该条例规定的信息公开范围:(1)基于个人数据保护的需要等,文档中包含根据信息获取的相关法律禁止或者限制访问的内容;(2)访问的文档根据相关法律可获取,但文档中包含的个人数据的再利用与法律规定的有关个人数据处理的个人数据保护条款不相符[6]。另外,信息申请人在申请公共部门信息时必须以书面的形式注明姓名、相应的地址以及使用目的等信息,这也在一定程度上减少了个人隐私被滥用的风险。
1.4 其他法律法规
除了以上几种法律法规之外,英国涉及到个人隐私保护的法律法规还有很多。例如,2011年2月由英国众议院发布的《自由保护法2012》,该法案制定的目的之一就是减少政府侵犯个人隐私的可能性[7];再如,2005年1月实施的《环境信息条例2004》,其第三部分明确列出了5种涉及到个人数据而免于披露的情形[8];此外,在《人权法案1998》《隐私和电子通信条例》以及预计于2018年实行的《通用数据保护条例》中,对个人隐私保护也都有所涉及,不过这些法律法规与政府数据开放的关系甚微,这里不再详细赘述。
政府数据开放需要一定的政策作为指导原则和准则,并发挥其导引作用。众所周知,政策的制定周期相对较短,更具针对性、灵活性和适用性,可根据具体的问题和形势的变化而进行适时调整。因此,通过政策规定来保护个人隐私是非常必要和有效的。
2.1 在战略性政策中突出个人隐私保护的内容
战略性政策是制定其他具体性政策的依据和参照,在政府数据开放的相关战略性文件中突出个人隐私保护的内容,能够更加体现个人隐私保护的地位和重要性。2012年6月,英国内阁办公室发布了其开放数据战略性文件——《开放数据白皮书:释放数据潜力》(Open Data White Paper:Unleashing the Potential),该文件的第3章节重点阐述了建立信任,隐私保护是其主要内容之一,如政策中要求在公共部门透明度委员会中设立隐私保护专家,以确保在数据开放过程中及时掌握和普及最新的隐私保护措施;制定《个人隐私影响评估手册》,在数据开放过程中进行隐私影响评估[9]。2013年10月发布的《抓住数据机会:英国数据能力的战略》(Seizing the Data Opportunity:A Strategy for UK Data Capability)中也明确提出保障个人隐私和数据安全、制定获取和利用研究数据的方案等内容[10]。在战略性政策中突出个人隐私保护的内容,是英国政府数据开放政策的特点之一。
2.2 在政策中寻求政府数据开放与个人隐私保护之间的平衡
政府数据开放与个人隐私保护是一对矛盾体,侧重于任何一方,都必须以牺牲另一方为代价,因此需要在两者之间寻求一种平衡,在保护个人隐私不受侵犯的同时,尽可能地开放更多的政府数据。要实现这种平衡,最直接的手段就是政策。同样以《开放数据白皮书:释放数据潜力》为例,该文件提出了一个双轨式数据开放策略,即一方面强调公共部门必须开放哪些应该公开的数据,另一方面也指出必须防止这些数据被滥用以保护公民的隐私[11]。2014年7月,英国商业、创新与技能部发布的《开放数据战略2014—2016》(Open Data Strategy 2014—2016)也体现了这一点,它明确规定在尽可能实现数据开放的同时,也要保护个人数据以及消费者个人数据等敏感数据集[12]。
许可协议对于政府数据开放和个人隐私保护来说至关重要,为此,英国国家档案馆于2010年制定了《英国政府许可框架》(UK Government Licensing Framework,简称UKGLF),一方面授权公众利用受版权和数据库权保护的政府及公共部门所持有的相关数据,另一方面又对相关授权进行了范围限定,以保护个人隐私及国家安全。截至2016年9月,UKGLF已发布了6个版本。
3.1 UKGLF的许可方式
UKGLF提供了3种许可方式:一是开放政府许可(Open Government Licence),免费使用,且使用目的不受限制,包括商业性使用和非商业性使用;二是非商业性政府许可(Non-Commercial Government Licence),免费使用,但仅限于非商业性目的;三是收费许可(Charged Licence),付费使用,可用于商业性使用和非商业性使用[13]。其中,开放政府许可是推荐采用的许可方式,英国政府数据统一开放平台data.gov.uk就是采用了这种许可。
3.2 UKGLF中有关个人隐私保护规定
UKGLF对个人隐私保护最为直接的体现是其对许可范围的限定,即“非个人信息”,政府和公共部门采集和持有的“个人信息”则不在其许可范围之内。具体到某种许可方式而言,开放政府许可、非商业性政府许可都明确列出了不在许可范围的情形。以开放政府许可为例,其许可范围不包括以下信息:信息中的个人数据;信息获取法律(包括英国和苏格兰的《信息自由法》)中规定不能发布或公开的信息,或未经信息提供者同意发布的信息;身份证明文件,如英国护照等[14]。UKGLF对个人隐私的保护另一大体现是其对个人隐私保护相关法律法规的遵从,它明确指出基于《数据保护法案1998》等法律,“UKGLF不会授权任何个人数据的使用”,这里对个人数据的解释也是依据《数据保护法案1998》。此外,UKGLF还在其附录B中强调了基于隐私和数据保护等相关法律来处理和利用个人数据的重要性。英国通过许可协议来限制数据的获取与利用权限,在一定程度上减少了个人隐私的泄露以及个人信息的滥用风险。
