基于生命周期理论的“健康码”个人信息保护策略研究★

冯泽宇 王露露

（中国人民大学信息资源管理学院 北京 100872）

1 绪论

信息化技术手段是我国抗击新冠肺炎疫情的“神兵利器”。国家卫健委办公厅印发的《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》（国卫办规划函〔2020〕100号）进一步强调了信息技术在预测疫情发展、创新诊疗形式、精准施策治理等方面的重要支撑作用。在疫情防控常态化要求下，面对各行各业恢复生产和工作的需要，“健康码”应运而生。“健康码”是由各级卫健委主导，疾控中心管控，大数据局提供技术支持，以本地常住人口、暂住人口和流动人口为申报对象[1]，后台系统根据申报对象登记的姓名、电话号码、身份证号码、个人健康状态等信息，结合交通部门和电信运营商提供的公民行程信息，精确识别高危人群，生成一个具有颜色标识的二维码作为申报对象的健康证明[2]。

然而，“健康码”是一把“双刃剑”，在积极发挥疫情防控作用的同时，也带来了一些危害个人信息安全的负面现象，不可避免地引发公众对个人隐私、算法准确性和信息过度使用的忧虑。对此，人民日报社《国家治理》周刊、人民智库等媒体面向公众对“健康码”的使用情况、评价和期待等相关问题进行了问卷调查，结果显示，70.70%的公众担心“健康码后台数据安全性”；62.03%的公众认为“健康码存在信息过度收集的现象”；58.44%的公众怀疑“健康码算法的准确性”；49.18%的公众因为每次授权登录“健康码”时，个人信息都会得到再次更新，并发送给管理部门，而担忧会因此“暴露个人隐私信息”[3]。

目前，疫情防控常态化已成必然趋势，“健康码”的持续使用势在必行，所以，研究应对“健康码”存在的个人信息风险问题也十分紧迫且必要，不能让助力抗击疫情的“健康码”成为危及全民信息保护和危害信息化社会治理健康发展的隐患。

针对“健康码”的个人信息保护，国内专家学者主要从伦理层面、法律层面和技术层面三个角度进行了研究。伦理层面，杨庆峰认为“健康码”由于其数据活动的服务对象的特殊性，必然会遭遇数据记忆的伦理问题[4]；宁园从“健康码”的正当性角度出发，认为“健康码”是公权力对私权利的限制，但限制也要符合比例原则[5]。法律层面，程睿等解读分析了“健康码”个人健康信息编码行为的法律特征、法律属性和法律效力[6]；许可认为“健康码”不仅是一项数字技术，还是一套法律制度，并从组织法面向、行为法面向和数据法面向研究了个人信息的保护措施[7]。技术层面，国伟等基于“互联网+”可信身份认证平台，利用网证安全二维码设计新的“健康码”方案[8]。目前国内对于“健康码”个人信息保护的研究多是着眼于“健康码”某一属性方面出现的问题，缺少对“健康码”运行的整个流程中出现的个人信息风险进行研究。

因此，本文对于“健康码”生命周期各个阶段的个人信息风险进行分析，并提出相应的保护策略。

2 生命周期理论及“健康码”生命周期的阶段划分

本文选择将生命周期理论引入对“健康码”个人信息保护策略进行研究，一是因为“健康码”从收集个人信息到后台管理个人信息是一个完整的运动过程，其运行轨迹和发展规律遵循了生命周期理论；二是因为“健康码”使用过程有明显的阶段性和周期性，可分阶段进行研究，分析出各个阶段的风险并提出相应策略。三是因为风险管理一般贯穿了个人信息的整个生命周期，任何一个环节发生的问题都可能影响到最终的效果，因而，需要基于全生命周期视角对其进行研究。

2.1 电子文件生命周期理论和信息生命周期理论

2.1.1 电子文件生命周期理论及其与“健康码”的关系

1940年，美国档案学家菲利普·布鲁克斯（Philip Brooks）首次提出了“文件生命周期”的概念：研究文件从产生到销毁或永久保存的全过程、文件属性与管理者行为之间关系的理论，是对文件运动过程和规律的客观描述和科学抽象。[9]1997年，国际档案理事会电子文件委员会在《电子文件管理指南》中提出了“电子文件生命周期”的概念，并将其划分为三个阶段，即概念阶段、生成阶段和维护阶段。[10]目前，我国主流的划分方式是以文件价值的变化规律为基础，将整个文件运动过程划分为四个阶段（简称为“四分法”）：孕育形成阶段、现实使用阶段、暂时保存阶段、保存阶段或历史阶段。[11]

