论文部分内容阅读
关键词:数据共享开放;个人隐私保护;层次数据;算法问责
近年来,数据共享开放的重要性及数据应用与服务高阶应用的潜在价值日趋显现。大数据时代,社会生活中的产品和服务逐渐转变为数据形态,数据资源的应用与服务正在逐步渗透到国民经济的各个行业和领域。国家在战略层面也对数据共享开放作出了明确部署:2017年,国家出台《政务信息系统整合共享实施方案》《政务信息资源目录编制指南(试行)》等多项政策文件,持续推进政府数据汇聚、共享、开放等,取得了实质性进展。但同时,在大数据环境下,个人行为持续被全景式地记录成数据,导致隐私数据泄露影响不断增大。因此,各方对隐私保护和数据安全问题也愈加重视。目前,一些单行的法律法规里均涉及网络隐私权的保护,例如:《计算机信息网络国际联网管理暂行规定实施办法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《互联网电子公告服务管理规定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《计算机信息系统安全保护条例》等,2016年出台的《中华人民共和国网络安全法》和《国家信息化发展战略纲要》等。特别是国务院办公厅印发的《2018年政务公开工作要点的通知》明确提出,“要依法保护好个人隐私,除惩戒公示、强制性信息披露外,对于其他涉及个人隐私的政府信息,公开时要去标识化处理,选择恰当的方式和范围”,为数据隐私保护提出了要求,指明了方向,进一步完善了个人信息保护的相关法律法规。2020年,第十三届全国人大常委会第二十次会议发布《数据安全法(草案)》,明确规定任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。随着实践的不断深入,数据开放共享与个人隐私保护两者既矛盾又统一的关系愈发凸显,这就要求更要辩证看待、平衡处理,既充分释放数据流动性价值,又有效控制数据流动中的隐私泄露隐患。
1数据共享开放与个人隐私保护领域国内外研究现状及相关分析
大数据时代,数据需求和数据价值呈井喷式增长,其内生动力推动各方数据开放共享的呼声越来越高。但受制于数据安全与隐私保护等因素,大多数据闲置在政府、企业与社会主体手中,既无法有效开放,也无法释放数据價值,更谈不上更广泛,更有深入的开放开发。因此,学界纷纷将焦点转向数据共享开放过程中的个人隐私保护。对此,国内外学者开展了一系列研究。
1.1研究现状
数据共享开放与个人隐私保护之间存在众所周知的矛盾和悖论。在国内,数据共享开放如火如荼发展,国内学者更多针对图书馆数据开放、政府数据开放、科学数据管理展开研究。陆康等[1]分析了数据共享与个人隐私之间矛盾与悖论产生的原因,以智慧图书馆为研究对象,提出建立数据公开共享机制,提升数据价值透明度、探索合理化权责与知情权利对等原则、加强用户及馆员的数据素养和数据伦理教育等数据伦理体系策略。在开放政府数据领域,陈美[2]总结了德国开放政府数据中个人隐私保护的特点,提出构建完善的个人隐私保护法律体系、设立个人隐私保护机构和职务、提高个人隐私权利意识、平衡政府开放数据与个人隐私保护等建议。张晓娟等[3]研究了中美数据开放和个人隐私保护的政策法规,从平衡我国政府数据开放与个人隐私保护方面提出政策建议。张聪丛等[4]基于开放政府数据生命周期理论,以数据流动过程为主线,分析开放政府数据共享阶段、使用阶段和管护阶段的隐私侵犯问题。丁红发等[5]进一步基于数据生命周期理论,在厘清政府数据开放相关概念的基础上,建立了政府数据开放过程模型,分析了各个环节存在的数据安全和隐私保护问题,从技术和管理相结合的视角,从数据安全治理的方面提出若干建议。在具体应用领域,王换换等[6]针对区域健康医疗数据共享及其隐私保护问题,运用隐私保护理论及系统建模理论,构建区域健康医疗数据共享平台,针对健康医疗数据的隐私保护进行系统研究。在制度建议方面,也有很多学者进行了研究:杜荷花[7]提出制定与完善平台隐私保护政策、构建政府义务告知制度、加强个人隐私安全管理、健全用户信息权保障体系等有益启示。王忠等[8]从利益相关者视角,针对平衡数据挖掘与隐私保护,提出构建多元主体协同治理机制,针对核心利益相关者建立竞争性治理机制,针对直接、间接利益相关者建立激励性治理机制,发挥重要利益相关者的主导作用等建议。在科学数据管理方面,司莉等[9]对英美高校科学数据管理与共享政策进行内容分析,发现在数据安全与保护方面,只有英国少数高校科学数据政策对数据安全有所规定,且内容较为笼统,而美国高校很少出台数据安全与保护规定。张闪闪等[10]表示科学数据一般分为禁止、限制、保密和公开4种类型,数据隐私保护应当根据数据类型进行划分,当涉及人类受试者数据时,研究者要接受监督并使用专门的数据搜集工具。
