数字接触追踪技术的实践类型、社会风险及法律规制

2022-11-06 06:30张恩典
法学论坛 2022年3期
关键词:应用程序防疫算法

张恩典

(南昌大学 法学院,江西南昌 330031)

一、问题的提出

2020年新型冠状病毒肆虐全球,对人类生命健康产生严重威胁,对全球经济、政治、社会、环境和科技等诸领域产生深刻而复杂的影响。为提高疫情防控的效果,自2020年2月以来,各国都在探索应用大数据、人工智能等现代数字技术来缓解和控制不断蔓延的疫情形势。中国共产党和政府高度重视大数据、人工智能技术在疫情防控中的积极作用。2020年2月14日,习近平总书记在主持召开中央全面深化改革委员会第十二次会议时强调,“要鼓励应用大数据、人工智能、云计算等数字技术在疫情监测分析、病毒溯源、防控救治、资源调配等方面更好发挥支撑作用。”2020年2月,中央网信办发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,“鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。”与21世纪初的“非典”疫情防控实践形成鲜明对比的是,此次新冠疫情防控的一个典型特征在于数字接触追踪技术在疫情防控工作中的广泛运用。当前,数字接触追踪技术已然成为各国寻求从“人员隔离”走向“社会流动”,重启社会经济活动的一项重要技术手段。

接触追踪技术是公共卫生机构缓和、控制传染病传播扩散惯常使用的一种传统方法。区别于传统的耗时费力的人工化接触追踪,数字接触追踪技术是一种数据驱动的工具。具体而言,其是基于现代大数据、移动互联网、生物识别和传感器技术对个人进行接触史追踪,并基于算法模型自动判定特定人员是否为病毒接触者或者其风险等级的一种现代疫情防控工具。以健康码为代表的数字接触追踪技术契合了大数据时代我国政府所倡导的“让数据多跑腿,让群众少跑路”的数据治理理念。伴随着数字接触追踪技术在各国的广泛应用,其在世界范围内也引起了包括法律学者在内的社会科学者和自然科学者的广泛争论。在我国,围绕着“健康码”这一颇具中国特色的接触追踪技术,法律学者立足法学视角展开了一些颇具理论和实践意义的研究。总体上,目前的研究主要围绕着作为数字接触追踪技术的健康码应用的法律属性、实践问题与未来走向展开。在法律属性的研究上,有学者认为,在规范属性上,健康码是一种基于个人信息的自动化评级。在健康码实践问题面向,有学者从组织法、行为法和数据法三个层面揭示了健康码的法律维度,并侧重从数据法维度探索健康码应用中存在的实践问题。在健康码未来走向上,学者们莫衷一是。有学者从数字紧急状态恢复机制的角度出发,深入思索健康码这一数字接触追踪技术的未来,主张数字紧急状态结束后引入被遗忘权,集中删除个人信息。而有学者则从现代流动性社会的视角出发,认为健康码将逐渐延伸为身份认证的数字基础设施而应该在疫情结束之后予以保留。上述研究对于我们了解我国数字接触追踪技术的实践及其问题,思索数字接触追踪技术的未来无疑具有重要启发意义。但是,上述研究也存在着一些疏漏:一方面,现有研究更多将视野聚焦于国内的健康码应用,而未从更加广阔的全球数字抗疫实践来对其加以检视;另一方面,现有研究对数字接触追踪技术应用所引发的风险缺乏系统性深入研究,尤其是对数字接触追踪技术所引发的不平等和社会排斥问题缺乏足够的关注和回应。有鉴于此,笔者将我国以健康码为典型的数字接触追踪技术置于全球数字防疫的实践图景中加以比较考察,基于不同国家地区数字接触追踪技术应用的技术特征和应用模式、凝练颇具理想类型的实践类型,并从有效性和风险性维度对其加以比较甄别,进而系统检视我国以健康码为中心的数字接触追踪技术应用实践中所面临的突出问题,在此基础上探索疫情防控常态化背景下我国数字接触追踪技术应用的法律规制方案,以明确其应用的法治边界。

二、新冠疫情数字接触追踪技术实践类型之比较考察

为了抗击新冠疫情,减缓和控制疫情传播蔓延速度,保护本国国民生命健康,重启社会经济活动,中国、韩国、新加坡、美国、澳大利亚、以色列等国家纷纷联合互联网科技公司开发针对新冠疫情的数字接触追踪技术。数字接触追踪技术是一种通过数字化手段收集公民个人的旅居史、接触史等信息,并据此对个人进行风险提示或者确定其风险等级,建议或强制采取居家或集中隔离措施的防疫工具。在全球新冠疫情暴发背景下,数字接触追踪技术已然成为后疫情时代一项重要的生命政治治理术,其普及应用无疑将对个人隐私和行动自由产生重大且深远的影响。数字接触追踪技术开发应用的方式、程度和效果在很大程度上受到本国政治文化和隐私观念的影响。考察目前各国数字接触追踪技术应用实践,可以发现呈现出不同风格特征的实践类型。

面对繁复的数字接触追踪技术应用实践图景,可以从技术特征和应用模式两个维度对数字接触追踪实践类型进行适当界分。从技术特征维度,目前各国所采用的数字接触追踪技术主要包括分布式与集中式,前者在个人信息数据的存储和处理上采取分布式,个人信息和数据存储于个人的手机上,而后者则对个人数据进行集中存储和处理,公共卫生部门等防疫机构和人员可以访问数据。从应用模式上,目前各国采行的模式主要分为自愿模式与强制模式。从理想类型上,根据技术特征和应用模式的不同组合,可以抽象凝练出数字追踪技术应用实践的四种基本类型:自愿—分布式接触追踪、自愿—集中式接触追踪、强制—集中式接触追踪与强制—分布式接触追踪。目前,前三种类型业已呈现于当前一些国家和地区的数字防疫实践图景之中。

