余 立 張 橦 黃 萃*

(1.浙江大學(xué)公共管理學(xué)院，浙江 杭州 310058；2.大連理工大學(xué)人文與社會(huì)科學(xué)學(xué)部，遼寧 大連 116024)

隨著數(shù)字政府建設(shè)進(jìn)程不斷深化，跨領(lǐng)域、跨部門(mén)、跨層級(jí)的應(yīng)用場(chǎng)景成為推動(dòng)公共數(shù)據(jù)歸集整合的重要手段。但海量公共數(shù)據(jù)的融合、開(kāi)放與價(jià)值挖掘，往往催生出個(gè)人信息安全問(wèn)題[1]。例如，涉及個(gè)人信息的碎片化數(shù)據(jù)經(jīng)過(guò)匯聚共享、融合關(guān)聯(lián)和深度挖掘，往往可以形成對(duì)個(gè)體行為軌跡、個(gè)性需求、價(jià)值認(rèn)知等方面的具象認(rèn)識(shí)[2]。這類數(shù)據(jù)一旦泄露或被非法利用，將嚴(yán)重?fù)p害個(gè)體利益與公共利益，對(duì)國(guó)家安全帶來(lái)較高風(fēng)險(xiǎn)。2022年6月23日，國(guó)務(wù)院印發(fā)《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見(jiàn)》明確指出，全面強(qiáng)化數(shù)字政府安全管理責(zé)任，加快構(gòu)建制度、管理和技術(shù)銜接配套的安全防護(hù)體系，確保個(gè)人信息安全。因此，探討數(shù)字政府建設(shè)中個(gè)人信息安全保護(hù)機(jī)制，推動(dòng)公共數(shù)據(jù)安全有效融合，具有較強(qiáng)的理論與現(xiàn)實(shí)意義。

公共數(shù)據(jù)融合有助于進(jìn)一步釋放公共數(shù)據(jù)價(jià)值，但與此同時(shí)，也增大了個(gè)人信息安全的風(fēng)險(xiǎn)。當(dāng)零碎的個(gè)人數(shù)據(jù)被廣泛收集后，容易導(dǎo)致當(dāng)事人隱私被泄露[3]?，F(xiàn)有研究多聚焦平臺(tái)經(jīng)濟(jì)中個(gè)人隱私泄露問(wèn)題[4-5]，防止市場(chǎng)主體進(jìn)行數(shù)據(jù)標(biāo)簽化[6]、大數(shù)據(jù)殺熟[7]和算法歧視[8]等行為，從而降低數(shù)據(jù)融合帶來(lái)的風(fēng)險(xiǎn)。僅有少部分研究指出，個(gè)人信息在公共數(shù)據(jù)的流動(dòng)環(huán)節(jié)也可能存在被政府部門(mén)過(guò)度攫取、違法披露以及不當(dāng)使用的風(fēng)險(xiǎn)[9]。事實(shí)上，公共數(shù)據(jù)融合涉及政府各部門(mén)間的協(xié)同與博弈，容易導(dǎo)致個(gè)人信息保護(hù)的職責(zé)模糊與追責(zé)困難[10]。因此，探究公共數(shù)據(jù)中個(gè)人信息風(fēng)險(xiǎn)演化模式和影響因素，構(gòu)建與其相適應(yīng)的保護(hù)機(jī)制，已成為公共數(shù)據(jù)治理的重要課題。

本文從公共數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)和數(shù)據(jù)生命周期理論出發(fā)，構(gòu)建了數(shù)據(jù)風(fēng)險(xiǎn)—數(shù)據(jù)責(zé)任的整合分析框架；結(jié)合杭州城市大腦實(shí)踐的具體應(yīng)用場(chǎng)景，進(jìn)行案例分析并試圖回答以下問(wèn)題：①公共數(shù)據(jù)融合中的個(gè)人信息安全風(fēng)險(xiǎn)是如何動(dòng)態(tài)演變的；②在公共數(shù)據(jù)跨部門(mén)、跨領(lǐng)域、跨業(yè)務(wù)流轉(zhuǎn)過(guò)程，個(gè)人信息的安全問(wèn)題的影響因素有哪些，如何清晰評(píng)估其安全風(fēng)險(xiǎn)；③個(gè)人信息安全發(fā)生風(fēng)險(xiǎn)演化時(shí)，如何建立相應(yīng)部門(mén)的保護(hù)機(jī)制。

1 研究現(xiàn)狀與問(wèn)題

公共數(shù)據(jù)的大規(guī)模融合給個(gè)人信息保護(hù)帶來(lái)了極大考驗(yàn)，如何建立與之適應(yīng)的個(gè)人信息保護(hù)機(jī)制，不僅事關(guān)個(gè)體權(quán)益與公共利益，更影響國(guó)家安全與經(jīng)濟(jì)社會(huì)發(fā)展。然而，涉及個(gè)人信息的公共數(shù)據(jù)具有動(dòng)態(tài)性、碎片化、海量性和公共性的特點(diǎn)[11]，使個(gè)人信息保護(hù)面臨較大困難。本文圍繞現(xiàn)有公共數(shù)據(jù)治理模式、個(gè)人信息保護(hù)機(jī)制和數(shù)據(jù)融合的治理趨勢(shì)這3個(gè)方面，對(duì)當(dāng)前公共數(shù)據(jù)中個(gè)人信息保護(hù)所面臨的問(wèn)題進(jìn)行系統(tǒng)化梳理和總結(jié)。