除上述国内开展的各项研究外,国外针对数据共享开放与个人隐私保护也开展了较多研究,但整体上看,视角比较分散,主要涉及技术方法、系统平台设计与政府政策监管等方面。在WebofScience核心数据库里以“OpenData”和“PersonalPrivacyProtection”对近5年的论文进行高级检索,检索到238篇文献。其中部分学者探讨了隐私泄露的风险,例如,KshetriN[11]分析了数据在收集、存储、分享和获取过程中出现的安全和隐私问题,认为随着数据集规模扩大、数据多样性和复杂性增加,安全风险也将随之增加;部分学者则强调用户数据的应用价值,以及个人信息对医疗、教育等领域的重要意义。如SánchezD等[12]认为,传统的个人隐私保护机制未考虑个人隐私数据需要,提出了以用户控制为主的个性化隐私保护的动态和异构开放数据共享场景。目前,国外在数据开放与隐私保护方面多倾向于用技术与管理方案解决。JaegerPT等[13]提出政府应该采用中央集中的管理结构来保护个人隐私,并在政府开放数据的背景下提出了7种政府监管模式。HamzaR等[14]认为,一维数据的传统加密方式不适用于医疗领域的数据和图像,提出了一种基于混沌的隐私保护加密密码系统。PeiX等[15]基于区块链构建了UDPP(UserDataPrivacyProtection)平台,包括合用模块和隐私工具集,提供实用工具。合规模块可以帮助企业在APP和后台服务中进行隐私政策自检和数据处理,工具集提供多种隐私保护方案组合,解决不同的隐私保护和用户授权情况。还有一些学者聚焦数据开放与隐私保护平衡发展的视角开展研究,WangJ等[16]提出利用数据量化隐私以防止数据隐私过度泄露的保护方案,该方法可有效地描述数据隐私在通信过程的实时波动,为隐私保护提供可靠判断,做好数据隐私和通信效率之间的平衡。也有学者指出,目前,学界对个人隐私保护的认知和范围界定还不够清晰明确。LilianE等[17]分析了社交媒体领域用户对隐私的合理预期,认为现有法律法规尚未给公开社交网络提供足够保护,越来越多的个人数据在没有明确界定隐私预期的情况下被收集和公开。 1.2当前数据共享开放与个人隐私保护研究的不足
近年来,数据共享开放、个人隐私保护两个领域的研究都取得了一些进展,但如何更好地平衡两者关系、怎样完善制度体系等问题仍存在不足。
从理论研究现状看,数据共享开放与个人隐私保护存在偏重一方的趋势。国内外学者对数据开放与隐私保护的研究要么偏重数据共享开放,要么过分强调隐私保护的重要性,很少从数据共享开放与隐私保护的共生性、协同性、一体性角度来考虑顶层设计与具体实践。研究重点多涉及政府数据开放、科研数据管理、针对某个领域的开放平台以及图书馆数据等方面的隐私泄露与保护对策问题。研究视角方面,有些单纯从政府数据开放的视角或者利用搭建技术平台分析隐私保护问题,未能从数据不同掌控方的角度,结合数据阶段性形态特征研究个人隐私数据价值的实现路径。研究内容方面,多从技术手段、平台系统设计、隐私加密、管理机制以及保護策略等提出平衡数据开放共享与隐私保护的建议。多数学者从政府主导的政策法规与机制层面建立管理体系,这种自上而下的以监督、审查为主导的设计在推动和落实方面存在体制机制障碍和困难。部分研究基于数据生命周期理论,或者与国外政策对比分析,对隐私保护的落实与执行方面设计规划相对不足。
从政策实践进展看,政府数据开放与个人隐私保护领域的制度体系尚不成熟。大数据人工智能等新技术的不断进步导致数据共享和开放范围不断扩大,数据隐私保护等面临着新形势,进入新的发展阶段,需要新的技术方法和制度体系来应对新问题。目前,我国已发布的政府开放政策中关于个人隐私的规定与具体举措比较宽泛,如表1所示。多数政策内容均为“在安全保密的前提下实现政府数据开放”“除涉及国家安全、商业秘密、个人隐私外,都应向社会开放”,数据管理流程、技术及数据相关接触者隐私保护等均处于在探索阶段,尚未提出明确的具体做法。总的来看,想短期内从制度体系与法律层面探索解决数据开放共享与隐私保护平衡问题的路径困难较大。
综上,传统数据环境下,数据共享开放与隐私保护偏重于一方,主要是因为数据共享开放与隐私保护的责任主体不一致,为了能够免责,很易出现“一刀切”现象。因此,平衡两者关系,必须以新技术、新方法设计新路径。笔者认为,应在顶层设计阶段统筹平衡数据共享开放与个人隐私保护的关系,更多关注数据开放与隐私保护的共生性,将开放与保护紧密结合起来,不能机械地割裂开来。
1.3新数据形态为平衡数据开放和隐私保护带来更大挑战
传统数据形态下,如何平衡数据共享开放和个人隐私保护已经是各方所要面对的难题。新数据形态的出现并延伸至数据应用与服务阶段,出现了很多新问题,也对平衡数据共享开放和个人隐私保护提出了更高要求,亟待探索新思路、新路径、新模式。目前,数据共享开放已不单单局限于原始数据、脱敏数据,开始逐步升级为模型化数据、数据应用服务接口或数据资源集等。但隐私保护并未及时转型,对升级后的新数据形态暴露出的新隐私泄露问题进行匹配和规范。因此,隐私保护问题不仅仅存在于掌握数据资源的公共部门(即数据控制者),还不断扩散到平台型企业和社会机构等数据应用者和数据服务提供者。例如:互联网平台型企业积累大量个人数据汇聚成有价值的数据集,却频频被其他数据应用开发者利用,导致数据滥用现象频发。当前,针对新发展阶段的新数据形态面临的问题,部分学者注重从法律法规与制度层面研究数据共享开放与隐私保护的政策建议,也有部分学者尝试从管理机制与技术方法研究平衡二者关系的方法,这两种“自上而下”的顶层制度管理设计在实践执行中都有一定难度,数据滥用与隐私泄露等在数据多方流转过程中仍很难避免。数据共享开放过程中,个人隐私面临数据控制者、数据处理者、数据应用者等不同主体的泄露与滥用危机。
2数据共享开放过程中面临的隐私泄露危机
数据开放共享涉及政府、企业、信息系统商、用户等多个主体,形成了基于数据采集、处理、存储及利用等数据流转环节。及时有效提供数据服务通常涉及政府与科研机构、企业等主体之间数据共享和使用[18],因此,数据共享开放过程中的隐私泄露危机主要存在3个层面:一是政府部门等数据控制者对于原始数据的共享开放和使用;二是企业机构等数据处理者对于用户数据的爬取、采集与分析;三是个人作为数据产品使用者层面在智能APP或设备应用时被默认采集使用个人隐私数据,以及数据应用者在接触具备自动处理数据功能的信息系统,包括:计算机、手机、平板电脑、智能电器、网络通信设备、自动化控制设备等,会无意接触或泄露其中存储的个人隐私数据。
