陳 美 梁乙凱

(1. 中南財(cái)經(jīng)政法大學(xué)公共管理學(xué)院 武漢 430073；2.山東財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院 濟(jì)南 250014)

開放數(shù)據(jù)具有這樣一種思想：對(duì)任何人來說，他們都能如自己所愿那樣免費(fèi)使用和再次發(fā)布某些數(shù)據(jù)，而不受版權(quán)、專利或其它控制機(jī)制的限制。開放數(shù)據(jù)運(yùn)動(dòng)的目標(biāo)與諸如開放源代碼、開放內(nèi)容、開放存取這樣的“開放”運(yùn)動(dòng)的目標(biāo)相類似。開放數(shù)據(jù)背后的理念早就確定，但術(shù)語“開放數(shù)據(jù)”一詞本身是最近興起，而且是隨著互聯(lián)網(wǎng)和萬維網(wǎng)的崛起而逐漸流行，尤其隨著諸如Data.gov這樣的美國開放政府?dāng)?shù)據(jù)倡議發(fā)起之后更為突出。從任何開放數(shù)據(jù)計(jì)劃開始，確保公民的隱私是首要任務(wù)。之所以選擇西班牙作為政府開放數(shù)據(jù)中隱私保護(hù)的案例研究，原因在于：一方面，從國內(nèi)研究情況來看，盡管有學(xué)者圍繞美國、英國、德國、澳大利亞等國的開放數(shù)據(jù)中隱私保護(hù)進(jìn)行研究，但尚未對(duì)西班牙進(jìn)行系統(tǒng)研究；另一方面，從實(shí)踐的角度來看，西班牙的開放數(shù)據(jù)相對(duì)較好。2017年5月，在萬維網(wǎng)基金會(huì)發(fā)布的《開放數(shù)據(jù)晴雨表：全球報(bào)告》(第四版)中，西班牙在全世界綜合排名第11[1]。因此，本文對(duì)西班牙政府開放數(shù)據(jù)的隱私風(fēng)險(xiǎn)評(píng)估與防控進(jìn)行系統(tǒng)調(diào)研，旨在為我國政府開放數(shù)據(jù)和個(gè)人隱私保護(hù)提供借鑒。

1 西班牙政府開放數(shù)據(jù)中個(gè)人隱私的評(píng)判標(biāo)準(zhǔn)

1.1個(gè)人隱私界定由于大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)的全樣本收集與分析技術(shù)的不斷升級(jí)，使得“個(gè)人數(shù)據(jù)”與“個(gè)人信息”之間的界限模糊化[2]。西班牙《憲法》(Spanish Constitution)和《關(guān)于個(gè)人數(shù)據(jù)保護(hù)的組織法》(de desarrollo de la ley Orgnica 15/1999，簡稱“《組織法》”)[3]則對(duì)個(gè)人數(shù)據(jù)、個(gè)人信息、特定個(gè)人數(shù)據(jù)種類分別進(jìn)行了界定。根據(jù)《組織法》的3(a)條，個(gè)人數(shù)據(jù)是有關(guān)已識(shí)別或可識(shí)別個(gè)人的任何信息。根據(jù)《組織法》第5(f)條，個(gè)人信息是任何有關(guān)已識(shí)別或可識(shí)別個(gè)人的數(shù)字、字母、圖形、攝影、聲學(xué)或任何其它信息。針對(duì)這一定義中的“可識(shí)別”，《組織法》第5(o)條也進(jìn)行了界定：可識(shí)別的人是可以被識(shí)別身份的人，其識(shí)別方式是直接或間接地通過利用他的身體、生理、心理、經(jīng)濟(jì)、文化或社會(huì)身份的任何信息，如果這種識(shí)別過程需要不成比例的期限或活動(dòng)，那么自然人將不被視為可識(shí)別身份。就個(gè)人數(shù)據(jù)范圍而言，《組織法》第2.4條強(qiáng)調(diào)，死人的數(shù)據(jù)一般不屬于個(gè)人數(shù)據(jù)，但有例外：屬于死者家屬或基于類似原因而與死者相關(guān)聯(lián)的人為了發(fā)布死亡通告。就特定個(gè)人數(shù)據(jù)種類而言，《憲法》第16.2條規(guī)定，沒有人有義務(wù)去公開它們自身的意識(shí)形態(tài)、宗教、信仰；《組織法》也指出，涉及受保護(hù)的特定個(gè)人數(shù)據(jù)類別包括意識(shí)形態(tài)、工會(huì)歸屬、宗教和信仰、種族、健康、性生活[4]。

1.2個(gè)人隱私保護(hù)的法律內(nèi)容在西班牙，個(gè)人隱私保護(hù)的法律框架包括：《里斯本條約》(Lisbon Treaty)《憲法》《組織法》《刑法》?！稇椃ā肥俏靼嘌烙?978年所頒布，將原本高度集權(quán)的西班牙轉(zhuǎn)變?yōu)樽灾蔚姆謾?quán)化國家。隱私權(quán)主要涉及西班牙《憲法》第18.1條，即保障榮譽(yù)權(quán)、個(gè)人和家庭隱私權(quán)以及個(gè)人自身形象，并將這些人格權(quán)作為基本權(quán)利?！稇椃ā返?8(4)條承認(rèn)個(gè)人數(shù)據(jù)保護(hù)權(quán)，并且將其與隱私權(quán)相分開：“法律將限制信息技術(shù)使用，旨在保護(hù)榮譽(yù)和公民的個(gè)人隱私和家庭隱私”[5]。從具體條文來看，《憲法》中所使用的術(shù)語是“intimacy”而不是“privacy”?！督M織法》是在1999年頒布且在2000年1月14日生效，將歐盟《數(shù)據(jù)保護(hù)指令》(Data Protection Directive)轉(zhuǎn)化為西班牙法律并確立了數(shù)據(jù)保護(hù)的范圍?！督M織法》為榮譽(yù)權(quán)、個(gè)人和家庭隱私權(quán)以及個(gè)人自身形象提供了民事保護(hù)[6]。此外，根據(jù)《刑法》(Criminal Code)第197條，可能會(huì)在刑事指控下起訴侵犯隱私權(quán)的不披露行為。

