開(kāi)放政府?dāng)?shù)據(jù)的隱私風(fēng)險(xiǎn)控制：美國(guó)的經(jīng)驗(yàn)與啟示*

陳 美

(中南財(cái)經(jīng)政法大學(xué)公共管理學(xué)院 武漢 430073)

0 引 言

自美國(guó)領(lǐng)先全球建構(gòu)政府開(kāi)放數(shù)據(jù)平臺(tái)以來(lái)，世界各國(guó)皆陸續(xù)著手推動(dòng)各項(xiàng)開(kāi)放數(shù)據(jù)措施。但是，政府開(kāi)放數(shù)據(jù)在提高經(jīng)濟(jì)和社會(huì)效益的同時(shí)，也給個(gè)人和團(tuán)體的隱私保護(hù)帶來(lái)極大風(fēng)險(xiǎn)和挑戰(zhàn)[1]。之所以選擇美國(guó)作為政府開(kāi)放數(shù)據(jù)的隱私風(fēng)險(xiǎn)控制的案例研究，原因在于：從國(guó)際實(shí)踐角度來(lái)看，美國(guó)政府開(kāi)放數(shù)據(jù)起步相對(duì)較早，而且在萬(wàn)維網(wǎng)基金會(huì)于2017年5月發(fā)布的《開(kāi)放數(shù)據(jù)晴雨表：全球報(bào)告》(第四版)中，美國(guó)在全世界綜合排名第四[2]；從國(guó)內(nèi)研究情況來(lái)看，目前有學(xué)者對(duì)美國(guó)開(kāi)放政府?dāng)?shù)據(jù)中個(gè)人隱私保護(hù)進(jìn)行了研究，但主要分析美國(guó)個(gè)人隱私保護(hù)的法律法規(guī)、政府?dāng)?shù)據(jù)開(kāi)放政策、隱私保護(hù)機(jī)構(gòu)[3]，而本文則側(cè)重從美國(guó)在政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人隱私評(píng)判、隱私影響評(píng)估和政策邏輯分析來(lái)梳理理論和實(shí)踐經(jīng)驗(yàn)。因此，本文利用文獻(xiàn)調(diào)研和案例分析的方法，以美國(guó)為研究對(duì)象，對(duì)其政府開(kāi)放數(shù)據(jù)隱私風(fēng)險(xiǎn)控制進(jìn)行分析，以期為我國(guó)政府開(kāi)放數(shù)據(jù)的隱私保護(hù)提供借鑒。

1 美國(guó)政府?dāng)?shù)據(jù)開(kāi)放中個(gè)人隱私的評(píng)判標(biāo)準(zhǔn)

1.1個(gè)人隱私界定美國(guó)對(duì)于個(gè)人數(shù)據(jù)并沒(méi)有一個(gè)通用的定義，但2015年2月27日所發(fā)布的《消費(fèi)者隱私權(quán)法》(Consumer Privacy Bill of Rights Act)草案中對(duì)于個(gè)人數(shù)據(jù)進(jìn)行了定義。依照第四條的規(guī)定，所謂個(gè)人數(shù)據(jù)是指：覆蓋實(shí)體所管理的數(shù)據(jù)，而且一般公眾無(wú)法合法的獲取，它包括覆蓋實(shí)體的鏈接，或是實(shí)踐上得以鏈接到個(gè)人，或關(guān)系個(gè)人，或得以鏈接個(gè)人日常使用機(jī)器的數(shù)據(jù)。這些數(shù)據(jù)種類(lèi)包括但不限于姓名、地址、電話、社會(huì)安全號(hào)碼、護(hù)照號(hào)碼、指紋、聲紋等生理識(shí)別數(shù)據(jù)、數(shù)字或字母的網(wǎng)絡(luò)識(shí)別數(shù)據(jù)、個(gè)人計(jì)算機(jī)的識(shí)別數(shù)據(jù)等[4]。

就保護(hù)內(nèi)容而言，美國(guó)《憲法》的若干個(gè)修正案中都有隱私權(quán)的相關(guān)規(guī)定。

a.根據(jù)第一修正案(First Amendment)，人們享有其社團(tuán)和信仰方面的隱私權(quán)[5]。在1958年全國(guó)有色人種協(xié)會(huì)與亞拉巴馬州政府的案子(NAACP v. Alabama，357 U.S. 449)[5]中，NAACP是一個(gè)紐約州的公司，通過(guò)當(dāng)?shù)匾恍](méi)有登記的社團(tuán)法人團(tuán)體在亞拉巴馬州進(jìn)行運(yùn)營(yíng)。1956年，亞拉巴馬州要求法院禁止NAACP繼續(xù)在亞拉巴馬州進(jìn)行這種活動(dòng)，原因是NAACP沒(méi)有符合相關(guān)規(guī)定：外國(guó)公司如果要經(jīng)營(yíng)商業(yè)，那么必須進(jìn)行本州島登記。在這個(gè)訴訟停止的過(guò)程中，亞拉巴馬州要求NAACP提供很多的記錄，如NACCP的會(huì)員名冊(cè)等重要數(shù)據(jù)，但NACCP認(rèn)為，亞拉巴馬州要求公開(kāi)的這些信息是違憲的。最終，美國(guó)最高法院在對(duì)這個(gè)案子做出裁決后，結(jié)社自由就成為基本權(quán)利，而且這個(gè)權(quán)利受到美國(guó)第一修正案的保護(hù)。這個(gè)案件就是一個(gè)典型的悖論及其合理性訴求：在“信息公開(kāi)”與“隱私保護(hù)”之間存在沖突的情況下，如何在信息公開(kāi)中保護(hù)個(gè)人隱私。