信息专员办公室(Information Commissioner's Office,简称ICO)是英国为维护公众信息权益、促进公共部门开放和保护个人数据隐私而设立的独立的非政府公共机构[15],直接向英国国会报告。ICO在保护个人隐私方面发挥着非常重要的作用。
4.1 负责数据管理者登记
数据管理者登记可以在很大程度上规范相关组织对个人数据的处理行为,减少侵犯个人隐私行为的发生。《数据保护法案1998》要求每个处理个人信息的机构都要在信息专员办公室登记,否则就是刑事犯罪行为[3]。ICO会公布各个数据管理者的名称和地址,以及它们对数据处理的相关描述,公众可通过数据保护公共注册系统进行检索,提供的检索字段包括注册号码、名称、地址和邮编,目前已有40多万个数据管理者在ICO进行了登记。
4.2 推广和解释相关法律法规
法律是保护个人隐私最为重要的武器,推广和解释相关法律法规可以营造良好的法律氛围,树立公众及相关组织机构的法律意识,使其自觉遵守个人隐私保护的相关法律法规,依法维护自身的合法权益。ICO负责英国多部法律法规的推广与解释,如《公共部门信息再利用条例2015》《数据保护法案1998》《环境信息条例2004》等,并监督数据管理者严格遵守这些法律法规,通过网站向公众提供有关数据保护的法律知识教育,收集和处理来自公众的与数据保护问题相关的查询与投诉等。此外,ICO还与欧洲和其他国际伙伴合作,如与欧洲委员会及其他数据保护机构等进行信息共享,协助投诉、调查和执行,共同提高对数据保护法的理解。
4.3 推广个人隐私保护的相关知识
个人隐私保护除了需要国家政策、法律法规的保障之外,还需要社会公众及相关组织机构的参与,因此,通过推广个人隐私保护的相关知识,来提升他们的个人隐私保护意识和能力十分必要。为此,ICO向公众提供了大量个人隐私保护的资料,包括如何申请个人数据、进行索赔和监督相关机构正确地处理自己的个人数据以及阻止相关机构使用自己的个人数据等;针对组织机构,ICO制定了《数据保护监管行动政策》(Data Protection Regulatory Action Policy)和《数据保护指南》(Guide to Data Protection),以帮助他们更好地理解和履行其信息权利和义务,开展个人数据保护实践。此外,ICO网站还提供了面向组织机构的“数据保护自我评估工具包”,以方便有关组织和机构在线进行自我评估。
4.4 协助公众进行索赔
在英国,当个人数据受到非法滥用、个人隐私遭到侵害时,当事人可上诉到法院申请索赔,依法维护自己的权益。ICO网站为公众提供了详细的帮助信息以及相关知识链接,如何时可依法进行索赔,通过法院申请索赔前需要做什么,ICO能够提供哪些帮助等各种信息。除此之外,ICO还向公众提供电话咨询、侵权评估等服务,甚至可以作为专家证据出庭作证。
5.1 形成了相对完善的个人隐私保护体系
英国个人隐私保护不仅体现在相关法律法规中,而且还体现在各种开放数据政策当中,法律法规与政策相辅相成。在政府数据开放许可方面,英国没有采用国际上通用的数据开放许可,而是采用了英国国家档案馆制定的开放政府许可协议,这使得英国对可豁免开放数据规定更为自主,更能符合本国政府数据开放与个人隐私保护的实际情况。ICO的存在则让个人隐私保护体系更加完善,涵盖了从立法、行政、许可协议到组织机构等多个层次。
5.2 缺少专门的个人隐私保护法
英国政府数据开放中个人隐私保护从根本上来说是以《数据保护法案1998》《信息自由法2000》等法律法规为基础的,其中《数据保护法案1998》居于核心地位,英国政府数据开放的其他法律法规、政策及许可协议中有关个人隐私的规定基本上都是以该法案为依据,要求不能与该法案相抵触,值得肯定。
不过,无论是《数据保护法案1998》还是其他法律法规,都不是专门的个人隐私保护法,也不承认独立的隐私权,因此,只有当隐私与其他权利救济结合起来时,才可附带地受到保护。虽然这样能够间接地保护隐私,但从本质上来说隐私并未作为一种权利来行使,而且将隐私依附于其他权利救济,在政府数据开放背景下,这种保护范围太过狭小,当个人隐私权受到侵害时,很难得到合理的司法补偿。除此之外,英国在政府数据开放相关的法律法规及政策的规定中,对于个人隐私的内涵和范围也没有明确的界定,没有具体指出包含哪些内容,存在着很强的不确定性。
尽管存在着一些不足,但总体而言,英国在政府数据开放实践中对个人隐私的保护是比较成功的,其在法律法规、政府数据开放政策、许可协议以及个人隐私保护机构设置方面都非常值得我国借鉴和学习。