除上述法律外，西班牙特定行業(yè)法規(guī)也包含數(shù)據(jù)保護(hù)規(guī)定(見表1)。

表1 西班牙特定行業(yè)的數(shù)據(jù)保護(hù)規(guī)定

2 隱私風(fēng)險(xiǎn)應(yīng)對(duì)的數(shù)據(jù)處理規(guī)范與機(jī)構(gòu)

2.1隱私風(fēng)險(xiǎn)應(yīng)對(duì)的數(shù)據(jù)處理規(guī)范在個(gè)人數(shù)據(jù)處理規(guī)范方面，主要包括：個(gè)人數(shù)據(jù)處理原則、不同階段數(shù)據(jù)處理操作、個(gè)人數(shù)據(jù)合法處理。

第一，個(gè)人數(shù)據(jù)處理原則。西班牙《組織法》提出了7條原則，具體內(nèi)容如下：a.當(dāng)數(shù)據(jù)收集目的具體、明確和合法時(shí)，個(gè)人數(shù)據(jù)才能被收集。b.個(gè)人數(shù)據(jù)不得用于與數(shù)據(jù)收集目的不相容的目的。對(duì)于以歷史、統(tǒng)計(jì)或科學(xué)目的而進(jìn)行的后續(xù)處理，不會(huì)被認(rèn)為與最初目的不相容。c.個(gè)人數(shù)據(jù)是準(zhǔn)確和更新的，以便能夠真實(shí)地回應(yīng)數(shù)據(jù)受影響者的現(xiàn)狀。d.如果個(gè)人數(shù)據(jù)被證明是全部或部分不準(zhǔn)確或不完整，那么這些數(shù)據(jù)將被取消，而且通過糾正或完成相應(yīng)的數(shù)據(jù)替代。e.當(dāng)數(shù)據(jù)持有者不再需要時(shí)，個(gè)人數(shù)據(jù)將被刪除；個(gè)人數(shù)據(jù)的保存方式是，不允許識(shí)別利益相關(guān)者的時(shí)間超過數(shù)據(jù)收集或數(shù)據(jù)登記目的所需的時(shí)間；根據(jù)具體立法確定的特殊歷史、統(tǒng)計(jì)或科學(xué)價(jià)值的程序?qū)⒋_定某些數(shù)據(jù)的全面維護(hù)情況。f.除非個(gè)人數(shù)據(jù)被合法刪除，否則個(gè)人數(shù)據(jù)將以允許行使數(shù)據(jù)獲取權(quán)的方式得到存儲(chǔ)。g.禁止以欺詐、不忠誠或非法手段來收集數(shù)據(jù)。

第二，不同階段數(shù)據(jù)處理操作。根據(jù)《組織法》第3(c)條，數(shù)據(jù)處理意味著操作過程和技術(shù)過程中自動(dòng)或非自動(dòng)地進(jìn)行收集、記錄、存儲(chǔ)、加工、修改、咨詢、使用、撤銷、阻斷或消除、披露來自通信、協(xié)商、互連和傳輸所得到的數(shù)據(jù)。通常而言，它包括六個(gè)不同階段：a.描述數(shù)據(jù)的生命周期；b.分析數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)的必要性；c.判別威脅和風(fēng)險(xiǎn)；d.評(píng)估風(fēng)險(xiǎn)；e.管理風(fēng)險(xiǎn)；f.數(shù)據(jù)處理行動(dòng)計(jì)劃和結(jié)論[19]。

第三，個(gè)人數(shù)據(jù)合法性處理?！督M織法》針對(duì)一般個(gè)人數(shù)據(jù)和特定個(gè)人數(shù)據(jù)提供了不同規(guī)范：對(duì)于一般個(gè)人數(shù)據(jù)目錄，具有一般規(guī)則(第6條)；針對(duì)特定個(gè)人數(shù)據(jù)目錄，存在特別嚴(yán)格條款(第7條)?！督M織法》第6條規(guī)定，除非存在法律條款提供例外情形，否則個(gè)人數(shù)據(jù)處理需要數(shù)據(jù)主體的明確同意。具體而言，這一“同意原則”的例外情況包括：屬于公共行政部門執(zhí)行任務(wù)時(shí)所需；屬于合同或者前合同協(xié)議中的內(nèi)容；有嚴(yán)重醫(yī)療或健康理由；當(dāng)數(shù)據(jù)被包含在公共資源中且它們應(yīng)當(dāng)?shù)玫教幚?。與“同意原則”相反的是，《組織法》第6條第4點(diǎn)提供了“無同意準(zhǔn)則”：當(dāng)沒有必要對(duì)個(gè)人數(shù)據(jù)處理進(jìn)行同意且不存在其它法律規(guī)定時(shí)，如果針對(duì)個(gè)體情況存在合法和正當(dāng)理由，那么數(shù)據(jù)主體能夠反對(duì)數(shù)據(jù)處理。針對(duì)受特別保護(hù)的數(shù)據(jù)，《組織法》第7.2條規(guī)定，只有得到數(shù)據(jù)主體的明確書面同意，才能處理那些揭示意識(shí)形態(tài)、工會(huì)歸屬、宗教和信仰的個(gè)人數(shù)據(jù)；《組織法》第7.3條規(guī)定，只有當(dāng)存在一般利益的原因時(shí)，由法律或有關(guān)人員明確同意的情況下，才可以收集、處理和分配涉及種族、健康和性生活的個(gè)人數(shù)據(jù)；《組織法》第7.4條規(guī)定，禁止為了存儲(chǔ)揭示意識(shí)形態(tài)、工會(huì)隸屬關(guān)系、宗教信仰、種族或民族血統(tǒng)或性生活的個(gè)人數(shù)據(jù)而創(chuàng)建文件；《組織法》第7.5條規(guī)定，與犯罪或行政違法行為有關(guān)的個(gè)人數(shù)據(jù)只能包含在各自監(jiān)管標(biāo)準(zhǔn)規(guī)定的主管公共行政部門的檔案中。