依据国家标准《电子文件归档与电子档案管理规范》(GB/T 18894-2016)关于电子文件的界定，即“国家机关、社会团体或者个人在履行法定职责或者办理事务过程中,通过计算机等电子设备形成、办理、传输和存储的数字形式的各种信息记录。电子文件由内容、结构、背景组成。”[12]健康码”是政府部门、单位组织在疫情防控中，通过手机小程序审核的电子二维码形式的个人健康信息记录，以个人健康信息为内容，电子二维码为结构、抗击疫情为背景所组成。在一定程度上符合电子文件的定义，可以视为一类特殊的电子文件。“健康码”以个人防疫信息集合为单份文件单位，在运动过程中，其轨迹也同文件类似，由文件形成者——个人的扫码需求的激发，形成稳定却独特的价值运动规律。因此，电子文件生命周期理论对于“健康码”也具适用性。

2.1.2 信息生命周期理论及其与“健康码”的关系

1985年，美国信息资源管理专家霍顿（F.W.Horton）提出信息资源遵循信息生命周期理论，他和马钱德(D.A.Marchand) 在1986年出版的《信息趋势：从信息资源中获利（Infortrends:profiting from your information resources）》一书中首次提出“信息生命周期管理”的概念，将信息生命周期管理分为信息创建、信息采集、信息组织、信息开发、信息利用、信息清理六个阶段[13]。相较于国外对信息生命周期理论的研究，国内的研究还处于起步阶段[14]：何俊等按照信息的应用层级将信息生命周期管理划分为信息存储层、信息管理层和信息服务层三个层次[15]；粟湘等将生命周期管理的层级由低到高纵向划分成存储层、管理层和应用层；横向划分为6个阶段：创建、采集、组织、存储、利用、清理[16]。

“信息，广义指客观事物存在、运动和变化的方式、特征、规律及其表现形式。狭义指用来消除随机不确定性的东西。”[17]“健康码”是申报人员个人基本信息、健康信息、出行信息等的集合。“健康码”以二维码的形式存储了个人信息，可以实现扫码读取信息，实现线上和线下的数据联动，在这个过程中，个人信息发生频繁、规律和定向地流动，表现出极强的规律性和阶段性。因此，信息生命周期理论也适用于“健康码”。

2.2 “健康码”生命周期阶段划分

“健康码”相比于一般的电子文件、信息，还有一些自身的特点：1.重大公共卫生事件下被设计出并开始推行的特殊电子文件，具有防疫背景，导致“健康码”在生命周期划分上具有同质化的趋势，在主题上较为集中；2.以二维码的形式记录、存储、展示相关信息，导致“健康码”在生命周期划分上不具有直接性，即信息存储在二维码容器中，而扫码录入是划分生命周期的关键动作节点，线下实体的操作与线上的生命周期发展形成直接关联；3.后台通过分析处理采集的相关个人信息可反映出个人的健康状态，所以后台分析处理、储存管理个人信息的流程步骤直接影响到了“健康码”生命周期的阶段划分。

综上所述，根据电子文件生命周期理论、信息生命周期理论，结合“健康码”自身的特点，本文将“健康码”的生命周期划分为“设计阶段、生成阶段、处理阶段、管理阶段”四个阶段。

3 基于生命周期理论的“健康码”个人信息风险分析

基于前文的“健康码”生命周期的四个阶段，笔者通过阅读相关文献和分析时事案例发现在不同的阶段，存在不同的个人信息保护潜在问题或者风险，参见图1。对各个阶段的具体风险分析如下。

图1 基于生命周期理论的“健康码”个人信息风险分析图

3.1 设计阶段风险

3.1.1 企业获权问题

作为公共卫生体系的一部分，数字抗疫本应当由政府主导。但是在设计开发“健康码”的问题上，互联网企业表现出了最快的反应速度，由于其拥有庞大的用户资源和平台，各级政府必须依靠互联网企业开展工作。在防疫背景下的政企合作中，政府先是让与了部分公共管理权，再是允许平台获取了公众的个人信息[18]。所以各地“健康码”的背后，多是互联网企业在收集和处理信息，而非政府部门。在信息化时代，个人信息背后蕴藏的是巨大商业利益潜力，这对企业来说无疑是不可抗拒的诱惑，一旦让企业获权过大，形成了信息垄断，就会产生不可控的风险。

