梁满,上海市大数据中心数据安全部
随着数字政府建设的深入推进,政务信息系统在提升治理效能的同时,也汇聚了海量个人信息。如何在保障公民个人信息权益的前提下实现数据的有效利用,成为数字时代公共管理面临的重大课题。当前,人工智能技术正加速赋能政务领域,从智能客服、自动化审批到算法辅助决策,人工智能的广泛应用在提升效率的同时,也对个人信息保护提出了新的挑战。上海作为全国城市数字化转型的先行者,以“一网通办”“一网统管”“随申码”为代表的政务信息系统在数据汇聚与业务协同方面走在前列,其个人信息保护的实践探索具有重要示范意义。特别是在人工智能时代,系统梳理其制度基础、检视现实困境、分析深层成因、探索优化进路,对于推动政务领域个人信息保护法治化、精细化,以及应对人工智能带来的新风险,具有现实紧迫性。
一、政务信息系统个人信息保护的制度基础
政务信息系统作为国家机关履行公共管理职能的重要载体,其个人信息处理活动既关乎公民基本权利保障,也直接影响政府数字化转型的法治化水平。近年来,国家层面已构建起较为完备的法律法规标准体系,上海也通过地方立法进行了先行先试。
图1 上海“一网通办”的自助终端机
(一)国家层面的法律规范与标准
我国已构建起以《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)为核心,以《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律为支撑,辅以配套法规、部门规章及国家标准的个人信息保护法律体系。
在法律层面,《个人信息保护法》确立了若干基本原则和核心制度。该法第五条规定的“合法、正当、必要和诚信”是个人信息处理的基本原则,其中“必要”与第六条“最小必要”原则内涵一致,均强调处理目的与数据范围的直接相关性。对政务信息系统而言,个人信息的收集与使用应当遵循最小必要原则,采取对个人权益影响最小的方式。此外,第十三条明确“为履行法定职责或者法定义务所必需”可作为无须取得个人同意的合法性基础,为政务场景下的数据处理提供了重要依据,但需严格把握“法定职责”范围。同时,法律还规定了个人信息处理者的安全保障义务(第九条、第五十一条)以及个人信息主体的知情权、决定权、查阅权、复制权、更正权、删除权等权利(第四章)。
在标准层面,全国网络安全标准化技术委员会(TC260)已制定发布17项个人信息保护相关国家标准,典型标准包括:《信息安全技术个人信息安全规范》(GB/T 35273—2020)、《数据安全技术敏感个人信息处理安全要求》(GB/T 45574—2025)、《数据安全技术基于个人信息的自动化决策安全要求》(GB/T 45392—2025)、《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574—2023)等。以上标准的陆续发布,为政务系统个人信息保护提供了具体可操作的技术指引。
(二)上海地方层面的立法创新
2022年1月开始正式实施的《上海市数据条例》,在落实《个人信息保护法》原则的基础上,结合上海实际,对个人信息保护作出了多项特色规定。核心体现为三大创新:一是体例创新,以“数据权益保障”专章为底座,下设“个人信息特别保护”专节,构建了人格权益与财产权益并重的保护框架;二是规则创新,在生物识别信息处理、公共场所人脸识别限制、告知义务细化等方面提出了高于上位法基本要求的“上海标准”;三是衔接创新,坚持数据与个人信息的二分法,确保地方立法与国家法律体系的有序衔接。这些特色规定共同构成了上海在人工智能时代个人信息保护的地方立法方案。
二、政务信息系统个人信息保护实践与困境
近年来,上海以“两张网”为抓手全面推进城市数字化转型,政务信息系统的覆盖面、数据汇聚程度、业务协同深度均处于全国前列,个人信息保护工作同步推进,但也面临一系列困难与挑战。
(一)个人信息保护的实践探索
以上海“随申码”为例,截至2025年12月,注册用户已超过8800万人,使用场景涵盖了交通出行、就医购药、文体旅游、政务服务等多个领域。尤其在政务服务场景中,个人“随申码”可作为身份证在线下政务服务中心大厅刷码办事,办事时相应的个人信息直接进行预填预审,从而减少办事环节。截至2025年12月,个人和企业在政务服务场景累计扫码使用超过2000万次。近年来,随着“随申码”应用场景持续拓展,平均每天用码次数近220万次,每天有超过35万名市民通过“随申码”获得城市各类服务,极大地方便了市民的生活。
