欧盟的政府数据再利用规则

2024-05-15 13:05陈咏梅胡涵严
国际展望 2024年3期
关键词:数据保护

陈咏梅 胡涵严

【内容摘要】  政府数据蕴藏着巨大的社会经济价值。欧盟不断出台关于政府数据再利用规则的法案。在立法理念上,欧盟逐渐从知情权导向转变为数据治理导向;在具体规则上,欧盟《数据治理法》强调从适用范围、适用条件和安全保障等方面,对政府数据中的个人数据、商业秘密和知识产权等高敏感数据类型予以规范。现阶段,中国政府在数据利用方面还存在利用率不高、规则不完备等问题。在国内,虽然一些地方政府陆续制定了政府数据再利用的管理办法,但仍有待进一步提高其数据开放的水平。为了充分发挥政府数据的潜在功能,中国可结合自身既有的法律法规,通过考察欧盟《数据治理法》的再利用规则,明确政府数据适用条件和安全保障等细则,释放政府数据红利,以提升政府数据的社会经济价值。

【关键词】  《数据治理法》  政府数据  数据再利用  数据保护

【作者简介】  陈咏梅,西南政法大学国际法学院教授(重庆  邮编:401120);胡涵严,西南政法大学国际法学院博士生(重庆  邮编:401120)

【中图分类号】 D95           【文献标识码】 A

【文章编号】 1006-1568-(2024)03-0128-25

【DOI编号】 10.13851/j.cnki.gjzw.202403008

一、问题的提出

得益于信息技术的快速发展,存储于“云端”以及硬件设备中的海量数据俨然成为新型的生产要素,对经济社会、政府治理、人民生活等方面产生了重要影响,甚至成为国家发展数字经济的关键因素。作为国家管理与社会治理的机关,政府先天具有收集和管理数据资源的职能。同时,伴随着大数据技术在政府治理领域的应用,利用数据的倾向得到不断强化,政府最终成为一国最大的“原始数据采集者”。 例如,根据国家互联网信息办公室发布的《数字中国发展报告(2022年)》显示,截至2022年底,中国的数据存储量达到724.5EB,同比增长21.1%,全球占比达到14.4%。 因此,面对如此庞大的政府数据,如何发掘政府数据要素的价值,激活政府数据要素的潜能,释放政府数据的红利,进而提升社会经济整体效益,是世界各国政府在数字治理转型过程中面临的普遍问题。

近年来,作为克服政府数据利用困难的方式,“开放政府数据”(Open Government Data, OGD)运动正如火如荼地在全球蔓延开来。 从国际社会的实践来看,OGD运动除要求政府开放数据外,更多是从社会经济维度试图利用政府数据,更为强调利用和挖掘政府数据的潜在价值。 例如,由75个国家和106个地方政府组成的开放政府伙伴关系联盟(Open Government Partnership)制定的《开放政府宣言》明确规定,开放政府伙伴关系联盟成员承诺积极提供高价值数据,促进数据的再利用; 同时,另外一个由170个政府和组织构成的“开放数据宪章”(Open Data Charter,ODC)组织发布的《国际开放数据宪章》也将“可接收与利用”作为政府开放数据的原则之一。 换言之,OGD运动是强调在增加政府透明度、保障公民民主参与度的基础上,使公众可以享受公共部门产生和收集的信息所具有的内在的社会及经济价值。 OGD运动不可避免涉及与政府数据再利用规则相关的法律问题。

在多边贸易体制中,部分成员也在呼吁制定政府数据开放利用规则,旨在消除数字贸易中的信息不对称,促进数据的运用,推动数字经济深层次发展。 2018年日本向世界贸易组织(WTO)提交的电子商务文件指出,为促进电子商务/数字贸易的发展,政府可以向公众开放由政府收集的信息,并以非歧视的方式允许国内外公司普遍获取。 同年,美国向WTO提交的电子商务文件同样将开放政府数据视为促进经济和社会发展的重要措施,认为贸易规则应鼓励政府以机器可读和开放的格式提供公共信息,并使之可以被再利用。 在区域数字贸易协定中,《数字经济伙伴关系协定》(Digital Economy Partnership Agreement, DEPA)第9.5條“开放政府数据”也鼓励缔约方确定并扩大获取、使用公开数据的方式,以增加和创造商业机会。

近年来,在政府数据再利用规则方面,欧盟的战略规划和制度建设成绩斐然。一方面,《欧盟数据战略》报告将拥有更好的数据访问方式和负责任的数据使用作为欧盟未来十年的愿景; 另一方面,欧盟通过制定《关于开放数据和公共部门信息再利用指令》(简称“《开放数据指令》”)、《数据法》(Data Act, DA)、《数据治理法》(Data Governance Act, DGA)等多部专门法律,同时配合《通用数据条例》(General Data Protection Regulation, GDPR)等欧盟其他法律规范,形成纵横交错、相互呼应的法律制度体系。根据欧盟DGA第2.2条的规定,政府数据再利用是指除了产生政府数据的最初目的之外,自然人或法人以商业或非商业为目的而使用公共部门所持有的数据,公共部门之间纯粹为完成其公共任务而进行的数据交换除外。 DGA作为欧盟最新关于政府数据再利用的立法,试图扩大政府数据再利用的范围,并解决政府数据被“套牢”(lock-in) 的问题,促进政府数据的再利用。