(一)数字接触追踪技术的三种实践类型梳理

1.自愿—分布式接触追踪:美国。美国所采行的是一种典型的自愿—分布式接触追踪技术。2020年4月,美国两大科技巨头苹果公司和谷歌公司联合开发了一款数字接触追踪工具“暴露通知系统”(EXPOSURE NOTIFICATION SYSTEM )。“暴露通知系统”以手机蓝牙设备为基础,作为病毒接触信息的发送者和接收者,交换并保存彼此的信息。安装了该程序的手机用户在开启蓝牙装置的前提下,可以接收到同样安装该应用程序的手机通过蓝牙传出的信息。“暴露通知系统”区分了两种用户角色:感染用户和潜在暴露用户。对于前者而言,当用户确认感染新冠病毒时,该系统将共享其诊断密钥,以提醒其他用户可能接触新冠病毒。对于后者而言,该系统将通过接触日期和持续时间并确定其暴露风险,进而确定潜在的暴露者,并向其发送暴露通知。

为了回应本国民众对隐私保护的强烈要求,避免直接利用手机设备唯一识别信息,两大公司开发的这款数字接触追踪技术精心形成了“三码合一”机制。这一“三码合一”的工作机制和原理如下:首先,每部用户手机都会生成一个固定不变的代码A;其次,通过这一固定的A码,手机能够每天生产一个B码,这个B码在通常情况下也不会上传;第三,为了实现接触追踪,手机每隔一段时间对外广播一次,而对外广播出去的是由B码生成的C码,并且C码是动态更新的。而平时上传的是C码。苹果公司和谷歌公司联合开发的这款数字追踪工具在个人隐私保护上具有优势:一方面,这款接触追踪应用程序不追踪个人的地理位置数据,而是收集用户手机设备的近距数据;另一方面,该应用程序也不会对数据采取集中存储。具体而言,其不会上传随机生成而固定唯一的A码,只是将其保存在用户个人手机上;B码也只有在与确诊病例发生接触时才会被作为诊断码提取,用于确认身份,而不会被默认上传。安装的应用程序可以接受并保存的是周期性更新的C码。公共卫生管理部门和其他国家机构难以确认用户的真实身份,用户的隐私也得到很大程度的尊重和保护。目前,已有一些美国州政府采用了苹果和谷歌公司共同开发的这一数字接触追踪应用程序,并被德国等少数欧洲国家采用。鉴于国内科学界和民众对政府持续监控的高度担忧,德国政府宣布放弃之前的集中式处理数据的本土化方案,转而采用苹果和谷歌公司开发的“去中心化”数字追踪技术。

在“暴露通知系统”的应用上,美国奉行的是自愿原则。这一自愿原则主要表现在以下两个方面:首先,公民能够自愿选择是否应用。用户有权自主决定是否下载、安装使用、以及删除这一应用程序,政府并不强制公民安装使用该应用程序。这一自愿原则在尊重个人自治的同时,也导致了使用率不高的问题,从而影响到该数字接触应用程序的功能发挥。其次,“暴露通知系统”只是通知其感染和暴露的风险,并向其发出就诊或居家隔离的建议,而不能据此对个人实施强制集中隔离或居家隔离。

2.自愿—集中式接触追踪:澳大利亚。新冠疫情暴发后,澳大利亚是全球范围内较早采用数字接触追踪技术遏制病毒扩散蔓延的国家。澳大利亚于2020年4月26日推出了一款名为“COVIDSafe”的接触追踪应用程序。与美国苹果公司和谷歌公司开发的“暴露通知系统”追踪工具相似,一方面,“COVIDSafe”应用程序同样是基于蓝牙技术来记录两部安装了该程序的手机之间的近距位置,该应用程序将临近距离确定为1.5米。另一方面,该应用程序不利用GPS技术收集用户的地理位置数据。同时,在通常情况下,“COVIDSafe”应用程序收集的信息也是存储在用户的智能手机上。“CovidSafe”应用程序的上述特征,使其呈现出一定的分布式接触追踪的特征。但与美国的接触追踪工具不同之处在于,“COVIDSafe”程序在用户确诊后,会将确诊用户及其手机中记录的接触数据上传至国家“COVIDSafe”数据存储中心。具体而言,当运行应用程序的其中一个手机用户的新冠病毒检测结果呈阳性时,州或地区接触追踪人员会要求他们允许将其手机上记录的一组接触数据上传到国家“COVIDSafe”数据存储中心(National COVIDSafe Data Store)。然后,国家“COVIDSafe”数据存储中心允许适当的州或地区接触追踪人员访问由新冠病毒检测成阳性的用户上传的接触数据并解密,以及ID与已上传的接触列表中找到的ID匹配的其他用户的电话号码,以便于后续展开接触者追踪。由此可见,澳大利亚“COVIDSafe”应用程序采取的一种集中式的数据存储、处理机制。

与美国相同,在“COVIDSafe”应用程序这款数字接触追踪工具的应用模式上,澳大利亚采行的是自愿模式。在应用方面,公众能够自主决定是否下载应用,也不将其作为对其居家隔离或集中隔离的凭证。同时,为了赢得公众对该款应用程序的信任度,提高该款应用程序的使用率,澳大利亚在应用程序设计上非常重视对用户的隐私保护和数据安全。一方面,建立了应用程序的隐私影响评估机制,对应用程序进行隐私影响评估。另一方面,建立了周期性的动态数据删除机制。“COVIDSafe”应用程序用户储存于手机上的接触数据将在接触发生之后21日内自动删除,以防止数据泄露和不当利用。澳大利亚针对“COVIDSafe”应用程序所建立的这些规则,提高了该程序的使用率。澳大利亚政府宣称在该款应用程序发布后的20天内,下载的用户就达到了250万,占澳大利亚手机用户的25%,占总人口的20%。

3.强制—集中式接触追踪:中国。为了有效追踪新冠病毒传播,遏制病毒蔓延态势,实现健康人员有序流动,推动复工复产,浙江省杭州市于2020年2月11日率先推出杭州健康码。杭州健康码一经推出,便在全国范围内推广开来,各省市都相继推出了“健康码”,根据个人的疫情风险大小来分别对其判定为红、黄、绿码。为了克服各地健康码应用中存在的标准不统一、数据不共享以及缺乏互认机制等突出问题,依托全国一体化政务服务平台,国务院办公厅会同各地区和国家卫生健康委等有关方面,升级了全国一体化政务服务平台“防疫健康信息码”。应该说,以健康码为代表的数字接触追踪工具在我国遏制疫情传播与实现人员有序流动方面发挥着重要作用。