在个人信息保护方面,“随申码”严格遵循依法授权使用和最小必要原则。当市民使用“随申码”功能时,需授权上海市大数据中心使用其“一网通办”注册信息,以获取个人“随申码”。当市民遇到个人信息准确性问题时,可通过“随申码”下方的“我要申诉”功能进行留言反馈,市大数据中心与相关部门建立了信息核验机制,对于市民申诉的信息可以进行快速处理和回复。在配套制度层面,2025年发布的《上海市公共数据资源授权运营管理办法》明确提出,“涉及个人信息的公共数据,应当经过匿名化处理,或者经相关数据所指向的数据来源者依法授权同意后获取。”与此同时,办法明确依托“随申码”等渠道建立数据来源者授权同意的便捷机制,落实国家关于个人信息保护的相关法律要求,确保用户个人数据来源合法可溯、去向可查、行为留痕、责任可究。
(二)个人信息保护的工作机制
上海以《上海市数据条例》为基础性制度框架,明确市委网信办负责统筹协调个人信息保护和相关监管工作,各区、各行业主管监管部门在各自职责范围内落实属地管理和主管监管责任。在此基础上,上海建立了多部门联动的个人信息保护工作机制,市审计局将“网络安全和信息化审计”纳入地方、部门、国企经济责任审计事项,涉及个人信息违法违规收集使用、个人信息泄露事件等的督促整改情况,作为网络安全管理考核的重要指标,纳入市管党政领导班子绩效考核。各区层面进一步细化落实,如长宁区、崇明区分别制定区级公共数据管理办法,明确区委网信办负责统筹协调全区个人信息保护、网络数据安全和相关监管工作,对各单位落实公共数据安全管理责任情况开展指导、监督和检查。此外,上海还积极承接国家部署,常态化开展个人信息出境安全评估和标准合同备案工作,截至2025年5月底,100件通过数据出境安全评估,516件完成个人信息出境标准合同备案。
2026年4月,上海市委网信办在“一网通办”门户网站上线了“个人信息保护专区”,为本市个人信息处理者提供政策指引与业务支撑。该专区整合了四类服务功能:一是汇集个人信息保护相关法律法规及公告,形成系统化的政策知识库;二是整合国家网信办等部门的权威解读,协助处理者准确理解制度要求;三是公布市区两级网信办的业务咨询联系方式,及时响应合规疑问;四是链接国家网信办“个人信息保护业务系统”,便利处理者履行备案、报送等法定义务。专区的设立进一步丰富了上海政务领域个人信息保护的服务与指导机制,进而有助于提升各类主体的合规能力。
图2 上海“一网通办”上线个人信息保护专区
(三)面临的主要困难
尽管上海在“随申码”等场景中积累了丰富的个人信息保护实践经验,并建立了较为完善的工作机制,但在实际运行中,仍然面临一些深层次的困难和挑战。这些困难既有制度层面的模糊地带,也有技术和管理层面的现实短板,具体体现在以下六个方面。
一是法定职责与个人同意的适用边界尚待厘清。“法定职责”的范围、“所必需”的标准在具体场景下存在解释空间,告知同意机制的执行仍有提升空间。比如需要进一步细化操作指引,使形式合规与实质保护更好的统一。
二是跨部门数据共享与个人信息保护的平衡难题。“以共享为原则”与最小必要原则之间存在内在张力。数据接收方是否超出授权范围使用需要建立实时监测的能力,责任归属也需进一步明确。
三是老旧系统防护能力与业务发展需求的协同有待加强。老旧系统改造面临成本和技术约束;人工智能等新技术应用带来新型个人隐私泄露风险,例如政务大模型在训练和推理过程中可能涉及个人信息的二次使用;基层单位技术力量相对薄弱。
四是全生命周期管理机制有待进一步完善。收集环节往往存在一定程度的合规条件限制;存储环节需要引入自动清理机制;使用环节的事中预警能力需要进一步加强;删除环节中需强化跨系统彻底删除的技术保障。
五是监督机制需进一步优化。在多部门协同监管格局下,职责边界和标准统一需要进一步理顺和细化;公众知情权和参与渠道需进一步拓展;责任追究标准需更加明确。
六是人员意识与专业能力有待提升。对个人信息保护相关法律理解仍需提高,对涉及个人信息保护的安全机制的探索和实践仍需加强。
三、政务信息系统个人信息保护的成因分析
上述困境的形成,与制度供给、数据治理逻辑、技术系统特性、能力建设等因素密切相关。
一是制度供给与场景落地之间的落差。《个人信息保护法》作为基础性法律,其规定具有较强的原则性,而政务信息系统具有高度的场景依赖性。以“履行法定职责所必需”为例,不同部门、不同场景下的解释存在差异,政务领域尚缺乏与上位法相配套的实施细则或操作指引。同时,人工智能等新技术快速迭代,制度供给相对滞后,导致新应用场景面临合规指引不足的问题。
二是数据共享逻辑与隐私保护要求的协调难题。“以共享为原则”与最小必要原则在实践中需要精细协调。业务需求的模糊性可能使数据提供方倾向于提供超出必要范围的数据,而现行共享机制以“目录管理”为基础,对“在何种条件下、以何种方式共享”的精细化规制有待加强。此外,原始提供部门与接收使用部门之间的责任边界需要进一步厘清,以避免实践中出现过度谨慎或过于宽松这两种倾向。
三是技术系统复杂性与治理能力之间的匹配失衡。大量遗留政务系统建于法律出台之前,改造面临多重约束。隐私保护技术的应用可能伴随计算资源消耗和流程复杂化,与政务系统对高效、稳定的业务需求之间存在权衡。全生命周期管理的技术支撑仍有短板,例如,在数据彻底删除、事中预警等方面尚缺乏成熟方案。