2.1数据资源所有者:政府数据开放共享引发个人隐私泄露
大数据时代,提高政府部门间协同运转效率,加快智慧政府建设,推进政府数据实现开放共享是一种必然趋势。随着开放进程日益加快,个人隐私泄露的风险和隐患不断凸显[19]。政府部门本身掌握大量原始的业务数据,这些数据是未经加工处理的海量、高质量的信息,更新速度快且与社会公众紧密相关,存在大量高敏感度的个人隐私。2019年12月,山东省高密市住房和城乡建设局在公示人员名单时,除公布了人员姓名、所属居委会、街办、类别(低保、低收入)外,还公布了公民完整的身份证号码,明显泄露了个人隐私。湖南一县政府官网公示时,泄露危改户数千条隐私信息。从数据控制者层面看,在数据共享开放过程中,政府部门对公民、企业和社会组织等有关社保、户籍、疾控、政策及舆情等海量数据正进行大规模的整合、存储、开放、共享。数据一旦泄露,对个人而言可能造成隐私曝光、经济受损等影响,对政府则可能造成宏观管理和调控混乱,甚至可能导致政府决策失误。
2.2数据应用开发者:企业多源数据碰撞引发个人隐私泄露
随着新技术进步和数字经济蓬勃发展,企业数字化转型加速,社会数字化应用逐渐兴起。除政府数据开放外,掌握公民数据的企业在数据处理层面呈现出不同层次的开放水平和不同维度的开放内容,存在导致脱敏化数据二次泄露的风险。例如:运营商掌握着大量公民的通信信息,信件、邮箱、电话、聊天记录;征信机构掌握着个人信贷、缴费信息、信用交易信息以及公共记录信息;公众的水电等缴费不再需要人工处理,而是通过与政府对应部门关联的第三方支付手段来处理,这些企业在处理数据时都有泄露个人隐私的风险。伴随互联网、物联网、大数据、云计算和人工智能等技术的快速发展,数据资源获取的自动化程度不断提高,降低人工获取成本,也进一步提升了不同数据资源交叉比对、融合关联、深度加工和相互验证能力。因此,一些企业以商业利益为目标,通过搜集手机个人身份信息、职业信息、社会交往信息、消费交易记录信息、出行位置等多渠道多维度信息,在原始数据基础上对碎片化数据进行脱敏处理,形成大量加工后的数据。在数据共享开放过程中,企业可以根据定制个性化的应用模型和算法需求任意将二次数据加工成为三次数据出售。然而,无论在政策层面还是法律层面均未对二次、三次数据的开发利用做出权益保护的明确界定。此外,大数据、云计算等技术的进步也进一步提升了数据智能分析层面的能力,二次、三次数据进行多源汇聚时,用户画像、多种数据和场景数据不断碰撞将识别出具有个人信息的数据,存在再次泄露隐私的风险。例如,卡内基梅隆大学的LatanyaSweeney将匿名化的GIC数据库(包含每位患者的出生日期、性别和邮政编码)与选民登记记录相连后,可以找出马萨诸塞州州长的病例[20]。因此,随着数据量剧增和技术进步,数据处理者层面的多源数据碰撞将给个人隐私保护带来新挑战。 2.3数据服务提供者:智能化服务平台引发个人隐私泄露
很多政府部门和企业采用大数据的技术和方法在公共政策的制定和市场运营中依靠算法智能决策,例如:在教育、医疗、司法、保险、金融领域进行信用评分评级、趋向分析判定、内容推介和量化评价等[21]。个性化推荐算法和人工智能技术为人们带来便利的同时也给个人隐私保护带来新挑战。目前,个性化推荐算法技术成为内容网站或者内容APP的标配,推荐算法在数据应用阶段存在知情同意虚化的问题。社交软件、商业购物、地图导航等各类生活类数据需要用户勾选数据获取及手机号关联才能进行使用。这些数据应用系统和应用场景中内嵌了大量个人数据。尤其是随着社交媒体、支持GPS位置定位的应用和追踪、可穿戴设备的日益普及,多个数据平台的联结能够使个人的身体状况、健康信息、运动情况等数据被链接、保留和共享用于其他用途。目前国内外对数据共享开放与隐私的研究多停留在原始数据层面,例如:个人身份信息、职业信息等,数据脱敏仅能保障单一来源或者静态数据个人隐私数据保护,对不同阶段数据接触者的整体统筹考虑比较欠缺。随着大数据的深入,动态信息的汇聚和多源数据关联碰撞往往能够拼装和刻画人物全貌,可能会导致新的个人隐私泄露。在个性化数据应用阶段将产生大量基于人工智能技术的基础数据重点用于算法推荐、测试训练、用户画像与特征识别。但是人工智能技术存在算法黑箱风险,算法引导将带来算法偏见、数据权威等问题。人工智能基础数据也面临保护困境。人工智能基础数据“独创性”不突出,与原始数据区别度较低,多数人工智能基础数据只是数据的集合与数据的简单标注,人工智能基础数据无法进入现行法律保护的客体范畴,数据本身也不是专利法保护的客体。因此,数据应用阶段个人隐私空间还存在未知地带,用户对个人隐私保护的预期也需重新界定。隐私数据不仅局限于传统的原始数据、脱敏数据或者模型化数据,更进一步扩展到三次数据等人工智能化数据,但就用户衍生的数据尚未形成明确的政策保障。
3“层次数据与算法问责”:数据共享开放与个人隐私保护问题对策
