王锡锌,法学博士,北京大学法学院教授

       摘要: 政务数据汇集既是数字政府建设的基础,也存在一定的法律风险,从数字政府与法治政府深度融合的要求出发,有必要厘清其法律风险并予以控制。基于数据提供机关与数据利用机关间的不同法律关系,可将政务数据汇集活动归纳为三种模式:以业务协同关系为基础的模块式汇集、以资源互助关系为基础的旋涡式汇集及以统筹指挥关系为基础的枢纽式汇集。根据数据汇集行为的类型化,可进一步分析政务数据汇集的法律风险:一是将权责法定异化为“权责数定”的越权风险;二是数据汇集诱发权力失控所带来的数据滥用风险;三是整合个人信息、妨碍公民人格自由发展的过度监控风险;四是责任归属模糊化、滋生“数字避责”的风险。控制这些风险,需遵循法治价值系统的指引,面向政务数据汇集的运作逻辑,对行政法治的控制技术进行转型升级。一方面,应建立数据汇集活动的合法性评价机制,确保采集的必要性、共享的必需性和程序的正当性,促进数据共享架构与法定职权配置之间的契合;另一方面,应完善行政内部监督机制和归责机制,同时为数据主体提供有效救济途径。

  一、政务数据汇集及其风险认知的必要性

  在国家治理中,面对空间、人口的巨大规模和事务的复杂性,政府治理始终面临“能力赤字”挑战。相应地,补强治理能力的渴望构成行政权力运作及转型的重要指引。当新的技术出现时,通过“技术赋能”便成为补强治理能力的重要选项。当下,在新一轮技术革命风起云涌的背景下,将数字技术引入政府治理,成为治理变革的一个潮流。我国的数字政府建设就是这种技术赋能逻辑的实践展开。

  在数字政府建设中,政务数据汇集是一项基础工程。当下,“一网通办”“多码协同”“跨省通办”等政务数据共享实践层出迭生,《全国一体化政务大数据体系建设指南》明确强调,通过全国一体化的数据共享架构规制社会风险、提升公共服务质量。在数字行政背景下,机构之间的数据传输不再是个别、零散、偶尔为之的互动,而是呈现为大规模、持续化、自动化的数据共享集聚样态。基于大数据的政治与经济效益,各类数据资源的汇聚成为“数字赋能”乃至“数据赋财”的基础性要素,一个个大型的专门数据库与信息共享平台逐步建立,且具有实时更新、持续扩容的能力,不断将汇集后的大数据转化为治理绩效与财政资源。

  政务数据汇集(aggregation),指各行政机关或部门将其收集的数据在不同行政机关之间传递、移转、汇集,使数据资源从分到合,构成整体性的政务数据。对此,一些政策性文件使用的概念是“共享”;我国《个人信息保护法》使用的概念是“传输”和“提供”;国外一些法律文件使用的概念是“转移”(transfer)。本文主要采用“汇集”这一概念,目的在于突出这种传递、移转背后从分散化到整体化的结果特征。在具体阐述中,出于行文方便和讨论语境的考虑,不与其他近似概念作严格区分。此外,本文不区分“政务数据”和“政务信息”两个概念,亦不区分“个人数据”与“个人信息”子概念。

  数据的汇集、共享和应用在对行政权进行赋能的同时,也塑造了日益庞大的数字技术系统。数据汇集活动虽然打破了数据孤岛,但也带来了数字化权力在不同机构间的复制、延伸和重组,改变了行政权运行的逻辑,很可能导致大数据的无节制使用乃至滥用。对此,已经有一些研究关注到了政务数据汇集的法律风险,对政务数据共享表达了担忧。不过,既有讨论仍存在一定的不足:第一,研究的精细化程度不够,往往将政务数据汇集活动作为一个宽泛的研究对象进行讨论,没有结合不同的组织法构造进行精准的类型化分析。第二,研究的全面性不够,主要关注政务数据汇集中的部分个人信息保护问题,对数据汇集活动带来的权责法定、权责一致等行政法问题缺乏关注。第三,分析框架的体系化不够,缺乏概念清晰、结构完整、体系融贯的法治分析框架,无法针对当下复杂的数据汇集实践制定有效的风险规制方案。

  本文尝试为政务数据汇集活动的风险控制和法治约束提供一个规范性、整体性的分析框架。首先,从数据提供机关与数据利用机关的法律关系出发,对政务数据汇集的基本类型和实践特征进行梳理。其次,在类型化基础上,分析政务数据汇集活动的法律风险,总结政务数据汇集给行政法治带来的现实挑战。最后,针对数据汇集活动的风险,进一步探讨相应的风险控制方案。

  二、政务数据汇集的主要场景及模式

  促进政务数据汇集活动的规范化和法治化,首先要厘清一个关键性问题:政务数据汇集的权力基础到底是什么?相较于单个机关自行处理数据的行为,政务数据汇集行为具备多主体、交互性的特征。参与数据汇集的机关之间的法律关系不同,对应的职权依据和基础也存在差异。基于数据汇集的行政权基础,可以将政务数据汇集活动分为三种模式:一是“模块式”汇集,即多个行政机关基于任务履行上的相通性,在业务协同过程中展开数据汇集;二是“旋涡式”汇集,即在特定管理目标的驱动下,职能上并不交叉的多个行政机关围绕某项数据整合需求而进行数据资源的汇集,汇集后的大数据成为数据利用机关履职的资源;三是“枢纽式”汇集,即基于组织法上的层级关系,上级机关可以调整、分配下级机关数据资源的流向与利用,尤其是通过特定的指挥枢纽机构来控制前两种汇集模式的具体运作。以下分别对不同模式数据汇集的运行逻辑及实践样态进行简要分析。

