周 姮，張明彭

(安徽大學 法學院，合肥 230039)

健康碼，又稱防疫通行碼，它是以大數(shù)據(jù)為基礎，由使用者申請，經(jīng)過后臺審核后而形成的個人二維碼。作為新冠疫情爆發(fā)而產(chǎn)生的一種全新的事物，健康碼的出現(xiàn)既是一種偶然，也是一種必然。大數(shù)據(jù)技術(shù)的運用在我國行政治理中并不罕見，利用公民日常生產(chǎn)、生活所產(chǎn)生的個人信息，經(jīng)過后臺分析進而做出相應的行政措施，如城市交通流量的控制、違法建筑的識別等。伴隨科學技術(shù)水平的提高，政府對個人信息的使用程度也不斷加深?！霸诂F(xiàn)代化進程中……危險和潛在威脅的釋放達到了一個我們前所未知的程度”，公民的隱私在大數(shù)據(jù)的使用中無處遁行，公民逐漸被標簽化、失去個性，個人空間被進一步壓縮。[1]若任使用大數(shù)據(jù)技術(shù)而不對此予以規(guī)范，我們將喪失現(xiàn)代社會所珍視的個人信息權(quán)利，“極權(quán)社會”將威脅到每一個自由的公民。習近平總書記在黨的十九大報告中也強調(diào)，在將大數(shù)據(jù)技術(shù)融入到社會治理中的同時，也要提升治理的專業(yè)化和法治化水平?；诖?，文章以健康碼為例，探析健康碼應用的法律基礎以及可能對個人信息安全帶來的風險挑戰(zhàn)，有助于更有效的規(guī)范政府利用大數(shù)據(jù)進行社會治理。

1 健康碼的法律性質(zhì)及其正當性論證

健康碼作為大數(shù)據(jù)技術(shù)應用于社會治理的典型代表，在數(shù)字化抗疫中發(fā)揮了舉足輕重的作用。盡管健康碼是在特殊時期突破常規(guī)的非常舉措，但其缺乏完整的制度設計和監(jiān)管體系。因此，我們有必要從運作機制來分析健康碼的法律性質(zhì)，從制度規(guī)范角度來論證健康碼應用的正當性，這是討論健康碼背后個人信息安全風險的前提。

1.1 健康碼的法律性質(zhì)

在疫情期間，健康碼屬于何種性質(zhì)的文件？是否如同個人身份證？沒有它又會產(chǎn)生何種后果？我們可以從健康碼的收集、運行以及審核方式上進行探討。有學者認為健康碼所收集的個人信息類型主要分為兩大類：單一授權(quán)信息和復合授權(quán)信息。[2]單一授權(quán)信息的收集主要靠個人在系統(tǒng)中自主填報，包括個人身份信息以及個人健康信息。而復合授權(quán)信息需要公民授權(quán)系統(tǒng)，由系統(tǒng)在后臺通過數(shù)據(jù)對比、分析生成，如個人行程信息。經(jīng)過信息收集、數(shù)據(jù)分析，判斷得出不同地區(qū)公民的感染概率，并通過不同的顏色(綠碼、黃碼、紅碼)進行直觀的展示。由于單一授權(quán)信息是由個人進行填報，存在瞞報或者謊報的可能。復合授權(quán)信息由系統(tǒng)后臺進行自動判斷，也可能出現(xiàn)判斷錯誤。如在一些臨近高風險地區(qū)的地方，因為后臺系統(tǒng)對手機定位信息收集產(chǎn)生偏差，而把正常地區(qū)公民的健康碼判定為紅色。因此，從運行機制上來看，健康碼并不能完全正確地反映個人健康風險狀況。對于非綠色健康碼的應對措施，一般也是限制出行和進行隔離，有的地區(qū)會要求進一步做核酸檢測以確診。此外，對于無健康碼的老人或者兒童，一般會進行身份登記和體溫測量。

可見，健康碼事實上是一種以大數(shù)據(jù)為基礎，對各地區(qū)公民的感染風險進行智能判斷而生成、并動態(tài)更新的電子健康證明。盡管在使用初期，由于一些地方政府的懶政，將健康碼的顏色標識從“基準”變成了“絕對標準”，但其本質(zhì)上還是為了便于防疫而推行的輔助識別措施。有學者認為，健康碼在行為類型上與行政評級相似，但其本身并沒有直接引起行政法律關(guān)系的產(chǎn)生、變更或者消滅。[3]因此，健康碼不能代替核酸檢測，其也不是法律規(guī)定的公民必須提供的身份證件。

