政务大数据治理中公民权利保护的国际经验

2019-09-19    来源:raincent

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

摘要:大数据技术除了可以为公共政策制定提供更加精准、及时的数据从而优化社会治理之外,还可能带来不当使用或泄露公民个人信息等社会风险,对公民个人权利造成损害。从国际经验来看,政务大数据的利用主要涉及公民隐私权和公众参与权两项常见的公民权利。针对隐私权的保护,公共部门可以构建主动隐私保护框架,通过包括数据匿名化在内的各种隐私增强技术保护政务数据采集和使用过程中的个人可识别信息。针对公众参与权,公共部门可以通过开放数据计划主动保障公众对政务数据享有包括知情权、表达权与监督权等在内的多元化参与权。

关键词:政务大数据;公民隐私权;公众参与权

作者简介:付宇程(1986—),女,内蒙古巴彦淖尔人,助理研究员, 法学博士,从事行政法学与政治制度研究。

以2015年国务院颁布的《促进大数据发展行动纲要》和2016年中央办公厅和国务院办公厅联合印发的《国家信息化发展战略纲要》为标志,我国正式将大数据确立为优化公共治理的一项国家战略。在地方实践层面上,各地政府纷纷投资大数据项目、设立大数据产业发展中心以及大数据管理局。但是总体来看,我国政务大数据建设仍处于起步阶段,有关大数据技术在社会治理中的操作规范以及相应的风险防范问题亟待研究。

国际上,美国、欧盟等国家和地区的大数据技术以及大数据社会治理的应用比中国先行实践几年。既有国际经验的一个重要启示是:不仅要在国家战略层面上高度重视大数据技术为公共治理改进带来的机遇,而且要格外重视相应的风险防范问题,尤其是要重视建立政务数据采集利用中保护个人信息的专门法规以及政务信息对公众开放的标准。

一、政务大数据治理:机遇与风险并存

大数据(Big Data)是一个新概念,在信息学中还没有形成统一的定义,但是与普通数据相比,其所具有的一些基本特性已逐渐达成共识。大数据概念首次出现在1998年的《科学》杂志上[1][1],直到2001年麦塔集团(META Group)的分析师道格·莱尼(Doug Laney)在报告中首次明确界定了大数据的3V特性,即数据量的规模(Volume)、数据即时处理的速度(Velocity)与数据格式的多样化(Variety)[2],[2]大数据概念开始被公众广泛认知。上述三个特性意味着大数据技术出现之后才有了对庞大数据集合进行快速处理的能力,并且有效处理包括传统的数字化计算机语言格式之外的新兴数据格式,包括以非计算机语言形式储存的文本数据、电子邮件、视频、音频、股票数据等。总之,大数据时代的数据处理追求的不是随机样本,而是全体数据[3]。[3]

作为一种革命性的信息汇集和处理技术,大数据不仅应用于商业领域,近几年也开始在社会治理和公共政策领域发挥逐渐突显的作用,政务大数据概念由此形成。政务大数据是指政府所拥有和管理的大量数据集合,包括自然信息、社会主体信息、城市建设信息、社会管理信息、以及服务与民生消费类信息等各类政府在政务工作中所形成或间接获得的数据。[4]美国以其领先的大数据技术率先实现在公共治理领域的应用。2012年3月,美国联邦政府启动了大数据研究和发展计划,同年5月,总统奥巴马发布“构建21世纪数字政府”战略规划,正式确立了国家大数据战略,帮助政府以有效的技术处理庞大而复杂的政务数据信息。[5]在美国的影响下,世界各主要国家和地区近几年纷纷将政务大数据建设确立为一项国家战略,对大数据的掌控权甚至成为国家竞争力的一种。