3.1.2 机构保障缺失

目前，由中央网信办、工信部等政府部门和国家卫健委等专业监管机构共同承担我国个人信息保护工作，导致不同部门规章之间矛盾、行政执法权责不清，不同机关冲突又难以协调[19]。因此，“健康码”最初设计时，就缺乏一个独立专业的个人信息保护机构提供制度保障，无法使“健康码”在个人信息权益和疫情防控间保持平衡。

据统计，世界上已有80多个国家或地区建立并投入使用专门的个人保护机构，如欧洲数据保护委员会（European Data Protection Board，“EDPB”）和各国的个人信息保护机构颁布了大量针对个人信息保护的声明（Statements）、指引（Guides）和问答（FAQ）等文件[20]。可我国仍未确立专门的个人信息保护机构，导致“健康码”整个生命周期都缺少一个独立的、专门的机构进行监管，从而不可避免地导致各个阶段个人信息安全风险的出现。

3.1.3 “散装码”乱象

由于各地“健康码”标准不统一，一些基层组织使用免费工具或委托开发非官方的“健康码”，导致企业码、社区码，甚至登机口码等“散装码”的出现，居民每次出行需要层层扫码，且各码收集的信息不互通、不互认[21]。“散装码”现象的发生，在疫情最严峻时期存在其合理性，但在疫情常态化时期后也给公众社会活动带来了困扰。从深层次分析，个人信息的反复采集与“散存”，都隐藏着个人信息被滥用的巨大风险。而这些“散装码”由于标准混乱，管理缺失，也同样会诱发“处理阶段”和“管理阶段”的个人信息安全问题。

3.2 生成阶段风险

3.2.1 静态码生成

目前“健康码”个人信息生成分为静态码和动态码两种方式。事实上，一定比例的“健康码”采用的就是静态码方式，因而更容易造成安全隐患。静态码采用的是对居民的个人信息直接编码，并通过扫码设备显示编码内容的方式，但这样会使得个人基本信息和健康信息以明文形式编码在二维码中[22]。一旦“健康码”出现遗失或者复制的情况，居民个人信息就会被任意扫码设备读取，造成个人信息被泄露。

即便采用加密方式授权相应扫描设备才能读取静态“健康码”，也无疑加大了工作难度，并且难以辨别人与“健康码”是否一致。此外，静态码的加密算法出现漏洞时，也会导致解密后个人保密信息被泄露。

3.2.2 知情同意原则被虚置

知情同意原则是个人信息保护的根本原则，即信息处理主体在收集个人信息时，需履行告知义务，征得个人信息主体明确、具体的同意[23]。在我国《网络安全法》《民法典》《信息安全技术个人信息安全规范》中，知情同意原则都被认为是个人信息处理的必要前提。然而，“健康码”的实际使用不受知情同意原则的限制。虽然“健康码”是公民自愿申领的，但由于“健康码”是防疫背景个人活动所必需的，所以现实中“健康码”具有强制性，且没有给公众留出是否同意提交个人信息的空间。

3.2.3 最小必要原则被逾越

最小必要原则要求信息处理主体所收集的信息仅为实现特定目的所必需的个人信息，所涉及的信息应在目的实现后删除[24]。在“健康码”实际使用中，重复收集个人信息的现象十分猖獗，个人信息收集范围过大。例如，北京市、上海市“健康码”都需要个人面部识别，公众必须提交面部信息和虹膜信息。然而武汉、长沙等城市的“健康码”，都没有强制性的面部识别。这一区别可以说明，面部识别并不是“健康码”正常使用的必要前提，防疫目的的达成并不以面部、虹膜信息收集为必要。

