政府数据开放就是行政主体向社会提供开放政府数据的行为，公民、法人和其他组织对这些数据进行开发利用，以此创造价值。大数据时代，政府数据开放在全球开展得如火如荼。政府在日常工作中收集和保存了绝大部分数据，如果能将这些数据开放出来供公众使用，会创造出巨大的经济价值。此外，政府数据开放还可以促进透明政府、服务政府的建设，提升国家的竞争力。然而，随着政府数据的进一步开放，国家保密的数据也会越来越少，在传统的大数据许可制、匿名法、技术创新法不再适用的情况下，政府会面临怎样的挑战及如何应对并加强对个人隐私的保护，已成为社会关注的焦点。

一、政府数据开放在隐私保护上的挑战

（一）隐私的认定

首先，理论界对个人隐私的具体定义并未形成一致的意见。隐私被认定为是一种“免受外界干扰的、独处的权利”，它的本质是对私人生活的自由决定权。但是哪些情形应该免受干扰、哪些时候需要独处，不同人的要求也不同。在政府数据开放过程中，哪些数据属于个人隐私，在理论界并没有一个可行的参考标准，这导致政府无法对个人隐私进行认定。

其次，在实践中，对个人隐私也没有探索出一条明晰的道路，法院在具体裁定时无法形成统一裁量标准。如在政府信息公开领域，有的法院认为个人隐私应该是不向公众开放的、不愿公众知悉的、与公共利益无关的个人信息；有的法院认为个人隐私可以分为：私人信息、私人活动和私人空间三个方面；甚至有的法院不对隐私进行明确的规定，只是将个人隐私认定为行政行为所保管的档案或记录中涉及有关自然人的信息，具体包含什么内容，完全由法院自由裁量。

最后，大数据技术的使用加大了对个人隐私保护的难度。大数据技术具有超强的收集、存储和挖掘数据的能力，可以使那些碎片化的数据信息组合成包含个人隐私的有用数据，尤其是反向身份识别技术，几乎使每个人成为透明人。大数据的这种深度挖掘技术，可以使各个政府部门公布的不属于个人隐私的碎片化数据再次组合，相互印证，形成“合成型隐私”，从而可能侵犯个人隐私，并且这种对隐私的侵犯颠覆了以往以隐私主体为中心的观念。

（二）开放与保护的不对称

首先，为了保障政府数据开放的顺利进行，国家政府部门制定了一些与数据开放有关的政策文件，地方各级政府也制定了将近300多部规范性文件，以加快推进数据开放在地方快速展开，但这些规定大都是原则性的，或者只是倡导性的提出，并未在个人隐私保护上进行细致描述，无法为个人隐私保护提供可靠的依据。

其次，目前关于个人隐私保护的法律法规的主体大多数是经营者、电信业务经营者以及互联网信息服务商，还有在境内建设、运营、维护并使用网络运营者等商事主体，而政府数据开放的主体是政府，开放的原则是无差别对所有人开放，任何人都可以根据自身的需要来获取开放的数据，这也意味着任何人都有侵犯他人个人隐私的可能。当个人隐私被侵犯时，政府有着不可推卸的责任，但是在目前阶段，政府在数据开放过程中侵犯个人隐私时，却不像政府信息公开那样提供一套完整的保护措施。

最后，当个人的隐私被侵犯时，救济途径和方式不明晰。一旦发生政府侵犯个人隐私的情况，应依靠什么途径获得保护，依据哪些相关民事法律提起民事诉讼，要求其承担侵权责任；或者依据《民事诉讼法》的程序，要求行政机关承担民事责任；还是根据现行行政法规定，要求行政机关承担违反《信息开放条例》的行政责任，并根据国家赔偿法申请国家赔偿等，不大好确定。看似法律有多重保护、多重选择，实际上真正发生隐私侵犯的时候，往往不知道采取怎样的途径和方法来获得帮助。

（三）管理机制的不完善

首先，数据的开放需要完善的法律支撑，更需要良好的管理体制。政府作为整个数据运作的重要组成部分，既是数据开放的积极推动者，也是个人隐私保护需要规制的对象。从现有的法律来看，个人隐私保护涉及到多个部门，如公安、工信、工商、商务、银保监会等。但这些机构是如何发挥其隐私审查的作用呢，实践中并没有一个清晰的法律规定，无论是在中央还是在地方，政府数据开放涉及的部门比较多，大都没有形成一个完整的合作流程。