从工作原理上,我国健康码属于一种典型的强制—集中式数字接触追踪工具。就数据存储和处理而言,我国健康码采取的是集中式数据处理方式。具体而言,在个人数据处理方面,健康码采行个人自主申报与后台主动获取个人信息相结合的方式,收集并存储了公民个人的大量数据。其中,通过个人自主申报获取的数据主要包括个人姓名、身份证号码、所在城市、详细居住住址、手机号码、14天内的行程旅居史和接触史、当前个人健康状况等。通过后台主动获取的包括个人行程信息、地理位置数据、个人发热门诊信息等。这些数据由相关部门收集,并采取集中存储和处理的方式,疫情防控部门结合个人自主申报的信息与后台获取的个人行程信息、地理位置信息和个人就诊信息等,通过算法模型来综合判定其风险程度,并在智能健康码应用程序终端自动生成红、黄、绿三色码。

在应用模式上,我国各地健康码应用总体上采行的是一种强制模式。这种强制性主要体现在以下几方面:一方面,各地将健康码作为拟进入城市或公共场所的通行证。例如,在杭州健康码推行之初,当地防疫部门要求拟进入杭州的人员必须申领健康码。在出行方面,健康码作为进入学校、医院、超市等公共场所的主要乃至于唯一凭证,要求人员出示。另一方面,将健康码应用程序生成的红、黄、绿“三色码”作为判断其风险程度,进而对个人采取集中隔离、居家隔离或者放行等防疫管理措施的判断标准。当个人健康码呈红色时,当地的健康码防疫部门则要对其采取强制集中隔离观察,当个人健康码呈黄色时,则需要对其采取居家隔离观察等防疫措施。由此可见,我国健康码在疫情防控中呈现出高度的强制性色彩,这在很大程度上保证了应用程序高使用率,有助于健康码防疫功能的有效发挥。

(二)三大数字接触追踪技术实践类型之二维比较分析

自愿—分布式、自愿—集中式和强制—集中式三大数字接触追踪技术实践类型在运行原理和应用模式方面存在着较大差异,并在很大程度上决定了不同数字接触追踪技术的有效性和风险性程度。

1.有效性维度。所谓数字接触追踪技术的有效性意指其在追踪新冠接触者和密切接触者,减缓和抑制疫情传播方面的效果。有学者指出,数字接触追踪技术的有效性取决于以下因素:(1)是否广泛的采用;(2)收集和处理大量的数据,包括个人的接触数据和健康数据;(3)确保政府、医生、健康官员和研究人员能够和获取数据;(4)支持快速的决策和监管干预。我们认为,单纯从数字接触追踪技术的有效性角度而言,其依赖以下三个方面:一是接触追踪应用程序的使用率;二是收集数据的数量和种类;三是与数字接触追踪工具相对应的防疫措施的强度。从目前上述三种数字接触追踪技术的应用实践效果来看,以我国健康码为代表的强制—集中式接触追踪工具得益于其广泛的使用率,海量的个人接触数据和健康数据,以及与健康码红、黄、绿三色码相对应的差异化防疫措施,在防疫有效性方面最佳。以澳大利亚“COVIDSafe”为代表的自愿—集中式数字接触追踪工具得益于其较高的使用率和相对集中的数据处理机制在控制疫情传播、扩散方面发挥较大作用。而以美国苹果和谷歌开发的数字接触追踪工具因过低的使用率,去中心化的数据处理机制以及全赖个人自觉而缺乏刚性的防疫措施而收效甚微。

2.风险性维度。此处所谓风险性主要意指数字接触追踪工具应用过程中对公民产生的隐私风险程度。上述三种数字接触追踪工具在隐私侵入性方面呈现较大差异。欧洲数据保护委员会发布的《关于在新型冠状病毒疫情暴发背景下使用位置数据和接触追踪工具的指南》规定:“对自然人之间的位置或接触进行系统的大规模监测是对其隐私的严重侵犯,只有依靠用户出于各自的目的而自愿采用,才能使其合法化。这尤其意味着,决定不使用或不能使用这些应用的个人,不应受到任何不利影响。”以我国健康码为代表的强制—集中式数字接触追踪技术因对个人行踪轨迹、地理位置信息和健康信息等信息进行广泛地实时监控和收集,相对而言隐私侵入性最强。以澳大利亚“COVIDSafe”为代表的自愿—集中式数字接触追踪技术因对新冠确诊患者的个人身份、电话等数据以及健康数据采取集中式存储和处理机制,具有较强的隐私侵入性。而美国苹果和谷歌公司为代表的自愿—分布化数字追踪技术采取去中心化的数据储存和处理机制,采集的数据少且数据都存储在用户的手机上,且采用匿名标识符,难以直接识别到个人,相对更注重隐私保护,对用户隐私侵入性最小。应该说,新冠疫情暴发以来,全球各国都根据其社会、经济、人口、文化、医疗资源及抗疫理念等各方面因素来确定其抗疫策略和总体目标,其实抗疫理念是最为重要的。中国一贯秉执人民至上、生命至上为核心的抗疫理念,尽一切可能去保护人民群众的身体健康和生命安全。诚如学者所言,“在公共卫生法中,在自愿与强制之间,在公民自由与公共卫生之间,在分散的(或个别的)健康威胁与整体的健康结果之间存在明显的紧张关系。”数字接触追踪技术模式选择实则反映出各国试图在新冠疫情防控与隐私保护,乃至公民自由之间进行艰难而复杂的平衡。如何在保障公众健康与隐私保护之间寻求反思的均衡,选择适合本国政治体制和隐私文化的数字接触追踪工具,在合理运用现代数字技术保障公众健康的同时,尽量减少对公民的隐私风险,成为后疫情时代各国政府乃至整个人类社会面临的一个重大现实问题。

