政府数据开放中的隐私风险:类型、成因与治理策略
2021-10-23吴钟灿
摘要:借鉴数据生命周期理论,对生命周期过程的不同阶段中存在的隐私风险进行分析,发现政府数据开放过程分为数据采集与处理阶段、数据存储与发布阶段和数据开发与利用阶段。在数据采集与处理阶段,面临目的无关、质量低下、脱敏不足三类隐私风险;在数据存储与发布阶段,面临安全漏洞、重新识别、审查缺失三类隐私风险;在数据开发与利用阶段,面临操作违法、监管不足和评估滞后三类隐私风险。通过对生命周期过程中三个阶段存在的九种不同类型的隐私风险进行界定,分析不同类型隐私风险的成因,提出具体的应对策略。
关键词:政府数据开放;隐私风险;数据生命周期
中图分类号:D63文献标识码:A文章编号:1009 - 5381(2021)05 - 0038 - 11
收稿日期:2021 - 07 - 30
作者简介:吴钟灿,女,云南昭通人,西南财经大学公共管理学院硕士研究生。研究方向:政府数据开放。
一、问题提出与文献回顾
在政府数据开放给国家带来巨大的经济效益和社会效益的同时,由政府数据开放催生的隐私风险问题也愈发突出。如政府数据开放带来的隐私数据泄露问题、隐私权利侵害问题、国家安全保障问题等,使得政府数据开放深陷隐私风险的困境。为了应对政府数据开放中面临的隐私风险问题,不少发达国家都采取了相应的措施进行回应。2012年,英国政府发布《开放数据白皮书:释放潜力》,明确提出要实现政府数据开放与个人隐私保护之间的平衡,同时应该对开放的数据进行隐私影响评估,从而减少政府数据开放隐私风险问题的发生。2013年,美国发布《开放数据政策:管理作为资产的信息》,对政府数据开放中的隐私保护和判断进行了规定:政府部门必须把隐私风险分析纳入信息生命周期的每个阶段。我国也非常重视政府数据开放中的隐私风险问题。2016年,国务院发布《“十三五”国家信息化规划》,提出要通过立法方式为政府数据开放隐私保护提供保障。然而,政府数据开放的数据范围广且数量大,使得隐私风险的种类和形成原因也较为复杂,仅依靠法规政策难以有效应对。为了明确政府数据开放过程中的隐私风险及其产生的原因,平衡政府数据开放与隐私保护之间的矛盾,对政府数据开放过程进行系統性分析成为应对隐私风险的关键举措。
为回应社会关切,学者们分别对政府数据开放中的隐私风险类型、隐私风险成因以及隐私风险的治理策略进行了深入探讨。关于政府数据开放隐私风险类型界定,学者们分别从隐私原则、开放过程、风险来源等不同方面进行了界定。从隐私原则出发,陈朝兵和郝文强指出政府数据开放隐私风险包括目的无关、操作违法、质量低下、安全漏洞、通知意外、许可无效[1];从开放过程出发,郭维嘉认为实名数据的披露、匿名数据的重新识别风险、个人数据的使用是数据开放中的主要隐私风险[2];从风险来源出发,陈美认为城市政府数据开放中会面临不同的隐私风险点,包括直接识别数据、间接识别数据、元数据、地址数据、地理坐标等[3]。关于政府数据开放隐私风险的成因,有学者认为,隐私保护技术落后使得个人隐私安全难以保障。王晓珊和郭越认为,我国目前并没有研发出可以绝对保护数据信息的技术,这增加了政府保护公民个人隐私的难度[4]。有学者认为,隐私保护相关制度不健全是隐私风险产生的重要原因。佟林杰和刘博指出,在政府数据开放中,数据安全与隐私保护的专项法律尚未健全,在数据考核与立法机制建设方面也不成熟,这些因素都会产生隐私风险[5]。还有学者认为,某些数据本身就携带个人信息。DamianiA等认为,用户位置能够反映身份、生活习惯等敏感个人信息,不可信的位置服务通过收集大量的用户位置数据导致严重的隐私风险[6]。关于政府数据开放隐私风险治理的策略,学者们既注重国外经验学习,又关注国内实践发展。黄如花[7]、杜荷花[8]、陈美[9]等一批学者从美国、英国、新西兰学习个人隐私保护经验后,立足本土提出相应的隐私保护措施。张聪从[10]、谭军[11]、王晶[12]等人分别从数据生命周期理论、TOE、系统动力学角度提出了如何通过理论运用解决我国政府数据开放中的隐私风险问题。
由上述分析可见,当前的学术研究尽管对政府数据开放隐私风险的类型、隐私风险的成因、隐私风险的治理策略进行了探讨,但是大多停留在静态维度的分析,尚未从政府数据开放生命周期过程的动态维度来进行研究。有鉴于此,本文以数据生命周期理论为理论基础,从数据创建与处理、数据存储与发布以及数据开发与利用三个阶段来分析不同阶段可能存在的隐私风险,并对这些不同的隐私风险的成因进行识别和探讨,从而提出有针对性的意见,为分析政府数据开放中的隐私风险问题提供一个可借鉴的思路。