6.1 制定专门的个人隐私保护法
法律是保护个人隐私最为基础和有效的工具。英国《数据保护法案1998》作为英国保护个人数据的专门性法律,其在政府数据开放及个人隐私保护中的独特地位和作用可为我国制定个人隐私保护相关法律法规提供参考。
鉴于当前个人隐私保护法律法规不够完善的现状,我国可考虑制定一部专门用于保护个人隐私的法律,如《个人隐私保护法》,在内容上,要照顾到个人隐私保护的各个方面,包括对个人隐私的内涵和范围要进行明确界定,并通过列举的形式逐条列出,以使其更具参照性;确立个人数据处理机构的资格审查、登记制度以及个人数据处理行为规范;确立个人隐私侵权救济制度,当个人隐私侵权行为发生时,受害人可依据该法申请救济。在地位上,要确定该法为个人隐私保护的基础性法律,在所有涉及到个人隐私保护的法律法规中居于核心地位,并以此法为依据,修改和完善其他的法律法规中有关个人隐私保护的内容,特别是与政府数据开放相关的法律法规,如《中华人民共和国政府信息公开条例》等。
6.2 在政府数据开放政策中突出个人隐私保护内容
英国在其政府数据开放政策,特别是在相关战略性政策中突出了个人隐私保护的内容,并致力于政府数据开放与个人隐私保护的平衡,这些是值得我国借鉴的地方。为促进政府数据开放,我国在近两年发布了多项涉及政府数据开放的政策文件,在提出政府数据开放的同时,也强调了个人隐私保护的重要性。例如,《促进大数据发展行动纲要》提出,“在依法加强安全保障和隐私保护的前提下,稳步推动公共数据资源开放”以及“加强对数据滥用、侵犯个人隐私等行为的管理和惩戒等内容”[16]。不过这些都并非专门的政府数据开放政策,对个人隐私保护的规定也不够详尽。
鉴于此,我国需要制定专门的政府数据开放政策,包括战略性政策以及具体的微观政策,并突出个人隐私保护的内容。在战略性政策中强调个人隐私保护的重要性,指明个人隐私保护的行动方向及需要重点克服的问题;并且依据这些战略性政策制定具体的微观政策,对战略性政策中的相关条款进行细化,给出具体的实施和解决方案。英国的政府数据开放微观政策存在着对于个人隐私保护的规定较为笼统、可操作性不强等问题,我国需引以为戒,加强个人隐私保护相关政策的可操作性。与此同时,我国要充分考虑到当前政府数据开放面临的实际情况,在政府数据开放与个人隐私保护之间找到一个最佳的平衡点。
6.3 制定专门的政府数据开放许可协议
许可协议对于促进政府数据开放和保护个人隐私的重要性不言而喻,特别是在我国政府数据开放和个人隐私相关法律法规还不完备的情况下,可借鉴《英国政府许可框架》的相关内容,制定符合我国国情的政府数据开放许可协议。
我国在制定政府数据开放许可协议时要充分考虑到政府数据开放的具体目标及要求,在确保促进政府数据开放和利用的同时,也要特别强调个人隐私保护的重要性;在许可范围上,要明确规定涉及到个人隐私的数据不适用该许可协议,与个人隐私保护相关法律法规相违背的数据也不适用该许可协议,不论这些数据的价值如何;在许可方式上,建议提供多种许可方式,如不受任何使用限制的许可方式、限定使用目的的许可方式及收费的许可方式等,以为政府数据开放的相关单位提供更多选择,方便他们针对不同的数据,依据其具体情况选用不同的许可方式,增加灵活性,如政府在开放某些可能对个人隐私带来威胁的数据时,可采用使用目的限定的许可方式进行限制。
6.4 设立个人隐私保护的专门机构
保护个人隐私仅仅停留在政策、法律法规等层面是不够的,还需要相应机构进行协助和实施,我国可以设立一个功能类似于英国ICO的专门机构,并以法律的形式确立其在个人隐私保护中的职责和地位。
在法律地位上,该机构应该是独立的,不应受一般政府部门的制约,仅需要向某一特定机构负责即可。在机构职能方面,基于我国当前的实际情况并借鉴英国ICO的职能,笔者认为它可以具备以下几个方面的职能:(1)协助推广政府数据开放及个人隐私保护有关的政策与法律法规,监督政府和数据处理机构遵守相关法律法规,忠实执行相关政策。(2)开展面向公众、企业及政府等不同对象的个人隐私保护知识教育,树立他们的个人隐私保护意识。(3)协助公众进行相关维权活动,当公众个人隐私受到侵害时,该机构可协助其维护自身的合法权益,如证据搜集、维权咨询等。(4)开展个人隐私保护方面研究与评估,定期出台相关研究与评估报告。(5)其他职能,如参与与个人隐私保护有关的政策及法律法规的制定,负责数据处理机构的资质审查和认证,对数据管理机构进行登记,开展与个人隐私保护相关的国际交流与合作等。
总之,英国在政府数据开放中有关个人隐私保护的有益实践对我国具有一定的借鉴意义,我国可以从个人隐私保护的法律法规、政策、政府数据开放许可协议以及个人隐私保护机构层面着手,努力构建一个相对完善、多层次的个人隐私保护体系。
[1]Privacy and Data Protection[EB/OL].[2016-08-11].http://www.opengovguide.com/topics/privacy-and-data-protection/.
