郑磊 | 政府在数据治理中的两种角色：政策的制定者和数据的使用者_风闻

作为政策制定和监管者的政府

政府在数据治理的过程中，同时扮演着两种角色。第一种角色是数据政策的制定者和监管者。在这一角色中，政府将数据视为治理的对象，对数据在社会中的流动制定政策并进行监管，对企业、个人和政府自身等各种社会主体对信息的采集、利用、共享、开放与保护制定规则与条件，为数字时代构建法治基础。制定《个人信息保护法（草案）》（以下简称《草案》）对组织和个人处理自然人个人信息的活动进行规范，对应的正是政府的这一角色。

按照学者 Galvin 的信息政策分类法，有三种与信息相关的基本权利：获取权、所有权和隐私权。其中，信息的获取权是指接受与发布信息的权利，保障这一权利有利于信息的广泛传播和利用，有助于推动社会进步，使人类受益。信息的所有权是指主体通过知识产权等形式所实现的拥有信息的权力。这一权利认可了信息的创造者有掌控其创新性成果，并从中取得经济回报的权利。隐私权是指个人有限制他人获取有关其个人的、可识别信息的权利，这赋予了个人有权为自己决定何时、如何以及以何种程度传播其自身信息的权利。

无论是信息的获取权、所有权还是隐私权都不是绝对的、不受限制的权利。政策制定者需要在不同的利益之间寻求平衡或达成妥协（如图1）。学者Rowlands 认为，大多数情况下，最广泛、最大限度地获取和发布信息被认为是件好事，但在某些情况下，毫无限制地允许信息流通会带来许多实际问题，比如对国家安全的威胁、对个人隐私的伤害、对公司商业地位的不利影响等等。因此他认为对于获取信息的自由需要施加一定的限制。他指出，制定信息政策是一门妥协的艺术，没有标准的、唯一的答案，既不存在绝对好的信息政策，也不存在绝对坏的政策，而是需要在不同的利益之间达成有效的平衡。

举一个例子，记得我在美国写博士论文期间，需要对政府工作人员进行访谈。按照相应的学术伦理规范，任何一项学术研究一旦需要采集有关个人的数据，就必须先通过学校内部的学术伦理审查。在这个审查过程中，我需要详细说明准备如何采集、使用和保护这些个人数据的方法和过程，以避免对被采集个体造成伤害。在通过伦理审查前，我不可以启动访谈计划，不能正式开题，更不可能通过答辩。但如果我的研究对象不需要采集个人的数据，就不需要经过学术伦理审查。这就是在获取数据开展学术研究和保护被访谈人个人信息之间达成的一种平衡。

需要强调的是，即使是已经建立起来的平衡也不是静态的、一成不变的，而是动态的、不断变化着的，与其所处的外部环境相适应。近年来，数字技术的迅猛发展不断对数据立法提出了新的挑战。每一轮技术进步都可能打破业已达成的平衡，数据政策的制定者必须与时俱进，不断地更新和调整政策，并加强采用技术手段进行监管的能力，以达成新的平衡，适应时代的发展需要。

作为数据使用者的政府

政府在数据治理中的角色和职责不仅仅是制定法规政策，政府还有第二种角色，即数据的采集者、生成者、使用者和保管者。也就是说，政府自身也是数据的用户，也要受到政府自己制定的法规政策的约束，政府采集和利用个人信息的权力也不是一种绝对的、不受约束的权力。

在这一角色中，政府将数据视为其实现治理目标的工具，对其生成和采集的数据进行利用，同时也要管理和保护好这些数据，把握好“有用”和“管护”这两个相辅相成的原则之间的平衡(如图 2)。一方面，作为一种生产要素和战略资源，政府需要把数据利用好，用于推动其治理目标的实现，并向社会开放政府数据以释放政府数据的社会经济价值。另一方面，作为社会托付给政府的一项责任，政府也需要保护好其采集和储存的数据，防止数据泄漏或被滥用。也就是说，作为数据的用户这一角色，政府既要把数据用好，也能把数据管好。