二、政府数据开放中隐私风险的分析框架
(一)数据生命周期理论及其适用性
生命周期理论由卡曼(A.K.Karman)于1966年首先提出。生命周期理论起初是用来分析产品的生产过程,后来被引入信息科学领域。1986年,美国信息资源管理学家马尔香(D.A.Marchand)和霍顿(F.W.Horton)提出“信息生命周期”的概念,并将信息生命周期分为信息创建、采集、组织、开发、利用、清理六个过程,“信息生命周期”进入人们的视野[13]。此后,“信息生命周期”的概念被引入政府数据开放领域,形成数据生命周期理论。在此基础上,国内学者利用数据开放生命周期理论对政府数据开放过程进行阶段划分,以此来研究政府数据开放中的问题。王卫等学者根据数据生命周期理论,将政府数据开放过程划分为数据创建、数据筛选、数据发布、数据关联、数据检索、数据开发、数据互动八个阶段,并构建出政府数据开放平台框架[14]。蔡志余将政府数据开放生命周期过程分为数据采集、数据组织与披露、数据保存、数据访问、数据使用五个阶段,并对不同阶段中存在的隐私风险进行分析[15]。由此可见,不同学者将政府数据开放过程分为不同的生命周期阶段。本文采用学者黄如花等人对政府数据开放生命周期过程的划分方法。
黄如花等人构建出政府数据开放的生命周期管理模型(见图1)。该模型指出,政府数据开放的生命周期过程包含五个阶段,即政府数据的创建与采集、组织与处理、存储与发布、发现与获取以及增值与评价五个阶段,每个阶段都有相应的任务。例如,在政府数据创建与处理阶段,负责对采集到的数据的质量、内容进行筛选;在组织与处理阶段,对数据类目、元数据元素、数据格式等进行组织规范;在存储与发布阶段,通过特定的技术平台,对数据进行发布;在利用与增值阶段,助力社会效益的价值增值[16]。
数据生命周期理论提出后,在政府数据开放领域得到了广泛的应用。本文认为数据生命周期理论亦适用于分析政府数据开放中的隐私风险问题。一方面,数据生命周期理论以政府数据从生成到消亡的全过程为研究对象,通过对不同阶段存在的问题进行探索,有利于明晰问题产生的根本原因,进而有针对性地提出解决方案;另一方面,政府数据开放过程本身也是一个动态的过程,隐私风险隐藏于数据生命周期的各个阶段,因而需要对每个阶段存在的隐私风险问题进行分析,这就为从数据生命周期角度发现政府数据开放中的不同隐私风险问题及原因提供了可能。同时,已有研究采用该理论对政府数据开放过程中存在的问题进行了研究,为研究政府数据开放中的隐私风险问题提供了参考。
(二)基于数据生命周期的政府數据开放隐私风险分析框架构建
根据数据生命周期理论,政府数据开放生命周期过程由不同生命周期阶段构成,这些不同的生命周期阶段相互影响、共同作用,组合成为政府数据开放的一个完整的生命周期。数据生命周期理论为政府数据开放生命周期过程的构建提供了可行的分析工具,明确政府数据开放过程,有助于对不同过程中存在的隐私风险进行分析。
根据数据生命周期理论模型,政府数据开放包括五个阶段,即创建与采集、组织与处理、存储与发布、发现与获取以及增值与评价,但是在某些过程中存在的隐私风险是相同的,因而应该将类似的隐私风险进行整合。
首先,在数据创建与采集阶段,完成对所采集数据的内容和质量进行初步筛选。在这个阶段,可能存在内部工作人员工作技能欠佳以及相关标准模糊等风险点。工作人员技能欠佳表现为:在数据的创建与采集过程中对涉及隐私的数据的处理能力不足,导致在数据采集过程中出现隐私数据泄露;标准的模糊表现在数据采集的边界模糊,可能造成无关数据的采集,这些无关数据可能涉及隐私,从而导致个人隐私被侵犯。在数据组织与处理阶段,内部工作人员的技能欠缺仍然是隐私风险产生的风险点,表现在工作人员是否具备娴熟的数据脱敏处理能力,从而保护个人隐私数据安全。此外,该阶段也存在标准不统一的现状,如脱敏标准不一,导致某些数据面临脱敏不足的隐私风险。综上,数据创建与采集和数据组织与处理阶段都会面临工作人员的风险防控技能欠缺以及相关标准的模糊或不一致的现状,因而可以将这两个阶段进行整合,以便于对同类问题进行分析。
其次,在数据存储与发布阶段,存储机构及发布平台的安全性都是隐私风险产生的风险点。存储机构作为海量数据的容纳点,如果安全性难以保障,很有可能导致数据泄露。而发布平台对数据是否进行有效的匿名化处理后再进行发布,以及数据发布后是否对其数据进行追踪审查,则会对数据发布后是否会因为重新识别而导致个人隐私数据的重新组合,从而暴露个人隐私。因此,这一阶段也是隐私风险容易爆发的重要环节,可以作为隐私风险生成的单独环节进行分析。
