健康码的常态化治理：个人信息应用的问题与原则探究

黄 蓉，辜良烈，卢 武

(1.广州华商学院 新闻与传播学院，广东 广州 511300；2.暨南大学 新闻与传播学院，广东 广州 510632；3.江西科技学院 文化与传媒学院，江西 南昌 330098)

0 引言

健康码在疫情防控中发挥了强大的社会治理效能，除了用于传染病防治与健康服务之外，还兼具数字化识别与政务服务等功能。随着社会的常态回归，健康码依托现有电子政务平台，其功能和程序设计被逐渐更新和丰富，扩展为一种更为广泛的数字基础设施，逐渐演化为数字政府平台的信息入口，呈现出治理常态化和应用延展化的趋势。但一方面，健康码在紧急疫情防控中个人信息保护问题尚未得以有效解决，仅凭紧急事态下具有法理背书的“权益交换”而实现治理效能的办法显然并非长远之计；另一方面，常态化治理下的健康码集成更多个人及社会的数据信息，其应用功能被不断拓展，产生更多数据活动，而个人信息随之流动与被处理，势必将引发关于个人信息保护的新挑战。如何在由紧急治理转向常态应用的语境中保持健康码的善治与法治，是当下亟需深思的问题。为此，本文将基于常态化治理的事实语境，探究健康码中的个人信息应用问题及原则。

(1)个人信息的权益让渡与边界模糊

在紧急防控背景下，以牺牲公民的个人信息权益换取疫情防控的集体奏效的“权益交换”有一定的法理依据，即公民将其部分信息自决权委托公权力代为行使，公共价值位阶高于公民的个人信息法益[1]。 但随着常态化防控的推进，这种“交换”是否应该持续？从目前情况来看，数据单位对大量数据的储存与共享以及技术的应用尚未普遍成熟，继续开展对个人信息的挖掘与汇集，风险和挑战难以预估。此外，个人信息在这场“交换”中所带来的问题已引发广泛关注，诸如算法不透明侵犯个人隐私、处理规则不公开损害权利保障等问题。在此语境下，如何有效地推动个人信息保护与健康码常态化运用的“齐头并进”，并予以相关调适或解决方案，是当下健康码参与社会治理急需回应的问题。

健康码应用的逐步优化毫无疑问意味着国家数据化治理水平的进一步发展，但在应急防控与常态化治理的过渡阶段，由于数据活动的权责认定、应用规则等法制规范尚未明确，使得个人信息流动逐渐出现越界[2]，事实上已经呈现出一种侵权但无人知晓的窘态，有学者指出，互联网在流动意义上组织并建构起“流动空间”，“流动空间”也塑造了“流动的隐私”[3]，其根源指向的是个人信息的无序流动与边界模糊。健康码参与数据治理作为此类现象的典例，具有重要的理论和实践探讨价值。

(2)法律条规的规制模糊与成效有限

近年来，我国对数据活动的法制规范与伦理问题尤为关注。《民法典》中第一千零三十五条规定，数据处理要遵循“合法、正当、必要”三原则。但三原则的具体内容并无明确指向，亦有学者将“正当”理解为“理由正当”，亦有将其理解为“目的正当”，尚无法律或司法解释的佐证，莫衷一是。在数据法领域，目前尚未有一条清晰的逻辑主线将这些原则串联起来，导致数据活动的判断存在较大的不确定性。

2021年6月颁布的《数据安全法》对数据活动各个阶段的行为规范进一步明晰，但在现有司法判例中仍少有体现，且在具体情境中的适用标准还有待考察，致其对具体数据活动的行为认定缺乏可操作性。

健康码在常态化治理下需要回应两个核心问题，一是如何持续保证健康码的社会治理效益，二是个人信息如何在参与治理中得以保护。前者从疫情的紧急防控转向常态化治理，后者问题虽有所改善，但呈现出来的各种失范现象仍旧显著。目前，现行的法规条例虽然对个人信息保护有所倾斜，并旨在权衡个人信息保护和数据流通价值，但尚未将个人信息权利化，而是以法益保护的路径强调法律规定框架下的自治和协商，以此平衡个人信息保护与数据流通性之间的价值。可见，当下的个人信息保护态势仍显被动，处于只见“权力”不见“权利”的失衡局面。