b.公民對(duì)家中的隱私和個(gè)人物品也可有合理的期望。根據(jù)美國(guó)憲法第四修正案第四條規(guī)定：人民有保護(hù)其人身、住宅、文件與財(cái)物的權(quán)利，不受不合理拘捕、搜索與扣押，而且不得非法侵犯；除非有正當(dāng)理由，經(jīng)過(guò)宣誓或確認(rèn)過(guò)的證據(jù)支持下的合理原因存在，并詳細(xì)說(shuō)明搜索的地點(diǎn)、被拘捕人或收押物，才能進(jìn)行搜索及扣押[6]。因此，美國(guó)聯(lián)邦最高法院John Marshall Harlan大法官在1967年的Katz v. United States案中提出“合理隱私期待”(reasonable expectation of privacy)來(lái)判斷國(guó)家機(jī)關(guān)行為是否構(gòu)成屬于前述條款“搜索”的保護(hù)范圍，即：搜索不限于家、辦公室或其他場(chǎng)所，甚至可能在任何有合理隱私期待的地方實(shí)施，即使這個(gè)地方是非特定人可進(jìn)出的公共場(chǎng)所[7]。

c.在第五修正案和第十四修正案中體現(xiàn)的是，隱私權(quán)以自由和正當(dāng)程序而存在。在1965年Griswold v.Connecticute[8]一案中，涉及的是康乃迪克州的心理醫(yī)生及耶魯大學(xué)醫(yī)學(xué)院的教授。他們?yōu)榱吮苊夥驄D懷孕，向已婚夫婦提供相關(guān)信息以及醫(yī)療建議。盡管這些夫婦中有幾對(duì)是免費(fèi)的，但這些服務(wù)通常要收取費(fèi)用。這個(gè)案件中涉及憲法的有兩個(gè)問(wèn)題：一方面，如果使用藥物、藥劑或設(shè)備來(lái)預(yù)防懷孕，那么會(huì)被罰款或處相應(yīng)刑罰；另一方面，主犯罪者以其他協(xié)助犯罪者負(fù)共犯的刑事責(zé)任?？梢?jiàn)，這個(gè)隱私權(quán)的指標(biāo)性判決涉及的是女性是否自由享有生育的權(quán)利，也肯定了聯(lián)邦憲法第十四修正案中所保障的權(quán)利，即身體自主是隱私權(quán)的范疇。在2003年Lawrence v. Texas[9]一案中，也明確指出，憲法所保障的隱私權(quán)旨在確保同性戀者在其住宅內(nèi)及其私人生活中自由選擇并形成親密關(guān)系，從而保有作為一個(gè)自由人所應(yīng)享有的人性尊嚴(yán)。

1.2開(kāi)放數(shù)據(jù)政策中個(gè)人隱私保護(hù)2009年12月8日，美國(guó)發(fā)布的《開(kāi)放政府指令》指出，無(wú)限制性的開(kāi)放將會(huì)妨礙一些被合法保護(hù)的數(shù)據(jù)，而這些數(shù)據(jù)一旦釋放，會(huì)威脅國(guó)家安全、侵犯?jìng)€(gè)人隱私、違反保密或損害其他真正引人注目的利益[10]。2011年9月16日，美國(guó)發(fā)布的《奧巴馬政府的開(kāi)放政府承諾》指出，政府追求開(kāi)放政府時(shí)，必須平衡那些影響公民福利的事項(xiàng)，如國(guó)家安全、執(zhí)法需要、政府特權(quán)、個(gè)人隱私和商業(yè)機(jī)密保護(hù)、鼓勵(lì)健康和坦誠(chéng)的討論以及其他重要的關(guān)注事項(xiàng)[11]。2011年9月20日，美國(guó)頒布的《開(kāi)放政府伙伴關(guān)系——美國(guó)國(guó)家行動(dòng)計(jì)劃》規(guī)定，通過(guò)美國(guó)政府開(kāi)放數(shù)據(jù)網(wǎng)站Data.gov獲取的所有數(shù)據(jù)必須符合當(dāng)前的隱私要求，而且政府機(jī)構(gòu)負(fù)責(zé)確保通過(guò)Data.gov獲取的數(shù)據(jù)集有任何所需的隱私影響評(píng)估(PIA)或記錄通告(SORN)，并且很容易在其網(wǎng)站上被獲取[12]。