当前,中国学界对政府数据再利用规则的研究主要聚焦于政府数据开放制度与政府信息公开制度之间的承继与差异、政府数据开放制度的法理基础、政府数据开放中的数据收益权的制度构建、政府数据开放利用的权利基础、政府数据共享制度 以及政府数据再利用的规制模式 等内容。鲜有学者专门分析国际社会中关于政府数据再利用规则的最新立法,并针对中国现有政府数据开放程度不高、数据资源开发利用不足等问题, 提供有效的解决方案。因此,本文拟以欧盟最新且极具借鉴价值的DGA作为研究对象,分析欧盟政府数据再利用规则的法理演进和适用路径,并结合现有中国政府数据再利用规则现状,尝试提出完善建议。

二、欧盟的政府数据再利用规则的法理演进

早在1789年,法国的《人权和公民权宣言》就規定政府应当向社会公开信息。 在国际社会,联合国大会1946年第59(I)号决议宣示,信息自由是基本人权之一,是所有自由的关键。 随后的《世界人权宣言》第19条同样将信息自由作为基本人权予以对待。因此,在国际人权法中,基本人权就蕴含了信息自由这一理念,至少在国际法的实质渊源方面有此体现。 同时,当代各国宪法和国际组织普遍受到国际人权法的影响, 例如,《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)第11条规定了每个人拥有不受干预地获取信息的自由。知情权作为信息自由在各国宪法制度下的权利载体,其蕴含着某一主体具有获知与其相关信息情报的权利。 从本质上看,知情权由人民主权理论为其背书。按照人民主权理论,国家是自由人民的自由协定的结果,国家的权力源自人民。 因此,人民有理由向自己授权的对象提出知情主张,同时政府也有义务向公民公开与之有关的信息。 但仅仅具备知情权还远远不够,没有信息公开的法律制度,知情权将沦为华而不实的空壳。实际上,知情权作为一种积极权利,在行使权利的方式上,需要权利主体采用请求和主动的姿态要求政府公开信息, 其目的是防止公权力的任意扩张与侵犯,提高政府服务的透明度。在欧美国家,公众对政府信息公开的要求显得尤为突出。

从权利属性角度看,知情权不仅具有政治权利属性,而且还因信息的经济价值而具有财产权的性质。 在大数据时代之前,由于信息存储方式效率低、种类少、总量小,当时的政府信息的经济价值并不高。随着全球网络信息技术的不断发展,数据逐渐成为新的生产要素,其经济价值与日俱增。当前,政府利用大数据技术,大规模采集和收集数据,已成为一国最大的数据资源产出者和拥有者。如此庞大的政府数据所蕴含的经济价值十分可观。早在2006年,欧盟就估计其政府数据的价值在100亿—480亿欧元之间。 因此,政府数据开放已成迫切需求,但如何妥善利用海量的政府数据,实现数据增值,防止数据“待字闺中”,则是各国政府普遍面临的难题。

数据再利用规则为实现数据红利、提升社会经济效益提供了破题思路。以欧盟为例,2019年6月,欧盟率先修订完成上述《开放数据指令》,完善了政府数据再利用规则。随后,欧盟委员会(简称“欧委会”)陆续向欧洲议会提出DGA、DA等立法提案,进一步扩大政府数据再利用规则的适用范围,改善政府数据开放的可用性和创新性。实际上,欧盟并未放弃之前以知情权作为政府数据开放的目的之一。相反,从欧盟的立法内容看,欧盟是在尊重知情权的基础上,兼顾数据的经济价值,意图从传统单一的保障人权维度下的政府数据开放转换为当前数字治理维度下的政府数据再利用规则。数据治理的核心理念是以政府决策为中心,由公民共享政府提供的信息资源。 这一核心理念恰巧与侧重于保障公民参与民主决策的知情权相互补充、互为照应。因此,数字治理导向下的政府数据再利用规则与当前数字经济发展趋势更相匹配。

(一)以知情权为基础

通常意义上,知情权的内涵有广义与狭义之分。广义上的知情权泛指主体知悉、获取与自身利益相关的所有信息;而狭义的知情权则仅指公民知悉和获取官方信息的权利。 本文中的知情权主要限于狭义的范围。公民行使知情权的基本方式之一是公民通过各种渠道享受国家机关和其他公共团体依法提供的信息服务。 因此,政府信息公开法律制度既是公民知情权的重要保障,也是推进公民与政府之间良性互动、实现民主治理的重要方式。 欧盟早期政府公开信息法律制度主要围绕公民获取公共部门信息进行立法,具有明显的知情权特征。例如,《关于公开获取欧洲议会、欧洲理事会与欧委会文件的条例》(Regulation Regarding Public Access to European Parliament, Council and Commission Documents)详细规定了欧洲各国公民从申请公共部门信息到最终获取公共部门信息的整个流程,以及欧盟公共部门主动公开的信息范围和方式等。该条例还着重强调欧洲各国公民原则上均有权获取各公共部门的所有文件,凸显了欧洲国家保护公民知情权的立法重心。

