【编 按】本文根据作者(东南大学法学院兼职导师)在东南大学法学院主办,东南大学人民法院司法大数据研究基地、东南大学网络安全法治研究中心、东南大学人权研究院承办,擎盾数据集团协办的“公共数据共享开放与数据安全 · 个人信息保护”研讨会上的发言整理。
一、政务数据开放发展之现状
“政务数据”是指政府部门以及法律、法规授权具有公共管理或服务职能的事业单位和社会组织在履行公共职能时收集、生成和管理的数据,包括直接或者通过第三方依法采集、依法授权管理和因履行职责需要依托政务信息系统形成的数据。
2015年,李克强总理在两会时提到:“政府的数据要公开,除依法涉密的之外,政府掌握的数据要尽最大可能地公开。”2018年,《政府工作报告》中再次强调:“加快政府信息系统互联互通,打通信息孤岛。”作为政务数据资源内部生成、协同共享和外部开放利用的一个管理过程,政务数据的开放旨在促进政府治理和服务能力的提升,提高公共数据资源的开发利用水平。
政务数据是否应当开放?答案是显然的,今年6月10日刚刚颁布的《数据安全法》中明确规定:“国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。依法不予公开的除外。”
事实上,各级政府、各类企业已然在政务数据开放共享、价值挖掘等方面积极投入、大胆创新。但时至今日,政务数据开放共享之路仍旧困难重重,普遍存在数据结构差异明显、标准不统一、质量参差不齐、开放共享不足等问题,一些政府部门对数据资源“不敢开放、不能开放、不愿开放”,甚至存在数据灰色交易和数据滥用的现象。简言之,政务数据的开放共享所面临的障碍并非是如何进行开放?而在于如何安全进行开放?
二、政务数据权属之厘定
从国内数据市场来看,截至2020年3月底,我国网民规模达9.04亿,互联网普及率达64.5%,其中农村地区互联网普及率为46.2%。海量的互联网用户也是我国数据要素市场成长的巨大潜力所在,但也更意味着数据所载个人信息的巨大体量。事实上,政务数据承载着国家、企业、个人三方的利益,却面临着法律规范明文直接规定稀少、权属界定社会共识不足、和其他权益例如隐私保护权益的衔接不清晰等诸多问题。
数据既承载有数据持有者的财产利益,又可能附着有相关用户的人格利益,乃至社会公众的公共利益。一方面,数据的经济利益最为凸显。合法的数据持有者可基于对数据的控制实现占有、使用、收益、处分等类所有权权能;另一方面,数据之上虽承载人格利益,但用户不应当基于该人格利益进而主张所有权,正如模特不能基于肖像权而主张对摄影作品的所有权或版权一般。但需要注意的是,公共部门在利用或公开政务数据时应注意对公众人格利益的保护,注意数据的脱敏等一系列保护措施。
但具体到实践中,相关主管部门出于利益考虑往往容易将其管理的政务数据视为各自的部门财产,拒绝开放或与其他部门共享,不但易导致“数据烟囱”和“数据孤岛”现象,还给政府实施统一的数据管理和调度造成障碍,因此,厘清政府与数据实际控制部门间的关系也非常重要。事实上,虽然政府的职能由各部门具体承担、履行,但各部门是由政府授权而动,故应仅享有授权范围内的权限,政务数据只能由政府统筹规划、统一安排、并成立专门部门综合管理。换言之,由于“公用物”涉及公共职能履行,即便是作为权利人的地方政府也必须依法使用和处分,否则就可能导致数据资源浪费、公共职能受限、甚至出现寻租腐败现象,最终损害全体公众的利益。
三、数据开放共享面临之风险
《数据安全法》中强调,国家大力推进电子政务建设,提升运用数据服务经济社会发展的能力,同时应当构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。但在现有政务数据平台的架设控制下,数据的实际开放共享仍旧存在诸多的缺陷与障碍。
第一,数据开放的授权许可模糊。开放授权是以契约的形式确定数据开放主体和数据使用主体之间关于数据使用的权利义务关系,有利于保障和规范数据的合理使用。其目的是从法律上保障数据的开放性。开放授权协议应明确授予用户免费且不受歧视获取、自由利用、自由传播与分享的权利。
第二,敏感数据的开放利用缺乏特殊规则保护。目前,用户在政务数据开放平台上所能获取的数据比较基础,大多以公共服务类、基础设施类为主,但并不代表平台对敏感数据不存在获取利用的空间。但目前看来,平台并没有针对各类型政务数据制定合理区分的开放利用方式。
第三,平台安全保障措施不到位。《消费者权益保护法》规定经营者应对收集的个人信息严格保密并采取技术等措施确保信息安全。《信息安全技术个人信息安全规范》也要求信息控制者对个人信息采取保护措施。但现有开放平台中鲜少对“尊重并保护用户的个人隐私权”进行技术或制度等措施配套。
