网络治理视域下的GDPR对数字政府的影响

丁立江 王鹏

摘  要：近年来， 大数据、云计算、人工智能、区块链等新兴技术的应用不仅重塑了全球经济发展模式，也引发了潜在的隐私安全风险，给各国网络治理带来全新挑战。文章首先回顾了新兴技术对数字政府建设的机遇与挑战，并以此切入，介绍了2016年欧盟通过的最严数据保护法《通用数据保护条例》（General Data Protection Regulation，简称GDPR）的主要内容。其次，剖析了GDPR在数据定义、数据主体权利、数据处理相关责任方、数据泄漏事故处理制度等各项内容上相较《数据保护指令》（Data Protective Directive，DPD）的新變化。再次，探讨了GDPR对于数字政府中政府数据界定、数据管理、政企信息共享及网络空间的影响。最后，指出了GDPR对我国数字政府建设的启示、对完善我国相关法律的借鉴意义及对社会数据管理的若干对策与建议，希望为我国的数据治理提供有益参考。

关键词：通用数据保护条例;数字政府;政府数据治理;网络治理

中图分类号：D63;F49 文献标识码：A

DOI：10.19881/j.cnki.1006-3676.2021.03.03

GDPRs Effects on Digital Government under the Perspective of Network Governance

Ding Lijiang1  Wang Peng2

（1.Administration and Management Institute of Ministry of Agriculture and Rural Affairs，Beijing，102208;2.Beijing Academy of Social Science，Beijing，100101）

Abstract：In recent years， the application of emerging technologies such as big data， cloud computing， artificial intelligence，and blockchain has not only reshaped the global economic development paradigm，but also led to potential privacy and security risks，posing new challenges to cyber governance in various countries.This paper first reviews the opportunities and challenges of emerging technologies for the construction of digital government，and introduces the main contents of the General Data Protection Regulation （GDPR），which is the strictest data protection law adopted by the European Union in 2016. Secondly， this paper analyzes the new changes of GDPR compared with the Data Protection Directive （DPD）in terms of data definition， data subject rights， parties responsible for data processing，and data breach handling system. Furthermore，this paper discusses the impact of GDPR on the definition of government data， data management， government-enterprises information sharing and cyberspace governance. Lastly，this paper concludes by pointing out the inspirations of GDPR on the construction of China's digital government，the reference significance to improve China's relevant laws and some policy suggestions on social data management，which provides some useful references on the future data governance in China.

Key words：GDPR;Digital government;Government data governance;Cyber Governance

2017年10月，党的十九上的报告中提到了关于建设数字中国与提高社会治理智能化水平的内容。2017年12月8日，习近平总书记在中共中央政治局第二次集体学习时强调：“要建立健全大数据辅助科学决策和社会治理的机制，推进政府管理和社会治理模式创新。……善于获取数据、分析数据、运用数据，是领导干部做好工作的基本功。”

一、相关理论与文献综述：新兴技术对数字政府建设的影响

数据产业的发展影响着我国的经济模式，同时在政府治理模式的转化过程中发挥着重要作用。在大数据的浪潮中，我国积极运用新兴的数据技术，推动数字政府的建设。然而，在使用新兴技术处理数据时，政府也面临着数据泄露的风险。

（一）新兴技术带来的数据安全问题

新型数据技术主要包括大数据、云计算、人工智能、区块链等。从数据来源上看，平台内部员工泄露、第三方接入、技术入侵等都可能造成用户数据的泄露。2017年，趣店旗下的校园贷平台就曾因内部数据管理问题深陷数据泄露风波，百万学生的个人信息和借贷信息因此在黑市上传播，经该平台的离职员工证实，该平台创立初期确实存在数据管理不善的问题，很多员工都可以导出未经脱敏处理的用户数据[1]。

云计算是一种以资源租用、应用托管、服务外包业务为核心的新型计算模式，其计算环境不再受到时间和地点的限制，分布式资源可以被系统整合共享，并构建出满足多种服务要求的计算环境，实现对用户的个性化服务。云计算的运营特点催生了许多潜在的数据安全问题：多租户共享资源时，同一主机上多租户的隐私数据可能会被恶意租户用侧信道（Side Channel）方法获取;云端管理降低了数据处理过程的可控性，有可能出现提供商利用特权窃取租户的隐私信息的风险，第三方软件的安全性难以实现完全认证[2]。

