数据开放中个人隐私保护之困境及破解路径

文/杨诗佳

引言

政府作为拥有数据资源最为丰富的主体，其在保证国家安全、社会公共利益以及公民个人隐私信息的情况下，理应向社会免费共享其所拥有的信息资源，并且建立相应的信息公开平台。然而就我国目前的行政法体系来说，数据开放中个人隐私保护领域仍存在许多问题，诸如关于个人隐私的概念界定尚不明确、个人隐私与个人信息之区别界定、个人隐私保护立法的不完善、行政救济机构的空缺以及数据开放平台中存在的一定问题等。基于上述问题，本文试从个人隐私保护之现状出发，探讨关于个人隐私保护领域现存的问题，进而提出相应对策及有效措施。

一、我国政府数据开放中个人隐私保护现状

近年来，我国对于数据时代的发展形势越来越重视，并连续颁布相关法律与政策来推动政府数据的开放与共享，建立相关政府数据开放平台。随着数据信息的逐步开放，有关公民个人隐私保护的问题也逐渐引起了学界和社会的关注。

（一）我国隐私权之概念辨析

通过研读我国法律之规定，可以发现个人隐私与个人信息二者概念之间既具有一定联系又未完全等同。从立法层面来看，《民法典》第一千零三十四条将二者进行了一定区分，其规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”从该条规定可以看出，个人隐私与个人信息之间存在一定包含关系，个人隐私从属于个人信息保护内容的一部分。

然何为隐私权？不同的学者对此有不同看法。彭万林教授认为，隐私权是指公民不愿公开或让他人知悉个人秘密的权利[1]。而王利明先生则指出，隐私权是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权[2]。在我国《民法典》出台以前，并无任何一部法律对隐私及隐私权的概念进行定义，且许多司法裁判对隐私权进行界定时往往引用学界的观点，并无完全统一的概念界定。而随着《民法典》的出台，隐私一词也被赋予了准确的定义，即“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[3]”，这体现出我国对隐私权保护的逐渐重视，同时也为隐私权概念的立法空缺弥补了漏洞。

（二）政府数据开放中个人隐私保护之法律规制

数据的公开伴随着隐私泄露风险，为了保护公民的个人隐私信息不被恶意侵犯，我国制定了一系列的法律法规来进行规制，以推进个人隐私保护法律框架的构建。如2019 年4 月，我国对《政府信息公开条例》进行重新修订，明确规定行政机关在向社会公众发布必要政府信息时具有对某些隐私信息予以保护的义务。此外，于2021 年9 月实施的《中华人民共和国数据安全法》中第三十八条也提及行政机关在履职时对个人隐私等信息应当依法予以保密，不得向他人泄露或非法提供等职责[4]。同年11 月，《中华人民共和国个人信息保护法》正式颁布，该法第二、三节专门对敏感个人信息的处理以及国家机关处理个人信息的事项进行了规定。以上立法皆或多或少对公民个人隐私及信息的保护进行了规定，国家以及地方各级政府部门相继学习且依法贯彻落实，根据自身实际情况进行调整，并制定具体规范加以实施，以实现我国政府数据开放中个人隐私保护规定的成文化和规范化。

二、政府数据开放中个人隐私保护之困境

政府数据开放带来政治、经济、社会等显著效应的同时，也伴随着公民个人隐私信息泄露的隐患。近年来，我国政府数据开放机制正在不断完善，但由于起步时间较晚、接触领域较新等客观因素影响，出现了与之相关的一系列问题。

（一）制定法方面的问题缺乏针对性

目前，我国尚无一部专门针对个人隐私保护的专项立法，关于隐私权保护的立法内容散布于各部法律，实务中真正能起到具体效果的法律法规并不太多，立法缺乏针对性与整体性。而较于德国等欧盟国家，早于1995 年就已拥有针对个人隐私保护的专项立法[5]。在我国，散布于各部法律的隐私权保护条款以理论性为主，缺乏实际具体操作，未将执行以细节化。诸如《个人信息保护法》在规定个人信息保护事项时，相关部门违反法定职责的处罚以及被侵权公民之救济途径规定甚少，法律条文缺乏一定的可操作性。