基于新数据形态下数据共享开放与个人隐私保护问题在数据资源所有者、数据应用开发者、数据服务提供者3个层面暴露出的风险和隐患,本文从数据流与管控流同步考虑的视角,采取技术操作与新制度设计来平衡数据开放与个人隐私保护,既充分利用技术方法保护隐私,也强化制度规则设计弥补技术无法解决的难题。具体而言,结合数据开放共享的阶段,本节重点针对数据资源所有者、数据应用开发者和数据服务提供者遇到的隐私泄露危机,提供从技术手段与制度规则融合的视角提出“层次数据”与“算法问责”两条路径实现二者的平衡。在技术层面通过拆分数据层次从数据资源所有者和数据处理者层面对个人隐私进行保护;在管理制度层面采取算法问责的机制对数据处理者进行监管,同时为数据受侵犯者提供算法问责的途径,帮助数据应用者在伦理与制度层面保护个人隐私。
3.1新数据形态下层次数据与算法问责的有关概念
新数据形态是指数据共享开放从内向外两个阶段下数据的不同形态:第一阶段包括数据共享开放涉及的数据和信息,表现为原始数据与脱敏数据;第二阶段包括数据共享开放的第二阶段,涉及应用和服务为主的知识和智能,表现为模型化算法数据和智能化服务数据。针对上述两个阶段,分别实施层次数据和算法问责两项应对策略。层次数据是指通过对数据的隐私保护强弱程度与数据价值生产进行划分,形成原始数据、脱敏数据、模型化数据与智能化服务数据;算法问责是指为数据应用和服务过程中受到不公平待遇的用户提供问责路径,重点通过对算法技术团队算法设计的流程、动机、应用场景进行审计,对算法团队的利益相关者进行采访,进而发现潜在的算法歧视现象。
3.2实现数据共享开放与个人隐私保护实现平衡发展的路径分析
针对上述数据控制者、数据处理者与数据应用者三方存在的隐私泄露可能,本文提出基于“层次数据”与“算法问责”的分层分类的应对策略框架,如图1所示。从技术操作层面来看,依据数据的利用程度及隐私保护能力将数据分为4层,即0次数据(原始数据:数据库访问和数据包传送)、1次数据(脱敏处理数据:API数据市场)、2次数据(模型化数据:用户画像、舆情监控)和3次数据(智能化服务数据:特征识别、自然语言理解、机器学习、风险预警等)。层次数据重点把数据生产过程与数据共享开放的阶段结合起来整体考虑。根据此前分析可知,数据共享开放中的隐私泄露主要存在于数据共享与开放、数据应用与服务两个阶段。其中,数据应用与服务阶段是数据共享开放的第二阶段。层次数据重点是侧重于应对共享开放数据过程中隐私泄露的策略,算法问责侧重于应对第二阶段中的隐私泄露问题。
3.3实现数据共享开放与个人隐私保护实现平衡发展具体实现路径
3.3.1数据开放与共享阶段主要依靠层次数据
在个人隐私保护的第一阶段,应当在数据开放与共享的过程中,基于原始数据和脱敏数据的开放共享制定标准与技术规则。首先,在数据开放过程前,明确数据监管流程、数据共享开放标准、隐私数据备案和控制0次数据数量的条例,由数据审核官对可开放共享的数据进行审核;其次,在开放共享中,应当明确运用何种技术开放共享和脱敏处理数据,不同层次和归属地的数据应该开放到什么程度需要形成统一标准,重点做好1次数据的脱敏处理与隐私保障技术研发,重点开发利用新的技术,例如:通过利用区块链、多方安全技术等实现加密保护,或者通过规范开放数据应用接口,运用模型化数据和智能化服务数据提供数据共享开放服务;最后,在开放共享后,根据数据层次设计个人隐私的保护方法,严格限定此类涉公民个人隐私文件接触人员范围,根据不同层级、不同职责设定信息查阅权限。
3.3.2数据应用与服务阶段主要依靠算法问责
在个人隐私保护的第二阶段,应当在数据应用与服务的阶段,明确2次模型化数据和3次智能化数据使用范畴。根据保密和应用需求开放不用层次的数据,将二次、三次数据以及人工智能化数据纳入保护范畴,扩展隐私保护在人工智能时代新的范畴;允许此类数据应用和服务于群体性现象以及社会舆情分析,减少对个人对象的分析。由于模型化数据与人工智能化数据产生于算法,而算法收集到的个人數据无法在公开透明的情况下了解原始数据的使用过程与处理方式,也无法通过层次数据的方法对个人隐私数据进行模糊脱敏处理。因此,本文认为可以通过“算法问责”控制新技术对隐私的侵袭。传统的决策问责遵循“谁决策谁负责”“谁主管谁负责”,大数据算法决策是机器做出的决策,也要从“谁设计谁负责”和“谁主管谁负责”的原则出发追责。从算法层面进行问责主要是针对利用和设计算法的情报人员,由于算法是由团队进行编码、评审和测试的,开发人员在创建算法时就能决定最终用户将在决策中扮演的角色,因此,对算法开发人员的监管比算法本身更重要。针对这一特点,第一,在数据处理者层面开展算法审计,审查发现编码为优先级、排名、排序和分类算法的标准,寻找它们在某种程度上被引导或产生偏见的程度;第二,要求算法研发人员必须留存在开发和训练过程中做出的决策的文档;第三,在数据应用者层面,可以通过揭示算法的产生背景,探究算法设计的目的和假设,也可以考察包括技术团队之外的利益相关者以及与算法开发相关的文档数据集,帮助数据被侵犯者提供问责渠道[22]。
4结语
本文在总结近年来国内外关于数据共享开发与隐私保护的研究现状与不足的基础上,创新性地从数据资源所有者、应用开发者与服务提供者等多元视角阐述不同层次数据可能存在的隐私泄露的风险和隐患。针对这些问题,提出利用“层次数据”“算法问责”的新思路,帮助数据资源所有者、应用开发者与服务提供者从数据开放共享的两个阶段规划隐私保护路径。“层次数据”明确了针对0次数据、1次数据在数据开放共享前中后的标准与技术保障规则,“算法问责”针对数据应用与服务阶段产生的2次数据与3次数据有针对性地设计了新的保护思路。未来将继续将层次数据中2次、3次等过程数据的处理标准规范、权责范围、权益保障,以及相应的算法审计与问责具体实施办法等作为平衡数据共享开放与个人隐私保护关系的研究重点。
