陳 美

(中南財經(jīng)政法大學公共管理學院 武漢 430073)

0 引 言

自美國領先全球建構政府開放數(shù)據(jù)平臺以來，世界各國皆陸續(xù)著手推動各項開放數(shù)據(jù)措施。但是，政府開放數(shù)據(jù)在提高經(jīng)濟和社會效益的同時，也給個人和團體的隱私保護帶來極大風險和挑戰(zhàn)[1]。之所以選擇美國作為政府開放數(shù)據(jù)的隱私風險控制的案例研究，原因在于：從國際實踐角度來看，美國政府開放數(shù)據(jù)起步相對較早，而且在萬維網(wǎng)基金會于2017年5月發(fā)布的《開放數(shù)據(jù)晴雨表：全球報告》(第四版)中，美國在全世界綜合排名第四[2]；從國內(nèi)研究情況來看，目前有學者對美國開放政府數(shù)據(jù)中個人隱私保護進行了研究，但主要分析美國個人隱私保護的法律法規(guī)、政府數(shù)據(jù)開放政策、隱私保護機構[3]，而本文則側(cè)重從美國在政府數(shù)據(jù)開放中個人隱私評判、隱私影響評估和政策邏輯分析來梳理理論和實踐經(jīng)驗。因此，本文利用文獻調(diào)研和案例分析的方法，以美國為研究對象，對其政府開放數(shù)據(jù)隱私風險控制進行分析，以期為我國政府開放數(shù)據(jù)的隱私保護提供借鑒。

1 美國政府數(shù)據(jù)開放中個人隱私的評判標準

1.1個人隱私界定美國對于個人數(shù)據(jù)并沒有一個通用的定義，但2015年2月27日所發(fā)布的《消費者隱私權法》(Consumer Privacy Bill of Rights Act)草案中對于個人數(shù)據(jù)進行了定義。依照第四條的規(guī)定，所謂個人數(shù)據(jù)是指：覆蓋實體所管理的數(shù)據(jù)，而且一般公眾無法合法的獲取，它包括覆蓋實體的鏈接，或是實踐上得以鏈接到個人，或關系個人，或得以鏈接個人日常使用機器的數(shù)據(jù)。這些數(shù)據(jù)種類包括但不限于姓名、地址、電話、社會安全號碼、護照號碼、指紋、聲紋等生理識別數(shù)據(jù)、數(shù)字或字母的網(wǎng)絡識別數(shù)據(jù)、個人計算機的識別數(shù)據(jù)等[4]。

就保護內(nèi)容而言，美國《憲法》的若干個修正案中都有隱私權的相關規(guī)定。

a.根據(jù)第一修正案(First Amendment)，人們享有其社團和信仰方面的隱私權[5]。在1958年全國有色人種協(xié)會與亞拉巴馬州政府的案子(NAACP v. Alabama，357 U.S. 449)[5]中，NAACP是一個紐約州的公司，通過當?shù)匾恍]有登記的社團法人團體在亞拉巴馬州進行運營。1956年，亞拉巴馬州要求法院禁止NAACP繼續(xù)在亞拉巴馬州進行這種活動，原因是NAACP沒有符合相關規(guī)定：外國公司如果要經(jīng)營商業(yè)，那么必須進行本州島登記。在這個訴訟停止的過程中，亞拉巴馬州要求NAACP提供很多的記錄，如NACCP的會員名冊等重要數(shù)據(jù)，但NACCP認為，亞拉巴馬州要求公開的這些信息是違憲的。最終，美國最高法院在對這個案子做出裁決后，結社自由就成為基本權利，而且這個權利受到美國第一修正案的保護。這個案件就是一個典型的悖論及其合理性訴求：在“信息公開”與“隱私保護”之間存在沖突的情況下，如何在信息公開中保護個人隱私。