  (一)基于业务协同关系的模块式汇集

  随着社会生活的复杂化,在特定行政任务的驱动下,由多个行政机关参与、由多个分阶段行为组合而成的行政活动流程,已是现代行政的常态。这种多阶段的流程内含业务合作、权力制约、效果承接等行政协作关系。然而,组织的分散化设置在一定程度上导致了公共管理的碎片化、管辖权的叠床架屋和部门中心主义,削弱了公共部门的协同联动能力。当下“整体政府”建设的核心理念便在于:面向特定的行政任务和现实治理需求,对分散于不同部门和行政组织的职权进行统合,形成业务协作模块,使相关组织的政策产出保持一致。在这一过程中,政务数据汇集成为推动部门协作的关键因素。任务相通、职权关联的行政机关依照特定管理流程彼此协力、先后参与行政任务,各组织便可被视为一个整体性、一体化的模块的组成部分,此种场景下组织之间的数据传输便属于模块式汇集。此时,提供机关的数据处理活动与利用机关的数据处理活动具有高度的职责关联性,数据汇集可有效消除提供机关与利用机关间信息不对称、零散化等困境。

  公共服务一体化改革是政务数据模块式汇集的典型场景。以解决问题为出发点,将政府组织的重点放在解决问题上,而不是划清部门分工上,必然要求以行政任务为导向的业务归口、职能整合与数据汇集。例如,在福利行政领域,以公众需求而非政府管理为中心的理念越发凸显,组织间数据流通模式亦发生变革。福利行政覆盖生活的方方面面,具有广泛性和复杂性。几乎所有社会保障项目都需要运用自然人个人信息,如项目开始时需要大量信息作为启动基础,项目运行中也要对个人信息进行整理分析。不过,同一社会保障事项往往涉及多个机关的权责,这可能带来组织分散化引发的分割、隔离和烦琐问题。又如,退休待遇的认定可能涉及疾病情况、工伤认定、户籍身份等方面的行政专业判断,保障性住房的审批涉及房管、民政、工会等多个部门。在传统业务工作流程下,公共服务部门各自的信息系统既不兼容,也不共享,申请人针对同一事项,往往需要请求不同机关进行调查核实、开具证明,这不仅低效,而且容易诱发不同机关间相互抵触的风险。

  鉴于此,福利行政的一体化目标需要以机关间职能整合与数据汇集为手段。通过数据汇集和分析可以更精准地测算申请人的基本情况,帮助相关的行政机关作出更客观、理性的行政决定。在比较法上,德国《社会法典》(Das Sozialgesetzbuch)第十编第69条针对关联行政机关之间共同协力、先后阶段完成社会行政任务过程中的信息共享行为,进行了宽泛的授权。其背后的原理在于:虽然这些行政机关彼此之间不具有隶属关系,但其履行的社会任务具有相通性,相互之间的信息联通有助于提升公共服务质量、节约行政成本。因此,应当将履行社会行政任务的不同机关作为一个整体来看待,消除因为组织的零散化引发的信息碎片化。某一社会行政机关依照其法定职责收集储存的信息,若有助于其他行政机关的社会保障任务之达成,则不妨将信息收集与后续信息共享理解为整体目的之下而进行的处理活动,进而可避免个人信息保护法中目的限定原则的限制。从历史上看,20世纪80年代,德国联邦宪法法院曾提出“信息分立”的要求,强调政府不是由一个统一的“信息单位”而是由不同的部门组成的,应当强调信息权力划分的重要性,要求各个部门只能在自身权责范围内,基于特定的目的处理信息,从而约束政府的信息权力。但随着公共服务一体化与数字化进程的推进,“信息分立”不再是形式化地强调部门间的信息流通约束,而是允许跨部门、跨地域的行政机关基于相同的行政任务进行组织模块内的信息共享,以提高行政效率。

  类似地,在风险规制领域也出现了模块式汇集的现象。在风险社会中,政府面临对“整体性风险”进行规制的任务。传统的行政管理以各职能部门为中心,官员倾向于在各自管辖范围内处理问题,很难以整体视角解决易于诱发连锁反应的风险,在治理方法上缺乏系统性和全局性。以零散的行政机关应对越发复杂的风险治理需求,必然造成越来越多的管理缝隙被忽略或者无法被填充,形成“有组织的不负责任”。这对行政系统的协调性、灵活性提出了更高要求。风险行政法涉及复杂的事实和利益关系网络,相关行政决定必然需要具备“跨部门协作”和“综合”的特性。以重大风险设施选址为例,行政任务的履行是以选址为中心的规划、建设、运营、维护、监督等环节构成的过程,这可能涉及规划、土地管理、环保、电力多个部门的审批与监管,需要各部门协同作出综合性的决策,由此也形成了相应的行为流程与数据汇集。

  (二)基于资源共享目标的旋涡式汇集

  “行政一体”本身就蕴含了相互协助的理念。为了提升整体的行政效能,不同行政机关之间在必要的范围内共享资源,这符合效能原则。在数字化时代,政务数据越来越被认为是一种行政资源,而数据资源的非竞争性和非排他性,使不同行政机关可重复利用同一数据集。这一过程可以在整体上节约行政活动的数据收集成本。在此意义上,即便数据提供机关与数据利用机关并不存在直接的业务协同关系,基于行政资源共享和效率考量,也存在打破组织间数据壁垒的驱动。在行政实践中,这种汇集往往受到以实现特定管理目标为中心的任务驱动,将所有的相关数据尽可能汇集,以实现数字赋能目标。在这种数据汇集模式中,不同组织围绕作为中心的特定行政任务而“旋转”,不同组织的数据在模块式汇集基础上,可能出现跨模块传输,以服务于中心任务。相比于临时性、一事一议的行政协助场景中的信息分享,当下的旋涡式数据汇集呈现出整体化、日常化、规模化的数据传输样态。

  例如,在大数据警务中,为了获取关于涉嫌从事非法活动的特定个人信息,警务部门被授权从税收、福利、市场监管等不同部门的数据库中调取数据,并对汇集后的数据进行分析挖掘,得到精准的个人画像,以提升执法的回应性。类似地,社会信用监管以公民个人身份证号码和组织机构代码为单元,建立统一的社会信用代码和数字化信用档案,通过数据汇集来降低监管者与被监管者之间的信息不对称性,提高风险规制效率。除此之外,通过在不同数据库之间建立自动比对程序,社会管控也变得更加精确与高效。一旦管制对象在某项行政活动中登记了其信息,自动比对程序便可以进行相应的风险提示与预警。在欧盟,《关于在边境和签证领域建立欧盟信息系统之间互操作性框架的条例》授权签证、旅游管理、犯罪记录等不同数据库之间可进行数据比对,并设置了搜索门户、生物识别信息比对服务等互操作性组件。在欧盟立法者看来,即便不同数据库设置的最初目标并不相同,但基于识别特定管制对象的需要,可以打破数据库之间的壁垒,实现数据库之间的互联互通。