2.2隱私風(fēng)險(xiǎn)應(yīng)對(duì)的機(jī)構(gòu)和職位西班牙的數(shù)據(jù)保護(hù)機(jī)構(gòu)是數(shù)據(jù)保護(hù)局(Agencia Espaola de Protección de Datos，AEPD)，該機(jī)構(gòu)于1993年根據(jù)第428/1993號(hào)皇家法令設(shè)立，也代表西班牙參加歐洲數(shù)據(jù)保護(hù)委員會(huì)。這個(gè)機(jī)構(gòu)的權(quán)利如下：a.調(diào)查權(quán)利。根據(jù)西班牙《組織法》Sección 2，AEPD有廣泛的權(quán)利命令數(shù)據(jù)控制者和處理者提供執(zhí)行任務(wù)所需的任何信息，以數(shù)據(jù)保護(hù)審計(jì)的形式進(jìn)行調(diào)查，對(duì)根據(jù)《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，簡稱GDPR)頒發(fā)的證書進(jìn)行審查，對(duì)那些涉嫌違反GDPR的數(shù)據(jù)控制者或處理者進(jìn)行通知，獲取所有個(gè)人數(shù)據(jù)和執(zhí)行數(shù)據(jù)控制者或處理者任務(wù)所需的所有信息；b.糾正權(quán)。AEPD能夠?qū)`規(guī)行為進(jìn)行警告或譴責(zé)，命令數(shù)據(jù)控制者向數(shù)據(jù)主體披露個(gè)人數(shù)據(jù)泄露情況，進(jìn)行永久性或臨時(shí)性禁止處理，撤銷認(rèn)證并進(jìn)行行政罰款。c.授權(quán)和咨詢權(quán)。AEPD可以向數(shù)據(jù)控制者、認(rèn)證機(jī)構(gòu)提供建議，能夠授權(quán)證書、發(fā)布合同條款、行政安排和具有約束性的公司規(guī)則[20]。

就具體數(shù)據(jù)保護(hù)職位而言，根據(jù)西班牙《組織法》第34條[20]，屬于以下組織或出現(xiàn)以下情況時(shí)，必須強(qiáng)制性任命數(shù)據(jù)保護(hù)官：a.專業(yè)協(xié)會(huì)及其總理事會(huì)；b.提供教育權(quán)利立法規(guī)定的任何級(jí)別教育的教育中心，以及公立和私立大學(xué)；c.在定期和系統(tǒng)地大規(guī)模處理個(gè)人數(shù)據(jù)時(shí)，按照具體立法的規(guī)定運(yùn)營網(wǎng)絡(luò)并提供電子通信服務(wù)的實(shí)體；d.信息社會(huì)的服務(wù)提供者大規(guī)模開發(fā)服務(wù)用戶的概況；e.屬于《6月26日第10/2014號(hào)法律》第1條中所涉及的關(guān)于信貸機(jī)構(gòu)的組織、監(jiān)督和償付能力的實(shí)體；f.信貸金融機(jī)構(gòu)；g.保險(xiǎn)和再保險(xiǎn)實(shí)體；h.受證券市場法規(guī)監(jiān)管的投資服務(wù)公司；i.電力分銷商和營銷商以及天然氣分銷商和營銷商；j.負(fù)責(zé)評(píng)估資產(chǎn)和信用償付能力的一般文件或管理和防止欺詐的共同文件的實(shí)體，包括那些旨在防止洗錢的法律管轄的文件；k.開展廣告和商業(yè)勘探活動(dòng)的實(shí)體根據(jù)受影響者的偏好進(jìn)行治療或開展涉及編制相關(guān)概況的活動(dòng)；l.法律要求保留患者醫(yī)療記錄的健康中心；m.旨在發(fā)布可能涉及自然人的商業(yè)報(bào)告的實(shí)體；n.游戲規(guī)則是以電子方式、遠(yuǎn)程方式和交互方式開展活動(dòng)的游戲運(yùn)營商；o.私人保安公司；p.體育聯(lián)合會(huì)處理未成年人的數(shù)據(jù)?？梢?，《組織法》包括需要指定數(shù)據(jù)保護(hù)官的組織和公司列表，即保險(xiǎn)或再保險(xiǎn)公司、金融信貸機(jī)構(gòu)、教育機(jī)構(gòu)、電力和天然氣分銷商、廣告和營銷公司等都必須指定一名數(shù)據(jù)保護(hù)官。當(dāng)然，《組織法》也允許組織和公司自愿指定數(shù)據(jù)保護(hù)官，但在任何一種情況下，數(shù)據(jù)保護(hù)官的任命必須傳達(dá)給AEPD。

