重大突发公共事件中公民数据(隐私)权益保护的隐忧
与此同时,大数据技术和资源的运用也为重大突发公共事件中公民数据(隐私)权益的保护带来一定的隐忧,特别是在不当使用大数据资源和技术的情况下,很可能导致对所涉公民权益的二次侵害。2020年2月,中央网信办发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》),及时有效回应了重大突发公共事件发生之际,公民数据(隐私)泄露的现实危险和潜在风险。根据《通知》要求,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。
大数据时代数据信息技术的运用对推进国家治理能力和水平的现代化有着重要的现实意义和实践价值。近年来,我国着力于推进大数据基础设施建设,各省、自治区、直辖市积极响应,着力推动政府间以及政府与社会主体间的数据开放与共享,促进包括公共数据在内的各类数据的有序开放和有条件共享,尤其在本次抗击新冠肺炎疫情中显示出重要效用。然而,在推动数据治理服务于国家和社会发展总体需求的同时,对于公民个人权利的保护也不容忽视,在海量的多样化数据中包含着大量个人信息。以本次疫情涉及的主要信息为例,在《信息安全技术个人信息安全规范》中,个人身份信息和个人健康生理信息均被列为个人敏感信息,对于该类信息在收集时应当取得当事人同意,在传输和存储过程中应加密,在流通、分享、使用前,除去标识化处理外,还应再次征得当事人同意。当然,在应对重大突发公共事件时出于对公共利益的考量,依据法定情形,由法定机构在法定程序下可以收集和使用当事人数据信息,但是必须受到严格的法定授权,遵从前述《通知》中所规定的最小范围原则。这一点充分体现了国家和各级行政部门对公民数据(隐私)权益的尊重和维护,牢牢坚持法治思维和法治方式在治国理政中的基础性地位,做到依法抗疫,依法治疫。
2020年2月5日,习近平总书记主持召开中央全面依法治国委员会第三次会议强调,“疫情防控越是到最吃劲的时候,越要坚持依法防控,在法治轨道上统筹推进各项防控工作,保障疫情防控工作顺利开展”。在疫情防控背景下的数据开放与共享不能超出必要限度,数据的披露与使用需要以公民权益的保护为底线,实现公共治理与公民保护的动态平衡,一方面运用好数据技术优化重大突发公共事件的治理,另一方面严守个人数据(信息)保护边界以免造成不必要且无可挽回的损害。
发挥数据治理优势应对重大突发公共事件,应当着眼于两个方面的问题
第一,如何通过数据的进一步开放与分享,尤其在应对重大突发公共事件之际,将数据治理效果最大化。这需要社会成员协同参与,政府、企业、公众在互惠互利的基础上,在对关键信息达成共识的前提下,守住隐私保护的底线完成合作,在最大程度上实现数据治理“取之于民用之于民”的效用。
首先,应当明确,在重大突发公共事件中以大数据技术和资源的应用为核心的数据治理活动,要在一定限度内合规合理披露个人信息。大数据技术迅猛发展的背景下,个人信息所代表的私权与维护社会公共利益的公权之间摩擦升级,随着人们对互联网的依赖不断增强,个人信息逐渐数据化,人们的每一次点击、搜索、选择均以数据的形式存在于网络之中,数据中包含的个人隐私无法完全与一般个人信息剥离,隐私权的绝对私法保护遭遇挑战,公众以数据化的方式参与到社会活动当中意味着私权在一定程度上需要为大数据时代的社会治理作出必要让步,特别是在遭遇重大突发公共事件时公益优先的原则必须得到遵从。
