1. 引言
“你好,请出示健康码。”如今进入车站、商场、图书馆等公共场所,一枚小小的健康码成了公众必备的“通行证”。作为常态化疫情防控时期的“生活必需品”,健康码不仅在微观层面作为公民个人的“健康证明”,在公共场所中成为工作人员对我们身体健康的判断依据,而且在宏观层面反映了当地政府的疫情管控状况,助力政府精准有效决策。然而,由于新冠疫情这一突发事件的紧迫性,使得健康码在先天上缺乏系统性制度设计、监管制度和责权制衡机制,存在对公民个人信息保护上的漏洞和缺失。随着全国疫情趋于和缓,有必要从法律层面分析健康码面临的问题,对其做出制度上的调整,以应对健康码在实践中不断累积的潜在风险和安全隐患。
2. 健康码的缘起
2020年初新冠疫情突发,在党和国家的有力管控下,我们迅速控制住了疫情,之后的复产复工却又面临一系列问题,部分地区普遍面临“流动治理”的难题,即在管控疫情的同时保证人员的正常流动。这意味着各级地方政府和基层组织要精准确定各地返乡人员的风险状况,并能够使疫情相关信息在不同部门和层级之间流通。然而在新冠疫情爆发伊始,全国各地基层部门普遍采取人海战术在城际交通要隘设置关卡,对外来返乡人员个人信息进行严格登记并层层上报,使得各地基层部门一度陷入表格的海洋,工作人员成为“表哥”、“表姐”,同时还要承担不同上级的涉疫信息上报任务,但由于不同上级部门之间的涉疫信息并不共享,致使许多符合防疫要求的人员在严格的管控措施下依旧无法自由流动,合规企业难以复产。
2020年1月,杭州市余杭区率先推出“健康码”这一小程序,通过收集公民的个人信息和自主申报的方式,健康码成为公民出行的健康凭证,以及政府精准防疫的重要参考,迅速普及全国。符合防疫要求的人员可以凭借健康码作为身份识别系统,在适用地区“亮码通行”。政府基于健康码还可以开发企业复工管理系统和地区间数据互认,对企业复工复产情况和跨区域人员流动进行动态精准管理 [1]。
3. 健康码的性质和特点
2020年2月25日,国务院印发《关于依法科学精准做好新冠肺炎疫情防控工作的通知》,其中明确指出“鼓励实行动态健康认证。鼓励有条件的地区推广个人健康码等信息平台,不具备信息化条件的地区可采用个人健康申报等方式,居民通过网络平台申领电子健康码或通过社区申领纸质版健康码(健康通行卡),获得出行、复工等资格。政府有关部门、用人单位、社区等综合判断个人健康风险等级,实现特殊时期动态健康认证。
可以看出我国“健康码”采取政企合作的模式,作为在特殊条件下政府与企业合作开发的公共服务产品,由政府提供公权力背书以及相应的信任机制建设,企业为政府提供技术和算法支撑。在政企合作模式下,健康码采取“软强制”的手段来收集公民的个人信息,即秉持自愿原则申领健康码,但缺乏健康码健康认证的公民则会寸步难行,工作和生活都会受到严格的限制,这在客观上起到了强制的效果。软强制下收集公民个人信息,确实能够为政府精准抗疫提供相应的决策支持,却进一步引发了社会公众关于健康码是否侵犯了个人信息权的热议,在由应急状态向常态化抗疫的日常状态转变过程中,健康码应该实现法治化转向。
同时不可忽视的是健康码也具有一些显著的优势与特点:
其一,健康码具有精准性、科学性、动态性的特点。“一人一码”监测每一个人的健康状况,后台数据依据客观的评判标准和指数生成结果,健康码的颜色会随着本人的行动轨迹和体温等状态而动态变化,通过实时监控以最大限度降低疫情蔓延的风险,可满足民众、数据采集员、数据管理员的需求,面向不同角色配置不同职责,同时有效解决不同角色的数据采集和验证需求。通过建立统一的健康码业务规范和数据采集标准,解决现在个人申报、企业申报、学校申报、社区申报、交通申报等多个条线采集信息、数据标准不一致,采集数据不可用的问题。
