国外政府行政档案数据共享中的信任平衡研究——以英国NHS 健康数据为例

罗亚利

世界各地的政府部门和机构定期收集公民与国家政府机构互动产生的行政档案数据，视其为“信息资产”[1]，通过共享和重复利用来开发行政档案数据潜力，提高政府工作效率，促进各项社会研究。随着信息技术的发展，信息检索和处理的效率更高，数据统计的技术更强，当数据共享与商业行为结合在一起时，共享数据的动机难免令人生疑，甚至有时会侵犯公民隐私权，这便会损害公众与政府部门的良性互动及其参与国家事务管理的信心。数据主体和广大公众的信任是实施政府数据共享计划的必要因素，其中核心问题是公众是否能够相信政府具备在数据共享与隐私保护之间保持平衡的能力。本文探讨英国在共享和重复利用政府行政档案数据的过程中涉及的信任概念，以期论证公众对政府数据共享计划的信任取决于数据管理与利用的各方参与者之间的信任平衡。虽然文章只是对英国2014 年到2017 年的健康数据管理进行案例研究，但其所涉及的信任问题具有较强的代表性。

一、研究方法及相关概念

1. 研究方法。文章对英国行政档案数据研究中心（Administrative Data Research Centre in England，ADRC-E）提供的2014 年到2017 年政府健康档案数据进行案例研究，探讨各方利益相关者对行政档案数据共享和重复利用的观点，提高公众对数据共享的认识。此研究通过网络搜寻获得关于英国公民健康数据的结构化访谈资料，以文献分析和系统文献综述为支撑，以相对非结构化概念框架进行深入分析和探究。文章所利用的健康数据来自英国国家医疗服务体系（National Health Service，NHS）。NHS 于 2013 年成立，其日常工作严格遵守英国政府2012 年出台的《健康与社会保障法案》（Health and Social Care Act）所含的收集、处理和访问数据的规定[2]。英国公民健康和社会保健信息中心（Health and Social Care Information Centre,HSCIC）是NHS 的下属机构，通过ADRC-E 网站公开发布自2014年度以来的公民健康数据，并定期添加和更新数据，其中主要是医院统计数据，包含10 亿多人次急诊和门诊就诊记录。

从ADRC-E 可知，健康数据案例研究采访了35 位匿名调查对象，如表1。

表1 健康数据案例研究采访对象

采访提纲如下：A.介绍研究类型。B.介绍最近利用政府行政档案数据所进行的研究项目。C.研究项目所利用的行政档案数据来自某个单一部门？还是涉及到多个部门？D.是将行政档案数据用于某个研究项目？还是重复利用相同的数据进行其他研究?

2.相关概念：信任的档案学意义。信任的档案学意义是以记录作为对象，围绕着什么使档案记录“值得信赖”这一问题展开探讨。信任定义包含“公众信任”，“公众信任”取决于数据是否记录事实的本来面貌，即具有真实性；并且不受篡改影响，即具有可靠性。而公众对数据可靠性和真实性的信任取决于记录有足够的监管条件，强调数据应该由“可信托管人”和“可信储存库”进行双重保护。可信记录、可信托管人和可信存储库之间的三方关系是加拿大多伦多大学教授、档案学家Heather MacNeil 所指出的传统档案科学“中心内核”[3]。

“可信托管人”和“可信存储库”是保证记录真实性和可靠性的重要机制，但广大用户与记录的互动对记录真实性和可靠性的影响基本上未被考虑。现代数字记录呈很强的流动性和多样性，记录存在的时空状态不断变化，使得公众对记录的信任呈流动变化的结构。因此，可以从社会学和心理学层面解读信任，将信任概念化为态度和情感。如：美国加利福尼亚大学哲学教授Philip·Nickel 强调，信任者和被信任者之间的关系由责任感和义务感支撑；英国哲学家O’Neill 认为，信任是在“不确定情况下”的理性判断，认为信任在促进合作性社会关系中有重要作用；美国社会学家Luhmann N认为，信任是“允许承担风险的决定”[4]。以上的信任概念表明，对人和事物的信任可以在动态和多层次的社会结构聚合中运行，关于政府行政档案数据共享和重复利用，当用户与政府机构、数据管理系统和流程进行交互时，便可建立不同层次的聚合实体之间的信任。