1.1 公共數(shù)據(jù)治理模式

隨著公共數(shù)據(jù)的不斷鏈接、融合與挖掘，個(gè)人信息泄露風(fēng)險(xiǎn)呈現(xiàn)“乘數(shù)效應(yīng)”，公共數(shù)據(jù)傳統(tǒng)的治理模式顯得力不從心[6]。一方面，從管理機(jī)制上看，對(duì)公共數(shù)據(jù)開(kāi)展目錄編制、分類分級(jí)是當(dāng)前個(gè)人信息保護(hù)的重要手段，例如，《廣東省公共數(shù)據(jù)管理辦法》提出，遵循“一數(shù)一源一標(biāo)準(zhǔn)”原則，應(yīng)當(dāng)從根源上對(duì)數(shù)據(jù)類型和數(shù)據(jù)敏感度進(jìn)行標(biāo)準(zhǔn)劃分。這在一定程度上有利于梳理數(shù)據(jù)脈絡(luò)，保障公共數(shù)據(jù)時(shí)效性、可用性和安全性，但這種靜態(tài)分類的數(shù)據(jù)治理手段，并未充分識(shí)別數(shù)據(jù)流轉(zhuǎn)過(guò)程中個(gè)人信息安全風(fēng)險(xiǎn)的演變[12]，難以動(dòng)態(tài)感知公共數(shù)據(jù)共享、開(kāi)放、融合和挖掘中非敏感數(shù)據(jù)有可能演變?yōu)槊舾袛?shù)據(jù)的問(wèn)題；另一方面，從安全技術(shù)應(yīng)用上看，當(dāng)前主流的個(gè)人信息保護(hù)技術(shù)多為個(gè)人隱私數(shù)據(jù)的隱式化處理，例如，數(shù)據(jù)匿名、數(shù)據(jù)去標(biāo)識(shí)化、數(shù)據(jù)沙箱、區(qū)塊鏈留痕等[13]。這種隱式化手段，杜絕了個(gè)人信息的直接暴露，但通過(guò)數(shù)據(jù)挖掘等技術(shù)手段仍有間接獲取個(gè)人信息的可能性[14]。由此看出，僅依賴單一的分級(jí)分類等傳統(tǒng)靜態(tài)規(guī)制方法[15]，難以應(yīng)對(duì)當(dāng)前數(shù)字政府背景下的個(gè)人信息安全風(fēng)險(xiǎn)問(wèn)題。

1.2 個(gè)人信息保護(hù)機(jī)制

本文研究重點(diǎn)是政府部門(mén)如何建立適用于公共數(shù)據(jù)融合的個(gè)人信息保護(hù)機(jī)制。已有的法律法規(guī)和部門(mén)制度通常是劃定政府部門(mén)職責(zé)邊界和保護(hù)方式的重要依據(jù)。由于公共數(shù)據(jù)權(quán)屬等理論問(wèn)題尚不明晰，政府部門(mén)在個(gè)人信息保護(hù)方面的相關(guān)制度供給仍處于底線約束、原則遵守層面[16]。例如，《個(gè)人信息保護(hù)法》明確了政府機(jī)關(guān)在處理個(gè)人信息時(shí)的角色定位，相關(guān)法條偏向原則底線的闡釋；《浙江省公共數(shù)據(jù)條例》明確規(guī)定了“誰(shuí)收集誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的責(zé)任機(jī)制，并未細(xì)致性探討數(shù)據(jù)多跨協(xié)同下個(gè)人信息保護(hù)的責(zé)任邊界。應(yīng)當(dāng)指出，公共數(shù)據(jù)是政府履職產(chǎn)生的，本身具有公共性特征[17]，但涉及的個(gè)人數(shù)據(jù)又存在明顯私權(quán)特征，這一雙重屬性使得部門(mén)行為規(guī)制變得愈發(fā)困難[15]。為此，歐美國(guó)家采用數(shù)據(jù)隱私風(fēng)險(xiǎn)的審核技術(shù)(Privacy Impact Assessment)[18]，由第三方數(shù)據(jù)公司專業(yè)評(píng)估政府機(jī)構(gòu)相關(guān)活動(dòng)對(duì)個(gè)人隱私造成的影響，界定部門(mén)機(jī)構(gòu)的職責(zé)范圍，減少隱私侵犯的發(fā)生。我國(guó)《個(gè)人信息安全影響評(píng)估指南》[19]部分借鑒了此思路，評(píng)估對(duì)象集中于各類互聯(lián)網(wǎng)企業(yè)，較少涉及數(shù)字政府中的公共數(shù)據(jù)治理?？傮w來(lái)講，厘清公共數(shù)據(jù)使用過(guò)程中政府部門(mén)的職責(zé)邊界仍然是一個(gè)難點(diǎn)問(wèn)題。

1.3 數(shù)據(jù)融合的治理趨勢(shì)

