2016年4月,经国务院批准,国务院办公厅转发了国家发展改革委等10部门《推进“互联网+政务服务”开展信息惠民试点实施方案》(国办发〔2016〕23号,简称《方案》)并向社会公布。《方案》提出,要建立跨部门、跨区域、跨行业的电子证照和政务信息资源共享开放机制,通过开展信息惠民服务,加快推进“互联网+政务服务”。这标志着我国的电子政务开始由分散建设向共享融合和业务协同转型。《方案》出台的主要目标就是通过统一的公民身份证号码,构建电子证照库,对接教育服务、医疗卫生、社会保险、社会福利、社会救助、住房公积金、劳动就业、婚姻登记、殡葬服务、住房保障、公共安全等民生服务领域的政务信息共享和开放,实现“一号申请、一窗受理、一网通办”的政务服务。与以往主要局限于单一政府部门内部的电子化公共服务项目建设不同,本次信息惠民试点工作的重点就是要打破部门边界,推动原本分散保存在不同政府部门的涉及公众办事的各类信息资源(其中必然包含大量的公民个人信息)的有效共享,从而实现《方案》所设定的“打破信息孤岛,变‘群众跑腿’为‘信息跑路’,变‘群众来回跑’为‘部门协同办’,变被动服务为主动服务”的政策目标。政府部门之间有关公民个人信息的共享,对于简化群众办事环节、提升政府行政效能、畅通政务服务渠道无疑具有重要作用,但同时也对公民个人隐私的保护提出了新的要求。在《方案》第五部分“保障措施”里,专门提到了要“采取必要的管理和技术手段,切实保护国家信息安全及公民个人隐私”。因此,本文就如何在推进“互联网+政务服务”实施工作中加强个人隐私保护进行初步的探讨,并提出一些个人的建议。
要有针对性地加强个人隐私保护,首先应弄清我国政府在推进“互联网+政务服务”过程中个人隐私保护面临的风险。这些风险具体表现在以下方面:
第一,个人信息大规模共享增加了个人隐私泄露的风险。《方案》所要解决的核心问题是通过打通政府部门之间的数据壁垒,让政府各部门、各层级的数据信息互联互通和充分共享,从而真正实现基于互联网的一站式政务服务。在这一过程中,政府内部广泛的信息共享,无疑对解决在政府信息化过程中困扰我国多年的“信息孤岛”“数据烟囱”等问题具有十分重要的意义。但另一方面,这些共享的信息主要用于为公众提供各种与个人直接相关的政务服务,这就意味着在政府内部共享的这些信息不可避免地会包含大量的与公民个人隐私相关的内容。这种大规模的个人信息共享会从两个方面增加个人隐私泄露的风险。首先,扩大的个人隐私信息使用范围会增大个人隐私泄露的几率。原本只在一个政府部门内部使用的个人信息,现在被扩大到在不同政府部门甚至不同层级的政府之间进行共享使用,这无疑加大了个人隐私信息控制的难度,增大了个人隐私信息被泄露的风险。其次,在大数据分析技术被越来越广泛使用的背景下,原本碎片化和孤立的个人隐私信息,通过大规模的数据共享和大数据分析,能够使这些个人隐私信息的价值大大增加,这无疑对期望精准了解和预测用户个人行为的商家具有极大诱惑力,在无法通过正常渠道获取这些信息的情况下,有些商家就会想方设法通过各种非法手段(例如黑客窃取或者买通政府内部工作人员私下交易等)获取,从而增加了这些掌握在政府部门手中的公民个人隐私信息被泄露的风险。
第二,当前个人信息保护立法不完善所造成的个人隐私保护力度不足的风险。从世界各国的实践经验来看,法律法规是进行个人信息保护最根本也是最重要的手段。由于受管理体制、文化传统、经济发展水平等诸多因素的影响,我国个人信息保护法律体系的建设比较滞后。我国现行的有关个人信息保护的法律条文在数量上并不少,但这些有关个人信息保护的条款分散在诸多法律文件中,且存在着法律层级不高、法律条款分散、权责不明等问题,难以在个人隐私保护的实践中发挥有效的保障作用。具体而言,我国缺少一部总体性的个人信息保护法律,从而使得个人信息的界定、个人信息保护所应遵循的基本原则、个人信息保护义务主体所应承担的具体义务、相关权利主体所应享有的具体权利以及相关的法律责任等根本性问题没有得到明确。此外,现有的法律规定过于原则和笼统,有的甚至十分简略,在实践中缺乏可操作性,远远无法应对政府数据共享背景下个人隐私信息保护的复杂情形。再者,现有的法律法规体系缺少对不同领域的个人信息保护的专门性立法或者规定。随着大数据时代的来临,数据的挖掘分析已经广泛渗透到人类生活的各个方面,例如医疗卫生、教育、商业消费、金融等都是当前大数据应用的重点领域,同时这些也都是“互联网+政务服务”主要涉及的领域。而在不同领域,个人信息保护面临的问题不尽相同,我们很难用一部立法去解决不同细分领域的个性化问题。因此,针对不同领域个人信息保护的专门性立法的缺失,也是构成我国当前信息化发展过程中个人隐私保护力度不足的重要因素。