人工智能可以基于大数据对用户进行智能推荐，也可以应用于车联网、物联网等。人工智能在数据安全问题方面除了存在与大数据类似的因描绘用户画像等多数据源造成数据系统性泄露的风险外，其对硬件的控制还可能产生生命安全问题。例如，黑客侵入用户的汽车自动驾驶系统并控制汽车可能导致安全事故。

区块链技术起初是用于解决交易的信任和安全问题，通过分布式账本、非对称加密和授权技术（交易信息公开，账户信息有授权才可见）、共识机制和智能合约提升交易的安全性。区块链验证与储存数据具有去中心化、可追溯、不可篡改、不可伪造、不可否认和可编程等特点[3]。然而，这样一个本是为了解决信任问题、提升交易安全性的技术也存在着安全漏洞：1.区块链理论模型无中心节点的安全性依赖于多网络节点，即可避免单一节点被攻击问题，然而实际区块链网络各节点安全防护等级不同，给了攻击者利用网络拓扑结构攻击系统的机会[4];2.区块链包含的关键环节共识算法、智能合约等缺少系统漏洞代码评估机制，对等网络也不完全适用传统的防火墙和入侵检测[5];3.匿名区块链系统无法对非法攻击者和用户追责，且由于其自身的不可篡改性，产生的非法交易是无法撤回的，用户由此产生的经济损失不可逆转[6]。

（二）数字政府建设的机遇与挑战

从内涵来看，数字政府是政府借助大数据、云计算、移动物联网等技术，精准计算和高效配置各类数据资产，并应用于政务管理、公共服务、经济社会发展等领域所构建的政府形态[7]。

在大数据时代，海量基础数据经过3次转化，最终帮助政府实现智能化治理：1.通过先进数据技术分析政府业务数据和公众行为数据，实现无序数据的关联化、隐性数据的显性化、静态数据的动态化、海量数据的智能化转化;2.政府加大数据开放力度，形成新的产业进而创造利润，同时也可以利用数据加强绩效考评提升政府人员、政府组织和IT资产的效率，为政府节省行政成本。3.政府应加大数字技术在网络反腐、舆情监控等公共领域的应用力度，实现政府决策由事后决策转变为事前预警，利用大数据进行科学决策，提升政府决策力[8]。

信息技术手段在给政府带来各种便利的同时，还带来了巨大的安全风险和挑战[9]。技术故障、系统漏洞、人为欺诈等因素会导致政府数据存储或控制系统无法有效应对黑客的非法攻击;关联信息技术以及算法语言的升级，使得对平台内部多数据源的交叉融合与分析挖掘，极易导致数据泄露、数据欺诈以及个人数据权侵害等安全事故，进而对数据资产开发安全、数据共享利用安全、数据治理的国家安全和个人/机构的数据权益维护产生威胁[10]。

我国网络空间治理主要面临3个问题：网络安全问题、网络信息监管问题、网络舆论监管问题。网络安全问题中的个人信息安全是大众关注的焦点。网络安全问题涵盖网络运行系统的技术安全问题和网络信息内容的安全问题。一方面，网络平台存在大量利用网络病毒、黑客入侵等技术手段盗取用户个人信息的违法行为;另一方面，掌握着大量用户个人信息的网络服务提供商存在着泄露、倒卖用户信息的违法行为;此外，用户移动端存在的安全漏洞也是威胁用户个人信息安全的一大隐患[11]。

对开放的政府大数据进行市场化利用，可能会挖掘出国家机密或个人隐私，这是一个比较普遍的问题，因此需要发展大数据环境下应对数据挖掘的防泄密与隐私保护技术。开放数据需要经过对数据的脱敏保护隐私。经常采用的方式是匿名化或去标识化。学术界先后提出了k-anonymity、L-diversity、T-Closeness匿名技術。另一种匿名化技术是差分隐私，即把噪声加入数据集中，但仍保持它的一些统计属性，使之支持典型的机器学习方法[12]。

二、欧盟《通用数据保护条例》概述

（一）隐私权与数据保护权

虽然隐私权和数据保护权是相关联的，但它们被普遍认为是两个独立的权利。世界上几乎每个国家无论是在宪法中还是在其他条款中都以某种方式承认隐私权，隐私权被认为是普遍的人权，而数据保护权到目前为止还不是。