公共數(shù)據(jù)融合往往意味著跨層級(jí)、跨系統(tǒng)、跨部門(mén)的現(xiàn)實(shí)情境。為此，個(gè)人信息保護(hù)不能只依賴單一的數(shù)據(jù)管理部門(mén)，更需要政府各部門(mén)間的協(xié)同配合與積極作為。近年來(lái)，各省市紛紛設(shè)立的數(shù)據(jù)管理機(jī)構(gòu)被賦予了數(shù)據(jù)安全與個(gè)人信息保護(hù)的職能[20]，統(tǒng)籌負(fù)責(zé)轄區(qū)內(nèi)的公共數(shù)據(jù)歸集整合和共享開(kāi)發(fā)的安全問(wèn)題。然而，傳統(tǒng)的政府職能劃分不能解決由于公共數(shù)據(jù)融合引發(fā)的責(zé)任主體漂移的問(wèn)題[21]。一方面，數(shù)據(jù)管理機(jī)構(gòu)對(duì)數(shù)據(jù)流、信息流和事件流實(shí)現(xiàn)“一管到底”并不現(xiàn)實(shí)，甚至其自身工作都不同程度依賴其他部門(mén)的協(xié)同配合上[22]。例如，由于數(shù)據(jù)管理機(jī)構(gòu)對(duì)相關(guān)部門(mén)業(yè)務(wù)工作并不了解，其負(fù)責(zé)的數(shù)據(jù)安全檢查工作，通常會(huì)變成依據(jù)寬泛指標(biāo)展開(kāi)的例行公事，或是核驗(yàn)安全記錄臺(tái)賬的規(guī)定動(dòng)作；另一方面，政府機(jī)構(gòu)保護(hù)個(gè)人信息的能力往往存在“木桶效應(yīng)”，整體水平取決于數(shù)據(jù)安全能力最薄弱的部門(mén)，只有各部門(mén)協(xié)同配合才能保障個(gè)人信息安全[23-24]。

總之，公共數(shù)據(jù)融合已經(jīng)成為數(shù)字政府建設(shè)的常態(tài)模式，多跨協(xié)同場(chǎng)景使得部門(mén)間業(yè)務(wù)生態(tài)交錯(cuò)復(fù)雜，個(gè)人信息保護(hù)更加需要環(huán)環(huán)相扣，而現(xiàn)在單一部門(mén)統(tǒng)籌、業(yè)務(wù)部門(mén)配合的治理模式難以應(yīng)對(duì)當(dāng)前發(fā)展需求。目前在理論與實(shí)踐中，對(duì)公共數(shù)據(jù)融合過(guò)程中的個(gè)人信息安全問(wèn)題探討還不充分，尤其是對(duì)個(gè)人信息風(fēng)險(xiǎn)的演變機(jī)制、影響因素與保護(hù)路徑等方面缺乏實(shí)證分析探討。

2 整合分析框架

為此，本文構(gòu)建了公共數(shù)據(jù)治理下個(gè)人信息安全演化的整合分析框架，如圖1所示，即考慮“數(shù)據(jù)風(fēng)險(xiǎn)”和“數(shù)據(jù)責(zé)任”的兩個(gè)維度，整合分析公共數(shù)據(jù)融合過(guò)程中個(gè)人信息的安全風(fēng)險(xiǎn)演化以及相應(yīng)政府部門(mén)的職責(zé)邊界。

2.1 數(shù)據(jù)風(fēng)險(xiǎn)：基于數(shù)據(jù)敏感性—數(shù)據(jù)功能

數(shù)據(jù)分類分級(jí)是確保涉及個(gè)人信息的公共數(shù)據(jù)有序安全的重要方式[25-26]。本文基于“數(shù)據(jù)敏感性—數(shù)據(jù)功能”探討公共數(shù)據(jù)的分級(jí)分類與動(dòng)態(tài)風(fēng)險(xiǎn)演變。具體為，“數(shù)據(jù)敏感性”考量數(shù)據(jù)涉及個(gè)人隱私的程度；“數(shù)據(jù)功能”主要從數(shù)據(jù)的使用目標(biāo)上進(jìn)行劃分，包括公共服務(wù)和監(jiān)控監(jiān)管兩大類。分析框架借鑒了Zoonen L對(duì)公共價(jià)值與個(gè)人隱私關(guān)系的思考，他指出公眾對(duì)個(gè)人隱私數(shù)據(jù)的保護(hù)意愿主要受到數(shù)據(jù)類別、數(shù)據(jù)收集目的以及數(shù)據(jù)使用機(jī)構(gòu)的影響[27-28]。在數(shù)據(jù)敏感性上，公眾通常關(guān)注能直接或間接標(biāo)識(shí)到個(gè)人信息的數(shù)據(jù)類別，而常常忽略與自身信息不相關(guān)的公共數(shù)據(jù)；在數(shù)據(jù)功能上，公眾通過(guò)衡量個(gè)人收益情況，決定是否讓渡個(gè)人信息，進(jìn)而形成讓渡偏好[29]，比如相比于用于監(jiān)控功能的執(zhí)法部門(mén)，公眾更愿意讓渡給重視公共服務(wù)的醫(yī)療、教育、金融機(jī)構(gòu)及社會(huì)公益組織[24,30]。

在此基礎(chǔ)上，本文對(duì)公共數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)討論，如圖1所示：①第Ⅰ象限為高風(fēng)險(xiǎn)數(shù)據(jù)，是指可以直接關(guān)聯(lián)個(gè)人特征并具有監(jiān)控功能的一類數(shù)據(jù)，例如個(gè)體身份、生物識(shí)別信息等；②第Ⅱ和第Ⅳ象限為中風(fēng)險(xiǎn)數(shù)據(jù)，例如第Ⅱ象限中直接關(guān)聯(lián)個(gè)人敏感信息的公共服務(wù)數(shù)據(jù)，比如學(xué)歷、社保、醫(yī)保等數(shù)據(jù)，第Ⅳ象限為具有監(jiān)管功能但個(gè)體屬性不高的數(shù)據(jù)，比如交通流量、物聯(lián)感知設(shè)備等群體性識(shí)別數(shù)據(jù)；③第Ⅲ象限為低風(fēng)險(xiǎn)數(shù)據(jù)，即偏公共服務(wù)又與個(gè)體不緊密的數(shù)據(jù)，包括氣象、環(huán)境、地理信息系統(tǒng)等數(shù)據(jù)。

