鄭磊 | 政府在數據治理中的兩種角色：政策的制定者和數據的使用者_風聞

作為政策制定和監管者的政府

政府在數據治理的過程中，同時扮演着兩種角色。第一種角色是數據政策的制定者和監管者。在這一角色中，政府將數據視為治理的對象，對數據在社會中的流動制定政策並進行監管，對企業、個人和政府自身等各種社會主體對信息的採集、利用、共享、開放與保護制定規則與條件，為數字時代構建法治基礎。制定《個人信息保護法（草案）》（以下簡稱《草案》）對組織和個人處理自然人個人信息的活動進行規範，對應的正是政府的這一角色。

按照學者 Galvin 的信息政策分類法，有三種與信息相關的基本權利：獲取權、所有權和隱私權。其中，信息的獲取權是指接受與發佈信息的權利，保障這一權利有利於信息的廣泛傳播和利用，有助於推動社會進步，使人類受益。信息的所有權是指主體通過知識產權等形式所實現的擁有信息的權力。這一權利認可了信息的創造者有掌控其創新性成果，並從中取得經濟回報的權利。隱私權是指個人有限制他人獲取有關其個人的、可識別信息的權利，這賦予了個人有權為自己決定何時、如何以及以何種程度傳播其自身信息的權利。

無論是信息的獲取權、所有權還是隱私權都不是絕對的、不受限制的權利。政策制定者需要在不同的利益之間尋求平衡或達成妥協（如圖1）。學者Rowlands 認為，大多數情況下，最廣泛、最大限度地獲取和發佈信息被認為是件好事，但在某些情況下，毫無限制地允許信息流通會帶來許多實際問題，比如對國家安全的威脅、對個人隱私的傷害、對公司商業地位的不利影響等等。因此他認為對於獲取信息的自由需要施加一定的限制。他指出，制定信息政策是一門妥協的藝術，沒有標準的、唯一的答案，既不存在絕對好的信息政策，也不存在絕對壞的政策，而是需要在不同的利益之間達成有效的平衡。

舉一個例子，記得我在美國寫博士論文期間，需要對政府工作人員進行訪談。按照相應的學術倫理規範，任何一項學術研究一旦需要採集有關個人的數據，就必須先通過學校內部的學術倫理審查。在這個審查過程中，我需要詳細説明準備如何採集、使用和保護這些個人數據的方法和過程，以避免對被採集個體造成傷害。在通過倫理審查前，我不可以啓動訪談計劃，不能正式開題，更不可能通過答辯。但如果我的研究對象不需要採集個人的數據，就不需要經過學術倫理審查。這就是在獲取數據開展學術研究和保護被訪談人個人信息之間達成的一種平衡。

需要強調的是，即使是已經建立起來的平衡也不是靜態的、一成不變的，而是動態的、不斷變化着的，與其所處的外部環境相適應。近年來，數字技術的迅猛發展不斷對數據立法提出了新的挑戰。每一輪技術進步都可能打破業已達成的平衡，數據政策的制定者必須與時俱進，不斷地更新和調整政策，並加強採用技術手段進行監管的能力，以達成新的平衡，適應時代的發展需要。

作為數據使用者的政府

政府在數據治理中的角色和職責不僅僅是制定法規政策，政府還有第二種角色，即數據的採集者、生成者、使用者和保管者。也就是説，政府自身也是數據的用户，也要受到政府自己制定的法規政策的約束，政府採集和利用個人信息的權力也不是一種絕對的、不受約束的權力。

在這一角色中，政府將數據視為其實現治理目標的工具，對其生成和採集的數據進行利用，同時也要管理和保護好這些數據，把握好“有用”和“管護”這兩個相輔相成的原則之間的平衡(如圖 2)。一方面，作為一種生產要素和戰略資源，政府需要把數據利用好，用於推動其治理目標的實現，並向社會開放政府數據以釋放政府數據的社會經濟價值。另一方面，作為社會託付給政府的一項責任，政府也需要保護好其採集和儲存的數據，防止數據泄漏或被濫用。也就是説，作為數據的用户這一角色，政府既要把數據用好，也能把數據管好。

