1、2022年第6期第32卷 总第162期2022 No.6Vol.32 Serial 162铁 道 警 察 学 院 学 报Journal of Railway Police College收稿日期:2022-07-22作者简介:吕依蓉(1996),女,广西大学法学院硕士研究生,研究方向:法理学。公共数据治理中的个人数据法律保护吕依蓉(广西大学 法学院,广西 南宁 530004)摘要:大数据时代,公权力部门在提供公共治理与社会服务的过程中不断积累数据资源,使得公共数据与个人数据的重合范围日益扩张,这给个人数据的保护带来了全新的冲击。在公共数据治理中,个人数据泄露的范围愈加扩大,对个人数据的运用存在
2、方式不当、监管低效等一系列问题。问题根源在于个人数据与隐私、个人信息的权利混淆、个人数据的权属不清以及实践中缺乏共识性的利益衡量标准。而在我国立法留白、公共数据与个人数据摩擦日渐频繁的背景之下,确有必要通过以隐私权的覆盖代替复杂的竞合关系、以数据权属的场景化弥补较弱的人身属性与识别矛盾、以有限度地克减个人利益为利益衡量标准等途径,探寻维持多元利益最大化的平衡点,确保公共数据治理中个人数据保护的合理合法性。关键词:公共数据治理;个人数据;利益平衡;法律保护中图分类号:D631文献标识码:A文章编号:1009-3192(2022)06-0047-06DOI:10.19536/ki.411439.2
3、022.06.009一、公共数据与个人数据的关系厘清(一)公共数据的概念扩张纵观国家立法层面,对公共数据尚缺乏全面的界定,统一的概念还未形成,导致其常与政府数据等概念相混同。2017年浙江省政府出台了 浙江省公共数据和电子政务管理办法,该规章将“公共数据”界定为“各级行政机关以及具有公共管理和服务职能的事业单位,在依法履行职责过程中获得的各类数据资源”,公共数据的概念首次清晰。一方面,公共数据具有特定性,对其使用主体和使用目的、途径等都有着严格的限制,是由特定主体在履行职责过程中产生的,以一定形式留存的数据资源。另一方面,随着对公共社会数据需求的不断释放,公权力的行使对于数据的依赖程度也在不断
4、升级,公共数据的使用主体也呈现出多样化的特点。除了行政机关,具有公共管理和服务职能的事业单位也具备使用公共数据的主体资格,因此公共数据的概念又可从广义的角度理解,即除了包含政务数据,还包含与民生息息相关的医疗数据、交通数据及电力数据,与经济相关的交易数据等1-2。此外,公共数据中数据的实际概念也逐渐超出政府数据的外延,从由政府直接管控的数据扩张至公权力部门在履职过程中获得的与公共利益相关的所有数据。由此,公共数据的概念边界与公权力部门管理数据的范畴息息相关,影响着各方数据利益的流转与保护。随着数据运用的发展,公共数据概念的扩张成为必然的发展趋势。在社会飞速发展过程中,必须将个人数据的保护与当下
5、数据管控范围的扩张接轨,从而平衡好各方利益,为塑造中国特色的数字竞争优势提供稳固的后盾。(二)公共数据与个人数据的差异与重合公共数据与个人数据并非同一层次的概念:首先公共数据无论从收集数据的公共用途还是政府信息公开的角度来看,都具有公权属性,而个人数据具有人身属性,是一种私权利3;其次部分公共数据源于公权力部门履职过程中所收集的个人数据,而个人数据的集合中仍存在许多与公共利益无关47的数据;最后在数据的使用上,公共数据常常具备去个人化的特点,只有实施具体的行政行为时,才有可能将公共数据定位至特定的个体。有学者认为公共数据与个人数据并不是相对的概念,公共数据由零散的个人数据聚合而成4。如前文所述
6、,公共数据源于公权力部门在履职过程中所获取的与公共利益相关的数据,而个人数据是由个人产生的,以电子或非电子的形式存在的数据。公共数据是从收集的海量个人数据中产生,是公民群体让渡个人数据所产生的数据集合,具有一定的私权属性,而被纳入公共数据管理中的个人数据只是改变了对数据管理的方式,并非意味着个人失去了对原数据的控制地位。此外,出于对个人数据的保护,在公共数据的治理中也鲜少针对特定的个体,所以一旦发生侵权行为,往往会给有同样数据特征的群体带来损害,当人数达到一定程度,同样也会给社会公共利益带来一定程度的损坏,因此个人数据也具有一定的社会属性。而随着大数据技术的蓬勃发展,私人空间与公共空间之间的界