随着大数据时代的到来,数据开放成为信息公开新的发展阶段,尤其是电子化数据的大规模积累、形成,为欧盟公共部门向欧洲各国民众提供大规模数据集(database)创造了可能。实际上,在当前的数字社会,无论是信息公开还是数据开放,政府对外发布(公开或开放)的都是数据资源,而信息只是数据资源中蕴含的内容或意义。 这促使欧盟的立法理念由以公共部门信息开放为中心转变为以公共部门数据开放为中心, 而欧盟公共部门数据再利用规则建立在欧盟公共部门开放数据的基础之上。 换言之,如果没有欧盟公共部门开放数据作为支撑和数据基础,那么欧盟政府数据再利用规则也是无源之水、无本之木。开放数据作为信息公开新的发展阶段,其中的价值理念继承了信息公开对公民知情权的保护。因此,欧盟公共部门的数据再利用规则同样是在尊重公民知情权的基础上,对公共部门的数据进行再利用。例如,《开放数据指令》序言着重强调了知情权作为基本权利的法律地位,以及公共部门开放数据所具有的民主动因。

简言之,无论是信息公开抑或数据开放再利用,知情权都是欧盟关涉此类立法背后“人文合法性”的集中体现, 但欧盟并不满足于数据开放再利用规则价值内核中包含的“人权表述”,而旨在最大程度上释放公共部门持有的大数据资源,激活欧洲的数字经济,为广大欧洲民众提供基于公共部门数据再利用技术下的就业和创新机会。因此,以“欧盟民意基础为护盾”的数据治理逐渐成为欧盟公共部门数据开放再利用的理念导向。

(二)以数据治理为导向

20世纪90年代,曼纽尔·卡斯特(Manuel Castells)教授在其著作《信息时代三部曲:经济、社会与文化》中提出了“流动空间”理论,即“通过流动而运作的共享时间之社会实践的物质组织”。 而在网络化“流动空间”中,所有形式的流动都以数据作为载体或中介。从这个意义上看,数据不仅成为在线网络空间的资源,而且也将影响线下自然和社会资源的再配置。因此,该理论揭示了数据价值来源于数据流动。 随着欧盟公共部门持续不断地开放数据,政府数据的经济价值不断增长,而挖掘公共部门开放数据中的经济效益逐渐成为欧盟数据治理的聚焦点。据统计数据显示,欧盟公共部门数据的直接经济价值将从2018年的520亿欧元增长到2030年的1 940亿欧元。 曼纽尔·卡斯特教授的“流动空间”理论为释放欧盟公共部门数据的价值提供了理论基础,即欧盟可促使公共部门采取数据流动的方式释放政府数据红利。

实际上,欧盟正试图建立欧盟数据治理框架以规范数据的具体流动方向及其后续使用。2020年《欧盟数据战略》将实现欧盟境内数据流动和完善数据治理机制作为未来十年的愿景之一,扩大再利用的数据集将是实现数据治理的重要方式。 与之对应的是欧盟在立法提案中的具体规则,例如,《开放数据指令》专门规定公共部门数据中高价值数据集的范围、评估等再利用规则; DGA则进一步将公共部门数据中可再利用的适用范围扩大到商业秘密(commercial confidentiality)、统计上的数据秘密(statistical confidentiality)、受保护的第三方知识产权以及个人数据。 因此,相较于单一维度下的知情权而言,大数据时代下的欧盟公共部门数据再利用规则以数据治理为价值理念导向。数据治理的实质是在尊重数据保护的基础上,更侧重于数据的经济价值,意图开发公共数据这座“富矿”,推动公共数据有序向市场主体和公民开放,进而实现对公共数据的高效利用。

综上所述,欧盟公共部门数据再利用的核心价值理念呈现出双轨特征,一条是以知情权为基础导向的人权动因表述轨道,另一条则是以数据治理为导向的经济动因表述轨道。由于国际法与国内法之间存在互动关系,欧盟数据治理理念和与之相关的数据再利用规则自形成后便受到国际社会的重视,并已对部分数字贸易协定产生了示范效应。例如,DEPA明确倡导扩大获取和使用政府数据,尤其是具有全球价值的数据集。 当前,中国已正式提出申请加入DEPA,欧盟的公共部门数据再利用理念对中国政府数据再利用的理念塑造具有一定的研究价值。

三、欧盟的政府数据再利用规则的适用路径

作为公共资源的政府数据,最大程度提高政府数据的开放利用效率,降低政府数据交易成本,是对政府数据资源合理配置的重要方式。然而,即使公共资源达到了“成本—效率”理论的最优配置状态,也并不意味着公共资源的配置结果是最优的。公共资源的普惠性决定了公共价值应当作为优化公共资源配置的要素之一。 换言之,政府数据的供给应当与公民认可的重要数据需求联系起来,将公众所获得的效用作为评估政府数据交易价值的首要目标。因此,从经济价值视角看,政府数据再利用可理解为在保障数据安全的前提下,根据自然人或法人的商业或非商业目的,有条件地向自然人或法人提供政府数据,以实现政府数据的二次利用,激发政府数据蕴藏的巨大价值潜能。