其次,在数据治理的主体上不应当只局限于政府,企业、研究机构、其他社会组织及公众均应参与到数据治理的过程中。当前对于数据治理的概念尚无明确界定,但是通说认为数据治理可以进一步分为“对数据治理”和“用数据治理”两个方面,前者指搜集、处理数据的过程,后者指利用处理后的数据进行决策治理的过程。在大数据时代,数据散落于社会活动的方方面面,因此除政府机关外,其他拥有数据、具备数据处理能力的社会主体均应当作为数据治理的主体参与到决策活动中,即数据治理不应当只依靠具有国家强制力的“硬法”,其他社会主体均需要制定相应的规则形成“软法”。
最后,应当增强数据的归集与流动的合规管理及运行效率,促使大数据技术的优势得到极佳发挥。大数据技术运用的前提是海量数据的集中,需要整合多层次、多领域的数据资源才能保证决策的科学合理及系统全面。政府作为行政主体在履行行政职能过程中掌握的数据相对特定,具有局限性,此时需要与其他社会主体联动建立数据共享机制,吸纳企业、研究机构等主体在日常活动中收集的相关数据,以实现对治理事件的全面刻画。在此基础上,数据的生命力在于流动,在政府部门和其他社会主体之间还应当建立合理的数据流动通道,畅通数据交流的途径,使各个社会主体均能在公共治理中充分发挥效用,将收集到的重要信息相互补充、相互促进。
第二,如何在基于对公民权利充分保障的法治框架内为数据治理设置合理的边界,动态平衡个人数据(隐私)权益的私人利益与社会治理的公共利益之间的关系。在重大突发公共事件中运用大数据技术和资源的数据治理行为面临的核心问题之一在于对个人信息与个人隐私的区分。个人信息在一定程度上存在于公共领域,是社会公众在大数据时代为了享受更优质便捷的服务所作出的交换,可以供相关机构取用。个人隐私则不同,在数字领域的个人隐私可能因两种途径存在:一种是个人信息中包含的隐私,这种隐私在用户使用互联网相关服务的过程中已经通过用户协议得到授权,另外一种则是通过大数据、算法等数字技术在个人信息的基础上对用户进行刻画所获得的新信息,例如用户在电商平台购物的喜好、周期,在社交平台关注的主要领域等,这类衍生信息事实上未经当事人授权,但是却可能包含着当事人都没有意识到的重要隐私信息。对于前者,因该类隐私信息已经得到授权,因此可以在用户协议允许的范围内使用;对于后者,该类隐私信息的保护则更为棘手,一方面当事人并未授权,另一方面由于收集主体的技术投入,这类信息实际上已经经过技术处理,是否仍然属于用户隐私也存在争议。这一争议引发了大数据运用的深层次法理问题,即数据权利(益)的归属问题。对数据的使用涉及到授权问题,但是基于用户个人信息和在线活动产生的数据应归属于谁始终存在争议。
数据的权属问题也应基于信息受保护程度予以考量。譬如,在《信息安全技术个人信息安全规范》中划定出个人敏感信息这一分类,对这类信息需要采取更为严格的授权使用要求。在经济活动中,数据具有一定的经济价值,甚至有观点认为数据在当今可以被看作生产活动中的一项重要成本。但是在重大突发公共事件治理的场景中,治理活动的公益性质为数据使用设置新的场景,因此也不宜以经济活动中的标准带入衡量社会治理中的数据权属问题。为了使公共利益得到保障,在社会治理语境下,数据持有者应当在合理限度内实现最大程度利于治理目标实现的让利。由此,在重大突发公共事件的数据治理中最重要的一个环节,即为私益向公益让利的边界应当如何设置。换言之,如何动态平衡私益与公益的关系成为了重大突发公共事件中数据治理的重点与难点。对公民、企业等社会主体数据的收集是为了将其更好地应用到决策当中,增强治理的科学性,在此过程中进行的披露需要遵循比例原则,即披露数据、个人信息等造成的风险不得超过必要限度,且需要采取与风险匹配的保障措施。英国法律中对数据控制者进行隐私风险影响评估时采取“场景中合理使用”作为标准,即“场景正义”基准,我国在重大突发公共事件中的数据治理也可以适当引入这一标准,将数据开放与分享的边界置于特定场景下进行具体考量,灵活调节信息披露的程度,平衡好社会治理与公民隐私保护之间的关系。
