电子政务个人信息保护对策建议范文

【摘要】当前大数据环境下，政务领域个人信息保护是国家和社会关注的焦点问题，解决好该问题对于促进电子政务建设快速发展、保障公民合法权利具有重要意义。本文首先界定了国内外个人信息的范畴，从法律法规、标准规范、监管机制、数据主体等多个方面，分析我国政府在应对个人信息保护中存在的管理问题，并提出相应的对策建议。

【关键词】电子政务；个人信息保护；政府治理；数据安全

1引言

当前，国家大力推进政务信息整合共享和政务数据公开等工作，政务部门因其履职的需要，会处理大量的包括个人信息在内的政务数据。随着大数据和云计算时代的到来，数据安全风险越发突出，加强电子政务领域个人信息保护研究刻不容缓。个人信息作为政务服务开展依托的关键基础数据，属于政务数据的组成部分。近两年，国家陆续了一些关于个人信息安全的法律规范，并明确提出“个人信息”的概念。2017年6月1日起正式实施的《网络安全法》指出“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。按照国家标准《信息安全技术个人信息安全规范》的定义，个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息。相对于《网络安全法》的概念，将能“反映自然人活动情况的信息”也纳入了个人信息的范畴。因此判断是否为个人信息的核心标准为，“单独或结合识别自然人身份或活动情况的信息”。同时《信息安全技术个人信息安全规范》中提出个人敏感信息，是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

2政务数据保护面临的问题

2.1政务数据处理

政务部门为履行其职能，会以一定形式按需处理大量的政务数据，政务数据处理主要包括收集、存储和使用等环节。政务数据收集层面。目前政务数据收集呈现出新的特点：收集领域广泛，面对民政婚姻、车辆管理、税收管理、社会保障等不同领域的公共服务，政府的管理逐渐趋于专业化，涉及收集政务数据的领域越来越广泛；收集手段多样，随着计算机技术的运用，收集政务数据的方法更加便捷，逐渐由传统的以纸质为载体的政务数据演化为以电子存储介质为载体的电子政务数据；收集范围扩展，收集的范围从静态的识别性信息扩展到包括生活各方面动态的活动信息。政务数据收集的新特点也为政府管理带来新的挑战：一是如何避免过度收集，部分政务部门可能因业务理解的偏差或主观需要，收集了大量与本部门业务无关的数据。二是如何保护数据主体的权益。如政务部门在收集个人信息时，出于权利惯性，会忽略数据主体的知情权。政务数据存储层面。在政府数据储存层面主要面临两个方面的挑战。一是内部人员恶意泄露。尽管我国相关法律对政府工作人员保守执业秘密均有规定，但政府工作人员出售、非法提供个人信息给无权获取者的现象日趋严重。二是数据库运营商主动出错或有严重系统漏洞。数据库存在安全隐患，可能将大量隐私数据公开在网上或轻易可被访客查询，因此政务部门应谨慎选择数据库运营商，同时在上线前做好系统测试工作。政务数据共享层面。国务院正部署加快推进部门和地方政务资源整合共享，打破“信息孤岛”和“数据烟囱”。政务资源整合共享对政府管理提出了新的挑战：一是政务部门安全管理不善。数据共享双方都需要对数据进行妥善保管，但往往存在数据持有者安全意识不足、安全管理制度的缺失或执行不严等问题。二是“木桶效应”监管不力。在数据共享场景下，数据流转从部门内延伸到部门间，数据防护的安全级别取决于参与共享的各政务部门中最低的数据安全防护级别，因此在政务数据共享时，应严格控制共享各方的数据安全防护级别。三是缺乏统一评估依据。由于政务数据的隐私程度、被泄露后所造成的损害程度等存在一定的差异性，因此需对数据安全级别制定统一的评估依据，并明确可共享的数据边界，以免保护不够致使数据泄露，过度保护影响数据共享和使用效能的发挥。四是共享责任边界无法有效界定。一方面明确数据共享过程中，数据的所有权、控制权、使用权等权属问题。另一方面明晰数据共享各方（数据提供方、数据需求方、平台服务方）的安全责任边界，以便在数据安全事件中快速明确各方责任。五是数据共享过程缺乏监管机制，难以支撑不同责任部门的监管需求。首先，数据共享平台的主管部门和各类资源提供方需要监测政务数据的流转情况，以确保数据合规、合法共享和使用。其次，在政务数据分布式存储和大量汇聚的情况下，需检查数据的敏感程度甚至是涉密程度，确保资源共享符合保密管理规定。政务信息公开层面。相较于政务数据共享，政务信息公开较早就开始逐步规范和推进，如2008年5月正式开始施行《政府信息公开条例》，但目前仍存在着个人隐私信息公开的问题，例如个人电话号码、住址、身份证号等信息，以“公示”的方式，出现在政务部门官方网站上，可任意下载获取。目前政务网站公开相关信息仍处于摸索阶段，政务信息公开尚处于仅仅满足及时公开和必须公开的要求，在管理上仍然是“粗放型”，暴露出个人隐私保护意识不够、审查机制脱节等问题，导致虽尽到公开义务，但最终损害政府信用。因此如何在个人信息保护和政务信息公开中取得平衡，划定信息公开的边界，是各级政务部门目前需要关注的问题。