1 健康码常态化治理的问题考量

(1)流动与关联：个人信息的过度使用与隐私泄露

与在公共场所不断亮码出行相类似，高度流动性社会处处充满了认证，认证除了满足基本的统计需求，更主要的是根据某些特定标准确定资质，达到资质的社会主体才被允许进行流动和动态监控[4]。健康码的动态变动也反映出数字身份的建立是一个不断更新充实的过程，将个人申报信息与居住地疫情实时动态的空间维度、出行频次及路径停留长短的时间维度以及密切接触人员的人际关系维度等信息进行整合，生成具有个体性的动态三色二维码。变动的数字身份实则是固定不变的资质与大量数据分析生成的动态信息相结合的数字产品。

现代可信数字身份主要依托于多元互认的标识符的关联认证。数字身份信息不仅包含一般个人信息，也涉及个人敏感信息，唯有如此才能确保个人状态的识别准确，以防被仿冒和伪造。随着技术条件的变化，不断有新种类信息被纳入进来，则会产生更为紧密的信息关联。目前，鉴于新冠病毒的传播特性，将“健康”自然地视为人群流动交往的重要特质，并与其他信息关联，从而生成高度结构化的、强关联性的数字产品。数字身份的多重信息关联使得数据应用得以实现，进而实现健康码的多情境、多功能应用，但也极有可能在流动性的过程中引发“无感伤害”。因此，务必重新审视将人的数字身份与现实生活深度绑定的做法，防范技术治理的异化，更不能动辄以技术创新为由过度使用个人数据，导致隐私泄露。

(2)表征与运算：信息应用的规则透明与救济保障

健康码除了呈现一个流动关联的数字身份之外，还在治理逻辑上渗透着医学与政治化的双重凝视。一方面，鉴于身体状况的各项指标仍是健康码治理的首要关注点，其治理成效仍旧离不开医学权威话语体系的支撑。另一方面，在诊断决策时并非按照传统的医患面对面就诊，而是以数字技术为中介方式，应用其决策运算规则来判断数据身体健康与否，这就使得中介手段成为另一种凝视，即算法权力。算法作为健康码应用延展的核心技术基础，其参与行政治理所衍生的系列问题务必引起重视。

算法的作用并非以中立方式呈现，这点已成为共识。算法对个人信息的应用，其结果取决于它的决策结构设计。其中，认知方式、价值观与伦理判断均对算法结构有影响，其并非是技术保证的结果，而是现实世界的投射。加上个人信息在这个运算过程中被抽象为特定的数据符码，区分于传统的自然语言，它对经验事实的表征形式和意义，只能在人为设计的结构内部被建构性地生成。因此，为了保证算法对个人信息表征的公平正义，个人信息在健康码治理中的应用规则透明需要引起重视。

紧急时期的“健康码”因公共利益、知情豁免而未及时公开其决策规则，诸如数据分析结果与决策之间的转换逻辑等，呈现出一种不透明的状态。随着健康码的常态化运用，其原有的“不透明性”则遭到了质疑。健康码在延展应用过程中将扩大其覆盖范围，即依托先进科技对个体、社会进行全方位的监控，从生物体征到社会轨迹，从一般信息到敏感信息等，所建立起来的数据集也更加庞大。这些数据在算法中运用通过被置于特定的变量中，通过偏差值和非正常性状来计算风险的概率，并非是对个体的实时危险做出针对性准确判断，而概率本身也只是一个偏差值，它可以因着算法和数据库的不同而发生改变[5]，这也充分揭示了为什么健康码颜色会存在出错的可能。鉴于健康码处理的个人信息数据体量之大和运算逻辑之杂，仍需要为个体留下一定的救济余地，通过事后追踪、紧急救济等方式维护个体权益。