  又如,在行政许可领域,为了减轻相对人的负担、避免重复收集数据,很多职能上不存在交叉的行政机关之间也被明确要求进行数据传输。此类资源互助行为将原本散置于各处之政务数据迅速复制、移转、利用,提高了行政效率,同时减少了相对人数据提供之负担。我国很多的地方实践中,“一网统管”“最多跑一次”的管理和服务模式都隐含了政务数据汇集。以“一网通办”中的“无人秒批”系统为例,系统实现秒批的关键就是数据联通,可联通所有相关数据库,进行数据自动比对。各个部门虽然法定职责并不相通,但是仍通过数据汇集的方式进行协作。国外也存在此种数据汇集的趋势,例如,日本于2019年出台的《数字公共管理促进法》第2条第2项规定:“对于私营企业经营者和其他人员向行政机关等提供的信息,应通过相互合作,利用信息系统共享,不需要申请者提供与上述信息内容相同的信息。”

  (三)基于“统筹—指挥”关系的枢纽式汇集

  在前述两种汇集模式中,数据提供机关与利用机关之间并不存在层级隶属关系,政务数据汇集的目的是使数据利用机关更好地对外进行管理。然而,为了进行行政组织系统内部的管理和监督,实现行政内部系统的整体性和一贯性,也出现了政务数据汇集驱动力。这种情形下的政务数据汇集依赖于特定的指挥枢纽而展开,可称之为“枢纽式汇集”。

  一方面,基于行政上下级之间的层级关系,上级机关可以要求下级机关向其提供数据,以便于上级机关的决策、指挥和监督。此时,上级机关直接对下级机关享有“数据汇集请求权”,下级机关则负有数据提供义务。例如,为了监督下级交通管理部门,上级交通管理部门可要求其实时或定期提供数据。又如,新冠疫情期间多个地方实现了“县—市—省”三级数据汇集,上级政府分析数据后进行指挥和监督。另一方面,对于上级机关下辖的多个下级机关,上级机关可以设定下级机关之间数据汇集和利用的权利义务关系。此时,上级机关享有“数据汇集形成权”。如果数据提供机关基于部门利益、安全隐患、无明确法律依据等考量拒绝向其他部门提供数据,上级机关可以通过命令、绩效考核、问责等方式进行督促。如果提供机关与利用机关对数据汇集的范围、方式、频率、技术标准等事项产生争议,上级机关可享有裁决权。

  这种政务数据的枢纽式汇集,正成为各国关注的数字政府建设的“基础设施”。包括我国在内的很多国家都建立了专门负责政务数据治理的组织或机制,如数据局、大数据中心等,由这些组织作为权威的专责机构主导建立数据汇集技术标准,依法在政务平台上汇集、加工、管理各个渠道的政务数据。这些组织被赋予数据汇集事项上的考核权、裁决权,成为上级机关行使数据汇集指挥权的重要组织工具。在我国,各地区均在探索政务数据管理模式,建设政务数据平台,统一归集、统一治理辖区内的政务数据。通过政务数据枢纽式汇集,可以更好地实现政务数据“模块式汇集”“旋涡式汇集”的目标。就“模块式汇集”而言,通过“一网统管”的枢纽平台,在整合各业务关联部门数据基础上,上级机关可更好地确定处理跨部门复杂事件的负责部门(主办机关与协办机关),构建相应的操作流程,并发出处置指令。例如,针对群租房内食品经营的联合整治行动通常涉及城管、公安、市场监管、住建、市容绿化、卫生等多个专业职能部门的共同参与,以及街道、社区等基层工作队伍的配合,由“一网统管”在实时数据监测的基础上进行指挥和监督,有利于优化整体的流程衔接和部门协同。对“旋涡式汇集”而言,一些地方的“城市大脑”指挥中心要求各职能部门把数据接入指挥中心的信息共享平台,在此基础上,指挥中心对城市治理各方面大数据进行归集和整合,以特定的管理对象为中心建立相应的应用场景。例如,针对精神病患者底数难摸清、动态管理难、出事预警难等问题,一些地方的城市大脑指挥中心汇集卫健委、残联、民政、医保等部门的数据,形成个人画像后向警务部门发送预警信息,促进警务部门合理分配警务资源,排除安全隐患。当前,我国数字政府建设将政务大数据平台的建设作为重要任务,政务数据枢纽式汇集已成为数字政府建设中的一个基本趋势。

  三、政务数据汇集的法律风险

  政务数据汇集以及在此基础上的数字化行政,将对行政带来巨大的“数字赋能”效应。但我们也应当充分意识到,作为一种新技术驱动下的行政活动,政务数据汇集对行政法治原则及其要求也带来了很多挑战,隐含着不可忽视的法律风险。这些风险主要表现在以下四个方面:首先,政务数据汇集可能会削弱组织法上的权责法定原则,对行政活动权限合法性与行政内部权责配置框架产生冲击,引发“权责数定”的越权风险;其次,数据汇集可放大行政组织的权力,导致行政权与相对人权利之间的关系进一步失衡,放大权力滥用风险;再次,数据汇集过程中,原本分散化的个人信息被整合与集中,可能加剧隐私风险以及过度监控风险;最后,不同部门的数据汇集,可能导致行政活动的责任的模糊化,冲击原有的权责统一机制,甚至引发“数字避责”的风险。以下对上述问题进行简要分析。

