敖颜思文
(国家开放大学 组织部,北京 100039)
政府数据开放运动源于美国,2009年美国运行政府数据开放网站“Data.gov”,《开放政府数据法案》作为专门法案也于2018年通过。2010年英国上线数据开放网站“Data.gov.uk”以响应欧盟开放数据战略。欧盟于2018年和2020年相继出台《通用数据保护条例》和《欧盟数据战略》,强调数据主体的权利保障。我国政府数据开放实践始于2012年上海市首建的政府数据服务网“Datashanghai.gov.cn”。此后,京、黔、浙、鲁等省市陆续跟进,广东省率先构建了三级政府数据开放网络。国家各政府部门也陆续发文强调和指导政府数据的开放与共享。我国政府数据开放实践开始由地方试行发展到国家顶层设计阶段。
政府数据具有以下几个特点:一是政府数据要求政府部门不得凭借主观意志筛选和处理;二是政府数据由政务工作中产生,数据产生所需经费来源于财政税收,应属于全体公民共有,因此政府数据应当无差别开放并提供数据获取的便利;三是政府数据具有极高价值,其开放内容已不限于“三公”经费、权力清单、政策文件等政务信息,还包括公民个人的消费、出行、信用等数据,甚至还涉及气象变化、文化偏好、社会心理等内容。由于政府数据总量大、更新快,数据交互性强,在不同数据分析技术整合下,将实现多样性数据价值,供不同主体各取所需。由于政府数据的强交互性和极高的使用价值,不同主体获取和分析政府数据的意愿强烈,个人信息泄露的可能性随之增加。
在我国立法文本中,2021年《个人信息保护法》和《网络安全法》明确个人信息具有“识别”和“记录”两个要素,即能够识别自然人身份的各项信息均为个人信息,因此个人信息所涵盖的范围极为广泛。个人信息的法律性质方面,2015年公布的《民法总则专家意见稿》将“信息”纳入民事权利客体,凸显了信息的财产权属性。2017年《民法总则》将个人信息从知识产权规定中移除,获得了单独的法条表述,传统隐私权保护路径难以实现个人信息保护需求已成为学界共识并已得到实践验证。在大数据信息技术加持下,个人信息流动、开发和使用日益频繁,个人信息已承载诸如隐私、财产、安全等诸多法益[1],与公共利益甚至国家安全的关系更为紧密。
现今实践中个人信息通常以“集合”的方式被收集,大数据的价值更多源于收集后的开发[2],以及多种集合的交叉利用。一方面,网络虚拟空间中信息流动具有高度的便利性,由于网络空间的高风险和信息技术的不对称,个人信息中包含的个人隐私和安全要素被泄露并广泛传播的风险极大,短时间内难以采取技术手段进行弥补,具有损害范围大、周期长的特点;另一方面,个人信息应用广泛推广,使用场景增多,出现了以数据交易为代表的产业新形态和以社区健康信息码为代表的公共管理新方式。在此背景下,个人信息的快速流通和频繁使用已呈常态化,通过保护个人隐私的方式保护个人信息难以适应数据产业发展实践的需要,个人信息所承载的多元化法益愈发受到学界重视,个人信息保护由传统的“保护”转向“开发利用中的保护”。
从政府数据开放与个人信息保护的关系上看,对个人信息的合理采集和开发利用是政府数据开放的逻辑起点和实践基础。一方面个人信息的采集存储和分析利用能有效节约政府治理成本,提高行政履职的精细度。如新型冠状病毒防治过程中,公众对确诊和疑似病人的行程轨迹和诊治情况等信息的公开有着极高的期待,这既需要统一数据获取渠道的搭建,同时也需要建立信息分类、整合、发布、存储和删除的全周期流程,从而在满足公众知情和病人隐私间实现协调。
另一方面,政府掌握和管理最完整、最全面的公民个人信息,在大数据信息技术的加持下,公民个人财产、安全、隐私等信息被间接或直接追踪、定位、泄露的风险随之增加;由于信息技术的不对称,一旦发生公民信息泄露难以在短时间内弥合,其损害也无法根本消除。同时伴随着技术的发展,信息存在的载体也由存储优先转变为流动优先,政府信息更多以电子化、数据化形式出现,公众发掘和收集信息的能力得以增强,政府信息公开的价值也由传统上的保障公众知情权向搭建公众参与社会治理和民主监督渠道转变。
我国传统保障模式以信息的“保护”为优先价值。传统个人信息立法保护模式并未对大数据的时代背景与政府数据开放的广泛实践做出有效回应。个人信息作为被保护的客体,要求政府制定具体的保护规定和标准,在保证信息安全的前提下实现开放与保护的协调。现阶段个人信息保护在立法模式上仍采取分散立法模式,同时存在个人信息保护理念落后、保护内容虚化等问题。