7、限正不断被弱化,公共数据概念的扩张已成为今后的立法趋势,这都使得公共数据与个人数据的重合之处不断扩大。公共数据的治理是为了更为高效地服务社会,获益对象也是全体公民,但这并不意味着对个人数据保护的让渡。个人数据权利作为一种重要的新兴权利,其本身具有的人身权利与财产权利都符合宪法中对于权利的正当性保护。但由于公共数据与个人数据的重合,个人数据也不能作为一种绝对权排他地适用个人本位思想进行保护。这使得其陷入了前所未有的保护困境。加之我国立法在公共数据治理中对于个人数据保护的留白,有必要在想办法节约社会成本、逐步提升社会治理手段的同时,确保数据中多元利益的平衡,健全个人数据相关法律保护机制,探求最大限
8、度地保障个人数据权利的新途径。二、公共数据治理中个人数据保护的现实困境(一)数据损害的扩大数字化时代已经到来,大数据、人工智能、云计算、5G等技术以前所未有的速度改变着人们的生活,这些层出不穷的新兴技术使得数据的传播更为快速、广泛,然而也加剧了数据的不可控制性。首先,新兴技术降低了侵犯个人数据的成本。新兴技术的发展加强了数据算法的运用,通过关联数据挖掘算法、用户画像建模,极大降低了处理海量数据的难度,使得数据时代相比于信息时代处理数据所需花费的成本大大缩减,降低了侵权的难度。其次,被侵权数据的传播更为广泛迅速。新浪及腾讯财务报表显示,截至2022年3月,新浪微博的月活跃用户数为5.82亿人,微
9、信用户量已超12亿,此外还存在着无数活跃的数据传播渠道。数据传播本身没有任何地域与时间的门槛,一旦个人数据遭到泄露,将面临即刻被飞速传播的风险。最后,个人数据泄露所带来的危害无法估量。例如新冠疫情暴发之时,超7000名武汉返乡者的数据信息(包括身份证号码、电话号码、具体家庭住址、列车信息等内容)被肆意转发至微信群、朋友圈、微博中,导致这些公民的私人生活遭受了严重的侵犯。除为删除信息付出的庞大经济代价以外,更无法估量与弥补的是对于公民人身权以及政府公信力的伤害。数据的快速发展与损害的扩大,显示了在公共数据治理中对个人数据保护的必要性与急迫性。(二)对个人数据处理的方式不当公共数据治理被广泛运用于
10、实现公权力部门职能的各个方面,例如此次疫情防控中利用互联网技术推出的“健康码”系统,安装带有AI智能系统的路况监控视频以及刑事侦查领域的大数据模型等。但由于公共数据治理面对的是海量的个人数据,数据处理往往更具难度,这会导致某些工作人员采取“快刀斩乱麻”的不当处理方式,而这一现象在突发的公共事件中尤为明显。一方面,在公共数据的治理中存在不合理地收集、披露非必要个人数据的现象。当前针对不同等级的社会事件,对于所需要个人数据的收集范围并没有明确的法律规定,这就导致有关部门在收集个人数据时会陷入“越多越好、越详细越好”的误区,导致不合理地收集、披露非必要的个人数据。以疫情防控期间流调信息数据的采集为例
11、,一些社区要求居民登记的信息过于详细,除姓名、身份证号、详细住址外,还要求对血型、婚姻状况、车牌号码等非必要信息进行填写。通过填写姓名、身份证号、详细住址等已经可以实现疫情管控中追踪个人轨迹的目的,填写过多的非必要信息不仅不利于快速完成数据处理,还侵犯了公民的个人数据权利,一旦该类数据发生泄露将造成无法挽回的局面。另一方面,在公共数据治理中存在个人数据匿名化程度未达到标准的现象。网络安全法 第四十吕依蓉:公共数据治理中的个人数据法律保护48二条对数据的匿名机制进行了规定,数据匿名化的标准是指经过加工无法识别且不能复原的个人信息。在开展疫情防控工作之时,部分地区将确诊患者的个人信息与其所居住的小