  (一)越权风险:数据汇集可能冲击权责法定

  政务数据汇集对行政组织法上的权责法定原则带来了很大挑战,可能引发组织法上的越权风险。第一,组织超越管辖权获取数据的风险。依法行政原则首先强调的便是组织的权责法定,每一个职能部门享有特定的级别、地域、事务管辖权,组织的职权行使具有明确的边界。其中,“法定职责”既是对行政机关利用数据的授权,也是对行政机关如何收集和利用数据的法律控制。也就是说,行政机关只有基于“法定职责”,才能收集和利用数据。例如,《个人信息保护法》第34条规定:“国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。”一些地方性法规,如《浙江省公共数据条例》明确规定:“公共管理和服务机构收集数据应当遵循合法、正当、必要的原则,按照法定权限、范围、程序和标准规范收集。”然而,受技术赋能与绩效激励等因素驱动,政府部门对数据汇集的需求和冲动与日俱增,超越“履行法定职责所必需”这一正当、必要目的而进行数据收集和处理的行为并不少见。学术界也有观点认为,政务大数据的管理和运营本身,很难说存在什么特定的行政目的。为将来可能的行政目的服务,似乎成为数据汇集行为的目的;但如果对每一个具体的信息管理行为预先设定目的限制,这不仅不现实,也将阻碍数字技术扩展优势的发挥。此种理念在实务中更为常见。一些地方和部门推动政府数据“应归尽归”“全面归集”,不同部门对归集后的大数据享有几乎不受限制的访问权和调用权限。在“模块式汇集”的场景中,行政机关可能仅以业务协同与配合为由,就进行数据汇集;在“旋涡式汇集”场景中,行政机关可能基于宽泛的风险防范和增进服务质量等理由而进行数据汇集。这些做法在很大程度上超越了部门法定职责的边界,冲击了权责法定原则。

  第二,借由数据汇集,行政机关可能变相地越权作出决定。不同的行政机关有法定的事务管辖权,即便在行政协作关系中,也需要严格遵循权责法定原则。政务数据汇集不能改变行政管理权和管辖权配置。但在技术操作层面,由于数据汇集与算法行政往往是一体的,数据的提供事实上对算法决策产生影响,有时甚至是决定性的影响,这意味着数据提供机关对自动化决策拥有了事实上的决定权。例如,在以“健康码”为代表的“码治理”场景中,行政机关依靠算法技术对多方提供的数据进行处理,并将计算处理结果直接转化为行政决定,便存在这种越权决策的风险。具体而言,虽然基于《传染病防治法》第9条的规定,居民委员会、村民委员会等基层自治组织可参与疫情防控管理,并基于联防联控的任务要求提供数据,但它们并不享有行政强制措施的决定权。然而,在决策流程被算法高度控制的情况下,基层自治组织向疾控部门提供的数据,如个人行程轨迹、核酸检测、人员交互等信息,可成为影响算法决策的关键变量,直接影响到算法决策的结果。在这种情况下,居委会是否实际上拥有了在法律上并不享有的决定权,这在组织法上值得关注。

  同样,在纵向关系上,上级机关或政务数据治理机构也存在超越指挥监督权边界,过度干预乃至取代受指挥机关的决定权的法律风险。行政一体下的层级分工,意味着上级机关的指挥监督并不能替代法定部门作出决策,而应通过制定工作流程、发布一般性指示、绩效考核等方式优化职能部门的行政决定,需要保留一线职能部门进行个案考虑和能动权衡的空间。然而,实践中的数据汇集机制在一定程度上制约了一线行政人员的情景化操作,束缚了行政人员依照法定权责分配而进行自由裁量的能力。例如,在城市大脑运行中,受指挥机关可能需要严格按照指挥中心事先设定的流程、标准和操作时限完成执法数据的共享与汇集,但由于前者提供的数据与后者设定的职权行使流程等直接挂钩,后者对数据汇集的指令本质上就可能成为指挥前者的具体行为,这在很大程度上会限制甚至剥夺前者的裁量权。由此可见,政务数据治理机构越过原有组织流程中裁量基准、执法指导性文件而制定的流程,可能将职能部门的决策权转移到自身,可能带来“名实不符”“权责不对应”等问题。

  第三,就宏观层面的国家治理而言,数据汇集机制也可能对央地关系产生结构性影响。例如,美国学者罗伯特·米科斯(Robert A. Mikos)指出,州政府向联邦政府汇集数据,这对联邦与州的关系产生了很大冲击,带来了很高的政治成本。联邦政府借助数据汇集机制将原属于联邦政府的数据处理成本转嫁给地方政府,违背了原本的财政分权架构。同时,数据汇集机制实际上要求州变相地贯彻联邦的政策而非州的政策,这将冲击州的自主权,也可能导致问责对象的模糊化。而且,向联邦汇集数据超出了被收集信息的主体的预期。州根据自身的权限收集数据之后,超出原有目的向上汇集,将会削弱公民对州的信任。布里奇特·法黑(Bridget A. Fahey)指出,这种“数据联邦主义”(Data Federalism)理念下联邦与州政府之间的数据合作,面临法治与民主的双重拷问。州与联邦之间成立了大量协调机构以推进数据共享,但对这些机构的控制机制存在缺位;虽然数据本身是非竞争性的,但数据汇集制度存在一定的竞争性,将会与既有行政管理体系产生冲突,改变原有的权力配置关系。

  虽然我国并非联邦制国家,但是宪法上和政府治理实践中同样存在此种央地关系,故应当考虑数据汇集机制对原有央地权责分配结构的影响。目前,《全国一体化政务大数据体系建设指南》《关于开展垂管对接数据落地使用情况统计工作的通知》都要求地方在纵向层面积极与中央数据库对接,以促进央地的数据联通。应当注意的是,基于权责法定原理,在组织法框架没有改变的情况下,上级政府既不应将自身事权单方面交由下级,也不应对下级政府的法定事权进行上收。虽然,在我国的单一制结构中,下级政府受上级政府领导,负有执行上级政府决定的相应职责,但对属于本地方的行政事务,上级政府的领导主要应体现为基于法定方式的督导,避免以直接方式干预。需要指出的是,全国政务数据一体化建设,可能对此种“地方政府双重负责”的宪法机制造成冲击。

  (二)滥用风险:数据汇集可能导致行政权聚合

  作为治理技术的“大数据”和“算法”,对传统的行政权具有明显的赋能效应。数据聚合不仅增加了行政权可利用数据的“量”,也提升了数据的“质”。在此意义上,在行政系统内部进行规模化、日常化、系统化的政务数据汇集,使原本分散在各个部门的数据进入一个个“大数据池”,这将极大地放大行政权的效能,将放大原本存在的行政权—相对人权利之间的失衡,并诱发行政权滥用的风险。