3 西班牙政府開放數(shù)據(jù)中的數(shù)據(jù)影響評(píng)估和風(fēng)險(xiǎn)識(shí)別

3.1數(shù)據(jù)影響評(píng)估的應(yīng)用標(biāo)準(zhǔn)根據(jù)GDPR第35條，如果某種數(shù)據(jù)處理活動(dòng)需要使用新技術(shù)，并考慮其性質(zhì)、范圍、背景和目的可能會(huì)對(duì)自然人的權(quán)利和自由造成高風(fēng)險(xiǎn)，那么數(shù)據(jù)管理員有義務(wù)在實(shí)施此類處理活動(dòng)之前進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估[21]?？梢?，根據(jù)GDPR，當(dāng)使用“新技術(shù)”進(jìn)行處理時(shí)，風(fēng)險(xiǎn)將增加。盡管GDPR建立了有助于識(shí)別涉及高風(fēng)險(xiǎn)的數(shù)據(jù)處理操作標(biāo)準(zhǔn)，但監(jiān)管機(jī)構(gòu)應(yīng)建立并公布一份受數(shù)據(jù)保護(hù)影響評(píng)估要求約束的處理操作清單。在這種情況下，AEPD在2019年5月6日公布了一份認(rèn)為可能對(duì)其人員的權(quán)利和自由產(chǎn)生高風(fēng)險(xiǎn)的數(shù)據(jù)處理活動(dòng)的處理操作清單，強(qiáng)調(diào)如果出現(xiàn)滿足這一清單上兩個(gè)或更多標(biāo)準(zhǔn)的情況，那么有必要進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估。此外，特定數(shù)據(jù)處理活動(dòng)所滿足的標(biāo)準(zhǔn)越多，意味著涉及的風(fēng)險(xiǎn)就越大，那么進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估的需求就越確定。

具體而言，這份清單包括的11種情形如下。①對(duì)自然人進(jìn)行概況分析或評(píng)估，具體行為包括從數(shù)據(jù)主體的生活(工作表現(xiàn)、個(gè)性和行為)的多個(gè)領(lǐng)域收集數(shù)據(jù)，涵蓋其個(gè)性或習(xí)慣的各個(gè)方面。②自動(dòng)決策制定或處理極其有助于做出此類決策的行為，包括阻止數(shù)據(jù)主體行使權(quán)利，或獲取商品或服務(wù)，或成為合同一部分的任何類型的決策。③對(duì)數(shù)據(jù)主體進(jìn)行系統(tǒng)和詳盡地觀察、監(jiān)測(cè)、監(jiān)督、地理定位或控制，具體行為包括通過網(wǎng)絡(luò)、應(yīng)用程序或公共可訪問區(qū)域收集數(shù)據(jù)和元數(shù)據(jù)，以及處理允許識(shí)別信息社會(huì)服務(wù)用戶的唯一標(biāo)識(shí)符，這些信息社會(huì)服務(wù)如網(wǎng)絡(luò)服務(wù)、互動(dòng)電視、移動(dòng)應(yīng)用等。④處理GDPR第9條第(1)款所述的特殊數(shù)據(jù)類別，或者與GDPR第10條所述的定罪或刑事犯罪相關(guān)的數(shù)據(jù)，或者可以確定財(cái)務(wù)狀況或信譽(yù)或推斷與特殊類別數(shù)據(jù)有關(guān)的人員的信息。⑤旨在特定地識(shí)別自然人而使用生物識(shí)別數(shù)據(jù)。⑥旨在以各種目的來使用遺傳數(shù)據(jù)。⑦大規(guī)模使用數(shù)據(jù)。在確定是否可以大規(guī)模處理時(shí)，將考慮指南WP243 《數(shù)據(jù)保護(hù)官員指南(DPO)》(Guidelines on Data Protection Officers(DPOs))第29條中規(guī)定的標(biāo)準(zhǔn)。⑧當(dāng)出于不同目的或由不同數(shù)據(jù)控制者所控制時(shí)，對(duì)數(shù)據(jù)庫記錄進(jìn)行關(guān)聯(lián)、組合或鏈接。⑨處理有關(guān)脆弱數(shù)據(jù)主體或有社會(huì)排斥風(fēng)險(xiǎn)的人的數(shù)據(jù)，這些群體包括14歲以下的兒童；有一定程度殘疾的老年人、殘疾人；獲得社會(huì)服務(wù)的人和性暴力受害者，以及他們的后代和受照顧和監(jiān)護(hù)的人。⑩使用新技術(shù)或創(chuàng)新使用既定技術(shù)，具體行為包括使用新規(guī)模、新目標(biāo)或與其它技術(shù)相結(jié)合的技術(shù)，從而采用新的收集形式和使用可能侵犯個(gè)人權(quán)利和自由的數(shù)據(jù)。數(shù)據(jù)處理會(huì)阻礙數(shù)據(jù)主體行使其權(quán)利、使用服務(wù)或執(zhí)行合同。例如，處理已被數(shù)據(jù)控制者收集的數(shù)據(jù)而不是將要處理的數(shù)據(jù)[22]。

3.2數(shù)據(jù)影響評(píng)估流程框架2014年，APED基于《數(shù)據(jù)保護(hù)指令》(Data Protection Directive 95/46 EC)發(fā)布了《數(shù)據(jù)保護(hù)影響評(píng)估指南》(Guía para una Evaluación de Impacto en la Protección de Datos Personales)[23]。這一指南指出，一些機(jī)構(gòu)會(huì)處理受GDPR規(guī)制的個(gè)人數(shù)據(jù)，而數(shù)據(jù)保護(hù)影響評(píng)估是這些機(jī)構(gòu)的一項(xiàng)固定的強(qiáng)制性義務(wù)，即這些機(jī)構(gòu)有必要評(píng)估每項(xiàng)個(gè)人數(shù)據(jù)處理活動(dòng)的風(fēng)險(xiǎn)，以確定應(yīng)采取哪些安全措施來保護(hù)所處理的個(gè)人數(shù)據(jù)，或分析是否必須執(zhí)行數(shù)據(jù)保護(hù)影響評(píng)估。該指南強(qiáng)調(diào)，在數(shù)據(jù)得到實(shí)際處理之前的最早階段，構(gòu)建數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)評(píng)估模型。在2018年3月，APED發(fā)布這個(gè)指南的更新版本《數(shù)據(jù)保護(hù)影響評(píng)估實(shí)踐指南》[19]，旨在與GDPR的最新規(guī)定相一致。