在DGA中,欧盟在公共部门数据再利用规则上也秉承公共利益的交易价值观,将公共部门通过公共预算生成或收集的数据作为造福社会的重要资源,旨在提升公共部门开放数据库的社会增值开发与再利用,满足社会公众的数字政务与数字生活的需求。 同时,从DGA的文本不难看出,公共部门数据再利用规则的适用具有体系性,表现为其所包含的各项要素环环相扣。本文将从三个方面来分析欧盟公共部门数据再利用规则的适用问题,分别是:欧盟公共部门数据再利用规则的适用范围、适用条件和安全保障。

(一)欧盟政府数据再利用规则的适用范围

一直以来,由于商业秘密、个人数据、保密的统计数据和受保护的第三方知识产权的敏感属性,以及欧盟着重强调隐私权与个人信息保护的立法精神,导致欧盟公共数据库中上述四种数据长期处于休眠状态,无法得到充分再利用。 按照欧盟近年数据立法的经验,人权导向的数据保护往往处于优势地位;但人权导向的数据保护立法或多或少忽略了数据再利用对于数字经济和新型技术产业发展的重要性。 因此,面对新的产业革命,欧盟的数据保护政策在一定程度上将引发数据的割裂与碎片化,妨碍数据的大规模收集与应用,从而妨碍以数据为养料的新型技术产业以及智能社会的快速成长,进而使产业发展呈现出疲软的趋势。 为促进欧盟市场主体充分再利用公共部门数据进行研究与创新,DGA将公共部门数据的适用范围扩展至商业秘密、保密的统计数据、受保护的第三方知识产权以及个人数据。 一方面,相较于《开放数据指令》中狭窄的可再利用数据类型,DGA拓宽了公共部门可再利用的数据类型。 另一方面,DGA也为再利用主体(re-users)使用上述四類数据类型制定了规则,避免了法律的不确定性。当然,DGA无疑也是欧盟促进内部市场统一、实现公共部门的数据价值、朝着数据治理理念转向的标志之一。

站在社会经济或公共利益的视角,政府数据可再利用的范围越大,越有助于大幅提高数字经济的增长效率。然而,政府开放数据库中的敏感信息,尤其是个人信息,如在再利用过程中未能得到有效保护,将可能产生巨大的风险,进而造成重大的损失。 例如,由于再利用主体使用个人数据的目的不尽相同,再利用主体很有可能违反“目的限制原则”。 同时,数据泄露、再识别风险也是在政府数据再利用过程中可能引发的潜在负面效应。 因此,欧盟数据保护委员会(European Data Protection Board, EDPB)和欧盟数据保护监督员(European Data Protection Supervisor, EDPS)在联合声明中共同对DGA能否有效且协调地保护数据安全表示关切。

实际上,欧委会试图将DGA的数据治理理念作为平衡隐私权与社会发展的支点,用以缓解个人数据保护与公共部门数据再利用之间的二元张力。具体来看,DGA将适用的公共部门数据类型分为私人类数据和公共安全类数据。前者主要包括以上所说的四类数据类型,而后者则主要囊括公共服务广播、文化教育数据以及国防安全等。 针对私人类数据,DGA在保持可被再利用的同时,要求再利用者在满足适用条件和安全保障技术的情况下才能对该类数据进行再利用。同时,考虑到公共安全类数据一般涉及国家安全、文化安全等特性,DGA直接规定公共安全类数据不属于该法的适用范围。可以看出,DGA力图对政府数据类型化,在适用范围上排除公共安全类数据后,专门针对私人类数据的再利用行为予以规范,尽可能实现公共部门收集的数据价值,促进欧盟数字市场发展与创新。

(二)欧盟政府数据再利用规则的适用条件

虽然DGA规定欧盟公共部门数据可被所有自然人和法人再利用,但是出于数据保护、维护市场竞争等原因,DGA第5条规定了公共部门数据再利用的条件,具體表述为:非歧视(non-discriminatory)、客观合理(objectively justified)、透明(transparent)以及合比例(proportionate)。 其中,前两项为实体条件,即指公共部门向再利用主体提供政府数据需要满足的要求;而后两项则为程序条件,主要针对公共部门为实施数据再利用所采取的方式(见图1)。

第一,实体条件。

根据DGA第5(2)条的规定,欧盟公共部门向再利用主体提供政府数据时应当满足非歧视和客观合理这两项实质要求。这两项要求是欧盟针对再利用主体的数据获取和数据保护这两个方面所作的规定。

一方面,由于再利用主体的数据获取能力不尽相同,尤其是自然人、中小企业和初创企业等对政府数据的获取能力较弱,因此,欧盟要求公共部门向所有再利用主体提供开放数据时采取非歧视的方式,以保障数据获取的公平性,进而促进中小企业和初创企业对公共部门数据的再利用。 同时,DGA序言还特别规定了再利用的目的与非歧视之间的关联。例如,如果某政府数据的再利用是为促进科研目的而设计,那么优先考虑从事科研的数据再利用主体也应当被认为是非歧视性的。