三、我国数字接触追踪技术应用实践引发的双重风险:以健康码为中心

健康码作为我国数字接触追踪技术应用的集大成者,在此次我国新冠疫情防控工作中发挥着重要功能。与此同时,各地健康码在防疫实践中也面临着隐私与歧视的双重风险。

(一)隐私风险

在后新冠疫情时代,面对传染性极强且不断变异的新冠病毒,为了遏制疫情蔓延,维护公众健康,政府不得不在人们所珍视的隐私与公众健康福祉之间作出权衡。因为疫情的有效控制必须建立在充分的信息基础之上,以便及时追踪和发现接触者,并采取有效管制措施,为避免政府在疫情防控决策中出现“信息赤字”或“信息饥馑”状态,提升疫情防控的效率,势必要求民众让渡一定的个人隐私,加大对个人信息的收集和处理力度。诚然,在后疫情时代,作为数字接触追踪技术的健康码在追踪和发现接触者,实现人员有序流动方面无疑发挥着重要作用,但是其潜藏的隐私风险也同样不容忽视。以色列历史学家赫拉利对新冠疫情接触追踪技术带来的持续性监控和隐私风险表示担忧:“如果我们不够警觉,新冠疫情将成为监控历史上的一个重要分水岭。”我国以健康码为代表的自愿—集中式数字接触追踪技术的应用实践中,个人隐私风险弥散于数据收集、存储和分析利用等各个数据处理活动中。

首先,个人数据的过度采集暗藏隐私风险。在通常情形下,个人数据的采集遵循知情告知—同意原则和最小够用原则,这两大原则是个人数据采集的基础性原则。然而,在疫情防控背景下,基于防控对涉疫信息的强烈需求,这两大原则已经被突破,而且这一突破是“依法”进行的,而这种做法也得到国内外部分学者的肯定。我国《民法典》《传染病防治法》《突发公共卫生事件应急条例》为突破告知—同意原则预留了一定空间。具体而言,《民法典》第1035条第1款规定,“处理个人信息”一般要“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”。同时,该法第1036条规定,行为人“基于维护公共利益或者该自然人合法权益”可以收集个人信息。《传染病防治法》第12条规定,“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况”。该法第18条第1款规定,各级疾病预防控制机构在传染病预防控制中负有收集、分析和报告传染病监测信息,预测传染病的发生、流行趋势,开展对传染病疫情和突发公共卫生事件的流行病学调查、现场处理及其效果评价等职责。其中涉及到对健康信息等个人信息的采集权力。《突发公共卫生事件应急条例》第40条规定,在传染病暴发、流行时,街道、乡镇以及居民委员会、村民委员会负有“协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告的义务。”上述规定赋予卫生行政部门等疫情防控部门在未经个人同意的情况下收集个人数据信息的权力,为防疫部门收集、利用个人数据开展疫情防控提供了合法性基础。

然而,在公共卫生应急状态之下,对告知—同意这一个人信息处理的基础性原则的突破却产生了过度收集的问题。实践中,一些地方开发的健康码应用程序即存在着过度采集个人数据的问题。例如,江西省赣通码应用程序,在申领赣通码时需要强制采集人脸生物特征信息,如果用户不同意,将无法使用该应用程序。还有一些省市的健康码收集的个人信息范围过于宽泛,甚至包括籍贯、个人既往病历等与疫情防控目的无关的数据也在采集范围。这些个人数据的采集显然超越了疫情防控需要,实属过度采集。个人数据的过度采集,不仅与疫情防控保障公民生命健康权之公共利益不符,与合目的性原则圆凿方枘,并使得个人生活悉数暴露于国家的持续监控之下,这无疑对个人隐私和自由构成了重大威胁。

其次,集中式的数据存储潜藏隐私泄露风险。就数据存储而言,我国各地推行的健康码应用程序采取的是一种集中式数据存储机制,通过应用程序采集的各种个人数据都集中存储于服务器,并且对特定级别的疫情防控部门的专门人员开放访问权限。客观而言,相对分布式而言,这种集中式的数据存储方式存在更为严重的隐私泄露风险。一方面,集中式的数据存储服务器往往容易成为黑客入侵的对象,在服务器安全性能不高时容易发生数据泄露问题,因此,个人隐私的风险一直存在。另一方面,集中式数据储存的期限不明造成人们对隐私的担忧。集中式的数据存储有利于提高防疫效率,但如果长期储存则将引起人们对于隐私泄露风险的担忧。2020年2月9日,中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求,“收集或掌握个人信息的机构要对个人信息的安全保护负责,采取严格的管理和技术防护措施,防止被窃取、被泄露”。网信部门正是基于对防疫机构储存数据泄露风险的考量,对数据的安全性提出要求,以强化防疫机构的数据安全管理职责。

第三,对健康码不合目的的滥用加剧隐私风险。健康码程序对海量个人信息数据的收集和利用是基于抗击疫情,保障公众健康之目的。健康码程序开发应用的合目的性为其提供了正当性。超越这一目的,健康码的正当性将受到质疑。尤其是,基于防疫目的所收集的个人数据被不合目的地滥用。具体而言,包括以下两方面:一是将通过健康码应用程序采集的个人信息用于防疫之外的其他目的。由于目前我国健康码的开发应用多是采取公私合作方式开发,这使得那些科技公司有可能借此处理或掌握一些个人的敏感、隐私信息,而这些科技公司出于自身商业利益考量,可能会将其处理或掌握的个人数据用于防疫之外的商业领域或者利用这些数据作为训练数据进行AI机器学习。二是将健康码升级扩展用于防疫之外的领域。新冠疫情为人类社会的数字化转型按下了加速键。“如今面对新冠疫情,‘数字化转型’获得了进一步发展的动力。人们紧闭在家带来的一个主要影响是,数字世界实现了决定性甚至是永久性的拓展和发展。”健康码在此次新冠疫情防控中的大力推行和普及,为我国智慧城市建设提供了契机。一些城市在推出健康码之后便提出了升级延展健康码的设想。在杭州健康码推出之后的2020年5月,杭州市卫健委在健康码的基础上提出开发渐变色健康码的设想,通过集成个人病例、体检、生活方式管理的相关数据,同时针对运动步数、饮酒情况、吸烟情况、睡眠质量等数据,对健康进行打分,不同的分数,健康码将呈现出不同颜色,并且建立起个人健康指数排行榜。无独有偶,苏州市通过在本地的健康码“苏城码”应用程序上嵌入“文明码”的方式推出所谓“文明”码,在城市管理领域推出“文明码”,试图借此对当地居民的公共生活的文明程度进行量化打分。