1.2 收集個人信息的法理支點及法律依據(jù)

健康碼的運行是以政府收集個人基本信息為基礎。因此，我們有必要明確政府獲取個人信息的法理支點及法律依據(jù)。風險社會背景下，人們對公共安全的擔憂提升到一個前所未有的高度，對政府在保護公共利益方面的要求也越來越高。雖然公共利益絕不能凌駕與私人利益之上，但在兩者發(fā)生沖突的情況下，必須進行利益衡量以保證社會的有序運行。[4]在新冠疫情這場全人類的災難面前，通過技術(shù)手段收集、使用個人信息以達到防控疫情的目的，是公共利益與個人權(quán)利權(quán)衡后的結(jié)果。面對國內(nèi)數(shù)億人的防疫工作，如果采取人工登記等傳統(tǒng)手段，必將是杯水車薪，而利用大數(shù)據(jù)技術(shù)是最為高效的措施。相比于健康碼帶來的個人信息安全風險，優(yōu)先保護公共安全更有利于實現(xiàn)效益最大化。當公民依靠自身力量已無法擺脫公共突發(fā)衛(wèi)生事件帶來的威脅時，借由政府收集和使用個人信息亦只是公民部分權(quán)利的臨時性讓渡。[5]因此，健康碼的應用是基于疫情防控與保護個人信息安全并重的法理邏輯，以保護個人的生命健康為根本目的。

雖然《民法典》明確規(guī)定個人的身份信息、健康信息以及行蹤信息屬于個人信息，受法律保護。但是，《民法典》第1 035條也規(guī)定了在法律、法規(guī)另有規(guī)定的情況下，可以不征得自然人同意收集個人信息?！锻话l(fā)事件應對法》《傳染病防治法》和《突發(fā)公共衛(wèi)生事件應急條例》都給了行政機關(guān)非常強的信息收集權(quán)，在沒有個人授權(quán)下可以收集人口學信息，如年齡、性別、位置等?！盁o需個人同意”并不意味著被收集人沒有知情權(quán)，行政機關(guān)應明示信息收集的目的、范圍以及方式，如江蘇省的“蘇康碼”在信息收集時，會有詳細的隱私協(xié)議告知被收集人。可見為了防控疫情的需要，健康碼合理收集個人信息是合乎法理、法律的正當性舉措，我們需要注意的應是政府如何收集個人信息以合乎比例原則。

2 健康碼的應用對個人信息安全造成的風險

目前，對于收集個人信息所應遵循的規(guī)則很模糊，《民法典》中只原則性地規(guī)定了收集個人信息應合法、正當、必要，不得過度處理。在疫情防控中，很多有關(guān)保障信息安全的條款也只是原則性條款，缺少實際操作性。譬如，“為疫情防控、疾病防治收集的個人信息，不得用于其他用途”中，哪些屬于“其他用途”并沒有做詳細規(guī)定。收集、保存、使用個人信息的規(guī)則不明確，可能導致個人信息遭到泄漏甚至濫用，給個人信息安全帶來了極大的隱患。

2.1 信息泄漏風險

2.1.1 信息收集主體過多

如上所述，我國法律賦予了政府、衛(wèi)生行政部門、疾病預防控制機構(gòu)、醫(yī)療衛(wèi)生機構(gòu)等主體廣泛的信息收集權(quán)。其中人民政府可以根據(jù)“突發(fā)公共衛(wèi)生事件應急預案”將信息收集權(quán)再次授權(quán)給相關(guān)部門、機構(gòu)或者組織，包括但不限于公安、基層群眾自治組織。以節(jié)后合肥返鄉(xiāng)人員登記為例，有三個主體對個人信息進行收集：公安部門對主要交通站點(火車站、飛機場、汽車站)的人員進行登記，村委會、居委會對轄區(qū)內(nèi)返鄉(xiāng)人員進行登記，高校對返校學生進行登記。但是，在實際操作中，很多法律授權(quán)和有權(quán)委托范圍以外的主體。都可能收集個人健康碼信息，如物業(yè)、商場、企業(yè)。此外，為健康碼提供技術(shù)支持的互聯(lián)網(wǎng)企業(yè)、電信公司也掌握著大量的個人信息。在水平參差不齊、數(shù)量眾多的信息收集主體面前，個人信息泄漏的風險急劇上升。雖然我國對有權(quán)收集個人信息的主體做出了嚴格限定，但是在實際操作中存在的眾多無權(quán)收集主體使得個人信息泄漏風險進一步累積。