2.2 數(shù)據(jù)責(zé)任：基于數(shù)據(jù)生命周期

數(shù)據(jù)生命周期作為公共數(shù)據(jù)治理的經(jīng)典理論，通過(guò)考察數(shù)據(jù)采集、數(shù)據(jù)共享、數(shù)據(jù)挖掘、數(shù)據(jù)分析等環(huán)節(jié)，可以對(duì)公共數(shù)據(jù)狀態(tài)和承載主體進(jìn)行有效分析。事實(shí)上，公共數(shù)據(jù)融合過(guò)程中會(huì)涉及多個(gè)數(shù)據(jù)層[31]：基礎(chǔ)服務(wù)層(IaaS)提供數(shù)據(jù)存儲(chǔ)交互的網(wǎng)絡(luò)和服務(wù)器等基礎(chǔ)硬件；平臺(tái)服務(wù)層(PaaS)提供數(shù)據(jù)管理運(yùn)算和業(yè)務(wù)協(xié)同載體；軟件服務(wù)層(SaaS)實(shí)現(xiàn)不同場(chǎng)景應(yīng)用模塊的開(kāi)發(fā)設(shè)計(jì)。

當(dāng)前，公共數(shù)據(jù)主要從技術(shù)上的數(shù)據(jù)服務(wù)層來(lái)界定職能邊界[32]。一個(gè)常見(jiàn)方案是由數(shù)據(jù)資源管理機(jī)構(gòu)將所有數(shù)字政府業(yè)務(wù)數(shù)據(jù)歸集至IaaS和PaaS進(jìn)行統(tǒng)籌管理，而各業(yè)務(wù)部門(mén)通過(guò)數(shù)據(jù)共享，進(jìn)行調(diào)用開(kāi)發(fā)各自的應(yīng)用場(chǎng)景。這一數(shù)據(jù)管理策略，具有統(tǒng)分結(jié)合的權(quán)責(zé)體系，但在應(yīng)對(duì)跨部門(mén)應(yīng)用場(chǎng)景時(shí)，卻很難厘清部門(mén)間的安全責(zé)任，個(gè)人信息保護(hù)的全部責(zé)任可能被集中在單個(gè)機(jī)構(gòu)部門(mén)[20]。例如，業(yè)務(wù)部門(mén)調(diào)用了多部門(mén)數(shù)據(jù)進(jìn)行SaaS的應(yīng)用開(kāi)發(fā)，數(shù)據(jù)融合產(chǎn)生新的數(shù)據(jù)，這些由業(yè)務(wù)部門(mén)產(chǎn)生的新增數(shù)據(jù)被存儲(chǔ)在IaaS或PaaS，將不斷增加數(shù)據(jù)管理機(jī)構(gòu)的風(fēng)險(xiǎn)防范責(zé)任。因此，一個(gè)較為穩(wěn)健的分析框架是將傳統(tǒng)的數(shù)據(jù)生命周期理論與公共數(shù)據(jù)融合中對(duì)應(yīng)的責(zé)任部門(mén)進(jìn)行結(jié)合，在數(shù)據(jù)融合的各個(gè)環(huán)節(jié)中厘清個(gè)人信息保護(hù)的部門(mén)責(zé)任。

3 城市大腦案例分析與保護(hù)機(jī)制研究

本文結(jié)合調(diào)查訪談數(shù)據(jù)以及在政府?dāng)?shù)據(jù)管理部門(mén)的實(shí)際工作經(jīng)驗(yàn)，基于構(gòu)建的整合分析框架，對(duì)杭州城市大腦建設(shè)中所涉及的個(gè)人信息安全風(fēng)險(xiǎn)動(dòng)態(tài)演化問(wèn)題進(jìn)行深入分析，試圖厘清公共數(shù)據(jù)治理過(guò)程中政府相應(yīng)部門(mén)的職責(zé)邊界。在此基礎(chǔ)上，歸納總結(jié)了4種個(gè)人信息保護(hù)機(jī)制，為公共部門(mén)降低個(gè)人信息安全風(fēng)險(xiǎn)提供建議。

杭州城市大腦作為研究對(duì)象，得益于它在數(shù)字政府建設(shè)領(lǐng)域具有較好的類型學(xué)分析意義。①就代表性而言，杭州市率先提出通過(guò)建設(shè)城市大腦推進(jìn)城市治理現(xiàn)代化，截至目前，全球23個(gè)城市引入城市大腦，國(guó)內(nèi)500多個(gè)城市正積極推進(jìn)建設(shè)城市大腦[33]；②在實(shí)踐效果上，杭州城市大腦以公共數(shù)據(jù)歸集、開(kāi)放與共享為核心，累計(jì)融合公共數(shù)據(jù)837億條，搭建48個(gè)應(yīng)用場(chǎng)景[34]，覆蓋交通、城管、衛(wèi)健、旅游、疫情防控等11個(gè)領(lǐng)域，習(xí)近平總書(shū)記考察杭州城市大腦運(yùn)營(yíng)指揮中心后對(duì)相關(guān)創(chuàng)新應(yīng)用給予肯定；③在個(gè)人信息保護(hù)方面，不少學(xué)者提出杭州城市大腦在個(gè)人信息收集使用合法性、正當(dāng)性和安全性等方面仍存在風(fēng)險(xiǎn)隱患[35]。