再次,在数据的发现与获取阶段,涉及的隐私风险点主要来自两个方面。一方面,数据的发现与获取主要涉及用户的数据利用行为,用户对数据获取和发现的方式影响数据的安全。另一方面,数据开放部门对用户的数据发现和获取行为是否采取有效的评估与监管等,对发现和识别这一阶段可能存在的隐私风险具有重要的作用。在数据开发与增值阶段,用户可以通过对数据的开发而获得数据产生的红利,但是这个阶段,用户自身行为的规范性以及数据开放机构的监管与评估的合法性会对隐私数据安全产生极为重要的影响。综上,在数据发现与获取以及数据开发与增值阶段,涉及用户自身行为以及开放机构本身在隐私监管和评估方面的作用,因此可以将这两个阶段进行合并,成为数据开发与利用阶段。
基于上述分析,本文把政府数据开放生命周期过程分为三个阶段(如图2),即政府数据采集与处理阶段、政府数据存储与发布阶段以及政府数据开放与利用阶段。在数据采集与处理阶段,面临的隐私风险有目的无关风险、质量低下风险以及脱敏不足风险;在数据存储与发布阶段,面临的隐私风险有审查缺失风险、重新识别风险以及安全漏洞风险;在数据开发与利用阶段,面临的隐私风险有操作违法风险、监管不足风险以及评估滞后风险。三个不同阶段的隐私风险有不同的形成原因,因而应该对不同类型的隐私风险进行分析,从而厘清不同隐私风险产生的原因。
三、数据采集与处理阶段的政府数据开放隐私风险分析
数据采集与处理作为政府数据开放生命周期过程中的第一个子阶段,对该阶段中的隐私风险进行分析,有助于从源头解决政府数据开放中的隐私风险问题。
(一)隐私风险的类型
在数据采集与处理阶段,主要面临目的无关风险、质量低下风险和脱敏不足风险。
1.目的无关风险
目的无关风险是指在数据采集和处理过程中,采集、使用和披露的数据与组织或机构的职能、活动或目的无关导致的隐私风险[4]。目的无关数据的采集和处理是建立在个人数据过度采集和挖掘基础上的数据自由,是过度的数据自由的表现,背后隐藏着严重的隐私风险[17]。目的无关风险表现在两个方面:一是在数据主体不知情的情况下进行数据采集或者在获得允许的情况下过度采集数据[18];二是数据采集与处理机构出于相关利益的抉择,隐瞒公众或者淡化公众知情权而采集其他方面的数据。
2.质量低下风险
质量低下风险是指在数据的采集和处理过程中,有关个人信息的收集、保存、使用和披露不准确、不完整导致的隐私风险。数据质量是衡量政府数据开放成功与否的重要指标[19]。质量低下风险表现在两个方面:一是数据不完整导致数据价值降低甚至无法有效利用[20],而碎片化的数据经过数据整合技术可能会泄露个人隐私;二是数据更新迟缓[21],一些原来可能不涉及隐私的数据经过时间的推移可能逐渐暴露隐私。
3.脱敏不足风险
脱敏不足风险是指在数据的采集和处理过程中,对敏感数据的变形尚未达到将敏感数据的身份识别性降低,以达到保护个人隐私的目的导致的隐私风险[22]。对数据进行脱敏是数据开放的先决条件,目的是去除信息的可识别性,使得经过处理后的数据无法再经过数据重组而指向特定的个人[23]。脱敏不足表现在两个方面:一是对数据脱敏依赖性较强,但现实情况是数据脱敏技术仅能解决部分隐私问题而不是全部的隐私问题;二是对数据脱敏程度还存在争议,即数据脱敏到什么程度才可以避免个人隐私安全问题[24],目前尚未达成共识。
(二)隐私风险的成因
数据采集与处理阶段的三种不同类型的隐私风险由不同的原因造成,廓清不同隐私风险的形成原因,对于隐私风险问题的解决具有重要意义。
1.数据采集的范围和边界模糊
“数据采集是政府数据开放共享的起点”[25]。数据采集的范围是什么?哪些数据应该采集?哪些数据不应该采集?这些都是数据采集过程中必须明确的问题。目前,在政府数据采集的范围上,尚未出台明确的法律法规[26],数据采集的标准尚未统一[27],致使数据采集的范围和边界模糊。这种采集标准和采集范围的模糊性,一方面可能会导致涉及隐私的无关数据的收集,给个人隐私带来风险。另一方面,可能会造成个人数据的过度收集,不仅增加了数据处理的难度和工作量,可能还会引发公众的质疑,不利于数据采集工作的开展。
2.数据不完整或失真
“数据质量是衡量政府数据开放平台成功与否的重要标准,决定了公众对政府的信任程度”[28]。在数据采集和处理过程中,数据本身是否完整,是影响数据质量的根本原因。数据的完整性决定了数据的可靠性,数据可靠性包括数据准确性和数据时效性[29]。当前,不少开放平台尚未对开放数据的准确性和时效性予以重视。尤其是在数据的时效性上,不少数据平台存在数据更新不及时的现象,而这些尚未及时更新的数据可能因时间的推移而失真,即现有的数据与原有数据表现的信息已经不匹配,信息已失真。因此,数据不完整或失真成为政府数据开放质量不高的重要原因。