其二,健康码可以满足多个使用场景。民众可以在线申领健康码,非接触式安全授卡,健康码可以作为进出社区、办公大楼、交通卡口、机场火车站等不同场景通行凭证,手机亮码即刻通行。个人凭全国一体化政务服务平台防疫健康码显示的“无异常”信息或各地健康码“绿码”,即可在交通卡口、居住小区、车站、机场、港口、客运站、轮渡和开放运营的码头、医院、公园等地通行,无须申领和出示到访地的健康码。
其三,全员触达。通过微信小程序、企业微信、海纳等多个平台,满足各类用户的产品使用习惯,快速触达普通市民、企业员工、社区居民、农村村民等用户群体;同时通过政务微信和数据中台解决政府政令上传下达、统计分析预测的业务闭环需求。健康码的使用一方面动态监测人员的健康,简化了人工登记程序,增强了疫情防控的精准性;另一方面有利于打通复工复产的堵点,缓解疫情防控和复工复产之间的矛盾。在复工复产方面,健康码帮助务工人员顺利返岗,配合劳务输出地干部解决人员就业问题,推动企业正常生产,增强劳务输入地的经济活力。
4. 常态化疫情防控下“健康码”所面临的挑战
4.1. 警惕“码上治理”的异化趋势,防止“健康码”在升级中变质
以此次健康码为例,不少地区政府试图结合健康码高用户黏性的特点,赋予健康码单纯防疫以外的新功能,推出升级版健康码,其中饱受争议的有杭州“渐变色健康码”和苏州“文明码”。
杭州“变色码”旨在通过集成电子病历、健康体检、生活方式管理的相关数据,在关联健康指标和健康码颜色的基础上,探索建立个人健康指数排行榜。同时也可以通过大数据对楼道、社区、企业等健康群体进行评价。应当明确的是,除了防控疫情,健康码不应被用于对个人进行“综合评价”,不得被用来甄别一个人在与传染病无关的方面是否健康,以此来对不同的人进行“分类”或者“评比”,无疑有导致歧视的风险。从个人的角度说,除了与新冠疫情相关的情况,其他健康信息都属于高度隐的私范畴。一个人的心脏好不好,血糖不正常,是否染上了某种难以启齿的疾病,以及他的个人行踪是完全有权利不对外公开的。一般的政府机构没有权力了解个人的健康情况,更不能把这些信息作为公共资源随意使用。
苏州“文明码”目前开通了文明交通指数、文明志愿指数两个模块,其内容包括“垃圾分类、文明用餐、文明礼让、文明上网、诚信守法、厉行节约”等。它试图通过收集、处理与前述公民行为相关的个人信息对公民行为举止的“文明”程度进行“个性画像”,使“文明”积分高的市民享受各种工作、生活、学习乃至娱乐的优先和便利,甚至“可作为警示和惩戒综合文明指数低于下限人员的电子凭证”。“文明码”的推出引发了轩然大波,批评声纷至沓来。有人认为“文明码”是“表面大数据,实则伪科学”,它既不科学也不符合人性,并可能导致“新型机器官僚主义”。面对各种各样的批评,苏州官方匆匆发表了暂停文明码施行的声明。尽管这一新型治理方式一出台就在“围观”和批判中落幕,但对这种治理方式的思考却不应由此停止。抛开“什么是文明”、“谁有权界定文明”等易引发争议的话题不谈,从其内容来看,虽然创制者声称其目的是推动社会文明进步,但其内容设置及在实践中的运作,更多地体现为对公民行为的管理和控制。此时,数据治理的工具性价值发生了转化,人原本应是被服务者,被作为目的对待,但在“文明码”治理的。过程中却成为被管控的对象。当目的沦为工具时,人的异化就基本完成了 [2]。