另一方面,DGA要求公共部门设置具体的再利用条件时,应当综合考虑数据类别、再利用的目的以及数据的性质,遵循客观合理的标准。从客观上看,并非所有的政府数据都平等地向所有人开放。显然,不同的数据类别可能需要不同的数据保护措施。例如,数据运营者对个人数据中敏感数据与一般数据的保护力度与谨慎程度不尽相同。 因此,再利用主体在使用公共部门开放数据时应当具备必要的技术手段以确保对第三方权益的保护,避免再利用主体使用政府数据时产生新的隐私和个人信息保护风险。

第二,程序条件。

合比例和透明是欧盟公共部门数据再利用的程序条件。程序的价值目标大体可以分为功利性和正义性。功利性着重强调程序实施的效率;正义性则强调程序内在的道德性。 因此,程序价值的两项基本目标包含保障结果正当和过程正当。 DGA关于政府数据再利用的两项程序条件符合程序的两项基本价值。

合比例要求主要体现程序的功利价值。DGA规定公共部门设置其数据再利用的条件时,应当采用最符合再利用主体利益的方式,且不对公共部门造成过重的负担。 DGA的立法目的之一就是促进公共部门数据能够得到充分的再利用, 即使再利用主体无法满足DGA第3条和第5(4)条的数据安全保障义务,DGA也要求公共部门应当尽最大努力向潜在再利用主体提供协助,包括寻求原始数据主体的同意或许可等。 显然,此举是站在再利用主体的视角,通过降低再利用主体的成本来推动实现该立法目的。当然,公共部门也不应当无底线地迎合再利用主体的利益,还需要确保公共部门本身不会因此造成过重负担。如前文所述,公共部门数据再利用的价值目标旨在挖掘数据的潜在价值,增加社会整体经济效益。如果不合比例地一味偏向再利用主体,造成公共部门负担过重,则政府数据再利用规则的经济价值目标反而无法实现,从而有损于实现程序的功利价值。

透明度要求则是针对程序价值的正义性作出的规定。具体来看,DGA关于公共部门数据再利用的透明度要求主要体现在三个方面。首先,DGA第4(3)条和第4(5)条规定公共部门数据再利用的排他性授予需要遵循透明度的要求,且应当以符合欧盟有关公共采购法律的形式在网上公开此排他性授权的原因。其次,DGA第5(1)条要求再利用的条件与程序均须由统一的信息发布机构向公众公开。最后,公共部门向再利用主体收取的费用也应当是透明的。 整体来看,透明度要求回应了再利用主体关于政府数据再利用条件的知情权,同时也有助于再利用主体及时了解政府数据再利用的条件,减少法律不确定性。

由于欧盟各成员国在政府数据的开放程度上并不一致, 欧盟仅规定了较为抽象的政府数据再利用适用条件。即便如此,DGA仍然对欧盟各成员国在实施政府数据再利用上提出了框架性要求。

(三)欧盟政府数据再利用的安全保障

政府数据再利用如同一把双刃剑,在释放数据红利的同时,如不能保障政府数据(尤其是敏感数据)的安全,则可能给数据主体带来安全和隐私方面的风险。 政府在行使公共职权过程中公开的各类信息,包括企业工商登记信息、征信信息、司法裁判文书公开的信息等,都有可能涉及姓名、身份证号码、手机号码、任职、经历、行为记录等个人敏感数据。一旦再利用主体针对上述政府数据进行再利用,如提供信息查询的收费或免费服务,就存在侵犯数据主体权益的可能性。纵观各国实践,这类案例层出不穷。例如,中国香港地区的个人资料隐私专员公署曾将一款手机应用软件的运营行为认定为严重侵犯个人隐私的行为,因为该应用软件专门收集已公开的司法裁判文书或企业商业信息并向用户提供收费查询服务。 而在著名的“谷歌西班牙”案中,原告冈萨雷斯要求谷歌在搜索结果中删除或隐藏两份载于1998年西班牙《先锋报》(La Vanguardia)上的有关原告房屋拍卖以抵偿社会保险债务的公告的请求,欧盟法院判决给予支持。 由此可见,一方面,数据可以被再利用;另一方面,在政府部门允许数据被再利用时还需要考虑对相关权利人的数据保护。因此,欧盟实际上试图利用DGA寻求政府数据再利用和数据保护之间的平衡,探索最佳政府数据再利用的规则。

具体来看,DGA第5(3)条全景式地规定了公共部门在再利用主体利用数据时应当遵循的数据保护方式。一方面,针对不同类型的政府数据,DGA设置了不同的数据保护方式。例如,DGA第5(3)(a)条规定个人数据的再利用需要进行匿名化处理,而商业秘密以及受保护的知识产权的再利用则需要以披露控制的方式修改、汇总或处理数据。 另一方面,即使再利用主体无法满足DGA第5(3)(a)条关于匿名化或披露控制的数据保护要求,但数据再利用主体只要满足GDPR第35条“数据保护影响评估”或满足第36条“咨询监管机构”的要求,DGA第5(3)(b)条允许再利用主体在公共部门提供或控制的安全处理环境中远程访问和再利用数据;如果无法在不损害第三方权利和利益的情况下远程访问数据,DGA第5(3)(c)条还允许再利用主体根据高度的安全标准在前项安全处理环境所处的物理场所内访问和再利用数据。当然,在此情形下,DGA保留了公共部门较大的监管权。例如,公共部门在数据再利用的整个环节,对再利用主体处理政府数据的过程、手段和结果都有核查权,并禁止其使用含有危害第三方权益的信息。