[2]Open Data Barometer 3nd Edition[EB/OL].[2016-08-11].http://opendatabarometer.org/data-explorer/?_year=2015&indicator=ODB.
[3]Data Protection Act 1998[EB/OL].[2016-08-11].http://www.legislation.gov.uk/ukpga/1998/29.
[4]Freedom of Information Act 2000 [EB/OL].[2016-08-11]. http://www.legislation.gov.uk/ukpga/2000/36/contents.
[5]The Reuse of Public Sector Information Regulations 2015[EB/OL].[2016-08-11].http://www.legislation.gov.uk/uksi/2015/1415/contents/made.
[6]Exclusions[EB/OL].[2016-08-11].http://www.legislation.gov.uk/uksi/2015/1415/regulation/5/made.
[7]Protection of Freedoms Act 2012[EB/OL].[2016-08-11].http://www.legislation.gov.uk/ukpga/2012/9/pdfs/ukpga_20120009_en.pdf.
[8]The Environmental Information Regulations 2004[EB/OL]. [2016-08-11].http://www.legislation.gov.uk/uksi/2004/3391/contents/made.
[9]Open Data White Paper:Unleashing the Potential[EB/OL].[2016-08-11].https://www.gov.uk/government/publications/open-datawhite-paper-unleashing-the-potential.
[10]UK Data Capability Strategy:Seizing the Data Opportunity[EB/OL].[2016-08-11].https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/254136/bis-13-1250-strategy-for-uk-data-capability-v4.pdf.
[11]陈 美. 英国开放数据政策执行研究[J].图书馆建设,2014(3):22-27.
[12]Open Data Strategy 2014-2016[EB/OL].[2016-08-11].https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/330382/bis-14-946-open-data-strategy-2014-2016.pdf.
[13]UK Government Licensing Framework for Public Sector Information[EB/OL].[2016-08-11].http://www.nationalarchives.gov.uk/documents/information-management/uk-governmentlicensing-framework.pdf.
[14]Open Government Licence for Public Sector Information[EB/OL]. [2016-08-11].http://www.nationalarchives.gov.uk/doc/opengovernment-licence/version/3/.
[15]Information Commissioner's Office[EB/OL].[2016-08-11]. https://ico.org.uk/.
[16]促进大数据发展行动纲要[EB/OL].[2016-08-11].http://www.gov.cn/zhengce/content/2015-09/05/content_10137.htm.
Research on Individual Privacy Protection in Open Government Data in the UK
In the United Kingdom, individual privacy protection embodies not only in relevant regulations, but also in open data policies, while regulations and policies could not be separated from each other. UK Government Licensing Framework established by the National Archieves makes UK more autonomy in free open data, and Information Commissioner's Office (ICO) would perfect privacy protection system.There still exists deficiency, such as lacking special legistion on individual privacy protection. China should construct a relatively perfect and multi-level individual privacy protection system based on individual privacy protection legislation, policy, open govement data licensing and individual privacy protection institution.
Open government data; Individual privacy; UK
G250
A
2016-08-23]
*本文系国家社会科学基金重大项目“面向国家大数据战略的政府数据开放共享对策研究”的成果之一,项目编号:15ZDC025。
黄如花 女,武汉大学信息管理学院副院长,教授,博士生导师。
刘 龙 男,武汉大学信息管理学院2015级图书馆学博士研究生。