b.公民對家中的隱私和個人物品也可有合理的期望。根據(jù)美國憲法第四修正案第四條規(guī)定：人民有保護其人身、住宅、文件與財物的權利，不受不合理拘捕、搜索與扣押，而且不得非法侵犯；除非有正當理由，經(jīng)過宣誓或確認過的證據(jù)支持下的合理原因存在，并詳細說明搜索的地點、被拘捕人或收押物，才能進行搜索及扣押[6]。因此，美國聯(lián)邦最高法院John Marshall Harlan大法官在1967年的Katz v. United States案中提出“合理隱私期待”(reasonable expectation of privacy)來判斷國家機關行為是否構成屬于前述條款“搜索”的保護范圍，即：搜索不限于家、辦公室或其他場所，甚至可能在任何有合理隱私期待的地方實施，即使這個地方是非特定人可進出的公共場所[7]。

c.在第五修正案和第十四修正案中體現(xiàn)的是，隱私權以自由和正當程序而存在。在1965年Griswold v.Connecticute[8]一案中，涉及的是康乃迪克州的心理醫(yī)生及耶魯大學醫(yī)學院的教授。他們?yōu)榱吮苊夥驄D懷孕，向已婚夫婦提供相關信息以及醫(yī)療建議。盡管這些夫婦中有幾對是免費的，但這些服務通常要收取費用。這個案件中涉及憲法的有兩個問題：一方面，如果使用藥物、藥劑或設備來預防懷孕，那么會被罰款或處相應刑罰；另一方面，主犯罪者以其他協(xié)助犯罪者負共犯的刑事責任?？梢?，這個隱私權的指標性判決涉及的是女性是否自由享有生育的權利，也肯定了聯(lián)邦憲法第十四修正案中所保障的權利，即身體自主是隱私權的范疇。在2003年Lawrence v. Texas[9]一案中，也明確指出，憲法所保障的隱私權旨在確保同性戀者在其住宅內(nèi)及其私人生活中自由選擇并形成親密關系，從而保有作為一個自由人所應享有的人性尊嚴。

1.2開放數(shù)據(jù)政策中個人隱私保護2009年12月8日，美國發(fā)布的《開放政府指令》指出，無限制性的開放將會妨礙一些被合法保護的數(shù)據(jù)，而這些數(shù)據(jù)一旦釋放，會威脅國家安全、侵犯個人隱私、違反保密或損害其他真正引人注目的利益[10]。2011年9月16日，美國發(fā)布的《奧巴馬政府的開放政府承諾》指出，政府追求開放政府時，必須平衡那些影響公民福利的事項，如國家安全、執(zhí)法需要、政府特權、個人隱私和商業(yè)機密保護、鼓勵健康和坦誠的討論以及其他重要的關注事項[11]。2011年9月20日，美國頒布的《開放政府伙伴關系——美國國家行動計劃》規(guī)定，通過美國政府開放數(shù)據(jù)網(wǎng)站Data.gov獲取的所有數(shù)據(jù)必須符合當前的隱私要求，而且政府機構負責確保通過Data.gov獲取的數(shù)據(jù)集有任何所需的隱私影響評估(PIA)或記錄通告(SORN)，并且很容易在其網(wǎng)站上被獲取[12]。

2013年5月9日，美國發(fā)布的《執(zhí)行M-13-13數(shù)據(jù)開放政策備忘錄的執(zhí)行指導綱要》指出，為了遵守《隱私法》《電子政務法》(E-Government Act)《聯(lián)邦信息安全管理法案》《保護機密信息和統(tǒng)計效率法》，機構應當基于《公平信息實踐原則》(Fair Information Practice Principles，F(xiàn)IPP)和《針對聯(lián)邦信息系統(tǒng)和組織的安全和隱私控制的NIST指南》[13]來執(zhí)行信息政策；各個政府機關應指定專門部門與高級隱私官員或相關官員合作，從而為隱私及機密提供完全的安全保障，與首席信息安全官(Chief Information Security Officer)及相關任務負責人評估釋放潛在敏感數(shù)據(jù)以及依風險進行決定的影響[14]。