2.1.2 信息過度索取

2020年11月13日，網(wǎng)信辦發(fā)布“關(guān)于35款App存在個人信息收集使用問題的通告”，其中安康碼的皖事通、湖北健康碼的鄂匯辦都存在過度收集用戶信息等問題，如在收集用戶身份證號、支付寶賬號、過往病史時并沒有明確告知用途及目的。北京、上海等部分城市健康碼申請需要提交人臉特征等個人敏感信息，而其他省市的健康碼(如湖北、江蘇)卻不以提交面部信息為必要申請條件。這也說明在沒有采集人臉信息的情況下，并不影響健康碼的正常運行。通過以上實例，我們不得不發(fā)出疑問，這些涉及到個人隱私的敏感信息與疫情防控有多大的關(guān)系？更令人擔憂的是，信息的過度索取預示著未來可能對個人信息的利用超出必要的限度。近期，包括杭州等國內(nèi)眾多城市設想提出“漸變色健康碼”，通過疫情期間集成的公民相關(guān)數(shù)據(jù)，探索建立個人健康指數(shù)排行榜。人們在疫情期間已經(jīng)逐漸習慣于在公共場所填報個人信息，即使存在過度索取也很可能不以為然。當政府將包含人們隱私的個人信息隨意取用時，那么公權(quán)力與私權(quán)利的界限將不再清晰。

2.1.3 信息重復索取

在健康碼運行初期，各地紛紛推出本地健康碼，不同省份健康碼不同，甚至是同一省內(nèi)各市的健康碼也不統(tǒng)一。以長三角地區(qū)三省一市為例，上海有“隨申碼”，江蘇有“蘇康碼”，安徽有“安康碼”，浙江有“浙江健康碼”。其中，江蘇省除有“蘇康碼”外，還包括各市的“寧歸來”“蘇城碼”“淮上通”“錫康碼”等等。各地因為采取不同的技術(shù)標準，各自為營，數(shù)據(jù)難以打通。雖然國務院早已上線全國統(tǒng)一健康碼，但從實踐來看，各地還是以本省、市健康碼為標準，要求返程人員必須申請注冊本地健康碼。[6]本應是方便復產(chǎn)復工的健康碼，因全國沒有統(tǒng)一的標準，反而給跨省、甚至是跨市返程人員造成極大負擔?；ゲ幌嗤ǖ慕】荡a使人們重復申請各地健康碼，導致個人信息泄漏的風險增大。更為嚴重的是，各地對個人信息的保護措施存在差異，大多數(shù)省市在健康碼申請注冊程序中并未設置任何隱私保護條款，這就很可能使本受嚴格保護的個人信息在其他省市因重復索取而遭到泄漏。[7]

2.2 數(shù)據(jù)濫用風險

2.2.1 數(shù)據(jù)由企業(yè)儲存并不安全

杭州健康碼之所以能夠在短時間內(nèi)迅速推出并推廣至全國，這與阿里巴巴公司背后的技術(shù)支撐密切相關(guān)。阿里巴巴旗下的淘寶、天貓、支付寶等產(chǎn)品在中國乃至世界范圍擁有眾多用戶，面對海量數(shù)據(jù)的處理，其已擁有了完整、成熟、可靠的技術(shù)儲備。在杭州市政府的牽頭、協(xié)調(diào)下，阿里技術(shù)團隊僅用4天就正式上線了杭州健康碼，當天申領(lǐng)量達到134萬。隨后健康碼在各地被推行，支付寶軟件已涵蓋上百城市的健康碼。緊接著中國另一互聯(lián)網(wǎng)巨頭騰訊公司也宣布在深圳推出全國首個“防疫健康碼”，此后百度、美團等企業(yè)也紛紛加入健康碼之爭。如果說在緊急時期需要處理如此龐大的數(shù)據(jù)信息，政府借助企業(yè)的技術(shù)無可厚非，這也是企業(yè)利用自身優(yōu)勢積極承擔社會責任的表現(xiàn)。但是隨著眾多科技企業(yè)紛紛加入這場投入巨大又“無利可圖”的健康碼之爭時，僅靠“社會責任感”一說恐怕難以讓人信服。

