完善健康码个人信息保护的路径探究

2021-01-02 10:31:07山东建筑大学徐承栋

区域治理 2021年7期

山东建筑大学徐承栋

一、健康码的界定

“健康码”是由各级卫健委主导，疾控中心管控，大数据局提供技术支持，以本地常住人口、暂住人口和流动人口为申报对象①，系统根据申报对象之前登记的姓名、电话号码、个人健康状态等信息，结合交通部门、通讯运营商提供的行程信息，生成一个具有颜色标识的二维码，作为申报对象的健康证明。健康码首先于2020年2月9日在深圳推出，目前已经逐步覆盖全国，成为数字时代政府、企业、社区和个人等多元主体共同参与重大疫情防控和社会共治的创造性成果。②从生成机制上来看，健康码是个人主动申领并提交信息后，平台端将这些信息与后台大数据分析比对，审核后发放的二维码形式的电子凭证。平台端根据申领人提交的个人信息，对申领人进行健康评估后，发放红码、黄码、绿码三种不同颜色的健康码。③2020年12月10日，国家卫健委、国家医保局、国家中医药管理局联合发布《关于深入推进“互联网＋医疗健康”“五个一”服务行动的通知》，明确要求各地落实“健康码”全国互认、一码通行。④

二、健康码个人信息保护存在的问题

（一）健康码个人信息生成的安全风险

目前健康码个人信息生成有两种方式，一种是静态码方式，一种是动态码方式。动态码相较于静态码而言，可以及时更新，不容易被替换盗用，具有较强的风险防范能力，除了电子二维码的定时更新，动态码还采用数字证书，电子签名进行验证，整体安全性较高。但现在仍然有部分健康码采用了静态码生成方式，这在一定程度上面临着较大的安全风险。

静态码方式主要通过直接编码居民的个人信息，通过扫码设备直接显示出编码内容。但在采用这种方式的时候，会将个人身份信息和健康信息直接以明文形式编码在二维码中。⑤如果健康码遗失、被复制，那么居民个人身份信息很容易被任意扫码终端读取，从而导致个人信息的泄露和非法利用。虽然通过加密授权相应扫描设备可以加强对个人信息的保障，但这无疑会对个人信息识别的准确性造成不利影响，同时会加大查验健康码工作的复杂程度。

(二)健康码个人信息的处理不规范

健康码的信息处理主体包括了政府部门、互联网企业、基层组织（商场、社区、火车站等），但是就公众而言，在日常生活中难以知晓信息处理主体的处理资格，同时无法保证信息处理主体不会私自收集并违规处理个人信息。健康码从本质而言是为了保障公共卫生安全，健康码的使用是具有强制性的个人信息处理行为，对于个人信息权益存在一定限制，因此在推行使用健康码时首先应当具备目的合法性与手段正当性。其次个人信息背后蕴藏着巨大价值，在涉及处理个人信息时也应当秉持审慎原则，尽可能规避信息滥用。但在现实生活中，尤其是在社会治理和电子政务领域，对公权力的监管较为薄弱，存在地方政府尝试突破防疫目的、升级改造健康码的行为，比如此前饱受诟病的杭州“变色码”和苏州“文明码”。⑥健康码作为一种新型信息化防疫工具，个人信息处理应在防疫的特定背景下合法合规进行，而“变色码”和“文明码”却试图逾越职能边界，将个人信息过度处理，违背了疫情防控保护公共安全、关注个人健康的初衷，可能导致民众对公权力治理越界、个人信息泄露的忧虑。

（三）“被动监管俘获”现象

“监管俘获”最早由斯蒂格勒和佩尔兹曼提出，他们认为监管者为了自己的私利可能会与被监管者合谋，⑦而一旦“俘获”监管者所获得的收益高于成本，被监管者则会想方设法“俘获”监管者。⑧这类“俘获”通常具有主动性，即监管者的行为具有主观意愿，可以称之为“主动监管俘获”。与之相对的是“被动监管俘获”，通常可以理解为监管者本身并不具有被“俘获”的主动性，而是当监管者在自身某项能力不足时，不得不将部分资源或权力让渡于被监管者，这种状态就被称之为“被动监管俘获”。

以健康码为例，数字抗疫作为社会公共服务的一部分，本应由政府主导，进行自上而下的统一组织安排，但实际上却是由互联网企业占据了主动。互联网企业凭借自身庞大的用户资源和统一的平台，各级政府只能借助于互联网企业进行健康码的推行使用。在这种特殊的政企合作中，政府无疑让渡了部分公共管理的权力，并且授权平台掌握了居民的个人健康信息。而健康码背后的数据存储、使用和后续处理等问题，都离不开作为被监管者的互联网企业。尽管国家网信办、工信部等部门逐步出台了保护健康码数据安全的政策要求，但涉及到的具体情形、惩戒机制依然不够透明完善。在疫情常态化的未来，健康码无疑扮演着越来越重要的角色，因此必须警惕“被动监管俘获”现象成为阻碍产业发展和社会进步的重大隐患。