相关部门推行“变色码”、“文明码”的用意或许是好的,但推行方式却值得商榷。疫情防控背景下“健康码”的存在具有正当性,并不必然意味着“变色码”、“文明码”的存在也具有正当性。将前者的正当性自然延伸到后者身上,便产生了“滑坡效应”。“正如有学者所言:“如果今天限制言论,那么,随着限制进一步发展,未来人们发现正常的言论,也有可能被送到宗教裁判所遭受惩罚。” [3]
4.2. 缺乏制度设计,健康码面临监管俘获质疑
健康码作为疫情时期突破现有制度的非常产物,也是一把双刃剑。当前,全球疫情蔓延的态势依然没有得到有效控制,健康码的常态化逐渐变得顺理成章,大势所趋。数字社会,谁掌握了数据和数据的使用规则,谁就拥有了相应的权力。“监管俘获”指的是监管者为了自己的私利可能会与被监管者合谋,而一旦“俘获”监管者所获得的收益高于成本,那么被监管者则会想方设法“俘获”监管者。但是当监管者在自身某项能力不足时,不得不将部分资源或权力让渡于被监管者,由此而形成的状态就被称之为“被动监管俘获”。以此次健康码为例,作为社会公共服务的一部分,数字抗疫本应该由政府主导,但现实中反应最快的却是互联网企业,并且由于后者拥有用户资源优势和全国统一平台,各级政府不得不依靠互联网企业的资源和平台。在这次特殊的政企合作中,政府首先是让渡了部分公共管理的权力,其次是允许平台获取了国民的健康数据等信息。在这一过程中,各级政府并不是为了各自的私利,而是为了上下一心抗疫的公利,但是“被动监管俘获”却在该过程中难以避免地发生。
这是一种未来可能会更加常见的新现象,也是值得警惕和探讨的大问题,因为“被动监管俘获”存在很大风险。就当下而言,如健康码背后的数据存储、使用和后续处理等问题,都涉及到被监管对象,即互联网企业。虽然包括国家网信办、工信部等部门都出台了保护健康码数据安全的政策要求,但具体情况仍然不透明。从长远考量,政府部门的“被动监管俘获”会对数字社会治理带来深远影响。
健康码是数字科技时代智能传播的最佳雏形,数字传播将使得信息传播呈现出新的范式,每个人也将被数字化。所以,未来政府的社会治理必须要转向数字治理。此次健康码的使用就被认为是政府数字抗疫和数字治理的典范。应以健康码使用为蓝本,重新审视政务数字资源建设中可以进一步改进的点。比如,对健康码颜色的赋权,直接决定了一个用户的出行自由,但是在使用过程中有用户出现被无故标注成黄色或红色的现象。其中的数据算法规则、算法伦理等都值得探讨和警惕。这次健康码数字抗疫是为公共卫生安全服务而形成的由企业和政府以及公众多方参与的社会运动,是一次大规模的社会实验,庆幸的是,并没有失控 [4]。
4.3. 数字紧急状态下的日常生活状态难以恢复
普利策奖得主托马斯·弗里德曼(Thomas Friedman)断言,新冠疫情将是划时代历史事件——世界将分成新冠前世界和新冠后世界 [5]。面对新中国成立以来在我国发生的传播速度最快、感染范围最广、防控难度最大的疫情,2020年1月23日,武汉市以疫情防控指挥部通告的形式,正式宣布“封城”,随之逐步扩展到湖北省全省乃至全国,各地陆续启动重大突发卫生事件响应机制,采取应急防控措施,目的是为了“有效切断病毒传播途径,坚决遏制疫情蔓延势头,确保人民群众生命安全和身体健康”,实质上已经构成宪法意义上的紧急状态。《中华人民共和国宪法》第67、80条将紧急状态与战争状态属于并列的概念,广义上包括了原有“戒严”条款所处理的动乱暴乱,也涵盖了自然灾害、事故灾难、突发公共卫生事件、社会安全事件等。除此之外,全世界将近上百个国家和地区,如包括法国、意大利、西班牙、德国、新加坡、日本、韩国、美国、加拿大等,也相继进入、甚至屡次进入紧急状态。无论国内还是国外,国家制度下的紧急状态,确立了以维护国家安全、社会秩序和公民生命健康为导向的制度保障。