3.工作人员防控技能欠缺
“政府数据开放工作人员是政府数据开放的主体”[30],也是隐私保护的重要责任主体。政府数据开放工作人员的隐私风险防控技能包括数据脱敏技能以及数据清洗技能等。当前,政府数据开放工作缺乏专业化的队伍,安全保密意识以及风险管理经验都较为薄弱[31],工作人员风险防控技能欠缺[32]。此外,政府工作人员在技能和业务素养上的结构失衡,以及隐私风险意识观念的落后,导致个人隐私的泄露事件频频发生[33],工作人员在隐私风险应对技能上的欠缺已成为隐私风险生成的重要因素。
(三)隐私风险的治理策略
明确了数据采集与处理阶段包括哪些具体的隐私风险,并对这些隐私风险的形成原因进行深度剖析,可以从以下几个方面来应对该过程中存在的隐私风险。
1.制定数据采集标准,明晰采集范围
数据采集的范围和边界需要通过数据采集标准进行明确。制定数据采集的标准,有助于限定数据采集内容和采集范围[34]。制定数据采集的标准需要注意三个方面。一是借鉴已有的数据采集标准,进行本土化迁移,严格按照数据采集标准采集数据,进而减少甚至遏制无关数据的采集,以此来减少隐私风险的發生。二是统一数据采集标准,数据采集标准的统一能够明晰数据采集的空间和范围,避免数据采集标准不一致而引发数据采集的合法性问题。三是建立一个内部数据采集标准问题的甄别机制,对存疑的数据采集标准进行实时修正,避免因为数据标准的模糊而导致隐私侵犯。
2.加强数据清洗和筛选,提升数据质量
个人隐私数据的处理就是对所涉及的个人隐私的数据进行清洗[35]。对个人隐私数据的筛选和清洗,有助于避免敏感数据所带来的隐私风险。对个人隐私数据的筛选和清洗需要注意三个方面。一是对所采集的数据进行预处理,保证采集数据的完整性和真实性,同时,对涉及隐私的数据进行归类,避免隐私数据的泄露。二是明确数据清洗的边界,避免过度清洗数据导致数据失真甚至破坏原有数据,进而导致数据质量下降。三是规范数据清洗和筛选的流程,从而保证数据采集和处理过程中数据的准确性和完整性。
3.强化技能培训,提高隐私风险意识
政府数据开放人员隐私保护意识和隐私保护技能对个人隐私安全具有重要而直接的影响。隐私观是产生隐私问题的重要原因[36],隐私保护技能是产生隐私问题的直接原因。因此,必须提高工作人员的隐私风险意识,加强隐私保护技能的培训。一是要在政府数据开放部门增强数据开放人员的隐私风险意识,将保护数据的隐私安全作为自己的重要职责。二是要加强工作人员隐私保护技能培训,加强不同层级、不同部门之间的技术交流,从整体上提高工作人员的隐私保护技能。三是要建立责任追究制度,对造成隐私风险的责任主体进行追责,树立工作人员对隐私安全的敬畏精神。
四、数据存储与发布阶段的政府数据开放隐私风险分析
数据存储与发布在政府数据开放生命周期过程中处于极为重要的位置,是政府数据开放能否顺利进行的关键阶段。
(一)隐私风险的类型
数据存储与发布阶段面临审查缺失风险、重新识别风险以及安全漏洞风险。
1.审查缺失风险
审查缺失风险是指在数据存储和发布的过程中,对即将发布的数据或者已经发布的数据存在审查缺位现象,从而导致隐私风险。在数据开放前进行数据审查,能够有效规避数据开放所带来的隐私侵犯和数据泄露[37]。审查缺失风险表现在一些涉及隐私的数据未经隐私审查而直接发布,从而损害数据所有者的隐私权益。数据泄露则是数据审查不严的直接原因[38],数据泄露尤其是个人隐私数据的泄露可能直接给个人的生命财产安全带来威胁,更为严重的是,可能会威胁国家安全和社会稳定。
2.重新识别风险
重新识别风险是指在数据存储和发布过程中,一些经过匿名化处理的数据经数据开放部门发布后,被用户多次识别,而这些重新识别的数据整合在一起会表现出个人倾向性的信息,从而导致隐私风险。个人数据重新识别会给数据所有人带来严重的伤害,包括难堪、羞耻、身份盗用、歧视和成为犯罪目标等[6]。重新识别风险表现在:一是在披露数据之前取消个人相关的识别信息并不会妨碍个人数据的重新识别[4];二是尽管对敏感数据进行了匿名化处理,但是新发布的数据与之前发布的数据之间通过结合分析仍可能导致个人身份信息被重新识别[39],从而暴露个人隐私。
3.安全漏洞风险