2018年12月，美國參議院、眾議院通過《開放、公共、電子化與必要的政府數(shù)據(jù)法》(Open, Public, Electronic, and Necessary Government Data Act)，隨后由美國總統(tǒng)特朗普于2019年1月14日簽署并公布，成為具有約束力的聯(lián)邦法律。這部法律不只是美國走向開放政府的一步，也是《基于證據(jù)的政策制定基礎法案》(Foundations for Evidence-Based Policymaking Act of 2017)的一部分。這部法律促使開放數(shù)據(jù)不再只是行政法規(guī)，而是成為具全國強制力的統(tǒng)一法律。這部法律明文要求，除了國家安全與個人隱私的考慮外，其他數(shù)據(jù)都應該以機器可讀的開放格式在網(wǎng)絡上開放。

美國政府開放數(shù)據(jù)網(wǎng)站Data.gov試圖將各個政府機構所提供的數(shù)據(jù)集整合成一個數(shù)據(jù)目錄，讓公眾及企業(yè)可以使用這些原始數(shù)據(jù)，并可按照個人用途進行再次開發(fā)和利用，從而提供新的基于數(shù)據(jù)的服務[15]。對于Data.gov而言，其關注點不只是過去強調(diào)的公眾可以廣泛使用數(shù)據(jù)，而是在更加高效提供更多數(shù)據(jù)的同時，保證和提高隱私、保密和安全。通過對Data.gov隱私政策進行研讀發(fā)現(xiàn)，其內(nèi)容主要包括：自動收集和存儲的信息、Cookies、個人信息、在線評論、評論和職位的審核、網(wǎng)站上收集的瀏覽器信息、網(wǎng)站安全、外部鏈接、兒童隱私、禁止事項、政策變更[16]。

2 美國政府開放數(shù)據(jù)中隱私影響評估(PIA)和風險應對原則

2.1隱私影響評估(PIA)的運行邏輯與流程框架“隱私影響評估”(Privacy Impact Assessment，PIA)是衡量隱私風險的有效工具，實踐中已發(fā)展為標準化操作流程，成為國際上日益認同的理念與最佳實務[17]。美國于2002年頒布的《電子政務法》在“Findings and Purposes”的第11款規(guī)定：本法的目的在于，以符合個人隱私保護、國家安全、記錄保存、殘疾人獲取以及其他相關法律的方式來促進政府信息和服務的獲取。該法第208條隱私條款(Privacy Provisions)要求，美國政府機構要為使用個人可識別信息的新方案或重大變化方案的技術進行隱私影響評估(PIA)；首席信息官(CIO)或相關人員對PIA進行審查；除非有必要保護評估中所涉及的機密、敏感或私人信息，否則評估結果應當進行公開[18]。這意味著，各個機構需要向其主管請求提供信息供給系統(tǒng)的PIA副本。此外，每一機構主管也必須向其機構發(fā)布指南，具體說明PIA所要求的內(nèi)容。這一做法也被推薦為所有組織處理個人數(shù)據(jù)的最佳實踐，并將有助于捍衛(wèi)與隱私侵犯有關的索賠。2018年6月，美國司法部將PIA的執(zhí)行過程劃分為7個步驟[19]：

第1步，信息系統(tǒng)描述：提供非技術性系統(tǒng)整體描述，以實現(xiàn)：記錄或系統(tǒng)設計想要實現(xiàn)的特定目的；想要實現(xiàn)特定目的的系統(tǒng)運作方式；通過系統(tǒng)來搜集、處理、利用或傳播的信息的類型；在系統(tǒng)中獲取信息的人；用戶在系統(tǒng)中如何萃取信息；系統(tǒng)如何傳輸信息；與其他系統(tǒng)的任何相互連接。

第2步，系統(tǒng)的信息。a.通過檢查表(見表1)來表明系統(tǒng)中被搜集、處理或傳播的信息，這些檢查表包括不同類型的表，分別檢查識別碼(Identifying numbers)、一般個人數(shù)據(jù)(General personal data)、工作相關數(shù)據(jù)(Work-related data)、區(qū)別性特征(Distinguishing features)、生物統(tǒng)計(Biometrics)、系統(tǒng)管理(System admin)、審計數(shù)據(jù)(Audit data)、其他信息(Other information)。b.通過檢查表來說明系統(tǒng)中信息來源，這些檢查表包括三類表：獲取方式、政府來源、非政府組織來源。c.分析：識別與評估前述信息隱私的潛在威脅，描述將采用預防或降低隱私威脅的組成部分。