但是紧急状态往往意味着日常状态的法秩序被悬置。正所谓:“紧急状态无法律”(Necessi Tas Legem Non Habet)。这是主权者释放自身行动空间的最高光时刻,在这一时刻,主权者就是活的法律。在疫情公共监控过程中,无论是个人健康数据的收集,还是卫星定位追踪,甚至是社区登记信息,个人隐私都不是绝对保护或者绝对不保护的状态。事实上,任何个人隐私保护问题无法脱离、并最终还要落实到与其他法益的平衡上。需要特别指出的是,限制公民的隐私权,当然属于政府权力的扩张,但这并不必然导致单方面限制公民基本权利。典型例子是生命健康权、知情权和出行自由权。疫情期间公共信息监控的实施,既保障公民生命健康安全,也释放了因疫情防控而遭限制的公民出行自由权——如果没有这些疫情公共监控手段,疫情期间,更多人只能由于决策信息匮乏而被迫闭不出户,或者承受健康风险。换言之,这里与个人隐私保护相对应的其他法益,即包含国家安全、社会秩序等公共利益,也包含公民自身的基本权利,比如健康权、知情权和出行自由权等。
就此而言,无论是从紧急状态下法益平衡的角度,还是从紧急状态下日常法律悬置角度,疫情公共监控作为紧急状态下,国家权力的临时扩张、公民基本权利的临时限制具备正当性。这种非常规公共监控的正当性也体现在具体紧急状态法律规范中。比如,《传染病防治法》第12条、《突发事件应对法》第38条、《突发公共卫生事件应急条例》第36条等都赋予了政府出于公共卫生安全目的,而突破日常状态下的个人授权要求,强制获取和使用个人信息。
然而,这种正当性是建立在紧急状态这一前提之下的,一旦紧急状态结束,正当性便不复存在,公共信息监控也就成了问题。紧急状态下国家权力扩张之后,如何恢复到日常状态?若国家长期处于紧急状态,那么公民基本权利的限缩自然也就归于常态化。同时,新冠疫情发生在数字时代,国家权力对个人信息及相关基本权利的临时限制,在数字技术的配合和掩护之下,变得更为隐蔽、也更容易常态化,甚至极有可能嵌入到未来国家治理的数字化公共基础设施之中。虽然新冠肺炎与非典隶属同源,但是比起非典,新冠还具有病毒来源未明、无症状者传播严重、未因气候变化而明显自然衰减等特点,这意味着此次新冠疫情将比其他突发公共卫生事件持续更久,而其所引发的紧急状态公权力扩张,也比以往具有更强大的惯性。
然而新冠疫情终会消散,紧急状态终须回归日常。但是数字紧急状态的恢复,却并不如战争和戒严状态恢复那么容易实现。中央提出的“疫情防控常态化”放在数字时代来理解,与其说是一种因应时局的权宜之策,毋宁说是数字紧急状态的必然后果。哪怕不存在他国疫情输入的风险,数字紧急状态的疫情防控措施——至少在个人信息采集、国家信息监控领域——若不加干预,也将不可避免地趋向常态化。问题在于一旦疫情结束,紧急状态解除,健康码是去是留?2021年3月24日,广州市关于疫情防控的第52场通气会提出,新版“穗康码”将作为实名电子身份证;而3月27日《北京青年报》的一篇社评的标题更具代表性—健康码要“漫游”也要“长游”。而疫情的反复,也导致数字疫情防控措施步履不停。如何防止健康码及相关数字疫情防控措施在疫情结束之后继续成为公民持续佩戴的电子枷锁便成为了一个不能回避的问题。