安全漏洞风险是指在数据存储和发布的过程中,存储机构和发布平台存在诸如数据泄露、数据篡改以及黑客攻击等安全隐患,从而导致隐私风险。数据存储和发布阶段面临两个方面的安全漏洞风险:一是数据存储方面的安全风险。不仅包括数据存储机构本身可能存在的安全隐患,还包括外部的黑客攻击等[40]。二是数据发布方面的安全风险。在数据存储和发布阶段,数据发布面临的隐私风险更为复杂[41],涉及发布平台、外部供给,还包括部门内部工作人员的技能以及数据发布后面临的隐私侵权等,这些因素共同作用,导致平台面临安全隐患。
(二)隐私风险的成因
数据存储与发布阶段三种类型的隐私风险背后的形成原因各有不同,分析隐私风险背后形成的原因,可以更好地找到问题的解决方案。
1.保障机制供需不匹配
在数据存储与发布阶段,审查缺失主要是由于数据审查保障机制存在供需不匹配而造成的。第一,目前不少地方政府数据开放平台尚未建立起专门的数据审查机构,使得一些可能涉及隐私的数据未经隐私审查直接发布,造成个人隐私数据泄露。第二,尽管一些地方政府已经建立了相应的数据审查机制,但是并未认识到数据审查对个人隐私保护的重要性。在数据发布过程中,仅对数据的形式进行审查而忽略了数据内容的审查[42],从而侵犯个人的数据隐私权。现实中,隐私风险藏匿于数据开放过程的各个阶段[43],这就对隐私审查提出了严格的要求,但是数据审查机构和审查制度的缺失,加大了这种供需不匹配的现象。
2.匿名化处理不到位
对发布后的数据进行重新识别,可能会因为重新识别而导致个人隐私的泄露。匿名化处理能够对重新识别程度进行限定,即匿名化的高低影响数据重新识别的程度。当然,匿名化处理并不是组织数据重新识别的唯一手段,因为如果将匿名化处理的数据与外部的关联数据进行匹配分析,经过匿名化处理的信息仍有可能指向特定的个人[44]。当前,我国政府数据开放平台尚未建立起统一的数据匿名处理标准,这就造成不少政府数据开放平台在数据匿名处理过程中的随意性,出现匿名化处理不到位而带来隐私争议问题。
3.违背信息安全原则
信息数据安全原则要求项目实施过程中防止发生信息数据丢失、损毁、滥用、非法披露、非法访问、任意更改、违法破坏与销毁等问题,违背该原则将导致信息数据的安全漏洞风险[45]。数据存储机构和数据发布平台的安全性能是政府数据开放隐私保护的最为重要的一道关卡和防线。因此,数据存储机构与数据发布平台的安全建设成为维护该阶段隐私安全的重要保证。
(三)隐私风险的治理策略
数据存储与发布阶段处于政府数据开放生命周期过程中的关键位置,在了解该阶段隐私风险形成的具体原因后,对这些成因进行针对性治理成为阻止隐私风险向下一个阶段蔓延的关键。
1.建立严格的数据审查机制,防止数据泄露
为了保证存储数据的安全性以及发布的数据不侵犯隐私,必须对数据进行严格的隐私审查。一是建立完善的数据审查机制,对个人隐私数据进行严格的审查和分析,同时加强规范审查流程[46]。二是建立独立的数据审查机构,使数据审查机构成为一个独立的职能部门,专门负责隐私数据的审查以及安全隐患的审查。三是保证数据审查环节成为数据发布的必要环节,以制度化的形式将审查环节固定于数据发布之前,防止隐私数据泄露和个人隐私侵犯问题发生。
2.制定数据发布标准,规范发布流程
“数据发布方应在数据资源清单的基础上制定数据发布标准”[47]。数据发布标准能够明确发布数据的限度,即数据达到匿名化处理的限度才可以发布。数据发布标准还有助于规范数据发布流程,减少数据发布过程中的隐私风险。第一,数据发布标准应该在多方借鉴的基础上进一步完善,求取发布数据的最大公约数,使得数据能够在尽可能开放的同时不会侵犯个人隐私。第二,数据发布流程应该包括数据发布后的追踪,以此来检测数据发布后重新识别在多大程度上可能会导致个人隐私的泄露。第三,在数据发布前必须利用相关安全技术对即将发布的数据进行全面审查,确保发布的数据“不泄露、无隐私、不超限、合规约”[48]。
3.加强基础设施建设,提高数据安全防护水平
数据存储和数据发布作为政府数据开放的中间环节,也是隐私风险产生最为关键的一个阶段。数据存储机构作为一个巨大的“数据库”,常常是外部入侵的重点区域,而数据发布平台,也是黑客攻击以及病毒入侵的重要领域。因此,该阶段基础设施的安全建设,是维护隐私安全的重要防线。一是建立数据存储机构防火墙,利用防火墙对病毒攻击等外部入侵进行预警和处理,从而维护数据安全。二是提高平台和网站的安全性,利用新技术不断加固平台、机构和网站的安全级别,为数据安全提供一道有力的屏障。三要對数据开放平台以及相关基础设施进行安全评级,对存在安全隐患的数据开放平台进行整改,达到安全级别的平台才能进行数据开放。
五、数据开发与利用阶段的政府数据开放隐私风险分析