2.2政务大数据安全

目前电子政务正朝着云模式、大数据等方向发展，其中政务大数据是将各级政务部门管辖的数据资源汇集起来，实现政务数据的互联互通，并对大量的多源异构数据融合进行综合分析、挖掘，从而帮助政府将现有的数据资源进行转化并创造出价值，有效提升政府管理。随着国家大数据发展战略的不断深入，政务大数据不断地被增值利用，它的价值不再单纯来源于它的基本用途，更多的在于它的二次开发，因此政务大数据应用面临的安全风险也日益突出，主要表现在以下几个方面。一是数据安全保护难度增加。政务大数据蕴含着海量数据和潜在价值，使其更容易成为网络攻击的目标，因分布式的系统部署、复杂的数据应用和众多的用户访问，数据的采集、传输、存储、处理、交换、销毁等生命周期阶段都可能受到攻击，使得政务大数据在保密性、完整性、可用性等方面面临更大的挑战。二是数据的真实性保障困难。政务数据可能来源于不可信的数据来源，甚至有些攻击者会故意伪造政务数据，企图误导数据分析结果，因此数据真实性保障面临的挑战更加严峻。但由于采集终端性能限制、鉴别技术不足、来源种类繁杂等，对所有数据进行真实性验证存在很大的困难。三是个人信息泄露风险加剧。随着数据挖掘、机器学习、人工智能等技术的研究和应用，在对政务大数据中多源数据进行综合分析时，可通过关联分析挖掘出更多的个人信息，从而进一步加剧了个人信息泄露的风险。四是数据主体权益缺乏保障。在大数据应用流通过程中，会出现数据拥有者与管理者不同、数据所有权和使用权分离的情况，即数据会脱离数据所有者的控制而存在。从而，数据的实际控制者可以不受数据所有者的约束而自由地处理这些数据，这将严重损害数据所有者的权益。政务大数据的安全风险也为政府管理带来了新的挑战。近期，中央领导、国家发展改革委等部委领导高度关注大数据安全，强调要加强大数据的安全管理，加强个人敏感信息的保护。在政务大数据的场景下，针对性地采取技术措施可有效降低政务数据的安全风险，但仍需管理措施弥补技术的不足。当前的大数据应用场景中，存在数据产权不清晰的情况，如大数据挖掘分析者对原始数据集处理后，会产生新的数据，这些数据的所有权到底属于原始数据所有方，还是挖掘分析者，因此针对此类权属不清的数据，首要解决的是数据归谁所有、谁能授权等问题，才能明确数据能用来干什么、不能用来干什么，以及后续决定采取的安全技术手段，尤其是当数据中含有个人信息的时候。另外，针对个人信息应明确其的访问权限，及可访问的数量，避免大数据技术下的二次侵害。

3电子政务领域个人信息保护建议

3.1强化法律体系的建设

在政务数据方面，目前国家正积极推动政务数据的利用，涉及政务数据的采集、存储、使用等环节，各环节下政务数据的保护主体、责任、原则、重点内容等都需要法律支撑，因此制定《政务数据保护法案》，对电子政务和社会信息化的建设都有重要意义。在个人信息保护方面，我国已颁发了《中华人民共和国个人信息保护法案（草稿）》，但因在具体的领域中个人信息保护面临的具体问题不同，被侵害的风险、方式及需采取的保护强度和方式各不相同，因此，涉及不同领域的个人信息保护的法规规章对于构成我国完整的个人信息保护法律法规体系是不可或缺的，如《电子政务领域个人信息保护法案》。