从隐私角度而言,杭州和苏州的做法实则是将应急状态下处理个人信息的行为常态化,其应用程序运作中有可能会将之前在疫情期间未经健康码用户同意收集到的个人信息挪作他用,从而加剧隐私侵入和泄露的风险。上述两座城市升级健康码的做法,令我们不得不认真思索新冠疫情之后的健康码走向,也许德国学者克劳斯·施瓦布的下列论断值得我们牢记:“当危机结束后,有些人会突然发现他们的国家已经不再是那个他们愿意生活的地方了。这种心态的变化并不新鲜。过去几年中,政府和企业一直在使用越来越专业的技术来监测甚至操控公民和员工”。施瓦布的论断表达了其对疫情过后数字接触追踪技术对公民持续监控的深切忧虑。

(二)歧视风险

大数据、算法并非如同技术专家所宣称的那样中立,而是一如既往地反映着社会的偏见和不公。大数据的社会排斥与算法歧视一直是现代数字技术不容忽视的问题,且引发学者的高度关注。作为以大数据和算法为基础的一种现代数字技术,我国以健康码为代表的数字追踪技术同样充斥着歧视与不平等。只是在面对新冠疫情暴发导致的社会隔离和流动阻滞面前,这种歧视和不平等往往容易被遮蔽。有学者便指出:“抽象而言,信息加剧不平等的危险当然值得警惕。但问题是,在缺乏健康信息认证和披露机制时,社会未必就是更公平的。”不可否认,健康码在打破新冠疫情这一重大突发公共卫生事件所导致的整体性物理隔离,促进社会有序流动方面发挥着重要作用。但是,健康码这一数字追踪技术给特定社会群体带来的社会排斥和歧视问题仍然值得被认真对待。尤其是在疫情防控常态化背景下,健康码将在一定时期内成为表征个人健康状况,决定通行流动的基本凭证,其带来的上述问题应引起理论和实务层面的高度关切。

首先,健康码应用的不均衡引发社会排斥问题。作为一种数字追踪技术,健康码依靠各级政府的强力推行,普及程度已经很高,其在我国新冠疫情防控中取得了良好效果。但是,其带来的社会排斥问题仍然存在。一方面,健康码应用的不均衡分布加剧社会不平等。目前,健康码应用在各社会阶层之间呈现出不均衡分布。其中,老年人、低受教育程度者和低收入人群在健康码下载、注册和应用上相对要低于青中年人、受教育程度高和高收入群体。上述群体因为认知能力、经济能力等方面而处于相对弱势的地位,在健康码应用方面存在明显困难。当各地纷纷将健康码作为个人健康状况和生活出行的基本凭证乃至唯一凭证时,而在老年人、低受教育者和低收入人群者等社会弱势群体的低普及率,已然对其日常出行、参与社会活动等造成严重不便。健康码借由大数据和算法模型正在建构各个社会成员的数字身份,通过注册申领健康码成为人们获得数字身份的唯一方式。在新冠疫情背景下,健康码成为个人出行的基本凭证。然而,上述弱势群体的成员却因各种原因难以注册、使用健康码而难以获得数字身份,被数字化排斥。在疫情防控常态化背景下,这种数字化排斥在事实上造成了数字社会的阶层隔离现象,从而加剧了弱势群体边缘化和社会不平等。另一方面,健康码应用在弱势群体中的低应用率导致其沦为“余数生命”。不可否认,在新冠疫情背景下,健康码成为监测病毒扩散传播、追踪病毒感染者、密接人员、接触者的有力武器,然而,上述弱势群体却因未获得数字身份而被排斥在数字接触追踪技术所建构的公共健康保护层之外。健康码的不均衡应用在事实上产生了相当一部分游离于健康码之外的“余数生命”,而这些余数生命的存在则成为健康码这一“码上治理”所面临的真正挑战。“对于在当代世界中为数并不少的不会使用智能设备的老年人以及不想使用智能设备的技术厌恶者而言,他们尽管在生物性层面上并没有受到病毒感染,然而却由于未能转型成为‘数字人’,故此无法在共同体内部通行,并且无法享有对生命的相关扶助。”2021年8月初暴发的扬州疫情的一个特点是确诊病例中老年人居多。根据媒体报道,扬州疫情60岁老年人占确诊病例的70%以上,这与老年人健康码应用率不高存在一定关联。

为了解决疫情期间老年人等弱势群体出行的问题,2020年12月,交通运输部等七部门联合出台《关于切实解决老年人运用智能技术困难便利老年人日常交通出行的通知》,要求改进交通运输领域“健康码”查验服务,“简化操作以适合老年人使用,并应建立完善‘健康码’亲友代办、工作人员代查等服务,不得将‘健康码’作为人员通行的唯一凭证,对老年人等群体可采取凭有效身份证件登记、持纸质证明通行、出示‘通信行程卡’作为辅助行程证明等替代措施。”客观而言,这一通知确实在一定程度上缓解了老年人出行问题,但是,在疫情常态化背景下,一些地方疫情防控措施“层层加码”,仍然将健康码作为人员通行的主要甚至唯一凭证,老年人日常交通出行需要由亲友陪同,仍面临诸多不便。

其次,健康码应用程序算法模型预测不准确导致歧视。健康码基于个人自行申报的健康信息、地理位置等数据和后台的大数据平台所收集的个人地理位置、行踪轨迹数据、发热门诊诊断数据等,由算法模型进行自动比对,并据此对个人的健康风险进行判断,自动生成红、黄、蓝三色码。所有的算法模型是均基于代理来工作的。健康码在赋码过程中,也是基于代理来判定其健康风险。我国各地的健康码主要是基于个人旅居史、电信公司基站收集的移动手机信号、发热门诊等信息来确定其感染风险。例如,当通过GPS定位技术在高风险地区捕捉到某某手机信号时,后台算法就据此判定其存在高风险地区的旅居史,进而对其赋红码。由于代理选择和数据的准确性问题,各国基于算法模型的数字接触追踪技术均会存在错误,从算法模型产生的错误类型来看,包括假阳性和假阴性。其中,假阳性意味着个人实际上没有感染病毒而被系统错误地判断为很可能感染了病毒,而假阴性意味着个人实际上感染了病毒而被错误地认为没有感染病毒。