第3步，系統(tǒng)的特定目的與使用。a.通過檢查表來說明系統(tǒng)中信息的搜集、處理或傳播的特定目的。b.分析：解釋關于信息利用的規(guī)范與其實現(xiàn)特定目的的理由。c.通過檢查表來說明系統(tǒng)中信息被搜集的政策法規(guī)或協(xié)議。d.闡述如何為實現(xiàn)特定目的來處理信息保存期限與到期信息(如果可以的話，需提出保存時間表的國家檔案與記錄管理的參考文獻)。e.描述各個組成部分信息利用結果的潛在威脅，而且確保存在適當?shù)夭倏v、保存、處理信息的控制措施(例如，系統(tǒng)用戶的強制性訓練，信息清除的自動化設施)。

第4步，信息共享。a.通過檢查表來說明共享系統(tǒng)中信息的單位及其共享的方式，該表關注四個方面：個案(Case-by-case)、批量傳輸(Bulk transfer)、直接獲取(Direct access)與其他。b.分析：描述因信息共享所增加的衍生風險，而且提供預防或降低隱私可能威脅其組成部分的控制措施。

第5步，告知、同意與矯正。a.通過檢查表來告知數(shù)據(jù)當事人，通過系統(tǒng)來搜集、處理或傳播信息的情況。b.通過檢查表來詳述當事人是否存在拒絕提供信息的方法或理由。c.通過檢查表詳述當事人是否存在拒絕同意其特別利用其信息的方法或理由。d.分析：當事人信息被搜集與利用的告知/免予告知、同意與矯正權利。

第6步，信息安全。a.通過“信息安全”檢查表來檢查，具體內(nèi)容包括：信息已達到遵守美國《聯(lián)邦信息安全管理法(FISMA)》要求的安全性，而且提供近期的驗證與認證報告；是否已進行安全風險評估；描述已識別與實踐的適當安全控制措施來應對通過安全風險評估出的風險；詳述如何來監(jiān)視、測試或評估預防信息誤用的保護機制；已有確保的遵循安全標準的審核程序，而且包含基于角色的獲取(role-based access)與預防數(shù)據(jù)誤用的測量；存取系統(tǒng)的合約商的契約已遵守《隱私法》的條款；存取系統(tǒng)的合約商的契約已遵守司法部要求的信息安全規(guī)范；被授權存取或接收系統(tǒng)信息的用戶應要求接受相關訓練，包括信息安全一般性訓練、被授權使用系統(tǒng)的單位內(nèi)人員的規(guī)范性訓練、被授權使用系統(tǒng)的單位外人員的規(guī)范性訓練以及其它相關訓練。b.描述如何利用獲取和安全控制措施來保護隱私以及降低非自動化獲取和披露所產(chǎn)生的風險。