(3)转变与适应：信息处理的参与自愿与知情同意

在后疫情时代，健康码的治理应用并非是社会整体性的，并非总是涉及公共安全，先前所持有的“法律背书”不再具有说服力，意味着健康码治理价值势必发生转向，不再局限于紧急事态下对社会稳定、生命安全、经济复苏等整体性意义的追求，更需考虑不同情境下个体的特定需求，其治理价值呈现出一种个体化或多元化趋势。

健康码功能正在不断更新完善，除了常有的“亮码”“行程记录”等防疫功能外，新增的“亮证”“法人服务”“专项服务”等个性化功能也呼之欲出，这无疑赋予了用户更多的选择余地，但“有选择”并不意味着“要参与”。在常态时期，个人对健康码的应用并强制性规定，为确保个人能适应健康码的常态治理语境，充分保障个人权益，则应重申个人参与自愿与知情同意原则。

重申个人参与的自愿原则，本质上是个人在何种程度愿意提供何种信息与之“交换”，指向个人信息应用的边界问题。对公民参与自愿性的保障，需要保证“知情同意”的真正实现。在大数据促成政府大转型的当下，政府将基于职权或外部因素更加频繁地向公民主动收集数据，处于数据活动前端的公民的知情同意往往难以实现[6]，而在后端，政府基于多样化行政目的对数据进行多重处理，导致数据活动前端置于个体的知情同意成为流于形式的虚设，具体何种个人信息被数据主体如何应用并不知晓，处于一种失语或信息不对称的窘态。此类现象愈发常见，健康码延展应用中所涉及的数据活动更是一种典例。

2 健康码常态化治理的应用原则

基于紧急时期疫情防控的特殊性，健康码以“无形强制力”参与社会治理，将公共价值凌驾于个人价值有其法理依据。但随着常态化防控推进，健康码参与社会治理的“紧迫性”和“重要性”程度较前相比，有所区别。这意味着健康码的常态化治理势必将重新审视公共价值与个人价值的关系。在数据治理语境下，健康码应用涉及公私两域，“政府不可能仅出于公益目的完全支配数据，公民也不可能基于私权彻底排除政府的数据控制”[2]。因此，如何看待并调适公权中的“公共价值”与私权中的“个体价值”的权重关系，将是健康码延展应用需要回应的基础问题。在公私两域，如何形成目的、手段、效果等多个行为要素与多种价值诉求相协调的权衡态势，需在现有的法规体系中找到一个“支点”，即比例原则。

本文借助传统比例原则的框架，根据健康码在应用中所呈现的数据活动特征及问题，对其各阶段子原则及其内涵作出一定的调整，并与其常态化治理的规范设计结合，致力于推动健康码的进一步应用。因此，本文认为数据活动中的比例原则，应是“正当、必要、权衡”这三个子原则逐层递进[7]，相互协调，形成一个整体化的规范体系。

(1)正当原则

正当原则作为比例原则体系的首要前提，主要针对行为目的，要求数据活动的应用目的必须合乎法律，遵从人伦道德，不得损害集体或个人的权益，且目的与行为之间存在可理解的因果联系。倘若正当原则无法保障，这意味着行为意向本身存在瑕疵，那么其后续的必要原则、均衡原则更是无从谈起。在正当原则的视野下，这要求数据主体应当清晰、明确、及时地公布数据应用目的，且该目的需具有合法性，常态化治理下的健康码更应如此。

健康码中储存着大量的个人一般信息和敏感信息，极具利用价值。对于政府而言，不仅要向公众明示哪些个人信息用于何种数据活动，有必要时可签订相关授权协议，更要防止“内鬼”的过度或恶意使用，造成对政府公信力的损害。随着健康码应用广泛，其数据多样性、精确性和动态性也随之提高，经过政府处理迭代后将产生更高的利用价值，若被商业主体进行产品营销、数据开发等用途，有违出于公共价值的初衷，且将个人对信息应用目的把握置于“无知之境”，势必与目的正当原则相违背。

关于数据活动目的的合法性审查，不应以过严要求限制数据活动。审查过严势必会与具体行为手段的实际效果考量相抵触，这本该属于后续均衡原则的审查范围，由此造成比例原则逻辑上的错位。此外，健康码的广泛应用也将使得数据更具流动性、多样性与变动性，其衍生出来的目的有时难以预料，但这也正是数据活动的未来潜力所在。在欧盟第45/2001号法规第五条也有所规定，容许数据应用过程中产生新的附加目的，但该目的需与原始目的有一定关联。