各地所采用的健康码算法模型在运行过程中同样存在错误判定问题。但是,与国外基于特定个体与确诊病例之间的近距离接触时间长短作为判断感染风险大小的标准不同,我国健康码则是基于个人行踪轨迹,过去14天是否途经或存在中高风险地区旅居史,或是否存在发热症状作为判断感染风险程度的标准,相对侧重于区域接触追踪而非直接的个体接触追踪。客观而言,我国健康码赋码规则的相对宽泛和模糊,导致其在判断感染风险方面不可避免地出现大量假阳性。这一赋码规则也意味着,我国各地应用的“红黄绿”三色健康码更多是作为一种疫情期间控制人员通行流动的出行凭证,而非直接判断个人健康状况凭证。换言之,健康码算法对特定个体赋红码并不意味着其被感染,而是认为其存在相对较高的感染风险。这一点,从各地出台的赋码规则就得以窥见。

我国健康码赋码规则深刻地反映了我国新冠疫情治理所秉持的“宁枉勿纵”的风险预防原则。这一赋码规则在疫情防控方面收效显著。相比国外数字接触追踪技术应用中出现大量的假阴性,我国出现假阴性的概率要低得多,减少假阴性的概率对于遏制疫情传播扩散具有重要作用。同时,我们也要看到,在假阴性大幅减少的同时,健康码疫情治理中出现大量的假阳性。这意味着,很多公民实际上并未接触新冠肺炎确诊者,但却因宽泛的赋码规则而被集中隔离或者要求进行规范的居家隔离,限制出入重点场所等,公民个人和整个社会也为此付出了很大代价。在某区域暴发疫情被确定为中高风险,所有在过去14天内曾有该区域旅居史,甚至GPS定位技术在该区域内捕捉到手机信号的个人,将会分别被赋黄码或红码,防疫部门将对其采取居家或集中隔离等措施。客观而言,我国各地健康码过于宽泛的赋码规则既对个人行动自由产生了不利影响,还可能对某些个体构成了一种不合理的差别对待。实践中,个人乘坐高铁途经中高风险地区但并未停靠,仅因在中高风险地区捕捉到了该个体的手机信号,健康码便直接判定为红码,进而对其采取强制集中隔离和核酸检测等一系列管制措施。这种赋码规则和实践操作的合理性确实值得商榷。对这些个体而言,草率的赋红码或黄码行为似乎构成对其进行了不合理的差别对待。2021年7月中旬南京禄口机场疫情暴发期间,网民“吐槽”转码的艰辛过程,实则暴露出目前各地防疫机构出台的转码规则设计和实践运行中所存在的标准不一、不合逻辑和操作混乱等突出问题,也从深层次暴露出目前各地健康码赋码规则本身的合理性问题。

综上,我们可以看到,以健康码为代表的数字接触追踪技术在缓解疫情传播扩散、促进社会有序流动方面发挥着重要作用,但是其所潜藏的隐私和歧视风险也同样不容忽视。尤其是在疫情防控常态化背景之下,如何从制度层面规范以健康码为代表的数字接触追踪技术,在合理发挥疫情防控作用的同时,减少潜在隐私和歧视风险,成为一个亟待解决的重大现实难题。

四、疫情防控常态化背景下数字接触追踪技术应用的法治化建构

2020年在全球范围内暴发的新冠疫情将整个人类社会从正常状态推向紧急状态。而数字接触追踪技术在世界主要国家疫情防控中的广泛应用则进一步将人类社会推向“数字紧急状态”。当前,我国疫情防控形势总体趋于稳定,暴发大规模疫情的可能性较小,处在“外防输入、内防反弹”的疫情防控常态化阶段。这意味着,一方面,以健康码为代表的数字接触追踪技术仍将在疫情防控中持续应用。诚如学者所言:“在疫情防控常态化的背景下,健康码可能会成为长期伴随个人的电子健康凭证。”另一方面,数字接触追踪技术应用的各种风险也如影随行。“既然‘例外状态……已然成为常态’,那么它便不仅越来越成为一种治理技术而非例外手段,并且也暴露了它自身作为法秩序之构成性典范的本质。”在疫情总体形势趋于稳定的背景下,疫情防控趋于常态化,此时,之前悬置的法律制度和法秩序应当逐渐恢复。从这个意义上,很有必要对以健康码为代表的数字接触追踪技术应用加以法律规制,在保障其防疫功能基础上,寻求公共健康福祉与个人隐私、平等与自由等基本权利的动态平衡。

(一)数字接触追踪技术应用法治化的原则奠基:比例原则

“比例原则所强调的手段必要性和限制妥当性,本质上是在权利侵害的严重性和公益保护的重要性之间追求均衡。”比例原则是衡量和判断公权力行使是否合乎理性的重要判准。传统的比例原则包括适当性、必要性和均衡性三大子原则,这三大原则在具体个案适用中采取逐步递进适用之方法,因此又称为比例原则的“三阶构造”。随着社会发展,比例原则将目的正当性纳入其中,进一步扩展为“四阶构造”:即目的正当性、适当性、必要性和均衡性。数字技术在公共治理场景中的应用同样需要遵循比例原则。欧盟《个人数据保护比例原则指南》规定,应在适当的数据处理与合法目的之间进行平衡,无论是公共还是私人领域,都应在所有阶段实现公共利益、个人权利和自由之间的利害关系平衡,保证对个人权利干预强度与特定场景下意欲实现目标之间的必要平衡。作为当前各地疫情防控实践中广泛应用的一项技术手段,数字接触追踪技术应用意欲实现法治化,首先应当遵循比例原则,将比例原则作为判断该技术应用是否具有合法性和正当性的基本判准。

1.合乎目的正当性。新冠疫情这一重大公共卫生事件暴发对人民生命健康构成严重威胁,这一重大而紧迫情势的出现,要求国家担负起疫情防控之义务,以保障公众健康之福祉。国家基于疫情防控,保障公众健康之目的,此目的本身具有正当性。这为疫情防控部门应用健康码采集、处理个人数据提供了正当性基础。目的正当性原则要求疫情防控部门将健康码应用,包括个人数据采集、处理和分析都只能围绕疫情防控这一目的展开,而不能基于其他目的,例如公共安全或城市管理等相对宽泛的行政目的或公共利益而升级健康码应用程序所收集的数据。