3.2.4 透明原则被忽视

《网络安全法》第41条明确提出信息处理主体在采集、处理个人信息时，需遵循透明原则，公开信息采集、处理规则，明示采集、处理信息的目的、方式和范围。然而，标准和算法不透明的问题仍出现在“健康码”的生成阶段中。个人信息分析比对的原理，算法的标准及其偏差性，等等，上述过程形成信息“黑箱”，公众均无从获知，因此，公众无法对生成过程中使用的个人信息进行查询和更正，只能通过系统的申诉渠道对“健康码”的结果提出异议[25]。透明原则的忽视也为“处理阶段”个人信息被违规处理和过度处理的行为蒙上了黑幕，导致“健康码”在“处理阶段”的个人信息管理风险大幅上升。

3.3 处理阶段风险

3.3.1 信息处理主体行为不规范

“健康码”的正常运行有赖于政府部门、互联网企业、基层组织（商场、社区、火车站等）和工作人员的协同管理。协同管理模式促使“健康码”迅速在全国范围内推行使用，但这种模式往往也最容易导致个人信息处理不规范风险发生[26]。

另外，现实中企业、学校、社区等基层单位组织负责“健康码”的查验工作，负责执行对公众个人信息的收集。由于“健康码”开发难度低，平台多，无法保证这些基层组织都不会擅自通过“健康码”收集并违规处理个人信息。如果不对此加以规范，互联网企业将以“健康码”作为幌子，进行非法地个人信息处理。此外，透明原则被忽视的现象也导致公众基本无法查验信息处理主体的处理资格。

3.3.2 个人信息过度处理

“健康码”的使用是具有强制性的个人信息处理活动，本质上以维护公共卫生安全为目的，限制个人信息权益，所以需具备正当的方式和目的，处理个人信息时也需尽可能保持克己谨慎[27]。但在社会治理和电子政务方面，因为个人信息资源潜力巨大，加之国家监管薄弱，不少地方政府尝试突破防疫目的，升级改造“健康码”，如此前饱受诟病的杭州“变色码”和苏州“文明码”。“健康码”是一种新型信息化防疫工具，个人信息处理应在防疫的特定背景下进行，而“变色码”和“文明码”却试图突破职能范围边界，将个人信息过度处理，脱离疫情防控对个人健康、文明评级的初衷，不仅无法实现预期目标，反而会导致公众对个人隐私泄露、政府治理越界的担忧与批判。

3.4 管理阶段风险

3.4.1 互联互通管理黑洞

半年来，各省纷纷启动了“健康码”信息互联互通，但与之相伴的是人们对信息安全的担忧。当各省各地完成“健康码”互认机制的建设，全面实行互联互通，异地异码个人信息信任问题将通过技术手段解决，但不同的“健康码”上记录的个人信息的流动管理或将走向一个管理黑洞[28]。特别是在互联互通管理机制仍未健全的情况下，“健康码”上个人信息在跨区域流动和流转过程中存在被窃取、被泄露的可能，容易造成个人信息安全风险。

3.4.2 工作人员行为失责

“健康码”中记录了大量公众个人基本信息和健康信息，这些信息具有极高的价值。工作人员是“健康码”个人信息最直接的接触者，由于管理制度不完善，管理人员法治意识淡薄，侵权行为及惩罚措施不明确，工作人员的行为往往会出现失责现象。相关管理人员被利益驱使，帮助不法分子在系统、信息库中设置木马对信息进行采集，通过未被授权的访问，对“健康码”信息进行窃取或篡改。也有部分工作人员缺乏隐私保护意识、法律意识，凭借员工账号登录系统，肆意浏览居民的隐私信息，甚至通过复制和售卖居民隐私信息已获得经济利益。而工作人员擅自在网上散布公众的“健康码”隐私信息，使公众遭受网络暴力等现象也层出不穷[29]。

4 “健康码”个人信息保护策略

面向“健康码”生命周期的每个阶段，个人信息风险按照类别可以被划分为原则风险（知情同意原则被虚置、最小必要原则被逾越、透明原则被忽视）、制度风险（企业获权问题、机构保障缺失、“散装码”乱象、信息处理主体行为不规范、个人信息过度处理、工作人员行为失责）、技术风险（静态码生成、互联互通管理黑洞）。如图2所示，根据这些风险，要保护“健康码”个人信息安全，可以从强化原则、完善制度、升级技术三个角度出发完善“健康码”个人信息保护策略。