(2)必要原则

传统的必要性原则认为，当存在多种方式均可实现行为目的时，应采取伤害最小者。但在数据活动中，基于数据活动的专业性、主体的多边性和价值的多元性，要让数据利用者举出证据，证明其当前行为属于可选择范围内对个人信息法益限制最小的选项难度极大[2]。因此应转变思路，在确保目的符合正当原则的基础上，审查数据主体是否有采取足够合乎成本的义务措施，以减少数据活动对个体或集体权益的损害。

首先，政府单位以规范性文件的形式要求个人信息收集的内容标准统一，对具体在何种情况下被应用作出明确规定，避免个人信息被过度使用而损害个人权益，并向个人作出具有解释意义的提示或声明，确保个人知晓应用后果。在非紧急状态下，健康码程序不再因公共豁免而自由收集与应用个人信息，因此，标准化收集与明确提示将是后疫情时代保护个人信息安全的重要基础。

其次，数据主体对个人信息的数据处理要做到“去识别化”。“去识别化”是指数据保有者采用技术手段，对其所保有的数据信息进行集中筛查，将其中能够识别特定个人身份的数据信息予以删改[8]，从而实现在保留信息特定用途价值内容的同时，降低可能对信息主体的隐私造成的威胁或损害的风险[9]。具体的“去识别化”包括对个人信息中的关键字段做隐蔽化处理、对存在流动或关联的敏感信息做匿名化处理等。

此外，健康码应用广泛，为确保个人信息储存与应用的安全，应尽早明确个人信息利用的有效期，设计适配的退出机制。针对已收集信息，要一改现有“只收集不利用不删除”的数据冗余窘况，对有用信息进行脱敏处理并妥善保存，对冗余信息进行定期销毁，完善溯源机制，实现个人信息全过程管理，并且保留用户个人主张删除个人信息的权利[10]。

(3)权衡原则

目的正当性原则确保数据活动的意图不违反法律道德，行为必要性原则确保对数据主体采取足够义务，降低数据活动对个体权益的损害。在此基础上，进入权衡原则的审查阶段，需确保正当目的所实现的价值与个体权益的减损合乎一定比例。目的价值与权益减损成为天平两端，不宜过重倾斜于一边，否则意味着“得不偿失”或“事倍功半”，即不符合权衡性原则。

紧急疫情防控下的健康码参与社会治理具有一定的紧迫性与严重性，使其承载的公共价值足够沉重，得以与之行为造成的权益减损形成平衡，故而不易引起质疑。但在常态化语境下，健康码的应用场景发生了转变，作用范围与功能也逐步拓展，数据流动与关联也必然加强，随之而来的权益损害非但没有实质性地减少，甚至有增加的可能。前文分析也提到，健康码应用价值由公共导向转为个体多元，并非是关乎人民生命、社会财产等整体性意义。可见，健康码应用天平两端的目的价值与权益损害，前者倾向于减弱，后者倾向于增强，失衡之势已成定局。

从价值实现评估来看，可对健康码应用价值进行位阶分类，以匹配相应的权益减损级别。第一种价值位阶，诸如紧急情况中对个体生命健康、社会秩序稳定等高位阶权利的追求，正当性最强，意义重大，则允许较大程度的权益损害，如数据管理者可直接对个人信息数据进行处理使用，甚至无需获得知情同意、脱敏处理等；第二种价值位阶，诸如政府机构或国家事业单位为某一公共目的，如统计、调研等，对数据进行收集处理，相较于前者，其重要性仍有，但不具备紧迫性，其权益损害程度需适当减小，需充分保障个体知情权、自愿参与等，确保数据在合理范围内被使用等；第三种价值位阶，是常态化应用的各种行政活动、个体服务等功能性诉求，重要性与紧迫性最低，因人而异，具有可替代性，价值位阶最低。相应地，则其权益损害程度降至最小，尽最大义务采取一切措施确保各利益相关方的权益，不容疏漏。