特殊时期更要尊重法律权威,在法治框架下平稳有序推进各项治理活动
新冠肺炎疫情防控工作中,数据治理在显示出优越性的同时,也暴露了些许不足。在大数据时代,各项数字数据信息技术的发展为当前社会治理提供了新的发展机遇。与此同时,数据的力量不容小觑,应当警惕因对数据不加限制地信任与利用而滋生的“数字利维坦”,过于依赖数据进行决策治理可能造成信息的误读,反而弱化政府的行政能力,对政府的公信力造成打击。此外,还需要在数据治理的过程中以对公民合法权益的保障为底线划定合理的隐私界限,在特殊时期更应当尊重法律的权威,在法治框架下平稳有序推进各项治理活动。
针对重大突发公共事件中数据治理暴露出的系列问题,应当加紧数据治理规则的科学制定。在国家层面,尽快以法律法规形式确定数据治理的规则,完善数据收集、处理、流通、使用过程中的各项标准,对涉及公民隐私保护、企业商业秘密等数据设置合理可操作的强制性保护规定,为敏感信息的应用划定底线。同时,应在各项专门立法中对数据使用与信息披露进行场景化的特别规定,譬如可以尝试在《传染病防治法》中针对疫情防控特殊时期,相关卫生防疫部门对数据的获取、应用及披露作出更加精细化的规定。对于其他社会主体来说,应当基于行业特性的需要制定合理的数据收集使用规则,明晰流程与标准,同时在国家规定的最低保护标准的基础之上设定信息保护制度。此外,各社会主体还应当着力搭建与有关部门畅通数据开放共享渠道的桥梁,做好数据的交换交流,特殊时期针对数据需求做好预案,切实高效地参与到社会共享共治的过程中。
落实到数据保护与分享实际操作的微观层面,需要就在数据源头上如何确定权属、及时有效实现授权,在使用过程中如何进行数据脱敏等隐私保障措施进行进一步研判。针对数据权属问题,当前对于数据性质问题尚处于激烈讨论之中,就数据权应当作为财产权抑或是人身权处理还存在争议,同时对于原始数据、衍生数据等不同种类数据的权利归属应如何认定也仍无定论。在此背景下,就数据治理过程中出现的问题可以将数据持有者对数据的权利边界作为讨论对象,数据持有者对经过处理的衍生数据在一定条件下可以直接授权,对原始数据的授权使用则可以充当中间人的角色,对提供数据的用户进行是否许可使用的授权征询,此种方法也可大幅降低授权征询的成本。针对数据中携带隐私等敏感信息的保护问题,应当在设置严格、细致的个人信息分类标准的前提下对涉及个人隐私的、不需要披露的有关信息进行匿名化处理,遵循最小范围原则和比例原则的要求在适当限度内,为保障公共利益的实现适当公开。此外,还要考虑到在重大突发公共事件结束后,有关政府部门和相关社会主体对在此公共事件中依法依规所收集、分析、整理、存储的涉及到的公民数据信息的封存、销毁或者是为了科学研究、公共防疫等公益事业再利用数据等行为,作出科学合理的严格规范,防止大量个人数据的泄露或滥用。
在数字经济快速发展的大数据时代,海量多样化数据的收集、分析及使用为推进国家治理体系和治理能力的现代化带来了机遇。社会方方面面由数据联结沟通,国家的各级各类治理活动渠道显著畅通,决策的科学性和效率明显提升。推动数据的有序开放与有条件共享将是当下和今后努力的方向。与此同时,数据的开放与分享需要在法治的轨道上进行,在应用数据进行公共治理时,需要以维护公民的合法数据(隐私)权益作为边界,特别是在重大突发公共事件发生的背景下,更需严守法治底线和红线。