近年来,数据共享开放的重要性及数据应用与服务高阶应用的潜在价值日趋显现。大数据时代,社会生活中的产品和服务逐渐转变为数据形态,数据资源的应用与服务正在逐步渗透到国民经济的各个行业和领域。国家在战略层面也对数据共享开放作出了明确部署:2017年,国家出台《政务信息系统整合共享实施方案》《政务信息资源目录编制指南(试行)》等多项政策文件,持续推进政府数据汇聚、共享、开放等,取得了实质性进展。但同时,在大数据环境下,个人行为持续被全景式地记录成数据,导致隐私数据泄露影响不断增大。因此,各方对隐私保护和数据安全问题也愈加重视。目前,一些单行的法律法规里均涉及网络隐私权的保护,例如:《计算机信息网络国际联网管理暂行规定实施办法》《全国人民代表大会常务委员会关于维护互联网安全的决定》《互联网电子公告服务管理规定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《计算机信息系统安全保护条例》等,2016年出台的《中华人民共和国网络安全法》和《国家信息化发展战略纲要》等。特别是国务院办公厅印发的《2018年政务公开工作要点的通知》明确提出,“要依法保护好个人隐私,除惩戒公示、强制性信息披露外,对于其他涉及个人隐私的政府信息,公开时要去标识化处理,选择恰当的方式和范围”,为数据隐私保护提出了要求,指明了方向,进一步完善了个人信息保护的相关法律法规。2020年,第十三届全国人大常委会第二十次会议发布《数据安全法(草案)》,明确规定任何组织、个人收集数据,必须采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。随着实践的不断深入,数据开放共享与个人隐私保护两者既矛盾又统一的关系愈发凸显,这就要求更要辩证看待、平衡处理,既充分释放数据流动性价值,又有效控制数据流动中的隐私泄露隐患。
1数据共享开放与个人隐私保护领域国内外研究现状及相关分析
大数据时代,数据需求和数据价值呈井喷式增长,其内生动力推动各方数据开放共享的呼声越来越高。但受制于数据安全与隐私保护等因素,大多数据闲置在政府、企业与社会主体手中,既无法有效开放,也无法释放数据價值,更谈不上更广泛,更有深入的开放开发。因此,学界纷纷将焦点转向数据共享开放过程中的个人隐私保护。对此,国内外学者开展了一系列研究。
1.1研究现状
数据共享开放与个人隐私保护之间存在众所周知的矛盾和悖论。在国内,数据共享开放如火如荼发展,国内学者更多针对图书馆数据开放、政府数据开放、科学数据管理展开研究。陆康等[1]分析了数据共享与个人隐私之间矛盾与悖论产生的原因,以智慧图书馆为研究对象,提出建立数据公开共享机制,提升数据价值透明度、探索合理化权责与知情权利对等原则、加强用户及馆员的数据素养和数据伦理教育等数据伦理体系策略。在开放政府数据领域,陈美[2]总结了德国开放政府数据中个人隐私保护的特点,提出构建完善的个人隐私保护法律体系、设立个人隐私保护机构和职务、提高个人隐私权利意识、平衡政府开放数据与个人隐私保护等建议。张晓娟等[3]研究了中美数据开放和个人隐私保护的政策法规,从平衡我国政府数据开放与个人隐私保护方面提出政策建议。张聪丛等[4]基于开放政府数据生命周期理论,以数据流动过程为主线,分析开放政府数据共享阶段、使用阶段和管护阶段的隐私侵犯问题。丁红发等[5]进一步基于数据生命周期理论,在厘清政府数据开放相关概念的基础上,建立了政府数据开放过程模型,分析了各个环节存在的数据安全和隐私保护问题,从技术和管理相结合的视角,从数据安全治理的方面提出若干建议。在具体应用领域,王换换等[6]针对区域健康医疗数据共享及其隐私保护问题,运用隐私保护理论及系统建模理论,构建区域健康医疗数据共享平台,针对健康医疗数据的隐私保护进行系统研究。在制度建议方面,也有很多学者进行了研究:杜荷花[7]提出制定与完善平台隐私保护政策、构建政府义务告知制度、加强个人隐私安全管理、健全用户信息权保障体系等有益启示。王忠等[8]从利益相关者视角,针对平衡数据挖掘与隐私保护,提出构建多元主体协同治理机制,针对核心利益相关者建立竞争性治理机制,针对直接、间接利益相关者建立激励性治理机制,发挥重要利益相关者的主导作用等建议。在科学数据管理方面,司莉等[9]对英美高校科学数据管理与共享政策进行内容分析,发现在数据安全与保护方面,只有英国少数高校科学数据政策对数据安全有所规定,且内容较为笼统,而美国高校很少出台数据安全与保护规定。张闪闪等[10]表示科学数据一般分为禁止、限制、保密和公开4种类型,数据隐私保护应当根据数据类型进行划分,当涉及人类受试者数据时,研究者要接受监督并使用专门的数据搜集工具。