2.2.2 疫情后個人信息處理不明

雖然在健康碼系統(tǒng)的管理和運行中，政府是數(shù)據(jù)控制者，企業(yè)只是數(shù)據(jù)處理者，必須按照政府的要求收集、儲存數(shù)據(jù)。但是企業(yè)是存儲著包含個人隱私等海量數(shù)據(jù)的服務器的實際擁有者，如果疫情過后企業(yè)私自將數(shù)據(jù)留存，那么企業(yè)便成了數(shù)據(jù)控制者。自疫情發(fā)生以來，人們出入小區(qū)、商場、車站等公共場所時，登記或展示個人信息已成為“新常態(tài)”。但是疫情過后，健康碼等被各方儲存的個人信息將何去何從，這成為人們心中的疑慮。盡管中央網(wǎng)絡和信息化辦公室早已發(fā)布《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，要求對收集的信息采取動態(tài)刪除。但此規(guī)定較為簡單，沒有明確規(guī)定具體的數(shù)據(jù)銷毀程序以及后續(xù)檢查制度。作為技術(shù)持有者的企業(yè)，如果在刪除數(shù)據(jù)時有意留有后臺，那么技術(shù)相對弱勢的監(jiān)管者將很難發(fā)現(xiàn)。雖然已有不少行業(yè)的信息收集主體作出聲明，如多家航空公司在采集旅客信息時承諾，數(shù)據(jù)僅用于疫情防控，疫情結(jié)束后將全部銷毀。但在《生物安全法》《個人信息保護法》《數(shù)據(jù)安全法》等相關(guān)法律中，就個人信息保障而言，立法修改進程明顯滯后。若僅僅仰仗于存儲海量個人信息數(shù)據(jù)的企業(yè)“自律”，那么人們對疫情后信息遭到濫用的擔憂恐將成為現(xiàn)實。

3 個人信息使用常態(tài)化缺乏法律依據(jù)

在健康碼成為疫情期間一項重要的防控手段后，不少地方政府開始考慮將健康碼運用到日常社會治理中，推進健康碼常態(tài)化。在創(chuàng)造出健康碼的杭州，已有使用“漸變色健康碼”的構(gòu)想：通過集成電子病歷、健康體檢、生活方式管理的相關(guān)數(shù)據(jù)，在關(guān)聯(lián)健康指標和健康碼顏色的基礎上，探索建立個人健康指數(shù)排行榜，實現(xiàn)“一碼知健”。此外，上海、蘇州、廣州等地都在考量如何將健康碼實現(xiàn)升級轉(zhuǎn)化，如作為市民的電子身份證或隨身服務碼。[8]雖然，各地政府在接受媒體采訪時表示健康碼常態(tài)化只是一個設想，暫無具體實施時間。但是，這不妨礙將這看作是政府的一種試探，類似健康碼的模式應用于日常的社會治理很可能成為現(xiàn)實。健康碼的使用可以說是疫情防控的一項權(quán)宜之計，是公共健康與個人隱私之間短暫的取舍，在突發(fā)公共衛(wèi)生事件中公共利益的價值位階高于個人的信息自決權(quán)。[9]但無論是《民法典》，還是《傳染病防治法》《突發(fā)公共衛(wèi)生事件應急條例》都規(guī)定了只有在突發(fā)公共衛(wèi)生事件下，政府才能夠不經(jīng)同意大規(guī)模收集個人信息，且不能用于其他用途。因此，如果疫情后政府繼續(xù)使用健康碼所采集的數(shù)據(jù)，那么就可能涉嫌濫用個人信息；如果使用的數(shù)據(jù)不是由健康碼升級而來，那么則可能涉及違法收集個人信息。

在此次新冠疫情防控中，我們深刻體會到大數(shù)據(jù)技術(shù)在社會治理中的巨大優(yōu)勢，但同時也應認識到其對個人信息安全帶來的威脅。行政管理者不能一味追求“數(shù)字治理第一城”而逾越公權(quán)力行使的邊界，將個人信息安全拋之腦后。在大數(shù)據(jù)時代，需要建立完善的制度以規(guī)范政府收集和使用個人信息，而對健康碼應用下個人信息安全風險的探討或許只是剛剛開始。