杭州城市大腦依賴于“統(tǒng)一地址庫(kù)”場(chǎng)景的建設(shè)推進(jìn)全市公共數(shù)據(jù)的歸集融合。其具體模式是：將全市所有地址進(jìn)行編碼，如表1所示，以27位統(tǒng)一地址碼為紐帶，關(guān)聯(lián)依附在地址上的相關(guān)社會(huì)治理要素，包括實(shí)有人口、組織機(jī)構(gòu)、建筑物信息、重點(diǎn)場(chǎng)所等公共數(shù)據(jù)，進(jìn)而融合人、房、企、事、物、通信等信息，通過(guò)數(shù)據(jù)全局調(diào)用、接口調(diào)用和接口推送核驗(yàn)等模式，實(shí)現(xiàn)公安、民政、人社、應(yīng)急、測(cè)繪等跨部門(mén)數(shù)據(jù)的共享協(xié)同。

表1 杭州城市大腦公共數(shù)據(jù)融合模式——“統(tǒng)一地址庫(kù)”

表1(續(xù))

3.1 機(jī)制一：數(shù)據(jù)采集下的部門(mén)溯源

公共數(shù)據(jù)采集和分類是進(jìn)行數(shù)據(jù)融合的首要環(huán)節(jié)。在統(tǒng)一地址庫(kù)進(jìn)行公共數(shù)據(jù)匯聚的基礎(chǔ)上，杭州城市大腦形成了以城市治理為目標(biāo)、跨部門(mén)協(xié)同為特色的數(shù)字政府應(yīng)用場(chǎng)景集合。一個(gè)典型案例就是杭州市智慧安防小區(qū)(智安小區(qū))。根據(jù)《杭州市智慧安防小區(qū)建設(shè)標(biāo)準(zhǔn)(試行)》和《杭州市智慧安防小區(qū)建設(shè)三年行動(dòng)計(jì)劃》等政策，該場(chǎng)景涉及的小區(qū)、住戶、車(chē)輛、人防、設(shè)備、訪客和門(mén)禁信息等8大類數(shù)據(jù)、44個(gè)字段?；诜治隹蚣?，識(shí)別每個(gè)字段的數(shù)據(jù)類別和數(shù)據(jù)流轉(zhuǎn)情況，從而得出對(duì)數(shù)據(jù)采集的靜態(tài)分析結(jié)果，如圖2所示。智安小區(qū)這類安防應(yīng)用，大部分采集的公共數(shù)據(jù)都具有個(gè)人敏感性高、監(jiān)控監(jiān)管的特征，例如“戶主姓名”“身份證”“人臉標(biāo)識(shí)”“房產(chǎn)信息”，都可以直接反映個(gè)人信息，是相關(guān)部門(mén)需要重點(diǎn)保護(hù)、公眾應(yīng)當(dāng)審慎讓渡的高風(fēng)險(xiǎn)數(shù)據(jù)；“門(mén)禁信息”和“攝像頭設(shè)備信息”由于具有個(gè)人信息關(guān)聯(lián)可能性，被列為中風(fēng)險(xiǎn)數(shù)據(jù)；而類似小區(qū)名稱、小區(qū)地址這一類公示服務(wù)數(shù)據(jù)則屬于低風(fēng)險(xiǎn)的公共數(shù)據(jù)。

在相應(yīng)的政府部門(mén)職責(zé)邊界方面，智安小區(qū)的個(gè)人信息保護(hù)策略是清晰的：該應(yīng)用場(chǎng)景的公共數(shù)據(jù)來(lái)源和隸屬部門(mén)都可以進(jìn)行統(tǒng)一溯源，比如小區(qū)信息數(shù)據(jù)來(lái)自測(cè)繪，住戶信息來(lái)自公安、政法和民政。雖然存在多部門(mén)的實(shí)時(shí)數(shù)據(jù)采集、調(diào)用和共享，但這種數(shù)據(jù)融合的信息增益并不明顯，相應(yīng)數(shù)據(jù)的敏感性和功能形態(tài)不會(huì)產(chǎn)生過(guò)多變化。為此，在這樣一個(gè)靜態(tài)分類視角下，任何一個(gè)環(huán)節(jié)出現(xiàn)個(gè)人信息安全問(wèn)題都可以進(jìn)行明確的部門(mén)責(zé)任界定，也方便政府部門(mén)制定對(duì)應(yīng)的個(gè)人信息保護(hù)方案。

3.2 機(jī)制二：數(shù)據(jù)共享下的審慎授權(quán)

不同于上述靜態(tài)視角，數(shù)字政府場(chǎng)景建設(shè)中公共數(shù)據(jù)風(fēng)險(xiǎn)演變的動(dòng)態(tài)過(guò)程更值得關(guān)注。尤其是當(dāng)公共數(shù)據(jù)融合后導(dǎo)致某些數(shù)據(jù)從中、低風(fēng)險(xiǎn)象限演化到高風(fēng)險(xiǎn)象限的情況。杭州城市大腦“垃圾分類”應(yīng)用場(chǎng)景，就是一個(gè)非常有趣的案例，不經(jīng)意的公共數(shù)據(jù)鏈接共享，使得大量低風(fēng)險(xiǎn)的公共數(shù)據(jù)演變成為與個(gè)體身份息息相關(guān)的高風(fēng)險(xiǎn)數(shù)據(jù)。