四是人才与激励机制的协同不足。个人信息保护工作涉及法律、技术、管理等多学科交叉,而现行管理和技术人员的培养体系以专业化分工为主,复合型人才选拔和培养机制有待完善。此外,个人信息保护工作具有“负向激励”特征,而正向激励机制相对缺乏,在一定程度上影响持续改进的动力。
五是监督机制的多方协同尚需加强。在多部门监管格局下,信息共享和执法协作机制需要进一步健全。公众参与、第三方评估等外部监督渠道和作用有待拓展。传统监管手段在应对云化、平台化、智能化数据处理行为时,需要提升穿透式监管能力。
综上所述,政务领域个人信息保护需要从更深层次进行范式优化,即从侧重“合规”转向以“权利保障”为导向,从“静态控制”走向“动态治理”,从“技术附庸”走向“制度与技术融合”,从“单方治理”走向“多方共治”。这一范式转换,是构建长效机制的必然选择。
四、政务信息系统个人信息保护的优化进路
基于上述分析,以下将从制度细化、全周期管理、技术治理、协同共治四个维度,探索构建与城市数字化转型相适应、积极应对人工智能时代新挑战的实践路径。
(一)完善制度细则,弥合规范供给与场景的落差
为化解制度原则性与政务场景具体性之间的矛盾,需要加快制定配套细则。一是制定“法定职责”适用指引,由市大数据主管部门会同司法行政部门,厘清法定职责范围,界定“所必需”的判断标准,建立合法性基础审核机制。二是规范告知同意机制,区分“法定职责处理”与“基于同意处理”两种模式,采用“分层告知”方式,保障同意的自愿性和可撤回性。三是建立个人信息保护影响评估制度,对跨部门共享、人工智能模型训练等高风险场景强制开展评估,评估报告向网信部门备案。
(二)健全全周期管理,实现数据流动与风险控制的平衡
针对全生命周期管理机制不健全的问题,应构建精细化管控体系。一是强化收集环节源头管控,依托市大数据资源平台推动统一入口建设,探索制定《上海市政务数据收集清单》,对敏感信息实行更严格的审批程序。二是规范共享环节精准控制,推动从“粗放共享”向“精准控制”转变,建立“最小必要”共享授权机制,推广“有条件共享”模式,实现“数据可用不可见”。三是健全存储与使用环节安全管控,建立个人信息数据分类分级存储制度,引入行为分析与异常监测技术,对敏感操作实行“双人操作、相互制衡”。四是落实删除环节权利保障,建立跨系统、跨备份的彻底删除机制。
(三)深化技术治理,构建制度与技术融合的防护体系
针对技术防护能力与业务需求之间的差距,应推动技术治理升级。一是推进遗留系统安全改造与替代,采取“改造与替代并重”策略,对无法改造的系统有效推动其功能迁移。二是推广应用隐私增强技术,在核心平台率先应用联邦学习、安全多方计算等技术,对开放的个人数据进行匿名化处理。三是建立人工智能等新技术的合规审查机制,对政务大模型等人工智能应用建立专项合规审查,要求算法设计、模型训练、结果输出全流程合规,建立算法影响评估制度,防范因人工智能深度应用带来的隐私泄露、算法歧视等风险。四是构建一体化安全监测与应急响应平台,实现对个人信息流动轨迹的实时监测、风险预警和态势感知,形成“全市一盘棋”的安全监测网络。
(四)推动协同共治,构建多方参与的保护格局
针对监督机制和主体能力建设中的短板,应推动多方协同。一是理顺监管体制,明确网信、公安、大数据等部门监管边界,建立跨部门协同机制和信息共享平台。二是强化内部监督,全面落实数据安全官制度,将个人信息保护纳入绩效考核,建立内部审计制度。三是加强外包服务安全管理,完善采购合同中的保护义务条款,建立服务商安全能力评估机制。四是畅通外部监督渠道,增强政务系统运行透明度,建立个人信息权利行使统一入口,完善投诉举报机制,鼓励第三方机构开展独立评估。五是加强人才培养与能力建设,将个人信息保护纳入人员培训体系,推动高校与政府部门合作培养复合型人才,建立专家咨询机制。
五、结 语
上海政务信息系统个人信息保护工作,正处于从制度建构向精细治理转型的关键阶段。当前,人工智能技术的加速应用为政务领域带来了新的机遇与挑战,如何在算法辅助决策、大模型训练等场景中继续坚守个人信息保护底线,已成为上海下一步需要重点探索的方向。作为我国改革开放的排头兵和创新发展的先行者,上海有条件在平衡数据利用与隐私保护、构建多方共治格局、应对人工智能时代新风险等方面进行持续探索,从而为全国政务领域的个人信息保护贡献可复制、可推广的“上海经验”。在此过程中,制度与技术的深度融合、权利保障与治理效能的协同提升,将始终是改革创新的核心命题。上海的探索与实践,不仅有助于本地治理体系的完善,也可为全国提供有益参考,这正是上海作为数字化转型先行者所体现的示范价值。
(本文刊登于《中国信息安全》杂志2026年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
