反思公共数据归集_郑晓军.pdf

华东政法大学学报2023 年第 2 期53反思公共数据归集郑晓军*目次一、问题的提出二、如何判断数据处理的合理性三、数据应否成为不同部门的黏合剂四、困在数据上的“数字人”五、公共数据治理的结构性转向六、结语摘要数据行为而非数据属性，才是判断数据处理合理性的关键。无论是数据聚合价值最大化，还是行政一体，都不能很好地证成公共数据归集的合理性。在数字化过程中，个体被安放在预制的类别上，生成动态、可计算的数字身份，从而和数据紧密地固定。数据归集潜移默化地消除了部门间的职权边界，更容易催生出权利干预措施的数字“组合拳”，扩大个体和国家的权力差距。个体控制数据的能力是有限的，碎片化的权利无法有效防御其中的系统性风险，应将数据治理的思路从赋权转为控权。为避免因数据归集形成体量庞大的组织，有必要将数据主管部门定位为风险评估部门而非管理部门，并配置有限的数据处理权。关键词数字政府个人信息公共数据归集数据监控数据治理“制度的效率使个人的认识迟钝，使他对未能体现整体之压制力量的事实视而不见。”赫伯特 马尔库塞1一、问题的提出当前，数字技术成为公共治理的抓手，数据则是其中的关键要素。现有关于公共数据的研究，主要关注政务部门和公共服务组织向社会开放数据，而对行政内部不同部门之间的数据处理活动，讨论*郑晓军，清华大学法学院博士研究生。本文系国家社会科学基金重大项目“大数据、人工智能背景下的公安法治建设研究”（项目号 19ZDA165）和清华大学自主科研计划资助课题“智慧警务模式下的基本权利保护”（项目号 2021THZWYY13）的阶段性研究成果。1 美 赫伯特 马尔库塞：单向度的人，刘继译，上海译文出版社 2014 年版，第 11 页。郑晓军反思公共数据归集54得并不多。即使是关注到这一议题的学者，他们的研究也更多的是从行政一体的角度，证成数据跨部门流动的合理性，反思性的文献并不多见。我们不妨将视线转向国外。早在 1965 年，美国社会科学家就提议建立国家数据中心，但提案最终并没有被采纳。议员弗兰克 霍顿（Frank Horton）的洞见为我们反思公共数据归集提供了启发：“分离信息是目前保障隐私最切实有效的方法。当信息散落在不同的角落，检索是不切实际的，但中央数据库完全消除了这种保障。”2英国信息专员办公室（Information Commissioner s Office）在 关于监控社会的报告 中也指出，不应忽视数据处理对隐私、伦理、人权的影响，事实上它比我们想象到的还要复杂与微妙。如果将效率视为行政的最高标尺，数据就可能发生功能上的异化。3本文要讨论的公共数据归集，主要指政务部门和公共服务组织将采集的信息，加工处理后聚合在一个数据库。与多向流动的数据共享不同，归集是数据的单向聚合。主张数据归集的可能理由主要是以下两个。（1）互联网企业在商业利益驱动下采集了大量的用户数据，是最大的风险源，基于数据的价格歧视即为例证。而行政系统有查询留痕等风险防范手段，工作人员滥用数据的可能性较低。（2）部门之间缺乏信息沟通会导致重复采集数据，无法达成“整体智治”与资源集约建设。这两种理由有待商榷。把分散在不同部门的数据统一存储，就像把所有鸡蛋放在一个篮子里，是对风险的聚合而非分散。对此，本文首先指出，应从多个维度剖析数据处理的合理性，数据类型不是首要的，囊括了主体、方式和对象的数据行为才是关键。接下来的两部分聚焦于行政组织与相对人。理想上的整体政府是服务而非管控意义上的，数据并不必然应成为不同部门的黏合剂。聚合一个人不同维度、不同人同一维度的数据，很可能形成困在数据上的“数字人”。最后则论证，在体量庞大的部门面前，个体防御系统性风险的能力是有限的，碎片化的权利让个体承担了太多的责任，应转变数据治理的思路，从赋予个体权利转为控制数据权力，将数据主管部门定位为风险评估部门，牵制其他部门的数据处理权。二、如何判断数据处理的合理性笔者将讨论数据处理的合理性基础，主张一种基于风险而非权利、基于数据行为而非数据类型的判断思路。对于会创设不合理风险的数据处理活动，应给予更多的警惕。（一）区别于个人信息的判断思路1.基于风险而非权利有研究者提出，应从“基于权利的方法”（赋予信息主体权利）转向“基于风险的方法”保护个人信息。4但在笔者看来，敏感个人信息关乎隐私权，更适宜采取“基于权利的方法”，赋予信息主体权利；而数据处理更多是一个合理性问题，宜采取“基于风险的方法”。欧盟基本权利宪章 第 7、8 条分别规定了隐私权（respect for private and family life）与“对数据相关权益的保护”（protection of personal data），揭示了作此区分的必要性。2 James Rule,The Politics of Privacy,New American Library,1980,p.56.3 See Surveillance Studies Network,A Report on the Surveillance Society,Information Commissioner s Office,https:/ico.org.uk/media/about-the-ico/documents/1042390/surveillance-society-full-report-2006.pdf,accessed March 18,2022.4 参见张璐：个人信息保护风险规范的建构机理与实现路径，载 江西财经大学学报 2022 年第 3 期；张涛：探寻个人信息保护的风险控制路径之维，载 法学 2022 年第 6 期。华东政法大学学报2023 年第 2 期55隐私权和“对数据相关权益的保护”在调整范围和保障强度上存在差异。其一，调整范围。前者重点保护私人生活、住宅和通信等敏感个人信息，而后者并不限于此，否则无须规定第 8 条，在第 7 条中解释即可。其二，保障强度。