1. 引言
在这个信息大爆炸的时代,我们每个人都被各种信息充斥着,与此同时,我们的各项信息也正在被收集着、利用着。随着信息技术的进一步发展,我们一方面在享受着科技带来的便捷的同时,也暴露了一系列关于个人隐私的安全隐患。2019年,新冠疫情在湖北武汉爆发,由于疫情防控的需要,健康码作为一项快捷高效的信息采集方式很快在全国得到广泛使用,但是随着疫情的好转,人们开始去思考健康码存在的正当性问题。对此,学者们持有不同的观点,许可表示:“应急状态的特点是暂时性和可恢复性,一旦疫情缓解或结束,都应该进行相应的动态调整。一般情况下,只有公共防疫部门才有权获取、保管这些数据,后续公民拥有的删除权等应该得到尊重,而不能将它常态化,作为长期的处置方法”。出于对健康码所含数据的担忧,丁晓东提出:“健康码信息的收集是有目的限定的,将其作为统一的个人信息收集平台或是进一步利用,从个人隐私保护和维护公信力角度来看,都不是一个好主意。倘若没有彻底删除,一旦发生数据泄露或滥用,都会导致信任度的丧失,未来如果再基于公共利益需求收集公众个人信息,很可能阻力就会加大。”还有学者认为上述观点没有看到技术政治同生命政治正在结合的趋势,没有看到这两者的“合体”所快速推动的从“肉身人”到“数字人”的当代转向。在政治哲学层面上,作为权利的私人隐私与作为权利的生命,尽管都是现代性所创造并正面肯定的政治价值,但就其在现代性政治哲学大厦中的符号性、话语性地位而言,前者远远不及后者。还有学者认为在大数据时代真正关注的是“余数生命”,即类似于老人、小孩,被排除在数字洪流之外的这一类人才应当被重视。
在笔者看来,尽管大数据是大势所趋,在未来的社会发展中,我们每个人不免会与各项数据打交道,但是这并不意味着我们就因此而丧失了对于相关数据的管理权。拿健康码来说,它所搜集的个人信息不仅包含了个人主动填报的姓名、身份证号、手机号、家庭住址等,还包含了互联网企业、工作单位、居民社区、商业场所、医院药房、政府部门等数据源。这些信息有的属于公民的基本信息,有的属于隐私信息,倘若不对其进行有效规制,一旦这些信息产生泄露,将会给公民的日常生活带来极大的影响,同时公民对政府的信赖程度也会下降。因此,在后疫情时代,健康码的信息管理问题应当引起相应地重视,亡羊补牢,为时未晚。
2. 健康码——“移动的个人信息库”
(一) 个人信息的概念
公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联络方式、住址、账号密码、财产状况、行踪轨迹等。
从世界范围来看,关于上述这类信息应该被定义为“个人隐私”、“个人信息”、“个人资料”还是“个人数据”,国内外拥有不同的立法。韩国及日本采用“个人信息”的说法,瑞典、法国、英国、挪威、冰岛及芬兰等国家采用“个人资料”的称谓,美国、加拿大、以色列则采用“个人隐私”的定义 [1]。在我国,对此问题学者们也有不同的立场,例如我国台湾地区学者徐文义还有大陆学者齐爱民均主张采用“个人资料”的观点,他们认为个人信息的外延要大于个人资料,个人资料只是个人信息的物化形式之一而已,对个人资料进行立法保护的目的在于保护以个人资料形式存在的个人信息,而并不是所有的个人信息。
在笔者看来,各个称谓还是存在较大意义上的差别,“个人数据”相比于其他概念来说增添了信息技术的味道,“个人隐私”应该指“个人信息”中更为私密的信息,而“个人资料”则偏重于物化形式。总的来说,尽管各个国家以及各大学者对此的看法各有千秋,但是最终目的却如出一辙,即保护公民的个人信息。
个人信息与普通信息相比,其最突出的特点是可识别功能与资源价值。可识别功能是指相比于其他信息而言,通过对该一类信息的整合或再加上其他的辅助性信息,便能够在茫茫人海中辨识、定位、联络到一个人。资源价值是指此类信息对于自身、他人、企业、国家及其他团体来说是有利用价值的。对于个人来说,此类信息与自身的生产生活密切相关;对于行政机关而言,掌握这类信息则便于管理、提高行政效率;对于企业来说,此类信息可以更为精准的做到人群定位、需求分析等,这其中蕴含了巨大的商机。
