9月初,澳大利亚政府发布了《数据共享与公开立法改革讨论文件》(Data Sharing and Release Legislative Reforms Discussion Paper),其中提出了新的公共部门数据共享机制。近年来,澳大利亚政府致力于推动数据立法改革,主要涉及两个层面:一是消费者数据权利(consumer data right),旨在赋予消费者对其个人数据的广泛控制,例如银行账号,以此推动开放银行体系建设;二是数据共享和公开立法,旨在将公共部门数据(public sector data)的使用、分享机制现代化,即针对政府持有的数据,建立以原则为基础的共享与公开制度,确保可以适应技术和法律环境的变化。在政府部门之间更好地分享、利用公共数据,能够支撑智能高效的服务,给政府服务的获取方创造出无缝衔接的用户体验;研究机构也可以利用公共数据开发针对公共问题的解决方案、评估政府政策或项目的效果等。总之,公共部门数据共享不仅能最大限度地减少个人数据重复收集,而且在优化用户体验、降低数据泄露风险、提高研究的精确度和质量、提升政府管理和服务水平等方面具有重要作用。

新的政策文件摒弃了以往的二分法,将公共部门数据(即政府在履行不同职能的过程中收集、获取、持有的数据)分为三类:封闭的数据(closed data),只有政府部门内部有权限访问,此类秘密的、不能披露的数据将以负面清单的方式出现,作为共享与公开的例外;共享的数据(shared data),出于正当的理由可以向适当的主体分享;开放的数据(open data),社会公众可以自由访问。数据共享与公开立法聚焦于后两类,在保障隐私、安全等价值追求的前提下,最大程度地促进政府数据的共享与公开,实现更好的服务提供、研究、公共行政、政策和项目等目的。新的政策文件的核心内容主要体现在以下三个方面:

第一,新的数据共享框架。按此,英联邦政府机构和公司,即数据保管者(data custodian),在采取适当的保障措施的前提下,可以出于正当的事由分享公共部门数据。需要满足以下三个条件:其一,目的测试,即必须出于政府政策和项目的开展、政府服务的提供、研究和发展等公共利益目的。例如,分享数据是为了评估政府政策和项目,以便发现需要改进的地方或避免意外的后果。当出于公共利益目的时,私营部门也可以获得政府数据。开放数据则必须向全社会公开,任何人可以出于任何目的使用之,包括商业性使用,例如用来开发创新性的产品和服务。其二,保障措施,即必须采取保障措施来从整体上削减或避免数据分享可能带来的风险。数据保管者需要遵循数据共享的五大原则:数据共享是为了适当的工程或项目,只能向获得授权的使用者分享数据,分享数据的环境避免未经授权使用或披露数据的风险,针对数据采取适当的保护措施,产出适合进一步共享或公开(即确保不能识别出特定个人)。其他保障措施包括隐私影响评估(PIA)等。但分享政府持有的个人数据不需要取得个人的同意。其三,数据共享协议,即应当签订数据共享协议,说明分享目的、风险控制、责任承担等必要事项。签订数据共享协议是数据保管者共享公共部门数据的必要条件。此外,当数据分享是出于授权的目的且采取了适当的保障措施时,数据秘密和不披露的条款可以被推翻,这将更进一步地压缩既有的秘密和不披露法规的适用范围,最大程度地促进数据共享。

第二,透明和责任机制。新的政策文件提出了三个透明机制:数据共享协议的公开登记,数据共享协议至少包括分享了哪些数据,数据分享的理由和方式,以及谁可以访问数据等;认证的数据服务提供者(Accredited Data Service Providers)和认证的使用者(AccreditedUsers)的公开登记;国家数据专员(National Data Commissioner,NDC)的年度报告,对数据共享机制的有效性进行评估。责任方面,对于未经授权分享、公开、使用数据,未能采取保持措施,提供虚假、误导性信息,违反认证条件、制定的规则和NDC的指令等违法行为,NDC有权作出处罚。

图: 来源:网络

第三,监管机制。新的政策文件提出了“认证+执法”这一双重监督机制。NDC作为公共部门数据共享与公开的新设监管机构,享有众多的监管权限,包括:对使用者和数据服务提供者进行认证;处理投诉;监测合规情况,包括发起评估、调查;认定违法并作出处罚。认证分为两类:一是对数据使用者(包括个人和组织)的认证;二是对数据服务提供者的认证。NDC基于保护、管理和使用数据的技能和能力,隐私标准,数据管理和使用的有效机制等三项标准,对数据使用者和数据服务提供者进行认证,或者撤销、修改认证。认证机制的价值在于:数据保管者只能同获得了认证的使用者分享数据;数据保管者可以通过获得了认证的数据服务提供者来进行数据共享与公开,但高风险的数据整合项目则必须通过获得了认证的数据服务提供者。

澳大利亚政府预计将于2020年初发布立法草案,包括数据共享与公开法案、敏感数据规则、认证标准规则、解释性材料等,并将于2020年中提交澳大利亚议会审议。整体而言,澳大利亚政府此次发布的政策文件提出的数据共享框架的核心是,特定目的的数据共享不需要获得个人的同意,而是以数据管理、使用者的保护义务代替数据主体的许可。公共部门数据由于涉及众多的个人信息,数据共享涉及到第三方对个人信息的获取和使用,从隐私和数据保护的角度理应征得个人的同意。但在澳大利亚政府看来,如果一律要求同意,数据就只能在征得个人的同意时才能分享,这将导致数据出现偏差,不利于实现公共利益范围内的很多重大目的,也可能导致有瑕疵的政策和研究,进而给社会造成负面影响。其背后的逻辑是,隐私和个人信息保护并非绝对的权利,在特定情况下个人的同意需要让位于社会公共利益,而公共部门数据的共享正是为了服务于社会公共利益目的。

图: 来源:网络

其实正如在欧盟的GDPR中,同意并非个人信息处理的唯一正当基础一样,政府数据的共享也需要多元化的机制。惟其如此,才能确保数字政府的有效建设和创新发展,才能最大程度地发挥出政府数据的价值,服务于经济、社会、环境的可持续健康发展。整体而言,澳大利亚政府此次提出的数据共享与公开的框架值得借鉴。

声明:本文来自腾讯研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。