当前我国个人信息保护在观念上仍以隐私代替信息。一方面,在基础概念上未能给出个人信息与个人隐私的明确界分。在中央立法层面,《网络安全法》突出了个人信息的技术性,本质上仍是传统个人隐私管制型保护的延续。在地方立法层面,绝大多数地方政府在数据开放相关立法文本中普遍采取个人隐私的表述,将个人隐私与国家秘密、商业秘密并列,反映出立法机关对个人信息和个人隐私的基础概念尚不明晰。个人信息并不是以个人为主体来研究信息,而应是从信息出发来研究牵涉其中的个人[3]。个人信息与个人隐私概念的混用将在事实上造成对个人信息使用的限制。
另一方面,刚生效的《个人信息保护法》中,个人信息的保护更多的强调信息采集和使用方在信息采集方式和范围上的告知义务,未能对实践中用户出于使用便利而选择忽视告知协议的情形予以回应,造成实际上的告知失效,在个人信息权利的有效实现方面尚缺乏可操作性规定。
目前我国在政府数据开放领域关于个人信息保护的条文散见于各类各级政策法规及标准之中。分散立法模式存在以下弊端:其一是保障规范的非体系化,表现为相关立法中基本概念与内涵不统一。相关规范往往是针对中央或上级政府要求而制定的政策,与当地实际的符合度不足,在内容上缺乏体系性,且出于节约立法时间成本的考虑,地方政府普遍采取规范性文件的形式,效力层级较低。另一方面,不同立法文本间的相互衔接不畅,不同立法文本中对信息保护的主体表述不一,存在“个人”“用户”“消费者”“个人信息主体”等不同表述。如2016年“放管服工作要点”中规定向社会公开的例外仅限于个人隐私,与《政府信息公开条例(2019)》第15条的规定①不符,在涉及到“公共利益”可能受到重大影响时,部分可以公开的信息可能也属于个人隐私。
其二是政府数据开放中个人信息保护的内容虚化。当前多数地方的数据开放法规政策多以宣示性内容为主,开放政策缺乏指导性,规范标准的可操作性不强。一方面现有立法中个人信息保护义务的具体规制缺失:在保护责任主体上,《网络安全法》中政府是否包含在规制范围内尚有争议,《数据安全管理办法(征求意见稿)》中也并未明确网络运营者是否包括政府部门。又如《侵权责任法》第六十一条规定的病历资料等病人信息不能完全涵盖个人信息。在保护方式上,数据安全的考核、评估和问责等配套性措施尚不完善。另一方面,不同地区存在技术发展能力和法治建设水平差异,政府数据开放时间靠后的地区往往以先行地区为蓝本,借鉴其制度规范和政策内容,从而节约立法成本,但同时出现了规范内容同质化现象,缺乏可操作性。
从数据开放流程上看,政府数据开放中个人信息保护的义务主体既包括政府数据开放的主管部门,也应包括数据开发和利用的相关组织和个人。与此相对应,个人信息保护法律责任也应针对二者进行制度安排。当前个人信息保护法律责任制度存在以下不足:一是法律责任主体规定不一致。以中央立法层面为例,《消费者权益保护法》中个人信息保护的义务主体是“经营者”,《网络安全法》《数据安全管理办法(征求意见稿)》则是“网络运营者”,《十三五国家信息化规划》等政策文件则未明确表述政府数据开放中个人信息保护的主体。二是对数据利用方个人信息保护的法律责任欠缺规定。以地方立法层面为例,《浙江省公共数据和电子政务管理办法》和《贵州省大数据发展应用促进条例》均以专章的形式对“法律责任”进行了较为详细的规定,但所规定的法律责任制度仅涉及数据开放的主管部门,对数据利用方的法律责任并未明确。尽管可以通过“已有法律责任规定的,从其规定”进行问责,但实践中通过概括性责任条款追责仍存在制度障碍。
另外,我国民事立法对个人信息的定性、损害填补与救济措施缺乏详细的规定,对侵犯个人信息的行为一般以《刑法》第253条为主要制裁依据,由于刑法谦抑性和信息保护的技术性,由国家网信部门和政府数据开放主管部门开展监管执法更为合适,这也在一定程度上表明完善专门立法和建立数据管理机构确有必要。
个人信息并不是一项绝对权利而是需要在具体的社会环境中去考量它的功能。在大数据时代背景下,与其强调信息的广泛使用提高了信息安全风险,不如寻求个人信息使用中的安全,从而在有效维护个人信息权益的同时最大程度实现政府数据开放价值。