其次，在多个隐私管理部门的情况下，彼此之间的联系与工作安排不清晰。同级部门之间，会存在管理权限的重叠或者分立，导致工作衔接不顺畅，协调性差。在隐私保护上无法形成合力，判断标准也不统一。

最后，各个管理部门只是将自己所管理的信息放到政府数据开放的平台，对于可能存在交叉引用而造成隐私侵犯的情况，均无审查。这也是个人隐私保护在政府数据开放过程中面临的难题之一。

二、美、英等国家在数据开放中对个人隐私保护的借鉴

第一，在隐私的认定上，美国在2002年通过了《电子政府法》，要求行政机关对个人隐私进行评价，促进个人信息保护。在特殊领域中，规定网络用户可以决定哪些数据可以被使用，对个人隐私列举一些范围进行界定。2013年，美国政府颁布《开放数据政策——管理作为资产的信息》，规定政府工作必须对个人隐私进行完整的保护。在个人隐私的认定上，美国的做法是并未形成统一的列举式，而是采取分领域、适当列清单的方式进行认定，在特殊领域中制作特殊清单。

第二，数据的开放与保护上，美国在数据开放过程中，一边推进数据开放，一边完善修订个人隐私保护法律。纵观美国个人隐私保护的相关法律，未形成统一的隐私保护法律，而是分散在不同的领域进行保护。大致可分为三个阶段：第一阶段，1966年的《信息自由法案》、1974年的《隐私权法》以及1977年的《阳光下的政府法案》，是隐私保护的立法基础；第二阶段，2002年的《电子政府法案》，是个人隐私数据的影响评估标准；第三阶段，1978年《金融隐私权法》、1998年的《儿童在线隐私权保护法案》以及2012《网络环境下消费者隐私数据保护》等专门性法律，是专门领域的个人隐私保护。在个人隐私保护上，美国在不同的阶段关注的重点是不一样的，这样的立法模式虽然会存在交叉重叠，但对个人隐私的保护会随着时代变化做出相应的调整。

第三，在管理机制上，英国的信息专员办公室（Information Commi-ssioner’s Office）是个人隐私保护的机构，该办公室是独立的非政府机构，但直接向英国议会报告，它对个人隐私的保护发挥着重要的作用。一是它对数据管理者进行登记，并公布数据管理者的名称和地址，以及对数据处理的相关描述；二是推广与解释工作，英国多部个人隐私法律法规都是它在推广；三是当个人隐私遭到非法侵害的时候，当事人除可以去法院起诉索赔外，其网站还会为受害者提供详细的救济步骤以及法律依据，甚至可以做一些相关的咨询帮助。在美国，总务管理局（General Services Administration）

是负责美国政府数据开放的具体部门，职责是搜集、维护和使用个人信息，并使用隐私影响评估作为其履行和监管义务的工具，这样可以在政府数据开放的过程中对数据进行隐私评价。此外，美国还特别支持行业自律和自我监督，从1995年起，至今已有20多年行业自律经验，包括在企业自身设立“自律制度”，以及在独立第三方设立“中立认证”制度。

三、完善个人隐私保护保障机制的思考

对个人隐私的保护需要全方位进行，尤其在数据开放这一复杂过程中，需要在隐私的认定、法律的协调以及机制的保障上做出全面的规定，才有利于加强对个人隐私保护。

（一）对侵犯隐私的认定

通过分析国外的经验，可以发现，在对个人隐私的认定上一般都不直接采取统一列举的方式，而是根据具体个案来判断。但不对隐私做具体的认定，不代表隐私无法认定，结合实践可以参考以下两点作为隐私判定的支撑。

第一，政府数据开放过程中，对隐私审查认定时，可以先对所涉及到利益进行衡量。首先，涉及到公共利益的隐私优先开放；其次，涉及商业秘密的隐私限制开放；最后，除以上两类之外的隐私以保护为主。总之，如果政府在数据开放过程中，进行了适当的各方利益权衡，则不宜将数据开放认定为对隐私的侵犯。