数据开发与利用阶段是数据产生价值的重要阶段,对这一阶段的隐私风险进行分析,有助于确保数据得到合理的利用从而实现数据的价值。
(一)隐私风险的类型
数据开发与利用阶段存在操作违法、监管不足和评估滞后三种隐私风险。
1.操作违法风险
操作违法风险是指在数据的开发与利用过程中,对数据的开发和利用超出了正常阈值,出现非法开发和过度利用数据等现象,从而导致隐私风险。非法开发数据是指对数据的开发超出开发范围,违背数据开发目的。例如,一些商业机构通过置换个人信息来获得平台功能体验,在数据所有者隐私安全意识薄弱的情况下,很容易导致个人隐私数据流失[49]。过度利用数据则是指将个人数据用于政府数据开放以外的其他目的[5],过度使用可能会威胁数据所有者本身的权益,是操作违法的重要表现。
2.监管不足风险
监管不足风险是指在数据开发与利用过程中,政府对数据开发者和数据利用者的数据开发和数据利用行为监管不严,从而导致隐私风险。监管不足风险是数据开发与利用阶段常见的风险,监管不足的主要表现是监管能力的不足[50]。监管能力不足包括监管机制建设不足与监管人员能力不足两个方面。
3.评估滞后风险
评估滞后风险是指在数据开发与利用过程中,对数据的开发、利用、增值等环节可能存在的技术漏洞、隐私侵犯等缺乏相关评估环节或者对这些环节的评估滞后,从而导致隐私风险。隐私风险评估是保证政府数据开发和隐私保护平衡的重要政策工具。评估滞后表现在:一是隐私风险评估尚未成熟,相关技术仍然处于探索之中[51],这就造成了对涉及隐私的数据评估不到位,从而导致隐私风险。二是隐私评估意识不足,部分数据未经评估就直接发布,供数据利用者利用,从而导致一些数据利用者无意中非法利用了个人隐私数据,引发公众信任危机。
(二)隐私风险的成因
数据开发与利用阶段作为政府数据开放生命周期过程的最后一个环节,也是数据增值的重要一环,对这一阶段隐私风险的成因进行分析,有助于推进数据的开发和利用,进而促进数据产生更多的价值。
1.非法开发和过度利用
非法开发和过度利用可能会破坏个人数据的完整性,也是导致操作违法风险的直接原因。非法开发数据主要包括两个方面,一是数据开放机构方面非法开发数据,如数据开放机构可能会对个人数据进行不当的或者非法的交易,而不当的或非法的个人数据交易是对个人数据隐私权危害最为严重的一种行为[52]。二是个人非法开发数据的行为,包括对窃取、倒卖他人的个人数据的牟利行为,或者在未经许可的情况下获取他人数据甚至引导他人填写个人相关数据,导致个人数据泄露的发生。过度利用数据则表现为对数据进行篡改、过度加工和过度挖掘等,从而导致个人数据的破坏甚至威胁数据所有人的生命健康等。
2.监管主体单一且责任边界模糊
隐私保护离不开对隐私风险的监管。当前,政府数据开放监管还存在隐私监管主体单一、监管责任边界模糊等监管难题。监管主体单一表现在:政府数据开放隐私监管的主体大多是数据开放内部的主体,较少涉及社会主体和其他主体。监管责任边界模糊表现在:目前我国数据开放中政府监管的问责机制尚未有效建立,责任追究处于疲软乏力状态[53],这些都使得政府数据开放监管流于形式。此外,政府数据开放中还存在管理机制缺乏、技术人员欠缺等问题[54]。
3.隐私评估的方向和目的模糊
隐私评估滞后的根本原因在于,隐私评估的方向和目的模糊。第一,缺乏专门的隐私数据评估指南。目前,仅有部分发达国家建立起相应的隐私评估指南,不少国家隐私评估指南尚处空白状态。第二,隐私评估尚未达成共识。不少政府数据开放部门尚未认识到隐私评估在预防隐私风险中的重要作用,隐私评估的目的尚未明确。第三,整体性隐私评估尚处于探索阶段。对于为什么要评估以及怎样评估这两个方面的研究正在不断修正和完善中,因此存在理论先于实践而实践落后于理论的状况,导致隐私评估的方向模糊。
(三)隐私风险的治理策略
1.完善信息沟通渠道与保障制度,规避违法行为
对政府开放的数据进行过度开发和非法利用违背了政府数据开放的初衷,因此,必须对这种行为进行有效防范。第一,建立信息反馈渠道保证政府数据开放部门与公众之间形成一种端到端的直线关系。公民能够通过这种信息反馈渠道及时反映对自身数据侵权和隐私侵犯的问题。第二,完善隐私救济制度。隐私救济制度是在公民隐私权受到侵害时的一种权利维护手段,当个人的隐私权受到侵害时,受害人可依据该法申请救济[10],通过隐私救济制度可以及时弥补公民的损失,建立起公众对政府数据开放工作的信任。第三,建立惩罚制度,对举报非法操作行为的个体进行奖励,对操作違法的行为进行处罚,从而对数据的开发和利用形成一种敬畏之心,减少甚至规避操作违法行为。