2019年7月，AEPD發(fā)布《針對(duì)公共部門的數(shù)據(jù)保護(hù)影響評(píng)估報(bào)告模型》[24]，以促進(jìn)數(shù)據(jù)保護(hù)影響評(píng)估的實(shí)施，并根據(jù)《數(shù)據(jù)保護(hù)影響評(píng)估實(shí)踐指南》來具體操作。這一模型是AEPD與工作、移民和社會(huì)保障部以及社會(huì)安全計(jì)算機(jī)管理信息安全中心合作開發(fā)的。該模型收集了生成影響評(píng)估報(bào)告時(shí)必須考慮的所有方面，其中包括：對(duì)策描述、合理的法律依據(jù)、對(duì)策分析、構(gòu)建評(píng)估模型或績效的義務(wù)、降低風(fēng)險(xiǎn)措施、行動(dòng)計(jì)劃以及調(diào)查結(jié)果和建議。雖然這一模型并非針對(duì)那些負(fù)責(zé)處理低風(fēng)險(xiǎn)數(shù)據(jù)的組織或個(gè)人，但在影響評(píng)估屬于非強(qiáng)制性的情況下，有助于以其它目進(jìn)行評(píng)估，如深入研究對(duì)策；改善組織流程的整體管理；產(chǎn)生數(shù)據(jù)保護(hù)的知識(shí)和文化；積極主動(dòng)地承擔(dān)責(zé)任[25]。這一模型涵蓋適合實(shí)施的安全措施，以減輕此類高風(fēng)險(xiǎn)?？傮w來看，上述指南對(duì)于數(shù)據(jù)保護(hù)專業(yè)人員非常有用，有助于他們?cè)贕DPR得到完全適用之前根據(jù)客戶的利益了解數(shù)據(jù)保護(hù)影響評(píng)估的標(biāo)準(zhǔn)。

3.3數(shù)據(jù)影響評(píng)估階段數(shù)據(jù)保護(hù)影響評(píng)估包括8個(gè)階段(見圖1)。①分析需要。在這一初始階段，必須考慮是否明確需要進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估。如果數(shù)據(jù)處理規(guī)模不是很大或公司不需要利用第三方的數(shù)據(jù)，那么影響評(píng)估可能不那么詳盡。②項(xiàng)目描述。詳細(xì)描述風(fēng)險(xiǎn)，有助于明確隱私影響因素。因此，在這一階段，重點(diǎn)檢查可能影響第三方數(shù)據(jù)的隱私風(fēng)險(xiǎn)，需要好好學(xué)習(xí)業(yè)務(wù)的目標(biāo)，明確誰是利益相關(guān)者、對(duì)什么數(shù)據(jù)類別進(jìn)行處理、技術(shù)使用目的等。③定義風(fēng)險(xiǎn)。根據(jù)前一階段提供的信息，確定本組織數(shù)據(jù)處理所存在的風(fēng)險(xiǎn)。根據(jù)AEPD提交的文件，這些風(fēng)險(xiǎn)可分為兩類：影響人們的因素，即可能侵犯其權(quán)利的風(fēng)險(xiǎn)；影響公司的因素，即那些源于未實(shí)施良好數(shù)據(jù)保護(hù)政策的公司，而且具體情況取決于當(dāng)前法規(guī)的規(guī)定。④風(fēng)險(xiǎn)管理。在確定風(fēng)險(xiǎn)之后，要保證數(shù)據(jù)保護(hù)中得到正確影響評(píng)估。因此，必須與有關(guān)行為者進(jìn)行內(nèi)部和外部磋商，隨后有必要確定將實(shí)施哪些類型的控制和措施。⑤分析對(duì)規(guī)范的遵守情況。在這個(gè)階段，要驗(yàn)證正在開發(fā)的所有內(nèi)容是否符合合法性。在合法性這一點(diǎn)上，必須考慮正在進(jìn)行影響評(píng)估的部門，因?yàn)閿?shù)據(jù)處理方面的法律要求可能更高或更低。⑥創(chuàng)建最終報(bào)告。在數(shù)據(jù)保護(hù)評(píng)估影響報(bào)告中，要正確詳細(xì)說明已發(fā)現(xiàn)的風(fēng)險(xiǎn)以及建議，以便管理和消除這些風(fēng)險(xiǎn)。⑦實(shí)施建議。在完全修改了準(zhǔn)備好的報(bào)告后，必須采取必要的措施來遵守它。此外，應(yīng)當(dāng)指定負(fù)責(zé)影響評(píng)估的人員，以確保遵守最終報(bào)告中詳述的所有內(nèi)容。⑧持續(xù)審查。在影響評(píng)估過程之后，必須對(duì)最終結(jié)果進(jìn)行適當(dāng)分析。通過這種方式，可以檢查所有工作的有效性，以及是否出現(xiàn)了新的風(fēng)險(xiǎn)。此外，不斷更新影響評(píng)估，是保證第三方數(shù)據(jù)保護(hù)的基礎(chǔ)。

圖1 數(shù)據(jù)保護(hù)影響評(píng)估階段[23]

4 西班牙開放政府?dāng)?shù)據(jù)隱私風(fēng)險(xiǎn)控制的特征

4.1優(yōu)勢(shì)分析

4.1.1 開放政府?dāng)?shù)據(jù)迅速發(fā)展 Datos.gob.es是西班牙開放數(shù)據(jù)平臺(tái)，提供了國家開放數(shù)據(jù)的目錄，也是供西班牙公共行政部門向公民、研究人員、再利用者和其它行政機(jī)構(gòu)進(jìn)行咨詢、下載和再利用數(shù)據(jù)的單入口點(diǎn)。它還包括一般數(shù)據(jù)、培訓(xùn)材料和有關(guān)公共部門信息再利用的新聞。在2018年，Datos.gob.es有超過21000個(gè)數(shù)據(jù)集可用，而且該數(shù)據(jù)門戶網(wǎng)站的當(dāng)年訪問次數(shù)超過500次[26]。

