政府开放数据和个人隐私保护：加拿大的例证（三）.pdf

政府开放数据和个人隐私保护：政府开放数据和个人隐私保护：加拿大的例证加拿大的例证（（三三）） 政府开放数据和个人隐私保护政府开放数据和个人隐私保护：：加拿大的例证加拿大的例证 （（三三）） 2018年 08月 31 日 （二）政府开放数据的类型 依据开放数据的程度从低到高可将开放数据分为三种的类型：一是获取限制性公开，指数 据可向特定的群体开放并用于特定目的。通过限制性公开，数据只向申请公开的个人或组 织开放，而当开放的风险较高时政府可拒绝公开；[16]二是使用限制性公开，依据《开放数 据授权许可》限制数据的再使用，《授权许可》并不赋予公众使用个人数据的权力并要求 数据的再使用者不可重新识别已被匿名化后的个人数据。由于使用匿名化的技术并不能确 保数据是完全安全的，所以匿名化后的数据在一些情况下也受制于授权许可体制而非完全 开放；三是完全开放，数据不受任何限制完全向公众开放。 （三）政府数据开放的影响因素 在明确不同隐私风险的数据类别和政府开放数据的类型后，需思索的问题是决定政府数据 是否开放及开放程度的因素是什么？加拿大政府认为数据的完全开放或限制性开放并没有 统一的标准，应进行个案评估。Narayanan 认为任何一个数据集的公开都有自身复杂的风 [17] ⑭ 险、成本和收益间的权衡。 据前文提及，本文将影响因素分为两类， 一是权衡开放数 据中以透明性为核心的确切目标，二是权衡隐私利益。前者权衡的内容参考R. v. Oakes 的四步测试，后者权衡的是基于 PIA的隐私风险、风险造成的损害和风险所覆盖的人群。 开放数据的透明性和个人隐私平衡的分析框架如图1 所示。 ⑮ 如图 1 所示，在大数据背景下，将原始数据公开而不进行任何限制是不切实际的；计算 机科学家指出假名化后的数据是隐私泄露风险较低的个人数据，虽然难识别出确切的个体， 但其并非是一种万无一失的完全安全措施。[18]严格意义上说，仅仅用一个独特的标识符来 代替个人信息远远不能达到数据匿名化或是个人隐私保护的要求，2006 年 AOL 数据泄露事 ⑯ 件就是一个个人数据被假名化而又被重新识别的典型例子。 由此一般意义而言，假名化 的数据也应被视为广义上的个人数据；理论上，匿名化后的数据不再是个人数据，不受数 据保护法和隐私影响评估准则的限制，可完全公开不受限制（图 1中用虚线表示）。但此 处需注意三点：一是匿名化后的数据比起原始个人数据或假名化后的数据对数据再使用者 的吸引力降低，由此当选取匿名化的技术和考虑应用背景时，需慎重评估数据被再识别的 风险、信息的敏感程度、数据公开的目的等；二是匿名化的数据由于不受隐私影响评估的 限制，个人对其数据所拥有的权利减少，个人的隐私利益难以得到保障，且大数据时代匿 名化的数据依旧存在被再识别的风险；三是伴随着私人部门掌握者越来越多数据，这种数 据被再识别的风险的预测和评估难度将逐步提升。准确来说，实践中不可逆转的匿名化是 极其困难和极不可能的。由此匿名化后的数据通常为获取限制性公开或使用限制性公开的 数据。理论而言，对于不包含个人数据的数据集可列为开放数据，不予限制。 平衡开放数据和隐私利益需基于个案分析，遵循 R.v. Oakes的四步测试程序即在权衡数 据开放的目标时需考虑开放数据最初追求的目标是什么，以这种形式公开的数据能在多大 程度上实现目标，能否以侵犯隐私程度较低的方式实现同样的目标，权衡个人隐私利益和 其他利益时，可基于 PIA的十大准则分析个人数据生命周期内的隐私风险及影响程度。在 恐怖袭击行为猖獗的当下，基于公共安全的考量，政府大多都偏好通过最大限度收集个人 信息来追查恐怖分子行踪，制定反恐政策。不能否认在很多情况下公共安全价值会超越个 人隐私利益，但基于公共安全的考量也应与其他目标相平衡并遵循比例原则，不可偏离公 共安全的目标而去搜集其他不必要的个人信息。由于不同国家的法律体系和国情不一，目 标权重、信息可及的权利和政府机构的自由裁量权均存在差别。加拿大政府和司法机关均 认为在权衡政府开