2013年5月9日，美國(guó)發(fā)布的《執(zhí)行M-13-13數(shù)據(jù)開(kāi)放政策備忘錄的執(zhí)行指導(dǎo)綱要》指出，為了遵守《隱私法》《電子政務(wù)法》(E-Government Act)《聯(lián)邦信息安全管理法案》《保護(hù)機(jī)密信息和統(tǒng)計(jì)效率法》，機(jī)構(gòu)應(yīng)當(dāng)基于《公平信息實(shí)踐原則》(Fair Information Practice Principles，F(xiàn)IPP)和《針對(duì)聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制的NIST指南》[13]來(lái)執(zhí)行信息政策；各個(gè)政府機(jī)關(guān)應(yīng)指定專(zhuān)門(mén)部門(mén)與高級(jí)隱私官員或相關(guān)官員合作，從而為隱私及機(jī)密提供完全的安全保障，與首席信息安全官(Chief Information Security Officer)及相關(guān)任務(wù)負(fù)責(zé)人評(píng)估釋放潛在敏感數(shù)據(jù)以及依風(fēng)險(xiǎn)進(jìn)行決定的影響[14]。

2018年12月，美國(guó)參議院、眾議院通過(guò)《開(kāi)放、公共、電子化與必要的政府?dāng)?shù)據(jù)法》(Open, Public, Electronic, and Necessary Government Data Act)，隨后由美國(guó)總統(tǒng)特朗普于2019年1月14日簽署并公布，成為具有約束力的聯(lián)邦法律。這部法律不只是美國(guó)走向開(kāi)放政府的一步，也是《基于證據(jù)的政策制定基礎(chǔ)法案》(Foundations for Evidence-Based Policymaking Act of 2017)的一部分。這部法律促使開(kāi)放數(shù)據(jù)不再只是行政法規(guī)，而是成為具全國(guó)強(qiáng)制力的統(tǒng)一法律。這部法律明文要求，除了國(guó)家安全與個(gè)人隱私的考慮外，其他數(shù)據(jù)都應(yīng)該以機(jī)器可讀的開(kāi)放格式在網(wǎng)絡(luò)上開(kāi)放。

美國(guó)政府開(kāi)放數(shù)據(jù)網(wǎng)站Data.gov試圖將各個(gè)政府機(jī)構(gòu)所提供的數(shù)據(jù)集整合成一個(gè)數(shù)據(jù)目錄，讓公眾及企業(yè)可以使用這些原始數(shù)據(jù)，并可按照個(gè)人用途進(jìn)行再次開(kāi)發(fā)和利用，從而提供新的基于數(shù)據(jù)的服務(wù)[15]。對(duì)于Data.gov而言，其關(guān)注點(diǎn)不只是過(guò)去強(qiáng)調(diào)的公眾可以廣泛使用數(shù)據(jù)，而是在更加高效提供更多數(shù)據(jù)的同時(shí)，保證和提高隱私、保密和安全。通過(guò)對(duì)Data.gov隱私政策進(jìn)行研讀發(fā)現(xiàn)，其內(nèi)容主要包括：自動(dòng)收集和存儲(chǔ)的信息、Cookies、個(gè)人信息、在線評(píng)論、評(píng)論和職位的審核、網(wǎng)站上收集的瀏覽器信息、網(wǎng)站安全、外部鏈接、兒童隱私、禁止事項(xiàng)、政策變更[16]。

2 美國(guó)政府開(kāi)放數(shù)據(jù)中隱私影響評(píng)估(PIA)和風(fēng)險(xiǎn)應(yīng)對(duì)原則

2.1隱私影響評(píng)估(PIA)的運(yùn)行邏輯與流程框架“隱私影響評(píng)估”(Privacy Impact Assessment，PIA)是衡量隱私風(fēng)險(xiǎn)的有效工具，實(shí)踐中已發(fā)展為標(biāo)準(zhǔn)化操作流程，成為國(guó)際上日益認(rèn)同的理念與最佳實(shí)務(wù)[17]。美國(guó)于2002年頒布的《電子政務(wù)法》在“Findings and Purposes”的第11款規(guī)定：本法的目的在于，以符合個(gè)人隱私保護(hù)、國(guó)家安全、記錄保存、殘疾人獲取以及其他相關(guān)法律的方式來(lái)促進(jìn)政府信息和服務(wù)的獲取。該法第208條隱私條款(Privacy Provisions)要求，美國(guó)政府機(jī)構(gòu)要為使用個(gè)人可識(shí)別信息的新方案或重大變化方案的技術(shù)進(jìn)行隱私影響評(píng)估(PIA)；首席信息官(CIO)或相關(guān)人員對(duì)PIA進(jìn)行審查；除非有必要保護(hù)評(píng)估中所涉及的機(jī)密、敏感或私人信息，否則評(píng)估結(jié)果應(yīng)當(dāng)進(jìn)行公開(kāi)[18]。這意味著，各個(gè)機(jī)構(gòu)需要向其主管請(qǐng)求提供信息供給系統(tǒng)的PIA副本。此外，每一機(jī)構(gòu)主管也必須向其機(jī)構(gòu)發(fā)布指南，具體說(shuō)明PIA所要求的內(nèi)容。這一做法也被推薦為所有組織處理個(gè)人數(shù)據(jù)的最佳實(shí)踐，并將有助于捍衛(wèi)與隱私侵犯有關(guān)的索賠。2018年6月，美國(guó)司法部將PIA的執(zhí)行過(guò)程劃分為7個(gè)步驟[19]：