  首先,数据汇集机制存在数据污染和数据操控风险。在数据汇集机制中,如果数据利用部门可访问、获取与其职责无关的数据,那么其对可能影响其利益的数据就存在篡改、操控的冲动。尤其是,在目前比较普遍的政务数据枢纽式汇集场景中,存在可以管理所有政务数据的大数据机构,数据操控的风险具有转化为现实危险的可能性。由单一机构对政府治理方方面面的聚合数据进行管控,将放大数据操控等滥用风险,甚至诱发数字行政的系统性风险。例如,在“郑州部分村镇银行储户被赋红码”事件中,疫情防控部门之所以能够对储户赋红码,正是因为与疫情防控事务无关的金融管理领域的储户信息被汇集并且被滥用。

  其次,数据汇集可诱发程序违法风险。政务数据汇集后形成政务大数据,行政部门对大数据进行深度挖掘,并可能针对特定当事人采取监管和处罚措施,但当事人对这一过程难以获得知情权、参与权、监督权,这可能对传统的行政程序机制造成巨大冲击。政务数据汇集将极大地扩展行政机关进行监控和管理的能力,甚至无须通过传统的调查、检查等程序即可以获取监管和执法所需要的信息。在这种情况下,传统行政程序针对行政调查所设计的制约机制,例如表明身份、说明理由、听取陈述、申辩等正当程序机制,在很大程度上被淡化甚至虚置。这意味着,在数字行政的场景中,将存在“数据专断”和“数据懒政”并存的双重风险。程序违法的风险与数据质量风险相叠加,将导致决策失误越发难以纠偏,大数据中潜藏的结构性偏见也将不断固化。

  最后,数据汇集将放大数据隐私和安全风险。这首先表现为数据库受外部攻击的风险。政务数据汇集形成的大数据,往往也是网络攻击的目标。数据量越大,数据内容越重要、越敏感,就越可能成为攻击目标。事实上,所有的数据库都面临着“防御—攻击”螺旋式的技术较量。尤其是,一旦含有巨量个人敏感数据的政务数据集被泄露,直接会被外部不法分子滥用,其波及的受害者可数以千万计,随之发生的身份盗窃与人身伤害等问题造成的严重影响不可估量,由此,人身安全和财产安全乃至国家安全等利益极易受到侵害或威胁。另外,安全风险也存在于行政系统内部,比如对数据库的违规访问、违法下载、传输、泄露等。在数字赋能驱动下,当下的社会治理越发重视全域数据乃至跨区域的智能化管理,强调积极预防潜在风险,这在一定程度上形成“先分析数据,再寻找治理需求与治理方案”的“目的—手段”倒置。在此背景下,对公务人员调取和访问数据的制度约束较为薄弱。宽泛的数据访问权很可能诱发未经许可分析、泄露数据等现象。例如,公共场所监控数据、明星隐私信息等数据时有泄露,反映出数据滥用和隐私风险。

  (三)过度监控风险:妨碍公民人格自由发展

  数据汇集与数据分析技术相结合,将显著增强国家对个人的监控能力,进而有助于国家治理能力的提升。在政务数据汇集机制的实践运作过程中,原本基于特定法定职责和处理目的而收集的、分散的个人信息被跨部门、跨层级传输,存储在不同行政机关的个人片段生活记录被集中起来加以辨识、分类与整合。例如,在福利行政中,基于模块式汇集形成的全国个人社会信息数据库与特定的算法相结合,可用于判断申请者后续的行为模式与领取福利的效益,从而促进合理给付。这种人格画像还可以进一步被运用于税务与警务领域,服务于对个人的精准管控。

  不过,应当特别注意的是,大数据技术同时也带来对社会和个人过度监控的风险,从而对公民的社会人格带来深远影响。传统的人格和隐私以私人生活安宁与自治为中心,强调“独处式”“排他式”“秘密式”的隐私观;但当代的信息隐私观越发重视隐私的社会关系网络,强调个人在数据流动中免于被操控、窥探、歧视,不因数据处理活动而导致其人格发展受阻碍。在数字化时代,应当重视人格的“社会属性”。社会人格不仅有利于个体人格发展,而且对构建社会信任、维系数字化时代公共讨论的质量和公共理性具有重要意义。

  如果缺乏有效的约束机制,数据整合和数据挖掘技术带来的行政赋能效应可能导致个人成为“透明人”,个人将不断丧失免于受到窥探、监控的防御能力。这种状态会进一步产生社会心理层面的焦虑,引发“寒蝉效应”或个人的“自我审查”机制,甚至导致技术与权力融合而形成数字压迫。事实上,正是基于类似的担忧,美国1974年《隐私权法》(Privacy Act)原则上禁止行政机关间共享个人信息。但即便在美国,受到技术赋能驱动,行政机关规避隐私权法的规定而不断扩大数据共享范围的现象越发普遍。

  尤其需要注意的是,随着大数据技术的迭代更新,即便对个人数据进行匿名化处理,也不意味着可以避免上述风险。只要匿名化的数据足够精细和全面,通过分析比对,数据利用机关还是可以通过一定的反向工程来识别特定个人。对此,日本《个人信息保护法》第38条专门规定,行政机关对匿名信息的处理不得以识别此人身份为目的,也不得将匿名信息与其他信息进行比较。即便匿名化技术使得个人免于被识别,利用算法技术仍然可以对具有相同背景的人群进行分类化调控。其实,对大数据算法模型来说,最为看重的往往是个人数据聚合成的群体画像以及相应的群体分类管理。这意味着,当代数字化管理造成的隐私风险正从个体风险转变为群体风险。例如,荷兰政府曾经从互联互通的匿名化数据中分析出高风险违法群体,形成适用于该群体的管控对策。又如,在智慧城市建设中,物联网的使用使得个人手机上形成的位置、社交等数据与放置在城市空间的传感器的数据连接起来,这使得数字化管理系统可基于匿名化数据来进行管理和决策,在不需要识别个人的前提下,引导、管控具有某些类型行为特征的市民群体配合政府治理目标的实现。