第二，大数据技术的运作方式是对数据二次使用，毫无关联的数据经过整合可以成为完整的信息，也就是说，对原先不涉及隐私的数据进行叠加，将会构成对隐私的侵犯。这种情况下，政府对此类个人隐私侵犯不承担责任，但前提是政府部门已经对数据进行了脱敏处理。在判定是否构成对个人隐私产生侵犯，需采取灵活的分领域的认定。政府开放数据的目的是为了使公众获得数据进行创新，创造价值，其搜集的目的不以营利为目的。因此，该模式更着重于作为政府数据开放者的政府和数据使用者的企业、公众为其行为承担法律责任，而不是将重心放在政府收集数据之初需取得隐私权者的同意上，政府对隐私的长期保存和未经过当事人同意的情况是不能认定为对个人隐私的侵犯。

（二）法律的保障

第一，欧美国家的数据开放与隐私保护之所以可以走在世界前列，除了有相关政策外，更主要的是完善的法律保障体系。如为了保护个人隐私，欧盟制定了《一般数据保护条例》，该法律文件对个人隐私保护提供了强有力的支撑。因此，对我国来说，除加强数据开放的顶层设计之外，制定个人隐私方面的法律是最符合当下隐私保护的趋势。目前，我国的隐私保护是以间接保护为主，如陈少先与北京市工商行政管理局朝阳分局在信息开放一案审理中，法院在说明某一事项属于个人隐私时借助的是《居民身份证法》第三条与其他条款的规定，推出居民身份证上包括号码和住址在内的信息应属于公民的个人隐私，如果存在一部专门的隐私保护法就可以直接适用。

第二，在规则制定上，确定个人隐私法时，需要确定不同主体对个人隐私收集、处理和挖掘的不同规则。比如公共事业单位在收集方式和储存时间上与企业是不同的。明确信息处理的程序规则，就可以知道信息数据到了哪一步，如何进行处理的，是被谁处理的。与行业性法律一起构成隐私保护的法律体系，还需要对政府数据开放进行顶层设计，若没有完善的数据开放法律体系，在政府数据开放过程中就会缺乏全局意识，是无法对个人隐私进行细致保护的。此外，我国《网络安全法》规定了对个人信息的保护，但并未对个人隐私受侵犯时如何保护以及认定标准进行规定。若像英国那样几乎所有与政府数据开放相关的法律法规中都有关于个人隐私的规定，我国目前阶段尚做不到统一的立法，可以对政府数据开放的实施阶段进行有针对性的法律保护，针对各专门领域进行隐私保护，逐渐完善各个领域中关于隐私保护的法律。

（三）管理机制的完善

第一，在管理机制上需要确定专门的隐私保护部门。设立隐私保护部门的主要目的，是为了使数据开放更加深入，并在保护上形成合力。这些机构的设置可以类似于欧盟那样，是一个独立委员会数据监管机构，专门公众的隐私保护，又可以像美国那样，是一个既管理隐私方面的机构，又负责政府数据开放的机构。无论该机构设置成怎样的形式，其主要的功能应该包括：一是对数据处理者进行登记，包括其具体的名称和地址；二是接受公众对个人隐私侵犯的投诉；三是推广和解释与隐私相关法律；四是建立隐私审查的周期和评价标准，把审查的生命周期扩展到整个开放阶段并利用隐私评价工具进行评价。

第二，借助第三方社会机构对个人隐私保护进行监督。提高个人隐私保护水平，不能完全依赖政府部门来应对，毕竟政府的精力是有限的。可以发挥独立第三方的监督管理作用，如借鉴美国的行业自律组织，以及英国的信息专员办公室等治理经验，它们都是独立的非政府监管机构，在隐私保护上发挥了重要的监管作用，是官方隐私保护的有益补充，从而避免出现政府在数据开放过程中既做裁判员又做运动员的情况。

（四）救济的保障

在实际生活中，当个人隐私在遭到侵犯时较难获得有效的救济。我们时常被电话推销骚扰，明明知道自己的隐私被侵犯，却由于个人原因无法查找隐私是如何被泄漏出去的。针对此种现状，可以设置一种接受投诉并提供救援的方式，并提供必要的咨询帮助。同时，在政府数据开放过程中，因为政府数据开放的主体是政府，其作为行政主体，具有诉讼资格。尽管政府数据开放与信息开放有一定的区别，但其开放的目的依然包括保障公民的知情权，提高政府服务的透明度，与信息开放的实质其实是一致的，应该将其归入行政诉讼的救济之中。因此，一旦发生政府侵犯个人隐私的情况，可以像《政府信息公开条例》中规定的那样对其提起行政诉讼。

（作者单位：中央财经大学法学院）

【责任编辑：江知】