隐私权是阻隔权力行使的模糊性工具，遵循“禁止处理，除非”逻辑，旨在让特定范围的事实模糊化；而数据保护是透明性工具，遵循“非禁即可”逻辑，通过权力的透明化运作，调节和引导必要、合理、合法的权力。5立法者的表述也印证了这种理解的合理性。虽然在表述两种自由时，说的都是“每个人有的权利（everyone has the right to）”，但涉及隐私时用的是“respect”，强调避免干预，维续分离、静止的状态；涉及数据时则用的是“protect”，意味着数据不同于敏感个人信息，讨论的起点是“放”，而不是“禁”，也即只要给其配套适当的保护措施，原则上可以处理数据。风险规制包括评估与管理。任何事情都有风险，是否要介入调整，关键是在未来的某一时刻，发生不利后果的概率和严重程度是否可以容忍。就像公园里的树会因为极端恶劣的天气倒塌，但存在这种抽象的风险，并不意味着就要砍掉所有的树。6“如果数据处理活动被认为是一种风险，那么就可以通过诉诸毒理学和流行病学来衡量。毒理学将处理活动视为风险本身（损害的来源），因此将包括诸如数据的性质和类型、处理方式、范围、背景、控制者和数据主体的地位等因素；流行病学则评估损害本身（可能包括歧视、诽谤、丧失议价能力、痛苦、刺激、恐惧等）和影响数据主体（风险目标）的方式。”7 法律的调整范围不应是无限的，并非所有数据处理活动都要接受严格的审查与约束，对数据保护的水平取决于未来不利影响发生的可能性与严重性。不必然要立法禁止给社会带来较大效益，但有极高风险的数据处理活动。而即使风险极低，但无法产生任何效益的数据处理活动，也是不合理的。8比如，在公共场所摄像头执法中，图像采集只是单纯的“看”，而身份识别是“看”到后关联身份信息。推定所有人有违法犯罪的可能性是一种不可容忍的风险，应当受到更严格的限定，就此而言，图像采集的权力可以是宽泛的，身份识别应是个别的、回应性的。9不区分损害的差异性，为所有人提供不可权衡、相同强度的最低保护，是一种“基于权利的方法”。但数据处理的合理性取决于每个具体行为引致的风险水平，并不遵循合法或非法的二元逻辑，应逐案判断风险与效益的均衡性。10即使一个数据处理活动是合法的，也可能因创设不可容忍的风险而不具合理性，此时需要评估，是否要采取措施缓解风险。风险是概率性的，不能因为有损害的可能性，就禁止任何形式的处理；而不加区分地解除所有的保护措施，也会创设不合理的风险。2.基于数据行为而非类型个人信息保护法 第二章区分了敏感个人信息和一般个人信息的处理规则，前者如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，那么是否可以借鉴这一思路，将公共数据 5 See Serge Gutwirth&Paul De Hert,“Privacy,Data Protection and Law Enforcement:Opacity of the Individual and Transparency of Power”,in E.Claes,A.Duff&S.Gutwirth eds.,Privacy and the Criminal Law,Intersentia,2006,pp.61-104.6 日常数字生活中风险存在一个门槛（threshold of everyday digital life risks）。See Ralf Poscher,“Artificial Intelligence and the Right to Data Protection”,in Silga Voeneky et al.eds.,The Cambridge Handbook of Responsible Artificial Intelligence:Interdisciplinary Perspectives,Cambridge University Press,2022,pp.287-288.7 Raphal Gellert,The Risk-Based Approach to Data Protection,Oxford University Press,2020,p.33.8 See Daniel J.Solove,Murky Consent:An Approach to the Fictions of Consent in Privacy Law,SSRN（Jan.22,2023）,https:/ 参见郑晓军：论公共监控的功能边界，载 中国法律评论 2022 年第 5 期，第 113-115 页。10 See Raphal Gellert,The Risk-Based Approach to Data Protection,Oxford University Press,2020,pp.2-3.郑晓军反思公共数据归集56分为敏感数据和一般数据，为涉及个人信息的敏感数据提供特别保护？不少地方作了类似的规定。比如，浙江省公共数据条例 第 30 条规定，禁止开放涉及个人信息、商业秘密或者保密商务信息的公共数据，但匿名化处理或数据指向的特定主体授权同意开放的，可以列入受限开放或者无条件开放数据。基于数据类型划分的治理模式，有效性存疑。金钱是一般等价物，而数据会因背景信息的不同，呈现相异的价值，既可能淹没在繁杂的数据集中，成为“数据垃圾”；也可能关联不同维度的数据，成为“信息宝藏”。只揭示某地区污染严重、不涉及任何个人信息的环境数据，也会因不当使用，产生难以预估与消除的影响，比如，保险公司基于这一数据，提高对该地区居民购买保险的费率。11当我们只专注于数据的一个维度，不可避免地会牺牲其他潜在的价值。如论者所说：“如果问当前对隐私的主要威胁是什么，我们会发现数据在名单上名列前茅；同样，如果问如何尽快开发针对致命病毒的疫苗，数据也会名列前茅。”12有必要从多个维度去判断数据处理的合理性，数据类型不是首要的，数据行为才是关键。这里的数据行为是一个多要素构成的综合概念，囊括了主体（数据控制者、处理者）、方式（数据收集、归集、存储、加工、传输、共享、开放、利用）、对象（