  (四)避责风险:责任归属的模糊化危机

  政务数据汇集活动还将导致法律责任归属的模糊化,冲击原有的行政问责与监督机制,引发“数字避责”风险。行政法治关注针对特定机构及决策主体的“授权—归责”逻辑,强调权责对应,有权必有责。如果单个或少数部门违法或错误地处理了数据,责任追究链条相对清晰;但数据汇集涉及多地域、多层级、多部门,并且大数据与算法决策相结合,这将导致数字化行政决定的权责链条变得非常复杂,甚至模糊化,一旦行政活动出现违法并造成危害,责任追究将变得非常困难。

  首先,数据准确性问题的责任模糊化。对于数据的准确性,是数据提供机关负责还是数据利用机关应负责?如果社会主体基础数据(如户籍、社会信用)记载错误,则该错误将影响到多重法律关系,引发多重错误结果。进一步,政务数据共享后可能产生衍生数据,例如,数据利用部门对原数据进行标记与评注、与其他数据进行综合、处理并导出相应结论性数据,这些衍生数据与结论性数据将会诱发“马赛克效应”。相应地,对数据错误导致的行政决定错误进行问责将非常困难。比如,当通过多个传感器收集汇总后的大数据出现错误,并导致算法提供错误输出时,应由哪个主体来承担责任?

  其次,数据合法性问题责任模糊化。在模块式汇集与旋涡式汇集中,数据提供机关是否需要监督数据利用机关获取数据的合法性?监督需要做到何种程度?在枢纽式汇集中,基于统筹指挥关系,会出现原责任单位与政务数据治理机构间的责任重叠以及由谁承担主要责任等问题。

  最后,数据安全性责任模糊化。在多个部门都享有宽泛数据访问权的情况下,一旦出现数据泄露、毁损、篡改等问题,往往难以找到事故源头;即便找到,由于多主体都可处理数据,这将使责任因果关系变得非常复杂。同时,负责监督数据合规的部门越多,安全责任链条中的模糊地带和缝隙也就越多,数据安全风险就会相应地增加。

  综上可见,由于数据汇集涉及多部门、多层级数据的聚合,这将大大增加界定不同主体权责的难度,并使责任追究变得复杂化。这也意味着,在数据汇集场景中,权利救济的难度增大。传统隐私和个人信息侵权责任聚焦于特定的侵害,因此对侵害主体进行追责较为容易;但政务数据汇集发生在行政系统内部的多主体之间,侵权行为在哪个环节发生、由谁实施,这些侵权责任基本问题都变得复杂起来,更不要说因果关系分析了。事实上,数据汇集是一种由多重行为聚合的系统性、整体性活动,最终的侵害往往很难回溯和归因。例如,在数据枢纽式汇集中,如果政务数字平台接入的数据资源和部门机构越来越多,个人信息在众多部门间持续流动,多个部门持续的数据处理活动将不断提高对侵害行为进行问责的难度。

  四、政务数据汇集风险控制的进路

  面对政务数据汇集带来的风险,发展有针对性的风险控制机制已成为数字法治政府建设的当务之急。如果不对数据汇集的合法性风险、安全风险、隐私风险、责任风险等进行有效控制,则数据共享和汇集就可能背离法治原则,导致公众对数字政府建设的信任危机。

  数据汇集活动本质上是行政权的行使,因此应受到行政法治原则和制度的约束。对数据汇集活动进行法律控制,需要遵循法治价值的指引,针对数据汇集的各环节、各节点,提供相应的规制策略和技术,实现“数治—法治”的协同演化。

  (一)建立数据汇集活动的合法性评价机制

  在传统框架下,通常认为行政机关之间的信息流通并不具有支配性与外部性,只是一种权力行使的媒介,因而主要通过公文管理制度和职务协助制度进行管理,数据汇集所涉及的“媒介控制权”问题没有得到应有的重视。然而,在政务数据汇集场景中,数据汇集已成为一种重要的权力行使方式,可以实质性地影响其他组织的执法和决策,从而具有了外部性和支配性。在这个意义上,有必要将行政组织基于数据汇集衍生出的“媒介控制权”纳入职权法定框架。其核心理念是:数据汇集是服务于行政组织行使法定权力、完成法定任务的手段,但手段不应背离目的,更不能将手段当作目的。遵循这一逻辑,政务数据汇集活动的合法性控制应聚焦数据采集的合法性、数据共享的合法性、数据汇集程序的合法性,以及数据共享权责合法性四个方面展开。

  首先是数据采集合法性控制。从源头控制的角度看,应确保数据提供机关具有采集数据的职权依据,即采集行为只能在其履行法定职责所必需的范围内,不能宽泛地将组织负责的具体事务范围作为采集数据的职权依据。例如,仅仅为“维护社会秩序”“传染病防治”“提升城市治理智慧化水平”等宽泛目的采集数据,便存在采集数据必要性模糊的问题。

  其次是数据共享的合法性控制。一方面,应控制数据共享的必要性。在数据汇集场景中,应当明确共享数据的必需性,也就是对数据共享之目的、共享范围、所需数据的必要性进行说明。从目的看,数据的共享汇集须基于现实的、具体的目的,服务于特定的行政任务,不得漫无目的地汇集数据或是宽泛地访问数据。值得指出的是,当前以《政务信息资源共享管理暂行办法》《贵州省政府数据共享开放条例》为代表的中央和地方立法强调“以共享为原则,不共享为例外”,并将数据分为无条件共享、有条件共享、禁止共享的做法,值得进一步探讨。

  另一方面,应控制共享方式的妥当性,即明确数据共享、传输、汇集应当以安全和隐私风险最小化的方式进行。例如,在一些行政场景中,掌握数据的各政府部门只需使用专属接口,按标准流程回复相关信息、提供查询结果即可,不必和其他部门共享原始数据。由此,通过“数据可用不可见,原始数据不出域”的技术,只共享结论性信息,降低隐私风险与安全风险。又如,数据汇集是通过合并部门数据库还是实现不同数据库互操作性的方式进行,也值得斟酌。在模块式汇集中,由于数据提供机关与利用机关的业务联系较为紧密,统一建立专题数据库的需求较强;而在旋涡式汇集中,除了人口、法人信息等基础数据库的建设,应当审慎进行数据库合并,代之以分布式存储基础上单次比对、调取的方案,以降低数据隐私与安全风险。