隐私权受《世界人权宣言》保护，该宣言的第12条规定：“任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。人人有权享受法律保护，以免受这种干涉或攻击。”我国的《中华人民共和国宪法》《中华人民共和国刑法》《中华人民共和国民法典》等法律法规也有保障公民隐私权的相关法律条款。

欧盟数据保护监管机构（European Data Protection Superviosr，简称“EDPS”）将数据保护定义为涉及保护与已识别或可识别的自然（生物）人有关的任何信息，包括姓名、出生日期、照片、录像、电子邮件地址和电话号码等。与通信服务的最终用户相关或由其提供的其他信息，如IP地址和通信内容等也被视为个人数据。其认为数据保护的概念源于隐私权，两者都有助于维护和促进权利的行使。数据保护的目标就是确保公共部门和企业在收集、使用、存储个人数据时受到公平对待。

（二）《通用数据保护条例》的出台

几十年来，欧盟一直遵守高标准《通用数据保护条例》。全球范围内，数据保护相关的法律法规越来越多，其中许多法律都受到《通用数据保护条例》影响。2016年，欧盟通过了《通用数据保护条例》（General Data Protection Regulation，GDPR），该条例取代了欧盟于互联网起步阶段即1995年颁布的《数据保护指令》（Data Protective Directive，简称“DPD”），并于2018年5月25日后全面实施。

DPD出台的时代使用互联网的人数相对较少，对个人数据的收集及处理还限定在收集用户名、地址及金融信息等方面。随着社交网站的出现，个人数据被泄露的风险大增，网络的全球性与公开化让许多私人公司和公共机构能够规模空前地利用个人数据进行数据挖掘和分析[13]。

（三）《通用数据保护条例》的新变化

作为“史上最严格”的数据保护法，GDPR对个人信息保护的范围之广、实施标准之高、监管力度之大都是前所未有的。GDPR为数字环境中的个人赋予了新的权利，并对组织提出了全新而详细的义务。比较GDPR和DPD的区别，能更清晰地了解GDPR在数据保护领域的变化及其对金融科技公司的影响。

1.数据的定义范围扩大

GDPR最重要的变化是对个人数据的定义。个人数据先前在DPD中被定义为个人姓名、照片、电子邮件地址、电话号码、地址或任何个人识别码（社会保障、银行账户等）等。GDPR对个人数据有更广泛的定义，诸如IP地址、移动设备标识符、地理定位和生物识别数据（指纹、视网膜扫描等）等都将构成个人数据。此外，GDPR还涵盖了个人的身体、心理、遗传、经济、文化或社会认同等内容。

个人数据定义的变化很重要，因为它反映了技术的变化以及组织收集人员数据的方式。虽然这种变化对希望保护数据的欧盟居民有利，却使营销工作更加复杂。具体而言，通过使用浏览器历史、购买历史等来描绘用户画像的做法，除非已经由个人明确同意，否则在GDPR下将不再被接受。

2.数据主体的权利扩大

GDPR相比DPD赋予了数据主体新的权利，也对DPD中原有的一些权利，如被遗忘权和数据可携权，赋予了新的含义。GDPR规定了数据主体的7项权利，包括知情权、访问权、纠正权、被遗忘权、限制处理权、数据可携权、反对权。

知情权对用户同意（Customers consent）作出了详细的规定：数据使用的描述必须具体且简明扼要，不能要求消费者通过同意合同条款来换取他们的同意，这很可能会结束长期以来几乎没有人阅读的用户协议。同时，要求不同类型的数据需要分别同意，不允许一次性授权，也不允许提前勾选或将沉默和静止视为同意，还应该告知用户有撤销同意的权利。

访问权使数据的使用更加透明，数据主体有权访问其个人数据，有权从数据控制器中获取有关其数据使用方式、地点和目的的信息。数据控制者必须免费提供相关信息以及电子格式的请求者个人数据的副本。

纠正权是指数据主体有权得知与其相关的不正确信息的更正，也有权在考虑处理目的的前提下完善不充分的个人数据。

被遗忘权是指数据主体可以要求自己的数据“被数据控制者遗忘”，即要求数据控制者删除他们所有个人数据，停止进一步使用这些数据，并且如果适用，还要停止任何与数据控制者有关的第三方使用该数据。例如，当个人数据与原始处理不再相关或数据主体撤回其同意时，个人可能会要求行使被遗忘权。