第7步，《隱私法》。a.通過檢查表來確定系統(tǒng)中的記錄的合法性。b.分析：描述系統(tǒng)中信息如何合法。

2.2隱私風險應對的原則《執(zhí)行M-13-13數(shù)據(jù)開放政策備忘錄的執(zhí)行指導綱要》[14]指出，數(shù)據(jù)開放會涉及隱私保障問題，如果想避免政府所持有的個人數(shù)據(jù)因開放而造成傷害，那么應當使用《公平信息實踐原則》(FIPP)[20]來減輕信息系統(tǒng)及程序可能產(chǎn)生的隱私風險，并以“馬賽克效應”(Mosaic Effect)來評估那些可能識別出特定人的風險，因而政府在發(fā)布敏感數(shù)據(jù)之前應考慮并決定某些既有數(shù)據(jù)與即將發(fā)布的數(shù)據(jù)若比對后可能造成識別個人身份或造成安全顧慮問題。FIPP最早源自于1973年由美國健康、教育與福利部所發(fā)布的報告《記錄、計算機以及公民權》(Records,Computers, and the Rights of Citizens: Report of the Secretary’s Advisory Committee on Automated Personal Data Systems)[21]，并影響經(jīng)濟合作與發(fā)展組織于1980年發(fā)布的《隱私與個人數(shù)據(jù)跨境流動保護綱領》(guidelines governing the protection of privacy and transborder flows of personal data)以及亞太經(jīng)濟合作會議(Asia-pacific economic cooperation，APEC)所頒布的《隱私框架》(privacy framework)。FIPP在個人信息保護方面確立了兩項重要規(guī)則：一是透明規(guī)則，即在收集個人信息時應當告知個人其個人信息被收集、利用以及共享的范圍和方式等；二是個人參與規(guī)則，即他人在收集與利用個人信息時，應當征得個人同意[22]。FIPP主要包括五條原則。a.告知/察覺(Notice/Awarnece)：任何網(wǎng)站在收集個人信息之前，必須明確說明其信息使用政策。b.選擇/同意(Choice/Consent)：必須讓個人能自由決定系統(tǒng)內(nèi)屬于他自身的信息除了支持所需的交易用途之外，愿不愿意讓組織再拿去做其他的用途。c.存取/參與原則(Access/Participate)：必須提供一個方便快捷的渠道，讓消費者能隨時去檢視、審閱其本身數(shù)據(jù)的正確性與完整性。d.安全原則(Security)：為了確保數(shù)據(jù)的正確性和安全，必須采取負責的措施，防范未授權的第三者擷取這些信息。e.強化原則(Enforcement)：無論是通過行業(yè)本身的自律或者政府立法管制，都要為消費者產(chǎn)生私人補救措施以及通過民事和刑事制裁可強制執(zhí)行的監(jiān)管計劃。

3 隱私風險應對的去識別化

3.1去識別化過程2010年4 月，美國國家標準與技術局(National Institute of Standards and Technology，NIST)制定并發(fā)布《個人可識別信息機密性保護指引(Guide to Protecting the Confidentiality of Personally Identifiable Information (簡稱PII))》(NIST SP800-122)，指導聯(lián)邦政府部門及其相關外包單位進行個人信息保護。該文件以風險為基礎，建議使用操作性與隱私相關的保護與事故回應計劃。其中一個措施是個人信息去識別化：當不再需要有關個人的全部記錄時，組織需要通過去除足以識別個人的相關信息，加以去識別化，使留下來的信息無法識別出特定個人。2015 年，NIST所發(fā)布的個人信息去識別化研究報告(NISTIR 8053)指出，當組織編制、利用、歸檔、分享及開放含有個人數(shù)據(jù)的數(shù)據(jù)時，通過去識別化去技術，不僅可移除個人敏感信息，降低個人隱私風險，從而在數(shù)據(jù)利用與個人隱私保護之間進行平衡，而且去識別化數(shù)據(jù)在搜集后經(jīng)過最小加工處理，從而能降低數(shù)據(jù)利用與歸檔的成本，降低數(shù)據(jù)外泄的隱私風險[23]。

在去識別化的程度與風險方面(見圖1)，左側(cè)是與個人無關的數(shù)據(jù)(如歷史天氣記錄)，因而沒有隱私風險，右側(cè)是直接識別特定個體的數(shù)據(jù)。在這兩端之間的是可以關聯(lián)到人群的數(shù)據(jù)或那些基于個人但不能與個人關聯(lián)起來的數(shù)據(jù)。通常而言，去識別化方法在于，將數(shù)據(jù)推向左側(cè)的同時，保留一些所需的數(shù)據(jù)效用。

圖1 去識別化的程度與風險[23]