二、信任平衡抽象系统

为了理解信任和信任关系如何在政府行政档案数据的共享和重复利用中发挥作用，基于以上的研究方法和相关概念，本文分析了ADRC-E 上所列出的采访数据，构建出一个信任平衡抽象系统模型（如图1 所示），用以描述共享和重复利用健康数据的各利益相关者间的相互依存关系。该模型把利益相关者分成三大组：数据提供者、数据用户和数据主体。这些利益相关者的关系是由监督机构、媒介群体、媒体和广大公众形成的。模型中的每个利益相关者之间有着复杂的相互依存关系，并受到责任和义务约束，力求保持平衡。

图1 信任平衡抽象系统

1. 抽象系统中的匿名联接。英国著名社会理论家Anthony Giddens 在《现代性的后果》中指出现代抽象系统的兴起是全球化特征之一，传统的面对面互动模式让位给了包含多种技术或专业知识体系的远程关系，重构了各种交互关系，人们以匿名方式与世界互动，人与人之间的关系存在很大的时空间隔[5]。同样，查阅利用政府行政档案数据的研究人员与数据提供者之间的关系发生了本质转变，以前的研究人员通常与政府行政档案数据保管者建立牢固的一对一关系，通过非正式访问途径获取目标数据；而现在主要采用一种标准化的、非个人的数据访问机制。从图1 可知，构成政府行政档案数据的共享和重复利用抽象系统的匿名链接的主要因素有：数据延伸远离了原始的交互关系；系统内数据流的复杂性和不透明性；参与数据管理和交互的机构数量增多；系统内部相互作用的非个人化特征日趋明显。

以英国健康数据为例，将患者信息通过数据编码提取出来，作为大数据集的一部分，并在重新配置中对之进一步编码。随着与健康和社会保障领域的全面连接，这些数据集被扩展并延伸到多个时空，并被第三方重复利用。这些交互都将数据从创建环境中进一步编码提取，数据使用者和数据提供者之间的关系变得越来越疏远。相同的数据保管者对不同的数据集负责，从个人网关获取的抽象和匿名的标准化协议是管理数据提供者与研究人员之间关系的依据，监管主体和安全环境提供者负责数据的质量和安全，匿名的管理过程完全取代了传统的人际关系纽带。大多数研究人员认为匿名访问更公平，能得到更广泛的数据专业知识，促进其对政府行政档案数据的充分理解和科学分析。

2.抽象系统中的相互依存关系。抽象系统中的信任平衡关系的概念，是通过深入分析受访者对存在于利益相关者之间的相互依存关系而得出的。受访的研究人员探讨了界定、调整和开展数据共享的活动及其过程，从自身利益出发，以负责任的方式处理数据，而不负责任的行为将导致个人及其机构声誉受损，并被排除在未来的研究活动之外。在英国，大多数研究人员在研究机构或大学工作，当他们被允许获得政府行政档案数据时，必须遵守利用数据的规则，违反或滥用这套规则的惩罚是相当严厉的，如无限期地取消其获得英国经济与社会研究委员会（ESRC）研究资助的资格[6]。所以，研究人员认识到个人行为会影响系统整体，尽力确保自身行为的合理性，也意识到维护包括数据提供者、数据主体、广大公众、研究机构和研究团体在内的其他利益相关者的关系（见图1）的重要性。

关于这种相互依存关系，Philip Nickel 认为是由责任感和义务感共同驱动的；英国社会学家Russell Hardin 则认为是基于“封装利益”驱动的信任：研究人员和研究机构之间存在利益关系，每个利益相关者的行为都会影响到研究群体的声誉以及所有的信任关系。利益相关者之间相互依存，要求每个人履行自身的责任和义务，这使抽象系统的信任平衡变得稳定。