12、区同时披露,然而分开披露患者活动轨迹与小区信息已经可以达到提示潜在接触者感染风险的目的,同时将确诊患者的个人信息与活动轨迹向公众披露取得的防疫效果甚微,且容易使小区邻居、同事根据披露的信息识别到特定主体,增加相关患者及其亲属被歧视、辱骂的风险。每个人都可能成为那个“不幸的”被感染者,若数据经过匿名化处理后仍然存在可识别到具体特定主体的可能性,则极有可能造成数据的过度披露,导致公众对此产生抵抗情绪。所以在公共数据的治理当中,为了实现公共利益需要披露个人数据时,应当给予程度足够的匿名化处理,尽可能地兼顾个人权益的保护。此外,在公共数据治理中还存在对个人数据保管、处理的无规则化现象。在公共数据治理中
13、,相关部门随处都可以捕捉到具体的个人数据,而这些数据该何去何从,却鲜有部门对外公开。以我国已普遍使用的可以捕捉人脸数据的AI道路监控为例,这些“人脸抓拍识别”系统启用后,如果有行人违反交通规则,该系统的监控摄像头就会自动对行人的运动轨迹与面部特征进行跟踪抓拍,并将其照片与公安人口信息网进行比对核实并曝光。这类技术固然起到了警示公众、提高其守法意识的作用,但这些被记录的数据常在多个部门间流通,且大部分地区尚未对如何管理数据进行公布,这无疑增加了侵犯个人数据的可能性。一些AI道路监控甚至能直接识别出具体的个人数据,当人们走上道路,海量的人脸数据将被AI监控捕捉,而大部分遵纪守法的公民仍对在公共领域
14、中享有隐私抱有合理的期待5。对于AI道路监控可能会泄露公民个人数据的不利一面,有关部门更应该做好相关保障工作,针对这些被捕捉的数据制定处理规则,并公布数据去向,从根本上重视对个人数据的保护。(三)个人数据高效监管模式欠缺个人数据安全面临着巨大的冲击,要想解决公共数据治理中个人数据遭受频繁侵犯这一问题,事前的预防与事后的及时惩戒都尤为重要,而想要在我国建立起一个完整的个人数据保护模式面临着两大难题:一是没有对数据保护建立专门的管理机构。在公共数据治理过程中,我国尚未针对数据保护建立一个独立的管理机构,工业和信息化部门只涉及电信和互联网行业的管理,并不涉及个人数据的管理6。随着社会治理对数据的依赖
15、程度不断提升,一旦数据被侵害将产生无法估量的损失,故而有必要建立一个权责统一的数据管理机构,对数据运用、管理进行监督,对于违法行为给予惩戒。二是行政监管的缺失。我国对于个人数据保护的法律依据主要有 数据安全法 网络安全法 个人信息保护法 刑法 以及 民法典 等,另有许多针对突发事件的处理办法,但这些法律法规已然无法应对花样百出的数据侵权形式。且公共数据治理中的侵权行为往往涉及数据管理者,其身份多为执法人员,受到的多是相应程度的行政处罚,鲜有经历民事诉讼与刑事判决,相对而言行政监管对侵犯个人数据的行为处理更为高效。但从现有的法律法规来看,我国在对个人数据法律保护中对行政监管的利用并不重视,例如
16、数据安全法 第四十九条对行政处罚的规定就过于笼统,对具体的侵权行为与处罚的程度都没有进行明确说明,很容易导致在公共数据治理中,相关执行人员对个人数据保护的轻视,且实施处罚时也容易出现有关部门恣意妄为、从轻处罚的现象,不利于个人数据的监管与保护。三、公共数据治理中个人数据保护困境的理论探因(一)个人数据与隐私、个人信息的权利竞合隐私数据、电子信息等词汇都体现着个人数据与隐私、个人信息在公共数据治理中的相互交织与重合。在实践中也常常能见到同时侵犯公民个人数据、隐私、个人信息的情形,例如一些地方政府在网上公开贫困户姓名、身份证号、具体住址的行为。虽然我国立法中早已对“隐私权”与“个人信息”的概念做出解释,民法典 也将“信息”和“数据”的概念做了区分,说明隐私、个人信息、个人数据可以独立存在,并不是完全的重合,但个人数据仍与这两者在很大范围内产生了权利竞合。由于相关公权力部门在运用个人数据之时,不可能同时保证数据的开放、隐私与安全,故这种竞合在公共数据治理与个人数据保护摩擦不断的今天,不仅容易导致公众对权利主张的混淆,还极易使得作为数据使用者的公权力部门对个人数据采用不当的保护方式。而个人数据