《草案》對於國家機關處理個人信息的情形作出了特別規定，明確指出國家機關處理個人信息的活動適用本法，國家機關為履行法定職責處理個人信息，應當依照法律、行政法規規定的權限、程序進行，不得超出履行法定職責所必需的範圍和限度，正是對應了政府作為數據的用户這一角色。

在這次新冠疫情期間，很多地方政府不僅發佈了反映一個地方疫情整體情況的統計數據，還發布了有關病例個體的信息，例如性別、年齡、居住區域、行程軌跡、就診醫院等，以保障公眾對於疫情發展情況的充分知情；但同時，在發佈這類信息時也需要對能識別到病人個人身份的信息進行脱敏處理，不能讓公眾鎖定到具體的個人，進而引發針對個人的歧視，最終在公眾的知情權和病人的隱私權之間達成一種平衡。然而，有些地方政府在防控疫情的過程中泄漏了病人及其密切接觸者的個人信息，如姓名、身份證號碼、電話號碼或私家車牌照（如圖 3）等信息，在利用數據的同時造成了“數據事故”，給當事人帶來了不必要的傷害，影響了其正常的生活和工作。

圖源：Axel Bueckert/EyeEm/Getty Images/EyeEm

還有些地方政府試圖將疫情防控期間採集的數據超出其原有的使用限度和邊界，用於其它的場景和目的。例如，有些地方政府曾準備將健康碼升級為“漸變碼”或拓展為“文明碼”，結果引起了社會公眾的普遍憂慮和擔心，體現了社會公眾希望政府在利用數據進行疫情防控的同時，也能保護好公民個人信息的要求，也反映出不少政府部門和工作人員在利用數據履行行政職責的過程中，對於保護公民個人信息的意識淡漠、意願不強、能力不足。

“可以大規模地、持續地在公共場所獲得一個人的照片，而且不需要經過當事人的同意，甚至在當事人不知情的情況下就能獲得數據。這種能力，歷史上任何力量都未曾具備過。”一方面，這種力量可能讓我們的社會變得更安全，但另一方面也可能讓我們失去人的隱私和尊嚴。因此，在賦予政府部門和工作人員強大的數據採集和利用能力的同時，也應該要求其承擔起應有的保護數據的責任，不能只一味強調數據“賦能”，而忽視數據“賦責”。

作為數據的用户這一角色，政府在迅速推進數字化轉型的過程中，需要充分考慮到技術的利弊兩面，把握好數字賦能與人本價值之間的關係。技術上所可能的，不一定就是管理上可行的，也不一定就是社會公眾可接受的。政府部門在利用數據時不能只考慮“能不能”的問題，還要考慮“好不好”和“可不可以”的問題。既善於用數據，更要用數據為善，嚴格規範政府自身對公民個人信息的採集和利用行為，在採集和利用個人信息時，不能忘記數據採集的對象是一個個活生生的人。讓人是成為自己，而不是達到其它目的的工具。各地的政府大數據中心應以人為中心，把人視為數據服務的對象，而不是以數據為中心，把人僅僅視為數據採集的來源。

黨的十九屆四中全會報告指出要“建立健全運用互聯網、大數據、人工智能等技術手段進行行政管理的制度規則”，“依法保護個人信息”。十九屆五中全會報告又再次強調要“加強個人信息保護”。政府部門在採集和利用個人數據的過程中要保障公眾的知情權和同意權，保障公眾有不被暗中“算計”和“貼標籤”的權力，防止公民的個人信息被泄露、濫用或過度使用，把握好數據利用的邊界和尺度，守住法治底線。在技術、管理、法律、倫理四個維度的平衡與取捨中，提升人民在數字時代的獲得感、幸福感和安全感，讓數據用於造福人民，而不是傷害人民。

如何在利用數據的同時，不傷害到個體，把握好兩者之間的火候，這是一門藝術。温度太低，數據會過於冰冷無法產生能量，但如果温度過高，又可能燙傷人。作為數據的用户，政府需要把數據的温度調節到多高才是剛剛好呢？我認為應該是37°C，因為這是“人的温度”，是以人為中心的温度，能讓人感到舒適與安全的温度。