2.合乎适当性。适当性原则又称关联性原则,它要求手段与目的之间存在实质的关联性。在疫情防控背景下,根据适当性原则,要求防疫部门采取的防控措施与有效控制疫情传播、保障公众健康的目的之间具有合理的因果关系。具体到健康码这一数字接触追踪技术,适当性原则要求通过健康码应用程序所采集的个人姓名、住址、联系方式、健康状况、行踪轨迹、地理位置等信息与遏制疫情传播、保障公众健康之疫情防控目的之间存在实质关联性。一些地方的健康码应用程序强制采集个人的人脸、虹膜等生物特征信息,这些个人生物特征信息具有唯一性、不可逆性,属于个人敏感信息,且与保障公众健康目的之实现无实质关联性,显然构成“不当联结”,这种做法与适当性要求显然是相悖的。

3.合乎必要性。必要性原则要求立法者、行政者所运用的手段是可供选择的诸种手段中相对最小损害的。在疫情防控常态化背景之下,必要性原则要求防疫部门在诸种防控手段中选择相对最小损害的一种。就健康码这一接触追踪工具而言,必要性原则要求健康码应用程序在个人信息收集上宜坚持最少够用原则,不能过度采集个人信息;在个人信息的储存上,应当根据新冠病毒感染潜伏期等因素综合考量,合理确定数据存储的期限;在个人信息的共享、处理和分析上,恪守目的限缩之要求,紧紧围绕遏制疫情扩散传播,保障公众健康之目的来共享、处理分析个人数据,不得基于其他目的而对个人数据进行共享、处理和分析。

4.合乎均衡性。均衡性原则又称狭义的比例原则,该原则要求公权力行为手段增进的公共利益与其所造成的损害之间成比例。均衡性原则要求执法者目光在手段与目的之间来回穿行流转。在行政实践中,执法者为达致均衡性,通常借助于成本—效益分析这一理性计算方法。然而,在新冠疫情大规模暴发之初,囿于对新冠病毒的传染性、致死率和传播途径、速度等特征缺乏了解,防疫部门不得不在“不确定性条件下”快速作出判断,此时要求防疫部门在公众健康福祉与疫情所造成的个人隐私、歧视、自由等风险之间作出精确的计算是不现实的。但是,在疫情防控常态化之后,要求防疫部门在数字接触追踪技术应用中比较权衡其在遏制病毒传播扩散、促进公众健康福祉与侵害公民个人隐私、歧视和自由等基本权利方面造成的侵害是否成比例则是必要和可能的。根据均衡性原则,疫情风险程度和分布状况各异,意味着在确定健康码“亮码”场合时,需要充分基于风险治理的理念,根据所在地区疫情风险等级、地域和具体场所来确定是否需要“亮码”,那种搞“一刀切”,强制要求公民出入各种场所均需“亮码”的做法显然是不恰当的。

(二)数字接触追踪技术应用法治化的具体制度建构

在明确疫情常态化背景下数字接触追踪技术应用应以比例原则为基本遵循,并以此原则为基础,来建立健全数字接触追踪技术应用的制度规则,以确保技术应用在法治框架下展开。

1.健全以隐私政策为中心的数据采集告知制度。在疫情防控常态化背景下,健康码开发者、使用者在注重健康码防疫效果的同时,高度重视在数据采集过程中个人知情权的保障。正如前述,基于疫情防控的现实需要,尽管传统个人信息处理的告知—同意原则被悬置,防疫部门能够在未经个人同意的情形下收集个人信息,但是,为了防止个人信息被过度收集、处理,保障个人的知情权,疫情防控部门通过健康码收集个人信息时,仍负有明确的告知义务。为更好履行这一告知义务,各地的健康码应用程序宜公布隐私政策,在隐私政策中向注册用户明确告知数据收集的目的、范围、类型、用途等,以保障数据收集阶段个人的知情权。

2.建立数字接触追踪技术影响评估制度。如果将人工智能类比人类的话,那么算法和数据则分别是组成人工智能躯体的神经系统和血肉,两者共同协作,使得人工智能更具智慧。数字接触追踪技术之所以能够在防疫工作中发挥重要作用,也是得益于海量的数据收集和算法模型的强大数据分析处理能力。无论是算法,还是数据收集、储存等活动均会对公民的基本权利产生深刻影响。诚如学者所言:“权力的数据性行使还会形成权利限制的正当性假象,公权力借助数据和算法的力量,通过观念渗透和基础设施搭建实现权利限制的生活场景重塑和逻辑植入,使个人不得不接受直至习惯于此隐形枷锁。”在疫情防控常态化背景下,为了全面了解、评估健康码这一数字追踪技术算法和数据处理活动对公民基本权利的影响,很有必要建立健康码算法影响评估制度。目前,包括欧盟、美国和加拿大在内的发达国家均建立了算法影响评估制度,特别是针对近年来在公共治理领域广泛应用的自动化算法系统。究其本质,算法影响评估制度反映的是一种风险治理的理念,即聚焦于算法自动化系统对公民自由、隐私和平等权等基本权利的潜在影响。借由对拟投入应用的算法自动化系统对公民自由、隐私等基本权利的影响程度的全面评估,来确定是否投入应用,并对投入应用的算法自动化系统有针对性地采取技术措施,以减少其对公民的基本权利的负面影响,降低由此带来的风险。

在疫情防控常态化背景下,面对健康码这一数字接触追踪技术潜藏的隐私和歧视风险,宜建立健康码算法影响评估制度。在评估内容上,健康码算法影响评估主要聚焦于算法模型对公民的自由权、隐私权和平等权等基本权利的影响和风险程度。在评估时间上,鉴于疫情形势的动态变化特征,宜建立动态、周期性的评估制度,由开发应用健康码的防疫机构定期对健康码这一数字接触追踪技术的潜在风险展开评估。在评估报告披露方面,鉴于健康码应用程序对公民的自由等一系列基本权利所造成的影响,宜采行强制披露制度,即要求健康码算法的开发者和应用者披露评估报告,以接受公众监督。借由这一强制披露制度来促使健康码算法的开发者和应用者优化算法模型的设计,改进性能,在保障健康码防疫功能的前提下,减少其对公民基本权利所产生的负面影响和风险。

3.建立事前解释与事后解释相结合的算法解释权制度。算法决策的一个基本特征在于黑箱性,防疫机构利用健康码为特定个体赋码进而决定其隔离抑或通行的行为作为一种典型的算法行政也不例外。根据正当程序原则,行政机关对其所作出行政决定负有说明理由之义务,以阐释其行为是基于充分的事实和理由而作出的,具有合法性和合理性。然而,健康码算法行政的黑箱性特征却褫夺了公民获得合理解释的权利。

