数据开放的法治之道-法律与科技

风险规制作为一种人为建构的社会规制手段，同样会带来额外的社会风险，并且，数据具有随时产生、多点存储、多次开发、跨场景应用、多人经手、跨国界传输、收集与处理分离、生命周期短、孤立数据本身并不产生价值、需要技术解决方案等特点，^[23]每一次简单的数据流通都可能造成巨大的隐私影响。因此，在对城市风险进行规制时，数据开放也需要对自身规制行为进行审视，通过对风险规制本身的二阶观察，把技术风险问题转变为法治问题，保障数据开放在法治框架中发挥风险规制功能。^[24]

（一）数据开放制度衍生的隐私风险

在数据开放的过程中难免会出现错误，当信息被错误地公开后，对于数据主体的侵害可能是巨大的。个人信息“裸奔”之后，不少人受到了不同程度的骚扰，随着个人信息的进一步扩散，被不法分子利用的可能性急速攀升。^[25]2017年，澎湃新闻集中报道了政府部门泄露公民隐私的事件，这些涉及的公共信息主体中很大一部分是弱势群体，包括生理有缺陷、贫困户等，若将这些公开后对于数据主体而言将造成隐私权以及人格尊严的侵犯。

美国经济学家科斯曾言，权利是交叉重叠的，在两个权利之间无法找到一个互不侵犯的界限，^[26]欲保障甲权利，通常会损耗乙权利。在特殊的疫情风险治理期间，为保障公共健康利益，治理者否定了传统的“告知—同意”原则，牺牲个人信息自决权，个人信息也承受了被泄露的风险。个人信息自决权与公共卫生安全正是科斯理论模型下的一对此消彼长的紧张关系。从疫情信息到一般信息风险，侵害的数据主体的法益从个人信息自决权扩大至人格尊严权，将具有强烈个人识别特征的信息公开，可以视为对特定人群的法律权利的侵害。正如有学者所言，紧急不避法治——紧急状态不产生新的权力，而是公权力行使的时点发生了变化。“政府如果处置得当、措施得力，就可以从中获取很多合法性资源；反之，政府的合法性资源就可能减损。”^[27]在利用数据开放制度带来的行政效率的推动力之余，应警惕突发情况下的非常规手段的“负外部性”，将疫情防控纳入法治之道，构建法律系统和规制系统的长远良性伴生关系。

（二）确立数据采集的“同意+法定”双重原则

对于一般性风险信息的采集，应当遵循个人信息保护相关法律的规范，采用“告知—同意”原则。2017年《信息安全技术个人信息安全规范》明确规定，“向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意”，^[28]对于首次采集的信息，原则上应当征得数据主体的同意。2020年5月通过的民法典第1035条第1款第1项也规定处理个人信息需要征得该自然人的同意。由此可见，在收集、使用个人信息时应当遵循告知同意原则，“同意”是收集、使用个人信息的合法性基础。但值得注意的是，在民法典中新增兜底条款，即法律、行政法规另有规定的除外。

对于例外情形，例如紧急状态下疫情信息的收集，则应当采用“法定”原则。2020年3月16日，欧洲数据保护委员会（EDPB）在《关于在COVID-19爆发的背景下处理个人资料的声明》中明确指出，“雇主和公共卫生部门在流行病背景下处理个人数据，无须获得数据主体的同意”。《中华人民共和国传染病防治法》第12条第1款规定，“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料”。可以看出，我国乃至全球层面涉及疫情的个人信息收集不适用“通知—同意”原则，不以个人同意作为信息收集的合法性前提。在紧急状态下设定法定采集原则旨在保障公共健康安全，并非为了商用或长期使用，在这类情形中，收集个人信息的公共利益具有优先性。^[29]在数据开放领域，防控机关享有法定采集权力，并不必然限制或损减公民权利，相反，正是考虑到数据开放的风险规制功能，在面对突发事件时，为避免制度落空，从而赋予防疫机关享有临时性的采集权力，通过强制性法律规范保障数据来源的畅通。

（三）遵循事中合理使用原则

风险自检以数据开放的生命周期为路径展开，在数据采集阶段建立法定原则，在开放过程中遵循合理使用原则，未合规的开放行为应当受到行政监管部门的处罚，通过“事前合规+监管”的规制模式缓解数据开放处理过程中的数据风险，避免相关信息的泄露进而侵害到数据主体的信息自决权和人格尊严权。

合理使用原则源发于合理行政原则，是比例原则的延伸。在数据开放的具体过程中，关于个人信息的使用应当遵循合目的性原则，数据的使用不超出该次防疫活动的范围。同时，应当对数据进行匿名化处理，消除信息对数据主体的影响，做到损害最小。通知中明确：“在新冠疫情相关信息的收集行为的规制中，为疫情防控、疾病防治收集的个人信息，不得用于其他用途。任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外。”^[30]

在数据的具体流通过程中，由于经手程序复杂、主体繁多，难免出现泄露数据主体信息的情况发生。针对此，笔者建议形成数据流通的行业归责闭环和责任追查制度，对每一个数据流通步骤采取严格的程序限制，规定相应的责任主体，防止流通环节衔接之间以及步骤疏漏之处的数据泄露情形发生。

（四）建立全过程的数据保护影响评估制度(www.xing528.com)

数据保护影响评估是个人信息控制者实施风险管理的重要工作程序，旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。数据影响评估讲究一案一判，对具体个案的数据风险进行评判。我国《个人信息安全影响评估指南》规定：“数据影响评估的根本目的，在于避免个人信息收集、使用等处理行为，对个人信息主体的合法权益造成损害。个人信息安全影响评估旨在发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。”^[31]

在数据开放的过程中，在数据开放启动之前可以采取数据影响评估制度，从而评估此次开放行为的风险程度，如果此次数据开放行为的数据风险行为过高，则应当暂缓数据开放行为，通过信息匿名化以及识别消除敏感信息等措施缓解风险。高风险的判定可参考以下场景以及文末表格综合考虑：^[32]

1.数据开放中包含了用户画像相关信息，包括评估、分析和预测，特别是对有关数据当事人的工作表现、经济状况、健康、个人喜好或兴趣、可靠性或行为、地点或动作等方面进行评价。

2.数据开放中具有法律或类似重大影响的自动化决策，例如决策处理可能导致个人的被排斥或被歧视。

3.数据开放的信息曾来源于系统监控，例如通过网络收集的数据或对公共^[33]可达地区的系统监测。

4.数据开放处理中设计敏感数据或具备个人特征的数据，包括有关个人政治意见的数据、与刑事定罪或罪行有关的个人数据、医院或医保单位保存病人的医疗数据，等等。

5.大规模处理的数据，对于大规模的界定可考虑以下四个方面：有关数据主体的数目和以特定数目或有关人口的比例；处理的数据量或不同数据项的范围；数据处理活动的持续时间或持久性；处理活动的地理范围。

6.数据开放的信息主体是弱势人群。因为数据处理对象和数据控制者之间的权力不平衡，个人可能无法轻易同意或反对他们的处理数据或行使权利，类似于民法可撤销合同中的显失公平情形，数据主体的同意效力存在瑕疵，数据控制者可能在采取一系列违规的操作。

弱势的数据主体可能包括未成年人（通常没有完全民事行为能力，无法理性思考和辨别），企业的员工，需要特殊保护弱势群体（精神病患者、老人、病人等）。

7.数据开放中涉及创新或应用新技术解决方案，例如使用指纹和人脸识别改进的物理访问控制等。事实上，部署新技术的个人和社会后果可能是未知的，例如，某些应用可能会对个人的日常生活和隐私产生重大影响。