然而,即使公共部门采取匿名化、披露控制或提供安全的处理环境等方式保护第三方数据主体的权益,也可能因科学技术的发展,导致上述数据保护方式出现漏洞。 例如,再识别技术的发展可能导致现有的匿名化措施面临被突破的可能,进而无法充分有效地保护第三方的数据权益。 甚至有学者直言,由于匿名化数据的再识别或去匿名化十分容易,匿名化技术本身也是一个“乌托邦”。 因此,DGA第5(5)条规定,禁止再利用主体再识别与数据有关的所有数据主体,并应采取技术措施防止数据的再识别。

除此之外,针对跨境的政府数据再利用,DGA也制定了严密的政府数据再利用的安全保障规则。例如,DGA不仅要求再利用主体说明跨境传输数据的目的和意图,而且DGA还规定再利用主体应当遵守欧盟法并接受数据传输国法院的管辖。 当然,DGA也要求公共部门在其能力范围之内为再利用主体的跨境传输数据提供指导和帮助。

整体来看,DGA在数据保护与政府数据的再利用之间取得了良好的平衡。一方面,DGA在GDPR等数据保护法的基础上,对政府数据的再利用主体提出了匿名化、披露控制等必要的数据保护措施;另一方面,即使再利用主体无法达到上述要求,其还可以通过公共部门提供或控制的安全处理环境中远程访问和再利用政府数据集。因此,DGA既沿袭了欧盟一向重视数据保护的传统,同时也反映了欧盟促进公共部门数据的合理再利用,以充分发挥政府数据的作用。

四、歐盟的政府数据再利用规则引发的思考

随着公众对公共数据资源需求快速提升,公共产品供给领域内“政府—市场—社会”的关系发生了显著变化,导致政府数据的治理逻辑也以促进政府数据开发利用为首要目的。政府负责扮演“数据要素的供应方”,通过向社会供给公共数据资源来支撑成品化公共产品的合作,并释放公共数据资源所蕴藏的经济价值。 早在2015年,国务院印发的《促进大数据发展行动纲要》明确提出,在依法加强安全保障和隐私保护的前提下,稳步推进公共数据资源开放。 2018年《公共信息资源开放试点工作方案》则集中体现了中央将释放数据红利作为政府数据开放的目标导向,明确了政府数据的社会价值。2021年通过的《中华人民共和国数据安全法》(简称“《数据安全法》”)更是我国首次以法律形式对政府数据再利用予以规范。其中,《数据安全法》第42条要求制定政府数据开放目录,确保在安全可控的情形下,促进政务数据的开放利用。2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”)进一步细化了公共数据再利用的适用方式,鼓励在保护个人隐私和确保国家安全的前提下,推动按用途加大公共数据供给范围。根据党的二十届二中全会审议通过的《党和国家机构改革方案》,时任国务委员兼国务院秘书长肖捷就国务院机构改革方案作出说明,指出组建国家数据局,加强对数据的管理、开发、利用。 相应地,在中央层面,2023年10月25日国家数据局正式揭牌成立;在地方层面,部分省市也已经对政府数据再利用进行了专门立法(见表1)。

从上表中列举的地方立法的情况来看,各地方政府逐步制定了关于政府数据再利用的管理办法及其实施细则,但仍然存在操作性有待进一步提高的问题。同时,各省级管理部门分别编制公共数据目录,也可能导致各地政府数据开放水平参差不齐,进而无法完全实现政府数据再利用所能产生的社会价值。因此,我国有必要细化和整合当前各地政府数据开放利用的规则。欧盟DGA作为一部兼顾原则性与可操作性的政府数据开放利用规范,可为我国未来政府数据再利用相关立法提供一定的借鉴。

(一)明确政府数据再利用的条件

在法律属性上,政府数据开放被看作是政府提供的一项公共服务。因此,在法律制度的构建上,应当考虑政府数据开放的服务对象(即数据的再利用主体),为其构建可操作、周延的权利规则,进而形成理性、公平的公共数据开放利用法秩序。 目前,上海市、山东省等省市已对政府数据再利用规则作出原则性规定,如《上海市公共数据开放暂行办法》第四章“数据利用”要求数据利用主体遵循合法、正当的原则。部分省市还制定了相应的公共数据开放再利用的实施细则,如《上海市公共数据开放实施细则》第15条、第19条等条款具体规定了政府数据再利用的条件。然而,仔细分析可以发现,地方政府的已有规定仍然具有较大的不确定性,明确性有待进一步提高。例如,《上海市公共数据开放实施细则》第15条“开放条件”中列出的除兜底条款外的五项政府数据开放条件均是“可以”包括的条件,即既可以包括,也可以不包括,数据开放主体并非具有法律上的义务而必须包括这些条件。相较而言,欧盟DGA第5.2条的政府数据再利用条件是“必须”(should)具备的,即数据开放主体具有法律上的义务来满足所列条件的要求。