第1步，信息系統(tǒng)描述：提供非技術(shù)性系統(tǒng)整體描述，以實(shí)現(xiàn)：記錄或系統(tǒng)設(shè)計(jì)想要實(shí)現(xiàn)的特定目的；想要實(shí)現(xiàn)特定目的的系統(tǒng)運(yùn)作方式；通過(guò)系統(tǒng)來(lái)搜集、處理、利用或傳播的信息的類(lèi)型；在系統(tǒng)中獲取信息的人；用戶在系統(tǒng)中如何萃取信息；系統(tǒng)如何傳輸信息；與其他系統(tǒng)的任何相互連接。

第2步，系統(tǒng)的信息。a.通過(guò)檢查表(見(jiàn)表1)來(lái)表明系統(tǒng)中被搜集、處理或傳播的信息，這些檢查表包括不同類(lèi)型的表，分別檢查識(shí)別碼(Identifying numbers)、一般個(gè)人數(shù)據(jù)(General personal data)、工作相關(guān)數(shù)據(jù)(Work-related data)、區(qū)別性特征(Distinguishing features)、生物統(tǒng)計(jì)(Biometrics)、系統(tǒng)管理(System admin)、審計(jì)數(shù)據(jù)(Audit data)、其他信息(Other information)。b.通過(guò)檢查表來(lái)說(shuō)明系統(tǒng)中信息來(lái)源，這些檢查表包括三類(lèi)表：獲取方式、政府來(lái)源、非政府組織來(lái)源。c.分析：識(shí)別與評(píng)估前述信息隱私的潛在威脅，描述將采用預(yù)防或降低隱私威脅的組成部分。

第3步，系統(tǒng)的特定目的與使用。a.通過(guò)檢查表來(lái)說(shuō)明系統(tǒng)中信息的搜集、處理或傳播的特定目的。b.分析：解釋關(guān)于信息利用的規(guī)范與其實(shí)現(xiàn)特定目的的理由。c.通過(guò)檢查表來(lái)說(shuō)明系統(tǒng)中信息被搜集的政策法規(guī)或協(xié)議。d.闡述如何為實(shí)現(xiàn)特定目的來(lái)處理信息保存期限與到期信息(如果可以的話，需提出保存時(shí)間表的國(guó)家檔案與記錄管理的參考文獻(xiàn))。e.描述各個(gè)組成部分信息利用結(jié)果的潛在威脅，而且確保存在適當(dāng)?shù)夭倏v、保存、處理信息的控制措施(例如，系統(tǒng)用戶的強(qiáng)制性訓(xùn)練，信息清除的自動(dòng)化設(shè)施)。

第4步，信息共享。a.通過(guò)檢查表來(lái)說(shuō)明共享系統(tǒng)中信息的單位及其共享的方式，該表關(guān)注四個(gè)方面：個(gè)案(Case-by-case)、批量傳輸(Bulk transfer)、直接獲取(Direct access)與其他。b.分析：描述因信息共享所增加的衍生風(fēng)險(xiǎn)，而且提供預(yù)防或降低隱私可能威脅其組成部分的控制措施。

第5步，告知、同意與矯正。a.通過(guò)檢查表來(lái)告知數(shù)據(jù)當(dāng)事人，通過(guò)系統(tǒng)來(lái)搜集、處理或傳播信息的情況。b.通過(guò)檢查表來(lái)詳述當(dāng)事人是否存在拒絕提供信息的方法或理由。c.通過(guò)檢查表詳述當(dāng)事人是否存在拒絕同意其特別利用其信息的方法或理由。d.分析：當(dāng)事人信息被搜集與利用的告知/免予告知、同意與矯正權(quán)利。