第三,当前政府部门个人信息保护制度不完善所造成的个人隐私保护不规范的风险。笔者曾经对我国部分城市政府网站有关隐私保护政策的制定情况进行了调查研究,结果表明,大多数城市在政府网站建设过程中,隐私保护观念比较淡薄,隐私保护政策制定得比较简略,有些城市政府的官方网站甚至没有制定相关的隐私保护政策。政府网站作为政府信息化建设的重要服务平台和成果展示窗口,其建设水平在很大程度上反映了我国政府信息化建设的发展理念和发展程度。因此,通过对我国政府网站隐私保护政策现状的考察可以看出,我国政府部门在信息化建设过程中个人隐私保护意识亟需加强,相关个人信息保护制度也亟待完善。而且,在政府提供电子化公共服务的过程中,由于个人信息保护制度的缺失所带来的隐患已经在现实生活中得以显现。根据《经济参考报》2015年4月22日的报道,我国社保系统已经成为个人信息泄露“重灾区”,数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。(参见:杨烨. 数千万社保用户信息或遭泄露. http://jjckb.xinhuanet.com/2015-04/22/content_545353.htm)同样还是在社保服务领域,据2011年《羊城晚报》的一篇报道,记者根据市民提供的报料信息,登录了广东省社会保险基金管理局的官方网站,并在首页中间的“全省个人养老信息查询”框中任意输入一名参保人的身份证号,就可以进入登录界面。点击IE浏览器的“查看”选项,再选择“查看源代码”,在弹出的TXT文档中,一些隐藏的个人信息出现了,包括姓名、性别、单位、个人社保编号及缴费状态等。借助上述个人信息,在参保人未在该网站注册的情况下,其他用户可以轻松地代他完成注册登录,从而查询到个人养老保险的各项信息,包括个人基本信息、登记职工联系方式、养老缴费历史等。这一重大的安全管理漏洞,使得参保人员的个人隐私信息面临着很高的泄露风险。(参见:许琛. 广东社保网泄漏个人隐私 社保账户有被盗风险. http://news.qq.com/a/20111222/000419.htm。)这些事例都还只是在传统单一政府部门提供的电子化公共服务中出现的,在推进“互联网+政务服务”建设的过程中,由于政府部门间信息的共享,能够接触、掌握公民个人隐私信息的部门和人员都会大大增加,在这种情形下,如果政府部门缺少个人信息保护的制度规范,那公民的个人隐私保护将面临更高的风险。
针对上述个人隐私保护面临风险的分析,笔者就如何加强个人隐私保护提出如下建议:
第一,提升政府部门的个人隐私保护意识。意识作为一种主观性的因素,它对于个人信息保护的技术、法律、规章制度等客观手段的作用发挥具有重要的影响。如果主观意识缺乏,一方面会造成在制定有关个人隐私保护的法律法规、制度规范时产生疏漏,另一方面也会使得现有的技术、法律、制度等个人隐私保护措施在执行过程中产生执行力弱化的问题。因此,要解决我国政府在推进“互联网+政务服务”过程中的个人隐私保护问题,首先就是要促进政府部门个人隐私保护意识的提升。只有把加强个人隐私保护放到和推进“一号一窗一网”的新型政务服务同等重要的高度来加以认识,才能使“互联网+政务服务”在保障公民合法权益的前提下真正实现信息惠民的目标。
第二,完善相关的个人信息保护立法。首先,尽快制定一部全国统一的个人信息保护法,界定个人信息的概念和范围,确立个人信息的使用规则,明确个人信息权利主体所享有的权利、相关义务主体所应当履行的义务,确立严格的违法处罚与责任追究机制等。其次,在制定统一的个人信息保护法的基础之上,根据新技术环境下个人信息保护的现实需要,由相关政府部门针对不同的领域制定具体的有关个人信息保护的部门规章,以应对不同领域个人隐私信息保护的独特需求。
第三,加强政府部门内部有关个人隐私保护的制度规范建设。首先,应根据本部门提供的具体公共服务的特点,制定相应的公民隐私权保护政策,对于本部门在提供公共服务的过程中涉及到的公民个人隐私信息的收集、传输、保存和使用等环节做出规范要求。其次,对于“互联网+政务服务”过程中涉及到跨部门信息共享的,要制定有关跨部门个人隐私信息共享和流转的操作规范和保护政策,明确有权接触个人隐私信息的相关工作人员的隐私保护义务,以及违反个人隐私保护规定所应承担的责任。
(王少辉,博士,武汉大学政治与公共管理学院副教授)