限制处理权是指数据主体对个人数据的准确性有争议，反对被遗忘但要求对个人数据的处理进行限制，以及为了提起、行使或辩护法律性主张而需要更改个人数据时，要求数据控制者对其数据的处理进行限制。

数据可携权是指数据主体有权要求将数据从一个商品或服务提供商转移到另一个商品或服务提供商。

反对权主要是数据主体有权随时拒绝对个人数据的处理，包括利用这些数据进行的用户画像或者自动决策过程，以及拒绝个人数据被用于营销的处理。

3.数据处理相关责任方范围扩大

数据处理相关责任方范围的扩大是GDPR和DPD的关键区别之一。DPD只要求数据控制者对数据保护负责，而GDPR要求数据处理者和数据控制者要对数据安全共同负责，这意味着如果某组织将数据输入或分析外包给第三方或代表另一个组织处理数据，则双方都必须遵守GDPR并承担违规责任。

数据处理者和數据控制者需要履行的义务范围也扩大了：

（1）保证安全，默认保护

数据处理方式需要使用合适的技术和管理措施以保证数据的安全水平，最重要的是从设计之初就从隐私的角度，并保证默认情况下仅处理实现目的所必需的最少用户信息，并在不需要时丢弃个人数据。

（2）文档化

要详细记录描述数据保护策略的文档，以及数据处理活动的文档，并在监管机构要求时提供文档。

（3）影响评估

如果处理数据时存在高度数据泄露风险，相关方将被要求进行影响评估。需要进行影响评估的情况包括自动处理数据活动、某些类型数据的大规模处理以及大规模公共可访问区域的系统监测。

（4）数据保护官

当核心活动涉及“大规模定期和系统地监控数据主体”时，必须指定数据保护官（Data Protection Officer，简称“DPO”），该官员将作为一个中心联系人，了解公司如何收集或处理个人数据。

4.数据泄漏事故的通知制度统一，处罚力度更大

DPD时期，欧盟成员国可以自由采用不同的数据泄露通知法。这意味着当一家公司在欧盟发生数据泄露时，必须研究并确保遵守每个成员国的数据泄露通知法，必然产生巨大的商业成本。随着GDPR的应用，规则得到了统一，该规则要求数据管理员在了解违规行为后的72小时内通知监管机构个人数据泄露事件，还应在“没有不当延迟的条件”下通知受影响的数据主体。

四、对我国的启示

（一）GDPR对我国数字政府建设的启示

GDPR的出台预示着未来会有更为严格的数据管控和网络治理环境，这对我国数字政府建设中的数据管理有借鉴意义。由于政府所掌握的个人数据和非个人数据性质不同，管理方式也应有所不同。对于政府个人数据的管理应该建立更为严厉的数据保护制度，扩大个人数据的定义范围，赋予数据主体更多处理自己信息的权利，设立更为严格的惩罚制度。另外，在政企信息共享过程中，除了利用相关数字技术来降低信息泄漏的可能性，还需要明确哪些政府数据能够共享，可以共享，明确信息共享过程中的权责关系。对于政府非个人数据的管理，由于非个人数据的特殊性，数据应属全民所有。

（二）GDPR对于我国相关法律的借鉴意义

GDPR的出台不仅推动了欧盟的数字保护，也为我国制定相关数字保护法提供了借鉴。我国《中华人民共和国网络安全法》通过规则性条款形成了个人信息主体的知情、同意、删除、修改等权利雏形，但并未包含GDPR法规内的数据访问权、数据可携权及数据限制处理权等。另外，在数据保护意识方面，与欧洲相比，我国从数据控制者到数据主体，都在一定程度上缺乏数据保护意识。以手机App为例，用户“被授权”“被同意”的情况不胜枚举。

出于社会制度、经济形态和历史沿革的差别，在借鉴时，要根据我国的现状对GDPR进行甄别和转化，制定出能够全面对个人数据安全进行保护并符合我国国情的法律文件。对于数据可携带或迁移的需求，我国未来的立法应该予以回应。对于个人数据，可将数据可携权和数据迁移权在未来的立法中作出符合我国法治文化和立法技术的安排：在《民法典》第四编《人格权·隐私权和个人信息保护》有个人信息可携权的原则性规定或指引性规定，在《中华人民共和国个人信息保护法》的制定中设置具体的个人信息可携权规则性条款[17]。另外，在推行法律的过程中，可以先在某些城市或者某些领域进行先行示范。