第6步，信息安全。a.通過(guò)“信息安全”檢查表來(lái)檢查，具體內(nèi)容包括：信息已達(dá)到遵守美國(guó)《聯(lián)邦信息安全管理法(FISMA)》要求的安全性，而且提供近期的驗(yàn)證與認(rèn)證報(bào)告；是否已進(jìn)行安全風(fēng)險(xiǎn)評(píng)估；描述已識(shí)別與實(shí)踐的適當(dāng)安全控制措施來(lái)應(yīng)對(duì)通過(guò)安全風(fēng)險(xiǎn)評(píng)估出的風(fēng)險(xiǎn)；詳述如何來(lái)監(jiān)視、測(cè)試或評(píng)估預(yù)防信息誤用的保護(hù)機(jī)制；已有確保的遵循安全標(biāo)準(zhǔn)的審核程序，而且包含基于角色的獲取(role-based access)與預(yù)防數(shù)據(jù)誤用的測(cè)量；存取系統(tǒng)的合約商的契約已遵守《隱私法》的條款；存取系統(tǒng)的合約商的契約已遵守司法部要求的信息安全規(guī)范；被授權(quán)存取或接收系統(tǒng)信息的用戶應(yīng)要求接受相關(guān)訓(xùn)練，包括信息安全一般性訓(xùn)練、被授權(quán)使用系統(tǒng)的單位內(nèi)人員的規(guī)范性訓(xùn)練、被授權(quán)使用系統(tǒng)的單位外人員的規(guī)范性訓(xùn)練以及其它相關(guān)訓(xùn)練。b.描述如何利用獲取和安全控制措施來(lái)保護(hù)隱私以及降低非自動(dòng)化獲取和披露所產(chǎn)生的風(fēng)險(xiǎn)。

第7步，《隱私法》。a.通過(guò)檢查表來(lái)確定系統(tǒng)中的記錄的合法性。b.分析：描述系統(tǒng)中信息如何合法。

2.2隱私風(fēng)險(xiǎn)應(yīng)對(duì)的原則《執(zhí)行M-13-13數(shù)據(jù)開(kāi)放政策備忘錄的執(zhí)行指導(dǎo)綱要》[14]指出，數(shù)據(jù)開(kāi)放會(huì)涉及隱私保障問(wèn)題，如果想避免政府所持有的個(gè)人數(shù)據(jù)因開(kāi)放而造成傷害，那么應(yīng)當(dāng)使用《公平信息實(shí)踐原則》(FIPP)[20]來(lái)減輕信息系統(tǒng)及程序可能產(chǎn)生的隱私風(fēng)險(xiǎn)，并以“馬賽克效應(yīng)”(Mosaic Effect)來(lái)評(píng)估那些可能識(shí)別出特定人的風(fēng)險(xiǎn)，因而政府在發(fā)布敏感數(shù)據(jù)之前應(yīng)考慮并決定某些既有數(shù)據(jù)與即將發(fā)布的數(shù)據(jù)若比對(duì)后可能造成識(shí)別個(gè)人身份或造成安全顧慮問(wèn)題。FIPP最早源自于1973年由美國(guó)健康、教育與福利部所發(fā)布的報(bào)告《記錄、計(jì)算機(jī)以及公民權(quán)》(Records,Computers, and the Rights of Citizens: Report of the Secretary’s Advisory Committee on Automated Personal Data Systems)[21]，并影響經(jīng)濟(jì)合作與發(fā)展組織于1980年發(fā)布的《隱私與個(gè)人數(shù)據(jù)跨境流動(dòng)保護(hù)綱領(lǐng)》(guidelines governing the protection of privacy and transborder flows of personal data)以及亞太經(jīng)濟(jì)合作會(huì)議(Asia-pacific economic cooperation，APEC)所頒布的《隱私框架》(privacy framework)。FIPP在個(gè)人信息保護(hù)方面確立了兩項(xiàng)重要規(guī)則：一是透明規(guī)則，即在收集個(gè)人信息時(shí)應(yīng)當(dāng)告知個(gè)人其個(gè)人信息被收集、利用以及共享的范圍和方式等；二是個(gè)人參與規(guī)則，即他人在收集與利用個(gè)人信息時(shí)，應(yīng)當(dāng)征得個(gè)人同意[22]。FIPP主要包括五條原則。a.告知/察覺(jué)(Notice/Awarnece)：任何網(wǎng)站在收集個(gè)人信息之前，必須明確說(shuō)明其信息使用政策。b.選擇/同意(Choice/Consent)：必須讓個(gè)人能自由決定系統(tǒng)內(nèi)屬于他自身的信息除了支持所需的交易用途之外，愿不愿意讓組織再拿去做其他的用途。c.存取/參與原則(Access/Participate)：必須提供一個(gè)方便快捷的渠道，讓消費(fèi)者能隨時(shí)去檢視、審閱其本身數(shù)據(jù)的正確性與完整性。d.安全原則(Security)：為了確保數(shù)據(jù)的正確性和安全，必須采取負(fù)責(zé)的措施，防范未授權(quán)的第三者擷取這些信息。e.強(qiáng)化原則(Enforcement)：無(wú)論是通過(guò)行業(yè)本身的自律或者政府立法管制，都要為消費(fèi)者產(chǎn)生私人補(bǔ)救措施以及通過(guò)民事和刑事制裁可強(qiáng)制執(zhí)行的監(jiān)管計(jì)劃。

