政务数据汇集须防范法律风险
高度重视政务数据汇集的风险
在国家治理中,面对空间、人口的巨大规模和事务的复杂性,政府治理始终面临“能力赤字”挑战。相应地,补强治理能力的渴望构成行政权力运作及转型的重要指引。当新的技术出现时,通过“技术赋能”便成为补强治理能力的重要选项。当下,在新一轮技术革命风起云涌的背景下,将数字技术引入政府治理,成为治理变革的一个潮流。我国的数字政府建设就是这种技术赋能逻辑的实践展开。
在数字政府建设中,政务数据汇集是一项基础工程。当下,“一网通办”“多码协同”“跨省通办”等政务数据共享实践层出迭生。在数字行政背景下,机构之间的数据传输不再是个别、零散、偶尔为之的互动,而呈现大规模、持续化、自动化的数据共享集聚样态。基于大数据的政治与经济效益,各类数据资源的汇聚成为“数字赋能”乃至“数据赋财”的基础性要素,一个个大型的专门数据库与信息共享平台逐步建立,且具有实时更新、持续扩容的能力,不断将汇集后的大数据转化为治理绩效与财政资源。政务数据的汇集、共享和应用,在对行政权进行赋能的同时,也塑造了日益庞大的数字技术系统。数据汇集活动虽然可打破“数据孤岛”,但也带来了数字化权力在不同机构间的复制、延伸和重组,改变了行政权运行的逻辑,可能导致对大数据的无节制使用乃至滥用,引发各种风险。对此,应当予以高度重视。
政务数据汇集的法律风险
首先,政务数据汇集对行政组织法上的权责法定原则带来了挑战,可能引发组织法上的越权风险,具体表现为:第一,超越管辖权获取数据的风险。依法行政原则强调的是组织的权责法定,但数据汇集可能导致越权收集和利用数据的情形。第二,借由数据汇集,行政机关可能变相地越权作出决定。在技术操作层面,由于数据汇集与算法行政往往是一体的,数据的提供事实上对算法决策产生影响,有时甚至是决定性的影响,这意味着数据提供机关对自动化决策拥有了事实上的决定权。例如,在以“健康码”为代表的“码治理”场景中,行政机关依靠算法技术对多方提供的数据进行处理,并将计算处理结果直接转化为行政决定,便存在这种越权决策的风险。
其次,数据汇集可能导致“权力叠加”效应,产生数据滥用风险。数据聚合不仅增加了行政权可利用数据的“量”,也提升了数据的“质”。在行政系统内部进行规模化、日常化、系统化的政务数据汇集,使原本分散在各个部门的数据进入一个个“大数据池”,这将放大行政权的效能,诱发行政权滥用的风险。这包括:第一,数据污染和数据操控风险。第二,程序违法风险。政务数据汇集后形成政务大数据,行政部门对大数据进行深度挖掘,并可能针对特定当事人采取监管和处罚措施,但当事人对这一过程却难以获得知情权、参与权、监督权,这可能对传统的行政程序机制造成巨大冲击。第三,数据隐私和安全风险,表现为数据库受外部攻击的风险。政务数据汇集形成的大数据,往往也是网络攻击的目标。数据量越大,数据内容越重要、越敏感,就更可能成为被攻击目标。
再次,过度监控风险。在政务数据汇集机制的实践运作过程中,原本基于特定法定职责和处理目的而收集的分散的个人信息被跨部门、跨层级传输,存储在不同行政机关的个人片段生活记录被集中起来加以辨识、分类与整合。如果缺乏有效的约束机制,数据整合和数据挖掘技术所带来的行政赋能效应,可能导致个人成为“透明人”,个人将不断丧失免于受到窥探、监控的防御能力。这种状态会进一步产生社会心理层面的焦虑,引发“寒蝉效应”或个人的“自我审查”机制,甚至导致技术与权力融合而形成的数字压迫。事实上,正是基于类似的担忧,美国1974年《隐私权法》(Privacy Act)原则上禁止行政机关间共享个人信息。但即便在美国,受到技术赋能驱动,行政机关规避隐私权法的规定而不断扩大数据共享范围的现象也愈发普遍。
最后,数字避责风险。政务数据汇集活动还将导致法律责任归属的模糊化,冲击原有的行政问责与监督机制,引发数字避责风险。行政法治关注针对特定机构及决策主体的“授权—归责”逻辑,强调权责对应,有权必有责。如果单个或少数部门违法或错误地处理了数据,责任追究链条相对清晰;但数据汇集涉及多地域、多层级、多部门,并且大数据与算法决策相结合,这将导致数字化行政决定的权责链条变得非常复杂甚至模糊化,一旦行政活动出现违法并造成危害,责任追究将变得非常困难。
政务数据汇集风险的法律控制
面对政务数据汇集所带来的风险,建立有针对性的风险控制机制,已成为数字法治政府建设的当务之急。如果不对数据汇集的合法性风险、安全风险、隐私风险、责任风险等进行有效控制,则数据共享和汇集就可能背离法治原则,导致公众对数字政府建设的信任危机。
数据汇集活动本质上是行政权的行使,因此应受到行政法治原则和制度的约束。对数据汇集活动进行法律控制,需要遵循法治价值的指引,针对数据汇集的各环节、各节点,提供相应的规制策略和技术,实现“数治—法治”的协同演化。
第一,数据采集合法性控制。从源头控制的角度看,应确保数据提供机关具有采集数据的职权依据,及采集行为只能在其履行法定职责所必需的范围内,不能宽泛地将组织负责的具体事务范围作为采集数据的职权依据。例如,仅为“维护社会秩序”“传染病防治”“提升城市治理智慧化水平”等宽泛目的采集数据,便存在采集数据必要性模糊的问题。第二,数据共享必要性控制。在数据汇集场景中,应当明确共享数据的必需性,也就是对数据共享之目的、共享范围、所需数据的必要性进行说明。不得漫无目的地汇集数据或是宽泛地访问数据。第三,共享方式妥当性控制,即明确数据共享、传输、汇集应当以安全和隐私风险最小化的方式进行。第四,数据汇集程序合法性控制。政务数据汇集应遵循公开、透明、参与原则。政务数据汇集涉及数字政府底层架构,无论是对数字行政风险控制还是信任构建而言,公民的知情、参与、监督都至关重要。第五,数据共享汇集的权责匹配。应防止数据共享汇集突破法定权责配置,避免数据赋能的工具有效性冲击权责法定的法治政府要求。
总之,数字技术与行政权力相结合所催生的“数治”,是一种新的国家治理技术。数字技术本质上遵循工具理性的逻辑,这与传统的法治逻辑存在潜在的竞争和冲突,但数字法治政府建设的命题,蕴含了将数治技术纳入法治轨道的规范要求。大数据赋能行政并非技术的免费午餐,其中涉及行政组织管辖权、数据处理合法性与安全性、人格和隐私、行政问责等诸多法律制度的“再组织化”。在数字行政的新场景中,传统行政法的制度和控制技术需要随着行政的变化而相应地改进和调整。这需要在行政法治价值理念指引下,针对政务数据汇集活动的具体场景和新问题,改进相应的行政法控制手段和机制,将数字行政纳入法治框架,推进数字政府与法治政府建设的深度融合。
(原文刊载于《华东政法大学学报》2024年第3期)