垃圾分類場(chǎng)景致力于用數(shù)字化手段推動(dòng)生活垃圾分類處置的精細(xì)化管理。垃圾治理的難點(diǎn)在于需要全民自覺(jué)參與分類工作，而分類環(huán)節(jié)缺少監(jiān)督考評(píng)。依托統(tǒng)一地址庫(kù)匯聚的數(shù)據(jù)，垃圾分類場(chǎng)景建立了小區(qū)常態(tài)化的垃圾分類服務(wù)指導(dǎo)和監(jiān)督評(píng)價(jià)平臺(tái)，通過(guò)向社區(qū)住戶發(fā)放“一戶一碼(二維碼)”垃圾袋，實(shí)現(xiàn)居民垃圾源頭可溯，結(jié)合基層網(wǎng)格員掃碼巡檢、按戶評(píng)分，實(shí)時(shí)跟蹤統(tǒng)計(jì)每戶居民的垃圾分類情況，從而建立小區(qū)垃圾分類的信用檔案。梳理該應(yīng)用場(chǎng)景的公共數(shù)據(jù)發(fā)現(xiàn)，垃圾分類涉及的數(shù)據(jù)主要集中在第Ⅱ和第Ⅲ象限，靜態(tài)分布如圖3所示，包含“小區(qū)信息”“住戶信息”“垃圾車(chē)輛信息”“人房信息”“垃圾分類設(shè)備”5大類目、29個(gè)字段。

圖2 智安小區(qū)應(yīng)用場(chǎng)景的靜態(tài)數(shù)據(jù)分類

值得注意的是，當(dāng)引入“一戶一碼”垃圾袋后，原本處于低風(fēng)險(xiǎn)的垃圾分類設(shè)備數(shù)據(jù)直接和高風(fēng)險(xiǎn)的住戶信息數(shù)據(jù)發(fā)生鏈接，從個(gè)人敏感性低的公共服務(wù)類數(shù)據(jù)演變成為個(gè)人敏感性高的監(jiān)控監(jiān)管類數(shù)據(jù)。由數(shù)據(jù)共享導(dǎo)致的風(fēng)險(xiǎn)躍遷情況，普遍存在于強(qiáng)調(diào)跨部門(mén)業(yè)務(wù)協(xié)同的數(shù)字政府建設(shè)中，當(dāng)?shù)冖笙笙薜惋L(fēng)險(xiǎn)數(shù)據(jù)演變?yōu)榈冖裣笙薷唢L(fēng)險(xiǎn)時(shí)，個(gè)人信息保護(hù)的責(zé)任界定也變得更加困難。

從部門(mén)職責(zé)邊界上看，“住戶信息”來(lái)自公安部門(mén)，而“垃圾分類設(shè)備數(shù)據(jù)”來(lái)自城管部門(mén)，一旦發(fā)生個(gè)人信息泄露等問(wèn)題時(shí)，厘清兩個(gè)部門(mén)責(zé)任的關(guān)鍵在于明確躍遷過(guò)程中部門(mén)的主體角色。此時(shí)，主導(dǎo)數(shù)據(jù)共享的部門(mén)機(jī)構(gòu)應(yīng)當(dāng)承擔(dān)主要責(zé)任，即垃圾分類評(píng)價(jià)平臺(tái)的建設(shè)單位應(yīng)當(dāng)秉持審慎授權(quán)的原則，充分考量引入“一戶一碼”垃圾袋的個(gè)人信息風(fēng)險(xiǎn)變化問(wèn)題，建立相應(yīng)的安全責(zé)任與響應(yīng)預(yù)案，重點(diǎn)保護(hù)發(fā)生躍遷后的相應(yīng)數(shù)據(jù)。

3.3 機(jī)制三：數(shù)據(jù)挖掘下的事前告知

公共數(shù)據(jù)從中風(fēng)險(xiǎn)演變成高風(fēng)險(xiǎn)的情況往往不易察覺(jué)。隨著人口老齡化形勢(shì)越來(lái)越嚴(yán)峻，杭州市依托城市大腦先行先試“智慧養(yǎng)老”模式。智慧養(yǎng)老中如何實(shí)現(xiàn)預(yù)警研判及時(shí)響應(yīng)老年群體的生活需求，是民政、社區(qū)、衛(wèi)健等部門(mén)共同關(guān)心的問(wèn)題。杭州智慧養(yǎng)老平臺(tái)的一個(gè)高效做法是通過(guò)實(shí)時(shí)匯聚分析住所水表、電表、煙感等物聯(lián)感知設(shè)備(IoT)數(shù)據(jù)，24小時(shí)了解老年群體的生活狀態(tài)，尤其當(dāng)獨(dú)居老人用水用電突增或長(zhǎng)時(shí)間無(wú)數(shù)據(jù)變化時(shí)，就會(huì)觸發(fā)社區(qū)安全警報(bào)。針對(duì)該應(yīng)用中的相關(guān)數(shù)據(jù)進(jìn)行框架分析，如圖4所示，水力、電力等國(guó)企提供的用水用電數(shù)據(jù)位于第Ⅳ象限，是個(gè)人敏感性低、用于監(jiān)管供水供電情況的一類數(shù)據(jù)。當(dāng)監(jiān)測(cè)城市運(yùn)營(yíng)體征的數(shù)據(jù)用于預(yù)測(cè)個(gè)人行為分析時(shí)，第Ⅳ象限的中風(fēng)險(xiǎn)數(shù)據(jù)極易演變成為第Ⅰ象限的高風(fēng)險(xiǎn)數(shù)據(jù)。

從部門(mén)職責(zé)邊界上看，這一情況普遍存在于基于IoT設(shè)備的數(shù)字政府應(yīng)用場(chǎng)景中。私人領(lǐng)域與物理空間的固有邊界被互聯(lián)互通技術(shù)所打破，“隱私止于屋門(mén)之前”的原則不復(fù)存在，一定程度上講，未提前告知而通過(guò)觀察水電消耗情況，實(shí)時(shí)了解住戶出行和安全情況，屬于個(gè)人隱私侵犯[36]。在數(shù)據(jù)責(zé)任方面，水力、電力、交通等城市運(yùn)營(yíng)體征數(shù)據(jù)的采集部門(mén)，在共享此類公共數(shù)據(jù)時(shí)，應(yīng)充分研判宏觀數(shù)據(jù)用于微觀個(gè)體分析的數(shù)據(jù)風(fēng)險(xiǎn)與法律責(zé)任，配套相應(yīng)的數(shù)據(jù)使用原則；應(yīng)用場(chǎng)景建設(shè)部門(mén)獲取此類數(shù)據(jù)前，應(yīng)當(dāng)征求社會(huì)公眾的事前認(rèn)可，嚴(yán)守?cái)?shù)據(jù)不另做它用，確保數(shù)據(jù)觀測(cè)邊界最小化。