（四）缺少专门机构监管

截至今日，世界上已有80多个国家或地区建立了专门的个人信息保护机构，如爱尔兰数据保护委员会，欧洲数据保护委员会等，但我国尚未确立专门的个人信息保护机构，导致健康码的数据生成、传输、流通、保密管理等各阶段缺少独立专门的机构进行监管，进而导致了风险的产生。

在我国，健康码最初设计时，就缺少专门的个人信息保护机构提供专业咨询与监管意见，无法使健康码在个人信息权益和疫情防控间保持平衡。我国的个人信息保护工作是由中央网信办、工信部联合国家卫健委等专业监管机构协同负责，不同机关之间存在冲突，难以协调，不同部门规章之间存在诸多矛盾，这些都严重阻碍了监管的专业化与透明化，进而导致行政执法的混乱，最终影响到个人信息的保护。

三、健康码个人信息保护的路径思考

（一）推动健康码的技术革新

1.尽快建立信息数据协同平台

目前国家政务服务平台已经逐步推进健康码的统一政策、统一标准，努力实现全国互认、一码通行，因此建立起一个权威的信息数据协同平台势在必行。首先，信息数据协同平台能够有效对数量庞大的个人信息做到精准统计处理，利用大数据将健康信息在内的各类数据都纳入到公权力的保护中。其次，对于信息数据协同平台的建立离不开与互联网企业的密切合作，在这种政企合作中一方面可以加强双方的互动支持，另一方面有利于找寻到互联网企业对于个人信息获取利用的临界点，以公权力规制企业可能出现的非法侵害个人信息的行为。最后，建立信息数据协同平台有助于实现部门之间信息处理的有机整合，提高办事效率，减少数据泄露风险。

2.逐步实现动态码替代静态码

上文已经论证了静态码所蕴含的风险，因此为了防止个人信息的泄露，应当逐步实现动态码替代静态码，个人信息不宜以明文编码的形式存在健康码中，即便无法将所有静态码加以替换，也应对静态码的形式予以升级。例如对于每次电子二维码的时效性进行确认，当健康状态发生变化时，二维码也会进行更新，以加强对个人信息读取的保护。

（二）强化个人信息保护原则

1.强化知情-同意原则

个人信息保护中的知情-同意原则，是指任何主体在对个人信息进行收集和处理之前需向个人说明收集、处理信息的详细情况，并征得个人的同意。⑨因此只有在用户知情后做出的同意行为才具备合法性。但在某些特殊情况下，健康码的个人信息处理可以豁免同意原则。例如《民法典》第1036条就规定了以保护公共利益为目的的违法个人信息处理行为可免责。《信息安全技术个人信息安全规范》也指出，当个人信息处理在涉及重大公共利益时，不用获得公众个人的授权同意。但应注意以上情形仅限于公共利益等特殊情形，在一般的健康码查验中，任何信息处理主体都不得对个人信息进行泄露利用。

2.强化透明原则

无论从何种角度而言，健康码的使用都是政府对于个人信息的一次强制性收集，因此政府必须保证个人信息处理的透明化、公开化。第一，政府要充分列出和说明个人信息处理的范围、类型和必要性，包括个人信息与“健康码”状态变化的关系，尤其应详细说明公众出行等事项受“健康码”状态的影响所产生的限制，以引导公众。⑩第二，政府应当公开“健康码”运作的算法逻辑，即政府应告知公众“健康码”进行跟踪监测的工作原理，包括不同场景下个人信息分析原理等。第三，政府应当及时反馈对个人信息的处理情况，在加强政府监督、社会监督的同时保障公众的知情权，避免个人信息被非法利用。

3.强化最小必要原则

个人信息保护中的最小必要原则，是指信息处理主体在处理个人信息时为了实现预期目的对可能涉及到的范围和期限做出严格区分。“最小”是指处理的个人信息范围最小、期限最短，界定“最小”则以是否为实现特定目的所必须为标准。因此政府作为信息处理的主体，应当严格在自己的权力范围内收集和使用信息，这也是强化个人信息后端保护的确切要求。具体而言，第一，应明确界定生成健康码所需个人信息的内涵范围，非实现抗疫目的的个人信息，如私密社交活动的信息、虹膜信息、个人面部特征信息等，不应收集。第二，在个人信息处理的时限上也应当遵循最小必要原则，在实现了公共安全目的后，信息处理主体应当及时退出，对于处理的个人信息做到安全删除或匿名化处理，防止个人信息遭到泄露。第三，信息处理主体在对相关健康信息进行披露时，应对非必要公布的个人信息予以保护，避免侵犯个人隐私，例如确诊患者的行动轨迹，旅居史等信息可以对公众及时披露，但对于确诊患者身份证号、电话号码、个人经历等与疫情防控无关的信息，政府部门不应披露。