政务大数据概念的出现以及政务大数据作为一种新型公共治理模式的出现,主要是基于公民和政府越来越多地进行数字化办公和生活,这些数据痕迹为政府快速、准确决策提供了巨大的信息基础。与传统公共治理模式对公民需求不敏锐、决策效率低下等特点相比,大数据治理带来了前所未有的机遇。网络空间的兴起使得公民在社交工具的帮助下有更多渠道反映对公共政策的诉求,而越来越充分的社会数据也促使政府决策重心得以下沉,有更多机会和渠道真正了解公民的需求。以中国合肥市近来有关教育公共设施的一次公共决策为例,当地政府在分析幼儿园的分布现状、学位供给以及学位需求情况时,用大数据计算的方式比对真实的供需状况,为下一步教育设施的布局、规模和位置的准确决策提供了依据。[6]

但是,大数据技术也带来很大的风险。由于大数据技术需要在雄厚的资金基础上进行基础设施、人才培养、技术研发等投入,所以大数据资源实际上都集中在超大型的商业机构或者国家机构手中,并客观上形成了大数据的掌控和使用者和作为数据来源的弱小社会个体之间的力量悬殊。有学者指出,通过掌握大量数据,这些超大型机构拥有了收集、分析和预测个人信息的权力,强大的信息库在信息伦理规范尚未建立时形成了一种集权效应。[7] 而当国家机构成为个人信息最大的收集、处理、储存和利用者时,国家也成为利益关涉方,在保护个人隐私时的立场可能不再超然。[8]

在国际上,掌控大量公民个人数据的权力已经成为值得警惕的一种新兴权力,被称为大数据权(Power of Big Data)。[9] 2014年5月美国政府发布的《大数据:把握机遇,守护价值》白皮书中明确指出要警惕大数据技术对隐私和公平等长远价值所带来的负面影响。负面影响突出地表现为政府部门对公民个人信息记录的无限制获取,并通过大数据监控系统在公民不知情的情况下监视其生活,严重侵犯公民隐私。除了上述极端案例之外,许多国家创建的日常个人征信系统都是以公民身份号码、法人和其他组织统一社会信用代码为基础,可以囊括公民和法人的一切消费行为的电子记录。商业机构或者政府部门可以利用这种统一信用信息数据库观察和预测公民的财务状况、工作情况,甚至包括旅游和签证等个人生活行为。

如果侧重公权力行使和公共治理的便捷化而忽视公民权利保护的话,则大数据社会治理很可能形成一个新的风险社会。与传统的数据监管相比,大数据治理带来的隐私风险集中体现在三个方面:第一,大数据基于其数据量规模(Volume)的特性,可以实现对个人生活全方位的监控。第二,大数据技术强化了交互信息数据的分析技术,增强了对个人行为的预测性。第三,大数据以网络信息库为载体,因此某些公民个人隐私信息一旦进入大数据存储库就终生无法删除,公民不再拥有被遗忘的权利(Right to be Forgotten)。要想防范上述风险,关键是要建立一套在大数据的应用过程中保护公民权利的法律制度。各国对公民大数据权利的保护主要建立在公民个人隐私权和公众数据参与权的基础上。公民隐私权是公民的基础性权利,即个人信息不受侵犯的消极权利;而公众参与权则是公民大数据权利中更高位阶的权利,即公民可以主动获取政务数据的积极性权利。

二、政务大数据治理中公民隐私权的保护:主动隐私保护框架

公民隐私权(Privacy Right)并不是一个新概念,各国宪法和民法典中对公民隐私权都有所规定。但是公民隐私权近年来衍生出一些与数据有关的新要素,主要包括大数据中的个人信息鉴别标准、大数据利用中保护个人信息的基本原则以及主动防范个人信息侵权的数据技术框架,这些新要素构成公民的数据隐私权(Data Privacy Right)。