除上述国内开展的各项研究外,国外针对数据共享开放与个人隐私保护也开展了较多研究,但整体上看,视角比较分散,主要涉及技术方法、系统平台设计与政府政策监管等方面。在WebofScience核心数据库里以“OpenData”和“PersonalPrivacyProtection”对近5年的论文进行高级检索,检索到238篇文献。其中部分学者探讨了隐私泄露的风险,例如,KshetriN[11]分析了数据在收集、存储、分享和获取过程中出现的安全和隐私问题,认为随着数据集规模扩大、数据多样性和复杂性增加,安全风险也将随之增加;部分学者则强调用户数据的应用价值,以及个人信息对医疗、教育等领域的重要意义。如SánchezD等[12]认为,传统的个人隐私保护机制未考虑个人隐私数据需要,提出了以用户控制为主的个性化隐私保护的动态和异构开放数据共享场景。目前,国外在数据开放与隐私保护方面多倾向于用技术与管理方案解决。JaegerPT等[13]提出政府应该采用中央集中的管理结构来保护个人隐私,并在政府开放数据的背景下提出了7种政府监管模式。HamzaR等[14]认为,一维数据的传统加密方式不适用于医疗领域的数据和图像,提出了一种基于混沌的隐私保护加密密码系统。PeiX等[15]基于区块链构建了UDPP(UserDataPrivacyProtection)平台,包括合用模块和隐私工具集,提供实用工具。合规模块可以帮助企业在APP和后台服务中进行隐私政策自检和数据处理,工具集提供多种隐私保护方案组合,解决不同的隐私保护和用户授权情况。还有一些学者聚焦数据开放与隐私保护平衡发展的视角开展研究,WangJ等[16]提出利用数据量化隐私以防止数据隐私过度泄露的保护方案,该方法可有效地描述数据隐私在通信过程的实时波动,为隐私保护提供可靠判断,做好数据隐私和通信效率之间的平衡。也有学者指出,目前,学界对个人隐私保护的认知和范围界定还不够清晰明确。LilianE等[17]分析了社交媒体领域用户对隐私的合理预期,认为现有法律法规尚未给公开社交网络提供足够保护,越来越多的个人数据在没有明确界定隐私预期的情况下被收集和公开。 1.2当前数据共享开放与个人隐私保护研究的不足
近年来,数据共享开放、个人隐私保护两个领域的研究都取得了一些进展,但如何更好地平衡两者关系、怎样完善制度体系等问题仍存在不足。
从理论研究现状看,数据共享开放与个人隐私保护存在偏重一方的趋势。国内外学者对数据开放与隐私保护的研究要么偏重数据共享开放,要么过分强调隐私保护的重要性,很少从数据共享开放与隐私保护的共生性、协同性、一体性角度来考虑顶层设计与具体实践。研究重点多涉及政府数据开放、科研数据管理、针对某个领域的开放平台以及图书馆数据等方面的隐私泄露与保护对策问题。研究视角方面,有些单纯从政府数据开放的视角或者利用搭建技术平台分析隐私保护问题,未能从数据不同掌控方的角度,结合数据阶段性形态特征研究个人隐私数据价值的实现路径。研究内容方面,多从技术手段、平台系统设计、隐私加密、管理机制以及保護策略等提出平衡数据开放共享与隐私保护的建议。多数学者从政府主导的政策法规与机制层面建立管理体系,这种自上而下的以监督、审查为主导的设计在推动和落实方面存在体制机制障碍和困难。部分研究基于数据生命周期理论,或者与国外政策对比分析,对隐私保护的落实与执行方面设计规划相对不足。
从政策实践进展看,政府数据开放与个人隐私保护领域的制度体系尚不成熟。大数据人工智能等新技术的不断进步导致数据共享和开放范围不断扩大,数据隐私保护等面临着新形势,进入新的发展阶段,需要新的技术方法和制度体系来应对新问题。目前,我国已发布的政府开放政策中关于个人隐私的规定与具体举措比较宽泛,如表1所示。多数政策内容均为“在安全保密的前提下实现政府数据开放”“除涉及国家安全、商业秘密、个人隐私外,都应向社会开放”,数据管理流程、技术及数据相关接触者隐私保护等均处于在探索阶段,尚未提出明确的具体做法。总的来看,想短期内从制度体系与法律层面探索解决数据开放共享与隐私保护平衡问题的路径困难较大。
综上,传统数据环境下,数据共享开放与隐私保护偏重于一方,主要是因为数据共享开放与隐私保护的责任主体不一致,为了能够免责,很易出现“一刀切”现象。因此,平衡两者关系,必须以新技术、新方法设计新路径。笔者认为,应在顶层设计阶段统筹平衡数据共享开放与个人隐私保护的关系,更多关注数据开放与隐私保护的共生性,将开放与保护紧密结合起来,不能机械地割裂开来。
1.3新数据形态为平衡数据开放和隐私保护带来更大挑战
传统数据形态下,如何平衡数据共享开放和个人隐私保护已经是各方所要面对的难题。新数据形态的出现并延伸至数据应用与服务阶段,出现了很多新问题,也对平衡数据共享开放和个人隐私保护提出了更高要求,亟待探索新思路、新路径、新模式。目前,数据共享开放已不单单局限于原始数据、脱敏数据,开始逐步升级为模型化数据、数据应用服务接口或数据资源集等。但隐私保护并未及时转型,对升级后的新数据形态暴露出的新隐私泄露问题进行匹配和规范。因此,隐私保护问题不仅仅存在于掌握数据资源的公共部门(即数据控制者),还不断扩散到平台型企业和社会机构等数据应用者和数据服务提供者。例如:互联网平台型企业积累大量个人数据汇聚成有价值的数据集,却频频被其他数据应用开发者利用,导致数据滥用现象频发。当前,针对新发展阶段的新数据形态面临的问题,部分学者注重从法律法规与制度层面研究数据共享开放与隐私保护的政策建议,也有部分学者尝试从管理机制与技术方法研究平衡二者关系的方法,这两种“自上而下”的顶层制度管理设计在实践执行中都有一定难度,数据滥用与隐私泄露等在数据多方流转过程中仍很难避免。数据共享开放过程中,个人隐私面临数据控制者、数据处理者、数据应用者等不同主体的泄露与滥用危机。
2数据共享开放过程中面临的隐私泄露危机
数据开放共享涉及政府、企业、信息系统商、用户等多个主体,形成了基于数据采集、处理、存储及利用等数据流转环节。及时有效提供数据服务通常涉及政府与科研机构、企业等主体之间数据共享和使用[18],因此,数据共享开放过程中的隐私泄露危机主要存在3个层面:一是政府部门等数据控制者对于原始数据的共享开放和使用;二是企业机构等数据处理者对于用户数据的爬取、采集与分析;三是个人作为数据产品使用者层面在智能APP或设备应用时被默认采集使用个人隐私数据,以及数据应用者在接触具备自动处理数据功能的信息系统,包括:计算机、手机、平板电脑、智能电器、网络通信设备、自动化控制设备等,会无意接触或泄露其中存储的个人隐私数据。