(二) 个人信息泄露的危害
我们正生活在一个信息无比发达的时代,正行进在一个权利高度张扬的世纪。个人信息充斥着我们整个日常生活,可以说个人信息与我们息息相关、如影随形。我们一边在享受着信息爆炸给我们带来的便利的同时,也必须意识到我们的个人信息权利正遭受侵害。近年来,各地出现多起因为快递包装袋上的信息泄露而引发的诈骗案件,还有一些银行泄露客户信息,导致客户财产权遭受损失1,更严重的是,还有因为自身信息泄露而丧失生命权的惨痛教训2。此类事件的不断发生,让人们认识到个人信息的重要性,《个人信息保护法》在加紧制定中,政府部门也出台了各种通知3。
(三) 健康码所涉个人信息之广
由于新冠疫情的突然爆发,公共安全面临着巨大的威胁,幸而全国人民团结一心联合抗战,而健康码在这场战役之中也功不可没。健康码是以真实数据为基础,由公民在网上进行自愿申报,在填入相关个人信息之后,后台进行审核,之后生成二维码,用于个人出行。
在申报系统中可以看到,申领健康码需要填入姓名,身份证号、上传身份证照片、十四天旅居史等信息,其中,十四天旅居史包含了个人体温、核酸检测结果、其他身体状况等重要医疗信息。由于健康码是在支付宝平台上申领的,而用户使用支付宝之时大都进行了实名认证,故健康码同时还包含了肖像、虹膜等个人人像信息。由此可以明确,健康码不仅包含了一般的个人信息,还包含了很多更为隐私的信息,一旦公民健康码的个人信息泄露,被不法分子利用,后果将不堪设想。故对于健康码的使用,我们应该予以更高的关注度。
3. 政府机关运行健康码的正当性基础
健康码包含了如此多的重要的个人信息,而行政机关在收集这类信息之后还凭此对公民的个人自由进行各种限制,政府这样做的正当性在哪里?
(一) 公共卫生安全优先
公权力与私权利之间的平衡是处理国家与公民关系永恒不变的话题,我们的公法均是为了限制政府公权力而设定的,故大多学者称行政法为“控权法”,只有当国家为了维护公共利益的时候才能对个人权利予以限制。从健康码的运行来看,政府采集公民的相关信息,通过对该信息的整合向公民发放绿码、红码以及黄码,从而达到限制公民出行、更好的防控疫情的目的,这一举措的正当性可以从以下几方面论证:
1. 生命健康权是第一位
生命权是我们每个人最重要也是最优先的权利,生命权是“所有人权的基础”4,是“绝对不能克减的权利”5。生命是我们每个人进行其他各项活动的前提,没有了生命,其他的一切都是无稽之谈。当新冠肺炎爆发之时,不仅是个人而是整个国家甚至于整个世界都处在一个生命健康被严重威胁的状态。由于新型冠状病毒的高度传染性以及我国人口高度的流动性,一人确诊所造成的影响是巨大的,故此时监控好个人的行动轨迹成为防控疫情不可或缺的一环。因此,此时通过健康码这一新的电子信息手段来防控是必须的,同时也是有成效的。每当确诊一例新冠肺炎感染者,就可以通过健康码确定该患者的行动轨迹,从而进行核酸检验的排查工作。在此时,相比于保护整个国家公民的生命安全这一公共利益,个人信息安全利益应该得以让步。
2. 从功利主义角度来看,公共安全优先可以达到效益最大化
一方面,从对新冠疫情的控制成本来看。倘若不使用健康码这类电子信息技术来采集个人信息,而是采用传统的线下追踪的方式,每确诊一人就从该人逐一进行排查,无论是人力还是财力都将大幅增加,而且每个人出行都得携带核酸检测结果,这样的方式势必会降低防控疫情的效率以及增加财政的支出,且更多的线下接触会导致传染的机率大大增加。健康码对于现在的技术行业来说并非难事,甚至可以说是低成本的,再加之由于现在新兴的支付方式的出现,健康码借助于支付宝这一平台也容易让人们接受,宣传的成本大为降低。故在此时选择使用健康码是明智的。
另一方面,从疫情失控与个人信息泄露的危害结果对比来看,无疑疫情失控所造成的后果远远大于个人信息泄露。现在的世界是一个交融互通、互相合作的世界,一旦疫情失控,影响的将是全世界人民的身体健康。没有了生命健康,何谈社会经济与个人生活?