(一)公民数据隐私权的客体是个人可识别信息

各国立法例关于个人数据信息的保护模式大致分为两类。第一类是美国的做法,即在坚持沿用以隐私权为核心的保护模式基础上增加针对个人信息的单项规定,如2012年美国颁布的《消费者隐私权利法案》(Consumer Privacy Bill of Rights,CPBR)。该法案虽然针对大数据时代消费者权利保护而出台,但是仍然决定沿用传统隐私权。根据该法案,“链接到”或“切实可链接到”特定个人的数据就是个人数据,该规定可以理解为个人信息保护的范围从已识别(Identified)信息到可识别(Identifiable)信息的扩展。但总体来说,由于隐私权中对于个人信息的界定力度不足,且各州没有统一的个人信息保护法,因此美国对于可识别信息的保护仍然不足。[10][11]第二类是欧盟的做法,即摈弃隐私权的概念直接使用“个人数据受保护的权利”(Right to the Protection of Personal Data)。2018年5月生效的欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)被视为目前全球最严格的公民数据隐私权保护法。根据GDPR的规定,个人数据是指关于已识别出或可被识别出的自然人的任何信息。这意味着无论是否已经识别出,只要能够基于该数据识别出某个具体个人,都算是个人数据(Personal Data)。总体来说,欧盟个人数据概念外延是世界各立法例中最宽的。[12]与欧盟的立法模式相似,采用了“已识别”加“可识别”标准界定个人数据的还包括英国《数据保护法案》(DPA)、德国《联邦数据保护法》(BDSG)、法国《信息、档案与自由法》(LIFL)、新加坡的《个人数据保护法案》等。

随着个人信息泄露和滥用的案例频频出现,传统民法典已不能有效应对大数据时代公民个人信息保护的需要。在传统的隐私权立法之外,目前全球已有近90个国家和地区出台了个人信息保护的专项立法。[13]虽然各国立法例在外延上存在一定的细微差异,但是个人可识别信息(Personally Identifiable Information, PII)已经成为公认的公民数据隐私权客体,也是个人信息保护立法的重要基石。

(二)公民数据隐私权主动保护框架的基本原则

各国家和地区的个人信息保护立法中都确立了数据隐私权保护的基本原则,其中亚太经合组织的《APEC隐私保护框架》(APEC Privacy Framework)的规定较为全面。该框架确立了九项基本原则:1.预防损害原则。个人数据的保护框架必须首先认可个人对其隐私数据享有合法权利,并着力于预防在信息的采集、使用和转移过程中对个人数据的任何不当使用。2.告知原则。个人数据控制者在收集个人信息时必须明确告知当事人收集者的名称、收集个人信息的目的、种类与用途等事项。3.信息采集限制原则。个人信息的采集范围必须限于采集目的所限定的范围,且必须以公平合法的手段进行。4.个人数据的使用原则。对个人数据的使用必须符合当初采集信息的目的,不得另作他用。5.选择权原则。在个人数据的收集、使用和公布过程中,当事人应被明确赋予选择继续或退出的权利。6.个人数据完整性原则。数据掌控者要确保个人信息的准确、完整和及时更新,以免当事人因不准确信息而权益受损害。7.安全防护原则。数据掌控者要采取适当的安保措施保护个人信息不被丢失或非法入侵等。8.当事人查询和更正原则。当事人有权查看其个人数据,如发现有错误或缺漏,可以请求更正和补充。9、问责原则。数据掌控者承担确保上述各项原则得到遵守的责任。[14]

上述基本原则全面规定了数据掌控者在接触公民个人数据的全过程中应主动采取的防范框架,较为完善地保障了公民的数据隐私权。尚未建立政务大数据风险防范制度的国家可以通过选择性借鉴APEC隐私保护框架中的基本原则,对政务过程中采集公民个人数据的行为进行主动风险防范,保证政务大数据建设从起步时起便运行在良性轨道上。

(三)隐私保护框架中对个人可识别信息的处理技术

值得注意的是,很多国家在主动采取的隐私保护框架中针对个人可识别信息进行了技术化保护,包括各种数据匿名化(Data Anonymization)的隐私增强技术。以目前国际上最受关注的K-匿名技术为例,其基本思路是“通过匿名化(如泛化和隐匿)原始数据集中的某些属性值形成满足一定匿名要求的匿名数据集并可用于数据发布”。成熟的匿名技术在信息发布时既要确保数据发布过程中隐私不泄露,又要确保发布的匿名共享数据具有实用性。[15]总体来说,匿名化的隐私增强技术用数据集合的形式化描述体系对隐私数据进行高层次抽象,最终建立“平衡数据利用与隐私保护的公理化框架描述体系”。[16]