第四,平台在信息收集时未能做到透明公开。《消费者权益保护法》《关于加强网络信息保护的决定》《网络安全法》《电信和互联网用户个人信息保护规定》以及《个人信息安全规范》都明确要求服务提供者或信息控制者应公布用户信息收集的目的、方式和范围以及信息收集、使用的规则。其中,《个人信息安全规范》还对个人信息的存储期限等方面进行了规制。但现有平台在信息收集时对相关用途、目的等利用情况的公示显然不足。
第五,平台并未详细告知用户的信息权利。《民法典》中明确个人信息权利包括信息决定权、信息保密权、查阅复制权、异议更正权、信息封锁权、信息删除权以及报酬请求权。《网络安全法》规定个人有权要求网络运营者对收集的个人信息予以删除或更正。此外,《个人信息安全规范》亦明确规定信息控制者应公布个人信息主体的权利和实现机制。
第六,平台极易过分免除自身责任。《消费者权益保护法》明确规定经营者应保证所提供商品或服务的质量,承担因商品或服务对消费者财产造成损害的民事责任。同时,还规定经营者未尽到安全保障义务而对消费者造成损害时,应承担侵权责任。提供开放数据作为政务数据开放平台的“主营业务”,平台理应保障所提供数据的质量,并承担相应责任。
第七,平台缺乏意见投诉的反馈渠道。意见反馈渠道是用户维护自身正当权益的重要途径。《个人信息安全规范》规定信息控制者应公布联系方式、个人信息主体的投诉反馈渠道。《电信和互联网用户个人信息保护规定》中明确指出互联网信息服务者应当建立用户投诉机制,公布有效的联系方式。此外,《网络安全法》亦规定运营者应当建立网络信息安全投诉举报制度,公布投诉举报方式等信息。
四、安全开放合规方向之探索
第一,统一政务数据开放平台用户协议的规范性标准。目前,我国尚未建立对协议内容进行规制的强制性标准,这将会造成各平台用户协议对同一问题的表述不同、规定不一的局面,由此侵害到用户的合法权益。为了促使平台切实履行责任与义务,建立政务数据开放平台用户协议的统一的规范性标准十分必要。一般来说,标准应当包括:平台应制定专门的开放授权协议为用户在利用数据时提供行动依据;平台应在用户协议中公布用户信息收集的目的,并详细说明信息收集的方式、范围、用途以及存储期限,同时列明用户信息使用的特殊情况;平台应对服务变动的原因做出具体的说明,并且以特殊的字体字号进行标记以区别于其他一般条款,让用户能够有意识地规避可能导致服务变动的事项。
第二,明确数据主体的权利以及平台控制者的义务。虽然我国现行的诸多法规条例对网络服务者或数据控制者与用户之间的权利义务作出了明确的规定,但现实中,格式条款的订立方往往会有意回避本该遵守的义务而相对减少用户享有的权利。政务数据开放平台应明确用户与平台之间的权利义务关系,履行自身责任义务的同时,保障用户的合法权益。具体而言,平台应减少用户使用开放数据的限制,明确授予用户对数据免费获取、自由利用、传播与分享的权利,从而在法律上保障数据的开放性。同时,平台不得对权利的行使附加模糊的期限或限制。
第三,完善用户知情同意的协议方式。政务数据开放平台用户协议的更新牵涉到用户与平台原有权利义务关系的变化。由于格式条款的提供方具有随时修改条款内容的权力,这就极易增加平台通过不当条款挤压用户正当权益空间的风险,而作为合同当事人,用户往往只能被动接受,这显然违背了公平原则。因此,政务数据开放平台应就协议变更这一事项建立合理的协议同意机制,尽最大努力尽到注意提醒义务,避免格式化、随意化的同意授权。
第四,根据数据的不同类型制定不同的数据获取规则。用户协议中有关敏感数据开放获取规则的忽视确实是政府部门对数据开放经验缺失的表现,也间接反映了我国政务数据开放水平不高这一现实问题。《数据安全法》新规的要求则展现了国家对于数据分级开放保护的决心和行动。一方面,其第三十八条第二款规定:“对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。”另一方面,其四十一条中同时明确,国家应当制定政务数据开放目录,建立政务数据分类分级管理制度。事实上,目前我国仅有个别地方政府出台了政务数据分类分级的指导性文件,但开放实践以来的既有实践经验并不少。现阶段我国各地区可依据已有的实践以及相关法律规定,制定政务数据分类分级标准,对不同敏感程度的数据进行划分,并由此确定数据开放方式。
第五,明确平台的安全保障措施。《数据安全法》第三十九条规定:“国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。”因此,一方面,应当着重关注国家机关对于政务数据平台的信息安全保障义务,具体应包括建立平台信息安全管理制度、制定内部信息安全监督机制、采取信息安全保障措施等;另一方面,依据该法第四十条:“国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。”机关委托的三方机构同样需要严格履行安全保障的责任,并充分接受国家机关的审批与监督。