图2 “健康码”个人信息保护策略图

4.1 强化原则

4.1.1 强化知情同意原则

个人信息保护中的知情同意原则，是指任何主体在对个人信息进行收集和处理之前需向个人说明收集、处理信息的详细情况，并征得个人的同意[30]。知情同意原则可细化为“知情”和“同意”，先“知情”后“同意”，即知情后作出的同意才有合法效力。《信息安全技术 个人信息安全规范》（GB/T 35273-2017）强调必须是在知情前提下自愿作出的同意；必须以明确的语言和确定的动作等方式作出对个人信息的同意[31]。《杭州健康码开发运行规范管理办法》也指出“健康码”运行的必要前提之一是公众个人的授权同意[32]。所以“健康码”申报页面是否有完善的知情同意、隐私保护条款是“健康码”正常运行的前提，政府应进行严格查处未设置用户协议和隐私政策的“健康码”并勒令其整改，杜绝知情同意原则被虚置的现象再次发生。

但在为确保防疫系统的正常运作、保障公共卫生安全的特殊情况下，“健康码”的个人信息处理可豁免于同意原则。《信息安全技术 个人信息安全规范》指出当个人信息处理在涉及重大公共利益时，不用获得公众个人的授权同意[33]。《民法典》第1036条也将以保护公共利益为目的的违法个人信息处理行为可免责[34]。但这只是对防控疫情、保护公共利益的政府部门有效，基层组织、个人等依旧应当遵守知情同意原则，在没有公众同意的情况下不得私自收集、散布确诊、疑似、密接人员的个人信息。

4.1.2 强化最小必要原则

最小必要原则要求信息处理主体所处理的个人信息的范围和期限必须以实现特定目的为必要，“最小”是指处理的个人信息范围最小、期限最短，界定“最小”则以是否为实现特定目的所必须为标准[35]。所以无论是对象范围，还是信息范围，都应满足最小范围原则(最小化要求)。即有关部门对个人信息的收集，应限定在疫情防控的目的之内，并且不得超出合理关联的范围。例如，有关部门可以收集确诊或疑似病例的基本信息和相关的医疗信息，但是不应收集与防疫无关的隐私信息，同样患者也有权拒绝提供私密性的无关信息[36]。

个人信息公开与否以及公开程度也应遵循最小必要原则，防止侵犯个人信息主体的合法权益。所以，在防疫要求下只能公开确诊病例的信息，且公开的内容和范围不能具有身份识别性。换句话说，政府需要加强“健康码”中个人信息的脱敏处理，将可以识别个人身份的敏感信息从中分离。

4.1.3 强化透明原则

为保证“健康码”个人信息安全，政府要保证个人信息处理的公开透明，具体包括下述几个方面：第一，政府要充分列出和说明个人信息处理的范围、类型和必要性，包括个人信息与“健康码”状态变化的关系，尤其应详细说明公众出行等事项受“健康码”状态受影响所产生的限制，以引导公众[37]。第二，政府应当公开“健康码”运作的算法逻辑，即政府应告知公众“健康码”进行跟踪监测的工作原理，包括不同场景下个人信息分析原理等[38]。第三，政府应向公众明确“健康码”个人信息处理的防疫目的，如什么情况下仅用于呈现个人健康状态，什么情况下用于跟踪监测患者。第四，政府应当对“健康码”中所记录的公众个人信息的管理方式进行说明，如管理模式、管理期限等，以及疫情结束这些信息将如何处理。第五，政府应向公众详细讲解“健康码”的信息保护技术和措施，减轻公众对个人信息安全的担忧。

4.2 完善制度

4.2.1 制定规范性文件和政策法规

第一，法律层面。世界各国个人信息立法模式主要分为两种：分散立法模式和统一立法模式[39]。我国现在实施的是分散立法模式，但这种模式在我国个人信息保护工作中导致各部门间推脱责任，执法机构主体不明，造成了“踢皮球”的局面。在此背景下，我国应改用统一立法模式，将个人信息保护以基本法的形式写入法律，出台一部专门、独立、系统的《个人信息保护法》，运用国家强制力对法律的规定采取保障措施。