此外，我国法律并未明确对个人信息和个人隐私二者概念进行显著区分，许多立法在规定时也将二者进行混淆。通常理性认为，关于个人信息，通常解释为直接或者间接对相关主体进行身份识别的信息，不仅可以通过文字，还能通过图片和数字等方式显现；而个人隐私，更多指的是公民不愿对外公开或者不愿让第三人知晓的信息，例如女生的年龄、体重等。然大多数法律都以隐私来代替信息一词，将个人隐私与国家秘密、商业秘密等词并列，体现出立法机关对个人信息和个人隐私之间的基础概念尚不明晰以及行政机关在行使自由裁量权时具有随意性等问题。

（二）个人隐私行政保护机构空缺

为寻求政府数据开放与个人隐私保护二者之间的平衡，设立专门的个人隐私行政保护机构十分必要。这些机构不仅能够受理公民个人隐私权被侵犯的投诉，而且涵盖监督行政机关遵守相应隐私保护法规、为政府提供立法建议等职能。我国目前并没有设立专门的个人隐私保护权威机构，一些西方国家的经验值得我们借鉴，诸如英国设置的信息专员办公室、德国的联邦数据保护委员会等。这些机构的存在都致力于保障公民对隐私权被侵犯时的救济，兼具专业性与独立性。

我国该类权威机构的缺失，不仅使得掌握大量隐私数据的政府机关缺少独立监管，而且导致公民个人隐私信息被侵犯时，很难寻得一个合法途径以维护自身合法权益。根据2016年中国青年政治学院互联网法治研究中心发布的《中国个人信息安全和隐私保护报告》数据显示，当个人隐私权益受到侵害时，有高达60%的被调研者因不知如何维权而选择了沉默，而40%的被调研者因维权程序太复杂、成本太高而放弃维权[6]。从该调查可以得知，很多公民在难以找到维护自身合法权益的救济途径以及救济机构时，只能在隐私权被侵犯后被迫放弃维权。因此，关于个人隐私行政保护机构的设立是十分必要且急迫的，如果我国设立一个专门的个人隐私保护救济机构来帮助公民维权，也许情况会大为改观。

（三）数据开放网络平台存在漏洞

原则上来说，行政机关在对数据进行公布前应当进行一系列隐私审查，然大部分机关在进行审查时，仅仅采用形式审查方式，也即审查数据是否与统计局等部门发布的一致，不对数据的真实性、准确性等实质内容进行审查。这些未尽到实质审查义务的数据发布后，不但真伪性存疑，而且可能会给社会公众的个人隐私安全带来极大隐患。此外，这些平台有时还会出现公民住址、身份证号码等个人信息被显示，以及网络黑客入侵平台等问题，不法分子一旦有可乘之机，极易造成公民个人隐私权被侵犯，个人信息被泄露和丢失等严重后果。因此，网络技术和监管技术不到位等问题是行政机关所面临和需要解决的重大问题之一，这些都给政府数据的开放和储存带来了难度。

三、完善政府数据开放中个人隐私保护之有效路径

针对我国政府数据开放中存在的个人隐私保护问题，需要从健全个人隐私保护专项立法、建立隐私保护的救济机构以及加强数据开放网络平台建设等多方面着手进行改进。

（一）健全个人隐私保护法

由于针对个人隐私保护的规定较为分散，个人隐私保护体系的完善需要一部基础性法律作为支撑，以便与其他部门法共同构成隐私保护法律体系。该专项立法的内容可以从两个方面展开，首先从国家机关政府的行为着手进行规制，诸如国家立法机关不仅应当加强对公民个人隐私保护措施方法的研究，必要时还应当聘请行业专家，共同商议制定相应的私力维权、救济细则，为公民维护自身权益提供必要的救济保障。其次规制地方各级政府法律文件的制定，地方各级政府在制定相应文件时应具体考量当地的实际情况与机关自身条件。地方隐私保护政策的细化使得公民寻求救济的措施更加具体，维权意愿更高，对症下药的效果显著。对法律法规的建立健全不仅可以规范行政机关人员的行为，同时也让公民熟悉维护自身权益的救济途径，增强政府工作的透明度和对政府工作的监督力度。