3 隱私風(fēng)險(xiǎn)應(yīng)對(duì)的去識(shí)別化

3.1去識(shí)別化過(guò)程2010年4 月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(National Institute of Standards and Technology，NIST)制定并發(fā)布《個(gè)人可識(shí)別信息機(jī)密性保護(hù)指引(Guide to Protecting the Confidentiality of Personally Identifiable Information (簡(jiǎn)稱(chēng)PII))》(NIST SP800-122)，指導(dǎo)聯(lián)邦政府部門(mén)及其相關(guān)外包單位進(jìn)行個(gè)人信息保護(hù)。該文件以風(fēng)險(xiǎn)為基礎(chǔ)，建議使用操作性與隱私相關(guān)的保護(hù)與事故回應(yīng)計(jì)劃。其中一個(gè)措施是個(gè)人信息去識(shí)別化：當(dāng)不再需要有關(guān)個(gè)人的全部記錄時(shí)，組織需要通過(guò)去除足以識(shí)別個(gè)人的相關(guān)信息，加以去識(shí)別化，使留下來(lái)的信息無(wú)法識(shí)別出特定個(gè)人。2015 年，NIST所發(fā)布的個(gè)人信息去識(shí)別化研究報(bào)告(NISTIR 8053)指出，當(dāng)組織編制、利用、歸檔、分享及開(kāi)放含有個(gè)人數(shù)據(jù)的數(shù)據(jù)時(shí)，通過(guò)去識(shí)別化去技術(shù)，不僅可移除個(gè)人敏感信息，降低個(gè)人隱私風(fēng)險(xiǎn)，從而在數(shù)據(jù)利用與個(gè)人隱私保護(hù)之間進(jìn)行平衡，而且去識(shí)別化數(shù)據(jù)在搜集后經(jīng)過(guò)最小加工處理，從而能降低數(shù)據(jù)利用與歸檔的成本，降低數(shù)據(jù)外泄的隱私風(fēng)險(xiǎn)[23]。

在去識(shí)別化的程度與風(fēng)險(xiǎn)方面(見(jiàn)圖1)，左側(cè)是與個(gè)人無(wú)關(guān)的數(shù)據(jù)(如歷史天氣記錄)，因而沒(méi)有隱私風(fēng)險(xiǎn)，右側(cè)是直接識(shí)別特定個(gè)體的數(shù)據(jù)。在這兩端之間的是可以關(guān)聯(lián)到人群的數(shù)據(jù)或那些基于個(gè)人但不能與個(gè)人關(guān)聯(lián)起來(lái)的數(shù)據(jù)。通常而言，去識(shí)別化方法在于，將數(shù)據(jù)推向左側(cè)的同時(shí)，保留一些所需的數(shù)據(jù)效用。

圖1 去識(shí)別化的程度與風(fēng)險(xiǎn)[23]

圖2概述了去識(shí)別過(guò)程。來(lái)自“數(shù)據(jù)主題(data subject)”的數(shù)據(jù)是涉及個(gè)人的數(shù)據(jù)，這些個(gè)人數(shù)據(jù)合并為包含個(gè)人信息的數(shù)據(jù)集。去識(shí)別化創(chuàng)造了一個(gè)新的被認(rèn)為沒(méi)有識(shí)別數(shù)據(jù)的數(shù)據(jù)集。組織內(nèi)部可以使用該數(shù)據(jù)集(不是原始數(shù)據(jù)集)，以降低隱私風(fēng)險(xiǎn)。數(shù)據(jù)集也可以提供給受諸如數(shù)據(jù)使用協(xié)議之類(lèi)的其他管理控制約束的受信任數(shù)據(jù)接受者。 另外，該數(shù)據(jù)可能會(huì)被廣泛提供給大量未知和未經(jīng)審查的數(shù)據(jù)接受者使用，如通過(guò)在互聯(lián)網(wǎng)上發(fā)布去識(shí)別的數(shù)據(jù)，這時(shí)因被重新識(shí)別的風(fēng)險(xiǎn)比較高，因而對(duì)去識(shí)別化程度也要求較高。如圖2所示，不需要公開(kāi)發(fā)布去識(shí)別數(shù)據(jù)，而且去識(shí)別化只是用于保護(hù)數(shù)據(jù)身份的若干控制措施之一。去識(shí)別化可以由人工進(jìn)行或自動(dòng)化處理，或兩者的結(jié)合。一旦完成去識(shí)別化，就可以手動(dòng)審查數(shù)據(jù)或以其他方式審核數(shù)據(jù)，以確定是否仍然存在有任何標(biāo)識(shí)信息。

圖2 數(shù)據(jù)搜集、去識(shí)別化及利用[23]