三、基于抽象系统的公众信任

1.确保数据完整性和可靠性。如图1 所示，在共享政府行政档案数据的信任平衡抽象系统模型中，政府数据监管主体保证数据本身的完整性和可靠性是获得公众信任的前提。为此，专家们开展了各种探讨，最具影响力的是受采访的英国档案数据政策顾问Caldicott提出的数据安全审查措施。

她以健康数据的利用为例，认为数据共享包括直接治疗和间接参考。她指出，医院通常将病人的二级护理数据与病人初级保健数据联系起来，识别出有疾病风险的病人，并通知家庭医生检查他们的医疗计划。然而，数据外推的有效性依赖于潜在的数据质量和链接的匹配率。但数据提供者不能保证数据的完整性及其链接质量和可靠性，根据NHS 的内部报告显示，标识符用于数据集内部和跨数据集之间的记录链接，不完整或不准确的标识符会导致数据链接错误，出现“错过匹配”，即记录数据不能被准确链接；或者出现“错误匹配”，即属于不同数据主体的记录数据被错误地链接在一起，而且这些链接错误通常是随机分布的，对临床实践和病例分析产生不利影响[7]。

因此，Caldicott 指出，NHS 的医疗服务人员跟不上信息技术发展的步伐，应该由信息技术承包商、英国公民健康和社会保健信息中心（HSCIC）的专业技术人员来评估信息技术的发展程度，及其对政府行政档案数据管理和共享的方式的影响程度，采取必要的管理、检查和保障措施，来加强对NHS 健康数据的监管，以保证数据的完整性，并确保在个体病人数据共享中所利用的数据的适用性、有效性和可靠性。

2.定位透明度临界点。受访者提出了他们关于确保公众信任政府行政档案数据共享计划的建议，指出关于此项计划的目的、实施及其保障，并强调设置透明度是确保公众信任的最有效措施，它使公众明白自己的数据因何种目的被利用。受访者认为，应该增强数据流、系统及方案的透明度，为那些期待对数据共享计划、系统和流程有更深入了解的人们提供认知机制。

虽然提倡透明度，但大多数受访者认识到数据流、控制系统、组织角色、数据类型及数据用户的多样性，并指出法律监管框架和监督机构构成的监测和保护系统具有很强的复杂性和技术性。Anthony Gidden 认为，抽象系统中的公众信任依赖于公众对其中各种知识的掌握程度：“这很有挑战性，因为数据共享和数据链接是非常复杂的，人们通常不了解他们的信息是如何被社会研究机构利用的，尤，在跨机构共享、整合健康和社会医疗数据方面存在知识空白，因此必须尽早帮人们建立相关知识库，使其认识数据共享和社会研究的关系。”[8]

然而，由于社会立法框架支持信息自由，政府数据共享计划的执行比较公开，当公众通过媒体而不是公共机构得知数据共享计划的相关知识时，会滋长怀疑情绪，因此透明度太强可能会产生反效果。在处理透明度问题时，重点是研究如何在信息过多和信息过少之间取得平衡，关于这个问题的更深层次的研究与接受点有关，即在建立政府行政档案数据共享和利用信任平衡时，需要一个点作为研究人员和公众在数据使用过程中均可接受的边界的共同起点（如图1 所示）。不妨将之描述为透明度临界点，从这个点上，公众了解数据共享系统及流程的相关知识，控制数据利用过程中的透明度，从而形成牢固的公众信任平衡关系。