除了上述有待进一步明确的数据再利用条件外,在欧盟DGA所要求的合比例和非歧视方面,目前国内立法也存在一些问题。另外,就合比例问题而言,无论是《上海市公共数据开放实施细则》还是《山东省公共数据开放工作细则(试行)》,在政府数据再利用的条件方面,都未涉及由公共资源建设支撑的政府数据库与特定再利用主体之间的“成本—收益”关系。理性政府在作出决策之时,也需要从经济效用的角度考虑资源的有效分配和利用。如果不论何种数据,政府均无条件地向数据再利用主体提供,那么很可能导致成本过高,进而数据开放主体没有动力去推动数据的有效再利用。

就非歧视要求而言,目前除上海市、山东省、广东省等省市规定公共部门向再利用主体提供政府数据时应当遵循非歧视待遇要求之外,其他省市已有的政府数据再利用规则并未明确规定非歧视待遇要求。例如,《浙江省公共数据条例》第27条规定了公共数据开放应当遵循依法、规范、公平、优质和便民的原则。政府数据开放再利用的公平原则过于宏观,缺乏具体标准,因此在政府数据开放再利用的过程中,如果没有相对明确的非歧视待遇要求,那么不排除外国企业/外资企业在获取政府数据时可能遇到歧视待遇,因为在国际投资法中,“公平公正”待遇并不等同于“非歧视待遇”,这两项在国际投资协定中往往是并列的待遇。如果外国企业/外资企业实际上难以获取和再利用政府数据,可能会构成对外国企业/外资企业事实上的歧视性待遇,从而使得外国企业进入中国国内信息市场受阻,进而可能违反中国签署的国际经贸协定中的国民待遇原则。因此,目前各省市政府数据管理条例或同类规则可考虑借鉴欧盟DGA中政府数据再利用的条件性规定,进一步明确政府数据再利用所必须满足的条件,并聚焦比例原则和非歧视待遇要求,保障政府与数据再利用主体之间权利、义务的平衡,以及不同能力的再利用主体和国内外企业都可以公平合理、非歧视地访问和利用政府数据。

一方面,DGA的比例原则要求平衡政府与数据再利用主体之间的成本,即在保障数据再利用主体可依法再利用政府数据权利的同时,也要避免政府负担过重。实际上,开放再利用并不意味着免费再利用。为提供可再利用的政府数据,政府需要投入大量成本对数据进行存储、传输与维护。根据行政法的成本收益分析原则, 政府负担供给数据的义务也应当量力而行,而不是不计成本地行使行政权力。因此,一旦超出一般供给数据义务,政府可采取有偿服务等方式适当与再利用主体分担政府数据再利用的成本。例如,政府可区分不同的数据再利用情形,建立基础配额免费、超额部分收费的阶梯式价格制度。在现有政策规范中,“数据二十条”明确规定用于公共治理、公益事業的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用。同时,政府可对需求量小、实时性弱、访问频率低的数据,免费提供再利用服务。但是,如果数据再利用主体对政府数据具有额外的合理加工需求,政府则可采取收费等方式提供相应服务。

另一方面,DGA中非歧视待遇意味着政府在向再利用主体提供数据时,应当公平、公正、无差别地对待数据再利用主体,防止大型企业或国有企业利用市场支配地位形成垄断,进而降低数据对社会经济效益的提升作用。因此,尚未在管理条例中明确规定非歧视待遇要求的地方立法机构可考虑在实施细则中增设非歧视待遇条款,明确规定政府数据再利用主体享有非歧视待遇与公平待遇的权利。同时,根据“无救济则无权利”原则,还应考虑在政府数据再利用的相关管理规范中明确再利用主体可获取的救济程序,用以保障再利用主体非歧视利用政府数据权利的行使。

(二)加强政府数据再利用的安全保障

政府数据再利用规则不仅需要保障数据利用主体的权利,而且还需要为数据利用者设定政府数据再利用的安全保障义务。一方面,由于政府数据类型的多元化,涉及商业秘密、个人信息的政府数据可能在被开放利用后遭到侵犯;另一方面,随着数字技术的快速发展,现阶段有效实施的安全保障措施可能在未来不再具有可行性。例如,前文提及的政府数据中个人信息的去识别化、匿名化技术被视为政府数据再利用的安全保障措施,但近年来却因为大数据技术的快速发展,去识别化、匿名化的安全保障措施遭到质疑。有学者认为,即使去识别化、匿名化的技术能够有效缓解个人数据的过度开发,也难以阻挡大数据形成的规模化数据集大概率能够精确识别个人身份。 又如,部分涉及国家安全秘密的政府数据,虽然可以通过脱敏、脱密等技术处理,使其符合当前的政府数据开放利用条件,但这些技术处理无法完全防范政府数据再利用主体通过各种数据分析软件来进行超出范围的挖掘、处理,最终导致国家安全秘密的泄露。