一是寻求个人信息使用中的安全。大数据时代赋予了个人信息新的特质,个人信息作为法律意义上的财产权利客体已被学界普遍认同。《民法总则》第126、127条明确了数据的财产属性,而信息作为经过处理的数据[4],同样具有财产属性。《保密法》第4条也提出了便利信息流动的原则。司法实践中单纯未经明示同意的个人信息公开行为并不当然构成侵权[5];地方实践中贵州、上海以及北京中关村等地也已建立数据交易中心,表明赋予个人信息排他性权属并未得到实践认可。除财产属性外,个人信息还具有公共管理价值,比如《传染病防治法》第12条、第31条授权卫生主管部门收集个人信息。大数据背景下信息的本质就在于流通和使用[6],因此强调对信息的控制以达到保护目的,这一做法既缺少技术支持和实践依托,也与信息开发的发展趋势不符。
政府数据开放作为信息合理使用的典型代表,其本身便带有信息使用与保护之间的冲突,这就要求在信息保护价值取向上必须寻求信息保护与使用间的协调。在既有法律制度不足以规范政府数据开放和有效保护个人信息的情况下,应当通过个人信息保护的专门立法和政府数据开放的专门立法,在充分实现政府数据开放价值的基础上有效保护个人信息。
二是注重信息赋权与政府责任并举。政府数据开放中个人信息保护应当在采纳基本权利保护模式的同时,明确信息处理主体的管理职责和保护义务。个人信息的基本权利保护模式是指在宪法中确认个人信息权的基本权利地位。目前我国立法规范中“明示同意”的规则在一定程度上承认了个人的信息支配权[7]。当前绝大多数国家均采纳个人信息的基本权利保护模式,从实践上看,单纯地以私法构建权利和权利救济框架难以实现个人信息的有效保护。因此必须通过立法明确个人信息的相关权利,从而协调政府数据开放与个人信息保护的冲突。
个人信息基本权利保护模式的确立并不意味着信息处理主体管理职责和保护义务的减轻。相反,在政府数据开放领域,政府的行政强势地位以及大数据提供的技术优势使得信息主体难以支配、控制所享有的信息;同时,个人信息具有的经济、公共管理等价值,并不以信息是否视为权利而改变。因此在赋予公民个人信息权利的同时,也应当明确信息处理主体的信息管理职责和保护义务。一方面,要求政府在数据开放之前明确数据开放的标准和范围;另一方面要求加强开放数据的监督和控制,降低数据安全风险。
三是注重个人信息保护的社会监督。从信息技术能力上看,相较于公民个体,信息行业组织不存在明显的技术劣势,发现政府数据开放中的管理缺陷和信息风险的可能性较高,同时信息行业通过技术标准和行业自律规范约束行业组织成员的信息使用行为[8],也在一定程度上降低了政府数据开放过程中个人信息泄露风险;从数据开放参与主体上看,除作为信息主体的个人、信息开放主体的政府部门外,还存在作为信息利用方的社会组织或个人,信息利用方出于使用便利的主观需求,对政府数据开放范围、程序以及开放文件格式提出的改善建议,也将有助于提升政府数据开放中信息管理的标准化水平。在政府数据开放参与主体众多以及信息技术不确定的情况下,应当构建政府数据开放的社会监督机制,结合数据开放规范的技术约束,充分运用社会力量对政府数据开放中个人信息保护进行监督。
与互联网和大数据应用技术相比,数据安全技术的开发因不符合成本控制需要而处于明显劣势[9],明确政府数据开放中个人信息采集和使用原则以指导政府数据的采集、存储、开放及使用程序显得尤为重要。《网络安全法》等涉及个人信息保护的诸多法律共同确立了用户同意前置的基本原则,其既与个人信息的社会地位不吻合,也不具有法律上的正当性,在政府数据开放领域,应当确立以下个人信息采集和使用原则:
一是政府数据合理采集和使用优先原则。《国家安全法》第83条明确了个人信息依法收集和必要限度的原则。一方面,在数据和信息被广泛采集、存储和使用的现实状况下,政府在推动数据使用和开放过程中依托数据分析技术辅助决策,从而提升决策的科学性;另一方面,从个人出发强调对信息的绝对自主并不符合现实需要,应当通过立法明确政府数据合理采集和使用优先原则。政府数据合理采集和使用优先并不意味着个人信息权利的丧失,而是要求在追求数据的价值最大化的同时,达到将公共领域和私人领域风险最小化的效果。当前个人信息安全规范中已提及信息主体统一的例外规定,在今后专门立法中应予吸收。