圖2概述了去識別過程。來自“數(shù)據(jù)主題(data subject)”的數(shù)據(jù)是涉及個人的數(shù)據(jù)，這些個人數(shù)據(jù)合并為包含個人信息的數(shù)據(jù)集。去識別化創(chuàng)造了一個新的被認為沒有識別數(shù)據(jù)的數(shù)據(jù)集。組織內(nèi)部可以使用該數(shù)據(jù)集(不是原始數(shù)據(jù)集)，以降低隱私風險。數(shù)據(jù)集也可以提供給受諸如數(shù)據(jù)使用協(xié)議之類的其他管理控制約束的受信任數(shù)據(jù)接受者。 另外，該數(shù)據(jù)可能會被廣泛提供給大量未知和未經(jīng)審查的數(shù)據(jù)接受者使用，如通過在互聯(lián)網(wǎng)上發(fā)布去識別的數(shù)據(jù)，這時因被重新識別的風險比較高，因而對去識別化程度也要求較高。如圖2所示，不需要公開發(fā)布去識別數(shù)據(jù)，而且去識別化只是用于保護數(shù)據(jù)身份的若干控制措施之一。去識別化可以由人工進行或自動化處理，或兩者的結合。一旦完成去識別化，就可以手動審查數(shù)據(jù)或以其他方式審核數(shù)據(jù)，以確定是否仍然存在有任何標識信息。

圖2 數(shù)據(jù)搜集、去識別化及利用[23]

3.2去識別化標準美國國會在1996年頒布了《健康保險可攜及責任法案》(HIPAA)，隨后美國衛(wèi)生與公眾服務部(HHS)實施了多部法規(guī)，以便在實踐中貫徹該法案。HIPAA 的主要規(guī)定包括安全規(guī)則、隱私規(guī)則和違規(guī)通知規(guī)則。HIPAA將18種識別信息移除來判斷是否去識別化，這些信息包括：姓名、地理信息、日期信息、電話號碼、傳真號碼、電子郵件地址、設備編號或序號、網(wǎng)絡地址(URLs)、IP地址、社會安全號碼、病歷號碼、醫(yī)療計劃或健保號碼、賬號、證照編號、車牌、車籍信息、生物辨識信息(如指紋、聲紋)、臉部照片及其他可識別個人的編號或特征。換言之，HIPAA要求通過去除18 種個人信息，從而達成去識別化。盡管去識別化有助于隱私保護，但過度強調(diào)去識別化也會使得這些數(shù)據(jù)變得毫無意義，降低了數(shù)據(jù)的價值。HIPAA隱私準則明文規(guī)定去識別化的標準或方式：以個人醫(yī)療信息為例，該準則45 CFR 164.514(b)中，明確以專家判斷法或安全港準則來判定。此外，HIPAA還針對受保護醫(yī)療信息(PHI)的安全和隱私來制定了相應的國家標準。PHI是識別個人身份并與個人的過去、現(xiàn)在或未來的身體或精神健康狀況有關，與向個人提供醫(yī)療保健服務有關或者與支付過去、現(xiàn)在或未來的醫(yī)療服務費用有關的信息，這意味著，PHI包括相關實體以電子、紙面或口頭陳述形式持有或傳送，可以確定個人身份的健康或心理健康信息，不包括無法識別個人身份的信息。

4 總結與展望

從國際上來看，美國是政府開放數(shù)據(jù)發(fā)展的先驅(qū)，通過開放個人數(shù)據(jù)來促進公民安全獲取個人數(shù)據(jù)，如“藍色按鈕”(Blue Button)和“綠色按鈕”(Green Button)，這得益于其較為完善的隱私風險控制體系。一方面，公私分立的立法模式。美國在1974年通過的聯(lián)邦《隱私法》范圍過廣且主要規(guī)范政府部門。伴隨著近年來個人數(shù)據(jù)泄露的事件頻繁爆發(fā)，美國開始針對私人企業(yè)的個人數(shù)據(jù)保護采取立法，如《健康保險便利和責任法案》(HIPAA)、《金融服務現(xiàn)代化法》(GLBA)、《公平信用報告法》(FCRA)、《有線通信政策法》(CCPA)、《兒童線上隱私保護法》(COPPA)、《金融隱私權法》(RFPA)、《家庭教育權利及隱私法》(FERPA)。通過不同領域的立法，鞏固不同政府開放數(shù)據(jù)領域的個人數(shù)據(jù)搜集、處理和利用，修正聯(lián)邦隱私法，從而完善政府開放數(shù)據(jù)中個人數(shù)據(jù)保護機制。另一方面，注重隱私侵犯的救濟。在美國，基于確鑿的證據(jù)，在數(shù)據(jù)泄露的情況下，訴訟變得越來越普遍。例如，美國的ChoicePoint公司發(fā)生過客戶數(shù)據(jù)泄露事件，并為此支付了超過2 600萬美元的費用和罰款，其中包括聯(lián)邦貿(mào)易委員會采取的行動[24]。