4.1.2 推進(jìn)隱私風(fēng)險(xiǎn)評(píng)估工具應(yīng)用 西班牙數(shù)據(jù)保護(hù)局(AEPD)在2014年發(fā)布了第一個(gè)數(shù)據(jù)保護(hù)影響評(píng)估指導(dǎo)方針，而且一直鼓勵(lì)在諸如大數(shù)據(jù)項(xiàng)目等相關(guān)案例中采用隱私影響評(píng)估。近年來，AEPD制定并繼續(xù)做出巨大努力來促進(jìn)充分實(shí)施GDPR所要求采取的措施。自2018年5月起，某些數(shù)據(jù)的處理必須進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估，因而AEPD近年也發(fā)布了數(shù)據(jù)保護(hù)影響評(píng)估指南以及一份必須進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估的案例清單。這些舉措有助于隱私影響評(píng)估工具的應(yīng)用，為開放政府?dāng)?shù)據(jù)的隱私風(fēng)險(xiǎn)評(píng)估提供工具保障。

4.1.3 組織結(jié)構(gòu)不斷優(yōu)化和完善 在隱私風(fēng)險(xiǎn)應(yīng)對(duì)的機(jī)構(gòu)和職位方面，西班牙在中央層面設(shè)有AEPD，而且當(dāng)屬于所規(guī)定的組織類型或出現(xiàn)相應(yīng)情況，就需要設(shè)立數(shù)據(jù)保護(hù)官這一職位。此外，西班牙一些自治社區(qū)也有自身的數(shù)據(jù)保護(hù)機(jī)構(gòu)，如加泰羅尼亞或巴斯克地區(qū)的社區(qū)。巴斯克數(shù)據(jù)保護(hù)辦公室(Datuak Babesteko Euskal Bulegoa，DBEB)是一個(gè)受公法管轄的機(jī)構(gòu)，負(fù)責(zé)處理由巴斯克自治區(qū)創(chuàng)建或管理的個(gè)人數(shù)據(jù)。DBEB負(fù)責(zé)對(duì)個(gè)人數(shù)據(jù)保護(hù)有關(guān)的查詢進(jìn)行回應(yīng)，并參加個(gè)人隱私保護(hù)方面的知識(shí)傳播和培訓(xùn)活動(dòng)，以提高人們對(duì)該領(lǐng)域法規(guī)所承認(rèn)的權(quán)利的認(rèn)識(shí)，增強(qiáng)公眾對(duì)隱私價(jià)值的認(rèn)識(shí)，并促進(jìn)巴斯克公眾尊重隱私。如果公民或公共管理部門希望索取信息或法律或技術(shù)標(biāo)準(zhǔn)，DBEB還提供了各種溝通渠道來答復(fù)公民或公共管理部門的詢問。此外，DBEB還確保巴斯克公共機(jī)構(gòu)遵守?cái)?shù)據(jù)保護(hù)法規(guī)，并在必要時(shí)行使其糾正權(quán)。在向DBEB提出權(quán)利要求之前，數(shù)據(jù)主體必須聯(lián)系數(shù)據(jù)控制者以行使其權(quán)利。如果數(shù)據(jù)控制者在規(guī)定的期限內(nèi)未做出答復(fù)，或者他不同意答復(fù)，那么利益相關(guān)者可以向DBEB提出保護(hù)權(quán)利的要求[27]。通過中央和地方層面的機(jī)構(gòu)和職位的設(shè)置，明確了隱私風(fēng)險(xiǎn)應(yīng)對(duì)的主體，有助于建立隱私風(fēng)險(xiǎn)控制責(zé)任機(jī)制。

4.2劣勢(shì)分析

4.2.1 “開放數(shù)據(jù)”與“隱私風(fēng)險(xiǎn)”的邏輯悖論 開放政府不是無條件和絕對(duì)的：雖然促使政府更加開放一直并且仍然是一個(gè)高優(yōu)先事項(xiàng)，但優(yōu)先級(jí)并不意味著壓倒所有其它考慮的因素。沒有哪個(gè)開放政府的支持者會(huì)把開放政府描繪成不顧一切的開放，而毫不顧忌后果。就西班牙而言，信息自由權(quán)受到隱私權(quán)的限制，這一事實(shí)反映在西班牙《憲法》第20(4)條中。在兩者之間發(fā)生沖突的情況下，應(yīng)當(dāng)確定兩種基本權(quán)利中哪一項(xiàng)必須優(yōu)先于另一項(xiàng)，因?yàn)榉蓻]有提供有助于解決問題的具體規(guī)則，而法官需要分析這一問題，而且根據(jù)具體情況而定[28]。

4.2.2 高價(jià)值數(shù)據(jù)開放不夠 西班牙沒有信息獲取法，也沒有統(tǒng)一的國家開放數(shù)據(jù)政策或做法，唯一積極維護(hù)的開放數(shù)據(jù)計(jì)劃是由少數(shù)地方和地區(qū)政府啟動(dòng)的，但沒有國家層面的協(xié)調(diào)或支持。為了推進(jìn)政府?dāng)?shù)據(jù)開放，政府機(jī)構(gòu)應(yīng)該識(shí)別關(guān)鍵受眾的數(shù)據(jù)和他們的需求，并努力為每個(gè)受眾以最易懂的形式和格式提供高價(jià)值數(shù)據(jù)。但是，關(guān)于健康、教育、公共采購或官方議程的關(guān)鍵數(shù)據(jù)集仍被政府所拒絕，西班牙也沒有計(jì)劃是否發(fā)布[29]。在這方面，美國優(yōu)于西班牙，如美國政府已利用Data.gov社區(qū)來利用美國人民的聰明才智，簡化了人們獲取高價(jià)值數(shù)據(jù)的途徑，并告知?jiǎng)?chuàng)新者和私營部門那些日益增多的獎(jiǎng)品、挑戰(zhàn)和比賽。