二是政府数据安全原则。政府数据安全原则的实现包括政府数据安全管理和政府数据安全技术标准两项内容,一方面要求政府在数据采集、存储和使用过程中遵循安全可控、目的明确、权责明确的要求[10],制定政府数据安全管理规范、流程、标准及相关配套措施,保障信息主体对信息使用的知情、查询、更改、删除和被遗忘权等权利,完善公民个人信息被侵犯的救济途径;另一方面,整合已有大数据应用和政府数据开放平台管理规则,明确数据保存期限、处理标准和开放范围,从而确保各领域政府数据的安全衔接,这既需要数据安全管理专业人员的培养,同时也要求专门政府数据管理机构的保障。
三是利益协调原则。政府数据开放过程中存在公共利益与个人利益之间的冲突,而利益协调又以数据安全领域法律规范的完善为前提。一般而言,各国法律将同意原则作为数据使用的前提,但也规定了个人同意的例外事由。但目前在涉及数据管理和个人信息保护法律规范中国家安全和公共利益的判断依据尚付阙如,也因此产生了政府数据开放过程中公共利益与个人利益难以协调的问题。因此,应当吸收我国2018年公布的《信息安全技术个人信息安全规范》“径直采集个人信息事由”的规定,基于法律保留原则,适当限制个人信息权利的行使,以保障公共管理和服务目的的实现。同时,也应基于比例原则,依据其所保障的国家利益或公共利益的性质和重要程度,明确信息采集和使用的标准和范围。随着社会治理要求的不断拓展,实践中普遍存在公民信息采集和公共利益保护的协调问题。考虑到社会治理需要,如避免新冠疫情防治实践中频繁出现隐瞒接触史的行为,应当在政府数据开放过程中,通过专门立法进一步明确政府数据采集的标准和范围。
四是个人信息的类型化区分原则。现有规范中概括和列举式的表述方式难以穷尽个人信息的范围,同时不加区分地对个人信息依照单一标准进行保护规制,既不利于个人信息价值的实现,同时也无助于政府数据开放与个人信息保护之间矛盾的协调。因此应当对个人信息进行类型化区分,针对不同类型的个人信息采取相对应的保护措施。
目前学界主要以识别性、敏感度、信息主体为标准,将个人信息类型化为直接或间接信息、敏感或一般信息、普通群体或特殊群体信息三类[11]。比较而言,敏感信息与一般信息的区分对个人信息保护的意义更为明显。一方面,敏感信息与一般信息的划分已在我国《个人信息保护指南》《征信业管理条例》等规范中予以体现。2007年《信息安全等级保护管理办法》划分了信息安全的5个等级,但未对等级划定标准和具体信息保护措施作细致说明,可操作性不强。2017年《个人信息安全规范》也以国家推荐性标准的形式列举了个人敏感信息的范围,使得敏感信息的判断标准和范围有章可循。另一方面,以信息的敏感度为标准,适当调整政府数据开放中的数据管理规范和标准,在实践层面能够兼顾政府数据开放的安全与效率。《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)根据数据的风险程度设置了相应的管理流程;2020年10月正式生效的新版《个人信息安全规范》单独强调了个人生物信息的特殊性,规定个人生物信息收集前的单独告知和限制存储的特殊要求,也体现了个人信息“场景式”保护的需要。
我国目前对敏感信息的界定主要采取结果导向的判断标准,认为应当将信息泄露后对信息主体产生消极影响的视作敏感信息。相较而言,《个人信息安全规范》对信息泄露后产生的影响程度、影响方式等进行了更为清晰的界定,而《个人信息保护指南》中“敏感信息的判定需综合分析主观意愿和服务特征确定”[12]的表述对敏感信息的判断进行了综合考量,留下了后续立法完善的解释空间。就域外立法上看,生物特征信息、金融信息、位置信息普遍被纳入敏感信息范畴。鉴于此,我国敏感信息与一般信息应当延续《个人信息安全规范》中“定义+列举”的规范方式,增加综合考量的解释空间,为后续实践中敏感信息和一般信息的变化提供制度调整空间。对政府数据开放过程中已纳入敏感信息的数据应当进行严格审查,做好敏感信息的筛选和筛除工作。对于非敏感、较小风险或通过技术手段能及时修正的信息类型,仍应强调信息存储和使用主体的管理义务。
注释:
①参见《政府信息公开条例(2019)》第十五条:涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。