2.健全多元参与机制,明确监管责任范围
隐私监管是一项复杂的系统性任务,需要多方出力。当前数据开发监管存在数据监管主体单一以及监管责任模糊的问题,因此应引入多方主体参与,同时明晰监管责任范围。第一,完善多元主体参与的隐私监管渠道,保证多方主体参与政府数据开放隐私监管的需求和渠道畅通。这不仅可以提升社会主体参与监管的责任意识,还能强化其隐私保护意识,从而形成数据开放隐私保护的外部监管。第二,强化隐私监管机构的监管责任意识,提高隐私风险的责任和监管效能,形成数据开放隐私保护的内部监管。第三,建立专门的数据开放监管制度。通过监管制度,明确各监管主体的责任范围,形成完整的数据开放隐私保护的制度监管、外部监管、内部监管体系,从而改变当前监管不足的现状。
3.建立隐私评估指南,完善隐私评估体系
建立隐私风险评估指南,完善隐私评估体系,是明确政府数据开放隐私风险评估方向和目的的根本原则。第一,借鉴已有的发达国家的隐私评估指南,拟定隐私评估的标准、指标、原则以及成效检测等,建立符合国情的隐私评估指南,为隐私评估明确方向。第二,建立专门的隐私评估机构,减少职能交叉。第三,健全隐私评估的责任体系,通过对隐私评估的责任追究减少隐私评估缺位现象。
参考文献:
[1]陈朝兵,郝文强.国外政府数据开放隐私影响评估的政策考察与启示:以美英澳新四国为例[J].情报资料工作,2019,40(5):23-30.
[2]郭维嘉,郭少友.开放政府数据中的个人隐私风险类型及消解机制研究[J].河南科技,2018(4):21-24.
[3]陈美.城市政府开放数据的隐私风险及其技术控制策略[J].图书馆建设,2018(8):16-21+27.
[4]王晓珊,郭越.政府数据开放中个人隐私保护的路径探析[J].新闻研究导刊,2018,9(14):90+254.
[5]佟林杰,刘博.信息生态视域下政府数据开放中的数据安全和隐私保护问题研究[J].图书馆理论与实践,2020(5):67-72.
[6]DAMIANI,LUISA L. Location privacy models in mobile applications:conceptual view and research directions[J].Geo Informatica,2014,18(4):819-842.
[7]黄如花,刘龙.英国政府数据开放中的个人隐私保护研究[J].图书馆建设,2016(12):47-52.
[8]杜荷花.国外政府数据开放平台隐私保护政策的考察与借鉴[J].图书馆建设,2020(3):67-75.
[9]陈美,谭纬东.政府开放数据的隐私风险评估与防控:新西兰的经验[J].情报理论与实践,2020,43(5):110-114+90.
[10]张聪丛,郜颍颍,赵畅,等.开放政府数据共享与使用中的隐私保护问题研究:基于开放政府数据生命周期理论[J].电子政务,2018(9):24-36.
[11]谭军.基于TOE理論架构的开放政府数据阻碍因素分析[J].情报杂志,2016,35(8):175-178+150.
[12]王晶,王卫,张梦君.开放政府数据价值实现保障机制研究:基于系统动力学方法[J].图书馆学研究,2019(16):51-59.
[13]裴雷.信息生命周期管理研究进展述评[J].情报科学,2010,29(9):7-10+20.
[14]王卫,王晶,张梦君.基于数据生命周期的政府数据开放平台框架构建研究[J].图书馆理论与实践,2019(3):107-112.
[15]蔡志余.数据生命周期视角下的开放政府数据隐私风险控制策略研究[D].郑州:郑州大学,2019.
[16]黄如花,赖彤.数据生命周期视角下我国政府数据开放的障碍研究[J].情报理论与实践,2018,41(2):7-13.
[17]肖冬梅,陈晰.硬规则时代的数据自由与隐私边界[J].湘潭大学学报(哲学社会科学版),2019,43(3):59-65.
[18]朱光,丰米宁,刘硕.大数据流动的安全风险识别与应对策略研究:基于信息生命周期的视角[J].图书馆学研究,2017(9):84-90.
[19]李梅,张毅,杨奕.政府数据开放影响因素的关系结构分析[J].情报科学,2018,36(4):144-149.
[20]周志纲.基于DIKW模型的政府数据开放价值创造优化研究[J].图书情报导刊,2020,5(4):34-39.
[21]段忠贤,吴艳秋.政府数据开放度评价指标体系构建与实证测度[J].统计与决策,2019,35(22):23-27.