3.2去識(shí)別化標(biāo)準(zhǔn)美國(guó)國(guó)會(huì)在1996年頒布了《健康保險(xiǎn)可攜及責(zé)任法案》(HIPAA)，隨后美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)實(shí)施了多部法規(guī)，以便在實(shí)踐中貫徹該法案。HIPAA 的主要規(guī)定包括安全規(guī)則、隱私規(guī)則和違規(guī)通知規(guī)則。HIPAA將18種識(shí)別信息移除來(lái)判斷是否去識(shí)別化，這些信息包括：姓名、地理信息、日期信息、電話號(hào)碼、傳真號(hào)碼、電子郵件地址、設(shè)備編號(hào)或序號(hào)、網(wǎng)絡(luò)地址(URLs)、IP地址、社會(huì)安全號(hào)碼、病歷號(hào)碼、醫(yī)療計(jì)劃或健保號(hào)碼、賬號(hào)、證照編號(hào)、車(chē)牌、車(chē)籍信息、生物辨識(shí)信息(如指紋、聲紋)、臉部照片及其他可識(shí)別個(gè)人的編號(hào)或特征。換言之，HIPAA要求通過(guò)去除18 種個(gè)人信息，從而達(dá)成去識(shí)別化。盡管去識(shí)別化有助于隱私保護(hù)，但過(guò)度強(qiáng)調(diào)去識(shí)別化也會(huì)使得這些數(shù)據(jù)變得毫無(wú)意義，降低了數(shù)據(jù)的價(jià)值。HIPAA隱私準(zhǔn)則明文規(guī)定去識(shí)別化的標(biāo)準(zhǔn)或方式：以個(gè)人醫(yī)療信息為例，該準(zhǔn)則45 CFR 164.514(b)中，明確以專(zhuān)家判斷法或安全港準(zhǔn)則來(lái)判定。此外，HIPAA還針對(duì)受保護(hù)醫(yī)療信息(PHI)的安全和隱私來(lái)制定了相應(yīng)的國(guó)家標(biāo)準(zhǔn)。PHI是識(shí)別個(gè)人身份并與個(gè)人的過(guò)去、現(xiàn)在或未來(lái)的身體或精神健康狀況有關(guān)，與向個(gè)人提供醫(yī)療保健服務(wù)有關(guān)或者與支付過(guò)去、現(xiàn)在或未來(lái)的醫(yī)療服務(wù)費(fèi)用有關(guān)的信息，這意味著，PHI包括相關(guān)實(shí)體以電子、紙面或口頭陳述形式持有或傳送，可以確定個(gè)人身份的健康或心理健康信息，不包括無(wú)法識(shí)別個(gè)人身份的信息。

4 總結(jié)與展望

從國(guó)際上來(lái)看，美國(guó)是政府開(kāi)放數(shù)據(jù)發(fā)展的先驅(qū)，通過(guò)開(kāi)放個(gè)人數(shù)據(jù)來(lái)促進(jìn)公民安全獲取個(gè)人數(shù)據(jù)，如“藍(lán)色按鈕”(Blue Button)和“綠色按鈕”(Green Button)，這得益于其較為完善的隱私風(fēng)險(xiǎn)控制體系。一方面，公私分立的立法模式。美國(guó)在1974年通過(guò)的聯(lián)邦《隱私法》范圍過(guò)廣且主要規(guī)范政府部門(mén)。伴隨著近年來(lái)個(gè)人數(shù)據(jù)泄露的事件頻繁爆發(fā)，美國(guó)開(kāi)始針對(duì)私人企業(yè)的個(gè)人數(shù)據(jù)保護(hù)采取立法，如《健康保險(xiǎn)便利和責(zé)任法案》(HIPAA)、《金融服務(wù)現(xiàn)代化法》(GLBA)、《公平信用報(bào)告法》(FCRA)、《有線通信政策法》(CCPA)、《兒童線上隱私保護(hù)法》(COPPA)、《金融隱私權(quán)法》(RFPA)、《家庭教育權(quán)利及隱私法》(FERPA)。通過(guò)不同領(lǐng)域的立法，鞏固不同政府開(kāi)放數(shù)據(jù)領(lǐng)域的個(gè)人數(shù)據(jù)搜集、處理和利用，修正聯(lián)邦隱私法，從而完善政府開(kāi)放數(shù)據(jù)中個(gè)人數(shù)據(jù)保護(hù)機(jī)制。另一方面，注重隱私侵犯的救濟(jì)。在美國(guó)，基于確鑿的證據(jù)，在數(shù)據(jù)泄露的情況下，訴訟變得越來(lái)越普遍。例如，美國(guó)的ChoicePoint公司發(fā)生過(guò)客戶數(shù)據(jù)泄露事件，并為此支付了超過(guò)2 600萬(wàn)美元的費(fèi)用和罰款，其中包括聯(lián)邦貿(mào)易委員會(huì)采取的行動(dòng)[24]。