美國政府開放數(shù)據(jù)的隱私風險控制也面臨許多挑戰(zhàn)。一方面，存在法律沖突。如前所述，美國為各種類型的數(shù)據(jù)分別制定了隱私管理，這些類型的數(shù)據(jù)受到不同甚至相互沖突的聯(lián)邦和各州政府的監(jiān)管，包括財務隱私(GLBA)、兒童隱私權(COPPA)及醫(yī)療隱私(HIPAA)，而且執(zhí)法主要取決于私營部門和自律。另一方面，忽略隱私政策的可選擇性。美國企業(yè)制定自己的隱私政策，其他企業(yè)和個人負責通知自己并采取相應行動。這種方式存在的問題是，個人處于相對較弱的地位，因為他們很少意識到隱私政策所提供選擇的重要性，并且在不通知自己的情況下普遍同意這些選擇。

總體來看，開放政府數(shù)據(jù)問題是近期學界的研究熱點，特別是如何解決政府數(shù)據(jù)充分利用和個人隱私保護的沖突，是學界的難點問題。本文通過梳理和介紹美國立法通過隱私評判、隱私保護影響評估和風險識別、去識別化等制度保障政府數(shù)據(jù)開放過程中的個人隱私，對我國立法提供了借鑒，因而有必要在借鑒美國相關制度的基礎上，提出我國開放政府數(shù)據(jù)個人隱私保護的具體制度設計。因此，在對美國政府開放數(shù)據(jù)的隱私風險控制進行梳理的同時，我國應借鑒其經(jīng)驗來保障政府開放數(shù)據(jù)的隱私安全，包括：形成完善的立法模式，及時修訂和完善隱私保護的相關法律，避免法律之間相互沖突的情形；積極參與國際隱私保護規(guī)則體系構建，提高中國在這一領域的話語權；增強救濟力度，完善政府開放數(shù)據(jù)中侵犯隱私權的救濟體系；對企業(yè)、公民、非政府組織等政府開放數(shù)據(jù)利益相關者進行隱私政策咨詢，增加隱私政策的可選擇性，加強隱私政策的認同；允許用戶針對政府開放數(shù)據(jù)提出原始數(shù)據(jù)分析需求，其分析結果經(jīng)去識別化后提供，以發(fā)揮數(shù)據(jù)的效益，而不是一味強調(diào)去識別化。從制度層面來說，盡管中國民法草案及專家建議稿雖有列出一些個人信息保護的規(guī)定，但因僅是草案且民法是基本法，不能如專法那樣可詳盡規(guī)定，也不如專法輔以民法及其他法律共同保護的方式完善，因而中國應盡快制定發(fā)布個人信息保護法，并制定和完善不同領域的個人信息保護立法，始能完整維護人民的個人信息權利。幸運的是，第十三屆全國人大常委會第二十二次會議對《中華人民共和國個人信息保護法(草案)》進行了審議，并向社會公開征求意見。此外，盡管我國已經(jīng)頒布并修訂了《政府信息公開條例》，但這只是行政法規(guī)，而且停留政府信息公開而非開放政府數(shù)據(jù)層面，因而可以考慮借鑒美國的做法而將其上升為法律或修改為開放政府數(shù)據(jù)法。