因此,从功利角度而言,公共安全无疑应作为第一选择。
3. 以我国现有的法律规范为依据
我国《传染病防治法》第12条规定:“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况。”6在《突发公共卫生事件应急条例》第21条规定:“任何单位和个人对突发事件,不得隐瞒、缓报、谎报或者授意他人隐瞒、缓报、谎报。”7因此,可以从我国现有的法律制度看出,在发生疫情的时候,全体公民都有配合政府相关部门进行防控的义务。政府收集个人有关疫情的相关信息并对该类信息进行处理的行为有其正当性。
(二) 对公民权利限制的合比例性
在现代法治社会,公民权利的行使要受到内在和外在两方面的限制。内在限制是指公民权利的行使不得侵犯他人权利,更不得侵犯公共利益。这是共同体状态下权利在其自身性质上理所应当伴随的界限;外在限制是指共同体可以基于公共利益的需要运用公权力对公民权利进行限制,这是社会契约所容许的 [2]。当公共利益与个人利益发生冲突时,需要在二者之间进行权衡,当我们选择维护公共利益时,同时也应当保证由此对个人利益的限制是在合理限度之内的。也就是说,尽管疫情爆发之时,为了公共安全可以对个人权利予以限制,但是这种限制只有满足合比例性才是正当的。
“公共利益”一词具有较大的抽象性,这就导致很多行政机关拿“公共利益”来作为侵害公民个人权利的幌子,就公共的范畴来说,多数学者主张公共利益是指不确定多数人的利益 [3]。因此,我们还需要对限制个人权利的措施进行考量。在这里值得借鉴的是德国的比例原则,有学者将其简称为“权利限制的限制” [4]。比例原则包含三个方面的内容,首先,手段之于目的的有用性。也就是说,采取的手段对于目标的实现是有效用的。其次,在众多的有利于目标实现的手段中,选择的措施是对相对人损害最小、最有必要的。这是从“法律后果”上来规范行政权力与其所采取的措施之间的比例关系的。换句话来讲,“杀鸡焉用宰牛刀”。最后,在欲保护的权利与所限制的权利之间具有均衡性,也即行政主体在面对多种选择之处置时,应当就方法与目的的关系权衡更有利者而为之。这是从“价值取向”上规范行政权力与其所采取的措施之间的比例关系的。
在健康码的使用中,首先,健康码对于防控疫情的结果是有效用的,使用健康码这一手段与达成控制疫情的目标是紧密对应的,上文已论述过。其次,健康码在使用过程中是否遵循了最小必要原则,值得怀疑,下文将进一步论述。最后,维护公共安全指向位阶最高的生命权,适当限制个人信息权益符合均衡性要求 [5]。在这一点上,政府所为是有其正当性的。
4. 在健康码运行中所暴露出的问题
如前文所述,在这一特殊时期,健康码的适用具有现实必要性以及可行性,在疫情最严重的那段时间,公民们大都十分配合政府的工作,挺过了最为艰难的一段时期,但是,随着疫情的渐渐好转,人们也逐渐认识到在健康码使用过程中存在的一系列不合理的现象。
(一) 知情同意原则被漠视
1. 健康码的使用具有现实强制性
虽然健康码秉持着“自愿申领”的原则,但是实际上,人们如果不去申领该健康码,则可能“寸步难行”,因为在疫情期间,公民在日常出行中,除了积极配合相关部门申领健康码之外,别无选择。也即是说,“没有选择的选择”就是强制。例如,在疫情最严重的时候,没有健康码,也许人们连小区的大门都出不去,现在疫情好转之后,没有健康码,人们依然无法乘坐公交、地铁、居住酒店、进出政务服务大厅等日常场所。与此非常相似的情况是,当我们在应用市场下载了某APP之后,在刚打开其界面之时,会跳出来一个界面,“是否允许该APP获取您的储存信息?”,倘若点击“否”,那么手机便立马退出该APP,这就意味着在这个时候,你只能被迫同意该APP获取你的信息。因此,由于现实的原因导致人们不得不去使用健康码,表面上的自愿而实际上并非如此。