  对数据共享汇集之目的、理由、方式的合法性要求,需要通过相应的立法性规则进行具体化,方可确保数据汇集纳入法治框架。对一些风险较高的数据汇集活动,应当具备法规范的明确授权。例如,对于大型数据库的建立与合并,应由较高层次的法律规范进行授权。在立法难以及时跟进的情况下,应采用完善共享协定(目录)、强化对共享必要性的理由说明等方式,促进数据汇集的合法化。

  再次是数据汇集程序合法性控制。政务数据汇集应遵循公开、透明、参与原则。政务数据汇集涉及数字政府的底层架构,无论是对数字行政风险控制还是信任构建而言,公民的知情、参与、监督都至关重要。例如,欧洲议会发布的数据治理的研究报告指出:应将对人工智能系统及其所依赖的数据生态的监督权授予公民社会和民主机构。这种分布式、与领域相关的监督基础设施,将是对目前集中式但负担过重的方式的补充。为了落实告知义务、提升透明度,对共享流程的公布应建立公告层次,通过类型化的、友好的公告机制,促进持续的社会参与和公众监督,为社会组织提起的公益诉讼与检察公益诉讼、公共领域的商谈提供基础。此外,行政机关确立共享架构中重要的组织、技术、管理流程,如“一码治理”“一网通办”系统中的信息处理流程与技术环节时,应当充分征询相关公众与专家的意见,避免行政机关在共享系统构建中对话语与权力的垄断结构。

  数据汇集程序中一个值得关注的问题是风险影响评估。对于数据汇集可能产生的滥用风险、安全风险、隐私风险等,应结合数据汇集的行为目的、数据范围、应用场景等具体指标,进行数据汇集风险影响评估,并根据评估的风险等级采取相应的风险控制措施。风险影响评估应该是动态的、持续的。对数据风险评估,立法层面已开始关注。例如,我国《个人信息保护法》第55条规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:……(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息……”一些地方立法也对数据汇集中的风险评估进行了初步规定。

  最后是数据共享汇集的权责匹配。应防止数据共享汇集突破法定权责配置,避免数据赋能的工具有效性冲击权责法定的法治政府要求。政务数据汇集应当在既有的组织法框架中遵循权责法定原则进行,不能破坏法定职权的配置结构。对此,在模块式汇集与旋涡式汇集中,应当完善对算法模型的内部审计流程和决策应用程序,避免数据提供机关通过输入和编辑数据影响甚至直接决定另一个组织具体决定权的情形。在枢纽式汇集中,需要注意对政务数据治理机构所享有的“数据汇集形成权”的控制。虽然基于“整体政府”的功能主义视角,权责配置逻辑或许可根据治理任务的需要在政府各部门间进行合理重组,但这一流程仍然不能突破组织法的明确规定。换言之,数据汇集只是更有效地落实组织法权责的工具,不能反过来成为改变组织法上法定权责配置的手段。

  同理,在上下级之间的数据共享汇集的纵向维度,数据汇集应符合央地分工的权责配置框架。日本《地方政府信息系统标准化法》将数字政府建设基本政策法定化,要求地方政府使用的信息处理系统的标准原则上应由中央统一设定,从而便于跨地域数据汇集,相应的决策权则集中于中央政务数据治理机构。不过,这种做法给地方自治带来很大威胁,因此,该法同时规定,地方政府在保证有效利用信息及系统兼容性的情况下,可将自己因地制宜设计的业务流程和数据规范作为其政务信息系统的标准。日本经验表明,遵循宪法上的央地分权关系,应当将政务信息系统的标准化作为重要的影响因素。这对我国纵向关系中的数据汇集具有启发意义。从我国立法中“地方性事务”的内涵出发,政务数据汇集及政务信息系统的标准化建设应考虑地方的治理需求,使数据汇集和政务信息系统建设与央地关系的权责配置结构相匹配,防止政务数据汇集成为变相的“向上集权”手段。

  (二)完善数据汇集活动的监督与救济机制

  在对政务数据汇集法律风险进行控制的基础上,还需要进一步考虑完善政务数据汇集活动的监督和救济机制。前端的风险控制与末端的监督救济相结合,方可建立针对数据汇集活动全流程、全链条的法律控制。监督救济机制主要包括归责机制、监督机制、救济机制三个方面。

  1.归责机制

  为控制“数字避责”风险,需要明确数据汇集活动中的问责对象和问责标准。这需要根据权责统一原则,结合数据汇集的基本要素,如数据真实性、准确性、合法性、安全性等要素,来设定归责的条件,并界定责任承担主体。考虑到数据汇集活动的特点,启动追责的条件并不需要出现直接、具体、可见的损害,而是看数据汇集活动中是否出现了不应有的风险。换言之,问责的条件应从传统行政责任法所强调的“损害结果导向”转变为“风险规制导向”。

  具体而言,对数据汇集合法性问题的问责,可基于数据提供机关与数据利用机关之间的关系模式而进行类型化的归责。例如,德国《联邦数据保护法》对政务数据汇集区分了义务型汇集与请求型汇集。如果数据提供机关基于法律的规定而负有直接的数据传输义务,其应负责传输的合法性;如果数据是应数据利用机关的请求而传输,则数据利用机关应负责该行为的合法性,数据提供机关只需在形式上核实请求行为是否属于数据利用机关的权责范围,无须对共享的必要性进行判断。但是,如果转移的数据涉及重要的个人社会保障信息,则数据提供机关应该全面审查转移的合法性,包括必要性。与此同时,数据提供机关与数据利用机关之间应制定程序,对数据的二次共享进行控制。比如,数据利用机关应定期证明其已审查有关数据二次共享的做法。