3.2完善标准规范的建设

目前各省陆续出台了一些政务数据管理办法，但各省具体的管理细则各不相同，缺少顶层的政务数据管理规定，因此应尽快制定全国统一的政务数据管理法则，界定政务数据的概念和范围，确立政务数据的处理规则，明确政务数据相关主体所享有的权利、所应当履行的义务，制定严格的违法处罚与责任追究机制。其次在此基础之上，根据各省政务数据保护的实际需求，由相关政府部门针对本省制定或修订具体的政务数据保护管理办法。同样，关于推进政务数据分类分级的研究，也应制定全国统一的分类分级标准供各省政府机构参考，并基于实际情况对本省标准进行制定或修订，尤其是对个人信息的级别及防护措施进行详细说明。在政务大数据管理方面，相比较于西方发达国家开放政府的实践，我国尚未建立健全的政务大数据开放与共享机制，尚不能满足公共管理与公共服务的现实需求。因此如何赋权政务采集哪些数据，赋权政府部门留存管理、处理、利用哪些数据，如何明确数据相关各方的权责以及赋权政务部门如何处理公众的个人信息等，都需要标准规范的支撑。另外，政府应要求各级政务部门完善本部门个人信息管理政策和规章制度，加强和规范个人信息管理，做好或授权有关单位做好个人信息分类分级工作，推动本部门个人信息依规有序开放共享。

3.3建立完善的监管机制

政务数据的防护能力与政府的关注力度和执行力度息息相关，以英国政府为例，英国政府不仅成立了信息经济委员会来促进英国数据战略的制定，还分别成立了专门的机构来研究数据开放、个人信息保护等方面。目前国内已积极推动政务数据共享、开放等，但仍存在机构单独发力的问题，不能有效支撑国内数据战略的研究，因此国内也应成立专门的政务数据管理机构，监管各级政府机构政务数据管理工作，尤其对其中涉及个人信息的部分重点防护。同时，各级政府机构也可按需成立其政务数据保护机构，并设立管理政务数据保护工作的岗位，管理政务数据保护相关业务，并定期组织开展个人信息保护工作的评价考核。同时，管理机构应建立覆盖事前、事中、事后的监管机制。一是政务数据管理机构应加强事前审批监管。政务部门应尽可能针对不同政务活动中的可以处理的政务数据的类型、数量等做出详细规定，重点对其中可能涉及的个人信息进行事项审批，防止不必要的处理行为。二是政务数据管理机构要事中定期进行检查，对政务数据的处理行为进行动态监测，并建立日常监管备案制度，记录每次监管结果，为后续的监管和违规惩罚奠定基础。建立政务数据服务安全风险预警机制，监管部门应该根据日常巡查情况，定期政务数据服务安全风险预警。三是政务数据管理机构应定期对政务数据安全事件进行演练预警，保证政务数据安全事后及时响应。制定数据安全事件应急预案、应急处置策略和规程，对安全事件内容进行审计，同时对个人信息安全事件内容进行记录。另外，对有关危害政务数据的违法行为，要依据相关法律法规进行严肃惩处，切实发挥相关法律法规的威慑惩戒作用。同时，建立政务数据泄露溯源机制，当发生政务数据遭非法泄露侵害的行为后，能及时找到非法泄露源，从源头上制止政务数据侵害行为的发生。此外，政府还应设立相应的举报投诉机制，鼓励支持社会公众对侵害个人信息的不法行为进行举报投诉，以帮助政府部门及时查处相关违法行为，提升政府部门的监管效果。同时，应对政务业务系统提供商进行严格审查，保障业务系统的安全性和稳定性。

3.4保护数据主体的权益

在个人信息保护方面，个人信息主体是个人信息保护最直接的关系人。应保护个人信息主体在信息处理各环节的权利，如知情同意权等。目前，我国在部分法律内已明确提出“知情同意”原则，但相对比较抽象。某些政务部门在为公众提供政务服务时，其承担的政务事项可能较多，涉及多个个人信息项，但在要求公众提供个人信息时，只会向公众列出一些条款告知收集个人信息的行为，选择通常为“同意或不同意”，而不同意则意味着无法获取服务，并不会根据不同的政务事项拆分个人信息项，更精准地向客户提供满足其特定需求的、有更好体验的服务。因此政务部门应当根据用户的实际需要，提供更加细化的选择，让用户根据其需求程度以及某项服务的实际需要来提供不同内容的个人信息，从而实现最低程度的个人信息的收集和使用，即要赋予用户更多的个人信息的控制权。另外，当用户个人信息泄露后，政府机构应及时通知用户，避免用户受到二次安全威胁。同时，政务部门有责任普及个人信息保护知识，面向不同的社会群体，采取多样化的宣传教育手段，提升政务人员/公众数据保护意识和自我防范意识及能力。

参考文献：

[1]全国信息安全标准化技术委员会.大数据安全标准化白皮书（2018）[R].北京，2018.

[2]胡忠惠.大数据时代政府对个人信息的保护问题[J].理论探索，2015（02）:103~107.

作者：杨绍亮 陈月华 陈发强 单位：国家信息中心