美國(guó)政府開(kāi)放數(shù)據(jù)的隱私風(fēng)險(xiǎn)控制也面臨許多挑戰(zhàn)。一方面，存在法律沖突。如前所述，美國(guó)為各種類(lèi)型的數(shù)據(jù)分別制定了隱私管理，這些類(lèi)型的數(shù)據(jù)受到不同甚至相互沖突的聯(lián)邦和各州政府的監(jiān)管，包括財(cái)務(wù)隱私(GLBA)、兒童隱私權(quán)(COPPA)及醫(yī)療隱私(HIPAA)，而且執(zhí)法主要取決于私營(yíng)部門(mén)和自律。另一方面，忽略隱私政策的可選擇性。美國(guó)企業(yè)制定自己的隱私政策，其他企業(yè)和個(gè)人負(fù)責(zé)通知自己并采取相應(yīng)行動(dòng)。這種方式存在的問(wèn)題是，個(gè)人處于相對(duì)較弱的地位，因?yàn)樗麄兒苌僖庾R(shí)到隱私政策所提供選擇的重要性，并且在不通知自己的情況下普遍同意這些選擇。

總體來(lái)看，開(kāi)放政府?dāng)?shù)據(jù)問(wèn)題是近期學(xué)界的研究熱點(diǎn)，特別是如何解決政府?dāng)?shù)據(jù)充分利用和個(gè)人隱私保護(hù)的沖突，是學(xué)界的難點(diǎn)問(wèn)題。本文通過(guò)梳理和介紹美國(guó)立法通過(guò)隱私評(píng)判、隱私保護(hù)影響評(píng)估和風(fēng)險(xiǎn)識(shí)別、去識(shí)別化等制度保障政府?dāng)?shù)據(jù)開(kāi)放過(guò)程中的個(gè)人隱私，對(duì)我國(guó)立法提供了借鑒，因而有必要在借鑒美國(guó)相關(guān)制度的基礎(chǔ)上，提出我國(guó)開(kāi)放政府?dāng)?shù)據(jù)個(gè)人隱私保護(hù)的具體制度設(shè)計(jì)。因此，在對(duì)美國(guó)政府開(kāi)放數(shù)據(jù)的隱私風(fēng)險(xiǎn)控制進(jìn)行梳理的同時(shí)，我國(guó)應(yīng)借鑒其經(jīng)驗(yàn)來(lái)保障政府開(kāi)放數(shù)據(jù)的隱私安全，包括：形成完善的立法模式，及時(shí)修訂和完善隱私保護(hù)的相關(guān)法律，避免法律之間相互沖突的情形；積極參與國(guó)際隱私保護(hù)規(guī)則體系構(gòu)建，提高中國(guó)在這一領(lǐng)域的話語(yǔ)權(quán)；增強(qiáng)救濟(jì)力度，完善政府開(kāi)放數(shù)據(jù)中侵犯隱私權(quán)的救濟(jì)體系；對(duì)企業(yè)、公民、非政府組織等政府開(kāi)放數(shù)據(jù)利益相關(guān)者進(jìn)行隱私政策咨詢，增加隱私政策的可選擇性，加強(qiáng)隱私政策的認(rèn)同；允許用戶針對(duì)政府開(kāi)放數(shù)據(jù)提出原始數(shù)據(jù)分析需求，其分析結(jié)果經(jīng)去識(shí)別化后提供，以發(fā)揮數(shù)據(jù)的效益，而不是一味強(qiáng)調(diào)去識(shí)別化。從制度層面來(lái)說(shuō)，盡管中國(guó)民法草案及專(zhuān)家建議稿雖有列出一些個(gè)人信息保護(hù)的規(guī)定，但因僅是草案且民法是基本法，不能如專(zhuān)法那樣可詳盡規(guī)定，也不如專(zhuān)法輔以民法及其他法律共同保護(hù)的方式完善，因而中國(guó)應(yīng)盡快制定發(fā)布個(gè)人信息保護(hù)法，并制定和完善不同領(lǐng)域的個(gè)人信息保護(hù)立法，始能完整維護(hù)人民的個(gè)人信息權(quán)利。幸運(yùn)的是，第十三屆全國(guó)人大常委會(huì)第二十二次會(huì)議對(duì)《中華人民共和國(guó)個(gè)人信息保護(hù)法(草案)》進(jìn)行了審議，并向社會(huì)公開(kāi)征求意見(jiàn)。此外，盡管我國(guó)已經(jīng)頒布并修訂了《政府信息公開(kāi)條例》，但這只是行政法規(guī)，而且停留政府信息公開(kāi)而非開(kāi)放政府?dāng)?shù)據(jù)層面，因而可以考慮借鑒美國(guó)的做法而將其上升為法律或修改為開(kāi)放政府?dāng)?shù)據(jù)法。