2.1数据资源所有者:政府数据开放共享引发个人隐私泄露
大数据时代,提高政府部门间协同运转效率,加快智慧政府建设,推进政府数据实现开放共享是一种必然趋势。随着开放进程日益加快,个人隐私泄露的风险和隐患不断凸显[19]。政府部门本身掌握大量原始的业务数据,这些数据是未经加工处理的海量、高质量的信息,更新速度快且与社会公众紧密相关,存在大量高敏感度的个人隐私。2019年12月,山东省高密市住房和城乡建设局在公示人员名单时,除公布了人员姓名、所属居委会、街办、类别(低保、低收入)外,还公布了公民完整的身份证号码,明显泄露了个人隐私。湖南一县政府官网公示时,泄露危改户数千条隐私信息。从数据控制者层面看,在数据共享开放过程中,政府部门对公民、企业和社会组织等有关社保、户籍、疾控、政策及舆情等海量数据正进行大规模的整合、存储、开放、共享。数据一旦泄露,对个人而言可能造成隐私曝光、经济受损等影响,对政府则可能造成宏观管理和调控混乱,甚至可能导致政府决策失误。
2.2数据应用开发者:企业多源数据碰撞引发个人隐私泄露
随着新技术进步和数字经济蓬勃发展,企业数字化转型加速,社会数字化应用逐渐兴起。除政府数据开放外,掌握公民数据的企业在数据处理层面呈现出不同层次的开放水平和不同维度的开放内容,存在导致脱敏化数据二次泄露的风险。例如:运营商掌握着大量公民的通信信息,信件、邮箱、电话、聊天记录;征信机构掌握着个人信贷、缴费信息、信用交易信息以及公共记录信息;公众的水电等缴费不再需要人工处理,而是通过与政府对应部门关联的第三方支付手段来处理,这些企业在处理数据时都有泄露个人隐私的风险。伴随互联网、物联网、大数据、云计算和人工智能等技术的快速发展,数据资源获取的自动化程度不断提高,降低人工获取成本,也进一步提升了不同数据资源交叉比对、融合关联、深度加工和相互验证能力。因此,一些企业以商业利益为目标,通过搜集手机个人身份信息、职业信息、社会交往信息、消费交易记录信息、出行位置等多渠道多维度信息,在原始数据基础上对碎片化数据进行脱敏处理,形成大量加工后的数据。在数据共享开放过程中,企业可以根据定制个性化的应用模型和算法需求任意将二次数据加工成为三次数据出售。然而,无论在政策层面还是法律层面均未对二次、三次数据的开发利用做出权益保护的明确界定。此外,大数据、云计算等技术的进步也进一步提升了数据智能分析层面的能力,二次、三次数据进行多源汇聚时,用户画像、多种数据和场景数据不断碰撞将识别出具有个人信息的数据,存在再次泄露隐私的风险。例如,卡内基梅隆大学的LatanyaSweeney将匿名化的GIC数据库(包含每位患者的出生日期、性别和邮政编码)与选民登记记录相连后,可以找出马萨诸塞州州长的病例[20]。因此,随着数据量剧增和技术进步,数据处理者层面的多源数据碰撞将给个人隐私保护带来新挑战。 2.3数据服务提供者:智能化服务平台引发个人隐私泄露
很多政府部门和企业采用大数据的技术和方法在公共政策的制定和市场运营中依靠算法智能决策,例如:在教育、医疗、司法、保险、金融领域进行信用评分评级、趋向分析判定、内容推介和量化评价等[21]。个性化推荐算法和人工智能技术为人们带来便利的同时也给个人隐私保护带来新挑战。目前,个性化推荐算法技术成为内容网站或者内容APP的标配,推荐算法在数据应用阶段存在知情同意虚化的问题。社交软件、商业购物、地图导航等各类生活类数据需要用户勾选数据获取及手机号关联才能进行使用。这些数据应用系统和应用场景中内嵌了大量个人数据。尤其是随着社交媒体、支持GPS位置定位的应用和追踪、可穿戴设备的日益普及,多个数据平台的联结能够使个人的身体状况、健康信息、运动情况等数据被链接、保留和共享用于其他用途。目前国内外对数据共享开放与隐私的研究多停留在原始数据层面,例如:个人身份信息、职业信息等,数据脱敏仅能保障单一来源或者静态数据个人隐私数据保护,对不同阶段数据接触者的整体统筹考虑比较欠缺。随着大数据的深入,动态信息的汇聚和多源数据关联碰撞往往能够拼装和刻画人物全貌,可能会导致新的个人隐私泄露。在个性化数据应用阶段将产生大量基于人工智能技术的基础数据重点用于算法推荐、测试训练、用户画像与特征识别。但是人工智能技术存在算法黑箱风险,算法引导将带来算法偏见、数据权威等问题。人工智能基础数据也面临保护困境。人工智能基础数据“独创性”不突出,与原始数据区别度较低,多数人工智能基础数据只是数据的集合与数据的简单标注,人工智能基础数据无法进入现行法律保护的客体范畴,数据本身也不是专利法保护的客体。因此,数据应用阶段个人隐私空间还存在未知地带,用户对个人隐私保护的预期也需重新界定。隐私数据不仅局限于传统的原始数据、脱敏数据或者模型化数据,更进一步扩展到三次数据等人工智能化数据,但就用户衍生的数据尚未形成明确的政策保障。
3“层次数据与算法问责”:数据共享开放与个人隐私保护问题对策