综上所述,政务大数据治理中对公民隐私权的保护要在法律制度框架的基础上,对个人可识别信息进行隐私数据生命周期的全流程保护,并在数据的采集、使用和转移过程中加入匿名化的隐私保护技术,这些要素共同构成了政府作为数据掌控者所采取的主动隐私保护框架。

三、政务大数据治理中公众参与权的保障:开放数据

除了公民数据隐私权之外,在政府大数据治理通常还涉及公民的另一项重要权利——公众参与权。政府大数据治理中公众参与权的事实基础是:公民在大数据治理中的角色不仅仅是数据的来源端,也是数据的使用端。公众参与权的法理基础是:政务数据是政府以财政支出为代价取得的资源,因此纳税人是这些数据真正的所有权人。作为数据的使用者和所有权人公众应当享有对政府信息的了解、反馈以及监督的权利。

(一)政务大数据治理中的开放数据计划

在大数据技术的支持下,各国政府收集了大量关于本国自然资源使用情况、土地开发和交易情况、政府重大支出及建设项目情况、居民消费趋势等有价值的数据,形成了政务大数据库。在实践中,将政务数据开放给公众查看和利用,一方面可以提高数据资源的利用率,为公民个人或企业的行为选择提供信息帮助;另一方面可以增加政府透明度,提高政府财政绩效,并有效预防腐败。以美国卫生和健康服务部(United States Department of Health and Human Services,HHS)2011年的开放数据为例,公众通过查看数据质疑该部门全年造成大约660亿美元的浪费、腐败和公共资金滥用,公众的质疑为新一年该部门工作的改进提供了基础。

2009年,美国政府推出Data.gov开放数据计划(Open Data Plan)[1],开启了全球的开放政府(Open Government)和开放数据运动。2011年9月,美国、英国、巴西、南非等八个国家联合签署《开放数据声明》(Open Government Declaration),根据该声明成立了开放政府合作伙伴(Open Government Partnership,OGP),目前全球已有79个国家、20个地区加入OGP。另外,2013年6月,八国集团首脑还在北爱尔兰峰会上签署了《开放数据宪章》(Open Data Charter),法国、美国、英国、德国、日本、意大利、加拿大和俄罗斯均承诺在2013年年底前制定本国的开放数据行动方案,以落实向公众开放政府数据的承诺。以英国政府2013年11月发布的《八国集团开放数据宪章2013年英国行动计划》为例,英国承诺所有的数据集都通过国家数据门户网站data.gov.uk来进行发布并及时与社会公众沟通以明确应该优先公布哪些数据集。

(二)开放数据中的公众参与权

开放数据计划在施加给各国政府开放数据责任的同时,赋予公众多元化的参与权。综合各国的经验来看,公众的政务数据参与权主要表现在三个方面:1.知情权。公众有权及时获知政府的最新数据,在最大化利用公共数据的同时关注政府的财政及公共管理进度。2.表达权。公众有权表达对开放数据计划本身及其所涉及政府公共项目的任何意见。政府会参照公众意见制订更完善的开放数据计划以及开放更多数据。3.监督权。公众通过了解和反馈意见,使得政府的公共管理活动都展示在开放的社会环境中,从而对政府的公权力行使以及公共财政资金的使用受到约束和监督。

结 语

从国际经验上看,无论是开放数据计划还是主动隐私保护框架,都是针对政府作为政务大数据运行主体的身份所施加的责任和义务,两项国际通行经验旨在平衡公共部门强大的数据掌控权,对公民的数据性权利进行更主动的保护。权力与权利的平衡在政务大数据时代显得尤为重要,只有尽可能充分保护公民的数据权利,才能防范大数据技术以及政务大数据采集和使用中可能带来的系统性风险。

