政府开放数据和个人隐私保护：加拿大的例证（二）.pdf

政府开放数据和个人隐私保护：政府开放数据和个人隐私保护：加拿大的例证加拿大的例证（（二二）） 政府开放数据和个人隐私保护政府开放数据和个人隐私保护：：加拿大的例证加拿大的例证 （（二二）） 2018年 08月 31 日 二、二、政府数据开放中的隐私影响评估和风险识别政府数据开放中的隐私影响评估和风险识别 二二、、政府数据开放中的隐私影响评估和风险识别政府数据开放中的隐私影响评估和风险识别 美国学者威廉姆斯和汉斯最早在《风险管理与保险》中将风险管理定义为通过对风险的识 别、衡量和控制而以最小的成本使风险损失降到最低程度的管理方法。[12]相应的，政府数 据开放中隐私风险管理是指通过识别和评估数据开放中个人隐私泄露的风险，采用合理的 技术和方法防控风险，从而以最小的成本使个人隐私泄露风险所致损失减至最低程度。在 大数据时代，主动的数据开放使得任何人在任何地方以任何目的都可自由使用和分享数据。 较于一般的信息公开，开放数据面临的不确定性和风险将前所未有地攀升。如何有效展开 政府开放数据中的隐私风险管理？隐私影响评估（PIA）便是被加拿大政府运用于监测、 描述和量化隐私风险的政策工具。 （一）隐私影响评估（PIA）的运行逻辑与流程框架 2002年，加拿大联邦政府颁布了隐私影响评估政策，用于识别和评估联邦政府提供服务中 潜在的个人隐私泄露风险，致力于消除隐私风险或将风险降低至可接受水平。[13]2010 年， 联邦财政委员会（TBS）发布《隐私影响评估指令》，指导联邦机构展开隐私影响评估， 判断其所提供的服务是否涉及收集、使用和公开个人信息，是否遵守相关的法律、政策、 指南和最佳实践，并要求其形成 PIA 报告并提交至 TBS 和隐私专员署（OPC）。[14]2011 年， OPC 发布《向隐私专员署提交隐私影响评估报告的指南》，专门用于指导各部门撰写和提 交 PIA报告。 依据加拿大现有 PIA的指令、指导和其他相关政策，当政府展开的项目或提供的服务中涉 及个人信息的使用并可能产生隐私风险时，政府需展开个人隐私影响评估。依据《向隐私 专员署提交隐私影响评估报告的指南》、《隐私影响评估报告指令》等政策文件，加拿大 PIA 个人隐私影响评估基本流程为：（1）识别所有与政府项目或服务相关的个人信息；检 视信息被收集、使用和公开的方式；（2）参照 R. V. Oakes 的四步测试法⑥判断政府收集、 使用和公开个人信息的行政行为是否存在必要性（Necessity）、有效性 （Effectiveness）、符合比例原则（Proportionality）和不可替代性（No Alternative）。强调政府收集、使用和公开个人信息行为的正当性，尤其是运用最小侵 犯个人隐私的方式来满足行政目标的实现；（3）参照加拿大标准委员会制定的国际公认 的个人信息保护十大准则框架展开隐私风险评估，以确保政府手中已拥有的个人信息的安 全性和隐私性；（4）形成含个人信息来源和去向路径图的 PIA报告、识别隐私风险的量 化水平；（5）寻求消除隐私风险或将风险降至可接受水平的方式，制定行动计划和明确 负责人，公开 PIA 报告摘要。 加拿大 PIA政策的主要不足之处有三点：一是 PIA政策只要求联邦政府机构公开 PIA 报告 摘要而非全文，而摘要内容更像是向公众汇报政策执行的效果而非全面回应公众隐私关切 的实质性内容；二是较少展开公众磋商、民意测试或其他评估加拿大公众隐私价值的方式； 三是 PIA 的政策执行机制有待考究，潜在的缓解风险措施的执行效果具有不确定性，且目 前并未形成 PIA政策执行的汇报机制。 （二）隐私影响评估（PIA）准则与风险识别 联邦政府将隐私影评估的指令用于指导和规范政府行政过程中对个人信息的收集、使用和 公开，却并未强制性要求所有的政府机构需展开隐私影响评估。指令属于政策性文件，类 似中国的规范性文件，并未授予政府机构新的权力或具有法律强制性。尽管如此，PIA依 旧被视为有效的隐私风险减缓工具。PIA政策工具中对个人信息保护有十大准则，包含问 ⑦ 责性、目标识别、同意、限制收集等。 在政府开放数据中，PIA 通常有两种运用方式： 一是将其用于评估某个开放数据项目的总体隐私影响，识别可能产生的隐私风险以及提出 应对风险的战略；二是用于与公开特定的数据集相关的决策过程。具体而言，将