3.4 機(jī)制四：數(shù)據(jù)標(biāo)注下的倫理審查

當(dāng)宏觀數(shù)據(jù)用于分析群體共性規(guī)律時(shí)，同樣也會(huì)導(dǎo)致個(gè)人信息風(fēng)險(xiǎn)的演變。疫情防控以來(lái)，杭州城市大腦搭建了“親清在線”惠企政策兌付平臺(tái)，實(shí)時(shí)提供政策兌現(xiàn)和政企交流的在線互動(dòng)服務(wù)。親清在線利用公共數(shù)據(jù)挖掘?qū)崿F(xiàn)審批兌付自動(dòng)化，進(jìn)而減免線下申請(qǐng)、蓋章審核、材料提交等傳統(tǒng)流程，推動(dòng)政策補(bǔ)貼從“大水漫灌”向“精準(zhǔn)滴灌”轉(zhuǎn)變。以“低收入企業(yè)員工500元租房補(bǔ)貼兌付”為例，該應(yīng)用整合市場(chǎng)主體、從業(yè)人員、員工社保、婚姻狀況等數(shù)據(jù)信息，通過(guò)數(shù)據(jù)算法標(biāo)注，精準(zhǔn)鎖定符合申請(qǐng)條件的“低收入人群”這一標(biāo)簽數(shù)據(jù)，實(shí)現(xiàn)補(bǔ)貼精準(zhǔn)發(fā)放。

如圖5所示，政府利用數(shù)字化手段向公眾兌現(xiàn)福利時(shí)，涉及的相關(guān)數(shù)據(jù)主要是個(gè)人敏感度高的公共服務(wù)類數(shù)據(jù)(位于第Ⅱ象限)，比如社保、醫(yī)保、公租房等。這些數(shù)據(jù)雖然與個(gè)體密切相關(guān)，但由于其多數(shù)關(guān)系到公共福利問(wèn)題，公眾往往對(duì)這類數(shù)據(jù)的隱私讓渡較高[22]，屬于中風(fēng)險(xiǎn)數(shù)據(jù)。在上訴政策兌換環(huán)節(jié)，平臺(tái)通過(guò)數(shù)據(jù)挖掘生成新的結(jié)果數(shù)據(jù)，即對(duì)“低收入人群”的聚類分析，這一聚類結(jié)果直接導(dǎo)致中風(fēng)險(xiǎn)數(shù)據(jù)躍遷成為高風(fēng)險(xiǎn)數(shù)據(jù)。

圖5 “親清在線”應(yīng)用場(chǎng)景的數(shù)據(jù)分析與風(fēng)險(xiǎn)躍遷

在部門(mén)職責(zé)邊界方面，“低收入群體”的結(jié)果數(shù)據(jù)使得公眾個(gè)體被“算法標(biāo)簽化”，如果不對(duì)這類數(shù)據(jù)實(shí)行有效監(jiān)管和保護(hù)，后續(xù)極易產(chǎn)生“社會(huì)分選”，甚至引發(fā)公共資源分配不公與數(shù)據(jù)歧視等問(wèn)題。大數(shù)據(jù)時(shí)代背景下，數(shù)據(jù)挖掘產(chǎn)生的“增值數(shù)據(jù)”通常具有高風(fēng)險(xiǎn)的屬性，對(duì)這類數(shù)據(jù)的個(gè)人信息保護(hù)也是當(dāng)前數(shù)字政府建設(shè)的重點(diǎn)課題。當(dāng)公共數(shù)據(jù)產(chǎn)生高風(fēng)險(xiǎn)“增值數(shù)據(jù)”后，相關(guān)應(yīng)用的建設(shè)部門(mén)應(yīng)重點(diǎn)關(guān)注“數(shù)據(jù)標(biāo)簽化”問(wèn)題，同時(shí)從倫理角度考量由算法驅(qū)動(dòng)產(chǎn)生該結(jié)果數(shù)據(jù)的必要性，加強(qiáng)此類結(jié)果數(shù)據(jù)的倫理審查與保護(hù)，避免數(shù)據(jù)歧視和社會(huì)極化的發(fā)生。

3.5 4種機(jī)制的特征比較

通過(guò)上述案例剖析可以看出，公共數(shù)據(jù)融合主要是為了發(fā)揮多源數(shù)據(jù)的整體信息效益以實(shí)現(xiàn)應(yīng)用場(chǎng)景的建設(shè)需求。公共數(shù)據(jù)融合貫穿于整個(gè)數(shù)據(jù)生命周期各個(gè)階段，相對(duì)應(yīng)本文數(shù)據(jù)采集、數(shù)據(jù)共享、數(shù)據(jù)挖掘和數(shù)據(jù)標(biāo)注的4種機(jī)制。