上述各项国际经验为我国政务大数据建设中公民权利的保护提供了借鉴基础。第一,在公民数据隐私权的保护方面,我国《民法通则》仍然沿用传统隐私权的方式保护个人信息,但是2017年实施的《网络安全法》中已经开始仿照欧盟模式采用“可识别”标准界定个人信息。[2]此外,我国2018年5月开始实施的《信息安全技术个人信息安全规范》吸收了APEC隐私保护框架的基本原则,但由于该文本的法律性质为标准公告,而非国家正式立法,因此存在约束力不强、法律效力不足的问题。第二,在公众参与权的保障方面,我国虽然没有明确加入OGP,但是也开始逐渐重视政府数据的开放透明。在十八大以来简政放权和权力清单制度建设的背景下,中共中央办公厅和国务院办公厅2017年初发布了《关于推进公共信息资源开放的若干意见》,指出开放数据工作将依托国家电子政务外网和中央政府门户网站,实现公共信息资源的逐步开放,促进信息资源规范化应用。此外,我国香港地区也有明确的开放数据计划,以香港金融管理局为例,其每年会发放年度开放数据计划,列出未来三年及已于金管局网站(hkma.gov.hk)开放的数据。在这些既有法律及政策的基础上,我国可以选择性借鉴国际经验,进一步扩大政务大数据治理中公民隐私权和公众参与权的保护。

参考文献:

[1] Data.gov网站将超过40万项政府掌握的原始数据和地理数据(涵盖大约50个细分门类)开放给公众查看和使用。

[2]该法第76条第5款规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

[1] Tony Cass. A Handler for Big Data[J]. Science. 1998(282):636.

[2] Doug Laney. 3D Data Management[R]: Controlling Data Volume, Velocity, and Variety. 2001 February. https://blogs.gartner.com/doug-laney/files/2012/01/ad949-3D-Data-Management-Controlling-Data-Volume-Velocity-and-Variety.pdf

[3][英]维克托·迈尔-舍恩伯格,肯尼思·库克耶. 大数据时代:生活、工作与思维的大变革[M]. 盛杨燕,周涛,译. 杭州:浙江人民出版社,2013:27.

[4] 吴善鹏,李萍等. 政务大数据环境下的数据治理框架设计[J]. 电子政务. 2019(2):45.

[5] Digital Government: Building a 21st Century Platform to Better Serve the American People(R). https://obamawhitehouse.archives.gov/sites/default/files/omb/egov/digital-government/digital-government.html

[6] 蔡晓晗、姜晓帆等. 以规划需求为导向的参与式规划新模式——以大数据、信息平台为例[C]. 2018城市发展与规划论文集.2018:607-611.该论文集是否有出版社,出版年代、页码?

[7] 陈剩勇,卢志朋. 互联网平台企业的网络垄断与公民隐私权保护——兼论互联网时代公民隐私权的新发展与维权困境[J].学术界. 2018(7):38-51.

[8]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J]. 中国法学 2015(3):38-59.

[9] Marijn Janssen, Haiko van der Voort, Agung Wahyudi. Factors Influencing Big Data Decision-making Quality[J]. Journal of Business Research. 2017(70):338-345.

[10] Paul M. Schwartz, Danie J. Solove. Reconciling Personal Information in the United States and European Union[J]. California Law Review.2014(102):877-916.

[11] 齐爱明,张哲.识别与再识别:个人信息的概念界定与立法选择[J].重庆大学学报(社会科学版).2018(2):119-130.

[12] Kyle Petersen. GDPR: What (and Why) You Need to Know about EU Data Protection Law[J].Utah Bar Journal. 2018(4): 12-16.

[13]人民网.全球90个国家和地区指定个人信息保护法律[EB/OL].(2017-8-10). [2019.5.14].http://world.people.com.cn/n1/2017/0810/c1002-29463433.html.

[14] APEC Privacy Framework. 2005. https://www.apec.org/Publications/2005/12/APEC-Privacy-Framework

[15] 任向民.基于K-匿名的隐私保护方法研究[D].哈尔滨:哈尔滨工程大学计算机科学与技术学院,2012:1.

[16] 高志强,崔翛龙等.大数据环境下面向反恐情报的主动隐私保护框架体系研究[J].情报理论与实践.2019-4-9网络首发.

标签: 大数据治理 政务大数据

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:加快数据科学项目的五个自动化工具

下一篇:迭代列表不要For循环,这是Python列表推导式最基本的概念