5 啟 示

總體來看，從國際上來看，西班牙是一個(gè)具有前瞻性的開放數(shù)據(jù)國家，這得益于其完善的隱私風(fēng)險(xiǎn)評(píng)估與防控。通過挖掘該國近年來關(guān)于數(shù)據(jù)開放所產(chǎn)生的各類隱私問題的案例，梳理該國在數(shù)據(jù)開放中的隱私風(fēng)險(xiǎn)控制經(jīng)驗(yàn)，能夠?yàn)槲覈嚓P(guān)政策設(shè)計(jì)提供相應(yīng)支撐。

5.1明確開放政府?dāng)?shù)據(jù)環(huán)境下個(gè)人隱私權(quán)西班牙的信息自決原則起源于《憲法》第18(4)條，是更大隱私權(quán)的一部分，而且主要通過教義上的演變而發(fā)展起來。該條文規(guī)定，法律應(yīng)限制信息的使用，以保證個(gè)人和家庭的榮譽(yù)、公民隱私的同時(shí)，使個(gè)人能夠充分行使其權(quán)利?？梢姡@個(gè)條文是西班牙《憲法》中數(shù)據(jù)保護(hù)權(quán)利存在的法律依據(jù)。除了上述《憲法》條款對(duì)個(gè)人和家庭隱私進(jìn)行規(guī)范以外，《組織法》確立了信息自決或信息自由，即根據(jù)西班牙憲法法院于2000年11月30日發(fā)布的《第292/2000374號(hào)決定》[30]明確承認(rèn)信息自決或信息自由是與隱私分開的基本權(quán)利。這個(gè)決定不僅強(qiáng)調(diào)了以計(jì)算機(jī)為基礎(chǔ)的信息系統(tǒng)對(duì)控制個(gè)人信息的重要影響，而且還指出，西班牙《憲法》第18(4)條所規(guī)定的基本隱私權(quán)本身并不能保證在信息通訊技術(shù)發(fā)展的新背景下所需的保護(hù)水平。最后，該決定所下的結(jié)論是，《憲法》第18(4)條構(gòu)成了保障數(shù)據(jù)保護(hù)權(quán)利的憲法基礎(chǔ)，它為個(gè)人提供了一種保護(hù)手段，使其免受對(duì)尊嚴(yán)、權(quán)利和自由的新威脅。因此，《組織法》不僅保護(hù)公民免受信息技術(shù)處理，而且也保護(hù)其他基本權(quán)利和個(gè)人自由免受其個(gè)人信息被自動(dòng)處理。當(dāng)前，隨著信息技術(shù)的迅速發(fā)展，政府信息資源管理模式出現(xiàn)重大發(fā)展與變革，公民獲取信息的方式也逐漸轉(zhuǎn)向電子化。大數(shù)據(jù)對(duì)人們的日常生活產(chǎn)生的影響也越來越大，因而開放政府?dāng)?shù)據(jù)環(huán)境下個(gè)人數(shù)據(jù)被竊取或泄露的風(fēng)險(xiǎn)也增加，使得個(gè)人對(duì)于信息的自我決定權(quán)也開始消失。早在2013年6月18日，八國集團(tuán)所簽署的《開放數(shù)據(jù)憲章》(Open Data Charter)第一條原則就是默認(rèn)必須開放數(shù)據(jù)：在持續(xù)保障隱私權(quán)的前提下，促進(jìn)政府?dāng)?shù)據(jù)被公開發(fā)布[31]。因此，為了推進(jìn)政府?dāng)?shù)據(jù)開放，應(yīng)當(dāng)關(guān)注隱私權(quán)，甚至可以延伸至信息隱私權(quán)，注重個(gè)人屬性、個(gè)人數(shù)據(jù)、數(shù)據(jù)內(nèi)容等方面的隱私權(quán)。

5.2注重各個(gè)領(lǐng)域的數(shù)據(jù)監(jiān)管開放政府?dāng)?shù)據(jù)涉及各個(gè)不同領(lǐng)域的數(shù)據(jù)，而西班牙則針對(duì)這些不同領(lǐng)域進(jìn)行監(jiān)管。AEPD負(fù)責(zé)監(jiān)察有關(guān)保障個(gè)人數(shù)據(jù)的法律條文是否得到遵守，因而享有絕對(duì)的自主權(quán)，不受公共部門的監(jiān)管。它能夠采取相應(yīng)行動(dòng)，從而提高公民有效促進(jìn)這種保護(hù)的能力。司法部負(fù)責(zé)某些基地的登記。更具體地說，它負(fù)責(zé)包括出生、法律行為能力、失蹤或死亡、國籍、婚姻在內(nèi)的個(gè)人數(shù)據(jù)的民事登記，以及提供商業(yè)身份、活動(dòng)說明、基本數(shù)據(jù)和文件、財(cái)務(wù)和經(jīng)濟(jì)數(shù)據(jù)的登記。司法部還負(fù)責(zé)有關(guān)自然人和法人的關(guān)鍵主數(shù)據(jù)，而且還與其他部委合作，使基地登記冊(cè)合理化。財(cái)政部不僅負(fù)責(zé)地籍登記，提供土地和房地產(chǎn)的說明，還管理稅務(wù)機(jī)構(gòu)數(shù)據(jù)庫，其中包含自然人和法人的稅收、財(cái)政義務(wù)和財(cái)政狀況的數(shù)據(jù)。經(jīng)濟(jì)企業(yè)部負(fù)責(zé)管理自然人、法人、農(nóng)業(yè)、經(jīng)濟(jì)、氣候、科技等居住數(shù)據(jù)的登記匯編。就業(yè)和社會(huì)保障部管理著社會(huì)保障數(shù)據(jù)庫，包括自然人和法人的勞動(dòng)歷史、社會(huì)保障權(quán)利等數(shù)據(jù)。就我國而言，許多不同的特定類型的個(gè)人數(shù)據(jù)也受不同的法律和行政法規(guī)約束，并且一些規(guī)定重疊。例如，電信和互聯(lián)網(wǎng)服務(wù)中的“用戶個(gè)人信息”是根據(jù)2013 年 7月頒布的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》而確定；在個(gè)人財(cái)務(wù)信息方面，中國人民銀行發(fā)布的《關(guān)于加強(qiáng)銀行業(yè)金融機(jī)構(gòu)個(gè)人金融信息保護(hù)工作的通知》對(duì)銀行業(yè)金融機(jī)構(gòu)有更具體的要求。在進(jìn)行數(shù)據(jù)監(jiān)管的同時(shí)，也要注意避免因過度隱私保護(hù)而不利于開放數(shù)據(jù)。例如，美國Data.gov通過向公眾提供整合所有機(jī)構(gòu)的元數(shù)據(jù)目錄來提高他們發(fā)現(xiàn)數(shù)據(jù)的能力，從而避免部門監(jiān)管。它的好處在于，一個(gè)更加綜合的信息源和探索工具可以讓公眾操縱聯(lián)邦部門的數(shù)據(jù)，而不用去了解作為一個(gè)整體或個(gè)別機(jī)構(gòu)的聯(lián)邦政府是如何組織這些數(shù)據(jù)。