相较于欧盟DGA中较为完备的政府数据再利用的安全保障,目前中国的立法及实践对政府数据再利用过程中的个人隐私数据安全以及国家安全等敏感政府数据的保障略显薄弱。

第一,在个人隐私数据安全方面,虽然当前中国可借助《网络安全法》《个人信息保护法》等间接规范不当的政府数据再利用行为。例如,《个人信息保护法》第27条规定了数据再利用主体对已公开的信息可在“合理的范围内”进行处理,但由于立法者缺乏对“合理”的解释标准,使得第27条事实上存在模糊性,进而极有可能导致在司法实践中相同或相似的数据再利用行为面临不一致的裁判。又如,针对中国裁判文书网公开的司法裁判文书,有企业将其下载并纳入商业数据库,进行再次传播与利用。有两份裁判文书中的两位案涉当事人分别在北京和苏州向法院提起诉讼,要求相关被告移除载有其有关信息的裁判文书。 两地法院均指出,案件的焦点在于判断数据再利用主体对已公开个人信息的再利用行为,是否构成对个人信息主体的个人信息权益损害,关键是既要尊重个人信息主体对其个人信息再传播的选择自由,又要对个人信息主体对信息传播控制的人格权益与个人信息流通所产生的潜在财产权益进行价值衡量。面对相似的案例,北京市第四中级人民法院和苏州市中级人民法院在利益衡量方面作出了相反的判断。北京市第四中级人民法院认定被告转载涉案裁判文书中的个人信息并未侵犯原告的个人权益,因此驳回了原告的诉讼请求;而苏州市中级人民法院则认定被告转载和再利用裁判文书对原告生活造成了不利影响,因此,判定被告侵犯了原告的个人信息权益。虽然两份判决均强调新型的个人信息权益需要个案处理,但是面对如此类似的案情,司法实践的不一致也意味着出台立法解释的紧迫性。因此,立法者需要对个人信息保护与数据再利用行为予以平衡,方可正本清源,解决当前司法实践中数据再利用面临的问题。

第二,虽然中国的《数据安全法》《网络安全法》《关键信息基础设施安全保护条例》均将国家安全作为数据安全的价值导向。但是,地方立法中的政府数据再利用规则依然缺乏完善的数据安全保障的法律规定,从而无法与上述立法宗旨相互适配。例如,《数据安全法》第22条至24条明确规定国家建立数据安全的预警机制、应急处理机制和安全审查制度;然而,地方政府的立法却并未细化这三项机制,导致数据安全保障制度难以落实。

由此,无论是中央还是地方层面,均应加强數据再利用的安全保障。一方面,中国可考虑采取立法措施,在各省市政府数据管理条例中规范政府数据再利用主体在实施再利用行为时应当采取的保护措施。例如,企业在再利用政府数据的过程中应当对个人敏感信息进行匿名化处理,并且再利用数据主体应当自行采取技术手段防止政府数据中个人信息被再识别;又如,在数据管理部门提供的安全环境下,授权企业才可被允许对政府数据实施再利用。通过安全数据保障,政府可以掌握数据开放再利用的全生命周期,记录再利用主体处理数据的过程,并且实施动态监管,防止涉及国家安全、个人隐私等敏感数据泄露。另一方面,中国也可在司法实践中,逐步确定个人信息保护与数据再利用之间的边界,在具体个案中把握好个人信息主体权益与数据流通的社会经济利益的平衡。

结 束 语

党的二十大报告提出加快数字经济发展,促进数字经济和实体经济深度融合。 国际上围绕数字技术、数据规则的国际竞争也日趋激烈。数据规则成为决定国家未来发展潜力和国际竞争力的重要领域。在大数据时代,政府数据再利用是释放数据红利的重要方式。欧盟通过OGD运动逐渐确立了政府数据再利用的基本理念和实施框架。欧盟《数据治理法》的生效标志着欧盟进一步完善了政府数据的再利用规则,以充分实现政府数据的经济社会价值。DGA着重规制政府数据中个人信息、商业秘密、知识产权等高敏感数据类型的再利用规则,分别在此类规则的适用范围、适用条件和安全保障等方面作出了具体规定。现阶段,中国政府的数据还存在利用率不高、规则不完备等问题。一方面,这是由于政府数据再利用规则的内涵、适用条件以及安全保障制度方面的不足所导致。对此,中国可结合自身国情、大数据技术和既定法律规范,评估欧盟DGA中关于政府数据再利用的规则,明确中国政府数据再利用的条件并加强国家安全、个人信息等安全保障。另一方面,数据开发利用技术本身的局限性也导致了这些问题,如政府数据开放平台的应用接口技术不完善导致政府数据接口异常,政府数据库中软件出现错误导致数据污染等问题。对于这些问题,随着未来技术的发展和相关研究的深化,或许可以得到有效解决。

[责任编辑:樊文光]

猜你喜欢
数据保护
德国对ChatGPT发起数据保护调查
数据保护护航IT转型
——戴尔易安信数据保护解决方案
欧洲数据保护委员会通过《一般数据保护条例》相关准则
欧盟通用数据保护条例中的数据保护官制度
欧盟最严数据保护条例生效 违反将严惩不贷
欧盟“最严”数据保护条例生效
未成年人能不能上社交网络
TPP生物药品数据保护条款研究
欧盟数据保护立法改革之发展趋势分析
欧盟《一般数据保护条例》新规则评析