基于新数据形态下数据共享开放与个人隐私保护问题在数据资源所有者、数据应用开发者、数据服务提供者3个层面暴露出的风险和隐患,本文从数据流与管控流同步考虑的视角,采取技术操作与新制度设计来平衡数据开放与个人隐私保护,既充分利用技术方法保护隐私,也强化制度规则设计弥补技术无法解决的难题。具体而言,结合数据开放共享的阶段,本节重点针对数据资源所有者、数据应用开发者和数据服务提供者遇到的隐私泄露危机,提供从技术手段与制度规则融合的视角提出“层次数据”与“算法问责”两条路径实现二者的平衡。在技术层面通过拆分数据层次从数据资源所有者和数据处理者层面对个人隐私进行保护;在管理制度层面采取算法问责的机制对数据处理者进行监管,同时为数据受侵犯者提供算法问责的途径,帮助数据应用者在伦理与制度层面保护个人隐私。
3.1新数据形态下层次数据与算法问责的有关概念
新数据形态是指数据共享开放从内向外两个阶段下数据的不同形态:第一阶段包括数据共享开放涉及的数据和信息,表现为原始数据与脱敏数据;第二阶段包括数据共享开放的第二阶段,涉及应用和服务为主的知识和智能,表现为模型化算法数据和智能化服务数据。针对上述两个阶段,分别实施层次数据和算法问责两项应对策略。层次数据是指通过对数据的隐私保护强弱程度与数据价值生产进行划分,形成原始数据、脱敏数据、模型化数据与智能化服务数据;算法问责是指为数据应用和服务过程中受到不公平待遇的用户提供问责路径,重点通过对算法技术团队算法设计的流程、动机、应用场景进行审计,对算法团队的利益相关者进行采访,进而发现潜在的算法歧视现象。
3.2实现数据共享开放与个人隐私保护实现平衡发展的路径分析
针对上述数据控制者、数据处理者与数据应用者三方存在的隐私泄露可能,本文提出基于“层次数据”与“算法问责”的分层分类的应对策略框架,如图1所示。从技术操作层面来看,依据数据的利用程度及隐私保护能力将数据分为4层,即0次数据(原始数据:数据库访问和数据包传送)、1次数据(脱敏处理数据:API数据市场)、2次数据(模型化数据:用户画像、舆情监控)和3次数据(智能化服务数据:特征识别、自然语言理解、机器学习、风险预警等)。层次数据重点把数据生产过程与数据共享开放的阶段结合起来整体考虑。根据此前分析可知,数据共享开放中的隐私泄露主要存在于数据共享与开放、数据应用与服务两个阶段。其中,数据应用与服务阶段是数据共享开放的第二阶段。层次数据重点是侧重于应对共享开放数据过程中隐私泄露的策略,算法问责侧重于应对第二阶段中的隐私泄露问题。
3.3实现数据共享开放与个人隐私保护实现平衡发展具体实现路径
3.3.1数据开放与共享阶段主要依靠层次数据
在个人隐私保护的第一阶段,应当在数据开放与共享的过程中,基于原始数据和脱敏数据的开放共享制定标准与技术规则。首先,在数据开放过程前,明确数据监管流程、数据共享开放标准、隐私数据备案和控制0次数据数量的条例,由数据审核官对可开放共享的数据进行审核;其次,在开放共享中,应当明确运用何种技术开放共享和脱敏处理数据,不同层次和归属地的数据应该开放到什么程度需要形成统一标准,重点做好1次数据的脱敏处理与隐私保障技术研发,重点开发利用新的技术,例如:通过利用区块链、多方安全技术等实现加密保护,或者通过规范开放数据应用接口,运用模型化数据和智能化服务数据提供数据共享开放服务;最后,在开放共享后,根据数据层次设计个人隐私的保护方法,严格限定此类涉公民个人隐私文件接触人员范围,根据不同层级、不同职责设定信息查阅权限。
3.3.2数据应用与服务阶段主要依靠算法问责
在个人隐私保护的第二阶段,应当在数据应用与服务的阶段,明确2次模型化数据和3次智能化数据使用范畴。根据保密和应用需求开放不用层次的数据,将二次、三次数据以及人工智能化数据纳入保护范畴,扩展隐私保护在人工智能时代新的范畴;允许此类数据应用和服务于群体性现象以及社会舆情分析,减少对个人对象的分析。由于模型化数据与人工智能化数据产生于算法,而算法收集到的个人數据无法在公开透明的情况下了解原始数据的使用过程与处理方式,也无法通过层次数据的方法对个人隐私数据进行模糊脱敏处理。因此,本文认为可以通过“算法问责”控制新技术对隐私的侵袭。传统的决策问责遵循“谁决策谁负责”“谁主管谁负责”,大数据算法决策是机器做出的决策,也要从“谁设计谁负责”和“谁主管谁负责”的原则出发追责。从算法层面进行问责主要是针对利用和设计算法的情报人员,由于算法是由团队进行编码、评审和测试的,开发人员在创建算法时就能决定最终用户将在决策中扮演的角色,因此,对算法开发人员的监管比算法本身更重要。针对这一特点,第一,在数据处理者层面开展算法审计,审查发现编码为优先级、排名、排序和分类算法的标准,寻找它们在某种程度上被引导或产生偏见的程度;第二,要求算法研发人员必须留存在开发和训练过程中做出的决策的文档;第三,在数据应用者层面,可以通过揭示算法的产生背景,探究算法设计的目的和假设,也可以考察包括技术团队之外的利益相关者以及与算法开发相关的文档数据集,帮助数据被侵犯者提供问责渠道[22]。
4结语
本文在总结近年来国内外关于数据共享开发与隐私保护的研究现状与不足的基础上,创新性地从数据资源所有者、应用开发者与服务提供者等多元视角阐述不同层次数据可能存在的隐私泄露的风险和隐患。针对这些问题,提出利用“层次数据”“算法问责”的新思路,帮助数据资源所有者、应用开发者与服务提供者从数据开放共享的两个阶段规划隐私保护路径。“层次数据”明确了针对0次数据、1次数据在数据开放共享前中后的标准与技术保障规则,“算法问责”针对数据应用与服务阶段产生的2次数据与3次数据有针对性地设计了新的保护思路。未来将继续将层次数据中2次、3次等过程数据的处理标准规范、权责范围、权益保障,以及相应的算法审计与问责具体实施办法等作为平衡数据共享开放与个人隐私保护关系的研究重点。