新冠疫情爆发伊始,由于疫情防控的紧迫性,健康码所涉及的各类个人数据在收集范围、使用方式等方面,均未能、也来不及得到严密周全的层层推断和理性论证 [6],便应激行动,仓促上马。恰恰由于疫情防控中的政企联动,在某种程度上扩展了这种应激式信息监控的广度和深度,并可能造成连锁反应。如果说在疫情防控中,国家权力与公民基本权利临时性失衡,通过紧急状态获得了正当性,那么,一旦紧急状态结束,这种正当性也随之消失。其后,如果还继续保留原有监控措施,则传统的隐私法理论可以重新抗辩公共信息监控。事实上,疫情过后,有些权利可以立即恢复,比如拆掉小区栅栏恢复自由通行,移走商场门口测温仪不再采集体温。然而,伴随健康码生成的底层个人数据和衍生用户画像,其价值无论对于政府还是对于企业或许都极具价值和吸引力,这也将在某种程度上引发个人数据监控的风险。
5. 常态化疫情防控下“健康码”的困境突破
5.1. 细化公民个人信息收集、使用、处置相关规定
首先要坚持审慎包容监管下的技术节制。对于新技术我们应当在划定安全底线的同时,给予发展的空间,对于它的未来保持包容的态度,对于其中出现的问题也应予以及时的纠正。如果说健康码的初期研发囿于时间,不得不在有限的企业中遴选,那么在《全国一体化政务服务平台防疫健康信息码接口标准》等标准制定和后续完善阶段,可以通过公开的招标程序,将更多私企业纳入其中,以回应所谓的“垄断”或者“被动监管俘获”的质疑 [7]。
在信息收集阶段,应当明确政企责任。在要求政府提供公权力的同时,企业仅提供技术。并定期组织个人信息保护评估,避免监管俘获,在实现“全国同码”的趋势下,适当限缩收集信息的范围。在信息存储环节,作为信息控制者的行政机关承担着个人信息保护的首要责任。《民法典》第1039条特别强调;“国家机关、承担行政职能的法定机构及其工作人员对干履行职责过程中知悉的自然人的隐私和个人信息,应当予以保密,不得泄露或者向他人非法提供。”《传染病防治法》第12条亦规定:“疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”此外,作为数据受托处理者的企业应根据其与行政机关达成的合同,承担合同义务和数据安全法定义务。相关企业不得擅自留存数掘或在委托范围外进有处理否则将承担违约责任并遭至行政或刑事处罚。在信息使用阶段,应当公开增强信任,明确最小范围,行政机关应向公众主动披露算法细节,让公众正确认识和了解个人信息的处理的机制,消除对信息滥用的误解。在信息处理阶段,在匿名化处理后,要彻底删除码外个人信息和超时效的个人信息;对于超过必要期限后仍存储的信息,则应赋予公民个人信息删除权。
5.2. 设立专门的公民个人信息保护机构
伴随着个人信息重要性的提升,各国纷纷设立了统一的个人信息保护机构,欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)更是将“有效的专业规制机构”作为满足“充分性认定”的基本条件。迄今,个人保护机关已经在全球80多个国家或地区落地生根,出台了近百份有关个人信息保护的声明、指引和问答。我国中央网信办亦适时发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,在个人信息权益和联防联控中力求达成平衡 [8]。
当前,我国个人信息保护工作由中央网信办等中央政府部门以及国家卫生健康委员会等专业监管机构共同承担,相关规范重复或冲突、执法权责不明的情形屡屡出现,不同机关之间冲突的协调又困难重重,亟待将相关职责集中收归到统一的个人信息保护机构。域外经验表明,只有坚持个人信息保护机构的独立性,才能有效防止和排除其他组织的干预,进而使个人信息保护机构有效履行法定的监管职能。“独立”并非“自治”,而是要求个人信息保护机构与其他行政机关之间的权力分配是明确和透明的,并在其职权范围内不受其他组织的压力,使之摆脱不当干预或受监管企业的“捕获”。正如健康码运行中所凸显的,最有可能侵犯公民权益的往往就是行政机关,在权利不足以制约权力之时,个人信息保护机构亟待发挥独立第三方的“权力制衡”功能,监督其他行政机关依法行政。