5.3注重利用匿名化技術(shù)BBVA Data & Analytics是西班牙對(duì)外銀行的一個(gè)獨(dú)立部門，旨在利用數(shù)據(jù)科學(xué)為銀行創(chuàng)造價(jià)值，專注于利用技術(shù)和分析來優(yōu)化他們的流程。為了幫助BBVA集團(tuán)內(nèi)其他公司開發(fā)新的或更多的服務(wù)，BBVA Data & Analytics結(jié)合可用的開放數(shù)據(jù)對(duì)這些公司的數(shù)據(jù)進(jìn)行分析?；谶@些分析，關(guān)聯(lián)公司可以獲得有關(guān)經(jīng)濟(jì)趨勢(shì)或其客戶行為的見解。通過提供他們的服務(wù)，他們收集了大量的數(shù)據(jù)，這些數(shù)據(jù)所揭示的見解也會(huì)引起其他各方的興趣。為了向公共或私營部門的特定合作伙伴提供這些潛在有價(jià)值的信息，BBVA通過開放數(shù)據(jù)平臺(tái)分享原始、匯總和匿名的數(shù)據(jù)[32]。這個(gè)例子表明，盡管沒有將開放數(shù)據(jù)直接商業(yè)化成一種新產(chǎn)品，但通過匿名而用于增強(qiáng)現(xiàn)有產(chǎn)品或服務(wù)時(shí)，也會(huì)創(chuàng)造價(jià)值。從效用影響的角度來看，匿名可以允許有關(guān)個(gè)人的信息在多個(gè)記錄之間鏈接，從而增加其實(shí)用程序，以實(shí)現(xiàn)多種目的。但是，匿名并不僅僅只是需要?jiǎng)h除名稱或其他唯一標(biāo)識(shí)符。正如Ohm指出，匿名數(shù)據(jù)集中描述的人是如何很容易被重新識(shí)別或去匿名化的。例如，Ohm描述的Latanya Sweeney關(guān)于“美國人口中簡單人口的獨(dú)特性”的研究表明，郵政編碼、出生日期和性別的組合可以唯一地識(shí)別87%的美國人口[33]。因此，我國政府機(jī)構(gòu)在開放數(shù)據(jù)時(shí)，應(yīng)當(dāng)標(biāo)出他們的數(shù)據(jù)是否包含可識(shí)別的個(gè)人信息，以及這些數(shù)據(jù)是否符合隱私保護(hù)要求。此外，在應(yīng)用匿名技術(shù)來進(jìn)行開放政府?dāng)?shù)據(jù)隱私風(fēng)險(xiǎn)控制時(shí)，如果對(duì)數(shù)據(jù)進(jìn)行匿名和聚合，應(yīng)當(dāng)使用非常謹(jǐn)慎和公認(rèn)的統(tǒng)計(jì)方法。

5.4積極開展隱私影響評(píng)估(PIA)為了在透明度和隱私之間取得平衡，政府和企業(yè)不應(yīng)收集和披露超過達(dá)到其目標(biāo)所必需的最低限度的數(shù)據(jù)，或可能造成重大損害的數(shù)據(jù)。各級(jí)政府應(yīng)當(dāng)明白的是，進(jìn)行徹底的PIA有助于識(shí)別潛在的危害并幫助決策。向公民開放的數(shù)據(jù)可以是收集到的數(shù)據(jù)的子集，并提供給公共部門，但前提是開放足夠的數(shù)據(jù)，以實(shí)現(xiàn)有意義的監(jiān)督和透明。一個(gè)精心設(shè)計(jì)和狹義定義的豁免程序很重要，因?yàn)樗试S有合法安全或隱私顧慮的個(gè)人要求他們的詳細(xì)數(shù)據(jù)不被公開登記。例如，2020年2月13日，中國人民銀行發(fā)布的《中國人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)做好個(gè)人金融信息保護(hù)技術(shù)管理工作的通知》[34]第6.1.4.2條第a款規(guī)定，在共享和轉(zhuǎn)讓前，應(yīng)開展個(gè)人金融信息安全影響評(píng)估，并依據(jù)評(píng)估結(jié)果采取有效措施保護(hù)個(gè)人金融信息主體權(quán)益。PIA是一個(gè)工具，可協(xié)助機(jī)構(gòu)找出最有效的方法，以履行保障數(shù)據(jù)的責(zé)任，并滿足個(gè)人對(duì)因素的期望。一個(gè)有效的PIA將允許組織在早期識(shí)別和解決問題，減少相關(guān)的成本和可能發(fā)生的聲譽(yù)損害。PIA是通過設(shè)計(jì)方法實(shí)現(xiàn)隱私的一個(gè)組成部分，而且適用于政府部門，因?yàn)檫@些部門會(huì)發(fā)現(xiàn)，PIA的一個(gè)用途是，開發(fā)一組更具體的篩選問題或識(shí)別常見的隱私風(fēng)險(xiǎn)和解決方案。