2. 健康码申领过程中未设置知情同意、隐私保护条款
在《个人信息安全规范》中,明确了七项个人信息安全基本原则。8其中第三条“选择同意原则”,即“向个人信息主体明示个人信息处理目的、方式、范围等规则,征求其授权同意”。政府作为对于公民个人信息的采集者,在使用公民信息的时候,本应得到公民的同意方可使用,对于一些紧急的特殊情况,也应该让公民得知相关的消息,对于自己的信息处于一个了解的状态。然而,在实践中,很多省在发放健康码的时候并没有写明知情同意、隐私保护条款,一方面被收集信息的公民对于政府收集自己的信息之后,后续将如何处理的问题无从知晓,即使该类信息要被使用,也没有政府的相关部门去征求其同意;另一方面,由于没有设置隐私条款,所以大部分人对于自己的个人信息权没有清晰的认知,个人的信息权利得以漠视。
3. 健康码赋码规则未公布
Jathan Sadowski认为:“一切智能的背后,都是监控与控制。” [6] 在《个人信息安全规范》规定的个人信息安全基本原则中,第五项是“公开透明原则”,即“以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督”9。相关行政机关在采集了公民的个人信息之后,对该信息进行审核,并根据公民具体的实际健康情况发放红码、绿码及黄码,但是,关于行政机关具体的赋码规则并没有进行公布,公民们谁也不知道行政机关的标准到底是什么,只能够一昧地遵从。
在疫情期间,便出现了很多让人啼笑皆非的事件,例如有的居民在家时还是绿码,下楼买个菜之后就变成了红码,最后连家都不能回。还有在未到访过高风险区的情况下,本应为低风险的绿色健康码却变成了高风险的红色健康码,导致公民的出现受到严重影响。
健康码并不是第一个将大数据与流行病的防控与治理联系起来的项目,“谷歌流感趋势”因其具有正义的目标而得到了政府的支持,但是,在该项目的实践过程中,关乎大数据的应用安全、算法伦理及用户隐私安全等问题层出不穷,那么同样的,健康码的运行同样也逃不过要面对这一系列问题。
(二) 最小必要原则被逾越
1. “层层加码”现象严重
在实践中可以发现,在现阶段,健康码的使用并不是“一码通行”,当人们出发去外省时,需要再次申领该外省的健康码。笔者亲眼见过在机场排着长队申领健康码的情况,这样做既十分浪费行政相对人的时间,又加大了行政机关的工作任务,这样的方式实属没有必要。此外,还应当考虑到,一些年老的公民不善于操作手机的情况,对于该类人群,应该要允许除健康码之外的能够作为通行的凭证。
2. 各科技企业加入健康码的开发,加剧信息泄露风险
由于健康码的制作成本十分低廉,所以在健康码使用如此广泛的时候,各企业看到了健康码使用的前景,都纷纷加入了对于健康码的开发使用中。通过观察,除了腾讯、阿里巴巴两大商业巨头主导健康码的开发之外,苏宁、百度、美团也迅速加入健康码的开发之中。