5.3. 落实法定信息删除权,助力恢复日常生活状态
信息删除权又称“被遗忘权”。通说认为,被遗忘权是指公民有权在满足一定条件下,要求掌握其个人信息控制者或处理者删除特定的个人信息。在个人信息数字化、存储介质越发廉价、网络全球化的数字时代,“记忆是常态,遗忘成例外”,你可能不会记得2011年的一场重感冒,但2021年的一次小感冒,健康码都帮你记得明明白白。之所以如此,是因为数字时代的记忆和遗忘机制已经发生根本性转变,数字紧急状态下所收集的个人信息,如若不加干预,都将被永久记忆 [9]。
此次健康码所涉及的、可能被永久记忆的个人信息,主要包含两类,一类是公民健康信息,另一类是公民行为信息。这两类中包含了健康生理信息、生物识别信息、行踪信息、过往病史(尤其是绝症、新冠、性病、妇科疾病等)等,它们这些信息大多属于《个人信息安全规范》和《个人信息保护法》中的“敏感信息”。可以想见,如果在疫情结束之后这些敏感信息未被遗忘,而继续在公权力机关和互联网企业留存,“一旦遭到泄露、非法提供或者滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或者歧视性待遇”。
我国《个人信息保护法》第47条明确规定了信息删除权适用的几种情形:① 约定的保存期限已届满或者处理目的已实现;② 个人信息处理者停止提供产品或者服务;③ 个人撤回同意;④ 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;⑤ 其他情形。具体到数字紧急状态的恢复,信息删除权更多体现出的是作为对公权力机关权力扩张的限制,尤其是要求公权力机关在数字紧急状态结束之后,集中删除或清理个人信息。这在某种程度上,也拓展了原有被遗忘权被作为一项个人民事权利所遮蔽的公共权利属性。
6. 结语
2020年6月,《杭州关于打造全国新型智慧城市建设重要窗口的决定》发布,其中特别指出:充分发挥“杭州健康码”在公共卫生体系中的重要作用。建立“重大疾病防控库、个人健康信息库、法人健康信息库”三大信息库,结合社会治理相关数据库,延伸移动端功能,拓展“一人一码”公共服务,推动健康码与就医、养老、健身等功能相集成。加快健康码使用从疫情防控向日常服务应用转变,使健康码在提升公共卫生现代化水平中发挥更重要作用。这不是杭州一地的构想,事实上,如何在疫情常态化之后拓展健康码的应用,已经列入多地的议事日程。然而,健康码虽小,其中却蕴含着大风险,如果缺乏法律视角的思考,所谓转型或者徒劳无功,或者得不偿失。
应当认识到,限制公民行为自由的健康码是紧急状态下对个人基本权利的克减,其正当性建立在新冠疫情的超强传播性和致命性的基础上,一旦疫情缓解或结束,健康码就必须脱离强制性和约束性,从行政机关依职权的行政行为转为公民的自愿行为。最后,健康码数据的收集与使用与疫情防控的目的密不可分,若相关数据的处理不再必要,根据存储期限最小原则,均应删除或匿名化。就此而言,转型后的健康码不再享有公共利益豁免,相关个人信息的收集和使用应重新获得个体同意,对于涉及健康医疗的敏感信息,还应单独取得明确同意,并履行必要的安全评估程序。
总之,作为中国应对新冠疫情的成功经验,健康码蕴含了国家治理变革的契机,只有矢志不渝地坚持法治原则,才能让数字力量赋能美好社会,而不会滑入科技利维坦的深渊。