《草案》对于国家机关处理个人信息的情形作出了特别规定，明确指出国家机关处理个人信息的活动适用本法，国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行，不得超出履行法定职责所必需的范围和限度，正是对应了政府作为数据的用户这一角色。

在这次新冠疫情期间，很多地方政府不仅发布了反映一个地方疫情整体情况的统计数据，还发布了有关病例个体的信息，例如性别、年龄、居住区域、行程轨迹、就诊医院等，以保障公众对于疫情发展情况的充分知情；但同时，在发布这类信息时也需要对能识别到病人个人身份的信息进行脱敏处理，不能让公众锁定到具体的个人，进而引发针对个人的歧视，最终在公众的知情权和病人的隐私权之间达成一种平衡。然而，有些地方政府在防控疫情的过程中泄漏了病人及其密切接触者的个人信息，如姓名、身份证号码、电话号码或私家车牌照（如图 3）等信息，在利用数据的同时造成了“数据事故”，给当事人带来了不必要的伤害，影响了其正常的生活和工作。

图源：Axel Bueckert/EyeEm/Getty Images/EyeEm

还有些地方政府试图将疫情防控期间采集的数据超出其原有的使用限度和边界，用于其它的场景和目的。例如，有些地方政府曾准备将健康码升级为“渐变码”或拓展为“文明码”，结果引起了社会公众的普遍忧虑和担心，体现了社会公众希望政府在利用数据进行疫情防控的同时，也能保护好公民个人信息的要求，也反映出不少政府部门和工作人员在利用数据履行行政职责的过程中，对于保护公民个人信息的意识淡漠、意愿不强、能力不足。

“可以大规模地、持续地在公共场所获得一个人的照片，而且不需要经过当事人的同意，甚至在当事人不知情的情况下就能获得数据。这种能力，历史上任何力量都未曾具备过。”一方面，这种力量可能让我们的社会变得更安全，但另一方面也可能让我们失去人的隐私和尊严。因此，在赋予政府部门和工作人员强大的数据采集和利用能力的同时，也应该要求其承担起应有的保护数据的责任，不能只一味强调数据“赋能”，而忽视数据“赋责”。

作为数据的用户这一角色，政府在迅速推进数字化转型的过程中，需要充分考虑到技术的利弊两面，把握好数字赋能与人本价值之间的关系。技术上所可能的，不一定就是管理上可行的，也不一定就是社会公众可接受的。政府部门在利用数据时不能只考虑“能不能”的问题，还要考虑“好不好”和“可不可以”的问题。既善于用数据，更要用数据为善，严格规范政府自身对公民个人信息的采集和利用行为，在采集和利用个人信息时，不能忘记数据采集的对象是一个个活生生的人。让人是成为自己，而不是达到其它目的的工具。各地的政府大数据中心应以人为中心，把人视为数据服务的对象，而不是以数据为中心，把人仅仅视为数据采集的来源。

党的十九届四中全会报告指出要“建立健全运用互联网、大数据、人工智能等技术手段进行行政管理的制度规则”，“依法保护个人信息”。十九届五中全会报告又再次强调要“加强个人信息保护”。政府部门在采集和利用个人数据的过程中要保障公众的知情权和同意权，保障公众有不被暗中“算计”和“贴标签”的权力，防止公民的个人信息被泄露、滥用或过度使用，把握好数据利用的边界和尺度，守住法治底线。在技术、管理、法律、伦理四个维度的平衡与取舍中，提升人民在数字时代的获得感、幸福感和安全感，让数据用于造福人民，而不是伤害人民。

如何在利用数据的同时，不伤害到个体，把握好两者之间的火候，这是一门艺术。温度太低，数据会过于冰冷无法产生能量，但如果温度过高，又可能烫伤人。作为数据的用户，政府需要把数据的温度调节到多高才是刚刚好呢？我认为应该是37°C，因为这是“人的温度”，是以人为中心的温度，能让人感到舒适与安全的温度。