（三）社会数据的管理

由于企业掌握了大量个人数据，政府也应当设置更为严苛的数据保护法来保护个人的权益，并加大对企业在数据使用方面的监督力度。然而，GDPR在对个人数据起到保护作用的同时，会给企业带来了一定的负面影响。以被遗忘权为例，在2014—2017年间，谷歌公司收到了用户发来的超过70万条的“删帖”申请，其自行支付开销删除了将近90万条网络链接。从数据保护的角度来看，过于严格的数据保护法规会对中小企业带来合规负担，而GDPR对此并没有设置补贴机制。所以，从整个市场的角度来看，过于强势的数据保护态度，对于跨国公司和国际市场的发展都有负面效應。因此，我国在建设个人数据保护法律体系时，应对个人隐私权和企业发展进行平衡。不仅要为个人数据保护提供法律保护，也要重视互联网企业的法律保护和补贴机制建设，对个人数据权利和企业利益进行平衡，促进我国互联网行业健康可持续发展[18]。

参考文献：

[1] 趣店数据疑似外泄，十万可买百万学生信息，离职员工称“内鬼”所为[EB/OL].（2017-11-20）[2019-3-25].https：//baijiahao.baidu.com/s？id=1584584942600192763&wfr=spider&for=pc.

[2] 林闯，苏文博，孟坤，等.云计算安全：架构、机制与模型评价[J].计算机学报，2013，36（09）：1765-1784.

[3] 袁勇，王飞跃.区块链技术发展现状与展望[J].自动化学报，2016，42（04）：481-494.

[4] Eclipse Attacks on Bitcoins Peer-to-Peer Network[EB/OL].（2015-10-12）[2021-1-25].https：//www.usenix.org/conference/usenixsecurity15/technical-sessions/presentation/heilman.

[5] Delmolino Kevin，Arnett Mitchell，Kosba Ahmed，et al.Step by Step Towards Creating a Safe Smart Contract： Lessons and Insights from a Crypto currency Lab[C].Berlin：Springer-Verlag，2016.

[6] 韩璇，袁勇，王飞跃.区块链安全问题：研究现状与展望[J].自动化学报，2019，45（01）：206-225.

[7] 王啸宇，王宏禹.DT时代的治理模式：发展中的数字政府与数据政务[J].河北大学学报（哲学社会科学版），2018，43（04）：133-143.

[8] 刘叶婷，唐斯斯.大数据对政府治理的影响及挑战[J].电子政务，2014（06）：20-29。

[9] 摩根索.国家间政治[M].海口：海南出版社，2008.

[10] 夏义堃.试论政府数据治理的内涵、生成背景与主要问题[J].图书情报工作，2018，62（09）：21-27.

[11] 刘徐州，崔尧.网络治理的主要成就与未来趋势[J].网络传播，2018（08）：69-71.

[12] 范灵俊，洪学海，黄晁，等.政府大数据治理的挑战及对策[J].大数据，2016，2（03）：27-38.

[13] 何治乐，黄道丽.欧盟《一般数据保护条例》的出台背景及影响[J].信息安全与通信保密，2014（10）：72-75.

[14] 政企数据共享到底难在哪儿[EB/OL].（2019-09-09）[2020-12-20].http：//www.eeo.com.cn/2019/0909/365351.shtml.

[15] 穆勇：在财产规则和责任规则下的个人数据保护与共享[EB/OL].（2018-06-13）[2020-12-20].http：//www.echinagov.com/viewpoint/219017.htm.

[16] 叶战备，王璐，田昊.政府职责体系建设视角中的数字政府和数据治理[J].中国行政管理，2018（07）：57-62.

[17] 郑令晗，肖冬梅.欧盟非个人数据自由流动制度及其中国本土化[J].图书情报工作，2019，63（13）：122-128.

[18] 冉从敬，张沫.欧盟GDPR中数据可携权对中国的借鉴研究[J].信息资源管理学报，2019，9（02）：25-33，45.