如表2所示，公共數(shù)據(jù)融合的不同方式將引致個(gè)人信息風(fēng)險(xiǎn)演化的不同路徑與保護(hù)機(jī)制。從融合模式和治理技術(shù)看，根據(jù)公共數(shù)據(jù)融合過(guò)程中交互程度深淺，可以分為靜態(tài)分類、動(dòng)態(tài)鏈接、信息增益(異質(zhì)性識(shí)別或共性規(guī)律聚類)3個(gè)層次。最淺層是數(shù)據(jù)采集下的靜態(tài)分類，通過(guò)簡(jiǎn)單定性比較、分類分級(jí)實(shí)現(xiàn)數(shù)據(jù)歸類組合，數(shù)據(jù)屬性未發(fā)生本質(zhì)變化；第二層是數(shù)據(jù)共享下的動(dòng)態(tài)鏈接，采用特征匹配等方式，梳理數(shù)據(jù)之間的邏輯鏈條與共同價(jià)值，實(shí)現(xiàn)屬性交互[37]；最深層是數(shù)據(jù)挖掘或數(shù)據(jù)標(biāo)注中產(chǎn)生的信息增益，例如：數(shù)據(jù)挖掘下通過(guò)差異化統(tǒng)計(jì)等技術(shù)識(shí)別異質(zhì)性數(shù)據(jù)、數(shù)據(jù)標(biāo)簽中通過(guò)用戶畫(huà)像聚類共性規(guī)律等，這種分析技術(shù)手段催生了數(shù)據(jù)融合過(guò)程中的新信息。從風(fēng)險(xiǎn)態(tài)勢(shì)上看，淺層的融合方式不易產(chǎn)生個(gè)人信息安全風(fēng)險(xiǎn)問(wèn)題，部門(mén)溯源是與之相適應(yīng)的保護(hù)策略，數(shù)據(jù)共享過(guò)程中容易導(dǎo)致從低風(fēng)險(xiǎn)向高風(fēng)險(xiǎn)的顯著風(fēng)險(xiǎn)演化，但這種演化通常容易引起數(shù)據(jù)管理部門(mén)警覺(jué)，并配套審慎授權(quán)的管理規(guī)制；在深度融合階段，個(gè)人信息風(fēng)險(xiǎn)演化并不顯著，多為中風(fēng)險(xiǎn)到高風(fēng)險(xiǎn)的小幅度躍遷，此時(shí)事先干預(yù)是保護(hù)個(gè)人信息的關(guān)鍵，包括涉及個(gè)體權(quán)益的事前告知以及群體共同利益的倫理審查。

表2 公共數(shù)據(jù)融合中的4種保護(hù)機(jī)制

4 結(jié) 論

為探討公共數(shù)據(jù)融合過(guò)程中的個(gè)人信息風(fēng)險(xiǎn)演化問(wèn)題，本文基于公共數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)和數(shù)據(jù)生命周期理論，構(gòu)建了“數(shù)據(jù)風(fēng)險(xiǎn)—數(shù)據(jù)責(zé)任”的整合分析框架。結(jié)合杭州城市大腦案例，探討了面向公共數(shù)據(jù)融合過(guò)程中個(gè)人信息保護(hù)的4種機(jī)制，即部門(mén)溯源、審慎授權(quán)、事前告知與倫理審查。從靜態(tài)層面上看，在公共數(shù)據(jù)采集環(huán)節(jié)，可以通過(guò)部門(mén)溯源界定個(gè)人信息保護(hù)的職責(zé)歸屬，但在數(shù)據(jù)共享、數(shù)據(jù)挖掘和數(shù)據(jù)標(biāo)注等動(dòng)態(tài)環(huán)節(jié)，數(shù)據(jù)敏感性和數(shù)據(jù)類型都可能產(chǎn)生風(fēng)險(xiǎn)演變。當(dāng)數(shù)據(jù)風(fēng)險(xiǎn)發(fā)生演變時(shí)，傳統(tǒng)安全責(zé)任劃分機(jī)制往往失效，需要適配更為精準(zhǔn)的部門(mén)保護(hù)策略。本文對(duì)面向公共數(shù)據(jù)融合的個(gè)人信息保護(hù)提出如下建議：一是重視數(shù)據(jù)保護(hù)級(jí)別從“低風(fēng)險(xiǎn)”向“高風(fēng)險(xiǎn)”躍遷的定責(zé)問(wèn)題，引發(fā)風(fēng)險(xiǎn)演化部門(mén)要進(jìn)行審慎授權(quán)；二是強(qiáng)化數(shù)據(jù)保護(hù)級(jí)別從“中風(fēng)險(xiǎn)”向“高風(fēng)險(xiǎn)”演化下的事前告知機(jī)制，要針對(duì)數(shù)據(jù)提供方和使用方進(jìn)行事前責(zé)任界定和規(guī)則配套；三是要通過(guò)倫理審查處理“增值數(shù)據(jù)”的高風(fēng)險(xiǎn)問(wèn)題，避免數(shù)據(jù)標(biāo)簽與數(shù)據(jù)歧視。同時(shí)，本文仍存在一定的不足之處，例如，數(shù)據(jù)敏感性僅從個(gè)體角度出發(fā)，還需從場(chǎng)景效益、組織變革等整體權(quán)益上進(jìn)行綜合思考。在數(shù)據(jù)功能方面，某些公共數(shù)據(jù)兼具“公共服務(wù)”和“監(jiān)控監(jiān)管”的功能，應(yīng)當(dāng)綜合權(quán)衡后進(jìn)行數(shù)據(jù)歸類。另外，數(shù)字政府建設(shè)中個(gè)人信息保護(hù)也應(yīng)當(dāng)倡導(dǎo)多元化參與，需要建立政府主導(dǎo)，市場(chǎng)組織和社會(huì)公眾相互聯(lián)動(dòng)的局面，這些問(wèn)題都值得進(jìn)一步研究。