（三）健全健康码的立法保护

1.法律层面

目前《个人信息保护法（草案）》已经公布，其中规定提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督，并要求其定期发布个人信息保护社会责任报告等。由此可见，应当继续结合当前信息泄露事件频发的现实，充分考虑权利需求，在立法上将个人信息的处理作为重点领域进行保护。

2.行政法规层面

目前，我国对于个人信息保护的法规分布于《民法典》《网络安全法》《消费者权益保护法》等法律文件中。现有的行政法规对于个人信息的保护总体上较为笼统，可操作性较低，立法过程存在部门化倾向，同时对于一些新型疑难问题缺少具体解释，整体保护力度不足。例如国务院制定的《中华人民共和国政府信息公开条例》中仅仅规定了行政机关不得公开涉及个人隐私的政府信息。因此，我国应在现有立法基础上对散落于各种法律文件中的法规进行细化解释，结合当前社会现实对相关法律条款进行修订完善。

同时充分借鉴国外经验，对健康码的设计、生成、处理等各阶段出台针对性的行政法规，从而构建系统周密的法律法规保护体系。

（四）建立统一、独立、专业的个人信息保护机构

完善健康码个人信息保护离不开机构的保障。首先，应当将信息保护的职权收归于一个统一的机构。我国现在的个人信息保护工作是由中央网信办、工信部等联合国家卫健委等专业监管机构协同负责，各部门之间职责冲突难以解决，相关制度规范出现重复矛盾的情形也频频发生，因此有必要将权力统一整合，提高行政效率，避免权力分散化。

其次，这个专门机构应当能够独立、专业的履行职责，这包括以下两点：

第一，拥有独立自主的地位。个人信息保护机构应当不受其他行政机关的干涉，能够独立做出决策，履行法定职责，但这并不意味着该机构完全自治，个人信息保护机构理应与其他部门如司法机关、执法机关，积极协调交接工作，从而构建完善的个人信息保护系统。

第二，个人信息保护机构的专业性是最基础也是最必要的保障。伴随着数字法治时代的到来，不仅仅针对健康码信息泄露，近年来人脸识别侵权、大数据杀熟、算法黑箱等问题也屡屡出现，个人信息保护机构需要做到强大的专家人才储备，以便对发生的新兴问题做出及时应答，为其他组织机关提供专业便捷的工作咨询。同时个人信息保护机构应当具备一定的执行和监管能力，使之更加符合具有制度建设与执行监管双重角色的定位。

四、结语

健康码个人信息的保护离不开制度建设与机构保障。在疫情常态化的现实背景下，健康码注定在这个时代占据一席之地，因此如何在立法上为公民个人信息提供有力保护，如何在实践中解决可能出现的复杂情形，这些都成为法律人应当思考与解决的问题。总之，健康码推行使用的背后代表着国家治理的进步，也唯有贯彻落实依法治国，才能让科技更好地融入社会发展，为建立起良善和谐的数字法治时代添砖加瓦。

注释

①杨浩,杨来胜.政务“健康码”档案:概念、价值与功能实现[J].北京档案,2020(10):21-23.

②王涛,赵彦云.基于健康码区块链的新型冠状病毒肺炎疫情防控与评估研究[J].应用数学学报,2020(3):13-15.

③在疫情防控中，我国不同地区根据自身疫情防范需要，制定了不同的红码和黄码发放标准。例如湖北对确诊患者、疑似患者、发热病例、无症状感染者，发放红码；对上述人员的密切接触者，发放黄码。

④落实“健康码”全国互认、一码通行.新华网,2020-12-12.

⑤牛璐,王琦萌.完善健康码个人信息安全保密方式的策略探讨[J].产业科技创新,2020,2(23):37-38.

⑥毛青青.杭州渐变色健康码将上线健康码要“一码知健”[N].今日头条,2020-5-24；王庆锋.“文明码”是个天真的幻想[N].南方日报,2020-9-8(A04).

⑦ Stigler, G.,” The Theory of Economic Regulation “, Bell Journal of Economics and Management Science,1971(2):3-21.

⑧ Peltzman, S., “Toward a More General Theory of Regulation”, Journal of Law and Economics,1976(19):211-248.

⑨吕耀怀,罗雅婷.大数据时代个人信息收集与处理的隐私问题及其伦理维度[J].哲学动态,2017(2):63-68.

⑩许可.健康码的法律之维[J].探索与争,2020(9):160.

⑪⑫宁园.健康码运用中的个人信息保护规制[J].法学评论,2020,38(6):111-121.