（二）建立个人隐私保护的权威救济机构

行政复议、行政诉讼等救济方式并不能完全解决公民“维权难”的问题，因而建立一个独立的专门针对个人隐私保护的权威救济机构是十分必要的，该机构应当具备以下几点职能：其一，接受公民关于隐私权被侵犯时的投诉，对象既包括其他公民的侵权行为，也可涵盖各政府部门公开发布的相关文件。其二，充分发挥机构的宣传教育作用，开展隐私保护救济教育活动，同时制定隐私保护宣传手册，以提升公民的隐私保护意识和能力。其三，为国家以及地方各级政府的法律法规以及政策等文件的制定活动提供建议和帮助，并建立相应的信用登记系统，规范奖惩机制。除了设立专门的个人隐私保护机构之外，我国还可以将政府数据开放平台和隐私救济平台相结合，使政府在实施数据开放时及时地处理一些泄露隐私的数据，更高效地保护公民的隐私权。

（三）加强数据开放网络平台建设

数据开放网络平台是数据发布的重要载体，也是个人隐私泄露的直接渠道。规范数据平台的审查机制不能仅流于形式，而应当对数据的实质，即真实性、完整性以及合法性进行审查，保证数据平台在不侵害公民个人隐私的情况下最大程度的向社会公开其数据。

1.数据的分类与开放

为了方便行政机关对数据的审查，可将数据大致分为个人隐私数据和政府开放数据两类。政府开放数据又可细分为三种：其一是与个人隐私信息毫无关联的数据，称为完全开放数据，这一类数据开放前不用考虑是否影响到公民的个人隐私；其二是经公民个人同意的涉及个人信息的数据，又称开放个人数据，这类数据在开放前需征得公民的同意，并签署相应的知情协议；其三是公民不同意开放，但依据相关法律法规等规定必须强制开放的涉及个人隐私的数据，称为开放个人隐私数据，这类数据虽然涉及公民个人隐私，但是经过与国家、社会公共利益的权量，即使公民不同意公开也应当强制公开。在经过数据分类之后，再对不同种类的数据采取不同开放程度，例如完全开放形式、限制开放形式、不予以开放形式等。

2.规范数据审查流程

政府数据开放平台不仅要对数据进行形式审查，而且还要进行实质审查；不仅要对数据的采集人员及程序进行审查，还要对数据的真实性等进行全面审查。对于该项审查任务，政府机构应当引入一定的数据审查技术人员和相关学界专家。此外，所有数据在向社会公众发布之前均应进行一系列风险评估与审查，着重判断其是否属于个人隐私信息。如果审查后判定数据不涉及个人隐私，则可将其完全对社会开放；而经查明认定为涉及公民个人隐私的数据，则需要考虑能否对其进行数据脱敏处理，再选择脱敏后限制开放或者不予开放。

3.强化平台安全管理技术

政府数据平台网站的构建离不开后台人员的维护与安全监管。加强对开放数据的管理和规划，以满足公民对数据开放的要求，这不但有利于减少隐私被泄露和窃取的风险，而且可以及时避免个人信息被利用的情况发生。当公民在数据开放平台查询其想了解的数据时，平台应当根据数据的敏感程度，作出不同类型的开放或限制。而当查询的信息涉及某些个人隐私时，平台应当根据查询人员的身份作出判断，确保无权查看的人员不会显示数据，或在输入某些特定密码信息后才可被显示出来。

结语

数据开放是一把双刃剑，虽然其开放是必需的，有促进社会经济发展、提高行政机关履职效率等好处，但利用不当也会给信息主体的隐私和安全带来威胁。因此，国家在推动政府数据进一步开放与共享时，也应当聚焦于权利保障机制，保护公民的信息安全和信息权利，健全相关法律规范、完善权利救济机制以及推进数据开放的平台建设。