第二，行政法规层面。目前，我国针对个人信息保护的法规散落于《网络安全法》《消费者权益保护法》《民法典》等法律文件中，内容高度精炼、可实施性难度大、保护力度有限。我国应该在整体立法基础上，对分布于各法律文件中的相关法规进行细化说明，不断修订和完善相关法律条款；同时学习和借鉴国外地区制定的相应政策，出台专门的政策法规，细化“健康码”在设计、生成、处理、管理等全生命周期的个人信息保护举措，针对每个阶段的个人信息泄露风险点，建立健全完善的法规保护体系。

第三，部门规章层面。各部门应依据个人信息保护有关法律法规，结合部门实际情况制定相应“健康码”个人信息保护部门规章，规范信息安全和个人信息保护有关措施，加大监管力度，杜绝信息泄露、信息滥用等违规行为出现。

第四，规范性文件层面。为防范“健康码”个人信息采集和处理中存在的风险，落实规范性文件的必要性不言而喻。一方面，政府出台技术标准类规范性文件，统一采集个人信息的形式标准，减轻不同“健康码”采集信息的差异，建立安全的个人信息流转和共享路径，将个人信息采集和处理的风险可能降到最低[40]。另一方面，政府有必要通过制定规范性文件，确定信息权力，明确信息权力的主体和具体内容，以防信息权力主体、边界、时限不明对公众造成个人信息安全、公共安全的风险叠加[41]。

4.2.2 建立个人信息保护机构

徒法不足以自行，所以，“健康码”的制度平衡还需要依靠机构保障，即专门的“个人信息保护机构”。在抗疫背景下，个人信息保护机构的职责主要应包括：第一，解读“健康码”个人信息保护相关的法律、行政法规、部门规章、规范性文件等，遏制政府的扩张解释；第二，监管个人信息保护工作的各个阶段，检查个人信息保护技术的落实、评估防疫措施的合法性和可行性、提供咨询指导；第三，调查“健康码”使用过程中各单位组织发生的违法、违规行为，个人信息保护机构可联合公安部门采取现场勘查、备份有关资料、询问涉案人员等措施，对违法单位组织依法处置和追责；第四，公民有权向个人信息保护机构举报侵犯个人信息利益的行为，个人信息保护机构应要求涉事组织作出回应，甚至帮助公民向法院提起诉讼，如有掌握犯罪证据的，应联系公安机关追究其刑事责任。[42]

4.3 升级技术

4.3.1 动态码替代静态码

静态码形式所隐含个人信息风险问题不可忽视，所以为了保护个人信息安全，个人信息不宜以明文编码的形式存在“健康码”中，应逐步用动态码替代静态码。若是动态码无法完全替代静态码，至少“健康码”中的个人隐私信息应改用动态码方式，即呈现个人隐私信息的电子二维码并非是不变的，而是一次性的。公众个人信息或健康状态发生变化时，电子二维码也会相应地更新；公众在每次重新登陆“健康码”系统，或者出示“健康码”页面时，电子二维码都会重新变化。扫描设备每次读取的都是一个新的电子二维码，以降低个人隐私信息的二维码被他人泄露、盗用、冒用的风险。

4.3.2 构建信息数据协同平台

国家政务服务平台已经开始大力推进“健康码”统一政策、统一标准、全国互认、一码通行，那势必需要建立一个信息协同管理平台。构建信息数据协同管理平台，有助于不同部门信息的有机整合，提高信息的决策效率和执行效果[43]。在各省各码的信息数据在完成互认互信后，统一上传至信息数据协同管理平台的信息数据中心进行储存管理。个人信息无需跨区域流转，各省可以直接通过信息数据协同管理平台从信息数据中心读取查询相应信息，减少信息在流转过程中的泄露风险。

5 总结

在当前疫情防控常态化的背景下，“健康码”作为疫情防控的中流砥柱，必然将大有作为。甚至在“后疫情时代”中，“健康码”依旧能作为一种健康保障手段而占有一席之地。然而，个人信息安全是“健康码”能否继续作为抗击疫情的有力武器而非危及公众信息安全和危害信息化社会治理稳定性的隐患的关键所在。生命周期理论已成为认识和研究信息资源管理和利用的一种方法和独特视角[44]。通过引入生命周期理论，结合“健康码”个人信息保护特性，提出“健康码”全生命周期各个阶段个人信息保护策略，为我国疫情防控以及重大公共卫生事件下的个人信息保护提供参考和建议。