健康码是数字科技时代智能传播的最佳雏形,数字传播将使得信息传播呈现出新的范式,每个人也将被数字化 [7]。可以预测到,未来的政府治理也将向“数字化治理”转变。在这样的一个数字社会之中,谁掌握了数据及数据的使用规则,谁就拥有相应的权力。因此,对于健康码我们应该要意识到,一方面,信息的过于集中管理会导致信息泄露的风险加大,另一方面,多元主体的参加也会导致信息泄露风险增加,毕竟,市场调节一大弊端就是市场的趋利性,一旦信息泄露,后果将不堪设想。
3. 实际上个人信息的处理者多为基层单位
虽然在《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中明确规定,除经国务院卫生健康部门授权,其他任何单位和个人未经同意不得以疫情防控、疾病防治为由收集个人信息 [5],但是由于健康码的操作难度低,可操作平台的多,故难免会有一些未经授权的主体加入健康码的开发之中,又因为健康码的赋码规则未公示,公民对于公布主体也不得而知,只能一头雾水的去使用健康码。在这一层面更是加大了信息泄露的风险。
5. 建议及制度设计
(一) 明确同意规则例外适用的标准
首先,对于一般的个人信息,在采集之后进行使用之时应该要得到个人的同意,在特殊情况之下,即使不需要让公民同意也应该要让公民对于信息的使用情况知情,那么何时只需要公民知情呢?对此需要制定一个明确的标准,以免行政机关以此钻漏洞,得以侵害公民的个人信息权利。从而做到“以同意为原则,以知情为例外”。其次,处理个人信息的主体一定要是法律规定的主体,未经授权不得私自采集公民的个人信息,这样做既符合我国法律的规定,同时也符合健康码最初使用的目的。除此之外,需要明确的是,对于同意原则的例外适用一定是基本为了维护公共安全所必要的,非于此目的,不得随意采集个人信息并为之所用。
(二) 确保个人信息处理的公开透明
1. 政府就个人信息处理的类型、范围以及必要性要进行说明
“监管俘获”这一概念最先是由斯蒂格勒和佩尔兹曼提出,意指监管者有可能为了一己之私而与被监管者合谋 [8]。倘若俘获监管者的成本要低于俘获监管者所带来的收益,那么趋利性会导致其源源不断地去“俘获”监管者。后果可想而知。
拿健康码来说,虽然健康码的运行是以政府为主导,但是在这一过程中,大量的互联网企业加入开发之中,同时政府也需要借助这些平台的技术优势,因此,在这里就蕴含了潜在性的风险。为了避免这一危害结果的发生,需要加强对于健康码运行的监管,对于为什么要使用健康码、收集信息的全部范围、类型都应该向公众予以说明,可以采用充分列举的方式让公民“知其然,知其所以然”。
2. 向公众公开健康码的赋码算法
算法解释权可以看作是算法透明原则的具体化体现。相比于形式化的算法部署告知,算法解释权更是一种实质性的算法透明度的实现方式 [9]。算法解释权在2018年的《通用数据保护条例》中被确定,已是一项实证化的权利。我国《个人信息保护法(草案)》中规定,个人认为自动化决策对其权益造成重大影响的,有权要求个人信息处理者予以说明。
将健康码的赋码算法予以公布,让公众明知为什么自己获得的是红码、绿码或者是黄码,同时还应当解决公众对此规则存在的一系列疑问,例如相关个人信息的改变是否会影响绿码的发放?一旦信息填错应该如何纠正等问题。
3. 在健康码申领界面加入个人信息保护隐私条款
在健康码申领界面加入隐私保护条款,其实上述两点均可以写入该隐私条款中,要求在公民申领健康码之前,需要先勾选该隐私条款,让公民对于自己的权利有一个清晰的认知,也对自己的信息使用情况有一个了解。
(三) 具体最小化必要原则
1. 尽快实行全国“一码互认”