3.关注数据伦理问题。

（1）区分信任与可信度。在信任平衡抽象系统中，政府数据监管主体严加审查，建立智能问责机制，即根据数据共享和政府审查之间详细协议寻求公众与政府行政档案机构之间的信任平衡，目的是通过各种检查措施证明数据记录系统的安全性和可靠性，增加政府数据管理系统的可信度。在信息风险社会中，遵循可信标准，采取有效和适当的审查措施，其预防和制裁功能是信任问题的补救措施，能增强被信任者的可信度。但可信度和信任不是对等的。加强政府数据管理的审查，不会获得更稳固的公众信任，反而会减少数据提供者和研究人员之间的信任，提高可信度可能会加深公众对其寻求可信度的各种措施的不信任。正如O’Neill 的所说，增加可信度的措施可能会增加“官僚主义的色彩”，激起不信任感[9]。而且，增加可信度的措施会导致低效率，损害研究人员和数据提供者之间的“封装信任”——研究人员相信能及时从数据提供者那里获得数据，数据提供者相信研究者不会滥用数据。

英国健康医疗大数据平台项目的失败便是一个例子。2014 年，该项目把英国公民健康和社会保健信息中心（HSCIC）收集的数据链接起来，以便更好地规划和管理，并展开更全面的整体人口健康状况研究，进行更有效的护理，创新医疗服务模式。然而，该计划受到了政府的严格审查，且过程冗长，导致了公众信心的丧失，100 多万公民选择退出项目，不再提供自己的医疗数据，项目无限期被搁置。研究者指出，英国健康医疗大数据平台项目未能产生“社会合法性”的原因是公众怀疑项目的可信度[10]。

（2）协调透明度与数据伦理。将数据系统和数据流对公众开放是有风险的，如果数据可以用于公共利益，那么就默许它被利用，但不能确定是否有人破坏或滥用数据。在英国，监管共享和重复利用数据的人员面临的现状是：行政档案数据越来越多地由政府部门共享，并被重复用以支持其他政府政策。比如，2016 年，NHS公民健康数据用于移民执法，防止非法移民，此次数据共享举措引发了公众争议，某些反对数据共享的隐私游说团体提出：“这不是一个数据共享协议，而是一项秘密政府计划，试图将医疗机构转变为边境控制部队。”再比如，英国皇家国民健康保险基金会和谷歌的人工智能公司DeepMind 之间签订了数据共享协议，NHS 患者数据未经同意就被传送到商业公司并由多方共享，公众产生严重的不安全感，怀疑和指责的矛头指向政府部门、研究机构和研究人员[11]。这就暴露出数据共享利用的伦理问题，所以在透明度和数据伦理之间需要一个协调机制。

数据共享发生在政府部门之间时，为了确保公众信任数据共享，需要采取透明度之外的策略：由政府数据发布审核小组进行审查，受相关机构伦理研究委员会监督，并需要数据主体的同意，比如在健康数据利用过程中，在最初的医生——患者关系之外重复利用患者的医疗数据，需要患者同意；构建政府数据共享实践框架，普及相关知识，允许公众参与探讨潜在的数据伦理问题。虽然，如图1 所示，媒体也可以作为一种数据主体，提供全面综合地知识宣传平台，促进公众对政府行政档案数据共享和重复利用的认识，但媒体报道有时会造成数据隐私泄露，在公众中形成怀疑情绪。因此，要加强媒体监管，关注数据伦理问题，以稳定信任平衡，最终获得公众信任。

政府机构期望通过共享和重复利用来开发行政档案数据的潜力，提高工作效率和促进各项社会研究，公众信任问题是政府行政档案数据共享计划考虑的重要因素，建立公众对政府数据共享计划的信任是一个复杂过程。本文通过分析英国ADRC-E 官网上的采访数据，分析数据利益相关者之间的关系，研究英国健康数据共享过程中的各方信任平衡问题，构建数据提供者、数据用户和数据主体之间的信任平衡关 系，并探究其涉及的数据伦理问题。

本文提出的政府行政档案数据共享信任平衡概念可以进一步巩固我国公众对各类行政档案数据共享计划的信任，更好地挖掘各类数据的潜力，促进我国各项社会事业的发展，为增强我国“制度自信、文化自信”服务，践行党全心全意为人民服务的根本宗旨[12]。