  对数据汇集准确性问题的问责,一般认为数据提供机关负有更新和保障数据准确性的义务。例如,《广东省公共数据管理办法》规定,一项数据有且只有一个法定数源部门,数据提供机关需承担核实责任。不过,对于涉及数据主体重大权益的数据,不能完全免除数据利用机关的核实和核查责任。例如,在旋涡式汇集中,美国《隐私权法》规定,由于机构间共享的信息可能会被用于拒绝、减少个人福利或以其他方式对个人福利产生不利影响,因此数据接收机构必须制定合理程序来确保共享数据的准确性;如接收机构根据数据汇集比对而产生的结论对个人采取不利行动,其必须独立核实该信息,除非相关的数据完整性委员会认定该信息具有很高的可信度。而在模块式汇集中,如果多个部门处理数据的目标相同,则多个部门应被视为数据的“联合控制者”,共同负有数据准确性义务。

  对数据汇集安全性问题的问责,数据提供机关与利用机关间应设定既有条件下安全的个人信息传输方式,通过签订共享协议等方式明确个人信息保护和数据安全义务。在实践中,行政机关处理本部门数据往往以履行其自身法定职责为导向,数据处理也可以借助第三方技术,所用的技术标准未必统一,因此利用机关从提供机关处获取数据面临着比较大的数据质量与安全风险。此时,数据跨部门传输需要对技术、标准等问题进行统筹协同,强化政务数据治理机构的作用,完善适应共享传输方式的数据质量和安全保障机制。在数据传输后,数据利用部门应当采取必要的技术和组织措施,对个人信息进行特别保护和及时删除,防止非法访问、破坏、更改或未经授权的披露。数据汇集后,应由数据利用部门承担使用过程中的数据安全管理义务,但数据安全责任事故与数据提供部门或者提供基础设施的政务数据治理机构存在直接关联的除外。如果多部门归集建成的数据库发生了数据泄漏事故,则数据利用部门应承担责任,其他参与数据汇集的部门仅负有合理的注意义务。

  2.监督架构

  在政务数据汇集体制中,如何设计内部监督的结构、如何配置监督权,这是促进政务数据汇集活动规范化、法治化、理性化的关键性问题。目前,监督结构和权力配置问题都亟须探讨。从规范层面看,目前只有一些零散的规则。例如,《个人信息保护法》第68条规定了国家机关及其工作人员不履行个人信息保护义务时,由上级机关或者履行个人信息保护职责的部门责令改正。《数据安全法》则赋予各行业、各地区主管部门对数据安全事项的监管权。一些地方性法规或政府规章规定由“大数据主管部门”来承担政府数据治理的主管责任。应该注意的是,如果监督权过于分散,则会政出多门,也会导致权责不清、责任分散等问题。无论是数据分类分级管理,还是监管体制建构,都须处理好监管机构的内在权责关系,落实监督体制的公正性和连贯性。

  从保障监督体制的公正性要求看,需要贯彻职能分离原则,由专门的、权威的风险规制机构负责监督和问责。公共数据运营、数据产业发展,以及数据风险管控这些职能,不能过度集中于同一个公共机构,而应当适度分离,以确保风险规制机构的中立性。如果将推动数据汇集、强化数字赋能职责的大数据发展部门同时作为监督问责主体,可能会影响问责的动力及公正性。从保障监督体制一致性要求看,应当重点考虑将系统性理念和风险规制逻辑融入数据汇集系统。具体而言,可先由高级别、专门化的政务数据管理机构对各项业务制定规范和指引,进而在行政机关内设置专业职位,由专业人员对政务数据合规、合法汇集进行评估审查,最后通过负责数据汇集统筹管理的议事协调机构形成统一的风险管理标准。例如,在美国,《2018年循证决策基础法》建立了政府首席数据官的协调网络,由管理和预算办公室(OMB)设立首席数据官委员会,确立数据共享的最佳实践,促进各机构之间达成妥善的共享协议,不断评估技术解决方案,促进不同部门之间首席数据官进行沟通、交流和协调。

  3.救济机制

  政务数据汇集可能对隐私和个人信息权益造成侵害。从行政效能与个人权益保障相平衡的要求看,数据汇集法律制度应当充分关注救济机制建设。数据汇集包含了一系列行政机关处理个人信息的活动,应当根据不同情况将这些行政活动纳入行政救济法体系,完善相应的行政复议、行政诉讼和国家赔偿机制。第一,应当基于便利原则确定复议被申请人或诉讼被告。例如:在行政诉讼中,可允许个人选择数据提供机关、数据利用机关或政务数据治理机构之一作为被告;如果数据处理机关之间签订了共享协议,则可根据共享协议确定被告。法院可以根据审理需要,将其他的机构作为第三人。第二,应当促成内部监督机制与外部司法监督的衔接,缓解法院不了解内部共享结构及专业知识匮乏等困难。例如,针对机关间数据共享行为的司法审查,美国《隐私权法》规定了穷尽行政救济原则,先由行政系统内部的监督机构进行审查,明确案件争议焦点、技术细节等问题,便于后续法院进行法律层面的司法审查。

  五、结语

  政务数据共享汇集制度是数字政府建设的基础设施和底层架构。随着我国数字政府建设全面, 推进,政务数据共享汇集在行政系统的横向和纵向维度已全面展开。与此同时,政务数据汇集活动对行政组织法、行为法、救济法等都提出了新的问题和挑战。数字政府建设应与法治政府建设深度融合,这需要我们对数字政府建设中的政务数据共享汇集制度的法律风险进行全方位认识,并发展相应的法律控制技术。

  数字技术与行政权力相结合催生的“数治”,是一种新的国家治理技术。数字技术本质上遵循工具理性的逻辑,这与传统的法治逻辑存在潜在的竞争和冲突,但数字法治政府建设的命题蕴含了将数字技术纳入法治轨道的规范要求。大数据赋能行政并非技术的免费午餐,其中涉及行政组织管辖权、数据处理合法性与安全性、人格和隐私、行政问责等众多法律制度的“再组织化”。在数字行政的新场景中,传统行政法的制度和控制技术需要随着行政的变化而相应地改进和调整。这需要在行政法治价值理念指引下,针对政务数据汇集活动的具体场景和新问题,改进相应的行政法控制手段和机制,建立针对数据汇集活动的合法性分析框架,并辅以有效的归责机制、监督架构与救济途径,从而将数字行政纳入行政法治框架,推进数字政府与法治政府建设的深度融合。


责任编辑:ouruijia