诚如学者所言:“透明度和信息告知义务对个人权利和自由的内在价值在于限制信息的不对称,并向个人展示其数据处理情况。这对于保护人们在信息自决权意义上的数据保护权,维护个人自治、建立反歧视意识尤为重要。在疫情防控常态化时期,为了克服健康码自动行政的黑箱性,提升健康码算法的透明性,需要在健康码应用中引入算法解释权制度,通过赋予那些受健康码算法决策影响的公众获得健康码算法决策的解释权利,来使其了解健康码算法决策背后的逻辑乃至正当性基础。在健康码算法的解释权构造上,可以考虑根据算法决策的多阶构造采取事前解释和事后解释相结合的双层解释权构造。具体而言,事前解释主要围绕健康码算法模型展开,是一种以“算法功能为中心”的算法解释模式。这一算法解释模式一般发生在健康码算法模型投入使用前,由健康码开发者和应用者对健康码算法模型的功能、预定义模型、赋码规则等进行解释,以算法功能为中心的事前解释模式有助于让社会公众了解健康码算法的内在运行机理。事后解释则主要围绕健康码算法自动作出的具体赋码行为展开,是一种以“具体决策为中心”的算法解释模式,该解释模式通常是健康码应用程序对特定主体作出自动赋码行为之后进行,主要围绕着健康码对特定主体赋码的理由、原因、作出特定赋码决定所依据的个人健康数据、行踪轨迹数据和地理位置数据等,以及每种指标的功能权重、机器定义的特定案例决策规则等。事后解释有助于健康码算法行政相对人了解对其赋码背后的理由和原因,例如,事后解释能够使其了解到其之所以被赋红码是因最近14天内有高风险旅居史或者确诊人员密接触史。“透明性有助于营造一种信任的气氛,引导大家接受算法的结果”。从个人角度而言,赋予其算法解释权,能够打破健康码算法的黑箱,使其了解健康码内部运行的机理,知悉对其赋码背后的原因和理由,有助于提高其对防疫措施的遵从度。从防疫部门角度而言,算法解释义务切实履行,能够使赋码结果更具合理性,使得基于健康码的算法行政避免专断恣意,最终赢得公众的信任。

4.建立类型化与周期性相结合的数据删除制度。诚如学者所言,相对于传统的紧急状态而言,数字时代的紧急状态恢复显得尤为困难。这一点从一些城市以“智慧城市”建设名义迫不及待将健康码这一数字接触追踪技术升级扩展的实践做法中就得以略窥一二。9·11恐怖袭击事件后,基于反恐的需要各国纷纷临时采取监控的安保措施,例如广泛使用摄像头等,而时至今日,摄像头等技术已经遍布周遭,显得再正常不过了。而伴随着人脸识别技术、数字接触追踪工具广泛应用于新冠疫情防控之中,“越来越多的分析人士、政策制定者和安全专家担心这一情况会再次上演,他们害怕为了控制新冠疫情而采取的技术解决方案会长期存在。”在疫情防控常态化背景下,基于保护个人信息隐私和保障公民自由之目的,宜在确保健康码防疫功能正常发挥之前提下,根据个人数据在防疫中的功能作用和重要性程度,建立类型化与周期性相结合的数据删除制度。具体而言,首先,对于诸如个人的行踪轨迹、地理位置数据、非确诊人员的健康数据等这些处在不断变动之中的数据进行处理。根据感染新冠病毒的潜伏期特征,该类数据只是在健康码收集后一段时间内可以用于防疫之目的,在经过一段时间后,这些数据便失去了其进行流行病调查,开展接触者追踪的作用。因此,对于这类数据宜规定其在自采集之日起计算一定期限(通常不超过1个月)后即由专门人员负责删除,数据主体也可以行使删除权。这一动态的周期性删除制度,有助于保护个人信息,避免数据泄露,也在一定程度上打消个人对持续的大规模监控的担忧。其次,对于诸如个人信息能够持续用于疫情防控,例如确诊患者的健康数据可用于疫苗研发、医学研究、传染病持续追踪调查等,则不能删除,数据主体的删除权行使也应受到限制。当然,为了保护数据主体的健康隐私,数据控制者应当采取切实有效的技术措施对数据进行脱敏加密处理。第三,对于疫情期间收集的个人姓名、身份证号等基本信息,在防疫期间,为避免重复采集,上述个人基本信息不宜删除,待疫情结束后再进行删除。

结语

新冠疫情在全球范围内的大规模暴发,将世界各国政府卷入了一场百年不遇的“生命政治”治理实践之中。生命政治的本质是“政治直接作用于生物性生命、使人活下来的政治”。“现代社会的权力是一种保护和提高生命的权力,各种权力机构的主要功能不是消灭生命,而是要去干预和调节生命的状态。”置身数字化转型时代,围绕新冠疫情的生命政治正在诞生出新的治理术,亦即由大数据和算法共同驱动的算法治理术(ALGORITHMIC GOVERNMENTALITY),而作为控制疫情蔓延、追踪接触者的数字接触追踪技术只是其中之一。当前,人类在面对数字接触追踪技术时显露出一种喜忧参半的复杂而矛盾的心理:一方面,数字接触追踪技术无疑承载着人类试图借由自主性技术的力量走出重大公共卫生危机的殷殷希望,并为人类社会在新冠疫情阴霾笼罩之下显现的数字化转型曙光而倍感欣慰;另一方面,强大而无所不再的数字接触追踪技术对人的持续性监控又引发了对自由、隐私和平等等价值丧失的隐忧。但无论如何,作为法律人,面对新冠疫情带来的数字紧急状态,仍需要回归到紧急状态法治的框架下,在保障数字接触追踪功能作用的前提下,持续探索数字接触追踪技术的法律规制方案,这对于人类有尊严而从容地早日走出新冠疫情阴霾无疑具有重要理论和现实意义。

猜你喜欢
应用程序防疫算法
“豪华防疫包”
防疫宣传
防疫宣传
俄罗斯的防疫“宅”假期
删除Win10中自带的应用程序
Travellng thg World Full—time for Rree
谷歌禁止加密货币应用程序
学习算法的“三种境界”
算法框图的补全
算法初步知识盘点