国家卫健委近日发布的《关于深入推进“互联网 + 医疗健康”“五个一”服务行动的通知》10,在通知中指出,要深入推进“一码通”融合服务,破除多码并存并不通用信息壁垒,方便人员出行跨省流动。
通知还明确,对于一些低风险地区,除了特殊场所和特殊人员之外,一般不查验健康码。对于不会使用智能手机的老年人,可以通过扫描身份证、查验纸质材料、亲友代办以及绑定多人防疫“健康码”的方式代替健康码的使用,这是对于规范健康码使用的一大进步。
2. 非以实现防疫目的的信息不收集
使用健康码实属现实所必要,除此之外,为达到其他目的而收集信息的方式不应被准许。在健康码被高度使用的当下,一些政府机关也对健康码进行了“升级”,比如近期杭州市推出的“变色码”以及苏州的“文明码”。杭州“变色码”是以倡导人民养成健康的生活方式为目标,通过采集个人的信息并对其进行打分,但是该设想一经推出即遭到人们的反对,必须考虑到的是,该码上记录的健康状况很有可能成为个人应聘时的阻碍,对于个人的权利造成不必要的限制。苏州“文明码”是通过对于个人日常生活的监测对其进行打分,从而成为评价社会文明程度的参考,更有甚者,想要将此作为个人征信的依据。这些所谓的健康码的“升级”都是非以疫情防控为必要,当予以否定。
3. 谨慎披露个人信息
由于健康码记录了个人的旅居史,所以对于一些确诊病例的个人信息,行政机关会予以披露,在这里应该要指出的是,行政机关在进行信息披露的时候,一定要谨慎,因为在疫情防控这种特殊时期,人们的心理是敏感的,随意披露个人信息很有可能会把个人推向社会舆论之中,给该人带来更大的心理伤害。
所以,建议行政机关只对于确诊病例的必要信息进行公布,而对于疑似病例不要公布具体姓名、肖像等重要信息,从而保护公民的个人隐私权。
4. 个人信息处理的时限应符合最小必要原则
在最小必要原则中有这样的内涵,一旦收集信息且完成其目的之后,就应该将该信息予以销毁。现在还处于疫情防控期间,个人信息还不应该被销毁,但是一旦疫情结束,处于保护公民个人信息权的必要,行政机关收集的一系列信息都应该进行安全删除,不得未经允许擅自用于其他的目的。
参考文献
NOTES
1参见刘冬冬与中国建设银行股份有限公司三亚河西支行借记卡纠纷案,海南省三亚市中级人民法院(2018)琼02民终647号民事判决书。
2如近期发生的一桩故意伤害案中,被告在网上非法购买被害人的身份证、照片、住址等具体信息后,对其实施故意伤害行为,最终致被害人死亡。参见刘浏:《男子买情敌信息杀人血案牵出特大倒卖公民信息交易网》,载《扬子晚报》2020年8月19日,A04版。
32016年11月,银监会针对客户信息泄露事件不断发生,下发《关于银行业金融机构客户个人信息泄露案件风险提示的通知》。
4参见联合国人权委员会:《第6号一般性意见:第六条(生命权)》。
5参见联合国人权委员会:《第14号一般性意见:第六条(生命权)》。
6参见《传染病防治法》第12条。
7参见《突发公共卫生事件应急条例》第21条。
8参见《个人信息安全规范》,国家市场监督管理总局、国家标准化管理委员会发布,GB/T 35273。
9参见《个人信息安全规范》,国家市场监督管理总局、国家标准化管理委员会发布,GB/T 35273。
10参见杨玉婷:《政策解读<关于深入推进[互联网 + 医疗健康] [五个一]服务行动的通知>》载中国政府网2020年12月10日,http://yyh.dxy.cn/article/751215。