[22]肖建华,柴芳墨.论数据权利与交易规制[J].中国高校社会科学,2019(1):83-93.
[23]李怀胜.公民个人信息保护的刑法扩展路径及策略转变[J].江淮论坛,2020(3):114-122.
[24]董青岭.反思国际关系研究中的大数据应用[J].探索与争鸣,2016(7):91-94.
[25]黄如花,吴子晗.中国政府数据开放共享政策的计量分析[J].情报资料工作,2017(5):6-12.
[26]赵需要.政府信息公开到政府数据开放的嬗变[J].情报理论与实践,2017,40(4):1-9.
[27]宋华琳.中国政府数据开放法制的发展与建构[J].行政法学研究,2018(2):35-46.
[28]岳丽欣,刘文云.国内外政府数据开放现状比较研究[J].图书情报工作,2016,60(11):60-67.
[29]闫鑫,黄国彬.科学数据分类研究述评[J].图书馆论坛,2020,40(5):45-54.
[30]迪莉娅.政府数据开放成熟度模型研究[J].现代情报,2019,39(1):103-110.
[31]李志新.国内政府数据开放研究综述:2013-2016[J].情报杂志,2017,36(7):156-161+187.
[32]夏义堃.论政府数据开放风险与风险管理[J].情报学报,2017,36(1):18-27.
[33]贾旭楠.基于政府数据开放的个人隐私泄露风险与保护策略研究[J].情报探索,2019(5):67-72.
[34]朱光,崔维军,张薇薇.信息生命周期视角下的大数据隐私风险管理框架研究[J].情报资料工作,2016 (1):99-103.
[35]罗珍珍.数据交易法律问题研究[D].成都:四川省社会科学院,2017.
[36]薛孚,陈红兵.大数据隐私伦理问题探究[J].自然辩证法研究,2015,31(2):44-48.
[37]陈传夫,邓支青.完善政府数据开放主体制度的路径研究[J].情报科学,2019,37(1):3-8+21.
[38]王娟,楊现民,郑浩,等.大数据时代教育政务数据开放的风险分析及防控策略研究[J].中国电化教育,2020(6):95-103.
[39]邹东升.政府开放数据和个人隐私保护:加拿大的例证[J].中国行政管理,2018(6):75-82.
[40]吕耀怀.大数据时代信息安全的伦理考量[J].道德与文明,2019(4):84-92.
[41]庄国波,韩惠.5G时代政府数据开放共享的安全风险及防范[J].理论探讨,2020(5):48-54.
[42]黄如花,刘龙.我国政府数据开放中的个人隐私保护问题与对策[J].图书馆,2017(10):1-5.
[43]邓青菁,付达杰,邱蒙雯.基于信息生命周期视角下的大数据隐私风险管理框架的分析[J].软件,2018,39(9):42-45.
[44]林凌.网络界面舆论初探[J].当代传播,2020(3):102-105.
[45]陈朝兵,郝文强.作为政府工具的隐私影响评估:缘起、价值、实施与启示[J].中国行政管理,2020(2):144-151.
[46]黄如花,李楠.美国开放政府数据中的个人隐私保护研究[J].图书馆,2017(6):19-24+76.
[47]朱丹.政府数据资产价值评估与价值实现研究[D].广州:华南理工大学,2017.
[48]卢川英.大数据环境下的信息系统安全保障技术[J].价值工程,2016,35(4):188-190.
[49]张涵,王忠.国外政府开放数据的比较研究[J].情报杂志,2015,34(8):142-146+151.
[50]樊博.推进开放政府数据:提升政府部门大数据能力[J].学海,2018(2):5-10.
[51]MUSOLESI,MIRCO. Big Mobile Data Mining:Good or Evil?[J].IEEE Internet Computing,2014,18(1):78-81.
[52]马海群.信息法学[M].北京:科学出版社,2002:78.
[53]陈朝兵,程申.政府数据开放中的监管责任:实践困境与优化路径[J].情报杂志,2019(10):184-190.
[54]迪莉娅.政府数据深度开放中的个人数据保护问题研究[J].图书馆,2016(6):54-58+64.
A Privacy risks in open government data: types, causes
and governance strategies
Wu Zhongcan
(Southwest University of Finance and Economics,Chengdu 611130,Sichuan,China)
Abstract:This paper draws on the theory of data life cycle and analyzes the privacy risks in different stages of the life cycle. It is found that the government data opening process is divided into data collection and processing phase, data storage and release phase,and data development and utilization phase. In the data collection and processing stage,there are three types of privacy risks: irrelevant,low quality,and insufficient desensitization;in the data storage and release stage,three types of privacy risks are faced,namely,security breaches,re-identification,and lack of review;in the data development and utilization stage,facing three types of privacy risks:illegal operation,insufficient supervision and delayed evaluation. This paper defines nine different types of privacy risks in the three stages of the life cycle,analyzes the causes of different types of privacy risks,and proposes specific countermeasures.
Key words:open government data;privacy risk;data life cycle
